[发明专利]一种DHCP认证方法、装置和系统

说明书

技术领域

本发明涉及通信领域，尤其涉及一种DHCP认证方法、装置和系统。

背景技术

在以往的移动网络应用中，像基站BS(Base Station)等网元的IP地址以及其接入网络时的一些通信实体，例如网关(Gateway，GW)的IP地址都是在开局时，由现场操作人员手工配置，这就要求现场操作人员具备一定的专业技术知识。

随着移动网络的发展和扩大，BS设备也由传统的宏基站往微型基站、家用基站发展，因此这种BS设备的需求量成数以百计的增长趋势，同时客户或用户要求买回的这类设备能即插即用，这样传统的现场技术人员手工配置IP地址等的方式已不能满足市场需求，为节约运营商劳动成本，简化管理等，DHCP(Dynamic Host Configuration Protocol，动态主机配置协议)被应用于这类移动网络设备的IP地址分配等应用场景，以实现该类设备的IP地址自动分配和获取。

由于历史原因，DHCP协议是一种不需要进行身份认证的协议，毫无安全性可言，容易给运营网络带来严重的安全隐患。比如:

攻击者不断变换物理地址，尝试申请一个DHCP域中所有的地址，耗尽DHCP Server(服务器)地址池中的地址，导致其他正常用户无法获得地址；

DHCP是一个不需要进行认证的协议，当租约用户或用户登录的设备接入网络时，用户或设备不需要提供信任凭证即可获取租期，因此任意DHCP Client(客户端)都可以向DHCP Server获取IP地址的使用租约，这样恶意的用户就可以向DHCP Server发起DoS攻击，以耗尽DHCP Server的IP地址租约，拒绝合法用户的租约请求；

非授权的DHCP Server也很容易部署，由于DHCP请求报文以广播形式发送，所以DHCP Server仿冒者可以侦听到，并且回应错误的网关、DNS、IP地址，比如IP地址的副本、不正确的路由信息，比如非法路由器、获取合法的DHCP Client信息等等。

为了提高DHCP的安全性，RFC(Requestfor Comments，请求注解)3118标准定义了DHCP消息认证选项:DHCP Option 90，该认证选项指出可以提供两种功能:一是认证DHCP对端的身份；另一个是验证单个DHCP消息，即对DHCP消息进行完整性校验。RFC3118标准给出该选项的内容格式定义如表1所示:

                            表1

表1中各内容字段的详细描述如表2所示:

                       表2

在现有技术中定义了一种“配置令牌(Configuration Token)”和“延迟认证(Delayed Authentication)”方法，因两者都是以Option90来携带认证消息，故下面以延迟认证方法为例来进行描述。

延迟认证这种方法要求表1中Protocol域使用值为1，对应的算法Algorithm的值为1，该方法要求表1所定义在格式在DHCPDISCOVER(DHCP发现消息)和DHCPINFORM(DHCP通知消息)中的内容如表3所示:

                            表3

在这两条消息中DHCP Option 90的内容要求Protocol域的值为1，同时Authentication Information(认证信息)域为空，也就是没有这个域。

该方法还要求表1所定义在格式在DHCPOFFER(DHCP提供消息)、DHCPREQUEST(DHCP请求消息)和DHCPACK(DHCP承认消息)中的内容如表4所示:

                                表4

在上述3种消息中，DHCP Option 90内容的Authentication Information域包含一个用来唯一指定共享密钥的标识Secret ID(秘密身份识别号)以及用共享密钥对DHCP消息进行消息摘要所计算出来的消息认证码域HMAC-MD5。

“延迟认证”这种方法需要为每个DHCP服务器的每个DHCP客户端配备一个共享密钥，且每个共享密钥都必须关联一个唯一的标识ID。这个共享密钥需要通过带外out-of-band机制事先分发到各DHCP客户端与服务端，且保存在本地以便后续使用。

“延迟认证”这种方法的正常通信流程如图1所示，包括: