[发明专利]一种认证方法及系统

说明书

技术领域

本发明涉及动态主机配置协议(DHCP，Dynamic Host Configuration Protocol，特别涉及一种基于DHCP的认证方法及系统。

背景技术

动态主机设置协议(DHCP，Dynamic Host Configuration Protocol)是一个局域网的网络协议，使用用户数据包协议(UDP)工作，可自动将IP地址指派给登录传输控制协议/网间协议(TCP/IP)网络的用户端。DHCP协议是基于UDP层之上的应用，服务器使用的UDP端口号为67，客户端使用的UDP端口号为68。

DHCP中有一个可选项参数域(option)，其是允许厂商定议选项(Vendor-SpecificArea)，以提供更多的设定资讯(如：网络标识(Netmask)、网关(Gateway)、地址解析服务器(DNS)等等)。其长度可变，同时可携带多个选项，每一选项的第一个字节(byte)为选项编码如43、60、90等，其后一个byte为该项资料长度，最后为项目内容。

以基站作为DHCP客户端为例，基站设备在开局时要求只需要硬件安装人员，而不需要专业的技术人员到现场进行配置，或者用户买回设备后即插即用，这就需要设备能自动发现和配置，比如自动获取IP地址、网管IP地址、业务通道上的关键设备的IP地址等，而DHCP作为一种高效的IP地址分配方法通常被应用于此，但是DHCP在设计时没有考虑本身的安全问题，容易受到攻击，存在严重的安全隐患。

目前的安全解决方案是采用延迟认证的方法来保证DHCP的安全，该方法通过定义DHCP Option90提供了两种功能：DHCP对端身份认证和DHCP消息的验证；在该延迟认证方法中客户端与DHCP服务器共享一个密钥。

参见图1，其是现有的DHCP采用延迟认证的方法流程图，本例中以基站(BS)作为DHCP的客户端(Client)，来说明其如何与DHCP的服务器(Server)端建立连接。

步骤1，在DHCP客户端广播的DHCP发现(DHCP Discover)消息里携带认证选项Option 90，用以通知服务器需要进行认证，同时携带客户端身份标识。这个身份标识对DHCP服务器或者认证服务器来说应该是唯一的，或者与其他信息字段组成一个唯一能标识DHCP客户端身份的标识，然后向其本地子网广播该消息；

其中，Option 90的含义是：认证资讯代码即认证选项编码是90；还包括长度域，协议域、算法域，重放检测(Replay Detection)域和认证信息域，其中，协议域定义了选项中用于认证的技术；算法域中定义了专用的算法，如远端调用管理(RDM，Remote Deployment Manager)，其是一种系统管理工具；延迟发现(Replay Detection)域是针对每一个RDM的；认证信息也是针对每个协议的；如果协议域是0，认证信息将保留一个简单的配置标识，用于传输明文配置标识或提供很弱的身份认证。接收端通过匹配认证，决定是否接收消息；

步骤2，网络上的DHCP服务器(可能不止一个)收到该消息后，如果判断其可以提供服务，则根据客户端的标识和共享密钥计算出会话密钥K，并用会话密钥K计算该消息的认证码，填充Option 90选项，构造DHCP提供(DHCPOFFER)消息；然后，DHCP服务器将DHCPOFFER消息发送给DHCP客户端；这里，会话密钥K＝MAC(MK，unique-id)，其中MAC是消息认证码(Messege Authentication Code)，MK是主密钥即服务器与客户端共享的密钥，unique-id代表唯一标识，

步骤3，DHCP客户端收到DHCPOFFER消息后，使用其本地存储的会话密钥K，按要求验证Option 90选项里的授权信息(Authentication Information)是否正确，如果验证失败，则根据其本地的安全策略进行相应的处理，如果DHCP客户端收到多个DHCPOFFER，会按照某种策略选择一个DHCP服务器。然后DHCP客户端构造DHCP请求(DHCPREQUEST)消息，并用会话密钥K计算该消息的认证码，填充Option 90选项；DHCP客户端向选中的DHCP服务器发送DHCPREQUEST消息，请求服务；