专利名称:保障网络安全的方法、系统及dhcp服务端和客户端的制作方法
技术领域:
本发明涉及通信技术,特别涉及保障网络安全的方法、系统及DHCP服务端和客户端。
背景技术:
DHCP (Dynamic Host Configuration Protocol,动态主才几配置协议)是一个为主机自动配置IP (Internet Protocol,网际协议)地址的协议,采用CLIENT-SERVER (客户端-服务端)方式实现,基于UDP (User DatagramProtocol,用户数据报协议)层之上的应用,UDP端口号采用知名端口号封装,CLIENT使用68, SERVER使用67。
在基站上电启动过程中,如果没有配置本端和上级网元IP地址(包括但不限于基站控制器、核心网或者网管系统)或者IP地址配置不对,则无法和上级网元建立维护通道,进而下载正确的软件版本后启动。此时,釆用DHCP技术,基站作为DHCP CLIENT,上级网元作为DHCP SERVER (或者有专门的DHCP SERVER服务器),DHCP CLIENT向DHCP SERVER申请IP地址,则可以建立基站和上级网元之间的维护通道,进而下载正确的软件版本后启动。
在本发明的研究过程中,发明人发现现有的IP网络中的安全保障,比如IPsec (网际安全)协议,必须先明确对端的IP地址,才能够开始进行协商,从而对IP网络的传输进行安全保障。而在基站上电启动时,如果配置文件不对或者没有配置文件的情况下,对端的IP地址不明确,则现有的IP网络中的安全保障无法覆盖采用DHCP技术进行IP地址的自动配置过程。
发明内容
有鉴于此,本发明实施例提供了一种保障网络安全的方法、系统和DHCP服务端和客户端,以对采用DHCP技术进行IP地址自动配置的过程进行安全保障。
本发明实施例提供了一种保障网络安全的方法,包括
接收客户端发送的动态主机配置协议DHCP请求报文,所述DHCP请求报文经it^户端根据服务端与客户端之间配置的加解密预共享信息进行加密,所述DHCP请求报文包含未经加密的客户端的媒体接入控制MAC地址;
根据所述DHCP请求报文中包含的未经加密的客户端的MAC地址获得服务器端与客户端之间配置的加解密预共享信息;
根据所述加解密预共享信息对所述DHCP请求报文进行解密,获得所述DHCP请求报文的明文。
本发明实施例还提供了一种保障网络安全的方法,包括
根据服务端与客户端之间配置的加解密预共享信息对DHCP请求报文进行力口密;
根据经过加密的DHCP请求报文,构造包含客户端MAC地址的DHCP请求报文;
发送经过加密且包含客户端MAC地址的DHCP请求报文给服务端。本发明实施例还提供了 一种DHCP服务端,包括
服务端接收单元,用于接收客户端发送的DHCP请求报文;所述DHCP请求报文经过客户端根据服务端与客户端之间配置的加解密预共享信息进行加密,DHCP请求报文包含未经加密的客户端的媒体接入控制MAC地址;
服务端加解密信息获取单元,用于根据所述接收单元接收的DHCP请求报文中包含的未经加密的客户端的MAC地址获得服务端与客户端之间配置的加解密预共享信息;
服务端解密单元,用于根据所述服务端加解密信息获取单元获得的加解密预共享信息对所述DHCP请求报文进行解密,获得所述DHCP请求报文的明文。
本发明实施例还提供了一种DHCP客户端,其特征在于,包括
客户端加密单元,用于根据服务端与客户端之间配置的加解密预共享信息对DHCP请求才艮文进行加密;
客户端构造单元,用于根据经过所述客户端加密单元加密的DHCP请求报文,构造包含客户端的MAC地址的DHCP请求报文;
客户端发送单元,用于发送所述客户端构造单元构造的经过加密且包含客户端的MAC地址的DHCP请求报文给服务端。
本发明实施例还提供了 一种保障网络安全的系统,包括以上实施例中描述的DHCP服务端和DHCP客户端。
利用本发明实施例中所提供的保障网络安全的方法、系统以及DHCP服务端、DHCP客户端,采用DHCP技术获取IP地址的过程中,Client与Server的通信处于网络安全的保护之下,堵上了 Client启动时DHCP过程中的IP安全方案的漏洞,避免了攻击者可以更改DHCP交互过程中的才艮文,造成Client无法正常获取IP地址,从而Client无法正常启动;或者,攻击者可以偷听才艮文,获取分配的IP地址,伪装成Client与Server通信,轻者Client无法正常启动,重者甚至可以攻击Server等问题。
图1是DHCP Client-Server的一般交互过程;
图2是本发明实施例提供的保障网络安全的方法流程图3是本发明另一实施例提供的保障网络安全的方法流程图;
图4是本发明另一实施例提供的保障网络安全的方法流程图;
图5是本发明另一实施例提供的保障网络安全的方法流程图;
图6是本发明另一实施例提供的保障网络安全的方法流程图;图7是本发明另一实施例提供的DHCP服务端示意图;图8是本发明另一实施例提供的DHCP服务端示意图;图9是本发明另一实施例提供的DHCP服务端示意图;图IO是本发明另一实施例提供的DHCP客户端示意图;图ll是本发明另一实施例提供的DHCP客户端示意图。
具体实施例方式
本发明实施例提供了保障网络安全的方法、装置和系统,该方法、装置和系统可以应用到各种移动网络,包括GSM (Global System for Mobilecommunications, 全5求移动通信系统)、WCDMA (Wideband Code DivisionMultiple Access,宽带码分多址)、TD-SCDMA( Time Division-Synchronous CodeDivision Multiple Access,时分同步码分多址)和LTE (Long Time Evolution,长期演进)等各种移动网络中,还可以应用到任何部署DHCP Server和DHCPClient的网元、主机或者服务器。采用本发明实施例提供的保障网络安全的方法、装置和系统可以对基站启动时采用DHCP技术进行IP地址的自动配置的过程进行安全保障。
图1为DHCP Client-Server的一般交互过程,包括
步骤1: Client向Server发DHCP DISCOVER报文,用于发现DHCP Server服务器。
步骤2: Server给Client回DHCP OFFER报文,用于表示Server已经发现。步骤3: Client向Server发DHCP REQUEST报文,用于请求本机的IP地址,Server才艮据自己的IP地址所在网段为Client分配IP地址。
步骤4: Server给Client回DHCP ACK报文,用于分配Client的IP地址。Client收到Server返回的DHCP ACK报文后,获取DHCP ACK报文中所携带的IP地址,进入延续状态。如果Client记录下了上次使用的网络地址,并且在地址申请时还希望再使用此地址,DHCP REQUEST和DHCP ACK过程可以省略。
针对如图1所示的DHCP交互过程,本发明实施例提供了一种保障网络安
全的方法,如图2所示,包括步骤
101,接收客户端发送的动态主机配置协议DHCP请求报文;
其中,DHCP请求报文经过客户端根据服务端与客户端之间配置的加解密
预共享信息进行加密,DHCP请求报文包含未经加密的客户端的媒体接入控制
MAC地址;
应当指出的是,本发明所有实施例中的DHCP请求报文可以为用于发现DHCP Server的报文,如DHCP DISCOVER消息,也可以为用于请求本机的IP地址的报文,如DHCP REQUEST消息。
102,根据DHCP请求报文中包含的未经加密的客户端的MAC地址获得服务端与客户端之间配置的加解密预共享信息;
103,根据所述加解密预共享信息对所述DHCP请求报文进行解密,获得DHCP请求报文的明文。
依据本发明实施例提供的保障网络安全的方法,可以使Client与Server的通信处于网络安全的保护之下,避免了采用DHCP技术获取IP地址的过程中被^T听、截获,或者攻击。
基于如图2所示的实施例,本发明另一实施例提供的保障网络安全的方法如图3所示,还包括步骤
104,在获得DHCP请求报文的明文之后,构造DHCP响应报文,并根据所获得的Server与Client之间配置的加解密预共享信息对DHCP响应报文进行加密;
105,发送加密后的DHCP响应报文给Client,以使Client根据Server与Client之间配置的加解密预共享信息,对加密后的DHCP响应报文进行解密,获得DHCP响应报文的明文。
应当指出的是,本发明所有实施例中,若DHCP请求"^艮文为用于发现DHCPServer的才艮文,如DHCP DISCOVER消息,DHCP响应报文可以为用于表示Server已经发现的报文,如DHCP OFFER消息;若DHCP请求报文为用于请求本机的IP地址的报文,如DHCP REQUEST消息,DHCP响应报文可以为用于分配Client的IP地址报文,如DHCPACK消息。
基于如图2所示的实施例,本发明另一实施例提供的保障网络安全的方法如图4所示,包括步骤100,在根据DHCP请求4艮文中包含的未经加密的Client的MAC地址获得Server与Client之间配置的加解密预共享信息之前,还包括预存储Client的MAC地址与加解密预共享信息之间的对应关系。
本发明所有实施例中的Server与Client之间配置的加解密预共享信息可以包括报文的封装模式,加解密算法、认证算法和密钥,此外,若报文的封装模式是隧道^f莫式,加解密预共享信息还包括隧道的IP头。
针对如图1所示的DHCP交互过程,本发明另一实施例提供了一种保障网络安全的方法,如图5所示,包括步骤
201 ,根据Server与Client之间配置的加解密预共享信息对DHCP请求报文进行加密;
202,根据经过加密的DHCP请求报文,构造包含Client的MAC地址的DHCP请求报文;
203 ,发送经过加密且包含Client的MAC地址的DHCP请求报文给Server。
依据本发明实施例提供的保障网络安全的方法,可以使Client与Server的通信处于网络安全的保护之下,避免了采用DHCP技术获取IP地址的过程中被偷听、截获,或者攻击。
基于如图5所示的实施例,本发明另一实施例提供的保障网络安全的方法如图6所示,还包括步骤
204,接收Server发送的DHCP响应报文;
其中,DHCP响应报文为经过Server根据Server与Client之间配置的加解密预共享信息进行力。密后的DHCP响应报文,Server与Client之间配置的加解密预共享信息为Server根据所述经过加密且包含Client MAC地址的DHCP请求报文所包含的Client MAC地址获取的;
205,根据Server与Client之间配置的加解密预共享信息,对接收到的DHCP响应报文进行解密,获得DHCP响应才艮文的明文。
以上方法实施例应用于基站和上级网元时,其中,基站作为Client,上级网元作为Server,包4舌
基站上电启动前,在基站和上级网元中分别配置加解密预共享信息,包括封装模式、加解密算法、认证算法和密钥,如果封装模式是隧道模式,加解密预共享信息还包括隧道的IP头。在上级网元中建立基站MAC地址与预共享信息的关联关系。
基站发送DHCP请求报文,如DHCP DISCOVER或者DHCP REQUEST时,纟艮据加解密预共享信息完成对整个报文的加密。
上级网元接收DHCP请求报文,如DHCP DISCOVER或者DHCPREQUEST,根据DHCP请求报文中的源端MAC地址,即基站的MAC地址,获取到加解密预共享信息,对DHCP请求"f艮文进行解密并获得明文。
上级网元收到DHCP请求报文后,构造DHCP响应报文,如DHCP OFFER或者DHCP ACK报文,并根据DHCP请求报文中的源端MAC地址,即基站的MAC地址,获得的加解密预共享信息,对DHCP响应报文进行加密,并将DHCP响应报文发给基站。
基站根据加解密预共享信息,对DHCP响应报文进行解密得到明文,并从
DHCP ACK报文中获取上级网元返回的本端IP地址和上级网元IP地址等信自
在后续的操作中,基站可以使用获取得到的IP地址进行IKE (密匙交换协商协议)协商,进而对后续的交互流程进行IPsec加密。
利用本发明实施例中所提供的保障网络安全的方法,从基站上电启动开始与上级网元通信的过程就处于网络安全的保护之下,堵上了基站启动的DHCP过程中的IP安全方案的漏洞,避免了攻击者可以更改DHCP交互过程中的报文,造成基站无法正常获取IP地址,从而基站无法正常启动;或者,攻击者可以偷听报文,获取分配的IP地址,伪装成基站与上级网元通信,轻者基站无法正常启动,重者甚至可以攻击上级网元等问题。
本发明所有实施例中的加解密预共享信息都可以为采用IPsec协议进行加解密所需的加解密信息,在DHCP交互过程中,由于采用针对源MAC地址来索引加解密信息,IPsec头部中的SPI值就是没有使用价值,SPI值可以填写为任意值。
如图7所示,本发明另一实施例还提供DHCP服务端,包括
Server接收单元301 ,用于接收Client发送的DHCP请求报文;
其中,DHCP请求报文经过Client根据Server与Client之间配置的加解密
预共享信息进行加密,DHCP请求报文包含未经加密的Client的媒体接入控制
MAC地址;
Server加解密信息获取单元302,用于根据接收单元301接收的DHCP请求报文中包含的未经加密的Client的MAC地址获得Server与Client之间配置的加解密预共享信息;
Server解密单元303,用于根据加解密预共享信息对DHCP请求报文进行解密,获得DHCP请求报文的明文。
依据本发明实施例提供的DHCP Server,可以使Client与Server的通信处于网络安全的保护之下,避免了采用DHCP技术获取IP地址的过程中被偷听、截获,或者攻击。
基于如图7所示的实施例,本发明另一实施例提供的DHCP Server,如图8所示,还包括
Server报文构造单元304,用于构造DHCP响应报文,并根据所获得的Server与Client之间配置的加解密预共享信息对DHCP响应报文进行加密;Server发送单元305,用于发送加密后的DHCP响应报文给Client,以使Client根据Server与Client之间配置的加解密预共享信息,对加密后的DHCP响应报文进行解密,获得DHCP响应报文的明文。
基于如图7所示的实施例,本发明另一实施例提供的DHCP Server,如图9所示,还包括
Server存储单元306,用于存储Client的MAC地址与加解密预共享信息之间的对应关系,以使Server加解密信息获取单元302根据Server存储单元306中存储的Client的MAC地址与加解密预共享信息之间的对应关系获得所需的加解密预共享信息。
如图10所示,本发明另一实施例还提供DHCP客户端,包括
Client加密单元401,用于Server与Client之间配置的加解密预共享信息对DHCP请求报文进行加密;
Client构造单元402,用于根据经过加密的DHCP请求报文,构造包含Client的MAC地址的DHCP请求报文;
Client发送单元403,用于发送经过加密且包含Client的MAC地址的DHCP请求报文给Server。
依据本发明实施例提供的DHCP Client,可以使Client与Server的通信处于网络安全的保护之下,避免了采用DHCP技术获取IP地址的过程中被偷听、截获,或者攻击。
基于如图IO所示的DHCP客户端,本发明另一实施例如图11所示,还包
括
Client接收单元404,用于接收Server发送的DHCP响应报文;其中,DHCP响应报文为经过Server根据Server与Client之间配置的加解密预共享信息进行加密后的DHCP响应报文,Server与Client之间配置的加解密预共享信息为Server根据所述经过加密且包含Client MAC地址的DHCP请求报文所包含的Client MAC地址获取的;
Client解密单元405,用于才艮据Server与Client之间配置的加解密预共享信息,对接收到的DHCP响应报文进行解密,获得DHCP响应报文的明文。
本发明另 一实施例还提供一种保障网络安全的系统,该系统包括以上实施 例中所描述的DHCP服务端和DHCP客户端。
DHCP客户端可以位于无线移动网络中的基站中。
利用本发明实施例中所提供的保障网络安全的方法、系统以及DHCP服务 端、DHCP客户端,采用DHCP技术获取IP地址的过程中,Client与Server 的通信处于网络安全的保护之下,堵上了 Client启动时DHCP过程中的IP安 全方案的漏洞,避免了攻击者可以更改DHCP交互过程中的报文,造成Client 无法正常获取IP地址,从而Client无法正常启动;或者,攻击者可以偷听才艮 文,获取分配的IP地址,伪装成Client与Server通信,轻者Client无法正常 启动,重者甚至可以攻击Server等问题。
本领域普通技术人员可以理解实现上述方法实施例的全部或部分步骤可 以通过程序指令相关的硬件来完成,前述程序可以存储于一计算机可读取存储 介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介 质包括ROM、 RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上公开的仅为本发明的几个具体实施例,显然,本领域的技术人员可以 对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发 明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明 也意图包含这些改动和变型在内。
1权利要求
1、一种保障网络安全的方法,其特征在于,包括接收客户端发送的动态主机配置协议DHCP请求报文,所述DHCP请求报文经过客户端根据服务端与客户端之间配置的加解密预共享信息进行加密,所述DHCP请求报文包含未经加密的客户端的媒体接入控制MAC地址;根据所述DHCP请求报文中包含的未经加密的客户端的MAC地址获得服务器端与客户端之间配置的加解密预共享信息;根据所述加解密预共享信息对所述DHCP请求报文进行解密,获得所述DHCP请求报文的明文。
2、 如权利要求1所述的保障网络安全的方法,其特征在于,所述获得 明文之后,还包括,构造DHCP响应报文,并根据所获得的服务端与客户端之间配置的加解密 预共享信息对所述DHCP响应报文进行加密后,发送所述加密后的DHCP响 应报文给客户端,以^f吏客户端根据所述服务端与客户端之间配置的加解密预共 享信息,对所述加密后的DHCP响应报文进行解密,获得所述DHCP响应报 文的明文。
3、 如权利要求1所述的保障网络安全的方法,其特征在于,所述DHCP 请求报文具体为DHCP DISCOVER消息,或者DHCP REQUEST消息。
4、 如权利要求2所述的保障网络安全的方法,其特征在于,当所述DHCP请求才艮文具体为DHCP DISCOVER消息时,所述DHCP响应 报文为DHCP OFFER消息;或者当所述DHCP请求才艮文具体为DHCP REQUEST消息时,所述DHCP响应 报文为DHCP ACK消息。
5、 如权利要求1所述的保障网络安全的方法,其特征在于,在根据所 述DHCP请求"^艮文中包含的未经加密的客户端的MAC地址获得服务端与客户端之间配置的加解密预共享信息之前,还包括预存储客户端的MAC地址与 加解密预共享信息之间的对应关系。
6、 如权利要求1至5任意一项所述的保障网络安全的方法,其特征在 于,所述服务端与客户端之间配置的加解密预共享信息包括报文的封装模式、 加解密算法、认证算法和密钥。
7、 如权利要求6所述的保障网络安全的方法,其特征在于,当所述报 文的封装模式是隧道模式时,所述加解密预共享信息还包括隧道的IP头。
8、 一种保障网络安全的方法,其特征在于,包括 根据服务端与客户端之间配置的加解密预共享信息对DHCP请求报文进行力口密;根据经过加密的DHCP请求报文,构造包含客户端MAC地址的DHCP请 求报文;发送经过力。密且包含客户端MAC地址的DHCP请求报文给服务端。
9、 如权利要求8所述的保障网络安全的方法,其特征在于,发送经过 加密且包含客户端MAC地址的DHCP请求报文给服务端之后,还包括,接收所述服务端发送的DHCP响应报文,所述DHCP响应报文为经过所 述服务端根据所述服务端与客户端之间配置的加解密预共享信息进行加密后 的DHCP响应报文,所述服务端与客户端之间配置的加解密预共享信息为所述 服务端根据所述经过力a密且包含客户端MAC地址的DHCP请求报文所包含的 客户端MAC地址获取的;根据所述服务端与客户端之间配置的加解密预共享信息,对接收到的 DHCP响应报文进行解密,获得所述DHCP响应报文的明文。
10、 一种DHCP服务端,其特征在于,包括服务端接收单元,用于接收客户端发送的DHCP请求报文;所述DHCP 请求报文经过客户端根据服务端与客户端之间配置的加解密预共享信息进行 加密,DHCP请求报文包含未经加密的客户端的媒体接入控制MAC地址;服务端加解密信息获取单元,用于根据所述接收单元接收的DHCP请求报 文中包含的未经加密的客户端的MAC地址获得服务端与客户端之间配置的加 解密预共享信息;服务端解密单元,用于根据所述服务端加解密信息获取单元获得的加解密 预共享信息对所述DHCP请求报文进行解密,获得所述DHCP请求报文的明 文。
11、 如权利要求IO所述的DHCP服务端,其特征在于,还包括 服务端报文构造单元,用于构造DHCP响应报文,并根据所述服务端加解密信息获取单元所获得的服务端与客户端之间配置的加解密预共享信息对 DHCP响应才艮文进4亍加密;服务端发送单元,用于发送加密后的DHCP响应报文给客户端,以使客户 端根据服务端与客户端之间配置的加解密预共享信息,对所述加密后的DHCP 响应报文进行解密,获得DHCP响应报文的明文。
12、 一种DHCP客户端,其特征在于,包括客户端加密单元,用于根据服务端与客户端之间配置的加解密预共享信息 对DHCP请求报文进行加密;客户端构造单元,用于根据经过所述客户端加密单元加密的DHCP请求报 文,构造包含客户端的MAC地址的DHCP请求才艮文;客户端发送单元,用于发送所述客户端构造单元构造的经过加密且包含客 户端的MAC地址的DHCP请求报文给服务端。
13、 如权利要求12所述的DHCP客户端,其特征在于,还包括 客户端接收单元,用于接收服务端发送的DHCP响应报文;所述DHCP响应报文为经过服务端根据服务端与客户端之间配置的加解密预共享信息进 行加密后的DHCP响应报文,服务端与客户端之间配置的加解密预共享信息为 服务端根据所述经过加密且包含客户端MAC地址的DHCP请求报文所包含 的客户端MAC地址获取的;4客户端解密单元,用于根据服务端与客户端之间配置的加解密预共享信息,对所述客户端接收单元接收到的DHCP响应报文进行解密,获得DHCP 响应才艮文的明文。
14、 一种保障网络安全的系统,其特征在于,包括如权利要求10或11 任意一项所述的DHCP服务端和如权利要求12或13任意一项所述的DHCP 客户端。
全文摘要
本发明实施例公开了一种保障网络安全的方法,包括接收客户端发送的动态主机配置协议DHCP请求报文,所述DHCP请求报文经过客户端根据服务端与客户端之间配置的加解密预共享信息进行加密,所述DHCP请求报文包含未经加密的客户端的媒体接入控制MAC地址;根据所述DHCP请求报文中包含的未经加密的客户端的MAC地址获得服务器端与客户端之间配置的加解密预共享信息;根据所述加解密预共享信息对所述DHCP请求报文进行解密,获得所述DHCP请求报文的明文。本发明实施例还公开了保障网络安全的系统、DHCP服务端和客户端,可以对采用DHCP技术进行IP地址自动配置的过程进行安全保障。
文档编号H04L29/06GK101640690SQ20091018990
公开日2010年2月3日 申请日期2009年8月27日 优先权日2009年8月27日
发明者遒 方 申请人:华为技术有限公司