技術領域

本發明涉及動態主機配置協議（DHCP，Dynamic?Host?Configuration?Protocol，特別涉及一種基于DHCP的認證方法及系統。

背景技術

動態主機設置協議（DHCP，Dynamic?Host?Configuration?Protocol）是一個局域網的網絡協議，使用用戶數據包協議（UDP）工作，可自動將IP地址指派給登錄傳輸控制協議/網間協議（TCP/IP）網絡的用戶端。DHCP協議是基于UDP層之上的應用，服務器使用的UDP端口號為67，客戶端使用的UDP端口號為68。

DHCP中有一個可選項參數域（option），其是允許廠商定議選項(Vendor-SpecificArea)，以提供更多的設定資訊(如：網絡標識（Netmask）、網關（Gateway）、地址解析服務器（DNS）等等)。其長度可變，同時可攜帶多個選項，每一選項的第一個字節（byte）為選項編碼如43、60、90等，其后一個byte為該項資料長度，最后為項目內容。

以基站作為DHCP客戶端為例，基站設備在開局時要求只需要硬件安裝人員，而不需要專業的技術人員到現場進行配置，或者用戶買回設備后即插即用，這就需要設備能自動發現和配置，比如自動獲取IP地址、網管IP地址、業務通道上的關鍵設備的IP地址等，而DHCP作為一種高效的IP地址分配方法通常被應用于此，但是DHCP在設計時沒有考慮本身的安全問題，容易受到攻擊，存在嚴重的安全隱患。

目前的安全解決方案是采用延遲認證的方法來保證DHCP的安全，該方法通過定義DHCP?Option90提供了兩種功能：DHCP對端身份認證和DHCP消息的驗證；在該延遲認證方法中客戶端與DHCP服務器共享一個密鑰。

參見圖1，其是現有的DHCP采用延遲認證的方法流程圖，本例中以基站（BS）作為DHCP的客戶端（Client），來說明其如何與DHCP的服務器（Server）端建立連接。

步驟1，在DHCP客戶端廣播的DHCP發現（DHCP?Discover）消息里攜帶認證選項Option90，用以通知服務器需要進行認證，同時攜帶客戶端身份標識。這個身份標識對DHCP服務器或者認證服務器來說應該是唯一的，或者與其他信息字段組成一個唯一能標識DHCP客戶端身份的標識，然后向其本地子網廣播該消息；

其中，Option90的含義是：認證資訊代碼即認證選項編碼是90；還包括長度域，協議域、算法域，重放檢測（Replay?Detection）域和認證信息域，其中，協議域定義了選項中用于認證的技術；算法域中定義了專用的算法，如遠端調用管理（RDM，Remote?Deployment?Manager），其是一種系統管理工具；延遲發現（Replay?Detection）域是針對每一個RDM的；認證信息也是針對每個協議的；如果協議域是0，認證信息將保留一個簡單的配置標識，用于傳輸明文配置標識或提供很弱的身份認證。接收端通過匹配認證，決定是否接收消息；

步驟2，網絡上的DHCP服務器（可能不止一個）收到該消息后，如果判斷其可以提供服務，則根據客戶端的標識和共享密鑰計算出會話密鑰K，并用會話密鑰K計算該消息的認證碼，填充Option90選項，構造DHCP提供（DHCPOFFER）消息；然后，DHCP服務器將DHCPOFFER消息發送給DHCP客戶端；這里，會話密鑰K=MAC(MK,unique-id)，其中MAC是消息認證碼（Messege?Authentication?Code），MK是主密鑰即服務器與客戶端共享的密鑰，unique-id代表唯一標識，

步驟3，DHCP客戶端收到DHCPOFFER消息后，使用其本地存儲的會話密鑰K，按要求驗證Option90選項里的授權信息（Authentication?Information）是否正確，如果驗證失敗，則根據其本地的安全策略進行相應的處理，如果DHCP客戶端收到多個DHCPOFFER，會按照某種策略選擇一個DHCP服務器。然后DHCP客戶端構造DHCP請求（DHCPREQUEST）消息，并用會話密鑰K計算該消息的認證碼，填充Option90選項；DHCP客戶端向選中的DHCP服務器發送DHCPREQUEST消息，請求服務；