[发明专利]获取动态主机配置协议密钥的方法、服务器及客户端装置

说明书

技术领域

本发明涉及移动网络通信技术领域，尤其涉及一种获取动态主机配置协议(Dynamic Host Configuration Protocol，DHCP)密钥的方法、服务器、客户端装置及DHCP系统。 

背景技术

随着移动网络的发展和扩大，基站(Base Station，BS)设备由传统的宏基站往微型基站、家用基站发展，因此这种BS设备的需求量成数以百计的增长。同时，客户或用户要求买回的这类设备能即插即用，原先移动网络应用中，BS等网元的IP地址及其接入网络时的一些通信实体(如网关)的IP地址，由现场操作人员手工配置的方式已不能满足市场需求。为节约劳动成本、简化管理，DHCP协议被应用于这类移动网络设备的IP地址分配等应用场景，以实现该类设备的IP地址自动分配和获取。 

但是，DHCP协议是一种不需要进行身份认证的协议，毫无安全性可言，容易给运营网络带严重的安全隐患。比如：攻击者不断变换物理地址，尝试申请一个DHCP域中所有的地址，耗尽DHCP服务器端(Server)地址池中的地址，导致其他正常用户无法获得地址；当租约用户或用户登录的设备接入网络时，用户或设备不需要提供信任凭证即可获取租期，任意DHCP客户端(Client)都可以向DHCP Server获取IP地址的使用租约，这样，恶意的用户就可以向DHCP Server发起拒绝服务(Denial of Service，DoS)攻击，以耗尽DHCP Server的IP地址租约，从而拒绝合法用户的租约请求；由于DHCP请求报文以广播形式发送，所以DHCP Server仿冒者可以侦听到，并且回应错误的网关、域名系统(Domain Name System，DNS)、IP地址，比如 IP地址的副本、不正确的路由信息，比如非法路由器、获取合法的DHCP Client信息等等。 

现有技术中，为了提高DHCP的安全性，RFC3118标准定义了DHCP消息认证选项——DHCP Option 90。RFC3118标准利用DHCP Option 90定义了一种延迟认证(Delayed authentication)方法。RFC3118标准还在附录里提出一种密钥管理技术，对密钥进行安全管理。为了避免服务器端集中管理一系列随机密钥，对每个客户端通信使用的会话密钥K是根据二元组(客户端标识、子网地址)计算出来的，并且对每个客户端而言都是唯一的。 

发明人在实现本发明的过程中，发现现有技术至少存在以下缺陷：会话密钥存在安全隐患，安全可靠性较低。 

发明内容

本发明实施例的目的在于提出一种获取动态主机配置协议密钥的方法、服务器、客户端装置及DHCP系统，以增强DHCP会话的安全性。 

本发明实施例提供了一种获取动态主机配置协议密钥的方法，包括： 

DHCP服务器端接收DHCPDISCOVER消息，从所述DHCPDISCOVER消息中获取DHCP客户端发送的客户端公钥； 

DHCP服务器端使用Diffie-Hellman算法计算服务器端私钥及服务器端公钥； 

DHCP服务器端对所述服务器端私钥及客户端公钥进行Diffie-Hellman计算获得主密钥； 

DHCP服务器端将所述主密钥作为会话密钥，或者利用所述主密钥及密钥物料生成共享密钥，将所述共享密钥作为会话密钥； 

DHCP服务器端用所述会话密钥加密客户端伪随机数和服务器端伪随机数； 

DHCP服务器端将所述服务器端公钥、经过加密的客户端伪随机数和服务器端伪随机数封装在DHCPOFFER消息中，发送给客户端。 

本发明实施例提供了一种获取动态主机配置协议密钥的方法，包括： 

DHCP客户端选择一个伪随机数X_C＜(p-1)/2作为客户端私钥，其中，P为素数； 

DHCP客户端接收DHCP服务器端发送的DHCPOFFER消息，从所述DHCPOFFER消息中获取DHCP服务器端发送的服务器端公钥； 

DHCP客户端对所述服务器端公钥及所述客户端私钥进行Diffie-Hellman计算，获得客户端主密钥； 

所述DHCP客户端将所述客户端主密钥作为会话密钥，或者利用所述主密钥及密钥物料生成共享密钥，将所述共享密钥作为会话密钥；