專利名稱:基于dhcp的認證方法�、dhcp服務(wù)器及客戶端的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域���,特別涉及一種基于DHCP的認證方法、DHCP服務(wù)器及客戶端��。
背景技術(shù):
DHCP (Dynamic Host Configuration Protocol,動態(tài)主機配置協(xié)議)是一個局域網(wǎng)的網(wǎng)絡(luò)協(xié)議�,使用UDP(User Datagram Protocol,用戶數(shù)據(jù)包協(xié)議)工作,采用DHCP協(xié)議�����,DHCP服務(wù)器可自動將IP地址分配給登陸TCP/IP網(wǎng)絡(luò)的DHCP客戶端����。為了保證DHCP客戶端與DHCP服務(wù)器之間的通信安全,需要對DHCP服務(wù)器進行安全認證���。目前�����,通常采用延遲認證方法對DHCP服務(wù)器進行認證,在該方法中,DHCP客戶端和DHCP服務(wù)器中預(yù)先配置有共享密鑰。該方法的基本流程為DHCP客戶端將攜帶有認證選項和客戶端身份標(biāo)識的DHCP發(fā)現(xiàn)消息(DHCPDISC0VER)向本地子網(wǎng)廣播�;網(wǎng)絡(luò)上的DHCP服務(wù)器收到該消息后���,根據(jù)客戶端身份標(biāo)識和共享密鑰計算出會話密鑰���,利用該會話密鑰計算DHCP發(fā)現(xiàn)消息的認證碼�,使用該認證碼填充認證選項,構(gòu)造DHCP提供消息(DHCP0FFER)���,并將該DHCP提供消息發(fā)送給DHCP客戶端��;DHCP客戶端利用本地存儲的共享密鑰計算出會話密鑰���,利用該會話密鑰驗證認證選項中的認證信息是否正確,然后構(gòu)造DHCP請求消息(DHCPREQUEST)�,并利用該會話密鑰計算該消息的認證碼,使用該認證碼填充認證選項,將該DHCP請求消息發(fā)送給選中的DHCP服務(wù)器����;DHCP服務(wù)器收到該DHCP請求消息后�����,使用會話密鑰驗證該消息�。在DHCP服務(wù)器和DHCP客戶端之間進行認證吋�,DHCP客戶端和DHCP服務(wù)器需要基于預(yù)先配置的共享密鑰進行認證����,認證方式較復(fù)雜。
發(fā)明內(nèi)容
本發(fā)明的實施例提供一種基于DHCP的認證方法��、DHCP服務(wù)器及客戶端��,能夠以簡單的方式實現(xiàn)DHCP服務(wù)器和DHCP客戶端之間的認證��。本發(fā)明實施例采用的技術(shù)方案為一種基于DHCP的認證方法���,包括DHCP服務(wù)器接收DHCP客戶端發(fā)送的DHCP發(fā)現(xiàn)消息����,所述DHCP發(fā)現(xiàn)消息中包括CA的URL以及DHCP客戶端的標(biāo)識;所述DHCP服務(wù)器根據(jù)所述CA的URL發(fā)現(xiàn)CA并向所述CA發(fā)送授權(quán)請求,所述授權(quán)請求中攜帶所述DHCP客戶端的標(biāo)識; 所述DHCP服務(wù)器接收所述CA返回的授權(quán)信息����,所述授權(quán)信息中包括所述DHCP客戶端的證書;所述DHCP服務(wù)器根據(jù)所述DHCP客戶端的證書完成對所述DHCP客戶端的認證����;所述DHCP服務(wù)器向所述DHCP客戶端發(fā)送DHCP提供消息,所述DHCP提供消息中包括所述CA返回的授權(quán)信息�,以使所述DHCP客戶端根據(jù)所述授權(quán)信息認證所述DHCP服務(wù)器。一種基于DHCP的認證方法�,包括DHCP服務(wù)器接收DHCP客戶端發(fā)送的DHCP發(fā)現(xiàn)消息;所述DHCP服務(wù)器向CA發(fā)送授權(quán)請求����,所述授權(quán)請求中包括所述DHCP發(fā)現(xiàn)消息;所述DHCP服務(wù)器接收所述CA返回的授權(quán)信息,所述授權(quán)信息由所述CA根據(jù)所述授權(quán)請求對所述DHCP客戶端進行認證通過后產(chǎn)生;所述DHCP服務(wù)器向所述DHCP客戶端發(fā)送DHCP提供消息��,所述DHCP提供消息中包括所述CA返回的授權(quán)信息,以使所述DHCP客戶端根據(jù)所述授權(quán)信息認證所述DHCP 服務(wù)器����。一種基于DHCP的認證方法�,包括DHCP客戶端向DHCP服務(wù)器發(fā)送DHCP發(fā)現(xiàn)消息,所述DHCP發(fā)現(xiàn)消息中包括CA的URL以及DHCP客戶端的標(biāo)識;所述DHCP客戶端接收所述DHCP服務(wù)器在對所述DHCP客戶端進行認證通過后發(fā)送的DHCP提供消息����,所述DHCP提供消息中包括所述CA向所述DHCP服務(wù)器返回的授權(quán)信息;所述DHCP客戶端根據(jù)所述授權(quán)信息認證所述DHCP服務(wù)器��?!N基于DHCP的認證方法,包括DHCP客戶端向DHCP服務(wù)器發(fā)送DHCP發(fā)現(xiàn)消息���;所述DHCP客戶端接收所述DHCP服務(wù)器發(fā)送的DHCP提供消息����,所述DHCP提供消息中包括CA在對所述DHCP客戶端進行認證通過后向所述DHCP服務(wù)器返回的授權(quán)信息;所述DHCP客戶端根據(jù)所述授權(quán)信息認證所述DHCP服務(wù)器。ー種DHCP服務(wù)器,包括第一接收模塊����,用于接收DHCP客戶端發(fā)送的DHCP發(fā)現(xiàn)消息��,所述DHCP發(fā)現(xiàn)消息中包括CA的URL以及DHCP客戶端的標(biāo)識;第一發(fā)送模塊��,用于根據(jù)所述CA的URL發(fā)現(xiàn)CA并向所述CA發(fā)送授權(quán)請求�,所述授權(quán)請求中攜帶所述DHCP客戶端的標(biāo)識�����;所述第一接收模塊�����,還用于接收所述CA返回的授權(quán)信息,所述授權(quán)信息中包括所述DHCP客戶端的證書; 所述DHCP服務(wù)器還包括第一認證模塊����,用于根據(jù)所述第一接收模塊接收的所述授權(quán)信息中的所述DHCP客戶端的證書完成對所述DHCP客戶端的認證����;所述第一發(fā)送模塊���,還用于向所述DHCP客戶端發(fā)送DHCP提供消息�����,所述DHCP提供消息中包括所述第一接收模塊接收的所述CA返回的授權(quán)信息,以使所述DHCP客戶端根據(jù)所述授權(quán)信息認證所述DHCP服務(wù)器���。ー種DHCP服務(wù)器����,包括第二接收模塊�,用于接收DHCP客戶端發(fā)送的DHCP發(fā)現(xiàn)消息��;第二發(fā)送模塊��,用于根據(jù)所述第二接收模塊接收的DHCP發(fā)現(xiàn)消息向CA發(fā)送授權(quán)請求�����,所述授權(quán)請求中包括所述DHCP發(fā)現(xiàn)消息���;所述第二接收模塊���,還用于接收所述CA返回的授權(quán)信息�����,所述授權(quán)信息由所述CA根據(jù)所述授權(quán)請求對所述DHCP客戶端進行認證通過后產(chǎn)生�����;所述第二發(fā)送模塊�,還用于向所述DHCP客戶端發(fā)送DHCP提供消息���,所述DHCP提供消息中包括所述第二接收模塊接收的所述CA返回的授權(quán)信息��,以使所述DHCP客戶端根據(jù)所述授權(quán)信息認證所述DHCP服務(wù)器。ー種DHCP客戶端���,包括第三發(fā)送模塊�,用于向DHCP服務(wù)器發(fā)送DHCP發(fā)現(xiàn)消息��,所述DHCP發(fā)現(xiàn)消息中包括CA的URL以及DHCP客戶端的標(biāo)識; 第三接收模塊�����,用于接收所述DHCP服務(wù)器在對所述DHCP客戶端進行認證通過后發(fā)送的DHCP提供消息,所述DHCP提供消息中包括所述CA向所述DHCP服務(wù)器返回的授權(quán)
信息;第二認證模塊��,用于根據(jù)所述第三接收模塊接收的所述DHCP提供消息中的授權(quán)信息認證所述DHCP服務(wù)器。ー種DHCP客戶端�,包括第四發(fā)送模塊,用于向DHCP服務(wù)器發(fā)送DHCP發(fā)現(xiàn)消息�;第四接收模塊,用于接收所述DHCP服務(wù)器發(fā)送的DHCP提供消息�����,所述DHCP提供消息中包括CA在對所述DHCP客戶端進行認證通過后向所述DHCP服務(wù)器返回的授權(quán)信息�;第三認證模塊,用于根據(jù)所述第四接收模塊接收的所述DHCP提供消息中的授權(quán)信息認證所述DHCP服務(wù)器�����。本發(fā)明實施例提供的基于DHCP的認證方法、DHCP服務(wù)器及客戶端,DHCP服務(wù)器根據(jù)CA返回的授權(quán)信息完成對DHCP客戶端的認證或者由CA實現(xiàn)對DHCP客戶端的認證,DHCP服務(wù)器將CA返回的授權(quán)信息通過DHCP提供消息發(fā)送給DHCP客戶端��,DHCP客戶端根據(jù)所述授權(quán)信息認證所述DHCP服務(wù)器�。與現(xiàn)有技術(shù)相比�,DHCP服務(wù)器和DHCP客戶端不需要預(yù)先配置共享密鑰����,借助CA即可實現(xiàn)DHCP服務(wù)器和DHCP客戶端之間的認證����,認證方式較簡単�。
為了更清楚地說明本發(fā)明實施例中的技術(shù)方案����,下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹���,顯而易見地���,下面描述中的附圖僅僅是本發(fā)明的ー些實施例�����,對于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動的前提下,還可以根據(jù)這些附圖獲得其它的附圖�����。圖I為本發(fā)明實施例一提供的方法流程圖;圖2為本發(fā)明實施例ニ提供的方法流程圖�;圖3為本發(fā)明實施例三提供的方法流程圖;圖4為本發(fā)明實施例四提供的方法流程圖;圖5為本發(fā)明實施例五提供的方法流程圖;圖6為本發(fā)明實施例六提供的方法流程圖���;圖7為本發(fā)明實施例七提供的方法流程圖�;圖8為本發(fā)明實施例八提供的方法流程圖�����;圖9a���、圖%、圖9c為本發(fā)明實施例九提供的DHCP服務(wù)器結(jié)構(gòu)示意圖10a�����、圖10b���、圖IOc為本發(fā)明實施例十提供的DHCP客戶端結(jié)構(gòu)示意圖;圖11a、圖lib�����、圖Ilc為本發(fā)明實施例i^一提供的DHCP服務(wù)器結(jié)構(gòu)示意圖��;圖12a��、圖12b�����、圖12c為本發(fā)明實施例十二提供的DHCP客戶端結(jié)構(gòu)示意圖;圖13為本發(fā)明實施例十三提供的認證中心結(jié)構(gòu)示意圖。
具體實施例方式下面將結(jié)合本發(fā)明實施例中的附圖�,對本發(fā)明實施例中的技術(shù)方案進行清楚���、完整地描述,顯然��,所描述的實施例僅僅是本發(fā)明一部分實施例�,而不是全部的實施例����?����;诒景l(fā)明中的實施例,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其它實施例,都屬于本發(fā)明保護的范圍�。 為使本發(fā)明技術(shù)方案的優(yōu)點更加清楚,下面結(jié)合附圖和實施例對本發(fā)明作詳細說明���。在本發(fā)明的所有實施例中�,DHCP客戶端中保存的信息包括DHCP客戶端的公鑰和私鑰、CA (Certificate Authority,認證中心)的公鑰以及DHCP客戶端的證書;DHCP服務(wù)器中保存的信息包括DHCP服務(wù)器的公鑰和私鑰以及CA的公鑰'CA中保存的信息包括CA的公鑰和私鑰、DHCP服務(wù)器的公鑰和/或證書以及DHCP客戶端的公鑰和/或證書。實施例一本實施例提供一種基于DHCP的認證方法��,在本實施例中�,由DHCP服務(wù)器對DHCP客戶端進行認證����。如圖I所示,在DHCP服務(wù)器端���,所述方法包括101、DHCP服務(wù)器接收DHCP客戶端發(fā)送的DHCP發(fā)現(xiàn)消息(DHCPDISC0VER)�,所述DHCP發(fā)現(xiàn)消息中包括CA的URL (Universal Resource Locator,統(tǒng)一資源定位符)以及DHCP客戶端的標(biāo)識����。102、所述DHCP服務(wù)器根據(jù)所述CA的URL發(fā)現(xiàn)CA并向所述CA發(fā)送授權(quán)請求����,所述授權(quán)請求中攜帶所述DHCP客戶端的標(biāo)識。103���、所述DHCP服務(wù)器接收所述CA返回的授權(quán)信息����,所述授權(quán)信息中包括所述DHCP客戶端的證書���。可選的���,所述CA返回的授權(quán)信息中還包括所述CA產(chǎn)生的隨機參數(shù)�;則在所述DHCP服務(wù)器接收所述CA返回的授權(quán)信息之后��,還包括所述DHCP服務(wù)器根據(jù)所述隨機參數(shù)推演共享密鑰,其中�,所述共享密鑰用于保護所述DHCP服務(wù)器和所述DHCP客戶端之間通信的安全�����。其中����,所述隨機參數(shù)為所述DHCP服務(wù)器通過與所述CA之間的安全隧道接收的����;或者,所述隨機參數(shù)經(jīng)過了 DHCP服務(wù)器的公鑰加密�����;則相應(yīng)的,在所述DHCP服務(wù)器根據(jù)所述隨機參數(shù)推演共享密鑰之前,還包括所述DHCP服務(wù)器使用所述DHCP服務(wù)器的私鑰對所述加密的隨機參數(shù)進行解密,獲取所述隨機參數(shù)?����?蛇x的�,所述CA返回的授權(quán)信息中還包括所述CA根據(jù)隨機參數(shù)生成的共享密鑰或者所述CA直接產(chǎn)生的共享密鑰�;
則在所述DHCP服務(wù)器接收所述CA返回的授權(quán)信息之后���,還包括所述DHCP服務(wù)器從所述授權(quán)信息中獲取所述共享密鑰���,其中���,所述共享密鑰用于保護所述DHCP服務(wù)器和所述DHCP客戶端之間通信的安全?���?蛇x的,所述共享密鑰為所述DHCP服務(wù)器通過與所述CA之間的安全隧道接收的����;或者���,所述共享密鑰經(jīng)過了 DHCP服務(wù)器的公鑰加密;則相應(yīng)的�����,所述DHCP服務(wù)器從所述授權(quán)信息中獲取所述共享密鑰包括所述DHCP服務(wù)器使用所述DHCP服務(wù)器的私鑰對所述加密的共享密鑰進行解密,獲取所述共享密鑰���。104����、所述DHCP服務(wù)器根據(jù)所述DHCP客戶端的證書完成對所述DHCP客戶端的認證���。為了增加DHCP發(fā)現(xiàn)消息的安全性,步驟301中的DHCP發(fā)現(xiàn)消息還包括采用DHCP客戶端的私鑰進行的簽名�,相應(yīng)的,步驟304中��,DHCP服務(wù)器根據(jù)所述DHCP客戶端的證書完成對所述DHCP客戶端的認證(authentication)即為DHCP服務(wù)器采用所述證書中包括的所述DHCP客戶端的公鑰對所述簽名進行驗證(verification)��。 105���、所述DHCP服務(wù)器向所述DHCP客戶端發(fā)送DHCP提供消息(DHCP0FFER)��,所述DHCP提供消息中包括所述CA返回的授權(quán)信息����,以使所述DHCP客戶端根據(jù)所述授權(quán)信息認證所述DHCP服務(wù)器����。在本實施例中�����,所述DHCP客戶端可以為基站��,但不僅限于此�。本發(fā)明實施例提供的基于DHCP的認證方法,DHCP服務(wù)器根據(jù)CA返回的授權(quán)信息完成對DHCP客戶端的認證���,DHCP服務(wù)器將CA返回的授權(quán)信息通過DHCP提供消息發(fā)送給DHCP客戶端�,DHCP客戶端根據(jù)所述授權(quán)信息認證所述DHCP服務(wù)器��。與現(xiàn)有技術(shù)相比,DHCP服務(wù)器和DHCP客戶端不需要預(yù)先配置共享密鑰,借助CA即可實現(xiàn)DHCP服務(wù)器和DHCP客戶端之間的認證,認證方式較簡単�。實施例ニ與實施例一相對應(yīng),本實施例提供一種基于DHCP的認證方法����,在本實施例中���,由DHCP服務(wù)器對DHCP客戶端進行認證���。如圖2所示,在DHCP客戶端,所述方法包括201�����、DHCP客戶端向DHCP服務(wù)器發(fā)送DHCP發(fā)現(xiàn)消息(DHCPDISC0VER)��,所述DHCP發(fā)現(xiàn)消息中包括CA的URL以及DHCP客戶端的標(biāo)識。為了增加DHCP發(fā)現(xiàn)消息的安全性���,還需對該DHCP發(fā)現(xiàn)消息采用DHCP客戶端的私鑰進行簽名保護�,以使得在DHCP服務(wù)器使用所述DHCP客戶端的私鑰對應(yīng)的公鑰對該簽名進行驗證,即實現(xiàn)對所述DHCP客戶端的認證。202��、所述DHCP客戶端接收所述DHCP服務(wù)器在對所述DHCP客戶端進行認證通過后發(fā)送的DHCP提供消息(DHCP0FFER),所述DHCP提供消息中包括所述CA向所述DHCP服務(wù)器返回的授權(quán)信息�。203�、所述DHCP客戶端根據(jù)所述授權(quán)信息認證所述DHCP服務(wù)器??蛇x的��,所述授權(quán)信息為先后使用所述CA的私鑰和DHCP客戶端的公鑰進行雙重加密的隨機參數(shù);在所述DHCP客戶端接收所述DHCP服務(wù)器在對所述DHCP客戶端進行認證通過后發(fā)送的DHCP提供消息之后��,還包括所述DHCP客戶端對所述雙重加密的隨機參數(shù)進行解密�,獲取隨機參數(shù);所述DHCP客戶端根據(jù)所述隨機參數(shù)推演共享密鑰�����,其中���,所述共享密鑰用于保護所述DHCP服務(wù)器和所述DHCP客戶端之間通信的安全。可選的�,所述授權(quán)信息為先后使用所述CA的私鑰和DHCP客戶端的公鑰進行雙重加密的中間共享密鑰和隨機參數(shù)��,其中����,所述中間共享密鑰由所述CA根據(jù)所述CA生成的共 享密鑰和共享密鑰標(biāo)識計算得到,所述共享密鑰標(biāo)識由所述CA根據(jù)所述隨機參數(shù)和所述CA的公鑰計算得到����;在所述DHCP客戶端接收所述DHCP服務(wù)器在對所述DHCP客戶端進行認證通過后發(fā)送的DHCP提供消息之后�,還包括所述DHCP客戶端對所述雙重加密的中間共享密鑰和隨機參數(shù)進行解密��,獲取所述中間共享密鑰和隨機參數(shù)��;所述DHCP客戶端根據(jù)所述隨機參數(shù)以及所述CA的公鑰計算產(chǎn)生所述共享密鑰標(biāo)識�����,根據(jù)所述共享密鑰標(biāo)識和所述中間共享密鑰計算產(chǎn)生所述共享密鑰�����,其中,所述共享密鑰用于保護所述DHCP服務(wù)器和所述DHCP客戶端之間通信的安全�����。進ー步的,所述DHCP客戶端接收所述DHCP服務(wù)器在對所述DHCP客戶端進行認證通過后發(fā)送的DHCP提供消息包括DHCP客戶端接收所述DHCP服務(wù)器發(fā)送的�、經(jīng)過共享密鑰保護的DHCP提供消息��,其中�,所述共享密鑰為所述DHCP服務(wù)器根據(jù)所述CA返回的授權(quán)信息得到�����;所述DHCP客戶端根據(jù)所述授權(quán)信息認證所述DHCP服務(wù)器包括所述DHCP客戶端使用所述共享密鑰對所述經(jīng)過保護的DHCP提供消息進行認證?���?蛇x的�����,所述授權(quán)信息中包括先后使用所述CA的私鑰和DHCP客戶端的公鑰進行雙重加密的第一隨機參數(shù)��,所述DHCP提供消息中包括使用DHCP客戶端的公鑰進行單重加密的第二隨機參數(shù);所述DHCP客戶端根據(jù)所述授權(quán)信息認證所述DHCP服務(wù)器包括DHCP客戶端對所述雙重加密的第一隨機參數(shù)進行解密�,得到第一隨機參數(shù)���,對所述單重加密的第二隨機參數(shù)進行解密����,得到第二隨機參數(shù)���;DHCP客戶端將所述第一隨機參數(shù)和第二隨機參數(shù)進行比較����,若兩者相同����,則認證通過�。在本實施例中�����,所述DHCP客戶端可以為基站,但不僅限于此����。本發(fā)明實施例提供的基于DHCP的認證方法�����,DHCP客戶端接收所述DHCP服務(wù)器在對所述DHCP客戶端進行認證通過后發(fā)送的DHCP提供消息����,所述DHCP提供消息中包括所述CA向所述DHCP服務(wù)器返回的授權(quán)信息��,所述DHCP客戶端根據(jù)所述授權(quán)信息認證所述DHCP服務(wù)器�。與現(xiàn)有技術(shù)相比�,DHCP服務(wù)器和DHCP客戶端不需要預(yù)先配置共享密鑰,借助CA即可實現(xiàn)DHCP服務(wù)器和DHCP客戶端之間的認證���,認證方式較簡単�。實施例三本實施例提供一種基于DHCP的認證方法���,在本實施例中��,由CA對DHCP客戶端進行認證�����。如圖3所示,在DHCP服務(wù)器端�,所述方法包括301�、DHCP服務(wù)器接收DHCP客戶端發(fā)送的DHCP發(fā)現(xiàn)消息(DHCPDISC0VER)。為了增加DHCP發(fā)現(xiàn)消息的安全性����,該DHCP發(fā)現(xiàn)消息還包括采用DHCP客戶端的私鑰進行的簽名�����,以使得在CA接收到該DHCP發(fā)現(xiàn)消息后��,使用所述DHCP客戶端的私鑰對應(yīng)的公鑰對該簽名進行驗證�,即實現(xiàn)對所述DHCP客戶端的認證。302、DHCP服務(wù)器向CA發(fā)送授權(quán)請求��,所述授權(quán)請求中包括所述DHCP發(fā)現(xiàn)消息。其中��,步驟302的目的是為了讓CA代替DHCP服務(wù)器完成對DHCP客戶端的認證。
303、所述DHCP服務(wù)器接收所述CA返回的授權(quán)信息�,所述授權(quán)信息由所述CA根據(jù)所述授權(quán)請求對所述DHCP客戶端進行認證通過后產(chǎn)生。上述對DHCP客戶端的認證���,即指CA使用DHCP客戶端的私鑰對應(yīng)的公鑰對該簽名進行驗證�����?���?蛇x的�,所述CA返回的授權(quán)信息為所述CA產(chǎn)生的隨機參數(shù);則在所述DHCP服務(wù)器接收所述CA返回的授權(quán)信息之后��,還包括所述DHCP服務(wù)器根據(jù)所述隨機參數(shù)推演共享密鑰,其中,所述共享密鑰用于保護所述DHCP服務(wù)器和所述DHCP客戶端之間通信的安全�。其中�,所述隨機參數(shù)為所述DHCP服務(wù)器通過與所述CA之間的安全隧道接收的����;或者�����,所述隨機參數(shù)經(jīng)過了 DHCP服務(wù)器的公鑰加密��;則相應(yīng)的����,在所述DHCP服務(wù)器根據(jù)所述隨機參數(shù)推演共享密鑰之前,還包括所述DHCP服務(wù)器使用所述DHCP服務(wù)器的私鑰對所述加密的隨機參數(shù)進行解密��,獲取所述隨機參數(shù)����?���?蛇x的,所述CA返回的授權(quán)信息為所述CA根據(jù)隨機參數(shù)生成的共享密鑰或者所述CA直接產(chǎn)生的共享密鑰�;則在所述DHCP服務(wù)器接收所述CA返回的授權(quán)信息之后,還包括所述DHCP服務(wù)器從所述授權(quán)信息中獲取所述共享密鑰�,其中����,所述共享密鑰用于保護所述DHCP服務(wù)器和所述DHCP客戶端之間通信的安全��。其中��,所述共享密鑰為所述DHCP服務(wù)器通過與所述CA之間的安全隧道接收的���;或者���,所述共享密鑰經(jīng)過了 DHCP服務(wù)器的公鑰加密���;則相應(yīng)的��,所述DHCP服務(wù)器從所述授權(quán)信息中獲取所述共享密鑰包括所述DHCP服務(wù)器使用所述DHCP服務(wù)器的私鑰對所述加密的共享密鑰進行解密,獲取所述共享密鑰�����。304��、所述DHCP服務(wù)器向所述DHCP客戶端發(fā)送DHCP提供消息(DHCP0FFER)��,所述DHCP提供消息中包括所述CA返回的授權(quán)信息��,以使所述DHCP客戶端根據(jù)所述授權(quán)信息認證所述DHCP服務(wù)器�。在本實施例中��,所述DHCP客戶端可以為基站�����,但不僅限于此����。本發(fā)明實施例提供的基于DHCP的認證方法����,CA根據(jù)DHCP服務(wù)器發(fā)送的授權(quán)請求完成對DHCP客戶端的認證�����,DHCP服務(wù)器將CA返回的授權(quán)信息通過DHCP提供消息發(fā)送給DHCP客戶端����,以使DHCP客戶端根據(jù)所述授權(quán)信息認證所述DHCP服務(wù)器�����。與現(xiàn)有技術(shù)相比����,DHCP服務(wù)器和DHCP客戶端不需要預(yù)先配置共享密鑰�����,借助CA即可實現(xiàn)DHCP服務(wù)器和DHCP客戶端之間的認證,認證方式較簡単。實施例四與實施例三相對應(yīng),本實施例提供一種基于DHCP的認證方法,在本實施例中,由CA對DHCP客戶端進行認證����。如圖4所示,在DHCP客戶端,所述方法包括401、DHCP客戶端向DHCP服務(wù)器發(fā)送DHCP發(fā)現(xiàn)消息(DHCPDISC0VER)。為了增加DHCP發(fā)現(xiàn)消息的安全性���,還需對該DHCP發(fā)現(xiàn)消息采用DHCP客戶端的私 鑰進行簽名保護,以使得在CA接收到該DHCP發(fā)現(xiàn)消息后����,使用所述DHCP客戶端的私鑰對應(yīng)的公鑰對該DHCP發(fā)現(xiàn)消息進行驗證����,即實現(xiàn)對所述DHCP客戶端的認證�。402�、所述DHCP客戶端接收所述DHCP服務(wù)器發(fā)送的DHCP提供消息(DHCP0FFER),所述DHCP提供消息中包括CA在對所述DHCP客戶端進行認證通過后向所述DHCP服務(wù)器返回的授權(quán)信息��。其中�����,所述DHCP服務(wù)器接收到所述DHCP客戶端發(fā)送的DHCP發(fā)現(xiàn)消息后�����,向CA發(fā)送授權(quán)請求,所述CA根據(jù)所述授權(quán)請求向所述DHCP服務(wù)器返回授權(quán)信息。403、所述DHCP客戶端根據(jù)所述授權(quán)信息認證所述DHCP服務(wù)器����。可選的,所述授權(quán)信息為先后使用所述CA的私鑰和DHCP客戶端的公鑰進行雙重加密的隨機參數(shù);在所述DHCP客戶端接收所述DHCP服務(wù)器發(fā)送的DHCP提供消息之后�,還包括所述DHCP客戶端對所述雙重加密的隨機參數(shù)進行解密�,獲取隨機參數(shù)��;所述DHCP客戶端根據(jù)所述隨機參數(shù)推演共享密鑰�����,其中����,所述共享密鑰用于保護所述DHCP服務(wù)器和所述DHCP客戶端之間通信的安全�?���?蛇x的��,所述授權(quán)信息為先后使用所述CA的私鑰和DHCP客戶端的公鑰進行雙重加密的中間共享密鑰和隨機參數(shù)�,其中����,所述中間共享密鑰由所述CA根據(jù)所述CA生成的共享密鑰和共享密鑰標(biāo)識計算得到�,所述共享密鑰標(biāo)識由所述CA根據(jù)所述隨機參數(shù)和所述CA的公鑰計算得到����;在所述DHCP客戶端接收所述DHCP服務(wù)器發(fā)送的DHCP提供消息之后����,還包括所述DHCP客戶端對所述雙重加密的中間共享密鑰和隨機參數(shù)進行解密�����,獲取所述中間共享密鑰和隨機參數(shù)����;所述DHCP客戶端根據(jù)所述隨機參數(shù)以及所述CA的公鑰計算產(chǎn)生所述共享密鑰標(biāo)識�����,根據(jù)所述共享密鑰標(biāo)識和所述中間共享密鑰計算產(chǎn)生所述共享密鑰��,其中����,所述共享密鑰用于保護所述DHCP服務(wù)器和所述DHCP客戶端之間通信的安全��。進ー步的,所述DHCP客戶端接收所述DHCP服務(wù)器發(fā)送的DHCP提供消息包括DHCP客戶端接收所述DHCP服務(wù)器發(fā)送的、經(jīng)過共享密鑰保護的DHCP提供消息,其中�����,所述共享密鑰為所述DHCP服務(wù)器根據(jù)所述CA返回的授權(quán)信息得到�;所述DHCP客戶端根據(jù)所述授權(quán)信息認證所述DHCP服務(wù)器包括所述DHCP客戶端使用所述共享密鑰對所述經(jīng)過保護的DHCP提供消息進行認證�?����?蛇x的�����,所述授權(quán)信息中包括先后使用所述CA的私鑰和DHCP客戶端的公鑰進行雙重加密的第一隨機參數(shù)���,所述DHCP提供消息中包括使用DHCP客戶端的公鑰進行單重加密的第二隨機參數(shù)�;則所述DHCP客戶端根據(jù)所述授權(quán)信息認證所述DHCP服務(wù)器包括DHCP客戶端對所述雙重加密的第一隨機參數(shù)進行解密,得到第一隨機參數(shù),對所述單重加密的第二隨機參數(shù)進行解密�����,得到第二隨機參數(shù);DHCP客戶端將所述第一隨機參數(shù)和第二隨機參數(shù)進行比較,若兩者相同�,則認證通過���。在本實施例中����,所述DHCP客戶端可以為基站,但不僅限于此�����。本發(fā)明實施例提供的基于DHCP的認證方法�����,CA在完成對DHCP客戶端的認證后,向DHCP服務(wù)器返回授權(quán)信息����,DHCP服務(wù)器將CA返回的授權(quán)信息通過DHCP提供消息發(fā)送給DHCP客戶端�,DHCP客戶端根據(jù)所述授權(quán)信息認證所述DHCP服務(wù)器�����。與現(xiàn)有技術(shù)相比,DHCP 服務(wù)器和DHCP客戶端不需要預(yù)先配置共享密鑰���,借助CA即可實現(xiàn)DHCP服務(wù)器和DHCP客戶端之間的認證,認證方式較簡単���。實施例五本實施例提供一種基于DHCP的認證方法�����,在本實施例中,DHCP客戶端為基站����,CA向DHCP服務(wù)器發(fā)送的授權(quán)信息包括經(jīng)過單重加密的隨機參數(shù)和經(jīng)過雙重加密的隨機參數(shù)�����。如圖5所示���,所述DHCP服務(wù)器與DHCP客戶端之間基于DHCP的認證方法包括501���、當(dāng)DHCP服務(wù)器與CA進行認證通過后����,基站向DHCP服務(wù)器發(fā)送DHCP發(fā)現(xiàn)消息(DHCPDISC0VER)��,所述DHCP發(fā)現(xiàn)消息中包括認證選項,該認證選項包括使用基站的私鑰計算的數(shù)字簽名以及可選的隨機數(shù)等信息��?��?蛇x的,所述認證選項還可以包括URL選項,所述URL選項攜帶CA的地址��;具體地,所述URL選項可以為選項98���。所述認證選項的結(jié)構(gòu)如表I所示
0_I_5 _3_
類型算法協(xié)議算法
重放機制重放檢測值(64位)重放檢測值
重放檢測值認證信息類型認證信息長度
授權(quán)信息 數(shù)字簽名表I所述選項98的格式如表2所示
權(quán)利要求
1.一種基于DHCP的認證方法��,其特征在于����,包括 DHCP服務(wù)器接收DHCP客戶端發(fā)送的DHCP發(fā)現(xiàn)消息,所述DHCP發(fā)現(xiàn)消息中包括CA的統(tǒng)ー資源定位符URL以及DHCP客戶端的標(biāo)識; 所述DHCP服務(wù)器根據(jù)所述CA的URL發(fā)現(xiàn)CA并向所述CA發(fā)送授權(quán)請求����,所述授權(quán)請求中攜帶所述DHCP客戶端的標(biāo)識; 所述DHCP服務(wù)器接收所述CA返回的授權(quán)信息��,所述授權(quán)信息中包括所述DHCP客戶端的證書; 所述DHCP服務(wù)器根據(jù)所述DHCP客戶端的證書完成對所述DHCP客戶端的認證; 所述DHCP服務(wù)器向所述DHCP客戶端發(fā)送DHCP提供消息�,所述DHCP提供消息中包括所述CA返回的授權(quán)信息����,以使所述DHCP客戶端根據(jù)所述授權(quán)信息認證所述DHCP服務(wù)器。
2.根據(jù)權(quán)利要求I所述的方法���,其特征在于�,所述DHCP發(fā)現(xiàn)消息還包括采用DHCP客戶端的私鑰進行的簽名����; 所述DHCP服務(wù)器根據(jù)所述DHCP客戶端的證書完成對所述DHCP客戶端的認證包括 所述DHCP服務(wù)器采用所述證書中包括的所述DHCP客戶端的公鑰對所述簽名進行驗證。
3.根據(jù)權(quán)利要求I所述的方法,其特征在于,所述CA返回的授權(quán)信息中包括所述CA產(chǎn)生的隨機參數(shù); 在所述DHCP服務(wù)器接收所述CA返回的授權(quán)信息之后����,還包括 所述DHCP服務(wù)器根據(jù)所述隨機參數(shù)推演共享密鑰����,其中��,所述共享密鑰用于保護所述DHCP服務(wù)器和所述DHCP客戶端之間通信的安全�。
4.根據(jù)權(quán)利要求3所述的方法���,其特征在干��, 所述隨機參數(shù)為所述DHCP服務(wù)器通過與所述CA之間的安全隧道接收的�����; 或者�����, 所述隨機參數(shù)經(jīng)過了 DHCP服務(wù)器的公鑰加密��;則相應(yīng)的,在所述DHCP服務(wù)器根據(jù)所述隨機參數(shù)推演共享密鑰之前,還包括 所述DHCP服務(wù)器使用所述DHCP服務(wù)器的私鑰對所述加密的隨機參數(shù)進行解密�����,獲取所述隨機參數(shù)�。
5.根據(jù)權(quán)利要求I所述的方法���,其特征在于,所述CA返回的授權(quán)信息中包括所述CA根據(jù)隨機參數(shù)生成的共享密鑰或者所述CA直接產(chǎn)生的共享密鑰����; 在所述DHCP服務(wù)器接收所述CA返回的授權(quán)信息之后���,還包括 所述DHCP服務(wù)器從所述授權(quán)信息中獲取所述共享密鑰�,其中,所述共享密鑰用于保護所述DHCP服務(wù)器和所述DHCP客戶端之間通信的安全����。
6.根據(jù)權(quán)利要求5所述的方法��,其特征在干, 所述共享密鑰為所述DHCP服務(wù)器通過與所述CA之間的安全隧道接收的�����; 或者, 所述共享密鑰經(jīng)過了 DHCP服務(wù)器的公鑰加密��;則相應(yīng)的����,所述DHCP服務(wù)器從所述授權(quán)信息中獲取所述共享密鑰包括 所述DHCP服務(wù)器使用所述DHCP服務(wù)器的私鑰對所述加密的共享密鑰進行解密,獲取所述共享密鑰���。
7.一種基于動態(tài)主機配置協(xié)議DHCP的認證方法����,其特征在于��,包括 DHCP服務(wù)器接收DHCP客戶端發(fā)送的DHCP發(fā)現(xiàn)消息���; 所述DHCP服務(wù)器向認證中心CA發(fā)送授權(quán)請求,所述授權(quán)請求中包括所述DHCP發(fā)現(xiàn)消息; 所述DHCP服務(wù)器接收所述CA返回的授權(quán)信息�,所述授權(quán)信息由所述CA根據(jù)所述授權(quán)請求對所述DHCP客戶端進行認證通過后產(chǎn)生; 所述DHCP服務(wù)器向所述DHCP客戶端發(fā)送DHCP提供消息�����,所述DHCP提供消息中包括所述CA返回的授權(quán)信息,以使所述DHCP客戶端根據(jù)所述授權(quán)信息認證所述DHCP服務(wù)器�。
8.根據(jù)權(quán)利要求7所述的方法�����,其特征在于,所述DHCP發(fā)現(xiàn)消息還包括采用DHCP客戶端的私鑰進行的簽名; 所述CA根據(jù)所述授權(quán)請求對所述DHCP客戶端進行認證包括 所述CA采用所述DHCP客戶端的公鑰對所述簽名進行驗證。
9.根據(jù)權(quán)利要求7所述的方法����,其特征在于,所述CA返回的授權(quán)信息為所述CA產(chǎn)生的隨機參數(shù)�; 在所述DHCP服務(wù)器接收所述CA返回的授權(quán)信息之后,還包括 所述DHCP服務(wù)器根據(jù)所述隨機參數(shù)推演共享密鑰�����,其中��,所述共享密鑰用于保護所述DHCP服務(wù)器和所述DHCP客戶端之間通信的安全��。
10.根據(jù)權(quán)利要求9所述的方法���,其特征在干���, 所述隨機參數(shù)為所述DHCP服務(wù)器通過與所述CA之間的安全隧道接收的����; 或者�����, 所述隨機參數(shù)經(jīng)過了 DHCP服務(wù)器的公鑰加密����;則相應(yīng)的,在所述DHCP服務(wù)器根據(jù)所述隨機參數(shù)推演共享密鑰之前��,還包括 所述DHCP服務(wù)器使用所述DHCP服務(wù)器的私鑰對所述加密的隨機參數(shù)進行解密�,獲取所述隨機參數(shù)�。
11.根據(jù)權(quán)利要求7所述的方法,其特征在于����,所述CA返回的授權(quán)信息為所述CA根據(jù)隨機參數(shù)生成的共享密鑰或者所述CA直接產(chǎn)生的共享密鑰���; 在所述DHCP服務(wù)器接收所述CA返回的授權(quán)信息之后,還包括 所述DHCP服務(wù)器從所述授權(quán)信息中獲取所述共享密鑰,其中,所述共享密鑰用于保護所述DHCP服務(wù)器和所述DHCP客戶端之間通信的安全�。
12.根據(jù)權(quán)利要求11所述的方法,其特征在干��, 所述共享密鑰為所述DHCP服務(wù)器通過與所述CA之間的安全隧道接收的; 或者����, 所述共享密鑰經(jīng)過了 DHCP服務(wù)器的公鑰加密�����;則相應(yīng)的,所述DHCP服務(wù)器從所述授權(quán)信息中獲取所述共享密鑰包括 所述DHCP服務(wù)器使用所述DHCP服務(wù)器的私鑰對所述加密的共享密鑰進行解密��,獲取所述共享密鑰�����。
13.—種基于DHCP的認證方法,其特征在于,包括 DHCP客戶端向DHCP服務(wù)器發(fā)送DHCP發(fā)現(xiàn)消息�����,所述DHCP發(fā)現(xiàn)消息中包括CA的URL以及DHCP客戶端的標(biāo)識���;所述DHCP客戶端接收所述DHCP服務(wù)器在對所述DHCP客戶端進行認證通過后發(fā)送的DHCP提供消息,所述DHCP提供消息中包括所述CA向所述DHCP服務(wù)器返回的授權(quán)信息;所述DHCP客戶端根據(jù)所述授權(quán)信息認證所述DHCP服務(wù)器��。
14.根據(jù)權(quán)利要求13所述的方法,其特征在于�����,所述DHCP發(fā)現(xiàn)消息還包括采用DHCP客戶端的私鑰進行的簽名���;以使得所述DHCP服務(wù)器采用所述DHCP客戶端的公鑰對所述簽名進行驗證����。
15.根據(jù)權(quán)利要求13所述的方法�����,其特征在于���,所述授權(quán)信息為先后使用所述CA的私鑰和DHCP客戶端的公鑰進行雙重加密的隨機參數(shù); 在所述DHCP客戶端接收所述DHCP服務(wù)器在對所述DHCP客戶端進行認證通過后發(fā)送的DHCP提供消息之后��,還包括 所述DHCP客戶端對所述雙重加密的隨機參數(shù)進行解密�,獲取隨機參數(shù); 所述DHCP客戶端根據(jù)所述隨機參數(shù)推演共享密鑰,其中,所述共享密鑰用于保護所述DHCP服務(wù)器和所述DHCP客戶端之間通信的安全。
16.根據(jù)權(quán)利要求13所述的方法��,其特征在于�����,所述授權(quán)信息為先后使用所述CA的私鑰和DHCP客戶端的公鑰進行雙重加密的中間共享密鑰和隨機參數(shù)����,其中,所述中間共享密鑰由所述CA根據(jù)所述CA生成的共享密鑰和共享密鑰標(biāo)識計算得到,所述共享密鑰標(biāo)識由所述CA根據(jù)所述隨機參數(shù)和所述CA的公鑰計算得到�����; 在所述DHCP客戶端接收所述DHCP服務(wù)器在對所述DHCP客戶端進行認證通過后發(fā)送的DHCP提供消息之后,還包括 所述DHCP客戶端對所述雙重加密的中間共享密鑰和隨機參數(shù)進行解密,獲取所述中間共享密鑰和隨機參數(shù)����; 所述DHCP客戶端根據(jù)所述隨機參數(shù)以及所述CA的公鑰計算產(chǎn)生所述共享密鑰標(biāo)識��,根據(jù)所述共享密鑰標(biāo)識和所述中間共享密鑰計算產(chǎn)生所述共享密鑰��,其中�,所述共享密鑰用于保護所述DHCP服務(wù)器和所述DHCP客戶端之間通信的安全���。
17.根據(jù)權(quán)利要求15或16所述的方法��,其特征在于��,所述DHCP客戶端接收所述DHCP服務(wù)器在對所述DHCP客戶端進行認證通過后發(fā)送的DHCP提供消息包括 DHCP客戶端接收所述DHCP服務(wù)器發(fā)送的、經(jīng)過共享密鑰保護的DHCP提供消息�����,其中�����,所述共享密鑰為所述DHCP服務(wù)器根據(jù)所述CA返回的授權(quán)信息得到���; 所述DHCP客戶端根據(jù)所述授權(quán)信息認證所述DHCP服務(wù)器包括 所述DHCP客戶端使用所述共享密鑰對所述經(jīng)過保護的DHCP提供消息進行認證�。
18.根據(jù)權(quán)利要求13所述的方法�,其特征在于,所述授權(quán)信息中包括先后使用所述CA的私鑰和DHCP客戶端的公鑰進行雙重加密的第一隨機參數(shù),所述DHCP提供消息中包括使用DHCP客戶端的公鑰進行單重加密的第二隨機參數(shù); 所述DHCP客戶端根據(jù)所述授權(quán)信息認證所述DHCP服務(wù)器包括 DHCP客戶端對所述雙重加密的第一隨機參數(shù)進行解密�,得到第一隨機參數(shù)��,對所述單重加密的第二隨機參數(shù)進行解密���,得到第二隨機參數(shù); DHCP客戶端將所述第一隨機參數(shù)和第二隨機參數(shù)進行比較����,若兩者相同�,則認證通過。
19.一種基于DHCP的認證方法����,其特征在于�����,包括 DHCP客戶端向DHCP服務(wù)器發(fā)送DHCP發(fā)現(xiàn)消息�;所述DHCP客戶端接收所述DHCP服務(wù)器發(fā)送的DHCP提供消息,所述DHCP提供消息中包括CA在對所述DHCP客戶端進行認證通過后向所述DHCP服務(wù)器返回的授權(quán)信息; 所述DHCP客戶端根據(jù)所述授權(quán)信息認證所述DHCP服務(wù)器���。
20.根據(jù)權(quán)利要求19所述的方法�����,其特征在于,所述DHCP發(fā)現(xiàn)消息還包括采用DHCP客戶端的私鑰進行的簽名;以使得所述CA采用所述DHCP客戶端的公鑰對所述簽名進行驗證。
21.根據(jù)權(quán)利要求19所述的方法���,其特征在于��,所述授權(quán)信息為先后使用所述CA的私鑰和DHCP客戶端的公鑰進行雙重加密的隨機參數(shù)��; 在所述DHCP客戶端接收所述DHCP服務(wù)器發(fā)送的DHCP提供消息之后��,還包括 所述DHCP客戶端對所述雙重加密的隨機參數(shù)進行解密,獲取隨機參數(shù)��; 所述DHCP客戶端根據(jù)所述隨機參數(shù)推演共享密鑰,其中,所述共享密鑰用于保護所述DHCP服務(wù)器和所述DHCP客戶端之間通信的安全�。
22.根據(jù)權(quán)利要求19所述的方法���,其特征在于��,所述授權(quán)信息為先后使用所述CA的私鑰和DHCP客戶端的公鑰進行雙重加密的中間共享密鑰和隨機參數(shù)��,其中�����,所述中間共享密鑰由所述CA根據(jù)所述CA生成的共享密鑰和共享密鑰標(biāo)識計算得到,所述共享密鑰標(biāo)識由所述CA根據(jù)所述隨機參數(shù)和所述CA的公鑰計算得到; 在所述DHCP客戶端接收所述DHCP服務(wù)器發(fā)送的DHCP提供消息之后����,還包括 所述DHCP客戶端對所述雙重加密的中間共享密鑰和隨機參數(shù)進行解密,獲取所述中間共享密鑰和隨機參數(shù)�����; 所述DHCP客戶端根據(jù)所述隨機參數(shù)以及所述CA的公鑰計算產(chǎn)生所述共享密鑰標(biāo)識�����,根據(jù)所述共享密鑰標(biāo)識和所述中間共享密鑰計算產(chǎn)生所述共享密鑰�,其中�����,所述共享密鑰用于保護所述DHCP服務(wù)器和所述DHCP客戶端之間通信的安全�。
23.根據(jù)權(quán)利要求21或22所述的方法,其特征在于,所述DHCP客戶端接收所述DHCP服務(wù)器發(fā)送的DHCP提供消息包括 DHCP客戶端接收所述DHCP服務(wù)器發(fā)送的�����、經(jīng)過共享密鑰保護的DHCP提供消息,其中,所述共享密鑰為所述DHCP服務(wù)器根據(jù)所述CA返回的授權(quán)信息得到����; 所述DHCP客戶端根據(jù)所述授權(quán)信息認證所述DHCP服務(wù)器包括 所述DHCP客戶端使用所述共享密鑰對所述經(jīng)過保護的DHCP提供消息進行認證��。
24.根據(jù)權(quán)利要求19所述的方法�,其特征在于,所述授權(quán)信息中包括先后使用所述CA的私鑰和DHCP客戶端的公鑰進行雙重加密的第一隨機參數(shù),所述DHCP提供消息中包括使用DHCP客戶端的公鑰進行單重加密的第二隨機參數(shù)��; 所述DHCP客戶端根據(jù)所述授權(quán)信息認證所述DHCP服務(wù)器包括 DHCP客戶端對所述雙重加密的第一隨機參數(shù)進行解密����,得到第一隨機參數(shù)�����,對所述單重加密的第二隨機參數(shù)進行解密,得到第二隨機參數(shù)��; DHCP客戶端將所述第一隨機參數(shù)和第二隨機參數(shù)進行比較��,若兩者相同,則認證通過�。
25.—種DHCP服務(wù)器��,其特征在于,包括 第一接收模塊����,用于接收DHCP客戶端發(fā)送的DHCP發(fā)現(xiàn)消息��,所述DHCP發(fā)現(xiàn)消息中包括CA的URL以及DHCP客戶端的標(biāo)識���; 第一發(fā)送模塊��,用于根據(jù)所述CA的URL發(fā)現(xiàn)CA井向所述CA發(fā)送授權(quán)請求��,所述授權(quán)請求中攜帶所述DHCP客戶端的標(biāo)識; 所述第一接收模塊��,還用于接收所述CA返回的授權(quán)信息,所述授權(quán)信息中包括所述DHCP客戶端的證書�; 所述DHCP服務(wù)器還包括 第一認證模塊,用于根據(jù)所述第一接收模塊接收的所述授權(quán)信息中的所述DHCP客戶端的證書完成對所述DHCP客戶端的認證�����; 所述第一發(fā)送模塊��,還用于向所述DHCP客戶端發(fā)送DHCP提供消息����,所述DHCP提供消息中包括所述第一接收模塊接收的所述CA返回的授權(quán)信息,以使所述DHCP客戶端根據(jù)所述授權(quán)信息認證所述DHCP服務(wù)器����。
26.根據(jù)權(quán)利要求25所述的DHCP服務(wù)器�����,其特征在于����,所述第一接收模塊接收的DHCP發(fā)現(xiàn)消息還包括采用DHCP客戶端的私鑰進行的簽名��; 所述第一認證模塊���,具體用于采用所述第一接收模塊接收的所述授權(quán)信息中的所述DHCP客戶端的證書中包括的所述DHCP客戶端的公鑰對所述簽名進行驗證�����。
27.根據(jù)權(quán)利要求25所述的DHCP服務(wù)器,其特征在于����,所述第一接收模塊接收的所述CA返回的授權(quán)信息為所述CA產(chǎn)生的隨機參數(shù)��; 所述DHCP服務(wù)器還包括 第一獲取模塊����,用于根據(jù)所述第一接收模塊接收的所述隨機參數(shù)推演共享密鑰����,其中�,所述共享密鑰用于保護所述DHCP服務(wù)器和所述DHCP客戶端之間通信的安全����。
28.根據(jù)權(quán)利要求27所述的DHCP服務(wù)器�,其特征在于���,所述隨機參數(shù)為所述第一接收模塊通過與所述CA之間的安全隧道接收的���; 或者�, 所述隨機參數(shù)經(jīng)過了 DHCP服務(wù)器的公鑰加密����;則相應(yīng)的,所述DHCP服務(wù)器還包括 第一解密模塊����,用于使用所述DHCP服務(wù)器的私鑰對所述加密的隨機參數(shù)進行解密�����,獲取所述隨機參數(shù)�����;則相應(yīng)的��,所述第一獲取模塊具體用于根據(jù)所述第一解密模塊獲取的所述隨機參數(shù)推演共享密鑰�����。
29.根據(jù)權(quán)利要求25所述的DHCP服務(wù)器����,其特征在于��,所述第一接收模塊接收的CA返回的授權(quán)信息為所述CA根據(jù)隨機參數(shù)生成的共享密鑰或者所述CA直接產(chǎn)生的共享密鑰; 所述DHCP服務(wù)器還包括 第二獲取模塊��,用于從所述第一接收模塊接收的所述授權(quán)信息中獲取所述共享密鑰,其中���,所述共享密鑰用于保護所述DHCP服務(wù)器和所述DHCP客戶端之間通信的安全。
30.根據(jù)權(quán)利要求29所述的DHCP服務(wù)器,其特征在于,所述共享密鑰為所述第一接收模塊通過與所述CA之間的安全隧道接收的�; 或者����, 所述共享密鑰經(jīng)過了 DHCP服務(wù)器的公鑰加密����;則相應(yīng)的��,所述第二獲取模塊具體用于使用所述DHCP服務(wù)器的私鑰對所述加密的共享密鑰進行解密����,獲取所述共享密鑰���。
31.ー種DHCP服務(wù)器����,其特征在于��,包括 第二接收模塊��,用于接收DHCP客戶端發(fā)送的DHCP發(fā)現(xiàn)消息�����; 第二發(fā)送模塊����,用于根據(jù)所述第二接收模塊接收的DHCP發(fā)現(xiàn)消息向CA發(fā)送授權(quán)請求�,所述授權(quán)請求中包括所述DHCP發(fā)現(xiàn)消息��;所述第二接收模塊,還用于接收所述CA返回的授權(quán)信息��,所述授權(quán)信息由所述CA根據(jù)所述授權(quán)請求對所述DHCP客戶端進行認證通過后產(chǎn)生; 所述第二發(fā)送模塊��,還用于向所述DHCP客戶端發(fā)送DHCP提供消息���,所述DHCP提供消息中包括所述第二接收模塊接收的所述CA返回的授權(quán)信息�����,以使所述DHCP客戶端根據(jù)所述授權(quán)信息認證所述DHCP服務(wù)器����。
32.根據(jù)權(quán)利要求31所述的DHCP服務(wù)器�����,其特征在于,所述第二接收模塊接收的DHCP發(fā)現(xiàn)消息還包括采用DHCP客戶端的私鑰進行的簽名��; 則所述第二接收模塊接收的授權(quán)信息由所述CA根據(jù)所述授權(quán)請求對所述DHCP客戶端進行認證通過后產(chǎn)生����。
33.根據(jù)權(quán)利要求31所述的DHCP服務(wù)器�,其特征在于���,所述第二接收模塊接收的所述CA返回的授權(quán)信息為所述CA產(chǎn)生的隨機參數(shù)����; 所述DHCP服務(wù)器還包括 第三獲取模塊�����,用于根據(jù)所述第二接收模塊接收的所述隨機參數(shù)推演共享密鑰��,其中,所述共享密鑰用于保護所述DHCP服務(wù)器和所述DHCP客戶端之間通信的安全�����。
34.根據(jù)權(quán)利要求33所述的DHCP服務(wù)器,其特征在于��,所述隨機參數(shù)為所述第二接收模塊通過與所述CA之間的安全隧道接收的�; 或者��, 所述隨機參數(shù)經(jīng)過了 DHCP服務(wù)器的公鑰加密�����;則相應(yīng)的����,所述DHCP服務(wù)器還包括 第二解密模塊,用于使用所述DHCP服務(wù)器的私鑰對所述加密的隨機參數(shù)進行解密��,獲取所述隨機參數(shù)��;則相應(yīng)的���,所述第三獲取模塊具體用于根據(jù)所述第二解密模塊獲取的所述隨機參數(shù)推演共享密鑰。
35.根據(jù)權(quán)利要求31所述的DHCP服務(wù)器���,其特征在于�����,所述第二接收模塊接收的CA返回的授權(quán)信息為所述CA根據(jù)隨機參數(shù)生成的共享密鑰或者所述CA直接產(chǎn)生的共享密鑰; 所述DHCP服務(wù)器還包括 第四獲取模塊���,用于從所述第二接收模塊接收的所述授權(quán)信息中獲取所述共享密鑰���,其中,所述共享密鑰用于保護所述DHCP服務(wù)器和所述DHCP客戶端之間通信的安全��。
36.根據(jù)權(quán)利要求35所述的DHCP服務(wù)器��,其特征在于��,所述共享密鑰為所述第二接收模塊通過與所述CA之間的安全隧道接收的; 或者��, 所述共享密鑰經(jīng)過了 DHCP服務(wù)器的公鑰加密����;則相應(yīng)的�����,所述第四獲取模塊具體用于使用所述DHCP服務(wù)器的私鑰對所述加密的共享密鑰進行解密,獲取所述共享密鑰����。
37.ー種DHCP客戶端,其特征在于��,包括 第三發(fā)送模塊,用于向DHCP服務(wù)器發(fā)送DHCP發(fā)現(xiàn)消息�,所述DHCP發(fā)現(xiàn)消息中包括CA的URL以及DHCP客戶端的標(biāo)識��; 第三接收模塊,用于接收所述DHCP服務(wù)器在對所述DHCP客戶端進行認證通過后發(fā)送的DHCP提供消息����,所述DHCP提供消息中包括所述CA向所述DHCP服務(wù)器返回的授權(quán)信息����; 第二認證模塊�,用于根據(jù)所述第三接收模塊接收的所述DHCP提供消息中的授權(quán)信息認證所述DHCP服務(wù)器����。
38.根據(jù)權(quán)利要求37所述的DHCP客戶端,其特征在于����,所述第三接收模塊接收的所述DHCP發(fā)現(xiàn)消息還包括采用DHCP客戶端的私鑰進行的簽名;以使得所述DHCP服務(wù)器采用所述DHCP客戶端的公鑰對所述簽名進行驗證。
39.根據(jù)權(quán)利要求37所述的DHCP客戶端���,其特征在于�,所述授權(quán)信息為先后使用所述CA的私鑰和DHCP客戶端的公鑰進行雙重加密的隨機參數(shù); 所述DHCP客戶端還包括 第三解密模塊�����,用于對所述雙重加密的隨機參數(shù)進行解密,獲取隨機參數(shù)���; 第五獲取模塊��,用于根據(jù)所述第三解密模塊獲取的隨機參數(shù)推演共享密鑰�����,其中,所述 共享密鑰用于保護所述DHCP服務(wù)器和所述DHCP客戶端之間通信的安全����。
40.根據(jù)權(quán)利要求37所述的DHCP客戶端,其特征在于���,所述授權(quán)信息為先后使用所述CA的私鑰和DHCP客戶端的公鑰進行雙重加密的中間共享密鑰和隨機參數(shù),其中��,所述中間共享密鑰由所述CA根據(jù)所述CA生成的共享密鑰和共享密鑰標(biāo)識計算得到,所述共享密鑰標(biāo)識由所述CA根據(jù)所述隨機參數(shù)和所述CA的公鑰計算得到��; 所述DHCP客戶端還包括 第四解密模塊,用于對所述雙重加密的中間共享密鑰和隨機參數(shù)進行解密,獲取所述中間共享密鑰和隨機參數(shù)��; 第六獲取模塊,用于根據(jù)所述第四解密模塊獲取的隨機參數(shù)以及所述CA的公鑰計算產(chǎn)生所述共享密鑰標(biāo)識�,根據(jù)所述共享密鑰標(biāo)識和所述第四解密模塊獲取的中間共享密鑰計算產(chǎn)生所述共享密鑰�,其中��,所述共享密鑰用于保護所述DHCP服務(wù)器和所述DHCP客戶端之間通信的安全�。
41.根據(jù)權(quán)利要求39或40所述的DHCP客戶端�����,其特征在于��,所述第三接收模塊�,具體用于接收所述DHCP服務(wù)器發(fā)送的��、經(jīng)過共享密鑰保護的DHCP提供消息,其中����,所述共享密鑰為所述DHCP服務(wù)器根據(jù)所述CA返回的授權(quán)信息得到��; 所述第二認證模塊�����,具體用于使用所述共享密鑰對所述第三接收模塊接收的經(jīng)過保護的所述DHCP提供消息進行認證�。
42.根據(jù)權(quán)利要求37所述的DHCP客戶端�����,其特征在于�,所述授權(quán)信息中包括先后使用CA的私鑰和DHCP客戶端的公鑰進行雙重加密的第一隨機參數(shù)����,所述DHCP提供消息中包括使用DHCP客戶端的公鑰進行單重加密的第二隨機參數(shù)�����; 所述第二認證模塊����,具體用于對所述雙重加密的第一隨機參數(shù)進行解密���,得到第一隨機參數(shù)��,對所述單重加密的第二隨機參數(shù)進行解密���,得到第二隨機參數(shù)���,將所述第一隨機參數(shù)和第二隨機參數(shù)進行比較�,若兩者相同�,則認證通過。
43.ー種DHCP客戶端����,其特征在于,包括 第四發(fā)送模塊����,用于向DHCP服務(wù)器發(fā)送DHCP發(fā)現(xiàn)消息��; 第四接收模塊����,用于接收所述DHCP服務(wù)器發(fā)送的DHCP提供消息,所述DHCP提供消息中包括CA在對所述DHCP客戶端進行認證通過后向所述DHCP服務(wù)器返回的授權(quán)信息; 第三認證模塊���,用于根據(jù)所述第四接收模塊接收的所述DHCP提供消息中的授權(quán)信息認證所述DHCP服務(wù)器��。
44.根據(jù)權(quán)利要求43所述的DHCP客戶端,其特征在于,所述第四接收模塊接收的所述DHCP發(fā)現(xiàn)消息還包括采用DHCP客戶端的私鑰進行的簽名����;以使得所述CA采用所述DHCP客戶端的公鑰對所述簽名進行驗證�。
45.根據(jù)權(quán)利要求43所述的DHCP客戶端�����,其特征在于��,所述授權(quán)信息為先后使用所述CA的私鑰和DHCP客戶端的公鑰進行雙重加密的隨機參數(shù)����; 所述DHCP客戶端還包括 第五解密模塊����,用于對所述雙重加密的隨機參數(shù)進行解密�����,獲取隨機參數(shù)���; 第七獲取模塊�,用于根據(jù)所述第五解密模塊獲取的隨機參數(shù)推演共享密鑰,其中�����,所述共享密鑰用于保護所述DHCP服務(wù)器和所述DHCP客戶端之間通信的安全。
46.根據(jù)權(quán)利要求43所述的DHCP客戶端,其特征在于�����,所述授權(quán)信息為先后使用所述CA的私鑰和DHCP客戶端的公鑰進行雙重加密的中間共享密鑰和隨機參數(shù)�,其中�,所述中間共享密鑰由所述CA根據(jù)所述CA生成的共享密鑰和共享密鑰標(biāo)識計算得到�����,所述共享密鑰標(biāo)識由所述CA根據(jù)所述隨機參數(shù)和所述CA的公鑰計算得到���; 所述DHCP客戶端還包括 第六解密模塊,用于對所述雙重加密的中間共享密鑰和隨機參數(shù)進行解密�,獲取所述中間共享密鑰和隨機參數(shù)�; 第八獲取模塊,用于根據(jù)所述第六解密模塊獲取的隨機參數(shù)以及所述CA的公鑰計算產(chǎn)生所述共享密鑰標(biāo)識,根據(jù)所述共享密鑰標(biāo)識和所述第六解密模塊獲取的中間共享密鑰計算產(chǎn)生所述共享密鑰,其中��,所述共享密鑰用于保護所述DHCP服務(wù)器和所述DHCP客戶端之間通信的安全。
47.根據(jù)權(quán)利要求45或46所述的DHCP客戶端��,其特征在于�����,所述第四接收模塊��,具體用于接收所述DHCP服務(wù)器發(fā)送的、經(jīng)過共享密鑰保護的DHCP提供消息����,其中����,所述共享密鑰為所述DHCP服務(wù)器根據(jù)所述CA返回的授權(quán)信息得到���; 所述第三認證模塊����,具體用于使用所述共享密鑰對所述第四接收模塊接收的經(jīng)過保護的所述DHCP提供消息進行認證�。
48.根據(jù)權(quán)利要求43所述的DHCP客戶端�,其特征在于,所述授權(quán)信息中包括先后使用CA的私鑰和DHCP客戶端的公鑰進行雙重加密的第一隨機參數(shù)��,所述DHCP提供消息中包括使用DHCP客戶端的公鑰進行單重加密的第二隨機參數(shù)���; 所述第三認證模塊,具體用于對所述雙重加密的第一隨機參數(shù)進行解密�,得到第一隨機參數(shù),對所述單重加密的第二隨機參數(shù)進行解密����,得到第二隨機參數(shù)�����,將所述第一隨機參數(shù)和第二隨機參數(shù)進行比較��,若兩者相同�,則認證通過�����。
全文摘要
本發(fā)明實施例公開了一種基于DHCP的認證方法�、DHCP服務(wù)器及客戶端�,所述方法包括DHCP服務(wù)器接收DHCP客戶端發(fā)送的DHCP發(fā)現(xiàn)消息�,所述DHCP發(fā)現(xiàn)消息中包括CA的URL以及DHCP客戶端的標(biāo)識����;所述DHCP服務(wù)器根據(jù)所述CA的URL發(fā)現(xiàn)CA并向所述CA發(fā)送授權(quán)請求,所述授權(quán)請求中攜帶所述DHCP客戶端的標(biāo)識;所述DHCP服務(wù)器接收所述CA返回的授權(quán)信息�,所述授權(quán)信息中包括所述DHCP客戶端的證書�����;所述DHCP服務(wù)器根據(jù)所述DHCP客戶端的證書完成對所述DHCP客戶端的認證;所述DHCP服務(wù)器向所述DHCP客戶端發(fā)送DHCP提供消息���,所述DHCP提供消息中包括所述CA返回的授權(quán)信息,以使所述DHCP客戶端根據(jù)所述授權(quán)信息認證所述DHCP服務(wù)器��。本發(fā)明適用于進行基于DHCP的認證�����。
文檔編號H04L29/06GK102651736SQ20111004786
公開日2012年8月29日 申請日期2011年2月28日 優(yōu)先權(quán)日2011年2月28日
發(fā)明者畢曉宇, 陳佳佳 申請人:華為技術(shù)有限公司