路由安全包含路由器本身和路由控制与传输协议的安全,由于现有路由协议在认证环节上的普遍缺失,使得伪造路由器节点能够通过恶意丢弃、篡改和重放路由消息产生多种网络攻击行为,对路由安全造成极大威胁。路由认证技术包含对路由消息和对传输数据的路由的安全认证,它可以大幅度提高路由安全的性能,具有重要的研究价值。本文基于安全邻居发现(Secure Neighbor Discovery,SEND)协议,对路由的节点链认证技术进行了研究,所涉及的主要内容如下。基于传统路由认证技术的分析,提出了一种新的路由认证技术。该技术通过设计预认证阶段、路径建立阶段和回溯验证阶段的安全路由认证算法,可实现数据包依预设可信路由传输,并且通信接收端节点能够独立于可信第三方对传输数据包的路由进行核验,获取通信路径上路由器的信息,据此判断通信过程是否有非法节点加入。提出了一种一轮“询问-应答”机制,分别在SEND协议邻居发现过程的邻居请求和应答中添加相应认证操作,将通信路径上所有路由器的IP地址同伪随机序列的状态转移结构绑定,并将绑定信息依序记录在路由器节点处,形成一条认证链,并由此建立起路径建立阶段的认证算法。提出了两轮“询问-应答”机制,从通信接收端节点开始,依次读取路由器IP地址和伪随机序列片段的绑定信息,得出上一跳的IP地址,并与其进行双向身份认证,从而实现逐跳回溯验证,直到认证回溯到通信的发送端节点为止。由此建立起回溯验证阶段的认证算法。设计了通信阶段的仿真模型,使用NS-3网络仿真软件对路径建立阶段的路由认证功能进行设计和仿真,利用Wireshark抓包工具对路由消息进行分析,此外,对比未添加路由认证功能的SEND协议的仿真结果,计算出添加认证功能所带来的额外时间开销。综合对路由认证方案的安全性分析和仿真结果,本文提出的基于SEND协议的安全路由认证方法能够保证通信路径上的节点,在预设了安全路由的广域网内进行路由认证并实现安全通信。