本发明专利技术涉及一种获取动态主机配置协议密钥的方法、服务器及客户端装置,方法包括接收DHCP客户端发送的客户端公钥;使用Diffie-Hellman算法计算服务器端私钥;对服务器端私钥及客户端公钥进行Diffie-Hellman计算获得主密钥。服务器包括接收单元、密钥生成单元及主密钥生成单元。客户端装置包括密钥生成单元、接收单元及主密钥生成单元。本发明专利技术还涉及一种DHCP系统,包括服务器及客户端装置。DHCP客户端和服务器端通过DH协商主密钥,使得每次会话都使用不同的会话密钥,增强了DHCP会话的安全性。并且,DHCP客户端和服务器端也不需要长期存储主密钥和共享密钥,减少了共享密钥分发带来的管理负担。
【技术实现步骤摘要】
本专利技术涉及移动网络通信
,尤其涉及一种获取动态主机配置协议(Dynamic Host Configuration Protocol,DHCP)密钥的方法、服务器、客户端装置及DHCP系统。
技术介绍
随着移动网络的发展和扩大,基站(Base Station,BS)设备由传统的宏基站往微型基站、家用基站发展,因此这种BS设备的需求量成数以百计的增长。同时,客户或用户要求买回的这类设备能即插即用,原先移动网络应用中,BS等网元的IP地址及其接入网络时的一些通信实体(如网关)的IP地址,由现场操作人员手工配置的方式已不能满足市场需求。为节约劳动成本、简化管理,DHCP协议被应用于这类移动网络设备的IP地址分配等应用场景,以实现该类设备的IP地址自动分配和获取。但是,DHCP协议是一种不需要进行身份认证的协议,毫无安全性可言,容易给运营网络带严重的安全隐患。比如:攻击者不断变换物理地址,尝试申请一个DHCP域中所有的地址,耗尽DHCP服务器端(Server)地址池中的地址,导致其他正常用户无法获得地址;当租约用户或用户登录的设备接入网络时,用户或设备不需要提供信任凭证即可获取租期,任意DHCP客户端(Client)都可以向DHCP Server获取IP地址的使用租约,这样,恶意的用户就可以向DHCP Server发起拒绝服务(Denial of Service,DoS)攻击,以耗尽DHCP Server的IP地址租约,从而拒绝合法用户的租约请求;由于DHCP请求报文以广播形式发送,所以DHCP Server仿冒者可以侦听到,并且回应错误的网关、域名系统(Domain Name System,DNS)、IP地址,比如-->IP地址的副本、不正确的路由信息,比如非法路由器、获取合法的DHCP Client信息等等。现有技术中,为了提高DHCP的安全性,RFC3118标准定义了DHCP消息认证选项——DHCP Option90。RFC3118标准利用DHCP Option 90定义了一种延迟认证(Delayedauthentication)方法。RFC3118标准还在附录里提出一种密钥管理技术,对密钥进行安全管理。为了避免服务器端集中管理一系列随机密钥,对每个客户端通信使用的会话密钥K是根据二元组(客户端标识、子网地址)计算出来的,并且对每个客户端而言都是唯一的。专利技术人在实现本专利技术的过程中,发现现有技术至少存在以下缺陷:会话密钥存在安全隐患,安全可靠性较低。
技术实现思路
本专利技术实施例的目的在于提出一种获取动态主机配置协议密钥的方法、服务器、客户端装置及DHCP系统,以增强DHCP会话的安全性。本专利技术实施例提供了一种获取动态主机配置协议密钥的方法,包括:接收DHCP客户端发送的客户端公钥;使用Diffie-Hellman算法计算服务器端私钥;对所述服务器端私钥及客户端公钥进行Diffie-Hellman计算获得主密钥。本专利技术实施例提供了一种获取动态主机配置协议密钥的方法,包括:使用Diffie-Hellman计算获得客户端私钥;接收DHCP服务器端发送的服务器端公钥;对所述服务器端公钥及所述客户端私钥进行Diffie-Hellman计算,获得客户端主密钥。-->本专利技术实施例还提供了一种服务器,包括:接收单元,用于接收DHCP客户端发送的客户端公钥;密钥生成单元,用于使用Diffie-Hellman算法计算服务器端私钥;主密钥生成单元,用于对所述服务器端私钥及客户端公钥进行Diffie-Hellman计算获得主密钥。本专利技术实施例还提供了一种客户端装置,包括:密钥生成单元,用于使用Diffie-Hellman计算获得客户端私钥;接收单元,用于接收DHCP服务器端发送的服务器端公钥;主密钥生成单元,用于对所述服务器端公钥及客户端私钥进行Diffie-Hellman计算,获得客户端主密钥。本专利技术实施例还提供了一种动态主机配置协议系统,包括上述方案中的服务器及客户端装置。上述实施例中,DHCP客户端和服务器端通过Diffie-Hellman(DH)协商主密钥,使得每次会话都使用不同的会话密钥,保证了一个会话一个密钥,增强了DHCP会话的安全性。并且,DHCP客户端和服务器端也不需要长期存储主密钥和共享密钥,减少了共享密钥分发带来的管理负担。下面通过附图和实施例,对本专利技术的技术方案做进一步的详细描述。附图说明图1为本专利技术获取动态主机配置协议密钥的方法实施例的流程图;图2A为本专利技术获取动态主机配置协议密钥的方法实施例中DHCPDISCOVER消息认证选项及DHCPOFFER消息认证选项的设置示意图;图2B为本专利技术获取动态主机配置协议密钥的方法实施例中DHCPREQUEST消息认证选项及DHCP其它消息认证选项的设置示意图;图3为本专利技术服务器实施例的结构示意图;-->图4为本专利技术客户端装置实施例的结构示意图。具体实施方式专利技术人在实现本专利技术各实施例的过程中发现:由于事先计算出的会话密钥K需要通过安全的途径分发到所有客户端进行存储,使得会话密钥K在时间较长的情况下容易被泄露或破解,导致安全性大大降低;同时,对于不同的DHCP服务器端,客户端需要保存多个或多组会话密钥;通过安全途径分发的过程也存在安全隐患,如,这种途径要么在产品出厂是预先存储,要么在开局时采用拷贝方式,都容易出错,出现把其它客户端的密钥配给另一个客户端的问题。并且,由于DHCP服务器端需要存储主密钥(Master Secret Key,MSK),同样存在长时间的情况下被泄露或破解的危险。另外,会话密钥自动更新复杂。当客户端的密钥K或服务器端的MSK过期或者泄露时,更新过程复杂,特别是使用上述密钥管理技术,一旦MSK被泄露或破解,所有的客户端都需要更新,不能保证一个会话一个密钥。综上,本专利技术实施例服务器端获取动态主机配置协议密钥的方法可包括:接收DHCP客户端发送的客户端公钥;使用DH算法计算服务器端私钥及服务器端公钥;对所述服务器端私钥及客户端公钥进行DH计算获得主密钥。本实施例中,客户端公钥及DH算法指示标识等用于DH算法协商的数据可通过标准RFC3118中的认证选项Option 90承载传输,也可在DHCP消息中另增加选项或字段承载传输,如重新定义一个DHCP Option选项,其值不等于90。DH算法中,有两个全局公开的参数:一个素数p和一个整数g,g是p的一个原根。DH算法指示标识为指示<素数p、原根g>组的DH算法的GroupID。其中,Group ID与DH算法采用的<素数p、原根g>值相对应,Group ID-->不同,相应进行DH计算时所采用的<素数p、原根g>值也不同。假设客户端和服务器端希望共享一个密钥,客户端选择一个伪随机数XC<(p-1)/2作为其私有密钥,并计算公开密钥YC=gXCmod p。为便于描述,这里将该算法的不公开的参数称为私钥,将可公开密钥称为公钥,下同。客户端对XC的值保密存放而使YC能被服务器端公开获得或直接发送给服务器端,类似地,服务器端选择一个私有的伪随机数XS<(p-1)/2,并计算其公开密钥YS=gXSmod p。服务器端对XS的值保密存放而使YS能被本文档来自技高网...
【技术保护点】
一种获取动态主机配置协议密钥的方法,其特征在于,包括: 接收DHCP客户端发送的客户端公钥; 使用Diffie-Hellman算法计算服务器端私钥; 对所述服务器端私钥及客户端公钥进行Diffie-Hellman计算获得主密钥。
【技术特征摘要】
1、一种获取动态主机配置协议密钥的方法,其特征在于,包括:接收DHCP客户端发送的客户端公钥;使用Diffie-Hellman算法计算服务器端私钥;对所述服务器端私钥及客户端公钥进行Diffie-Hellman计算获得主密钥。2、根据权利要求1所述的获取动态主机配置协议密钥的方法,其特征在于,还包括:根据源于所述DHCP客户端的客户端标识获得密钥物料;用所述主密钥及密钥物料生成共享密钥。3、根据权利要求1或2所述的获取动态主机配置协议密钥的方法,其特征在于,还包括:接收所述DHCP客户端发送的Diffie-Hellman算法指示标识;使用Diffie-Hellman算法时采用所述Diffie-Hellman算法指示标识所指示的参数进行计算。4、根据权利要求1或2所述的获取动态主机配置协议密钥的方法,其特征在于,所述客户端公钥通过DHCP认证选项承载传输。5、一种获取动态主机配置协议密钥的方法,其特征在于,包括:使用Diffie-Hellman计算获得客户端私钥;接收DHCP服务器端发送的服务器端公钥;对所述服务器端公钥及所述客户端私钥进行Diffie-Hellman计算,获得客户端主密钥。6、根据权利要求5所述的获取动态主机配置协议密钥的方法,其特征在于,还包括:使用所述客户端主密钥计算获得客户端共享...
【专利技术属性】
技术研发人员:吴颂期,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:94[中国|深圳]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。