Cloudflare 近日宣布支持 ASPA(Autonomous System Provider Authorization)。这一新的加密标准通过验证数据在网络之间传输的路径,使互联网路由更加安全,从而防止流量经过不可靠或不受信任的网络。
ASPA 是一种基于 RPKI 的安全机制。它通过验证 AS_PATH(即路由通告经过的网络路径),来提升互联网路由协议 BGP 的安全性,从而减少路由泄露(route leaks)以及某些类型的路由劫持。这一新兴标准的目标,是提升互联网的整体可靠性,并减少由于意外或恶意行为导致的流量绕行。Cloudflare 首席系统工程师 Mingwei Zhang 和首席网络工程师 Bryton Herdes 解释道:
当数据在互联网上传输时,它会记录自己经过的每一个网络节点。ASPA 为网络运营者提供了一种机制,可以在 RPKI 系统中正式发布其授权的上游提供商列表。这样一来,接收网络就可以查看 AS_PATH,检查相关的 ASPA 记录,并验证数据流是否只经过被授权的网络链路。
边界网关协议(BGP) 是互联网流量路由的核心协议,但它本身缺乏原生的路径验证机制,因此容易受到路由泄露和路由劫持的影响。虽然 RPKI 和 Route Origin Authorization(ROA) 可以加强路由来源的验证,但它们并不会验证端到端路径。ASPA 通过一种加密方式,使网络运营者能够声明其被授权的提供商,从而让接收网络可以验证某个 AS 路径是否符合预期的结构。
ASPA 通过验证互联网路由的预期层级结构来检测路由绕行。在正常的 “valley-free”(无谷)拓扑 中,流量会从客户网络向上游提供商传递,可能在顶层经过一次对等(peer)连接,然后再通过提供商向下传递到目标客户网络。这种 客户 → 提供商的上行路径、可选的对等连接,以及提供商 → 客户的下行路径,共同构成了符合策略的标准路径。
去年,美国国家标准与技术研究院(NIST)发布了开源测试工具和数据集,以促进对新兴 BGP 安全和韧性机制的测试与实验,其中包括评估路由器实现 ASPA 规范的能力。
Cloudflare 还在 Cloudflare Radar 中添加了相关工具,用于跟踪 ASPA 的采用情况,使网络运营者能够查看哪些网络正在使用该技术,以及路径验证的情况。Zhang 和 Herdes 提醒:
随着 ASPA 终于成为现实,我们在互联网路径验证方面迎来了加密层面的升级。不过,对于那些从 RPKI 路由来源验证一开始就参与其中的人来说,他们知道,要让这一技术在互联网上真正产生显著价值仍然需要很长时间。 要真正利用 ASPA 对象并进行路径验证,还需要对多个组件进行改造,包括 RPKI 依赖方(RP)软件包、签名实现、RTR(RPKI-to-Router)软件以及 BGP 实现。
Cloudflare 表示,在最近的委内瑞拉 BGP 路由泄露事件 中,如果部署了 ASPA,网络就可以通过验证观察到的 AS 路径是否符合预期的提供商授权关系,从而检测并拒绝异常的路径通告,而仅依赖来源验证是无法做到这一点的。
Cloudflare 并不是唯一致力于推动这一加密标准的提供商。在去年发布的文章 “AWS secures internet routing with RPKI plus security checks” 中,亚马逊云科技团队写道:
虽然 ASPA 仍处于标准化过程中,但我们致力于使用它以及所有可用工具,让互联网继续成为一个安全可靠的环境。
尽管相关 IETF 标准仍处于草案阶段,Cloudflare 指出 ARIN 和 RIPE NCC 已经支持创建 ASPA 对象,而路由软件 OpenBGPD 和 BIRD 也已经包含 ASPA 验证功能。
原文链接:
https://www.infoq.com/news/2026/03/cloudflare-aspa-standard/
