路由交换设备作为关键的网络基础设施,其安全性对整个网络的安全具有重要意义。计算体系结构、操作系统和应用软件不可避免地存在设计缺陷或漏洞,而传统的防御措施基于已知威胁特征库无法应对未知的安全威胁。因此,将可信计算、拟态防御、CPK技术相结合,构建具有内生安全功能的路由交换平台体系架构。基于双体系结构的可信计算平台,保证了平台的完整性;通过动态异构冗余的拟态防御机制,增加了攻击者的实施难度;通过组合公钥密钥协商,结合MACsec加密框架,保证了通信设备双方身份的真实性、数据的机密性。相关的设计思路和方法可为构建安全路由交换设备提供参考。

• 单位
  中国电子科技集团公司第三十研究所