[发明专利]一种基于邻居发现协议的NDP-ESP网络安全方法

说明书

本发明涉及一种基于邻居发现协议的NDP‑ESP网络安全方法，包括下列步骤：在要传送的NDP数据包的选项中增加源MAC地址选项和源IP地址选项；在NDP数据包发送前进行ESP加密处理；接收端接收到ESP加密数据包后，先将分段重新组合后再进行ESP解密处理；接收节点在处理完NDP增强报文之后，提取出源IP地址和MAC地址，与NDP报文头的源IP地址和源MAC地址作比对，都相同则更新缓存，不同则不更新缓存。

技术领域

本发明涉及一种网络安全方法。

背景技术

邻居发现协议(Neighbor Discovery Protocol，NDP)是IPV6协议(InternetProtocol Version 6)中的一个基础协议，它整合了IPV4协议(Internet ProtocolVersion 4)中的地址解析协议(ARP)、互联网控制报文协议(ICMP)等协议，具有地址解析、路由发现、无状态地址自动配置、邻居不可达地址检测等功能。由于NDP协议是基于可信网络提出的，没有对NDP报文采取保护措施，在现实的网络中面临很多安全威胁。若NDP报文受到截获，可能造成节点信息泄漏或产生中间人攻击；若NDP报文受到非法篡改，会造成拒绝服务攻击或欺骗攻击；攻击者伪造非法的NDP报文，也可造成欺骗攻击或拒绝服务攻击。

为解决这些问题，曾有人提出了SEND方案和PKI证书方案。由于SEND协议采用CGA(Cryptographically Generated Address)加密和公钥密码技术，发送和接收SEND报文需要大量的计算，给网络和节点造成很大负担，容易形成拒绝服务攻击，并且SEND方案存在不能防御假冒MAC攻击等缺陷，不利于方案的推广。而PKI证书方案，难以在网络中确定一个CA(Certificate Authority)，同样不利于方案推广。

发明内容

本发明提供一种基于邻居发现协议的NDP-ESP网络安全方法，以保护NDP协议的安全，同时实现节点之间的保密通信，增强下一代网络的安全性。技术方案如下：

一种基于邻居发现协议的NDP-ESP网络安全方法，包括下列步骤：

(1)在要传送的NDP数据包的选项中增加源MAC地址选项和源IP地址选项；

(2)在NDP数据包发送前进行ESP加密处理：

1)节点分发NDP报文时，若是一对一通信，则查询安全策略数据库SPDB中的匹配记录，再到安全关联数据库SADB中查询适用的安全关联SA，如果有就进行下一步，如果没有则利用IKE协议进行SA的协商，利用IKE协议进行SA创建时计数器单元要置0；若是一对多的组播，则查询组播安全策略数据库GSPDB中的匹配信息，根据查到的应用策略，到组播安全关联数据库GSADB中去查询适用的组安全关联GSA，如果有就进行下一步，若没有，则用组播密钥协商协议GIKE进行协商，建立合适的GSA。

2)ESP头的安全参数索引SPI取对应SA或GSA的SPI，ESP加密时序列号依次递增；

3)根据SA或GSA相关参数加密数据包；

4)计算完整性校验值；如需分段，则进行分段处理，再将ESP加密数据包发送出去；

(3)接收端接收到ESP加密数据包后，先将分段重新组合后再进行ESP解密处理：

(4)接收节点在处理完NDP增强报文之后，提取出源IP地址和MAC地址，与NDP报文头的源IP地址和源MAC地址作比对，都相同则更新缓存，不同则不更新缓存。