[发明专利]一种轻量级地址自动分配协议安全认证方法

权利要求书

1.一种轻量级地址自动分配协议安全认证方法，其特征在于，步骤为：

S1：服务器使用Hash(Mac+Ks)为每个客户端计算Key，其中Mac是每个客户端的唯 一标示即链路层地址，客户端私密保存Key以备认证模块使用；

S2：客户端认证模块使用Hash(currentTime+Key)计算得Kcs，其中Hash法在Option 格式的算法一项中设定，然后使用Hash(DHCPDiscover+Kcs)产生MAC，将MAC添加到 Option的认证消息字段，将客户端产生的DHCPDiscover消息发送到DHCP服务端；

S3：DHCPDiscover消息发送到服务端，首先会被服务端的认证模块接收，对其消息进行 认证，从DHCPDiscover报文中取出客户端的Mac地址和消息认证码，通过Hash(Mac+Ks) 计算得到Key；认证模块根据Option的算法字段获得客户端使用的Hash算法，通过Hash (currentTime+Key)得到Kcs；最后将计算Hash(DHCPDiscover+Kcs)的值与报文中取出的 消息认证码对比，如果相等则认证模块发送报文给服务器，服务器分配IP地址和网络配置参 数进入步骤S4，如果不相等说明报文消息被修改或者是重放的DHCPDiscover消息，直接丢 弃；

S4：DHCP服务器收到通过认证模块报文后，直接分配IP地址；

S5：客户端认证模块接收到DHCPOffer消息之后，首先取出消息中的MAC，使用发送 DHCPDiscover报文时计算的Kcs与MAC对比；如果不相等直接丢弃，如相等就发送给客户 端处理；

S6：客户端将DHCPRequest报文发给认证模块，认证模块将添加含有MAC的Option并 将消息发送给服务端；

S7：服务端认证模块对DHCPRequest报文进行认证，认证通过直接发送给服务器，不通 过则直接丢弃。

2.根据权利要求1所述的轻量级地址自动分配协议安全认证方法，其特征在于，所述步 骤S4中，将产生的DHCPOffer报文发给服务端的认证模块，认证模块会使用步骤S3计算保 存下的Kcs产生Hash(DHCPOffer+Kcs)将这一MAC加入Option的认证消息字段，最后发 送出去。

3.根据权利要求1所述的轻量级地址自动分配协议安全认证方法，其特征在于，所述步 骤S6中，MAC通过Hash(DHCPRequest+Kcs)计算得出的。

4.根据权利要求1所述的轻量级地址自动分配协议安全认证方法，其特征在于，所述步 骤S7中，如果通过认证服务器会发确认报文DHCPAck给客户端，同样也会加入MAC让客 户端认证模块去认证。

5.根据权利要求1～4中任意一项所述的轻量级地址自动分配协议安全认证方法，其特征 在于，对于DHCP报文中不存在自定义Option的报文的处理根据需求而定义模块，如果报文 中不存在该Option让认证模块选择丢弃，也可以不处理直接通过。

6.根据权利要求1～4中任意一项所述的轻量级地址自动分配协议安全认证方法，其特征 在于，在上述步骤中，客户端和服务器保持时钟同步，在用户采用DHCP协议申请IP地址之 前进行设置。

7.根据权利要求1～4中任意一项所述的轻量级地址自动分配协议安全认证方法，其特征 在于，在上述步骤中，客户端提前得到服务器为自己计算Key，服务器使用特定的哈希算法 和密钥Ks计算得到。