Product Launch
影响: Important
强度: High
置信: 90%
思科发布全栈后量子密码架构,将量子安全能力嵌入C9000交换机硬件
内容摘要
思科在其官方博客中宣布,为应对‘现在收集,以后解密’的量子威胁,在其C9000智能交换机中实现了全栈后量子密码(PQC)架构。该架构将NIST批准的PQC算法从硬件安全启动(Secure Boot)层延伸至数据传输协议(如SSH、MACsec、IPsec),通过嵌入FPGA的信任锚模块(TAm)和基于格的ML-KEM算法,旨在为园区和分支网络提供端到端的量子抵抗保护。
核心要点
思科在Cisco Live Amsterdam 2026上首次宣布了全栈PQC架构,并将其首发于C9000系列企业智能交换机。该架构的核心是硬件根植的信任链:在FPGA中嵌入信任锚模块(TAm),TAm在启动过程中逐级验证微加载器(microloader)、BIOS/引导加载程序以及IOS XE镜像,建立量子抵抗的信任根。
在数据传输层,思科IOS XE操作系统引入了基于格的ML-KEM算法,用于增强SSH、MACsec、IPsec和TLS等协议中的密钥交换安全。这意味着保护覆盖了第2层(MACsec)和第3层(IPsec),为园区和广域网环境中的数据机密性提供全面防护。思科强调,此举是为了帮助组织应对如CNSA 2.0等不断发展的量子安全要求,并为长期基础设施规划提供面向未来的密码敏捷性。
在数据传输层,思科IOS XE操作系统引入了基于格的ML-KEM算法,用于增强SSH、MACsec、IPsec和TLS等协议中的密钥交换安全。这意味着保护覆盖了第2层(MACsec)和第3层(IPsec),为园区和广域网环境中的数据机密性提供全面防护。思科强调,此举是为了帮助组织应对如CNSA 2.0等不断发展的量子安全要求,并为长期基础设施规划提供面向未来的密码敏捷性。
重要性说明
这是一个典型的控制层转移信号。控制层正从操作系统和网络协议栈的软件层面,加速移向硬件启动和芯片层(TAm/FPGA)。其核心价值随之从提供丰富的软件安全功能与协议合规性,转向提供硬件根植、不可篡改的信任基础与密码敏捷性。思科此举旨在通过硬件锁定网络设备安全性的终极控制点,将‘量子就绪’从一个可选的、未来的软件升级话题,转变为一个迫近的、与硬件更换周期强绑定的采购决策核心。这迫使其他网络厂商必须跟进类似的硬件集成策略,否则将在企业长期基础设施采购中处于劣势。
PRO 决策建议
[Vendors] 竞争对手(如Arista、Juniper、HPE Aruba)需加速评估并公布自身的硬件级PQC路线图,因为思科已设定竞争基准;单纯软件层面的PQC支持将不足以应对高端企业市场对硬件信任根的需求。
[Enterprises] 网络与安全团队需立即将量子抵抗能力纳入未来3-5年的网络硬件刷新周期评估框架;在采购长期使用的核心交换设备时,需明确要求硬件信任锚和全栈PQC支持,以规避未来的被迫提前更换风险。
[Investors] 需关注网络硬件厂商在专用安全硬件(如FPGA、安全芯片)领域的投资与合作;能够提供硬件级信任根和密码敏捷性解决方案的厂商,其产品生命周期和定价能力可能增强。
[Enterprises] 网络与安全团队需立即将量子抵抗能力纳入未来3-5年的网络硬件刷新周期评估框架;在采购长期使用的核心交换设备时,需明确要求硬件信任锚和全栈PQC支持,以规避未来的被迫提前更换风险。
[Investors] 需关注网络硬件厂商在专用安全硬件(如FPGA、安全芯片)领域的投资与合作;能够提供硬件级信任根和密码敏捷性解决方案的厂商,其产品生命周期和定价能力可能增强。
💬 评论 (0)