專利名稱:保障網(wǎng)絡(luò)安全的方法���、系統(tǒng)及dhcp服務(wù)端和客戶端的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù),特別涉及保障網(wǎng)絡(luò)安全的方法��、系統(tǒng)及DHCP服務(wù)端和客戶端���。
背景技術(shù):
DHCP (Dynamic Host Configuration Protocol,動態(tài)主才幾配置協(xié)議)是一個為主機自動配置IP (Internet Protocol,網(wǎng)際協(xié)議)地址的協(xié)議����,采用CLIENT-SERVER (客戶端-服務(wù)端)方式實現(xiàn)��,基于UDP (User DatagramProtocol,用戶數(shù)據(jù)報協(xié)議)層之上的應(yīng)用���,UDP端口號采用知名端口號封裝����,CLIENT使用68, SERVER使用67。
在基站上電啟動過程中���,如果沒有配置本端和上級網(wǎng)元IP地址(包括但不限于基站控制器��、核心網(wǎng)或者網(wǎng)管系統(tǒng))或者IP地址配置不對�,則無法和上級網(wǎng)元建立維護通道�,進而下載正確的軟件版本后啟動。此時��,釆用DHCP技術(shù)���,基站作為DHCP CLIENT,上級網(wǎng)元作為DHCP SERVER (或者有專門的DHCP SERVER服務(wù)器)�����,DHCP CLIENT向DHCP SERVER申請IP地址�,則可以建立基站和上級網(wǎng)元之間的維護通道�����,進而下載正確的軟件版本后啟動。
在本發(fā)明的研究過程中����,發(fā)明人發(fā)現(xiàn)現(xiàn)有的IP網(wǎng)絡(luò)中的安全保障,比如IPsec (網(wǎng)際安全)協(xié)議����,必須先明確對端的IP地址�,才能夠開始進行協(xié)商,從而對IP網(wǎng)絡(luò)的傳輸進行安全保障���。而在基站上電啟動時���,如果配置文件不對或者沒有配置文件的情況下,對端的IP地址不明確����,則現(xiàn)有的IP網(wǎng)絡(luò)中的安全保障無法覆蓋采用DHCP技術(shù)進行IP地址的自動配置過程。
發(fā)明內(nèi)容
有鑒于此��,本發(fā)明實施例提供了一種保障網(wǎng)絡(luò)安全的方法���、系統(tǒng)和DHCP服務(wù)端和客戶端��,以對采用DHCP技術(shù)進行IP地址自動配置的過程進行安全保障�。
本發(fā)明實施例提供了一種保障網(wǎng)絡(luò)安全的方法,包括
接收客戶端發(fā)送的動態(tài)主機配置協(xié)議DHCP請求報文����,所述DHCP請求報文經(jīng)it^戶端根據(jù)服務(wù)端與客戶端之間配置的加解密預(yù)共享信息進行加密,所述DHCP請求報文包含未經(jīng)加密的客戶端的媒體接入控制MAC地址�;
根據(jù)所述DHCP請求報文中包含的未經(jīng)加密的客戶端的MAC地址獲得服務(wù)器端與客戶端之間配置的加解密預(yù)共享信息;
根據(jù)所述加解密預(yù)共享信息對所述DHCP請求報文進行解密��,獲得所述DHCP請求報文的明文��。
本發(fā)明實施例還提供了一種保障網(wǎng)絡(luò)安全的方法�,包括
根據(jù)服務(wù)端與客戶端之間配置的加解密預(yù)共享信息對DHCP請求報文進行力口密;
根據(jù)經(jīng)過加密的DHCP請求報文��,構(gòu)造包含客戶端MAC地址的DHCP請求報文�;
發(fā)送經(jīng)過加密且包含客戶端MAC地址的DHCP請求報文給服務(wù)端。本發(fā)明實施例還提供了 一種DHCP服務(wù)端�����,包括
服務(wù)端接收單元����,用于接收客戶端發(fā)送的DHCP請求報文�����;所述DHCP請求報文經(jīng)過客戶端根據(jù)服務(wù)端與客戶端之間配置的加解密預(yù)共享信息進行加密�����,DHCP請求報文包含未經(jīng)加密的客戶端的媒體接入控制MAC地址����;
服務(wù)端加解密信息獲取單元��,用于根據(jù)所述接收單元接收的DHCP請求報文中包含的未經(jīng)加密的客戶端的MAC地址獲得服務(wù)端與客戶端之間配置的加解密預(yù)共享信息��;
服務(wù)端解密單元����,用于根據(jù)所述服務(wù)端加解密信息獲取單元獲得的加解密預(yù)共享信息對所述DHCP請求報文進行解密�,獲得所述DHCP請求報文的明文。
本發(fā)明實施例還提供了一種DHCP客戶端����,其特征在于,包括
客戶端加密單元�����,用于根據(jù)服務(wù)端與客戶端之間配置的加解密預(yù)共享信息對DHCP請求才艮文進行加密;
客戶端構(gòu)造單元�,用于根據(jù)經(jīng)過所述客戶端加密單元加密的DHCP請求報文,構(gòu)造包含客戶端的MAC地址的DHCP請求報文��;
客戶端發(fā)送單元�,用于發(fā)送所述客戶端構(gòu)造單元構(gòu)造的經(jīng)過加密且包含客戶端的MAC地址的DHCP請求報文給服務(wù)端。
本發(fā)明實施例還提供了 一種保障網(wǎng)絡(luò)安全的系統(tǒng)�,包括以上實施例中描述的DHCP服務(wù)端和DHCP客戶端。
利用本發(fā)明實施例中所提供的保障網(wǎng)絡(luò)安全的方法�、系統(tǒng)以及DHCP服務(wù)端、DHCP客戶端���,采用DHCP技術(shù)獲取IP地址的過程中����,Client與Server的通信處于網(wǎng)絡(luò)安全的保護之下���,堵上了 Client啟動時DHCP過程中的IP安全方案的漏洞���,避免了攻擊者可以更改DHCP交互過程中的才艮文,造成Client無法正常獲取IP地址�,從而Client無法正常啟動���;或者,攻擊者可以偷聽才艮文����,獲取分配的IP地址,偽裝成Client與Server通信���,輕者Client無法正常啟動�����,重者甚至可以攻擊Server等問題�。
圖1是DHCP Client-Server的一般交互過程�����;
圖2是本發(fā)明實施例提供的保障網(wǎng)絡(luò)安全的方法流程圖3是本發(fā)明另一實施例提供的保障網(wǎng)絡(luò)安全的方法流程圖;
圖4是本發(fā)明另一實施例提供的保障網(wǎng)絡(luò)安全的方法流程圖;
圖5是本發(fā)明另一實施例提供的保障網(wǎng)絡(luò)安全的方法流程圖;
圖6是本發(fā)明另一實施例提供的保障網(wǎng)絡(luò)安全的方法流程圖;圖7是本發(fā)明另一實施例提供的DHCP服務(wù)端示意圖�����;圖8是本發(fā)明另一實施例提供的DHCP服務(wù)端示意圖�;圖9是本發(fā)明另一實施例提供的DHCP服務(wù)端示意圖��;圖IO是本發(fā)明另一實施例提供的DHCP客戶端示意圖;圖ll是本發(fā)明另一實施例提供的DHCP客戶端示意圖����。
具體實施例方式
本發(fā)明實施例提供了保障網(wǎng)絡(luò)安全的方法、裝置和系統(tǒng)��,該方法�����、裝置和系統(tǒng)可以應(yīng)用到各種移動網(wǎng)絡(luò)����,包括GSM (Global System for Mobilecommunications, 全5求移動通信系統(tǒng))、WCDMA (Wideband Code DivisionMultiple Access,寬帶碼分多址)����、TD-SCDMA( Time Division-Synchronous CodeDivision Multiple Access,時分同步碼分多址)和LTE (Long Time Evolution,長期演進)等各種移動網(wǎng)絡(luò)中,還可以應(yīng)用到任何部署DHCP Server和DHCPClient的網(wǎng)元�、主機或者服務(wù)器。采用本發(fā)明實施例提供的保障網(wǎng)絡(luò)安全的方法���、裝置和系統(tǒng)可以對基站啟動時采用DHCP技術(shù)進行IP地址的自動配置的過程進行安全保障�����。
圖1為DHCP Client-Server的一般交互過程�,包括
步驟1: Client向Server發(fā)DHCP DISCOVER報文,用于發(fā)現(xiàn)DHCP Server服務(wù)器��。
步驟2: Server給Client回DHCP OFFER報文����,用于表示Server已經(jīng)發(fā)現(xiàn)。步驟3: Client向Server發(fā)DHCP REQUEST報文��,用于請求本機的IP地址�����,Server才艮據(jù)自己的IP地址所在網(wǎng)段為Client分配IP地址����。
步驟4: Server給Client回DHCP ACK報文,用于分配Client的IP地址��。Client收到Server返回的DHCP ACK報文后����,獲取DHCP ACK報文中所攜帶的IP地址,進入延續(xù)狀態(tài)�����。如果Client記錄下了上次使用的網(wǎng)絡(luò)地址���,并且在地址申請時還希望再使用此地址��,DHCP REQUEST和DHCP ACK過程可以省略�。
針對如圖1所示的DHCP交互過程��,本發(fā)明實施例提供了一種保障網(wǎng)絡(luò)安
全的方法����,如圖2所示,包括步驟
101,接收客戶端發(fā)送的動態(tài)主機配置協(xié)議DHCP請求報文�����;
其中���,DHCP請求報文經(jīng)過客戶端根據(jù)服務(wù)端與客戶端之間配置的加解密
預(yù)共享信息進行加密���,DHCP請求報文包含未經(jīng)加密的客戶端的媒體接入控制
MAC地址;
應(yīng)當指出的是,本發(fā)明所有實施例中的DHCP請求報文可以為用于發(fā)現(xiàn)DHCP Server的報文����,如DHCP DISCOVER消息,也可以為用于請求本機的IP地址的報文�,如DHCP REQUEST消息。
102���,根據(jù)DHCP請求報文中包含的未經(jīng)加密的客戶端的MAC地址獲得服務(wù)端與客戶端之間配置的加解密預(yù)共享信息���;
103,根據(jù)所述加解密預(yù)共享信息對所述DHCP請求報文進行解密���,獲得DHCP請求報文的明文��。
依據(jù)本發(fā)明實施例提供的保障網(wǎng)絡(luò)安全的方法��,可以使Client與Server的通信處于網(wǎng)絡(luò)安全的保護之下�����,避免了采用DHCP技術(shù)獲取IP地址的過程中被^T聽�、截獲�,或者攻擊。
基于如圖2所示的實施例����,本發(fā)明另一實施例提供的保障網(wǎng)絡(luò)安全的方法如圖3所示,還包括步驟
104���,在獲得DHCP請求報文的明文之后���,構(gòu)造DHCP響應(yīng)報文,并根據(jù)所獲得的Server與Client之間配置的加解密預(yù)共享信息對DHCP響應(yīng)報文進行加密�;
105,發(fā)送加密后的DHCP響應(yīng)報文給Client,以使Client根據(jù)Server與Client之間配置的加解密預(yù)共享信息���,對加密后的DHCP響應(yīng)報文進行解密�����,獲得DHCP響應(yīng)報文的明文����。
應(yīng)當指出的是���,本發(fā)明所有實施例中���,若DHCP請求"^艮文為用于發(fā)現(xiàn)DHCPServer的才艮文��,如DHCP DISCOVER消息�����,DHCP響應(yīng)報文可以為用于表示Server已經(jīng)發(fā)現(xiàn)的報文��,如DHCP OFFER消息�����;若DHCP請求報文為用于請求本機的IP地址的報文�����,如DHCP REQUEST消息���,DHCP響應(yīng)報文可以為用于分配Client的IP地址報文,如DHCPACK消息����。
基于如圖2所示的實施例,本發(fā)明另一實施例提供的保障網(wǎng)絡(luò)安全的方法如圖4所示�,包括步驟100,在根據(jù)DHCP請求4艮文中包含的未經(jīng)加密的Client的MAC地址獲得Server與Client之間配置的加解密預(yù)共享信息之前����,還包括預(yù)存儲Client的MAC地址與加解密預(yù)共享信息之間的對應(yīng)關(guān)系�����。
本發(fā)明所有實施例中的Server與Client之間配置的加解密預(yù)共享信息可以包括報文的封裝模式�,加解密算法�����、認證算法和密鑰�����,此外��,若報文的封裝模式是隧道^f莫式�,加解密預(yù)共享信息還包括隧道的IP頭。
針對如圖1所示的DHCP交互過程�����,本發(fā)明另一實施例提供了一種保障網(wǎng)絡(luò)安全的方法��,如圖5所示,包括步驟
201 �,根據(jù)Server與Client之間配置的加解密預(yù)共享信息對DHCP請求報文進行加密;
202��,根據(jù)經(jīng)過加密的DHCP請求報文����,構(gòu)造包含Client的MAC地址的DHCP請求報文;
203 �,發(fā)送經(jīng)過加密且包含Client的MAC地址的DHCP請求報文給Server。
依據(jù)本發(fā)明實施例提供的保障網(wǎng)絡(luò)安全的方法�,可以使Client與Server的通信處于網(wǎng)絡(luò)安全的保護之下,避免了采用DHCP技術(shù)獲取IP地址的過程中被偷聽����、截獲,或者攻擊��。
基于如圖5所示的實施例���,本發(fā)明另一實施例提供的保障網(wǎng)絡(luò)安全的方法如圖6所示����,還包括步驟
204�,接收Server發(fā)送的DHCP響應(yīng)報文�;
其中���,DHCP響應(yīng)報文為經(jīng)過Server根據(jù)Server與Client之間配置的加解密預(yù)共享信息進行力�。密后的DHCP響應(yīng)報文�����,Server與Client之間配置的加解密預(yù)共享信息為Server根據(jù)所述經(jīng)過加密且包含Client MAC地址的DHCP請求報文所包含的Client MAC地址獲取的���;
205,根據(jù)Server與Client之間配置的加解密預(yù)共享信息,對接收到的DHCP響應(yīng)報文進行解密��,獲得DHCP響應(yīng)才艮文的明文��。
以上方法實施例應(yīng)用于基站和上級網(wǎng)元時����,其中,基站作為Client,上級網(wǎng)元作為Server,包4舌
基站上電啟動前��,在基站和上級網(wǎng)元中分別配置加解密預(yù)共享信息�,包括封裝模式、加解密算法����、認證算法和密鑰��,如果封裝模式是隧道模式�����,加解密預(yù)共享信息還包括隧道的IP頭��。在上級網(wǎng)元中建立基站MAC地址與預(yù)共享信息的關(guān)聯(lián)關(guān)系��。
基站發(fā)送DHCP請求報文��,如DHCP DISCOVER或者DHCP REQUEST時�,纟艮據(jù)加解密預(yù)共享信息完成對整個報文的加密�。
上級網(wǎng)元接收DHCP請求報文,如DHCP DISCOVER或者DHCPREQUEST,根據(jù)DHCP請求報文中的源端MAC地址���,即基站的MAC地址���,獲取到加解密預(yù)共享信息,對DHCP請求"f艮文進行解密并獲得明文���。
上級網(wǎng)元收到DHCP請求報文后�,構(gòu)造DHCP響應(yīng)報文,如DHCP OFFER或者DHCP ACK報文�,并根據(jù)DHCP請求報文中的源端MAC地址,即基站的MAC地址��,獲得的加解密預(yù)共享信息���,對DHCP響應(yīng)報文進行加密�,并將DHCP響應(yīng)報文發(fā)給基站�。
基站根據(jù)加解密預(yù)共享信息,對DHCP響應(yīng)報文進行解密得到明文�,并從
DHCP ACK報文中獲取上級網(wǎng)元返回的本端IP地址和上級網(wǎng)元IP地址等信自
在后續(xù)的操作中��,基站可以使用獲取得到的IP地址進行IKE (密匙交換協(xié)商協(xié)議)協(xié)商�,進而對后續(xù)的交互流程進行IPsec加密。
利用本發(fā)明實施例中所提供的保障網(wǎng)絡(luò)安全的方法�����,從基站上電啟動開始與上級網(wǎng)元通信的過程就處于網(wǎng)絡(luò)安全的保護之下�����,堵上了基站啟動的DHCP過程中的IP安全方案的漏洞,避免了攻擊者可以更改DHCP交互過程中的報文�����,造成基站無法正常獲取IP地址��,從而基站無法正常啟動�;或者,攻擊者可以偷聽報文�����,獲取分配的IP地址����,偽裝成基站與上級網(wǎng)元通信,輕者基站無法正常啟動���,重者甚至可以攻擊上級網(wǎng)元等問題����。
本發(fā)明所有實施例中的加解密預(yù)共享信息都可以為采用IPsec協(xié)議進行加解密所需的加解密信息����,在DHCP交互過程中���,由于采用針對源MAC地址來索引加解密信息,IPsec頭部中的SPI值就是沒有使用價值���,SPI值可以填寫為任意值����。
如圖7所示�,本發(fā)明另一實施例還提供DHCP服務(wù)端,包括
Server接收單元301 �,用于接收Client發(fā)送的DHCP請求報文;
其中�����,DHCP請求報文經(jīng)過Client根據(jù)Server與Client之間配置的加解密
預(yù)共享信息進行加密��,DHCP請求報文包含未經(jīng)加密的Client的媒體接入控制
MAC地址��;
Server加解密信息獲取單元302�,用于根據(jù)接收單元301接收的DHCP請求報文中包含的未經(jīng)加密的Client的MAC地址獲得Server與Client之間配置的加解密預(yù)共享信息�;
Server解密單元303,用于根據(jù)加解密預(yù)共享信息對DHCP請求報文進行解密,獲得DHCP請求報文的明文����。
依據(jù)本發(fā)明實施例提供的DHCP Server,可以使Client與Server的通信處于網(wǎng)絡(luò)安全的保護之下�,避免了采用DHCP技術(shù)獲取IP地址的過程中被偷聽�、截獲,或者攻擊�。
基于如圖7所示的實施例,本發(fā)明另一實施例提供的DHCP Server,如圖8所示����,還包括
Server報文構(gòu)造單元304,用于構(gòu)造DHCP響應(yīng)報文,并根據(jù)所獲得的Server與Client之間配置的加解密預(yù)共享信息對DHCP響應(yīng)報文進行加密��;Server發(fā)送單元305�,用于發(fā)送加密后的DHCP響應(yīng)報文給Client,以使Client根據(jù)Server與Client之間配置的加解密預(yù)共享信息,對加密后的DHCP響應(yīng)報文進行解密��,獲得DHCP響應(yīng)報文的明文���。
基于如圖7所示的實施例����,本發(fā)明另一實施例提供的DHCP Server,如圖9所示���,還包括
Server存儲單元306���,用于存儲Client的MAC地址與加解密預(yù)共享信息之間的對應(yīng)關(guān)系��,以使Server加解密信息獲取單元302根據(jù)Server存儲單元306中存儲的Client的MAC地址與加解密預(yù)共享信息之間的對應(yīng)關(guān)系獲得所需的加解密預(yù)共享信息��。
如圖10所示���,本發(fā)明另一實施例還提供DHCP客戶端,包括
Client加密單元401,用于Server與Client之間配置的加解密預(yù)共享信息對DHCP請求報文進行加密��;
Client構(gòu)造單元402��,用于根據(jù)經(jīng)過加密的DHCP請求報文���,構(gòu)造包含Client的MAC地址的DHCP請求報文����;
Client發(fā)送單元403����,用于發(fā)送經(jīng)過加密且包含Client的MAC地址的DHCP請求報文給Server���。
依據(jù)本發(fā)明實施例提供的DHCP Client,可以使Client與Server的通信處于網(wǎng)絡(luò)安全的保護之下���,避免了采用DHCP技術(shù)獲取IP地址的過程中被偷聽���、截獲,或者攻擊���。
基于如圖IO所示的DHCP客戶端�����,本發(fā)明另一實施例如圖11所示�,還包
括
Client接收單元404����,用于接收Server發(fā)送的DHCP響應(yīng)報文;其中�����,DHCP響應(yīng)報文為經(jīng)過Server根據(jù)Server與Client之間配置的加解密預(yù)共享信息進行加密后的DHCP響應(yīng)報文����,Server與Client之間配置的加解密預(yù)共享信息為Server根據(jù)所述經(jīng)過加密且包含Client MAC地址的DHCP請求報文所包含的Client MAC地址獲取的;
Client解密單元405,用于才艮據(jù)Server與Client之間配置的加解密預(yù)共享信息�,對接收到的DHCP響應(yīng)報文進行解密��,獲得DHCP響應(yīng)報文的明文�。
本發(fā)明另 一實施例還提供一種保障網(wǎng)絡(luò)安全的系統(tǒng)����,該系統(tǒng)包括以上實施 例中所描述的DHCP服務(wù)端和DHCP客戶端。
DHCP客戶端可以位于無線移動網(wǎng)絡(luò)中的基站中�。
利用本發(fā)明實施例中所提供的保障網(wǎng)絡(luò)安全的方法、系統(tǒng)以及DHCP服務(wù) 端�����、DHCP客戶端�,采用DHCP技術(shù)獲取IP地址的過程中,Client與Server 的通信處于網(wǎng)絡(luò)安全的保護之下�����,堵上了 Client啟動時DHCP過程中的IP安 全方案的漏洞�����,避免了攻擊者可以更改DHCP交互過程中的報文��,造成Client 無法正常獲取IP地址,從而Client無法正常啟動�;或者�,攻擊者可以偷聽才艮 文,獲取分配的IP地址��,偽裝成Client與Server通信��,輕者Client無法正常 啟動��,重者甚至可以攻擊Server等問題�。
本領(lǐng)域普通技術(shù)人員可以理解實現(xiàn)上述方法實施例的全部或部分步驟可 以通過程序指令相關(guān)的硬件來完成,前述程序可以存儲于一計算機可讀取存儲 介質(zhì)中����,該程序在執(zhí)行時,執(zhí)行包括上述方法實施例的步驟�;而前述的存儲介 質(zhì)包括ROM、 RAM�����、磁碟或者光盤等各種可以存儲程序代碼的介質(zhì)�。
以上公開的僅為本發(fā)明的幾個具體實施例,顯然��,本領(lǐng)域的技術(shù)人員可以 對本發(fā)明進行各種改動和變型而不脫離本發(fā)明的精神和范圍�����。這樣,倘若本發(fā) 明的這些修改和變型屬于本發(fā)明權(quán)利要求及其等同技術(shù)的范圍之內(nèi)����,則本發(fā)明 也意圖包含這些改動和變型在內(nèi)。
1權(quán)利要求
1��、一種保障網(wǎng)絡(luò)安全的方法����,其特征在于,包括接收客戶端發(fā)送的動態(tài)主機配置協(xié)議DHCP請求報文����,所述DHCP請求報文經(jīng)過客戶端根據(jù)服務(wù)端與客戶端之間配置的加解密預(yù)共享信息進行加密,所述DHCP請求報文包含未經(jīng)加密的客戶端的媒體接入控制MAC地址����;根據(jù)所述DHCP請求報文中包含的未經(jīng)加密的客戶端的MAC地址獲得服務(wù)器端與客戶端之間配置的加解密預(yù)共享信息;根據(jù)所述加解密預(yù)共享信息對所述DHCP請求報文進行解密���,獲得所述DHCP請求報文的明文����。
2、 如權(quán)利要求1所述的保障網(wǎng)絡(luò)安全的方法�����,其特征在于����,所述獲得 明文之后�,還包括,構(gòu)造DHCP響應(yīng)報文�����,并根據(jù)所獲得的服務(wù)端與客戶端之間配置的加解密 預(yù)共享信息對所述DHCP響應(yīng)報文進行加密后�����,發(fā)送所述加密后的DHCP響 應(yīng)報文給客戶端�,以^f吏客戶端根據(jù)所述服務(wù)端與客戶端之間配置的加解密預(yù)共 享信息,對所述加密后的DHCP響應(yīng)報文進行解密����,獲得所述DHCP響應(yīng)報 文的明文。
3、 如權(quán)利要求1所述的保障網(wǎng)絡(luò)安全的方法���,其特征在于����,所述DHCP 請求報文具體為DHCP DISCOVER消息����,或者DHCP REQUEST消息。
4�����、 如權(quán)利要求2所述的保障網(wǎng)絡(luò)安全的方法�����,其特征在于�����,當所述DHCP請求才艮文具體為DHCP DISCOVER消息時����,所述DHCP響應(yīng) 報文為DHCP OFFER消息���;或者當所述DHCP請求才艮文具體為DHCP REQUEST消息時,所述DHCP響應(yīng) 報文為DHCP ACK消息��。
5����、 如權(quán)利要求1所述的保障網(wǎng)絡(luò)安全的方法,其特征在于����,在根據(jù)所 述DHCP請求"^艮文中包含的未經(jīng)加密的客戶端的MAC地址獲得服務(wù)端與客戶端之間配置的加解密預(yù)共享信息之前���,還包括預(yù)存儲客戶端的MAC地址與 加解密預(yù)共享信息之間的對應(yīng)關(guān)系����。
6�、 如權(quán)利要求1至5任意一項所述的保障網(wǎng)絡(luò)安全的方法,其特征在 于�,所述服務(wù)端與客戶端之間配置的加解密預(yù)共享信息包括報文的封裝模式、 加解密算法����、認證算法和密鑰�����。
7�、 如權(quán)利要求6所述的保障網(wǎng)絡(luò)安全的方法�,其特征在于,當所述報 文的封裝模式是隧道模式時�,所述加解密預(yù)共享信息還包括隧道的IP頭。
8����、 一種保障網(wǎng)絡(luò)安全的方法,其特征在于�,包括 根據(jù)服務(wù)端與客戶端之間配置的加解密預(yù)共享信息對DHCP請求報文進行力口密;根據(jù)經(jīng)過加密的DHCP請求報文��,構(gòu)造包含客戶端MAC地址的DHCP請 求報文�;發(fā)送經(jīng)過力。密且包含客戶端MAC地址的DHCP請求報文給服務(wù)端����。
9、 如權(quán)利要求8所述的保障網(wǎng)絡(luò)安全的方法����,其特征在于���,發(fā)送經(jīng)過 加密且包含客戶端MAC地址的DHCP請求報文給服務(wù)端之后,還包括���,接收所述服務(wù)端發(fā)送的DHCP響應(yīng)報文��,所述DHCP響應(yīng)報文為經(jīng)過所 述服務(wù)端根據(jù)所述服務(wù)端與客戶端之間配置的加解密預(yù)共享信息進行加密后 的DHCP響應(yīng)報文�,所述服務(wù)端與客戶端之間配置的加解密預(yù)共享信息為所述 服務(wù)端根據(jù)所述經(jīng)過力a密且包含客戶端MAC地址的DHCP請求報文所包含的 客戶端MAC地址獲取的�����;根據(jù)所述服務(wù)端與客戶端之間配置的加解密預(yù)共享信息�,對接收到的 DHCP響應(yīng)報文進行解密�,獲得所述DHCP響應(yīng)報文的明文。
10����、 一種DHCP服務(wù)端,其特征在于����,包括服務(wù)端接收單元,用于接收客戶端發(fā)送的DHCP請求報文�;所述DHCP 請求報文經(jīng)過客戶端根據(jù)服務(wù)端與客戶端之間配置的加解密預(yù)共享信息進行 加密��,DHCP請求報文包含未經(jīng)加密的客戶端的媒體接入控制MAC地址�����;服務(wù)端加解密信息獲取單元�,用于根據(jù)所述接收單元接收的DHCP請求報 文中包含的未經(jīng)加密的客戶端的MAC地址獲得服務(wù)端與客戶端之間配置的加 解密預(yù)共享信息�;服務(wù)端解密單元,用于根據(jù)所述服務(wù)端加解密信息獲取單元獲得的加解密 預(yù)共享信息對所述DHCP請求報文進行解密��,獲得所述DHCP請求報文的明 文����。
11、 如權(quán)利要求IO所述的DHCP服務(wù)端���,其特征在于���,還包括 服務(wù)端報文構(gòu)造單元,用于構(gòu)造DHCP響應(yīng)報文���,并根據(jù)所述服務(wù)端加解密信息獲取單元所獲得的服務(wù)端與客戶端之間配置的加解密預(yù)共享信息對 DHCP響應(yīng)才艮文進4亍加密�;服務(wù)端發(fā)送單元��,用于發(fā)送加密后的DHCP響應(yīng)報文給客戶端,以使客戶 端根據(jù)服務(wù)端與客戶端之間配置的加解密預(yù)共享信息�����,對所述加密后的DHCP 響應(yīng)報文進行解密���,獲得DHCP響應(yīng)報文的明文��。
12�、 一種DHCP客戶端��,其特征在于�����,包括客戶端加密單元����,用于根據(jù)服務(wù)端與客戶端之間配置的加解密預(yù)共享信息 對DHCP請求報文進行加密��;客戶端構(gòu)造單元��,用于根據(jù)經(jīng)過所述客戶端加密單元加密的DHCP請求報 文���,構(gòu)造包含客戶端的MAC地址的DHCP請求才艮文����;客戶端發(fā)送單元,用于發(fā)送所述客戶端構(gòu)造單元構(gòu)造的經(jīng)過加密且包含客 戶端的MAC地址的DHCP請求報文給服務(wù)端����。
13、 如權(quán)利要求12所述的DHCP客戶端����,其特征在于,還包括 客戶端接收單元�,用于接收服務(wù)端發(fā)送的DHCP響應(yīng)報文;所述DHCP響應(yīng)報文為經(jīng)過服務(wù)端根據(jù)服務(wù)端與客戶端之間配置的加解密預(yù)共享信息進 行加密后的DHCP響應(yīng)報文�,服務(wù)端與客戶端之間配置的加解密預(yù)共享信息為 服務(wù)端根據(jù)所述經(jīng)過加密且包含客戶端MAC地址的DHCP請求報文所包含 的客戶端MAC地址獲取的;4客戶端解密單元�����,用于根據(jù)服務(wù)端與客戶端之間配置的加解密預(yù)共享信息��,對所述客戶端接收單元接收到的DHCP響應(yīng)報文進行解密��,獲得DHCP 響應(yīng)才艮文的明文。
14��、 一種保障網(wǎng)絡(luò)安全的系統(tǒng)���,其特征在于���,包括如權(quán)利要求10或11 任意一項所述的DHCP服務(wù)端和如權(quán)利要求12或13任意一項所述的DHCP 客戶端。
全文摘要
本發(fā)明實施例公開了一種保障網(wǎng)絡(luò)安全的方法�,包括接收客戶端發(fā)送的動態(tài)主機配置協(xié)議DHCP請求報文,所述DHCP請求報文經(jīng)過客戶端根據(jù)服務(wù)端與客戶端之間配置的加解密預(yù)共享信息進行加密���,所述DHCP請求報文包含未經(jīng)加密的客戶端的媒體接入控制MAC地址��;根據(jù)所述DHCP請求報文中包含的未經(jīng)加密的客戶端的MAC地址獲得服務(wù)器端與客戶端之間配置的加解密預(yù)共享信息��;根據(jù)所述加解密預(yù)共享信息對所述DHCP請求報文進行解密�����,獲得所述DHCP請求報文的明文�。本發(fā)明實施例還公開了保障網(wǎng)絡(luò)安全的系統(tǒng)�、DHCP服務(wù)端和客戶端,可以對采用DHCP技術(shù)進行IP地址自動配置的過程進行安全保障����。
文檔編號H04L29/06GK101640690SQ20091018990
公開日2010年2月3日 申請日期2009年8月27日 優(yōu)先權(quán)日2009年8月27日
發(fā)明者遒 方 申請人:華為技術(shù)有限公司