一种安全的地址分配方法、检测装置、设备和系统的制作方法

专利名称：一种安全的地址分配方法、检测装置、设备和系统的制作方法
技术领域：
本发明实施例涉及一种安全的地址分配方法、检测装置、检测设备、用户设备、 DHCP服务器和安全的地址分配系统，属于数据通信技术领域。
背景技术：
动态主机配置协议(Dynamic Host Configuration Protocol,简称DHCP)是一种 用于简化主机IP配置管理的协议标准。通过采用DHCP协议，可以使用DHCP服务器为网络 上所有的启用DHCP的客户端进行TCP/IP设置，主要用于自动为用户设置网络因特网协议 (Internet Protocol,简称IP)地址、掩码、网关、域名系统(Domain Name System,简称DNS) 等网络参数，并且DHCP还可以保证不使用重复地址、可以回收并分配未使用地址等。这样 简化了用户网络设置、提高了管理效率。
通常的DHCP申请和分配IP地址信息的流程如下
1. DHCP客户端发送DISCOVER报文； 2. DHCP服务器收到DISCOVER报文后，回应0FFER报文，其中包含分配的IP地址信 息； 3. DHCP客户端向DHCP服务器发送REQUEST报文，请求分配这个IP地址；
4. DHCP服务器回应ACK报文，同意分配这个IP信息。 但是，使用DHCP服务器分配地址来配置网络时，经常会遇到客户端的合法性问 题。通常服务器和客户端之间没有认证机制，常见的攻击和破坏方法是冒充DHCP客户端攻 击合法的DHCP服务器，例如恶意申请占用大量IP，然后冒充DHCP服务器给其他客户端分配 错误的网络配置信息，例如分配错误的DNS服务器，将用户的网络访问引向恶意网站等。另 外，DHCP服务器分配给客户端的IP信息，也可能被其他非法客户端截取和盗用，例如采用 "中间人"方式，截获分配的I P信息，然后屏蔽真正的客户端，并冒用合法IP和介质访问控 制(Media Access Control,简称MAC)地址，以达到侵入网络的目的。
针对上述情况，通常存在多种解决方法，常用的如下 1.增加DHCP身份认证，常见的是在DHCP报文的选项字段中增加认证信息，客户 端在申请地址的时候必须填写身份认证信息，通过认证以后，才能获得分配IP地址；例如 专利《实现DHCP地址安全分配的方法和系统》(专利申请号200510069417)公开了一种对 DHCP客户端进行认证的方法。 2.在客户端请求DHCP分配IP地址的时候，由DHCP服务器触发客户端发起一个 认证，认证通过后再分配；例如专利《基于DHCP实现用户认证的方法及系统》(专利申请号 20061012697)通过DHCP中间实体检测到DHCP客户端发送的DHCP报文，并确定是一次新的 会话后，触发针对使用所述DHCP客户端的逻辑用户的用户身份信息进行认证处理操作。
3.在客户端通过DHCP分配的地址后，在DHCP服务器和客户端之间维持一个会话 连接，用于探测客户端合法性和是否在线；例如专利《通过探测客户端维护DHCP安全特性 的方法与装置》(专利申请号200610125734)通过中继器发送探测报文至客户端，若该客户端超时未响应该探测报文则判定客户端不在线，老化该客户端对应的安全特性表项。
4.在网络接入设备上，通过DHCP Snooping(DHCP窥探)方式窥探客户端获得的 IP地址，并在网络接入设备上绑定客户端的IP地址和MAC地址，以达到防止假冒IP地址和 MAC地址的目的；例如专利《基于Snooping技术的防止DHCP报文攻击的方法》(专利申请 号200710172299)基于Snooping技术将所有DHCP报文重定向到本地进行监测，在此过程 中根据DHCP报文在交换机本地将硬件地址和IP地址的绑定关系添加到端口 。
5.采用链路层接入认证技术，例如采用美国电气电子工程师学会IEEE (Institute of Electrical and Electronic Engineers) 802. lx认证，认证通过以后才允许分配地址；
但是上述这些方法在实际应用中并不完善，如果采用盗用IP地址和MAC地址的侵 入方式，例如非法设备接在接入设备和客户端设备之间，采用"中间人"方式侦听DHCP分配 的网络信息，等待合法客户端分配到IP地址并认证结束，然后直接盗用合法客户端的IP地 址和MAC地址，并屏蔽合法客户端，非法设备有时也会有选择放行一些用于保活或认证的 信息，上述解决方法无法有效的防止这种非法设备。 目前网络接入设备价格低，在网络接入设备以下，一些用户也常使用低端交换机
再进行扩展网络，可以接入更多的用户终端设备。由于网络末端的庞大和复杂，给管理带来
了难度，也给非法用户的入侵留下了机会。由于盗用的是合法用户的IP地址和MAC地址，
并已经通过了认证，特别是非法用户与合法用户接在接入设备的相同端口下，接入设备根
本无法察觉哪些报文是合法用户发来的，哪些报文是非法用户发来的。 例如图l给出了一个网络入侵示意图，图中所示的是一个常用的使用DHCP分配IP
地址信息的网络，接入设备下可以连接多个用户设备，但不一定都是合法的用户。在用户设
备上运行DHCP客户端，用于申请IP地址等网络配置信息。 非法用户即入侵者可以采用物理侵入的方式，插入在用户设备和接入设备之间， 作为中间人侦听用户的报文信息。入侵者平时可以保持静默，透传用户的报文信息，而一旦 需要则可以直接冒用用户(例如图1中的用户设备2)的IP和链路层信息(包括MAC地 址)，并对合法用户进行屏蔽，这样入侵者可以得到合法的用户身份对网络资源进行访问。 并且接入设备根本无法发现这个入侵者，所有的检验和绑定等控制都将失效。
如果入侵者的行为更隐蔽一些，不屏蔽用户设备的任何报文，只是"寄生"在用户 线路上，完全复制用户的IP地址、MAC地址等信息，利用线路的带宽来传输自己的数据流， 这种入侵方式在目前的检测技术下很难被发现。

发明内容
本发明实施例的目的是提供一种安全的地址分配方法、检测装置、检测设备、用户
设备、DHCP服务器和安全的地址分配系统，使DHCP服务器可以安全地分配IP地址给DHCP
客户端，防止非法用户盗用合法用户的IP地址和MAC地址进行非法操作。 为实现上述目的，本发明实施例提供了一种安全的地址分配方法，所述方法包
括 步骤SI ，根据用户的动态主机配置协议DHCP客户端向DHCP服务器发出的IP地址 分配请求产生身份验证规则； 步骤S2，将所述身份验证规则返回给DHCP客户端对应的用户；
步骤S3，根据所述身份验证规则对DHCP客户端对应的用户进行身份验证，如果验 证通过，则允许所述用户访问网络，向用户返回下一次身份验证规则，并在规定时间内重复 执行步骤S3，否则禁止所述用户访问网络。 为了实现上述目的，本发明实施例还提供了 一种检测装置，所述检测装置包括验 证规则产生单元、验证规则发送单元和身份验证单元； 所述验证规则产生单元用于根据用户的DHCP客户端向DHCP服务器发出的IP地 址分配请求产生身份验证规则； 所述验证规则发送单元与验证规则产生单元连接，用于将所述身份验证规则返回 给DHCP客户端对应的用户； 所述身份验证单元与验证规则产生单元连接，用于根据所述身份验证规则对DHCP 客户端对应的用户进行身份验证，如果验证通过，则允许所述用户访问网络，向用户返回下 一次身份验证规则，并在规定时间内重复对用户进行身份验证，否则禁止所述用户访问网 络。 为了实现上述目的，本发明实施例又提供了一种检测设备，所述检测设备包括上 述检测装置。 为了实现上述目的，本发明实施例又提供了一种用户设备，所述用户设备包括地 址获取单元和验证用户单元； 所述地址获取单元用于向DHCP服务器发出IP地址分配请求和接收DHCP服务器 的IP地址分配响应； 所述验证用户单元用于接收身份验证规则，并根据述所身份验证规则在检测装置 上进行身份验证。 为了实现上述目的，本发明实施例又提供了一种DHCP服务器，所述DHCP服务器包 括地址分配单元、验证规则请求单元和验证规则返回单元； 所述地址分配单元用于接收DHCP客户端的IP地址分配请求，进行IP地址分配， 并向DHCP客户端发送IP地址分配响应； 所述验证规则请求单元与地址分配单元连接，用于根据用户的DHCP客户端发来 的IP地址分配请求，向检测装置申请身份验证规则； 所述验证规则返回单元用于接收检测装置发来的身份验证规则，并将所述身份验 证规则放在ACK报文中返回给DHCP客户端。 为了实现上述目的，本发明实施例再提供了一种安全的地址分配系统，所述系统 包括上述检测设备、用户设备和DHCP服务器。 本发明通过由检测装置对用户进行定期的身份验证，并可以在每次身份验证时使 用不同的身份验证规则，使得非法用户很难判断哪些报文是进行身份验证的报文，以及如 何进行身份验证，从而无法冒用合法用户的身份进行网络访问，防止了非法用户盗用合法 用户的IP地址和MAC地址进行非法操作。


图l为网络入侵示意图 图2为本发明一种安全的地址分配方法实施例一示意图
图3为本发明一图4为本发明一图5为本发明一图6为本发明一图7为本发明一图8为本发明一图9为本发明一图10为本发明-图11为本发明-图12为本发明-图13为本发明-图14为本发明-图15为本发明-图16为本发明-图17为本发明-图18为本发明-
种安全的地址分配方法实施例二示意图 种安全的地址分配方法实施例三示意图 种安全的地址分配方法实施例四示意图 种安全的地址分配方法实施例五示意图 种安全的地址分配方法实施例六示意图 种检测装置实施例一示意图 种检测装置实施例二示意图 -种检测装置实施例三示意图 -种检测设备实施例示意图 -种用户设备实施例一示意图 -种用户设备实施例二示意图 -种用户设备实施例三示意图
-种DHCP服务器实施例一示意图 -种DHCP服务器实施例二示意图 -种安全的地址分配系统实施例示意图 -种安全的地址分配方法实施例七示意图
具体实施例方式
本发明实施例的目的是提供一种安全的地址分配方法、检测装置、检测设备、用户 设备、DHCP服务器和安全的地址分配系统，使DHCP服务器可以安全地分配IP地址给DHCP 客户端，防止非法用户盗用合法用户的IP地址和MAC地址进行非法操作。
下面结合附图对本发明实施例进行说明，本发明实施例提供了一种安全的地址分 配方法，图2给出了本发明一种安全的地址分配方法实施例一示意图，所述方法包括
步骤SI ，根据用户的动态主机配置协议DHCP客户端向DHCP服务器发出的IP地址 分配请求产生身份验证规则； 步骤SI具体可以为根据DHCP服务器发来的DHCP客户端的IP地址分配请求信 息，产生身份验证规则。 即可以由DHCP服务器发起产生身份验证规则的请求，从而在原有DHCP协议的基 础上加上对用户进行身份验证的过程。 所述身份验证规则可以包括身份验证使用的通信协议、身份验证的时间窗口、接 受身份验证的目的IP地址和通信协议指定的目的端口 。 所述通信协议可以为一些已知的协议，如超文本传输协议(HypertextTransfer
Protocol,简称HTTP)、文件传输协议(File Transfer Protocol,简称FTP)、网际控制报文
协议(Internet Control Message Protocol,简称ICMP)等。 所述时间窗口即为指定的一个可以进行身份验证操作的时间段。 所述身份验证规则还可以包括身份验证的源端口。 本发明实施例可以利用常用的IP层以上协议，来传递用户身份验证信息。由于IP 层以上协议众多，协议类型、目的IP地址、目的端口 、源端口都是可变的因子，在身份验证 规则中加上这些信息就能保证规则具有足够的随机性，加上对进行身份验证的时间窗口限制，并且规则每次使用后都可以变化，消除了携带安全信息报文的外在网络特征，因此很难 被非法用户截获分析和掌握其规律，也具有足够的隐蔽性。也就是说，相同的客户端和检测 装置，每次通信的手段都是不同的。如果非法用户无法破解这个检测方法，也就无法盗用合 法用户的身份信息。 步骤S2，将所述身份验证规则返回给DHCP客户端对应的用户； 可以对所述身份验证规则加密后返回给DHCP客户端对应的用户。 通过对身份验证规则加密，可以更进一步防止非法用户对合法用户报文的截取和识别。 步骤S2具体可以为将所述身份验证规则加密后发送给DHCP服务器，并由DHCP 服务器放在ACK报文中返回给DHCP客户端。 通过由DHCP服务器转发身份验证规则可充份利用原有的DHCP协议完成身份验证 初始阶段的信息传递，此外，通过DHCP服务器的转发，方便DHCP服务器和DHCP客户端进行 双向认证。 步骤S3，根据所述身份验证规则对DHCP客户端对应的用户进行身份验证，如果验 证通过，则允许所述用户访问网络，向用户返回下一次身份验证规则，并在规定时间内重复 执行步骤S3，否则禁止所述用户访问网络。 所述身份验证规则每一次都可以变化，可以按一定随机算法给出，这样可以避免 被掌握规律，更好地防范非法用户。 进行身份验证之后，可以向用户发送响应报文，通知用户是否验证通过，如果验证 通过，则报文中携带了下一次身份验证规则；也可以只有在身份验证通过之后才向用户发 送响应报文，其中携带下一次身份验证规则，验证失败时不响应用户，这样可以防止非法用 户对检测设备进行端口扫描等操作。 本发明实施例通过由检测装置对用户进行定期的身份验证，并可以在每次身份验 证时使用不同的身份验证规则，使得非法用户很难判断哪些报文是进行身份验证的报文， 以及如何进行身份验证，从而无法冒用合法用户的身份进行网络访问，防止了非法用户盗 用合法用户的I P地址和MAC地址进行非法操作。 图3给出了本发明一种安全的地址分配方法实施例二示意图，本实施例除了包括 方法实施例一的步骤外， 步骤S 3中所述根据所述身份验证规则对DHCP客户端对应的用户进行身份验证 具体可以为在所述身份验证的时间窗口的时间段内，打开所述通信协议指定的目的端口 进行侦听，在收到DHCP客户端对应的用户发来的身份验证信息后，对所述用户进行身份验 证，在时间超过所述时间段后关闭侦听并结束通信。 通过指定的通信协议、目的端口和时间窗口等，可以增加身份验证规则的随机性 和隐蔽性，防止非法用户发现其规律，其次，只在较短的时间窗口内进行侦听，使得对应的 检测装置不易受到扫描攻击。
步骤S3具体可以分为 步骤S31，在所述身份验证的时间窗口的时间段内，打开所述通信协议指定的目的 端口进行侦听； 步骤S32，在收到DHCP客户端对应的用户发来的身份验证信息后，对所述用户进行身份验证，在时间超过所述时间段后关闭侦听并结束通信，如果验证通过，则允许所述用 户访问网络，向用户返回下一次身份验证规则，并在规定时间内执行步骤S31，否则禁止所 述用户访问网络。 图4给出了本发明一种安全的地址分配方法实施例三示意图，本实施例除了包括 方法实施例二的步骤外，还包括步骤S4 :所述DHCP客户端对应的用户在所述身份验证的时 间窗口的时间段内，以所述通信协议将用户的身份验证信息发送到所述目的IP地址的所 述目的端口上。 步骤S4可以在步骤S31之后执行。 图5给出了本发明一种安全的地址分配方法实施例四示意图，本实施例除了包括 方法实施例三的步骤外， 所述步骤S2具体可以为将所述身份验证规则加密后发送给DHCP服务器，并由 DHCP服务器放在ACK报文中返回给DHCP客户端。 步骤S2之后还可以包括步骤S5 :所述DHCP客户端对应的用户收到所述ACK报文 后，解密所述身份验证规则，根据所述身份验证规则是否合法判断DHCP服务器是否合法。
DHCP客户端可以通过检查DHCP服务器发来的ACK报文中是否携带合法的身份验 证规则，来判断DHCP服务器是否合法。由于放在ACK报文中的身份验证规则信息是加密的， 因此非法的DHCP服务器无法提供这个信息，就容易被识别。 本实施例除了可以在方法实施例三的基础上进行上述扩展外，还可以在方法实施 例一或方法实施例二的基础上进行上述扩展。 图6给出了本发明一种安全的地址分配方法实施例五示意图，本实施例除了包括 方法实施例四的步骤外， 步骤S3之后还可以包括步骤S6 :将验证结果通知DHCP服务器，DHCP服务器根据 验证结果进行后续操作。 后续操作可以为当验证结果为验证通过时，DHCP服务器与DHCP客户端之间进行 正常的IP地址分配和维护的通信；而当验证结果为验证失败时，则DHCP服务器可以强行收 回分配给DHCP客户端的IP地址。 DHCP服务器可以通过DHCP客户端是否按照指定的身份验证规则完成验证，来判 断DHCP客户端的合法性。即使DHCP服务器提供的身份验证规则信息被非法用户截取了， 但是由于非法用户无法破解这个加密信息，因此无法按规则完成验证，通过上述方式DHCP 服务器可以判断DHCP客户端所在的用户设备的合法性。 本实施例除了可以在方法实施例四的基础上进行上述扩展外，还可以在方法实施 例一至方法实施例三的任一方法实施例基础上进行上述扩展。 图7给出了本发明一种安全的地址分配方法实施例六示意图，本实施例除了包括 方法实施例五的步骤外， 所述步骤S3之后还可以包括步骤S7 :所述DHCP客户端对应的用户如果在规定时 间内收到所述下一次身份验证规则，则判断申请IP地址成功，进行IP地址配置，否则重新 发出IP地址分配请求。
步骤S7可以在步骤S6之后执行。 本实施例除了可以在方法实施例五的基础上进行上述扩展外，还可以在方法实施例一至方法实施例四的任一方法实施例基础上进行上述扩展。 为了实现上述目的，本发明实施例还提供了一种检测装置，图8给出了本发明一 种检测装置实施例一示意图，所述检测装置包括验证规则产生单元Ml 1 、验证规则发送单元 M12和身份验证单元M13 ; 所述验证规则产生单元Ml 1用于根据用户的DHCP客户端向DHCP服务器发出的IP 地址分配请求产生身份验证规则； 所述验证规则产生单元具体可以用于根据DHCP服务器发来的DHCP客户端的IP 地址分配请求信息，产生身份验证规则。 即可以由DHCP服务器发起产生身份验证规则的请求，从而在原有DHCP协议的基 础上加上对用户进行身份验证的过程。 所述身份验证规则可以包括身份验证使用的通信协议、身份验证的时间窗口、接 受身份验证的目的IP地址和通信协议指定的目的端口 。 所述通信协议可以为一些已知的协议，如超文本传输协议(HypertextTransfer
Protocol,简称HTTP)、文件传输协议(File Transfer Protocol,简称FTP)、网际控制报文
协议(Internet Control Message Protocol,简称ICMP)等。 所述时间窗口即为指定的一个可以进行身份验证操作的时间段。 所述身份验证规则还可以包括身份验证的源端口。 本发明实施例可以利用常用的IP层以上协议，来传递用户身份验证信息。由于IP 层以上协议众多，协议类型、目的IP地址、目的端口、源端口都是可变的因子，在身份验证 规则中加上这些信息就能保证规则具有足够的随机性，加上对进行身份验证的时间窗口限 制，并且规则每次使用后都可以变化，消除了携带安全信息报文的外在网络特征，因此很难 被非法用户截获分析和掌握其规律，也具有足够的隐蔽性。也就是说，相同的客户端和检测 装置，每次通信的手段都是不同的。如果非法用户无法破解这个检测方法，也就无法盗用合 法用户的身份信息。 所述验证规则发送单元M12与验证规则产生单元Mil连接，用于将所述身份验证 规则返回给DHCP客户端对应的用户； 可以对所述身份验证规则加密后返回给DHCP客户端对应的用户。 通过对身份验证规则加密，可以更进一步防止非法用户对合法用户报文的截取和识别。 所述验证规则发送单元具体可以用于将所述身份验证规则加密后发送给DHCP服 务器，并由DHCP服务器放在ACK报文中返回给DHCP客户端。 通过由DHCP服务器转发身份验证规则可充份利用原有的DHCP协议完成身份验证 初始阶段的信息传递，此外，通过DHCP服务器的转发，方便DHCP服务器和DHCP客户端进行 双向认证。 所述身份验证单元M13与验证规则产生单元Mll连接，用于根据所述身份验证规 则对DHCP客户端对应的用户进行身份验证，如果验证通过，则允许所述用户访问网络，向 用户返回下一次身份验证规则，并在规定时间内重复对用户进行身份验证，否则禁止所述 用户访问网络。 所述身份验证规则每一次都可以变化，可以按一定随机算法给出，这样可以避免被掌握规律，更好地防范非法用户。 进行身份验证之后，可以向用户发送响应报文，通知用户是否验证通过，如果验证 通过，则报文中携带了下一次身份验证规则；也可以只有在身份验证通过之后才向用户发 送响应报文，其中携带下一次身份验证规则，验证失败时不响应用户，这样可以防止非法用 户对检测设备进行端口扫描等操作。 图9给出了本发明一种检测装置实施例二示意图，本实施例除了包括检测装置 实施例一的结构特征外，所述身份验证单元M13包括侦听验证模块M131和判断执行模块 M132 ; 所述身份验证规则可以包括身份验证使用的通信协议、身份验证的时间窗口、接 受身份验证的目的IP地址和通信协议指定的目的端口 。
所述身份验证规则还可以包括身份验证的源端口。 所述侦听验证模块M131用于在所述身份验证的时间窗口的时间段内，打开所述
通信协议指定的目的端口进行侦听，在收到DHCP客户端对应的用户发来的身份验证信息
后，对所述用户进行身份验证，在时间超过所述时间段后关闭侦听并结束通信； 所述判断执行模块M132与侦听验证模块M131连接，用于判断是否验证通过，如果
验证通过，则允许所述用户访问网络，向用户返回下一次身份验证规则，并在规定时间内重
复对用户进行身份验证，否则禁止所述用户访问网络。 通过指定的通信协议、目的端口和时间窗口等，可以增加身份验证规则的随机性 和隐蔽性，防止非法用户发现其规律，其次，只在较短的时间窗口内进行侦听，使得对应的 检测装置不易受到扫描攻击。 图IO给出了本发明一种检测装置实施例三示意图，本实施例除了包括检测装置 实施例一的结构特征外，还包括验证结果通知单元M14，与身份验证单元M13连接，用于将 验证结果通知DHCP服务器。 DHCP服务器收到验证结果后，可以根据验证结果进行后续操作。 本实施例除了可以在检测装置实施例一的基础上进行上述扩展外，还可以在检测
装置实施例二的基础上进行上述扩展。 本发明实施例又提供了一种检测设备，图11给出了本发明一种检测设备实施例 示意图，所述检测设备包括上述检测装置实施例一至实施例三的任一所述检测装置。
所述检测装置可以支持多种IP层以上协议，并能够使用这些协议传输信息，可以 使用这些协议进行报文的侦听和回应。 所述检测装置可以支持多个IP地址，并定期进行变换，这样可以在设置下一次的 身份验证规则时变换接受身份验证的IP地址，增加身份验证的随机性，更好地防范非法用 户，这些IP地址必须是网络内路由可达的IP地址。 所述检测装置可以位于一个单独的设备上，也可以位于DHCP服务器设备上，或者 与其它应用程序共用一台设备。所述检测设备可以为一台单独的仅用于检测的设备，也可 以为DHCP服务器设备，或者是其它应用程序的相关设备。 检测设备可以部署于网络的汇聚或核心位置，在有防火墙的情况下，可以部署于 防火墙的后方。 本发明实施例又提供了一种用户设备，图12给出了本发明一种用户设备实施例一示意图，所述用户设备包括地址获取单元M21和验证用户单元M22 ; 所述地址获取单元M21用于向DHCP服务器发出IP地址分配请求和接收DHCP服 务器的IP地址分配响应； 所述验证用户单元M22，用于接收身份验证规则，并根据述所身份验证规则在检测 装置上进行身份验证。 所述验证用户单元M22可以与地址获取单元M21连接。 所述身份验证规则可以包括身份验证使用的通信协议、身份验证的时间窗口、检 测装置接受身份验证的目的IP地址和通信协议指定的目的端口 。
所述身份验证规则还可以包括身份验证的源端口。 所述验证用户单元具体可以用于在所述身份验证的时间窗口的时间段内，以所述 通信协议将用户的身份验证信息发送到所述目的IP地址的所述目的端口上。
图13给出了本发明一种用户设备实施例二示意图，本实施例除了包括用户设备 实施例一的结构特征外，还可以包括服务器判断单元M23，与地址获取单元M21连接，用于 在收到DHCP服务器发来的ACK报文后，解密报文中的身份验证规则，根据所述身份验证规 则是否合法判断DHCP服务器是否合法。 此时检测装置将所述身份验证规则加密后发送给DHCP服务器，并由DHCP服务器 放在ACK报文中返回给DHCP客户端。 DHCP客户端可以通过检查DHCP服务器发来的ACK报文中是否携带合法的身份验 证规则，来判断DHCP服务器是否合法。由于放在ACK报文中的身份验证规则信息是加密的， 因此非法的DHCP服务器无法提供这个信息，就容易被识别。 图14给出了本发明一种用户设备实施例三示意图，本实施例除了包括用户设备 实施例二的结构特征外，还可以包括验证通过判断单元M24，与验证用户单元M22连接，用 于判断是否在规定时间内收到下一次身份验证规则，如果是则判断申请IP地址成功，进行 IP地址配置，否则重新发出IP地址分配请求。 本实施例除了可以在用户设备实施例二的基础上进行上述扩展外，还可以在用户 设备实施例一的基础上进行上述扩展。 本发明实施例又提供了一种DHCP服务器，图15给出了本发明一种DHCP服务器实 施例一示意图，所述DHCP服务器包括地址分配单元M31、验证规则请求单元M32和验证规则 返回单元M33 ; 所述地址分配单元M31用于接收DHCP客户端的IP地址分配请求，进行IP地址分 配，并向DHCP客户端发送IP地址分配响应； 所述验证规则请求单元M32与地址分配单元M31连接，用于根据用户的DHCP客户 端发来的IP地址分配请求，向检测装置申请身份验证规则； 所述验证规则返回单元M33用于接收检测装置发来的身份验证规则，并将所述身 份验证规则放在ACK报文中返回给DHCP客户端。 通过由DHCP服务器转发身份验证规则可充份利用原有的DHCP协议完成身份验证 初始阶段的信息传递，此外，通过DHCP服务器的转发，方便DHCP服务器和DHCP客户端进行 双向认证。 图16给出了本发明一种DHCP服务器实施例二示意图，本实施例除了包括DHCP服务器实施例一的结构特征外，还可以包括验证结果处理单元M34，用于接收检测装置发来的 验证结果，并根据验证结果进行后续操作。 后续操作可以为当验证结果为验证通过时，DHCP服务器与DHCP客户端之间进行 正常的IP地址分配和维护的通信；而当验证结果为验证失败时，则DHCP服务器可以强行收 回分配给DHCP客户端的IP地址。 DHCP服务器可以通过DHCP客户端是否按照指定的身份验证规则完成验证，来判 断DHCP客户端的合法性。即使DHCP服务器提供的身份验证规则信息被非法用户截取了， 但是由于非法用户无法破解这个加密信息，因此无法按规则完成验证，通过上述方式DHCP 服务器可以判断DHCP客户端所在的用户设备的合法性。 本发明实施例再提供了一种安全的地址分配系统，图17给出了本发明一种安全 的地址分配系统实施例示意图，所述系统包括上述检测设备、用户设备实施例一至实施例 三的任一所述用户设备和DHCP服务器实施例一至实施例二的任一所述DHCP服务器。
所述系统除了包括检测设备、用户设备和DHCP服务器之外，还可以包括接入设 备、汇聚设备和核心设备。 图18给出了本发明的一个较优实施例，具体步骤如下 步骤101 ，用户设备访问网络，其上的DHCP客户端向DHCP服务器发出DISC0VER报 文，请求分配IP地址； 步骤102， DHCP服务器接收到DISCPVER报文后，响应OFFER报文，向DHCP客户端 提供IP地址配置信息； 步骤103，用户设备的DHCP客户端向DHCP服务器发出REQUEST报文，请求将分配 的IP地址供所述用户设备使用； 步骤104， DHCP服务器根据客户端的请求，向检测装置申请一个身份验证规则；
步骤105，检测装置计算并提供出一个身份验证规则，包括(1)检测装置采用的IP 地址，即接受身份验证的目的IP地址，(2)身份验证使用的通信协议，(3)通信协议指定的 目的端口和源端口， (4)身份验证的时间窗口，并将这个身份验证规则加密后发送给DHCP 服务器； 步骤106， DHCP服务器将加密后的身份验证规则信息，放在ACK报文的选项中，返 回给DHCP客户端； 步骤107，用户设备的DHCP客户端收到ACK报文后，解密身份验证规则信息，如果 没有发现选项中有合法的身份验证规则信息，则认为DHCP服务器非法，重复步骤101至步 骤106重新申请IP地址配置信息； 步骤108，检测装置按照身份验证规则，在时间窗口所指定时间段内，在本装置上 打开该通信协议针指定目的端口进行侦听，如果超过这个时间段则关闭侦听，结束通信；
步骤109，用户设备在时间窗口所指定的时间段内，以指定的通信协议、目的IP地 址、目的端口和源端口 ，将加密的用户的身份验证信息，作为通信协议报文的数据，发送给 检测装置； 步骤110，检测装置收到用户设备按身份验证规则发送的数据，对用户身份进行验 证。如果验证通过，则DHCP客户端申请IP地址成功，允许该用户设备访问网络，否则验证 失败，不允许该用户设备访问网络；
步骤lll，检测装置将验证结果通知DHCP服务器，如果验证通过则计算下一次身 份验证规则，并放在响应报文中返回给用户设备，然后结束本次通信； 步骤112，用户设备收到检测装置的响应报文并判断响应报文中有下一次身份验 证规则后，即可认为申请IP地址成功，可以使用该IP地址配置，否则重复步骤101至步骤 lll，重新申请IP地址和进行身份验证； 步骤113，用户设备根据返回的新的身份验证规则，同检测装置在下一个时间段内 重复步骤108至步骤112进行身份验证。
本发明实施例具有以下有益效果
1.安全性高 本发明实施例可以利用常用的IP层以上协议，来传递加密的用户身份验证信息。 由于IP层以上协议众多，协议类型、目的IP地址、目的端口 、源端口都是可变的因子，在身 份验证规则中加上这些信息就能保证规则具有足够的随机性，加上对进行身份验证的时间 窗口限制，并且规则每次使用后都可以变化，消除了携带安全信息报文的外在网络特征，因 此很难被非法用户截获分析和掌握其规律，也具有足够的隐蔽性。也就是说，相同的客户端 和检测装置，每次通信的手段都是不同的。如果非法用户无法破解这个检测方法，也就无法 盗用合法用户的身份信息。
2.双向DHCP认证机制 本发明实施例提供了一个DHCP服务器和DHCP客户端的双向认证机制，双方都可 以检查对方的合法性，防止假冒的DHCP服务器和假冒的DHCP客户端。 DHCP客户端可以通过检查DHCP服务器发来的ACK报文中是否携带合法的身份验 证规则，来判断DHCP服务器是否合法。由于放在ACK报文中的身份验证规则信息是加密的， 因此非法的DHCP服务器无法提供这个信息，就容易被识别。 DHCP服务器可以通过DHCP客户端是否按照检测装置指定的身份验证规则完成与 检测装置之间的验证，来判断DHCP客户端的合法性。即使DHCP服务器提供的身份验证规则 信息被非法用户截取了，但是由于非法用户无法破解这个加密信息，因此无法按规则完成 验证，通过上述方式DHCP服务器可以判断DHCP客户端所在的用户设备的合法性。此外，由 于身份验证规则规定了验证的时间窗口，因此规则是有时效性的，即使能够破解加密信息， 如果破解完成的时间已超时时间窗口规定的时间，也无法完成身份验证。
3.防止IP地址盗用 本发明实施例提供了一个防止窃听和盗用合法IP地址配置信息的方案，由于身 份验证信息是以加密形式传输的，可以有效防止泄露。并且，每个身份验证规则只使用一次 就作废，可以有效防止被截取重复使用。 本发明实施例提供了一个在线身份验证的机制，由本次身份验证时决定下一次身 份验证的规则。这样，即使中间出现非法用户盗用IP地址的情况，非法用户在下一次进行 身份验证时就不能通过，因此也不能继续使用盗用的身份，盗用的情况容易被发现。
4.防止物理入侵 本发明实施例可以有效防止采用中间人方式的入侵，由于用户设备和检测装置之 间采用的通信IP地址、端口、通信协议每次都是不同的，并且有时间限制，非法用户即入侵 者很难判断哪些是包含身份验证信息的报文，用于身份验证的协议与正常应用所使用的协议完全相同，并且检测设备的IP地址可以不断更换，非法用户很难掌握其规律并做有针对 性的放行。这样，如果包含身份验证信息的报文被屏蔽，非法用户就无法窃取合法用户的身 份。 如果非法用户采用不屏蔽合法用户的报文的方式，现有技术中的检测方式无法检 查出来。即使合法用户下线，非法用户也可以在DHCP租期内继续使用这个IP地址。如果 存在心跳检测的话，并且是有规律的，非法用户也可以伪造心跳报文，或者使用以前截取并 存储的检测报文来欺骗服务器。而使用本发明实施例的方案，即使合法用户设备在线时无 法查出"寄生"的非法用户设备，但是一旦合法用户下线，因为无法伪造验证报文，也无法继 续使用以前的验证报文，该"寄生"的设备也无法继续使用原来的IP地址了。
5.抗攻击性强 检测设备自身可以不主动发出信息，而是根据身份验证规则，短时间内打开指定 的侦听端口来接收身份验证的报文，在验证完毕后立即关闭，因此不易受到扫描攻击。检测 设备可以拥有多个IP地址，并且定时地更新使用新的IP，因此也难以被发现和攻击。
最后应说明的是以上实施例仅用以说明本发明的技术方案，而非对其限制；尽 管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解其依然 可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替 换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精 神和范围。
1权利要求
一种安全的地址分配方法，其特征在于，所述方法包括步骤S1，根据用户的动态主机配置协议DHCP客户端向DHCP服务器发出的IP地址分配请求产生身份验证规则；步骤S2，将所述身份验证规则返回给DHCP客户端对应的用户；步骤S3，根据所述身份验证规则对DHCP客户端对应的用户进行身份验证，如果验证通过，则允许所述用户访问网络，向用户返回下一次身份验证规则，并在规定时间内重复执行步骤S3，否则禁止所述用户访问网络。
2. 根据权利要求1所述的方法，其特征在于，所述身份验证规则包括身份验证使用 的通信协议、身份验证的时间窗口 、接受身份验证的目的IP地址和通信协议指定的目的端 □。
3. 根据权利要求2所述的方法，其特征在于，所述身份验证规则还包括身份验证的源端口。
4. 根据权利要求2或3所述的方法，其特征在于，步骤S3中所述根据所述身份验证规 则对DHCP客户端对应的用户进行身份验证具体为在所述身份验证的时间窗口的时间段 内，打开所述通信协议指定的目的端口进行侦听，在收到DHCP客户端对应的用户发来的身 份验证信息后，对所述用户进行身份验证，在时间超过所述时间段后关闭侦听并结束通信。
5. 根据权利要求4所述的方法，其特征在于，还包括所述DHCP客户端对应的用户在 所述身份验证的时间窗口的时间段内，以所述通信协议将用户的身份验证信息发送到所述 目的IP地址的所述目的端口上。
6. 根据权利要求1-3所述的任一方法，其特征在于，所述步骤S2具体为将所述身份 验证规则加密后发送给DHCP服务器，并由DHCP服务器放在ACK报文中返回给DHCP客户端。
7. 根据权利要求6所述的方法，其特征在于，所述步骤S2之后还包括所述DHCP客户 端对应的用户收到所述ACK报文后，解密所述身份验证规则，根据所述身份验证规则是否 合法判断DHCP服务器是否合法。
8. 根据权利要求1-3所述的任一方法，其特征在于，所述步骤S3之后还包括将验证 结果通知DHCP服务器，DHCP服务器根据验证结果进行后续操作。
9. 根据权利要求1-3所述的任一方法，其特征在于，所述步骤SI具体为根据DHCP服 务器发来的DHCP客户端的IP地址分配请求信息，产生身份验证规则。
10. 根据权利要求1-3所述的任一方法，其特征在于，所述步骤S3之后还包括所述 DHCP客户端对应的用户如果在规定时间内收到所述下一次身份验证规则，则判断申请IP 地址成功，进行IP地址配置，否则重新发出IP地址分配请求。
11. 一种检测装置，其特征在于，所述检测装置包括验证规则产生单元、验证规则发送 单元和身份验证单元；所述验证规则产生单元用于根据用户的DHCP客户端向DHCP服务器发出的IP地址分 配请求产生身份验证规则；所述验证规则发送单元与验证规则产生单元连接，用于将所述身份验证规则返回给 DHCP客户端对应的用户；所述身份验证单元与验证规则产生单元连接，用于根据所述身份验证规则对DHCP客 户端对应的用户进行身份验证，如果验证通过，则允许所述用户访问网络，向用户返回下一次身份验证规则，并在规定时间内重复对用户进行身份验证，否则禁止所述用户访问网络。
12. 根据权利要求11所述的检测装置，其特征在于，所述身份验证单元包括侦听验证 模块和判断执行模块；所述身份验证规则包括身份验证使用的通信协议、身份验证的时间窗口、接受身份验 证的目的IP地址和通信协议指定的目的端口 。所述侦听验证模块用于在所述身份验证的时间窗口的时间段内，打开所述通信协议指 定的目的端口进行侦听，在收到DHCP客户端对应的用户发来的身份验证信息后，对所述用 户进行身份验证，在时间超过所述时间段后关闭侦听并结束通信；所述判断执行模块与侦听验证模块连接，用于判断是否验证通过，如果验证通过，则允 许所述用户访问网络，向用户返回下一次身份验证规则，并在规定时间内重复对用户进行 身份验证，否则禁止所述用户访问网络。
13. 根据权利要求11或12所述的检测装置，其特征在于，所述验证规则发送单元具体 用于将所述身份验证规则加密后发送给DHCP服务器，并由DHCP服务器放在ACK报文中返 回给DHCP客户端。
14. 根据权利要求11或12所述的检测装置，其特征在于，还包括验证结果通知单元，与 身份验证单元连接，用于将验证结果通知DHCP服务器。
15. 根据权利要求11或12所述的检测装置，其特征在于，所述验证规则产生单元具体 用于根据DHCP服务器发来的DHCP客户端的IP地址分配请求信息，产生身份验证规则。
16. —种包括权利要求11-15任一所述检测装置的检测设备。
17. —种用户设备，其特征在于，所述用户设备包括地址获取单元和验证用户单元； 所述地址获取单元用于向DHCP服务器发出IP地址分配请求和接收DHCP服务器的IP地址分配响应；所述验证用户单元用于接收身份验证规则，并根据述所身份验证规则在检测装置上进 行身份验证。
18. 根据权利要求17所述的用户设备，其特征在于，所述身份验证规则包括身份验证使用的通信协议、身份验证的时间窗口、检测装置接 受身份验证的目的IP地址和通信协议指定的目的端口 。所述验证用户单元具体用于在所述身份验证的时间窗口的时间段内，以所述通信协议 将用户的身份验证信息发送到所述目的IP地址的所述目的端口上。
19. 根据权利要求17或18所述的用户设备，其特征在于，还包括服务器判断单元，用于 在收到DHCP服务器发来的ACK报文后，解密报文中的身份验证规则，根据所述身份验证规 则是否合法判断DHCP服务器是否合法。
20. 根据权利要求17或18所述的用户设备，其特征在于，还包括验证通过判断单元，用 于判断是否在规定时间内收到下一次身份验证规则，如果是则判断申请IP地址成功，进行 IP地址配置，否则重新发出IP地址分配请求。
21. —种DHCP服务器，其特征在于，所述DHCP服务器包括地址分配单元、验证规则请求 单元和验证规则返回单元；所述地址分配单元用于接收DHCP客户端的IP地址分配请求，进行IP地址分配，并向 DHCP客户端发送IP地址分配响应；所述验证规则请求单元与地址分配单元连接，用于根据用户的DHCP客户端发来的IP 地址分配请求，向检测装置申请身份验证规则；所述验证规则返回单元用于接收检测装置发来的身份验证规则，并将所述身份验证规 则放在ACK报文中返回给DHCP客户端。
22. 根据权利要求21所述的DHCP服务器，其特征在于，还包括验证结果处理单元，用于 接收检测装置发来的验证结果，并根据验证结果进行后续操作。
23. —种安全的地址分配系统，其特征在于，所述系统包括权利要求16所述的检测设 备、权利要求17-20任一所述用户设备、权利要求21-22任一所述DHCP服务器。
全文摘要
本发明实施例提供了一种安全的地址分配方法、检测装置、检测设备、用户设备、DHCP服务器和安全的地址分配系统。本发明实施例通过由检测装置对用户进行定期的身份验证，并可以在每次身份验证时使用不同的身份验证规则，使得非法用户很难判断哪些报文是进行身份验证的报文，以及如何进行身份验证，从而无法冒用合法用户的身份进行网络访问，防止了非法用户盗用合法用户的IP地址和MAC地址进行非法操作。
文档编号H04L29/12GK101715009SQ20091024409
公开日2010年5月26日 申请日期2009年12月28日 优先权日2009年12月28日
发明者陈锋 申请人:北京星网锐捷网络技术有限公司