技術(shù)領(lǐng)域

本發(fā)明涉及通信技術(shù)，特別涉及保障網(wǎng)絡(luò)安全的方法、系統(tǒng)及DHCP 服務(wù)端和客戶端。

背景技術(shù)

DHCP(Dynamic?Host?Configuration?Protocol，動(dòng)態(tài)主機(jī)配置協(xié)議)是一 個(gè)為主機(jī)自動(dòng)配置IP(Internet?Protocol，網(wǎng)際協(xié)議)地址的協(xié)議，采用 CLIENT-SERVER(客戶端-服務(wù)端)方式實(shí)現(xiàn)，基于UDP(User?Datagram Protocol，用戶數(shù)據(jù)報(bào)協(xié)議)層之上的應(yīng)用，UDP端口號(hào)采用知名端口號(hào)封裝， CLIENT使用68，SERVER使用67。

在基站上電啟動(dòng)過程中，如果沒有配置本端和上級(jí)網(wǎng)元IP地址(包括但 不限于基站控制器、核心網(wǎng)或者網(wǎng)管系統(tǒng))或者IP地址配置不對(duì)，則無法和 上級(jí)網(wǎng)元建立維護(hù)通道，進(jìn)而下載正確的軟件版本后啟動(dòng)。此時(shí)，采用DHCP 技術(shù)，基站作為DHCP?CLIENT，上級(jí)網(wǎng)元作為DHCP?SERVER(或者有專門 的DHCP?SERVER服務(wù)器)，DHCP?CLIENT向DHCP?SERVER申請(qǐng)IP地址， 則可以建立基站和上級(jí)網(wǎng)元之間的維護(hù)通道，進(jìn)而下載正確的軟件版本后啟 動(dòng)。

在本發(fā)明的研究過程中，發(fā)明人發(fā)現(xiàn)現(xiàn)有的IP網(wǎng)絡(luò)中的安全保障，比如 IPsec(網(wǎng)際安全)協(xié)議，必須先明確對(duì)端的IP地址，才能夠開始進(jìn)行協(xié)商， 從而對(duì)IP網(wǎng)絡(luò)的傳輸進(jìn)行安全保障。而在基站上電啟動(dòng)時(shí)，如果配置文件不 對(duì)或者沒有配置文件的情況下，對(duì)端的IP地址不明確，則現(xiàn)有的IP網(wǎng)絡(luò)中的 安全保障無法覆蓋采用DHCP技術(shù)進(jìn)行IP地址的自動(dòng)配置過程。

發(fā)明內(nèi)容

有鑒于此，本發(fā)明實(shí)施例提供了一種保障網(wǎng)絡(luò)安全的方法、系統(tǒng)和DHCP 服務(wù)端和客戶端，以對(duì)采用DHCP技術(shù)進(jìn)行IP地址自動(dòng)配置的過程進(jìn)行安全 保障。

本發(fā)明實(shí)施例提供了一種保障網(wǎng)絡(luò)安全的方法，包括

接收客戶端發(fā)送的動(dòng)態(tài)主機(jī)配置協(xié)議DHCP請(qǐng)求報(bào)文，所述DHCP請(qǐng)求 報(bào)文經(jīng)過客戶端根據(jù)服務(wù)端與客戶端之間配置的加解密預(yù)共享信息進(jìn)行加密， 所述DHCP請(qǐng)求報(bào)文包含未經(jīng)加密的客戶端的媒體接入控制MAC地址；

根據(jù)所述DHCP請(qǐng)求報(bào)文中包含的未經(jīng)加密的客戶端的MAC地址獲得服 務(wù)器端與客戶端之間配置的加解密預(yù)共享信息；

根據(jù)所述加解密預(yù)共享信息對(duì)所述DHCP請(qǐng)求報(bào)文進(jìn)行解密，獲得所述 DHCP請(qǐng)求報(bào)文的明文。

本發(fā)明實(shí)施例還提供了一種保障網(wǎng)絡(luò)安全的方法，包括

根據(jù)服務(wù)端與客戶端之間配置的加解密預(yù)共享信息對(duì)DHCP請(qǐng)求報(bào)文進(jìn) 行加密；

根據(jù)經(jīng)過加密的DHCP請(qǐng)求報(bào)文，構(gòu)造包含客戶端MAC地址的DHCP請(qǐng) 求報(bào)文；

發(fā)送經(jīng)過加密且包含客戶端MAC地址的DHCP請(qǐng)求報(bào)文給服務(wù)端。

本發(fā)明實(shí)施例還提供了一種DHCP服務(wù)端，包括：

服務(wù)端接收單元，用于接收客戶端發(fā)送的DHCP請(qǐng)求報(bào)文；所述DHCP 請(qǐng)求報(bào)文經(jīng)過客戶端根據(jù)服務(wù)端與客戶端之間配置的加解密預(yù)共享信息進(jìn)行 加密，DHCP請(qǐng)求報(bào)文包含未經(jīng)加密的客戶端的媒體接入控制MAC地址；

服務(wù)端加解密信息獲取單元，用于根據(jù)所述接收單元接收的DHCP請(qǐng)求報(bào) 文中包含的未經(jīng)加密的客戶端的MAC地址獲得服務(wù)端與客戶端之間配置的加 解密預(yù)共享信息；

服務(wù)端解密單元，用于根據(jù)所述服務(wù)端加解密信息獲取單元獲得的加解密 預(yù)共享信息對(duì)所述DHCP請(qǐng)求報(bào)文進(jìn)行解密，獲得所述DHCP請(qǐng)求報(bào)文的明 文。

本發(fā)明實(shí)施例還提供了一種DHCP客戶端，其特征在于，包括

客戶端加密單元，用于根據(jù)服務(wù)端與客戶端之間配置的加解密預(yù)共享信息 對(duì)DHCP請(qǐng)求報(bào)文進(jìn)行加密；

客戶端構(gòu)造單元，用于根據(jù)經(jīng)過所述客戶端加密單元加密的DHCP請(qǐng)求報(bào) 文，構(gòu)造包含客戶端的MAC地址的DHCP請(qǐng)求報(bào)文；

客戶端發(fā)送單元，用于發(fā)送所述客戶端構(gòu)造單元構(gòu)造的經(jīng)過加密且包含客 戶端的MAC地址的DHCP請(qǐng)求報(bào)文給服務(wù)端。

本發(fā)明實(shí)施例還提供了一種保障網(wǎng)絡(luò)安全的系統(tǒng)，包括以上實(shí)施例中描述 的DHCP服務(wù)端和DHCP客戶端。