一种认证方法及系统的制作方法

一种认证方法及系统的制作方法
【专利摘要】本发明实施例提供了一种认证方法及系统，应用于DHCP中，其中，该方法包括：DHCP服务器接收来自DHCP客户端的DHCP?DISCOVER消息，该消息中包含应用DHCP客户端私钥加密的第一信息；DHCP服务器从认证服务器上获取与所述DHCP客户端对应的数字证书，应用数字证书公钥对加密的第一信息进行解密并验证，若验证成功，则对DHCP客户端完成认证；DHCP服务器向DHCP客户端发送DHCP?OFFER消息，该消息中包含加密的第二信息，以使DHCP客户端对所述加密的第二信息进行解密并验证，若验证成功，则对DHCP服务器完成认证。应用本发明实施例，避免了DOS攻击，而且避免使用预置的共享密钥进行认证，从而更进一步的保证了DHCP的安全。
【专利说明】一种认证方法及系统
【技术领域】
[0001]本发明涉及动态主机配置协议(DHCP,Dynamic Host Configuration Protocol,特别涉及一种基于DHCP的认证方法及系统。
【背景技术】
[0002]动态主机设置协议(DHCP,Dynamic Host Configuration Protocol)是一个局域网的网络协议，使用用户数据包协议(UDP)工作，可自动将IP地址指派给登录传输控制协议/网间协议(TCP/IP)网络的用户端。DHCP协议是基于UDP层之上的应用，服务器使用的UDP端口号为67，客户端使用的UDP端口号为68。
[0003]DHCP中有一个可选项参数域(option)，其是允许厂商定议选项(Vendor-SpecificArea),以提供更多的设定资讯(如:网络标识(Netmask)、网关(Gateway)、地址解析服务器(DNS)等等)。其长度可变，同时可携带多个选项，每一选项的第一个字节(byte)为选项编码如43、60、90等，其后一个byte为该项资料长度，最后为项目内容。
[0004]以基站作为DHCP客户端为例，基站设备在开局时要求只需要硬件安装人员，而不需要专业的技术人员到现场进行配置，或者用户买回设备后即插即用，这就需要设备能自动发现和配置，比如自动获取IP地址、网管IP地址、业务通道上的关键设备的IP地址等，而DHCP作为一种高效的IP地址分配方法通常被应用于此，但是DHCP在设计时没有考虑本身的安全问题，容易受到攻击，存在严重的安全隐患。
[0005]目前的安全解决方案是采用延迟认证的方法来保证DHCP的安全，该方法通过定义DHCP 0ption90提供了两种功能:DHCP对端身份认证和DHCP消息的验证；在该延迟认证方法中客户端与DHCP服务器共享一个密钥。
[0006]参见图1，其是现有的DHCP采用延迟认证的方法流程图，本例中以基站(BS )作为DHCP的客户端(Client)，来说明其如何与DHCP的服务器(Server)端建立连接。
[0007]步骤1，在DHCP客户端广播的DHCP发现(DHCP Discover)消息里携带认证选项0ption90，用以通知服务器需要进行认证，同时携带客户端身份标识。这个身份标识对DHCP服务器或者认证服务器来说应该是唯一的，或者与其他信息字段组成一个唯一能标识DHCP客户端身份的标识，然后向其本地子网广播该消息；
[0008]其中，0ption90的含义是:认证资讯代码即认证选项编码是90 ;还包括长度域,协议域、算法域，重放检测(Replay Detection)域和认证信息域,其中，协议域定义了选项中用于认证的技术；算法域中定义了专用的算法，如远端调用管理(RDM, Remote DeploymentManager),其是一种系统管理工具；延迟发现(Replay Detection)域是针对每一个RDM的；认证信息也是针对每个协议的；如果协议域是0，认证信息将保留一个简单的配置标识，用于传输明文配置标识或提供很弱的身份认证。接收端通过匹配认证，决定是否接收消息；
[0009]步骤2，网络上的DHCP服务器(可能不止一个)收到该消息后，如果判断其可以提供服务，则根据客户端的标识和共享密钥计算出会话密钥K，并用会话密钥K计算该消息的认证码，填充0ption90选项，构造DHCP提供(DHCPOFFER)消息；然后，DHCP服务器将DHCPOFFER消息发送给DHCP客户端；这里，会话密钥K=MAC(MK, unique-1d)，其中MAC是消息认证码(Messege Authentication Code), MK是主密钥即服务器与客户端共享的密钥，unique-1d代表唯一标识，
[0010]步骤3，DHCP客户端收到DHCPOFFER消息后，使用其本地存储的会话密钥K，按要求验证0ption90选项里的授权信息(Authentication Information)是否正确，如果验证失败，则根据其本地的安全策略进行相应的处理，如果DHCP客户端收到多个DHCPOFFER，会按照某种策略选择一个DHCP服务器。然后DHCP客户端构造DHCP请求(DHCPREQUEST)消息，并用会话密钥K计算该消息的认证码，填充0ption90选项；DHCP客户端向选中的DHCP服务器发送DHCPREQUEST消息，请求服务；
[0011]步骤4，DHCP服务器收到DHCPREQUEST消息，然后再使用密钥K验证该消息，如果验证失败，则直接丢弃该消息，回复DHCP失败应答(DHCPNAK)消息，否则构造DHCP成功应答(DHCPACK)消息。不管是DHCPNAK还是DHCPACK都需携带0ption90选项，并根据标准里的要求填充它；DHCP服务器将DHCPNAK/DHCPNAK消息发送给DHCP客户端，当DHCP客户端收到DHCPNAK/DHCPNAK消息后，根据第3步的处理方式验证该消息。
[0012]但是上述延迟认证的方法虽然实现了 DHCP客户端和DHCP服务器端的认证，但还至少存在如下的问题:
[0013]1、不支持对DHCP DISCOVER消息的认证，易出现DOS攻击。
[0014]2、预共享密钥认证方式容易被攻击者窃取，同时在具体组网中，预共享密钥对出厂流程及网络管理带来很大影响。
[0015]因此需要一种更完善的安全机制来保护DHCP实体间的交互。证书机制是目前应用广泛、安全级别较高的认证方式，目前现有技术中存在相关使用证书进行认证的方法，但是在DHCP应用中却难以实现。主要原因是以太网最大可传输的数据包是1500字节，而如果使用DHCP消息携带证书的方法不可行，因为证书的长度一般在lk-2k字节，并且广播的消息不支持分包。

【发明内容】

[0016]本发明实施例在于提供一种认证方法及系统，通过证书的方式对DHCP客户端和服务器端进行认证，从而既可以避免DOS攻击，又可以避免使用预置的共享密钥进行认证。
[0017]本发明实施例提供了 一种认证方法，应用于动态主机设置协议DHCP中，所述方法包括:
[0018]DHCP服务器接收来自DHCP客户端的DHCP发现DHCP DISCOVER消息，所述DHCPDISCOVER消息中包含应用所述DHCP客户端私钥加密的第一信息；
[0019]DHCP服务器从认证服务器上获取与所述DHCP客户端对应的数字证书，应用数字证书公钥对所述加密的第一信息进行解密并验证，若验证成功，则对所述DHCP客户端完成认证；
[0020]DHCP服务器向DHCP客户端发送DHCP提供DHCP OFFER消息，所述DHCP OFFER消息中包含加密的第二信息，以使所述DHCP客户端对所述加密的第二信息进行解密并验证，若验证成功，则对所述DHCP服务器完成认证。[0021]本发明实施例还提供了一种认证系统，应用于使用动态主机设置协议DHCP的DHCP服务器和DHCP客户端之间，所述系统包括:DHCP服务器；所述DHCP服务器分别与认证服务器和DHCP客户端通信，其中，
[0022]所述认证服务器，用于存储各DHCP客户端对应的数字证书；
[0023]所述DHCP服务器，用于接收来自DHCP客户端的DHCP发现DHCP DISCOVER消息，所述DHCP DISCOVER消息中包含应用所述DHCP客户端私钥加密的第一信息；从认证服务器上获取与所述DHCP客户端对应的数字证书，应用数字证书公钥对所述加密的第一信息进行解密并验证，若验证成功，则对所述DHCP客户端完成认证；向DHCP客户端发送DHCP提供DHCP OFFER消息，所述DHCP OFFER消息中包含加密的第二信息；
[0024]所述DHCP客户端，用于对所述加密的第二信息进行解密并验证，若验证成功，则对所述DHCP服务器完成认证。
[0025]应用本发明实施例提供的认证方法和认证系统，通过证书的方式对DHCP客户端和服务器端进行认证，既避免了 DOS攻击，又避免了使用预置的共享密钥进行认证。
【专利附图】

【附图说明】
[0026]为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0027]图1是现有的DHCP采用延迟认证的方法流程图；
[0028]图2是根据本发明实施例的一种认证方法流程图；
[0029]图3是根据本发明一个具体实施例的流程示意图；
[0030]图4是根据本发明另一个具体实施例的流程示意图；
[0031]图5是根据本发明又一个具体实施例的流程示意图；
[0032]图6是根据本发明实施例的一种认证系统的结构示意图。
【具体实施方式】
[0033]下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
[0034]本发明的技术方案，可以应用于各种通信系统，例如:全球移动通信系统(GSM，Global System for Mobile communications),石马分多址(CDMA, Code Division MultipleAccess)系统，宽带码分多址(WCDMA, Wideband Code Division Multiple AccessWireless),通用分组无线业务(GPRS, General Packet Radio Service),长期演进(LTE,Long Term Evolution)等。
[0035]此外,本文中结合用户设备(UE, User Equipment)和/或基站来描述各种方面。用户设备可以是指向用户提供语音和/或数据连通性的设备。用户设备可连接至诸如膝上计算机或台式计算机等计算设备，或者其他通信设备，例如，个人数字助理(PDA, PersonalDigital Assistant)等自含式设备。无线终端也可以称为系统、订户单元(SubscriberUnit)、订户站(Subscriber Station),移动站(Mobile Station)、移动台(Mobile)、远程站(Remote Station)、接入点(Access Point)、远程终端(Remote Terminal)、接入终端(Access Terminal)、用户终端(User Terminal)、用户代理(User Agent)、用户设备(UserDevice)、或用户装备(User Equipment)。用户设备可以是订户站、无线设备、蜂窝电话、个人通信业务(PCS, Personal Communication Service)电话、无绳电话、会话发起协议(SIP)话机、无线本地环路(WLL, Wireless Local Loop)站、个人数字助理(PDA, PersonalDigital Assistant)、具有无线连接功能的手持式设备、或连接到无线调制解调器的其他处理设备。
[0036]基站(例如，接入点)可以是指接入网中在空中接口上通过一个或多个扇区与无线终端通信的设备。基站可用于将收到的空中帧与IP分组进行相互转换，作为无线终端与接入网的其余部分之间的路由器，其中接入网的其余部分可包括网际协议(IP)网络。基站还可协调对空中接口的属性管理。例如，可以是GSM或CDMA中的基站(BTS，BaseTransceiver Station),也可以是WCDMA中的基站(NodeB),还可以是LTE中的演进型基站(eNB 或 e-NodeB, evolutional Node B),本发明并不限定。
[0037]各种方面将以可包括一个或多个设备、组件、模块、或单元等的系统的形式来描述。应该理解或领会，各种系统可包括另加的设备、组件、模块、和/或单元等，和/或可以并不包括结合附图所讨论的设备、组件、模块、单元等的全部。在本发明的另一方面，也可以使用这些办法的组合。
[0038]另外，本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示:单独存在A，同时存在A和B，单独存在B这三种情况。另外，本文中符号“/”，一般表示前后关联对象是一种“或”的关系。
[0039]参见图2，其是根据本发明实施例的一种认证方法流程图，本实施例应用于动态主机设置协议(DHCP)中，所述认证方法可以如下所述。
[0040]201，DHCP服务器接收来自DHCP客户端的DHCP发现(DHCP DISCOVER)消息，所述DHCP DISCOVER消息中包含应用所述DHCP客户端私钥加密的第一信息。
[0041]202，DHCP服务器从认证服务器上获取与DHCP客户端对应的数字证书，应用数字证书公钥对所述加密的第一信息进行解密并验证，若验证成功，则对所述DHCP客户端完成认证。
[0042]这里，DHCP服务器从认证服务器上获取与DHCP客户端对应的数字证书的步骤可以包括:
[0043]DHCP服务器根据预先配置的认证服务器地址，通过已建立的DHCP服务器和认证服务器之间的安全通道，从所述认证服务器上获取所述数字证书；
[0044]其中，所述DHCP服务器和认证服务器之间的安全通道在DHCP服务器接收到来自DHCP客户端的DHCP发现DHCP DISCOVER消息之前或之后建立。
[0045]其中，预先配置的认证服务器地址为出厂时设定的固定地址，或者，预先配置的认证服务器地址为DHCP DISCOVER消息中携带的统一资源定位符(URL，Universal ResourceLocator)。
[0046]上述通过已建立的DHCP服务器和认证服务器之间的安全通道，从所述认证服务器上获取所述数字证书的步骤包括:
[0047]DHCP服务器通过已建立的安全通道将DHCP客户端的设备标识发送给认证服务器，认证服务器根据所述设备标识验证所述DHCP客户端合法后，通过已建立的安全通道将所述DHCP客户端的数字证书下发给DHCP服务器；
[0048]DHCP服务器从接收到的信息中获得所述DHCP客户端的数字证书。
[0049]203，DHCP服务器向DHCP客户端发送DHCP提供DHCP OFFER消息，所述DHCP OFFER消息中包含加密的第二信息，以使所述DHCP客户端对所述加密的第二信息进行解密并验证，若验证成功，则对所述DHCP服务器完成认证。
[0050]在步骤203中，所述加密的第二信息可以为使用客户端所对应的数字证书公钥签名的信息；此时，DHCP客户端使用自身的私钥对所述加密的第二信息进行解密并验证；或者，所述加密的第二信息为使用DHCP服务器的私钥签名的信息；此时，所述DHCP客户端使用DHCP服务器的公钥对所述加密的第二信息进行解密并验证。
[0051]至此，通过证书的方式在DHCP客户端和DHCP服务器之间实现了互认证，既保证了DHCP DISCOVER消息的安全，避免了 DOS攻击，又因可以使用公私密钥而可以避免使用预置的共享密钥进行认证，从而更进一步的保证了 DHCP的安全。再有，本发明实施例中的DHCP服务器通过从认证服务器获取DHCP的客户端的数字证书，避免使用DHCP消息携带证书，使得在DHCP服务器与客户端之间使用证书成为可能。
[0052]需要说明的是，为了使用DHCP协议完成IP地址的自动分配，还可以使用公私钥对后续的消息进行完整性保护，这样，在一个实施例中图1所示流程还可以包括:
[0053]DHCP服务器接收来自DHCP客户端的DHCP请求DHCP REQUEST消息，所述DHCPREQUEST消息中包含应用所述DHCP客户端私钥加密的第三信息；
[0054]DHCP服务器应用所述公钥对所述加密的第三信息解密并验证成功后，根据所述DHCP REQUEST消息中的信息进行操作处理，之后，向所述DHCP客户端发送DHCP确认DHCPACK消息，所述DHCP ACK消息中包括加密的第四信息，以使所述DHCP客户端对所述加密的第四信息进行解密并验证，若验证成功，所述DHCP客户端根据所述DHCP ACK消息中的信息完成操作处理。
[0055]需要说明的是，上述加密的第四信息为使用客户端所对应的数字证书公钥签名的信息；此时，所述DHCP客户端使用自身的私钥对所述加密的第四信息进行解密并验证；或者，上述加密的第四信息为使用DHCP服务器的私钥签名的信息；此时，DHCP客户端使用DHCP服务器的公钥对所述加密的第四信息进行解密并验证。
[0056]这样，DHCP客户端和DHCP服务器之间使用公私钥完成了后续的相互确认操作，避免了使用预置的共享密钥进行认证，进一步保证了 DHCP客户端和服务器之间交互信息的安全。
[0057]需要说明的是，为了使用DHCP协议完成IP地址的自动分配，还可以使用共同协商出的第一共享密钥对后续的消息进行完整性保护，这样，在另一个实施例中，图1所示流程还可以包括:
[0058]DHCP服务器接收到的DHCP DISCOVER消息中还包括第一公共值；
[0059]DHCP服务器向DHCP客户端发送的DHCP OFFER消息中还包括第二公共值；所述DHCP服务器和DHCP客户端分别根据所述第一公共值和第二公共值计算出第一共享密钥；[0060]DHCP服务器接收来自DHCP客户端的DHCP请求DHCP REQUEST消息，所述DHCPREQUEST消息中包含应用第一共享密钥加密的第三信息；
[0061]DHCP服务器应用所述第一共享密钥对所述加密的第三信息解密并验证成功后，根据所述DHCP REQUEST消息中的信息进行操作处理，之后，向所述DHCP客户端发送DHCP确认DHCP ACK消息，所述DHCP ACK消息中包括应用所述第一共享密钥加密的第四信息，以使所述DHCP客户端对所述加密的第四信息进行解密并验证，若验证成功，所述DHCP客户端根据所述DHCP ACK消息中的信息完成操作处理。
[0062]需要说明的是，上述各实施例中所涉及到的第一信息可以为DHCP客户端唯一标识或DHCP DISCOVER消息本身；加密后的第一信息放入DHCP DISCOVER的0ption90字段中；所涉及到的第二信息可以为DHCP OFFER消息本身；加密后的第二信息放入DHCP OFFER消息的0ption90字段中；所涉及到的第三信息为DHCP REQUEST消息本身，加密后的第三信息放入DHCP REQUEST消息的0ption90字段中；所涉及到的第四信息为DHCP ACK消息本身，所述加密后的第四信息放入DHCP ACK消息的0ption90字段中。
[0063]这样，DHCP客户端和DHCP服务器之间不仅使用公私钥完成相互的认证，在后续的相互确认操作中使用协商出的第一共享密钥，避免了使用预置的共享密钥进行认证，进一步保证了 DHCP客户端和服务器之间交互信息的安全。
[0064]下面结合具体实施例对本发明再做详细说明。在以下实施例中，DHCP客户端，DHCP服务器以及证书服务器都进行了出厂配置。其中DHCP客户端上的出厂配置信息是设备标识(ID)、DHCP客户端的证书以及厂商根证书或证书链，以及与证书中包含公钥所对应的私钥；DHCP服务器的出厂配置是服务器证书和厂商根证书；在证书服务器中的出厂配置有证书服务器的证书，厂商的CA证书、DHCP客户端ID对应的证书列表，即在证书服务器中维护了 DHCP客户端的黑白名单列表。其中证书服务器可根据本地策略选定如，FTP服务器等。在以下实施例中，以基站作为DHCP客户端。
[0065]参见图3，其是根据本发明一个具体实施例的流程示意图。本实施例中，与DHCP服务器交互的认证服务器地址预设固设在DHCP服务器的出厂设置中，该流程可以如下所述。
[0066]I，基站向DHCP服务器发送DHCP Discover消息，其中携带了包含基站电子序列号(ESN, ELECTRONIC SERIAL NUMBER)的0ption60和包含了使用基站的私钥计算的基站ESN号摘要的值的0ption90,摘要计算使用的算法在0ption90中的算法域标识。
[0067]这里，基站ESN号即为前述第一信息。
[0068]2，DHCP服务器接收到DHCP Discover消息后，可以获得位于0ption60中基站ID即基站ESN号。DHCP服务器与证书服务器之间认证并建立安全通道如SSL连接，用于安全的向证书服务器提供基站的ESN以及安全的下载基站证书。
[0069]DHCP服务器和认证服务器之间的安全通道可以在DHCP服务器接收到来自基站的DHCP DISCOVER消息之前建立(如步骤O所述)或之后建立(如步骤2所示)。
[0070]需要说明的是，当DHCP服务器和认证服务器之间建立起安全通道后，该DHCP服务器说明是已经被认证的合法的DHCP服务器。具体的，DHCP服务器和认证服务器之间的验证可以使用出厂预设的厂商CA证书、DHCP服务器证书或证书服务器证书之一进行验证。
[0071]需要说明的是，DHCP服务器和认证服务器之间建立安全通道的具体过程与现有的技术方案完全相同，这里不再赘述。[0072]需要说明的是，在本实施例中，并不限定安全通道的具体承载协议，如，可以是基于SSL的连接，也可以是基于其他安全协议的连接。
[0073]3，通过已建立的安全通道如SSL连接，DHCP服务器从认证服务器上获取基站证书；该步骤可以具体为:
[0074]DHCP服务器通过已建立的安全通道将DHCP客户端的设备标识如ESN发送给认证服务器；证书服务器通过查询自身保存的黑白名单确认该ESN是否合法，若合法，则再通过基站ID对应的证书列表，获得该基站所对应的数字证书，之后，通过已建立的安全通道将该基站的数字证书下发给DHCP服务器；
[0075]DHCP服务器从接收到的信息中获得所述DHCP客户端的数字证书。
[0076]这样，该基站的数字证书是在安全通道的保护下从认证服务器获得的。
[0077]4，DHCP服务器验证接收到的基站证书，验证通过后获取基站证书的公钥。
[0078]这里，可以通过DHCP服务器和证书服务器内出厂预设的厂商CA证书进行验证。
[0079]5，DHCP服务器使用基站的公钥验证私钥签名，即解密0ption90中摘要值，与0ption60中包含的基站的ESN号进行对比，如果匹配，则说明基站确实拥有与该证书匹配的私钥；
[0080]至此，DHCP服务器通过数字证书完成了对基站的认证。
[0081 ] 6，DHCP服务器对DHCP OFFER消息进行数字签名，该DHCP OFFER消息中包含了0ption43的内容或其它选项的内容，将包含所述DHCP OFFER消息数字签名的DHCP OFFER
消息发送至基站。
[0082]其中，上述DHCP OFFER消息相当于前述的第二信息，DHCP OFFER消息进行数字签名后的信息放置在DHCP OFFER消息的0ption90字段中。
[0083]这里，DHCP服务器对DHCP OFFER消息进行数字签名的方式有多种:
[0084]方式一:使用基站的公钥对DHCP OFFER消息进行数字签名；
[0085]方式二:使用DHCP服务器的私钥对DHCP OFFER消息进行数字签名。
[0086]当采用方式二时，又可以分为以下几种情况:
[0087]A、所下发的DHCP OFFER消息中除了包括对DHCP OFFER消息的签名，还包括DHCP服务器的数字证书；
[0088]B、所下发的DHCP OFFER消息中除了包括对DHCP OFFER消息的签名，还包括DHCP服务器的公钥和DHCP服务器所对应数字证书的URL ；
[0089]C、所下发的DHCP OFFER消息中除了包括对DHCP OFFER消息的签名，还包括DHCP服务器的所对应数字证书的URL和DHCP服务器的标识(ID)。
[0090]需要说明的是，通常，上述方式二的A情况适用于单播发送DHCP OFFER消息，除此之外的其他情况适用于广播或多播发送DHCP OFFER消息。
[0091 ] 7，基站接收到DHCP OFFER消息后，对DHCP OFFER消息的签名进行验证。
[0092]由于步骤6中，对DHCP OFFER消息进行数字签名的方式不同，因此，这里验证的方式也相应的不同:
[0093]如果步骤6中采用方式一，则本步骤中，基站使用自己的私钥完成对DHCPOFFER消息的验证，如验证成功，则说明DHCP服务器是经过证书服务器的验证合法的DHCP服务器，并获得了基站的证书，此时基站对DHCP服务器完成了认证。[0094]如果步骤6中采用方式二的A情况，则本步骤中，基站从接收到的DHCP OFFER消息中获得DHCP服务器的数字证书，再用所获得的数字证书对签名进行验证。如验证成功，则说明DHCP服务器是经过证书服务器的验证合法的DHCP服务器，并获得了 DHCP服务器的数字证书，此时基站对DHCP服务器完成了认证。
[0095]需要说明的是，在基站从接收到的DHCP OFFER消息中获得DHCP服务器的数字证书后，可以先对该DHCP的数字证书进行本身的真实性、合法性进行验证，验证成功后，再应用所获得的数字证书对签名进行验证。这里，并不对数字证书验证的过程进行限定，任何能够对数字证书进行验证的方法都可以应用于本发明实施例中。
[0096]如果步骤6中采用方式二的B情况，则本步骤中，基站暂时信任DHCP服务器是合法的，先从接收到的DHCP OFFER消息获取DHCP服务器的公钥以完成对接收到的DHCPOFFER消息的验证，从而获得DHCP服务器分配的IP地址；之后，基站从接收到的消息中获得的DHCP服务器所对应数字证书的URL，使用DHCP服务器分配的IP地址获取该URL对应的数字证书；使用从消息中获得的公钥与通过URL获得的数字证书中所对应的公钥进行匹配，若两者一致则通过对服务器的验证。此时基站获得了 DHCP服务器的数字证书，并对DHCP服务器完成了认证。
[0097]如果步骤6中采用方式二的C情况，则本步骤中，基站默认接收到的DHCP OFFER消息是通过验证的，从而获得DHCP服务器分配的IP地址；之后，基站从接收到的消息中获得的DHCP服务器所对应数字证书的URL，使用DHCP服务器分配的IP地址通过该URL获得DHCP服务器的数字证书；或者，基站从接收到的消息中获得的DHCP服务器ID，再根据本地预先配置的证书服务器地址获得DHCP服务器的数字证书，对所获得的DHCP服务器的数字证书进行验证，验证成功后，再应用所获得的数字证书对DHCP OFFER消息的签名进行验证。此时基站获得了 DHCP服务器的数字证书，并对DHCP服务器完成了认证。这里，并不对数字证书验证的过程进行限定，任何能够对数字证书进行验证的方法都可以应用于本发明实施例中。
[0098]至此，基站与DHCP服务器之间相互完成了基于证书的认证。
[0099]随后,基站发送DHCP Request消息给证书服务器,该消息中携带了 0ption43,以及使用自己的私钥计算的DHCP Request消息的签名包含在0ption90中，用于向DHCP服务器进行确认。
[0100]这里，DHCP Request消息相当于前述的第三信息，该加密后的第三信息放置在DHCP Request 消息的 0ption90 字段中。
[0101]8，DHCP服务器接收到DHCP Request消息后，使用基站的公钥进行验证消息的完整性。验证通过，则发送DHCP ACK消息。基站使用与第7步相同的方法验证ACK消息。
[0102]这里，DHCP ACK消息相当于前述的第四信息，该加密后的第四信息即对放置在DHCP ACK消息的0ption90字段中。
[0103]至此，通过DHCP协议完成了 IP地址的自动分配。
[0104]需要说明的是，在上述实施例中，0ption90中密钥标识域可以设置为0，以表示使用公私钥对DHCP Request消息和DHCP ACK消息进行认证，而不是使用现有的预置共享密钥进行认证。
[0105]应用上述实施例，作为DHCP客户端的基站和DHCP服务器之间使用公私钥完成了相互认证，避免了 DOS攻击，而且，本实施例中还使用公私钥对后续操作进行保护，避免了使用预置的共享密钥进行认证，进一步保证了 DHCP客户端和服务器之间交互信息的安全。
[0106]参见图4，其是根据本发明另一个具体实施例的流程示意图。本实施例中，与DHCP服务器交互的认证服务器地址是通过URL获得的，而不是预先固设在DHCP服务器的出厂设置中，该流程具体包括:
[0107]1，基站向DHCP服务器发送DHCP Discover消息，其中携带了包含基站ESN号的0ption60、携带了证书服务器的URL信息的0ption98以及包含了使用基站的私钥计算的DHCP消息签名的0ption90,摘要计算使用的算法在0ption90中的算法域标识。其中0ption98用于使得DHCP服务器寻找到证书服务器，与实施例一不同的是，在实施例一中，固定配置了证书服务器的地址。
[0108]2，DHCP服务器接收到DHCP Discover消息后，可以从0ption98获得URL地址，从0ption90获得加密的ESN，从0ption60中获得ESN，DHCP服务器根据URL地址获取认证服务器的地址，之后，DHCP服务器与证书服务器之间认证并建立SSL连接，用于安全的向证书服务器提供基站的ESN以及安全的下载基站证书。
[0109]DHCP服务器和认证服务器之间的安全通道可以在DHCP服务器接收到来自基站的DHCP DISCOVER消息之前建立(如步骤O所述)或之后建立(如步骤2所示)。
[0110]需要说明的是，当DHCP服务器和认证服务器之间建立起安全通道后，该DHCP服务器说明是已经被认证的合法的DHCP服务器。具体的，DHCP服务器和认证服务器之间的验证可以使用出厂预设的厂商CA证书、DHCP服务器证书或证书服务器证书之一进行验证。
[0111]需要说明的是，DHCP服务器和认证服务器之间建立安全通道的具体过程与现有的技术方案完全相同，这里不再赘述。
[0112]需要说明的是，在本实施例中，并不限定安全通道的具体承载协议，如，可以是基于SSL的连接，也可以是基于其他安全协议的连接。
[0113]3-8，与图3所示实施例的步骤完全相同，此处不再赘述。
[0114]应用上述实施例，作为DHCP客户端的基站和DHCP服务器之间使用公私钥完成了相互认证，避免了 DOS攻击，而且，本实施例中还使用公私钥对后续操作进行保护，避免了使用预置的共享密钥进行认证，进一步保证了 DHCP客户端和服务器之间交互信息的安全。
[0115]参见图5，其是根据本发明又一个具体实施例的流程示意图。本实施例中，与DHCP服务器交互的认证服务器地址是预先固设在DHCP服务器的出厂设置中，且，基站和DHCP服务器通过公私钥又协商出一第一共享密钥，后续操作即DHCP Request消息和DHCP ACK消息使用该协商出的第一共享密码进行加密，该流程具体包括:
[0116]1，基站向DHCP服务器发送DHCP Discover消息，其中携带了包含基站ESN的0ption60和包含了使用基站的私钥计算的基站ESN号摘要的值的0ption90，摘要计算使用的算法在0ption90中的算法域标识。0ption90中密钥ID携带DH密钥交换算法所使用的第一公共值，或者通过扩展0ption90来携带该第一公共值。
[0117]这里，基站ESN号即为前述第一信息。当然，也可以使用基站的私钥对DHCPDiscover消息进行前面，具体与对ESN号计算摘要值类似，不再重复说明。
[0118]2-5，与图3所示实施例完全相同，不再赘述。
[0119]6，DHCP服务器对DHCP OFFER消息进行数字签名，该DHCP OFFER消息中包含了Option43的内容或其它选项的内容，以及同样在0ption90中以步骤I中所述的两种可能方式携带的用于DH交换的第二公共值。
[0120]其中，上述DHCP OFFER消息相当于前述的第二信息，DHCP OFFER消息进行数字签名后的信息放置在DHCP OFFER消息的0ption90字段中。
[0121]7，基站接收到DHCP OFFER消息后，使用自己的私钥完成对DHCPOFFER消息的验证，如验证成功，则说明DHCP服务器是经过证书服务器的验证合法的DHCP服务器，并获得了基站的证书，此时基站对DHCP服务器完成了认证。即此时基站与DHCP服务器之间相互完成了基于证书的认证。
[0122]并且，基站通过自身产生的第一公共值和从DHCP服务器获得的第二公共值，计算出DHCP客户端和DHCP服务器之间的第一共享密钥。
[0123]随后，基站发送DHCP Request消息给证书服务器，该消息中携带了 0ption43或其它选项的内容，以及使用上述第一共享密钥计算DHCP Request消息的签名包含在0ption90中，用于向DHCP服务器进行确认。
[0124]需要说明的是，本实施例中，0ption90中密钥ID可全设置为1，表明使用DH交换方式产生的第一共享密钥进行保护。
[0125]这里，DHCP Request消息相当于前述的第三信息，该加密后的第三信息放置在DHCP Request 消息的 0ption90 字段中。
[0126]8，DHCP服务器接收到DHCP Request消息后，使用第一共享密钥进行验证消息的完整性。验证通过，则发送DHCP ACK消息。基站使用与第7步相同的方法验证ACK消息。
[0127]这里，DHCP ACK消息相当于前述的第四信息，该加密后的第四信息放置在DHCPACK消息的0ption90字段中。
[0128]至此，通过DHCP协议完成了 IP地址的自动分配。
[0129]需要说明的是，在图5所示实施例中，与DHCP服务器交互的认证服务器地址可以是通过URL获得的，在此，并不对获得认证服务器地址的方式进行限定。
[0130]应用上述实施例，作为DHCP客户端的基站和DHCP服务器之间使用公私钥完成了相互认证，避免了 DOS攻击，而且，本实施例中还可以使用协商出的第一共享密钥对后续操作进行保护，避免了使用预置的共享密钥进行认证，进一步保证了 DHCP客户端和服务器之间交互信息的安全。
[0131]本发明实施例还提供了一种认证系统，应用于使用动态主机设置协议DHCP的DHCP服务器和DHCP客户端之间，具体参见图6，该可以系统包括:DHCP服务器602，所述DHCP服务器602分别与认证服务器601和DHCP客户端603通信。其中，
[0132]认证服务器601，用于存储各DHCP客户端对应的数字证书；
[0133]DHCP服务器602，用于接收来自DHCP客户端的DHCP发现DHCPDISC0VER消息，所述DHCP DISCOVER消息中包含应用所述DHCP客户端私钥加密的第一信息；从认证服务器上获取与所述DHCP客户端对应的数字证书，应用数字证书公钥对所述加密的第一信息进行解密并验证，若验证成功，则对所述DHCP客户端完成认证；向DHCP客户端发送DHCP提供DHCP OFFER消息，所述DHCP OFFER消息中包含加密的第二信息；
[0134]DHCP客户端603，用于对所述加密的第二信息进行解密并验证，若验证成功，则对所述DHCP服务器完成认证。[0135]其中，上述DHCP服务器602，还用于接收来自DHCP客户端的DHCP请求DHCPREQUEST消息，所述DHCP REQUEST消息中包含应用所述DHCP客户端私钥加密的第三信息；应用所述公钥对所述加密的第三信息解密并验证成功后，根据所述DHCP REQUEST消息中的信息进行操作处理，之后，向所述DHCP客户端发送DHCP确认DHCP ACK消息，所述DHCP ACK消息中包括加密的第四信息，
[0136]上述DHCP客户端603，还用于对所述加密的第四信息进行解密并验证，若验证成功，所述DHCP客户端根据所述DHCP ACK消息中的信息完成操作处理。
[0137]其中，上述DHCP服务器602接收到的DHCP DISCOVER消息中还包括第一公共值；上述DHCP服务器向DHCP客户端发送的DHCP OFFER消息中还包括第二公共值；DHCP服务器和DHCP客户端分别根据所述第一公共值和第二公共值计算出第一共享密钥；
[0138]上述DHCP服务器602，还用于接收来自DHCP客户端的DHCP请求DHCP REQUEST消息，所述DHCP REQUEST消息中包含应用第一共享密钥加密的第三信息；应用所述第一共享密钥对所述加密的第三信息解密并验证成功后，根据所述DHCP REQUEST消息中的信息进行操作处理，之后，向所述DHCP客户端发送DHCP确认DHCP ACK消息，所述DHCP ACK消息中包括应用所述第一共享密钥加密的第四信息；
[0139]上述DHCP客户端603，还用于对所述加密的第四信息进行解密并验证，若验证成功，DHCP客户端根据所述DHCP ACK消息中的信息完成操作处理。
[0140]其中，上述第一信息为DHCP客户端唯一标识或DHCP DISCOVER消息本身；上述加密后的第一信息放入DHCP DISCOVER的0ption90字段中；第二信息为DHCP OFFER消息本身；加密后的第二信息放入DHCP OFFER消息的0ption90字段中；第三信息为DHCP REQUEST消息本身，加密后的第三信息放入DHCP REQUEST消息的0ption90字段中；第四信息为DHCPACK消息本身，加密后的第四信息放入DHCP ACK消息的0ption90字段中。
[0141]应用本发明实施例提供的认证系统，通过证书的方式在DHCP客户端和DHCP服务器之间实现了互认证，既保证了 DHCP DISCOVER消息的安全，避免了 DOS攻击，又因可以使用公私密钥而可以避免使用预置的共享密钥进行认证，从而更进一步的保证了 DHCP的安全。再有，本发明实施例中的DHCP服务器通过从认证服务器获取DHCP的客户端的数字证书，避免使用DHCP消息携带证书，使得在DHCP服务器与客户端之间使用证书成为可能。
[0142]DHCP客户端和DHCP服务器之间使用公私钥或协商出的第一共享密钥完成了后续的相互确认操作，避免了使用预置的共享密钥进行认证，进一步保证了 DHCP客户端和服务器之间交互信息的安全。
[0143]对于系统实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。
[0144]需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。[0145]所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。
[0146]在本申请所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。
[0147]所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
[0148]另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。
[0149]所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM，Read-OnlyMemory)、随机存取存储器(RAM, Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
[0150]以上所述仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等，均包含在本发明的保护范围内。
【权利要求】
1.一种动态主机设置协议DHCP服务器，应用于动态主机设置协议DHCP中，其特征在于，所述DHCP服务器包括: 用于接收来自DHCP客户端的DHCP发现DHCP DISCOVER消息的单元，所述DHCPDISCOVER消息中包含应用所述DHCP客户端私钥加密的第一信息； 用于从认证服务器上获取与所述DHCP客户端对应的数字证书，应用数字证书公钥对所述加密的第一信息进行解密并验证，若验证成功，则对所述DHCP客户端完成认证的单元; 用于向DHCP客户端发送DHCP提供DHCP OFFER消息的单元，所述DHCP OFFER消息中包含加密的第二信息，以使所述DHCP客户端对所述加密的第二信息进行解密并验证，若验证成功，则对所述DHCP服务器完成认证； 其中，所述加密的第二信息为使用所述DHCP客户端对应的数字证书公钥签名的信息；或者，所述加密的第二信息为使用所述DHCP服务器的私钥签名的信息。
2.根据权利要求1所述的DHCP服务器，其特征在于，所述DHCP服务器还包括: 用于根据预先配置的认证服务器地址，通过已建立的DHCP服务器和认证服务器之间的安全通道，从所述认证服务器上获取所述数字证书的单元。
3.根据权利要求2所述的DHCP服务器，其特征在于，所述预先配置的认证服务器地址为出厂时设定的固定地址，或者，所述预先配置的认证服务器地址为DHCP DISCOVER消息中携带的认证服务器所对应的统一资源定位符URL。
4.根据权利要求2所述的DHCP服务器，其特征在于，所述DHCP服务器还包括: 用于通过已建立的安全通道将DHCP客户端的设备标识发送给认证服务器的单元，其中，所述认证服务器根据所述设备标识验证所述DHCP客户端合法后，通过已建立的安全通道将所述DHCP客户端的数字证书下发给DHCP服务器； 用于从接收到的信息中获得所述DHCP客户端的数字证书的单元。
5.根据权利要求1所述的DHCP服务器，其特征在于， 所述加密的第二信息为使用DHCP客户端所对应的数字证书公钥签名的信息时，所述DHCP客户端用于使用自身的私钥对所述加密的第二信息进行解密并验证。
6.根据权利要求1所述的DHCP服务器，其特征在于， 所述加密的第二信息为使用DHCP服务器的私钥签名的信息时，所述DHCP客户端用于使用DHCP服务器的公钥对所述加密的第二信息进行解密并验证。
7.根据权利要求1所述的DHCP服务器，其特征在于，所述DHCP服务器还包括: 用于接收来自DHCP客户端的DHCP请求DHCP REQUEST消息的单元，所述DHCP REQUEST消息中包含应用所述DHCP客户端私钥加密的第三信息； 用于应用所述公钥对所述加密的第三信息解密并验证成功后，根据所述DHCP REQUEST消息中的信息进行操作处理的单元； 用于向所述DHCP客户 端发送DHCP确认DHCP ACK消息的单元，所述DHCP ACK消息中包括加密的第四信息，以使所述DHCP客户端对所述加密的第四信息进行解密并验证，若验证成功，所述DHCP客户端根据所述DHCP ACK消息中的信息完成操作处理。
8.根据权利要求7所述的DHCP服务器，其特征在于， 所述加密的第四信息为使用客户端所对应的数字证书公钥签名的信息；所述DHCP客户端用于使用自身的私钥对所述加密的第四信息进行解密并验证； 或者， 所述加密的第四信息为使用DHCP服务器的私钥签名的信息； 所述DHCP客户端用于使用DHCP服务器的公钥对所述加密的第四信息进行解密并验证。
9.根据权利要求1所述的DHCP服务器，其特征在于，所述DHCPDISCOVER消息中还包括第一公共值，所述向DHCP客户端发送的DHCP OFFER消息中还包括第二公共值，所述DHCP客户端用于根据所述第一公共值和第二公共值计算第一共享密钥； 所述DHCP服务器还包括: 用于根据所述第一公共值和第二公共值计算第一共享密钥的单元； 用于接收来自DHCP客户端的DHCP请求DHCP REQUEST消息的单元，所述DHCP REQUEST消息中包含应用第一共享密钥加密的第三信息； 用于应用所述第一共享密钥对所述加密的第三信息解密并验证成功后，根据所述DHCPREQUEST消息中的信息进行操作处理的单元； 用于向所述DHCP客户端发送DHCP确认DHCP ACK消息的单元，所述DHCP ACK消息中包括应用所述第一共享密钥加密的第四信息，以使所述DHCP客户端对所述加密的第四信息进行解密并验证，若验证成功，所述DHCP客户端根据所述DHCP ACK消息中的信息完成操作处理。`
10.根据权利要求1所述的DHCP服务器，其特征在于， 所述第一信息为DHCP客户端唯一标识或DHCP DISCOVER消息本身； 所述第二信息为DHCP OFFER消息本身。
11.根据权利要求8或9所述的DHCP服务器，其特征在于， 所述第三信息为DHCP REQUEST消息本身； 所述第四信息为DHCP ACK消息本身。
12.—种认证方法，应用于动态主机设置协议DHCP中，其特征在于， DHCP客户端向DHCP服务器发送DHCP发现DHCP DISCOVER消息，所述DHCP DISCOVER消息中包含应用所述DHCP客户端私钥加密的第一信息；其中，所述DHCP服务器从认证服务器上获取与所述DHCP客户端对应的数字证书，应用数字证书公钥对所述加密的第一信息进行解密并验证，若验证成功，则对所述DHCP客户端完成认证； 所述DHCP客户端接收所述DHCP服务器发送的DHCP提供DHCP OFFER消息，所述DHCPOFFER消息中包含加密的第二信息； 所述DHCP客户端对所述第二信息进行解密并验证，若验证成功，则对所述DHCP服务器完成认证； 其中，所述加密的第二信息为使用所述DHCP客户端对应的数字证书公钥签名的信息；或者，所述加密的第二信息为使用所述DHCP服务器的私钥签名的信息。
13.根据权利要求12所述的方法，其特征在于，所述DHCP服务器从认证服务器上获取与所述DHCP客户端对应的数字证书的步骤包括: 所述DHCP服务器根据预先配置的认证服务器地址，通过已建立的DHCP服务器和认证服务器之间的安全通道，从所述认证服务器上获取所述数字证书。
14.根据权利要求13所述的方法，其特征在于，所述预先配置的认证服务器地址为出厂时设定的固定地址，或者，所述预先配置的认证服务器地址为DHCP DISCOVER消息中携带的认证服务器所对应的统一资源定位符URL。
15.根据权利要求13所述的方法，其特征在于，所述通过已建立的DHCP服务器和认证服务器之间的安全通道，从所述认证服务器上获取所述数字证书的步骤包括: DHCP服务器通过已建立的安全通道将DHCP客户端的设备标识发送给认证服务器，认证服务器根据所述设备标识验证所述DHCP客户端合法后，通过已建立的安全通道将所述DHCP客户端的数字证书下发给DHCP服务器； DHCP服务器从接收到的信息中获得所述DHCP客户端的数字证书。
16.根据权利要求12所述的方法，其特征在于，所述方法还包括: 所述加密的第二信息为使用DHCP客户端所对应的数字证书公钥签名的信息时，所述DHCP客户端使用自身的私钥对所述加密的第二信息进行解密并验证。
17.根据权利要求12所述的方法，其特征在于，所述方法还包括: 所述加密的第二信息为使用DHCP服务器的私钥签名的信息时，所述DHCP客户端使用DHCP服务器的公钥对所述加密的第二信息进行解密并验证。
18.根据权利要求 12所述的方法，其特征在于，所述方法还包括: 所述DHCP客户端向所述DHCP服务器发送DHCP请求DHCP REQUEST消息，所述DHCPREQUEST消息中包含应用所述DHCP客户端私钥加密的第三信息，其中，所述DHCP服务器应用所述公钥对所述加密的第三信息解密并验证成功后，根据所述DHCP REQUEST消息中的信息进行操作处理； 所述DHCP客户端接收所述DHCP服务器发送的DHCP确认DHCP ACK消息，所述DHCP ACK消息中包括加密的第四信息； 所述DHCP客户端对所述加密的第四信息进行解密并验证，若验证成功，所述DHCP客户端根据所述DHCP ACK消息中的信息完成操作处理。
19.根据权利要求18所述的方法，其特征在于， 所述加密的第四信息为使用客户端所对应的数字证书公钥签名的信息； 所述DHCP客户端使用自身的私钥对所述加密的第四信息进行解密并验证； 或者， 所述加密的第四信息为使用DHCP服务器的私钥签名的信息； 所述DHCP客户端使用DHCP服务器的公钥对所述加密的第四信息进行解密并验证。
20.根据权利要求12所述的方法，其特征在于， 所述DHCP DISCOVER消息中还包括第一公共值，所述DHCP OFFER消息中还包括第二公共值，DHCP客户端和所述DHCP服务器分别根据所述第一公共值和第二公共值计算出第一共享密钥； 所述DHCP客户端向所述DHCP服务器发送DHCP请求DHCP REQUEST消息，所述DHCPREQUEST消息中包含应用第一共享密钥加密的第三信息，其中，所述DHCP服务器应用所述第一共享密钥对所述加密的第三信息解密并验证成功后，根据所述DHCP REQUEST消息中的信息进行操作处理； 所述DHCP客户端接收所述DHCP服务器发送的DHCP确认DHCP ACK消息，所述DHCP ACK消息中包括应用所述第一共享密钥加密的第四信息； 所述DHCP客户端对所述加密的第四信息进行解密并验证，若验证成功，所述DHCP客户端根据所述DHCP ACK消息中的信息完成操作处理。
21.根据权利要求12所述的方法，其特征在于， 所述第一信息为DHCP客户端唯一标识或DHCP DISCOVER消息本身； 所述第二信息为DHCP OFFER消息本身。
22.根据权利要求19或20所述的方法，其特征在于， 所述第三信息为DHCP REQUEST消息本身； 所述第四信息为DHCP ACK消息本身。
23.一种动态主机设置协议DHCP客户端，应用于DHCP中，其特征在于，所述DHCP客户端包括: 用于向DHCP服务器发送DHCP发现DHCP DISCOVER消息的单元，所述DHCP DISCOVER消息中包含应用所述DHCP客户端私钥加密的第一信息；其中，所述DHCP服务器从认证服务器上获取与所述DHCP客户端对应的数字证书，应用数字证书公钥对所述加密的第一信息进行解密并验证，若验证成功，则对所述DHCP客户端完成认证； 用于接收所述DHCP服务器发送的DHCP提供DHCP OFFER消息的单元，所述DHCP OFFER消息中包含加密的第二信息； 用于对所述第二信息进行解密并验证，若验证成功，则对所述DHCP服务器完成认证的单元； 其中，所述加密的第二信息为利用所述DHCP客户端对应的数字证书公钥签名的信息；或者，所述加密的第二信息为利用所述DHCP服务器的私钥签名的信息。
24.根据权利要求23所述的DHCP客户端，其特征在于，其中，所述DHCP服务器，还用于根据预先配置的认证服务器地址，通过已建立的DHCP服务器和认证服务器之间的安全通道，从所述认证服务器上获取所述数字证书。
25.根据权利要求24所述的DHCP客户端，其特征在于，所述预先配置的认证服务器地址为出厂时设定的固定地址，或者，所述预先配置的认证服务器地址为DHCP DISCOVER消息中携带的认证服务器所对应的统一资源定位符URL。
26.根据权利要求24所述的DHCP客户端，其特征在于， 所述DHCP服务器，还用于通过已建立的安全通道将DHCP客户端的设备标识发送给认证服务器； 所述认证服务器，还用于根据所述设备标识验证所述DHCP客户端合法后，通过已建立的安全通道将所述DHCP客户端的数字证书下发给DHCP服务器； 所述DHCP服务器，还用于从接收到的信息中获得所述DHCP客户端的数字证书。
27.根据权利要求23所述的DHCP客户端，其特征在于，所述方法还包括: 所述加密的第二信息为使用DHCP客户端所对应的数字证书公钥签名的信息时，所述DHCP客户端还包括: 用于使用自身的私钥对所述加密的第二信息进行解密并验证的单元。
28.根据权利要求23所述的DHCP客户端，其特征在于，所述方法还包括: 所述加密的第二信息为使用DHCP服务器的私钥签名的信息时，所述DHCP客户端还包括: 用于使用DHCP服务器的公钥对所述加密的第二信息进行解密并验证的单元。
29.根据权利要求23所述的DHCP客户端，其特征在于，所述DHCP客户端还包括: 用于向所述DHCP服务器发送DHCP请求DHCP REQUEST消息的单元，所述DHCP REQUEST消息中包含应用所述DHCP客户端私钥加密的第三信息，其中，所述DHCP服务器应用所述公钥对所述加密的第三信息解密并验证成功后，根据所述DHCP REQUEST消息中的信息进行操作处理； 用于接收所述DHCP服务器发送的DHCP确认DHCP ACK消息的单元，所述DHCP ACK消息中包括加密的第四信息； 用于对所述加密的第四信息进行解密并验证，若验证成功，根据所述DHCP ACK消息中的信息完成操作处理的单元。
30.根据权利要求29所述的DHCP客户端，其特征在于， 所述加密的第四信息为使用客户端所对应的数字证书公钥签名的信息； 所述DHCP客户端还包括:用于使用自身的私钥对所述加密的第四信息进行解密并验证的单元； 或者， 所述加密的第四信息为使用DHCP服务器的私钥签名的信息； 所述DHCP客户端还包括:用`于使用DHCP服务器的公钥对所述加密的第四信息进行解密并验证的单元。
31.根据权利要求23所述的DHCP客户端，其特征在于， 所述DHCP DISCOVER消息中还包括第一公共值，所述DHCP OFFER消息中还包括第二公共值，所述DHCP服务器，用于根据所述第一公共值和第二公共值计算第一共享密钥； 所述DHCP客户端还包括: 用于根据所述第一公共值和第二公共值计算第一共享密钥的单元； 用于向所述DHCP服务器发送DHCP请求DHCP REQUEST消息的单元，所述DHCP REQUEST消息中包含应用第一共享密钥加密的第三信息，其中，所述DHCP服务器，还用于应用所述第一共享密钥对所述加密的第三信息解密并验证成功后，根据所述DHCP REQUEST消息中的信息进行操作处理； 用于接收所述DHCP服务器发送的DHCP确认DHCP ACK消息的单元，所述DHCP ACK消息中包括应用所述第一共享密钥加密的第四信息； 用于对所述加密的第四信息进行解密并验证，若验证成功，根据所述DHCP ACK消息中的信息完成操作处理的单元。
32.根据权利要求23所述的DHCP客户端，其特征在于， 所述第一信息为DHCP客户端唯一标识或DHCP DISCOVER消息本身； 所述第二信息为DHCP OFFER消息本身。
33.根据权利要求30或31所述的DHCP客户端，其特征在于， 所述第三信息为DHCP REQUEST消息本身； 所述第四信息为DHCP ACK消息本身。
【文档编号】H04L9/32GK103685272SQ201310683030
【公开日】2014年3月26日 申请日期:2011年3月23日 优先权日:2011年3月3日
【发明者】陈佳佳, 王江胜, 毕晓宇, 熊莺 申请人:上海华为技术有限公司