專利名稱:一種安全的地址分配方法�、檢測(cè)裝置、設(shè)備和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明實(shí)施例涉及一種安全的地址分配方法�、檢測(cè)裝置、檢測(cè)設(shè)備�、用戶設(shè)備、 DHCP服務(wù)器和安全的地址分配系統(tǒng)�,屬于數(shù)據(jù)通信技術(shù)領(lǐng)域。
背景技術(shù):
動(dòng)態(tài)主機(jī)配置協(xié)議(Dynamic Host Configuration Protocol,簡(jiǎn)稱DHCP)是一種 用于簡(jiǎn)化主機(jī)IP配置管理的協(xié)議標(biāo)準(zhǔn)����。通過采用DHCP協(xié)議�,可以使用DHCP服務(wù)器為網(wǎng)絡(luò) 上所有的啟用DHCP的客戶端進(jìn)行TCP/IP設(shè)置,主要用于自動(dòng)為用戶設(shè)置網(wǎng)絡(luò)因特網(wǎng)協(xié)議 (Internet Protocol,簡(jiǎn)稱IP)地址��、掩碼、網(wǎng)關(guān)�、域名系統(tǒng)(Domain Name System,簡(jiǎn)稱DNS) 等網(wǎng)絡(luò)參數(shù),并且DHCP還可以保證不使用重復(fù)地址����、可以回收并分配未使用地址等。這樣 簡(jiǎn)化了用戶網(wǎng)絡(luò)設(shè)置����、提高了管理效率。
通常的DHCP申請(qǐng)和分配IP地址信息的流程如下
1. DHCP客戶端發(fā)送DISCOVER報(bào)文��; 2. DHCP服務(wù)器收到DISCOVER報(bào)文后�����,回應(yīng)0FFER報(bào)文�����,其中包含分配的IP地址信 息����; 3. DHCP客戶端向DHCP服務(wù)器發(fā)送REQUEST報(bào)文,請(qǐng)求分配這個(gè)IP地址����;
4. DHCP服務(wù)器回應(yīng)ACK報(bào)文����,同意分配這個(gè)IP信息�。 但是,使用DHCP服務(wù)器分配地址來(lái)配置網(wǎng)絡(luò)時(shí)�����,經(jīng)常會(huì)遇到客戶端的合法性問 題�。通常服務(wù)器和客戶端之間沒有認(rèn)證機(jī)制,常見的攻擊和破壞方法是冒充DHCP客戶端攻 擊合法的DHCP服務(wù)器���,例如惡意申請(qǐng)占用大量IP���,然后冒充DHCP服務(wù)器給其他客戶端分配 錯(cuò)誤的網(wǎng)絡(luò)配置信息,例如分配錯(cuò)誤的DNS服務(wù)器����,將用戶的網(wǎng)絡(luò)訪問引向惡意網(wǎng)站等。另 外����,DHCP服務(wù)器分配給客戶端的IP信息,也可能被其他非法客戶端截取和盜用�����,例如采用 "中間人"方式�����,截獲分配的I P信息�����,然后屏蔽真正的客戶端��,并冒用合法IP和介質(zhì)訪問控 制(Media Access Control,簡(jiǎn)稱MAC)地址��,以達(dá)到侵入網(wǎng)絡(luò)的目的���。
針對(duì)上述情況�,通常存在多種解決方法��,常用的如下 1.增加DHCP身份認(rèn)證���,常見的是在DHCP報(bào)文的選項(xiàng)字段中增加認(rèn)證信息��,客戶 端在申請(qǐng)地址的時(shí)候必須填寫身份認(rèn)證信息�����,通過認(rèn)證以后��,才能獲得分配IP地址���;例如 專利《實(shí)現(xiàn)DHCP地址安全分配的方法和系統(tǒng)》(專利申請(qǐng)?zhí)?00510069417)公開了一種對(duì) DHCP客戶端進(jìn)行認(rèn)證的方法�。 2.在客戶端請(qǐng)求DHCP分配IP地址的時(shí)候����,由DHCP服務(wù)器觸發(fā)客戶端發(fā)起一個(gè) 認(rèn)證,認(rèn)證通過后再分配���;例如專利《基于DHCP實(shí)現(xiàn)用戶認(rèn)證的方法及系統(tǒng)》(專利申請(qǐng)?zhí)?20061012697)通過DHCP中間實(shí)體檢測(cè)到DHCP客戶端發(fā)送的DHCP報(bào)文����,并確定是一次新的 會(huì)話后�,觸發(fā)針對(duì)使用所述DHCP客戶端的邏輯用戶的用戶身份信息進(jìn)行認(rèn)證處理操作。
3.在客戶端通過DHCP分配的地址后�����,在DHCP服務(wù)器和客戶端之間維持一個(gè)會(huì)話 連接,用于探測(cè)客戶端合法性和是否在線�;例如專利《通過探測(cè)客戶端維護(hù)DHCP安全特性 的方法與裝置》(專利申請(qǐng)?zhí)?00610125734)通過中繼器發(fā)送探測(cè)報(bào)文至客戶端,若該客戶端超時(shí)未響應(yīng)該探測(cè)報(bào)文則判定客戶端不在線���,老化該客戶端對(duì)應(yīng)的安全特性表項(xiàng)。
4.在網(wǎng)絡(luò)接入設(shè)備上�����,通過DHCP Snooping(DHCP窺探)方式窺探客戶端獲得的 IP地址�����,并在網(wǎng)絡(luò)接入設(shè)備上綁定客戶端的IP地址和MAC地址����,以達(dá)到防止假冒IP地址和 MAC地址的目的;例如專利《基于Snooping技術(shù)的防止DHCP報(bào)文攻擊的方法》(專利申請(qǐng) 號(hào)200710172299)基于Snooping技術(shù)將所有DHCP報(bào)文重定向到本地進(jìn)行監(jiān)測(cè)�,在此過程 中根據(jù)DHCP報(bào)文在交換機(jī)本地將硬件地址和IP地址的綁定關(guān)系添加到端口 。
5.采用鏈路層接入認(rèn)證技術(shù)�����,例如采用美國(guó)電氣電子工程師學(xué)會(huì)IEEE (Institute of Electrical and Electronic Engineers) 802. lx認(rèn)證����,認(rèn)證通過以后才允許分配地址�;
但是上述這些方法在實(shí)際應(yīng)用中并不完善���,如果采用盜用IP地址和MAC地址的侵 入方式���,例如非法設(shè)備接在接入設(shè)備和客戶端設(shè)備之間,采用"中間人"方式偵聽DHCP分配 的網(wǎng)絡(luò)信息���,等待合法客戶端分配到IP地址并認(rèn)證結(jié)束�,然后直接盜用合法客戶端的IP地 址和MAC地址�,并屏蔽合法客戶端,非法設(shè)備有時(shí)也會(huì)有選擇放行一些用于?;罨蛘J(rèn)證的 信息,上述解決方法無(wú)法有效的防止這種非法設(shè)備���。 目前網(wǎng)絡(luò)接入設(shè)備價(jià)格低���,在網(wǎng)絡(luò)接入設(shè)備以下,一些用戶也常使用低端交換機(jī)
再進(jìn)行擴(kuò)展網(wǎng)絡(luò)�����,可以接入更多的用戶終端設(shè)備。由于網(wǎng)絡(luò)末端的龐大和復(fù)雜�,給管理帶來(lái)
了難度,也給非法用戶的入侵留下了機(jī)會(huì)�。由于盜用的是合法用戶的IP地址和MAC地址,
并已經(jīng)通過了認(rèn)證���,特別是非法用戶與合法用戶接在接入設(shè)備的相同端口下,接入設(shè)備根
本無(wú)法察覺哪些報(bào)文是合法用戶發(fā)來(lái)的���,哪些報(bào)文是非法用戶發(fā)來(lái)的�����。 例如圖l給出了一個(gè)網(wǎng)絡(luò)入侵示意圖�����,圖中所示的是一個(gè)常用的使用DHCP分配IP
地址信息的網(wǎng)絡(luò)����,接入設(shè)備下可以連接多個(gè)用戶設(shè)備�,但不一定都是合法的用戶。在用戶設(shè)
備上運(yùn)行DHCP客戶端,用于申請(qǐng)IP地址等網(wǎng)絡(luò)配置信息���。 非法用戶即入侵者可以采用物理侵入的方式�����,插入在用戶設(shè)備和接入設(shè)備之間�, 作為中間人偵聽用戶的報(bào)文信息����。入侵者平時(shí)可以保持靜默,透?jìng)饔脩舻膱?bào)文信息�,而一旦 需要?jiǎng)t可以直接冒用用戶(例如圖1中的用戶設(shè)備2)的IP和鏈路層信息(包括MAC地 址),并對(duì)合法用戶進(jìn)行屏蔽�����,這樣入侵者可以得到合法的用戶身份對(duì)網(wǎng)絡(luò)資源進(jìn)行訪問�����。 并且接入設(shè)備根本無(wú)法發(fā)現(xiàn)這個(gè)入侵者����,所有的檢驗(yàn)和綁定等控制都將失效。
如果入侵者的行為更隱蔽一些,不屏蔽用戶設(shè)備的任何報(bào)文���,只是"寄生"在用戶 線路上����,完全復(fù)制用戶的IP地址����、MAC地址等信息,利用線路的帶寬來(lái)傳輸自己的數(shù)據(jù)流���, 這種入侵方式在目前的檢測(cè)技術(shù)下很難被發(fā)現(xiàn)��。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例的目的是提供一種安全的地址分配方法、檢測(cè)裝置�、檢測(cè)設(shè)備、用戶
設(shè)備���、DHCP服務(wù)器和安全的地址分配系統(tǒng)���,使DHCP服務(wù)器可以安全地分配IP地址給DHCP
客戶端,防止非法用戶盜用合法用戶的IP地址和MAC地址進(jìn)行非法操作�。 為實(shí)現(xiàn)上述目的,本發(fā)明實(shí)施例提供了一種安全的地址分配方法,所述方法包
括 步驟SI ���,根據(jù)用戶的動(dòng)態(tài)主機(jī)配置協(xié)議DHCP客戶端向DHCP服務(wù)器發(fā)出的IP地址 分配請(qǐng)求產(chǎn)生身份驗(yàn)證規(guī)則�����; 步驟S2�,將所述身份驗(yàn)證規(guī)則返回給DHCP客戶端對(duì)應(yīng)的用戶����;
步驟S3,根據(jù)所述身份驗(yàn)證規(guī)則對(duì)DHCP客戶端對(duì)應(yīng)的用戶進(jìn)行身份驗(yàn)證����,如果驗(yàn) 證通過,則允許所述用戶訪問網(wǎng)絡(luò)���,向用戶返回下一次身份驗(yàn)證規(guī)則���,并在規(guī)定時(shí)間內(nèi)重復(fù) 執(zhí)行步驟S3,否則禁止所述用戶訪問網(wǎng)絡(luò)��。 為了實(shí)現(xiàn)上述目的���,本發(fā)明實(shí)施例還提供了 一種檢測(cè)裝置�,所述檢測(cè)裝置包括驗(yàn) 證規(guī)則產(chǎn)生單元、驗(yàn)證規(guī)則發(fā)送單元和身份驗(yàn)證單元�; 所述驗(yàn)證規(guī)則產(chǎn)生單元用于根據(jù)用戶的DHCP客戶端向DHCP服務(wù)器發(fā)出的IP地 址分配請(qǐng)求產(chǎn)生身份驗(yàn)證規(guī)則; 所述驗(yàn)證規(guī)則發(fā)送單元與驗(yàn)證規(guī)則產(chǎn)生單元連接���,用于將所述身份驗(yàn)證規(guī)則返回 給DHCP客戶端對(duì)應(yīng)的用戶�; 所述身份驗(yàn)證單元與驗(yàn)證規(guī)則產(chǎn)生單元連接��,用于根據(jù)所述身份驗(yàn)證規(guī)則對(duì)DHCP 客戶端對(duì)應(yīng)的用戶進(jìn)行身份驗(yàn)證��,如果驗(yàn)證通過��,則允許所述用戶訪問網(wǎng)絡(luò)����,向用戶返回下 一次身份驗(yàn)證規(guī)則����,并在規(guī)定時(shí)間內(nèi)重復(fù)對(duì)用戶進(jìn)行身份驗(yàn)證,否則禁止所述用戶訪問網(wǎng) 絡(luò)�����。 為了實(shí)現(xiàn)上述目的,本發(fā)明實(shí)施例又提供了一種檢測(cè)設(shè)備����,所述檢測(cè)設(shè)備包括上 述檢測(cè)裝置。 為了實(shí)現(xiàn)上述目的�,本發(fā)明實(shí)施例又提供了一種用戶設(shè)備,所述用戶設(shè)備包括地 址獲取單元和驗(yàn)證用戶單元�; 所述地址獲取單元用于向DHCP服務(wù)器發(fā)出IP地址分配請(qǐng)求和接收DHCP服務(wù)器 的IP地址分配響應(yīng); 所述驗(yàn)證用戶單元用于接收身份驗(yàn)證規(guī)則���,并根據(jù)述所身份驗(yàn)證規(guī)則在檢測(cè)裝置 上進(jìn)行身份驗(yàn)證�。 為了實(shí)現(xiàn)上述目的����,本發(fā)明實(shí)施例又提供了一種DHCP服務(wù)器,所述DHCP服務(wù)器包 括地址分配單元����、驗(yàn)證規(guī)則請(qǐng)求單元和驗(yàn)證規(guī)則返回單元; 所述地址分配單元用于接收DHCP客戶端的IP地址分配請(qǐng)求���,進(jìn)行IP地址分配�����, 并向DHCP客戶端發(fā)送IP地址分配響應(yīng)�; 所述驗(yàn)證規(guī)則請(qǐng)求單元與地址分配單元連接,用于根據(jù)用戶的DHCP客戶端發(fā)來(lái) 的IP地址分配請(qǐng)求�,向檢測(cè)裝置申請(qǐng)身份驗(yàn)證規(guī)則; 所述驗(yàn)證規(guī)則返回單元用于接收檢測(cè)裝置發(fā)來(lái)的身份驗(yàn)證規(guī)則��,并將所述身份驗(yàn) 證規(guī)則放在ACK報(bào)文中返回給DHCP客戶端����。 為了實(shí)現(xiàn)上述目的,本發(fā)明實(shí)施例再提供了一種安全的地址分配系統(tǒng)�,所述系統(tǒng) 包括上述檢測(cè)設(shè)備、用戶設(shè)備和DHCP服務(wù)器����。 本發(fā)明通過由檢測(cè)裝置對(duì)用戶進(jìn)行定期的身份驗(yàn)證,并可以在每次身份驗(yàn)證時(shí)使 用不同的身份驗(yàn)證規(guī)則����,使得非法用戶很難判斷哪些報(bào)文是進(jìn)行身份驗(yàn)證的報(bào)文,以及如 何進(jìn)行身份驗(yàn)證��,從而無(wú)法冒用合法用戶的身份進(jìn)行網(wǎng)絡(luò)訪問���,防止了非法用戶盜用合法 用戶的IP地址和MAC地址進(jìn)行非法操作�����。
圖l為網(wǎng)絡(luò)入侵示意圖 圖2為本發(fā)明一種安全的地址分配方法實(shí)施例一示意圖
圖3為本發(fā)明一圖4為本發(fā)明一圖5為本發(fā)明一圖6為本發(fā)明一圖7為本發(fā)明一圖8為本發(fā)明一圖9為本發(fā)明一圖10為本發(fā)明-圖11為本發(fā)明-圖12為本發(fā)明-圖13為本發(fā)明-圖14為本發(fā)明-圖15為本發(fā)明-圖16為本發(fā)明-圖17為本發(fā)明-圖18為本發(fā)明-
種安全的地址分配方法實(shí)施例二示意圖 種安全的地址分配方法實(shí)施例三示意圖 種安全的地址分配方法實(shí)施例四示意圖 種安全的地址分配方法實(shí)施例五示意圖 種安全的地址分配方法實(shí)施例六示意圖 種檢測(cè)裝置實(shí)施例一示意圖 種檢測(cè)裝置實(shí)施例二示意圖 -種檢測(cè)裝置實(shí)施例三示意圖 -種檢測(cè)設(shè)備實(shí)施例示意圖 -種用戶設(shè)備實(shí)施例一示意圖 -種用戶設(shè)備實(shí)施例二示意圖 -種用戶設(shè)備實(shí)施例三示意圖
-種DHCP服務(wù)器實(shí)施例一示意圖 -種DHCP服務(wù)器實(shí)施例二示意圖 -種安全的地址分配系統(tǒng)實(shí)施例示意圖 -種安全的地址分配方法實(shí)施例七示意圖
具體實(shí)施例方式
本發(fā)明實(shí)施例的目的是提供一種安全的地址分配方法���、檢測(cè)裝置、檢測(cè)設(shè)備�、用戶 設(shè)備、DHCP服務(wù)器和安全的地址分配系統(tǒng)���,使DHCP服務(wù)器可以安全地分配IP地址給DHCP 客戶端��,防止非法用戶盜用合法用戶的IP地址和MAC地址進(jìn)行非法操作��。
下面結(jié)合附圖對(duì)本發(fā)明實(shí)施例進(jìn)行說明�,本發(fā)明實(shí)施例提供了一種安全的地址分 配方法��,圖2給出了本發(fā)明一種安全的地址分配方法實(shí)施例一示意圖��,所述方法包括
步驟SI ��,根據(jù)用戶的動(dòng)態(tài)主機(jī)配置協(xié)議DHCP客戶端向DHCP服務(wù)器發(fā)出的IP地址 分配請(qǐng)求產(chǎn)生身份驗(yàn)證規(guī)則���; 步驟SI具體可以為根據(jù)DHCP服務(wù)器發(fā)來(lái)的DHCP客戶端的IP地址分配請(qǐng)求信 息��,產(chǎn)生身份驗(yàn)證規(guī)則����。 即可以由DHCP服務(wù)器發(fā)起產(chǎn)生身份驗(yàn)證規(guī)則的請(qǐng)求,從而在原有DHCP協(xié)議的基 礎(chǔ)上加上對(duì)用戶進(jìn)行身份驗(yàn)證的過程�。 所述身份驗(yàn)證規(guī)則可以包括身份驗(yàn)證使用的通信協(xié)議、身份驗(yàn)證的時(shí)間窗口��、接 受身份驗(yàn)證的目的IP地址和通信協(xié)議指定的目的端口 �����。 所述通信協(xié)議可以為一些已知的協(xié)議����,如超文本傳輸協(xié)議(HypertextTransfer
Protocol,簡(jiǎn)稱HTTP)、文件傳輸協(xié)議(File Transfer Protocol,簡(jiǎn)稱FTP)����、網(wǎng)際控制報(bào)文
協(xié)議(Internet Control Message Protocol,簡(jiǎn)稱ICMP)等。 所述時(shí)間窗口即為指定的一個(gè)可以進(jìn)行身份驗(yàn)證操作的時(shí)間段����。 所述身份驗(yàn)證規(guī)則還可以包括身份驗(yàn)證的源端口。 本發(fā)明實(shí)施例可以利用常用的IP層以上協(xié)議,來(lái)傳遞用戶身份驗(yàn)證信息���。由于IP 層以上協(xié)議眾多,協(xié)議類型�、目的IP地址、目的端口 ��、源端口都是可變的因子����,在身份驗(yàn)證 規(guī)則中加上這些信息就能保證規(guī)則具有足夠的隨機(jī)性,加上對(duì)進(jìn)行身份驗(yàn)證的時(shí)間窗口限制�,并且規(guī)則每次使用后都可以變化,消除了攜帶安全信息報(bào)文的外在網(wǎng)絡(luò)特征���,因此很難 被非法用戶截獲分析和掌握其規(guī)律�����,也具有足夠的隱蔽性�����。也就是說��,相同的客戶端和檢測(cè) 裝置���,每次通信的手段都是不同的�。如果非法用戶無(wú)法破解這個(gè)檢測(cè)方法�����,也就無(wú)法盜用合 法用戶的身份信息��。 步驟S2�����,將所述身份驗(yàn)證規(guī)則返回給DHCP客戶端對(duì)應(yīng)的用戶�; 可以對(duì)所述身份驗(yàn)證規(guī)則加密后返回給DHCP客戶端對(duì)應(yīng)的用戶。 通過對(duì)身份驗(yàn)證規(guī)則加密�����,可以更進(jìn)一步防止非法用戶對(duì)合法用戶報(bào)文的截取和識(shí)別���。 步驟S2具體可以為將所述身份驗(yàn)證規(guī)則加密后發(fā)送給DHCP服務(wù)器���,并由DHCP 服務(wù)器放在ACK報(bào)文中返回給DHCP客戶端��。 通過由DHCP服務(wù)器轉(zhuǎn)發(fā)身份驗(yàn)證規(guī)則可充份利用原有的DHCP協(xié)議完成身份驗(yàn)證 初始階段的信息傳遞�,此外���,通過DHCP服務(wù)器的轉(zhuǎn)發(fā)�����,方便DHCP服務(wù)器和DHCP客戶端進(jìn)行 雙向認(rèn)證。 步驟S3���,根據(jù)所述身份驗(yàn)證規(guī)則對(duì)DHCP客戶端對(duì)應(yīng)的用戶進(jìn)行身份驗(yàn)證�,如果驗(yàn) 證通過����,則允許所述用戶訪問網(wǎng)絡(luò),向用戶返回下一次身份驗(yàn)證規(guī)則���,并在規(guī)定時(shí)間內(nèi)重復(fù) 執(zhí)行步驟S3�����,否則禁止所述用戶訪問網(wǎng)絡(luò)��。 所述身份驗(yàn)證規(guī)則每一次都可以變化��,可以按一定隨機(jī)算法給出���,這樣可以避免 被掌握規(guī)律����,更好地防范非法用戶�����。 進(jìn)行身份驗(yàn)證之后��,可以向用戶發(fā)送響應(yīng)報(bào)文����,通知用戶是否驗(yàn)證通過,如果驗(yàn)證 通過����,則報(bào)文中攜帶了下一次身份驗(yàn)證規(guī)則;也可以只有在身份驗(yàn)證通過之后才向用戶發(fā) 送響應(yīng)報(bào)文����,其中攜帶下一次身份驗(yàn)證規(guī)則�,驗(yàn)證失敗時(shí)不響應(yīng)用戶��,這樣可以防止非法用 戶對(duì)檢測(cè)設(shè)備進(jìn)行端口掃描等操作����。 本發(fā)明實(shí)施例通過由檢測(cè)裝置對(duì)用戶進(jìn)行定期的身份驗(yàn)證,并可以在每次身份驗(yàn) 證時(shí)使用不同的身份驗(yàn)證規(guī)則��,使得非法用戶很難判斷哪些報(bào)文是進(jìn)行身份驗(yàn)證的報(bào)文����, 以及如何進(jìn)行身份驗(yàn)證��,從而無(wú)法冒用合法用戶的身份進(jìn)行網(wǎng)絡(luò)訪問�,防止了非法用戶盜 用合法用戶的I P地址和MAC地址進(jìn)行非法操作。 圖3給出了本發(fā)明一種安全的地址分配方法實(shí)施例二示意圖�����,本實(shí)施例除了包括 方法實(shí)施例一的步驟外��, 步驟S 3中所述根據(jù)所述身份驗(yàn)證規(guī)則對(duì)DHCP客戶端對(duì)應(yīng)的用戶進(jìn)行身份驗(yàn)證 具體可以為在所述身份驗(yàn)證的時(shí)間窗口的時(shí)間段內(nèi)�,打開所述通信協(xié)議指定的目的端口 進(jìn)行偵聽,在收到DHCP客戶端對(duì)應(yīng)的用戶發(fā)來(lái)的身份驗(yàn)證信息后����,對(duì)所述用戶進(jìn)行身份驗(yàn) 證��,在時(shí)間超過所述時(shí)間段后關(guān)閉偵聽并結(jié)束通信�����。 通過指定的通信協(xié)議����、目的端口和時(shí)間窗口等�,可以增加身份驗(yàn)證規(guī)則的隨機(jī)性 和隱蔽性,防止非法用戶發(fā)現(xiàn)其規(guī)律����,其次,只在較短的時(shí)間窗口內(nèi)進(jìn)行偵聽���,使得對(duì)應(yīng)的 檢測(cè)裝置不易受到掃描攻擊��。
步驟S3具體可以分為 步驟S31�����,在所述身份驗(yàn)證的時(shí)間窗口的時(shí)間段內(nèi)�����,打開所述通信協(xié)議指定的目的 端口進(jìn)行偵聽�����; 步驟S32����,在收到DHCP客戶端對(duì)應(yīng)的用戶發(fā)來(lái)的身份驗(yàn)證信息后,對(duì)所述用戶進(jìn)行身份驗(yàn)證�,在時(shí)間超過所述時(shí)間段后關(guān)閉偵聽并結(jié)束通信,如果驗(yàn)證通過�����,則允許所述用 戶訪問網(wǎng)絡(luò)�,向用戶返回下一次身份驗(yàn)證規(guī)則�,并在規(guī)定時(shí)間內(nèi)執(zhí)行步驟S31,否則禁止所 述用戶訪問網(wǎng)絡(luò)�����。 圖4給出了本發(fā)明一種安全的地址分配方法實(shí)施例三示意圖��,本實(shí)施例除了包括 方法實(shí)施例二的步驟外,還包括步驟S4 :所述DHCP客戶端對(duì)應(yīng)的用戶在所述身份驗(yàn)證的時(shí) 間窗口的時(shí)間段內(nèi)���,以所述通信協(xié)議將用戶的身份驗(yàn)證信息發(fā)送到所述目的IP地址的所 述目的端口上���。 步驟S4可以在步驟S31之后執(zhí)行。 圖5給出了本發(fā)明一種安全的地址分配方法實(shí)施例四示意圖����,本實(shí)施例除了包括 方法實(shí)施例三的步驟外, 所述步驟S2具體可以為將所述身份驗(yàn)證規(guī)則加密后發(fā)送給DHCP服務(wù)器���,并由 DHCP服務(wù)器放在ACK報(bào)文中返回給DHCP客戶端���。 步驟S2之后還可以包括步驟S5 :所述DHCP客戶端對(duì)應(yīng)的用戶收到所述ACK報(bào)文 后,解密所述身份驗(yàn)證規(guī)則�,根據(jù)所述身份驗(yàn)證規(guī)則是否合法判斷DHCP服務(wù)器是否合法。
DHCP客戶端可以通過檢查DHCP服務(wù)器發(fā)來(lái)的ACK報(bào)文中是否攜帶合法的身份驗(yàn) 證規(guī)則����,來(lái)判斷DHCP服務(wù)器是否合法。由于放在ACK報(bào)文中的身份驗(yàn)證規(guī)則信息是加密的����, 因此非法的DHCP服務(wù)器無(wú)法提供這個(gè)信息��,就容易被識(shí)別�����。 本實(shí)施例除了可以在方法實(shí)施例三的基礎(chǔ)上進(jìn)行上述擴(kuò)展外�,還可以在方法實(shí)施 例一或方法實(shí)施例二的基礎(chǔ)上進(jìn)行上述擴(kuò)展���。 圖6給出了本發(fā)明一種安全的地址分配方法實(shí)施例五示意圖����,本實(shí)施例除了包括 方法實(shí)施例四的步驟外���, 步驟S3之后還可以包括步驟S6 :將驗(yàn)證結(jié)果通知DHCP服務(wù)器����,DHCP服務(wù)器根據(jù) 驗(yàn)證結(jié)果進(jìn)行后續(xù)操作�����。 后續(xù)操作可以為當(dāng)驗(yàn)證結(jié)果為驗(yàn)證通過時(shí)���,DHCP服務(wù)器與DHCP客戶端之間進(jìn)行 正常的IP地址分配和維護(hù)的通信���;而當(dāng)驗(yàn)證結(jié)果為驗(yàn)證失敗時(shí),則DHCP服務(wù)器可以強(qiáng)行收 回分配給DHCP客戶端的IP地址�。 DHCP服務(wù)器可以通過DHCP客戶端是否按照指定的身份驗(yàn)證規(guī)則完成驗(yàn)證,來(lái)判 斷DHCP客戶端的合法性����。即使DHCP服務(wù)器提供的身份驗(yàn)證規(guī)則信息被非法用戶截取了, 但是由于非法用戶無(wú)法破解這個(gè)加密信息�,因此無(wú)法按規(guī)則完成驗(yàn)證,通過上述方式DHCP 服務(wù)器可以判斷DHCP客戶端所在的用戶設(shè)備的合法性�。 本實(shí)施例除了可以在方法實(shí)施例四的基礎(chǔ)上進(jìn)行上述擴(kuò)展外,還可以在方法實(shí)施 例一至方法實(shí)施例三的任一方法實(shí)施例基礎(chǔ)上進(jìn)行上述擴(kuò)展�����。 圖7給出了本發(fā)明一種安全的地址分配方法實(shí)施例六示意圖�����,本實(shí)施例除了包括 方法實(shí)施例五的步驟外�, 所述步驟S3之后還可以包括步驟S7 :所述DHCP客戶端對(duì)應(yīng)的用戶如果在規(guī)定時(shí) 間內(nèi)收到所述下一次身份驗(yàn)證規(guī)則,則判斷申請(qǐng)IP地址成功����,進(jìn)行IP地址配置��,否則重新 發(fā)出IP地址分配請(qǐng)求。
步驟S7可以在步驟S6之后執(zhí)行�����。 本實(shí)施例除了可以在方法實(shí)施例五的基礎(chǔ)上進(jìn)行上述擴(kuò)展外�����,還可以在方法實(shí)施例一至方法實(shí)施例四的任一方法實(shí)施例基礎(chǔ)上進(jìn)行上述擴(kuò)展��。 為了實(shí)現(xiàn)上述目的���,本發(fā)明實(shí)施例還提供了一種檢測(cè)裝置���,圖8給出了本發(fā)明一 種檢測(cè)裝置實(shí)施例一示意圖�,所述檢測(cè)裝置包括驗(yàn)證規(guī)則產(chǎn)生單元Ml 1 、驗(yàn)證規(guī)則發(fā)送單元 M12和身份驗(yàn)證單元M13 ; 所述驗(yàn)證規(guī)則產(chǎn)生單元Ml 1用于根據(jù)用戶的DHCP客戶端向DHCP服務(wù)器發(fā)出的IP 地址分配請(qǐng)求產(chǎn)生身份驗(yàn)證規(guī)則�; 所述驗(yàn)證規(guī)則產(chǎn)生單元具體可以用于根據(jù)DHCP服務(wù)器發(fā)來(lái)的DHCP客戶端的IP 地址分配請(qǐng)求信息,產(chǎn)生身份驗(yàn)證規(guī)則�。 即可以由DHCP服務(wù)器發(fā)起產(chǎn)生身份驗(yàn)證規(guī)則的請(qǐng)求,從而在原有DHCP協(xié)議的基 礎(chǔ)上加上對(duì)用戶進(jìn)行身份驗(yàn)證的過程���。 所述身份驗(yàn)證規(guī)則可以包括身份驗(yàn)證使用的通信協(xié)議���、身份驗(yàn)證的時(shí)間窗口�、接 受身份驗(yàn)證的目的IP地址和通信協(xié)議指定的目的端口 。 所述通信協(xié)議可以為一些已知的協(xié)議�,如超文本傳輸協(xié)議(HypertextTransfer
Protocol,簡(jiǎn)稱HTTP)���、文件傳輸協(xié)議(File Transfer Protocol,簡(jiǎn)稱FTP)��、網(wǎng)際控制報(bào)文
協(xié)議(Internet Control Message Protocol,簡(jiǎn)稱ICMP)等。 所述時(shí)間窗口即為指定的一個(gè)可以進(jìn)行身份驗(yàn)證操作的時(shí)間段����。 所述身份驗(yàn)證規(guī)則還可以包括身份驗(yàn)證的源端口�。 本發(fā)明實(shí)施例可以利用常用的IP層以上協(xié)議��,來(lái)傳遞用戶身份驗(yàn)證信息�����。由于IP 層以上協(xié)議眾多,協(xié)議類型��、目的IP地址�、目的端口�、源端口都是可變的因子����,在身份驗(yàn)證 規(guī)則中加上這些信息就能保證規(guī)則具有足夠的隨機(jī)性,加上對(duì)進(jìn)行身份驗(yàn)證的時(shí)間窗口限 制����,并且規(guī)則每次使用后都可以變化,消除了攜帶安全信息報(bào)文的外在網(wǎng)絡(luò)特征�,因此很難 被非法用戶截獲分析和掌握其規(guī)律��,也具有足夠的隱蔽性��。也就是說,相同的客戶端和檢測(cè) 裝置����,每次通信的手段都是不同的����。如果非法用戶無(wú)法破解這個(gè)檢測(cè)方法,也就無(wú)法盜用合 法用戶的身份信息����。 所述驗(yàn)證規(guī)則發(fā)送單元M12與驗(yàn)證規(guī)則產(chǎn)生單元Mil連接���,用于將所述身份驗(yàn)證 規(guī)則返回給DHCP客戶端對(duì)應(yīng)的用戶�����; 可以對(duì)所述身份驗(yàn)證規(guī)則加密后返回給DHCP客戶端對(duì)應(yīng)的用戶����。 通過對(duì)身份驗(yàn)證規(guī)則加密�,可以更進(jìn)一步防止非法用戶對(duì)合法用戶報(bào)文的截取和識(shí)別����。 所述驗(yàn)證規(guī)則發(fā)送單元具體可以用于將所述身份驗(yàn)證規(guī)則加密后發(fā)送給DHCP服 務(wù)器,并由DHCP服務(wù)器放在ACK報(bào)文中返回給DHCP客戶端���。 通過由DHCP服務(wù)器轉(zhuǎn)發(fā)身份驗(yàn)證規(guī)則可充份利用原有的DHCP協(xié)議完成身份驗(yàn)證 初始階段的信息傳遞���,此外,通過DHCP服務(wù)器的轉(zhuǎn)發(fā)�,方便DHCP服務(wù)器和DHCP客戶端進(jìn)行 雙向認(rèn)證。 所述身份驗(yàn)證單元M13與驗(yàn)證規(guī)則產(chǎn)生單元Mll連接���,用于根據(jù)所述身份驗(yàn)證規(guī) 則對(duì)DHCP客戶端對(duì)應(yīng)的用戶進(jìn)行身份驗(yàn)證�����,如果驗(yàn)證通過�,則允許所述用戶訪問網(wǎng)絡(luò)����,向 用戶返回下一次身份驗(yàn)證規(guī)則,并在規(guī)定時(shí)間內(nèi)重復(fù)對(duì)用戶進(jìn)行身份驗(yàn)證,否則禁止所述 用戶訪問網(wǎng)絡(luò)���。 所述身份驗(yàn)證規(guī)則每一次都可以變化�,可以按一定隨機(jī)算法給出��,這樣可以避免被掌握規(guī)律����,更好地防范非法用戶。 進(jìn)行身份驗(yàn)證之后����,可以向用戶發(fā)送響應(yīng)報(bào)文����,通知用戶是否驗(yàn)證通過�����,如果驗(yàn)證 通過�����,則報(bào)文中攜帶了下一次身份驗(yàn)證規(guī)則��;也可以只有在身份驗(yàn)證通過之后才向用戶發(fā) 送響應(yīng)報(bào)文�����,其中攜帶下一次身份驗(yàn)證規(guī)則,驗(yàn)證失敗時(shí)不響應(yīng)用戶�,這樣可以防止非法用 戶對(duì)檢測(cè)設(shè)備進(jìn)行端口掃描等操作�����。 圖9給出了本發(fā)明一種檢測(cè)裝置實(shí)施例二示意圖�,本實(shí)施例除了包括檢測(cè)裝置 實(shí)施例一的結(jié)構(gòu)特征外�,所述身份驗(yàn)證單元M13包括偵聽驗(yàn)證模塊M131和判斷執(zhí)行模塊 M132 ; 所述身份驗(yàn)證規(guī)則可以包括身份驗(yàn)證使用的通信協(xié)議、身份驗(yàn)證的時(shí)間窗口����、接 受身份驗(yàn)證的目的IP地址和通信協(xié)議指定的目的端口 。
所述身份驗(yàn)證規(guī)則還可以包括身份驗(yàn)證的源端口。 所述偵聽驗(yàn)證模塊M131用于在所述身份驗(yàn)證的時(shí)間窗口的時(shí)間段內(nèi)�,打開所述
通信協(xié)議指定的目的端口進(jìn)行偵聽,在收到DHCP客戶端對(duì)應(yīng)的用戶發(fā)來(lái)的身份驗(yàn)證信息
后��,對(duì)所述用戶進(jìn)行身份驗(yàn)證�,在時(shí)間超過所述時(shí)間段后關(guān)閉偵聽并結(jié)束通信; 所述判斷執(zhí)行模塊M132與偵聽驗(yàn)證模塊M131連接�����,用于判斷是否驗(yàn)證通過����,如果
驗(yàn)證通過,則允許所述用戶訪問網(wǎng)絡(luò)���,向用戶返回下一次身份驗(yàn)證規(guī)則�,并在規(guī)定時(shí)間內(nèi)重
復(fù)對(duì)用戶進(jìn)行身份驗(yàn)證����,否則禁止所述用戶訪問網(wǎng)絡(luò)。 通過指定的通信協(xié)議���、目的端口和時(shí)間窗口等�,可以增加身份驗(yàn)證規(guī)則的隨機(jī)性 和隱蔽性,防止非法用戶發(fā)現(xiàn)其規(guī)律��,其次���,只在較短的時(shí)間窗口內(nèi)進(jìn)行偵聽�,使得對(duì)應(yīng)的 檢測(cè)裝置不易受到掃描攻擊����。 圖IO給出了本發(fā)明一種檢測(cè)裝置實(shí)施例三示意圖,本實(shí)施例除了包括檢測(cè)裝置 實(shí)施例一的結(jié)構(gòu)特征外�����,還包括驗(yàn)證結(jié)果通知單元M14��,與身份驗(yàn)證單元M13連接�����,用于將 驗(yàn)證結(jié)果通知DHCP服務(wù)器���。 DHCP服務(wù)器收到驗(yàn)證結(jié)果后,可以根據(jù)驗(yàn)證結(jié)果進(jìn)行后續(xù)操作��。 本實(shí)施例除了可以在檢測(cè)裝置實(shí)施例一的基礎(chǔ)上進(jìn)行上述擴(kuò)展外,還可以在檢測(cè)
裝置實(shí)施例二的基礎(chǔ)上進(jìn)行上述擴(kuò)展�����。 本發(fā)明實(shí)施例又提供了一種檢測(cè)設(shè)備�����,圖11給出了本發(fā)明一種檢測(cè)設(shè)備實(shí)施例 示意圖�����,所述檢測(cè)設(shè)備包括上述檢測(cè)裝置實(shí)施例一至實(shí)施例三的任一所述檢測(cè)裝置��。
所述檢測(cè)裝置可以支持多種IP層以上協(xié)議��,并能夠使用這些協(xié)議傳輸信息���,可以 使用這些協(xié)議進(jìn)行報(bào)文的偵聽和回應(yīng)�。 所述檢測(cè)裝置可以支持多個(gè)IP地址�,并定期進(jìn)行變換,這樣可以在設(shè)置下一次的 身份驗(yàn)證規(guī)則時(shí)變換接受身份驗(yàn)證的IP地址�����,增加身份驗(yàn)證的隨機(jī)性,更好地防范非法用 戶���,這些IP地址必須是網(wǎng)絡(luò)內(nèi)路由可達(dá)的IP地址��。 所述檢測(cè)裝置可以位于一個(gè)單獨(dú)的設(shè)備上�����,也可以位于DHCP服務(wù)器設(shè)備上��,或者 與其它應(yīng)用程序共用一臺(tái)設(shè)備�。所述檢測(cè)設(shè)備可以為一臺(tái)單獨(dú)的僅用于檢測(cè)的設(shè)備��,也可 以為DHCP服務(wù)器設(shè)備�����,或者是其它應(yīng)用程序的相關(guān)設(shè)備�。 檢測(cè)設(shè)備可以部署于網(wǎng)絡(luò)的匯聚或核心位置,在有防火墻的情況下�����,可以部署于 防火墻的后方���。 本發(fā)明實(shí)施例又提供了一種用戶設(shè)備����,圖12給出了本發(fā)明一種用戶設(shè)備實(shí)施例一示意圖����,所述用戶設(shè)備包括地址獲取單元M21和驗(yàn)證用戶單元M22 ; 所述地址獲取單元M21用于向DHCP服務(wù)器發(fā)出IP地址分配請(qǐng)求和接收DHCP服 務(wù)器的IP地址分配響應(yīng); 所述驗(yàn)證用戶單元M22����,用于接收身份驗(yàn)證規(guī)則,并根據(jù)述所身份驗(yàn)證規(guī)則在檢測(cè) 裝置上進(jìn)行身份驗(yàn)證���。 所述驗(yàn)證用戶單元M22可以與地址獲取單元M21連接�����。 所述身份驗(yàn)證規(guī)則可以包括身份驗(yàn)證使用的通信協(xié)議����、身份驗(yàn)證的時(shí)間窗口����、檢 測(cè)裝置接受身份驗(yàn)證的目的IP地址和通信協(xié)議指定的目的端口 ���。
所述身份驗(yàn)證規(guī)則還可以包括身份驗(yàn)證的源端口。 所述驗(yàn)證用戶單元具體可以用于在所述身份驗(yàn)證的時(shí)間窗口的時(shí)間段內(nèi)����,以所述 通信協(xié)議將用戶的身份驗(yàn)證信息發(fā)送到所述目的IP地址的所述目的端口上。
圖13給出了本發(fā)明一種用戶設(shè)備實(shí)施例二示意圖��,本實(shí)施例除了包括用戶設(shè)備 實(shí)施例一的結(jié)構(gòu)特征外��,還可以包括服務(wù)器判斷單元M23���,與地址獲取單元M21連接���,用于 在收到DHCP服務(wù)器發(fā)來(lái)的ACK報(bào)文后,解密報(bào)文中的身份驗(yàn)證規(guī)則��,根據(jù)所述身份驗(yàn)證規(guī) 則是否合法判斷DHCP服務(wù)器是否合法��。 此時(shí)檢測(cè)裝置將所述身份驗(yàn)證規(guī)則加密后發(fā)送給DHCP服務(wù)器��,并由DHCP服務(wù)器 放在ACK報(bào)文中返回給DHCP客戶端��。 DHCP客戶端可以通過檢查DHCP服務(wù)器發(fā)來(lái)的ACK報(bào)文中是否攜帶合法的身份驗(yàn) 證規(guī)則,來(lái)判斷DHCP服務(wù)器是否合法��。由于放在ACK報(bào)文中的身份驗(yàn)證規(guī)則信息是加密的��, 因此非法的DHCP服務(wù)器無(wú)法提供這個(gè)信息��,就容易被識(shí)別��。 圖14給出了本發(fā)明一種用戶設(shè)備實(shí)施例三示意圖�����,本實(shí)施例除了包括用戶設(shè)備 實(shí)施例二的結(jié)構(gòu)特征外�,還可以包括驗(yàn)證通過判斷單元M24��,與驗(yàn)證用戶單元M22連接�,用 于判斷是否在規(guī)定時(shí)間內(nèi)收到下一次身份驗(yàn)證規(guī)則,如果是則判斷申請(qǐng)IP地址成功���,進(jìn)行 IP地址配置�����,否則重新發(fā)出IP地址分配請(qǐng)求�。 本實(shí)施例除了可以在用戶設(shè)備實(shí)施例二的基礎(chǔ)上進(jìn)行上述擴(kuò)展外,還可以在用戶 設(shè)備實(shí)施例一的基礎(chǔ)上進(jìn)行上述擴(kuò)展�����。 本發(fā)明實(shí)施例又提供了一種DHCP服務(wù)器���,圖15給出了本發(fā)明一種DHCP服務(wù)器實(shí) 施例一示意圖��,所述DHCP服務(wù)器包括地址分配單元M31�����、驗(yàn)證規(guī)則請(qǐng)求單元M32和驗(yàn)證規(guī)則 返回單元M33 ; 所述地址分配單元M31用于接收DHCP客戶端的IP地址分配請(qǐng)求���,進(jìn)行IP地址分 配,并向DHCP客戶端發(fā)送IP地址分配響應(yīng)��; 所述驗(yàn)證規(guī)則請(qǐng)求單元M32與地址分配單元M31連接����,用于根據(jù)用戶的DHCP客戶 端發(fā)來(lái)的IP地址分配請(qǐng)求,向檢測(cè)裝置申請(qǐng)身份驗(yàn)證規(guī)則��; 所述驗(yàn)證規(guī)則返回單元M33用于接收檢測(cè)裝置發(fā)來(lái)的身份驗(yàn)證規(guī)則��,并將所述身 份驗(yàn)證規(guī)則放在ACK報(bào)文中返回給DHCP客戶端。 通過由DHCP服務(wù)器轉(zhuǎn)發(fā)身份驗(yàn)證規(guī)則可充份利用原有的DHCP協(xié)議完成身份驗(yàn)證 初始階段的信息傳遞�����,此外�,通過DHCP服務(wù)器的轉(zhuǎn)發(fā),方便DHCP服務(wù)器和DHCP客戶端進(jìn)行 雙向認(rèn)證����。 圖16給出了本發(fā)明一種DHCP服務(wù)器實(shí)施例二示意圖���,本實(shí)施例除了包括DHCP服務(wù)器實(shí)施例一的結(jié)構(gòu)特征外�����,還可以包括驗(yàn)證結(jié)果處理單元M34��,用于接收檢測(cè)裝置發(fā)來(lái)的 驗(yàn)證結(jié)果���,并根據(jù)驗(yàn)證結(jié)果進(jìn)行后續(xù)操作。 后續(xù)操作可以為當(dāng)驗(yàn)證結(jié)果為驗(yàn)證通過時(shí)��,DHCP服務(wù)器與DHCP客戶端之間進(jìn)行 正常的IP地址分配和維護(hù)的通信�����;而當(dāng)驗(yàn)證結(jié)果為驗(yàn)證失敗時(shí),則DHCP服務(wù)器可以強(qiáng)行收 回分配給DHCP客戶端的IP地址�。 DHCP服務(wù)器可以通過DHCP客戶端是否按照指定的身份驗(yàn)證規(guī)則完成驗(yàn)證,來(lái)判 斷DHCP客戶端的合法性����。即使DHCP服務(wù)器提供的身份驗(yàn)證規(guī)則信息被非法用戶截取了, 但是由于非法用戶無(wú)法破解這個(gè)加密信息�,因此無(wú)法按規(guī)則完成驗(yàn)證,通過上述方式DHCP 服務(wù)器可以判斷DHCP客戶端所在的用戶設(shè)備的合法性�。 本發(fā)明實(shí)施例再提供了一種安全的地址分配系統(tǒng),圖17給出了本發(fā)明一種安全 的地址分配系統(tǒng)實(shí)施例示意圖�,所述系統(tǒng)包括上述檢測(cè)設(shè)備、用戶設(shè)備實(shí)施例一至實(shí)施例 三的任一所述用戶設(shè)備和DHCP服務(wù)器實(shí)施例一至實(shí)施例二的任一所述DHCP服務(wù)器��。
所述系統(tǒng)除了包括檢測(cè)設(shè)備���、用戶設(shè)備和DHCP服務(wù)器之外����,還可以包括接入設(shè) 備���、匯聚設(shè)備和核心設(shè)備����。 圖18給出了本發(fā)明的一個(gè)較優(yōu)實(shí)施例,具體步驟如下 步驟101 �����,用戶設(shè)備訪問網(wǎng)絡(luò)��,其上的DHCP客戶端向DHCP服務(wù)器發(fā)出DISC0VER報(bào) 文�����,請(qǐng)求分配IP地址��; 步驟102�, DHCP服務(wù)器接收到DISCPVER報(bào)文后���,響應(yīng)OFFER報(bào)文���,向DHCP客戶端 提供IP地址配置信息; 步驟103���,用戶設(shè)備的DHCP客戶端向DHCP服務(wù)器發(fā)出REQUEST報(bào)文�����,請(qǐng)求將分配 的IP地址供所述用戶設(shè)備使用����; 步驟104, DHCP服務(wù)器根據(jù)客戶端的請(qǐng)求���,向檢測(cè)裝置申請(qǐng)一個(gè)身份驗(yàn)證規(guī)則�����;
步驟105�����,檢測(cè)裝置計(jì)算并提供出一個(gè)身份驗(yàn)證規(guī)則���,包括(1)檢測(cè)裝置采用的IP 地址,即接受身份驗(yàn)證的目的IP地址�,(2)身份驗(yàn)證使用的通信協(xié)議,(3)通信協(xié)議指定的 目的端口和源端口���, (4)身份驗(yàn)證的時(shí)間窗口����,并將這個(gè)身份驗(yàn)證規(guī)則加密后發(fā)送給DHCP 服務(wù)器; 步驟106���, DHCP服務(wù)器將加密后的身份驗(yàn)證規(guī)則信息�����,放在ACK報(bào)文的選項(xiàng)中�����,返 回給DHCP客戶端�; 步驟107��,用戶設(shè)備的DHCP客戶端收到ACK報(bào)文后����,解密身份驗(yàn)證規(guī)則信息��,如果 沒有發(fā)現(xiàn)選項(xiàng)中有合法的身份驗(yàn)證規(guī)則信息����,則認(rèn)為DHCP服務(wù)器非法���,重復(fù)步驟101至步 驟106重新申請(qǐng)IP地址配置信息; 步驟108�,檢測(cè)裝置按照身份驗(yàn)證規(guī)則,在時(shí)間窗口所指定時(shí)間段內(nèi)��,在本裝置上 打開該通信協(xié)議針指定目的端口進(jìn)行偵聽�,如果超過這個(gè)時(shí)間段則關(guān)閉偵聽,結(jié)束通信���;
步驟109��,用戶設(shè)備在時(shí)間窗口所指定的時(shí)間段內(nèi)�,以指定的通信協(xié)議����、目的IP地 址、目的端口和源端口 �����,將加密的用戶的身份驗(yàn)證信息���,作為通信協(xié)議報(bào)文的數(shù)據(jù)����,發(fā)送給 檢測(cè)裝置; 步驟110�,檢測(cè)裝置收到用戶設(shè)備按身份驗(yàn)證規(guī)則發(fā)送的數(shù)據(jù),對(duì)用戶身份進(jìn)行驗(yàn) 證�����。如果驗(yàn)證通過��,則DHCP客戶端申請(qǐng)IP地址成功��,允許該用戶設(shè)備訪問網(wǎng)絡(luò)�,否則驗(yàn)證 失敗,不允許該用戶設(shè)備訪問網(wǎng)絡(luò)��;
步驟lll��,檢測(cè)裝置將驗(yàn)證結(jié)果通知DHCP服務(wù)器���,如果驗(yàn)證通過則計(jì)算下一次身 份驗(yàn)證規(guī)則�����,并放在響應(yīng)報(bào)文中返回給用戶設(shè)備����,然后結(jié)束本次通信���; 步驟112�����,用戶設(shè)備收到檢測(cè)裝置的響應(yīng)報(bào)文并判斷響應(yīng)報(bào)文中有下一次身份驗(yàn) 證規(guī)則后�����,即可認(rèn)為申請(qǐng)IP地址成功�����,可以使用該IP地址配置�����,否則重復(fù)步驟101至步驟 lll���,重新申請(qǐng)IP地址和進(jìn)行身份驗(yàn)證; 步驟113,用戶設(shè)備根據(jù)返回的新的身份驗(yàn)證規(guī)則��,同檢測(cè)裝置在下一個(gè)時(shí)間段內(nèi) 重復(fù)步驟108至步驟112進(jìn)行身份驗(yàn)證����。
本發(fā)明實(shí)施例具有以下有益效果
1.安全性高 本發(fā)明實(shí)施例可以利用常用的IP層以上協(xié)議,來(lái)傳遞加密的用戶身份驗(yàn)證信息�。 由于IP層以上協(xié)議眾多,協(xié)議類型����、目的IP地址、目的端口 ���、源端口都是可變的因子���,在身 份驗(yàn)證規(guī)則中加上這些信息就能保證規(guī)則具有足夠的隨機(jī)性,加上對(duì)進(jìn)行身份驗(yàn)證的時(shí)間 窗口限制��,并且規(guī)則每次使用后都可以變化�,消除了攜帶安全信息報(bào)文的外在網(wǎng)絡(luò)特征,因 此很難被非法用戶截獲分析和掌握其規(guī)律��,也具有足夠的隱蔽性���。也就是說��,相同的客戶端 和檢測(cè)裝置�,每次通信的手段都是不同的�。如果非法用戶無(wú)法破解這個(gè)檢測(cè)方法,也就無(wú)法 盜用合法用戶的身份信息�����。
2.雙向DHCP認(rèn)證機(jī)制 本發(fā)明實(shí)施例提供了一個(gè)DHCP服務(wù)器和DHCP客戶端的雙向認(rèn)證機(jī)制���,雙方都可 以檢查對(duì)方的合法性�,防止假冒的DHCP服務(wù)器和假冒的DHCP客戶端����。 DHCP客戶端可以通過檢查DHCP服務(wù)器發(fā)來(lái)的ACK報(bào)文中是否攜帶合法的身份驗(yàn) 證規(guī)則,來(lái)判斷DHCP服務(wù)器是否合法��。由于放在ACK報(bào)文中的身份驗(yàn)證規(guī)則信息是加密的�����, 因此非法的DHCP服務(wù)器無(wú)法提供這個(gè)信息�,就容易被識(shí)別����。 DHCP服務(wù)器可以通過DHCP客戶端是否按照檢測(cè)裝置指定的身份驗(yàn)證規(guī)則完成與 檢測(cè)裝置之間的驗(yàn)證�����,來(lái)判斷DHCP客戶端的合法性����。即使DHCP服務(wù)器提供的身份驗(yàn)證規(guī)則 信息被非法用戶截取了,但是由于非法用戶無(wú)法破解這個(gè)加密信息�����,因此無(wú)法按規(guī)則完成 驗(yàn)證����,通過上述方式DHCP服務(wù)器可以判斷DHCP客戶端所在的用戶設(shè)備的合法性。此外���,由 于身份驗(yàn)證規(guī)則規(guī)定了驗(yàn)證的時(shí)間窗口�,因此規(guī)則是有時(shí)效性的��,即使能夠破解加密信息����, 如果破解完成的時(shí)間已超時(shí)時(shí)間窗口規(guī)定的時(shí)間��,也無(wú)法完成身份驗(yàn)證����。
3.防止IP地址盜用 本發(fā)明實(shí)施例提供了一個(gè)防止竊聽和盜用合法IP地址配置信息的方案����,由于身 份驗(yàn)證信息是以加密形式傳輸?shù)?����,可以有效防止泄露�。并且,每個(gè)身份驗(yàn)證規(guī)則只使用一次 就作廢�����,可以有效防止被截取重復(fù)使用�����。 本發(fā)明實(shí)施例提供了一個(gè)在線身份驗(yàn)證的機(jī)制�����,由本次身份驗(yàn)證時(shí)決定下一次身 份驗(yàn)證的規(guī)則。這樣���,即使中間出現(xiàn)非法用戶盜用IP地址的情況����,非法用戶在下一次進(jìn)行 身份驗(yàn)證時(shí)就不能通過����,因此也不能繼續(xù)使用盜用的身份,盜用的情況容易被發(fā)現(xiàn)�����。
4.防止物理入侵 本發(fā)明實(shí)施例可以有效防止采用中間人方式的入侵�,由于用戶設(shè)備和檢測(cè)裝置之 間采用的通信IP地址、端口�、通信協(xié)議每次都是不同的,并且有時(shí)間限制�,非法用戶即入侵 者很難判斷哪些是包含身份驗(yàn)證信息的報(bào)文,用于身份驗(yàn)證的協(xié)議與正常應(yīng)用所使用的協(xié)議完全相同��,并且檢測(cè)設(shè)備的IP地址可以不斷更換�����,非法用戶很難掌握其規(guī)律并做有針對(duì) 性的放行。這樣��,如果包含身份驗(yàn)證信息的報(bào)文被屏蔽��,非法用戶就無(wú)法竊取合法用戶的身 份����。 如果非法用戶采用不屏蔽合法用戶的報(bào)文的方式�,現(xiàn)有技術(shù)中的檢測(cè)方式無(wú)法檢 查出來(lái)。即使合法用戶下線�,非法用戶也可以在DHCP租期內(nèi)繼續(xù)使用這個(gè)IP地址。如果 存在心跳檢測(cè)的話�,并且是有規(guī)律的,非法用戶也可以偽造心跳報(bào)文��,或者使用以前截取并 存儲(chǔ)的檢測(cè)報(bào)文來(lái)欺騙服務(wù)器��。而使用本發(fā)明實(shí)施例的方案��,即使合法用戶設(shè)備在線時(shí)無(wú) 法查出"寄生"的非法用戶設(shè)備���,但是一旦合法用戶下線��,因?yàn)闊o(wú)法偽造驗(yàn)證報(bào)文�����,也無(wú)法繼 續(xù)使用以前的驗(yàn)證報(bào)文�����,該"寄生"的設(shè)備也無(wú)法繼續(xù)使用原來(lái)的IP地址了���。
5.抗攻擊性強(qiáng) 檢測(cè)設(shè)備自身可以不主動(dòng)發(fā)出信息����,而是根據(jù)身份驗(yàn)證規(guī)則��,短時(shí)間內(nèi)打開指定 的偵聽端口來(lái)接收身份驗(yàn)證的報(bào)文��,在驗(yàn)證完畢后立即關(guān)閉����,因此不易受到掃描攻擊。檢測(cè) 設(shè)備可以擁有多個(gè)IP地址�,并且定時(shí)地更新使用新的IP,因此也難以被發(fā)現(xiàn)和攻擊。
最后應(yīng)說明的是以上實(shí)施例僅用以說明本發(fā)明的技術(shù)方案�����,而非對(duì)其限制�;盡 管參照前述實(shí)施例對(duì)本發(fā)明進(jìn)行了詳細(xì)的說明,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解其依然 可以對(duì)前述各實(shí)施例所記載的技術(shù)方案進(jìn)行修改�,或者對(duì)其中部分技術(shù)特征進(jìn)行等同替 換;而這些修改或者替換���,并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明各實(shí)施例技術(shù)方案的精 神和范圍�����。
1權(quán)利要求
一種安全的地址分配方法����,其特征在于���,所述方法包括步驟S1,根據(jù)用戶的動(dòng)態(tài)主機(jī)配置協(xié)議DHCP客戶端向DHCP服務(wù)器發(fā)出的IP地址分配請(qǐng)求產(chǎn)生身份驗(yàn)證規(guī)則�����;步驟S2��,將所述身份驗(yàn)證規(guī)則返回給DHCP客戶端對(duì)應(yīng)的用戶;步驟S3�,根據(jù)所述身份驗(yàn)證規(guī)則對(duì)DHCP客戶端對(duì)應(yīng)的用戶進(jìn)行身份驗(yàn)證,如果驗(yàn)證通過�����,則允許所述用戶訪問網(wǎng)絡(luò)����,向用戶返回下一次身份驗(yàn)證規(guī)則,并在規(guī)定時(shí)間內(nèi)重復(fù)執(zhí)行步驟S3�����,否則禁止所述用戶訪問網(wǎng)絡(luò)���。
2. 根據(jù)權(quán)利要求1所述的方法�����,其特征在于����,所述身份驗(yàn)證規(guī)則包括身份驗(yàn)證使用 的通信協(xié)議、身份驗(yàn)證的時(shí)間窗口 ����、接受身份驗(yàn)證的目的IP地址和通信協(xié)議指定的目的端 □。
3. 根據(jù)權(quán)利要求2所述的方法����,其特征在于,所述身份驗(yàn)證規(guī)則還包括身份驗(yàn)證的源端口��。
4. 根據(jù)權(quán)利要求2或3所述的方法���,其特征在于�,步驟S3中所述根據(jù)所述身份驗(yàn)證規(guī) 則對(duì)DHCP客戶端對(duì)應(yīng)的用戶進(jìn)行身份驗(yàn)證具體為在所述身份驗(yàn)證的時(shí)間窗口的時(shí)間段 內(nèi)����,打開所述通信協(xié)議指定的目的端口進(jìn)行偵聽,在收到DHCP客戶端對(duì)應(yīng)的用戶發(fā)來(lái)的身 份驗(yàn)證信息后�,對(duì)所述用戶進(jìn)行身份驗(yàn)證,在時(shí)間超過所述時(shí)間段后關(guān)閉偵聽并結(jié)束通信��。
5. 根據(jù)權(quán)利要求4所述的方法���,其特征在于,還包括所述DHCP客戶端對(duì)應(yīng)的用戶在 所述身份驗(yàn)證的時(shí)間窗口的時(shí)間段內(nèi),以所述通信協(xié)議將用戶的身份驗(yàn)證信息發(fā)送到所述 目的IP地址的所述目的端口上��。
6. 根據(jù)權(quán)利要求1-3所述的任一方法��,其特征在于��,所述步驟S2具體為將所述身份 驗(yàn)證規(guī)則加密后發(fā)送給DHCP服務(wù)器�,并由DHCP服務(wù)器放在ACK報(bào)文中返回給DHCP客戶端。
7. 根據(jù)權(quán)利要求6所述的方法�,其特征在于,所述步驟S2之后還包括所述DHCP客戶 端對(duì)應(yīng)的用戶收到所述ACK報(bào)文后���,解密所述身份驗(yàn)證規(guī)則��,根據(jù)所述身份驗(yàn)證規(guī)則是否 合法判斷DHCP服務(wù)器是否合法��。
8. 根據(jù)權(quán)利要求1-3所述的任一方法����,其特征在于���,所述步驟S3之后還包括將驗(yàn)證 結(jié)果通知DHCP服務(wù)器����,DHCP服務(wù)器根據(jù)驗(yàn)證結(jié)果進(jìn)行后續(xù)操作。
9. 根據(jù)權(quán)利要求1-3所述的任一方法��,其特征在于�����,所述步驟SI具體為根據(jù)DHCP服 務(wù)器發(fā)來(lái)的DHCP客戶端的IP地址分配請(qǐng)求信息����,產(chǎn)生身份驗(yàn)證規(guī)則。
10. 根據(jù)權(quán)利要求1-3所述的任一方法�����,其特征在于�����,所述步驟S3之后還包括所述 DHCP客戶端對(duì)應(yīng)的用戶如果在規(guī)定時(shí)間內(nèi)收到所述下一次身份驗(yàn)證規(guī)則����,則判斷申請(qǐng)IP 地址成功,進(jìn)行IP地址配置���,否則重新發(fā)出IP地址分配請(qǐng)求��。
11. 一種檢測(cè)裝置��,其特征在于���,所述檢測(cè)裝置包括驗(yàn)證規(guī)則產(chǎn)生單元、驗(yàn)證規(guī)則發(fā)送 單元和身份驗(yàn)證單元��;所述驗(yàn)證規(guī)則產(chǎn)生單元用于根據(jù)用戶的DHCP客戶端向DHCP服務(wù)器發(fā)出的IP地址分 配請(qǐng)求產(chǎn)生身份驗(yàn)證規(guī)則��;所述驗(yàn)證規(guī)則發(fā)送單元與驗(yàn)證規(guī)則產(chǎn)生單元連接����,用于將所述身份驗(yàn)證規(guī)則返回給 DHCP客戶端對(duì)應(yīng)的用戶;所述身份驗(yàn)證單元與驗(yàn)證規(guī)則產(chǎn)生單元連接���,用于根據(jù)所述身份驗(yàn)證規(guī)則對(duì)DHCP客 戶端對(duì)應(yīng)的用戶進(jìn)行身份驗(yàn)證�,如果驗(yàn)證通過�����,則允許所述用戶訪問網(wǎng)絡(luò)�����,向用戶返回下一次身份驗(yàn)證規(guī)則,并在規(guī)定時(shí)間內(nèi)重復(fù)對(duì)用戶進(jìn)行身份驗(yàn)證���,否則禁止所述用戶訪問網(wǎng)絡(luò)���。
12. 根據(jù)權(quán)利要求11所述的檢測(cè)裝置,其特征在于�����,所述身份驗(yàn)證單元包括偵聽驗(yàn)證 模塊和判斷執(zhí)行模塊����;所述身份驗(yàn)證規(guī)則包括身份驗(yàn)證使用的通信協(xié)議、身份驗(yàn)證的時(shí)間窗口���、接受身份驗(yàn) 證的目的IP地址和通信協(xié)議指定的目的端口 �����。所述偵聽驗(yàn)證模塊用于在所述身份驗(yàn)證的時(shí)間窗口的時(shí)間段內(nèi)�,打開所述通信協(xié)議指 定的目的端口進(jìn)行偵聽����,在收到DHCP客戶端對(duì)應(yīng)的用戶發(fā)來(lái)的身份驗(yàn)證信息后�����,對(duì)所述用 戶進(jìn)行身份驗(yàn)證,在時(shí)間超過所述時(shí)間段后關(guān)閉偵聽并結(jié)束通信���;所述判斷執(zhí)行模塊與偵聽驗(yàn)證模塊連接���,用于判斷是否驗(yàn)證通過,如果驗(yàn)證通過�����,則允 許所述用戶訪問網(wǎng)絡(luò)���,向用戶返回下一次身份驗(yàn)證規(guī)則��,并在規(guī)定時(shí)間內(nèi)重復(fù)對(duì)用戶進(jìn)行 身份驗(yàn)證����,否則禁止所述用戶訪問網(wǎng)絡(luò)����。
13. 根據(jù)權(quán)利要求11或12所述的檢測(cè)裝置����,其特征在于����,所述驗(yàn)證規(guī)則發(fā)送單元具體 用于將所述身份驗(yàn)證規(guī)則加密后發(fā)送給DHCP服務(wù)器,并由DHCP服務(wù)器放在ACK報(bào)文中返 回給DHCP客戶端��。
14. 根據(jù)權(quán)利要求11或12所述的檢測(cè)裝置����,其特征在于,還包括驗(yàn)證結(jié)果通知單元�����,與 身份驗(yàn)證單元連接�����,用于將驗(yàn)證結(jié)果通知DHCP服務(wù)器����。
15. 根據(jù)權(quán)利要求11或12所述的檢測(cè)裝置,其特征在于,所述驗(yàn)證規(guī)則產(chǎn)生單元具體 用于根據(jù)DHCP服務(wù)器發(fā)來(lái)的DHCP客戶端的IP地址分配請(qǐng)求信息�,產(chǎn)生身份驗(yàn)證規(guī)則。
16. —種包括權(quán)利要求11-15任一所述檢測(cè)裝置的檢測(cè)設(shè)備��。
17. —種用戶設(shè)備���,其特征在于���,所述用戶設(shè)備包括地址獲取單元和驗(yàn)證用戶單元�����; 所述地址獲取單元用于向DHCP服務(wù)器發(fā)出IP地址分配請(qǐng)求和接收DHCP服務(wù)器的IP地址分配響應(yīng)�;所述驗(yàn)證用戶單元用于接收身份驗(yàn)證規(guī)則,并根據(jù)述所身份驗(yàn)證規(guī)則在檢測(cè)裝置上進(jìn) 行身份驗(yàn)證�。
18. 根據(jù)權(quán)利要求17所述的用戶設(shè)備,其特征在于�����,所述身份驗(yàn)證規(guī)則包括身份驗(yàn)證使用的通信協(xié)議��、身份驗(yàn)證的時(shí)間窗口���、檢測(cè)裝置接 受身份驗(yàn)證的目的IP地址和通信協(xié)議指定的目的端口 ���。所述驗(yàn)證用戶單元具體用于在所述身份驗(yàn)證的時(shí)間窗口的時(shí)間段內(nèi)��,以所述通信協(xié)議 將用戶的身份驗(yàn)證信息發(fā)送到所述目的IP地址的所述目的端口上�����。
19. 根據(jù)權(quán)利要求17或18所述的用戶設(shè)備���,其特征在于,還包括服務(wù)器判斷單元�,用于 在收到DHCP服務(wù)器發(fā)來(lái)的ACK報(bào)文后,解密報(bào)文中的身份驗(yàn)證規(guī)則��,根據(jù)所述身份驗(yàn)證規(guī) 則是否合法判斷DHCP服務(wù)器是否合法���。
20. 根據(jù)權(quán)利要求17或18所述的用戶設(shè)備����,其特征在于���,還包括驗(yàn)證通過判斷單元���,用 于判斷是否在規(guī)定時(shí)間內(nèi)收到下一次身份驗(yàn)證規(guī)則���,如果是則判斷申請(qǐng)IP地址成功,進(jìn)行 IP地址配置�,否則重新發(fā)出IP地址分配請(qǐng)求。
21. —種DHCP服務(wù)器�,其特征在于,所述DHCP服務(wù)器包括地址分配單元�����、驗(yàn)證規(guī)則請(qǐng)求 單元和驗(yàn)證規(guī)則返回單元���;所述地址分配單元用于接收DHCP客戶端的IP地址分配請(qǐng)求,進(jìn)行IP地址分配���,并向 DHCP客戶端發(fā)送IP地址分配響應(yīng)�����;所述驗(yàn)證規(guī)則請(qǐng)求單元與地址分配單元連接�,用于根據(jù)用戶的DHCP客戶端發(fā)來(lái)的IP 地址分配請(qǐng)求�,向檢測(cè)裝置申請(qǐng)身份驗(yàn)證規(guī)則;所述驗(yàn)證規(guī)則返回單元用于接收檢測(cè)裝置發(fā)來(lái)的身份驗(yàn)證規(guī)則,并將所述身份驗(yàn)證規(guī) 則放在ACK報(bào)文中返回給DHCP客戶端����。
22. 根據(jù)權(quán)利要求21所述的DHCP服務(wù)器,其特征在于��,還包括驗(yàn)證結(jié)果處理單元�,用于 接收檢測(cè)裝置發(fā)來(lái)的驗(yàn)證結(jié)果,并根據(jù)驗(yàn)證結(jié)果進(jìn)行后續(xù)操作�����。
23. —種安全的地址分配系統(tǒng)����,其特征在于,所述系統(tǒng)包括權(quán)利要求16所述的檢測(cè)設(shè) 備�����、權(quán)利要求17-20任一所述用戶設(shè)備�����、權(quán)利要求21-22任一所述DHCP服務(wù)器�����。
全文摘要
本發(fā)明實(shí)施例提供了一種安全的地址分配方法、檢測(cè)裝置�����、檢測(cè)設(shè)備���、用戶設(shè)備����、DHCP服務(wù)器和安全的地址分配系統(tǒng)��。本發(fā)明實(shí)施例通過由檢測(cè)裝置對(duì)用戶進(jìn)行定期的身份驗(yàn)證�����,并可以在每次身份驗(yàn)證時(shí)使用不同的身份驗(yàn)證規(guī)則����,使得非法用戶很難判斷哪些報(bào)文是進(jìn)行身份驗(yàn)證的報(bào)文�,以及如何進(jìn)行身份驗(yàn)證,從而無(wú)法冒用合法用戶的身份進(jìn)行網(wǎng)絡(luò)訪問����,防止了非法用戶盜用合法用戶的IP地址和MAC地址進(jìn)行非法操作�����。
文檔編號(hào)H04L29/12GK101715009SQ20091024409
公開日2010年5月26日 申請(qǐng)日期2009年12月28日 優(yōu)先權(quán)日2009年12月28日
發(fā)明者陳鋒 申請(qǐng)人:北京星網(wǎng)銳捷網(wǎng)絡(luò)技術(shù)有限公司