Batman‑adv协议的接入认证方法技术

本发明专利技术涉及网络安全应用技术领域，具体涉及一种Batman‑adv协议的接入认证方法，包括网络中各个节点的连接认证，并判断某一节点能否加入当前网络路由。本发明专利技术各个路由节点通过认证服务器发放的证书进行认证，实现安全路由策略，具有平台无关性，不依赖某个具体的应用，认证同时不需认证服务器的参与，具有良好的通用性，对于Ad Hoc网络有很好的实际意义和使用价值。

Batman access authentication method adv protocol

The present invention relates to the technical field of application of network security, access authentication, in particular relates to a method for Batman adv protocol, including connection authentication of every node in the network, and determine a node can join the network routing. The invention of each routing node through the authentication server issued certificates for authentication, secure routing strategy, is platform independent, do not rely on a specific application, certification at the same time without the participation of the authentication server, has good versatility, has good practical significance and use value for Ad Hoc network.

【技术实现步骤摘要】
Batman-adv协议的接入认证方法
本专利技术属于网络安全应用
，具体涉及一种Batman-adv协议的接入认证方法。
技术介绍
移动AdHoc网络由于无中心和自组织性的关键特点，使得网络中的各个节点都是平等的存在，即节点本身既是客户端也拥有路由器的能力，因此在军事领域和日常生活中都发挥着极大的作用，如在恶劣条件，地理复杂区域搭建通信网络，实现信息的传输。然而AdHoc网络的动态变化的网络拓扑结构和网络硬件载体的微型化以及有限的电池供电，让AdHoc网络的应用推广受到极大的制约。Batman-adv协议正是基于减小功耗和提高链路连接的稳定性而产生的路由协议。Batman-adv协议通过将协议的实现转为构建底层内核模块，极大地降低了网络通信信息在内核的用户态与内核态切换的时间开销，极大的提高底层通信效率。然而其接入认证机制只是通过相同的essid，即可让接入节点在同版本协议上实现互联互通。基于这样的连接方式，若网络节点中，存在一个节点是不安全的，则会直接威胁到整个网络的安全性。上述威胁是Batman-adv协议自身的安全缺陷，此外，网络路由协议经常面临的攻击手段包括黑洞攻击、DoS攻击和序列号攻击。黑洞攻击通过恶意节点宣称自己到某一节点有最短路径，故意诱导其他节点通过该节点进行间接连接，收到数据包后恶意节点不对数据包进行转发而是直接丢弃或者更换数据包。DoS攻击通过消耗节点之间的链路资源，使网络瘫痪。序列号攻击通过故意增大序列号，导致网络构建的异步，实现网络攻击的目的。因此，急需一种可靠的接入认证机制来提高Batman-adv协议的安全性和可靠性。
技术实现思路
本专利技术的目的在于提供一种可以提高Batman-adv协议安全性和可靠性的接入认证机制。为达到上述要求，本专利技术采取的技术方案是提供一种Batman-adv协议的接入认证方法，该机制主要针对防止恶意网络节点攻击而设计，实现了该路由协议下各个节点的可信度考察，在对于定位信息敏感的实际应用中，尤其是军事邻域，具有较高的价值。该机制包括以下步骤：S1、各个路由节点获取由认证服务器发布的绑定了路由节点自身mac地址的证书；S2、两个初始路由节点通过OGM包得到相互信息，并通过各自的所述证书进行相互认证；如果有一方认证未通过，则身份认证结束；如果双方均认证通过，则组建网络；S3、非初始路由节点通过链路质量最高的链路与组建所述网络的初始路由节点进行相互认证；S4、如果双方均认证通过，则非初始路由节点加入所述网络；S5、如果有一方认证未通过，则初始路由节点将所述非初始路由节点的mac地址放入黑名单，拒绝加入网络，以后接受到所述非初始路由节点的广播信息后丢弃。与现有技术相比，本专利技术具有以下优点：各个路由节点通过认证服务器发放的证书进行认证，实现安全路由策略，具有平台无关性，不依赖某个具体的应用，认证同时不需认证服务器的参与，具有良好的通用性，对于AdHoc网络有很好的实际意义和使用价值。附图说明此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，在这些附图中使用相同的参考标号来表示相同或相似的部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：图1为本专利技术的流程示意图；图2为本专利技术协议组建的网络示意图；图3为本专利技术路由节点获取证书的流程示意图；图4为本专利技术路由节点相互认证的流程示意图。具体实施方式为使本申请的目的、技术方案和优点更加清楚，以下结合附图及具体实施例，对本申请作进一步地详细说明。为简单起见，以下描述中省略了本领域技术人员公知的某些技术特征。本专利技术基于Batman-adv协议，而运行该协议的各个路由节点通过泛洪OGM包实现网络组建。如图2所示，A节点通过以周期性的泛洪广播OGM包，携带自身信息通过其他节点；其他节点接收后，解析该包的内容，得知其临近的路由节点，以及该临近节点的mac地址，同时转发该OGM包。网络中的各个节点，由此可得到所有节点的存在；又通过周期性的广播，而得出通过各个节点的链路质量，以及下一跳最佳节点。上述是基本的Batman-adv协议的网络组建基础流程，其后还包括新节点的加入过程以及局部转发表和全局转发表的同步和更新。本专利技术的改进点是batman-adv协议中添加黑名单机制，存入mac地址，通过接受OGM包的mac地址对比，存在黑名单中的则丢弃。如图1所示，本实施例提供一种Batman-adv协议的接入认证方法，如图1所示，包括以下步骤：S1、各个路由节点获取由认证服务器发布的绑定了路由节点自身mac地址的证书；如图3所示，具体包括以下步骤：S11、路由节点通过公开加密技术加密自身mac地址产生加密信息M，同时路由节点内部产生一对临时的公钥私钥；S12、路由节点将加密信息M和自身公钥打包，使用认证服务器的公钥加密处理后发送给认证服务器；S13、认证服务器接收路由节点发送的信息，并用自身私钥解密；S14、认证服务器从解密的信息中提取出所述加密信息，并与数据库中的解密工具得到的mac地址进行对比，验证是否匹配；S15、如果不匹配，则认证失败，认证服务器向路由节点回复失败信息；S16、如果匹配，则认证服务器用自身私钥对用户的公钥进行签名，并用路由节点的公钥加密后发送给路由节点；S17、路由节点接收认证服务器发送的信息，用自身私钥解密得到证书并保存。以上为路由节点获取证书的流程，证书的发放是经过加密的，但是在使用的过程中并不需要加密，因为只有认证服务器能够发送证书，其他路由节点可以察觉出伪造的证书。S2、两个初始路由节点通过OGM包得到相互信息，并通过各自的所述证书进行相互认证；如果有一方认证未通过，则身份认证结束；如果双方均认证通过，则组建网络；如图4所示，相互认证具体包括以下步骤：S21、路由节点A向路由节点B发送自身的证书CA和公钥PA；S22、路由节点B接受路由节点A的消息，提取出路由节点A的证书CA和公钥PA；S23、路由节点B利用认证服务器的公钥对路由节点A的证书CA和公钥PA进行验证，检验路由节点A身份是否正确；S24、如果不正确，则路由节点B将路由节点A的mac地址放入黑名单，身份认证结束，以后接受到路由节点A的广播信息后丢弃；S25、如果正确，则路由节点B将自身的证书CB和公钥打包PB，并调用路由节点A的公钥PA对打包信息加密，然后将加密后的信息发送给路由节点A；S26、路由节点A接收到所述加密后的信息后调用自身的秘钥进行解密，得到路由节点B的证书CB和公钥PB；S27、路由节点A利用认证服务器的公钥对路由节点B的证书CB和公钥PB进行验证，检验路由节点B身份是否正确；S28如果不正确，则路由节点A将路由节点B的mac地址加入黑名单，身份认证结束，以后接受到路由节点B的广播信息后丢弃；S29、如果正确，身份认证结束，路由节点A和路由节点B组建网络，进行通信。上述流程，完全阐述了基于Batman-adv协议的安全接入认证机制。通过对等加密的验证实现了安全接入，在安全方面，比较原本的Batman-adv协议，该机制可以有效的抵抗黑洞攻击，DoS攻击以及序列号攻击。S3、非初始路由节点通过链路质量最高的链路与组建所述网络的初始路由节点进行相互认证；S4、如果双方均认本文档来自技高网...

【技术保护点】
一种Batman‑adv协议的接入认证方法，其特征在于，包括以下步骤：S1、各个路由节点获取由认证服务器发布的绑定了路由节点自身mac地址的证书；S2、两个初始路由节点通过OGM包得到相互信息，并通过各自的所述证书进行相互认证；如果有一方认证未通过，则身份认证结束；如果双方均认证通过，则组建网络；S3、非初始路由节点通过Batman‑adv协议定义的通信链路质量算法，借助节点间的丢包率与时延获得最优链路，并与该链路的另一个已组网节点进行相互认证；S4、如果双方均认证通过，则非初始路由节点加入所述网络；S5、如果有一方认证未通过，则初始路由节点将所述非初始路由节点的mac地址放入黑名单，拒绝加入网络，以后接受到所述非初始路由节点的广播信息后丢弃。

【技术特征摘要】
1.一种Batman-adv协议的接入认证方法，其特征在于，包括以下步骤：S1、各个路由节点获取由认证服务器发布的绑定了路由节点自身mac地址的证书；S2、两个初始路由节点通过OGM包得到相互信息，并通过各自的所述证书进行相互认证；如果有一方认证未通过，则身份认证结束；如果双方均认证通过，则组建网络；S3、非初始路由节点通过Batman-adv协议定义的通信链路质量算法，借助节点间的丢包率与时延获得最优链路，并与该链路的另一个已组网节点进行相互认证；S4、如果双方均认证通过，则非初始路由节点加入所述网络；S5、如果有一方认证未通过，则初始路由节点将所述非初始路由节点的mac地址放入黑名单，拒绝加入网络，以后接受到所述非初始路由节点的广播信息后丢弃。2.根据权利要求1所述的Batman-adv协议的接入认证方法，其特征在于，所述步骤S1具体包括以下步骤：S11、路由节点通过公开加密技术加密自身mac地址产生加密信息，同时路由节点内部产生一对临时的公钥私钥；S12、路由节点将加密信息和自身公钥打包，使用认证服务器的公钥加密处理后发送给认证服务器；S13、认证服务器接收路由节点发送的信息，并用自身私钥解密；S14、认证服务器从解密的信息中提取出所述加密信息，并与数据库中的解密工具得到的mac地址进行对比，验证是否匹配；S15、如果不匹配，则认证失败，认证服务器向...

【专利技术属性】
技术研发人员：秦开宇，唐博，张翔，何中海，
申请(专利权)人：电子科技大学，成都奥特为通讯有限公司，
类型：发明
国别省市：四川,51