CN102123157A - 一种认证方法及系统 - Google Patents
一种认证方法及系统 Download PDFInfo
- Publication number
- CN102123157A CN102123157A CN2011100705653A CN201110070565A CN102123157A CN 102123157 A CN102123157 A CN 102123157A CN 2011100705653 A CN2011100705653 A CN 2011100705653A CN 201110070565 A CN201110070565 A CN 201110070565A CN 102123157 A CN102123157 A CN 102123157A
- Authority
- CN
- China
- Prior art keywords
- dhcp
- information
- server
- client
- encrypted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 61
- 238000012795 verification Methods 0.000 claims abstract description 41
- 238000012545 processing Methods 0.000 claims description 20
- 238000012790 confirmation Methods 0.000 claims description 7
- 230000008569 process Effects 0.000 description 13
- 238000010586 diagram Methods 0.000 description 7
- 238000004891 communication Methods 0.000 description 5
- 230000003111 delayed effect Effects 0.000 description 5
- 230000009471 action Effects 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000001514 detection method Methods 0.000 description 3
- 230000003993 interaction Effects 0.000 description 3
- 230000002452 interceptive effect Effects 0.000 description 3
- 238000013475 authorization Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/5014—Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例提供了一种认证方法及系统,应用于DHCP中,其中,该方法包括:DHCP服务器接收来自DHCP客户端的DHCP DISCOVER消息,该消息中包含应用DHCP客户端私钥加密的第一信息;DHCP服务器从认证服务器上获取与所述DHCP客户端对应的数字证书,应用数字证书公钥对加密的第一信息进行解密并验证,若验证成功,则对DHCP客户端完成认证;DHCP服务器向DHCP客户端发送DHCP OFFER消息,该消息中包含加密的第二信息,以使DHCP客户端对所述加密的第二信息进行解密并验证,若验证成功,则对DHCP服务器完成认证。应用本发明实施例,避免了DOS攻击,而且避免使用预置的共享密钥进行认证,从而更进一步的保证了DHCP的安全。
Description
技术领域
本发明涉及动态主机配置协议(DHCP,Dynamic Host Configuration Protocol,特别涉及一种基于DHCP的认证方法及系统。
背景技术
动态主机设置协议(DHCP,Dynamic Host Configuration Protocol)是一个局域网的网络协议,使用用户数据包协议(UDP)工作,可自动将IP地址指派给登录传输控制协议/网间协议(TCP/IP)网络的用户端。DHCP协议是基于UDP层之上的应用,服务器使用的UDP端口号为67,客户端使用的UDP端口号为68。
DHCP中有一个可选项参数域(option),其是允许厂商定议选项(Vendor-SpecificArea),以提供更多的设定资讯(如:网络标识(Netmask)、网关(Gateway)、地址解析服务器(DNS)等等)。其长度可变,同时可携带多个选项,每一选项的第一个字节(byte)为选项编码如43、60、90等,其后一个byte为该项资料长度,最后为项目内容。
以基站作为DHCP客户端为例,基站设备在开局时要求只需要硬件安装人员,而不需要专业的技术人员到现场进行配置,或者用户买回设备后即插即用,这就需要设备能自动发现和配置,比如自动获取IP地址、网管IP地址、业务通道上的关键设备的IP地址等,而DHCP作为一种高效的IP地址分配方法通常被应用于此,但是DHCP在设计时没有考虑本身的安全问题,容易受到攻击,存在严重的安全隐患。
目前的安全解决方案是采用延迟认证的方法来保证DHCP的安全,该方法通过定义DHCP Option90提供了两种功能:DHCP对端身份认证和DHCP消息的验证;在该延迟认证方法中客户端与DHCP服务器共享一个密钥。
参见图1,其是现有的DHCP采用延迟认证的方法流程图,本例中以基站(BS)作为DHCP的客户端(Client),来说明其如何与DHCP的服务器(Server)端建立连接。
步骤1,在DHCP客户端广播的DHCP发现(DHCP Discover)消息里携带认证选项Option 90,用以通知服务器需要进行认证,同时携带客户端身份标识。这个身份标识对DHCP服务器或者认证服务器来说应该是唯一的,或者与其他信息字段组成一个唯一能标识DHCP客户端身份的标识,然后向其本地子网广播该消息;
其中,Option 90的含义是:认证资讯代码即认证选项编码是90;还包括长度域,协议域、算法域,重放检测(Replay Detection)域和认证信息域,其中,协议域定义了选项中用于认证的技术;算法域中定义了专用的算法,如远端调用管理(RDM,Remote Deployment Manager),其是一种系统管理工具;延迟发现(Replay Detection)域是针对每一个RDM的;认证信息也是针对每个协议的;如果协议域是0,认证信息将保留一个简单的配置标识,用于传输明文配置标识或提供很弱的身份认证。接收端通过匹配认证,决定是否接收消息;
步骤2,网络上的DHCP服务器(可能不止一个)收到该消息后,如果判断其可以提供服务,则根据客户端的标识和共享密钥计算出会话密钥K,并用会话密钥K计算该消息的认证码,填充Option 90选项,构造DHCP提供(DHCPOFFER)消息;然后,DHCP服务器将DHCPOFFER消息发送给DHCP客户端;这里,会话密钥K=MAC(MK,unique-id),其中MAC是消息认证码(Messege Authentication Code),MK是主密钥即服务器与客户端共享的密钥,unique-id代表唯一标识,
步骤3,DHCP客户端收到DHCPOFFER消息后,使用其本地存储的会话密钥K,按要求验证Option 90选项里的授权信息(Authentication Information)是否正确,如果验证失败,则根据其本地的安全策略进行相应的处理,如果DHCP客户端收到多个DHCPOFFER,会按照某种策略选择一个DHCP服务器。然后DHCP客户端构造DHCP请求(DHCPREQUEST)消息,并用会话密钥K计算该消息的认证码,填充Option 90选项;DHCP客户端向选中的DHCP服务器发送DHCPREQUEST消息,请求服务;
步骤4,DHCP服务器收到DHCPREQUEST消息,然后再使用密钥K验证该消息,如果验证失败,则直接丢弃该消息,回复DHCP失败应答(DHCPNAK)消息,否则构造DHCP成功应答(DHCPACK)消息。不管是DHCPNAK还是DHCPACK都需携带Option 90选项,并根据标准里的要求填充它;DHCP服务器将DHCPNAK/DHCPNAK消息发送给DHCP客户端,当DHCP客户端收到DHCPNAK/DHCPNAK消息后,根据第3步的处理方式验证该消息。
但是上述延迟认证的方法虽然实现了DHCP客户端和DHCP服务器端的认证,但还至少存在如下的问题:
1、不支持对DHCP DISCOVER消息的认证,易出现DOS攻击。
2、预共享密钥认证方式容易被攻击者窃取,同时在具体组网中,预共享密钥对出厂流程及网络管理带来很大影响。
因此需要一种更完善的安全机制来保护DHCP实体间的交互。证书机制是目前应用广泛、安全级别较高的认证方式,目前现有技术中存在相关使用证书进行认证的方法,但是在DHCP应用中却难以实现。主要原因是以太网最大可传输的数据包是1500字节,而如果使用DHCP消息携带证书的方法不可行,因为证书的长度一般在1k-2k字节,并且广播的消息不支持分包。
发明内容
本发明实施例在于提供一种认证方法及系统,通过证书的方式对DHCP客户端和服务器端进行认证,从而既可以避免DOS攻击,又可以避免使用预置的共享密钥进行认证。
本发明实施例提供了一种认证方法,应用于动态主机设置协议DHCP中,所述方法包括:
DHCP服务器接收来自DHCP客户端的DHCP发现DHCP DISCOVER消息,所述DHCP DISCOVER消息中包含应用所述DHCP客户端私钥加密的第一信息;
DHCP服务器从认证服务器上获取与所述DHCP客户端对应的数字证书,应用数字证书公钥对所述加密的第一信息进行解密并验证,若验证成功,则对所述DHCP客户端完成认证;
DHCP服务器向DHCP客户端发送DHCP提供DHCP OFFER消息,所述DHCP OFFER消息中包含加密的第二信息,以使所述DHCP客户端对所述加密的第二信息进行解密并验证,若验证成功,则对所述DHCP服务器完成认证。
本发明实施例还提供了一种认证系统,应用于使用动态主机设置协议DHCP的DHCP服务器和DHCP客户端之间,所述系统包括:DHCP服务器;所述DHCP服务器分别与认证服务器和DHCP客户端通信,其中,
所述认证服务器,用于存储各DHCP客户端对应的数字证书;
所述DHCP服务器,用于接收来自DHCP客户端的DHCP发现DHCPDISCOVER消息,所述DHCP DISCOVER消息中包含应用所述DHCP客户端私钥加密的第一信息;从认证服务器上获取与所述DHCP客户端对应的数字证书,应用数字证书公钥对所述加密的第一信息进行解密并验证,若验证成功,则对所述DHCP客户端完成认证;向DHCP客户端发送DHCP提供DHCP OFFER消息,所述DHCP OFFER消息中包含加密的第二信息;
所述DHCP客户端,用于对所述加密的第二信息进行解密并验证,若验证成功,则对所述DHCP服务器完成认证。
应用本发明实施例提供的认证方法和认证系统,通过证书的方式对DHCP客户端和服务器端进行认证,既避免了DOS攻击,又避免了使用预置的共享密钥进行认证。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是现有的DHCP采用延迟认证的方法流程图;
图2是根据本发明实施例的一种认证方法流程图;
图3是根据本发明一个具体实施例的流程示意图;
图4是根据本发明另一个具体实施例的流程示意图;
图5是根据本发明又一个具体实施例的流程示意图;
图6是根据本发明实施例的一种认证系统的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的技术方案,可以应用于各种通信系统,例如:全球移动通信系统(GSM,Global System for Mobile communications),码分多址(CDMA,Code Division Multiple Access)系统,宽带码分多址(WCDMA,Wideband Code Division Multiple Access Wireless),通用分组无线业务(GPRS,General Packet Radio Service),长期演进(LTE,Long Term Evolution)等。
此外,本文中结合用户设备(UE,User Equipment)和/或基站来描述各种方面。用户设备可以是指向用户提供语音和/或数据连通性的设备。用户设备可连接至诸如膝上计算机或台式计算机等计算设备,或者其他通信设备,例如,个人数字助理(PDA,Personal Digital Assistant)等自含式设备。无线终端也可以称为系统、订户单元(Subscriber Unit)、订户站(Subscriber Station),移动站(Mobile Station)、移动台(Mobile)、远程站(Remote Station)、接入点(Access Point)、远程终端(Remote Terminal)、接入终端(Access Terminal)、用户终端(User Terminal)、用户代理(User Agent)、用户设备(User Device)、或用户装备(User Equipment)。用户设备可以是订户站、无线设备、蜂窝电话、个人通信业务(PCS,Personal Communication Service)电话、无绳电话、会话发起协议(SIP)话机、无线本地环路(WLL,Wireless Local Loop)站、个人数字助理(PDA,Personal Digital Assistant)、具有无线连接功能的手持式设备、或连接到无线调制解调器的其他处理设备。
基站(例如,接入点)可以是指接入网中在空中接口上通过一个或多个扇区与无线终端通信的设备。基站可用于将收到的空中帧与IP分组进行相互转换,作为无线终端与接入网的其余部分之间的路由器,其中接入网的其余部分可包括网际协议(IP)网络。基站还可协调对空中接口的属性管理。例如,可以是GSM或CDMA中的基站(BTS,Base Transceiver Station),也可以是WCDMA中的基站(NodeB),还可以是LTE中的演进型基站(eNB或e-NodeB,evolutional Node B),本发明并不限定。
各种方面将以可包括一个或多个设备、组件、模块、或单元等的系统的形式来描述。应该理解或领会,各种系统可包括另加的设备、组件、模块、和/或单元等,和/或可以并不包括结合附图所讨论的设备、组件、模块、单元等的全部。在本发明的另一方面,也可以使用这些办法的组合。
另外,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中符号“/”,一般表示前后关联对象是一种“或”的关系。
参见图2,其是根据本发明实施例的一种认证方法流程图,本实施例应用于动态主机设置协议(DHCP)中,所述认证方法可以如下所述。
201,DHCP服务器接收来自DHCP客户端的DHCP发现(DHCP DISCOVER)消息,所述DHCP DISCOVER消息中包含应用所述DHCP客户端私钥加密的第一信息。
202,DHCP服务器从认证服务器上获取与DHCP客户端对应的数字证书,应用数字证书公钥对所述加密的第一信息进行解密并验证,若验证成功,则对所述DHCP客户端完成认证。
这里,DHCP服务器从认证服务器上获取与DHCP客户端对应的数字证书的步骤可以包括:
DHCP服务器根据预先配置的认证服务器地址,通过已建立的DHCP服务器和认证服务器之间的安全通道,从所述认证服务器上获取所述数字证书;
其中,所述DHCP服务器和认证服务器之间的安全通道在DHCP服务器接收到来自DHCP客户端的DHCP发现DHCP DISCOVER消息之前或之后建立。
其中,预先配置的认证服务器地址为出厂时设定的固定地址,或者,预先配置的认证服务器地址为DHCP DISCOVER消息中携带的统一资源定位符(URL,Universal Resource Locator)。
上述通过已建立的DHCP服务器和认证服务器之间的安全通道,从所述认证服务器上获取所述数字证书的步骤包括:
DHCP服务器通过已建立的安全通道将DHCP客户端的设备标识发送给认证服务器,认证服务器根据所述设备标识验证所述DHCP客户端合法后,通过已建立的安全通道将所述DHCP客户端的数字证书下发给DHCP服务器;
DHCP服务器从接收到的信息中获得所述DHCP客户端的数字证书。
203,DHCP服务器向DHCP客户端发送DHCP提供DHCP OFFER消息,所述DHCP OFFER消息中包含加密的第二信息,以使所述DHCP客户端对所述加密的第二信息进行解密并验证,若验证成功,则对所述DHCP服务器完成认证。
在步骤203中,所述加密的第二信息可以为使用客户端所对应的数字证书公钥签名的信息;此时,DHCP客户端使用自身的私钥对所述加密的第二信息进行解密并验证;或者,所述加密的第二信息为使用DHCP服务器的私钥签名的信息;此时,所述DHCP客户端使用DHCP服务器的公钥对所述加密的第二信息进行解密并验证。
至此,通过证书的方式在DHCP客户端和DHCP服务器之间实现了互认证,既保证了DHCP DISCOVER消息的安全,避免了DOS攻击,又因可以使用公私密钥而可以避免使用预置的共享密钥进行认证,从而更进一步的保证了DHCP的安全。再有,本发明实施例中的DHCP服务器通过从认证服务器获取DHCP的客户端的数字证书,避免使用DHCP消息携带证书,使得在DHCP服务器与客户端之间使用证书成为可能。
需要说明的是,为了使用DHCP协议完成IP地址的自动分配,还可以使用公私钥对后续的消息进行完整性保护,这样,在一个实施例中图1所示流程还可以包括:
DHCP服务器接收来自DHCP客户端的DHCP请求DHCP REQUEST消息,所述DHCP REQUEST消息中包含应用所述DHCP客户端私钥加密的第三信息;
DHCP服务器应用所述公钥对所述加密的第三信息解密并验证成功后,根据所述DHCP REQUEST消息中的信息进行操作处理,之后,向所述DHCP客户端发送DHCP确认DHCP ACK消息,所述DHCP ACK消息中包括加密的第四信息,以使所述DHCP客户端对所述加密的第四信息进行解密并验证,若验证成功,所述DHCP客户端根据所述DHCPACK消息中的信息完成操作处理。
需要说明的是,上述加密的第四信息为使用客户端所对应的数字证书公钥签名的信息;此时,所述DHCP客户端使用自身的私钥对所述加密的第四信息进行解密并验证;或者,上述加密的第四信息为使用DHCP服务器的私钥签名的信息;此时,DHCP客户端使用DHCP服务器的公钥对所述加密的第四信息进行解密并验证。
这样,DHCP客户端和DHCP服务器之间使用公私钥完成了后续的相互确认操作,避免了使用预置的共享密钥进行认证,进一步保证了DHCP客户端和服务器之间交互信息的安全。
需要说明的是,为了使用DHCP协议完成IP地址的自动分配,还可以使用共同协商出的第一共享密钥对后续的消息进行完整性保护,这样,在另一个实施例中,图1所示流程还可以包括:
DHCP服务器接收到的DHCP DISCOVER消息中还包括第一公共值;
DHCP服务器向DHCP客户端发送的DHCP OFFER消息中还包括第二公共值;所述DHCP服务器和DHCP客户端分别根据所述第一公共值和第二公共值计算出第一共享密钥;
DHCP服务器接收来自DHCP客户端的DHCP请求DHCP REQUEST消息,所述DHCP REQUEST消息中包含应用第一共享密钥加密的第三信息;
DHCP服务器应用所述第一共享密钥对所述加密的第三信息解密并验证成功后,根据所述DHCP REQUEST消息中的信息进行操作处理,之后,向所述DHCP客户端发送DHCP确认DHCP ACK消息,所述DHCP ACK消息中包括应用所述第一共享密钥加密的第四信息,以使所述DHCP客户端对所述加密的第四信息进行解密并验证,若验证成功,所述DHCP客户端根据所述DHCP ACK消息中的信息完成操作处理。
需要说明的是,上述各实施例中所涉及到的第一信息可以为DHCP客户端唯一标识或DHCP DISCOVER消息本身;加密后的第一信息放入DHCP DISCOVER的Option90字段中;所涉及到的第二信息可以为DHCP OFFER消息本身;加密后的第二信息放入DHCP OFFER消息的Option90字段中;所涉及到的第三信息为DHCP REQUEST消息本身,加密后的第三信息放入DHCP REQUEST消息的Option90字段中;所涉及到的第四信息为DHCP ACK消息本身,所述加密后的第四信息放入DHCP ACK消息的Option90字段中。
这样,DHCP客户端和DHCP服务器之间不仅使用公私钥完成相互的认证,在后续的相互确认操作中使用协商出的第一共享密钥,避免了使用预置的共享密钥进行认证,进一步保证了DHCP客户端和服务器之间交互信息的安全。
下面结合具体实施例对本发明再做详细说明。在以下实施例中,DHCP客户端,DHCP服务器以及证书服务器都进行了出厂配置。其中DHCP客户端上的出厂配置信息是设备标识(ID)、DHCP客户端的证书以及厂商根证书或证书链,以及与证书中包含公钥所对应的私钥;DHCP服务器的出厂配置是服务器证书和厂商根证书;在证书服务器中的出厂配置有证书服务器的证书,厂商的CA证书、DHCP客户端ID对应的证书列表,即在证书服务器中维护了DHCP客户端的黑白名单列表。其中证书服务器可根据本地策略选定如,FTP服务器等。在以下实施例中,以基站作为DHCP客户端。
参见图3,其是根据本发明一个具体实施例的流程示意图。本实施例中,与DHCP服务器交互的认证服务器地址预设固设在DHCP服务器的出厂设置中,该流程可以如下所述。
1,基站向DHCP服务器发送DHCP Discover消息,其中携带了包含基站电子序列号(ESN,ELECTRONIC SERIAL NUMBER)的Option60和包含了使用基站的私钥计算的基站ESN号摘要的值的Option90,摘要计算使用的算法在Option90中的算法域标识。
这里,基站ESN号即为前述第一信息。
2,DHCP服务器接收到DHCP Discover消息后,可以获得位于Option60中基站ID即基站ESN号。DHCP服务器与证书服务器之间认证并建立安全通道如SSL连接,用于安全的向证书服务器提供基站的ESN以及安全的下载基站证书。
DHCP服务器和认证服务器之间的安全通道可以在DHCP服务器接收到来自基站的DHCP DISCOVER消息之前建立(如步骤0所述)或之后建立(如步骤2所示)。
需要说明的是,当DHCP服务器和认证服务器之间建立起安全通道后,该DHCP服务器说明是已经被认证的合法的DHCP服务器。具体的,DHCP服务器和认证服务器之间的验证可以使用出厂预设的厂商CA证书、DHCP服务器证书或证书服务器证书之一进行验证。
需要说明的是,DHCP服务器和认证服务器之间建立安全通道的具体过程与现有的技术方案完全相同,这里不再赘述。
需要说明的是,在本实施例中,并不限定安全通道的具体承载协议,如,可以是基于SSL的连接,也可以是基于其他安全协议的连接。
3,通过已建立的安全通道如SSL连接,DHCP服务器从认证服务器上获取基站证书;该步骤可以具体为:
DHCP服务器通过已建立的安全通道将DHCP客户端的设备标识如ESN发送给认证服务器;证书服务器通过查询自身保存的黑白名单确认该ESN是否合法,若合法,则再通过基站ID对应的证书列表,获得该基站所对应的数字证书,之后,通过已建立的安全通道将该基站的数字证书下发给DHCP服务器;
DHCP服务器从接收到的信息中获得所述DHCP客户端的数字证书。
这样,该基站的数字证书是在安全通道的保护下从认证服务器获得的。
4,DHCP服务器验证接收到的基站证书,验证通过后获取基站证书的公钥。
这里,可以通过DHCP服务器和证书服务器内出厂预设的厂商CA证书进行验证。
5,DHCP服务器使用基站的公钥验证私钥签名,即解密Option90中摘要值,与Option60中包含的基站的ESN号进行对比,如果匹配,则说明基站确实拥有与该证书匹配的私钥;
至此,DHCP服务器通过数字证书完成了对基站的认证。
6,DHCP服务器对DHCP OFFER消息进行数字签名,该DHCP OFFER消息中包含了Option 43的内容或其它选项的内容,将包含所述DHCP OFFER消息数字签名的DHCP OFFER消息发送至基站。
其中,上述DHCP OFFER消息相当于前述的第二信息,DHCP OFFER消息进行数字签名后的信息放置在DHCP OFFER消息的Option90字段中。
这里,DHCP服务器对DHCP OFFER消息进行数字签名的方式有多种:
方式一:使用基站的公钥对DHCP OFFER消息进行数字签名;
方式二:使用DHCP服务器的私钥对DHCP OFFER消息进行数字签名。
当采用方式二时,又可以分为以下几种情况:
A、所下发的DHCP OFFER消息中除了包括对DHCP OFFER消息的签名,还包括DHCP服务器的数字证书;
B、所下发的DHCP OFFER消息中除了包括对DHCP OFFER消息的签名,还包括DHCP服务器的公钥和DHCP服务器所对应数字证书的URL;
C、所下发的DHCP OFFER消息中除了包括对DHCP OFFER消息的签名,还包括DHCP服务器的所对应数字证书的URL和DHCP服务器的标识(ID)。
需要说明的是,通常,上述方式二的A情况适用于单播发送DHCP OFFER消息,除此之外的其他情况适用于广播或多播发送DHCP OFFER消息。
7,基站接收到DHCP OFFER消息后,对DHCP OFFER消息的签名进行验证。
由于步骤6中,对DHCP OFFER消息进行数字签名的方式不同,因此,这里验证的方式也相应的不同:
如果步骤6中采用方式一,则本步骤中,基站使用自己的私钥完成对DHCPOFFER消息的验证,如验证成功,则说明DHCP服务器是经过证书服务器的验证合法的DHCP服务器,并获得了基站的证书,此时基站对DHCP服务器完成了认证。
如果步骤6中采用方式二的A情况,则本步骤中,基站从接收到的DHCPOFFER消息中获得DHCP服务器的数字证书,再用所获得的数字证书对签名进行验证。如验证成功,则说明DHCP服务器是经过证书服务器的验证合法的DHCP服务器,并获得了DHCP服务器的数字证书,此时基站对DHCP服务器完成了认证。
需要说明的是,在基站从接收到的DHCP OFFER消息中获得DHCP服务器的数字证书后,可以先对该DHCP的数字证书进行本身的真实性、合法性进行验证,验证成功后,再应用所获得的数字证书对签名进行验证。这里,并不对数字证书验证的过程进行限定,任何能够对数字证书进行验证的方法都可以应用于本发明实施例中。
如果步骤6中采用方式二的B情况,则本步骤中,基站暂时信任DHCP服务器是合法的,先从接收到的DHCP OFFER消息获取DHCP服务器的公钥以完成对接收到的DHCP OFFER消息的验证,从而获得DHCP服务器分配的IP地址;之后,基站从接收到的消息中获得的DHCP服务器所对应数字证书的URL,使用DHCP服务器分配的IP地址获取该URL对应的数字证书;使用从消息中获得的公钥与通过URL获得的数字证书中所对应的公钥进行匹配,若两者一致则通过对服务器的验证。此时基站获得了DHCP服务器的数字证书,并对DHCP服务器完成了认证。
如果步骤6中采用方式二的C情况,则本步骤中,基站默认接收到的DHCPOFFER消息是通过验证的,从而获得DHCP服务器分配的IP地址;之后,基站从接收到的消息中获得的DHCP服务器所对应数字证书的URL,使用DHCP服务器分配的IP地址通过该URL获得DHCP服务器的数字证书;或者,基站从接收到的消息中获得的DHCP服务器ID,再根据本地预先配置的证书服务器地址获得DHCP服务器的数字证书,对所获得的DHCP服务器的数字证书进行验证,验证成功后,再应用所获得的数字证书对DHCP OFFER消息的签名进行验证。此时基站获得了DHCP服务器的数字证书,并对DHCP服务器完成了认证。这里,并不对数字证书验证的过程进行限定,任何能够对数字证书进行验证的方法都可以应用于本发明实施例中。
至此,基站与DHCP服务器之间相互完成了基于证书的认证。
随后,基站发送DHCP Request消息给证书服务器,该消息中携带了Option43,以及使用自己的私钥计算的DHCP Request消息的签名包含在Option90中,用于向DHCP服务器进行确认。
这里,DHCP Request消息相当于前述的第三信息,该加密后的第三信息放置在DHCP Request消息的Option90字段中。
8,DHCP服务器接收到DHCP Request消息后,使用基站的公钥进行验证消息的完整性。验证通过,则发送DHCP ACK消息。基站使用与第7步相同的方法验证ACK消息。
这里,DHCP ACK消息相当于前述的第四信息,该加密后的第四信息即对放置在DHCP ACK消息的Option90字段中。
至此,通过DHCP协议完成了IP地址的自动分配。
需要说明的是,在上述实施例中,Option90中密钥标识域可以设置为0,以表示使用公私钥对DHCP Request消息和DHCP ACK消息进行认证,而不是使用现有的预置共享密钥进行认证。
应用上述实施例,作为DHCP客户端的基站和DHCP服务器之间使用公私钥完成了相互认证,避免了DOS攻击,而且,本实施例中还使用公私钥对后续操作进行保护,避免了使用预置的共享密钥进行认证,进一步保证了DHCP客户端和服务器之间交互信息的安全。
参见图4,其是根据本发明另一个具体实施例的流程示意图。本实施例中,与DHCP服务器交互的认证服务器地址是通过URL获得的,而不是预先固设在DHCP服务器的出厂设置中,该流程具体包括:
1,基站向DHCP服务器发送DHCP Discover消息,其中携带了包含基站ESN号的Option60、携带了证书服务器的URL信息的Option 98以及包含了使用基站的私钥计算的DHCP消息签名的Option90,摘要计算使用的算法在Option90中的算法域标识。其中Option98用于使得DHCP服务器寻找到证书服务器,与实施例一不同的是,在实施例一中,固定配置了证书服务器的地址。
2,DHCP服务器接收到DHCP Discover消息后,可以从Option98获得URL地址,从Option90获得加密的ESN,从Option60中获得ESN,DHCP服务器根据URL地址获取认证服务器的地址,之后,DHCP服务器与证书服务器之间认证并建立SSL连接,用于安全的向证书服务器提供基站的ESN以及安全的下载基站证书。
DHCP服务器和认证服务器之间的安全通道可以在DHCP服务器接收到来自基站的DHCP DISCOVER消息之前建立(如步骤0所述)或之后建立(如步骤2所示)。
需要说明的是,当DHCP服务器和认证服务器之间建立起安全通道后,该DHCP服务器说明是已经被认证的合法的DHCP服务器。具体的,DHCP服务器和认证服务器之间的验证可以使用出厂预设的厂商CA证书、DHCP服务器证书或证书服务器证书之一进行验证。
需要说明的是,DHCP服务器和认证服务器之间建立安全通道的具体过程与现有的技术方案完全相同,这里不再赘述。
需要说明的是,在本实施例中,并不限定安全通道的具体承载协议,如,可以是基于SSL的连接,也可以是基于其他安全协议的连接。
3-8,与图3所示实施例的步骤完全相同,此处不再赘述。
应用上述实施例,作为DHCP客户端的基站和DHCP服务器之间使用公私钥完成了相互认证,避免了DOS攻击,而且,本实施例中还使用公私钥对后续操作进行保护,避免了使用预置的共享密钥进行认证,进一步保证了DHCP客户端和服务器之间交互信息的安全。
参见图5,其是根据本发明又一个具体实施例的流程示意图。本实施例中,与DHCP服务器交互的认证服务器地址是预先固设在DHCP服务器的出厂设置中,且,基站和DHCP服务器通过公私钥又协商出一第一共享密钥,后续操作即DHCP Request消息和DHCP ACK消息使用该协商出的第一共享密码进行加密,该流程具体包括:
1,基站向DHCP服务器发送DHCP Discover消息,其中携带了包含基站ESN的Option60和包含了使用基站的私钥计算的基站ESN号摘要的值的Option90,摘要计算使用的算法在Option90中的算法域标识。Option90中密钥ID携带DH密钥交换算法所使用的第一公共值,或者通过扩展Option90来携带该第一公共值。
这里,基站ESN号即为前述第一信息。当然,也可以使用基站的私钥对DHCP Discover消息进行前面,具体与对ESN号计算摘要值类似,不再重复说明。
2-5,与图3所示实施例完全相同,不再赘述。
6,DHCP服务器对DHCP OFFER消息进行数字签名,该DHCP OFFER消息中包含了Option 43的内容或其它选项的内容,以及同样在Option90中以步骤1中所述的两种可能方式携带的用于DH交换的第二公共值。
其中,上述DHCP OFFER消息相当于前述的第二信息,DHCP OFFER消息进行数字签名后的信息放置在DHCP OFFER消息的Option90字段中。
7,基站接收到DHCP OFFER消息后,使用自己的私钥完成对DHCPOFFER消息的验证,如验证成功,则说明DHCP服务器是经过证书服务器的验证合法的DHCP服务器,并获得了基站的证书,此时基站对DHCP服务器完成了认证。即此时基站与DHCP服务器之间相互完成了基于证书的认证。
并且,基站通过自身产生的第一公共值和从DHCP服务器获得的第二公共值,计算出DHCP客户端和DHCP服务器之间的第一共享密钥。
随后,基站发送DHCP Request消息给证书服务器,该消息中携带了Option43或其它选项的内容,以及使用上述第一共享密钥计算DHCP Request消息的签名包含在Option90中,用于向DHCP服务器进行确认。
需要说明的是,本实施例中,Option90中密钥ID可全设置为1,表明使用DH交换方式产生的第一共享密钥进行保护。
这里,DHCP Request消息相当于前述的第三信息,该加密后的第三信息放置在DHCP Request消息的Option90字段中。
8,DHCP服务器接收到DHCP Request消息后,使用第一共享密钥进行验证消息的完整性。验证通过,则发送DHCP ACK消息。基站使用与第7步相同的方法验证ACK消息。
这里,DHCP ACK消息相当于前述的第四信息,该加密后的第四信息放置在DHCP ACK消息的Option90字段中。
至此,通过DHCP协议完成了IP地址的自动分配。
需要说明的是,在图5所示实施例中,与DHCP服务器交互的认证服务器地址可以是通过URL获得的,在此,并不对获得认证服务器地址的方式进行限定。
应用上述实施例,作为DHCP客户端的基站和DHCP服务器之间使用公私钥完成了相互认证,避免了DOS攻击,而且,本实施例中还可以使用协商出的第一共享密钥对后续操作进行保护,避免了使用预置的共享密钥进行认证,进一步保证了DHCP客户端和服务器之间交互信息的安全。
本发明实施例还提供了一种认证系统,应用于使用动态主机设置协议DHCP的DHCP服务器和DHCP客户端之间,具体参见图6,该可以系统包括:DHCP服务器602,所述DHCP服务器602分别与认证服务器601和DHCP客户端603通信。其中,
认证服务器601,用于存储各DHCP客户端对应的数字证书;
DHCP服务器602,用于接收来自DHCP客户端的DHCP发现DHCPDISCOVER消息,所述DHCP DISCOVER消息中包含应用所述DHCP客户端私钥加密的第一信息;从认证服务器上获取与所述DHCP客户端对应的数字证书,应用数字证书公钥对所述加密的第一信息进行解密并验证,若验证成功,则对所述DHCP客户端完成认证;向DHCP客户端发送DHCP提供DHCP OFFER消息,所述DHCP OFFER消息中包含加密的第二信息;
DHCP客户端603,用于对所述加密的第二信息进行解密并验证,若验证成功,则对所述DHCP服务器完成认证。
其中,上述DHCP服务器602,还用于接收来自DHCP客户端的DHCP请求DHCP REQUEST消息,所述DHCP REQUEST消息中包含应用所述DHCP客户端私钥加密的第三信息;应用所述公钥对所述加密的第三信息解密并验证成功后,根据所述DHCP REQUEST消息中的信息进行操作处理,之后,向所述DHCP客户端发送DHCP确认DHCP ACK消息,所述DHCP ACK消息中包括加密的第四信息,
上述DHCP客户端603,还用于对所述加密的第四信息进行解密并验证,若验证成功,所述DHCP客户端根据所述DHCP ACK消息中的信息完成操作处理。
其中,上述DHCP服务器602接收到的DHCP DISCOVER消息中还包括第一公共值;上述DHCP服务器向DHCP客户端发送的DHCP OFFER消息中还包括第二公共值;DHCP服务器和DHCP客户端分别根据所述第一公共值和第二公共值计算出第一共享密钥;
上述DHCP服务器602,还用于接收来自DHCP客户端的DHCP请求DHCPREQUEST消息,所述DHCP REQUEST消息中包含应用第一共享密钥加密的第三信息;应用所述第一共享密钥对所述加密的第三信息解密并验证成功后,根据所述DHCP REQUEST消息中的信息进行操作处理,之后,向所述DHCP客户端发送DHCP确认DHCP ACK消息,所述DHCP ACK消息中包括应用所述第一共享密钥加密的第四信息;
上述DHCP客户端603,还用于对所述加密的第四信息进行解密并验证,若验证成功,DHCP客户端根据所述DHCP ACK消息中的信息完成操作处理。
其中,上述第一信息为DHCP客户端唯一标识或DHCP DISCOVER消息本身;上述加密后的第一信息放入DHCP DISCOVER的Option90字段中;第二信息为DHCP OFFER消息本身;加密后的第二信息放入DHCP OFFER消息的Option90字段中;第三信息为DHCP REQUEST消息本身,加密后的第三信息放入DHCP REQUEST消息的Option90字段中;第四信息为DHCP ACK消息本身,加密后的第四信息放入DHCP ACK消息的Option90字段中。
应用本发明实施例提供的认证系统,通过证书的方式在DHCP客户端和DHCP服务器之间实现了互认证,既保证了DHCP DISCOVER消息的安全,避免了DOS攻击,又因可以使用公私密钥而可以避免使用预置的共享密钥进行认证,从而更进一步的保证了DHCP的安全。再有,本发明实施例中的DHCP服务器通过从认证服务器获取DHCP的客户端的数字证书,避免使用DHCP消息携带证书,使得在DHCP服务器与客户端之间使用证书成为可能。
DHCP客户端和DHCP服务器之间使用公私钥或协商出的第一共享密钥完成了后续的相互确认操作,避免了使用预置的共享密钥进行认证,进一步保证了DHCP客户端和服务器之间交互信息的安全。
对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个......”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (15)
1.一种认证方法,应用于动态主机设置协议DHCP中,其特征在于,
DHCP服务器接收来自DHCP客户端的DHCP发现DHCP DISCOVER消息,所述DHCP DISCOVER消息中包含应用所述DHCP客户端私钥加密的第一信息;
DHCP服务器从认证服务器上获取与所述DHCP客户端对应的数字证书,应用数字证书公钥对所述加密的第一信息进行解密并验证,若验证成功,则对所述DHCP客户端完成认证;
DHCP服务器向DHCP客户端发送DHCP提供DHCP OFFER消息,所述DHCP OFFER消息中包含加密的第二信息,以使所述DHCP客户端对所述加密的第二信息进行解密并验证,若验证成功,则对所述DHCP服务器完成认证。
2.根据权利要求1所述的方法,其特征在于,所述DHCP服务器从认证服务器上获取与所述DHCP客户端对应的数字证书的步骤包括:
DHCP服务器根据预先配置的认证服务器地址,通过已建立的DHCP服务器和认证服务器之间的安全通道,从所述认证服务器上获取所述数字证书。
3.根据权利要求2所述的方法,其特征在于,所述预先配置的认证服务器地址为出厂时设定的固定地址,或者,所述预先配置的认证服务器地址为DHCP DISCOVER消息中携带的认证服务器所对应的统一资源定位符URL。
4.根据权利要求2所述的方法,其特征在于,通过已建立的DHCP服务器和认证服务器之间的安全通道,从所述认证服务器上获取所述数字证书的步骤包括:
DHCP服务器通过已建立的安全通道将DHCP客户端的设备标识发送给认证服务器,认证服务器根据所述设备标识验证所述DHCP客户端合法后,通过已建立的安全通道将所述DHCP客户端的数字证书下发给DHCP服务器;
DHCP服务器从接收到的信息中获得所述DHCP客户端的数字证书。
5.根据权利要求1所述的方法,其特征在于,
所述加密的第二信息为使用客户端所对应的数字证书公钥签名的信息;
所述DHCP客户端使用自身的私钥对所述加密的第二信息进行解密并验证。
6.根据权利要求1所述的方法,其特征在于,
所述加密的第二信息为使用DHCP服务器的私钥签名的信息;
所述DHCP客户端使用DHCP服务器的公钥对所述加密的第二信息进行解密并验证。
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
DHCP服务器接收来自DHCP客户端的DHCP请求DHCP REQUEST消息,所述DHCP REQUEST消息中包含应用所述DHCP客户端私钥加密的第三信息;
DHCP服务器应用所述公钥对所述加密的第三信息解密并验证成功后,根据所述DHCP REQUEST消息中的信息进行操作处理,之后,向所述DHCP客户端发送DHCP确认DHCP ACK消息,所述DHCP ACK消息中包括加密的第四信息,以使所述DHCP客户端对所述加密的第四信息进行解密并验证,若验证成功,所述DHCP客户端根据所述DHCPACK消息中的信息完成操作处理。
8.根据权利要求7所述的方法,其特征在于,
所述加密的第四信息为使用客户端所对应的数字证书公钥签名的信息;
所述DHCP客户端使用自身的私钥对所述加密的第四信息进行解密并验证;
或者,
所述加密的第四信息为使用DHCP服务器的私钥签名的信息;
所述DHCP客户端使用DHCP服务器的公钥对所述加密的第四信息进行解密并验证。
9.根据权利要求1所述的方法,其特征在于,所述方法还包括:
DHCP服务器接收到的DHCP DISCOVER消息中还包括第一公共值;
DHCP服务器向DHCP客户端发送的DHCP OFFER消息中还包括第二公共值;所述DHCP服务器和DHCP客户端分别根据所述第一公共值和第二公共值计算出第一共享密钥;
DHCP服务器接收来自DHCP客户端的DHCP请求DHCP REQUEST消息,所述DHCP REQUEST消息中包含应用第一共享密钥加密的第三信息;
DHCP服务器应用所述第一共享密钥对所述加密的第三信息解密并验证成功后,根据所述DHCP REQUEST消息中的信息进行操作处理,之后,向所述DHCP客户端发送DHCP确认DHCP ACK消息,所述DHCP ACK消息中包括应用所述第一共享密钥加密的第四信息,以使所述DHCP客户端对所述加密的第四信息进行解密并验证,若验证成功,所述DHCP客户端根据所述DHCP ACK消息中的信息完成操作处理。
10.根据权利要求1所述的方法,其特征在于,
所述第一信息为DHCP客户端唯一标识或DHCP DISCOVER消息本身;
所述第二信息为DHCP OFFER消息本身。
11.根据权利要求8或9所述的方法,其特征在于,
所述第三信息为DHCP REQUEST消息本身;
所述第四信息为DHCP ACK消息本身。
12.一种认证系统,应用于使用动态主机设置协议DHCP的DHCP服务器和DHCP客户端之间,其特征在于,所述系统包括:DHCP服务器;所述DHCP服务器分别与认证服务器和DHCP客户端通信,其中,
所述认证服务器,用于存储各DHCP客户端对应的数字证书;
所述DHCP服务器,用于接收来自DHCP客户端的DHCP发现DHCPDISCOVER消息,所述DHCP DISCOVER消息中包含应用所述DHCP客户端私钥加密的第一信息;从认证服务器上获取与所述DHCP客户端对应的数字证书,应用数字证书公钥对所述加密的第一信息进行解密并验证,若验证成功,则对所述DHCP客户端完成认证;向DHCP客户端发送DHCP提供DHCP OFFER消息,所述DHCP OFFER消息中包含加密的第二信息;
所述DHCP客户端,用于对所述加密的第二信息进行解密并验证,若验证成功,则对所述DHCP服务器完成认证。
13.根据权利要求12所述的系统,其特征在于,
所述DHCP服务器,还用于接收来自DHCP客户端的DHCP请求DHCPREQUEST消息,所述DHCP REQUEST消息中包含应用所述DHCP客户端私钥加密的第三信息;应用所述公钥对所述加密的第三信息解密并验证成功后,根据所述DHCP REQUEST消息中的信息进行操作处理,之后,向所述DHCP客户端发送DHCP确认DHCP ACK消息,所述DHCP ACK消息中包括加密的第四信息,
所述DHCP客户端,还用于对所述加密的第四信息进行解密并验证,若验证成功,所述DHCP客户端根据所述DHCP ACK消息中的信息完成操作处理。
14.根据权利要求12所述的系统,其特征在于,
所述DHCP服务器接收到的DHCP DISCOVER消息中还包括第一公共值;
所述DHCP服务器向DHCP客户端发送的DHCP OFFER消息中还包括第二公共值;所述DHCP服务器和DHCP客户端分别根据所述第一公共值和第二公共值计算出第一共享密钥;
所述DHCP服务器,还用于接收来自DHCP客户端的DHCP请求DHCPREQUEST消息,所述DHCP REQUEST消息中包含应用第一共享密钥加密的第三信息;应用所述第一共享密钥对所述加密的第三信息解密并验证成功后,根据所述DHCP REQUEST消息中的信息进行操作处理,之后,向所述DHCP客户端发送DHCP确认DHCP ACK消息,所述DHCP ACK消息中包括应用所述第一共享密钥加密的第四信息,
所述DHCP客户端,还用于对所述加密的第四信息进行解密并验证,若验证成功,所述DHCP客户端根据所述DHCP ACK消息中的信息完成操作处理。
15.根据权利要求12所述的系统,其特征在于,
所述第一信息为DHCP客户端唯一标识或DHCP DISCOVER消息本身;
所述第二信息为DHCP OFFER消息本身;
所述第三信息为DHCP REQUEST消息本身;
所述第四信息为DHCP ACK消息本身。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011100705653A CN102123157B (zh) | 2011-03-03 | 2011-03-23 | 一种认证方法及系统 |
| CN201310683030.2A CN103685272B (zh) | 2011-03-03 | 2011-03-23 | 一种认证方法及系统 |
| PCT/CN2012/070882 WO2012116590A1 (zh) | 2011-03-03 | 2012-02-06 | 一种认证方法及系统 |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110051348 | 2011-03-03 | ||
| CN201110051348.X | 2011-03-03 | ||
| CN2011100705653A CN102123157B (zh) | 2011-03-03 | 2011-03-23 | 一种认证方法及系统 |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310683030.2A Division CN103685272B (zh) | 2011-03-03 | 2011-03-23 | 一种认证方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102123157A true CN102123157A (zh) | 2011-07-13 |
| CN102123157B CN102123157B (zh) | 2013-12-04 |
Family
ID=44251609
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310683030.2A Active CN103685272B (zh) | 2011-03-03 | 2011-03-23 | 一种认证方法及系统 |
| CN2011100705653A Active CN102123157B (zh) | 2011-03-03 | 2011-03-23 | 一种认证方法及系统 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310683030.2A Active CN103685272B (zh) | 2011-03-03 | 2011-03-23 | 一种认证方法及系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (2) | CN103685272B (zh) |
| WO (1) | WO2012116590A1 (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2012116590A1 (zh) * | 2011-03-03 | 2012-09-07 | 华为技术有限公司 | 一种认证方法及系统 |
| CN102970301A (zh) * | 2012-11-29 | 2013-03-13 | 无锡华御信息技术有限公司 | 一种基于dhcp的服务器以及终端准入控制方法及系统 |
| EP2595082A1 (en) * | 2011-10-18 | 2013-05-22 | Huawei Device Co., Ltd. | Method and authentication server for verifying access identity of set-top box |
| CN103634266A (zh) * | 2012-08-21 | 2014-03-12 | 上海凌攀信息科技有限公司 | 一种对服务器、终端双向认证的方法 |
| WO2016065647A1 (zh) * | 2014-10-31 | 2016-05-06 | 西安酷派软件科技有限公司 | D2d通信中检验mic的方法和d2d通信系统 |
| US9537975B2 (en) | 2014-03-25 | 2017-01-03 | Hon Hai Precision Industry Co., Ltd. | Server, client, and method of reconfiguring network parameters |
| CN106411928A (zh) * | 2016-10-28 | 2017-02-15 | 上海斐讯数据通信技术有限公司 | 客户端接入服务器的认证方法和装置及vdi系统 |
| CN107493294A (zh) * | 2017-09-04 | 2017-12-19 | 上海润欣科技股份有限公司 | 一种基于非对称加密算法的ocf设备的安全接入与管理控制方法 |
| CN109120738A (zh) * | 2018-08-17 | 2019-01-01 | 瑞斯康达科技发展股份有限公司 | Dhcp服务器及其进行网络内部设备管理的方法 |
| CN109359977A (zh) * | 2018-09-10 | 2019-02-19 | 平安科技(深圳)有限公司 | 网络通信方法、装置、计算机设备和存储介质 |
| CN111314269A (zh) * | 2018-12-11 | 2020-06-19 | 中兴通讯股份有限公司 | 一种地址自动分配协议安全认证方法及设备 |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105450401A (zh) * | 2014-06-27 | 2016-03-30 | 奇点新源国际技术开发(北京)有限公司 | 一种数据通信方法及装置 |
| CN105049546B (zh) * | 2015-06-25 | 2018-12-21 | 瑞斯康达科技发展股份有限公司 | 一种dhcp服务器为客户端分配ip地址的方法及装置 |
| CN105721496A (zh) * | 2016-03-31 | 2016-06-29 | 中国人民解放军国防科学技术大学 | 一种轻量级地址自动分配协议安全认证方法 |
| CN109495445A (zh) * | 2018-09-30 | 2019-03-19 | 青岛海尔科技有限公司 | 基于物联网的身份认证方法、装置、终端、服务器及介质 |
| CN113114610B (zh) * | 2020-01-13 | 2022-11-01 | 杭州萤石软件有限公司 | 一种取流方法、装置及设备 |
| CN111654728B (zh) * | 2020-04-17 | 2023-10-20 | 视联动力信息技术股份有限公司 | 一种证书更新的方法和装置 |
| CN111737124A (zh) * | 2020-06-17 | 2020-10-02 | 特艺(中国)科技有限公司 | 一种激活后台调试环境的方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101083660A (zh) * | 2007-05-30 | 2007-12-05 | 北京润汇科技有限公司 | 基于会话控制的动态地址分配协议的ip网认证鉴权方法 |
| CN101141253A (zh) * | 2006-09-05 | 2008-03-12 | 华为技术有限公司 | 实现认证的方法和认证系统 |
| US20090070474A1 (en) * | 2007-09-12 | 2009-03-12 | Microsoft Corporation | Dynamic Host Configuration Protocol |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101350809A (zh) * | 2007-07-19 | 2009-01-21 | 华为技术有限公司 | 一种实现认证的方法和系统 |
| CN101183932B (zh) * | 2007-12-03 | 2011-02-16 | 宇龙计算机通信科技(深圳)有限公司 | 一种无线应用服务的安全认证系统及其注册和登录方法 |
| CN103685272B (zh) * | 2011-03-03 | 2017-02-22 | 上海华为技术有限公司 | 一种认证方法及系统 |
-
2011
- 2011-03-23 CN CN201310683030.2A patent/CN103685272B/zh active Active
- 2011-03-23 CN CN2011100705653A patent/CN102123157B/zh active Active
-
2012
- 2012-02-06 WO PCT/CN2012/070882 patent/WO2012116590A1/zh active Application Filing
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101141253A (zh) * | 2006-09-05 | 2008-03-12 | 华为技术有限公司 | 实现认证的方法和认证系统 |
| CN101083660A (zh) * | 2007-05-30 | 2007-12-05 | 北京润汇科技有限公司 | 基于会话控制的动态地址分配协议的ip网认证鉴权方法 |
| US20090070474A1 (en) * | 2007-09-12 | 2009-03-12 | Microsoft Corporation | Dynamic Host Configuration Protocol |
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2012116590A1 (zh) * | 2011-03-03 | 2012-09-07 | 华为技术有限公司 | 一种认证方法及系统 |
| EP2595082A1 (en) * | 2011-10-18 | 2013-05-22 | Huawei Device Co., Ltd. | Method and authentication server for verifying access identity of set-top box |
| US8832727B2 (en) | 2011-10-18 | 2014-09-09 | Huawei Device Co., Ltd. | Method and authentication server for verifying access identity of set-top box |
| CN103634266A (zh) * | 2012-08-21 | 2014-03-12 | 上海凌攀信息科技有限公司 | 一种对服务器、终端双向认证的方法 |
| CN103634266B (zh) * | 2012-08-21 | 2017-05-24 | 上海凌攀信息科技有限公司 | 一种对服务器、终端双向认证的方法 |
| CN102970301A (zh) * | 2012-11-29 | 2013-03-13 | 无锡华御信息技术有限公司 | 一种基于dhcp的服务器以及终端准入控制方法及系统 |
| CN102970301B (zh) * | 2012-11-29 | 2015-04-29 | 无锡华御信息技术有限公司 | 一种基于dhcp的服务器以及终端准入控制方法及系统 |
| US9537975B2 (en) | 2014-03-25 | 2017-01-03 | Hon Hai Precision Industry Co., Ltd. | Server, client, and method of reconfiguring network parameters |
| US10531290B2 (en) | 2014-10-31 | 2020-01-07 | Nanchang Coolpad Intelligent Technology Company Limited | Mic verification method in D2D communications and D2D communications system |
| WO2016065647A1 (zh) * | 2014-10-31 | 2016-05-06 | 西安酷派软件科技有限公司 | D2d通信中检验mic的方法和d2d通信系统 |
| CN106411928A (zh) * | 2016-10-28 | 2017-02-15 | 上海斐讯数据通信技术有限公司 | 客户端接入服务器的认证方法和装置及vdi系统 |
| CN107493294A (zh) * | 2017-09-04 | 2017-12-19 | 上海润欣科技股份有限公司 | 一种基于非对称加密算法的ocf设备的安全接入与管理控制方法 |
| CN107493294B (zh) * | 2017-09-04 | 2020-08-21 | 上海润欣科技股份有限公司 | 一种基于非对称加密算法的ocf设备的安全接入与管理控制方法 |
| CN109120738A (zh) * | 2018-08-17 | 2019-01-01 | 瑞斯康达科技发展股份有限公司 | Dhcp服务器及其进行网络内部设备管理的方法 |
| CN109120738B (zh) * | 2018-08-17 | 2021-11-02 | 瑞斯康达科技发展股份有限公司 | Dhcp服务器及其进行网络内部设备管理的方法 |
| CN109359977A (zh) * | 2018-09-10 | 2019-02-19 | 平安科技(深圳)有限公司 | 网络通信方法、装置、计算机设备和存储介质 |
| CN111314269A (zh) * | 2018-12-11 | 2020-06-19 | 中兴通讯股份有限公司 | 一种地址自动分配协议安全认证方法及设备 |
| CN111314269B (zh) * | 2018-12-11 | 2023-09-12 | 中兴通讯股份有限公司 | 一种地址自动分配协议安全认证方法及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102123157B (zh) | 2013-12-04 |
| CN103685272A (zh) | 2014-03-26 |
| WO2012116590A1 (zh) | 2012-09-07 |
| CN103685272B (zh) | 2017-02-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102123157B (zh) | 一种认证方法及系统 | |
| US10412083B2 (en) | Dynamically generated SSID | |
| KR100931073B1 (ko) | 다이나믹 호스트 컨피규레이션 및 네트워크 액세스 인증 | |
| US9515824B2 (en) | Provisioning devices for secure wireless local area networks | |
| KR100907507B1 (ko) | 무선 랜 단말의 bwa 네트워크 연동시 사용자 인증 방법및 그 시스템 | |
| EP2347560B1 (en) | Secure access in a communication network | |
| US7933253B2 (en) | Return routability optimisation | |
| CN102231725B (zh) | 一种动态主机配置协议报文的认证方法、设备及系统 | |
| US20070283149A1 (en) | Home address auto-configuration during use of a mobile protocol authentication option protocol | |
| CN105721496A (zh) | 一种轻量级地址自动分配协议安全认证方法 | |
| WO2009082950A1 (fr) | Procédé, dispositif et système de distribution de clés | |
| EP2663049B1 (en) | Authentication method based on dhcp, dhcp server and client | |
| US20070101132A1 (en) | Method and device for forming an encrypted message together with method and device for encrypting an encrypted message | |
| CN115694856A (zh) | 基于dhcp协议的验证方法及相关设备 | |
| US9485654B2 (en) | Method and apparatus for supporting single sign-on in a mobile communication system | |
| Wing et al. | RFC 9463: DHCP and Router Advertisement Options for the Discovery of Network-designated Resolvers (DNR) | |
| Demerjian et al. | Certificate-Based Access Control and Authentication for DHCP. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |