CN110430221A - 一种基于邻居发现协议的ndp-esp网络安全方法 - Google Patents
一种基于邻居发现协议的ndp-esp网络安全方法 Download PDFInfo
- Publication number
- CN110430221A CN110430221A CN201910818987.0A CN201910818987A CN110430221A CN 110430221 A CN110430221 A CN 110430221A CN 201910818987 A CN201910818987 A CN 201910818987A CN 110430221 A CN110430221 A CN 110430221A
- Authority
- CN
- China
- Prior art keywords
- ndp
- esp
- address
- packet
- source
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0485—Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/061—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key exchange, e.g. in peer-to-peer networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/065—Network architectures or network communication protocols for network security for supporting key management in a packet data network for group communications
Abstract
本发明涉及一种基于邻居发现协议的NDP‑ESP网络安全方法,包括下列步骤:在要传送的NDP数据包的选项中增加源MAC地址选项和源IP地址选项;在NDP数据包发送前进行ESP加密处理;接收端接收到ESP加密数据包后,先将分段重新组合后再进行ESP解密处理;接收节点在处理完NDP增强报文之后,提取出源IP地址和MAC地址,与NDP报文头的源IP地址和源MAC地址作比对,都相同则更新缓存,不同则不更新缓存。
Description
技术领域
本发明涉及一种网络安全方法。
背景技术
邻居发现协议(Neighbor Discovery Protocol,NDP)是IPV6协议(InternetProtocol Version 6)中的一个基础协议,它整合了IPV4协议(Internet ProtocolVersion 4)中的地址解析协议(ARP)、互联网控制报文协议(ICMP)等协议,具有地址解析、路由发现、无状态地址自动配置、邻居不可达地址检测等功能。由于NDP协议是基于可信网络提出的,没有对NDP报文采取保护措施,在现实的网络中面临很多安全威胁。若NDP报文受到截获,可能造成节点信息泄漏或产生中间人攻击;若NDP报文受到非法篡改,会造成拒绝服务攻击或欺骗攻击;攻击者伪造非法的NDP报文,也可造成欺骗攻击或拒绝服务攻击。
为解决这些问题,曾有人提出了SEND方案和PKI证书方案。由于SEND协议采用CGA(Cryptographically Generated Address)加密和公钥密码技术,发送和接收SEND报文需要大量的计算,给网络和节点造成很大负担,容易形成拒绝服务攻击,并且SEND方案存在不能防御假冒MAC攻击等缺陷,不利于方案的推广。而PKI证书方案,难以在网络中确定一个CA(Certificate Authority),同样不利于方案推广。
发明内容
本发明提供一种基于邻居发现协议的NDP-ESP网络安全方法,以保护NDP协议的安全,同时实现节点之间的保密通信,增强下一代网络的安全性。技术方案如下:
一种基于邻居发现协议的NDP-ESP网络安全方法,包括下列步骤:
(1)在要传送的NDP数据包的选项中增加源MAC地址选项和源IP地址选项;
(2)在NDP数据包发送前进行ESP加密处理:
1)节点分发NDP报文时,若是一对一通信,则查询安全策略数据库SPDB中的匹配记录,再到安全关联数据库SADB中查询适用的安全关联SA,如果有就进行下一步,如果没有则利用IKE协议进行SA的协商,利用IKE协议进行SA创建时计数器单元要置0;若是一对多的组播,则查询组播安全策略数据库GSPDB中的匹配信息,根据查到的应用策略,到组播安全关联数据库GSADB中去查询适用的组安全关联GSA,如果有就进行下一步,若没有,则用组播密钥协商协议GIKE进行协商,建立合适的GSA。
2)ESP头的安全参数索引SPI取对应SA或GSA的SPI,ESP加密时序列号依次递增;
3)根据SA或GSA相关参数加密数据包;
4)计算完整性校验值;如需分段,则进行分段处理,再将ESP加密数据包发送出去;
(3)接收端接收到ESP加密数据包后,先将分段重新组合后再进行ESP解密处理:
(4)接收节点在处理完NDP增强报文之后,提取出源IP地址和MAC地址,与NDP报文头的源IP地址和源MAC地址作比对,都相同则更新缓存,不同则不更新缓存。
NDP是基于可信网络提出的,在现实的网络中面临很多安全威胁,如欺骗攻击、中间人攻击,重放攻击等。本发明提出了一种在NDP报文选项中增加源MAC地址选项和IP地址选项,利用ESP(Encapsulating Security Payload)协议来保护,并根据实际网络中的拓扑结构灵活采用组播密钥管理协议的解决方案,提高了NDP协议的安全性和网络信息传输的安全。
附图说明
图1 MAC地址选项
图2 IP地址选项
图3 传输模式下的NDP-ESP报文
图4 隧道模式下的NDP-ESP报文
具体实施方式
在IPV6网络中,之所以存在NDP协议漏洞的攻击,主要原因是NDP报文没有进行认证以及源IP地址和MAC地址没有绑定。因此,本发明设计了一种基于邻居发现协议的NDP-ESP网络安全方法。其基本思想是:对数据包源进行认证且对IP地址和MAC地址进行绑定认证,使之不能被修改。
1 NDP-ESP安全增强方案模型
IPV6协议中必须支持IPSec(Intemet Protocol Security)协议,因此,可以利用IPSec-ESP对数据包进行加密保护,安全关联中的SPI可以实现数据源的认证;在NDP报文中加入IP地址和MAC地址,可以实现IP地址和MAC地址同时加密及认证;利用ESP协议的散列函数计算的认证数据可以检验数据完整性;序列号计数器可以防止重放攻击;在保护NDP协议的同时,还可对网络通信数据进行加密保护。
1.1 IP地址和MAC地址绑定
由于ESP加密头只保护数据包负载,不保护IP头和各种扩展头,这就给攻击者提供了可乘之机。根据NDP协议工作机制,对其有影响的是源IP地址和源MAC地址,如果能对源IP地址和MAC地址进行保护,则能避免针对IP地址和MAC地址的各种攻击。因此,在NDP数据包的选项中增加源MAC地址选项和源IP地址选项,再利用ESP进行加密和认证处理,就可以实现对IP地址和MAC地址的有效保护。在接收端,先进行ESP解密处理,然后用负载中的IP地址、MAC地址和数据包头地址比对,相同则进行缓存更新,不同则直接舍弃。
目前,IETF已定义的NDP报文选项有8种。为达到IP地址和MAC地址同时认证的目的,新定义2种选项MAC地址选项和IP地址选项,如图1、2所示。
1.2 NDP-ESP模型下的NDP报文
由于IPSec的两种模式,利用ESP加密头进行加密的NDP报文也分为普通模式和隧道模式,如图3、4所示。
1.3 组播密钥管理
由于在5种NDP协议报文中,RS(Router Solicitation)报文、RA(RouterAdvertisment)报文、NS(Neighbor Solicitation)报文都是组播报文,并且进行ESP处理时,首先要进行安全密钥的协商。所以在进行安全关联协商时,点对点的IKE(Internet KeyExchange)协议已经不能满足邻居发现协议中组播报文加密时组安全关联协商的需要。需对IKE协议进行改进,形成针对多点的组播密钥协商(Group Internet Key Exchange,GIKE)协议,实现组播密钥分发及管理。此时建立的安全关联不是单个节点对单个节点的,而是一对多的。GIKE协议与IKE协议功能一样,只是前者是针对组播报文的密钥分发进行协商,所使用的是组播安全策略数据库(Group Security Policy Database,GSPDB)和组播安全关联数据库(Group Security Associated Database,GSADB)。
2 数据的处理过程
根据NDP-ESP方案,ESP在加密过程中,对整个报文负载内容进行加密及认证,NDP选项中的IP地址和MAC地址作为数据包的内容能够得到加密及认证,从而保证了IP地址和MAC地址的绑定。数据在处理过程中主要分为入包处理、出包处理及缓存更新等。
2.1 出包处理
(1)节点在进行NDP报文分发时,若是一对一的通信,则要查询安全策略数据库(Security Policy Database,SPDB)中的匹配记录,再到安全关联数据库(SecurityAssociated Database,SADB)中去查询适用的安全关联(Security Association,SA),如果有就进行下一步的操作,如果没有则利用IKE协议进行SA的协商;若是一对多的组播,则查询GSPDB中的匹配信息,根据查到的应用策略,到GSADB中去查询适用的组安全关联(GroupSecurity Association,GSA),如果有就进行下一步的操作,若没有,则用GIKE协议进行协商,建立合适的GSA;
(2)IKE在进行SA的创建时计数器单元要置0,ESP头的安全参数索引(SPI)取对应SA或GSA的SPI,ESP加密时序列号依次递增;
(3)根据SA或GSA相关参数加密数据包;
(4)计算完整性校验值;最后,如需要分段,还要进行分段处理。
2.2 入包处理
在接收到ESP加密数据包后,先将分段重新组合后再进行ESP解密处理。
(1)查看ESP加密头的目的地、IP地址和其附带的SPI到GSADB或SADB中去查询合适的GSA或SA,如果没有就丢掉此数据包,如果有就进行下一步;
(2)使用包中的SPI在进入SPDB中查找一条和包选择符匹配的策略,如果和第一步找到的安全关联不匹配,则舍弃,如果相匹配,则进行下一步;
(3)查看ESP加密头中的序列号,如果此序列号与前面接收到的数据包序列号相同,则认为非法,直接丢弃,如果不同则进行下一步;
(4)核对ICV(数据摘要),根据GIKE协商约定的算法,进行ICV计算,之后与接收到的ICV进行比对。不同则丢弃数据包,相同则进行下一步;
(5)解密数据包内容,交给上一层处理。
2.3 更新缓存
接收节点在处理完NDP增强报文之后,提取出源IP地址和MAC地址,与NDP报文头的源IP地址和源MAC地址作比对,都相同则更新缓存,不同则不更新缓存。
本发明提出了一种基于邻居发现协议的NDP-ESP网络安全方法。该方法利用IPSec-ESP协议对数据包进行加密保护,可以实现数据源的认证;利用散列函数计算的认证数据可以检验数据完整性;序列号计数器可以防止重放攻击。在NDP报文选项中增加源MAC地址选项和IP地址选项,利用ESP协议对其进行加密和认证处理,可以避免了攻击者利用IP地址和MAC地址没绑定而发起的各种攻击。极大提高了NDP协议的安全性和网络信息传输的安全。
本发明适用于以IPv6网络为基础的不可信网络中的各节点之间相互通信的情况。本发明提出的基于邻居发现协议的NDP-ESP网络安全方法,不仅对保护NDP协议的安全起到重要作用,也可以在节点进行通信时,对通信报文进行加密保护。可进行点对点的保护,也可以对IPV6组播报文进行保护,最大限度的保护了网络数据传输的安全。该方法所用到的算法复杂度相对较小,可以防止重定向攻击、拒绝服务攻击和中间人攻击,适用于安全性要求中等的情况,比如企业商业资料的传输、医疗行业病人隐私信息的保护。因此,该方法在现实中使用场景很广,同时实际操作中的可行性较强。
Claims (2)
1.一种基于邻居发现协议的NDP-ESP网络安全方法,包括下列步骤:
(1)在要传送的NDP数据包的选项中增加源MAC地址选项和源IP地址选项;
(2)在NDP数据包发送前进行ESP加密处理:
1)节点分发NDP报文时,若是一对一通信,则查询安全策略数据库SPDB中的匹配记录,再到安全关联数据库SADB中查询适用的安全关联SA,如果有就进行下一步,如果没有则利用IKE协议进行SA的协商,利用IKE协议进行SA创建时计数器单元要置0;若是一对多的组播,则查询组播安全策略数据库GSPDB中的匹配信息,根据查到的应用策略,到组播安全关联数据库GSADB中去查询适用的组安全关联GSA,如果有就进行下一步,若没有,则用组播密钥协商协议GIKE进行协商,建立合适的GSA。
2)ESP头的安全参数索引SPI取对应SA或GSA的SPI,ESP加密时序列号依次递增;
3)根据SA或GSA相关参数加密数据包;
4)计算完整性校验值;如需分段,则进行分段处理,再将ESP加密数据包发送出去;
(3)接收端接收到ESP加密数据包后,先将分段重新组合后再进行ESP解密处理:
(4)接收节点在处理完NDP增强报文之后,提取出源IP地址和MAC地址,与NDP报文头的源IP地址和源MAC地址作比对,都相同则更新缓存,不同则不更新缓存。
2.根据权利要求1所述的网络安全方法,其特征在于,步骤(3)的方法如下:
1)查看ESP加密头的目的地、IP地址和其附带的SPI到GSADB或SADB中去查询合适的GSA或SA,如果没有就丢掉此数据包,如果有就进行下一步;
2)使用包中的SPI在进入GSPDB或SPDB中查找一条和包选择符匹配的策略,如果和第一步找到的安全关联不匹配,则舍弃,如果匹配,则进行下一步;
3)查看ESP加密头中的序列号,如果此序列号与前面接收到的数据包序列号相同,则认为非法,直接丢弃,如果不同则进行下一步;
4)核对数据摘要ICV,根据GIKE协商约定的算法,进行ICV计算,再与接收到的ICV进行比对;不同则丢弃数据包,相同则进行下一步;
5)解密数据包内容。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910818987.0A CN110430221A (zh) | 2019-08-30 | 2019-08-30 | 一种基于邻居发现协议的ndp-esp网络安全方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910818987.0A CN110430221A (zh) | 2019-08-30 | 2019-08-30 | 一种基于邻居发现协议的ndp-esp网络安全方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110430221A true CN110430221A (zh) | 2019-11-08 |
Family
ID=68418389
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910818987.0A Pending CN110430221A (zh) | 2019-08-30 | 2019-08-30 | 一种基于邻居发现协议的ndp-esp网络安全方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110430221A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111541658A (zh) * | 2020-04-14 | 2020-08-14 | 许艺明 | 一种pcie防火墙 |
| CN114244577A (zh) * | 2021-11-24 | 2022-03-25 | 贵州电网有限责任公司 | 一种基于esp的报文处理方法 |
| CN115242561A (zh) * | 2022-09-23 | 2022-10-25 | 中国电子科技集团公司第三十研究所 | IPSec传输模式超限包后分片处理方法、设备及介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101741820A (zh) * | 2008-11-13 | 2010-06-16 | 华为技术有限公司 | Cga公钥识别和cga公钥确定的方法、系统及装置 |
| CN103701700A (zh) * | 2013-12-24 | 2014-04-02 | 中国科学院信息工程研究所 | 一种通信网络中的节点发现方法及系统 |
| CN107455012A (zh) * | 2015-03-23 | 2017-12-08 | 高通股份有限公司 | 建立安全nan数据链路 |
| US20190098493A1 (en) * | 2017-11-28 | 2019-03-28 | Qinghua Li | Authentication of ranging device |
-
2019
- 2019-08-30 CN CN201910818987.0A patent/CN110430221A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101741820A (zh) * | 2008-11-13 | 2010-06-16 | 华为技术有限公司 | Cga公钥识别和cga公钥确定的方法、系统及装置 |
| CN103701700A (zh) * | 2013-12-24 | 2014-04-02 | 中国科学院信息工程研究所 | 一种通信网络中的节点发现方法及系统 |
| CN107455012A (zh) * | 2015-03-23 | 2017-12-08 | 高通股份有限公司 | 建立安全nan数据链路 |
| US20190098493A1 (en) * | 2017-11-28 | 2019-03-28 | Qinghua Li | Authentication of ranging device |
Non-Patent Citations (1)
| Title |
|---|
| 申普兵,冯业提,张瑞瑞,李小林: "邻居发现协议的NDP⁃ESP 安全增强方案", 《现代电子技术》 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111541658A (zh) * | 2020-04-14 | 2020-08-14 | 许艺明 | 一种pcie防火墙 |
| CN114244577A (zh) * | 2021-11-24 | 2022-03-25 | 贵州电网有限责任公司 | 一种基于esp的报文处理方法 |
| CN115242561A (zh) * | 2022-09-23 | 2022-10-25 | 中国电子科技集团公司第三十研究所 | IPSec传输模式超限包后分片处理方法、设备及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Saied et al. | HIP Tiny Exchange (TEX): A distributed key exchange scheme for HIP-based Internet of Things | |
| US7287269B2 (en) | System and method for authenticating and configuring computing devices | |
| US6976177B2 (en) | Virtual private networks | |
| Molva | Internet security architecture | |
| US20080307110A1 (en) | Conditional BGP advertising for dynamic group VPN (DGVPN) clients | |
| US11075907B2 (en) | End-to-end security communication method based on mac protocol using software defined-networking, and communication controller and computer program for the same | |
| CN113364811B (zh) | 基于ike协议的网络层安全防护系统及方法 | |
| CN111935213B (zh) | 一种基于分布式的可信认证虚拟组网系统及方法 | |
| CN110430221A (zh) | 一种基于邻居发现协议的ndp-esp网络安全方法 | |
| US20220263811A1 (en) | Methods and Systems for Internet Key Exchange Re-Authentication Optimization | |
| US7536719B2 (en) | Method and apparatus for preventing a denial of service attack during key negotiation | |
| CN113904809B (zh) | 一种通信方法、装置、电子设备及存储介质 | |
| KR20180130203A (ko) | 사물인터넷 디바이스 인증 장치 및 방법 | |
| KR100948604B1 (ko) | 서버 기반 이동 인터넷 프로토콜 시스템에 있어서 보안방법 | |
| Shaheen et al. | Source specific centralized secure multicast scheme based on IPSec | |
| US20080072033A1 (en) | Re-encrypting policy enforcement point | |
| EP1836559B1 (en) | Apparatus and method for traversing gateway device using a plurality of batons | |
| Pimentel et al. | OCP: A protocol for secure communication in federated content networks | |
| Melki et al. | Enhancing multipath TCP security through software defined networking | |
| Castelluccia et al. | Hindering eavesdropping via ipv6 opportunistic encryption | |
| Toledo et al. | Design and formal security evaluation of NeMHIP: a new secure and efficient network mobility management protocol based on the Host Identity Protocol | |
| Alsa'deh et al. | CGA integration into IPsec/IKEv2 authentication | |
| Jiang et al. | Network Security in RWNs | |
| Lee | Towards an accountable and private Internet | |
| CN116887274A (zh) | 终端身份认证系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20191108 |