Cloudflare支持ASPA加密标准，提升互联网路由安全

2026年3月，Cloudflare宣布支持ASPA（Autonomous System Provider Authorization）加密标准。该标准通过验证AS_PATH，利用RPKI机制检查路由通告的合法性，确保流量仅经过授权的上游网络，抵御路由泄露和劫持。专家指出，ASPA在valley‑free拓扑中确认客户‑提供商‑对等链路的期望层级，使运营商能够基于授权提供商列表对BGP路径进行加密校验。去年NIST发布的开源测试工具和数据集为ASPA部署提供实验基础，Cloudflare在Radar中加入ASPA采用跟踪功能，帮助运营商监测路径验证。若在2026年委内瑞拉的BGP泄露事件中已使用ASPA，攻击者无法伪造符合授权关系的AS_PATH，从而被及时拦截。除Cloudflare外，AWS等企业也在推动ASPA标准化，未来需完善RPKI根、签名实现、RTR软件及BGP实现等环节，以实现全局路径验证的完整价值。

企业可通过以下措施强化自身安全：①在路由器上启用ASPA验证功能，确保RPKI根和ROA签名同步更新；②部署RTR协议实现，实时获取最新的ASP‑ASPA对应表；③在BGP策略中设置valley‑free过滤，仅接受符合授权提供商链路的路径；④定期使用NIST提供的测试工具评估路径合规性，并与Cloudflare Radar等平台对比分期。