CN101232369A - 动态主机配置协议中密钥分发方法和系统 - Google Patents
动态主机配置协议中密钥分发方法和系统 Download PDFInfo
- Publication number
- CN101232369A CN101232369A CNA2007100730112A CN200710073011A CN101232369A CN 101232369 A CN101232369 A CN 101232369A CN A2007100730112 A CNA2007100730112 A CN A2007100730112A CN 200710073011 A CN200710073011 A CN 200710073011A CN 101232369 A CN101232369 A CN 101232369A
- Authority
- CN
- China
- Prior art keywords
- key
- dhcp
- dynamic host
- host configuration
- configuration protocol
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种动态主机配置协议中密钥分发方法,所述方法第三方实体根据密钥参数生成第一密钥,并将该密钥发送给动态主机配置协议DHCP服务器;上述密钥参数被发送给DHCP客户端,DHCP客户端根据所述密钥参数生成第二密钥。本发明还提供了一种无线通信系统。通过该方法在DHCP客户端和DHCP服务器之间进行密钥分发,从而使得DHCP服务在安全的方式下进行。
Description
技术领域
本发明涉及网络安全领域,具体涉及一种在DHCP(Dynamic HostConfiguration Protocol,动态主机配置协议)中客户端和服务器之间的密钥分发技术。
背景技术
目前,随着移动和宽带通信技术的飞速发展,对IP(Internet Protocol,互联网协议)地址的需求急剧增长。为了解决IPv4(Internet Protocol Version 4,互联网协议第4版)地址资源紧张对IP技术应用的限制问题,IPv6(InternetProtocol Version 6,互联网协议第6版)将原IPv4的地址长度由32位增加到128位,而且还采用了分级地址模式、高效IP包头、服务质量、主机地址自动配置、认证和加密等多种技术手段。
DHCPv6(用于IPv6的动态主机配置协议)使DHCP服务器能够传输配置参数给IPv6节点,它提供了自动分发可重用网络地址的能力和附加的配置的灵活性。DHCPv6属于有状态的配置方式,能够独立使用,也能和无状态配置方式配合使用来获得配置参数。在DHCPv6中,DHCP客户端和DHCP服务器通过UDP(User Datagram Protocol,用户数据包协议)交换DHCP消息。DHCP客户端为了请求IPv6地址,首先定位到一个DHCP服务器,然后向该DHCP服务器请求分发地址或其他配置信息。如图1,具体步骤如下:
步骤101:DHCP客户端向本网络域内所有的多播地址发送多播消息,例如:DHCP_SOLICIT,寻找能够为其服务的DHCP服务器,该消息中携带了DHCP客户端的客户ID(Identity,身份);
步骤102:位于该网络域内所有的DHCP服务器收到多播消息后,向DHCP客户端返回DHCP公告消息,例如:DHCP_ADVERTISE。该公告消息中携带了接收到的DHCP客户端ID和DHCP服务器本身的ID;
步骤103:DHCP客户端收到DHCP公告消息后,从中选择一个DHCP服务器为自己服务。DHCP客户端向被选择的DHCP服务器发送配置请求消息,例如:DHCP_REQUEST,请求分发IPv6地址或其他配置参数;
步骤104:被选择的DHCP服务器向DHCP客户端发送配置回复消息,例如:DHCP_RELPLY,该配置回复消息根据配置请求消息下发所分发的地址或其他配置参数。
在DHCPv6协议过程中,DHCP客户端如果选择了假的DHCP服务器则会遭到DoS(Denial of Service,拒绝服务)攻击,遭到了DoS攻击会导致DHCP客户端不能使用DHCP服务器正常提供的服务。因此,通过对DHCP消息的内容和源地址进行认证,使IP地址只分发给被授权的DHCP客户端,可以避免遭受DoS攻击。由于DHCP中继单元代理和DHCP服务器之间使用了IPsec(Internet Protocol Security extensions,IP协议安全扩展)作为安全机制,因此,DHCP中主要需要考虑DHCP客户端和DHCP服务器之间的安全。
在现有技术中,在DHCP客户端和DHCP服务器之间是通过预先设置的密钥对消息进行保护,参照图2,其具体过程如下:
步骤201:DHCP客户端向本网络域内所有DHCP多播地址发送DHCP多播消息,例如DHCP_SOLICIT消息,寻找为其服务的DHCP服务器,该消息中包括了密钥分发请求和用于保护整条消息的HAAA(Home AuthenticationAuthorization Accounting Server,归属网络认证、授权、计费)服务器认证扩展选项。
步骤202:本网络域内的DHCP服务器接收到DHCP多播消息后,向HAAA服务器发送DHCP请求消息,请求分发密钥,该DHCP请求消息通过SA(Security Association,安全联盟)请求载荷向HAAA服务器请求DHCP服务器和DHCP客户端之间的完整性密钥,简称:第一密钥,并携带HAAA服务器认证扩展选项,该选项用于HAAA服务器认证DHCP客户端。
步骤203:HAAA服务器向所有DHCP服务器发送DHCP回复消息,该DHCP回复消息中包含第一密钥和HAAA服务器生成的随机数Nonce。
步骤204:DHCP服务器获得第一密钥之后,发送DHCP公告消息给DHCP客户端,同时根据第一密钥,通过认证扩展选项对整条消息进行完整性保护。
步骤205:DHCP客户端收到多个DHCP服务器发送的DHCP公告消息时,根据所有DHCP公告消息,选择一个DHCP服务器为自己服务,并发送分发配置请求消息给DHCP服务器,并对配置请求消息进行完整性保护。
步骤206:DHCP服务器向DHCP客户端发送配置回复消息,并对该配置回复消息进行完整性保护。
如上述流程,在DHCPv6中,DHCP客户端和DHCP服务器之间没有密钥分发机制,密钥是通过事先预定的方式获得的,并不是在DHCP中指定,因此DHCP的安全性得不到保证,使得DHCP过程容易受到攻击。而且,每个DHCP服务器都需要访问HAAA服务器,使密钥分发十分浪费时间,HAAA服务器为每一个DHCP服务器都下发生成的密钥,并且用于生成密钥的随机数都来自归属HAAA服务器,降低了密钥的安全性。
发明内容
本发明提出了一种动态主机配置协议中密钥分发的方法和系统,在DHCP客户端和DHCP服务器之间分发密钥,该方法克服了密钥分发浪费时间,安全性低的技术问题。
为实现该目的,本发明的实施例提出了如下解决方案,包括:
一种动态主机配置协议中密钥分发方法,所述方法包括:
第三方实体根据密钥参数生成第一密钥,并将该密钥发送给动态主机配置协议DHCP服务器;
上述密钥参数被发送给DHCP客户端,DHCP客户端根据所述密钥参数生成第二密钥。
根据上述发明方法,本发明的实施例提出了一种无线通信系统,该系统包括客户端、服务器和第三方实体:
DHCP服务器接收到密钥分发请求后向第三方实体发出分发密钥的请求;并将第三方实体分发的密钥参数发送给DHCP客户端;
所述第三方实体接收到分发密钥请求后,根据密钥参数生成密钥,并下发给DHCP客户端。
通过本发明实施例所提供的技术方案,在DHCP客户端和DHCP服务器之间建立一种密钥分发机制,通过该机制使DHCP服务器在更安全并更节省网络资源的方式下工作。通过本发明方法,第三方实体可以只生成一个密钥,保证了密钥的安全,并且完成接入认证之后,DHCP服务器不需要再访问归属网络即可完成密钥分发,减少了密钥分发引起的时延。
附图说明
图1为现有技术中DHCP客户端获取配置信息的示意图;
图2为现有技术DHCP中客户端和服务器之间密钥保护的示意图;
图3为本发明的第一实施例的密钥分发的方法示意图;
图4为本发明的第二实施例的密钥分发的方法示意图;
图5为本发明的第三实施例的密钥分发的方法示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明提供的具体实施方式进行详细说明。
在MIP(Mobile Internet Protocol,移动互联协议)中,MN(Mobile Node,移动节点)与接入网进行接入认证,是与接入网中的网络单元通过EAP(Extensible Authentication Protocol,扩展认证协议)进行的。在本发明的实施例中,DHCP客户端MN与第三方实体之间进行接入认证,该第三方实体可以是HAAA服务器,该认证通过EAP进行。在进行EAP认证过程中,客户端与HAAA服务器之间产生预共享信息,例如:EMSK(Extended Master SessionKey,扩展主会话密钥)。现在结合图3介绍第一实施例,本实施例是在存在DHCP客户端、DHCP服务器和HAAA服务器的通常情况下,客户端获取配置信息过程中,DHCP客户端MN和DHCP服务器之间分发密钥的方法,其方法和步骤如下:
步骤301:MN发送多播消息,例如:DHCP_SOLICIT,该消息被网络域内的DHCP服务器接收,该消息中包括密钥分发请求,随机数Nonce和用于保护整条消息的HAAA服务器认证扩展选项;
步骤302:DHCP服务器接收多播消息后,向HAAA服务器发出DHCP请求消息,请求HAAA服务器分发DHCP服务器和DHCP客户端MN之间的密钥,该消息中包括HAAA服务器认证扩展选项、和随机数Nonce;
步骤303:HAAA服务器收到分发密钥请求消息后,先串联DHCP客户端ID、DHCP服务器ID、随机数Nonce和EMSK四个数据,然后对串联后的数据进行哈希(Hash)计算,计算得到DHCP服务器和MN之间的密钥,此密钥为第一密钥;
步骤304:HAAA服务器发送DHCP回复消息给DHCP服务器,例如:DHCP Reply,该消息将上述密钥下发给一个DHCP服务器;
步骤305:获得密钥的DHCP服务器向MN发送DHCP公告消息,例如:DHCP ADVERTISE,该消息中包括DHCP服务器ID,并在消息的最后通过认证扩展选项对整条消息进行完整性保护;
步骤306:MN收到公告消息后,串联DHCP客户端ID、DHCP服务器ID、随机数和EMSK四个数据,然后对串联后的数据进行Hash计算,计算得到密钥,此密钥为第二密钥,第二密钥和上述第一密钥的内容相同,只是生成的主体不同;
步骤307:MN向DHCP服务器发送配置请求消息,并通过认证选项对整条消息进行完整性保护;
步骤308:DHCP服务器向MN发送带有配置回复消息,并通过认证选项对整条消息进行完整性保护。
至此,DHCP中客户端MN和DHCP服务器之间完成了密钥分发,并利用密钥认证对MN所需要的消息进行了完整性保护。
在实际MIP中,系统根据需要还会存在DHCP中继单元,参照图4介绍本发明的第二实施例,其具体方法如下:
步骤401:MN向DHCP中继单元发送认证请求消息,该消息中包含MN的身份信息ID,DHCP中继单元请求HAAA服务器对MN进行认证;
步骤402:HAAA服务器对MN进行认证,并自己生成随机数Nonce,并将随机数Nonce、MN的ID和EMSK进行串联,对串联后的数据进行Hash计算,计算得到DHCP服务器和MN之间的密钥,并将该密钥和随机数Nonce发送给DHCP中继单元,所述密钥为第一密钥;
步骤403:MN向DHCP多播地址发送多播消息,如:DHCP_SOLICIT,该消息中还包括密钥分发请求,该消息被网络域内的DHCP中继单元收到;
步骤404:DHCP中继单元收到多播消息后,向DHCP服务器发送DHCP前转消息,该DHCP前转消息中包括上述多播消息,和HAAA服务器分发的第一密钥和随机数Nonce;
步骤405:DHCP服务器收到DHCP前转消息后,向DHCP中继单元发送DHCP公告消息,该公告消息中包含有随机数Nonce;
步骤406:DHCP中继单元将DHCP公告消息转发给MN;
步骤407:MN收到DHCP公告消息后,根据Nonce、MN的ID和EMSK生成密钥,此为第二密钥,第二密钥与上述第一密钥内容相同,只是生成的主体不同;
步骤408:MN向DHCP服务器发送配置请求消息,并通过认证选项对整条消息进行完整性保护;
步骤409:DHCP服务器向MN发送配置回复消息,配置回复消息中包含有MN所请求的配置参数,并通过认证选项对整条消息进行完整性保护。
至此,DHCP中客户端MN和DHCP服务器之间完成了密钥分发,并利用密钥认证对MN所需要的消息进行了完整性保护。
下面结合图5,详细介绍本发明的第三实施例,增加一个密钥保护层次,其具体方法和步骤如下:
步骤501:MN向DHCP中继单元发送认证请求消息,该请求消息中包含有MN的身份信息ID,DHCP中继单元请求HAAA服务器对MN进行认证;
步骤502:HAAA服务器对MN进行认证,并自己生成随机数Nonce1,并将随机数Nonce1、MN的ID和EMSK进行串联,对串联后的数据进行Hash计算,计算完成后再取计算结果的前若干位得到第一密钥,并将该第一密钥和随机数Nonce1发送给DHCP中继单元;
步骤503:MN向DHCP多播地址发送多播消息,如DHCP_SOLICIT,该消息中还包括密钥分发请求,该多播消息被网络域内的DHCP中继单元接收到;
步骤504:DHCP中继单元收到多播消息后,发送DHCP前转消息给DHCP服务器,DHCP前转消息中包括多播消息、第一密钥和随机数Nonce1;
步骤505:DHCP服务器收到DHCP中继单元发送的DHCP前转消息后,DHCP服务器自己再生成一个随机数Nonce2,DHCP服务器将获得的第一密钥、随机数Nonce2和DHCP服务器本身的ID进行串联,对串联后的数据进行Hash计算,计算得到第二密钥,将该第二密钥作为DHCP服务器和MN之间的共享密钥;
步骤506:DHCP服务器向DHCP中继单元发送DHCP公告消息,该DHCP公告消息中包含有随机数Nonce1、随机数Nonce2;
步骤507:DHCP中继单元将上述DHCP公告消息转发给MN;
步骤508:MN收到DHCP中继单元转发的DHCP公告消息后,先根据Nonce1生成密钥一,再根据密钥一、随机数Nonce2和DHCP服务器ID生成第三密钥密钥,第二密钥和第三密钥的生成主体不同,但是内容相同;
步骤509:MN向DHCP服务器发送配置请求消息,并根据第三密钥通过认证选项对整条消息进行完整性保护;
步骤510:DHCP服务器向MN发送配置回复消息,返回MN所请求的配置参数,并通过认证选项对整条消息进行完整性保护。
至此,DHCP中客户端MN和DHCP服务器之间完成了密钥分发,并利用密钥认证对MN所需要的消息进行了完整性保护。
对于本实施方式的方法和系统,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种动态主机配置协议中密钥分发方法,其特征在于,该方法包括:
第三方实体根据密钥参数生成第一密钥,并将该密钥发送给动态主机配置协议DHCP服务器;
上述密钥参数被发送给DHCP客户端,DHCP客户端根据所述密钥参数生成第二密钥。
2.根据权利要求1所述的密钥分发方法,其特征在于,所述第一密钥被发送给多个请求第三方实体分发密钥的DHCP服务器中的一个DHCP服务器。
3.根据权利要求2所述的密钥分发方法,其特征在于,
第三方实体直接将密钥发送给所述的一个DHCP服务器;或
第三方实体将第一密钥发送给DHCP中继单元,所述DHCP中继单元将所述第一密钥发送给DHCP服务器;所述DHCP中继单元在获得密钥参数后将其转发给DHCP客户端。
4.根据权利要求2或3所述的密钥分发方法,其特征在于,密钥参数包括:DHCP客户端信息、DHCP服务器信息和DHCP客户端与第三方实体之间的预共享信息。
5.根据权利要求4所述的密钥分发方法,其特征在于,所述密钥参数还包括随机数。
6.根据权利要求5所述的密钥分发方法,其特征在于,所述随机数由DHCP客户端产生,该DHCP客户端将所述随机数发送给第三方实体。
7.根据权利要求5所述的密钥分发方法,其特征在于,所述随机数由第三方实体产生。
8.根据权利要求1所述的密钥分发方法,其特征在于,
DHCP服务器获得所述第一密钥之后生成第二随机数,根据所述第一密钥、DHCP服务器信息和第二随机数产生第三密钥;
DHCP服务器将第二随机数、密钥参数和DHCP服务器信息发送给DHCP客户端。
9.一种无线通信系统,该系统包括DHCP客户端、至少一个DHCP服务器和第三方实体,其特征在于:
DHCP服务器接收到密钥分发请求后向第三方实体发出分发密钥的请求;并将第三方实体分发的密钥参数发送给DHCP客户端;
所述第三方实体接收到分发密钥请求后,根据密钥参数生成密钥,并下发给DHCP客户端。
10.根据权利要求9所述的系统,其特征在于,该系统还包括中继单元,
所述中继单元用于接收密钥分发请求并发送给第三方实体;并将第三方实体生成的密钥和密钥参数发送给DHCP服务器;将密钥参数后发送给客户端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007100730112A CN101232369B (zh) | 2007-01-22 | 2007-01-22 | 动态主机配置协议中密钥分发方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007100730112A CN101232369B (zh) | 2007-01-22 | 2007-01-22 | 动态主机配置协议中密钥分发方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101232369A true CN101232369A (zh) | 2008-07-30 |
| CN101232369B CN101232369B (zh) | 2010-12-15 |
Family
ID=39898571
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007100730112A Expired - Fee Related CN101232369B (zh) | 2007-01-22 | 2007-01-22 | 动态主机配置协议中密钥分发方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101232369B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102761546A (zh) * | 2012-07-02 | 2012-10-31 | 中兴通讯股份有限公司 | 一种认证实现方法、系统及相关装置 |
| CN103248482A (zh) * | 2012-02-07 | 2013-08-14 | 财团法人工业技术研究院 | 秘密金钥产生装置以及方法 |
| CN108768661A (zh) * | 2018-05-29 | 2018-11-06 | 如般量子科技有限公司 | 一种基于对称密钥池和跨中继的改进型aka身份认证系统和方法 |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10084705B2 (en) | 2015-10-30 | 2018-09-25 | Microsoft Technology Licensing, Llc | Location identification of prior network message processor |
| CN106209884A (zh) * | 2016-07-21 | 2016-12-07 | 恒宝股份有限公司 | Ta和ca之间外部认证与通信加密的方法、ca和ta |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100352220C (zh) * | 2004-11-18 | 2007-11-28 | 中兴通讯股份有限公司 | 基于动态主机配置协议加网络门户认证的安全接入方法 |
| CN1791029A (zh) * | 2005-12-23 | 2006-06-21 | 杭州华为三康技术有限公司 | 自动获取配置管理服务器初始配置的方法及系统 |
| CN1859087A (zh) * | 2005-12-30 | 2006-11-08 | 华为技术有限公司 | 一种客户端和服务器密钥协商方法及其系统 |
-
2007
- 2007-01-22 CN CN2007100730112A patent/CN101232369B/zh not_active Expired - Fee Related
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103248482A (zh) * | 2012-02-07 | 2013-08-14 | 财团法人工业技术研究院 | 秘密金钥产生装置以及方法 |
| CN102761546A (zh) * | 2012-07-02 | 2012-10-31 | 中兴通讯股份有限公司 | 一种认证实现方法、系统及相关装置 |
| CN108768661A (zh) * | 2018-05-29 | 2018-11-06 | 如般量子科技有限公司 | 一种基于对称密钥池和跨中继的改进型aka身份认证系统和方法 |
| CN108768661B (zh) * | 2018-05-29 | 2021-02-02 | 如般量子科技有限公司 | 一种基于对称密钥池和跨中继的改进型aka身份认证系统和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101232369B (zh) | 2010-12-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101160924B (zh) | 在通信系统中分发证书的方法 | |
| CN1663168B (zh) | 接入网之间互配中可传递的认证、授权和记帐 | |
| KR100651716B1 (ko) | Diameter 기반 프로토콜에서 모바일 네트워크의부트스트랩핑 방법 및 그 시스템 | |
| CN101127600B (zh) | 一种用户接入认证的方法 | |
| US7840811B2 (en) | Network system and communication methods for securely bootstraping mobile IPv6 mobile node using pre-shared key | |
| CN102111410B (zh) | 一种基于代理的单点登录方法及系统 | |
| US7925027B2 (en) | Secure address proxying using multi-key cryptographically generated addresses | |
| CN109561066A (zh) | 数据处理方法、装置、终端及接入点计算机 | |
| CN100591013C (zh) | 实现认证的方法和认证系统 | |
| JP4824086B2 (ja) | 無線分散システムの認証方法 | |
| CN101114900A (zh) | 一种组播业务认证方法及其装置、系统 | |
| CN101388770A (zh) | 获取动态主机配置协议密钥的方法、服务器及客户端装置 | |
| WO2007092688A2 (en) | Method and apparatus for address creation and validation | |
| JP2004241976A (ja) | 移動通信ネットワークシステムおよび移動端末認証方法 | |
| CN101772024A (zh) | 一种用户身份确定方法及装置和系统 | |
| CN101599967A (zh) | 基于802.1x认证系统的权限控制方法及系统 | |
| CN101039181B (zh) | 防止通用鉴权框架中服务功能实体受攻击的方法 | |
| CN102255916A (zh) | 接入认证方法、设备、服务器及系统 | |
| CN101232369B (zh) | 动态主机配置协议中密钥分发方法和系统 | |
| CN102231725A (zh) | 一种动态主机配置协议报文的认证方法、设备及系统 | |
| JP4938408B2 (ja) | アドレス管理システム、アドレス管理方法およびプログラム | |
| CN101145907B (zh) | 基于dhcp实现用户认证的方法及系统 | |
| US8275987B2 (en) | Method for transmission of DHCP messages | |
| CN102457482B (zh) | 一种认证方法、装置和系统 | |
| JP2009118267A (ja) | 通信ネットワークシステム、通信ネットワーク制御方法、通信制御装置、通信制御プログラム、サービス制御装置およびサービス制御プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20101215 Termination date: 20150122 |
|
| EXPY | Termination of patent right or utility model |