[发明专利]处理动态主机配置消息的方法、装置及系统

说明书

技术领域

本发明涉及通信技术，尤其关于一种处理动态主机配置协议DHCP (Dynamic Host Configuration Protocol)消息的方法、装置及系统。

背景技术

动态主机配置协议是TCP/IP协议簇中的一种，是IETF为实现网络客户端 的自动配置而设计的协议。DHCP协议根据IP版本的不同，包括DHCPv4和 DHCPv6版本。本申请文件针对的DHCPv6协议。DHCPv6协议包括13种消息 类型，分别是：SOLICIT，ADVERTISE，REQUEST，CONFIRM， RENEW，REBIND，REPLY，RELEASE，DECLINE，RECONFIGURE， INFORMATION-REQUEST，RELAY-FORW，RELAY-REPL。后续为了描述 方便，统一称为DHCP消息。DHCPv6协议描述了DHCP服务器端和网络客户 端通过交互DHCP消息，完成网络客户端的自动配置的交互过程。例如， DHCP服务器端和网络客户端通过交互DHCP消息为客户端自动分配IP地址、 DNS服务器地址以及其他附加配置信息。

DHCP服务器端和网络客户端的交互通常有两种模式：两消息模式和四 消息模式。在两消息的模式下，网络客户端不需要DHCP服务器分配IP地址。 如图1所示，网络客户端首先向本地链路多播地址发送DHCP“请求消息 REQUEST”，该要求消息中指明请求配置信息；DHCP服务器接收到该消息， 向网络客户端发送携带被请求配置信息的“应答消息REPLY”。在四消息的模 式下，网络客户端需要DHCP服务器分配IP地址。如图2所示，网络客户端向 本地链路多播地址发送DHCP“要求消息SOLICIT”，以发现有效的DHCP服务 器；满足网络客户端要求的所有DHCP服务器，都会回应一个“公告消息 ADVERTISE”，用以指明其可以提供地址和配置信息；网络客户端从回应“公 告消息”的DHCP服务器中选择一个DHCP服务器，向其发送DHCP“请求消息 REQUEST”，该请求消息中指明请求分配IP地址和/或配置信息；接收到该“请 求消息”的DHCP服务器向网络客户端发送携带被请求的IP地址和/或配置信息 的“应答消息REPLY”。

在上述图1和图2的方案中，DHCP消息都是网络客户端首先发起的。在 实际的应用场景中，DHCP服务器根据需要，也可以首先发起DHCP消息，例 如向网络客户端发起DHCP“重配置消息RECONFIGURE”，触发网络客户端更 新先前的配置。

发明人在研究DHCPv6协议的过程中发现，由于网络客户端使用的单播 地址和DHCP服务器端使用的单播地址都极易被假冒，这样DHCP消息的安全 机制不能得到保证。例如，当网络客户端使用的单播地址被假冒后，则攻击 者将会对网络客户端进行恶意配置。

发明内容

本发明实施例要解决的技术问题是提供一种处理动态主机配置消息的方 法、装置及其系统，能够对DHCP消息发送方的地址进行验证，从而提高 DHCP消息交互的安全。

本发明实施例的目的是通过以下技术方案实现的：

本发明实施例提供一种处理动态主机配置消息的方法，包括：接收 DHCP消息，所述DHCP消息的源地址为加密生成地址CGA，所述DHCP消息 携带DHCP消息发送方的签名数据；对所述CGA和所述签名数据进行验证； 当所述CGA和所述签名数据验证通过后，则处理所述DHCP消息的负载。

本发明实施例提供一种发送动态主机配置消息的方法，包括：根据 DHCP消息发送方的私钥对DHCP消息进行签名，生成包含签名数据的第二 DHCP消息，所述第二DHCP消息的源地址为CGA；

发送所述第二DHCP消息。

本发明实施例提供一种处理DHCP消息的装置，包括接收模块，用于接 收DHCP消息，所述DHCP消息的源地址为DHCP消息发送方的CGA，所述 DHCP消息携带DHCP消息发送方的签名数据；地址验证模块，用于对所述 CGA进行验证签名验证模块，用于对所述签名数据进行验证；负载处理模 块，用于当所述CGA和所述签名数据验证均通过后，处理所述DHCP消息的 负载。