專利名稱:保障網(wǎng)絡(luò)安全的方法���、系統(tǒng)及dhcp服務(wù)端和客戶端的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)����,特別涉及保障網(wǎng)絡(luò)安全的方法���、系統(tǒng)及DHCP服務(wù)端和客戶端�。
背景技術(shù):
DHCP (Dynamic Host Configuration Protocol,動(dòng)態(tài)主才幾配置協(xié)議)是一個(gè)為主機(jī)自動(dòng)配置IP (Internet Protocol,網(wǎng)際協(xié)議)地址的協(xié)議,采用CLIENT-SERVER (客戶端-服務(wù)端)方式實(shí)現(xiàn)����,基于UDP (User DatagramProtocol,用戶數(shù)據(jù)報(bào)協(xié)議)層之上的應(yīng)用,UDP端口號(hào)采用知名端口號(hào)封裝�����,CLIENT使用68, SERVER使用67��。
在基站上電啟動(dòng)過(guò)程中�����,如果沒有配置本端和上級(jí)網(wǎng)元IP地址(包括但不限于基站控制器�����、核心網(wǎng)或者網(wǎng)管系統(tǒng))或者IP地址配置不對(duì)�,則無(wú)法和上級(jí)網(wǎng)元建立維護(hù)通道,進(jìn)而下載正確的軟件版本后啟動(dòng)���。此時(shí)���,釆用DHCP技術(shù)�,基站作為DHCP CLIENT,上級(jí)網(wǎng)元作為DHCP SERVER (或者有專門的DHCP SERVER服務(wù)器)���,DHCP CLIENT向DHCP SERVER申請(qǐng)IP地址,則可以建立基站和上級(jí)網(wǎng)元之間的維護(hù)通道��,進(jìn)而下載正確的軟件版本后啟動(dòng)�����。
在本發(fā)明的研究過(guò)程中�,發(fā)明人發(fā)現(xiàn)現(xiàn)有的IP網(wǎng)絡(luò)中的安全保障,比如IPsec (網(wǎng)際安全)協(xié)議��,必須先明確對(duì)端的IP地址�,才能夠開始進(jìn)行協(xié)商,從而對(duì)IP網(wǎng)絡(luò)的傳輸進(jìn)行安全保障���。而在基站上電啟動(dòng)時(shí)�,如果配置文件不對(duì)或者沒有配置文件的情況下�����,對(duì)端的IP地址不明確�,則現(xiàn)有的IP網(wǎng)絡(luò)中的安全保障無(wú)法覆蓋采用DHCP技術(shù)進(jìn)行IP地址的自動(dòng)配置過(guò)程�����。
發(fā)明內(nèi)容
有鑒于此����,本發(fā)明實(shí)施例提供了一種保障網(wǎng)絡(luò)安全的方法�����、系統(tǒng)和DHCP服務(wù)端和客戶端����,以對(duì)采用DHCP技術(shù)進(jìn)行IP地址自動(dòng)配置的過(guò)程進(jìn)行安全保障。
本發(fā)明實(shí)施例提供了一種保障網(wǎng)絡(luò)安全的方法����,包括
接收客戶端發(fā)送的動(dòng)態(tài)主機(jī)配置協(xié)議DHCP請(qǐng)求報(bào)文,所述DHCP請(qǐng)求報(bào)文經(jīng)it^戶端根據(jù)服務(wù)端與客戶端之間配置的加解密預(yù)共享信息進(jìn)行加密�����,所述DHCP請(qǐng)求報(bào)文包含未經(jīng)加密的客戶端的媒體接入控制MAC地址��;
根據(jù)所述DHCP請(qǐng)求報(bào)文中包含的未經(jīng)加密的客戶端的MAC地址獲得服務(wù)器端與客戶端之間配置的加解密預(yù)共享信息�;
根據(jù)所述加解密預(yù)共享信息對(duì)所述DHCP請(qǐng)求報(bào)文進(jìn)行解密�,獲得所述DHCP請(qǐng)求報(bào)文的明文��。
本發(fā)明實(shí)施例還提供了一種保障網(wǎng)絡(luò)安全的方法����,包括
根據(jù)服務(wù)端與客戶端之間配置的加解密預(yù)共享信息對(duì)DHCP請(qǐng)求報(bào)文進(jìn)行力口密�;
根據(jù)經(jīng)過(guò)加密的DHCP請(qǐng)求報(bào)文,構(gòu)造包含客戶端MAC地址的DHCP請(qǐng)求報(bào)文�����;
發(fā)送經(jīng)過(guò)加密且包含客戶端MAC地址的DHCP請(qǐng)求報(bào)文給服務(wù)端����。本發(fā)明實(shí)施例還提供了 一種DHCP服務(wù)端,包括
服務(wù)端接收單元�,用于接收客戶端發(fā)送的DHCP請(qǐng)求報(bào)文;所述DHCP請(qǐng)求報(bào)文經(jīng)過(guò)客戶端根據(jù)服務(wù)端與客戶端之間配置的加解密預(yù)共享信息進(jìn)行加密�,DHCP請(qǐng)求報(bào)文包含未經(jīng)加密的客戶端的媒體接入控制MAC地址;
服務(wù)端加解密信息獲取單元���,用于根據(jù)所述接收單元接收的DHCP請(qǐng)求報(bào)文中包含的未經(jīng)加密的客戶端的MAC地址獲得服務(wù)端與客戶端之間配置的加解密預(yù)共享信息��;
服務(wù)端解密單元�����,用于根據(jù)所述服務(wù)端加解密信息獲取單元獲得的加解密預(yù)共享信息對(duì)所述DHCP請(qǐng)求報(bào)文進(jìn)行解密��,獲得所述DHCP請(qǐng)求報(bào)文的明文����。
本發(fā)明實(shí)施例還提供了一種DHCP客戶端,其特征在于�,包括
客戶端加密單元,用于根據(jù)服務(wù)端與客戶端之間配置的加解密預(yù)共享信息對(duì)DHCP請(qǐng)求才艮文進(jìn)行加密�;
客戶端構(gòu)造單元,用于根據(jù)經(jīng)過(guò)所述客戶端加密單元加密的DHCP請(qǐng)求報(bào)文��,構(gòu)造包含客戶端的MAC地址的DHCP請(qǐng)求報(bào)文���;
客戶端發(fā)送單元��,用于發(fā)送所述客戶端構(gòu)造單元構(gòu)造的經(jīng)過(guò)加密且包含客戶端的MAC地址的DHCP請(qǐng)求報(bào)文給服務(wù)端��。
本發(fā)明實(shí)施例還提供了 一種保障網(wǎng)絡(luò)安全的系統(tǒng)���,包括以上實(shí)施例中描述的DHCP服務(wù)端和DHCP客戶端。
利用本發(fā)明實(shí)施例中所提供的保障網(wǎng)絡(luò)安全的方法�、系統(tǒng)以及DHCP服務(wù)端��、DHCP客戶端���,采用DHCP技術(shù)獲取IP地址的過(guò)程中,Client與Server的通信處于網(wǎng)絡(luò)安全的保護(hù)之下��,堵上了 Client啟動(dòng)時(shí)DHCP過(guò)程中的IP安全方案的漏洞�����,避免了攻擊者可以更改DHCP交互過(guò)程中的才艮文�����,造成Client無(wú)法正常獲取IP地址��,從而Client無(wú)法正常啟動(dòng)����;或者����,攻擊者可以偷聽才艮文,獲取分配的IP地址�����,偽裝成Client與Server通信,輕者Client無(wú)法正常啟動(dòng)��,重者甚至可以攻擊Server等問題�����。
圖1是DHCP Client-Server的一般交互過(guò)程�����;
圖2是本發(fā)明實(shí)施例提供的保障網(wǎng)絡(luò)安全的方法流程圖3是本發(fā)明另一實(shí)施例提供的保障網(wǎng)絡(luò)安全的方法流程圖;
圖4是本發(fā)明另一實(shí)施例提供的保障網(wǎng)絡(luò)安全的方法流程圖;
圖5是本發(fā)明另一實(shí)施例提供的保障網(wǎng)絡(luò)安全的方法流程圖;
圖6是本發(fā)明另一實(shí)施例提供的保障網(wǎng)絡(luò)安全的方法流程圖;圖7是本發(fā)明另一實(shí)施例提供的DHCP服務(wù)端示意圖�;圖8是本發(fā)明另一實(shí)施例提供的DHCP服務(wù)端示意圖;圖9是本發(fā)明另一實(shí)施例提供的DHCP服務(wù)端示意圖�����;圖IO是本發(fā)明另一實(shí)施例提供的DHCP客戶端示意圖�����;圖ll是本發(fā)明另一實(shí)施例提供的DHCP客戶端示意圖�。
具體實(shí)施例方式
本發(fā)明實(shí)施例提供了保障網(wǎng)絡(luò)安全的方法、裝置和系統(tǒng),該方法��、裝置和系統(tǒng)可以應(yīng)用到各種移動(dòng)網(wǎng)絡(luò)�����,包括GSM (Global System for Mobilecommunications, 全5求移動(dòng)通信系統(tǒng))��、WCDMA (Wideband Code DivisionMultiple Access,寬帶碼分多址)����、TD-SCDMA( Time Division-Synchronous CodeDivision Multiple Access,時(shí)分同步碼分多址)和LTE (Long Time Evolution,長(zhǎng)期演進(jìn))等各種移動(dòng)網(wǎng)絡(luò)中,還可以應(yīng)用到任何部署DHCP Server和DHCPClient的網(wǎng)元�、主機(jī)或者服務(wù)器。采用本發(fā)明實(shí)施例提供的保障網(wǎng)絡(luò)安全的方法�、裝置和系統(tǒng)可以對(duì)基站啟動(dòng)時(shí)采用DHCP技術(shù)進(jìn)行IP地址的自動(dòng)配置的過(guò)程進(jìn)行安全保障�。
圖1為DHCP Client-Server的一般交互過(guò)程,包括
步驟1: Client向Server發(fā)DHCP DISCOVER報(bào)文����,用于發(fā)現(xiàn)DHCP Server服務(wù)器。
步驟2: Server給Client回DHCP OFFER報(bào)文��,用于表示Server已經(jīng)發(fā)現(xiàn)�。步驟3: Client向Server發(fā)DHCP REQUEST報(bào)文,用于請(qǐng)求本機(jī)的IP地址,Server才艮據(jù)自己的IP地址所在網(wǎng)段為Client分配IP地址��。
步驟4: Server給Client回DHCP ACK報(bào)文�����,用于分配Client的IP地址��。Client收到Server返回的DHCP ACK報(bào)文后�����,獲取DHCP ACK報(bào)文中所攜帶的IP地址�,進(jìn)入延續(xù)狀態(tài)。如果Client記錄下了上次使用的網(wǎng)絡(luò)地址�����,并且在地址申請(qǐng)時(shí)還希望再使用此地址�,DHCP REQUEST和DHCP ACK過(guò)程可以省略。
針對(duì)如圖1所示的DHCP交互過(guò)程��,本發(fā)明實(shí)施例提供了一種保障網(wǎng)絡(luò)安
全的方法����,如圖2所示��,包括步驟
101,接收客戶端發(fā)送的動(dòng)態(tài)主機(jī)配置協(xié)議DHCP請(qǐng)求報(bào)文�����;
其中����,DHCP請(qǐng)求報(bào)文經(jīng)過(guò)客戶端根據(jù)服務(wù)端與客戶端之間配置的加解密
預(yù)共享信息進(jìn)行加密����,DHCP請(qǐng)求報(bào)文包含未經(jīng)加密的客戶端的媒體接入控制
MAC地址;
應(yīng)當(dāng)指出的是�����,本發(fā)明所有實(shí)施例中的DHCP請(qǐng)求報(bào)文可以為用于發(fā)現(xiàn)DHCP Server的報(bào)文�����,如DHCP DISCOVER消息�����,也可以為用于請(qǐng)求本機(jī)的IP地址的報(bào)文�,如DHCP REQUEST消息。
102�,根據(jù)DHCP請(qǐng)求報(bào)文中包含的未經(jīng)加密的客戶端的MAC地址獲得服務(wù)端與客戶端之間配置的加解密預(yù)共享信息;
103����,根據(jù)所述加解密預(yù)共享信息對(duì)所述DHCP請(qǐng)求報(bào)文進(jìn)行解密,獲得DHCP請(qǐng)求報(bào)文的明文��。
依據(jù)本發(fā)明實(shí)施例提供的保障網(wǎng)絡(luò)安全的方法�,可以使Client與Server的通信處于網(wǎng)絡(luò)安全的保護(hù)之下,避免了采用DHCP技術(shù)獲取IP地址的過(guò)程中被^T聽����、截獲,或者攻擊�����。
基于如圖2所示的實(shí)施例����,本發(fā)明另一實(shí)施例提供的保障網(wǎng)絡(luò)安全的方法如圖3所示,還包括步驟
104�����,在獲得DHCP請(qǐng)求報(bào)文的明文之后,構(gòu)造DHCP響應(yīng)報(bào)文�����,并根據(jù)所獲得的Server與Client之間配置的加解密預(yù)共享信息對(duì)DHCP響應(yīng)報(bào)文進(jìn)行加密����;
105,發(fā)送加密后的DHCP響應(yīng)報(bào)文給Client,以使Client根據(jù)Server與Client之間配置的加解密預(yù)共享信息���,對(duì)加密后的DHCP響應(yīng)報(bào)文進(jìn)行解密�����,獲得DHCP響應(yīng)報(bào)文的明文��。
應(yīng)當(dāng)指出的是�,本發(fā)明所有實(shí)施例中����,若DHCP請(qǐng)求"^艮文為用于發(fā)現(xiàn)DHCPServer的才艮文,如DHCP DISCOVER消息�,DHCP響應(yīng)報(bào)文可以為用于表示Server已經(jīng)發(fā)現(xiàn)的報(bào)文��,如DHCP OFFER消息;若DHCP請(qǐng)求報(bào)文為用于請(qǐng)求本機(jī)的IP地址的報(bào)文��,如DHCP REQUEST消息�����,DHCP響應(yīng)報(bào)文可以為用于分配Client的IP地址報(bào)文��,如DHCPACK消息�。
基于如圖2所示的實(shí)施例,本發(fā)明另一實(shí)施例提供的保障網(wǎng)絡(luò)安全的方法如圖4所示�����,包括步驟100,在根據(jù)DHCP請(qǐng)求4艮文中包含的未經(jīng)加密的Client的MAC地址獲得Server與Client之間配置的加解密預(yù)共享信息之前���,還包括預(yù)存儲(chǔ)Client的MAC地址與加解密預(yù)共享信息之間的對(duì)應(yīng)關(guān)系���。
本發(fā)明所有實(shí)施例中的Server與Client之間配置的加解密預(yù)共享信息可以包括報(bào)文的封裝模式,加解密算法����、認(rèn)證算法和密鑰,此外��,若報(bào)文的封裝模式是隧道^f莫式,加解密預(yù)共享信息還包括隧道的IP頭�。
針對(duì)如圖1所示的DHCP交互過(guò)程,本發(fā)明另一實(shí)施例提供了一種保障網(wǎng)絡(luò)安全的方法���,如圖5所示����,包括步驟
201 ���,根據(jù)Server與Client之間配置的加解密預(yù)共享信息對(duì)DHCP請(qǐng)求報(bào)文進(jìn)行加密��;
202����,根據(jù)經(jīng)過(guò)加密的DHCP請(qǐng)求報(bào)文��,構(gòu)造包含Client的MAC地址的DHCP請(qǐng)求報(bào)文��;
203 ���,發(fā)送經(jīng)過(guò)加密且包含Client的MAC地址的DHCP請(qǐng)求報(bào)文給Server�����。
依據(jù)本發(fā)明實(shí)施例提供的保障網(wǎng)絡(luò)安全的方法���,可以使Client與Server的通信處于網(wǎng)絡(luò)安全的保護(hù)之下,避免了采用DHCP技術(shù)獲取IP地址的過(guò)程中被偷聽��、截獲��,或者攻擊��。
基于如圖5所示的實(shí)施例��,本發(fā)明另一實(shí)施例提供的保障網(wǎng)絡(luò)安全的方法如圖6所示����,還包括步驟
204,接收Server發(fā)送的DHCP響應(yīng)報(bào)文���;
其中��,DHCP響應(yīng)報(bào)文為經(jīng)過(guò)Server根據(jù)Server與Client之間配置的加解密預(yù)共享信息進(jìn)行力�。密后的DHCP響應(yīng)報(bào)文����,Server與Client之間配置的加解密預(yù)共享信息為Server根據(jù)所述經(jīng)過(guò)加密且包含Client MAC地址的DHCP請(qǐng)求報(bào)文所包含的Client MAC地址獲取的�����;
205,根據(jù)Server與Client之間配置的加解密預(yù)共享信息��,對(duì)接收到的DHCP響應(yīng)報(bào)文進(jìn)行解密��,獲得DHCP響應(yīng)才艮文的明文��。
以上方法實(shí)施例應(yīng)用于基站和上級(jí)網(wǎng)元時(shí)����,其中�����,基站作為Client,上級(jí)網(wǎng)元作為Server,包4舌
基站上電啟動(dòng)前�����,在基站和上級(jí)網(wǎng)元中分別配置加解密預(yù)共享信息����,包括封裝模式、加解密算法、認(rèn)證算法和密鑰�����,如果封裝模式是隧道模式��,加解密預(yù)共享信息還包括隧道的IP頭�。在上級(jí)網(wǎng)元中建立基站MAC地址與預(yù)共享信息的關(guān)聯(lián)關(guān)系�。
基站發(fā)送DHCP請(qǐng)求報(bào)文,如DHCP DISCOVER或者DHCP REQUEST時(shí)��,纟艮據(jù)加解密預(yù)共享信息完成對(duì)整個(gè)報(bào)文的加密����。
上級(jí)網(wǎng)元接收DHCP請(qǐng)求報(bào)文,如DHCP DISCOVER或者DHCPREQUEST,根據(jù)DHCP請(qǐng)求報(bào)文中的源端MAC地址�,即基站的MAC地址,獲取到加解密預(yù)共享信息�����,對(duì)DHCP請(qǐng)求"f艮文進(jìn)行解密并獲得明文��。
上級(jí)網(wǎng)元收到DHCP請(qǐng)求報(bào)文后����,構(gòu)造DHCP響應(yīng)報(bào)文���,如DHCP OFFER或者DHCP ACK報(bào)文,并根據(jù)DHCP請(qǐng)求報(bào)文中的源端MAC地址�����,即基站的MAC地址���,獲得的加解密預(yù)共享信息����,對(duì)DHCP響應(yīng)報(bào)文進(jìn)行加密����,并將DHCP響應(yīng)報(bào)文發(fā)給基站。
基站根據(jù)加解密預(yù)共享信息��,對(duì)DHCP響應(yīng)報(bào)文進(jìn)行解密得到明文���,并從
DHCP ACK報(bào)文中獲取上級(jí)網(wǎng)元返回的本端IP地址和上級(jí)網(wǎng)元IP地址等信自
在后續(xù)的操作中�,基站可以使用獲取得到的IP地址進(jìn)行IKE (密匙交換協(xié)商協(xié)議)協(xié)商���,進(jìn)而對(duì)后續(xù)的交互流程進(jìn)行IPsec加密���。
利用本發(fā)明實(shí)施例中所提供的保障網(wǎng)絡(luò)安全的方法����,從基站上電啟動(dòng)開始與上級(jí)網(wǎng)元通信的過(guò)程就處于網(wǎng)絡(luò)安全的保護(hù)之下�����,堵上了基站啟動(dòng)的DHCP過(guò)程中的IP安全方案的漏洞�,避免了攻擊者可以更改DHCP交互過(guò)程中的報(bào)文����,造成基站無(wú)法正常獲取IP地址,從而基站無(wú)法正常啟動(dòng)�����;或者���,攻擊者可以偷聽報(bào)文��,獲取分配的IP地址�,偽裝成基站與上級(jí)網(wǎng)元通信,輕者基站無(wú)法正常啟動(dòng)����,重者甚至可以攻擊上級(jí)網(wǎng)元等問題。
本發(fā)明所有實(shí)施例中的加解密預(yù)共享信息都可以為采用IPsec協(xié)議進(jìn)行加解密所需的加解密信息�����,在DHCP交互過(guò)程中�����,由于采用針對(duì)源MAC地址來(lái)索引加解密信息����,IPsec頭部中的SPI值就是沒有使用價(jià)值,SPI值可以填寫為任意值����。
如圖7所示,本發(fā)明另一實(shí)施例還提供DHCP服務(wù)端��,包括
Server接收單元301 ����,用于接收Client發(fā)送的DHCP請(qǐng)求報(bào)文�����;
其中�,DHCP請(qǐng)求報(bào)文經(jīng)過(guò)Client根據(jù)Server與Client之間配置的加解密
預(yù)共享信息進(jìn)行加密��,DHCP請(qǐng)求報(bào)文包含未經(jīng)加密的Client的媒體接入控制
MAC地址��;
Server加解密信息獲取單元302��,用于根據(jù)接收單元301接收的DHCP請(qǐng)求報(bào)文中包含的未經(jīng)加密的Client的MAC地址獲得Server與Client之間配置的加解密預(yù)共享信息��;
Server解密單元303,用于根據(jù)加解密預(yù)共享信息對(duì)DHCP請(qǐng)求報(bào)文進(jìn)行解密�����,獲得DHCP請(qǐng)求報(bào)文的明文�。
依據(jù)本發(fā)明實(shí)施例提供的DHCP Server,可以使Client與Server的通信處于網(wǎng)絡(luò)安全的保護(hù)之下�,避免了采用DHCP技術(shù)獲取IP地址的過(guò)程中被偷聽、截獲�����,或者攻擊���。
基于如圖7所示的實(shí)施例���,本發(fā)明另一實(shí)施例提供的DHCP Server,如圖8所示�,還包括
Server報(bào)文構(gòu)造單元304,用于構(gòu)造DHCP響應(yīng)報(bào)文�����,并根據(jù)所獲得的Server與Client之間配置的加解密預(yù)共享信息對(duì)DHCP響應(yīng)報(bào)文進(jìn)行加密����;Server發(fā)送單元305,用于發(fā)送加密后的DHCP響應(yīng)報(bào)文給Client,以使Client根據(jù)Server與Client之間配置的加解密預(yù)共享信息�,對(duì)加密后的DHCP響應(yīng)報(bào)文進(jìn)行解密,獲得DHCP響應(yīng)報(bào)文的明文��。
基于如圖7所示的實(shí)施例�����,本發(fā)明另一實(shí)施例提供的DHCP Server,如圖9所示���,還包括
Server存儲(chǔ)單元306�,用于存儲(chǔ)Client的MAC地址與加解密預(yù)共享信息之間的對(duì)應(yīng)關(guān)系��,以使Server加解密信息獲取單元302根據(jù)Server存儲(chǔ)單元306中存儲(chǔ)的Client的MAC地址與加解密預(yù)共享信息之間的對(duì)應(yīng)關(guān)系獲得所需的加解密預(yù)共享信息。
如圖10所示�����,本發(fā)明另一實(shí)施例還提供DHCP客戶端����,包括
Client加密單元401,用于Server與Client之間配置的加解密預(yù)共享信息對(duì)DHCP請(qǐng)求報(bào)文進(jìn)行加密;
Client構(gòu)造單元402����,用于根據(jù)經(jīng)過(guò)加密的DHCP請(qǐng)求報(bào)文,構(gòu)造包含Client的MAC地址的DHCP請(qǐng)求報(bào)文�����;
Client發(fā)送單元403���,用于發(fā)送經(jīng)過(guò)加密且包含Client的MAC地址的DHCP請(qǐng)求報(bào)文給Server����。
依據(jù)本發(fā)明實(shí)施例提供的DHCP Client,可以使Client與Server的通信處于網(wǎng)絡(luò)安全的保護(hù)之下���,避免了采用DHCP技術(shù)獲取IP地址的過(guò)程中被偷聽��、截獲���,或者攻擊。
基于如圖IO所示的DHCP客戶端����,本發(fā)明另一實(shí)施例如圖11所示,還包
括
Client接收單元404��,用于接收Server發(fā)送的DHCP響應(yīng)報(bào)文��;其中���,DHCP響應(yīng)報(bào)文為經(jīng)過(guò)Server根據(jù)Server與Client之間配置的加解密預(yù)共享信息進(jìn)行加密后的DHCP響應(yīng)報(bào)文�,Server與Client之間配置的加解密預(yù)共享信息為Server根據(jù)所述經(jīng)過(guò)加密且包含Client MAC地址的DHCP請(qǐng)求報(bào)文所包含的Client MAC地址獲取的����;
Client解密單元405,用于才艮據(jù)Server與Client之間配置的加解密預(yù)共享信息,對(duì)接收到的DHCP響應(yīng)報(bào)文進(jìn)行解密�����,獲得DHCP響應(yīng)報(bào)文的明文。
本發(fā)明另 一實(shí)施例還提供一種保障網(wǎng)絡(luò)安全的系統(tǒng)���,該系統(tǒng)包括以上實(shí)施 例中所描述的DHCP服務(wù)端和DHCP客戶端���。
DHCP客戶端可以位于無(wú)線移動(dòng)網(wǎng)絡(luò)中的基站中。
利用本發(fā)明實(shí)施例中所提供的保障網(wǎng)絡(luò)安全的方法��、系統(tǒng)以及DHCP服務(wù) 端���、DHCP客戶端����,采用DHCP技術(shù)獲取IP地址的過(guò)程中�,Client與Server 的通信處于網(wǎng)絡(luò)安全的保護(hù)之下,堵上了 Client啟動(dòng)時(shí)DHCP過(guò)程中的IP安 全方案的漏洞�,避免了攻擊者可以更改DHCP交互過(guò)程中的報(bào)文,造成Client 無(wú)法正常獲取IP地址���,從而Client無(wú)法正常啟動(dòng)���;或者,攻擊者可以偷聽才艮 文��,獲取分配的IP地址����,偽裝成Client與Server通信,輕者Client無(wú)法正常 啟動(dòng)�����,重者甚至可以攻擊Server等問題�����。
本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述方法實(shí)施例的全部或部分步驟可 以通過(guò)程序指令相關(guān)的硬件來(lái)完成�����,前述程序可以存儲(chǔ)于一計(jì)算機(jī)可讀取存儲(chǔ) 介質(zhì)中�����,該程序在執(zhí)行時(shí)�����,執(zhí)行包括上述方法實(shí)施例的步驟����;而前述的存儲(chǔ)介 質(zhì)包括ROM����、 RAM���、磁碟或者光盤等各種可以存儲(chǔ)程序代碼的介質(zhì)��。
以上公開的僅為本發(fā)明的幾個(gè)具體實(shí)施例�,顯然��,本領(lǐng)域的技術(shù)人員可以 對(duì)本發(fā)明進(jìn)行各種改動(dòng)和變型而不脫離本發(fā)明的精神和范圍��。這樣����,倘若本發(fā) 明的這些修改和變型屬于本發(fā)明權(quán)利要求及其等同技術(shù)的范圍之內(nèi),則本發(fā)明 也意圖包含這些改動(dòng)和變型在內(nèi)���。
1權(quán)利要求
1��、一種保障網(wǎng)絡(luò)安全的方法���,其特征在于���,包括接收客戶端發(fā)送的動(dòng)態(tài)主機(jī)配置協(xié)議DHCP請(qǐng)求報(bào)文,所述DHCP請(qǐng)求報(bào)文經(jīng)過(guò)客戶端根據(jù)服務(wù)端與客戶端之間配置的加解密預(yù)共享信息進(jìn)行加密���,所述DHCP請(qǐng)求報(bào)文包含未經(jīng)加密的客戶端的媒體接入控制MAC地址;根據(jù)所述DHCP請(qǐng)求報(bào)文中包含的未經(jīng)加密的客戶端的MAC地址獲得服務(wù)器端與客戶端之間配置的加解密預(yù)共享信息����;根據(jù)所述加解密預(yù)共享信息對(duì)所述DHCP請(qǐng)求報(bào)文進(jìn)行解密,獲得所述DHCP請(qǐng)求報(bào)文的明文�����。
2�、 如權(quán)利要求1所述的保障網(wǎng)絡(luò)安全的方法�����,其特征在于,所述獲得 明文之后��,還包括��,構(gòu)造DHCP響應(yīng)報(bào)文�����,并根據(jù)所獲得的服務(wù)端與客戶端之間配置的加解密 預(yù)共享信息對(duì)所述DHCP響應(yīng)報(bào)文進(jìn)行加密后,發(fā)送所述加密后的DHCP響 應(yīng)報(bào)文給客戶端�,以^f吏客戶端根據(jù)所述服務(wù)端與客戶端之間配置的加解密預(yù)共 享信息,對(duì)所述加密后的DHCP響應(yīng)報(bào)文進(jìn)行解密��,獲得所述DHCP響應(yīng)報(bào) 文的明文��。
3�����、 如權(quán)利要求1所述的保障網(wǎng)絡(luò)安全的方法�,其特征在于,所述DHCP 請(qǐng)求報(bào)文具體為DHCP DISCOVER消息�����,或者DHCP REQUEST消息�����。
4�����、 如權(quán)利要求2所述的保障網(wǎng)絡(luò)安全的方法,其特征在于�����,當(dāng)所述DHCP請(qǐng)求才艮文具體為DHCP DISCOVER消息時(shí)����,所述DHCP響應(yīng) 報(bào)文為DHCP OFFER消息�����;或者當(dāng)所述DHCP請(qǐng)求才艮文具體為DHCP REQUEST消息時(shí)���,所述DHCP響應(yīng) 報(bào)文為DHCP ACK消息��。
5����、 如權(quán)利要求1所述的保障網(wǎng)絡(luò)安全的方法��,其特征在于�����,在根據(jù)所 述DHCP請(qǐng)求"^艮文中包含的未經(jīng)加密的客戶端的MAC地址獲得服務(wù)端與客戶端之間配置的加解密預(yù)共享信息之前,還包括預(yù)存儲(chǔ)客戶端的MAC地址與 加解密預(yù)共享信息之間的對(duì)應(yīng)關(guān)系��。
6���、 如權(quán)利要求1至5任意一項(xiàng)所述的保障網(wǎng)絡(luò)安全的方法�����,其特征在 于�,所述服務(wù)端與客戶端之間配置的加解密預(yù)共享信息包括報(bào)文的封裝模式���、 加解密算法����、認(rèn)證算法和密鑰�。
7、 如權(quán)利要求6所述的保障網(wǎng)絡(luò)安全的方法���,其特征在于�����,當(dāng)所述報(bào) 文的封裝模式是隧道模式時(shí)�,所述加解密預(yù)共享信息還包括隧道的IP頭。
8�����、 一種保障網(wǎng)絡(luò)安全的方法����,其特征在于,包括 根據(jù)服務(wù)端與客戶端之間配置的加解密預(yù)共享信息對(duì)DHCP請(qǐng)求報(bào)文進(jìn)行力口密����;根據(jù)經(jīng)過(guò)加密的DHCP請(qǐng)求報(bào)文,構(gòu)造包含客戶端MAC地址的DHCP請(qǐng) 求報(bào)文����;發(fā)送經(jīng)過(guò)力�����。密且包含客戶端MAC地址的DHCP請(qǐng)求報(bào)文給服務(wù)端��。
9����、 如權(quán)利要求8所述的保障網(wǎng)絡(luò)安全的方法��,其特征在于��,發(fā)送經(jīng)過(guò) 加密且包含客戶端MAC地址的DHCP請(qǐng)求報(bào)文給服務(wù)端之后���,還包括,接收所述服務(wù)端發(fā)送的DHCP響應(yīng)報(bào)文����,所述DHCP響應(yīng)報(bào)文為經(jīng)過(guò)所 述服務(wù)端根據(jù)所述服務(wù)端與客戶端之間配置的加解密預(yù)共享信息進(jìn)行加密后 的DHCP響應(yīng)報(bào)文,所述服務(wù)端與客戶端之間配置的加解密預(yù)共享信息為所述 服務(wù)端根據(jù)所述經(jīng)過(guò)力a密且包含客戶端MAC地址的DHCP請(qǐng)求報(bào)文所包含的 客戶端MAC地址獲取的���;根據(jù)所述服務(wù)端與客戶端之間配置的加解密預(yù)共享信息�,對(duì)接收到的 DHCP響應(yīng)報(bào)文進(jìn)行解密����,獲得所述DHCP響應(yīng)報(bào)文的明文。
10�、 一種DHCP服務(wù)端,其特征在于�,包括服務(wù)端接收單元,用于接收客戶端發(fā)送的DHCP請(qǐng)求報(bào)文����;所述DHCP 請(qǐng)求報(bào)文經(jīng)過(guò)客戶端根據(jù)服務(wù)端與客戶端之間配置的加解密預(yù)共享信息進(jìn)行 加密�����,DHCP請(qǐng)求報(bào)文包含未經(jīng)加密的客戶端的媒體接入控制MAC地址�����;服務(wù)端加解密信息獲取單元����,用于根據(jù)所述接收單元接收的DHCP請(qǐng)求報(bào) 文中包含的未經(jīng)加密的客戶端的MAC地址獲得服務(wù)端與客戶端之間配置的加 解密預(yù)共享信息�;服務(wù)端解密單元,用于根據(jù)所述服務(wù)端加解密信息獲取單元獲得的加解密 預(yù)共享信息對(duì)所述DHCP請(qǐng)求報(bào)文進(jìn)行解密����,獲得所述DHCP請(qǐng)求報(bào)文的明 文。
11��、 如權(quán)利要求IO所述的DHCP服務(wù)端��,其特征在于���,還包括 服務(wù)端報(bào)文構(gòu)造單元,用于構(gòu)造DHCP響應(yīng)報(bào)文,并根據(jù)所述服務(wù)端加解密信息獲取單元所獲得的服務(wù)端與客戶端之間配置的加解密預(yù)共享信息對(duì) DHCP響應(yīng)才艮文進(jìn)4亍加密�����;服務(wù)端發(fā)送單元�,用于發(fā)送加密后的DHCP響應(yīng)報(bào)文給客戶端,以使客戶 端根據(jù)服務(wù)端與客戶端之間配置的加解密預(yù)共享信息����,對(duì)所述加密后的DHCP 響應(yīng)報(bào)文進(jìn)行解密,獲得DHCP響應(yīng)報(bào)文的明文��。
12�、 一種DHCP客戶端,其特征在于����,包括客戶端加密單元,用于根據(jù)服務(wù)端與客戶端之間配置的加解密預(yù)共享信息 對(duì)DHCP請(qǐng)求報(bào)文進(jìn)行加密���;客戶端構(gòu)造單元�,用于根據(jù)經(jīng)過(guò)所述客戶端加密單元加密的DHCP請(qǐng)求報(bào) 文��,構(gòu)造包含客戶端的MAC地址的DHCP請(qǐng)求才艮文�;客戶端發(fā)送單元��,用于發(fā)送所述客戶端構(gòu)造單元構(gòu)造的經(jīng)過(guò)加密且包含客 戶端的MAC地址的DHCP請(qǐng)求報(bào)文給服務(wù)端��。
13�����、 如權(quán)利要求12所述的DHCP客戶端�,其特征在于��,還包括 客戶端接收單元�����,用于接收服務(wù)端發(fā)送的DHCP響應(yīng)報(bào)文�;所述DHCP響應(yīng)報(bào)文為經(jīng)過(guò)服務(wù)端根據(jù)服務(wù)端與客戶端之間配置的加解密預(yù)共享信息進(jìn) 行加密后的DHCP響應(yīng)報(bào)文,服務(wù)端與客戶端之間配置的加解密預(yù)共享信息為 服務(wù)端根據(jù)所述經(jīng)過(guò)加密且包含客戶端MAC地址的DHCP請(qǐng)求報(bào)文所包含 的客戶端MAC地址獲取的��;4客戶端解密單元���,用于根據(jù)服務(wù)端與客戶端之間配置的加解密預(yù)共享信息��,對(duì)所述客戶端接收單元接收到的DHCP響應(yīng)報(bào)文進(jìn)行解密,獲得DHCP 響應(yīng)才艮文的明文��。
14、 一種保障網(wǎng)絡(luò)安全的系統(tǒng)���,其特征在于���,包括如權(quán)利要求10或11 任意一項(xiàng)所述的DHCP服務(wù)端和如權(quán)利要求12或13任意一項(xiàng)所述的DHCP 客戶端。
全文摘要
本發(fā)明實(shí)施例公開了一種保障網(wǎng)絡(luò)安全的方法�����,包括接收客戶端發(fā)送的動(dòng)態(tài)主機(jī)配置協(xié)議DHCP請(qǐng)求報(bào)文���,所述DHCP請(qǐng)求報(bào)文經(jīng)過(guò)客戶端根據(jù)服務(wù)端與客戶端之間配置的加解密預(yù)共享信息進(jìn)行加密�����,所述DHCP請(qǐng)求報(bào)文包含未經(jīng)加密的客戶端的媒體接入控制MAC地址���;根據(jù)所述DHCP請(qǐng)求報(bào)文中包含的未經(jīng)加密的客戶端的MAC地址獲得服務(wù)器端與客戶端之間配置的加解密預(yù)共享信息;根據(jù)所述加解密預(yù)共享信息對(duì)所述DHCP請(qǐng)求報(bào)文進(jìn)行解密����,獲得所述DHCP請(qǐng)求報(bào)文的明文。本發(fā)明實(shí)施例還公開了保障網(wǎng)絡(luò)安全的系統(tǒng)�����、DHCP服務(wù)端和客戶端,可以對(duì)采用DHCP技術(shù)進(jìn)行IP地址自動(dòng)配置的過(guò)程進(jìn)行安全保障���。
文檔編號(hào)H04L29/06GK101640690SQ20091018990
公開日2010年2月3日 申請(qǐng)日期2009年8月27日 優(yōu)先權(quán)日2009年8月27日
發(fā)明者遒 方 申請(qǐng)人:華為技術(shù)有限公司