[发明专利]一种轻量级地址自动分配协议安全认证方法

摘要

一种轻量级地址自动分配协议安全认证方法，其步骤为：S1：服务器使用Hash(Mac+Ks)为每个客户端计算Key；S2：客户端认证模块使用Hash算法并利用系统当前时间计算得Kcs，消息报文结合Kcs使用Hash产生MAC，将MAC添加到Option的认证消息字段，将客户端产生的DHCPDiscover消息发送到DHCP服务端；S3：DHCPDiscover消息发送到服务端，服务端接收并进行认证；S4：DHCP服务器收到通过认证模块的报文后，直接分配IP地址；S5：客户端认证模块接收到DHCPOffer消息之后，对消息进行认证判别；S6：客户端将DHCPRequest报文发给认证模块，认证模块将添加含有MAC的Option并将消息发送给服务端；S7：服务端认证模块对DHCPRequest报文进行认证。本发明具有原理简单、易实现、兼容性好、安全性更高等优点。

主权项

一种轻量级地址自动分配协议安全认证方法，其特征在于，步骤为：S1：服务器使用Hash(Mac+Ks)为每个客户端计算Key，其中Mac是每个客户端的唯一标示即链路层地址，客户端私密保存Key以备认证模块使用；S2：客户端认证模块使用Hash(currentTime+Key)计算得Kcs，其中Hash法在Option格式的算法一项中设定，然后使用Hash(DHCPDiscover+Kcs)产生MAC，将MAC添加到Option的认证消息字段，将客户端产生的DHCPDiscover消息发送到DHCP服务端；S3：DHCPDiscover消息发送到服务端，首先会被服务端的认证模块接收，对其消息进行认证，从DHCPDiscover报文中取出客户端的Mac地址和消息认证码，通过Hash(Mac+Ks)计算得到Key；认证模块根据Option的算法字段获得客户端使用的Hash算法，通过Hash(currentTime+Key)得到Kcs；最后将计算Hash(DHCPDiscover+Kcs)的值与报文中取出的消息认证码对比，如果相等则认证模块发送报文给服务器，服务器分配IP地址和网络配置参数进入步骤S4，如果不相等说明报文消息被修改或者是重放的DHCPDiscover消息，直接丢弃；S4：DHCP服务器收到通过认证模块报文后，直接分配IP地址；S5：客户端认证模块接收到DHCPOffer消息之后，首先取出消息中的MAC，使用发送DHCPDiscover报文时计算的Kcs与MAC对比；如果不相等直接丢弃，如相等就发送给客户端处理；S6：客户端将DHCPRequest报文发给认证模块，认证模块将添加含有MAC的Option并将消息发送给服务端；S7：服务端认证模块对DHCPRequest报文进行认证，认证通过直接发送给服务器，不通过则直接丢弃。