動態主機配置協議中雙向加密及身份鑒權的方法

專利名稱：動態主機配置協議中雙向加密及身份鑒權的方法
技術領域：
本發明涉及互聯網，特別涉及動態主機配置協議中雙向加密及身份 鑒權的方法。
背景技術：
DHCP (RFC2131)是Dy躍ic Host Configuration Protocol的縮寫， 主要用來為網絡主機動態配置網絡地址和相關參數。DHCP采用客戶-服務 器模型。當部署DHCP服務時，網絡中運行一臺DHCP服務器，負責維護所 有網絡主機的網絡地址和配置參數，其他網絡主機運行DHCP客戶端程序。 網絡主機啟動時，DHCP客戶端程序向DHCP服務器發起配置請求，DHCP服 務器根據預先配置好的可分配地址集及配置參數，應答DHCP客戶端程序， 為DHCP客戶端分配網絡地址，并分發相關配置參數。配置參數可以包括 可以訪問的Mobile IP Home agent, SMTP服務器，TFTP服務器，Boot File 服務器等。
DHCP由于自身具備很多優點而被廣泛應用于企業Intranet，比如 網絡管理員可以驗證IP地址和其它配置參數，而不用去檢查每個主機； DHCP不會同時租借相同的IP地址給兩臺主機；DHCP管理員可以約束特定 的計算機使用特定的IP地址；可以為每個DHCP作用域設置很多選項；客 戶機在不同子網間移動時不需要重新設置IP地址。
由于最初DHCP從B00TP發展而來，為了考慮支持無盤工作站的遠程啟 動和參數配置，并且受到當時技術所限，不得不盡可能簡化協議復雜度， 從而在協議安全性方面存在非常大的缺陷。
典型的缺陷有
丄DHCP報文直接承載于IP/UDP層之上，沒有考慮加密、認證機制;2. 由于DHCP協議未實現服務器的鑒權和認證，在網絡中架設非法 DHCP服務器非常容易。攻擊者通過架設非法服務器可以任意分 配錯誤的IP地址、路由信息及域名服務器信息。更嚴重的是， 攻擊者可以通過非法的DHCP服務，設置spoof路由器，截取主機 發送和接收的報文，實現"中間人攻擊"或"拒絕服務攻擊"。
3. 同樣，由于缺乏針對DHCP客戶端合法身份的鑒權和認證，惡意 的DHCP客戶端可以偽裝成合法DHCP客戶請求分配地址資源，并 最終導致地址資源耗盡。合法DHCP客戶的正常服務無法得到保 證。
4. DHCP客戶端廣泛部署于IEEE802. 11、 IEEE802. 16無線網絡中， 由于無線網絡物理層本身的安全性缺陷，DHCP的安全缺陷將導 致更為嚴重的后果。
DHCP協議的設計本意是為了在互聯網/企業網上提供一種簡單、可 靠、可管理、可部署的地址分配方案。但是DHCP協議本身所具備的缺陷， 導致其無法大規模部署。其實際應用效果遠遠沒有達到協議設計的初衷。 IETF針對DHCP提出過一些改進辦法。
如
RFC3118 "Authentication for DHCP Messages"增加了 authentication選項。選項實現DHCP客戶端和服務器端之間共享"用戶 名、密碼"的鑒權，并且實現簡單的抗重播攻擊。然而，該方案在實際 應用中很少部署。因為，針對每個主機分發"用戶名、密碼"，是非常 不方便的，尤其在部署無盤工作站時，基本是不可能的。

發明內容
本發明的目的是改進動態主機配置協議(DHCP)，提供一種客戶機 和服務器之間雙向加密及身份鑒權的方法，使得互聯網/企業網中的客戶 機能夠安全的獲得動態分配的IP地址及配置信息。
為實現上述目的， 一種動態主機配置協議中雙向加密及身份鑒權的 方法，包括步驟
在第一輪協商后，DHCP客戶機獲取臨時單播IP地址；DHCP客戶機與DHCP服務器進行IKE協商，建立IPSec隧道； DHCP報文將通過IPSec隧道傳輸，DHCP客戶機通過第二輪協商從DHCP 服務器獲得最終單播IP地址及其他配置。


圖l是常規動態主機設置協議圖； 圖2是常規的DHCP Client狀態機示意圖； 圖3是本發明的DHCP Client狀態機示意圖； 圖4是認證前和認證后的子狀態示意圖5是本發明的DHCP Client和Server的地址協商過程示意圖； 圖6是IPSec隧道中封裝的DHCP報文。
具體實施例方式
發明的基本思想，是將IPSec協議中IKE協商過程引入DHCP協議，通 過IKE協商的雙向認證實現客戶機和服務器身份的雙向認證。為達到這一 目的，我們需要實現兩階段DHCP協商。
圖1為DHCP常規協商過程，包括
1) DHCP客戶端在網絡中廣播discovery報文；
2) DHCP服務器收到廣播discovery報文，并應答offer報文，并告 知自己的IP地址；
3) DHCP客戶端發送request報文，請求IP地址；
4) DHCP服務器收到request報文，從未分配地址資源中分配IP地 址給DHCP客戶端，并應答acknowledge報文。DHCP客戶端接受 并按照acknowledge報文內容進行配置。
如圖2所示，常規DHCP客戶端協議狀態機包括INIT-REB00T 、 REB00TING、 INIT、 SELECTING、 REQUESTING、 B0UND、 RENEWING和REBINDING 狀態。
本發明改進DHCP客戶端狀態機，在兼容原有狀態機的基礎上，增加
若干新的狀態躍遷。 如圖3所示1) INIT向SELECTING變化時，需要終止第二輪DHCP協商；
2) 如果IKE協商失敗，狀態由BOUND向INIT轉換，并選擇新的DHCP 服務器進行協商，釋放臨時地址資源，并將失敗服務器列入 黑名單；
3) 當客戶端于SELECTING狀態收到OFFER報文，向REQUESTING轉
換時，不能從黑名單中選擇服務器，首先從優選名單中選擇。 與此同時，原有DHCP客戶端狀態機的BOUND狀態將變化為三個子狀 態，AUTHENTICATING (認證前)、AUTHENTICATED (認證后)和B0UND。 如圖4所示
在AUT服NTICATING狀態，DHCP客戶端將和DHCP服務器協商能否支持 本發明定義DHCP改進方法。如果不支持，則轉入原有狀態機。支持則轉 入AUTHENTICATED狀態，開始進行IKE協商，進行客戶機和服務器的雙向 認證。如果認證通過，則建立IPSec隧道，開始第二階段DHCP協商。反之， 轉換回INIT狀態。
如圖5所示，兩階段DHCP協商步驟如下
I) -4)改進后的DHCP協商過程，DHCP客戶端獲得臨時單播IP地 址，并準備開始建立IPSec隧道；
5) -10) DHCP客戶端和服務器交換IKE消息，完成SA協商，與 此同時完成客戶端和服務器身份的雙向認證；IKE協商成功， IPSec隧道建立成功；
II) -14)將DHCP報文承載于IPSec隧道之內，開始第二階段DHCP 協商。隧道內的DHCP報文格式和正常DHCP協商完全相同，獲得
最終單播IP地址及網絡配置。 第二階段DHCP協商的報文完全承載與IPSec隧道之內，其報文格式如 圖六所示。DHCP報文將承載在基于臨時單播IP地址建立的IPSec ESP隧道 中。外層IP頭的源IP地址為臨時單播IP地址，目的IP地址為第一輪DHCP 協商服務器IP地址；內層IP頭源IP地址為O. 0. 0. O或者第二輪DHCP分配IP 地址，目的IP地址為255. 255. 255. 255或者第二輪DHCP服務器IP地址。
權利要求
1. 一種動態主機配置協議中雙向加密及身份鑒權的方法，包括步驟在第一輪協商后，DHCP客戶機獲取臨時單播IP地址；DHCP客戶機與DHCP服務器進行IKE協商，建立IPSec隧道；DHCP報文將通過IPSec隧道傳輸，DHCP客戶機通過第二輪協商從DHCP服務器獲得最終單播IP地址及其他配置。
2. 根據權利要求l所述的方法，其特征在于DHCP客戶機獲取臨時單 播IP地址包括步驟DHCP客戶端主動向DHCP服務器發送DHCP discovery報文并接受DHCP 服務器發送的DHCP offer報文。
3. 根據權利要氣l所述的方法，其特征在于所述DHCP服務器維護臨 時單播IP地址資源，用于在第一輪DHCP協商過程中被分配，并被用于建 立DHCP客戶機到DHCP服務器之間的單播IP通訊。
4. 根據權利要求l所述的方法，其特征在于還包括 在第一輪DHCP協商中，DHCP客戶端發送的DHCP報文中包括特殊選項載荷。
5. 根據權利要求4所述的方法，其特征在于特殊選項載荷是"Vendor class identifier"選項，選項內容為"dual phase DHCP"。
6. 根據權利要求4所述的方法，其特征在于所述特殊選項載荷用于 標志服務器端支持兩輪DHCP協商。
7. 根據權利要求6所述的方法，其特征在于特殊選項載荷是"Vendor Specific Information"選項，選項內容為"dual phase DHCP"。
8. 根據權利要求l所述的方法，其特征在于如果DHCP客戶機與DHCP服務器進行IKE協商失敗，則該DHCP服務器被 列入黑名單。
9. 根據權利要求4所述的方法，其特征在于如果多個DHCP服務器響應DHCP客戶端，則DHCP客戶端優先選擇發送 的報文包括特殊選項載荷的DHCP服務器。
10. 根據權利要求l所述的方法，其特征在于所述DHCP客戶機與DHCP 服務器進行IKE協商，并建立IPSec隧道包括步驟DHCP客戶機和DHCP服務器對彼此身份進行認證； 認證未通過的DHCP服務器將被列入黑名單，認證通過的DHCP服務器則被列入優先選擇名單。
11. 根據權利要求10所述的方法，其特征在于所述認證包括下述之 一或其組合數字證書、預共享秘鑰、公共秘鑰、用戶名密碼。
12. 根據權利要求10所述的方法，其特征在于如果IKE協商未通過，則DHCP客戶機釋放臨時單播IP地址，重新選擇 DHCP服務器并發起第一輪DHCP協商；如果IKE協商通過，則DHCP客戶機和DHCP服務器建立IPSec隧道，并發 起第二輪DHCP協商。
13. 根據權利要求l所述的方法，其特征在于所述通過第二輪協商獲 得最終單播IP地址包括步驟DHCP報文將承載在基于臨時單播IP地址建立的IPSec ESP隧道中。
14. 根據權利要求l所述的方法，其特征在于還包括 第二輪DHCP協商成功后，DHCP客戶機拆除基于臨時單播IP地址建立的IPSec ESP隧道，釋放臨時單播IP地址。
全文摘要
一種動態主機配置協議中雙向加密及身份鑒權的方法，包括步驟在第一輪協商后，DHCP客戶機獲取臨時單播IP地址；DHCP客戶機與DHCP服務器進行IKE協商，建立IPSec隧道；DHCP報文將通過IPSec隧道傳輸，DHCP客戶機通過第二輪協商從DHCP服務器獲得最終單播IP地址及其他配置。
文檔編號H04L29/06GK101471934SQ200710307820
公開日2009年7月1日 申請日期2007年12月28日 優先權日2007年12月28日
發明者賈宏升 申請人:三星電子株式會社;北京三星通信技術研究有限公司