CN102651736B - 基于dhcp的认证方法、dhcp服务器及客户端 - Google Patents
基于dhcp的认证方法、dhcp服务器及客户端 Download PDFInfo
- Publication number
- CN102651736B CN102651736B CN201110047862.6A CN201110047862A CN102651736B CN 102651736 B CN102651736 B CN 102651736B CN 201110047862 A CN201110047862 A CN 201110047862A CN 102651736 B CN102651736 B CN 102651736B
- Authority
- CN
- China
- Prior art keywords
- configuration protocol
- host configuration
- dynamic host
- protocol server
- dhcp
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/5014—Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例公开了一种基于DHCP的认证方法、DHCP服务器及客户端,所述方法包括:DHCP服务器接收DHCP客户端发送的DHCP发现消息,所述DHCP发现消息中包括CA的URL以及DHCP客户端的标识;所述DHCP服务器根据所述CA的URL发现CA并向所述CA发送授权请求,所述授权请求中携带所述DHCP客户端的标识;所述DHCP服务器接收所述CA返回的授权信息,所述授权信息中包括所述DHCP客户端的证书;所述DHCP服务器根据所述DHCP客户端的证书完成对所述DHCP客户端的认证;所述DHCP服务器向所述DHCP客户端发送DHCP提供消息,所述DHCP提供消息中包括所述CA返回的授权信息,以使所述DHCP客户端根据所述授权信息认证所述DHCP服务器。本发明适用于进行基于DHCP的认证。
Description
技术领域
本发明涉及通信技术领域,特别涉及一种基于DHCP的认证方法、DHCP服务器及客户端。
背景技术
DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)是一个局域网的网络协议,使用UDP(User Datagram Protocol,用户数据包协议)工作,采用DHCP协议,DHCP服务器可自动将IP地址分配给登陆TCP/IP网络的DHCP客户端。
为了保证DHCP客户端与DHCP服务器之间的通信安全,需要对DHCP服务器进行安全认证。目前,通常采用延迟认证方法对DHCP服务器进行认证,在该方法中,DHCP客户端和DHCP服务器中预先配置有共享密钥。该方法的基本流程为:
DHCP客户端将携带有认证选项和客户端身份标识的DHCP发现消息(DHCPDISCOVER)向本地子网广播;网络上的DHCP服务器收到该消息后,根据客户端身份标识和共享密钥计算出会话密钥,利用该会话密钥计算DHCP发现消息的认证码,使用该认证码填充认证选项,构造DHCP提供消息(DHCPOFFER),并将该DHCP提供消息发送给DHCP客户端;DHCP客户端利用本地存储的共享密钥计算出会话密钥,利用该会话密钥验证认证选项中的认证信息是否正确,然后构造DHCP请求消息(DHCPREQUEST),并利用该会话密钥计算该消息的认证码,使用该认证码填充认证选项,将该DHCP请求消息发送给选中的DHCP服务器;DHCP服务器收到该DHCP请求消息后,使用会话密钥验证该消息。
在DHCP服务器和DHCP客户端之间进行认证时,DHCP客户端和DHCP服务器需要基于预先配置的共享密钥进行认证,认证方式较复杂。
发明内容
本发明的实施例提供一种基于DHCP的认证方法、DHCP服务器及客户端,能够以简单的方式实现DHCP服务器和DHCP客户端之间的认证。
本发明实施例采用的技术方案为:
一种基于DHCP的认证方法,包括:
DHCP服务器接收DHCP客户端发送的DHCP发现消息,所述DHCP发现消息中包括CA的URL以及DHCP客户端的标识;
所述DHCP服务器根据所述CA的URL发现CA并向所述CA发送授权请求,所述授权请求中携带所述DHCP客户端的标识;
所述DHCP服务器接收所述CA返回的授权信息,所述授权信息中包括所述DHCP客户端的证书;
所述DHCP服务器根据所述DHCP客户端的证书完成对所述DHCP客户端的认证;
所述DHCP服务器向所述DHCP客户端发送DHCP提供消息,所述DHCP提供消息中包括所述CA返回的授权信息,以使所述DHCP客户端根据所述授权信息认证所述DHCP服务器。
一种基于DHCP的认证方法,包括:
DHCP服务器接收DHCP客户端发送的DHCP发现消息;
所述DHCP服务器向CA发送授权请求,所述授权请求中包括所述DHCP发现消息;
所述DHCP服务器接收所述CA返回的授权信息,所述授权信息由所述CA根据所述授权请求对所述DHCP客户端进行认证通过后产生;
所述DHCP服务器向所述DHCP客户端发送DHCP提供消息,所述DHCP提供消息中包括所述CA返回的授权信息,以使所述DHCP客户端根据所述授权信息认证所述DHCP服务器。
一种基于DHCP的认证方法,包括:
DHCP客户端向DHCP服务器发送DHCP发现消息,所述DHCP发现消息中包括CA的URL以及DHCP客户端的标识;
所述DHCP客户端接收所述DHCP服务器在对所述DHCP客户端进行认证通过后发送的DHCP提供消息,所述DHCP提供消息中包括所述CA向所述DHCP服务器返回的授权信息;
所述DHCP客户端根据所述授权信息认证所述DHCP服务器。
一种基于DHCP的认证方法,包括:
DHCP客户端向DHCP服务器发送DHCP发现消息;
所述DHCP客户端接收所述DHCP服务器发送的DHCP提供消息,所述DHCP提供消息中包括CA在对所述DHCP客户端进行认证通过后向所述DHCP服务器返回的授权信息;
所述DHCP客户端根据所述授权信息认证所述DHCP服务器。
一种DHCP服务器,包括:
第一接收模块,用于接收DHCP客户端发送的DHCP发现消息,所述DHCP发现消息中包括CA的URL以及DHCP客户端的标识;
第一发送模块,用于根据所述CA的URL发现CA并向所述CA发送授权请求,所述授权请求中携带所述DHCP客户端的标识;
所述第一接收模块,还用于接收所述CA返回的授权信息,所述授权信息中包括所述DHCP客户端的证书;
所述DHCP服务器还包括:
第一认证模块,用于根据所述第一接收模块接收的所述授权信息中的所述DHCP客户端的证书完成对所述DHCP客户端的认证;
所述第一发送模块,还用于向所述DHCP客户端发送DHCP提供消息,所述DHCP提供消息中包括所述第一接收模块接收的所述CA返回的授权信息,以使所述DHCP客户端根据所述授权信息认证所述DHCP服务器。
一种DHCP服务器,包括:
第二接收模块,用于接收DHCP客户端发送的DHCP发现消息;
第二发送模块,用于根据所述第二接收模块接收的DHCP发现消息向CA发送授权请求,所述授权请求中包括所述DHCP发现消息;
所述第二接收模块,还用于接收所述CA返回的授权信息,所述授权信息由所述CA根据所述授权请求对所述DHCP客户端进行认证通过后产生;
所述第二发送模块,还用于向所述DHCP客户端发送DHCP提供消息,所述DHCP提供消息中包括所述第二接收模块接收的所述CA返回的授权信息,以使所述DHCP客户端根据所述授权信息认证所述DHCP服务器。
一种DHCP客户端,包括:
第三发送模块,用于向DHCP服务器发送DHCP发现消息,所述DHCP发现消息中包括CA的URL以及DHCP客户端的标识;
第三接收模块,用于接收所述DHCP服务器在对所述DHCP客户端进行认证通过后发送的DHCP提供消息,所述DHCP提供消息中包括所述CA向所述DHCP服务器返回的授权信息;
第二认证模块,用于根据所述第三接收模块接收的所述DHCP提供消息中的授权信息认证所述DHCP服务器。
一种DHCP客户端,包括:
第四发送模块,用于向DHCP服务器发送DHCP发现消息;
第四接收模块,用于接收所述DHCP服务器发送的DHCP提供消息,所述DHCP提供消息中包括CA在对所述DHCP客户端进行认证通过后向所述DHCP服务器返回的授权信息;
第三认证模块,用于根据所述第四接收模块接收的所述DHCP提供消息中的授权信息认证所述DHCP服务器。
本发明实施例提供的基于DHCP的认证方法、DHCP服务器及客户端,DHCP服务器根据CA返回的授权信息完成对DHCP客户端的认证或者由CA实现对DHCP客户端的认证,DHCP服务器将CA返回的授权信息通过DHCP提供消息发送给DHCP客户端,DHCP客户端根据所述授权信息认证所述DHCP服务器。与现有技术相比,DHCP服务器和DHCP客户端不需要预先配置共享密钥,借助CA即可实现DHCP服务器和DHCP客户端之间的认证,认证方式较简单。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明实施例一提供的方法流程图;
图2为本发明实施例二提供的方法流程图;
图3为本发明实施例三提供的方法流程图;
图4为本发明实施例四提供的方法流程图;
图5为本发明实施例五提供的方法流程图;
图6为本发明实施例六提供的方法流程图;
图7为本发明实施例七提供的方法流程图;
图8为本发明实施例八提供的方法流程图;
图9a、图9b、图9c为本发明实施例九提供的DHCP服务器结构示意图;
图10a、图10b、图10c为本发明实施例十提供的DHCP客户端结构示意图;
图11a、图11b、图11c为本发明实施例十一提供的DHCP服务器结构示意图;
图12a、图12b、图12c为本发明实施例十二提供的DHCP客户端结构示意图;
图13为本发明实施例十三提供的认证中心结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
为使本发明技术方案的优点更加清楚,下面结合附图和实施例对本发明作详细说明。
在本发明的所有实施例中,DHCP客户端中保存的信息包括DHCP客户端的公钥和私钥、CA(Certificate Authority,认证中心)的公钥以及DHCP客户端的证书;DHCP服务器中保存的信息包括DHCP服务器的公钥和私钥以及CA的公钥;CA中保存的信息包括CA的公钥和私钥、DHCP服务器的公钥和/或证书以及DHCP客户端的公钥和/或证书。
实施例一
本实施例提供一种基于DHCP的认证方法,在本实施例中,由DHCP服务器对DHCP客户端进行认证。
如图1所示,在DHCP服务器端,所述方法包括:
101、DHCP服务器接收DHCP客户端发送的DHCP发现消息(DHCPDISCOVER),所述DHCP发现消息中包括CA的URL(Universal Resource Locator,统一资源定位符)以及DHCP客户端的标识。
102、所述DHCP服务器根据所述CA的URL发现CA并向所述CA发送授权请求,所述授权请求中携带所述DHCP客户端的标识。
103、所述DHCP服务器接收所述CA返回的授权信息,所述授权信息中包括所述DHCP客户端的证书。
可选的,所述CA返回的授权信息中还包括所述CA产生的随机参数;
则在所述DHCP服务器接收所述CA返回的授权信息之后,还包括:
所述DHCP服务器根据所述随机参数推演共享密钥,其中,所述共享密钥用于保护所述DHCP服务器和所述DHCP客户端之间通信的安全。
其中,所述随机参数为所述DHCP服务器通过与所述CA之间的安全隧道接收的;
或者,
所述随机参数经过了DHCP服务器的公钥加密;则相应的,在所述DHCP服务器根据所述随机参数推演共享密钥之前,还包括:
所述DHCP服务器使用所述DHCP服务器的私钥对所述加密的随机参数进行解密,获取所述随机参数。
可选的,所述CA返回的授权信息中还包括所述CA根据随机参数生成的共享密钥或者所述CA直接产生的共享密钥;
则在所述DHCP服务器接收所述CA返回的授权信息之后,还包括:
所述DHCP服务器从所述授权信息中获取所述共享密钥,其中,所述共享密钥用于保护所述DHCP服务器和所述DHCP客户端之间通信的安全。
可选的,所述共享密钥为所述DHCP服务器通过与所述CA之间的安全隧道接收的;
或者,
所述共享密钥经过了DHCP服务器的公钥加密;则相应的,所述DHCP服务器从所述授权信息中获取所述共享密钥包括:
所述DHCP服务器使用所述DHCP服务器的私钥对所述加密的共享密钥进行解密,获取所述共享密钥。
104、所述DHCP服务器根据所述DHCP客户端的证书完成对所述DHCP客户端的认证。
为了增加DHCP发现消息的安全性,步骤301中的DHCP发现消息还包括采用DHCP客户端的私钥进行的签名,相应的,步骤304中,DHCP服务器根据所述DHCP客户端的证书完成对所述DHCP客户端的认证(authentication)即为:DHCP服务器采用所述证书中包括的所述DHCP客户端的公钥对所述签名进行验证(verification)。
105、所述DHCP服务器向所述DHCP客户端发送DHCP提供消息(DHCPOFFER),所述DHCP提供消息中包括所述CA返回的授权信息,以使所述DHCP客户端根据所述授权信息认证所述DHCP服务器。
在本实施例中,所述DHCP客户端可以为基站,但不仅限于此。
本发明实施例提供的基于DHCP的认证方法,DHCP服务器根据CA返回的授权信息完成对DHCP客户端的认证,DHCP服务器将CA返回的授权信息通过DHCP提供消息发送给DHCP客户端,DHCP客户端根据所述授权信息认证所述DHCP服务器。与现有技术相比,DHCP服务器和DHCP客户端不需要预先配置共享密钥,借助CA即可实现DHCP服务器和DHCP客户端之间的认证,认证方式较简单。
实施例二
与实施例一相对应,本实施例提供一种基于DHCP的认证方法,在本实施例中,由DHCP服务器对DHCP客户端进行认证。
如图2所示,在DHCP客户端,所述方法包括:
201、DHCP客户端向DHCP服务器发送DHCP发现消息(DHCPDISCOVER),所述DHCP发现消息中包括CA的URL以及DHCP客户端的标识。
为了增加DHCP发现消息的安全性,还需对该DHCP发现消息采用DHCP客户端的私钥进行签名保护,以使得在DHCP服务器使用所述DHCP客户端的私钥对应的公钥对该签名进行验证,即实现对所述DHCP客户端的认证。
202、所述DHCP客户端接收所述DHCP服务器在对所述DHCP客户端进行认证通过后发送的DHCP提供消息(DHCPOFFER),所述DHCP提供消息中包括所述CA向所述DHCP服务器返回的授权信息。
203、所述DHCP客户端根据所述授权信息认证所述DHCP服务器。
可选的,所述授权信息为先后使用所述CA的私钥和DHCP客户端的公钥进行双重加密的随机参数;
在所述DHCP客户端接收所述DHCP服务器在对所述DHCP客户端进行认证通过后发送的DHCP提供消息之后,还包括:
所述DHCP客户端对所述双重加密的随机参数进行解密,获取随机参数;
所述DHCP客户端根据所述随机参数推演共享密钥,其中,所述共享密钥用于保护所述DHCP服务器和所述DHCP客户端之间通信的安全。
可选的,所述授权信息为先后使用所述CA的私钥和DHCP客户端的公钥进行双重加密的中间共享密钥和随机参数,其中,所述中间共享密钥由所述CA根据所述CA生成的共享密钥和共享密钥标识计算得到,所述共享密钥标识由所述CA根据所述随机参数和所述CA的公钥计算得到;
在所述DHCP客户端接收所述DHCP服务器在对所述DHCP客户端进行认证通过后发送的DHCP提供消息之后,还包括:
所述DHCP客户端对所述双重加密的中间共享密钥和随机参数进行解密,获取所述中间共享密钥和随机参数;
所述DHCP客户端根据所述随机参数以及所述CA的公钥计算产生所述共享密钥标识,根据所述共享密钥标识和所述中间共享密钥计算产生所述共享密钥,其中,所述共享密钥用于保护所述DHCP服务器和所述DHCP客户端之间通信的安全。
进一步的,所述DHCP客户端接收所述DHCP服务器在对所述DHCP客户端进行认证通过后发送的DHCP提供消息包括:
DHCP客户端接收所述DHCP服务器发送的、经过共享密钥保护的DHCP提供消息,其中,所述共享密钥为所述DHCP服务器根据所述CA返回的授权信息得到;
所述DHCP客户端根据所述授权信息认证所述DHCP服务器包括:
所述DHCP客户端使用所述共享密钥对所述经过保护的DHCP提供消息进行认证。
可选的,所述授权信息中包括先后使用所述CA的私钥和DHCP客户端的公钥进行双重加密的第一随机参数,所述DHCP提供消息中包括使用DHCP客户端的公钥进行单重加密的第二随机参数;
所述DHCP客户端根据所述授权信息认证所述DHCP服务器包括:
DHCP客户端对所述双重加密的第一随机参数进行解密,得到第一随机参数,对所述单重加密的第二随机参数进行解密,得到第二随机参数;
DHCP客户端将所述第一随机参数和第二随机参数进行比较,若两者相同,则认证通过。
在本实施例中,所述DHCP客户端可以为基站,但不仅限于此。
本发明实施例提供的基于DHCP的认证方法,DHCP客户端接收所述DHCP服务器在对所述DHCP客户端进行认证通过后发送的DHCP提供消息,所述DHCP提供消息中包括所述CA向所述DHCP服务器返回的授权信息,所述DHCP客户端根据所述授权信息认证所述DHCP服务器。与现有技术相比,DHCP服务器和DHCP客户端不需要预先配置共享密钥,借助CA即可实现DHCP服务器和DHCP客户端之间的认证,认证方式较简单。
实施例三
本实施例提供一种基于DHCP的认证方法,在本实施例中,由CA对DHCP客户端进行认证。
如图3所示,在DHCP服务器端,所述方法包括:
301、DHCP服务器接收DHCP客户端发送的DHCP发现消息(DHCPDISCOVER)。
为了增加DHCP发现消息的安全性,该DHCP发现消息还包括采用DHCP客户端的私钥进行的签名,以使得在CA接收到该DHCP发现消息后,使用所述DHCP客户端的私钥对应的公钥对该签名进行验证,即实现对所述DHCP客户端的认证。
302、DHCP服务器向CA发送授权请求,所述授权请求中包括所述DHCP发现消息。
其中,步骤302的目的是为了让CA代替DHCP服务器完成对DHCP客户端的认证。
303、所述DHCP服务器接收所述CA返回的授权信息,所述授权信息由所述CA根据所述授权请求对所述DHCP客户端进行认证通过后产生。上述对DHCP客户端的认证,即指CA使用DHCP客户端的私钥对应的公钥对该签名进行验证。
可选的,所述CA返回的授权信息为所述CA产生的随机参数;
则在所述DHCP服务器接收所述CA返回的授权信息之后,还包括:
所述DHCP服务器根据所述随机参数推演共享密钥,其中,所述共享密钥用于保护所述DHCP服务器和所述DHCP客户端之间通信的安全。
其中,所述随机参数为所述DHCP服务器通过与所述CA之间的安全隧道接收的;
或者,
所述随机参数经过了DHCP服务器的公钥加密;则相应的,在所述DHCP服务器根据所述随机参数推演共享密钥之前,还包括:
所述DHCP服务器使用所述DHCP服务器的私钥对所述加密的随机参数进行解密,获取所述随机参数。
可选的,所述CA返回的授权信息为所述CA根据随机参数生成的共享密钥或者所述CA直接产生的共享密钥;
则在所述DHCP服务器接收所述CA返回的授权信息之后,还包括:
所述DHCP服务器从所述授权信息中获取所述共享密钥,其中,所述共享密钥用于保护所述DHCP服务器和所述DHCP客户端之间通信的安全。
其中,所述共享密钥为所述DHCP服务器通过与所述CA之间的安全隧道接收的;
或者,
所述共享密钥经过了DHCP服务器的公钥加密;则相应的,所述DHCP服务器从所述授权信息中获取所述共享密钥包括:
所述DHCP服务器使用所述DHCP服务器的私钥对所述加密的共享密钥进行解密,获取所述共享密钥。
304、所述DHCP服务器向所述DHCP客户端发送DHCP提供消息(DHCPOFFER),所述DHCP提供消息中包括所述CA返回的授权信息,以使所述DHCP客户端根据所述授权信息认证所述DHCP服务器。
在本实施例中,所述DHCP客户端可以为基站,但不仅限于此。
本发明实施例提供的基于DHCP的认证方法,CA根据DHCP服务器发送的授权请求完成对DHCP客户端的认证,DHCP服务器将CA返回的授权信息通过DHCP提供消息发送给DHCP客户端,以使DHCP客户端根据所述授权信息认证所述DHCP服务器。与现有技术相比,DHCP服务器和DHCP客户端不需要预先配置共享密钥,借助CA即可实现DHCP服务器和DHCP客户端之间的认证,认证方式较简单。
实施例四
与实施例三相对应,本实施例提供一种基于DHCP的认证方法,在本实施例中,由CA对DHCP客户端进行认证。
如图4所示,在DHCP客户端,所述方法包括:
401、DHCP客户端向DHCP服务器发送DHCP发现消息(DHCPDISCOVER)。
为了增加DHCP发现消息的安全性,还需对该DHCP发现消息采用DHCP客户端的私钥进行签名保护,以使得在CA接收到该DHCP发现消息后,使用所述DHCP客户端的私钥对应的公钥对该DHCP发现消息进行验证,即实现对所述DHCP客户端的认证。
402、所述DHCP客户端接收所述DHCP服务器发送的DHCP提供消息(DHCPOFFER),所述DHCP提供消息中包括CA在对所述DHCP客户端进行认证通过后向所述DHCP服务器返回的授权信息。
其中,所述DHCP服务器接收到所述DHCP客户端发送的DHCP发现消息后,向CA发送授权请求,所述CA根据所述授权请求向所述DHCP服务器返回授权信息。
403、所述DHCP客户端根据所述授权信息认证所述DHCP服务器。
可选的,所述授权信息为先后使用所述CA的私钥和DHCP客户端的公钥进行双重加密的随机参数;
在所述DHCP客户端接收所述DHCP服务器发送的DHCP提供消息之后,还包括:
所述DHCP客户端对所述双重加密的随机参数进行解密,获取随机参数;
所述DHCP客户端根据所述随机参数推演共享密钥,其中,所述共享密钥用于保护所述DHCP服务器和所述DHCP客户端之间通信的安全。
可选的,所述授权信息为先后使用所述CA的私钥和DHCP客户端的公钥进行双重加密的中间共享密钥和随机参数,其中,所述中间共享密钥由所述CA根据所述CA生成的共享密钥和共享密钥标识计算得到,所述共享密钥标识由所述CA根据所述随机参数和所述CA的公钥计算得到;
在所述DHCP客户端接收所述DHCP服务器发送的DHCP提供消息之后,还包括:
所述DHCP客户端对所述双重加密的中间共享密钥和随机参数进行解密,获取所述中间共享密钥和随机参数;
所述DHCP客户端根据所述随机参数以及所述CA的公钥计算产生所述共享密钥标识,根据所述共享密钥标识和所述中间共享密钥计算产生所述共享密钥,其中,所述共享密钥用于保护所述DHCP服务器和所述DHCP客户端之间通信的安全。
进一步的,所述DHCP客户端接收所述DHCP服务器发送的DHCP提供消息包括:
DHCP客户端接收所述DHCP服务器发送的、经过共享密钥保护的DHCP提供消息,其中,所述共享密钥为所述DHCP服务器根据所述CA返回的授权信息得到;
所述DHCP客户端根据所述授权信息认证所述DHCP服务器包括:
所述DHCP客户端使用所述共享密钥对所述经过保护的DHCP提供消息进行认证。
可选的,所述授权信息中包括先后使用所述CA的私钥和DHCP客户端的公钥进行双重加密的第一随机参数,所述DHCP提供消息中包括使用DHCP客户端的公钥进行单重加密的第二随机参数;
则所述DHCP客户端根据所述授权信息认证所述DHCP服务器包括:
DHCP客户端对所述双重加密的第一随机参数进行解密,得到第一随机参数,对所述单重加密的第二随机参数进行解密,得到第二随机参数;
DHCP客户端将所述第一随机参数和第二随机参数进行比较,若两者相同,则认证通过。
在本实施例中,所述DHCP客户端可以为基站,但不仅限于此。
本发明实施例提供的基于DHCP的认证方法,CA在完成对DHCP客户端的认证后,向DHCP服务器返回授权信息,DHCP服务器将CA返回的授权信息通过DHCP提供消息发送给DHCP客户端,DHCP客户端根据所述授权信息认证所述DHCP服务器。与现有技术相比,DHCP服务器和DHCP客户端不需要预先配置共享密钥,借助CA即可实现DHCP服务器和DHCP客户端之间的认证,认证方式较简单。
实施例五
本实施例提供一种基于DHCP的认证方法,在本实施例中,DHCP客户端为基站,CA向DHCP服务器发送的授权信息包括经过单重加密的随机参数和经过双重加密的随机参数。
如图5所示,所述DHCP服务器与DHCP客户端之间基于DHCP的认证方法包括:
501、当DHCP服务器与CA进行认证通过后,基站向DHCP服务器发送DHCP发现消息(DHCPDISCOVER),所述DHCP发现消息中包括认证选项,该认证选项包括使用基站的私钥计算的数字签名以及可选的随机数等信息。
可选的,所述认证选项还可以包括URL选项,所述URL选项携带CA的地址;具体地,所述URL选项可以为选项98。
所述认证选项的结构如表1所示:
表1
所述选项98的格式如表2所示:
表2
502、DHCP服务器收到DHCP发现消息后,向CA发送授权请求,所述授权请求中包括所述DHCP发现消息,所述DHCP发现消息采用基站的私钥进行签名保护。
可选的,如果所述DHCP发现消息中包括URL选项,则DHCP服务器通过URL发现CA并获取基站证书,使用基站证书中基站的公钥完成对基站签名的验证,然后向CA发送授权请求。
503、CA接收到DHCP服务器的授权请求后,产生随机参数,使用DHCP服务器的公钥对该随机参数进行单重加密,并先后使用CA的私钥和基站的公钥对该随机参数进行双重加密。
其中,CA首先完成对DHCP服务器的认证(verification),然后CA使用基站的公钥进行签名验证(authentication),验证成功后,再将授权信息发送给DHCP服务器。
504、CA将经过单重加密的随机参数和经过双重加密的随机参数作为授权信息发送给DHCP服务器。
可选的,CA也可以通过与DHCP服务器之间的安全隧道将随机参数发送给DHCP服务器。
505、DHCP服务器接收到CA发送过来的授权信息后,使用DHCP服务器的私钥对经过单重加密的随机参数进行解密,获得随机参数;或直接通过安全隧道获取随机参数,然后,DHCP服务器使用该随机参数推演共享密钥以及共享密钥标识。具体的,DHCP服务器可以使用该随机参数和CA的公钥计算产生共享密钥以及共享密钥标识。
506、DHCP服务器向基站发送DHCP提供消息(DHCPOFFER),所述DHCP提供消息中包括了授权信息的认证选项。
其中,所述授权信息中包括经过双重加密的随机参数、共享密钥标识,所述认证选项中包括使用该共享密钥计算的数字签名。
507、基站接收到该DHCP提供消息后,首先使用基站的私钥和CA的公钥对经过双重加密的随机参数进行解密,获得随机参数,然后使用该随机参数和CA的公钥计算产生共享密钥,使用授权信息中的共享密钥标识对该共享密钥进行标识,并使用该共享密钥进行计算得到数字签名,将该数字签名与所述认证选项中的数字签名进行比较,若两者相同,则认证成功。
508、基站向DHCP服务器发送DHCP请求消息(DHCPREQUEST),使用所述共享密钥对该DHCP请求消息进行保护。
509、DHCP服务器使用共享密钥对DHCP请求消息进行验证,并向基站回复DHCP响应消息(DHCPACK),使用所述共享密钥对该DHCP响应消息进行保护。
510、基站使用所述共享密钥对该DHCP响应消息进行验证。
需要说明的是,CA只为合法的DHCP服务器分配随机参数,只有合法的DHCP服务器才可以获得随机参数;完成IP地址等信息的配置后,CA、DHCP服务器和基站释放该随机参数,DHCP服务器和基站中的共享密钥立即失效。
本发明实施例提供的基于DHCP的认证方法,DHCP服务器根据CA返回的随机参数,计算产生共享密钥,DHCP服务器将CA返回的双重加密的随机参数通过DHCP提供消息发送给基站,基站根据所述随机参数计算产生共享密钥。与现有技术相比,DHCP服务器和基站都是根据CA返回的信息获取共享密钥,不需要预先配置共享密钥,从而能够减少管理共享密钥的负担,避免安全隐患。
实施例六
本实施例提供一种基于DHCP的认证方法,在本实施例中,DHCP客户端为基站,CA向DHCP服务器发送的授权信息包括经过单重加密的共享密钥和共享密钥标识以及经过双重加密的随机参数。
如图6所示,所述DHCP服务器与DHCP客户端之间基于DHCP的认证方法包括:
601、当DHCP服务器与CA进行认证通过后,基站向DHCP服务器发送DHCP发现消息(DHCPDISCOVER),所述DHCP发现消息中包括认证选项,该认证选项包括使用基站的私钥计算的数字签名以及可选的随机数等信息。
可选的,所述认证选项还可以包括URL选项,所述URL选项携带证书服务器的地址(在此为CA)。
602、DHCP服务器收到DHCP发现消息后,向CA发送授权请求,所述授权请求中包括所述DHCP发现消息,所述DHCP发现消息采用基站的私钥进行签名保护。
可选的,如果所述DHCP发现消息中包括URL选项,则DHCP服务器通过URL发现CA并获取基站证书,使用基站证书中基站的公钥完成对基站签名的验证,然后向CA发送授权请求。
603、CA接收到DHCP服务器的授权请求后,产生随机参数,并根据该随机参数计算出共享密钥以及共享密钥标识,并使用DHCP服务器的公钥对该共享密钥和共享密钥标识进行单重加密,并先后使用CA的私钥和基站的公钥对该随机参数进行双重加密。
其中,CA首先完成对DHCP服务器的验证,然后CA使用基站的公钥进行签名验证,验证成功后,再将授权信息发送给DHCP服务器。
604、CA将经过单重加密的共享密钥和共享密钥标识以及经过双重加密的随机参数发送给DHCP服务器。
可选的,CA也可以通过与DHCP服务器之间的安全隧道将共享密钥和共享密钥标识发送给DHCP服务器。
605、DHCP服务器接收到CA发送过来的授权信息后,使用DHCP服务器的私钥对经过单重加密的共享密钥和共享密钥标识进行解密,获得共享密钥和共享密钥标识。
606、DHCP服务器向基站发送DHCP提供消息(DHCPOFFER),所述DHCP提供消息中包括了授权信息的认证选项。
其中,所述授权信息中包括经过双重加密的随机参数、共享密钥标识,所述认证选项中包括使用该共享密钥计算的数字签名。
607、基站接收到该DHCP提供消息后,首先使用基站的私钥和CA的公钥对经过双重加密的随机参数进行解密,获得随机参数,然后使用该随机参数和CA的公钥计算产生共享密钥,使用授权信息中的共享密钥标识对该共享密钥进行标识,并使用该共享密钥进行计算得到数字签名,将该数字签名与所述认证选项中的数字签名进行比较,若两者相同,则认证成功。
608、基站向DHCP服务器发送DHCP请求消息(DHCPREQUEST),使用所述共享密钥对该DHCP请求消息进行保护。
609、DHCP服务器使用共享密钥对DHCP请求消息进行验证,并向基站回复DHCP响应消息(DHCPACK),使用所述共享密钥对该DHCP响应消息进行保护。
610、基站使用所述共享密钥对该DHCP响应消息进行验证。
需要说明的是,CA只为合法的DHCP服务器分配随机参数,只有合法的DHCP服务器才可以获得随机参数;完成IP地址等信息的配置后,CA、DHCP服务器和基站释放该随机参数,DHCP服务器和基站中的共享密钥立即失效。
本发明实施例提供的基于DHCP的认证方法,DHCP服务器接收CA返回的共享密钥,DHCP服务器将CA返回的双重加密的随机参数通过DHCP提供消息发送给基站,基站根据所述随机参数计算产生共享密钥。与现有技术相比,DHCP服务器和基站都是根据CA返回的信息获取共享密钥,不需要预先配置共享密钥,从而能够减少管理共享密钥的负担,避免安全隐患。
实施例七
本实施例提供一种基于DHCP的认证方法,在本实施例中,DHCP客户端为基站,CA向DHCP服务器发送的授权信息包括经过单重加密的第一共享密钥以及经过双重加密的随机参数和第二共享密钥。
如图7所示,所述DHCP服务器与DHCP客户端之间基于DHCP的认证方法包括:
701、当DHCP服务器与CA进行认证通过后,基站向DHCP服务器发送DHCP发现消息(DHCPDISCOVER),所述DHCP发现消息中包括认证选项,该认证选项包括使用基站的私钥计算的数字签名以及可选的随机数等信息。
可选的,所述认证选项还可以包括URL选项,所述URL选项携带CA的地址。
702、DHCP服务器收到DHCP发现消息后,向CA发送授权请求,所述授权请求中包括所述DHCP发现消息,所述DHCP发现消息采用基站的私钥进行签名保护。
可选的,如果所述DHCP发现消息中包括URL选项,则DHCP服务器通过URL发现CA并获取基站证书,使用基站证书中基站的公钥完成对基站签名的验证,然后向CA发送授权请求。
703、CA接收到DHCP服务器的授权请求后,产生第一共享密钥和随机参数,利用该随机参数和CA的公钥计算产生共享密钥标识,然后对该第一共享密钥和共享密钥标识进行异或计算得到第二共享密钥,使用DHCP的公钥对该第一共享密钥和共享密钥标识进行单重加密,并先后使用CA的私钥和基站的公钥对该随机参数和第二共享密钥进行双重加密。
其中,CA首先完成对DHCP服务器的验证,然后CA使用基站的公钥进行签名验证,验证成功后,再将授权信息发送给DHCP服务器。
704、CA将经过单重加密的第一共享密钥和共享密钥标识以及经过双重加密的随机参数和第二共享密钥作为授权信息发送给DHCP服务器。
可选的,CA也可以通过与DHCP服务器之间的安全隧道将第一共享密钥和共享密钥标识发送给DHCP服务器。
705、DHCP服务器接收到CA发送过来的授权信息后,使用DHCP服务器的私钥对经过单重加密的第一共享密钥和共享密钥标识进行解密,获得第一共享密钥和共享密钥标识。
706、DHCP服务器向基站发送DHCP提供消息(DHCPOFFER),所述DHCP提供消息中包括了授权信息的认证选项。
其中,所述授权信息中包括经过双重加密的随机参数和第二共享密钥以及共享密钥标识,所述认证选项中包括使用该第一共享密钥计算的数字签名。
707、基站接收到该DHCP提供消息后,首先使用基站的私钥和CA的公钥对经过双重加密的随机参数和第二共享密钥进行解密,获得随机参数和第二共享密钥,利用该随机参数和CA的第一共享密钥计算产生共享密钥标识,然后对该第二共享密钥和共享密钥标识进行异或计算得到第一共享密钥,使用授权信息中的共享密钥标识对该第一共享密钥进行标识,并使用该第一共享密钥进行计算得到数字签名,将该数字签名与所述认证选项中的数字签名进行比较,若两者相同,则认证成功。
708、基站向DHCP服务器发送DHCP请求消息(DHCPREQUEST),使用所述第一共享密钥对该DHCP请求消息进行保护。
709、DHCP服务器使用第一共享密钥对DHCP请求消息进行验证,并向基站回复DHCP响应消息(DHCPACK),使用所述第一共享密钥对该DHCP响应消息进行保护。
710、基站使用所述共享密钥对该DHCP响应消息进行验证。
需要说明的是,CA只为合法的DHCP服务器分配随机参数,只有合法的DHCP服务器才可以获得随机参数;完成IP地址等信息的配置后,CA、DHCP服务器和基站释放该随机参数,DHCP服务器和基站中的共享密钥立即失效。
本发明实施例提供的基于DHCP的认证方法,DHCP服务器接收CA返回的第一共享密钥,DHCP服务器将CA返回的双重加密的第二共享密钥和随机参数通过DHCP提供消息发送给基站,基站根据所述第二共享密钥和随机参数计算产生第一共享密钥。与现有技术相比,DHCP服务器和基站都是根据CA返回的信息获取共享密钥,不需要预先配置共享密钥,从而能够减少管理共享密钥的负担,避免安全隐患。
实施例八
本实施例提供一种基于DHCP的认证方法,在本实施例中,DHCP客户端为基站,CA向DHCP服务器发送的授权信息包括经过单重加密的随机参数和经过双重加密的随机参数。
如图8所示,所述DHCP服务器与DHCP客户端之间基于DHCP的认证方法包括:
801、当DHCP服务器与CA进行认证通过后,基站向DHCP服务器发送DHCP发现消息(DHCPDISCOVER),所述DHCP发现消息中包括认证选项,该认证选项包括使用基站的私钥计算的数字签名以及可选的随机数等信息。
可选的,所述认证选项还可以包括URL选项,所述URL选项携带CA的地址。
802、DHCP服务器收到DHCP发现消息后,向CA发送授权请求,所述授权请求中包括所述DHCP发现消息,所述DHCP发现消息采用基站的私钥进行签名保护。
可选的,如果所述DHCP发现消息中包括URL选项,则DHCP服务器通过URL发现CA并获取基站证书,使用基站证书中基站的公钥完成对基站签名的验证,然后向CA发送授权请求。
803、CA接收到DHCP服务器的授权请求后,产生随机参数,使用DHCP服务器的公钥对该随机参数进行单重加密,并先后使用CA的私钥和基站的公钥对该随机参数进行双重加密。
其中,CA首先完成对DHCP服务器的验证,然后CA使用基站的公钥进行签名验证,验证成功后,再将授权信息发送给DHCP服务器。
804、CA将经过单重加密的随机参数和经过双重加密的随机参数作为授权信息发送给DHCP服务器。
可选的,CA也可以通过与DHCP服务器之间的安全隧道将随机参数发送给DHCP服务器。
805、DHCP服务器接收到CA发送过来的授权信息后,使用DHCP服务器的私钥对经过单重加密的随机参数进行解密,获得随机参数,使用基站的公钥对该随机参数进行加密;并对基站发送过来的DHCP发现消息中的随机数进行DH交换计算出共享密钥以及共享密钥标识。
806、DHCP服务器向基站发送DHCP提供消息(DHCPOFFER),所述DHCP提供消息中包括了授权信息的认证选项。
其中,所述授权信息中包括经过双重加密的随机参数、经过基站的公钥单重加密的随机参数和共享密钥标识,所述认证选项中包括使用该共享密钥计算的数字签名。
807、基站接收到该DHCP提供消息后,首先使用基站的私钥和CA的公钥对经过双重加密的随机参数进行双重解密,获得随机参数;并使用基站的私钥对经过单重加密的随机参数进行单重解密,获得随机参数;将双重解密获得的随机参数与单重解密获得的随机参数进行比较,若两者相同,则认证成功;基站对随机数进行DH交换计算出共享密钥,使用授权信息中的共享密钥标识对该共享密钥进行标识,并使用该共享密钥进行计算得到数字签名,将该数字签名与所述认证选项中的数字签名进行比较,若两者相同,则认证成功。
808、基站向DHCP服务器发送DHCP请求消息(DHCPREQUEST),使用所述共享密钥对该DHCP请求消息进行保护。
809、DHCP服务器使用共享密钥对DHCP请求消息进行验证,并向基站回复DHCP响应消息(DHCPACK),使用所述共享密钥对该DHCP响应消息进行保护。
810、基站使用所述共享密钥对该DHCP响应消息进行验证。
需要说明的是,CA只为合法的DHCP服务器分配随机参数,只有合法的DHCP服务器才可以获得随机参数;完成IP地址等信息的配置后,CA、DHCP服务器和基站释放该随机参数,DHCP服务器和基站中的共享密钥立即失效。
本发明实施例提供的基于DHCP的认证方法,DHCP服务器根据基站发送过来的随机数,计算产生共享密钥,DHCP服务器将CA返回的双重加密的随机参数以及自身进行单重加密的随机参数通过DHCP提供消息发送给基站,基站对双重解密和单重解密后得到的随机参数进行比较认证,并根据自身的随机数计算产生共享密钥。与现有技术相比,DHCP服务器和基站都是根据基站自身的随机数产生共享密钥,不需要预先配置共享密钥,从而能够减少管理共享密钥的负担,避免安全隐患。
实施例九
本实施例提供一种DHCP服务器,本实施例中的DHCP服务器可以实现本发明图1、图5至图8所示实施例的流程。
如图9a所示,所述DHCP服务器包括:
第一接收模块91,用于接收DHCP客户端发送的DHCP发现消息,所述DHCP发现消息中包括CA的URL以及DHCP客户端的标识;
第一发送模块92,用于根据所述CA的URL发现CA并向所述CA发送授权请求,所述授权请求中携带所述DHCP客户端的标识;
所述第一接收模块91,还用于接收所述CA返回的授权信息,所述授权信息中包括所述DHCP客户端的证书;
所述DHCP服务器还包括:
第一认证模块93,用于根据所述第一接收模块91接收的所述授权信息中的所述DHCP客户端的证书完成对所述DHCP客户端的认证;
所述第一发送模块92,还用于向所述DHCP客户端发送DHCP提供消息,所述DHCP提供消息中包括所述第一接收模块91接收的所述CA返回的授权信息,以使所述DHCP客户端根据所述授权信息认证所述DHCP服务器。
进一步的,所述第一接收模块91接收的DHCP发现消息还包括:采用DHCP客户端的私钥进行的签名;
所述第一认证模块93,具体用于采用所述第一接收模块91接收的所述授权信息中的所述DHCP客户端的证书中包括的所述DHCP客户端的公钥对所述签名进行验证。
可选的,所述第一接收模块91接收的所述CA返回的授权信息为所述CA产生的随机参数;
则如图9b所示,所述DHCP服务器还包括:
第一获取模块94,用于根据所述第一接收模块91接收的所述随机参数推演共享密钥,其中,所述共享密钥用于保护所述DHCP服务器和所述DHCP客户端之间通信的安全。
其中,所述随机参数为所述第一接收模块91通过与所述CA之间的安全隧道接收的;
或者,
所述随机参数经过了DHCP服务器的公钥加密;则相应的,如图9b所示,所述DHCP服务器还包括:
第一解密模块95,用于使用所述DHCP服务器的私钥对所述加密的随机参数进行解密,获取所述随机参数;则相应的,所述第一获取模块94具体用于:根据所述第一解密模块95获取的所述随机参数推演共享密钥。
可选的,所述第一接收模块91接收的CA返回的授权信息为所述CA根据随机参数生成的共享密钥或者所述CA直接产生的共享密钥;
如图9c所示,所述DHCP服务器还包括:
第二获取模块96,用于从所述第一接收模块91接收的所述授权信息中获取所述共享密钥,其中,所述共享密钥用于保护所述DHCP服务器和所述DHCP客户端之间通信的安全。
其中,所述共享密钥为所述DHCP服务器通过与所述CA之间的安全隧道接收的;
或者,
所述共享密钥经过了DHCP服务器的公钥加密;则相应的,如图9c所示,所述第二获取模块96具体用于:使用所述DHCP服务器的私钥对所述加密的共享密钥进行解密,获取所述共享密钥。
本发明实施例提供的DHCP服务器,DHCP服务器根据CA返回的授权信息完成对DHCP客户端的认证,DHCP服务器将CA返回的授权信息通过DHCP提供消息发送给DHCP客户端,DHCP客户端根据所述授权信息认证所述DHCP服务器。与现有技术相比,DHCP服务器和DHCP客户端不需要预先配置共享密钥,借助CA即可实现DHCP服务器和DHCP客户端之间的认证,认证方式较简单;DHCP客户端根据DHCP服务器转发的CA返回的信息获取共享密钥,不需要预先配置共享密钥,从而能够减少管理共享密钥的负担,避免安全隐患。
实施例十
与实施例九相对应,本实施例提供一种DHCP客户端,本实施例中的DHCP客户端可以实现本发明图2、图5至图8所示实施例的流程。
如图10a所示,所述DHCP客户端包括:
第三发送模块1001,用于向DHCP服务器发送DHCP发现消息,所述DHCP发现消息中包括CA的URL以及DHCP客户端的标识;
第三接收模块1002,用于接收所述DHCP服务器在对所述DHCP客户端进行认证通过后发送的DHCP提供消息,所述DHCP提供消息中包括所述CA向所述DHCP服务器返回的授权信息;
第二认证模块1003,用于根据所述第三接收模块1002接收的所述DHCP提供消息中的授权信息认证所述DHCP服务器。
进一步的,所述第三接收模块1002接收的所述DHCP发现消息还包括:采用DHCP客户端的私钥进行的签名;以使得所述DHCP服务器采用所述DHCP客户端的公钥对所述签名进行验证。
可选的,所述授权信息为先后使用所述CA的私钥和DHCP客户端的公钥进行双重加密的随机参数;
如图10b所示,所述DHCP客户端还包括:
第三解密模块1004,用于对所述双重加密的随机参数进行解密,获取随机参数;
第五获取模块1005,用于根据所述第三解密模块1004获取的随机参数推演共享密钥,其中,所述共享密钥用于保护所述DHCP服务器和所述DHCP客户端之间通信的安全。
可选的,所述授权信息为先后使用所述CA的私钥和DHCP客户端的公钥进行双重加密的中间共享密钥和随机参数,其中,所述中间共享密钥由所述CA根据所述CA生成的共享密钥和共享密钥标识计算得到,所述共享密钥标识由所述CA根据所述随机参数和所述CA的公钥计算得到;
如图10c所示,所述DHCP客户端还包括:
第四解密模块1006,用于对所述双重加密的中间共享密钥和随机参数进行解密,获取所述中间共享密钥和随机参数;
第六获取模块1007,用于根据所述第四解密模块1006获取的随机参数以及所述CA的公钥计算产生所述共享密钥标识,根据所述共享密钥标识和所述第四解密模块1006获取的中间共享密钥计算产生所述共享密钥,其中,所述共享密钥用于保护所述DHCP服务器和所述DHCP客户端之间通信的安全。
进一步的,所述第三接收模块1002,具体用于接收所述DHCP服务器发送的、经过共享密钥保护的DHCP提供消息,其中,所述共享密钥为所述DHCP服务器根据所述CA返回的授权信息得到;
所述第二认证模块1003,具体用于使用所述共享密钥对所述第三接收模块1002接收的经过保护的所述DHCP提供消息进行认证。
可选的,所述授权信息中包括先后使用CA的私钥和DHCP客户端的公钥进行双重加密的第一随机参数,所述DHCP提供消息中包括使用DHCP客户端的公钥进行单重加密的第二随机参数;
所述第二认证模块1003,具体用于对所述双重加密的第一随机参数进行解密,得到第一随机参数,对所述单重加密的第二随机参数进行解密,得到第二随机参数,将所述第一随机参数和第二随机参数进行比较,若两者相同,则认证通过。
本发明实施例提供的DHCP客户端,DHCP客户端接收所述DHCP服务器在对所述DHCP客户端进行认证通过后发送的DHCP提供消息,所述DHCP提供消息中包括所述CA向所述DHCP服务器返回的授权信息,所述DHCP客户端根据所述授权信息认证所述DHCP服务器。与现有技术相比,DHCP服务器和DHCP客户端不需要预先配置共享密钥,借助CA即可实现DHCP服务器和DHCP客户端之间的认证,认证方式较简单;DHCP客户端根据DHCP服务器转发的CA返回的信息获取共享密钥,不需要预先配置共享密钥,从而能够减少管理共享密钥的负担,避免安全隐患。
实施例十一
本实施例提供一种DHCP服务器,本实施例中的DHCP服务器可以实现本发明图3、图5至图8所示实施例的流程。
如图11a所示,所述DHCP服务器包括:
第二接收模块1101,用于接收DHCP客户端发送的DHCP发现消息;
第二发送模块1102,用于根据所述第一接收模块91接收的DHCP发现消息向CA发送授权请求,所述授权请求中包括所述DHCP发现消息;
所述第二接收模块1101,还用于接收所述CA返回的授权信息,所述授权信息由所述CA根据所述授权请求对所述DHCP客户端进行认证通过后产生;
所述第二发送模块1102,还用于向所述DHCP客户端发送DHCP提供消息,所述DHCP提供消息中包括所述第二接收模块1101接收的所述CA返回的授权信息,以使所述DHCP客户端根据所述授权信息认证所述DHCP服务器。
进一步的,为了增加DHCP发现消息的安全性,所述第二接收模块1101接收的DHCP发现消息还包括:采用DHCP客户端的私钥进行的签名;
则所述第二接收模块1101接收的授权信息由所述CA根据所述授权请求对所述DHCP客户端进行认证通过后产生。
可选的,所述第二接收模块1101接收的所述CA返回的授权信息为所述CA产生的随机参数;
如图11b所示,所述DHCP服务器还包括:
第三获取模块1103,用于根据所述第二接收模块1101接收的所述随机参数推演共享密钥,其中,所述共享密钥用于保护所述DHCP服务器和所述DHCP客户端之间通信的安全。
其中,所述随机参数为所述第二接收模块1101通过与所述CA之间的安全隧道接收的;
或者,
所述随机参数经过了DHCP服务器的公钥加密;则相应的,如图11b所示,所述DHCP服务器还包括:
第二解密模块1104,用于使用所述DHCP服务器的私钥对所述加密的随机参数进行解密,获取所述随机参数;则相应的,所述第三获取模块1103具体用于:根据所述第二解密模块1104获取的所述随机参数推演共享密钥。
可选的,所述第二接收模块1101接收的CA返回的授权信息为所述CA根据随机参数生成的共享密钥或者所述CA直接产生的共享密钥;
如图11c所示,所述DHCP服务器还包括:
第四获取模块1105,用于从所述第二接收模块1101接收的所述授权信息中获取所述共享密钥,其中,所述共享密钥用于保护所述DHCP服务器和所述DHCP客户端之间通信的安全。
其中,所述共享密钥为所述第二接收模块1101通过与所述CA之间的安全隧道接收的;
或者,
所述共享密钥经过了DHCP服务器的公钥加密;则相应的,所述第四获取模块1105具体用于:使用所述DHCP服务器的私钥对所述加密的共享密钥进行解密,获取所述共享密钥。
在本实施例中,所述DHCP客户端可以为基站,但不仅限于此。
本发明实施例提供的DHCP服务器,CA根据DHCP服务器发送的授权请求完成对DHCP客户端的认证,DHCP服务器将CA返回的授权信息通过DHCP提供消息发送给DHCP客户端,以使DHCP客户端根据所述授权信息认证所述DHCP服务器。与现有技术相比,DHCP服务器和DHCP客户端不需要预先配置共享密钥,借助CA即可实现DHCP服务器和DHCP客户端之间的认证,认证方式较简单;DHCP服务器和DHCP客户端都是根据CA返回的信息获取共享密钥,不需要预先配置共享密钥,从而能够减少管理共享密钥的负担,避免安全隐患。
实施例十二
与实施例十一相对应,本实施例提供一种DHCP客户端,本实施例中的DHCP客户端可以实现本发明图4、图5至图8所示实施例的流程。
如图12a所示,所述DHCP客户端包括:
第四发送模块1201,用于向DHCP服务器发送DHCP发现消息;
第四接收模块1202,用于接收所述DHCP服务器发送的DHCP提供消息,所述DHCP提供消息中包括CA在对所述DHCP客户端进行认证通过后向所述DHCP服务器返回的授权信息;
第三认证模块1203,用于根据所述第四接收模块1202接收的所述DHCP提供消息中的授权信息认证所述DHCP服务器。
进一步的,所述第四接收模块1202接收的所述DHCP发现消息还包括:采用DHCP客户端的私钥进行的签名;以使得所述CA采用所述DHCP客户端的公钥对所述签名进行验证。
可选的,所述授权信息为先后使用所述CA的私钥和DHCP客户端的公钥进行双重加密的随机参数;
则如图12b所示,所述DHCP客户端还包括:
第五解密模块1204,用于对所述双重加密的随机参数进行解密,获取随机参数;
第七获取模块1205,用于根据所述第五解密模块1204获取的随机参数推演共享密钥,其中,所述共享密钥用于保护所述DHCP服务器和所述DHCP客户端之间通信的安全。
可选的,所述授权信息为先后使用所述CA的私钥和DHCP客户端的公钥进行双重加密的中间共享密钥和随机参数,其中,所述中间共享密钥由所述CA根据所述CA生成的共享密钥和共享密钥标识计算得到,所述共享密钥标识由所述CA根据所述随机参数和所述CA的公钥计算得到;
则如图12c所示,所述DHCP客户端还包括:
第六解密模块1206,用于对所述双重加密的中间共享密钥和随机参数进行解密,获取所述中间共享密钥和随机参数;
第八获取模块1207,用于根据所述第六解密模块1206获取的随机参数以及所述CA的公钥计算产生所述共享密钥标识,根据所述共享密钥标识和所述第六解密模块1206获取的中间共享密钥计算产生所述共享密钥,其中,所述共享密钥用于保护所述DHCP服务器和所述DHCP客户端之间通信的安全。
进一步的,所述第四接收模块1202,具体用于接收所述DHCP服务器发送的、经过共享密钥保护的DHCP提供消息,其中,所述共享密钥为所述DHCP服务器根据所述CA返回的授权信息得到;
所述第三认证模块1203,具体用于使用所述共享密钥对所述第四接收模块1202接收的经过保护的所述DHCP提供消息进行认证。
可选的,所述授权信息中包括先后使用CA的私钥和DHCP客户端的公钥进行双重加密的第一随机参数,所述DHCP提供消息中包括使用DHCP客户端的公钥进行单重加密的第二随机参数;
则所述第三认证模块1203,具体用于对所述双重加密的第一随机参数进行解密,得到第一随机参数,对所述单重加密的第二随机参数进行解密,得到第二随机参数,将所述第一随机参数和第二随机参数进行比较,若两者相同,则认证通过。
在本实施例中,所述DHCP客户端可以为基站,但不仅限于此。
本发明实施例提供的DHCP客户端,CA在完成对DHCP客户端的认证后,向DHCP服务器返回授权信息,DHCP服务器将CA返回的授权信息通过DHCP提供消息发送给DHCP客户端,DHCP客户端根据所述授权信息认证所述DHCP服务器。与现有技术相比,DHCP服务器和DHCP客户端不需要预先配置共享密钥,借助CA即可实现DHCP服务器和DHCP客户端之间的认证,认证方式较简单;DHCP客户端根据DHCP服务器转发的CA返回的信息获取共享密钥,不需要预先配置共享密钥,从而能够减少管理共享密钥的负担,避免安全隐患。
实施例十三
本实施例提供一种认证中心,本实施例中的认证中心可以实现本发明图1至图8所示实施例的流程。
如图13所示,所述认证中心包括:
第五接收模块1301,用于接收DHCP服务器发送的授权请求;
产生模块1302,用于根据所述授权请求产生授权信息;
第五发送模块1303,用于将所述授权信息发送给所述DHCP服务器。
可选的,所述产生模块1302,具体用于根据所述授权请求对所述DHCP客户端进行认证通过后产生授权信息,所述第五发送模块1303将所述授权信息发送给所述DHCP服务器后,所述DHCP服务器将所述授权信息发送给DHCP客户端,以使所述DHCP客户端根据所述授权信息对所述DHCP服务器进行认证。
可选的,所述产生模块1302根据所述授权请求产生授权信息后,所述第五发送模块1303将所述授权信息发送给所述DHCP服务器,所述DHCP根据所述授权信息对所述DHCP客户端进行认证后,将所述授权信息发送给DHCP客户端,以使所述DHCP客户端根据所述授权信息对所述DHCP服务器进行认证。
本发明实施例提供的认证中心,接收DHCP服务器发送的授权请求,根据所述授权请求产生授权信息,将所述授权信息发送给所述DHCP服务器,由所述DHCP服务器将所述授权信息发送给DHCP客户端,以使所述DHCP客户端根据所述授权信息认证所述DHCP服务器。与现有技术相比,CA能够根据DHCP服务器发送的授权请求产生授权信息,DHCP客户端根据DHCP服务器转发的CA返回的授权信息即可实现对DHCP服务器的认证,认证方式较简单。
本发明实施例提供的DHCP服务器和DHCP客户端、认证中心可以实现上述提供的方法实施例,具体功能实现请参见方法实施例中的说明,在此不再赘述。本发明实施例提供的基于DHCP的认证方法、DHCP服务器及客户端、认证中心可以适用于进行基于DHCP的认证,但不仅限于此。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random Access Memory,RAM)等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (48)
1.一种基于DHCP的认证方法,其特征在于,包括:
DHCP服务器接收DHCP客户端发送的DHCP发现消息,所述DHCP发现消息中包括认证中心CA的统一资源定位符URL以及DHCP客户端的标识;
所述DHCP服务器根据所述CA的URL发现CA并向所述CA发送授权请求,所述授权请求中携带所述DHCP客户端的标识;
所述DHCP服务器接收所述CA返回的授权信息,所述授权信息中包括所述DHCP客户端的证书;
所述DHCP服务器根据所述DHCP客户端的证书完成对所述DHCP客户端的认证;
所述DHCP服务器向所述DHCP客户端发送DHCP提供消息,所述DHCP提供消息中包括所述CA返回的授权信息,以使所述DHCP客户端根据所述授权信息认证所述DHCP服务器。
2.根据权利要求1所述的方法,其特征在于,所述DHCP发现消息还包括:采用DHCP客户端的私钥进行的签名;
所述DHCP服务器根据所述DHCP客户端的证书完成对所述DHCP客户端的认证包括:
所述DHCP服务器采用所述证书中包括的所述DHCP客户端的公钥对所述签名进行验证。
3.根据权利要求1所述的方法,其特征在于,所述CA返回的授权信息中包括所述CA产生的随机参数;
在所述DHCP服务器接收所述CA返回的授权信息之后,还包括:
所述DHCP服务器根据所述随机参数推演共享密钥,其中,所述共享密钥用于保护所述DHCP服务器和所述DHCP客户端之间通信的安全。
4.根据权利要求3所述的方法,其特征在于,
所述随机参数为所述DHCP服务器通过与所述CA之间的安全隧道接收的;
或者,
所述随机参数经过了DHCP服务器的公钥加密;则相应的,在所述DHCP服务器根据所述随机参数推演共享密钥之前,还包括:
所述DHCP服务器使用所述DHCP服务器的私钥对所述加密的随机参数进行解密,获取所述随机参数。
5.根据权利要求1所述的方法,其特征在于,所述CA返回的授权信息中包括所述CA根据随机参数生成的共享密钥或者所述CA直接产生的共享密钥;
在所述DHCP服务器接收所述CA返回的授权信息之后,还包括:
所述DHCP服务器从所述授权信息中获取所述共享密钥,其中,所述共享密钥用于保护所述DHCP服务器和所述DHCP客户端之间通信的安全。
6.根据权利要求5所述的方法,其特征在于,
所述共享密钥为所述DHCP服务器通过与所述CA之间的安全隧道接收的;
或者,
所述共享密钥经过了DHCP服务器的公钥加密;则相应的,所述DHCP服务器从所述授权信息中获取所述共享密钥包括:
所述DHCP服务器使用所述DHCP服务器的私钥对所述加密的共享密钥进行解密,获取所述共享密钥。
7.一种基于动态主机配置协议DHCP的认证方法,其特征在于,包括:
DHCP服务器接收DHCP客户端发送的DHCP发现消息;
所述DHCP服务器向认证中心CA发送授权请求,所述授权请求中包括所述DHCP发现消息;
所述DHCP服务器接收所述CA返回的授权信息,所述授权信息由所述CA根据所述授权请求对所述DHCP客户端进行认证通过后产生;
所述DHCP服务器向所述DHCP客户端发送DHCP提供消息,所述DHCP提供消息中包括所述CA返回的授权信息,以使所述DHCP客户端根据所述授权信息认证所述DHCP服务器。
8.根据权利要求7所述的方法,其特征在于,所述DHCP发现消息还包括:采用DHCP客户端的私钥进行的签名;
所述CA根据所述授权请求对所述DHCP客户端进行认证包括:
所述CA采用所述DHCP客户端的公钥对所述签名进行验证。
9.根据权利要求7所述的方法,其特征在于,所述CA返回的授权信息为所述CA产生的随机参数;
在所述DHCP服务器接收所述CA返回的授权信息之后,还包括:
所述DHCP服务器根据所述随机参数推演共享密钥,其中,所述共享密钥用于保护所述DHCP服务器和所述DHCP客户端之间通信的安全。
10.根据权利要求9所述的方法,其特征在于,
所述随机参数为所述DHCP服务器通过与所述CA之间的安全隧道接收的;
或者,
所述随机参数经过了DHCP服务器的公钥加密;则相应的,在所述DHCP服务器根据所述随机参数推演共享密钥之前,还包括:
所述DHCP服务器使用所述DHCP服务器的私钥对所述加密的随机参数进行解密,获取所述随机参数。
11.根据权利要求7所述的方法,其特征在于,所述CA返回的授权信息为所述CA根据随机参数生成的共享密钥或者所述CA直接产生的共享密钥;
在所述DHCP服务器接收所述CA返回的授权信息之后,还包括:
所述DHCP服务器从所述授权信息中获取所述共享密钥,其中,所述共享密钥用于保护所述DHCP服务器和所述DHCP客户端之间通信的安全。
12.根据权利要求11所述的方法,其特征在于,
所述共享密钥为所述DHCP服务器通过与所述CA之间的安全隧道接收的;
或者,
所述共享密钥经过了DHCP服务器的公钥加密;则相应的,所述DHCP服务器从所述授权信息中获取所述共享密钥包括:
所述DHCP服务器使用所述DHCP服务器的私钥对所述加密的共享密钥进行解密,获取所述共享密钥。
13.一种基于DHCP的认证方法,其特征在于,包括:
DHCP客户端向DHCP服务器发送DHCP发现消息,所述DHCP发现消息中包括认证中心CA的URL以及DHCP客户端的标识;
所述DHCP客户端接收所述DHCP服务器在对所述DHCP客户端进行认证通过后发送的DHCP提供消息,所述DHCP提供消息中包括所述CA向所述DHCP服务器返回的授权信息;
所述DHCP客户端根据所述授权信息认证所述DHCP服务器。
14.根据权利要求13所述的方法,其特征在于,所述DHCP发现消息还包括:采用DHCP客户端的私钥进行的签名;以使得所述DHCP服务器采用所述DHCP客户端的公钥对所述签名进行验证。
15.根据权利要求13所述的方法,其特征在于,所述授权信息为先后使用所述CA的私钥和DHCP客户端的公钥进行双重加密的随机参数;
在所述DHCP客户端接收所述DHCP服务器在对所述DHCP客户端进行认证通过后发送的DHCP提供消息之后,还包括:
所述DHCP客户端对所述双重加密的随机参数进行解密,获取随机参数;
所述DHCP客户端根据所述随机参数推演共享密钥,其中,所述共享密钥用于保护所述DHCP服务器和所述DHCP客户端之间通信的安全。
16.根据权利要求13所述的方法,其特征在于,所述授权信息为先后使用所述CA的私钥和DHCP客户端的公钥进行双重加密的中间共享密钥和随机参数,其中,所述中间共享密钥由所述CA根据所述CA生成的共享密钥和共享密钥标识计算得到,所述共享密钥标识由所述CA根据所述随机参数和所述CA的公钥计算得到;
在所述DHCP客户端接收所述DHCP服务器在对所述DHCP客户端进行认证通过后发送的DHCP提供消息之后,还包括:
所述DHCP客户端对所述双重加密的中间共享密钥和随机参数进行解密,获取所述中间共享密钥和随机参数;
所述DHCP客户端根据所述随机参数以及所述CA的公钥计算产生所述共享密钥标识,根据所述共享密钥标识和所述中间共享密钥计算产生所述共享密钥,其中,所述共享密钥用于保护所述DHCP服务器和所述DHCP客户端之间通信的安全。
17.根据权利要求15或16所述的方法,其特征在于,所述DHCP客户端接收所述DHCP服务器在对所述DHCP客户端进行认证通过后发送的DHCP提供消息包括:
DHCP客户端接收所述DHCP服务器发送的、经过共享密钥保护的DHCP提供消息,其中,所述共享密钥为所述DHCP服务器根据所述CA返回的授权信息得到;
所述DHCP客户端根据所述授权信息认证所述DHCP服务器包括:
所述DHCP客户端使用所述共享密钥对所述经过保护的DHCP提供消息进行认证。
18.根据权利要求13所述的方法,其特征在于,所述授权信息中包括先后使用所述CA的私钥和DHCP客户端的公钥进行双重加密的第一随机参数,所述DHCP提供消息中包括使用DHCP客户端的公钥进行单重加密的第二随机参数;
所述DHCP客户端根据所述授权信息认证所述DHCP服务器包括:
DHCP客户端对所述双重加密的第一随机参数进行解密,得到第一随机参数,对所述单重加密的第二随机参数进行解密,得到第二随机参数;
DHCP客户端将所述第一随机参数和第二随机参数进行比较,若两者相同,则认证通过。
19.一种基于DHCP的认证方法,其特征在于,包括:
DHCP客户端向DHCP服务器发送DHCP发现消息;
所述DHCP客户端接收所述DHCP服务器发送的DHCP提供消息,所述DHCP提供消息中包括认证中心CA在对所述DHCP客户端进行认证通过后向所述DHCP服务器返回的授权信息;
所述DHCP客户端根据所述授权信息认证所述DHCP服务器。
20.根据权利要求19所述的方法,其特征在于,所述DHCP发现消息还包括:采用DHCP客户端的私钥进行的签名;以使得所述CA采用所述DHCP客户端的公钥对所述签名进行验证。
21.根据权利要求19所述的方法,其特征在于,所述授权信息为先后使用所述CA的私钥和DHCP客户端的公钥进行双重加密的随机参数;
在所述DHCP客户端接收所述DHCP服务器发送的DHCP提供消息之后,还包括:
所述DHCP客户端对所述双重加密的随机参数进行解密,获取随机参数;
所述DHCP客户端根据所述随机参数推演共享密钥,其中,所述共享密钥用于保护所述DHCP服务器和所述DHCP客户端之间通信的安全。
22.根据权利要求19所述的方法,其特征在于,所述授权信息为先后使用所述CA的私钥和DHCP客户端的公钥进行双重加密的中间共享密钥和随机参数,其中,所述中间共享密钥由所述CA根据所述CA生成的共享密钥和共享密钥标识计算得到,所述共享密钥标识由所述CA根据所述随机参数和所述CA的公钥计算得到;
在所述DHCP客户端接收所述DHCP服务器发送的DHCP提供消息之后,还包括:
所述DHCP客户端对所述双重加密的中间共享密钥和随机参数进行解密,获取所述中间共享密钥和随机参数;
所述DHCP客户端根据所述随机参数以及所述CA的公钥计算产生所述共享密钥标识,根据所述共享密钥标识和所述中间共享密钥计算产生所述共享密钥,其中,所述共享密钥用于保护所述DHCP服务器和所述DHCP客户端之间通信的安全。
23.根据权利要求21或22所述的方法,其特征在于,所述DHCP客户端接收所述DHCP服务器发送的DHCP提供消息包括:
DHCP客户端接收所述DHCP服务器发送的、经过共享密钥保护的DHCP提供消息,其中,所述共享密钥为所述DHCP服务器根据所述CA返回的授权信息得到;
所述DHCP客户端根据所述授权信息认证所述DHCP服务器包括:
所述DHCP客户端使用所述共享密钥对所述经过保护的DHCP提供消息进行认证。
24.根据权利要求19所述的方法,其特征在于,所述授权信息中包括先后使用所述CA的私钥和DHCP客户端的公钥进行双重加密的第一随机参数,所述DHCP提供消息中包括使用DHCP客户端的公钥进行单重加密的第二随机参数;
所述DHCP客户端根据所述授权信息认证所述DHCP服务器包括:
DHCP客户端对所述双重加密的第一随机参数进行解密,得到第一随机参数,对所述单重加密的第二随机参数进行解密,得到第二随机参数;
DHCP客户端将所述第一随机参数和第二随机参数进行比较,若两者相同,则认证通过。
25.一种DHCP服务器,其特征在于,包括:
第一接收模块,用于接收DHCP客户端发送的DHCP发现消息,所述DHCP发现消息中包括认证中心CA的URL以及DHCP客户端的标识;
第一发送模块,用于根据所述CA的URL发现CA并向所述CA发送授权请求,所述授权请求中携带所述DHCP客户端的标识;
所述第一接收模块,还用于接收所述CA返回的授权信息,所述授权信息中包括所述DHCP客户端的证书;
所述DHCP服务器还包括:
第一认证模块,用于根据所述第一接收模块接收的所述授权信息中的所述DHCP客户端的证书完成对所述DHCP客户端的认证;
所述第一发送模块,还用于向所述DHCP客户端发送DHCP提供消息,所述DHCP提供消息中包括所述第一接收模块接收的所述CA返回的授权信息,以使所述DHCP客户端根据所述授权信息认证所述DHCP服务器。
26.根据权利要求25所述的DHCP服务器,其特征在于,所述第一接收模块接收的DHCP发现消息还包括:采用DHCP客户端的私钥进行的签名;
所述第一认证模块,具体用于采用所述第一接收模块接收的所述授权信息中的所述DHCP客户端的证书中包括的所述DHCP客户端的公钥对所述签名进行验证。
27.根据权利要求25所述的DHCP服务器,其特征在于,所述第一接收模块接收的所述CA返回的授权信息为所述CA产生的随机参数;
所述DHCP服务器还包括:
第一获取模块,用于根据所述第一接收模块接收的所述随机参数推演共享密钥,其中,所述共享密钥用于保护所述DHCP服务器和所述DHCP客户端之间通信的安全。
28.根据权利要求27所述的DHCP服务器,其特征在于,所述随机参数为所述第一接收模块通过与所述CA之间的安全隧道接收的;
或者,
所述随机参数经过了DHCP服务器的公钥加密;则相应的,所述DHCP服务器还包括:
第一解密模块,用于使用所述DHCP服务器的私钥对所述加密的随机参数进行解密,获取所述随机参数;则相应的,所述第一获取模块具体用于:根据所述第一解密模块获取的所述随机参数推演共享密钥。
29.根据权利要求25所述的DHCP服务器,其特征在于,所述第一接收模块接收的CA返回的授权信息为所述CA根据随机参数生成的共享密钥或者所述CA直接产生的共享密钥;
所述DHCP服务器还包括:
第二获取模块,用于从所述第一接收模块接收的所述授权信息中获取所述共享密钥,其中,所述共享密钥用于保护所述DHCP服务器和所述DHCP客户端之间通信的安全。
30.根据权利要求29所述的DHCP服务器,其特征在于,所述共享密钥为所述第一接收模块通过与所述CA之间的安全隧道接收的;
或者,
所述共享密钥经过了DHCP服务器的公钥加密;则相应的,所述第二获取模块具体用于:使用所述DHCP服务器的私钥对所述加密的共享密钥进行解密,获取所述共享密钥。
31.一种DHCP服务器,其特征在于,包括:
第二接收模块,用于接收DHCP客户端发送的DHCP发现消息;
第二发送模块,用于根据所述第二接收模块接收的DHCP发现消息向认证中心CA发送授权请求,所述授权请求中包括所述DHCP发现消息;
所述第二接收模块,还用于接收所述CA返回的授权信息,所述授权信息由所述CA根据所述授权请求对所述DHCP客户端进行认证通过后产生;
所述第二发送模块,还用于向所述DHCP客户端发送DHCP提供消息,所述DHCP提供消息中包括所述第二接收模块接收的所述CA返回的授权信息,以使所述DHCP客户端根据所述授权信息认证所述DHCP服务器。
32.根据权利要求31所述的DHCP服务器,其特征在于,所述第二接收模块接收的DHCP发现消息还包括:采用DHCP客户端的私钥进行的签名;
则所述第二接收模块接收的授权信息由所述CA根据所述授权请求对所述DHCP客户端进行认证通过后产生。
33.根据权利要求31所述的DHCP服务器,其特征在于,所述第二接收模块接收的所述CA返回的授权信息为所述CA产生的随机参数;
所述DHCP服务器还包括:
第三获取模块,用于根据所述第二接收模块接收的所述随机参数推演共享密钥,其中,所述共享密钥用于保护所述DHCP服务器和所述DHCP客户端之间通信的安全。
34.根据权利要求33所述的DHCP服务器,其特征在于,所述随机参数为所述第二接收模块通过与所述CA之间的安全隧道接收的;
或者,
所述随机参数经过了DHCP服务器的公钥加密;则相应的,所述DHCP服务器还包括:
第二解密模块,用于使用所述DHCP服务器的私钥对所述加密的随机参数进行解密,获取所述随机参数;则相应的,所述第三获取模块具体用于:根据所述第二解密模块获取的所述随机参数推演共享密钥。
35.根据权利要求31所述的DHCP服务器,其特征在于,所述第二接收模块接收的CA返回的授权信息为所述CA根据随机参数生成的共享密钥或者所述CA直接产生的共享密钥;
所述DHCP服务器还包括:
第四获取模块,用于从所述第二接收模块接收的所述授权信息中获取所述共享密钥,其中,所述共享密钥用于保护所述DHCP服务器和所述DHCP客户端之间通信的安全。
36.根据权利要求35所述的DHCP服务器,其特征在于,所述共享密钥为所述第二接收模块通过与所述CA之间的安全隧道接收的;
或者,
所述共享密钥经过了DHCP服务器的公钥加密;则相应的,所述第四获取模块具体用于:使用所述DHCP服务器的私钥对所述加密的共享密钥进行解密,获取所述共享密钥。
37.一种DHCP客户端,其特征在于,包括:
第三发送模块,用于向DHCP服务器发送DHCP发现消息,所述DHCP发现消息中包括认证中心CA的URL以及DHCP客户端的标识;
第三接收模块,用于接收所述DHCP服务器在对所述DHCP客户端进行认证通过后发送的DHCP提供消息,所述DHCP提供消息中包括所述CA向所述DHCP服务器返回的授权信息;
第二认证模块,用于根据所述第三接收模块接收的所述DHCP提供消息中的授权信息认证所述DHCP服务器。
38.根据权利要求37所述的DHCP客户端,其特征在于,所述第三发送模块发送的所述DHCP发现消息还包括:采用DHCP客户端的私钥进行的签名;以使得所述DHCP服务器采用所述DHCP客户端的公钥对所述签名进行验证。
39.根据权利要求37所述的DHCP客户端,其特征在于,所述授权信息为先后使用所述CA的私钥和DHCP客户端的公钥进行双重加密的随机参数;
所述DHCP客户端还包括:
第三解密模块,用于对所述双重加密的随机参数进行解密,获取随机参数;
第五获取模块,用于根据所述第三解密模块获取的随机参数推演共享密钥,其中,所述共享密钥用于保护所述DHCP服务器和所述DHCP客户端之间通信的安全。
40.根据权利要求37所述的DHCP客户端,其特征在于,所述授权信息为先后使用所述CA的私钥和DHCP客户端的公钥进行双重加密的中间共享密钥和随机参数,其中,所述中间共享密钥由所述CA根据所述CA生成的共享密钥和共享密钥标识计算得到,所述共享密钥标识由所述CA根据所述随机参数和所述CA的公钥计算得到;
所述DHCP客户端还包括:
第四解密模块,用于对所述双重加密的中间共享密钥和随机参数进行解密,获取所述中间共享密钥和随机参数;
第六获取模块,用于根据所述第四解密模块获取的随机参数以及所述CA的公钥计算产生所述共享密钥标识,根据所述共享密钥标识和所述第四解密模块获取的中间共享密钥计算产生所述共享密钥,其中,所述共享密钥用于保护所述DHCP服务器和所述DHCP客户端之间通信的安全。
41.根据权利要求39或40所述的DHCP客户端,其特征在于,所述第三接收模块,具体用于接收所述DHCP服务器发送的、经过共享密钥保护的DHCP提供消息,其中,所述共享密钥为所述DHCP服务器根据所述CA返回的授权信息得到;
所述第二认证模块,具体用于使用所述共享密钥对所述第三接收模块接收的经过保护的所述DHCP提供消息进行认证。
42.根据权利要求37所述的DHCP客户端,其特征在于,所述授权信息中包括先后使用CA的私钥和DHCP客户端的公钥进行双重加密的第一随机参数,所述DHCP提供消息中包括使用DHCP客户端的公钥进行单重加密的第二随机参数;
所述第二认证模块,具体用于对所述双重加密的第一随机参数进行解密,得到第一随机参数,对所述单重加密的第二随机参数进行解密,得到第二随机参数,将所述第一随机参数和第二随机参数进行比较,若两者相同,则认证通过。
43.一种DHCP客户端,其特征在于,包括:
第四发送模块,用于向DHCP服务器发送DHCP发现消息;
第四接收模块,用于接收所述DHCP服务器发送的DHCP提供消息,所述DHCP提供消息中包括认证中心CA在对所述DHCP客户端进行认证通过后向所述DHCP服务器返回的授权信息;
第三认证模块,用于根据所述第四接收模块接收的所述DHCP提供消息中的授权信息认证所述DHCP服务器。
44.根据权利要求43所述的DHCP客户端,其特征在于,所述第四发送模块发送的所述DHCP发现消息还包括:采用DHCP客户端的私钥进行的签名;以使得所述CA采用所述DHCP客户端的公钥对所述签名进行验证。
45.根据权利要求43所述的DHCP客户端,其特征在于,所述授权信息为先后使用所述CA的私钥和DHCP客户端的公钥进行双重加密的随机参数;
所述DHCP客户端还包括:
第五解密模块,用于对所述双重加密的随机参数进行解密,获取随机参数;
第七获取模块,用于根据所述第五解密模块获取的随机参数推演共享密钥,其中,所述共享密钥用于保护所述DHCP服务器和所述DHCP客户端之间通信的安全。
46.根据权利要求43所述的DHCP客户端,其特征在于,所述授权信息为先后使用所述CA的私钥和DHCP客户端的公钥进行双重加密的中间共享密钥和随机参数,其中,所述中间共享密钥由所述CA根据所述CA生成的共享密钥和共享密钥标识计算得到,所述共享密钥标识由所述CA根据所述随机参数和所述CA的公钥计算得到;
所述DHCP客户端还包括:
第六解密模块,用于对所述双重加密的中间共享密钥和随机参数进行解密,获取所述中间共享密钥和随机参数;
第八获取模块,用于根据所述第六解密模块获取的随机参数以及所述CA的公钥计算产生所述共享密钥标识,根据所述共享密钥标识和所述第六解密模块获取的中间共享密钥计算产生所述共享密钥,其中,所述共享密钥用于保护所述DHCP服务器和所述DHCP客户端之间通信的安全。
47.根据权利要求45或46所述的DHCP客户端,其特征在于,所述第四接收模块,具体用于接收所述DHCP服务器发送的、经过共享密钥保护的DHCP提供消息,其中,所述共享密钥为所述DHCP服务器根据所述CA返回的授权信息得到;
所述第三认证模块,具体用于使用所述共享密钥对所述第四接收模块接收的经过保护的所述DHCP提供消息进行认证。
48.根据权利要求43所述的DHCP客户端,其特征在于,所述授权信息中包括先后使用CA的私钥和DHCP客户端的公钥进行双重加密的第一随机参数,所述DHCP提供消息中包括使用DHCP客户端的公钥进行单重加密的第二随机参数;
所述第三认证模块,具体用于对所述双重加密的第一随机参数进行解密,得到第一随机参数,对所述单重加密的第二随机参数进行解密,得到第二随机参数,将所述第一随机参数和第二随机参数进行比较,若两者相同,则认证通过。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110047862.6A CN102651736B (zh) | 2011-02-28 | 2011-02-28 | 基于dhcp的认证方法、dhcp服务器及客户端 |
| EP12753032.7A EP2663049B1 (en) | 2011-02-28 | 2012-02-28 | Authentication method based on dhcp, dhcp server and client |
| PCT/CN2012/071740 WO2012116633A1 (zh) | 2011-02-28 | 2012-02-28 | 基于dhcp的认证方法、dhcp服务器及客户端 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110047862.6A CN102651736B (zh) | 2011-02-28 | 2011-02-28 | 基于dhcp的认证方法、dhcp服务器及客户端 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102651736A CN102651736A (zh) | 2012-08-29 |
| CN102651736B true CN102651736B (zh) | 2014-12-03 |
Family
ID=46693631
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110047862.6A Expired - Fee Related CN102651736B (zh) | 2011-02-28 | 2011-02-28 | 基于dhcp的认证方法、dhcp服务器及客户端 |
Country Status (3)
| Country | Link |
|---|---|
| EP (1) | EP2663049B1 (zh) |
| CN (1) | CN102651736B (zh) |
| WO (1) | WO2012116633A1 (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105515783B (zh) * | 2016-02-05 | 2019-02-15 | 中金金融认证中心有限公司 | 身份认证方法、服务器及认证终端 |
| CN105721496A (zh) * | 2016-03-31 | 2016-06-29 | 中国人民解放军国防科学技术大学 | 一种轻量级地址自动分配协议安全认证方法 |
| CN111314269B (zh) * | 2018-12-11 | 2023-09-12 | 中兴通讯股份有限公司 | 一种地址自动分配协议安全认证方法及设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101141253A (zh) * | 2006-09-05 | 2008-03-12 | 华为技术有限公司 | 实现认证的方法和认证系统 |
| CN101471934A (zh) * | 2007-12-28 | 2009-07-01 | 三星电子株式会社 | 动态主机配置协议中双向加密及身份鉴权的方法 |
| CN101753354A (zh) * | 2008-12-22 | 2010-06-23 | 北京中星微电子有限公司 | 实现网络摄像机自动配置的方法和监控系统 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6826690B1 (en) * | 1999-11-08 | 2004-11-30 | International Business Machines Corporation | Using device certificates for automated authentication of communicating devices |
| CN101272247A (zh) * | 2007-03-23 | 2008-09-24 | 华为技术有限公司 | 基于dhcp实现用户认证的方法及设备及系统 |
| CN101184099B (zh) * | 2007-12-14 | 2012-06-06 | 中兴通讯股份有限公司 | 基于动态主机配置协议接入认证的二次ip地址分配方法 |
-
2011
- 2011-02-28 CN CN201110047862.6A patent/CN102651736B/zh not_active Expired - Fee Related
-
2012
- 2012-02-28 WO PCT/CN2012/071740 patent/WO2012116633A1/zh active Application Filing
- 2012-02-28 EP EP12753032.7A patent/EP2663049B1/en not_active Not-in-force
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101141253A (zh) * | 2006-09-05 | 2008-03-12 | 华为技术有限公司 | 实现认证的方法和认证系统 |
| CN101471934A (zh) * | 2007-12-28 | 2009-07-01 | 三星电子株式会社 | 动态主机配置协议中双向加密及身份鉴权的方法 |
| CN101753354A (zh) * | 2008-12-22 | 2010-06-23 | 北京中星微电子有限公司 | 实现网络摄像机自动配置的方法和监控系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102651736A (zh) | 2012-08-29 |
| EP2663049B1 (en) | 2017-04-05 |
| EP2663049A4 (en) | 2014-06-25 |
| EP2663049A1 (en) | 2013-11-13 |
| WO2012116633A1 (zh) | 2012-09-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6844908B2 (ja) | セキュアセッションの確立と暗号化データ交換のためのコンピュータ利用システム及びコンピュータ利用方法 | |
| US10142297B2 (en) | Secure communication method and apparatus | |
| CN101388770B (zh) | 获取动态主机配置协议密钥的方法、服务器及客户端装置 | |
| KR102068367B1 (ko) | 사물인터넷을 위한 데이터그램 전송에서 경량 인증을 위한 컴퓨터 구현 시스템 및 방법 | |
| CN101127600B (zh) | 一种用户接入认证的方法 | |
| CN103685272B (zh) | 一种认证方法及系统 | |
| EP1880527B1 (en) | Method for distributing certificates in a communication system | |
| JP2002247047A (ja) | セッション共有鍵共有方法、無線端末認証方法、無線端末および基地局装置 | |
| CN105554747A (zh) | 无线网络连接方法、装置及系统 | |
| CN101938500B (zh) | 源地址验证方法及系统 | |
| CN102231725B (zh) | 一种动态主机配置协议报文的认证方法、设备及系统 | |
| CN110087240B (zh) | 基于wpa2-psk模式的无线网络安全数据传输方法及系统 | |
| CN101741555A (zh) | 身份认证和密钥协商方法及系统 | |
| CN101145915B (zh) | 一种可信路由器认证系统和方法 | |
| JP4938408B2 (ja) | アドレス管理システム、アドレス管理方法およびプログラム | |
| CN101827106A (zh) | 一种dhcp安全通信方法、装置和系统 | |
| Younes | Securing ARP and DHCP for mitigating link layer attacks | |
| WO2009082950A1 (fr) | Procédé, dispositif et système de distribution de clés | |
| JP4550759B2 (ja) | 通信システム及び通信装置 | |
| CN102651736B (zh) | 基于dhcp的认证方法、dhcp服务器及客户端 | |
| CN117278330B (zh) | 一种电力物联网设备网络的轻量级组网与安全通信方法 | |
| WO2018115221A1 (en) | Transport layer security (tls) based method to generate and use a unique persistent node identity, and corresponding client and server | |
| CN102685742A (zh) | 一种wlan接入认证方法和装置 | |
| CN109067705B (zh) | 基于群组通信的改进型Kerberos身份认证系统和方法 | |
| CN102026160A (zh) | 一种移动回程网安全接入的方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20141203 Termination date: 20210228 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |