CN107249003A - Batman‑adv协议的接入认证方法 - Google Patents
Batman‑adv协议的接入认证方法 Download PDFInfo
- Publication number
- CN107249003A CN107249003A CN201710593825.2A CN201710593825A CN107249003A CN 107249003 A CN107249003 A CN 107249003A CN 201710593825 A CN201710593825 A CN 201710593825A CN 107249003 A CN107249003 A CN 107249003A
- Authority
- CN
- China
- Prior art keywords
- routing node
- certificate
- node
- public key
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明涉及网络安全应用技术领域,具体涉及一种Batman‑adv协议的接入认证方法,包括网络中各个节点的连接认证,并判断某一节点能否加入当前网络路由。本发明各个路由节点通过认证服务器发放的证书进行认证,实现安全路由策略,具有平台无关性,不依赖某个具体的应用,认证同时不需认证服务器的参与,具有良好的通用性,对于Ad Hoc网络有很好的实际意义和使用价值。
Description
技术领域
本发明属于网络安全应用技术领域,具体涉及一种Batman-adv协议的接入认证方法。
背景技术
移动Ad Hoc网络由于无中心和自组织性的关键特点,使得网络中的各个节点都是平等的存在,即节点本身既是客户端也拥有路由器的能力,因此在军事领域和日常生活中都发挥着极大的作用,如在恶劣条件,地理复杂区域搭建通信网络,实现信息的传输。然而Ad Hoc网络的动态变化的网络拓扑结构和网络硬件载体的微型化以及有限的电池供电,让Ad Hoc网络的应用推广受到极大的制约。Batman-adv协议正是基于减小功耗和提高链路连接的稳定性而产生的路由协议。Batman-adv协议通过将协议的实现转为构建底层内核模块,极大地降低了网络通信信息在内核的用户态与内核态切换的时间开销,极大的提高底层通信效率。然而其接入认证机制只是通过相同的essid,即可让接入节点在同版本协议上实现互联互通。基于这样的连接方式,若网络节点中,存在一个节点是不安全的,则会直接威胁到整个网络的安全性。
上述威胁是Batman-adv协议自身的安全缺陷,此外,网络路由协议经常面临的攻击手段包括黑洞攻击、DoS攻击和序列号攻击。黑洞攻击通过恶意节点宣称自己到某一节点有最短路径,故意诱导其他节点通过该节点进行间接连接,收到数据包后恶意节点不对数据包进行转发而是直接丢弃或者更换数据包。DoS攻击通过消耗节点之间的链路资源,使网络瘫痪。序列号攻击通过故意增大序列号,导致网络构建的异步,实现网络攻击的目的。
因此,急需一种可靠的接入认证机制来提高Batman-adv协议的安全性和可靠性。
发明内容
本发明的目的在于提供一种可以提高Batman-adv协议安全性和可靠性的接入认证机制。
为达到上述要求,本发明采取的技术方案是提供一种Batman-adv协议的接入认证方法,该机制主要针对防止恶意网络节点攻击而设计,实现了该路由协议下各个节点的可信度考察,在对于定位信息敏感的实际应用中,尤其是军事邻域,具有较高的价值。
该机制包括以下步骤:S1、各个路由节点获取由认证服务器发布的绑定了路由节点自身mac地址的证书;S2、两个初始路由节点通过OGM包得到相互信息,并通过各自的所述证书进行相互认证;如果有一方认证未通过,则身份认证结束;如果双方均认证通过,则组建网络;S3、非初始路由节点通过链路质量最高的链路与组建所述网络的初始路由节点进行相互认证;S4、如果双方均认证通过,则非初始路由节点加入所述网络;S5、如果有一方认证未通过,则初始路由节点将所述非初始路由节点的mac地址放入黑名单,拒绝加入网络,以后接受到所述非初始路由节点的广播信息后丢弃。
与现有技术相比,本发明具有以下优点:各个路由节点通过认证服务器发放的证书进行认证,实现安全路由策略,具有平台无关性,不依赖某个具体的应用,认证同时不需认证服务器的参与,具有良好的通用性,对于Ad Hoc网络有很好的实际意义和使用价值。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,在这些附图中使用相同的参考标号来表示相同或相似的部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1为本发明的流程示意图;
图2为本发明协议组建的网络示意图;
图3为本发明路由节点获取证书的流程示意图;
图4为本发明路由节点相互认证的流程示意图。
具体实施方式
为使本申请的目的、技术方案和优点更加清楚,以下结合附图及具体实施例,对本申请作进一步地详细说明。为简单起见,以下描述中省略了本领域技术人员公知的某些技术特征。
本发明基于Batman-adv协议,而运行该协议的各个路由节点通过泛洪OGM包实现网络组建。如图2所示,A节点通过以周期性的泛洪广播OGM包,携带自身信息通过其他节点;其他节点接收后,解析该包的内容,得知其临近的路由节点,以及该临近节点的mac地址,同时转发该OGM包。网络中的各个节点,由此可得到所有节点的存在;又通过周期性的广播,而得出通过各个节点的链路质量,以及下一跳最佳节点。上述是基本的Batman-adv协议的网络组建基础流程,其后还包括新节点的加入过程以及局部转发表和全局转发表的同步和更新。本发明的改进点是batman-adv协议中添加黑名单机制,存入mac地址,通过接受OGM包的mac地址对比,存在黑名单中的则丢弃。
如图1所示,本实施例提供一种Batman-adv协议的接入认证方法,如图1所示,包括以下步骤:
S1、各个路由节点获取由认证服务器发布的绑定了路由节点自身mac地址的证书;如图3所示,具体包括以下步骤:
S11、路由节点通过公开加密技术加密自身mac地址产生加密信息M,同时路由节点内部产生一对临时的公钥私钥;
S12、路由节点将加密信息M和自身公钥打包,使用认证服务器的公钥加密处理后发送给认证服务器;
S13、认证服务器接收路由节点发送的信息,并用自身私钥解密;
S14、认证服务器从解密的信息中提取出所述加密信息,并与数据库中的解密工具得到的mac地址进行对比,验证是否匹配;
S15、如果不匹配,则认证失败,认证服务器向路由节点回复失败信息;
S16、如果匹配,则认证服务器用自身私钥对用户的公钥进行签名,并用路由节点的公钥加密后发送给路由节点;
S17、路由节点接收认证服务器发送的信息,用自身私钥解密得到证书并保存。
以上为路由节点获取证书的流程,证书的发放是经过加密的,但是在使用的过程中并不需要加密,因为只有认证服务器能够发送证书,其他路由节点可以察觉出伪造的证书。
S2、两个初始路由节点通过OGM包得到相互信息,并通过各自的所述证书进行相互认证;如果有一方认证未通过,则身份认证结束;如果双方均认证通过,则组建网络;如图4所示,相互认证具体包括以下步骤:
S21、路由节点A向路由节点B发送自身的证书CA和公钥PA;
S22、路由节点B接受路由节点A的消息,提取出路由节点A的证书CA和公钥PA;
S23、路由节点B利用认证服务器的公钥对路由节点A的证书CA和公钥PA进行验证,检验路由节点A身份是否正确;
S24、如果不正确,则路由节点B将路由节点A的mac地址放入黑名单,身份认证结束,以后接受到路由节点A的广播信息后丢弃;
S25、如果正确,则路由节点B将自身的证书CB和公钥打包PB,并调用路由节点A的公钥PA对打包信息加密,然后将加密后的信息发送给路由节点A;
S26、路由节点A接收到所述加密后的信息后调用自身的秘钥进行解密,得到路由节点B的证书CB和公钥PB;
S27、路由节点A利用认证服务器的公钥对路由节点B的证书CB和公钥PB进行验证,检验路由节点B身份是否正确;
S28如果不正确,则路由节点A将路由节点B的mac地址加入黑名单,身份认证结束,以后接受到路由节点B的广播信息后丢弃;
S29、如果正确,身份认证结束,路由节点A和路由节点B组建网络,进行通信。
上述流程,完全阐述了基于Batman-adv协议的安全接入认证机制。通过对等加密的验证实现了安全接入,在安全方面,比较原本的Batman-adv协议,该机制可以有效的抵抗黑洞攻击,DoS攻击以及序列号攻击。
S3、非初始路由节点通过链路质量最高的链路与组建所述网络的初始路由节点进行相互认证;
S4、如果双方均认证通过,则非初始路由节点加入所述网络;
S5、如果有一方认证未通过,则初始路由节点将所述非初始路由节点的mac地址放入黑名单,拒绝加入网络,以后接受到所述非初始路由节点的广播信息后即刻丢弃。
新节点加入网络的认证流程与两个初始路由节点相互认证的流程相同。
以上实施例仅表示本发明的几种实施方式,其描述较为具体和详细,但并不能理解为对本发明范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变形和改进,这些都属于本发明保护范围。因此本发明的保护范围应该以权利要求为准。
Claims (3)
1.一种Batman-adv协议的接入认证方法,其特征在于,包括以下步骤:
S1、各个路由节点获取由认证服务器发布的绑定了路由节点自身mac地址的证书;
S2、两个初始路由节点通过OGM包得到相互信息,并通过各自的所述证书进行相互认证;如果有一方认证未通过,则身份认证结束;如果双方均认证通过,则组建网络;
S3、非初始路由节点通过Batman-adv协议定义的通信链路质量算法,借助节点间的丢包率与时延获得最优链路,并与该链路的另一个已组网节点进行相互认证;
S4、如果双方均认证通过,则非初始路由节点加入所述网络;
S5、如果有一方认证未通过,则初始路由节点将所述非初始路由节点的mac地址放入黑名单,拒绝加入网络,以后接受到所述非初始路由节点的广播信息后丢弃。
2.根据权利要求1所述的Batman-adv协议的接入认证方法,其特征在于,所述步骤S1具体包括以下步骤:
S11、路由节点通过公开加密技术加密自身mac地址产生加密信息,同时路由节点内部产生一对临时的公钥私钥;
S12、路由节点将加密信息和自身公钥打包,使用认证服务器的公钥加密处理后发送给认证服务器;
S13、认证服务器接收路由节点发送的信息,并用自身私钥解密;
S14、认证服务器从解密的信息中提取出所述加密信息,并与数据库中的解密工具得到的mac地址进行对比,验证是否匹配;
S15、如果不匹配,则认证失败,认证服务器向路由节点回复失败信息;
S16、如果匹配,则认证服务器用自身私钥对用户的公钥进行签名,并用路由节点的公钥加密后发送给路由节点;
S17、路由节点接收认证服务器发送的信息,用自身私钥解密得到证书并保存。
3.根据权利要求1或2所述的Batman-adv协议的接入认证方法,其特征在于,所述步骤S2中的相互认证具体包括以下步骤:
S21、路由节点A向路由节点B发送自身的证书和公钥;
S22、路由节点B接受路由节点A的消息,提取出路由节点A的证书和公钥;
S23、路由节点B利用认证服务器的公钥对路由节点A的证书和公钥进行验证,检验路由节点A身份是否正确;
S24、如果不正确,则路由节点B将路由节点A的mac地址放入黑名单,身份认证结束,以后接受到路由节点A的广播信息后丢弃;
S25、如果正确,则路由节点B将自身的证书和公钥打包,并调用路由节点A的公钥对打包信息加密,然后将加密后的信息发送给路由节点A;
S26、路由节点A接收到所述加密后的信息后调用自身的秘钥进行解密,得到路由节点B的证书和公钥;
S27、路由节点A利用认证服务器的公钥对路由节点B的证书和公钥进行验证,检验路由节点B身份是否正确;
S28如果不正确,则路由节点A将路由节点B的mac地址加入黑名单,身份认证结束,以后接受到路由节点B的广播信息后丢弃;
S29、如果正确,身份认证结束,路由节点A和路由节点B组建网络,进行通信。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710593825.2A CN107249003A (zh) | 2017-07-20 | 2017-07-20 | Batman‑adv协议的接入认证方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710593825.2A CN107249003A (zh) | 2017-07-20 | 2017-07-20 | Batman‑adv协议的接入认证方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN107249003A true CN107249003A (zh) | 2017-10-13 |
Family
ID=60014054
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710593825.2A Pending CN107249003A (zh) | 2017-07-20 | 2017-07-20 | Batman‑adv协议的接入认证方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107249003A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111431858A (zh) * | 2020-02-27 | 2020-07-17 | 徐州医科大学 | 一种面向路由报文的集中化安全传输与认证方法 |
CN113259940A (zh) * | 2021-05-12 | 2021-08-13 | 电子科技大学 | 基于区块链的卫星自组织网络batman安全路由方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101110670A (zh) * | 2006-07-17 | 2008-01-23 | 西安电子科技大学 | 基于无线Mesh网络的密钥管理方法 |
CN102421095A (zh) * | 2011-11-30 | 2012-04-18 | 广州杰赛科技股份有限公司 | 无线网状网的接入认证方法 |
US20140244753A1 (en) * | 2013-02-22 | 2014-08-28 | Facebook, Inc. | Time-Delayed Publishing |
-
2017
- 2017-07-20 CN CN201710593825.2A patent/CN107249003A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101110670A (zh) * | 2006-07-17 | 2008-01-23 | 西安电子科技大学 | 基于无线Mesh网络的密钥管理方法 |
CN102421095A (zh) * | 2011-11-30 | 2012-04-18 | 广州杰赛科技股份有限公司 | 无线网状网的接入认证方法 |
US20140244753A1 (en) * | 2013-02-22 | 2014-08-28 | Facebook, Inc. | Time-Delayed Publishing |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111431858A (zh) * | 2020-02-27 | 2020-07-17 | 徐州医科大学 | 一种面向路由报文的集中化安全传输与认证方法 |
CN111431858B (zh) * | 2020-02-27 | 2022-07-12 | 徐州医科大学 | 一种面向路由报文的集中化安全传输与认证方法 |
CN113259940A (zh) * | 2021-05-12 | 2021-08-13 | 电子科技大学 | 基于区块链的卫星自组织网络batman安全路由方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Zhang et al. | Security-aware and privacy-preserving D2D communications in 5G | |
EP2346205B1 (en) | A method and device for preventing network attack | |
JP2008518566A (ja) | 無線ネットワーク用のセキュリティを提供するシステムおよび方法 | |
Yi et al. | A survey on security in wireless mesh networks | |
Basudan | LEGA: a lightweight and efficient group authentication protocol for massive machine type communication in 5G networks | |
Cheikhrouhou et al. | Security architecture in a multi-hop mesh network | |
CN105744522B (zh) | 一种基于代理环签名的wmn匿名接入认证系统及方法 | |
Alam et al. | Dc and comp authentication in lte-advanced 5g hetnet | |
Tamilselvan et al. | Prevention of impersonation attack in wireless mobile ad hoc networks | |
CN107249003A (zh) | Batman‑adv协议的接入认证方法 | |
Mahyoub et al. | Security analysis of critical 5g interfaces | |
Haq et al. | Towards Robust and Low Latency Security Framework for IEEE 802.11 Wireless Networks | |
Manulis et al. | Authenticated wireless roaming via tunnels: Making mobile guests feel at home | |
Mohseni-Ejiyeh et al. | A lightweight and secure data sharing protocol for D2D communications | |
Mariyappan et al. | Power draining prevention in Ad-Hoc Sensor networks using sensor network encryption protocol | |
CN1996838A (zh) | 一种多主机WiMAX系统中的AAA认证优化方法 | |
Islam et al. | Security enhancement of d2d communication based on handshaking mechanism | |
CN114978732B (zh) | 一种基于数据帧监听的无线自组网黑洞攻击检测方法 | |
Chauhan et al. | Security analysis of identity based cryptography and certificate based in wimax network using omnet++ simulator | |
Moustafa | Providing authentication, trust, and privacy in wireless mesh networks | |
Elshakankiry | Securing home and correspondent registrations in mobile IPv6 networks | |
Manulis | Securing remote access inside wireless mesh networks | |
Lee et al. | An authentication protocol based on CBRP in ad hoc network | |
CN106658506A (zh) | 一种无线mesh网络的安全认证架构 | |
Simsek | On-Demand Blind Packet Forwarding |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |