專利名稱:密鑰分發(fā)方法��、設備及系統(tǒng)的制作方法
技術領域:
本發(fā)明涉及通信網(wǎng)絡中的安全管理領域��,特別涉及在釆用動態(tài)主機配置協(xié)
議(DHCP)進行通信的系統(tǒng)中�����,進行密鑰分發(fā)的方法��,和該方法中所需要用到 的i殳備���,以及這些i殳備組成的系統(tǒng)。
背景技術:
DHCP協(xié)議的主要作用是動態(tài)地為客戶端分配IP地址��,并進行網(wǎng)絡配置�����。但 DHCP協(xié)議分配IP地址的方法存在網(wǎng)絡安全的漏洞��,容易受到網(wǎng)絡攻擊者的攻擊��。 在DHCP服務器和DHCP客戶端之間傳輸數(shù)據(jù)時��,或者DHCP服務器和DHCP中繼 之間傳輸數(shù)據(jù)時,所傳輸?shù)臄?shù)據(jù)報文可能會被篡改���。為了防止所傳輸?shù)臄?shù)據(jù)報 文被篡改���,IETF (互聯(lián)網(wǎng)工程任務組)制定了 RFC3118 (RFC: Request For Comments,請求注解),該RFC3118中要求對DHCP的每條才艮文進行完整性認證���, 這種驗證是在DHCP客戶端和DHCP服務器端之間進行的。另外IETF還制定的 RFC4030,用于驗證DHCP中繼和DHCP服務器之間信息的完整性���。這兩篇RFC所 使用的方法都是建立在雙方有密鑰的基礎上的��。
為了實現(xiàn)RFC4030所規(guī)定的完整性認證��,現(xiàn)有技術中提出了一種分發(fā)會話 密鑰的方法��。密鑰都通過AAA協(xié)議(認證�、授權���、計費協(xié)議)分發(fā)到DHCP中繼 禾口DHCP月良務器����,比》口通過Radius十辦i義(Remote Authentication Dial In User Service:遠程用戶撥號認證系統(tǒng))將會話密鑰分發(fā)到DHCP中繼和DHCP服務器, 如圖1所示���,具體步驟如下
1��、 DHCP中繼向AAA服務器發(fā)送Access-Request (接入請求)才艮文��,該報 文中包含DHCP服務器的身份標識(ID )���。
2、 AAA月良務器收到Access-Request后����,向DHCP中繼回復Access—Accept (接入允許)報文,該報文里會攜帶該DHCP中繼所對應的DHCP服務器ID,以
及將要被DHCP服務器和DHCP中繼之間使用的根密鑰(以DHCP-RK表示)��。
3����、 DHCP客戶端發(fā)送DHCPDISCOVER凈艮文給DHCP中繼。
4���、 DHCP中繼按照正常流程將DHCPDISCOVER報文轉發(fā)給DHCP服務器����,并且
8添加了基于DHCP中繼信息子選項的驗證碼;該驗證碼是依據(jù)DHCP-RK計算出的���。
5����、 DHCP服務器收到DHCPDISCOVER報文后���,發(fā)現(xiàn)存在DHCP中繼子選項的一瞼 證碼����,則向AAA服務器發(fā)送Access-Request報文��,并攜帶DHCP服務器的ID�����。
6�����、 AAA服務器在回復DHCP服務器的Access-Accept才艮文里��,攜帶根密鑰 DHCP-RK�����。
經(jīng)過上述流程后�����,DHCP月良務器和DHCP中繼之間l更可以-使用^f艮密鑰DHCP-RK 或者根密鑰的衍生子密鑰進行完整性認證����,之后,DHCP服務器還需要通過DHCP 中繼向DHCP客戶端發(fā)送DHCPOFFER才艮文(見圖l的步驟7和步驟8)��。
在上述分發(fā)密鑰的過程中����,由于DHCP中繼和DHCP服務器都同時作為AAA 客戶端使用,所以����,DHCP中繼和DHCP服務器都可以從AAA服務器上通過AAA協(xié) 議直接獲取根密鑰。現(xiàn)有網(wǎng)絡中DHCP中繼一般同時作為AAA客戶端��,可以支持 AAA協(xié)議����,但DHCP服務器卻一般不直接支持AAA協(xié)議���,所以需要在DHCP服務器 上同時實現(xiàn)AAA客戶端的功能,以增加其AAA報文解析功能����,才能采用上述的 方法來分發(fā)密鑰。并且���,上述的方法實現(xiàn)了 DHCP服務器和DHCP中繼之間的密 鑰分發(fā)����,但未能實現(xiàn)DHCP客戶端和DHCP服務器之間的密鑰分發(fā)��,即不能實現(xiàn) RFC3118所規(guī)定的完整性認證�����。
發(fā)明內(nèi)容
一方面���,本發(fā)明的實施例提供一種密鑰分發(fā)方法,以實現(xiàn)DHCP客戶端和DHCP 服務器之間共享密鑰的分發(fā)��。
另一方面�����,本發(fā)明的實施例還提供一種密鑰傳輸方法,通過服務提供商節(jié) 點分別向DHCP客戶端和DHCP服務器傳輸共享密鑰�。
再一方面,本發(fā)明的實施例還提供一種密鑰分發(fā)方法���,以實現(xiàn)DHCP客戶端 和DHCP服務器之間共享密鑰的分發(fā)���。
再一方面,本發(fā)明的實施例還提供一種密鑰傳輸方法����,通過服務提供商節(jié) 點分別向DHCP客戶端和DHCP服務器傳輸共享密鑰。
再一方面����,本發(fā)明的實施例還提供一種密鑰分發(fā)方法,以較少的DHCP服務 器資源�����,實現(xiàn)DHCP中繼和DHCP服務器的共享密鑰分發(fā)�。
再一方面,本發(fā)明的實施例還提供一種密鑰傳輸方法����,以較少的DHCP服務
9器資源���,通過服務提供商節(jié)點分別向DHCP中繼和DHCP服務器傳輸共享密鑰。 再一方面��,本發(fā)明的實施例還提供一種AAA服務器�,能夠將DHCP客戶端和
DHCP服務器之間的共享密鑰發(fā)送到DHCP客戶端。
再一方面�,本發(fā)明的實施例還提供一種DHCP客戶端,能夠從AAA服務器接
收DHCP客戶端和DHCP服務器之間的共享密鑰����。
再一方面,本發(fā)明的實施例還提供一種DHCP服務器�����,能夠通過DHCP中繼
接收共享密鑰����。
再一方面���,本發(fā)明的實施例還提供一種密鑰分發(fā)系統(tǒng)�����,以實現(xiàn)DHCP客戶端 和DHCP服務器之間共享密鑰的分發(fā)����。
再一方面,本發(fā)明的實施例還提供一種密鑰分發(fā)系統(tǒng)��,以較少的DHCP服務 器的資源開銷�����,實現(xiàn)DHCP中繼和DHCP服務器之間共享密鑰的分發(fā)��。
為達到上述目的����,本發(fā)明的實施例采用如下技術方案
一種密鑰分發(fā)方法,包括
AAA服務器和DHCP客戶端之間建立安全聯(lián)盟���;
AAA服務器將DHCP服務器和DHCP客戶端的共享密鑰��,通過所述安全聯(lián)盟發(fā) 送到DHCP客戶端�;
AAA服務器將DHCP服務器和DHCP客戶端的共享密鑰通過服務提供商節(jié)點發(fā) 送到DHCP服務器����。
一種密鑰傳輸方法�,包括
服務提供商節(jié)點傳輸DHCP客戶端和AAA服務器建立安全聯(lián)盟的報文�����;
服務提供商節(jié)點接收到AAA服務器通過所述安全聯(lián)盟發(fā)送的DHCP服務器和 DHCP客戶端的共享密鑰��,并轉發(fā)給DHCP客戶端�����;
服務提供商節(jié)點從AAA服務器����,接收到DHCP服務器和DHCP客戶端的共享 密鑰,并轉發(fā)給DHCP服務器���。
密鑰分發(fā)方法��,包括
AAA服務器和DHCP客戶端之間建立安全聯(lián)盟�;
AAA服務器將DHCP服務器和DHCP客戶端的共享密鑰����,通過所述安全聯(lián)盟發(fā)送到DHCP客戶端;
AAA服務器將DHCP服務器和DHCP客戶端的共享密鑰發(fā)送到服務提供商節(jié)點�����。
一種密鑰傳輸方法���,包括
服務提供商節(jié)點傳輸DHCP客戶端和AAA服務器建立安全聯(lián)盟的報文��;
DHCP客戶端的共享密鑰��,并轉發(fā)給DHCP客戶端�;
服務提供商節(jié)點從AAA服務器�����,接收到DHCP服務器和DHCP客戶端的共享 密鑰��。
一種密鑰分發(fā)方法��,包括
在DHCP服務器和AAA服務器上設置長期共享秘密�;
AAA服務器將DHCP服務器和DHCP中繼的共享密鑰發(fā)送到DHCP中繼;
AAA服務器將DHCP服務器和DHCP中繼的共享密鑰通過所述長期共享秘密加
密��;
AAA服務器將加密后DHCP服務器和DHCP中繼的共享密鑰通過DHCP中繼發(fā) 送到DHCP服務器;
DHCP服務器利用長期共享秘密解密得出DHCP服務器和DHCP中繼的共享密鑰��。
一種密鑰傳輸方法���,包括
DHCP中繼從AAA服務器����,接收到DHCP服務器和DHCP中繼的共享密鑰���; DHCP中繼從AAA服務器��,接收到加密后的DHCP服務器和DHCP中繼的共享 密鑰�����;
DHCP中繼將加密后的DHCP服務器和DHCP中繼的共享密鑰�,發(fā)送到DHCP服 務器����。
一種AAA服務器,包括
密鑰產(chǎn)生模塊��,用于產(chǎn)生DHCP服務器和DHCP客戶端的共享密鑰��; 安全聯(lián)盟建立模塊,用于通過DHCP中繼在AAA服務器和DHCP客戶端之間
li建立安全聯(lián)盟����;
發(fā)送模塊,用于通過安全聯(lián)盟發(fā)送DHCP服務器和DHCP客戶端的共享密鑰�����。 一種DHCP客戶端�����,包括
安全聯(lián)盟建立模塊����,用于通過DHCP中繼在AAA服務器和DHCP客戶端之間 建立安全聯(lián)盟��;
接收模塊�,用于通過所述安全聯(lián)盟,接收DHCP服務器和DHCP客戶端之間 的共享密鑰���。
一種DHCP服務器�����,包括
接收模塊�,用于接收加密后的報文;所述加密后的報文中包含有DHCP服務 器和DHCP客戶端的共享密鑰��,或者包含有DHCP服務器和DHCP中繼的共享密鑰����;
解密模塊,用于對加密后的報文解密��,并獲取^^文中DHCP服務器和DHCP 客戶端的共享密鑰�����,或者獲取DHCP服務器和DHCP中繼的共享密鑰�����。
一種密鑰分發(fā)系統(tǒng)�,包括DHCP月良務器、DHCP客戶端���、DHCP中繼和AAA服 務器�����;所述DHCP中繼支持MA協(xié)議�;所述AAA服務器包括密鑰產(chǎn)生模塊,用于 產(chǎn)生DHCP服務器和DHCP客戶端的共享密鑰�����;
所述AAA服務器還包括
安全聯(lián)盟建立模塊�����,用于通過DHCP中繼在AAA服務器和MCP客戶端之間 建立安全聯(lián)盟�����;
發(fā)送模塊����,用于通過安全聯(lián)盟發(fā)送DHCP服務器和DHCP客戶端共享密鑰�����; 所述DHCP客戶端包括
安全聯(lián)盟建立模塊�,用于通過DHCP中繼在AAA服務器和DHCP客戶端之間 建立安全聯(lián)盟;
接收模塊����,用于通過所述安全聯(lián)盟�����,接收DHCP服務器和DHCP客戶端之間 的共享密鑰�����。
一種密鑰分發(fā)系統(tǒng)��,包括DHCP服務器�����、DHCP中繼和AAA服務器���;所述DHCP 中繼支持AAA協(xié)議;所述AAA服務器包括密鑰產(chǎn)生模塊�����,用于產(chǎn)生DHCP服務器 和DHCP中繼的共享密鑰��;所述AAA服務器還包括
加密模塊�,用于對DHCP服務器和DHCP中繼的共享密鑰加密��;
發(fā)送模塊�,用于發(fā)送所述加密后的報文��;
所述DHCP服務器包括
接收模塊��,用于接收加密后的報文�����;
解密模塊����,用于對加密后的報文解密�,并獲取報文中DHCP服務器和DHCP 中繼的共享密鑰。
由上述技術方案所描述的本發(fā)明的實施例���,DHCP服務器和DHCP客戶端是通 過服務提供商節(jié)點進行通信的�����,而服務提供商節(jié)點上嵌入有AAA協(xié)議��,使得AAA 服務器可以通過服務提供商節(jié)點����,將數(shù)據(jù)分別轉發(fā)到DHCP客戶端和DHCP服務 器。利用上述的服務提供商節(jié)點轉發(fā)的通信方式�����,可以將DHCP服務器和DHCP 客戶端的共享密鑰轉發(fā)到DHCP服務器�;利用上述的服務提供商節(jié)點轉發(fā)的通信 方式,在AAA服務器和DHCP客戶端之間建立安全聯(lián)盟��,并利用該安全聯(lián)盟將DHCP 服務器和DHCP客戶端的共享密鑰傳輸?shù)紻HCP客戶端���。上述流程完成了 DHCP服 務器和DHCP客戶端之間共享密鑰的分發(fā)�,并且不需要在現(xiàn)有的DHCP客戶端和 DHCP服務器上嵌入AAA協(xié)議�,減小了 DHCP客戶端和DHCP服務器的資源開銷。
由上述技術方案所描述的本發(fā)明的實施例�����,在DHCP中繼上嵌入有AAA協(xié)議�, 使得AAA服務器可以直接將DHCP服務器和DHCP中繼的共享密鑰發(fā)送到DHCP中 繼。在DHCP服務器上和AAA服務器上���,設置了 DHCP服務器和AAA服務器的長 期共享秘密�,這樣就可以利用這個長期共享秘密對DHCP服務器和DHCP中繼的 共享密鑰加密,然后將加密的凈艮文通過DHCP中繼轉發(fā)到DHCP服務器��,并由DHCP 服務器利用長期共享秘密將加密的報文解密�����,得到其中的DHCP服務器和DHCP 中繼的共享密鑰���。上述方法完成了 DHCP服務器和DHCP客戶端之間共享密鑰的 分發(fā)���,并且AAA服務器通過DHCP中繼將數(shù)據(jù)轉發(fā)到DHCP服務器的,不需要在 現(xiàn)有的DHCP服務器上嵌入AAA協(xié)議�����,減小了 DHCP服務器的資源開銷�����。
圖1為現(xiàn)有技術中DHCP服務器和DHCP中繼之間的密鑰分發(fā)流程圖2為現(xiàn)有技術中EAP交互的流程圖3為現(xiàn)有技術中通過DHCP承載EAP框架的流程圖4為本發(fā)明密鑰分發(fā)方法第一實施例的流程圖5為本發(fā)明密鑰分發(fā)方法中建立安全聯(lián)盟的流程圖6為圖4對應的密鑰分發(fā)系統(tǒng)框圖7為本發(fā)明密鑰分發(fā)方法第二實施例的流程圖8為本發(fā)明密鑰分發(fā)方法第三實施例的流程圖9為圖8對應的密鑰分發(fā)系統(tǒng)框圖IO為本發(fā)明密鑰分發(fā)方法第四實施例的流程圖11為本發(fā)明密鑰分發(fā)方法可變通實施例的流程圖�����。
具體實施例方式
PPP (Point to Point Protocol,點對點協(xié)i義)為點對點傳輸多協(xié)議凄t據(jù) 包4是供了一個標準方法��。相對于IP ( Internet Protocol,網(wǎng)際協(xié)i義)而言�����,PPP 在單一的點到點鏈路上運行���,缺少帶寬管理功能和QoS (Quality of Service, 服務質(zhì)量)功能����。隨著網(wǎng)絡技術的發(fā)展���,原有的PPP會話將逐步被IP會話代替���, 這樣有利于提高帶寬的利用率,減少網(wǎng)絡中報文傳遞的復雜度�����,并且可以有效 利用基于IP的保證QoS的功能�。
丟棄使用PPP轉而使用IP,將數(shù)據(jù)直接封裝在IP報文中進行傳輸�,會帶來 一些問題。其中的問題之一關于用戶認證,PPP協(xié)議能夠直接提供用戶認證的功 能����,而IP協(xié)議中沒有定義用戶認證功能。現(xiàn)在有一種方案是將認證信息攜帶在 DHCP (動態(tài)主機配置協(xié)議)報文里面進行用戶認證�,其中一種較為常見的方法 為將用戶認證信息由EAP (可擴展認證協(xié)議)數(shù)據(jù)幀攜帶,然后將EAP數(shù)據(jù)幀 封裝在DHCP報文中����,通過DHCP將加載EAP數(shù)據(jù)幀,傳遞用戶認證信息��,以實 現(xiàn)用戶認證的功能�����。EAP是一個支持各種認證方法的標準協(xié)議��,能夠提供多回合 的認證�����,該協(xié)議提供一種幀格式����,能夠容納各種認證信息。
在AAA領域�����,常用的Radius和Diameter協(xié)議都可以承載EAP寺艮文進行用戶認證�。EAP才艮文有4種沖各式reques t (請求), response (響應),success (成功)���,failure (失敗)�����。EAP的消息交互如圖2所示(該圖沒有標出EAP被 哪個協(xié)議承載)�����。EAP的消息交互的回合數(shù)是不固定的����,由于認證方法不同可能 所需的消息交互回合凄t也不同���,^旦是都是以成對的request/response的形式出 現(xiàn)����。根據(jù)EAP使用的方法不同,可以實現(xiàn)不同要求的認證和安全要求����。比如, 在EAP認證結束以后�����,可以建立一個基于密鑰的端到端的安全聯(lián)盟���,也就是兩 個終端之間通過EAP才艮文協(xié)商出 一個共用的密鑰����,這兩個終端之間就可以通過 這個共用的密鑰或衍生的子密鑰進行安全通信�����。
DHCP承載EAP報文還沒有成為標準����,但是已經(jīng)有一些專利和文獻提出這種 可行的方案。其主要思想是擴展DHCP,比如使用新的DHCP報文類型或者新的 DHCP選項��,來攜帶EAP的載荷�����。假設我們添加的新DHCP報文為DHCPEAP,那么�����, 通過DHCP承載EAP凈良文進行用戶認i正的流程如圖3所示�����,該過程中4吏用的NAS (網(wǎng)絡接入服務器)同時具有DHCP服務器和AAA客戶端的功能����,使得它可以作 為DHCP服務器和AAA客戶端使用,具體描述如下
1 �����、 DHCP客戶端發(fā)送DHCPDISCOVER (動態(tài)主才兒配置協(xié)i義發(fā)現(xiàn))消息到NAS (網(wǎng)絡接入服務器)���,這里的DHCP服務器和NAS為同一設備�����。
2�����、 NAS收到DHCPDISCOVER消息后���,以DHCPOFFER (動態(tài)主機配置協(xié)議提供) 報文應答DHCP客戶端��,DHCPOFFER才艮文應該包4舌可用IP地址和其^也的DHCP配 置參數(shù)��。
3����、 如果客戶端收到網(wǎng)絡上多臺DHCP服務器的DHCPOFFER報文��,挑選其中 一個DHCPOFFER報文(通常是最先抵達的那個)�,并向網(wǎng)絡廣播一個DHCPREQUEST
(動態(tài)主機配置協(xié)議請求)報文,通知所有DHCP服務器它將接受哪一臺DHCP 服務器提供的IP地址���。
4�����、 NAS需要對DHCP客戶端進行認證�,所以NAS會發(fā)送DHCPEAP報文攜帶 EAP-Request來請求DHCP用戶端的ID (身份標識)����。
5����、 DHCP客戶端使用DHCPEAP報文攜帶EAP-Response并填入所要求的ID發(fā) 送給NAS����。
6���、 NAS將收到的DHCPEAP報文的報頭剝離����,得出EAP-response報文���,然后 l吏用AAA十辦i義才艮文攜帶該EAP—response才艮文�����,如Radius中的Ac cess—Request
15(接入請求)攜帶EAP-Response報文��,并發(fā)送給AAA服務器�。
7�����、 AAA服務器接收到EAP-Response報文后,使用Access-Chal lenge (挑 戰(zhàn)訪問)攜帶EAP-Request才艮文�,并發(fā)送到NAS。其中�,EAP-Request才艮文中包 含有OTP (—次性密碼)。
8�����、 NAS收到Access-Challenge后�����,將AAA才艮文才艮頭剝離��,得出EAP-request, 然后使用DHCPEAP報文攜帶EAP-request �����,并發(fā)送給DHCP客戶端����。
9、 DHCP客戶端根據(jù)收到的OTP產(chǎn)生應答并放在EAP-Response里,使用 DHCPEAP攜帶EAP-Res pons e后發(fā)送給NAS ����。
10、 NAS將收到的DHCPEAP報文的報頭剝離,得出EAP-response報文�����,然 后使用Access-Request攜帶EAP-Response報文發(fā)送給AAA服務器��。
11�����、 AAA服務器對EAP-Response報文中的OTP應答進行認證��,認證成功則 發(fā)送Access—Accept (允i午才妄入)才良文到NAS, iU正失敗貝寸發(fā)送Access—Re ject
(拒絕接入)報文到NAS����。
12���、 NAS根據(jù)Access-Accept或者Access-Reject,分別發(fā)送DHCPACK (動 態(tài)主機配置協(xié)議成功應答)和DHCPNACK (動態(tài)主^L配置協(xié)議失敗應答)給DHCP 服務器并攜帶相應的EAP成功和失敗的報文�。
通過上述的步驟4至步驟12即可完成DHCP客戶端在MA服務器上的認證����。
關于DHCP攜帶EAP的消息交互進行用戶認證還可以有其它選擇比如步驟 3可以放在步驟11之后�����,這樣,步驟4中NAS對DHCP客戶端進行認證時��,所以 NAS發(fā)送的攜帶有EAP-Request的DHCPEAP報文�,可以由DHCPOFFER傳遞給DHCP 客戶端,以請求DHCP用戶端的ID (身份標識)��,此后的步驟不變�����。
本發(fā)明的實施例主要是完成MCP服務器和DHCP客戶端的密鑰分發(fā)���,以及 DHCP服務器和DHCP中繼的密鑰分發(fā)��。本發(fā)明的實施例采用DHCP攜帶EAP報文��, 在DHCP客戶端和AAA服務器之間建立安全聯(lián)盟��,通過這個安全聯(lián)盟就可以傳輸 數(shù)據(jù)���,而由于DHCP中繼上嵌入有AAA協(xié)議�����,使得AAA服務器可以通過DHCP中 繼將數(shù)據(jù)發(fā)送給DHCP服務器��,即可完成DHCP客戶端和AAA服務器的密鑰分發(fā)��,
下面結合附圖對本發(fā)明密鑰分發(fā)方法�、設備及系統(tǒng)的實施例進行詳細描述����。
繼的密鑰分實施例1:
在本實施例中的NAS是DHCP中繼�,并且將BNG( Broadband network gateway, 寬帶接入服務器)和DHCP中繼設置在一個設備上,并嵌入了 AAA協(xié)議����,使得DHCP 中繼具有AAA客戶端的功能,而DHCP服務器是一個獨立的設備�����。上述的NAS就 是服務提供商節(jié)點中的一種。AAA服務器和它管理域下的DHCP服務器之間擁有 長期共享秘密K�,這個長期共享秘密K可以通過手工設置或其他方法配置完成。 為了使DHCP服務器和DHCP客戶端之間能夠進行數(shù)據(jù)的完整性認證���,需要DHCP 服務器和DHCP客戶端之間存在共享密鑰��。下面我們詳細說明該共享密鑰的分發(fā) 過程�����,如圖4,其流程如下
1�、 DHCP客戶端向DHCP服務器發(fā)送DHCPDISCOVER報文��,并且可以在這個 DHCPDISCOVER報文里攜帶要求認證的參數(shù)���。
2���、 DHCP服務器接收到DHCPDISCOVER寺艮文后,向DHCP客戶端發(fā)送DHCPOFFER 報文�����,DHCPOFFER報文中包含有^是供的IP地址及其他的參數(shù)。
3��、 DHCP客戶端獲取到IP地址后��,向DHCP中繼發(fā)送DHCPREQUEST報文�����,要 求確認在上一步DHCPOFFER才艮文中所配置的IP地址和參數(shù)��。
4��、 建立DHCP服務器和DHCP客戶端的安全聯(lián)盟���,建立安全聯(lián)盟有很多種����, 本實施例中具體介紹一下通過TLS (傳輸層安全)認證建立安全聯(lián)盟的過程���,如 圖5所示,具體步驟如下
4. 1�、 DHCP中繼將一個TLS認證的要求信息加載到EAP Request消息中,并 將該EAP Request消息通過DHCP傳輸?shù)紻HCP客戶端����,以向DHCP客戶端發(fā)出要 求以TLS認證的方式建立安全聯(lián)盟的信息���;
4.2、 DHCP客戶端收到TLS認證的要求信息后��,將TLS的CI ient hello (發(fā) 起握手)消息加載到EAP Response消息中�����,并通過DHCP報文傳輸?shù)紻HCP中繼��, 這個Client hello消息里面包含了 DHCP客戶端可實現(xiàn)的算法列表和其它一些 需要的消息�;
4.3、 DHCP中繼將DHCP協(xié)議的數(shù)據(jù)報頭剝離���,得到其中的EAP Response消 息���,并一奪該EAP Response消息力口載到AAA十辦i義的Access—Request才艮文中,并 發(fā)送到AAA服務器��;
4. 4��、AAA服務器將Access-Request報文的數(shù)據(jù)報頭剝離�����,得到EAP Response
17消息內(nèi)的Client hello消息,AAA服務器生成一個CI ient hello的回應消息, 即Server hello消息�,并將該Server hello消息力口載到EAP Request消息中, 然后通過AAA協(xié)議的Access-Challenge報文發(fā)送到DHCP中繼����;Server hello 消息中確定了本次通信所需要的算法,以及AAA服務器的證書(證書主要包括 身份和公鑰)���;
4. 5��、DHCP中繼將Access-Challenge報文的數(shù)據(jù)報頭剝離��,得到EAP Request 消息�����,然后以DHCP協(xié)議報文的格式發(fā)送到DHCP客戶端���;
4.6、 DHCP客戶端將DHCP協(xié)議的數(shù)據(jù)報頭剝離,得到EAP Request消息中 的Server hello消息�,同時DHCP客戶端生成一個密鑰信息,并Y吏用AAA月艮務 器的/>鑰將該密鑰信息加密后��,加載到EAP Response消息內(nèi)����,并以DHCP協(xié)議 報文的格式發(fā)送到DHCP中繼;
4. 7�、 DHCP中繼將DHCP協(xié)議的數(shù)據(jù)報頭剝離,得到其中的EAP Response消 息�,并將該消息通過AAA協(xié)議的Access-Request報文發(fā)送到AAA服務器。
4.8��、 AAA服務器得到密鑰信息后對其進行認/江����,認證通過后生成一個加密 的參數(shù),并4奪該力口密的參凄史力口人到EAP Request中�����,通過Access-Chal lenge才艮 文將EAP Request發(fā)送到DHCP中繼����;
4. 9、匿P中繼將接收到的Access-Challenge報文的數(shù)據(jù)報頭剝離,得到 EAP Request消息����,然后以DHCP協(xié)議才艮文的格式發(fā)送到DHCP客戶端�;
4.10����、 DHCP客戶端得到加密的參數(shù),然后對該加密的參數(shù)進行認證���,如果 i人證通過則在EAP Response中加載i^i正通過的信息�,并通過DHCP才艮文發(fā)送到 DHCP中繼���;
4.11���、 DHCP中繼將DHCP協(xié)議的數(shù)據(jù)報頭剝離,得到其中的EAP Response 消息-,并4夸i亥EAP Response消息-力口載至'J AAA寸辦i義的Access—Request才艮文中, 并發(fā)送到AAA服務器����;
AAA服務器收到認證通過的消息后,通過DHCP中繼向DHCP客戶端發(fā)送一個 允許接入的消息����,并通過AAA服務器和HDCP客戶端協(xié)商出的密鑰和加密參數(shù)進 行通信,即建立了一個安全聯(lián)盟���。
如果上述任何一步不能通過認證��,那么AAA服務器通過DHCP中繼向DHCP 客戶端發(fā)送一個拒絕接入的消息���,重新進行建立一個安全聯(lián)盟。
18在上述建立安全:f關盟的過程中���,AAA月l務器產(chǎn)生了 DHCP客戶端和DHCP月良 務器之間的共享密鑰��,稱之為Keyl��。
5���、 AAA服務器將Keyl或者計算Keyl所需的材料通過步驟4中建立的安全 聯(lián)盟傳遞到DHCP客戶端。
6����、 AAA服務器向DHCP中繼發(fā)送Access-Accept凈艮文,并在該凈艮文中攜帶 EAP認證成功的信息�。使用K將Keyl或者計算Keyl所需的材料加密,并攜帶在 Access-Accept報文中�����。
也可以將一個隨機數(shù)加入到上述報文中,該隨機數(shù)和計算Keyl所需的材料 一起可以計算出Keyl,這樣可以增加Keyl的安全性���,以防止重放攻擊�。
7��、 DHCP中繼收到Access-Accept寺艮文后���,將其中的AAA協(xié)議數(shù)據(jù)才艮頭剝離��, 得到其中的密文��,然后將該密文攜帶在第3步中的DHCPREQUEST報文內(nèi)�。并將 該DHCPREQUEST報文發(fā)送到DHCP服務器���。
DHCP服務器收到從DHCP中繼轉發(fā)的DHCPREQUEST才艮文后����,使用密鑰K解密 DHCPREQUEST報文攜帶的密文�,這樣可以獲得Keyl或者獲得可以算出Keyl的材 料。這樣DHCP服務器和DHCP客戶端之間就可以有共享的密鑰Keyl 了��。
8��、 DHCP客戶端和DHCP服務器之間可以通過共享密鑰Keyl進行RFC3118所 述的數(shù)據(jù)完整性保護。DHCP客戶端和DHCP服務器也可以通過共享密鑰Keyl����, 計算出衍生的子密鑰,比如DHCP客戶端和DHCP服務器之間的會話密鑰��,然后 利用該會話密鑰對DHCP客戶端和DHCP服務器之間傳輸?shù)臄?shù)據(jù)��,進行RFC3118 所述的數(shù)據(jù)完整性保護��。
密鑰分發(fā)成功后���,DHCP服務器將攜帶EAP success的DHCPACK報文,通過 DHCP中繼發(fā)送給DHCP客戶端以表示接入認證成功�。
上述本發(fā)明的實施例使用DHCP凈艮文承載EAP,通過EAP框架的認證,在DHCP 客戶端和AAA服務器之間建立安全聯(lián)盟�。這樣AAA服務器就可以通過該安全聯(lián) 盟向DHCP客戶端發(fā)送Keyl或者計算Keyl所需的材料。同時�,上述本發(fā)明的實 施例在DHCP服務器和AAA服務器之間設置了長期的共享秘密K,將Keyl或者計 算Keyl所需的材料使用K加密�����,并通過AAA協(xié)議從AAA服務器傳遞到DHCP中 繼�����,由于DHCP中繼沒有K的信息,DHCP中繼無法解密獲得Keyl或者計算Keyl 所需的材料的內(nèi)容�。但是,DHCP中繼可以將加密后的Keyl或者計算Keyl所需的材料的密文發(fā)送到DHCP服務器�����,DHCP服務器使用K解密后得到Keyl或者計 算Keyl所需的材料���,在該過程中不需要DHCP服務器中嵌入AAA協(xié)議��,節(jié)約了 DHCP服務器的資源開銷�����。
通過上述過程可以將共享密鑰Key 1在DHCP中繼無法得知內(nèi)容的情況下���, 分發(fā)給DHCP客戶端和DHCP服務器,這樣在DHCP客戶端和DHCP服務器之間就 可以使用共享密鑰Keyl進行數(shù)據(jù)的完整性保護��;DHCP客戶端和DHCP服務器也 可以通過共享密鑰Keyl,計算出衍生的子密鑰��,比如DHCP客戶端和DHCP服務 器之間的會話密鑰�,然后利用該會話密鑰對DHCP客戶端和DHCP服務器之間傳 輸?shù)臄?shù)據(jù)�,進行RFC3118所述的數(shù)據(jù)完整性保護���。
對應于上述的密鑰分發(fā)方法的實施例�,本發(fā)明的還提供了與該方法對應的 密鑰分發(fā)系統(tǒng)����,具體如圖6所示,在DHCP中繼中嵌入有AAA協(xié)議�����,本實施例中 的密鑰分發(fā)系統(tǒng)包括DHCP服務器����、DHCP客戶端��、DHCP中繼和AAA服務器���;所 述DHCP中繼上嵌入有AAA協(xié)議��。
所述AAA服務器包括密鑰產(chǎn)生;f莫塊�,用于產(chǎn)生DHCP服務器和DHCP客戶 端的共享密鑰�����;安全聯(lián)盟建立模塊,用于通過DHCP中繼在AAA服務器和DHCP 客戶端之間建立安全聯(lián)盟�;加密模塊,用于對DHCP服務器和DHCP客戶端的共 享密鑰加密�,其加密的方法和步驟由DHCP服務器和DHCP客戶端協(xié)商。發(fā)送模 塊�����,用于將DHCP服務器和DHCP客戶端的共享密鑰通過所述安全聯(lián)盟發(fā)送到DHCP 客戶端���;并將加密的報文通過DHCP中繼發(fā)送到DHCP服務器��。
所述DHCP客戶端包括安全聯(lián)盟建立模塊�,用于通過DHCP中繼在AAA服 務器和DHCP客戶端之間建立安全聯(lián)盟�;接收模塊,用于通過所述安全聯(lián)盟�����,接 收DHCP服務器和DHCP客戶端之間的共享密鑰�����。
所述DHCP服務器包括解密模塊,用于對加密的報文進行解密���,并獲取DHCP 服務器和DHCP客戶端的共享密鑰���。
上述的安全聯(lián)盟設置在AAA服務器和DHCP客戶端之間,該安全聯(lián)盟就是指 AAA服務器和DHCP客戶端之間可以用來會話的密鑰���,可以通過EPA框架承載TLS 認證消息協(xié)商該共用的會話密鑰�,建立過程和圖5所示完全相同��。
DHCP客戶端可以通過安全聯(lián)盟直接獲取到DHCP服務器和DHCP客戶端的共 享密鑰��;而DHCP服務器也可以通過解密模塊獲取到DHCP服務器和DHCP客戶端
20的共享密鑰���,但由于DHCP中繼沒有解密模塊,所以不能獲取到DHCP服務器和 DHCP客戶端的共享密鑰���;這樣就確保了 DHCP服務器和DHCP客戶端之間的共享 密鑰不會被第三方知道����,保證了密鑰分發(fā)過程的安全�����,并且不需要DHCP服務器 和DHCP客戶端中嵌入AAA協(xié)議,即可實現(xiàn)密鑰的分發(fā)�����,節(jié)約了DHCP服務器和 DHCP客戶端的資源開銷���。 實施例2:
在本實施例和實施例1中構架基本相同����,即NAS是DHCP中繼�,且DHCP中 繼和BNG ( Broadband network gateway,寬帶接入服務器)設置在一個設備上, 并且DHCP中繼上嵌入有AAA協(xié)議���,可以作為AAA客戶端使用���,而DHCP服務器 是一個獨立的設備。上述的MS就是服務提供商節(jié)點中的一種����。
并且,AAA服務器和它管理域下的DHCP服務器之間也設置了長期共享秘密 K�����,這個長期共享秘密K可以通過手工設置完成。為了使DHCP服務器和DHCP中 繼之間能夠進行數(shù)據(jù)的完整性認證����,需要使DHCP服務器和DHCP中繼之間存在 共享密鑰。本實施例還在實施例1的基礎上同時實現(xiàn)DHCP服務器和DHCP中繼 的共享密鑰的分發(fā)�����,下面我們詳細說明該共享密鑰的分發(fā)過程�����,如圖7���,其流程 如下
AAA服務器產(chǎn)生DHCP客戶端和DHCP服務器之間的共享密鑰�,稱之為Keyl; 同時還產(chǎn)生DHCP中繼和DHCP服務器之間的共享密鑰����,稱之為Key2�。
本實施例得前5步和實施例1完全相同,實施例1中的第6步及其以后的 流程修改為如下步驟
6���、 AAA服務器向DHCP中繼發(fā)送Access-Accept報文�,并在該報文中攜帶 EAP認證成功的信息。使用K將Keyl或者計算Keyl所需的材料�,以及Key2或 者計算Key2所需的材料加密,并攜帶在Access-Acc印t報文中���;同時將Key2 或者計算Key2所需的材料����,攜帶在Access-Accept報文中�����。
也可以將一個隨機數(shù)加入到上述報文中�����,該隨機數(shù)和計算Key2所需的材料 一起可以計算出Key2�����,這樣可以增加Key2的安全性�����,以防止重方文攻擊。
7�����、 DHCP中繼收到Access-Accept報文后����,將其中的AAA協(xié)議數(shù)據(jù)報頭剝離, 得到其中的Key2或者計算Key2所需的材料����,以及其中的密文,然后將該密文 攜帶在第3步中的DHCPREQUEST報文內(nèi)���。并將該DHCPREQUEST報文發(fā)送到DHCP服務器��。
DHCP服務器收到從DHCP中繼轉發(fā)的DHCPREQUEST才艮文后��,使用密鑰K解密 收到的密文���,這樣可以獲得Key2或者獲得可以算出Key2的材料。這樣DHCP服 務器和DHCP中繼之間就可以有共享的密鑰Key2 了����。 DHCP中繼和DHCP月良務器之 間可以通過共享密鑰Key2進行RFC4030所述的數(shù)據(jù)完整性保護。DHCP中繼和 DHCP服務器還可以通過共享密鑰Key2�����,計算出書f生的子密鑰����,比如DHCP中繼 和DHCP服務器之間的會話密鑰,然后利用該會話密鑰對DHCP中繼和DHCP服務 器之間傳輸?shù)臄?shù)據(jù)�����,進行RFC4030所述的數(shù)據(jù)完整性保護�。
上述實施例實現(xiàn)Key2和Keyl在一個才良文中攜帶,這樣就可以同時進行DHCP 中繼和DHCP服務器的密鑰分發(fā)�,以及DHCP客戶端和DHCP服務器的密鑰分發(fā)。
由于Key2和Keyl在一個報文中攜帶�����,不需要增加模塊來進行數(shù)據(jù)處理����, 本實施例對應的密鑰分發(fā)系統(tǒng)和實施例1中的密鑰分發(fā)系統(tǒng)完全相同��。
實施例3:
為了使DHCP服務器和DHCP中繼之間能夠進行數(shù)據(jù)的完整性認證�����,本實施 例為給DHCP服務器和DHCP中繼分發(fā)共享密鑰����,其中的DHCP中繼��、BNG設置在 一個設備上���,并且DHCP中繼上嵌入有AAA協(xié)議���,使得DHCP中繼可以作為AAA 客戶端使用。上述的BNG就是服務提供商節(jié)點中的一種���。AAA服務器和它管理域 下的DHCP服務器之間設置了長期共享秘密K,這個長期共享秘密K可以通過手 工設置完成����。下面我們詳細說明該共享密鑰的分發(fā)過程���,如圖8,其流程如下
1��、 DHCP客戶端向DHCP服務器發(fā)送DHCPDISCOVER寺艮文��,并且可以在這個 DHCPDISCOVER報文里攜帶要求認證的參數(shù)��。
2����、 DHCP服務器接收到DHCPDISCOVER才艮文后��,向DHCP客戶端發(fā)送DHCPOFFER 報文�,DHCPOFFElU艮文中包含有^R供的IP地址及其他的參數(shù)。
3���、 DHCP客戶端獲取到IP地址后�,向DHCP中繼發(fā)送DHCPREQUEST報文��,要 求確認在上一步DHCPOFFER報文中所配置的IP地址和參數(shù)����。
4、 DHCP中繼將EAP Response框架加載到Access-Request才艮文中�����,并發(fā)送 到AAA服務器。
5�、 AAA服務器產(chǎn)生了 DHCP中繼和DHCP服務器之間的共享密鑰,稱之為 Key2�����。 AAA服務器向DHCP中繼發(fā)送Access-Accept報文�����,并在該報文中攜帶EAP
22認證成功的信息����。使用K將Key2或者計算Key2所需的材料加密,并攜帶在 Access-Accept報文中���;同時將Key2或者計算Key2所需的材料�,攜帶在 Access-Accept報文中�����。
也可以將一個隨才幾^t加入到上述才艮文中����,該隨^L數(shù)和計算Key2所需的材泮牛 一起可以計算出Key2,這樣可以增加Key2的安全性��,不會輕易被竊取��。
6��、 DHCP中繼收到Access-Accept報文后�,將其中的AAA協(xié)議數(shù)據(jù)才艮頭剝離��, 得到其中的Key2或者計算Key2所需的材料��,以及其中的密文��,然后將該密文 攜帶在第3步中的DHCPREQUEST報文內(nèi)����。并將該DHCPREQUEST報文發(fā)送到DHCP 服務器���。
7��、 DHCP服務器收到從DHCP中繼轉發(fā)的DHCPREQUEST報文后�����,使用密鑰K 解密收到的密尤這樣可以獲得Key2或者獲得可以算出Key2的材料����。這樣DHCP 服務器和DHCP中繼之間就可以有共享的密鑰Key2 了 。
DHCP中繼和DHCP服務器之間可以通過共享密鑰Key2進行RFC3118所述的 數(shù)據(jù)完整性保護��。DHCP中繼和DHCP服務器也可以通過共享密鑰Key2���,計算出 另外一對DHCP中繼和DHCP服務器之間的會話密鑰����,然后利用該會話密鑰進行 RFC4030所述的數(shù)據(jù)完整性保護�。
獲取到共享密鑰后,DHCP服務器將攜帶EAP success的DHCPACK報文�,通 過DHCP中繼發(fā)送給DHCP客戶端以表示接入認證成功。
本實施例中DHCP中繼上嵌入有AAA協(xié)議��,可以直接獲取到AAA服務器生成 的密鑰�,并且AAA服務器可以通過DHCP中繼向DHCP服務器發(fā)送密鑰,使得DHCP 服務器不需要嵌入AAA協(xié)議就可以獲取到密鑰�,實現(xiàn)DHCP中繼和DHCP服務器 之間的密鑰分發(fā),以便進行數(shù)據(jù)完整性認證����,節(jié)約了 DHCP服務器的資源開銷。
對應于上述的密鑰分發(fā)方法的實施例,本發(fā)明的還提供了與該方法對應的 密鑰分發(fā)系統(tǒng)�,具體如圖9所示,本實施例的DHCP中繼上嵌入有AAA協(xié)議����,該 密鑰分發(fā)系統(tǒng)包括
20、 一種密鑰分發(fā)系統(tǒng)���,包括DHCP服務器��、DHCP中繼和AAA服務器��;所述 DHCP中繼上嵌入有AAA協(xié)議��;
所述AAA服務器包括密鑰產(chǎn)生模塊,用于產(chǎn)生DHCP服務器和DHCP中繼 的共享密鑰�����;加密模塊�,用于對DHCP服務器和DHCP中繼的共享密鑰加密,得200710301749.X
到加密的報文�,其加密的方法和步驟由DHCP服務器和DHCP中繼協(xié)商;發(fā)送才莫 塊��,用于將DHCP服務器和DHCP中繼的共享密鑰發(fā)送到DHCP中繼�;并將加密的 報文通過DHCP中繼發(fā)送到DHCP服務器���。
所述DHCP服務器包括接收模塊,用于接收加密后的報文����;解密模塊,用 于對加密的報文進行解密��,并獲取DHCP服務器和DHCP中繼的共享密鑰���。
本實施例中AAA服務器上的密鑰生成模塊生成密鑰����,通過加密模塊對其進 行加密����,然后通過發(fā)送模塊將密鑰和加密后的報文一起發(fā)送到DHCP中繼(DHCP 中繼上嵌入有AAA協(xié)議,可以直接接收AAA服務器的報文)�����。DHCP中繼接著向 DHCP服務器發(fā)送加密后的報文�,這樣DHCP服務器可以通過解密模塊將其解密后 得到密鑰,使得DHCP服務器不需要嵌入AAA協(xié)議就可以獲取到密鑰。實現(xiàn)DHCP 中繼和DHCP服務器之間的密鑰分發(fā)�,以便進行數(shù)據(jù)完整性保護,節(jié)約了DHCP 服務器的資源開銷��。
實施例4:
在上述三個實施例中����,DHCP服務器上都沒有嵌入AAA協(xié)議,即可實現(xiàn)密鑰
即DHCP服務器����、BNG (Broadband network gateway,寬帶接入服務器)設置在 一個設備上,并且DHCP服務器上嵌入有AAA協(xié)議����,使得DHCP服務器可以作為 AAA客戶端使用,DHCP服務器和DHCP客戶端之間的通信不需要通過DHCP中繼 進行轉先上述的BNG就是服務提供商節(jié)點中的一種�。為了使DHCP服務器和DHCP 客戶端之間能夠進行數(shù)據(jù)的完整性認證,需要DHCP服務器和DHCP客戶端之間 存在共享密鑰��。下面我們詳細說明該共享密鑰的分發(fā)過程�����,如圖10,其流程如 下
1����、 DHCP客戶端向DHCP服務器發(fā)送DHCPDISCOVER才艮文,并且可以在這個 DHCPDISCOVER報文里攜帶要求認證的參數(shù)���。
2���、 DHCP服務器接收到DHCPDISCOVER報文后,向DHCP客戶端發(fā)送DHCPOFFER 報文���,DHCPOFFER報文中包含有提供的IP地址及其他的參數(shù)���。
3、 DHCP客戶端獲取到IP地址后�����,向DHCP服務器發(fā)送DHCPREQUEST才艮文�, 要求確認在上一步DHCPOFFER才良文中所配置的IP地址和參數(shù)。
4�����、 建立DHCP服務器和DHCP客戶端的安全聯(lián)盟���,具體的過程和圖5類似����,
24將圖5中的DHCP中繼改為本實施例中的DHCP服務器,即可建立DHCP月1務器和 DHCP客戶端的安全聯(lián)盟��。
在上述建立安全聯(lián)盟的過程中���,AAA服務器產(chǎn)生了 DHCP客戶端和DHCP月良 務器之間的共享密鑰�,稱之為Keyl���。
5�、 AAA服務器將Keyl或者計算Keyl所需的材料通過步驟4中建立的安全 聯(lián)盟傳遞到DHCP客戶蜋其中計算Keyl所需的材料可以利用AAA服務器和DHCP 客戶端協(xié)商出的公鑰加密得到��,那么DHCP客戶端可以通過解密材料得出Keyl���。
6�、 AAA服務器向DHCP服務器發(fā)送Access-Accept報文�,并在該報文中攜帶 EAP認證成功的信息。Access-Accept報文中攜帶有Keyl或者計算Keyl所需的 材料����。
7、 DHCP服務器得到Keyl或者計算Keyl所需的材料后����,DHCP服務器和DHCP 客戶端之間就可以有共享的密鑰Keyl 了。 DHCP客戶端和DHCP服務器之間可以 通過共享密鑰Keyl進行RFC3118所述的數(shù)據(jù)完整性保護�����。DHCP客戶端和DHCP 服務器還可以通過共享密鑰Keyl,計算出另外一對DHCP客戶端和DHCP服務器 之間的會話密鑰����,然后利用該會話密鑰進行RFC3118所述的數(shù)據(jù)完整性保護。
8�����、 DHCP服務器將攜帶EAP success的DHCPACK報文��,發(fā)送給DHCP客戶端 以表示接入認證成功�。
本發(fā)明的實施例還可以用在DHCP服務器上嵌入有AAA協(xié)議的情況,同樣使 用DHCP報文承載EAP,通過EAP框架的認證�,在DHCP客戶端和AAA服務器之間 建立安全聯(lián)盟。這樣AAA服務器就可以通過該安全聯(lián)盟向DHCP客戶端發(fā)送Keyl 或者計算Keyl所需的材料�����,而不用在DHCP客戶端上嵌入AAA協(xié)議,節(jié)約了 DHCP 客戶端的資源開銷��。同時�����,Keyl或者計算Keyl所需的材料可以直接發(fā)送到DHCP 服務器��,以使得DHCP服務器和DHCP客戶端之間具有共享密鑰�����。
Keyl進行數(shù)據(jù)的完整性保護���;也可以DHCP客戶端和DHCP服務器可以通過共享 密鑰Keyl,計算出另外一對DHCP客戶端和DHCP服務器之間的會話密鑰�����,然后 利用該會話密鑰進行RFC3118所述的數(shù)據(jù)完整性保護���。
在上述的密鑰分發(fā)方法的實施例中,通過DHCPEAP分發(fā)共享密鑰的步驟不 一定要在DHCPREQUEST之后的���,而在有些DHCP攜帶EAP的方案中�����,通過DHCPEAP報文分發(fā)共享密鑰是在DHCPDISCOVER之后�����,其簡單的流程如11所示����。
本發(fā)明的實施例主要用在DHCP系統(tǒng)中��,進行共享密鑰的分發(fā)�,例如DHCP 服務器和DHCP客戶端之間的共享密鑰分發(fā),DHCP服務器和DHCP中繼之間的共 享密鑰分發(fā)���。 一般來說����,上述的DHCP中繼還可以通過其它設備來替代�,例如 DHCP^理。
以上所述����,僅為本發(fā)明的具體實施方式
���,但本發(fā)明的保護范圍并不局限于 此,任何熟悉本技術領域的技術人員在本發(fā)明揭露的技術范圍內(nèi)���,可輕易想到 變化或替換��,都應涵蓋在本發(fā)明的保護范圍之內(nèi)����。因此�,本發(fā)明的保護范圍應 該以權利要求的保護范圍為準。
權利要求
1����、一種密鑰分發(fā)方法,其特征在于包括AAA服務器和DHCP客戶端之間建立安全聯(lián)盟�����;AAA服務器將DHCP服務器和DHCP客戶端的共享密鑰����,通過所述安全聯(lián)盟發(fā)送到DHCP客戶端;AAA服務器將DHCP服務器和DHCP客戶端的共享密鑰通過服務提供商節(jié)點發(fā)送到DHCP服務器。
2�、 根據(jù)權利要求1所述的密鑰分發(fā)方法,其特征在于�����,所述AAA服務器將 DHCP服務器和DHCP客戶端的共享密鑰通過服務提供商節(jié)點發(fā)送到DHCP服務器 具體為在AAA服務器和DHCP服務器之間設置長期共享秘密�;AAA服務器將DHCP服務器和DHCP客戶端的共享密鑰通過長期共享秘密加密���;AAA服務器將加密后DHCP服務器和DHCP客戶端的共享密鑰通過服務提供商 節(jié)點發(fā)送到DHCP服務器�;DHCP服務器利用長期共享秘密解密得出DHCP服務器和DHCP客戶端的共享 密鑰�����。
3��、 根據(jù)權利要求l所述的密鑰分發(fā)方法��,其特征在于�,所述服務提供商節(jié) 點為DHCP中繼或DHCP代理。
4�����、 根據(jù)權利要求3所述的密鑰分發(fā)方法,其特征在于還包括 在AAA服務器和DHCP服務器之間設置長期共享秘密��;AAA服務器將DHCP服務器和DHCP中繼的共享密鑰發(fā)送到DHCP中繼��; AAA服務器將DHCP服務器和DHCP中繼的共享密鑰通過長期共享秘密加密��; AAA服務器將加密后DHCP服務器和DHCP中繼的共享密鑰通過DHCP中繼發(fā) 送到DHCP服務器��;DHCP服務器利用長期共享秘密解密得出DHCP服務器和DHCP客戶端的共享密鑰���。
5�����、 根據(jù)權利要求1所述的密鑰分發(fā)方法�,其特征在于�����,所述AAA服務器和 DHCP客戶端之間通過可擴展認證才良文建立安全聯(lián)盟��;所述可擴展i人i正才艮文在 DHCP客戶端和所述服務提供商節(jié)點間使用DHCP報文承載����,在所述服務提供商節(jié) 點和AAA服務器間使用AAA協(xié)議承載。
6、 根據(jù)權利要求1所述的密鑰分發(fā)方法���,其特征在于還包括所述DHCP 客戶端和DHCP服務器利用共享密鑰計算出對稱會話密鑰����。
7����、 一種密鑰傳輸方法,其特征在于包括服務提供商節(jié)點傳輸DHCP客戶端和AAA服務器建立安全聯(lián)盟的報文����; 服務提供商節(jié)點接收到AAA服務器通過所述安全聯(lián)盟發(fā)送的DHCP服務器和DHCP客戶端的共享密鑰���,并轉發(fā)給DHCP客戶端����;服務提供商節(jié)點從AAA服務器����,接收到DHCP服務器和DHCP客戶端的共享密鑰,并轉發(fā)給DHCP服務器���。
8���、 根據(jù)權利要求7所述的密鑰傳輸方法�����,其特征在于��,所述服務提供商節(jié) 點為DHCP中繼或DHCP代理����。
9�����、 根據(jù)權利要求7所述的密鑰傳輸方法�,其特征在于,所述服務提供商節(jié) 點傳輸DHCP客戶端和AAA服務器建立安全聯(lián)盟的可擴展認證4艮文����;所述可擴展 認證報文在DHCP客戶端和所述服務提供商節(jié)點間使用DHCP報文承載,在所述 服務提供商節(jié)點和AAA服務器間使用AAA協(xié)議承載�。
10、 一種密鑰分發(fā)方法�,其特征在于包括 AAA服務器和DHCP客戶端之間建立安全聯(lián)盟���;AAA服務器將DHCP服務器和DHCP客戶端的共享密鑰,通過所述安全聯(lián)盟發(fā) 送到DHCP客戶端��;AAA服務器將DHCP服務器和DHCP客戶端的共享密鑰發(fā)送到服務提供商節(jié)點�����。
11�、 根據(jù)權利要求IO所述的密鑰分發(fā)方法,其特征在于���,所述服務提供商節(jié)點為DHCP服務器�����。
12、 根據(jù)權利要求11所述的密鑰分發(fā)方法�����,其特征在于���,所述AAA服務器 和DHCP客戶端之間�����,通過DHCP報文承載可擴展認證報文建立安全聯(lián)盟�����。
13���、 根據(jù)權利要求11所述的密鑰分發(fā)方法���,其特征在于還包括所述DHCP 客戶端和DHCP服務器利用共享密鑰計算出對稱會話密鑰。
14�����、 一種密鑰傳輸方法�,其特征在于包括服務提供商節(jié)點傳輸DHCP客戶端和AAA服務器建立安全聯(lián)盟的報文; 服務提供商節(jié)點接收到AAA服務器通過所述安全聯(lián)盟發(fā)送的DHCP服務器和 MCP客戶端的共享密鑰����,并轉發(fā)給DHCP客戶端;服務提供商節(jié)點從AAA服務器����,接收到DHCP服務器和DHCP客戶端的共享密鑰���。
15、 根據(jù)權利要求14所述的密鑰傳輸方法�����,其特征在于���,所述服務提供商 節(jié)點為DHCP服務器���。
16、 根據(jù)權利要求15所述的密鑰傳輸方法��,其特征在于�����,所述DHCP服務 器傳輸DHCP客戶端和AAA服務器建立安全聯(lián)盟的可擴展認證沖艮文��;所述可擴展 認證報文在DHCP客戶端和所述DHCP服務器間l吏用DHCP l艮文承載�,在所述DHCP 服務器和AAA服務器間使用AAA協(xié)議承載�。
17、 一種密鑰分發(fā)方法�,其特征在于包括在DHCP服務器和AAA服務器上設置長期共享秘密��;AAA月良務器將DHCP月l務器和DHCP中繼的共享密鑰發(fā)送到DHCP中繼��;AAA服務器將DHCP服務器和DHCP中繼的共享密鑰通過所述長期共享秘密加密�;AAA服務器將加密后DHCP服務器和DHCP中繼的共享密鑰通過DHCP中繼發(fā) 送到DHCP服務器�;DHCP服務器利用長期共享秘密解密得出DHCP服務器和DHCP中繼的共享密鑰。
18��、 根據(jù)權利要求17所述的密鑰分發(fā)方法����,其特征在于,所述DHCP中繼 和DHCP服務器利用共享密鑰計算出對稱會話密鑰�。
19、 一種密鑰傳輸方法��,其特征在于包括DHCP中繼/人AAA月l務器�����,^接收到DHCP月良務器和DHCP中繼的共享密鑰��; DHCP中繼/人AAA服務器��,4妄收到加密后的DHCP服務器和DHCP中繼的共享 密鑰���;DHCP中繼將加密后的DHCP服務器和DHCP中繼的共享密鑰���,發(fā)送到DHCP服 務器�。
20�、 一種AAA服務器,包括密鑰產(chǎn)生模塊���,用于產(chǎn)生DHCP服務器和DHCP客戶端的共享密鑰����; 其特征在于還包括安全聯(lián)盟建立模塊��,用于通過DHCP中繼在AAA服務器和DHCP客戶端之間 建立安全聯(lián)盟�;發(fā)送模塊,用于通過安全聯(lián)盟發(fā)送DHCP服務器和DHCP客戶端的共享密鑰��。
21�����、 根據(jù)權利要求20所述的AAA服務器���,其特征在于還包括 加密^^莫塊��,用于對DHCP服務器和DHCP客戶端的共享密鑰加密����,并將加密的報文傳到發(fā)送模塊�;所述發(fā)送模塊還用于發(fā)送所述加密后DHCP服務器和DHCP客戶端的共享密鑰。
22�、 根據(jù)權利要求21所述的AAA服務器,其特征在于 所述密鑰產(chǎn)生模塊產(chǎn)生DHCP服務器和DHCP中繼的共享密鑰�����; 所述加密才莫塊對DHCP服務器和DHCP中繼的共享密鑰加密��; 所述發(fā)送模塊發(fā)送加密后的DHCP服務器和DHCP中繼的共享密鑰��。
23����、 一種DHCP客戶端,其特征在于包括安全聯(lián)盟建立模塊���,用于通過DHCP中繼在AAA服務器和DHCP客戶端之間 建立安全聯(lián)盟��;接收模塊���,用于通過所述安全聯(lián)盟����,接收DHCP服務器和DHCP客戶端之間 的共享密鑰�。
24、 一種DHCP服務器����,其特征在于包括接收模塊,用于接收加密后的報文�;所述加密后的報文中包含有DHCP服務 器和DHCP客戶端的共享密鑰,或者包含有DHCP服務器和DHCP中繼的共享密鑰�����;解密模塊����,用于對加密后的報文解密,并獲取報文中DHCP服務器和DHCP 客戶端的共享密鑰��,或者獲取DHCP服務器和DHCP中繼的共享密鑰����。
25���、 一種密鑰分發(fā)系統(tǒng)���,包括DHCP服務器�����、DHCP客戶端��、DHCP中繼和AAA 服務器�����;所述DHCP中繼支持AAA協(xié)議��;所述AAA服務器包括密鑰產(chǎn)生模塊�����,用 于產(chǎn)生DHCP服務器和DHCP客戶端的共享密鑰���;其特征在于所述AAA服務器還包括安全聯(lián)盟建立模塊,用于通過DHCP中繼在AAA服務器和DHCP客戶端之間 建立安全聯(lián)盟;發(fā)送模塊���,用于通過安全聯(lián)盟發(fā)送DHCP服務器和DHCP客戶端共享密鑰��; 所述DHCP客戶端包括安全聯(lián)盟建立模塊�����,用于通過DHCP中繼在AAA服務器和DHCP客戶端之間 建立安全聯(lián)盟�;接收模塊����,用于通過所述安全聯(lián)盟,接收DHCP服務器和DHCP客戶端之間 的共享密鑰���。
26�、 根據(jù)權利要求25所述的密鑰分發(fā)系統(tǒng)����,其特征在于所述AAA服務器還包括加密模塊,用于對DHCP服務器和DHCP客戶端的共 享密鑰加密���,并將加密的報文傳到發(fā)送模塊���;所述AAA服務器中的發(fā)送模塊還用于發(fā)送所述加密后的報文�;所述DHCP服務器包括接收模塊�����,用于接收加密后的報文�����;解密模塊��,用于對加密后的報文解密�����,并獲取報文中DHCP服務器和DHCP 客戶端的共享密鑰��。
27����、 根據(jù)權利要求26所述的密鑰分發(fā)系統(tǒng)�,其特征在于-. 所述密鑰產(chǎn)生模塊產(chǎn)生DHCP服務器和DHCP中繼的共享密鑰; 所述加密模塊對DHCP服務器和DHCP中繼的共享密鑰加密��; 所述解密模塊對加密后的報文解密,并獲取報文中DHCP服務器和DHCP中繼的共享密鑰��。
28�、 一種密鑰分發(fā)系統(tǒng),包括DHCP服務器�、DHCP中繼和AAA服務器;所述 DHCP中繼支持AAA協(xié)議�;所述AAA服務器包括密鑰產(chǎn)生模塊,用于產(chǎn)生DHCP服 務器和DHCP中繼的共享密鑰����;其特征在于所述AAA服務器還包括加密模塊,用于對DHCP服務器和DHCP中繼的共享密鑰加密����;發(fā)送模塊,用于發(fā)送所述加密后的報文�;所述DHCP服務器包括接收模塊,用于接收加密后的報文�;解密模塊,用于對加密后的報文解密�����,并獲取報文中DHCP服務器和DHCP 中繼的共享密鑰����。
全文摘要
本發(fā)明的實施例公開了一種密鑰分發(fā)方法����、設備及系統(tǒng)����,涉及通信網(wǎng)絡中的安全管理領域,解決了DHCP客戶端和DHCP服務器之間的密鑰分發(fā)問題��。本發(fā)明的實施例在AAA服務器和DHCP客戶端之間建立安全聯(lián)盟�����,AAA服務器通過該安全聯(lián)盟將密鑰發(fā)送到DHCP客戶端�����;而在DHCP服務器和AAA服務器之間設定長期共享秘密�����,AAA服務器通過這個長期共享秘密對密鑰加密���,發(fā)送到DHCP服務器�,實現(xiàn)密鑰分發(fā)��。其中�,長期共享秘密還可以用在DHCP中繼和DHCP服務器之間的密鑰分發(fā)中。本發(fā)明的實施例用在DHCP系統(tǒng)中進行共享密鑰的分發(fā)���。
文檔編號H04L9/08GK101471767SQ200710301749
公開日2009年7月1日 申請日期2007年12月26日 優(yōu)先權日2007年12月26日
發(fā)明者趙宇萍 申請人:華為技術有限公司