安全邻居发现协议(SEND,Secure Neighbor Discovery)是建立在邻居发现协议(NDP,Neighbor Discovery Protocol)和IPv6协议基础上,解决同一链路不同节点之间的安全交互问题的协议。NDP的基础假设是网络完全可信,所以面临多种安全威胁,例如路由认证缺失。当前以SEND为代表的安全协议提供的路由认证机制主要有两类,一是路由消息认证,二是节点身份认证,但是对于由有向节点链构成的整体路径路由的认证还缺乏有效机制。本文引入伪随机序列原理,通过IPv6扩展头携带节点认证信息并与序列状态进行绑定,研究路径路由的认证及其在局域网上的应用。本文主要工作概括如下。1.分析IPv6协议、SEND协议的主要功能及其安全机制,尤其是认证缺陷。2.提出一种新的路由认证方案,应用伪随机序列的周期性与确定性,通过IPv6扩展报头传递认证数据,确保每次通信都能对路径进行记录。该方案包括三部分:节点预配置,路径认证算法以及路径IP回溯算法。3.提出一种路径认证算法,由于伪随机序列初始状态和状态转移矩阵能唯一确定序列,通过让相邻节点拥有共享的生成多项式以及每个节点分配的唯一初始状态序列,将通信路径随着通信过程形成前后两两关联的“认证链”结构,从而实现路径绑定,从而能识别非法恶意节点,有效防止欺骗和篡改等攻击。4.在路径认证算法基础上,提出一种基于三类控制报文的路径IP回溯机制。通过认证信息表中的回溯IP值和伪随机序列的状态关联关系依次计算出上一跳IP地址,利用度量值和超时报文,能使每一跳回溯完成均会对回溯发起节点发送节点信息,从而整条路径回溯完成将形成完整路径信息。另外,路径IP回溯报文也可使用本文提出的IPv6伪随机序列认证扩展报头,可在回溯的同时再次对节点进行认证。5.设计路径认证方案和算法在局域网上的仿真模型,使用NS-3网络仿真软件对路径认证算法仿真,利用Wireshark工具抓获数据包,实现对路由认证过程数据的采集并提供认证数据分析的基础。此外,本文将新认证方法与未添加路由认证功能的SEND协议进行了对比,分析了时间开销。通过论证和仿真数据分析表明,本文所提出的路径路由认证方案和方法是一种可应用在网络层的路由安全认证方案,不显著增加节点能耗,可有效实现路径认证,保护邻居发现,保证消息完整性,识别非法恶意节点,可应用于更大范围的安全网络通信。