作为网络数据处理与传输枢纽的路由交换设备可能存在安全漏洞,导致其服务行为不符合用户预期,严重威胁网络安全。为保障用户数据传输的保密性和完整性以及网络自身的可用性,本文设计了路由交换行为安全策略及基于策略的检测设备,并为进一步提高安全网络工作效率,基于策略检测给出路由交换设备信任度的定义和动态量化方法,以及互联网可信路由协议,具体包括路由交换设备数据窃听攻击行为检测策略设计与实现,分组源地址篡改攻击行为检测策略设计与实现,路由交换行为信任度量化与可信路由协议研究。本文的主要贡献包括:1、数据窃听攻击行为检测策略设计与实现。针对利用路由交换设备漏洞窃听和获取用户数据的攻击行为,提出路由交换行为安全检测策略,以及基于策略的窃听行为检测算法和检测设备模型;为提高检测效率,对策略检测算法进行优化。理论分析和系统仿真实验结果显示,优化后本文设计的检测设备可放行全部正常分组,同时识别和约束99.92%以上的窃听分组,被检测路由交换设备吞吐率可达Gbps级。2、分组源地址篡改攻击行为检测策略设计与实现。针对发送主机和路由交换设备篡改分组源地址的攻击行为,提出路由交换行为安全检测策略,以及基于策略的窃听行为检测算法和检测设备模型。对比其它安全机制,本检测算法和设备可即时检测攻击、通用于TCP/IP网络,并容易部署,理论分析及仿真实验结果显示,该机制性能优于当前具备相同功能的分组源地址篡改攻击防御机制。3、路由交换行为信任度量化与互联网可信路由协议。上述策略可全面满足用户对核心网络保密性、完整性和可用性的总体服务需求,但其检测效率难以满足用户对汇聚层网络的性能需求,为此设计了一种高速可信的路由协议,具体包括路由交换行为信任度的定义与动态量化方法,以及指导分组沿最优信任度路径传输的路由协议。仿真实验及理论分析结果显示,本路由协议可保障核心网络任意设备之间的信任度不低于给定阈值,同时路由交换设备吞吐率可达10Gbps级。