[发明专利]一种地址自动分配协议安全认证方法及设备

说明书

本申请涉及一种地址自动分配协议安全认证方法及设备，所述方法包括：地址分配服务器在认证服务器上注册，并接收认证服务器生成的公钥、私钥和共享密钥；地址分配服务器广播地址发布报文，并通过私钥对地址报文进行数字签名；地址分配服务器接收客户机验证地址报文后生成的访问票据和客户机的身份认证标识；地址分配服务器根据访问票据和身份认证标识验证客户机的身份；当客户机的身份验证通过时，地址分配服务器发送分配地址报文至客户机。本申请提供的技术方案既可以认证地址分配服务器，还可以证客户机，还可以通过第三方认证服务器进行相互认证，有效避免了攻击者恶意广播非法地址，恶意主机申请地址以耗费合法地址等情况。

技术领域

本发明属于网络安全技术领域，尤其涉及一种地址自动分配协议安全认证方法及设备。

背景技术

随着数据中心规模的扩大和虚拟化的引入，除了带来了物理设备的增加，数据中心的服务器、存储和网络的虚拟化更是带来了虚拟设施的指数增长。由于每个虚拟机都拥有唯一的MAC地址(Media Access Control Address，局域网地址)，这导致了MAC地址的消耗急剧上升，因此MAC地址空间容量有不足的隐患。其次，MAC地址一旦分配就不能改变。这些问题带来了数据中心中的许多其他的问题，比如：路由转发耗时长、引发广播风暴和设备迁移的不方便等等。

对于本地MAC地址的自动分配方法，主要包括地址集中分配管理和分布式分配管理。其中，服务器集中分配方案中，服务器周期性主动向网络发布合法的本地地址块，并通过地址资源池集中管理网段内所有主机的本地地址信息；分布式地址分配方案中，主机通过向周围节点申请地址的方式获得本地地址，每个拥有本地地址的节点都维护一个地址资源池以向周围节点提供地址；主机还可以通过自申明的方式获得本地地址，通过某种算法随机自动生成地址串并加以冲突检测，从而保证本地地址的合法有效。

然而在本地MAC地址的自动分配技术中，存在着网络安全隐患。比如主机通过地址分配服务器获得本地地址的过程中，非法用户很容易申请到本地地址，这样很容易发生攻击者恶意消耗本地地址资源、攻击网络的问题；在地址分配服务器周期性广播本地地址的过程中，攻击者很容易冒充服务器非法散播恶意地址，造成无法正常通信。

发明内容

为了解决本地MAC地址自动分配过程中存在的安全隐患的问题，本申请提供了一种地址自动分配协议安全认证方法、装置、计算机设备和存储介质，提高地址分配过程中的安全性，实现本地MAC地址的安全分配。

本申请提供了一种地址自动分配协议安全认证方法，应用于包括地址分配服务器、认证服务器和客户机的网络中，包括：

地址分配服务器在认证服务器上注册，并接收认证服务器生成的公钥、私钥和共享密钥；

地址分配服务器广播地址发布报文，并通过私钥对地址报文进行数字签名；

地址分配服务器接收客户机验证地址报文后生成的访问票据和客户机的身份认证标识；

地址分配服务器根据访问票据和身份认证标识验证客户机的身份；

当客户机的身份验证通过时，地址分配服务器发送分配地址报文至客户机。

进一步的，所述地址分配服务器在认证服务器上注册，并接收认证服务器生成的公钥、私钥和共享密钥，包括：

地址分配服务器与认证服务器设定共享密钥；

地址分配服务器接收认证服务器发送的经过共享密钥加密后的私钥；

地址分配服务器解密所述经过共享密钥加密后的私钥，得到私钥。

进一步的，所述地址分配服务器根据访问票据和身份认证标识验证客户机的身份，包括：

地址分配服务器使用私钥解密所述访问票据，使用与认证服务器的共享密钥解密所述身份认证标识；