专利名称:一种动态主机配置协议报文的认证方法、设备及系统的制作方法
技术领域:
本发明涉及计算机数据通信的网络安全领域,尤其涉及一种动态主机配置协议报文的认证方法、设备及系统。
背景技术:
动态主机配置协议(DynamicHost Configuration Protocol, DHCP)采用客户端和服务器的运行机制,是一种简化主机IP地址配置管理的TCP/IP标准,DHCP协议允许 DHCP服务器向客户端提供IP地址和其他相关配置信息。在网络中,通过启用DHCP服务可以让DHCP客户端在每次启动后自动获取IP地址和相关配置参数,减少了配置管理。在计算机数量众多并且划分多个子网的网络中,DHCP服务的优势更加明显,它避免了因手工设置IP地址及子网掩码所产生的错误;也避免了把一个IP地址分配给多台客户端所造成的地址冲突,可以大大缩短网络管理员在客户端地址配置上所耗费的时间,降低了管理员的设置负担。通过DHCP协议接入网络的过程如图1所示,图1所示的DHCP客户端、DHCP中继设备和DHCP服务器之间的报文交互过程如下1、DHCP客户端发送发现(DISCOVER)请求的广播报文,申请获取IP地址,在该报文中,通常携带客户端MAC地址(Client MAC address)、客户端标识(Client identifier)、 客户端主机名称(host name)、请求的参数列表(希望服务器提供的配置信息,比如域名系统(DNS,Domain Name System)、网络基本输入输出系统(NETBIOS,Network Basic Input Output System)和会话启动协议(SIP, Session Initiation Protocol)服务器的相关信息等等);2、DHCP服务器可能不在本地网络,需要DHCP中继设备进行转发,DHCP中继设备收到该DISCOVER请求报文后,在DISCOVER请求报文中填写中继代理网关(即中继设备)的地址(giaddr)和0pti0n82信息后转发给DHCP服务器;3,DHCP服务器收到该请求后,根据giaddr、0pti0n82信息、客户端标识信息等,给 DHCP客户端分配IP地址,并构造提供(OFFER)报文,在该报文中通过yiaddr字段携带为客户端分配的IP地址,并通过Option选项的方式携带subnet mask、lease time、server identifier, dns等配置信息,将该OFFER报文传送给DHCP中继设备;4、DHCP中继设备再将该OFFER报文转发给DHCP客户端,可以以单播或者广播的形式发送;5、如果多台DHCP服务器向DHCP客户端发来OFFER报文,DHCP客户端从这些OFFER 报文中选取一个合适的地址,通过DHCP中继设备向DHCP服务器回应请求(REQUEST)报文, 该REQUEST报文中携带了它选定的某个DHCP服务器通过OFFER报文中分配给自身的配置 fn息;6、DHCP服务器收到该Request请求报文后回复确认(ACK)报文,确认DHCP客户端可以使用它所提供的IP地址,DHCP客户端收到ACK报文后正式使用该地址租约。
上述DHCP协议中IP地址分配过程中,可以通过抓包窥探分析很容易获取到IP 地址、服务器配置等敏感信息。非法分子可以利用这些信息如服务器地址信息针对该服务器进行有针对性的攻击,另外,在该过程中,也容易出现仿冒的服务器或者客户端。仿冒的 DHCP服务器通常会导致客户端分配到错误的地址配置信息,严重的会因整个网络IP地址重复冲突而瘫痪,甚至于有些DHCP服务器分配错误的DNS信息,将用户的网络访问引向恶意网站。非法的DHCP客户端通常会不断的变换MAC地址申请IP地址,耗空地址池,或者发送大量的非法报文攻击服务器。
发明内容
本发明实施例提供了一种动态主机配置协议报文的认证方法、设备及系统,用以解决现有技术中DHCP协议进行地址配置的过程中服务器和客户端之间存在的网络安全问题。本发明实施例提供的动态主机配置协议报文的认证方法,包括第二设备接收第一设备发送的动态主机配置协议DHCP隧道消息,所述DHCP隧道消息为第一设备对DHCP报文进行加密,在加密后的DHCP报文之前增加DHCP报头后封装生成的;第二设备对接收的所述DHCP隧道消息进行解封装,提取其中加密后的DHCP报文进行解密,并对解密后的DHCP报文进行认证。本发明实施例提供的一种网络设备,包括加密单元,用于对第一动态主机配置协议DHCP报文进行加密;封装单元,用于在加密后的第一 DHCP报文之前增加DHCP报头封装生成第一 DHCP 隧道消息;发送单元,用于将所述第一 DHCP隧道消息发送至对端设备。本发明实施例提供的另一种网络设备,包括接收单元,用于接收从对端设备发送的第一动态主机配置协议DHCP隧道信息;所述第一隧道消息为对端设备对第一 DHCP报文进行加密,在加密后的第一 DHCP报文之前增加DHCP报头后封装生成的;解封装单元,用于对接收的所述第一 DHCP隧道消息进行解封装,提取其中加密后的第一 DHCP报文;解密单元,用于对提取的第一 DHCP报文进行解密;认证单元,用于对解密后的第一 DHCP报文进行认证。本发明实施例提供的动态主机配置协议报文的认证系统,包括第一设备,用于对动态主机配置协议DHCP报文进行加密,在加密后的DHCP报文之前增加DHCP报头,封装生成DHCP隧道消息并发送至第二设备;第二设备,用于接收的所述DHCP隧道消息进行解封装,提取其中加密后的DHCP报文进行解密得到所述DHCP报文,对解密后的DHCP报文进行认证。本发明实施例的有益效果如下本发明实施例提供的动态主机配置协议报文的认证方法、设备及系统,第一设备 (为DHCP服务器或者DHCP客户端)对DHCP报文进行加密,在加密后的DHCP报文增加DHCP报头,封装成DHCP隧道消息并发送至第二设备(对应为DHCP客户端或者DHCP服务器);第二设备对接收的DHCP隧道消息进行解封装,提取其中加密后的DHCP报文进行解密,并对解密后的DHCP报文进行认证,本发明实施例提供的上述DHCP报文的认证方法及系统,对DHCP 报文进行了加密处理,隐蔽了 DHCP报文中的敏感信息如DHCP服务器地址信息、为DHCP客户端分配的IP地址信息等,增强了 DHCP报文传输的安全性,并且将加密的DHCP报文重新封装成为DHCP隧道消息,使得加密后的DHCP报文能够成功地被DHCP中继设备转发至第二设备,通过第二设备对加密后的DHCP报文进行解密和认证,保证了第一设备和第二设备身份的合法性。
图1为现有DHCP协议的IP地址分配过程中客户端与服务器之间报文交互示意图;图2为本发明实施例提供的DHCP报文的认证方法的流程图;图3为本发明实施例提供的S/MIME数据的结构示意图;图4为本发明实施例提供的DHCP隧道消息的结构示意图;图5为本发明实施例提供的网络设备的结构示意图;图6为本发明实施例提供的DHCP报文的认证系统的结构示意图。
具体实施例方式下面结合附图,对本发明提供的一种动态主机配置协议报文认证方法、设备及系统的具体实施方式
进行详细的说明。本发明实施例提供的DHCP报文的认证方法,对现有DHCP的交互流程进行了改进。 无论是DHCP服务器还是DHCP客户端,均对发送给对方的DHCP报文进行加密处理,并且在此基础上,DHCP接收端对DHCP报文进行解密和认证处理,实现了 DHCP客户端和DHCP服务器之间的双向认证,以此保证DHCP报文交互过程的安全性。从现有的DHCP标准来看,DHCP服务器和DHCP客户端之间相互交互的DHCP报文包括DISCOVER报文、OFFER报文、REQUEST报文和ACK报文等,其中DISCOVER报文和REQUEST 报文是由DHCP客户端发送给DHCP服务器的请求报文,OFFER报文和ACK报文是由DHCP服务器发送给DHCP客户端的响应报文,为了更清楚地描述本发明实施例提供的DHCP报文的认证方法,在本发明实施例中,将DHCP客户端和DHCP服务器分别称呼为第一设备和第二设备,并且,当第一设备为DHCP客户端时,相对应地,第二设备为DHCP服务器;或者当第一设备为DHCP服务器时,相对应地,第二设备为DHCP客户端。下面对本发明实施例提供的DHCP 报文的认证方法进行详细地说明。本发明实施例提供的DHCP报文的认证方法,如图2所示,包括下述步骤S201、第一设备对DHCP报文进行加密;S202、第一设备在加密后的DHCP报文之前增加DHCP报头,封装成DHCP隧道消息
并发送至第二设备;S203、第二设备对接收的DHCP隧道消息进行解封装,提取其中加密后的DHCP报文;
S204、第二设备对提取的加密后的DHCP报文进行解密,并对解密后的DHCP报文进行认证。在上述步骤S201中,通过使用安全多用途因特网邮件扩展协议(the SecureMultipurpose Mail Extension, S/MIME)的安全邮件传输技术,实现对DHCP报文的加密处理。具体实施时,也可以采用其他加密方式来完成,本发明实施例对此不做限定。对DHCP报文的加密的具体实施过程如下第一设备使用单向散列算法例如SHA-I算法计算DHCP报文的第一离散值;第一设备使用自身的私钥来加密该第一离散值生成DHCP报文的签名数据;第一设备使用所述第二设备的公钥加密DHCP报文;第一设备将加密后的DHCP报文、DHCP报文的签名数据封装成S/MIME数据,封装成S/MIME数据作为加密后的DHCP报文。封装时,需要在加密后的DHCP报文和DHCP报文的签名数据之前加上S/MIME数据头部,图3是封装完成的S/MIME数据的结构示意图,具体的封装的方式为现有技术,本发明实施例在此不再赘述。上述加密的方式,加强了报文的私密性和完整性,可以避免非法监听DHCP报文以及从DHCP报文中获取敏感信息。如果采用将DHCP报文进行加密后直接进行传输,DHCP中继设备例如中继代理网关将无法完成DHCP报文的中转,也无法在报文中添加中继信息(option^)以及中继代理网关的地址信息,DHCP无法到达DHCP服务器,DHCP服务器更无法根据中继信息来分配地址,因此,本发明实施例在上述步骤S202中,构造了 DHCP隧道模型,在加密后的DHCP报文之前增加DHCP报头,封装成DHCP隧道消息,实现中继设备对加密后的DHCP报文的正常路由转发,具体实现方法如下构造DHCP报头,该DHCP报头的格式与现有DHCP协议规定的标准DHCP报头的格式相同,如图4所示的DHCP隧道消息的内部结构,DHCP报头中包括0P(指示报文类型,如请求报文或者响应报文)字段,Htype (硬件类别)字段、Hlen (硬件长度)字段、Hops (DHCP 报文经过的跳数)字段、Transaction ID(事务ID)字段、SecS(由用户指定的开始地址获取和更新进行后的时间)字段、flags (指示DHCP服务器或者DHCP中继设备以何种方式向 DHCP客户端发送报文)字段、ciaddHDHCP客户端自身的IP地址)字段、yiaddr(分配给 DHCP客户端的IP地址)字段、siaddr (DHCP服务器的IP地址)字段、giaddr (中继代理网关的IP地址)字段、chaddr (客户机硬件地址)字段、sname(DHCP服务器主机名)字段、 file (启动文件名)字段。DHCP服务器可能通过DHCP中继设备向DHCP客户端返回响应报文,此时DHCP中继设备因为报文加密获取不到DHCP客户端的任何信息,只有采用在本子网内部广播的方式发送,因此,在本发明实施例中,将DHCP报头中的flag字段设置为1,该参数要求DHCP中继设备采用广播方式向客户端发送响应报文。并且,按照现有DHCP标准,DHCP中继设备在转发DHCP报文时,DHCP中继设备需要在DHCP报头中填写giaddr字段,在DHCP协议规定的报头格式中,giaddr字段是有固定的位置的,因此,一方面为了使得DHCP设备能够读到giaddr字段并填写该信息,另一方面,为了避免暴露DHCP隧道消息中DHCP报头的各字段的内容,在构造上述DHCP报头时,需要保持ciaddr、yiaddr、siaddr、chaddr、sname和file各个字段内容为空白,giaddr字段根据具体隧道消息的实际情况进行填充或者保持空白,如该隧道消息携带DHCP服务器的响应报文时,则应该添加相应的转发IP (如果不经过中继设备则该项为空白),如该隧道消息携带DHCP客户端的请求报文时,则应该置空。这样,DHCP中继设备在接收到DHCP隧道消息时,能够按照DHCP协议的规定,从DHCP隧道消息的DHCP报头中找到giaddr的字段填写入相应的内容,并在DHCP报文中添加0ption82 (DHCP协议规定的一个可选项)内容,从而实现DHCP隧道消息的正确转发,保证了 DHCP隧道消息的完整性和私密性。如图4所示,在封装DHCP隧道消息的过程中,加密后的DHCP报文即S/MIME数据作为DHCP隧道消息的Option 60 (DHCP协议规定的一个可选项,可选项的数目可以是多个) 字段的内容,当然也可以选取其他可选项字段携带S/MIME数据。除了携带有S/MIME数据的可选项字段,在DHCP隧道消息中,可以不再选用其他可选项字段。上述步骤S203中,相应地,解封装DHCP隧道消息,剥离DHCP报头,提取出DHCP隧道消息中携带的S/MIME数据。上述步骤S204中,将S/MIME数据进行解密处理,还原其中携带的DHCP报文,并对该报文进行认证,具体过程如下第二设备提取S/MIME数据中的签名数据,利用第一设备的公钥对签名数据进行解密,得到DHCP报文的第一离散值;第二设备使用自身的私钥对S/MIME数据中加密后的DHCP报文进行解密,得到解密后的DHCP报文;第二设备对解密后的DHCP报文,采用相同的单向散列算法例如SHA-I计算该报文得到对应的第二散列值,将第一散列值和第二散列值进行对比,如果一致,则认为认证通过,否则,认证失败,拒绝下一步操作。基于同一发明构思,本发明实施例还提供了一种网络设备以及DHCP报文的认证系统,由于该设备以及系统解决问题的原理与前述一种动态主机配置协议报文的认证方法相似,因此该系统的实施可以参见方法的实施,重复之处不在赘述。本发明实施例提供了一种网络设备5,为了清楚地描述该网络设备的结构,在本发明实施例中,对由网络设备加密、封装并发送的DHCP报文和DHCP隧道消息,以及该网络设备接收的(对端设备发送的)、解封装和解密的DHCP隧道消息和DHCP报文进行了区分,将由网络设备处理并发送给对端设备的DHCP报文和DHCP隧道报文分别称为第一 DHCP报文和第一 DHCP隧道消息,将网络设备从终端设备接收并处理的DHCP报文和DHCP隧道消息分别称为第二 DHCP报文和第二 DHCP隧道消息。下面对网络设备5的结构进行详细说明,如图5所示,网络设备5具体包括加密单元501,用于对第一 DHCP报文进行加密;封装单元502,用于在加密后的第一 DHCP报文之前增加DHCP报头封装生成第一 DHCP隧道消息;发送单元503,用于将第一 DHCP隧道消息发送至对端设备;接收单元504,用于接收从对端设备发送的第二 DHCP隧道信息;该第二隧道消息为该对端设备对第二 DHCP报文进行加密,并在加密后的第二 DHCP报文之前增加DHCP报头后封装生成的;解封装单元505,用于对接收的该第二 DHCP隧道消息进行解封装,提取其中加密后的第二 DHCP报文;解密单元506,用于对提取的第二 DHCP报文进行解密;认证单元507,用于对解密后的第二 DHCP报文进行认证。本发明实施例提供的网络设备5,在实施时,可以仅包括上述加密单元501、封装单元502和发送单元503,或者仅包括上述接收单元504、解封装单元505、解密单元506和认证单元507,或者同时包括上述7个单元。上述加密单元501进一步地用于使用设定的算法计算出第一 DHCP报文对应的第一离散值;使用该网络设备自身的私钥加密所述第一离散值生成第一 DHCP报文的签名数据;使用对端设备的公钥加密第一 DHCP报文;将加密后的第一 DHCP报文、签名数据封装成安全多用途因特网邮件扩展协议S/MIME数据作为加密后的第一 DHCP报文。上述封装单元502,进一步用于构造DHCP报头,并使得该DHCP报头中客户端IP地址、分配给客户端的IP地址、服务器IP地址、客户端硬件地址、服务器主机名和启动文件名各字段为空白;并在第一 DHCP报文为DHCP响应报文时,在中继设备IP地址字段中填写转发该隧道消息的DHCP中继设备的IP地址,在第一 DHCP报文为DHCP请求报文时,保持中继设备IP地址字段空白;将S/MIME数据作为可选项字段;将DHCP报头和可选项字段,按照 DHCP报文的格式封装为第一 DHCP隧道消息。上述解密单元506,进一步用于从解封装单元505解封装出的加密后第二 DHCP报文中,提取第二 DHCP报文的签名数据;使用对端设备的公钥解密该签名数据得到第二 DHCP 报文的第一离散值;使用网络设备的私钥对加密后的第二 DHCP报文进行解密;以及使用设定的算法对解密后的第二 DHCP报文进行计算对应的第二散列值;对应地,认证单元507,进一步用于将计算出的第二散列值与解密得到的第一散列值进行比较,若两者一致,则认证通过;否则,认证失败。本发明实施例提供的网络设备5可以是DHCP服务器,对应地,上述对端设备指的是DHCP客户端;该网络设备5也可以是DHCP客户端,对应地,上述对端设备指的是DHCP服务器。本发明实施例提供的DHCP报文的认证系统,如图6所示,包括第一设备601和第二设备602 ;其中第一设备601,用于对动态主机配置协议DHCP报文进行加密,在加密后的DHCP报文之前增加DHCP报头,封装生成DHCP隧道消息并发送至第二设备502 ;第二设备602,用于接收的DHCP隧道消息进行解封装,提取其中加密后的DHCP报文进行解密得到所述DHCP报文,对解密后的DHCP报文进行认证。本发明实施例提供的DHCP报文的认证系统中,第一设备601,进一步用于将通过散列算法计算出DHCP报文对应的第一离散值,并使用自身的私钥加密所述第一离散值生成DHCP报文的签名数据,使用第二设备的公钥加密DHCP报文;将加密后的DHCP报文、签名数据封装成安全多用途因特网邮件扩展协议S/MIME数据。 相应地,第二设备602,进一步用于提取S/MIME数据中的DHCP报文的签名数据,并用第一设备的公钥解密签名数据得到DHCP报文的第一离散值;使用自身的私钥对加密后的DHCP报文进行解密;使用设定散列算法对解密后的DHCP报文计算对应的第二散列值。
第二设备602,进一步用于将计算出的第二散列值与解密得到的第一散列值进行比较,若两者一致,则认证通过;否则,认证失败。本发明实施例提供的DHCP报文的认证系统中的第一设备601,进一步用于构造 DHCP报头,并使得DHCP报头中客户端IP地址、分配给客户端的IP地址、服务器IP地址、 客户端硬件地址、服务器主机名和启动文件名的字段为空白。并在所述DHCP隧道消息携带 DHCP响应报文时,在中继设备IP地址字段中填写转发该隧道消息的DHCP中继设备的IP地址(如果不经过中继设备则该项为空白),在所述DHCP隧道消息携带DHCP请求报文时,保持所述中继设备IP地址字段空白;将S/MIME数据作为可选参数字段;将DHCP报头和可选参数字段,按照DHCP报文的格式封装为DHCP隧道消息。本发明实施例提供的第一设备601为DHCP客户端,第二设备602为DHCP服务器或者第一设备601为DHCP服务器,第二设备602为DHCP客户端。本发明实施例提供的动态主机配置协议报文的认证方法及系统,第一设备(为 DHCP服务器或者DHCP客户端)对DHCP报文进行加密,在加密后的DHCP报文增加DHCP报头,封装成DHCP隧道消息并发送至第二设备(对应为DHCP客户端或者DHCP服务器);第二设备对接收的DHCP隧道消息进行解封装,提取其中加密后的DHCP报文进行解密,并对解密后的DHCP报文进行认证,本发明实施例提供的上述DHCP报文的认证方法及系统,对DHCP 报文进行了加密处理,隐蔽了 DHCP报文中的敏感信息如DHCP服务器地址信息、为DHCP客户端分配的IP地址信息等,增强了 DHCP报文传输的安全性,并且将加密的DHCP报文重新封装成为DHCP隧道消息,使得加密后的DHCP报文能够成功地转发至第二设备,通过第二设备对加密后的DHCP报文进行解密和认证,同时保证了第一设备和第二设备(DHCP服务器和客户端)身份的合法性。显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
权利要求
1.一种动态主机配置协议报文的认证方法,其特征在于,包括第二设备接收第一设备发送的动态主机配置协议DHCP隧道消息,所述DHCP隧道消息为第一设备对DHCP报文进行加密,并在加密后的DHCP报文之前增加DHCP报头后封装生成的;第二设备对接收的所述DHCP隧道消息进行解封装,提取其中加密后的DHCP报文进行解密,并对解密后的DHCP报文进行认证。
2.如权利要求1所述的方法,其特征在于,所述对动态主机配置协议DHCP报文进行加密,包括第一设备使用设定的算法计算出DHCP报文对应的第一离散值; 第一设备使用自身的私钥加密所述第一离散值生成DHCP报文的签名数据; 第一设备使用所述第二设备的公钥加密DHCP报文;第一设备将加密后的DHCP报文、所述签名数据封装成安全多用途因特网邮件扩展协议S/MIME数据作为加密后的DHCP报文。
3.如权利要求2所述的方法,其特征在于,对加密的DHCP报文进行解密,包括 第二设备提取所述S/MIME数据中的DHCP报文的签名数据;第二设备使用第一设备的公钥解密所述签名数据得到DHCP报文的第一离散值;第二设备使用自身的私钥对加密后的DHCP报文进行解密;第二设备使用所述算法对解密后的DHCP报文进行计算对应的第二散列值。
4.如权利要求3所述的方法,其特征在于,对解密后的DHCP报文进行认证,包括第二设备将计算出的第二散列值与解密得到的第一散列值进行比较,若两者一致,则认证通过;否则,认证失败。
5.如权利要求2所述的方法,其特征在于,在加密后的DHCP报文之前增加DHCP报头, 封装生成DHCP隧道消息,包括构造DHCP报头,并使得所述DHCP报头中客户端IP地址、分配给客户端的IP地址、服务器IP地址、客户端硬件地址、服务器主机名和启动文件名各字段为空白;并在所述DHCP报文为DHCP响应报文时,在中继设备IP地址字段中填写转发该隧道消息的DHCP中继设备的IP地址,在所述DHCP报文为DHCP请求报文时,保持所述中继设备IP 地址字段空白;将所述S/MIME数据作为可选项字段;将DHCP报头和所述可选项字段,按照DHCP报文的格式封装为DHCP隧道消息。
6.一种网络设备,其特征在于,包括加密单元,用于对第一动态主机配置协议DHCP报文进行加密; 封装单元,用于在加密后的第一 DHCP报文之前增加DHCP报头封装生成第一 DHCP隧道消息;发送单元,用于将所述第一 DHCP隧道消息发送至对端设备。
7.如权利要求6所述的设备,其特征在于,还包括接收单元,用于接收从对端设备发送的第二 DHCP隧道信息;所述第二隧道消息为所述对端设备对第二 DHCP报文进行加密,并在加密后的第二 DHCP报文之前增加DHCP报头后封装生成的;解封装单元,用于对接收的所述第二 DHCP隧道消息进行解封装,提取其中加密后的第二 DHCP报文;解密单元,用于对提取的第二 DHCP报文进行解密;认证单元,用于对解密后的第二 DHCP报文进行认证。
8.如权利要求6所述的设备,其特征在于,所述加密单元,进一步用于使用设定的算法计算出所述第一 DHCP报文对应的第一离散值;使用所述网络设备自身的私钥加密所述第一离散值生成所述第一 DHCP报文的签名数据;使用所述对端设备的公钥加密所述第一 DHCP报文;将加密后的第一 DHCP报文、所述签名数据封装成安全多用途因特网邮件扩展协议S/MIME数据作为加密后的第一 DHCP报文。
9.如权利要求8所述的设备,其特征在于,所述封装单元,进一步用于构造DHCP报头, 并使得所述DHCP报头中客户端IP地址、分配给客户端的IP地址、服务器IP地址、客户端硬件地址、服务器主机名和启动文件名各字段为空白;并在所述第一DHCP报文为DHCP响应报文时,在中继设备IP地址字段中填写转发该隧道消息的DHCP中继设备的IP地址,在所述第一 DHCP报文为DHCP请求报文时,保持所述中继设备IP地址字段空白;将所述S/MIME 数据作为可选项字段;将DHCP报头和所述可选项字段,按照DHCP报文的格式封装为第一 DHCP隧道消息。
10.一种网络设备,其特征在于,包括接收单元,用于接收从对端设备发送的动态主机配置协议DHCP隧道信息;所述隧道消息为对端设备对DHCP报文进行加密,并在加密后的第一 DHCP报文之前增加DHCP报头后封装生成的;解封装单元,用于对接收的所述DHCP隧道消息进行解封装,提取其中加密后的DHCP报文;解密单元,用于对提取的DHCP报文进行解密;认证单元,用于对解密后的DHCP报文进行认证。
11.如权利要求10所述的设备,其特征在于,所述解密单元,进一步用于从解封装单元解封装出的所述加密后DHCP报文中,提取所述DHCP报文的签名数据;使用所述对端设备的公钥解密所述签名数据得到所述DHCP报文的第一离散值;使用所述网络设备自身的私钥对加密后的DHCP报文进行解密;以及使用设定的算法对解密后的DHCP报文进行计算对应的第二散列值;所述认证单元,进一步用于将计算出的第二散列值与解密得到的第一散列值进行比较,若两者一致,则认证通过;否则,认证失败。
12.一种动态主机配置协议报文的认证系统,其特征在于,包括第一设备,用于对动态主机配置协议DHCP报文进行加密,在加密后的DHCP报文之前增加DHCP报头,封装生成DHCP隧道消息并发送至第二设备;第二设备,用于接收的所述DHCP隧道消息进行解封装,提取其中加密后的DHCP报文进行解密得到所述DHCP报文,对解密后的DHCP报文进行认证。
13.如权利要求12所述的系统,其特征在于,所述第一设备为DHCP客户端,所述第二设备为DHCP服务器;或者所述第一设备为DHCP服务器,所述第二设备为DHCP客户端。
全文摘要
本发明公开了一种动态主机配置协议报文的认证方法、设备及系统,其中方法包括第一设备对DHCP报文进行加密,在加密后的DHCP报文之前增加DHCP报头,封装生成DHCP隧道消息并发送至第二设备;第二设备对接收的所述DHCP隧道消息进行解封装,提取其中加密后的DHCP报文进行解密,并对解密后的DHCP报文进行认证。本发明对DHCP报文进行了加密,隐蔽了DHCP报文中的敏感信息,增强了DHCP报文传输的安全性,并且将加密的DHCP报文封装成为DHCP隧道消息,使得加密后的DHCP报文能够成功地转发至第二设备,通过第二设备对加密后的DHCP报文进行认证,保证了第一设备和第二设备的身份的合法性。
文档编号H04L12/46GK102231725SQ20101013439
公开日2011年11月2日 申请日期2010年3月25日 优先权日2010年3月25日
发明者陈锋 申请人:北京星网锐捷网络技术有限公司