一种基于邻居发现的LoWPAN节点安全接入控制方法

摘要

本发明公开了一种基于邻居发现的LoWPAN节点安全接入控制方法，以解决6LoPWAN网络链路的通信安全问题，本发明通过对路由器发现协议中RS和RA消息的优化，有效地实现网络中新节点加入时的安全认证，检测网络中的消息是否被篡改。通过新节点的安全接入控制，在网络范围内共同维护认证地址IP列表，能够在全网范围内防止恶意节点的攻击和伪装。本方案是基于6LoWPAN网络的NDP协议优化提出的，不需要重新定义新的协议类型，可扩展性更高，更易推广，尤其适用于资源能量受限的传感网络。

主权项

一种基于邻居发现的LoWPAN节点安全接入控制方法，其特征在于，包括基于邻居发现的链路安全优化机制、链路节点接入控制机制，其中：所述基于邻居发现的链路安全优化机制是在RS和RA消息中添加安全机制选项SMO，所述SMO选项包括三个主要字段：序列号、消息认证字段及可选字段；节点为每个消息包随机产生一个序列号，用来标识该消息，接受者根据所述序列号对消息进行识别，以避免消息重复接收；所述消息认证字段完成数据签名和认证，该字段包含SHA‑1哈希值；所述可选字段用于RA消息中；所述链路节点接入控制机制包括：(1)新节点检测步骤当一个新节点希望加入子网中时，首先生成链路本地地址，将MAC地址转换成接口地址，然后将该节点配置全局的IPv6地址，该节点将向本地链路全部路由器多播组发送路由器请求消息RS；本链路手动配置边界路由器作为默认路由器；(2)节点安全认证步骤边界路由器收到所述节点的请求消息RS后，主机利用哈希算法从接受消息的头中计算出哈希值，与RS消息认证字段进行校验：若上述哈希值与RS消息认证字段相同，则向该节点单播RA消息，用于配置该节点的IP地址和路由配置，同时边界路由器把该节点的MAC地址放入地址待定缓存表中，由于此时该节点没有IPv6地址，列表中IP地址为空；节点收到路由器的RA消息后，用RA消息中的子网前缀计算出IPv6全局单播地址；然后节点重新向边界路由器回复单播RS消息；路由器认定该节点IPv6地址和MAC地址合法后，将该节点放入自己的认证地址列表中；清除地址待定缓存表中的地址后，边界路由器向本地链路所有节点发送RA宣告消息，SMO选项中的扩展地段填入上述刚刚认证的节点的IP地址，并向全局节点通告该节点已通过认证，可以加入子网利用网络资源进行通信；若上述哈希值与RS消息认证字段不相同，则该节点不能通过边界路由器的认证，无法获得网络前缀信息，不能加入到本网络中。