CN101471767A - 密钥分发方法、设备及系统 - Google Patents
密钥分发方法、设备及系统 Download PDFInfo
- Publication number
- CN101471767A CN101471767A CN 200710301749 CN200710301749A CN101471767A CN 101471767 A CN101471767 A CN 101471767A CN 200710301749 CN200710301749 CN 200710301749 CN 200710301749 A CN200710301749 A CN 200710301749A CN 101471767 A CN101471767 A CN 101471767A
- Authority
- CN
- China
- Prior art keywords
- host configuration
- dynamic host
- configuration protocol
- dhcp
- protocol server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0827—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving distinctive intermediate devices or communication paths
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明的实施例公开了一种密钥分发方法、设备及系统,涉及通信网络中的安全管理领域,解决了DHCP客户端和DHCP服务器之间的密钥分发问题。本发明的实施例在AAA服务器和DHCP客户端之间建立安全联盟,AAA服务器通过该安全联盟将密钥发送到DHCP客户端;而在DHCP服务器和AAA服务器之间设定长期共享秘密,AAA服务器通过这个长期共享秘密对密钥加密,发送到DHCP服务器,实现密钥分发。其中,长期共享秘密还可以用在DHCP中继和DHCP服务器之间的密钥分发中。本发明的实施例用在DHCP系统中进行共享密钥的分发。
Description
技术领域
本发明涉及通信网络中的安全管理领域,特别涉及在采用动态主机配置协议(DHCP)进行通信的系统中,进行密钥分发的方法,和该方法中所需要用到的设备,以及这些设备组成的系统。
背景技术
DHCP协议的主要作用是动态地为客户端分配IP地址,并进行网络配置。但DHCP协议分配IP地址的方法存在网络安全的漏洞,容易受到网络攻击者的攻击。在DHCP服务器和DHCP客户端之间传输数据时,或者DHCP服务器和DHCP中继之间传输数据时,所传输的数据报文可能会被篡改。为了防止所传输的数据报文被篡改,IETF(互联网工程任务组)制定了RFC3118(RFC:Request ForComments,请求注解),该RFC3118中要求对DHCP的每条报文进行完整性认证,这种验证是在DHCP客户端和DHCP服务器端之间进行的。另外IETF还制定的RFC4030,用于验证DHCP中继和DHCP服务器之间信息的完整性。这两篇RFC所使用的方法都是建立在双方有密钥的基础上的。
为了实现RFC4030所规定的完整性认证,现有技术中提出了一种分发会话密钥的方法。密钥都通过AAA协议(认证、授权、计费协议)分发到DHCP中继和DHCP服务器,比如:通过Radius协议(Remote Authentication Dial In UserService:远程用户拨号认证系统)将会话密钥分发到DHCP中继和DHCP服务器,如图1所示,具体步骤如下:
1、DHCP中继向AAA服务器发送Access-Request(接入请求)报文,该报文中包含DHCP服务器的身份标识(ID)。
2、AAA服务器收到Access-Request后,向DHCP中继回复Access-Accept(接入允许)报文,该报文里会携带该DHCP中继所对应的DHCP服务器ID,以及将要被DHCP服务器和DHCP中继之间使用的根密钥(以DHCP-RK表示)。
3、DHCP客户端发送DHCPDISCOVER报文给DHCP中继。
4、DHCP中继按照正常流程将DHCPDI SCOVER报文转发给DHCP服务器,并且添加了基于DHCP中继信息子选项的验证码;该验证码是依据DHCP-RK计算出的。
5、DHCP服务器收到DHCPDISCOVER报文后,发现存在DHCP中继子选项的验证码,则向AAA服务器发送Access-Request报文,并携带DHCP服务器的ID。
6、AAA服务器在回复DHCP服务器的Access-Accept报文里,携带根密钥DHCP-RK。
经过上述流程后,DHCP服务器和DHCP中继之间便可以使用根密钥DHCP-RK或者根密钥的衍生子密钥进行完整性认证,之后,DHCP服务器还需要通过DHCP中继向DHCP客户端发送DHCPOFFER报文(见图1的步骤7和步骤8)。
在上述分发密钥的过程中,由于DHCP中继和DHCP服务器都同时作为AAA客户端使用,所以,DHCP中继和DHCP服务器都可以从AAA服务器上通过AAA协议直接获取根密钥。现有网络中DHCP中继一般同时作为AAA客户端,可以支持AAA协议,但DHCP服务器却一般不直接支持AAA协议,所以需要在DHCP服务器上同时实现AAA客户端的功能,以增加其AAA报文解析功能,才能采用上述的方法来分发密钥。并且,上述的方法实现了DHCP服务器和DHCP中继之间的密钥分发,但未能实现DHCP客户端和DHCP服务器之间的密钥分发,即不能实现RFC3118所规定的完整性认证。
发明内容
一方面,本发明的实施例提供一种密钥分发方法,以实现DHCP客户端和DHCP服务器之间共享密钥的分发。
另一方面,本发明的实施例还提供一种密钥传输方法,通过服务提供商节点分别向DHCP客户端和DHCP服务器传输共享密钥。
再一方面,本发明的实施例还提供一种密钥分发方法,以实现DHCP客户端和DHCP服务器之间共享密钥的分发。
再一方面,本发明的实施例还提供一种密钥传输方法,通过服务提供商节点分别向DHCP客户端和DHCP服务器传输共享密钥。
再一方面,本发明的实施例还提供一种密钥分发方法,以较少的DHCP服务器资源,实现DHCP中继和DHCP服务器的共享密钥分发。
再一方面,本发明的实施例还提供一种密钥传输方法,以较少的DHCP服务器资源,通过服务提供商节点分别向DHCP中继和DHCP服务器传输共享密钥。
再一方面,本发明的实施例还提供一种AAA服务器,能够将DHCP客户端和DHCP服务器之间的共享密钥发送到DHCP客户端。
再一方面,本发明的实施例还提供一种DHCP客户端,能够从AAA服务器接收DHCP客户端和DHCP服务器之间的共享密钥。
再一方面,本发明的实施例还提供一种DHCP服务器,能够通过DHCP中继接收共享密钥。
再一方面,本发明的实施例还提供一种密钥分发系统,以实现DHCP客户端和DHCP服务器之间共享密钥的分发。
再一方面,本发明的实施例还提供一种密钥分发系统,以较少的DHCP服务器的资源开销,实现DHCP中继和DHCP服务器之间共享密钥的分发。
为达到上述目的,本发明的实施例采用如下技术方案:
一种密钥分发方法,包括:
AAA服务器和DHCP客户端之间建立安全联盟;
AAA服务器将DHCP服务器和DHCP客户端的共享密钥,通过所述安全联盟发送到DHCP客户端;
AAA服务器将DHCP服务器和DHCP客户端的共享密钥通过服务提供商节点发送到DHCP服务器。
一种密钥传输方法,包括:
服务提供商节点传输DHCP客户端和AAA服务器建立安全联盟的报文;
服务提供商节点接收到AAA服务器通过所述安全联盟发送的DHCP服务器和DHCP客户端的共享密钥,并转发给DHCP客户端;
服务提供商节点从AAA服务器,接收到DHCP服务器和DHCP客户端的共享密钥,并转发给DHCP服务器。
密钥分发方法,包括:
AAA服务器和DHCP客户端之间建立安全联盟;
AAA服务器将DHCP服务器和DHCP客户端的共享密钥,通过所述安全联盟发送到DHCP客户端;
AAA服务器将DHCP服务器和DHCP客户端的共享密钥发送到服务提供商节点。
一种密钥传输方法,包括:
服务提供商节点传输DHCP客户端和AAA服务器建立安全联盟的报文;
服务提供商节点接收到AAA服务器通过所述安全联盟发送的DHCP服务器和DHCP客户端的共享密钥,并转发给DHCP客户端;
服务提供商节点从AAA服务器,接收到DHCP服务器和DHCP客户端的共享密钥。
一种密钥分发方法,包括:
在DHCP服务器和AAA服务器上设置长期共享秘密;
AAA服务器将DHCP服务器和DHCP中继的共享密钥发送到DHCP中继;
AAA服务器将DHCP服务器和DHCP中继的共享密钥通过所述长期共享秘密加密;
AAA服务器将加密后DHCP服务器和DHCP中继的共享密钥通过DHCP中继发送到DHCP服务器;
DHCP服务器利用长期共享秘密解密得出DHCP服务器和DHCP中继的共享密钥。
一种密钥传输方法,包括:
DHCP中继从AAA服务器,接收到DHCP服务器和DHCP中继的共享密钥;
DHCP中继从AAA服务器,接收到加密后的DHCP服务器和DHCP中继的共享密钥;
DHCP中继将加密后的DHCP服务器和DHCP中继的共享密钥,发送到DHCP服务器。
一种AAA服务器,包括:
密钥产生模块,用于产生DHCP服务器和DHCP客户端的共享密钥;
安全联盟建立模块,用于通过DHCP中继在AAA服务器和DHCP客户端之间建立安全联盟;
发送模块,用于通过安全联盟发送DHCP服务器和DHCP客户端的共享密钥。
一种DHCP客户端,包括:
安全联盟建立模块,用于通过DHCP中继在AAA服务器和DHCP客户端之间建立安全联盟;
接收模块,用于通过所述安全联盟,接收DHCP服务器和DHCP客户端之间的共享密钥。
一种DHCP服务器,包括:
接收模块,用于接收加密后的报文;所述加密后的报文中包含有DHCP服务器和DHCP客户端的共享密钥,或者包含有DHCP服务器和DHCP中继的共享密钥;
解密模块,用于对加密后的报文解密,并获取报文中DHCP服务器和DHCP客户端的共享密钥,或者获取DHCP服务器和DHCP中继的共享密钥。
一种密钥分发系统,包括DHCP服务器、DHCP客户端、DHCP中继和AAA服务器;所述DHCP中继支持AAA协议;所述AAA服务器包括密钥产生模块,用于产生DHCP服务器和DHCP客户端的共享密钥;
所述AAA服务器还包括:
安全联盟建立模块,用于通过DHCP中继在AAA服务器和DHCP客户端之间建立安全联盟;
发送模块,用于通过安全联盟发送DHCP服务器和DHCP客户端共享密钥;
所述DHCP客户端包括:
安全联盟建立模块,用于通过DHCP中继在AAA服务器和DHCP客户端之间建立安全联盟;
接收模块,用于通过所述安全联盟,接收DHCP服务器和DHCP客户端之间的共享密钥。
一种密钥分发系统,包括DHCP服务器、DHCP中继和AAA服务器;所述DHCP中继支持AAA协议;所述AAA服务器包括密钥产生模块,用于产生DHCP服务器和DHCP中继的共享密钥;
所述AAA服务器还包括:
加密模块,用于对DHCP服务器和DHCP中继的共享密钥加密;
发送模块,用于发送所述加密后的报文;
所述DHCP服务器包括:
接收模块,用于接收加密后的报文;
解密模块,用于对加密后的报文解密,并获取报文中DHCP服务器和DHCP中继的共享密钥。
由上述技术方案所描述的本发明的实施例,DHCP服务器和DHCP客户端是通过服务提供商节点进行通信的,而服务提供商节点上嵌入有AAA协议,使得AAA服务器可以通过服务提供商节点,将数据分别转发到DHCP客户端和DHCP服务器。利用上述的服务提供商节点转发的通信方式,可以将DHCP服务器和DHCP客户端的共享密钥转发到DHCP服务器;利用上述的服务提供商节点转发的通信方式,在AAA服务器和DHCP客户端之间建立安全联盟,并利用该安全联盟将DHCP服务器和DHCP客户端的共享密钥传输到DHCP客户端。上述流程完成了DHCP服务器和DHCP客户端之间共享密钥的分发,并且不需要在现有的DHCP客户端和DHCP服务器上嵌入AAA协议,减小了DHCP客户端和DHCP服务器的资源开销。
由上述技术方案所描述的本发明的实施例,在DHCP中继上嵌入有AAA协议,使得AAA服务器可以直接将DHCP服务器和DHCP中继的共享密钥发送到DHCP中继。在DHCP服务器上和AAA服务器上,设置了DHCP服务器和AAA服务器的长期共享秘密,这样就可以利用这个长期共享秘密对DHCP服务器和DHCP中继的共享密钥加密,然后将加密的报文通过DHCP中继转发到DHCP服务器,并由DHCP服务器利用长期共享秘密将加密的报文解密,得到其中的DHCP服务器和DHCP中继的共享密钥。上述方法完成了DHCP服务器和DHCP客户端之间共享密钥的分发,并且AAA服务器通过DHCP中继将数据转发到DHCP服务器的,不需要在现有的DHCP服务器上嵌入AAA协议,减小了DHCP服务器的资源开销。
附图说明
图1为现有技术中DHCP服务器和DHCP中继之间的密钥分发流程图;
图2为现有技术中EAP交互的流程图;
图3为现有技术中通过DHCP承载EAP框架的流程图;
图4为本发明密钥分发方法第一实施例的流程图;
图5为本发明密钥分发方法中建立安全联盟的流程图;
图6为图4对应的密钥分发系统框图;
图7为本发明密钥分发方法第二实施例的流程图;
图8为本发明密钥分发方法第三实施例的流程图;
图9为图8对应的密钥分发系统框图;
图10为本发明密钥分发方法第四实施例的流程图;
图11为本发明密钥分发方法可变通实施例的流程图。
具体实施方式
PPP(Point to Point Protocol,点对点协议)为点对点传输多协议数据包提供了一个标准方法。相对于IP(Internet Protocol,网际协议)而言,PPP在单一的点到点链路上运行,缺少带宽管理功能和QoS(Quality of Service,服务质量)功能。随着网络技术的发展,原有的PPP会话将逐步被IP会话代替,这样有利于提高带宽的利用率,减少网络中报文传递的复杂度,并且可以有效利用基于IP的保证QoS的功能。
丢弃使用PPP转而使用IP,将数据直接封装在IP报文中进行传输,会带来一些问题。其中的问题之一关于用户认证,PPP协议能够直接提供用户认证的功能,而IP协议中没有定义用户认证功能。现在有一种方案是将认证信息携带在DHCP(动态主机配置协议)报文里面进行用户认证,其中一种较为常见的方法为:将用户认证信息由EAP(可扩展认证协议)数据帧携带,然后将EAP数据帧封装在DHCP报文中,通过DHCP将加载EAP数据帧,传递用户认证信息,以实现用户认证的功能。EAP是一个支持各种认证方法的标准协议,能够提供多回合的认证,该协议提供一种帧格式,能够容纳各种认证信息。
在AAA领域,常用的Radius和Diameter协议都可以承载EAP报文进行用户认证。EAP报文有4种格式:request(请求),response(响应),success(成功),failure(失败)。EAP的消息交互如图2所示(该图没有标出EAP被哪个协议承载)。EAP的消息交互的回合数是不固定的,由于认证方法不同可能所需的消息交互回合数也不同,但是都是以成对的request/response的形式出现。根据EAP使用的方法不同,可以实现不同要求的认证和安全要求。比如,在EAP认证结束以后,可以建立一个基于密钥的端到端的安全联盟,也就是两个终端之间通过EAP报文协商出一个共用的密钥,这两个终端之间就可以通过这个共用的密钥或衍生的子密钥进行安全通信。
DHCP承载EAP报文还没有成为标准,但是已经有一些专利和文献提出这种可行的方案。其主要思想是扩展DHCP,比如使用新的DHCP报文类型或者新的DHCP选项,来携带EAP的载荷。假设我们添加的新DHCP报文为DHCPEAP,那么,通过DHCP承载EAP报文进行用户认证的流程如图3所示,该过程中使用的NAS(网络接入服务器)同时具有DHCP服务器和AAA客户端的功能,使得它可以作为DHCP服务器和AAA客户端使用,具体描述如下:
1、DHCP客户端发送DHCPDISCOVER(动态主机配置协议发现)消息到NAS(网络接入服务器),这里的DHCP服务器和NAS为同一设备。
2、NAS收到DHCPDISCOVER消息后,以DHCPOFFER(动态主机配置协议提供)报文应答DHCP客户端,DHCPOFFER报文应该包括可用IP地址和其他的DHCP配置参数。
3、如果客户端收到网络上多台DHCP服务器的DHCPOFFER报文,挑选其中一个DHCPOFFER报文(通常是最先抵达的那个),并向网络广播一个DHCPREQUEST(动态主机配置协议请求)报文,通知所有DHCP服务器它将接受哪一台DHCP服务器提供的IP地址。
4、NAS需要对DHCP客户端进行认证,所以NAS会发送DHCPEAP报文携带EAP-Request来请求DHCP用户端的ID(身份标识)。
5、DHCP客户端使用DHCPEAP报文携带EAP-Response并填入所要求的ID发送给NAS。
6、NAS将收到的DHCPEAP报文的报头剥离,得出EAP-response报文,然后使用AAA协议报文携带该EAP-response报文,如Radius中的Access-Request(接入请求)携带EAP-Response报文,并发送给AAA服务器。
7、AAA服务器接收到EAP-Response报文后,使用Access-Challenge(挑战访问)携带EAP-Request报文,并发送到NAS。其中,EAP-Request报文中包含有OTP(一次性密码)。
8、NAS收到Access-Challenge后,将AAA报文报头剥离,得出EAP-request,然后使用DHCPEAP报文携带EAP-request,并发送给DHCP客户端。
9、DHCP客户端根据收到的OTP产生应答并放在EAP-Response里,使用DHCPEAP携带EAP-Response后发送给NAS。
10、NAS将收到的DHCPEAP报文的报头剥离,得出EAP-response报文,然后使用Access-Request携带EAP-Response报文发送给AAA服务器。
11、AAA服务器对EAP-Response报文中的OTP应答进行认证,认证成功则发送Access-Accept(允许接入)报文到NAS,认证失败则发送Access-Reject(拒绝接入)报文到NAS。
12、NAS根据Access-Accept或者Access-Reject,分别发送DHCPACK(动态主机配置协议成功应答)和DHCPNACK(动态主机配置协议失败应答)给DHCP服务器并携带相应的EAP成功和失败的报文。
通过上述的步骤4至步骤12即可完成DHCP客户端在AAA服务器上的认证。
关于DHCP携带EAP的消息交互进行用户认证还可以有其它选择:比如步骤3可以放在步骤11之后,这样,步骤4中NAS对DHCP客户端进行认证时,所以NAS发送的携带有EAP-Request的DHCPEAP报文,可以由DHCPOFFER传递给DHCP客户端,以请求DHCP用户端的ID(身份标识),此后的步骤不变。
本发明的实施例主要是完成DHCP服务器和DHCP客户端的密钥分发,以及DHCP服务器和DHCP中继的密钥分发。本发明的实施例采用DHCP携带EAP报文,在DHCP客户端和AAA服务器之间建立安全联盟,通过这个安全联盟就可以传输数据,而由于DHCP中继上嵌入有AAA协议,使得AAA服务器可以通过DHCP中继将数据发送给DHCP服务器,即可完成DHCP客户端和AAA服务器的密钥分发,同时也可以通过DHCP中继上的AAA协议完成DHCP服务器和DHCP中继的密钥分发。
下面结合附图对本发明密钥分发方法、设备及系统的实施例进行详细描述。
实施例1:
在本实施例中的NAS是DHCP中继,并且将BNG(Broadband network gateway,宽带接入服务器)和DHCP中继设置在一个设备上,并嵌入了AAA协议,使得DHCP中继具有AAA客户端的功能,而DHCP服务器是一个独立的设备。上述的NAS就是服务提供商节点中的一种。AAA服务器和它管理域下的DHCP服务器之间拥有长期共享秘密K,这个长期共享秘密K可以通过手工设置或其他方法配置完成。为了使DHCP服务器和DHCP客户端之间能够进行数据的完整性认证,需要DHCP服务器和DHCP客户端之间存在共享密钥。下面我们详细说明该共享密钥的分发过程,如图4,其流程如下:
1、DHCP客户端向DHCP服务器发送DHCPDISCOVER报文,并且可以在这个DHCPDISCOVER报文里携带要求认证的参数。
2、DHCP服务器接收到DHCPDISCOVER报文后,向DHCP客户端发送DHCPOFFER报文,DHCPOFFER报文中包含有提供的IP地址及其他的参数。
3、DHCP客户端获取到IP地址后,向DHCP中继发送DHCPREQUEST报文,要求确认在上一步DHCPOFFER报文中所配置的IP地址和参数。
4、建立DHCP服务器和DHCP客户端的安全联盟,建立安全联盟有很多种,本实施例中具体介绍一下通过TLS(传输层安全)认证建立安全联盟的过程,如图5所示,具体步骤如下:
4.1、DHCP中继将一个TLS认证的要求信息加载到EAP Request消息中,并将该EAP Request消息通过DHCP传输到DHCP客户端,以向DHCP客户端发出要求以TLS认证的方式建立安全联盟的信息;
4.2、DHCP客户端收到TLS认证的要求信息后,将TLS的Client hello(发起握手)消息加载到EAP Response消息中,并通过DHCP报文传输到DHCP中继,这个Client hello消息里面包含了DHCP客户端可实现的算法列表和其它一些需要的消息;
4.3、DHCP中继将DHCP协议的数据报头剥离,得到其中的EAP Response消息,并将该EAP Response消息加载到AAA协议的Access-Request报文中,并发送到AAA服务器;
4.4、AAA服务器将Access-Request报文的数据报头剥离,得到EAP Response消息内的Client hello消息,AAA服务器生成一个Client hello的回应消息,即Server hello消息,并将该Server hello消息加载到EAP Request消息中,然后通过AAA协议的Access-Challenge报文发送到DHCP中继;Server hello消息中确定了本次通信所需要的算法,以及AAA服务器的证书(证书主要包括身份和公钥);
4.5、DHCP中继将Access-Challenge报文的数据报头剥离,得到EAP Request消息,然后以DHCP协议报文的格式发送到DHCP客户端;
4.6、DHCP客户端将DHCP协议的数据报头剥离,得到EAP Request消息中的Server hello消息,同时DHCP客户端生成一个密钥信息,并使用AAA服务器的公钥将该密钥信息加密后,加载到EAP Response消息内,并以DHCP协议报文的格式发送到DHCP中继;
4.7、DHCP中继将DHCP协议的数据报头剥离,得到其中的EAP Response消息,并将该消息通过AAA协议的Access-Request报文发送到AAA服务器。
4.8、AAA服务器得到密钥信息后对其进行认证,认证通过后生成一个加密的参数,并将该加密的参数加入到EAP Request中,通过Access-Challenge报文将EAP Request发送到DHCP中继;
4.9、DHCP中继将接收到的Access-Challenge报文的数据报头剥离,得到EAP Request消息,然后以DHCP协议报文的格式发送到DHCP客户端;
4.10、DHCP客户端得到加密的参数,然后对该加密的参数进行认证,如果认证通过则在EAP Response中加载认证通过的信息,并通过DHCP报文发送到DHCP中继;
4.11、DHCP中继将DHCP协议的数据报头剥离,得到其中的EAP Response消息,并将该EAP Response消息加载到AAA协议的Access-Request报文中,并发送到AAA服务器;
AAA服务器收到认证通过的消息后,通过DHCP中继向DHCP客户端发送一个允许接入的消息,并通过AAA服务器和HDCP客户端协商出的密钥和加密参数进行通信,即建立了一个安全联盟。
如果上述任何一步不能通过认证,那么AAA服务器通过DHCP中继向DHCP客户端发送一个拒绝接入的消息,重新进行建立一个安全联盟。
在上述建立安全联盟的过程中,AAA服务器产生了DHCP客户端和DHCP服务器之间的共享密钥,称之为Key1。
5、AAA服务器将Key1或者计算Key1所需的材料通过步骤4中建立的安全联盟传递到DHCP客户端。
6、AAA服务器向DHCP中继发送Access-Accept报文,并在该报文中携带EAP认证成功的信息。使用K将Key1或者计算Key1所需的材料加密,并携带在Access-Accept报文中。
也可以将一个随机数加入到上述报文中,该随机数和计算Key1所需的材料一起可以计算出Key1,这样可以增加Key1的安全性,以防止重放攻击。
7、DHCP中继收到Access-Accept报文后,将其中的AAA协议数据报头剥离,得到其中的密文,然后将该密文携带在第3步中的DHCPREQUEST报文内。并将该DHCPREQUEST报文发送到DHCP服务器。
DHCP服务器收到从DHCP中继转发的DHCPREQUEST报文后,使用密钥K解密DHCPREQUEST报文携带的密文,这样可以获得Key1或者获得可以算出Key1的材料。这样DHCP服务器和DHCP客户端之间就可以有共享的密钥Key1了。
8、DHCP客户端和DHCP服务器之间可以通过共享密钥Key1进行RFC3118所述的数据完整性保护。DHCP客户端和DHCP服务器也可以通过共享密钥Key1,计算出衍生的子密钥,比如DHCP客户端和DHCP服务器之间的会话密钥,然后利用该会话密钥对DHCP客户端和DHCP服务器之间传输的数据,进行RFC3118所述的数据完整性保护。
密钥分发成功后,DHCP服务器将携带EAP success的DHCPACK报文,通过DHCP中继发送给DHCP客户端以表示接入认证成功。
上述本发明的实施例使用DHCP报文承载EAP,通过EAP框架的认证,在DHCP客户端和AAA服务器之间建立安全联盟。这样AAA服务器就可以通过该安全联盟向DHCP客户端发送Key1或者计算Key1所需的材料。同时,上述本发明的实施例在DHCP服务器和AAA服务器之间设置了长期的共享秘密K,将Key1或者计算Key1所需的材料使用K加密,并通过AAA协议从AAA服务器传递到DHCP中继,由于DHCP中继没有K的信息,DHCP中继无法解密获得Key1或者计算Key1所需的材料的内容。但是,DHCP中继可以将加密后的Key1或者计算Key1所需的材料的密文发送到DHCP服务器,DHCP服务器使用K解密后得到Key1或者计算Key1所需的材料,在该过程中不需要DHCP服务器中嵌入AAA协议,节约了DHCP服务器的资源开销。
通过上述过程可以将共享密钥Key1在DHCP中继无法得知内容的情况下,分发给DHCP客户端和DHCP服务器,这样在DHCP客户端和DHCP服务器之间就可以使用共享密钥Key1进行数据的完整性保护;DHCP客户端和DHCP服务器也可以通过共享密钥Key1,计算出衍生的子密钥,比如DHCP客户端和DHCP服务器之间的会话密钥,然后利用该会话密钥对DHCP客户端和DHCP服务器之间传输的数据,进行RFC3118所述的数据完整性保护。
对应于上述的密钥分发方法的实施例,本发明的还提供了与该方法对应的密钥分发系统,具体如图6所示,在DHCP中继中嵌入有AAA协议,本实施例中的密钥分发系统包括DHCP服务器、DHCP客户端、DHCP中继和AAA服务器;所述DHCP中继上嵌入有AAA协议。
所述AAA服务器包括:密钥产生模块,用于产生DHCP服务器和DHCP客户端的共享密钥;安全联盟建立模块,用于通过DHCP中继在AAA服务器和DHCP客户端之间建立安全联盟;加密模块,用于对DHCP服务器和DHCP客户端的共享密钥加密,其加密的方法和步骤由DHCP服务器和DHCP客户端协商。发送模块,用于将DHCP服务器和DHCP客户端的共享密钥通过所述安全联盟发送到DHCP客户端;并将加密的报文通过DHCP中继发送到DHCP服务器。
所述DHCP客户端包括:安全联盟建立模块,用于通过DHCP中继在AAA服务器和DHCP客户端之间建立安全联盟;接收模块,用于通过所述安全联盟,接收DHCP服务器和DHCP客户端之间的共享密钥。
所述DHCP服务器包括:解密模块,用于对加密的报文进行解密,并获取DHCP服务器和DHCP客户端的共享密钥。
上述的安全联盟设置在AAA服务器和DHCP客户端之间,该安全联盟就是指AAA服务器和DHCP客户端之间可以用来会话的密钥,可以通过EPA框架承载TLS认证消息协商该共用的会话密钥,建立过程和图5所示完全相同。
DHCP客户端可以通过安全联盟直接获取到DHCP服务器和DHCP客户端的共享密钥;而DHCP服务器也可以通过解密模块获取到DHCP服务器和DHCP客户端的共享密钥,但由于DHCP中继没有解密模块,所以不能获取到DHCP服务器和DHCP客户端的共享密钥;这样就确保了DHCP服务器和DHCP客户端之间的共享密钥不会被第三方知道,保证了密钥分发过程的安全,并且不需要DHCP服务器和DHCP客户端中嵌入AAA协议,即可实现密钥的分发,节约了DHCP服务器和DHCP客户端的资源开销。
实施例2:
在本实施例和实施例1中构架基本相同,即:NAS是DHCP中继,且DHCP中继和BNG(Broadband network gateway,宽带接入服务器)设置在一个设备上,并且DHCP中继上嵌入有AAA协议,可以作为AAA客户端使用,而DHCP服务器是一个独立的设备。上述的NAS就是服务提供商节点中的一种。
并且,AAA服务器和它管理域下的DHCP服务器之间也设置了长期共享秘密K,这个长期共享秘密K可以通过手工设置完成。为了使DHCP服务器和DHCP中继之间能够进行数据的完整性认证,需要使DHCP服务器和DHCP中继之间存在共享密钥。本实施例还在实施例1的基础上同时实现DHCP服务器和DHCP中继的共享密钥的分发,下面我们详细说明该共享密钥的分发过程,如图7,其流程如下:
AAA服务器产生DHCP客户端和DHCP服务器之间的共享密钥,称之为Key1;同时还产生DHCP中继和DHCP服务器之间的共享密钥,称之为Key2。
本实施例得前5步和实施例1完全相同,实施例1中的第6步及其以后的流程修改为如下步骤:
6、AAA服务器向DHCP中继发送Access-Accept报文,并在该报文中携带EAP认证成功的信息。使用K将Key1或者计算Key1所需的材料,以及Key2或者计算Key2所需的材料加密,并携带在Access-Accept报文中;同时将Key2或者计算Key2所需的材料,携带在Access-Accept报文中。
也可以将一个随机数加入到上述报文中,该随机数和计算Key2所需的材料一起可以计算出Key2,这样可以增加Key2的安全性,以防止重放攻击。
7、DHCP中继收到Access-Accept报文后,将其中的AAA协议数据报头剥离,得到其中的Key2或者计算Key2所需的材料,以及其中的密文,然后将该密文携带在第3步中的DHCPREQUEST报文内。并将该DHCPREQUEST报文发送到DHCP服务器。
DHCP服务器收到从DHCP中继转发的DHCPREQUEST报文后,使用密钥K解密收到的密文,这样可以获得Key2或者获得可以算出Key2的材料。这样DHCP服务器和DHCP中继之间就可以有共享的密钥Key2了。DHCP中继和DHCP服务器之间可以通过共享密钥Key2进行RFC4030所述的数据完整性保护。DHCP中继和DHCP服务器还可以通过共享密钥Key2,计算出衍生的子密钥,比如DHCP中继和DHCP服务器之间的会话密钥,然后利用该会话密钥对DHCP中继和DHCP服务器之间传输的数据,进行RFC4030所述的数据完整性保护。
上述实施例实现Key2和Key1在一个报文中携带,这样就可以同时进行DHCP中继和DHCP服务器的密钥分发,以及DHCP客户端和DHCP服务器的密钥分发。
由于Key2和Key1在一个报文中携带,不需要增加模块来进行数据处理,本实施例对应的密钥分发系统和实施例1中的密钥分发系统完全相同。
实施例3:
为了使DHCP服务器和DHCP中继之间能够进行数据的完整性认证,本实施例为给DHCP服务器和DHCP中继分发共享密钥,其中的DHCP中继、BNG设置在一个设备上,并且DHCP中继上嵌入有AAA协议,使得DHCP中继可以作为AAA客户端使用。上述的BNG就是服务提供商节点中的一种。AAA服务器和它管理域下的DHCP服务器之间设置了长期共享秘密K,这个长期共享秘密K可以通过手工设置完成。下面我们详细说明该共享密钥的分发过程,如图8,其流程如下:
1、DHCP客户端向DHCP服务器发送DHCPDISCOVER报文,并且可以在这个DHCPDISCOVER报文里携带要求认证的参数。
2、DHCP服务器接收到DHCPDISCOVER报文后,向DHCP客户端发送DHCPOFFER报文,DHCPOFFER报文中包含有提供的IP地址及其他的参数。
3、DHCP客户端获取到IP地址后,向DHCP中继发送DHCPREQUEST报文,要求确认在上一步DHCPOFFER报文中所配置的IP地址和参数。
4、DHCP中继将EAP Response框架加载到Access-Request报文中,并发送到AAA服务器。
5、AAA服务器产生了DHCP中继和DHCP服务器之间的共享密钥,称之为Key2。AAA服务器向DHCP中继发送Access-Accept报文,并在该报文中携带EAP认证成功的信息。使用K将Key2或者计算Key2所需的材料加密,并携带在Access-Accept报文中;同时将Key2或者计算Key2所需的材料,携带在Access-Accept报文中。
也可以将一个随机数加入到上述报文中,该随机数和计算Key2所需的材料一起可以计算出Key2,这样可以增加Key2的安全性,不会轻易被窃取。
6、DHCP中继收到Access-Accept报文后,将其中的AAA协议数据报头剥离,得到其中的Key2或者计算Key2所需的材料,以及其中的密文,然后将该密文携带在第3步中的DHCPREQUEST报文内。并将该DHCPREQUEST报文发送到DHCP服务器。
7、DHCP服务器收到从DHCP中继转发的DHCPREQUEST报文后,使用密钥K解密收到的密文,这样可以获得Key2或者获得可以算出Key2的材料。这样DHCP服务器和DHCP中继之间就可以有共享的密钥Key2了。
DHCP中继和DHCP服务器之间可以通过共享密钥Key2进行RFC3118所述的数据完整性保护。DHCP中继和DHCP服务器也可以通过共享密钥Key2,计算出另外一对DHCP中继和DHCP服务器之间的会话密钥,然后利用该会话密钥进行RFC4030所述的数据完整性保护。
获取到共享密钥后,DHCP服务器将携带EAP success的DHCPACK报文,通过DHCP中继发送给DHCP客户端以表示接入认证成功。
本实施例中DHCP中继上嵌入有AAA协议,可以直接获取到AAA服务器生成的密钥,并且AAA服务器可以通过DHCP中继向DHCP服务器发送密钥,使得DHCP服务器不需要嵌入AAA协议就可以获取到密钥,实现DHCP中继和DHCP服务器之间的密钥分发,以便进行数据完整性认证,节约了DHCP服务器的资源开销。
对应于上述的密钥分发方法的实施例,本发明的还提供了与该方法对应的密钥分发系统,具体如图9所示,本实施例的DHCP中继上嵌入有AAA协议,该密钥分发系统包括:
20、一种密钥分发系统,包括DHCP服务器、DHCP中继和AAA服务器;所述DHCP中继上嵌入有AAA协议;
所述AAA服务器包括:密钥产生模块,用于产生DHCP服务器和DHCP中继的共享密钥;加密模块,用于对DHCP服务器和DHCP中继的共享密钥加密,得到加密的报文,其加密的方法和步骤由DHCP服务器和DHCP中继协商;发送模块,用于将DHCP服务器和DHCP中继的共享密钥发送到DHCP中继;并将加密的报文通过DHCP中继发送到DHCP服务器。
所述DHCP服务器包括:接收模块,用于接收加密后的报文;解密模块,用于对加密的报文进行解密,并获取DHCP服务器和DHCP中继的共享密钥。
本实施例中AAA服务器上的密钥生成模块生成密钥,通过加密模块对其进行加密,然后通过发送模块将密钥和加密后的报文一起发送到DHCP中继(DHCP中继上嵌入有AAA协议,可以直接接收AAA服务器的报文)。DHCP中继接着向DHCP服务器发送加密后的报文,这样DHCP服务器可以通过解密模块将其解密后得到密钥,使得DHCP服务器不需要嵌入AAA协议就可以获取到密钥。实现DHCP中继和DHCP服务器之间的密钥分发,以便进行数据完整性保护,节约了DHCP服务器的资源开销。
实施例4:
在上述三个实施例中,DHCP服务器上都没有嵌入AAA协议,即可实现密钥的分发,本发明的实施例还可以运用在DHCP服务器上嵌入有AAA协议的情况,即DHCP服务器、BNG(Broadband network gateway,宽带接入服务器)设置在一个设备上,并且DHCP服务器上嵌入有AAA协议,使得DHCP服务器可以作为AAA客户端使用,DHCP服务器和DHCP客户端之间的通信不需要通过DHCP中继进行转发。上述的BNG就是服务提供商节点中的一种。为了使DHCP服务器和DHCP客户端之间能够进行数据的完整性认证,需要DHCP服务器和DHCP客户端之间存在共享密钥。下面我们详细说明该共享密钥的分发过程,如图10,其流程如下:
1、DHCP客户端向DHCP服务器发送DHCPDISCOVER报文,并且可以在这个DHCPDISCOVER报文里携带要求认证的参数。
2、DHCP服务器接收到DHCPDISCOVER报文后,向DHCP客户端发送DHCPOFFER报文,DHCPOFFER报文中包含有提供的IP地址及其他的参数。
3、DHCP客户端获取到IP地址后,向DHCP服务器发送DHCPREQUEST报文,要求确认在上一步DHCPOFFER报文中所配置的IP地址和参数。
4、建立DHCP服务器和DHCP客户端的安全联盟,具体的过程和图5类似,将图5中的DHCP中继改为本实施例中的DHCP服务器,即可建立DHCP服务器和DHCP客户端的安全联盟。
在上述建立安全联盟的过程中,AAA服务器产生了DHCP客户端和DHCP服务器之间的共享密钥,称之为Key1。
5、AAA服务器将Key1或者计算Key1所需的材料通过步骤4中建立的安全联盟传递到DHCP客户端。其中计算Key1所需的材料可以利用AAA服务器和DHCP客户端协商出的公钥加密得到,那么DHCP客户端可以通过解密材料得出Key1。
6、AAA服务器向DHCP服务器发送Access-Accept报文,并在该报文中携带EAP认证成功的信息。Access-Accept报文中携带有Key1或者计算Key1所需的材料。
7、DHCP服务器得到Key1或者计算Key1所需的材料后,DHCP服务器和DHCP客户端之间就可以有共享的密钥Key1了。DHCP客户端和DHCP服务器之间可以通过共享密钥Key1进行RFC3118所述的数据完整性保护。DHCP客户端和DHCP服务器还可以通过共享密钥Key1,计算出另外一对DHCP客户端和DHCP服务器之间的会话密钥,然后利用该会话密钥进行RFC3118所述的数据完整性保护。
8、DHCP服务器将携带EAP success的DHCPACK报文,发送给DHCP客户端以表示接入认证成功。
本发明的实施例还可以用在DHCP服务器上嵌入有AAA协议的情况,同样使用DHCP报文承载EAP,通过EAP框架的认证,在DHCP客户端和AAA服务器之间建立安全联盟。这样AAA服务器就可以通过该安全联盟向DHCP客户端发送Key1或者计算Key1所需的材料,而不用在DHCP客户端上嵌入AAA协议,节约了DHCP客户端的资源开销。同时,Key1或者计算Key1所需的材料可以直接发送到DHCP服务器,以使得DHCP服务器和DHCP客户端之间具有共享密钥。
通过上述过程可以在DHCP客户端和DHCP服务器之间就可以使用共享密钥Key1进行数据的完整性保护;也可以DHCP客户端和DHCP服务器可以通过共享密钥Key1,计算出另外一对DHCP客户端和DHCP服务器之间的会话密钥,然后利用该会话密钥进行RFC3118所述的数据完整性保护。
在上述的密钥分发方法的实施例中,通过DHCPEAP分发共享密钥的步骤不一定要在DHCPREQUEST之后的,而在有些DHCP携带EAP的方案中,通过DHCPEAP报文分发共享密钥是在DHCPDISCOVER之后,其简单的流程如11所示。
本发明的实施例主要用在DHCP系统中,进行共享密钥的分发,例如:DHCP服务器和DHCP客户端之间的共享密钥分发,DHCP服务器和DHCP中继之间的共享密钥分发。一般来说,上述的DHCP中继还可以通过其它设备来替代,例如:DHCP代理。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (28)
1、一种密钥分发方法,其特征在于包括:
AAA服务器和DHCP客户端之间建立安全联盟;
AAA服务器将DHCP服务器和DHCP客户端的共享密钥,通过所述安全联盟发送到DHCP客户端;
AAA服务器将DHCP服务器和DHCP客户端的共享密钥通过服务提供商节点发送到DHCP服务器。
2、根据权利要求1所述的密钥分发方法,其特征在于,所述AAA服务器将DHCP服务器和DHCP客户端的共享密钥通过服务提供商节点发送到DHCP服务器具体为:
在AAA服务器和DHCP服务器之间设置长期共享秘密;
AAA服务器将DHCP服务器和DHCP客户端的共享密钥通过长期共享秘密加密;
AAA服务器将加密后DHCP服务器和DHCP客户端的共享密钥通过服务提供商节点发送到DHCP服务器;
DHCP服务器利用长期共享秘密解密得出DHCP服务器和DHCP客户端的共享密钥。
3、根据权利要求1所述的密钥分发方法,其特征在于,所述服务提供商节点为DHCP中继或DHCP代理。
4、根据权利要求3所述的密钥分发方法,其特征在于还包括:
在AAA服务器和DHCP服务器之间设置长期共享秘密;
AAA服务器将DHCP服务器和DHCP中继的共享密钥发送到DHCP中继;
AAA服务器将DHCP服务器和DHCP中继的共享密钥通过长期共享秘密加密;
AAA服务器将加密后DHCP服务器和DHCP中继的共享密钥通过DHCP中继发送到DHCP服务器;
DHCP服务器利用长期共享秘密解密得出DHCP服务器和DHCP客户端的共享密钥。
5、根据权利要求1所述的密钥分发方法,其特征在于,所述AAA服务器和DHCP客户端之间通过可扩展认证报文建立安全联盟;所述可扩展认证报文在DHCP客户端和所述服务提供商节点间使用DHCP报文承载,在所述服务提供商节点和AAA服务器间使用AAA协议承载。
6、根据权利要求1所述的密钥分发方法,其特征在于还包括:所述DHCP客户端和DHCP服务器利用共享密钥计算出对称会话密钥。
7、一种密钥传输方法,其特征在于包括:
服务提供商节点传输DHCP客户端和AAA服务器建立安全联盟的报文;
服务提供商节点接收到AAA服务器通过所述安全联盟发送的DHCP服务器和DHCP客户端的共享密钥,并转发给DHCP客户端;
服务提供商节点从AAA服务器,接收到DHCP服务器和DHCP客户端的共享密钥,并转发给DHCP服务器。
8、根据权利要求7所述的密钥传输方法,其特征在于,所述服务提供商节点为DHCP中继或DHCP代理。
9、根据权利要求7所述的密钥传输方法,其特征在于,所述服务提供商节点传输DHCP客户端和AAA服务器建立安全联盟的可扩展认证报文;所述可扩展认证报文在DHCP客户端和所述服务提供商节点间使用DHCP报文承载,在所述服务提供商节点和AAA服务器间使用AAA协议承载。
10、一种密钥分发方法,其特征在于包括:
AAA服务器和DHCP客户端之间建立安全联盟;
AAA服务器将DHCP服务器和DHCP客户端的共享密钥,通过所述安全联盟发送到DHCP客户端;
AAA服务器将DHCP服务器和DHCP客户端的共享密钥发送到服务提供商节点。
11、根据权利要求10所述的密钥分发方法,其特征在于,所述服务提供商节点为DHCP服务器。
12、根据权利要求11所述的密钥分发方法,其特征在于,所述AAA服务器和DHCP客户端之间,通过DHCP报文承载可扩展认证报文建立安全联盟。
13、根据权利要求11所述的密钥分发方法,其特征在于还包括:所述DHCP客户端和DHCP服务器利用共享密钥计算出对称会话密钥。
14、一种密钥传输方法,其特征在于包括:
服务提供商节点传输DHCP客户端和AAA服务器建立安全联盟的报文;
服务提供商节点接收到AAA服务器通过所述安全联盟发送的DHCP服务器和DHCP客户端的共享密钥,并转发给DHCP客户端;
服务提供商节点从AAA服务器,接收到DHCP服务器和DHCP客户端的共享密钥。
15、根据权利要求14所述的密钥传输方法,其特征在于,所述服务提供商节点为DHCP服务器。
16、根据权利要求15所述的密钥传输方法,其特征在于,所述DHCP服务器传输DHCP客户端和AAA服务器建立安全联盟的可扩展认证报文;所述可扩展认证报文在DHCP客户端和所述DHCP服务器间使用DHCP报文承载,在所述DHCP服务器和AAA服务器间使用AAA协议承载。
17、一种密钥分发方法,其特征在于包括:
在DHCP服务器和AAA服务器上设置长期共享秘密;
AAA服务器将DHCP服务器和DHCP中继的共享密钥发送到DHCP中继;
AAA服务器将DHCP服务器和DHCP中继的共享密钥通过所述长期共享秘密加密;
AAA服务器将加密后DHCP服务器和DHCP中继的共享密钥通过DHCP中继发送到DHCP服务器;
DHCP服务器利用长期共享秘密解密得出DHCP服务器和DHCP中继的共享密钥。
18、根据权利要求17所述的密钥分发方法,其特征在于,所述DHCP中继和DHCP服务器利用共享密钥计算出对称会话密钥。
19、一种密钥传输方法,其特征在于包括:
DHCP中继从AAA服务器,接收到DHCP服务器和DHCP中继的共享密钥;
DHCP中继从AAA服务器,接收到加密后的DHCP服务器和DHCP中继的共享密钥;
DHCP中继将加密后的DHCP服务器和DHCP中继的共享密钥,发送到DHCP服务器。
20、一种AAA服务器,包括:
密钥产生模块,用于产生DHCP服务器和DHCP客户端的共享密钥;
其特征在于还包括:
安全联盟建立模块,用于通过DHCP中继在AAA服务器和DHCP客户端之间建立安全联盟;
发送模块,用于通过安全联盟发送DHCP服务器和DHCP客户端的共享密钥。
21、根据权利要求20所述的AAA服务器,其特征在于还包括:
加密模块,用于对DHCP服务器和DHCP客户端的共享密钥加密,并将加密的报文传到发送模块;
所述发送模块还用于发送所述加密后DHCP服务器和DHCP客户端的共享密钥。
22、根据权利要求21所述的AAA服务器,其特征在于:
所述密钥产生模块产生DHCP服务器和DHCP中继的共享密钥;
所述加密模块对DHCP服务器和DHCP中继的共享密钥加密;
所述发送模块发送加密后的DHCP服务器和DHCP中继的共享密钥。
23、一种DHCP客户端,其特征在于包括:
安全联盟建立模块,用于通过DHCP中继在AAA服务器和DHCP客户端之间建立安全联盟;
接收模块,用于通过所述安全联盟,接收DHCP服务器和DHCP客户端之间的共享密钥。
24、一种DHCP服务器,其特征在于包括:
接收模块,用于接收加密后的报文;所述加密后的报文中包含有DHCP服务器和DHCP客户端的共享密钥,或者包含有DHCP服务器和DHCP中继的共享密钥;
解密模块,用于对加密后的报文解密,并获取报文中DHCP服务器和DHCP客户端的共享密钥,或者获取DHCP服务器和DHCP中继的共享密钥。
25、一种密钥分发系统,包括DHCP服务器、DHCP客户端、DHCP中继和AAA服务器;所述DHCP中继支持AAA协议;所述AAA服务器包括密钥产生模块,用于产生DHCP服务器和DHCP客户端的共享密钥;
其特征在于所述AAA服务器还包括:
安全联盟建立模块,用于通过DHCP中继在AAA服务器和DHCP客户端之间建立安全联盟;
发送模块,用于通过安全联盟发送DHCP服务器和DHCP客户端共享密钥;
所述DHCP客户端包括:
安全联盟建立模块,用于通过DHCP中继在AAA服务器和DHCP客户端之间建立安全联盟;
接收模块,用于通过所述安全联盟,接收DHCP服务器和DHCP客户端之间的共享密钥。
26、根据权利要求25所述的密钥分发系统,其特征在于:
所述AAA服务器还包括加密模块,用于对DHCP服务器和DHCP客户端的共享密钥加密,并将加密的报文传到发送模块;
所述AAA服务器中的发送模块还用于发送所述加密后的报文;
所述DHCP服务器包括:
接收模块,用于接收加密后的报文;
解密模块,用于对加密后的报文解密,并获取报文中DHCP服务器和DHCP客户端的共享密钥。
27、根据权利要求26所述的密钥分发系统,其特征在于:
所述密钥产生模块产生DHCP服务器和DHCP中继的共享密钥;
所述加密模块对DHCP服务器和DHCP中继的共享密钥加密;
所述解密模块对加密后的报文解密,并获取报文中DHCP服务器和DHCP中继的共享密钥。
28、一种密钥分发系统,包括DHCP服务器、DHCP中继和AAA服务器;所述DHCP中继支持AAA协议;所述AAA服务器包括密钥产生模块,用于产生DHCP服务器和DHCP中继的共享密钥;
其特征在于所述AAA服务器还包括:
加密模块,用于对DHCP服务器和DHCP中继的共享密钥加密;
发送模块,用于发送所述加密后的报文;
所述DHCP服务器包括:
接收模块,用于接收加密后的报文;
解密模块,用于对加密后的报文解密,并获取报文中DHCP服务器和DHCP中继的共享密钥。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200710301749 CN101471767B (zh) | 2007-12-26 | 2007-12-26 | 密钥分发方法、设备及系统 |
| PCT/CN2008/073659 WO2009082950A1 (fr) | 2007-12-26 | 2008-12-23 | Procédé, dispositif et système de distribution de clés |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200710301749 CN101471767B (zh) | 2007-12-26 | 2007-12-26 | 密钥分发方法、设备及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101471767A true CN101471767A (zh) | 2009-07-01 |
| CN101471767B CN101471767B (zh) | 2011-09-14 |
Family
ID=40823781
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200710301749 Expired - Fee Related CN101471767B (zh) | 2007-12-26 | 2007-12-26 | 密钥分发方法、设备及系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN101471767B (zh) |
| WO (1) | WO2009082950A1 (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102884755A (zh) * | 2010-05-14 | 2013-01-16 | 西门子公司 | 针对面向通用对象的变电站事件模型的组密钥生成和管理的方法 |
| CN103095667A (zh) * | 2011-11-08 | 2013-05-08 | 华为技术有限公司 | 授权信息传递方法、中继设备及服务器 |
| US9060270B2 (en) | 2009-04-30 | 2015-06-16 | Huawei Technologies Co., Ltd. | Method and device for establishing a security mechanism for an air interface link |
| WO2016184351A1 (zh) * | 2015-05-21 | 2016-11-24 | 阿里巴巴集团控股有限公司 | 无线网络的ip地址分配方法和系统 |
| CN108768661A (zh) * | 2018-05-29 | 2018-11-06 | 如般量子科技有限公司 | 一种基于对称密钥池和跨中继的改进型aka身份认证系统和方法 |
| WO2020041933A1 (en) * | 2018-08-27 | 2020-03-05 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and devices for a secure connection |
| CN114423005A (zh) * | 2021-12-22 | 2022-04-29 | 新华三大数据技术有限公司 | 一种无线网络配置方法、装置、设备及机器可读存储介质 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI536819B (zh) | 2014-12-23 | 2016-06-01 | 宏正自動科技股份有限公司 | 通訊認證系統及使用其之方法 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4564054B2 (ja) * | 2004-04-23 | 2010-10-20 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | Dhcp用サポート |
| CN100352220C (zh) * | 2004-11-18 | 2007-11-28 | 中兴通讯股份有限公司 | 基于动态主机配置协议加网络门户认证的安全接入方法 |
| CN100388739C (zh) * | 2005-04-29 | 2008-05-14 | 华为技术有限公司 | 实现dhcp地址安全分配的方法及系统 |
| CN100539595C (zh) * | 2006-07-18 | 2009-09-09 | Ut斯达康通讯有限公司 | 一种基于dhcp扩展属性的ip地址分配方法 |
| CN100574195C (zh) * | 2007-06-08 | 2009-12-23 | 中兴通讯股份有限公司 | 基于动态主机配置协议的安全接入方法及其系统 |
-
2007
- 2007-12-26 CN CN 200710301749 patent/CN101471767B/zh not_active Expired - Fee Related
-
2008
- 2008-12-23 WO PCT/CN2008/073659 patent/WO2009082950A1/zh active Application Filing
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9060270B2 (en) | 2009-04-30 | 2015-06-16 | Huawei Technologies Co., Ltd. | Method and device for establishing a security mechanism for an air interface link |
| CN102884755A (zh) * | 2010-05-14 | 2013-01-16 | 西门子公司 | 针对面向通用对象的变电站事件模型的组密钥生成和管理的方法 |
| US10075441B2 (en) | 2011-11-08 | 2018-09-11 | Huawei Technologies Co., Ltd. | Method for transferring authorization information, relay device, and server |
| CN103095667B (zh) * | 2011-11-08 | 2015-03-11 | 华为技术有限公司 | 授权信息传递方法、中继设备及服务器 |
| WO2013067884A1 (zh) * | 2011-11-08 | 2013-05-16 | 华为技术有限公司 | 授权信息传递方法、中继设备及服务器 |
| CN103095667A (zh) * | 2011-11-08 | 2013-05-08 | 华为技术有限公司 | 授权信息传递方法、中继设备及服务器 |
| US10320788B2 (en) | 2011-11-08 | 2019-06-11 | Huawei Technologies Co., Ltd. | Method for transferring authorization information, relay device, and server |
| WO2016184351A1 (zh) * | 2015-05-21 | 2016-11-24 | 阿里巴巴集团控股有限公司 | 无线网络的ip地址分配方法和系统 |
| CN108768661A (zh) * | 2018-05-29 | 2018-11-06 | 如般量子科技有限公司 | 一种基于对称密钥池和跨中继的改进型aka身份认证系统和方法 |
| CN108768661B (zh) * | 2018-05-29 | 2021-02-02 | 如般量子科技有限公司 | 一种基于对称密钥池和跨中继的改进型aka身份认证系统和方法 |
| WO2020041933A1 (en) * | 2018-08-27 | 2020-03-05 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and devices for a secure connection |
| CN114423005A (zh) * | 2021-12-22 | 2022-04-29 | 新华三大数据技术有限公司 | 一种无线网络配置方法、装置、设备及机器可读存储介质 |
| CN114423005B (zh) * | 2021-12-22 | 2024-02-09 | 新华三大数据技术有限公司 | 一种无线网络配置方法、装置、设备及机器可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2009082950A1 (fr) | 2009-07-09 |
| CN101471767B (zh) | 2011-09-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108650227B (zh) | 基于数据报安全传输协议的握手方法及系统 | |
| CN101160924B (zh) | 在通信系统中分发证书的方法 | |
| CN101471767B (zh) | 密钥分发方法、设备及系统 | |
| CN101371550B (zh) | 自动安全地向移动通信终端的用户供给在线服务的服务访问凭证的方法和系统 | |
| CN108599925B (zh) | 一种基于量子通信网络的改进型aka身份认证系统和方法 | |
| RU2406251C2 (ru) | Способ и устройство для установления безопасной ассоциации | |
| US20070198837A1 (en) | Establishment of a secure communication | |
| CN111050322B (zh) | 基于gba的客户端注册和密钥共享方法、装置及系统 | |
| JP5364796B2 (ja) | 暗号情報送信端末 | |
| US20060155984A1 (en) | Apparatus, method and computer software products for controlling a home terminal | |
| EP1560396A2 (en) | Method and apparatus for handling authentication on IPv6 network | |
| US20080137859A1 (en) | Public key passing | |
| EP1933498A1 (en) | Method, system and device for negotiating about cipher key shared by ue and external equipment | |
| CN102231725B (zh) | 一种动态主机配置协议报文的认证方法、设备及系统 | |
| JP5192077B2 (ja) | Vpnによる秘匿通信方法、そのシステム、そのプログラム、並びに、そのプログラムの記録媒体 | |
| WO2011041962A1 (zh) | 一种支持合法监听的端到端会话密钥协商方法和系统 | |
| US20150009916A1 (en) | Pairing of devices through separate networks | |
| CN108964888B (zh) | 一种基于对称密钥池和中继通信的改进型aka身份认证系统和方法 | |
| CN108768632B (zh) | 一种基于对称密钥池和中继通信的aka身份认证系统和方法 | |
| CN101827106A (zh) | 一种dhcp安全通信方法、装置和系统 | |
| CN109995723B (zh) | 一种域名解析系统dns信息交互的方法、装置及系统 | |
| CN105848140B (zh) | 一种5g网络中能够实现通信监管的端到端安全建立方法 | |
| US20110055571A1 (en) | Method and system for preventing lower-layer level attacks in a network | |
| US8275987B2 (en) | Method for transmission of DHCP messages | |
| KR20070006913A (ko) | 이동 노드에 대한 고속 및 보안 접속성 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110914 Termination date: 20161226 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |