技術領域

本發明屬于網絡安全技術領域，特指一種輕量級地址自動分配協議安全認證方法。

背景技術

DHCP協議(DynamicHostConfigurationProtocol)作為最有用的網絡協議之一，它的提 出不但方便了網絡管理員對IP地址的分配管理和用戶對網絡IP地址的使用，而且還解決了 IPv4網絡地址不足的一些問題。但是，此協議在提出時并未考慮安全認證問題。隨著網絡的 發展和移動設備的廣泛使用，DHCP安全缺陷越來越突顯。DHCP協議安全漏洞主要包括以 下幾個方面：

(1)由于協議自身沒有訪問控制和實體認證，所以任何一個用戶不管是否有使用網絡資 源的權限都可以從DHCP服務器獲得IP地址及相關的配置信息從而使用網絡。如果說網絡攻 擊者對DHCP服務器進行攻擊完全可以把有效的IP地址資源耗盡，導致合法的用戶不能申請 到IP地址而造成Dos攻擊。

(2)由于DHCP協議發送報文完全使用的是明文而且也沒有消息認證，這就存在很大的 消息篡改的風險。攻擊者可以攔截DHCP報文然后對其進行修改，這就可能造成DHCP客戶 端申請的IP地址不可用或者說會有地址沖突。如果攻擊者修改了服務器提供配置信息中的網 關和DNS信息就可能造成更大的危險比如：①用戶的訪問網絡必須會經過攻擊者修改的網 關，這樣就可以對其進行流量分析；②攻擊者惡意DNS服務器可以誘導用戶訪問釣魚網站從 而獲取用戶重要的信息。

(3)如果說網絡中存在流氓DHCP服務器同樣會給用戶很大的安全威脅。流氓服務器采 用一定的方式消耗盡DHCP服務器的有效的IP地址資源，然后就會對用戶的DHCP請求進 行應答。由于DHCP客戶端不會對服務器進行認證所以客戶端就會配置非法服務器提供的IP 地址和網絡配置信息。進而會對網絡造成更大的危害。

總的概括來說，DHCP安全漏洞主要是由于協議本身缺少安全認證機制(消息認證和實 體認證)。

目前，為了解決上述問題，傳統的解決方案主要包括：

(1)簡單的實體認證，比如采用檢測客戶Mac地址或令牌認證等都是提供弱的實體認證 沒有消息認證。這種認證方式很容易受攻擊，攻擊者會偽裝能通過認證的Mac地址或者令牌。

(2)需要與第三方服務器交互，比如RAIDUS、KerberosV服務器，就會產生額外的通 信消耗，這就造成DHCP靈活性和高效性大大的下降。

(3)修改了原DHCP協議，比如提出對報文加密或引入新的狀態(DHCP協議采用狀態 機驅動的)。這樣就會造成與原協議兼容性問題，產生使用的局限性。

(4)數字證書作為認證手段，由于證書一般比較大，所以不能添加到DHCP報文中進行 傳輸，因為DHCP報文不能分割并且長度最大只能1236個字節(IP頭20個字節，UDP頭8 個字節，DHCP消息頭236個字節)，可以作為Option使用，這樣就存在證書分發的問題。

發明內容

本發明要解決的技術問題就在于：針對現有技術存在的技術問題，本發明提供一種原理 簡單、易實現、兼容性好、安全性更高的輕量級地址自動分配協議安全認證方法。

為解決上述技術問題，本發明采用以下技術方案：

一種輕量級地址自動分配協議安全認證方法，其步驟為：

S1：服務器使用Hash(Mac+Ks)為每個客戶端計算Key，其中Mac是每個客戶端的唯 一標示即鏈路層地址，客戶端私密保存Key以備認證模塊使用；

S2：客戶端認證模塊使用Hash(currentTime+Key)算法并利用系統當前時間計算得Kcs， 其中Hash法在Option格式的算法一項中設定，然后消息報文結合Kcs使用Hash (DHCPDiscover+Kcs)產生MAC，將MAC添加到Option的認證消息字段，將客戶端產生 的DHCPDiscover消息發送到DHCP服務端；