本發(fā)明涉及一種基于鄰居發(fā)現(xiàn)協(xié)議的NDP?ESP網(wǎng)絡(luò)安全方法，包括下列步驟：在要傳送的NDP數(shù)據(jù)包的選項(xiàng)中增加源MAC地址選項(xiàng)和源IP地址選項(xiàng)；在NDP數(shù)據(jù)包發(fā)送前進(jìn)行ESP加密處理；接收端接收到ESP加密數(shù)據(jù)包后，先將分段重新組合后再進(jìn)行ESP解密處理；接收節(jié)點(diǎn)在處理完NDP增強(qiáng)報(bào)文之后，提取出源IP地址和MAC地址，與NDP報(bào)文頭的源IP地址和源MAC地址作比對(duì)，都相同則更新緩存，不同則不更新緩存。

技術(shù)領(lǐng)域

本發(fā)明涉及一種網(wǎng)絡(luò)安全方法。

背景技術(shù)

鄰居發(fā)現(xiàn)協(xié)議(Neighbor Discovery Protocol，NDP)是IPV6協(xié)議(InternetProtocol Version 6)中的一個(gè)基礎(chǔ)協(xié)議，它整合了IPV4協(xié)議(Internet ProtocolVersion 4)中的地址解析協(xié)議(ARP)、互聯(lián)網(wǎng)控制報(bào)文協(xié)議(ICMP)等協(xié)議，具有地址解析、路由發(fā)現(xiàn)、無(wú)狀態(tài)地址自動(dòng)配置、鄰居不可達(dá)地址檢測(cè)等功能。由于NDP協(xié)議是基于可信網(wǎng)絡(luò)提出的，沒(méi)有對(duì)NDP報(bào)文采取保護(hù)措施，在現(xiàn)實(shí)的網(wǎng)絡(luò)中面臨很多安全威脅。若NDP報(bào)文受到截獲，可能造成節(jié)點(diǎn)信息泄漏或產(chǎn)生中間人攻擊；若NDP報(bào)文受到非法篡改，會(huì)造成拒絕服務(wù)攻擊或欺騙攻擊；攻擊者偽造非法的NDP報(bào)文，也可造成欺騙攻擊或拒絕服務(wù)攻擊。

為解決這些問(wèn)題，曾有人提出了SEND方案和PKI證書方案。由于SEND協(xié)議采用CGA(Cryptographically Generated Address)加密和公鑰密碼技術(shù)，發(fā)送和接收SEND報(bào)文需要大量的計(jì)算，給網(wǎng)絡(luò)和節(jié)點(diǎn)造成很大負(fù)擔(dān)，容易形成拒絕服務(wù)攻擊，并且SEND方案存在不能防御假冒MAC攻擊等缺陷，不利于方案的推廣。而PKI證書方案，難以在網(wǎng)絡(luò)中確定一個(gè)CA(Certificate Authority)，同樣不利于方案推廣。

發(fā)明內(nèi)容

本發(fā)明提供一種基于鄰居發(fā)現(xiàn)協(xié)議的NDP-ESP網(wǎng)絡(luò)安全方法，以保護(hù)NDP協(xié)議的安全，同時(shí)實(shí)現(xiàn)節(jié)點(diǎn)之間的保密通信，增強(qiáng)下一代網(wǎng)絡(luò)的安全性。技術(shù)方案如下：

一種基于鄰居發(fā)現(xiàn)協(xié)議的NDP-ESP網(wǎng)絡(luò)安全方法，包括下列步驟：

(1)在要傳送的NDP數(shù)據(jù)包的選項(xiàng)中增加源MAC地址選項(xiàng)和源IP地址選項(xiàng)；

(2)在NDP數(shù)據(jù)包發(fā)送前進(jìn)行ESP加密處理：

1)節(jié)點(diǎn)分發(fā)NDP報(bào)文時(shí)，若是一對(duì)一通信，則查詢安全策略數(shù)據(jù)庫(kù)SPDB中的匹配記錄，再到安全關(guān)聯(lián)數(shù)據(jù)庫(kù)SADB中查詢適用的安全關(guān)聯(lián)SA，如果有就進(jìn)行下一步，如果沒(méi)有則利用IKE協(xié)議進(jìn)行SA的協(xié)商，利用IKE協(xié)議進(jìn)行SA創(chuàng)建時(shí)計(jì)數(shù)器單元要置0；若是一對(duì)多的組播，則查詢組播安全策略數(shù)據(jù)庫(kù)GSPDB中的匹配信息，根據(jù)查到的應(yīng)用策略，到組播安全關(guān)聯(lián)數(shù)據(jù)庫(kù)GSADB中去查詢適用的組安全關(guān)聯(lián)GSA，如果有就進(jìn)行下一步，若沒(méi)有，則用組播密鑰協(xié)商協(xié)議GIKE進(jìn)行協(xié)商，建立合適的GSA。

2)ESP頭的安全參數(shù)索引SPI取對(duì)應(yīng)SA或GSA的SPI，ESP加密時(shí)序列號(hào)依次遞增；

3)根據(jù)SA或GSA相關(guān)參數(shù)加密數(shù)據(jù)包；

4)計(jì)算完整性校驗(yàn)值；如需分段，則進(jìn)行分段處理，再將ESP加密數(shù)據(jù)包發(fā)送出去；

(3)接收端接收到ESP加密數(shù)據(jù)包后，先將分段重新組合后再進(jìn)行ESP解密處理：

(4)接收節(jié)點(diǎn)在處理完NDP增強(qiáng)報(bào)文之后，提取出源IP地址和MAC地址，與NDP報(bào)文頭的源IP地址和源MAC地址作比對(duì)，都相同則更新緩存，不同則不更新緩存。