专利名称:基于dhcp的认证方法、dhcp服务器及客户端的制作方法
技术领域:
本发明涉及通信技术领域,特别涉及一种基于DHCP的认证方法、DHCP服务器及客户端。
背景技术:
DHCP (Dynamic Host Configuration Protocol,动态主机配置协议)是一个局域网的网络协议,使用UDP(User Datagram Protocol,用户数据包协议)工作,采用DHCP协议,DHCP服务器可自动将IP地址分配给登陆TCP/IP网络的DHCP客户端。为了保证DHCP客户端与DHCP服务器之间的通信安全,需要对DHCP服务器进行安全认证。目前,通常采用延迟认证方法对DHCP服务器进行认证,在该方法中,DHCP客户端和DHCP服务器中预先配置有共享密钥。该方法的基本流程为DHCP客户端将携带有认证选项和客户端身份标识的DHCP发现消息(DHCPDISC0VER)向本地子网广播;网络上的DHCP服务器收到该消息后,根据客户端身份标识和共享密钥计算出会话密钥,利用该会话密钥计算DHCP发现消息的认证码,使用该认证码填充认证选项,构造DHCP提供消息(DHCP0FFER),并将该DHCP提供消息发送给DHCP客户端;DHCP客户端利用本地存储的共享密钥计算出会话密钥,利用该会话密钥验证认证选项中的认证信息是否正确,然后构造DHCP请求消息(DHCPREQUEST),并利用该会话密钥计算该消息的认证码,使用该认证码填充认证选项,将该DHCP请求消息发送给选中的DHCP服务器;DHCP服务器收到该DHCP请求消息后,使用会话密钥验证该消息。在DHCP服务器和DHCP客户端之间进行认证吋,DHCP客户端和DHCP服务器需要基于预先配置的共享密钥进行认证,认证方式较复杂。
发明内容
本发明的实施例提供一种基于DHCP的认证方法、DHCP服务器及客户端,能够以简单的方式实现DHCP服务器和DHCP客户端之间的认证。本发明实施例采用的技术方案为一种基于DHCP的认证方法,包括DHCP服务器接收DHCP客户端发送的DHCP发现消息,所述DHCP发现消息中包括CA的URL以及DHCP客户端的标识;所述DHCP服务器根据所述CA的URL发现CA并向所述CA发送授权请求,所述授权请求中携带所述DHCP客户端的标识; 所述DHCP服务器接收所述CA返回的授权信息,所述授权信息中包括所述DHCP客户端的证书;所述DHCP服务器根据所述DHCP客户端的证书完成对所述DHCP客户端的认证;所述DHCP服务器向所述DHCP客户端发送DHCP提供消息,所述DHCP提供消息中包括所述CA返回的授权信息,以使所述DHCP客户端根据所述授权信息认证所述DHCP服务器。一种基于DHCP的认证方法,包括DHCP服务器接收DHCP客户端发送的DHCP发现消息;所述DHCP服务器向CA发送授权请求,所述授权请求中包括所述DHCP发现消息;所述DHCP服务器接收所述CA返回的授权信息,所述授权信息由所述CA根据所述授权请求对所述DHCP客户端进行认证通过后产生;所述DHCP服务器向所述DHCP客户端发送DHCP提供消息,所述DHCP提供消息中包括所述CA返回的授权信息,以使所述DHCP客户端根据所述授权信息认证所述DHCP 服务器。一种基于DHCP的认证方法,包括DHCP客户端向DHCP服务器发送DHCP发现消息,所述DHCP发现消息中包括CA的URL以及DHCP客户端的标识;所述DHCP客户端接收所述DHCP服务器在对所述DHCP客户端进行认证通过后发送的DHCP提供消息,所述DHCP提供消息中包括所述CA向所述DHCP服务器返回的授权信息;所述DHCP客户端根据所述授权信息认证所述DHCP服务器。—种基于DHCP的认证方法,包括DHCP客户端向DHCP服务器发送DHCP发现消息;所述DHCP客户端接收所述DHCP服务器发送的DHCP提供消息,所述DHCP提供消息中包括CA在对所述DHCP客户端进行认证通过后向所述DHCP服务器返回的授权信息;所述DHCP客户端根据所述授权信息认证所述DHCP服务器。ー种DHCP服务器,包括第一接收模块,用于接收DHCP客户端发送的DHCP发现消息,所述DHCP发现消息中包括CA的URL以及DHCP客户端的标识;第一发送模块,用于根据所述CA的URL发现CA并向所述CA发送授权请求,所述授权请求中携带所述DHCP客户端的标识;所述第一接收模块,还用于接收所述CA返回的授权信息,所述授权信息中包括所述DHCP客户端的证书; 所述DHCP服务器还包括第一认证模块,用于根据所述第一接收模块接收的所述授权信息中的所述DHCP客户端的证书完成对所述DHCP客户端的认证;所述第一发送模块,还用于向所述DHCP客户端发送DHCP提供消息,所述DHCP提供消息中包括所述第一接收模块接收的所述CA返回的授权信息,以使所述DHCP客户端根据所述授权信息认证所述DHCP服务器。ー种DHCP服务器,包括第二接收模块,用于接收DHCP客户端发送的DHCP发现消息;第二发送模块,用于根据所述第二接收模块接收的DHCP发现消息向CA发送授权请求,所述授权请求中包括所述DHCP发现消息;所述第二接收模块,还用于接收所述CA返回的授权信息,所述授权信息由所述CA根据所述授权请求对所述DHCP客户端进行认证通过后产生;所述第二发送模块,还用于向所述DHCP客户端发送DHCP提供消息,所述DHCP提供消息中包括所述第二接收模块接收的所述CA返回的授权信息,以使所述DHCP客户端根据所述授权信息认证所述DHCP服务器。ー种DHCP客户端,包括第三发送模块,用于向DHCP服务器发送DHCP发现消息,所述DHCP发现消息中包括CA的URL以及DHCP客户端的标识; 第三接收模块,用于接收所述DHCP服务器在对所述DHCP客户端进行认证通过后发送的DHCP提供消息,所述DHCP提供消息中包括所述CA向所述DHCP服务器返回的授权
信息;第二认证模块,用于根据所述第三接收模块接收的所述DHCP提供消息中的授权信息认证所述DHCP服务器。ー种DHCP客户端,包括第四发送模块,用于向DHCP服务器发送DHCP发现消息;第四接收模块,用于接收所述DHCP服务器发送的DHCP提供消息,所述DHCP提供消息中包括CA在对所述DHCP客户端进行认证通过后向所述DHCP服务器返回的授权信息;第三认证模块,用于根据所述第四接收模块接收的所述DHCP提供消息中的授权信息认证所述DHCP服务器。本发明实施例提供的基于DHCP的认证方法、DHCP服务器及客户端,DHCP服务器根据CA返回的授权信息完成对DHCP客户端的认证或者由CA实现对DHCP客户端的认证,DHCP服务器将CA返回的授权信息通过DHCP提供消息发送给DHCP客户端,DHCP客户端根据所述授权信息认证所述DHCP服务器。与现有技术相比,DHCP服务器和DHCP客户端不需要预先配置共享密钥,借助CA即可实现DHCP服务器和DHCP客户端之间的认证,认证方式较简単。
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的ー些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。图I为本发明实施例一提供的方法流程图;图2为本发明实施例ニ提供的方法流程图;图3为本发明实施例三提供的方法流程图;图4为本发明实施例四提供的方法流程图;图5为本发明实施例五提供的方法流程图;图6为本发明实施例六提供的方法流程图;图7为本发明实施例七提供的方法流程图;图8为本发明实施例八提供的方法流程图;图9a、图%、图9c为本发明实施例九提供的DHCP服务器结构示意图10a、图10b、图IOc为本发明实施例十提供的DHCP客户端结构示意图;图11a、图lib、图Ilc为本发明实施例i^一提供的DHCP服务器结构示意图;图12a、图12b、图12c为本发明实施例十二提供的DHCP客户端结构示意图;图13为本发明实施例十三提供的认证中心结构示意图。
具体实施例方式下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。 为使本发明技术方案的优点更加清楚,下面结合附图和实施例对本发明作详细说明。在本发明的所有实施例中,DHCP客户端中保存的信息包括DHCP客户端的公钥和私钥、CA (Certificate Authority,认证中心)的公钥以及DHCP客户端的证书;DHCP服务器中保存的信息包括DHCP服务器的公钥和私钥以及CA的公钥'CA中保存的信息包括CA的公钥和私钥、DHCP服务器的公钥和/或证书以及DHCP客户端的公钥和/或证书。实施例一本实施例提供一种基于DHCP的认证方法,在本实施例中,由DHCP服务器对DHCP客户端进行认证。如图I所示,在DHCP服务器端,所述方法包括101、DHCP服务器接收DHCP客户端发送的DHCP发现消息(DHCPDISC0VER),所述DHCP发现消息中包括CA的URL (Universal Resource Locator,统一资源定位符)以及DHCP客户端的标识。102、所述DHCP服务器根据所述CA的URL发现CA并向所述CA发送授权请求,所述授权请求中携带所述DHCP客户端的标识。103、所述DHCP服务器接收所述CA返回的授权信息,所述授权信息中包括所述DHCP客户端的证书。可选的,所述CA返回的授权信息中还包括所述CA产生的随机參数;则在所述DHCP服务器接收所述CA返回的授权信息之后,还包括所述DHCP服务器根据所述随机參数推演共享密钥,其中,所述共享密钥用于保护所述DHCP服务器和所述DHCP客户端之间通信的安全。其中,所述随机參数为所述DHCP服务器通过与所述CA之间的安全隧道接收的;或者,所述随机參数经过了 DHCP服务器的公钥加密;则相应的,在所述DHCP服务器根据所述随机參数推演共享密钥之前,还包括所述DHCP服务器使用所述DHCP服务器的私钥对所述加密的随机參数进行解密,获取所述随机參数。可选的,所述CA返回的授权信息中还包括所述CA根据随机參数生成的共享密钥或者所述CA直接产生的共享密钥;
则在所述DHCP服务器接收所述CA返回的授权信息之后,还包括所述DHCP服务器从所述授权信息中获取所述共享密钥,其中,所述共享密钥用于保护所述DHCP服务器和所述DHCP客户端之间通信的安全。可选的,所述共享密钥为所述DHCP服务器通过与所述CA之间的安全隧道接收的;或者,所述共享密钥经过了 DHCP服务器的公钥加密;则相应的,所述DHCP服务器从所述授权信息中获取所述共享密钥包括所述DHCP服务器使用所述DHCP服务器的私钥对所述加密的共享密钥进行解密,获取所述共享密钥。104、所述DHCP服务器根据所述DHCP客户端的证书完成对所述DHCP客户端的认证。为了增加DHCP发现消息的安全性,步骤301中的DHCP发现消息还包括采用DHCP客户端的私钥进行的签名,相应的,步骤304中,DHCP服务器根据所述DHCP客户端的证书完成对所述DHCP客户端的认证(authentication)即为DHCP服务器采用所述证书中包括的所述DHCP客户端的公钥对所述签名进行验证(verification)。 105、所述DHCP服务器向所述DHCP客户端发送DHCP提供消息(DHCP0FFER),所述DHCP提供消息中包括所述CA返回的授权信息,以使所述DHCP客户端根据所述授权信息认证所述DHCP服务器。在本实施例中,所述DHCP客户端可以为基站,但不仅限于此。本发明实施例提供的基于DHCP的认证方法,DHCP服务器根据CA返回的授权信息完成对DHCP客户端的认证,DHCP服务器将CA返回的授权信息通过DHCP提供消息发送给DHCP客户端,DHCP客户端根据所述授权信息认证所述DHCP服务器。与现有技术相比,DHCP服务器和DHCP客户端不需要预先配置共享密钥,借助CA即可实现DHCP服务器和DHCP客户端之间的认证,认证方式较简単。实施例ニ与实施例一相对应,本实施例提供一种基于DHCP的认证方法,在本实施例中,由DHCP服务器对DHCP客户端进行认证。如图2所示,在DHCP客户端,所述方法包括201、DHCP客户端向DHCP服务器发送DHCP发现消息(DHCPDISC0VER),所述DHCP发现消息中包括CA的URL以及DHCP客户端的标识。为了增加DHCP发现消息的安全性,还需对该DHCP发现消息采用DHCP客户端的私钥进行签名保护,以使得在DHCP服务器使用所述DHCP客户端的私钥对应的公钥对该签名进行验证,即实现对所述DHCP客户端的认证。202、所述DHCP客户端接收所述DHCP服务器在对所述DHCP客户端进行认证通过后发送的DHCP提供消息(DHCP0FFER),所述DHCP提供消息中包括所述CA向所述DHCP服务器返回的授权信息。203、所述DHCP客户端根据所述授权信息认证所述DHCP服务器。可选的,所述授权信息为先后使用所述CA的私钥和DHCP客户端的公钥进行双重加密的随机參数;在所述DHCP客户端接收所述DHCP服务器在对所述DHCP客户端进行认证通过后发送的DHCP提供消息之后,还包括所述DHCP客户端对所述双重加密的随机參数进行解密,获取随机參数;所述DHCP客户端根据所述随机參数推演共享密钥,其中,所述共享密钥用于保护所述DHCP服务器和所述DHCP客户端之间通信的安全。可选的,所述授权信息为先后使用所述CA的私钥和DHCP客户端的公钥进行双重加密的中间共享密钥和随机參数,其中,所述中间共享密钥由所述CA根据所述CA生成的共 享密钥和共享密钥标识计算得到,所述共享密钥标识由所述CA根据所述随机參数和所述CA的公钥计算得到;在所述DHCP客户端接收所述DHCP服务器在对所述DHCP客户端进行认证通过后发送的DHCP提供消息之后,还包括所述DHCP客户端对所述双重加密的中间共享密钥和随机參数进行解密,获取所述中间共享密钥和随机參数;所述DHCP客户端根据所述随机參数以及所述CA的公钥计算产生所述共享密钥标识,根据所述共享密钥标识和所述中间共享密钥计算产生所述共享密钥,其中,所述共享密钥用于保护所述DHCP服务器和所述DHCP客户端之间通信的安全。进ー步的,所述DHCP客户端接收所述DHCP服务器在对所述DHCP客户端进行认证通过后发送的DHCP提供消息包括DHCP客户端接收所述DHCP服务器发送的、经过共享密钥保护的DHCP提供消息,其中,所述共享密钥为所述DHCP服务器根据所述CA返回的授权信息得到;所述DHCP客户端根据所述授权信息认证所述DHCP服务器包括所述DHCP客户端使用所述共享密钥对所述经过保护的DHCP提供消息进行认证。可选的,所述授权信息中包括先后使用所述CA的私钥和DHCP客户端的公钥进行双重加密的第一随机參数,所述DHCP提供消息中包括使用DHCP客户端的公钥进行单重加密的第二随机參数;所述DHCP客户端根据所述授权信息认证所述DHCP服务器包括DHCP客户端对所述双重加密的第一随机參数进行解密,得到第一随机參数,对所述单重加密的第二随机參数进行解密,得到第二随机參数;DHCP客户端将所述第一随机參数和第二随机參数进行比较,若两者相同,则认证通过。在本实施例中,所述DHCP客户端可以为基站,但不仅限于此。本发明实施例提供的基于DHCP的认证方法,DHCP客户端接收所述DHCP服务器在对所述DHCP客户端进行认证通过后发送的DHCP提供消息,所述DHCP提供消息中包括所述CA向所述DHCP服务器返回的授权信息,所述DHCP客户端根据所述授权信息认证所述DHCP服务器。与现有技术相比,DHCP服务器和DHCP客户端不需要预先配置共享密钥,借助CA即可实现DHCP服务器和DHCP客户端之间的认证,认证方式较简単。实施例三本实施例提供一种基于DHCP的认证方法,在本实施例中,由CA对DHCP客户端进行认证。如图3所示,在DHCP服务器端,所述方法包括301、DHCP服务器接收DHCP客户端发送的DHCP发现消息(DHCPDISC0VER)。为了增加DHCP发现消息的安全性,该DHCP发现消息还包括采用DHCP客户端的私钥进行的签名,以使得在CA接收到该DHCP发现消息后,使用所述DHCP客户端的私钥对应的公钥对该签名进行验证,即实现对所述DHCP客户端的认证。302、DHCP服务器向CA发送授权请求,所述授权请求中包括所述DHCP发现消息。其中,步骤302的目的是为了让CA代替DHCP服务器完成对DHCP客户端的认证。
303、所述DHCP服务器接收所述CA返回的授权信息,所述授权信息由所述CA根据所述授权请求对所述DHCP客户端进行认证通过后产生。上述对DHCP客户端的认证,即指CA使用DHCP客户端的私钥对应的公钥对该签名进行验证。可选的,所述CA返回的授权信息为所述CA产生的随机參数;则在所述DHCP服务器接收所述CA返回的授权信息之后,还包括所述DHCP服务器根据所述随机參数推演共享密钥,其中,所述共享密钥用于保护所述DHCP服务器和所述DHCP客户端之间通信的安全。其中,所述随机參数为所述DHCP服务器通过与所述CA之间的安全隧道接收的;或者,所述随机參数经过了 DHCP服务器的公钥加密;则相应的,在所述DHCP服务器根据所述随机參数推演共享密钥之前,还包括所述DHCP服务器使用所述DHCP服务器的私钥对所述加密的随机參数进行解密,获取所述随机參数。可选的,所述CA返回的授权信息为所述CA根据随机參数生成的共享密钥或者所述CA直接产生的共享密钥;则在所述DHCP服务器接收所述CA返回的授权信息之后,还包括所述DHCP服务器从所述授权信息中获取所述共享密钥,其中,所述共享密钥用于保护所述DHCP服务器和所述DHCP客户端之间通信的安全。其中,所述共享密钥为所述DHCP服务器通过与所述CA之间的安全隧道接收的;或者,所述共享密钥经过了 DHCP服务器的公钥加密;则相应的,所述DHCP服务器从所述授权信息中获取所述共享密钥包括所述DHCP服务器使用所述DHCP服务器的私钥对所述加密的共享密钥进行解密,获取所述共享密钥。304、所述DHCP服务器向所述DHCP客户端发送DHCP提供消息(DHCP0FFER),所述DHCP提供消息中包括所述CA返回的授权信息,以使所述DHCP客户端根据所述授权信息认证所述DHCP服务器。在本实施例中,所述DHCP客户端可以为基站,但不仅限于此。本发明实施例提供的基于DHCP的认证方法,CA根据DHCP服务器发送的授权请求完成对DHCP客户端的认证,DHCP服务器将CA返回的授权信息通过DHCP提供消息发送给DHCP客户端,以使DHCP客户端根据所述授权信息认证所述DHCP服务器。与现有技术相比,DHCP服务器和DHCP客户端不需要预先配置共享密钥,借助CA即可实现DHCP服务器和DHCP客户端之间的认证,认证方式较简単。实施例四与实施例三相对应,本实施例提供一种基于DHCP的认证方法,在本实施例中,由CA对DHCP客户端进行认证。如图4所示,在DHCP客户端,所述方法包括401、DHCP客户端向DHCP服务器发送DHCP发现消息(DHCPDISC0VER)。为了增加DHCP发现消息的安全性,还需对该DHCP发现消息采用DHCP客户端的私 钥进行签名保护,以使得在CA接收到该DHCP发现消息后,使用所述DHCP客户端的私钥对应的公钥对该DHCP发现消息进行验证,即实现对所述DHCP客户端的认证。402、所述DHCP客户端接收所述DHCP服务器发送的DHCP提供消息(DHCP0FFER),所述DHCP提供消息中包括CA在对所述DHCP客户端进行认证通过后向所述DHCP服务器返回的授权信息。其中,所述DHCP服务器接收到所述DHCP客户端发送的DHCP发现消息后,向CA发送授权请求,所述CA根据所述授权请求向所述DHCP服务器返回授权信息。403、所述DHCP客户端根据所述授权信息认证所述DHCP服务器。可选的,所述授权信息为先后使用所述CA的私钥和DHCP客户端的公钥进行双重加密的随机參数;在所述DHCP客户端接收所述DHCP服务器发送的DHCP提供消息之后,还包括所述DHCP客户端对所述双重加密的随机參数进行解密,获取随机參数;所述DHCP客户端根据所述随机參数推演共享密钥,其中,所述共享密钥用于保护所述DHCP服务器和所述DHCP客户端之间通信的安全。可选的,所述授权信息为先后使用所述CA的私钥和DHCP客户端的公钥进行双重加密的中间共享密钥和随机參数,其中,所述中间共享密钥由所述CA根据所述CA生成的共享密钥和共享密钥标识计算得到,所述共享密钥标识由所述CA根据所述随机參数和所述CA的公钥计算得到;在所述DHCP客户端接收所述DHCP服务器发送的DHCP提供消息之后,还包括所述DHCP客户端对所述双重加密的中间共享密钥和随机參数进行解密,获取所述中间共享密钥和随机參数;所述DHCP客户端根据所述随机參数以及所述CA的公钥计算产生所述共享密钥标识,根据所述共享密钥标识和所述中间共享密钥计算产生所述共享密钥,其中,所述共享密钥用于保护所述DHCP服务器和所述DHCP客户端之间通信的安全。进ー步的,所述DHCP客户端接收所述DHCP服务器发送的DHCP提供消息包括DHCP客户端接收所述DHCP服务器发送的、经过共享密钥保护的DHCP提供消息,其中,所述共享密钥为所述DHCP服务器根据所述CA返回的授权信息得到;所述DHCP客户端根据所述授权信息认证所述DHCP服务器包括所述DHCP客户端使用所述共享密钥对所述经过保护的DHCP提供消息进行认证。可选的,所述授权信息中包括先后使用所述CA的私钥和DHCP客户端的公钥进行双重加密的第一随机參数,所述DHCP提供消息中包括使用DHCP客户端的公钥进行单重加密的第二随机參数;则所述DHCP客户端根据所述授权信息认证所述DHCP服务器包括DHCP客户端对所述双重加密的第一随机參数进行解密,得到第一随机參数,对所述单重加密的第二随机參数进行解密,得到第二随机參数;DHCP客户端将所述第一随机參数和第二随机參数进行比较,若两者相同,则认证通过。在本实施例中,所述DHCP客户端可以为基站,但不仅限于此。本发明实施例提供的基于DHCP的认证方法,CA在完成对DHCP客户端的认证后,向DHCP服务器返回授权信息,DHCP服务器将CA返回的授权信息通过DHCP提供消息发送给DHCP客户端,DHCP客户端根据所述授权信息认证所述DHCP服务器。与现有技术相比,DHCP 服务器和DHCP客户端不需要预先配置共享密钥,借助CA即可实现DHCP服务器和DHCP客户端之间的认证,认证方式较简単。实施例五本实施例提供一种基于DHCP的认证方法,在本实施例中,DHCP客户端为基站,CA向DHCP服务器发送的授权信息包括经过单重加密的随机參数和经过双重加密的随机參数。如图5所示,所述DHCP服务器与DHCP客户端之间基于DHCP的认证方法包括501、当DHCP服务器与CA进行认证通过后,基站向DHCP服务器发送DHCP发现消息(DHCPDISC0VER),所述DHCP发现消息中包括认证选项,该认证选项包括使用基站的私钥计算的数字签名以及可选的随机数等信息。可选的,所述认证选项还可以包括URL选项,所述URL选项携带CA的地址;具体地,所述URL选项可以为选项98。所述认证选项的结构如表I所示
0_I_5 _3_
类型算法协议算法
重放机制重放检测值(64位)重放检测值
重放检测值认证信息类型认证信息长度
授权信息 数字签名表I所述选项98的格式如表2所示
权利要求
1.一种基于DHCP的认证方法,其特征在于,包括 DHCP服务器接收DHCP客户端发送的DHCP发现消息,所述DHCP发现消息中包括CA的统ー资源定位符URL以及DHCP客户端的标识; 所述DHCP服务器根据所述CA的URL发现CA并向所述CA发送授权请求,所述授权请求中携带所述DHCP客户端的标识; 所述DHCP服务器接收所述CA返回的授权信息,所述授权信息中包括所述DHCP客户端的证书; 所述DHCP服务器根据所述DHCP客户端的证书完成对所述DHCP客户端的认证; 所述DHCP服务器向所述DHCP客户端发送DHCP提供消息,所述DHCP提供消息中包括所述CA返回的授权信息,以使所述DHCP客户端根据所述授权信息认证所述DHCP服务器。
2.根据权利要求I所述的方法,其特征在于,所述DHCP发现消息还包括采用DHCP客户端的私钥进行的签名; 所述DHCP服务器根据所述DHCP客户端的证书完成对所述DHCP客户端的认证包括 所述DHCP服务器采用所述证书中包括的所述DHCP客户端的公钥对所述签名进行验证。
3.根据权利要求I所述的方法,其特征在于,所述CA返回的授权信息中包括所述CA产生的随机參数; 在所述DHCP服务器接收所述CA返回的授权信息之后,还包括 所述DHCP服务器根据所述随机參数推演共享密钥,其中,所述共享密钥用于保护所述DHCP服务器和所述DHCP客户端之间通信的安全。
4.根据权利要求3所述的方法,其特征在干, 所述随机參数为所述DHCP服务器通过与所述CA之间的安全隧道接收的; 或者, 所述随机參数经过了 DHCP服务器的公钥加密;则相应的,在所述DHCP服务器根据所述随机參数推演共享密钥之前,还包括 所述DHCP服务器使用所述DHCP服务器的私钥对所述加密的随机參数进行解密,获取所述随机參数。
5.根据权利要求I所述的方法,其特征在于,所述CA返回的授权信息中包括所述CA根据随机參数生成的共享密钥或者所述CA直接产生的共享密钥; 在所述DHCP服务器接收所述CA返回的授权信息之后,还包括 所述DHCP服务器从所述授权信息中获取所述共享密钥,其中,所述共享密钥用于保护所述DHCP服务器和所述DHCP客户端之间通信的安全。
6.根据权利要求5所述的方法,其特征在干, 所述共享密钥为所述DHCP服务器通过与所述CA之间的安全隧道接收的; 或者, 所述共享密钥经过了 DHCP服务器的公钥加密;则相应的,所述DHCP服务器从所述授权信息中获取所述共享密钥包括 所述DHCP服务器使用所述DHCP服务器的私钥对所述加密的共享密钥进行解密,获取所述共享密钥。
7.一种基于动态主机配置协议DHCP的认证方法,其特征在于,包括 DHCP服务器接收DHCP客户端发送的DHCP发现消息; 所述DHCP服务器向认证中心CA发送授权请求,所述授权请求中包括所述DHCP发现消息; 所述DHCP服务器接收所述CA返回的授权信息,所述授权信息由所述CA根据所述授权请求对所述DHCP客户端进行认证通过后产生; 所述DHCP服务器向所述DHCP客户端发送DHCP提供消息,所述DHCP提供消息中包括所述CA返回的授权信息,以使所述DHCP客户端根据所述授权信息认证所述DHCP服务器。
8.根据权利要求7所述的方法,其特征在于,所述DHCP发现消息还包括采用DHCP客户端的私钥进行的签名; 所述CA根据所述授权请求对所述DHCP客户端进行认证包括 所述CA采用所述DHCP客户端的公钥对所述签名进行验证。
9.根据权利要求7所述的方法,其特征在于,所述CA返回的授权信息为所述CA产生的随机參数; 在所述DHCP服务器接收所述CA返回的授权信息之后,还包括 所述DHCP服务器根据所述随机參数推演共享密钥,其中,所述共享密钥用于保护所述DHCP服务器和所述DHCP客户端之间通信的安全。
10.根据权利要求9所述的方法,其特征在干, 所述随机參数为所述DHCP服务器通过与所述CA之间的安全隧道接收的; 或者, 所述随机參数经过了 DHCP服务器的公钥加密;则相应的,在所述DHCP服务器根据所述随机參数推演共享密钥之前,还包括 所述DHCP服务器使用所述DHCP服务器的私钥对所述加密的随机參数进行解密,获取所述随机參数。
11.根据权利要求7所述的方法,其特征在于,所述CA返回的授权信息为所述CA根据随机參数生成的共享密钥或者所述CA直接产生的共享密钥; 在所述DHCP服务器接收所述CA返回的授权信息之后,还包括 所述DHCP服务器从所述授权信息中获取所述共享密钥,其中,所述共享密钥用于保护所述DHCP服务器和所述DHCP客户端之间通信的安全。
12.根据权利要求11所述的方法,其特征在干, 所述共享密钥为所述DHCP服务器通过与所述CA之间的安全隧道接收的; 或者, 所述共享密钥经过了 DHCP服务器的公钥加密;则相应的,所述DHCP服务器从所述授权信息中获取所述共享密钥包括 所述DHCP服务器使用所述DHCP服务器的私钥对所述加密的共享密钥进行解密,获取所述共享密钥。
13.—种基于DHCP的认证方法,其特征在于,包括 DHCP客户端向DHCP服务器发送DHCP发现消息,所述DHCP发现消息中包括CA的URL以及DHCP客户端的标识;所述DHCP客户端接收所述DHCP服务器在对所述DHCP客户端进行认证通过后发送的DHCP提供消息,所述DHCP提供消息中包括所述CA向所述DHCP服务器返回的授权信息;所述DHCP客户端根据所述授权信息认证所述DHCP服务器。
14.根据权利要求13所述的方法,其特征在于,所述DHCP发现消息还包括采用DHCP客户端的私钥进行的签名;以使得所述DHCP服务器采用所述DHCP客户端的公钥对所述签名进行验证。
15.根据权利要求13所述的方法,其特征在于,所述授权信息为先后使用所述CA的私钥和DHCP客户端的公钥进行双重加密的随机參数; 在所述DHCP客户端接收所述DHCP服务器在对所述DHCP客户端进行认证通过后发送的DHCP提供消息之后,还包括 所述DHCP客户端对所述双重加密的随机參数进行解密,获取随机參数; 所述DHCP客户端根据所述随机參数推演共享密钥,其中,所述共享密钥用于保护所述DHCP服务器和所述DHCP客户端之间通信的安全。
16.根据权利要求13所述的方法,其特征在于,所述授权信息为先后使用所述CA的私钥和DHCP客户端的公钥进行双重加密的中间共享密钥和随机參数,其中,所述中间共享密钥由所述CA根据所述CA生成的共享密钥和共享密钥标识计算得到,所述共享密钥标识由所述CA根据所述随机參数和所述CA的公钥计算得到; 在所述DHCP客户端接收所述DHCP服务器在对所述DHCP客户端进行认证通过后发送的DHCP提供消息之后,还包括 所述DHCP客户端对所述双重加密的中间共享密钥和随机參数进行解密,获取所述中间共享密钥和随机參数; 所述DHCP客户端根据所述随机參数以及所述CA的公钥计算产生所述共享密钥标识,根据所述共享密钥标识和所述中间共享密钥计算产生所述共享密钥,其中,所述共享密钥用于保护所述DHCP服务器和所述DHCP客户端之间通信的安全。
17.根据权利要求15或16所述的方法,其特征在于,所述DHCP客户端接收所述DHCP服务器在对所述DHCP客户端进行认证通过后发送的DHCP提供消息包括 DHCP客户端接收所述DHCP服务器发送的、经过共享密钥保护的DHCP提供消息,其中,所述共享密钥为所述DHCP服务器根据所述CA返回的授权信息得到; 所述DHCP客户端根据所述授权信息认证所述DHCP服务器包括 所述DHCP客户端使用所述共享密钥对所述经过保护的DHCP提供消息进行认证。
18.根据权利要求13所述的方法,其特征在于,所述授权信息中包括先后使用所述CA的私钥和DHCP客户端的公钥进行双重加密的第一随机參数,所述DHCP提供消息中包括使用DHCP客户端的公钥进行单重加密的第二随机參数; 所述DHCP客户端根据所述授权信息认证所述DHCP服务器包括 DHCP客户端对所述双重加密的第一随机參数进行解密,得到第一随机參数,对所述单重加密的第二随机參数进行解密,得到第二随机參数; DHCP客户端将所述第一随机參数和第二随机參数进行比较,若两者相同,则认证通过。
19.一种基于DHCP的认证方法,其特征在于,包括 DHCP客户端向DHCP服务器发送DHCP发现消息;所述DHCP客户端接收所述DHCP服务器发送的DHCP提供消息,所述DHCP提供消息中包括CA在对所述DHCP客户端进行认证通过后向所述DHCP服务器返回的授权信息; 所述DHCP客户端根据所述授权信息认证所述DHCP服务器。
20.根据权利要求19所述的方法,其特征在于,所述DHCP发现消息还包括采用DHCP客户端的私钥进行的签名;以使得所述CA采用所述DHCP客户端的公钥对所述签名进行验证。
21.根据权利要求19所述的方法,其特征在于,所述授权信息为先后使用所述CA的私钥和DHCP客户端的公钥进行双重加密的随机參数; 在所述DHCP客户端接收所述DHCP服务器发送的DHCP提供消息之后,还包括 所述DHCP客户端对所述双重加密的随机參数进行解密,获取随机參数; 所述DHCP客户端根据所述随机參数推演共享密钥,其中,所述共享密钥用于保护所述DHCP服务器和所述DHCP客户端之间通信的安全。
22.根据权利要求19所述的方法,其特征在于,所述授权信息为先后使用所述CA的私钥和DHCP客户端的公钥进行双重加密的中间共享密钥和随机參数,其中,所述中间共享密钥由所述CA根据所述CA生成的共享密钥和共享密钥标识计算得到,所述共享密钥标识由所述CA根据所述随机參数和所述CA的公钥计算得到; 在所述DHCP客户端接收所述DHCP服务器发送的DHCP提供消息之后,还包括 所述DHCP客户端对所述双重加密的中间共享密钥和随机參数进行解密,获取所述中间共享密钥和随机參数; 所述DHCP客户端根据所述随机參数以及所述CA的公钥计算产生所述共享密钥标识,根据所述共享密钥标识和所述中间共享密钥计算产生所述共享密钥,其中,所述共享密钥用于保护所述DHCP服务器和所述DHCP客户端之间通信的安全。
23.根据权利要求21或22所述的方法,其特征在于,所述DHCP客户端接收所述DHCP服务器发送的DHCP提供消息包括 DHCP客户端接收所述DHCP服务器发送的、经过共享密钥保护的DHCP提供消息,其中,所述共享密钥为所述DHCP服务器根据所述CA返回的授权信息得到; 所述DHCP客户端根据所述授权信息认证所述DHCP服务器包括 所述DHCP客户端使用所述共享密钥对所述经过保护的DHCP提供消息进行认证。
24.根据权利要求19所述的方法,其特征在于,所述授权信息中包括先后使用所述CA的私钥和DHCP客户端的公钥进行双重加密的第一随机參数,所述DHCP提供消息中包括使用DHCP客户端的公钥进行单重加密的第二随机參数; 所述DHCP客户端根据所述授权信息认证所述DHCP服务器包括 DHCP客户端对所述双重加密的第一随机參数进行解密,得到第一随机參数,对所述单重加密的第二随机參数进行解密,得到第二随机參数; DHCP客户端将所述第一随机參数和第二随机參数进行比较,若两者相同,则认证通过。
25.—种DHCP服务器,其特征在于,包括 第一接收模块,用于接收DHCP客户端发送的DHCP发现消息,所述DHCP发现消息中包括CA的URL以及DHCP客户端的标识; 第一发送模块,用于根据所述CA的URL发现CA井向所述CA发送授权请求,所述授权请求中携带所述DHCP客户端的标识; 所述第一接收模块,还用于接收所述CA返回的授权信息,所述授权信息中包括所述DHCP客户端的证书; 所述DHCP服务器还包括 第一认证模块,用于根据所述第一接收模块接收的所述授权信息中的所述DHCP客户端的证书完成对所述DHCP客户端的认证; 所述第一发送模块,还用于向所述DHCP客户端发送DHCP提供消息,所述DHCP提供消息中包括所述第一接收模块接收的所述CA返回的授权信息,以使所述DHCP客户端根据所述授权信息认证所述DHCP服务器。
26.根据权利要求25所述的DHCP服务器,其特征在于,所述第一接收模块接收的DHCP发现消息还包括采用DHCP客户端的私钥进行的签名; 所述第一认证模块,具体用于采用所述第一接收模块接收的所述授权信息中的所述DHCP客户端的证书中包括的所述DHCP客户端的公钥对所述签名进行验证。
27.根据权利要求25所述的DHCP服务器,其特征在于,所述第一接收模块接收的所述CA返回的授权信息为所述CA产生的随机參数; 所述DHCP服务器还包括 第一获取模块,用于根据所述第一接收模块接收的所述随机參数推演共享密钥,其中,所述共享密钥用于保护所述DHCP服务器和所述DHCP客户端之间通信的安全。
28.根据权利要求27所述的DHCP服务器,其特征在于,所述随机參数为所述第一接收模块通过与所述CA之间的安全隧道接收的; 或者, 所述随机參数经过了 DHCP服务器的公钥加密;则相应的,所述DHCP服务器还包括 第一解密模块,用于使用所述DHCP服务器的私钥对所述加密的随机參数进行解密,获取所述随机參数;则相应的,所述第一获取模块具体用于根据所述第一解密模块获取的所述随机參数推演共享密钥。
29.根据权利要求25所述的DHCP服务器,其特征在于,所述第一接收模块接收的CA返回的授权信息为所述CA根据随机參数生成的共享密钥或者所述CA直接产生的共享密钥; 所述DHCP服务器还包括 第二获取模块,用于从所述第一接收模块接收的所述授权信息中获取所述共享密钥,其中,所述共享密钥用于保护所述DHCP服务器和所述DHCP客户端之间通信的安全。
30.根据权利要求29所述的DHCP服务器,其特征在于,所述共享密钥为所述第一接收模块通过与所述CA之间的安全隧道接收的; 或者, 所述共享密钥经过了 DHCP服务器的公钥加密;则相应的,所述第二获取模块具体用于使用所述DHCP服务器的私钥对所述加密的共享密钥进行解密,获取所述共享密钥。
31.ー种DHCP服务器,其特征在于,包括 第二接收模块,用于接收DHCP客户端发送的DHCP发现消息; 第二发送模块,用于根据所述第二接收模块接收的DHCP发现消息向CA发送授权请求,所述授权请求中包括所述DHCP发现消息;所述第二接收模块,还用于接收所述CA返回的授权信息,所述授权信息由所述CA根据所述授权请求对所述DHCP客户端进行认证通过后产生; 所述第二发送模块,还用于向所述DHCP客户端发送DHCP提供消息,所述DHCP提供消息中包括所述第二接收模块接收的所述CA返回的授权信息,以使所述DHCP客户端根据所述授权信息认证所述DHCP服务器。
32.根据权利要求31所述的DHCP服务器,其特征在于,所述第二接收模块接收的DHCP发现消息还包括采用DHCP客户端的私钥进行的签名; 则所述第二接收模块接收的授权信息由所述CA根据所述授权请求对所述DHCP客户端进行认证通过后产生。
33.根据权利要求31所述的DHCP服务器,其特征在于,所述第二接收模块接收的所述CA返回的授权信息为所述CA产生的随机參数; 所述DHCP服务器还包括 第三获取模块,用于根据所述第二接收模块接收的所述随机參数推演共享密钥,其中,所述共享密钥用于保护所述DHCP服务器和所述DHCP客户端之间通信的安全。
34.根据权利要求33所述的DHCP服务器,其特征在于,所述随机參数为所述第二接收模块通过与所述CA之间的安全隧道接收的; 或者, 所述随机參数经过了 DHCP服务器的公钥加密;则相应的,所述DHCP服务器还包括 第二解密模块,用于使用所述DHCP服务器的私钥对所述加密的随机參数进行解密,获取所述随机參数;则相应的,所述第三获取模块具体用于根据所述第二解密模块获取的所述随机參数推演共享密钥。
35.根据权利要求31所述的DHCP服务器,其特征在于,所述第二接收模块接收的CA返回的授权信息为所述CA根据随机參数生成的共享密钥或者所述CA直接产生的共享密钥; 所述DHCP服务器还包括 第四获取模块,用于从所述第二接收模块接收的所述授权信息中获取所述共享密钥,其中,所述共享密钥用于保护所述DHCP服务器和所述DHCP客户端之间通信的安全。
36.根据权利要求35所述的DHCP服务器,其特征在于,所述共享密钥为所述第二接收模块通过与所述CA之间的安全隧道接收的; 或者, 所述共享密钥经过了 DHCP服务器的公钥加密;则相应的,所述第四获取模块具体用于使用所述DHCP服务器的私钥对所述加密的共享密钥进行解密,获取所述共享密钥。
37.ー种DHCP客户端,其特征在于,包括 第三发送模块,用于向DHCP服务器发送DHCP发现消息,所述DHCP发现消息中包括CA的URL以及DHCP客户端的标识; 第三接收模块,用于接收所述DHCP服务器在对所述DHCP客户端进行认证通过后发送的DHCP提供消息,所述DHCP提供消息中包括所述CA向所述DHCP服务器返回的授权信息; 第二认证模块,用于根据所述第三接收模块接收的所述DHCP提供消息中的授权信息认证所述DHCP服务器。
38.根据权利要求37所述的DHCP客户端,其特征在于,所述第三接收模块接收的所述DHCP发现消息还包括采用DHCP客户端的私钥进行的签名;以使得所述DHCP服务器采用所述DHCP客户端的公钥对所述签名进行验证。
39.根据权利要求37所述的DHCP客户端,其特征在于,所述授权信息为先后使用所述CA的私钥和DHCP客户端的公钥进行双重加密的随机參数; 所述DHCP客户端还包括 第三解密模块,用于对所述双重加密的随机參数进行解密,获取随机參数; 第五获取模块,用于根据所述第三解密模块获取的随机參数推演共享密钥,其中,所述 共享密钥用于保护所述DHCP服务器和所述DHCP客户端之间通信的安全。
40.根据权利要求37所述的DHCP客户端,其特征在于,所述授权信息为先后使用所述CA的私钥和DHCP客户端的公钥进行双重加密的中间共享密钥和随机參数,其中,所述中间共享密钥由所述CA根据所述CA生成的共享密钥和共享密钥标识计算得到,所述共享密钥标识由所述CA根据所述随机參数和所述CA的公钥计算得到; 所述DHCP客户端还包括 第四解密模块,用于对所述双重加密的中间共享密钥和随机參数进行解密,获取所述中间共享密钥和随机參数; 第六获取模块,用于根据所述第四解密模块获取的随机參数以及所述CA的公钥计算产生所述共享密钥标识,根据所述共享密钥标识和所述第四解密模块获取的中间共享密钥计算产生所述共享密钥,其中,所述共享密钥用于保护所述DHCP服务器和所述DHCP客户端之间通信的安全。
41.根据权利要求39或40所述的DHCP客户端,其特征在于,所述第三接收模块,具体用于接收所述DHCP服务器发送的、经过共享密钥保护的DHCP提供消息,其中,所述共享密钥为所述DHCP服务器根据所述CA返回的授权信息得到; 所述第二认证模块,具体用于使用所述共享密钥对所述第三接收模块接收的经过保护的所述DHCP提供消息进行认证。
42.根据权利要求37所述的DHCP客户端,其特征在于,所述授权信息中包括先后使用CA的私钥和DHCP客户端的公钥进行双重加密的第一随机參数,所述DHCP提供消息中包括使用DHCP客户端的公钥进行单重加密的第二随机參数; 所述第二认证模块,具体用于对所述双重加密的第一随机參数进行解密,得到第一随机參数,对所述单重加密的第二随机參数进行解密,得到第二随机參数,将所述第一随机參数和第二随机參数进行比较,若两者相同,则认证通过。
43.ー种DHCP客户端,其特征在于,包括 第四发送模块,用于向DHCP服务器发送DHCP发现消息; 第四接收模块,用于接收所述DHCP服务器发送的DHCP提供消息,所述DHCP提供消息中包括CA在对所述DHCP客户端进行认证通过后向所述DHCP服务器返回的授权信息; 第三认证模块,用于根据所述第四接收模块接收的所述DHCP提供消息中的授权信息认证所述DHCP服务器。
44.根据权利要求43所述的DHCP客户端,其特征在于,所述第四接收模块接收的所述DHCP发现消息还包括采用DHCP客户端的私钥进行的签名;以使得所述CA采用所述DHCP客户端的公钥对所述签名进行验证。
45.根据权利要求43所述的DHCP客户端,其特征在于,所述授权信息为先后使用所述CA的私钥和DHCP客户端的公钥进行双重加密的随机參数; 所述DHCP客户端还包括 第五解密模块,用于对所述双重加密的随机參数进行解密,获取随机參数; 第七获取模块,用于根据所述第五解密模块获取的随机參数推演共享密钥,其中,所述共享密钥用于保护所述DHCP服务器和所述DHCP客户端之间通信的安全。
46.根据权利要求43所述的DHCP客户端,其特征在于,所述授权信息为先后使用所述CA的私钥和DHCP客户端的公钥进行双重加密的中间共享密钥和随机參数,其中,所述中间共享密钥由所述CA根据所述CA生成的共享密钥和共享密钥标识计算得到,所述共享密钥标识由所述CA根据所述随机參数和所述CA的公钥计算得到; 所述DHCP客户端还包括 第六解密模块,用于对所述双重加密的中间共享密钥和随机參数进行解密,获取所述中间共享密钥和随机參数; 第八获取模块,用于根据所述第六解密模块获取的随机參数以及所述CA的公钥计算产生所述共享密钥标识,根据所述共享密钥标识和所述第六解密模块获取的中间共享密钥计算产生所述共享密钥,其中,所述共享密钥用于保护所述DHCP服务器和所述DHCP客户端之间通信的安全。
47.根据权利要求45或46所述的DHCP客户端,其特征在于,所述第四接收模块,具体用于接收所述DHCP服务器发送的、经过共享密钥保护的DHCP提供消息,其中,所述共享密钥为所述DHCP服务器根据所述CA返回的授权信息得到; 所述第三认证模块,具体用于使用所述共享密钥对所述第四接收模块接收的经过保护的所述DHCP提供消息进行认证。
48.根据权利要求43所述的DHCP客户端,其特征在于,所述授权信息中包括先后使用CA的私钥和DHCP客户端的公钥进行双重加密的第一随机參数,所述DHCP提供消息中包括使用DHCP客户端的公钥进行单重加密的第二随机參数; 所述第三认证模块,具体用于对所述双重加密的第一随机參数进行解密,得到第一随机參数,对所述单重加密的第二随机參数进行解密,得到第二随机參数,将所述第一随机參数和第二随机參数进行比较,若两者相同,则认证通过。
全文摘要
本发明实施例公开了一种基于DHCP的认证方法、DHCP服务器及客户端,所述方法包括DHCP服务器接收DHCP客户端发送的DHCP发现消息,所述DHCP发现消息中包括CA的URL以及DHCP客户端的标识;所述DHCP服务器根据所述CA的URL发现CA并向所述CA发送授权请求,所述授权请求中携带所述DHCP客户端的标识;所述DHCP服务器接收所述CA返回的授权信息,所述授权信息中包括所述DHCP客户端的证书;所述DHCP服务器根据所述DHCP客户端的证书完成对所述DHCP客户端的认证;所述DHCP服务器向所述DHCP客户端发送DHCP提供消息,所述DHCP提供消息中包括所述CA返回的授权信息,以使所述DHCP客户端根据所述授权信息认证所述DHCP服务器。本发明适用于进行基于DHCP的认证。
文档编号H04L29/06GK102651736SQ20111004786
公开日2012年8月29日 申请日期2011年2月28日 优先权日2011年2月28日
发明者毕晓宇, 陈佳佳 申请人:华为技术有限公司