[发明专利]Batman‑adv协议的接入认证方法

说明书

技术领域

本发明属于网络安全应用技术领域，具体涉及一种Batman-adv协议的接入认证方法。

背景技术

移动Ad Hoc网络由于无中心和自组织性的关键特点，使得网络中的各个节点都是平等的存在，即节点本身既是客户端也拥有路由器的能力，因此在军事领域和日常生活中都发挥着极大的作用，如在恶劣条件，地理复杂区域搭建通信网络，实现信息的传输。然而Ad Hoc网络的动态变化的网络拓扑结构和网络硬件载体的微型化以及有限的电池供电，让Ad Hoc网络的应用推广受到极大的制约。Batman-adv协议正是基于减小功耗和提高链路连接的稳定性而产生的路由协议。Batman-adv协议通过将协议的实现转为构建底层内核模块，极大地降低了网络通信信息在内核的用户态与内核态切换的时间开销，极大的提高底层通信效率。然而其接入认证机制只是通过相同的essid，即可让接入节点在同版本协议上实现互联互通。基于这样的连接方式，若网络节点中，存在一个节点是不安全的，则会直接威胁到整个网络的安全性。

上述威胁是Batman-adv协议自身的安全缺陷，此外，网络路由协议经常面临的攻击手段包括黑洞攻击、DoS攻击和序列号攻击。黑洞攻击通过恶意节点宣称自己到某一节点有最短路径，故意诱导其他节点通过该节点进行间接连接，收到数据包后恶意节点不对数据包进行转发而是直接丢弃或者更换数据包。DoS攻击通过消耗节点之间的链路资源，使网络瘫痪。序列号攻击通过故意增大序列号，导致网络构建的异步，实现网络攻击的目的。

因此，急需一种可靠的接入认证机制来提高Batman-adv协议的安全性和可靠性。

发明内容

本发明的目的在于提供一种可以提高Batman-adv协议安全性和可靠性的接入认证机制。

为达到上述要求，本发明采取的技术方案是提供一种Batman-adv协议的接入认证方法，该机制主要针对防止恶意网络节点攻击而设计，实现了该路由协议下各个节点的可信度考察，在对于定位信息敏感的实际应用中，尤其是军事邻域，具有较高的价值。

该机制包括以下步骤：S1、各个路由节点获取由认证服务器发布的绑定了路由节点自身mac地址的证书；S2、两个初始路由节点通过OGM包得到相互信息，并通过各自的所述证书进行相互认证；如果有一方认证未通过，则身份认证结束；如果双方均认证通过，则组建网络；S3、非初始路由节点通过链路质量最高的链路与组建所述网络的初始路由节点进行相互认证；S4、如果双方均认证通过，则非初始路由节点加入所述网络；S5、如果有一方认证未通过，则初始路由节点将所述非初始路由节点的mac地址放入黑名单，拒绝加入网络，以后接受到所述非初始路由节点的广播信息后丢弃。

与现有技术相比，本发明具有以下优点：各个路由节点通过认证服务器发放的证书进行认证，实现安全路由策略，具有平台无关性，不依赖某个具体的应用，认证同时不需认证服务器的参与，具有良好的通用性，对于Ad Hoc网络有很好的实际意义和使用价值。

附图说明

此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，在这些附图中使用相同的参考标号来表示相同或相似的部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：

图1为本发明的流程示意图；

图2为本发明协议组建的网络示意图；

图3为本发明路由节点获取证书的流程示意图；

图4为本发明路由节点相互认证的流程示意图。

具体实施方式

为使本申请的目的、技术方案和优点更加清楚，以下结合附图及具体实施例，对本申请作进一步地详细说明。为简单起见，以下描述中省略了本领域技术人员公知的某些技术特征。

本发明基于Batman-adv协议，而运行该协议的各个路由节点通过泛洪OGM包实现网络组建。如图2所示，A节点通过以周期性的泛洪广播OGM包，携带自身信息通过其他节点；其他节点接收后，解析该包的内容，得知其临近的路由节点，以及该临近节点的mac地址，同时转发该OGM包。网络中的各个节点，由此可得到所有节点的存在；又通过周期性的广播，而得出通过各个节点的链路质量，以及下一跳最佳节点。上述是基本的Batman-adv协议的网络组建基础流程，其后还包括新节点的加入过程以及局部转发表和全局转发表的同步和更新。本发明的改进点是batman-adv协议中添加黑名单机制，存入mac地址，通过接受OGM包的mac地址对比，存在黑名单中的则丢弃。