[发明专利]一种轻量级地址自动分配协议安全认证方法

说明书

技术领域

本发明属于网络安全技术领域，特指一种轻量级地址自动分配协议安全认证方法。

背景技术

DHCP协议(DynamicHostConfigurationProtocol)作为最有用的网络协议之一，它的提 出不但方便了网络管理员对IP地址的分配管理和用户对网络IP地址的使用，而且还解决了 IPv4网络地址不足的一些问题。但是，此协议在提出时并未考虑安全认证问题。随着网络的 发展和移动设备的广泛使用，DHCP安全缺陷越来越突显。DHCP协议安全漏洞主要包括以 下几个方面：

(1)由于协议自身没有访问控制和实体认证，所以任何一个用户不管是否有使用网络资 源的权限都可以从DHCP服务器获得IP地址及相关的配置信息从而使用网络。如果说网络攻 击者对DHCP服务器进行攻击完全可以把有效的IP地址资源耗尽，导致合法的用户不能申请 到IP地址而造成Dos攻击。

(2)由于DHCP协议发送报文完全使用的是明文而且也没有消息认证，这就存在很大的 消息篡改的风险。攻击者可以拦截DHCP报文然后对其进行修改，这就可能造成DHCP客户 端申请的IP地址不可用或者说会有地址冲突。如果攻击者修改了服务器提供配置信息中的网 关和DNS信息就可能造成更大的危险比如：①用户的访问网络必须会经过攻击者修改的网 关，这样就可以对其进行流量分析；②攻击者恶意DNS服务器可以诱导用户访问钓鱼网站从 而获取用户重要的信息。

(3)如果说网络中存在流氓DHCP服务器同样会给用户很大的安全威胁。流氓服务器采 用一定的方式消耗尽DHCP服务器的有效的IP地址资源，然后就会对用户的DHCP请求进 行应答。由于DHCP客户端不会对服务器进行认证所以客户端就会配置非法服务器提供的IP 地址和网络配置信息。进而会对网络造成更大的危害。

总的概括来说，DHCP安全漏洞主要是由于协议本身缺少安全认证机制(消息认证和实 体认证)。

目前，为了解决上述问题，传统的解决方案主要包括：

(1)简单的实体认证，比如采用检测客户Mac地址或令牌认证等都是提供弱的实体认证 没有消息认证。这种认证方式很容易受攻击，攻击者会伪装能通过认证的Mac地址或者令牌。

(2)需要与第三方服务器交互，比如RAIDUS、KerberosV服务器，就会产生额外的通 信消耗，这就造成DHCP灵活性和高效性大大的下降。

(3)修改了原DHCP协议，比如提出对报文加密或引入新的状态(DHCP协议采用状态 机驱动的)。这样就会造成与原协议兼容性问题，产生使用的局限性。

(4)数字证书作为认证手段，由于证书一般比较大，所以不能添加到DHCP报文中进行 传输，因为DHCP报文不能分割并且长度最大只能1236个字节(IP头20个字节，UDP头8 个字节，DHCP消息头236个字节)，可以作为Option使用，这样就存在证书分发的问题。

发明内容

本发明要解决的技术问题就在于：针对现有技术存在的技术问题，本发明提供一种原理 简单、易实现、兼容性好、安全性更高的轻量级地址自动分配协议安全认证方法。

为解决上述技术问题，本发明采用以下技术方案：

一种轻量级地址自动分配协议安全认证方法，其步骤为：

S1：服务器使用Hash(Mac+Ks)为每个客户端计算Key，其中Mac是每个客户端的唯 一标示即链路层地址，客户端私密保存Key以备认证模块使用；

S2：客户端认证模块使用Hash(currentTime+Key)算法并利用系统当前时间计算得Kcs， 其中Hash法在Option格式的算法一项中设定，然后消息报文结合Kcs使用Hash (DHCPDiscover+Kcs)产生MAC，将MAC添加到Option的认证消息字段，将客户端产生 的DHCPDiscover消息发送到DHCP服务端；