一种dhcp安全通信方法、装置和系统的制作方法

文档序号:7748176阅读:106来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
专利名称:一种dhcp安全通信方法、装置和系统的制作方法
技术领域
本发明实施例涉及网络技术领域,尤其是一种DHCP (Dynamic HostConfiguration Protocol,动态主机配置协议)安全通信方法、装置以及系统。
背景技术
随着网络技术的发展,网络设备得到了大量应用。由于网络的拓扑结构易于变化,很多网络设备需要通过动态获取IP地址来接入网络。在目前实现方案中,这些网络设备很 多支持DHCP,由外部DHCP SERVER (服务器)分配动态IP地址。但是DHCP本身并没有考虑 任何安全措施,实际应用中会存在比较多的安全隐患,使DHCP SERVER容易受到非法攻击。在现有的一种解决方案中,网络设备(即客户端)向DHCP SERVER(即服务器端) 发起请求时,在请求中携带自己的ID (身份),服务器端根据客户端的ID来识别客户端是否 可信,如果可信,则允许客户端接入。由于客户端的ID由客户端自身提供,攻击者可以很容 易地截取客户端的身份信息,从而伪造身份对服务器端发起非法攻击,导致网络系统的安 全性较差。

发明内容
本发明实施例在于提供一种DHCP安全通信方法、装置和系统。一方面,本发明实施例提供一种DHCP安全通信方法,该方法包括服务器端接收 客户端发送的第一消息,第一消息包括接入挑战请求,所述接入挑战请求用于请求服务器 端对该客户端进行认证;服务器端生成服务器端消息,并进行加密得到服务器端密文;月艮 务器端向客户端发送第一响应,第一响应包括服务器端密文;服务器端接收客户端返回的 第二消息,第二消息包括服务器端消息,其中第二消息中的服务器端消息由客户端对服务 器端密文解密后得到;服务器端验证第二消息中的服务器端消息和服务器端本地保存的服 务器端是否消息一致,若一致则服务器端确认客户端可信。一方面,本发明实施例提供还一种DHCP安全通信方法,该方法包括服务器端接 收客户端发送的第一消息,第一消息包括接入挑战请求,所述接入挑战请求用于请求服务 器端对该客户端进行认证;服务器端生成服务器端消息,并进行加密得到服务器端密文; 服务器端向客户端发送第一响应,第一响应包括服务器端密文;服务器端接收客户端返回 的第二消息,第二消息包括客户端第二密文;其中客户端第二密文由客户端对服务器端消 息和客户端消息的组合进行加密得到,服务器端消息由客户端对服务器端密文解密后得 到;服务器端解密客户端第二密文得到服务器端消息;服务器端验证解密后得到的服务器 端消息和服务器端本地保存的服务器端消息是否一致,若一致则服务器端确认客户端可信。一方面,本发明实施例提供还一种DHCP安全通信方法,该方法包括客户端向服 务器端发送第一消息,第一消息包括接入挑战请求,所述接入挑战请求用于请求服务器端 对该客户端进行认证;客户端接收服务器端返回的第一响应,第一响应包括服务器端密文;客户端解密所述服务器端密文得到服务器端消息,客户端生成客户端消息,以及对客户端 消息进行加密得到客户端第一密文或者对服务器端消息和客户端消息的组合进行加密得 到客户端第二密文;客户端向服务器端发送第二消息,第二消息包括服务器端消息和客户 端第一密文,或者第二消息包括客户端第二密文;客户端接收服务器端返回的第二响应,第 二响应包括客户端消息,其中客户端消息由服务器端对客户端第一密文或客户端第二密文 解密后得到;客户端验证接收到的客户端消息与客户端本地保存的客户端消息是否一致; 若是,则客户端确认服务器端可信。另一方面,本发明实施例提供一种服务器端装置,包括第一接收模块,用于接收 客户端发送的第一消息,第一消息包括接入挑战请求,所述接入挑战请求用于请求服务器 端对该客户端进行认证;生成模块,用于在第一接收模块接收到接入挑战请求后生成服务 器端密文;第一发送模块,用于向客户端发送第一响应,第一响应包括生成模块生成的服务 器端密文;第二接收模块,用于接 收客户端返回的第二消息,第二消息包括客户端对服务器 端密文进行解密后得到的服务器端消息;验证模块,用于验证第二消息中的服务器端消息 和服务器端本地保存的服务器端消息是否一致,在一致时确认客户端可信。另一方面,本发明实施例还提供一种服务器端装置,包括第一接收模块,用于接 收客户端发送的第一消息,第一消息包括接入挑战请求,所述接入挑战请求用于请求服务 器端对该客户端进行认证;生成模块,用于在第一接收模块接收到接入挑战请求后生成服 务器端密文;第一发送模块,用于向客户端发送第一响应,第一响应包括生成模块生成的服 务器端密文;第二接收模块,用于接收客户端返回的第二消息,第二消息包括客户端第二密 文;其中客户端第二密文由客户端对服务器端消息和客户端消息的组合进行加密得到,月艮 务器端消息由客户端对服务器端密文解密后得到;解密模块,用于解密客户端第二密文得 到服务器端消息;第二接收模块服务器端消息和服务器端本地保存的服务器端消息是否一 致,若一致时确认客户端可信。又一方面,本发明实施例还提供一种客户端装置,包括第一发送模块,用于向服 务器端发送第一消息,第一消息包括接入挑战请求,所述接入挑战请求用于请求服务器端 对该客户端进行认证;第一接收模块,用于接收服务器端返回的第一响应,第一响应包括服 务器端密文;第一解密模块,用于对服务器端密文进行解密得到服务器端消息;生成模块, 用于生成客户端消息;加密模块,用于对客户端消息进行加密得到客户端第一密文或者对 服务器端消息和客户端消息的组合进行加密得到客户端第二密文;第二发送模块,用于向 服务器端发送第二消息,第二消息包括服务器端消息和客户端第一密文,或者第二消息包 括客户端第二密文;第二接收模块,用于接收服务器端返回的第二响应,第二响应包括客户 端消息,其中第二响应中的客户端消息由服务器端对客户端第一密文或客户端第二密文解 密后得到;验证模块,用于验证第二接收模块接收到的客户端消息与客户端本地保存的客 户端消息是否一致,在一致时确认服务器端可信。再一方面,本发明实施例提供一种系统,包括上述客户端装置以及服务器端装置。本发明实施例中服务器端向客户端发送加密后的服务器端消息,并验证客户端返 回的服务器端消息和服务器端本地保存的服务器端消息是否一致,若一致,则确认客户端 可以正确解密,从而服务器端确认客户端可信。该方法可以有效验证客户端的合法性,减少 或避免服务器端遭受的非法攻击,提高网络应用的安全性。


图1为本发明实施例提供的一种DHCP安全通信方法流程示意图。图2为本发明实施例提供的另一种DHCP安全通信方法流程示意图。图3为本发明实施例提供的另一种DHCP安全通信方法流程示意图。图4为本发明实施例提供的另一种DHCP安全通信方法流程示意图。图5为本发明实施例提供的一种服务器端装置结构示意图。图6为本发明实施例提供的另一种服务器端装置结构示意图。图7为本发明实施例提供的一种客户端装置结构示意图。
具体实施例方式下面结合附图对本发明实施例作具体说明,显然,下面所描述的实施例仅仅是本 发明一部分实施例,而不是全部的实施例。请参阅图1,图1为本发明实施例提供的一种DHCP安全通信方法。该方法主要包 括如下步骤。步骤102,服务器端接收客户端发送的第一消息,其中第一消息包括接入挑战请 求,所述接入挑战请求用于请求服务器端对该客户端进行认证。步骤104,服务器端生成服务器端消息,并对服务器端消息进行加密得到服务器端 密文。服务器端在接收到接入挑战请求后,生成服务器密文用来验证客户端是否可靠或 可信。在具体应用时,服务器端消息可以是随机数,对该随机数进行加密即可得到服务器端 密文。服务器端采用的加密算法可以为非对称算法或者对称算法。以非对称算法为例,考 虑到一个服务器端往往对应多个客户端,为了降低服务器端的工作量,可以采用服务器端 和该客户端上一次认证过程中生成的服务器端共享密钥对该随机数进行加密。步骤106,服务器端向客户端发送第一响应,其中第一响应包括服务器端密文。步骤108,服务器端接收客户端返回的第二消息,第二消息包括服务器端消息;其 中第二消息中的服务器端消息由客户端对服务器端密文解密后得到。客户端对服务器端密文解密时,可以采用服务器端和该客户端上一次认证过程中 生成的客户端私钥来解密。进一步地,第二消息中还可以包括客户端第一密文,本实施例中客户端第一密文 由客户端对客户端消息进行加密后得到。客户端消息也可以是一个随机数,在进行加密时, 可以采用服务器端和该客户端上一次认证过程中生成的客户端共享密钥对该随机数进行 加密,得到客户端第一密文。步骤110,服务器端验证接收到的服务器端消息和服务器端本地保存的服务器端
消息一致。为验证客户端是否可信,服务器端可以通过验证客户端能否正确解密服务器端密 文来进行。具体来说,服务器验证客户端返回的服务器端消息(即第二消息中包括的服务 器端消息)是否与服务器端本地保存的服务器端消息一致。步骤112,若服务器端接收到的服务器端消息和服务器端本地保存的服务器端消息一致,则服务器端确认客户端可信。在服务器端接收到的服务器端消息和服务器端本地保存的服务器端消息一致时,服务器端认为客户端可以正确解密服务器端密文,从而认为客户端是可信的。进一步地,若第二消息中还可以包括客户端第一密文,则服务器端还可以对客户 端第一密文进行解密得到客户端消息,并发送第二响应给客户端,其中第二响应包括该解 密后得到的客户端消息。通过向客户端发送客户端消息可以起到由客户端来验证服务器端 是否可信的作用。本实施例中服务器端向客户端发送加密后的服务器端消息即服务器端密文,并验 证客户端返回的服务器端消息和服务器端本地保存的客户端消息是否一致,若一致,则确 认客户端可以正确解密,从而确认客户端可信。该方法可以有效验证客户端的合法性,减少 或避免服务器端遭受的非法攻击,提高网络应用的安全性需要指出的是,本发明实施例除应用于因特网之外,还可以应用于支持DHCP协议 和I P协议的通信网络系统,例如无线通信网络,其中客户端具体可以是基站,服务器端具 体可以是基站控制器,或者是其它应用方式,本发明实施例对此不作限定。请参阅图2,图2为本发明实施例提供的另一种DHCP安全通信方法。该方法主要 包括如下步骤。其中步骤202-206与步骤102-106大致相同,具体可参见上一实施例,此处不再详 述。步骤208,服务器端接收客户端返回的第二消息,第二消息包括客户端第二密文; 其中客户端第二密文由客户端对服务器端消息和客户端消息的组合进行加密得到,服务器 端消息由客户端对服务器端密文解密后得到。服务器端消息、客户端消息均可以是一个随机数,将服务器端消息和客户端消息 组合后得到一个随机数串,对该随机数串进行加密得到客户端第二密文。如果采用的是非 对称算法,可以采用服务器端和该客户端上一次认证过程中生成的客户端共享密钥对该随 机数串进行加密。步骤210,服务器端解密客户端第二密文,得到服务器端消息。服务器端解密客户端第二密文后,得到服务器端消息和客户端消息的组合,例如 一个随机数串,进而可以根据该组合的结构得到服务器端消息和客户端消息。通常在一个消息中,会包含如下部分消息类型,消息长度和消息内容。服务器端 消息和客户端消息在进行组合时,一种组合结构可以是服务器端消息类型,服务器端消息 长度,服务器端消息内容,客户端消息类型,客户端消息长度,客户端消息内容。或者可以是 其它组合结构,例如将客户端消息置于服务器端消息之前,本发明实施例对此不作限定。在进行解密时,还是以非对称算法为例进行说明,由于客户端采用服务器端和该 客户端上一次认证过程中生成的客户端共享密钥对该随机数串进行加密,相应地,服务器 端可以采用服务器端和该客户端上一次认证过程中生成的服务器端私钥对该随机数串进 行解密。步骤212,服务器端验证解密后得到的服务器端消息和服务器端本地保存的服务 器端消息是否一致。为验证客户端是否可信,服务器端可以通过验证客户端能否正确解密服务器端密文来进行。具体来说,服务器解密客户端返回的第二消息得到服务器端消息后,验证该解密 后得到的服务器端消息是否与服务器端本地保存的服务器端消息一致。步骤214,若服务器端解密后得到的服务器端消息和服务器端本地保存的服务器 端消息一致,则服务器端确认客户端可信。在服务器端解密后得到的服务器端消息和服务器端本地保存的服务器端消息一 致时,服务器端认为客户端可以正确解密服务器端密文,从而认为客户端是可信的。
本实施例中服务器端向客户端发送加密后的服务器端消息即服务器端密文,并解 密客户端返回的第二消息,通过比较解密得到的服务器端消息和服务器端本地保存的客户 端消息是否一致,来确认客户端是否可以正确解密,从而确认客户端是否可信。该方法可以 有效验证客户端的合法性,减少或避免服务器端遭受的非法攻击,提高网络应用的安全性。请参阅图3,图3为本发明实施例提供的另一种DHCP安全通信方法。该方法主要 包括如下步骤。步骤302,客户端向服务器端发送第一消息,其中第一消息包括接入挑战请求,所 述接入挑战请求用于请求服务器端对该客户端进行认证。步骤304,客户端接收服务器端返回的第一响应,第一响应包括服务器端密文。服务器端密文由服务器端对服务器端消息进行加密得到。在具体应用时,服务器 端消息可以是随机数,对该随机数进行加密即可得到服务器端密文。服务器端采用的加密 算法可以为非对称算法或者对称算法。以非对称算法为例,考虑到一个服务器端往往对应 多个客户端,为了降低服务器端的工作量,可以采用服务器端和该客户端上一次认证过程 中生成的服务器端共享密钥对该随机数进行加密。步骤306,客户端解密所述服务器端密文得到服务器端消息,并生成客户端第一密 文或客户端第二密文。客户端生成客户端消息,对客户端消息进行加密得到客户端第一密文;或者客户 端对服务器端消息和客户端消息的组合进行加密得到客户端第二密文。在具体应用时,客户端消息可以是一个随机数。对该随机数进行加密,得到客户端 第一密文;或者将服务器端消息和客户端消息组合后得到一个随机数串,对该随机数串进 行加密得到客户端第二密文,以非对称算法为例进行说明,在进行加密时,可以采用服务器 端和该客户端上一次认证过程中生成的客户端共享密钥进行加密。步骤308,客户端向服务器端发送第二消息,第二消息包括服务器端消息和客户端 第一密文,或者第二消息包括客户端第二密文。以非对称算法为例,在实际应用时,在步骤308之前,客户端在本次认证过程中还 可以重新生成一个客户端私钥和客户端公钥(即生成一个新的客户端私钥和一个新的客 户端公钥),具体算法可以参考现有技术,此处不再详述。客户端可以进一步保存该重新生成的客户端私钥。客户端还可以在第二消息中携带该新的客户端公钥,以保证服务器端能够在本次 认证过程中根据该新的客户端公钥来生成一个新的服务器端共享密钥。步骤310,客户端接收服务器端返回的第二响应,第二响应包括客户端消息。服务器端在接收到第二消息后,若验证出第二消息中包含的服务器端消息和服务 器端本地保存的服务器端消息一致,会确认客户端可信。进一步地,服务器端会对客户端第一密文进行解密得到服务器端消息;服务器端将对客户端第一密文解密后得到的服务器端 消息发送给客户端,以便客户端可以来验证服务器端是否可信。或者服务器端在接到第二消息后,对客户端第二密文解密得到服务器端消息和客 户端消息,并验证出解密后得到的服务器端消息和服务器端本地保存的服务器端消息一致 时,会确认客户端可信。进一步地,服务器端将对客户端第二密文解密后得到的服务器端消 息发送给客户端,以便客户端可以来验证服务器端是否可信。步骤312,客户端验证接收到的客户端消息和客户端本地保存的客户端消息是否一致。步骤314,若客户端接收到的客户端消息和客户端本地保存的客户端消息一致,则 客户端确认服务器端可信。在客户端接收到的客户端消息和客户端本地保存的客户端消息一致时,客户端认 为服务器端可以正确解密客户端密文,从而认为服务器端是可信的。在实际应用时,为了进一步加强服务器端和客户端之间的安全通信,步骤310中 的客户端消息也可以是服务器端重新加密后的客户端消息,服务器端在加密时可以利用上 一次认证过程中生成的服务器端共享密钥;相应地,对客户端而言,利用上一次认证过程中 客户端生成的私钥来进行解密。或者,服务器端在加密时也可以利用本次认证过程中生成 的服务器端共享密钥,这时服务器端还需要进一步将本次认证过程中生成的新的服务器端 公钥发给客户端,客户端基于该新的服务器端公钥生成一个新的客户端共享密钥,即本次 认证过程中生成的客户端共享密钥。此外,在步骤310中,第二响应中还可以包括服务器端分配给客户端的IP地址;则 在步骤314中客户端确认服务器端可信之后还可以包括客户端获取该IP地址,与服务器 端建立连接。本实施例中在服务器端通过对客户端的认证之后,进一步由客户端来对服务器端 进行认证,能够进一步加强服务器端和客户端之间的安全通信。请参阅图4,图4为本发明实施例提供的另一种DHCP安全通信方法。该实施例中 采用的加密算法为非对称算法。该方法主要包括如下步骤。步骤402,客户端向服务器端发送第一消息,其中第一消息包括接入挑战请求,所 述接入挑战请求用于请求服务器端对该客户端进行认证。 考虑到和DHCP协议的兼容,本实施例中第一消息可以是DHCPDISC0VER/0PTI0N消 息。进一步地,该DHCP DISCOVER/OPTION消息中还可以携带客户端ID,时间戳。步骤404,服务器端生成服务器端消息并加密,以及生成服务器端第一信息摘要。本实施例中服务器端消息可以是随机数s,对随机数s进行加密即可得到服务器 端密文。服务器端第一信息摘要可以用于防止服务器端密文被篡改。考虑到一个服务器端往往对应多个客户端,为了降低服务器端的工作量,可以采 用服务器端和该客户端上一次认证过程中生成的服务器端共享密钥对随机数s进行加密。步骤406,服务器端向客户端发送第一响应,其中第一响应包括服务器端密文和服 务器端第一信息摘要。这里,第一响应可以是DHCP OFFER/OPTION消息。步骤408,客户端对服务器端密文进行解密,得到服务器端消息。客户端生成客户端消息,对服务器端消息和客户端消息的组合进行加密得到客户端第二密文。客户端还生 成客户端信息摘要。此外,客户端还生成客户端公钥和客户端私钥。显然,步骤408中所生成的客户端公钥和客户端私钥在本次认证过程中生成的新 的客户端公钥和客户端私钥。客户端信息摘要可以用于防止客户端第二密文被篡改。本实施例中客户端消息可以是随机数C,服务器端消息和客户端消息的一种组合 为C-S,即将随机数C和随机数S进行合并得到随机数串C-S,对随机数C-S进行加密得到 客户端第二密文,例如可以采用服务器端和该客户端上一次认证过程中生成的客户端共享 密钥对该随机数串C-S进行加密。步骤410,客户端向服务器端发送第二消息,第二消息包括客户端第二密文,客户 端公钥和客户端信息摘要。具体实现时,第二消息可以是DHCP REQUEST/OPTION消息,该DHCPREQUEST/ OPTION消息携带客户端公钥、客户端信息摘要以及加密后的随机数串c-s。步骤412,服务器端解密客户端第二密文,得到服务器端消息和客户端消息,在该 解密后得到的服务器端消息和服务器端本地保存的服务器端消息一致时,确认客户端可
fn °具体地,在进行解密时,采用上一次服务器端和该客户端认证过程中生成的服务 器端私钥对该随机数串C-S进行加密,得到随机数C和随机数S,若随机数S没有发生改变, 则确认客户端可信。服务器端还生成服务器端公钥和服务器端私钥,以及生成服务器端第二信息摘要。此外,服务器端根据客户端公钥生成服务器端共享密钥;进一步地,服务器端利用 该服务器端共享密钥对客户端消息例如随机数c进行加密。步骤414,服务器端向客户端返回第二响应,第二响应包括服务器端公钥,加密后 的客户端消息,以及服务器端第二信息摘要。服务器端第二信息摘要用于防止加密后的客户端消息被篡改。具体地,第二响应可以是DHCP ACK消息,该DHCP ACK消息携带服务器端公钥,力口 密后的随机数c,以及服务器端第二信息摘要。步骤416,客户端进行解密得到客户端消息,在该解密后得到的客户端消息和客户 端本地保存的客户端消息一致时,确认服务器端可信。具体地,在进行解密时,客户端利用本次认证过程中生成的客户端私钥(即步骤 408中生成的客户端私钥)进行解密,得到随机数c,若随机数c没有发生改变,则确认服务
器端可信。本实施例中对服务器端来说,可以有效验证客户端的合法性,对客户端来说,可以 有效验证服务器端的合法性,从而保证客户端和服务器端之间的安全通信,减少或避免服 务器端遭受的非法攻击,提高网络应用的安全性。图5为本发明实施例提供的一种服务器端装置结构示意图。该装置主要包括第一接收模块502,生成模块504,第一发送模块506,第二接收模块508以及验证模块510。其中第一接收模块502,用于接收客户端发送的第一消息,第一消息包括接入挑战请求,所述接入挑战请求用于请求服务器端对该客户端进行认证;生成模块504,用于在第 一接收模块502接收到接入挑战请求后生成服务器端密文;第一发送模块506,用于向客户 端发送第一响应,第一响应包括生成模块504生成的服务器端密文;第二接收模块508,用 于接收客户端返回的第二消息,第二消息包括客户端对服务器端密文进行解密后得到的服 务器端消息;验证模块510,用于验证第二消息中的服务器端消息和服务器端本地保存的 服务器端消息是否一致,在一致时确认客户端可信。其中生成模块504在生成服务器端密文时,生成服务器端消息并进行加密得到服务器端密文,例如对非对称算法来说,可以采用服务器端和该客户端上一次认证过程中生 成的服务器端共享密钥对该随机数进行加密。若第二消息中还包括客户端第一密文,则服务器端还可以包括解密模块以及第二 发送模块,其中解密模块用于在验证模块510确认客户端可信后,对客户端第一密文进行 解密得到客户端消息,第二发送模块用于发送第二响应给客户端,其中第二响应包括客户 端消息。本实施例中服务器端向客户端发送加密后的服务器端消息即服务器端密文,并验 证客户端返回的服务器端消息和服务器端本地保存的客户端消息是否一致,若一致,则确 认客户端可以正确解密,从而确认客户端可信。该方法可以有效验证客户端的合法性,减少 或避免服务器端遭受的非法攻击,提高网络应用的安全性图6为本发明实施例提供的另一种服务器端装置结构示意图。该装置主要包括 第一接收模块602,生成模块604,第一发送模块606,第二接收模块608,解密模块610以及 验证模块612。其中第一接收模块602,用于接收客户端发送的第一消息,第一消息包括接入挑 战请求,所述接入挑战请求用于请求服务器端对该客户端进行认证;生成模块604,用于在 第一接收模块接收到接入挑战请求后生成服务器端密文;第一发送模块606,用于向客户 端发送第一响应,第一响应包括生成模块604生成的服务器端密文;第二接收模块608,用 于接收客户端返回的第二消息,第二消息包括客户端第二密文;其中客户端第二密文由客 户端对服务器端消息和客户端消息的组合进行加密得到,服务器端消息由客户端对服务器 端密文解密后得到;解密模块610,用于解密客户端第二密文得到服务器端消息;验证模块 612,用于验证解密后得到的服务器端消息和服务器端本地保存的服务器端消息是否一致, 若一致时确认客户端可信。其中生成模块602在生成服务器端密文时,生成服务器端消息并进行加密得到服 务器端密文,例如对非对称算法来说,可以采用服务器端和该客户端上一次认证过程中生 成的服务器端共享密钥对该随机数进行加密。由于解密模块610解密客户端第二密文除得到服务器端消息外,还可以得到客户 端消息,因而服务器端还可以进一步包括第二发送模块,用于发送第二响应给客户端,其中 第二响应包括客户端消息。本实施例中服务器端向客户端发送加密后的服务器端消息即服务器端密文,并解 密客户端返回的第二消息,通过比较解密得到的服务器端消息和服务器端本地保存的客户 端消息是否一致,来确认客户端是否可以正确解密,从而确认客户端是否可信。该方法可以 有效验证客户端的合法性,减少或避免服务器端遭受的非法攻击,提高网络应用的安全性。
图7为本发明实施例提供的一种客户端装置结构示意图。该装置主要包括第一发送模块702,第一接收模块704,第一解密模块706,生成模块708,加密模块710,第二发送 模块712,第二接收模块714,验证模块716。其中,第一发送模块702用于向服务器端发送第一消息,第一消息包括接入挑战 请求,所述接入挑战请求用于请求服务器端对该客户端进行认证;第一接收模块704,用于 接收服务器端返回的第一响应,第一响应包括服务器端密文;第一解密模块706,用于对服 务器端密文进行解密得到服务器端消息;生成模块708,用于生成客户端消息;加密模块 710,用于对客户端消息进行加密得到客户端第一密文或者对服务器端消息和客户端消息 的组合进行加密得到客户端第二密文;第二发送模块712,用于向服务器端发送第二消息, 第二消息包括服务器端消息和客户端第一密文,或者第二消息包括客户端第二密文;第二 接收模块714,用于接收服务器端返回的第二响应,第二响应包括客户端消息,其中客户端 消息由服务器端对客户端第一密文或客户端第二密文解密后得到;验证模块716,用于验 证接收到的客户端消息与客户端本地保存的客户端消息是否一致,在一致时确认服务器端 可信。进一步地,若第二响应中的客户端消息为服务器端重新加密后的客户端消息;则 所述客户端装置还包括第二解密模块,用于对所述重新加密后的客户端消息进行解密。验 证模块716用于确认解密后得到的客户端消息与客户端本地保存的客户端消息是否一致, 在一致时确认服务器端可信。此外,若第二响应中还包括服务器端分配给客户端的IP地址,则客户端装置还可 以包括连接建立模块,用于获取服务器端分配给客户端的IP地址,并与服务器端建立连 接。本实施例中在服务器端通过对客户端的认证之后,向客户端返回客户端消息,由 客户端来验证该返回的客户端消息是否保持不变,从而实现对服务器端的认证,能够进一 步加强服务器端和客户端之间的安全通信。此外,本发明实施例还提供了一种系统,该系统包括有服务器端装装置和客户端 装置。其中,客户端装置或服务器端装孩子具体实现方式可以参照上述实施例,此处不再详 叙。本领域普通技术人员可以理解实现上述所有实施例方法中的全部或部分步骤是 可以通过程序来指令相关的硬件完成,该程序可以存储于一种计算机可读存储介质中。最后应说明的是以上实施例仅用以说明本发明的技术方案,而非对其限制;尽 管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解其依然 可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替 换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精 神和范围。
权利要求
一种DHCP安全通信方法,其特征在于,包括服务器端接收客户端发送的第一消息,第一消息包括接入挑战请求,所述接入挑战请求用于请求服务器端对该客户端进行认证;服务器端生成服务器端消息,并进行加密得到服务器端密文;服务器端向客户端发送第一响应,第一响应包括服务器端密文;服务器端接收客户端返回的第二消息,第二消息包括服务器端消息,第二消息中的服务器端消息由客户端对服务器端密文解密后得到;服务器端验证第二消息中的服务器端消息和服务器端本地保存的服务器端消息是否一致,若一致则服务器端确认客户端可信。
2.根据权利要求1所述的方法,其特征在于,所述第二消息还包括客户端第一密文,所 述方法还包括服务器端解密客户端第一密文得到客户端消息;服务器端发送第二响应给客户端,第二响应包括客户端消息。
3.—种DHCP安全通信方法,其特征在于,包括服务器端接收客户端发送的第一消息,第一消息包括接入挑战请求,所述接入挑战请 求用于请求服务器端对该客户端进行认证;服务器端生成服务器端消息,并进行加密得到服务器端密文; 服务器端向客户端发送第一响应,第一响应包括服务器端密文; 服务器端接收客户端返回的第二消息,第二消息包括客户端第二密文;其中客户端第 二密文由客户端对服务器端消息和客户端消息的组合进行加密得到,服务器端消息由客户 端对服务器端密文解密后得到;服务器端解密客户端第二密文得到服务器端消息;服务器端验证解密后得到的服务器端消息和服务器端本地保存的服务器端消息是否 一致,若一致则服务器端确认客户端可信。
4.根据权利要求3所述的方法,其特征在于,服务器端解密客户端第二密文后还得到 客户端消息,所述方法还包括服务器端发送第二响应给客户端,第二响应包括客户端消息。
5.一种DHCP安全通信方法,其特征在于,包括客户端向服务器端发送第一消息,第一消息包括接入挑战请求,所述接入挑战请求用 于请求服务器端对该客户端进行认证;客户端接收服务器端返回的第一响应,第一响应包括服务器端密文; 客户端解密所述服务器端密文得到服务器端消息,客户端生成客户端消息,以及对客 户端消息进行加密得到客户端第一密文或者对服务器端消息和客户端消息的组合进行加 密得到客户端第二密文;客户端向服务器端发送第二消息,第二消息包括服务器端消息和客户端第一密文,或 者第二消息包括客户端第二密文;客户端接收服务器端返回的第二响应,第二响应包括客户端消息,第二响应中的客户 端消息由服务器端对客户端第一密文或客户端第二密文解密后得到;客户端验证接收到的客户端消息与客户端本地保存的客户端消息是否一致;若是,则客户端确认服务器端可信。
6.根据权利要求5所述的方法,其特征在于,第二响应中的客户端消息为服务器端重 新加密后的客户端消息;在所述验证之前所述方法还包括客户端对重新加密后的客户端消息进行解密。
7.根据权利要求5所述的方法,其特征在于,第二响应中还包括服务器端分配给客户 端的IP地址;客户端确认服务器端可信之后所述方法还包括 客户端获取该IP地址,与服务器端建立连接。
8.一种服务器端装置,其特征在于,包括第一接收模块,用于接收客户端发送的第一消息,第一消息包括接入挑战请求,所述接 入挑战请求用于请求服务器端对该客户端进行认证;生成模块,用于在第一接收模块接收到接入挑战请求后生成服务器端密文; 第一发送模块,用于向客户端发送第一响应,第一响应包括生成模块生成的服务器端 密文;第二接收模块,用于接收客户端返回的第二消息,第二消息包括客户端对服务器端密 文进行解密后得到的服务器端消息;验证模块,用于验证第二消息中的服务器端消息和服务器端本地保存的服务器端消息 是否一致,在一致时确认客户端可信。
9.根据权利要求8所述的服务器端装置,其特征在于,若第二消息中还包括客户端第 一密文,则服务器端装置还包括解密模块,用于在验证模块确认客户端可信后,对客户端第一密文进行解密得到客户 端消息;第二发送模块,用于发送第二响应给客户端,其中第二响应包括客户端消息。
10.一种服务器端装置,其特征在于,包括第一接收模块,用于接收客户端发送的第一消息,第一消息包括接入挑战请求,所述接 入挑战请求用于请求服务器端对该客户端进行认证;生成模块,用于在第一接收模块接收到接入挑战请求后生成服务器端密文; 第一发送模块,用于向客户端发送第一响应,第一响应包括生成模块生成的服务器端 密文;第二接收模块,用于接收客户端返回的第二消息,第二消息包括客户端第二密文;其中 客户端第二密文由客户端对服务器端消息和客户端消息的组合进行加密得到,服务器端消 息由客户端对服务器端密文解密后得到;解密模块,用于解密客户端第二密文得到服务器端消息;验证模块,用于验证解密模块解密得到的服务器端消息和服务器端本地保存的服务器 端消息是否一致,若一致时确认客户端可信。
11.根据权利要求10所述的服务器端装置,其特征在于,若第二消息中还包括客户端 第一密文,则服务器端还包括第二发送模块,用于发送第二响应给客户端,其中第二响应包括客户端消息,其中客户端消息由解密模块解密客户端第二密文得到。
12.—种客户端装置,其特征在于,包括第一发送模块,用于向服务器端发送第一消息,第一消息包括接入挑战请求,所述接入 挑战请求用于请求服务器端对该客户端进行认证;第一接收模块,用于接收服务器端返回的第一响应,第一响应包括服务器端密文; 第一解密模块,用于对服务器端密文进行解密得到服务器端消息; 生成模块,用于生成客户端消息;加密模块,用于对客户端消息进行加密得到客户端第一密文或者对服务器端消息和客 户端消息的组合进行加密得到客户端第二密文;第二发送模块,用于向服务器端发送第二消息,第二消息包括服务器端消息和客户端 第一密文,或者第二消息包括客户端第二密文;第二接收模块,用于接收服务器端返回的第二响应,第二响应包括客户端消息,第二响 应中的客户端消息由服务器端对客户端第一密文或客户端第二密文解密后得到;验证模块,用于验证第二接收模块接收到的客户端消息与客户端本地保存的客户端消 息是否一致,在一致时确认服务器端可信。
13.根据权利要求12所述的客户端装置,其特征在于,所述第二响应中还包括服务器 端分配给客户端的IP地址;所述客户端装置还包括连接建立模块,用于获取服务器端分配给客户端的IP地址,并与服务器端建立连接。
14.根据权利要求12所述的客户端装置,其特征在于,第二响应中的客户端消息为服 务器端重新加密后的客户端消息;所述客户端装置还包括第二解密模块,用于对所述第二接收模块接收到的重新加密后的客户端消息进行解密;所述验证模块,用于验证第二解密模块解密后得到的客户端消息与客户端本地保存的 客户端消息是否一致,在一致时确认服务器端可信。
15.一种系统,包括服务器端装置,以及如权利要求12-14中任意一项所述的客户端装置。
全文摘要
本发明实施例提供一种DHCP安全通信方法,包括服务器端接收客户端发送的第一消息,第一消息包括接入挑战请求,用于请求服务器端对该客户端进行认证;服务器端生成服务器端消息,并进行加密得到服务器端密文;服务器端向客户端发送第一响应,第一响应包括服务器端密文;服务器端接收客户端返回的第二消息,第二消息包括服务器端消息,其中服务器端消息由客户端对服务器端密文解密后得到;服务器端验证第二消息中的服务器端消息和服务器端本地保存的服务器端是否消息一致,若一致则服务器端确认客户端可信。此外,本发明实施例还提供一种服务器端装置和客户端装置。
文档编号H04L29/06GK101827106SQ201010166238
公开日2010年9月8日 申请日期2010年4月29日 优先权日2010年4月29日
发明者徐炜 申请人:华为技术有限公司
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:徐炜
  • 技术所有人:华为技术有限公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!
电力系统安全自动装置相关技术
电力系统安全稳定装置相关技术
红外光通信装置相关技术
红外通信装置相关技术
远动通信装置相关技术
红外光通信装置设计相关技术
头骨振动式通信装置相关技术
数显通信声光信号装置相关技术
交流采样装置通信协议相关技术

使用协议| 关于我们| 联系X技术

© 2008-2025 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2