專利名稱:一種消息驗(yàn)證方法、系統(tǒng)及設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域��,特別涉及消息驗(yàn)證方法���、系統(tǒng)及設(shè)備�。
背景技術(shù):
動(dòng)態(tài)主機(jī)設(shè)置協(xié)議(DynamicHost Configuration Protocol, DHCP)是一個(gè)局域網(wǎng)的網(wǎng)絡(luò)協(xié)議��,DHCP服務(wù)器可以為網(wǎng)絡(luò)中安全網(wǎng)關(guān)����、基站等網(wǎng)絡(luò)設(shè)備分配網(wǎng)絡(luò)協(xié)議(IP)地址如網(wǎng)管IP地址、業(yè)務(wù)通道上的關(guān)鍵設(shè)備的IP地址等��,DHCP客戶端可以通過(guò)DHCP消息向 DHCP服務(wù)器自動(dòng)獲取IP地址。在DHCP客戶端向服務(wù)器自動(dòng)獲取IP地址的過(guò)程中客戶端通過(guò)發(fā)送DHCP發(fā)現(xiàn)消息(DISCOVER)給DHCP服務(wù)器來(lái)獲取IP地址����。在現(xiàn)有的IP地址獲取過(guò)程中,DHCP客戶端和服務(wù)器之間的通信是通過(guò)延遲認(rèn)證的方法來(lái)實(shí)現(xiàn)通信安全的�,具體地客戶端通過(guò)發(fā)送給服務(wù)器的DHCP發(fā)現(xiàn)消息,向服務(wù)器指明需要根據(jù)相關(guān)認(rèn)證信息進(jìn)行認(rèn)證����;DHCP服務(wù)器會(huì)為此客戶端選擇一個(gè)密鑰K,然后使用會(huì)話密鑰K計(jì)算消息認(rèn)證碼����,并將消息認(rèn)證碼攜帶在DHCP協(xié)議的提供消息(OFFER)中返回給客戶端,則DHCP客戶端使用本地存儲(chǔ)的會(huì)話密鑰K進(jìn)行驗(yàn)證����。在上述DHCP客戶端獲取IP地址的過(guò)程中,在服務(wù)器與客戶端之間通信時(shí)�,都會(huì)使用共享的會(huì)話密鑰K對(duì)接收到的對(duì)端消息進(jìn)行驗(yàn)證,但是在得到會(huì)話密鑰K的過(guò)程中�,缺少對(duì)DHCP協(xié)議消息的安全保護(hù),存在一定的安全隱患����。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供消息驗(yàn)證方法、系統(tǒng)及設(shè)備����,提高了 IP地址獲取過(guò)程中的通信安全性?�!矫?�,提供了一種消息驗(yàn)證方法��,包括將第一動(dòng)態(tài)主機(jī)設(shè)置協(xié)議DHCP設(shè)備的數(shù)字證書信息和數(shù)字簽名添加到DHCP協(xié)議消息中���,若所述數(shù)字證書信息為數(shù)字證書本身����,則所述DHCP協(xié)議消息的消息長(zhǎng)度是第一和第二 DHCP設(shè)備協(xié)商的����;將所述添加后的DHCP協(xié)議消息發(fā)送給第二 DHCP設(shè)備,以便所述第二 DHCP設(shè)備驗(yàn)證所述第一DHCP設(shè)備的數(shù)字證書的合法性���;并在所述第一DHCP設(shè)備的數(shù)字證書合法時(shí)�,根據(jù)第一 DHCP設(shè)備的數(shù)字證書信息獲得第一 DHCP設(shè)備的公鑰����,并通過(guò)所述第一 DHCP設(shè)備的公鑰驗(yàn)證所述第一 DHCP設(shè)備的數(shù)字簽名的有效性�。一方面�,提供了另一種消息驗(yàn)證方法,包括接收第一 DHCP設(shè)備發(fā)送的DHCP協(xié)議消息�,所述DHCP協(xié)議消息中包括所述第一 DHCP設(shè)備的數(shù)字證書信息和數(shù)字簽名,若所述數(shù)字證書信息為數(shù)字證書本身�,則所述DHCP 協(xié)議消息的消息長(zhǎng)度是第一和第二 DHCP設(shè)備協(xié)商的;驗(yàn)證第一 DHCP設(shè)備的數(shù)字證書的合法性�����;并在所述第一 DHCP設(shè)備的數(shù)字證書合法時(shí)�����,根據(jù)所述第一 DHCP設(shè)備的數(shù)字證書信息獲得第一 DHCP設(shè)備的公鑰��,并通過(guò)所述第一DHCP設(shè)備的公鑰驗(yàn)證所述第一 DHCP設(shè)備的數(shù)字簽名的有效性�;或,將所述DHCP協(xié)議消息發(fā)送給第二 DHCP設(shè)備����;以便所述第二 DHCP設(shè)備驗(yàn)證所述第一 DHCP設(shè)備的數(shù)字證書的合法性;并在所述第一 DHCP設(shè)備的數(shù)字證書合法時(shí),根據(jù)第一 DHCP設(shè)備的數(shù)字證書信息獲得第一 DHCP設(shè)備的公鑰��,并通過(guò)所述第一 DHCP設(shè)備的公鑰驗(yàn)證所述第一 DHCP設(shè)備的數(shù)字簽名的有效性�。一方面��,提供了一種動(dòng)態(tài)主機(jī)設(shè)置協(xié)議設(shè)備�����,包括驗(yàn)證添加單元���,用于將第一動(dòng)態(tài)主機(jī)設(shè)置協(xié)議DHCP設(shè)備的數(shù)字證書信息和數(shù)字簽名添加到DHCP協(xié)議消息中���,若所述數(shù)字證書信息為數(shù)字證書本身,則所述DHCP協(xié)議消息的消息長(zhǎng)度是第一和第二 DHCP設(shè)備協(xié)商的�����;消息發(fā)送單元����,用于將所述驗(yàn)證添加單元添加后的DHCP協(xié)議消息發(fā)送給第二 DHCP設(shè)備,以便所述第二 DHCP設(shè)備驗(yàn)證所述第一 DHCP設(shè)備的數(shù)字證書的合法性��;并在所述第一 DHCP設(shè)備的數(shù)字證書合法時(shí)�,根據(jù)第一 DHCP設(shè)備的數(shù)字證書信息獲得第一 DHCP設(shè)備的公鑰��,并通過(guò)所述第一 DHCP設(shè)備的公鑰驗(yàn)證所述第一 DHCP設(shè)備的數(shù)字簽名的有效性��。一方面����,提供了一種動(dòng)態(tài)主機(jī)設(shè)置協(xié)議中繼設(shè)備�����,包括第一消息接收單元��,用于接收第一 DHCP設(shè)備發(fā)送的DHCP協(xié)議消息����,所述DHCP協(xié)議消息中包括所述第一 DHCP設(shè)備的數(shù)字證書信息和數(shù)字簽名,若所述數(shù)字證書信息為數(shù)字證書本身�,則所述DHCP協(xié)議消息的消息長(zhǎng)度是第一和第二 DHCP設(shè)備協(xié)商的;消息轉(zhuǎn)發(fā)單元�����,用于將所述第一消息接收單元接收的DHCP協(xié)議消息發(fā)送給第二 DHCP設(shè)備�;以便所述第二 DHCP設(shè)備驗(yàn)證所述第一 DHCP設(shè)備的數(shù)字證書的合法性;并在所述第一 DHCP設(shè)備的數(shù)字證書合法時(shí),根據(jù)第一 DHCP設(shè)備的數(shù)字證書信息獲得第一 DHCP設(shè)備的公鑰���,并通過(guò)所述第一 DHCP設(shè)備的公鑰驗(yàn)證所述第一 DHCP設(shè)備的數(shù)字簽名的有效性��。一方面�����,提供另一種動(dòng)態(tài)主機(jī)設(shè)置協(xié)議設(shè)備,包括第二消息接收單元�,用于接收第一 DHCP設(shè)備發(fā)送的DHCP協(xié)議消息,所述DHCP協(xié)議消息中包括所述第一 DHCP設(shè)備的數(shù)字證書信息和數(shù)字簽名�����,若所述數(shù)字證書信息為數(shù)字證書本身��,則所述DHCP協(xié)議消息的消息長(zhǎng)度是第一和第二 DHCP設(shè)備協(xié)商的��;驗(yàn)證單元�,用于驗(yàn)證第一 DHCP設(shè)備的數(shù)字證書的合法性;并在所述第一 DHCP設(shè)備的數(shù)字證書合法時(shí)����,根據(jù)所述第一 DHCP設(shè)備的數(shù)字證書信息獲得第一 DHCP設(shè)備的公鑰,并通過(guò)所述第一 DHCP設(shè)備的公鑰驗(yàn)證所述第一 DHCP設(shè)備的數(shù)字簽名的有效性。一方面�,提供一種消息驗(yàn)證系統(tǒng),包括所述動(dòng)態(tài)主機(jī)設(shè)置協(xié)議設(shè)備����,和另一種所述的動(dòng)態(tài)主機(jī)設(shè)置協(xié)議設(shè)備。一方面��,提供另一種消息驗(yàn)證系統(tǒng)����,包括所述動(dòng)態(tài)主機(jī)設(shè)置協(xié)議設(shè)備,動(dòng)態(tài)主機(jī)設(shè)置協(xié)議中繼設(shè)備����,另一種所述的動(dòng)態(tài)主機(jī)設(shè)置協(xié)議設(shè)備。本實(shí)施例中的消息驗(yàn)證方法包括將第一 DHCP設(shè)備的數(shù)字證書信息和數(shù)字簽名添加到DHCP協(xié)議消息中���,其中如果數(shù)字證書信息為數(shù)字證書本身���,則需要通過(guò)第一和第二 DHCP設(shè)備協(xié)商DHCP協(xié)議消息的消息長(zhǎng)度;并將添加后的DHCP協(xié)議消息發(fā)送給第二 DHCP設(shè)備�,這樣第二 DHCP設(shè)備驗(yàn)證第一 DHCP設(shè)備的數(shù)字證書的合法性;并在所述第一 DHCP設(shè)備的數(shù)字證書合法時(shí)�����,根據(jù)第一 DHCP設(shè)備的數(shù)字證書信息獲得第一 DHCP設(shè)備的公鑰,并通過(guò)第一 DHCP設(shè)備的公鑰驗(yàn)證第一 DHCP設(shè)備的數(shù)字簽名的有效性����。這樣DHCP設(shè)備的通信雙方在DHCP協(xié)議消息中攜帶數(shù)字證書信息和數(shù)字簽名,并通過(guò)數(shù)字證書和數(shù)字簽名的驗(yàn)證����,從而保證通信的DHCP協(xié)議消息的安全,由于本實(shí)施例中不用進(jìn)行驗(yàn)證信息的協(xié)商�����,而直接可以根據(jù)DHCP協(xié)議消息中攜帶的信息進(jìn)行驗(yàn)證�,提高了 IP地址獲取過(guò)程中的通信安全性����。
為了更清楚地說(shuō)明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹��,顯而易見地�����,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例,對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講�����,在不付出創(chuàng)造性勞動(dòng)性的前提下����,還可以根據(jù)這些附圖獲得其他的附圖。圖1是本發(fā)明方法實(shí)施例提供的一種消息驗(yàn)證方法流程圖��;圖2是本發(fā)明實(shí)施例提供的最大DHCP消息大小請(qǐng)求消息格式的示意圖����;圖3a是本發(fā)明方法實(shí)施例提供的另一種消息驗(yàn)證方法流程圖;圖北是本發(fā)明方法實(shí)施例提供的另一種消息驗(yàn)證方法流程圖��;圖4是本發(fā)明方法實(shí)施例提供的另一種消息驗(yàn)證方法流程圖�;圖fe是本發(fā)明方法實(shí)施例提供的另一種消息驗(yàn)證方法流程圖;圖恥是本發(fā)明方法實(shí)施例提供的另一種消息驗(yàn)證方法流程圖�����;圖5c是本發(fā)明方法實(shí)施例提供的另一種消息驗(yàn)證方法流程圖�;圖6a是本發(fā)明方法實(shí)施例提供的另一種消息驗(yàn)證方法流程圖;圖6b是本發(fā)明方法實(shí)施例提供的另一種消息驗(yàn)證方法流程圖�����;圖6c是本發(fā)明方法實(shí)施例提供的另一種消息驗(yàn)證方法流程圖;圖7是本發(fā)明方法實(shí)施例提供的另一種消息驗(yàn)證方法流程圖�����;圖8是現(xiàn)有DHCP發(fā)現(xiàn)消息中認(rèn)證相關(guān)信息選項(xiàng)格式的示意圖�;圖9是本發(fā)明方法實(shí)施例提供的DHCP發(fā)現(xiàn)消息中認(rèn)證相關(guān)信息選項(xiàng)格式的示意圖;圖10是本發(fā)明方法實(shí)施例提供的另一種消息驗(yàn)證方法流程圖�;圖11是本發(fā)明方法實(shí)施例提供的DHCP發(fā)現(xiàn)消息中認(rèn)證相關(guān)信息選項(xiàng)格式的示意圖;圖12是本發(fā)明方法實(shí)施例提供的另一種消息驗(yàn)證方法流程圖��;圖13是本發(fā)明方法實(shí)施例提供的另一種消息驗(yàn)證方法流程圖�;圖14是本發(fā)明方法實(shí)施例提供的另一種消息驗(yàn)證方法流程圖;圖15是本發(fā)明方法實(shí)施例提供的DHCP發(fā)現(xiàn)消息中認(rèn)證相關(guān)信息選項(xiàng)格式的示意圖�;圖16是本發(fā)明方法實(shí)施例提供的另一種消息驗(yàn)證方法流程圖����;圖17是本發(fā)明設(shè)備實(shí)施例提供的動(dòng)態(tài)主機(jī)設(shè)置協(xié)議設(shè)備的結(jié)構(gòu)示意圖;圖18是本發(fā)明設(shè)備實(shí)施例提供的另一種動(dòng)態(tài)主機(jī)設(shè)置協(xié)議設(shè)備的結(jié)構(gòu)示意圖�;圖19是本發(fā)明設(shè)備實(shí)施例提供的另一種動(dòng)態(tài)主機(jī)設(shè)置協(xié)議設(shè)備的結(jié)構(gòu)示意圖;圖20是本發(fā)明設(shè)備實(shí)施例提供的動(dòng)態(tài)主機(jī)設(shè)置協(xié)議中繼設(shè)備的結(jié)構(gòu)示意圖�;圖21是本發(fā)明設(shè)備實(shí)施例提供的另一種動(dòng)態(tài)主機(jī)設(shè)置協(xié)議中繼設(shè)備的結(jié)構(gòu)示意圖;圖22是本發(fā)明設(shè)備實(shí)施例提供的動(dòng)態(tài)主機(jī)設(shè)置協(xié)議設(shè)備的結(jié)構(gòu)示意圖23是本發(fā)明設(shè)備實(shí)施例提供的另一種動(dòng)態(tài)主機(jī)設(shè)置協(xié)議設(shè)備的結(jié)構(gòu)示意圖��;圖M是本發(fā)明設(shè)備實(shí)施例提供的另一種動(dòng)態(tài)主機(jī)設(shè)置協(xié)議設(shè)備的結(jié)構(gòu)示意圖。
具體實(shí)施例方式下面將結(jié)合本發(fā)明實(shí)施例中的附圖���,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚���、完整地描述,顯然�����,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例�����,而不是全部的實(shí)施例����。基于本發(fā)明中的實(shí)施例���,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例��,都屬于本發(fā)明保護(hù)的范圍��。圖1為本發(fā)明實(shí)施例提供的一種消息驗(yàn)證方法的流程示意圖�����,本實(shí)施例中的方法適用于DHCP服務(wù)器和客戶端之間獲取IP地址過(guò)程中的驗(yàn)證方法�����,包括步驟101��、將第一動(dòng)態(tài)主機(jī)設(shè)置協(xié)議DHCP設(shè)備的數(shù)字證書信息和數(shù)字簽名添加到 DHCP協(xié)議消息中�����;這里第一 DHCP設(shè)備的數(shù)字證書信息是能標(biāo)識(shí)第一 DHCP設(shè)備身份的證書信息�����,可以是數(shù)字證書本身����,這時(shí)�����,DHCP協(xié)議消息的消息長(zhǎng)度是第一和第二 DHCP設(shè)備協(xié)商的�;而數(shù)字證書信息也可以是數(shù)字證書的地址標(biāo)識(shí)如數(shù)字證書的統(tǒng)一資源定位符(URL)��,這時(shí)����,DHCP 協(xié)議消息的消息長(zhǎng)度可以不需要第一和第二 DHCP設(shè)備進(jìn)行協(xié)商����,而直接在DHCP協(xié)議消息中攜帶數(shù)字證書的地址標(biāo)識(shí)。其中有數(shù)字證書有多種格式���,如X. 509格式的數(shù)字證書����,具體內(nèi)容可以包括第一 DHCP設(shè)備的公鑰信息�����、身份信息���、簽名算法以及證書中心(CA)使用該證書中心自己的私鑰計(jì)算的簽名�,即證書中心的簽名等信息��。上述的第一和第二 DHCP設(shè)備的協(xié)商是指第一 DHCP設(shè)備與第二 DHCP設(shè)備之間對(duì)允許的消息長(zhǎng)度的交互過(guò)程,即其中一個(gè)設(shè)備發(fā)送關(guān)于消息長(zhǎng)度的消息給另一個(gè)設(shè)備��,如果另一個(gè)設(shè)備默認(rèn)該消息長(zhǎng)度�����,可以返回確認(rèn)響應(yīng)�����,也可以不返回響應(yīng)�;如果另一個(gè)設(shè)備允許另一個(gè)消息長(zhǎng)度,則返回關(guān)于另一個(gè)消息長(zhǎng)度的響應(yīng)�����。而第一 DHCP設(shè)備的數(shù)字簽名是對(duì)消息摘要進(jìn)行加密后的信息���,這樣可以對(duì)消息摘要進(jìn)行保護(hù)��。本實(shí)施例中可以通過(guò)以DHCP協(xié)議消息的數(shù)據(jù)為內(nèi)容進(jìn)行哈希計(jì)算后得到消息摘要��,并以第一 DHCP設(shè)備的私鑰為密鑰進(jìn)行加密得到的���,具體地��,對(duì)DHCP協(xié)議消息的數(shù)據(jù)進(jìn)行哈希計(jì)算得到消息摘要或消息散列碼,并以第一 DHCP設(shè)備的私鑰對(duì)這些消息摘要或消息散列碼進(jìn)行加密形成數(shù)字簽名��。上述計(jì)算過(guò)程中的內(nèi)容不包括DHCP協(xié)議消息的中繼代理個(gè)數(shù)(Hops)和DHCP協(xié)議消息經(jīng)過(guò)的第一個(gè)DHCP中繼代理地址的信息(giaddr)��。由于在通信雙方進(jìn)行DHCP協(xié)議消息的通信過(guò)程中�����,DHCP協(xié)議消息中的Hops和giaddr信息是會(huì)發(fā)生變化的����,不將這兩個(gè)信息計(jì)算到數(shù)字簽名中,能避免通信雙方在驗(yàn)證計(jì)算時(shí)導(dǎo)致的不一致�。DHCP協(xié)議消息格式中的選項(xiàng)參數(shù)域(以下簡(jiǎn)稱Option),允許廠商定義選項(xiàng)�,以提供更多的設(shè)定咨詢,其長(zhǎng)度可變�����,同時(shí)可攜帶多個(gè)選項(xiàng)��,每一選項(xiàng)的第一個(gè)字節(jié)為咨詢代碼��,其后一個(gè)字節(jié)為該項(xiàng)資料長(zhǎng)度,最后為項(xiàng)目?jī)?nèi)容���。DHCP協(xié)議消息中的Option可以攜帶配置信息���,一般采用標(biāo)識(shí)長(zhǎng)度內(nèi)容(CLV)方式構(gòu)成,由不同的選項(xiàng)編碼�、長(zhǎng)度以及值區(qū)分。其中0ption90是編號(hào)為90的Option��,是認(rèn)證選項(xiàng)�,用來(lái)進(jìn)行消息驗(yàn)證的,因此可以將第一 DHCP設(shè)備的數(shù)字證書和數(shù)字簽名添加到DHCP協(xié)議消息的0ption90中���,以便對(duì)端設(shè)備進(jìn)行驗(yàn)證����;如果數(shù)字證書的信息為數(shù)字證書的地址標(biāo)識(shí)����,則將可以第一 DHCP設(shè)備的數(shù)字簽名添加到DHCP協(xié)議消息的0ption90中;并將第一 DHCP設(shè)備的數(shù)字證書的地址標(biāo)識(shí)添加到DHCP協(xié)議消息的0ption98中�����;也可以將數(shù)字簽名和數(shù)字證書信息添加到DHCP協(xié)議消息中其他新定義的Option中,或其他合適的現(xiàn)有編號(hào)的Option中�,具體添加到哪個(gè)編號(hào)的 Option中并不能造成對(duì)本發(fā)明的限制。除了上述添加的第一 DHCP設(shè)備的數(shù)字證書信息和數(shù)字簽名之外���,還需要在DHCP 協(xié)議消息中添加其他必要的信息,如第一 DHCP設(shè)備的身份標(biāo)識(shí)�����、重放檢測(cè)的信息�、類型等, 這些是現(xiàn)有的流程���,在此不再贅述��。步驟104�、將步驟101添加后的DHCP協(xié)議消息發(fā)送給第二 DHCP設(shè)備�。這樣第二 DHCP設(shè)備接收到DHCP協(xié)議消息后,驗(yàn)證第一 DHCP設(shè)備的數(shù)字證書的合法性���。如��,可通過(guò)認(rèn)證中心的公鑰驗(yàn)證第一 DHCP設(shè)備的數(shù)字證書中包括的認(rèn)證中心的簽名���,即認(rèn)證中心利用自己的私鑰計(jì)算的簽名�。如果數(shù)字證書合法���,則根據(jù)第一 DHCP設(shè)備的數(shù)字證書信息獲得第一 DHCP設(shè)備的公鑰��,并通過(guò)第一 DHCP設(shè)備的公鑰驗(yàn)證第一 DHCP設(shè)備的數(shù)字簽名的有效性��,具體地對(duì)接收的DHCP協(xié)議消息進(jìn)行哈希計(jì)算得到消息摘要或消息散列碼��,通過(guò)第一 DHCP設(shè)備的數(shù)字證書中包含的第一 DHCP設(shè)備的公鑰對(duì)數(shù)字簽名進(jìn)行解密后���,將解密后數(shù)值與計(jì)算得到的消息摘要或消息散列碼進(jìn)行比較,如果相同����,則有效,否則無(wú)效�����,在驗(yàn)證完數(shù)字簽名的有效性的同時(shí)完成了 DHCP協(xié)議消息的完整性的校驗(yàn)����。需要說(shuō)明的是����,上述第一���、第二并不表示順序關(guān)系�,而是用來(lái)說(shuō)明DHCP設(shè)備的不同���。可見�����,本實(shí)施例中的消息驗(yàn)證方法包括將第一 DHCP設(shè)備的數(shù)字證書信息和數(shù)字簽名添加到DHCP協(xié)議消息中���,其中如果數(shù)字證書信息為數(shù)字證書本身����,則需要通過(guò)第一和第二 DHCP設(shè)備協(xié)商DHCP協(xié)議消息的消息長(zhǎng)度����;并將添加后的DHCP協(xié)議消息發(fā)送給第二 DHCP設(shè)備,這樣第二 DHCP設(shè)備驗(yàn)證第一 DHCP設(shè)備的數(shù)字證書的合法性���;并在第一 DHCP設(shè)備的數(shù)字證書合法時(shí)�,根據(jù)第一 DHCP設(shè)備的數(shù)字證書信息獲得第一 DHCP設(shè)備的公鑰,并通過(guò)第一 DHCP設(shè)備的公鑰驗(yàn)證第一 DHCP設(shè)備的數(shù)字簽名的有效性���。這樣DHCP設(shè)備的通信雙方在DHCP協(xié)議消息中攜帶數(shù)字證書和數(shù)字簽名�,并通過(guò)數(shù)字證書和數(shù)字簽名的驗(yàn)證��,從而保證通信的DHCP協(xié)議消息的安全�����,由于本實(shí)施例中不用進(jìn)行驗(yàn)證信息的協(xié)商���,而直接可以根據(jù)DHCP協(xié)議消息中攜帶的信息進(jìn)行驗(yàn)證�����,提高了 IP地址獲取過(guò)程中的通信安全性����?����?梢岳斫猓话闱闆r下數(shù)字證書的長(zhǎng)度較長(zhǎng)�,而DHCP協(xié)議消息一般使用312 576 字節(jié),在DHCP協(xié)議消息添加數(shù)字證書本身時(shí)�����,需要通信雙方的第一 DHCP設(shè)備和第二 DHCP 設(shè)備在首次通信時(shí)�,進(jìn)行DHCP協(xié)議消息的消息長(zhǎng)度的協(xié)商;而在之后的通信過(guò)程中��,通信雙方即可直接在DHCP協(xié)議消息中攜帶數(shù)字證書���,以進(jìn)行驗(yàn)證。具體協(xié)商的消息長(zhǎng)度可以根據(jù)實(shí)際的DHCP設(shè)備的數(shù)字證書的長(zhǎng)度來(lái)確定����。因此在本實(shí)施例中在DHCP設(shè)備的通信雙方首次通信時(shí),由通信發(fā)起的一端來(lái)執(zhí)行下述步驟進(jìn)行消息長(zhǎng)度的協(xié)商�,為了能攜帶數(shù)字證書,本實(shí)施例中以第一 DHCP設(shè)備發(fā)起通信為例說(shuō)明步驟102����、發(fā)送請(qǐng)求的消息長(zhǎng)度給第二 DHCP設(shè)備,以便第二 DHCP設(shè)備根據(jù)請(qǐng)求的消息長(zhǎng)度擴(kuò)展DHCP協(xié)議消息的消息長(zhǎng)度�����。第二 DHCP設(shè)備接收到請(qǐng)求的消息長(zhǎng)度,默認(rèn)該請(qǐng)求的消息長(zhǎng)度����,可以不返回響應(yīng);而如果需要擴(kuò)展另一個(gè)消息長(zhǎng)度���,則執(zhí)行步驟103�。步驟103�����、接收第二 DHCP設(shè)備返回的響應(yīng)�����,該響應(yīng)指示第二 DHCP設(shè)備允許第一 DHCP設(shè)備擴(kuò)展協(xié)商的消息長(zhǎng)度�����。其中請(qǐng)求的消息長(zhǎng)度是第一 DHCP設(shè)備根據(jù)DHCP設(shè)備的數(shù)字證書確定的�����,即可以是能夠攜帶DHCP設(shè)備的數(shù)字證書以及其他認(rèn)證信息的長(zhǎng)度,也可以是預(yù)置的一個(gè)長(zhǎng)度�����,還可以是最大DHCP消息大小(Maximum DHCP Message Size)等����;協(xié)商的消息長(zhǎng)度可以是根據(jù)第一和第二 DHCP設(shè)備的數(shù)字證書來(lái)確定的,例如����,將第一和第二 DHCP設(shè)備數(shù)字證書的長(zhǎng)度中較大的長(zhǎng)度作為協(xié)商的消息長(zhǎng)度。在一個(gè)具體的實(shí)施例中����,在執(zhí)行上述步驟102時(shí)的發(fā)送請(qǐng)求的消息長(zhǎng)度給第二 DHCP設(shè)備時(shí)����,是將該請(qǐng)求的消息長(zhǎng)度添加到一個(gè)新定義的消息即最大DHCP消息大小請(qǐng)求消息(DHCP Message MSize Request)中,并將該請(qǐng)求消息發(fā)送給第二DHCP設(shè)備����;而在執(zhí)行上述步驟103時(shí),是接收第二 DHCP設(shè)備返回的最大DHCP消息大小響應(yīng)消息(DHCP Message MSize Response),在該最大DHCP消息大小響應(yīng)消息中包括協(xié)商的消息長(zhǎng)度�。其中最大DHCP消息大小請(qǐng)求消息的格式可以如圖2所示,包括消息類型(1字節(jié)�����, 每字節(jié)8位)��、硬件地址類型(1字節(jié))�、硬件地址長(zhǎng)度(1字節(jié))、路由站數(shù)(1字節(jié))��、客戶端發(fā)起一次請(qǐng)求時(shí)選擇的隨機(jī)數(shù)G字節(jié))��、設(shè)備啟動(dòng)時(shí)間O字節(jié))�、是否為廣播發(fā)送標(biāo)識(shí)的格式O字節(jié))、設(shè)備的IP地址G或16字節(jié))�����、DHCP客戶端獲取IP地址等信息的服務(wù)器名稱(64字節(jié))��、DHCP服務(wù)器為DHCP客戶端指定的啟動(dòng)配置文件名稱及路徑信息(1 字節(jié))���、可選變長(zhǎng)選項(xiàng)參數(shù)域(可變字節(jié))����。其中通過(guò)在消息的可選變長(zhǎng)選項(xiàng)的消息長(zhǎng)度可選項(xiàng)中攜帶請(qǐng)求的消息長(zhǎng)度實(shí)現(xiàn)DHCP消息長(zhǎng)度的擴(kuò)展協(xié)商。最大DHCP消息大小請(qǐng)求消息的格式還可以是本領(lǐng)域技術(shù)人員想到的其他的格式�,圖2中的所示的并不能對(duì)最大DHCP消息大小請(qǐng)求消息的格式造成限制。參考圖3a所示���,在該實(shí)施例中�,步驟102和103需要在步驟101和104之前執(zhí)行�, 即先協(xié)商消息長(zhǎng)度,而不攜帶進(jìn)行驗(yàn)證的內(nèi)容��。在另一具體的實(shí)施例中���,在執(zhí)行上述步驟104之前還包括步驟105��,即將請(qǐng)求的消息長(zhǎng)度添加到DHCP協(xié)議消息的Option如Option 57中�,則步驟104中會(huì)將請(qǐng)求的消息長(zhǎng)度連同數(shù)字證書和數(shù)字簽名一起發(fā)送給第二 DHCP設(shè)備��;可以理解�,如果第二 DHCP設(shè)備允許擴(kuò)展另一個(gè)消息長(zhǎng)度�����,而在執(zhí)行步驟104后還可以包括步驟106,即接收第二 DHCP設(shè)備返回的對(duì)DHCP協(xié)議消息的響應(yīng)消息�����,在該DHCP協(xié)議消息的響應(yīng)消息中攜帶協(xié)商的消息長(zhǎng)度��。參考圖北所示����,在該實(shí)施例中,步驟105和101需要在步驟104之前執(zhí)行��,在執(zhí)行步驟104之后再執(zhí)行106���,其中��,步驟105和101并沒有絕對(duì)的順序關(guān)系���,可以同時(shí)執(zhí)行,也可以是順序執(zhí)行��,圖北中所示的只是其中一種實(shí)現(xiàn)方式�。本實(shí)施例中通過(guò)在兩個(gè)設(shè)備首次通信的DHCP協(xié)議消息中攜帶請(qǐng)求的消息長(zhǎng)度來(lái)協(xié)商消息長(zhǎng)度,而不用另外一個(gè)新定義消息進(jìn)行協(xié)商����。在其它的實(shí)施例中�����,在基于共享密鑰的驗(yàn)證方法中�,需要先進(jìn)行共享密鑰的協(xié)商��, 而后通過(guò)共享密鑰來(lái)進(jìn)行DHCP消息的驗(yàn)證��,在本實(shí)施例中����,在執(zhí)行上述步驟104的將添加后的DHCP協(xié)議消息發(fā)送給第二 DHCP設(shè)備之前還包括步驟107和108 步驟107、獲取第一 DHCP設(shè)備的公開密鑰�����;
在獲取公開密鑰時(shí)���,可以通過(guò)如下的方法獲取配置兩個(gè)數(shù)ρ和g���,并選取一個(gè)隨機(jī)數(shù)A(A< (p-l)/2))作為第一 DHCP設(shè)備的私有密鑰,則第一 DHCP設(shè)備的公開密鑰為私 =gVodp S卩A對(duì)g的指數(shù)值�����,和ρ的取模值的乘積�����。其中����,ρ是一個(gè)素?cái)?shù),g是一個(gè)整數(shù)����,g 是P的一個(gè)原根。第一 DHCP設(shè)備的公開密鑰也可以通過(guò)從本地儲(chǔ)存的信息中獲取���,還可以通過(guò)其他方法獲取���。步驟108、將密鑰標(biāo)識(shí)和第一 DHCP設(shè)備的公開密鑰添加到DHCP協(xié)議消息中��,這樣第二 DHCP設(shè)備在接收到DHCP協(xié)議消息后��,根據(jù)其中的密鑰標(biāo)識(shí)得知����,在該IP地址獲取的過(guò)程中需要用共享密鑰的方式來(lái)保證通信安全性�����,就會(huì)通過(guò)第一 DHCP設(shè)備的公開密鑰和自己的公開密鑰來(lái)獲得共享密鑰�。這里密鑰標(biāo)識(shí)是用來(lái)唯一標(biāo)識(shí)本地會(huì)話過(guò)程中的密鑰的��,可以將第一 DHCP設(shè)備的公開密鑰的最小32位作為密鑰標(biāo)識(shí)����。在獲取共享密鑰時(shí),先配置兩個(gè)數(shù)ρ和g��,并選取一個(gè)隨機(jī)數(shù)B (B < (p-1) /2))作為第二 DHCP設(shè)備的私有密鑰�����,則第二 DHCP設(shè)備的公開密鑰為私=gBmodp即B對(duì)g的指數(shù)值���,和P的取模值的乘積���,則共享密鑰為Ks = g^iodp。參考圖4所示�����,本實(shí)施例中,第一和第二 DHCP設(shè)備通過(guò)步驟102和103進(jìn)行消息長(zhǎng)度的協(xié)商后����;在執(zhí)行步驟101的將第一 DHCP設(shè)備的數(shù)字證書和數(shù)字簽名之后���,第一 DHCP 設(shè)備可以通過(guò)步驟107和108將密鑰標(biāo)識(shí)和第一 DHCP設(shè)備的公開密鑰添加到DHCP協(xié)議消息���;最后執(zhí)行步驟104的發(fā)送??梢岳斫猓谄渌麑?shí)施例中可以在執(zhí)行步驟107和108之后��,再執(zhí)行步驟101�����,即添加公開密鑰的步驟及添加數(shù)字證書和數(shù)字簽名的步驟是沒有絕對(duì)的順序關(guān)系�,可以同時(shí)執(zhí)行,圖4中所示的只是其中一種實(shí)現(xiàn)方式�����。本實(shí)施例中,在基于共享密鑰的驗(yàn)證方法中�,在進(jìn)行共享密鑰的協(xié)商過(guò)程中,在協(xié)商的消息中攜帶數(shù)字證書信息和數(shù)字簽名��,這樣對(duì)端就可以對(duì)共享密鑰協(xié)商過(guò)程中的消息進(jìn)行驗(yàn)證�,保證密鑰協(xié)商過(guò)程中消息的安全性。另一方法實(shí)施例提供一種消息驗(yàn)證方法��,本實(shí)施例中的方法適用于DHCP服務(wù)器和客戶端之間獲取IP地址過(guò)程中的驗(yàn)證方法����,本實(shí)施例的執(zhí)行主體是第二 DHCP設(shè)備,流程圖如圖所示���,包括步驟201a�、接收第一 DHCP設(shè)備發(fā)送的DHCP協(xié)議消息�����,在該DHCP協(xié)議消息中包括第一 DHCP設(shè)備的數(shù)字證書信息和數(shù)字簽名���,如果數(shù)字證書信息是數(shù)字證書本身�����,則該DHCP 協(xié)議消息的消息長(zhǎng)度是第一和第二 DHCP設(shè)備協(xié)商的�,如果數(shù)字證書信息為數(shù)字證書的地址標(biāo)識(shí),則DHCP協(xié)議消息的消息長(zhǎng)度不需要進(jìn)行協(xié)商����。步驟20 、驗(yàn)證第一 DHCP設(shè)備的數(shù)字證書的合法性����;并在第一 DHCP設(shè)備的數(shù)字證書合法時(shí)��,根據(jù)第一 DHCP設(shè)備的數(shù)字證書信息獲得第一 DHCP設(shè)備的公鑰�����,并通過(guò)第一 DHCP設(shè)備的公鑰驗(yàn)證第一 DHCP設(shè)備的數(shù)字簽名的有效性����,同時(shí)就完成了 DHCP協(xié)議消息的
完整性?����?梢岳斫猓谶M(jìn)行驗(yàn)證時(shí)�����,需要先根據(jù)DHCP協(xié)議消息得到第一 DHCP的數(shù)字證書和數(shù)字簽名�����,然后再進(jìn)行驗(yàn)證�,具體地,通過(guò)解析DHCP協(xié)議消息中相應(yīng)編號(hào)的Option得到數(shù)字證書信息和數(shù)字簽名�����。如果DHCP協(xié)議消息中的數(shù)字證書消息為數(shù)字證書的地址標(biāo)識(shí)如URL�����,則需要先通過(guò)解析DHCP協(xié)議消息中相應(yīng)編號(hào)的Option得到數(shù)字證書的地址標(biāo)識(shí)���;在按照該地址標(biāo)識(shí)向證書中心請(qǐng)求獲取相應(yīng)的數(shù)字證書�����;并解析DHCP協(xié)議消息中相應(yīng)編號(hào)的Option得到數(shù)
字簽名���。由于本發(fā)明實(shí)施例適用于一個(gè)設(shè)備向另一個(gè)設(shè)備獲取IP地址的過(guò)程��,則其中一個(gè)DHCP設(shè)備是沒有IP地址的���,在該沒有IP地址的設(shè)備在向證書中心獲取數(shù)字證書的過(guò)程中,需要先自己預(yù)配置一個(gè)臨時(shí)IP地址��,或者由DHCP中繼代理為該設(shè)備分配一個(gè)臨時(shí)IP 地址��;這樣就可以通過(guò)與證書中心的交互來(lái)獲取數(shù)字證書����。因此����,假設(shè)第二 DHCP設(shè)備是請(qǐng)求獲取IP地址的設(shè)備,則在執(zhí)行步驟202b時(shí)�,具體通過(guò)如下步驟來(lái)實(shí)現(xiàn)A 獲取臨時(shí)IP地址,可以是隨時(shí)預(yù)配置一個(gè)臨時(shí)IP地址�,也可以是提取已經(jīng)預(yù)置的一個(gè)臨時(shí)IP地址。B 將該臨時(shí)IP地址作為第二 DHCP設(shè)備的臨時(shí)地址����,根據(jù)數(shù)字證書的地址標(biāo)識(shí)向請(qǐng)求獲取相應(yīng)的數(shù)字證書。C 驗(yàn)證數(shù)字證書的合法性;當(dāng)數(shù)字證書合法時(shí)����,在數(shù)字證書中提取得到第一 DHCP 設(shè)備的公鑰,并通過(guò)第一 DHCP設(shè)備的公鑰驗(yàn)證第一 DHCP設(shè)備的數(shù)字簽名的有效性���。證書請(qǐng)求者可以通過(guò)證書URL向證書中心這個(gè)實(shí)體或設(shè)備獲得合法的證書�����。第二 DHCP設(shè)備的具體驗(yàn)證方法如方法實(shí)施例一所述�,在此不再贅述����。可見��,本實(shí)施例中的消息驗(yàn)證方法包括接收DHCP協(xié)議消息����,該DHCP協(xié)議消息包括第一 DHCP設(shè)備的數(shù)字證書信息和數(shù)字簽名,其中如果數(shù)字證書信息是數(shù)字證書本身���,則該消息的消息長(zhǎng)度是第一和第二 DHCP設(shè)備協(xié)商的���;第二 DHCP設(shè)備驗(yàn)證第一 DHCP設(shè)備的數(shù)字證書的合法性�;并在第一 DHCP設(shè)備的數(shù)字證書合法時(shí)��,根據(jù)第一 DHCP設(shè)備的數(shù)字證書信息獲得第一 DHCP設(shè)備的公鑰����,并通過(guò)第一 DHCP設(shè)備的公鑰驗(yàn)證第一 DHCP設(shè)備的數(shù)字簽名的有效性。這樣DHCP設(shè)備的通信雙方在DHCP協(xié)議消息中攜帶數(shù)字證書和數(shù)字簽名��,并通過(guò)數(shù)字證書和數(shù)字簽名的驗(yàn)證����,從而保證通信的DHCP協(xié)議消息的安全,由于本實(shí)施例中不用進(jìn)行驗(yàn)證信息的協(xié)商��,而直接可以根據(jù)DHCP協(xié)議消息中攜帶的信息進(jìn)行驗(yàn)證���,提高了 IP 地址獲取過(guò)程中的通信安全性。需要說(shuō)明的是�,在DHCP協(xié)議消息中攜帶的數(shù)字證書信息是數(shù)字證書本身時(shí),需要通信雙方的第一 DHCP設(shè)備和第二 DHCP設(shè)備在首次通信時(shí)�,進(jìn)行DHCP協(xié)議消息的消息長(zhǎng)度的協(xié)商;而在之后的通信過(guò)程中��,通信雙方即可在DHCP協(xié)議消息中直接攜帶數(shù)字證書,以進(jìn)行驗(yàn)證��。具體協(xié)商的消息長(zhǎng)度可以根據(jù)實(shí)際的DHCP設(shè)備的數(shù)字證書的長(zhǎng)度來(lái)確定�。因此在本實(shí)施例中在DHCP設(shè)備的通信雙方首次通信時(shí),由通信發(fā)起的對(duì)端來(lái)執(zhí)行下述步驟進(jìn)行消息大小的協(xié)商����,為了能攜帶數(shù)字證書,本實(shí)施例中以第一 DHCP設(shè)備發(fā)起通信為例說(shuō)明步驟203����、接收第一 DHCP設(shè)備發(fā)送的請(qǐng)求的消息長(zhǎng)度,以便第二 DHCP設(shè)備根據(jù)請(qǐng)求的消息長(zhǎng)度擴(kuò)展DHCP協(xié)議消息的消息長(zhǎng)度���;如果第二DHCP設(shè)備默認(rèn)該請(qǐng)求的消息長(zhǎng)度����, 則可以不返回響應(yīng)���,如果第二 DHCP設(shè)備允許擴(kuò)展另一個(gè)消息長(zhǎng)度����,則執(zhí)行步驟2(Ma�����。步驟2(Ma、向第一 DHCP設(shè)備返回響應(yīng)消息����,該響應(yīng)消息指示第二 DHCP設(shè)備允許第一 DHCP設(shè)備擴(kuò)展協(xié)商的消息長(zhǎng)度。具體地��,參考圖恥所示����,在一個(gè)具體的實(shí)施例中,可以通過(guò)新定義的消息來(lái)進(jìn)行消息大小的協(xié)商�,即在執(zhí)行步驟203a時(shí),接收最大DHCP消息大小請(qǐng)求消息�,在最大DHCP消息大小請(qǐng)求消息攜帶請(qǐng)求的消息長(zhǎng)度;則在執(zhí)行步驟20 時(shí)�����,是獲取協(xié)商的消息長(zhǎng)度���,并將協(xié)商的消息長(zhǎng)度添加到最大 DHCP消息大小響應(yīng)消息返回給第一 DHCP設(shè)備。舉例說(shuō)明�����,在獲得協(xié)商的消息長(zhǎng)度時(shí),可以根據(jù)第一 DHCP設(shè)備請(qǐng)求的消息長(zhǎng)度比如為a���,并根據(jù)第二 DHCP設(shè)備的數(shù)字證書得到第二 DHCP實(shí)際需要的消息長(zhǎng)度比如為b��,并選擇其中數(shù)值較大的消息長(zhǎng)度作為協(xié)商的消息長(zhǎng)度�����,即選擇a和b中數(shù)值較大的作為協(xié)商的消息長(zhǎng)度��。在該實(shí)施例中���,步驟203a和20 需要在步驟201a和20 之前執(zhí)行,即先協(xié)商消息長(zhǎng)度��,而不攜帶進(jìn)行驗(yàn)證的內(nèi)容��。具體地����,參考圖5c所示,在另一個(gè)具體的實(shí)施例中�,不用另外新定義的消息來(lái)協(xié)商消息長(zhǎng)度�����,而是通過(guò)DHCP協(xié)議消息來(lái)協(xié)商�����,則步驟201a中接收的DHCP協(xié)議消息��,其中 DHCP協(xié)議消息的選項(xiàng)參數(shù)域如選項(xiàng)參數(shù)域57中攜帶請(qǐng)求的消息長(zhǎng)度�����;如果允許擴(kuò)展另一個(gè)消息長(zhǎng)度���,則在步驟20 后,還包括步驟20 ��,即獲得協(xié)商的消息長(zhǎng)度�����,并將協(xié)商的消息長(zhǎng)度添加到DHCP協(xié)議消息的響應(yīng)消息中返回給第一 DHCP設(shè)備��。舉例說(shuō)明,在獲得協(xié)商的消息長(zhǎng)度時(shí)��,可以解析DHCP協(xié)議消息中選項(xiàng)參數(shù)域57 得到第一 DHCP設(shè)備請(qǐng)求的消息長(zhǎng)度比如為a�,并根據(jù)第二 DHCP設(shè)備的數(shù)字證書得到第二 DHCP實(shí)際需要的消息長(zhǎng)度比如為b��,并選擇其中數(shù)值較大的消息長(zhǎng)度作為協(xié)商的消息長(zhǎng)度����,即選擇a和b中數(shù)值較大的作為協(xié)商的消息長(zhǎng)度?����?梢岳斫?��,在本實(shí)施例中第二 DHCP設(shè)備返回的DHCP協(xié)議消息中還包括根據(jù)協(xié)商的消息長(zhǎng)度攜帶的第二 DHCP設(shè)備的數(shù)字證書和數(shù)字簽名�,以便第一 DHCP設(shè)備進(jìn)行相應(yīng)的驗(yàn)證��,驗(yàn)證的過(guò)程如第二 DHCP設(shè)備的驗(yàn)證方法�。在其它的實(shí)施例中,在基于共享密鑰的驗(yàn)證方法中�����,需要先進(jìn)行共享密鑰的協(xié)商, 而后通過(guò)共享密鑰來(lái)進(jìn)行DHCP消息的驗(yàn)證���,在本實(shí)施例中����,在上述步驟201a接收到的DHCP 協(xié)議消息中還包括密鑰標(biāo)識(shí)和第一DHCP設(shè)備的公開密鑰���,則在執(zhí)行步驟20 的同時(shí)或之后或之前需要根據(jù)密鑰標(biāo)識(shí)和第一 DHCP設(shè)備的公開密鑰獲得共享密鑰�����。具體獲得方法如方法實(shí)施例一中所述��,在此不再贅述���。本實(shí)施例中,在基于共享密鑰的驗(yàn)證方法中���,在進(jìn)行共享密鑰的協(xié)商過(guò)程中�����,在協(xié)商的消息中攜帶數(shù)字證書信息和數(shù)字簽名����,這樣對(duì)端就可以對(duì)共享密鑰協(xié)商過(guò)程中的消息進(jìn)行驗(yàn)證,保證密鑰協(xié)商過(guò)程中消息的安全性���。另一方法實(shí)施例提供一種消息驗(yàn)證方法���,本實(shí)施例中的方法適用于DHCP服務(wù)器和客戶端之間獲取IP地址過(guò)程中的驗(yàn)證方法�����,本實(shí)施例的方法的執(zhí)行主體是DHCP中繼代理���,流程圖如圖6a所示���,包括步驟201b、接收第一 DHCP設(shè)備發(fā)送的DHCP協(xié)議消息��,在該DHCP協(xié)議消息中包括第一 DHCP設(shè)備的數(shù)字證書信息和數(shù)字簽名����,如果數(shù)字證書信息是數(shù)字證書本身,則該DHCP 協(xié)議消息的消息長(zhǎng)度是第一和第二 DHCP設(shè)備協(xié)商的���,如果數(shù)字證書信息為數(shù)字證書的地址標(biāo)識(shí)�����,則DHCP協(xié)議消息的消息長(zhǎng)度不需要進(jìn)行協(xié)商�。步驟202b、將DHCP協(xié)議消息發(fā)送給第二 DHCP設(shè)備���。這樣第二 DHCP設(shè)備驗(yàn)證第一 DHCP設(shè)備的數(shù)字證書的合法性���;并在第一 DHCP設(shè)備的數(shù)字證書合法時(shí),根據(jù)第一 DHCP設(shè)備的數(shù)字證書信息獲得第一 DHCP設(shè)備的公鑰��,并通過(guò)第一 DHCP設(shè)備的公鑰驗(yàn)證第一 DHCP設(shè)備的數(shù)字簽名的有效性�,同時(shí)就完成了 DHCP協(xié)議消息的完整性?��?梢岳斫?,如果第一和第二 DHCP設(shè)備不在一個(gè)子網(wǎng)內(nèi)��,則它們之間的通信消息需要經(jīng)過(guò)DHCP中繼代理的轉(zhuǎn)發(fā)���。第二 DHCP設(shè)備的具體驗(yàn)證方法如方法實(shí)施例一所述�,在此不再贅述??梢姡緦?shí)施例中的消息驗(yàn)證方法包括通過(guò)DHCP中繼代理將接收的DHCP協(xié)議消息發(fā)送給第二 DHCP設(shè)備進(jìn)行驗(yàn)證����,該DHCP協(xié)議消息包括第一 DHCP設(shè)備的數(shù)字證書信息和數(shù)字簽名,其中如果數(shù)字證書信息是數(shù)字證書本身���,則該消息的消息長(zhǎng)度是第一和第二 DHCP設(shè)備協(xié)商的���。這樣DHCP設(shè)備的通信雙方在DHCP協(xié)議消息中攜帶數(shù)字證書和數(shù)字簽名�, 并通過(guò)數(shù)字證書和數(shù)字簽名的驗(yàn)證,從而保證通信的DHCP協(xié)議消息的安全����,由于本實(shí)施例中不用進(jìn)行驗(yàn)證信息的協(xié)商,而直接可以根據(jù)DHCP協(xié)議消息中攜帶的信息進(jìn)行驗(yàn)證��,提高了 IP地址獲取過(guò)程中的通信安全性����;且可以實(shí)現(xiàn)不同子網(wǎng)中的DHCP設(shè)備的通信。需要說(shuō)明的是�,在DHCP協(xié)議消息中攜帶的數(shù)字證書信息是數(shù)字證書本身時(shí)�,需要通信雙方的第一 DHCP設(shè)備和第二 DHCP設(shè)備在首次通信時(shí)���,進(jìn)行DHCP協(xié)議消息的消息長(zhǎng)度的協(xié)商����;而在之后的通信過(guò)程中�,通信雙方即可在DHCP協(xié)議消息中直接攜帶數(shù)字證書,以進(jìn)行驗(yàn)證����。具體協(xié)商的消息長(zhǎng)度可以根據(jù)實(shí)際的DHCP設(shè)備的數(shù)字證書的長(zhǎng)度來(lái)確定。因此在本實(shí)施例中在DHCP設(shè)備的通信雙方首次通信時(shí)����,由通信發(fā)起的一端進(jìn)行消息大小的協(xié)商,為了能攜帶數(shù)字證書�����,本實(shí)施例中以第一 DHCP設(shè)備發(fā)起通信為例說(shuō)明����, 則中繼代理通過(guò)如下步驟來(lái)轉(zhuǎn)發(fā)消息大小協(xié)商過(guò)程中的消息步驟20 、接收第一 DHCP設(shè)備發(fā)送的請(qǐng)求的消息長(zhǎng)度�����,以便第二 DHCP設(shè)備根據(jù)請(qǐng)求的消息長(zhǎng)度擴(kuò)展DHCP協(xié)議消息的消息長(zhǎng)度;步驟204b����、將請(qǐng)求的消息長(zhǎng)度發(fā)送給第二 DHCP設(shè)備,請(qǐng)求第二 DHCP設(shè)備根據(jù)請(qǐng)求的消息長(zhǎng)度擴(kuò)展DHCP協(xié)議消息的消息長(zhǎng)度��;如果第二 DHCP設(shè)備允許擴(kuò)展另一個(gè)消息長(zhǎng)度���,則將第二 DHCP設(shè)備返回的響應(yīng)消息發(fā)送給第一 DHCP設(shè)備��。該響應(yīng)消息允許第一 DHCP設(shè)備擴(kuò)展協(xié)商的消息長(zhǎng)度���。具體地�����,參考圖6b所示��,在一個(gè)具體的實(shí)施例中�,可以通過(guò)新定義的消息來(lái)進(jìn)行消息大小的協(xié)商,即在執(zhí)行步驟20 時(shí)��,接收最大DHCP消息大小請(qǐng)求消息,最大DHCP消息大小請(qǐng)求消息攜帶請(qǐng)求的消息長(zhǎng)度����;則在執(zhí)行步驟204b時(shí),是將該最大DHCP消息大小請(qǐng)求消息發(fā)送給第二 DHCP設(shè)備�,并將第二 DHCP設(shè)備返回的最大DHCP消息大小響應(yīng)消息發(fā)送給第一 DHCP設(shè)備,該最大 DHCP消息大小響應(yīng)消息中攜帶協(xié)商的消息長(zhǎng)度�。在該實(shí)施例中,步驟20 和204b需要在步驟201b和202b之前執(zhí)行�����,即轉(zhuǎn)發(fā)通信雙方協(xié)商的消息長(zhǎng)度��。具體地����,參考圖6c所示,在另一個(gè)具體的實(shí)施例中���,不用另外新定義的消息來(lái)協(xié)商消息長(zhǎng)度��,而是通過(guò)DHCP協(xié)議消息來(lái)協(xié)商��,則步驟201b中接收的DHCP協(xié)議消息�����,其中 DHCP協(xié)議消息的選項(xiàng)參數(shù)域如選項(xiàng)參數(shù)域57中攜帶請(qǐng)求的消息長(zhǎng)度���;則在步驟202b后�����,如果第二 DHCP設(shè)備允許另一個(gè)消息長(zhǎng)度�����,則返回響應(yīng)消息��,本實(shí)施例的方法還包括步驟20 ��,即接收第二 DHCP設(shè)備返回的對(duì)該DHCP協(xié)議消息的響應(yīng)消息�,并將該DHCP協(xié)議消息的響應(yīng)消息發(fā)送給第一 DHCP設(shè)備���,該DHCP協(xié)議消息的響應(yīng)消息中攜帶協(xié)商的消息長(zhǎng)度?���?梢岳斫?����,在本實(shí)施例中第二 DHCP設(shè)備返回的DHCP協(xié)議消息中還可以包括根據(jù)協(xié)商的消息長(zhǎng)度攜帶的第二 DHCP設(shè)備的數(shù)字證書信息和數(shù)字簽名�����,以便第一 DHCP設(shè)備進(jìn)行相應(yīng)的驗(yàn)證����,驗(yàn)證的過(guò)程如第二 DHCP設(shè)備的驗(yàn)證方法����。在其他具體的實(shí)施例中,本實(shí)施例的方法還可以包括向第一和第二 DHCP設(shè)備中請(qǐng)求IP地址的設(shè)備分配臨時(shí)IP地址����,以便在DHCP通信雙方進(jìn)行DHCP協(xié)議消息的通信中, 如果數(shù)字證書信息為數(shù)字證書的地址標(biāo)識(shí)如URL�����,請(qǐng)求獲取IP地址的設(shè)備根據(jù)臨時(shí)IP地址和數(shù)字證書的地址標(biāo)識(shí)獲取相應(yīng)的數(shù)字證書����。在一個(gè)具體的方法實(shí)施例中提供的一種消息驗(yàn)證方法����,本實(shí)施例的方法是在DHCP 客戶端向DHCP服務(wù)器獲取IP地址的過(guò)程的驗(yàn)證方法�����,是通過(guò)在DHCP發(fā)現(xiàn)和提供消息中攜帶請(qǐng)求的消息長(zhǎng)度進(jìn)行消息長(zhǎng)度的協(xié)商的��,流程圖如圖7所示�,包括301、客戶端向其本地子網(wǎng)廣播DHCP發(fā)現(xiàn)消息(DISCOVER)�,在DHCP發(fā)現(xiàn)消息中用 DHCP最大消息長(zhǎng)度選項(xiàng)0ption57攜帶請(qǐng)求的消息長(zhǎng)度;用客戶端身份標(biāo)識(shí)選項(xiàng)0ption61 攜帶DHCP客戶端的身份標(biāo)識(shí)��;用0ption90來(lái)攜帶客戶端的數(shù)字證書和數(shù)字簽名���。其中請(qǐng)求的消息長(zhǎng)度在本實(shí)施例中為最大DHCP消息大小�����,是根據(jù)客戶端的數(shù)字證書大小確定��,也可以是客戶端中預(yù)置的一個(gè)長(zhǎng)度。舉例說(shuō)明,現(xiàn)有的DHCP發(fā)現(xiàn)消息中認(rèn)證相關(guān)信息選項(xiàng)的格式如參考圖8所示��,包括類型(1字節(jié)�,每個(gè)字節(jié)8位)、長(zhǎng)度(1字節(jié))��、協(xié)議(1字節(jié))��、算法(1字節(jié))�,重放機(jī)制 (1字節(jié)),及重放檢測(cè)值(16字節(jié)���,64字節(jié))和認(rèn)證信息(可變字節(jié))����。在本實(shí)施例中���,在將數(shù)字證書和數(shù)字簽名填充到DHCP發(fā)現(xiàn)消息后的認(rèn)證相關(guān)信息選項(xiàng)可以如圖9所示�����,其中在認(rèn)證信息中填充了認(rèn)證信息類型�����、認(rèn)證信息長(zhǎng)度����、數(shù)字證書(Certificate)、數(shù)字簽名(Digital Signature)�����,其中數(shù)字證書的長(zhǎng)度是可變的��,在本實(shí)施例中為IK字節(jié)����,數(shù)字簽名是使用客戶端的私鑰對(duì)DHCP發(fā)現(xiàn)消息除Hops和giaddr之外的數(shù)據(jù)內(nèi)容進(jìn)行加密計(jì)算所得的。而數(shù)字證書和數(shù)字簽名內(nèi)容的格式也可以分別通過(guò)TLV的形式進(jìn)行定義����,比如認(rèn)證類型類型(Type)= 1 ;長(zhǎng)度(Length) :8 位(bits)����;內(nèi)容(Value)……;認(rèn)證信息長(zhǎng)度=Type= 2 �;Length :16bits ;Value......����;Certificate :Type = 3 ����;Length :1K ^ti �����;Value......�����;Digital Signature :Type = 4 ���;Length :32 字節(jié);Value......��。如果DHCP服務(wù)器部署在客戶端所在的子網(wǎng)上��,則DHCP服務(wù)器會(huì)直接收到該DHCP 發(fā)現(xiàn)消息�,如果部署在另外的一個(gè)網(wǎng)絡(luò)中,則必須在客戶端的子網(wǎng)上部署DHCP中繼代理��, 由DHCP中繼代理轉(zhuǎn)發(fā)DHCP服務(wù)器和客戶端之間通信的DHCP協(xié)議消息����,下面的流程都不考慮DHCP中繼代理���。302、網(wǎng)絡(luò)上的DHCP服務(wù)器接收到DHCP發(fā)現(xiàn)消息后�,如果判斷可以為該DHCP客戶端提供服務(wù),確定客戶端的身份����,然后驗(yàn)證客戶端證書的合法性,并對(duì)消息進(jìn)行重放檢測(cè)以及完整性性驗(yàn)證��。若驗(yàn)證通過(guò)�����,則執(zhí)行步驟303�����,若驗(yàn)證沒有通過(guò)��,則丟棄DHCP發(fā)現(xiàn)消息��。具體地��,通過(guò)Option 61獲得客戶端的身份標(biāo)識(shí)。通過(guò)DHCP發(fā)現(xiàn)消息中的獲得客戶端的數(shù)字證書和數(shù)字簽名��,驗(yàn)證客戶端的數(shù)字證書的合法性�,并通過(guò)數(shù)字證書提取客戶端的公鑰,然后使用客戶端的公鑰(PiAkeyc)驗(yàn)證數(shù)字簽名是否有效����,根據(jù)數(shù)字簽名驗(yàn)證 DHCP發(fā)現(xiàn)消息的完整性��。如果驗(yàn)證的數(shù)字證書合法��,且數(shù)字簽名有效�,則驗(yàn)證通過(guò)。303��、DHCP服務(wù)器默認(rèn)了 DHCP發(fā)現(xiàn)消息中請(qǐng)求的消息長(zhǎng)度����,即最大DHCP消息大小, 并根據(jù)IP地址分配的優(yōu)先次序選出一個(gè)IP地址�����,構(gòu)造DHCP發(fā)現(xiàn)消息的響應(yīng)��,即DHCP提供消息(DHCP0FFER),并發(fā)送給DHCP客戶端�,在DHCP提供消息的Option 61中攜帶DHCP服務(wù)器的身份標(biāo)識(shí),通過(guò)Option 98攜帶了服務(wù)器的數(shù)字證書的地址標(biāo)識(shí)�����,本實(shí)施例中為URL����。在DHCP提供消息中還可以包括服務(wù)器提供的一些配置參數(shù),如IP地址配置參數(shù)寸��。304�、DHCP客戶端接收到DHCP提供消息后,根據(jù)其中攜帶的服務(wù)器的數(shù)字證書的 URL向證書中心獲取服務(wù)器的數(shù)字證書����。305、DHCP客戶端進(jìn)行數(shù)字證書合法性及消息完整性的驗(yàn)證�����,驗(yàn)證過(guò)程中可以先確認(rèn)服務(wù)器的數(shù)字證書中服務(wù)器ID與當(dāng)前連接的服務(wù)器ID是否一致����,如果一致�����,再通過(guò)證書中心簽名來(lái)驗(yàn)證服務(wù)器的數(shù)字證書的合法性���;而消息完整性驗(yàn)證與步驟303中類似,在此不再贅述��,如果驗(yàn)證通過(guò)��,則獲取配置參數(shù)�����;否則�,丟棄DHCP提供消息�����,并重發(fā)DHCP發(fā)現(xiàn)消肩���、ο可以理解�,如果DHCP客戶端接收到的DHCP提供消息有多個(gè),則會(huì)先按照預(yù)置的策略選擇其中一個(gè)服務(wù)器發(fā)送的DHCP提供消息��,并進(jìn)行相應(yīng)處理����。306、DHCP客戶端向DHCP服務(wù)器發(fā)送DHCP請(qǐng)求消息(DHCPREQUEST)���,其中包括 DHCP服務(wù)器在DHCP提供消息中分配的IP地址����,請(qǐng)求服務(wù)器對(duì)配置的IP地址進(jìn)行確認(rèn)�, 并確認(rèn)選擇該DHCP服務(wù)器為其進(jìn)行服務(wù),其中攜帶客戶端的數(shù)字證書和數(shù)字簽名����,還包括 DHCP客戶端的身份標(biāo)識(shí)等其他可能值。307����、DHCP服務(wù)器接收到DHCP請(qǐng)求消息,進(jìn)行相應(yīng)驗(yàn)證���,如���,重放檢測(cè)����、數(shù)字證書合法性和消息完整性驗(yàn)證等�。如果驗(yàn)證通過(guò),則向DHCP客戶端發(fā)送DHCP響應(yīng)消息(DHCP ACK)�,同樣攜帶服務(wù)器的數(shù)字證書和數(shù)字簽名;如果驗(yàn)證沒有通過(guò)�����,則向DHCP客戶端返回 DHCP失敗響應(yīng)消息(DHCP NACK)�����。當(dāng)DHCP客戶端接收DHCP響應(yīng)消息后����,進(jìn)行相應(yīng)驗(yàn)證����,如果驗(yàn)證通過(guò),則獲取IP地址的流程結(jié)束�;當(dāng)DHCP客戶端接收到DHCP失敗響應(yīng)消息,則重新發(fā)送DHCP發(fā)現(xiàn)消息,請(qǐng)求獲取IP地址���。另一種具體方法實(shí)施例提供一種動(dòng)態(tài)主機(jī)設(shè)置驗(yàn)證方法����,本實(shí)施例的方法是在 DHCP客戶端向DHCP服務(wù)器獲取IP地址的過(guò)程中基于共享密鑰的驗(yàn)證方法�����,是通過(guò)在DHCP 發(fā)現(xiàn)和提供消息中攜帶的數(shù)字證書信息是數(shù)字證書的地址標(biāo)識(shí)�����,流程圖如圖10所示����,包括401、DHCP客戶端向其本地子網(wǎng)廣播DHCP發(fā)現(xiàn)消息����,其中的Option 61攜帶了客戶端的身份標(biāo)識(shí),Option 98攜帶了客戶端的數(shù)字證書的地址標(biāo)識(shí)�,本實(shí)施例中為URL; Option的證書選項(xiàng)中可以指明使用的認(rèn)證方法、可以通過(guò)隨機(jī)值域攜帶客戶端的公開密鑰及密鑰標(biāo)識(shí)��,并在證書認(rèn)證Option中攜帶了客戶端的數(shù)字簽名。其中數(shù)字證書的地址標(biāo)識(shí)和隨機(jī)值域的長(zhǎng)度是可變字節(jié)的����,本實(shí)施例中DHCP發(fā)現(xiàn)消息中認(rèn)證相關(guān)的信息選項(xiàng)如圖 11所示,隨機(jī)值域的長(zhǎng)度與客戶端的公開密鑰和密鑰標(biāo)識(shí)的長(zhǎng)度有關(guān)���?����?梢岳斫?,由于本實(shí)施例中在DHCP發(fā)現(xiàn)消息中攜帶的是數(shù)字證書的地址信息�����,則不需要進(jìn)行消息長(zhǎng)度的協(xié)商����。402、網(wǎng)絡(luò)上的DHCP服務(wù)器接收到DHCP發(fā)現(xiàn)消息后��,如果確定可以為該DHCP客戶端提供服務(wù)�����,需要先根據(jù)數(shù)字證書的URL向證書中心獲取客戶端的數(shù)字證書�����。403�����、DHCP服務(wù)器根據(jù)獲得的客戶端的數(shù)字證書進(jìn)行數(shù)字證書合法性及消息完整性的驗(yàn)證���,若驗(yàn)證通過(guò)�,則根據(jù)客戶端的公開密鑰�,及本地服務(wù)器的公開密鑰獲得共享密鑰,并執(zhí)行步驟404�,若驗(yàn)證沒有通過(guò),則丟棄DHCP發(fā)現(xiàn)消息�。 404、構(gòu)造DHCP發(fā)現(xiàn)消息的響應(yīng)��,即DHCP提供消息����,并發(fā)送給DHCP客戶端,在DHCP 提供消息的Option 61中攜帶DHCP服務(wù)器的身份標(biāo)識(shí)�,在0ption98中攜帶服務(wù)器的數(shù)字證書的URL�����,在0ption90或新定義的Option中攜帶服務(wù)器的數(shù)字簽名���,并用隨機(jī)值域攜帶服務(wù)器的公開密鑰和密鑰標(biāo)識(shí),用于DHCP客戶端協(xié)商共享密鑰��。這里密鑰標(biāo)識(shí)為客戶端的公開密鑰的最小32位�����。在DHCP提供消息中還可以包括服務(wù)器提供的一些配置參數(shù)�����。405�����、DHCP客戶端接收到DHCP提供消息后��,根據(jù)服務(wù)器的數(shù)字證書的URL向證書中心獲取數(shù)字證書����。此時(shí)客戶端還沒有獲取到IP地址,需要獲取預(yù)配置或DHCP中繼代理配置的一個(gè)臨時(shí)IP地址�����,利用該臨時(shí)IP地址與證書中心進(jìn)行通信獲取服務(wù)器的數(shù)字證書��;在獲取了數(shù)字證書后�����,可以釋放該臨時(shí)IP地址����。406、DHCP客戶端根據(jù)獲取的服務(wù)器的數(shù)字證書進(jìn)行數(shù)字證書合法性及消息完整性的驗(yàn)證��,如果驗(yàn)證通過(guò)����,則獲取配置參數(shù),并通過(guò)服務(wù)器的公開密鑰和本地客戶端的公開密鑰得到共享密鑰�����,完成了客戶端和服務(wù)器的共享密鑰的協(xié)商�;否則���,丟棄DHCP提供消息, 并重發(fā)DHCP發(fā)現(xiàn)消息��?��?梢岳斫?�,如果DHCP客戶端接收到的DHCP提供消息有多個(gè)���,則會(huì)先按照預(yù)置的策略選擇其中一個(gè)服務(wù)器發(fā)送的DHCP提供消息,并進(jìn)行相應(yīng)處理�。407、DHCP客戶端以廣播的方式發(fā)送DHCP請(qǐng)求消息���,請(qǐng)求服務(wù)器確認(rèn)為該客戶端配置的IP地址����,并確認(rèn)該DHCP服務(wù)器為其進(jìn)行服務(wù)�。其中攜帶Option 90,在Option 90 中包括了密鑰標(biāo)識(shí)和得到的共享密鑰���,還包括DHCP客戶端的身份標(biāo)識(shí)等其他可能值�。408、DHCP服務(wù)器接收到DHCP請(qǐng)求消息�,進(jìn)行相應(yīng)驗(yàn)證,如果驗(yàn)證通過(guò)����,則向DHCP 客戶端發(fā)送DHCP響應(yīng)消息�����,同樣攜帶Option 90 �;如果驗(yàn)證沒有通過(guò),則向DHCP客戶端返回DHCP失敗響應(yīng)消息����。當(dāng)DHCP客戶端接收DHCP響應(yīng)消息后,進(jìn)行相應(yīng)驗(yàn)證�����,如果驗(yàn)證通過(guò)��,則獲取IP地址的流程結(jié)束���;當(dāng)DHCP客戶端接收DHCP失敗響應(yīng)消息后���,重新發(fā)送DHCP發(fā)現(xiàn)消息�����,進(jìn)行IP 地址的獲取��。在一個(gè)具體的方法實(shí)施例中提供的一種消息驗(yàn)證方法��,本實(shí)施例的方法是在DHCP 客戶端向DHCP服務(wù)器獲取IP地址的過(guò)程的驗(yàn)證方法����,是通過(guò)在DHCP發(fā)現(xiàn)和提供消息中攜帶請(qǐng)求的消息長(zhǎng)度進(jìn)行消息長(zhǎng)度的協(xié)商的���,流程圖如圖12所示���,包括501、DHCP客戶端向其本地子網(wǎng)廣播DHCP發(fā)現(xiàn)消息��,在DHCP發(fā)現(xiàn)消息中用DHCP 最大消息長(zhǎng)度選項(xiàng)0ption57攜帶請(qǐng)求的消息長(zhǎng)度�;用客戶端身份標(biāo)識(shí)選項(xiàng)Optionei攜帶 DHCP客戶端的身份標(biāo)識(shí);用0ption90來(lái)攜帶客戶端的數(shù)字證書和數(shù)字簽名����。其中請(qǐng)求的消息長(zhǎng)度在本實(shí)施例中為最大DHCP消息大小����,是根據(jù)客戶端的數(shù)字證書大小確定�,也可以是客戶端中預(yù)置的一個(gè)長(zhǎng)度。在本實(shí)施例中����,在將數(shù)字證書和數(shù)字簽名填充到DHCP發(fā)現(xiàn)消息后的認(rèn)證相關(guān)信息選項(xiàng)可以如圖9所示����。502、網(wǎng)絡(luò)上的DHCP服務(wù)器接收到DHCP發(fā)現(xiàn)消息后�,如果判斷可以為該DHCP客戶端提供服務(wù),確定客戶端的身份����,然后驗(yàn)證客戶端證書的合法性,并對(duì)消息進(jìn)行重放檢測(cè)以及完整性性驗(yàn)證�。若驗(yàn)證通過(guò),則執(zhí)行步驟503�����,若驗(yàn)證沒有通過(guò),則丟棄DHCP發(fā)現(xiàn)消息����。503、DHCP服務(wù)器根據(jù)IP地址分配的優(yōu)先次序選出一個(gè)IP地址����,并構(gòu)造DHCP發(fā)現(xiàn)消息的響應(yīng),即DHCP提供消息�����,并發(fā)送給DHCP客戶端���,在DHCP提供消息的Option 61中攜帶DHCP服務(wù)器的身份標(biāo)識(shí)�,并攜帶協(xié)商的消息長(zhǎng)度����,來(lái)擴(kuò)展DHCP消息長(zhǎng)度用于攜帶服務(wù)器證書。本實(shí)施例中協(xié)商的消息長(zhǎng)度為最大DHCP消息大?����?�;其中協(xié)商的最大DHCP消息大小可以根據(jù)服務(wù)器的數(shù)字證書的實(shí)際長(zhǎng)度來(lái)確定;數(shù)字簽名是使用DHCP服務(wù)器的私鑰得到的簽名�,簽名的內(nèi)容是DHCP0FFER消息除“Hops”和“giaddr”以外的數(shù)據(jù)為內(nèi)容計(jì)算的。在DHCP提供消息中還可以包括服務(wù)器提供的一些配置參數(shù)����,如IP地址配置參數(shù)寸。504����、DHCP客戶端接收到DHCP提供消息后,進(jìn)行數(shù)字證書合法性及消息完整性的驗(yàn)證��,如果驗(yàn)證通過(guò)���,則獲取配置參數(shù);否則�,丟棄DHCP提供消息,并重發(fā)DHCP發(fā)現(xiàn)消息����。可以理解�����,如果DHCP客戶端接收到的DHCP提供消息有多個(gè),則會(huì)先按照預(yù)置的策略選擇其中一個(gè)服務(wù)器發(fā)送的DHCP提供消息�,并進(jìn)行相應(yīng)處理。505��、DHCP客戶端向DHCP服務(wù)器發(fā)送DHCP請(qǐng)求消息�,其中包括DHCP服務(wù)器在DHCP 提供消息中分配的IP地址,請(qǐng)求服務(wù)器對(duì)配置的IP地址進(jìn)行確認(rèn)��,并確認(rèn)選擇該DHCP服務(wù)器為其進(jìn)行服務(wù)��,其中攜帶客戶端的數(shù)字證書和數(shù)字簽名�,還包括DHCP客戶端的身份標(biāo)識(shí)等其他可能值。506���、DHCP服務(wù)器接收到DHCP請(qǐng)求消息����,進(jìn)行相應(yīng)驗(yàn)證��,如�����,重放檢測(cè)���、數(shù)字證書合法性和消息完整性驗(yàn)證等���。如果驗(yàn)證通過(guò)��,則向DHCP客戶端發(fā)送DHCP響應(yīng)消息�����,同樣攜帶服務(wù)器的數(shù)字證書和數(shù)字簽名����;如果驗(yàn)證沒有通過(guò)��,則向DHCP客戶端返回DHCP失敗響應(yīng)消
肩��、ο當(dāng)DHCP客戶端接收DHCP響應(yīng)消息后�,進(jìn)行相應(yīng)驗(yàn)證��,如果驗(yàn)證通過(guò)�����,則獲取IP地址的流程結(jié)束���;當(dāng)DHCP客戶端接收到DHCP失敗響應(yīng)消息�����,則重新發(fā)送DHCP發(fā)現(xiàn)消息�����,請(qǐng)求獲取IP地址���。另一個(gè)具體的方法實(shí)施例提供一種消息驗(yàn)證方法���,本實(shí)施例的方法是在DHCP客戶端向DHCP服務(wù)器獲取IP地址的過(guò)程的驗(yàn)證方法,是通過(guò)新定義的一個(gè)消息來(lái)進(jìn)行消息長(zhǎng)度的協(xié)商的��,流程圖如圖13所示�,包括601、DHCP客戶端發(fā)送最大DHCP消息大小請(qǐng)求消息����,其中包含了客戶端的身份標(biāo)識(shí)和請(qǐng)求的消息長(zhǎng)度,具體為最大DHCP消息大小(Maximum DHCP Messge Size)����,如 lk-2kbyte��。602����、DHCP服務(wù)器向客戶端返回最大DHCP消息大小響應(yīng)消息�����,其中攜帶協(xié)商的最大DHCP消息大小��,允許客戶端擴(kuò)展相應(yīng)消息長(zhǎng)度的DHCP協(xié)議消息�����。603���、DHCP客戶端將本地的數(shù)字證書和數(shù)字簽名添加到DHCP發(fā)現(xiàn)消息的Option 中�,然后向其本地子網(wǎng)廣播該消息��,可以理解��,在DHCP發(fā)現(xiàn)消息中還包括其他一些必要信息如客戶端的身份標(biāo)識(shí)等����。如果DHCP服務(wù)器部署在客戶端所在的子網(wǎng)上,則DHCP服務(wù)器會(huì)直接收到該消息�����, 如果其部署在另外的一個(gè)網(wǎng)絡(luò)中�����,則必須在客戶端的子網(wǎng)上部署DHCP中繼代理���,由DHCP中繼代理來(lái)轉(zhuǎn)發(fā)客戶端和服務(wù)器之間的通信消息��。604��、網(wǎng)絡(luò)上的DHCP服務(wù)器接收到DHCP發(fā)現(xiàn)消息后��,如果判斷可以為該DHCP客戶端提供服務(wù)����,則進(jìn)行數(shù)字證書合法性和消息完整性的驗(yàn)證��,若驗(yàn)證通過(guò)���,則執(zhí)行步驟605�����,若驗(yàn)證沒有通過(guò)�,則丟棄DHCP發(fā)現(xiàn)消息。這里驗(yàn)證通過(guò)是指數(shù)字證書合法��,且數(shù)字簽名有效�。605、構(gòu)造DHCP發(fā)現(xiàn)消息的響應(yīng),即DHCP提供消息,并發(fā)送給DHCP客戶端,在DHCP 提供消息的Option 61中攜帶DHCP服務(wù)器的身份標(biāo)識(shí),并攜帶服務(wù)器的數(shù)字證書和數(shù)字簽名。在DHCP提供消息中還可以包括服務(wù)器提供的一些配置參數(shù)��,如地址配置參數(shù)等��。606�����、DHCP客戶端接收到DHCP提供消息后�����,進(jìn)行數(shù)字證書合法性及消息完整性的驗(yàn)證���,如果驗(yàn)證通過(guò)���,則接收配置參數(shù)�;否則,丟棄DHCP提供消息��,并重發(fā)DHCP發(fā)現(xiàn)消息����。可以理解�����,如果DHCP客戶端接收到的DHCP提供消息有多個(gè)��,則會(huì)先按照預(yù)置的策略選擇其中一個(gè)服務(wù)器發(fā)送的DHCP提供消息���,并進(jìn)行相應(yīng)處理�����。607���、DHCP客戶端向DHCP服務(wù)器發(fā)送DHCP請(qǐng)求消息,請(qǐng)求服務(wù)器確認(rèn)為該客戶端配置的IP地址��,且確認(rèn)該DHCP服務(wù)器為其進(jìn)行服務(wù)��,其中攜帶客戶端的數(shù)字證書和數(shù)字簽名��,還包括DHCP客戶端的身份標(biāo)識(shí)等其他可能值�。608,DHCP服務(wù)器接收到DHCP請(qǐng)求消息(REQUEST),進(jìn)行相應(yīng)驗(yàn)證���,如果驗(yàn)證通過(guò)���, 則向DHCP客戶端發(fā)送DHCP響應(yīng)消息(ACK),同樣攜帶服務(wù)器的數(shù)字證書和數(shù)字簽名�,還攜帶為客戶端分配的IP地址;如果驗(yàn)證沒有通過(guò)����,則向DHCP客戶端返回DHCP失敗響應(yīng)消息 (NACK)。當(dāng)DHCP客戶端接收DHCP響應(yīng)消息后���,進(jìn)行相應(yīng)驗(yàn)證�����,如果驗(yàn)證通過(guò)����,則獲取IP地址的流程結(jié)束����;當(dāng)DHCP客戶端接收到DHCP失敗響應(yīng)消息,則重新發(fā)送DHCP發(fā)現(xiàn)消息���,請(qǐng)求獲取IP地址�。另一個(gè)方法實(shí)施例提供一種消息驗(yàn)證方法��,本實(shí)施例的方法是在DHCP客戶端向 DHCP服務(wù)器獲取IP地址的過(guò)程中基于共享密鑰的驗(yàn)證方法���,是通過(guò)在DHCP發(fā)現(xiàn)和提供消息中攜帶最大DHCP消息大小進(jìn)行消息長(zhǎng)度的協(xié)商的�����,流程圖如圖14所示��,包括701�����、DHCP客戶端向其本地子網(wǎng)廣播該消息發(fā)送DHCP發(fā)現(xiàn)消息����,其中的Opt ion 61 攜帶了客戶端的身份標(biāo)識(shí),Option 57攜帶了請(qǐng)求的消息長(zhǎng)度�,本實(shí)施例中為最大DHCP消息大小�;并在Option中攜帶了客戶端的數(shù)字證書和數(shù)字簽名;并用隨機(jī)值域攜帶客戶端的公開密鑰及密鑰標(biāo)識(shí)���。在本實(shí)施例中DHCP發(fā)現(xiàn)消息中認(rèn)證相關(guān)選項(xiàng)的格式可以如圖15 所示���,其中隨機(jī)值域和數(shù)字證書域是可變字節(jié)的,在本實(shí)施例中��,隨機(jī)值域的長(zhǎng)度與客戶端的公開密鑰及密鑰標(biāo)識(shí)的長(zhǎng)度有關(guān)��,而數(shù)字證書的長(zhǎng)度與該客戶端的數(shù)字證書實(shí)際長(zhǎng)度有關(guān)��?���?梢岳斫?�,客戶端首先選取一個(gè)隨機(jī)數(shù)A作為私有密鑰����,并通過(guò)預(yù)置的ρ和g計(jì)算得到該客戶端的公開密鑰為私=gVodp���,其中隨機(jī)數(shù)的長(zhǎng)度可變��,如10 20字節(jié)���;而密鑰標(biāo)識(shí)取客戶端的公開密鑰的最小32位����。
702、網(wǎng)絡(luò)上的DHCP服務(wù)器接收到DHCP發(fā)現(xiàn)消息后�����,如果判斷可以為該DHCP客戶端提供服務(wù)�,則進(jìn)行數(shù)字證書的合法性及消息完整性的驗(yàn)證,若驗(yàn)證通過(guò)����,則根據(jù)密鑰標(biāo)識(shí)和客戶端的公開密鑰獲得共享密鑰���,并執(zhí)行步驟703,若驗(yàn)證沒有通過(guò)���,則丟棄DHCP發(fā)現(xiàn)消肩��、ο這里驗(yàn)證通過(guò)是指數(shù)字證書合法���,且數(shù)字簽名有效,及DHCP發(fā)現(xiàn)消息完整�。DHCP 服務(wù)器根據(jù)DHCP發(fā)現(xiàn)消息中攜帶的密鑰標(biāo)識(shí),得知客戶端和服務(wù)器之間的通信是基于共享密鑰的方法�����,則在驗(yàn)證通過(guò)后��,需要獲得共享密鑰���,具體地�����,服務(wù)器首先選取一個(gè)隨機(jī)數(shù)B 作為私有密鑰����,并通過(guò)預(yù)置的ρ和g計(jì)算得到該服務(wù)器的公開密鑰為私=gBmodp,則共享密鑰為 Ks = gABmodp。703�、構(gòu)造DHCP發(fā)現(xiàn)消息的響應(yīng),即DHCP提供消息�����,并發(fā)送給DHCP客戶端���,在DHCP 提供消息的Option 61中攜帶DHCP服務(wù)器的身份標(biāo)識(shí)��,并攜帶服務(wù)器的數(shù)字證書和數(shù)字簽名�����,并用隨機(jī)值域攜帶服務(wù)器的公開密鑰和密鑰標(biāo)識(shí),這里密鑰標(biāo)識(shí)為客戶端的公開密鑰的最小32位��。在DHCP提供消息中還可以包括服務(wù)器提供的一些配置參數(shù)����。704、DHCP客戶端接收到DHCP提供消息后����,進(jìn)行相應(yīng)的驗(yàn)證,如果驗(yàn)證通過(guò)��,則獲取配置參數(shù)�����,并根據(jù)服務(wù)器的公開密鑰獲得共享密鑰�,完成了客戶端和服務(wù)器的共享密鑰的協(xié)商;否則����,丟棄DHCP提供消息,并重發(fā)DHCP發(fā)現(xiàn)消息���?����?梢岳斫猓绻鸇HCP客戶端接收到的DHCP提供消息有多個(gè)����,則會(huì)先按照預(yù)置的策略選擇其中一個(gè)服務(wù)器發(fā)送的DHCP提供消息����,并進(jìn)行相應(yīng)處理�。705、DHCP客戶端向DHCP服務(wù)器發(fā)送DHCP請(qǐng)求消息�����,請(qǐng)求服務(wù)器確認(rèn)為該客戶端配置的IP地址����,并確認(rèn)該DHCP服務(wù)器為其進(jìn)行服務(wù),其中攜帶Option 90����,在Option 90中包括了密鑰標(biāo)識(shí)和得到的共享密鑰�,還包括DHCP客戶端的身份標(biāo)識(shí)等其他可能值���。706、DHCP服務(wù)器接收到DHCP請(qǐng)求消息��,按照現(xiàn)有的延遲驗(yàn)證的方法使用Option 90進(jìn)行相應(yīng)驗(yàn)證�����,如果驗(yàn)證通過(guò)�,則向DHCP客戶端發(fā)送DHCP響應(yīng)消息,同樣攜帶Option 90 ���;如果驗(yàn)證沒有通過(guò)�����,則向DHCP客戶端返回DHCP失敗響應(yīng)消息�。當(dāng)DHCP客戶端接收DHCP響應(yīng)消息后�,進(jìn)行相應(yīng)驗(yàn)證���,如果驗(yàn)證通過(guò)�����,則獲取IP地址的流程結(jié)束���;當(dāng)客戶端接收到DHCP失敗響應(yīng)消息�����,則重新發(fā)送DHCP發(fā)現(xiàn)消息,進(jìn)行獲取 IP地址���。另一個(gè)方法實(shí)施例提供一種消息驗(yàn)證方法�����,本實(shí)施例的方法是在DHCP客戶端向 DHCP服務(wù)器獲取IP地址的過(guò)程中基于共享密鑰的驗(yàn)證方法��,是通過(guò)新定義的消息進(jìn)行消息長(zhǎng)度的協(xié)商的�����,流程圖如圖16所示�,包括801�、DHCP客戶端發(fā)送最大DHCP消息大小請(qǐng)求消息���,其中包含了客戶端的身份標(biāo)識(shí)和請(qǐng)求的消息長(zhǎng)度���,本實(shí)施例中為最大DHCP消息大小,如lk-21cbyte����。802、DHCP服務(wù)器通過(guò)在最大DHCP消息大小響應(yīng)消息中攜帶協(xié)商的最大DHCP消息大小���,允許客戶端擴(kuò)展響應(yīng)消息長(zhǎng)度的DHCP協(xié)議消息�。803�、DHCP客戶端將本地的數(shù)字證書和數(shù)字簽名添加到DHCP發(fā)現(xiàn)消息的Option 的認(rèn)證選項(xiàng)中,并將客戶端的公開密鑰和密鑰標(biāo)識(shí)添加到隨機(jī)值域中�,然后向其本地子網(wǎng)廣播該消息,可以理解�����,在DHCP發(fā)現(xiàn)消息中還包括其他一些必要信息如服務(wù)器的身份標(biāo)識(shí)寸���。
如果DHCP服務(wù)器部署在客戶端所在的子網(wǎng)上�,則DHCP服務(wù)器會(huì)直接收到該消息��, 如果其部署在另外的一個(gè)網(wǎng)絡(luò)中��,則必須在客戶端的子網(wǎng)上部署DHCP中繼代理�����,由DHCP中繼代理來(lái)轉(zhuǎn)發(fā)客戶端和服務(wù)器之間的通信消息,本實(shí)施例中不考慮DHCP中繼代理的問(wèn)題�����。804�、網(wǎng)絡(luò)上的DHCP服務(wù)器接收到DHCP發(fā)現(xiàn)消息后���,如果判斷可以為該DHCP客戶端提供服務(wù)�,則進(jìn)行數(shù)字證書合法性及消息完整性的驗(yàn)證��,若驗(yàn)證通過(guò)��,則根據(jù)客戶端的公開密鑰獲得共享密鑰�,并執(zhí)行步驟605,若驗(yàn)證沒有通過(guò)�����,則丟棄DHCP發(fā)現(xiàn)消息����。805���、構(gòu)造DHCP發(fā)現(xiàn)消息的響應(yīng),即DHCP提供消息����,并發(fā)送給DHCP客戶端��,在DHCP 提供消息的Option 61中攜帶DHCP服務(wù)器的身份標(biāo)識(shí)���,并攜帶服務(wù)器的數(shù)字證書和數(shù)字簽名��,并用隨機(jī)值域攜帶服務(wù)器的公開密鑰和密鑰標(biāo)識(shí)����,這里密鑰標(biāo)識(shí)為客戶端的公開密鑰的最小32位��。在DHCP提供消息中還可以包括服務(wù)器提供的一些配置參數(shù)���?��?蛻舳说墓_密鑰和服務(wù)器的公開密鑰用于協(xié)商客戶端和服務(wù)的共享密鑰。806��、DHCP客戶端接收到DHCP提供消息后,進(jìn)行數(shù)字證書合法性及消息完整性的驗(yàn)證����,如果驗(yàn)證通過(guò),則獲取配置參數(shù)�����,并根據(jù)服務(wù)器的公開密鑰�����,和本地儲(chǔ)存的客戶端的公開密鑰獲得共享密鑰���,完成了客戶端和服務(wù)器的共享密鑰的協(xié)商����;否則��,丟棄DHCP提供消息����,并重發(fā)DHCP發(fā)現(xiàn)消息。可以理解�,如果DHCP客戶端接收到的DHCP提供消息有多個(gè),則會(huì)先按照預(yù)置的策略選擇其中一個(gè)服務(wù)器發(fā)送的DHCP提供消息�,并進(jìn)行相應(yīng)處理。807�����、DHCP客戶端向DHCP服務(wù)器發(fā)送DHCP請(qǐng)求消息�����,請(qǐng)求服務(wù)器確認(rèn)為該客戶端配置的IP地址�����,并確認(rèn)該DHCP服務(wù)器為其進(jìn)行服務(wù)����,其中攜帶Option 90���,在Option 90中包括了密鑰標(biāo)識(shí)和得到的共享密鑰���,還包括DHCP客戶端的身份標(biāo)識(shí)等其他可能值。808,DHCP服務(wù)器接收到DHCP請(qǐng)求消息,���,按照現(xiàn)有的延遲驗(yàn)證的方法使用Option 90進(jìn)行相應(yīng)驗(yàn)證�,如果驗(yàn)證通過(guò)���,則向DHCP客戶端發(fā)送DHCP響應(yīng)消息��,同樣攜帶Option 90 �;如果驗(yàn)證沒有通過(guò)�����,則向DHCP客戶端返回DHCP失敗響應(yīng)消息��。當(dāng)DHCP客戶端接收DHCP響應(yīng)消息后���,進(jìn)行相應(yīng)驗(yàn)證����,如果驗(yàn)證通過(guò)�����,則獲取IP地址的流程結(jié)束;當(dāng)客戶端接收到DHCP失敗響應(yīng)消息���,則重新發(fā)送DHCP發(fā)現(xiàn)消息�,進(jìn)行獲取 IP地址����。設(shè)備實(shí)施例提供的一種動(dòng)態(tài)主機(jī)設(shè)置協(xié)議DHCP設(shè)備,結(jié)構(gòu)示意圖如圖17所示�,包括驗(yàn)證添加單元10,用于將第一動(dòng)態(tài)主機(jī)設(shè)置協(xié)議DHCP設(shè)備的數(shù)字證書信息和數(shù)字簽名添加到DHCP協(xié)議消息中�����,若數(shù)字證書信息為數(shù)字證書本身�,則DHCP協(xié)議消息的消息長(zhǎng)度是第一和第二DHCP設(shè)備協(xié)商的���;若數(shù)字證書信息為數(shù)字證書的地址標(biāo)識(shí)�,則DHCP協(xié)議消息的消息長(zhǎng)度可以不用進(jìn)行協(xié)商��。這里第一 DHCP設(shè)備的數(shù)字簽名是通過(guò)以DHCP協(xié)議消息的數(shù)據(jù)為內(nèi)容進(jìn)行哈希計(jì)算后����,并以第一 DHCP設(shè)備的私鑰為密鑰進(jìn)行加密得到的;其中內(nèi)容中不包括DHCP協(xié)議消息的中繼代理個(gè)數(shù)和中繼代理地址的信息;第一 DHCP設(shè)備的數(shù)字證書信息可以為數(shù)字證書本身�����,也可以為數(shù)字證書的地址標(biāo)識(shí)若第一 DHCP設(shè)備的數(shù)字證書信息為的數(shù)字證書本身�����,則驗(yàn)證添加單元10可以將第一 DHCP設(shè)備的數(shù)字證書本身和數(shù)字簽名添加到DHCP協(xié)議消息的0ption90中�����,也可以添加到新定義的Option中��;若第一 DHCP設(shè)備的數(shù)字證書信息為的數(shù)字證書的地址標(biāo)識(shí)����,則驗(yàn)證添加單元10 可以將第一 DHCP設(shè)備的數(shù)字簽名添加到DHCP協(xié)議消息的0ption90中,或新定義的Option 中��;并將第一 DHCP設(shè)備的數(shù)字證書的地址標(biāo)識(shí)添加到DHCP協(xié)議消息的Option 98中�。消息發(fā)送單元11,用于將驗(yàn)證添加單元10添加后的DHCP協(xié)議消息發(fā)送給第二 DHCP設(shè)備��,以便第二 DHCP設(shè)備驗(yàn)證第一 DHCP設(shè)備的數(shù)字證書的合法性�;并在第一 DHCP設(shè)備的數(shù)字證書合法時(shí)�����,根據(jù)第一 DHCP設(shè)備的數(shù)字證書信息獲得第一 DHCP設(shè)備的公鑰���,并通過(guò)第一 DHCP設(shè)備的公鑰驗(yàn)證第一 DHCP設(shè)備的數(shù)字簽名的有效性。本實(shí)施例中驗(yàn)證添加單元10將第一 DHCP設(shè)備的數(shù)字證書信息和數(shù)字簽名添加到DHCP協(xié)議消息中����,其中如果數(shù)字證書信息為數(shù)字證書本身,則需要通過(guò)第一和第二 DHCP 設(shè)備協(xié)商DHCP協(xié)議消息的消息長(zhǎng)度�;并由消息發(fā)送單元11將添加后的DHCP協(xié)議消息發(fā)送給第二 DHCP設(shè)備,這樣第二 DHCP設(shè)備驗(yàn)證第一 DHCP設(shè)備的數(shù)字證書的合法性����;并在第一 DHCP設(shè)備的數(shù)字證書合法時(shí),根據(jù)第一 DHCP設(shè)備的數(shù)字證書信息獲得第一 DHCP設(shè)備的公鑰�����,并通過(guò)第一 DHCP設(shè)備的公鑰驗(yàn)證第一 DHCP設(shè)備的數(shù)字簽名的有效性��。這樣DHCP設(shè)備的通信雙方在DHCP協(xié)議消息中攜帶數(shù)字證書和數(shù)字簽名���,并通過(guò)數(shù)字證書和數(shù)字簽名的驗(yàn)證��,從而保證通信的DHCP協(xié)議消息的安全����,由于本實(shí)施例中不用進(jìn)行驗(yàn)證信息的協(xié)商���, 而直接可以根據(jù)DHCP協(xié)議消息中攜帶的信息進(jìn)行驗(yàn)證���,提高了 IP地址獲取過(guò)程中的通信安全性。參考圖18所示��,在一個(gè)具體的實(shí)施例中��,還包括消息長(zhǎng)度發(fā)送單元12����,用于發(fā)送請(qǐng)求的消息長(zhǎng)度給第二 DHCP設(shè)備,以便第二 DHCP 設(shè)備根據(jù)請(qǐng)求的消息長(zhǎng)度擴(kuò)展DHCP協(xié)議消息的消息長(zhǎng)度�����;消息長(zhǎng)度發(fā)送單元12可以將最大DHCP消息大小�����,或預(yù)置的一個(gè)消息長(zhǎng)度,或客戶端的數(shù)字證書長(zhǎng)度作為請(qǐng)求的消息長(zhǎng)度添加到最大DHCP消息大小請(qǐng)求消息中����,將添加后的最大DHCP消息大小請(qǐng)求消息發(fā)送給第二 DHCP設(shè)備;消息長(zhǎng)度響應(yīng)接收單元13���,用于接收第二 DHCP設(shè)備返回的響應(yīng)����,該響應(yīng)指示第二 DHCP設(shè)備允許第一 DHCP設(shè)備擴(kuò)展協(xié)商的消息長(zhǎng)度����。消息長(zhǎng)度響應(yīng)接收單元13可以接收第二 DHCP設(shè)備返回的最大DHCP消息大小響應(yīng)消息,在最大DHCP消息大小響應(yīng)消息中包括協(xié)商的消息長(zhǎng)度��。本實(shí)施例是適用在驗(yàn)證添加單元10添加數(shù)字證書本身到DHCP協(xié)議消息的情況���, 通過(guò)消息長(zhǎng)度發(fā)送單元12和消息長(zhǎng)度響應(yīng)接收單元13����,與第二 DHCP設(shè)備進(jìn)行的交互����,即完成了第一、第二 DHCP設(shè)備對(duì)DHCP協(xié)議消息的消息長(zhǎng)度進(jìn)行協(xié)商���,則驗(yàn)證添加單元10可以將數(shù)字證書添加到DHCP協(xié)議消息中�,而不會(huì)受到DHCP協(xié)議消息大小的限制���。參考圖19所示����,在另一個(gè)具體的實(shí)施例中�����,DHCP設(shè)備還可以包括消息長(zhǎng)度添加單元14�����,用于將請(qǐng)求的消息長(zhǎng)度添加到DHCP協(xié)議消息的選項(xiàng)參數(shù)域如選項(xiàng)參數(shù)域57中����。密鑰添加單元15,用于將密鑰標(biāo)識(shí)和第一 DHCP設(shè)備的公開密鑰添加到DHCP協(xié)議消息中����,以便第二 DHCP設(shè)備根據(jù)密鑰標(biāo)識(shí)和第一 DHCP設(shè)備的公開密鑰獲得共享密鑰�。在驗(yàn)證添加單元10��、消息長(zhǎng)度添加單元14和密鑰添加單元15消完成各自的添加后��,消息發(fā)送單元11將添加后的DHCP協(xié)議消息發(fā)送給第二 DHCP設(shè)備���;第二 DHCP設(shè)備會(huì)進(jìn)行相應(yīng)的數(shù)字證書合法性和消息完整性的驗(yàn)證�����。本實(shí)施例中的設(shè)備可以基于共享密鑰方法進(jìn)行驗(yàn)證����,通過(guò)密鑰添加單元15在 DHCP協(xié)議消息中添加密鑰標(biāo)識(shí)和公開密鑰����,進(jìn)行密鑰協(xié)商;且在密鑰協(xié)商的過(guò)程中需要對(duì) DHCP協(xié)議消息進(jìn)行保護(hù)�����,則通過(guò)驗(yàn)證添加單元10添加數(shù)字證書和數(shù)字簽名以便驗(yàn)證���;同時(shí)為了足夠來(lái)攜帶數(shù)字證書��,則通過(guò)消息長(zhǎng)度添加單元14添加請(qǐng)求的消息長(zhǎng)度����,進(jìn)行消息長(zhǎng)度的協(xié)商�����;第二 DHCP設(shè)備通過(guò)數(shù)字證書合法性和消息完整性的驗(yàn)證通過(guò)后��,返回響應(yīng)消息���。這樣通過(guò)證書驗(yàn)證的方法來(lái)保護(hù)在共享密鑰協(xié)商過(guò)程中的DHCP協(xié)議消息�����。另一種設(shè)備實(shí)施例提供的一種動(dòng)態(tài)主機(jī)設(shè)置協(xié)議DHCP中繼設(shè)備�,負(fù)責(zé)轉(zhuǎn)發(fā)DHCP 設(shè)備通信雙方的DHCP協(xié)議消息����,結(jié)構(gòu)示意圖如圖20所示,包括第一消息接收單元20���,用于接收第一 DHCP設(shè)備發(fā)送的DHCP協(xié)議消息����,DHCP協(xié)議消息中包括第一 DHCP設(shè)備的數(shù)字證書信息和數(shù)字簽名,若數(shù)字證書信息為數(shù)字證書本身���, 則DHCP協(xié)議消息的消息長(zhǎng)度是第一和第二 DHCP設(shè)備協(xié)商的�;若數(shù)字證書信息為數(shù)字證書的地址標(biāo)識(shí)�����,則消息長(zhǎng)度不需要協(xié)商�。消息轉(zhuǎn)發(fā)單元21,用于將第一消息接收單元20接收的DHCP協(xié)議消息發(fā)送給第二 DHCP設(shè)備����;以便第二 DHCP設(shè)備驗(yàn)證第一 DHCP設(shè)備的數(shù)字證書的合法性;并在第一 DHCP設(shè)備的數(shù)字證書合法時(shí)�����,根據(jù)第一 DHCP設(shè)備的數(shù)字證書信息獲得第一 DHCP設(shè)備的公鑰����,并通過(guò)第一 DHCP設(shè)備的公鑰驗(yàn)證第一 DHCP設(shè)備的數(shù)字簽名的有效性����。參考圖21所示�����,在一個(gè)具體的實(shí)施例中�,DHCP中繼設(shè)備還可以包括第一消息長(zhǎng)度接收單元22��,用于接收請(qǐng)求的消息長(zhǎng)度�,請(qǐng)求根據(jù)請(qǐng)求的消息長(zhǎng)度擴(kuò)展DHCP協(xié)議消息的消息長(zhǎng)度;第一消息長(zhǎng)度接收單元22可以接收最大DHCP消息大小請(qǐng)求消息��,在最大DHCP消息大小請(qǐng)求消息攜帶請(qǐng)求的消息長(zhǎng)度��。消息長(zhǎng)度響應(yīng)轉(zhuǎn)發(fā)單元23��,用于將第一消息長(zhǎng)度接收單元22接收的請(qǐng)求的消息長(zhǎng)度發(fā)送給第二 DHCP設(shè)備�����,并將第二 DHCP設(shè)備返回的響應(yīng)消息發(fā)送給第一 DHCP設(shè)備��,該響應(yīng)消息指示第二 DHCP設(shè)備允許第一 DHCP設(shè)備擴(kuò)展協(xié)商的消息長(zhǎng)度�。消息長(zhǎng)度響應(yīng)轉(zhuǎn)發(fā)單元23可以將最大DHCP消息大小請(qǐng)求消息發(fā)送給第二 DHCP 設(shè)備��,并將第二 DHCP設(shè)備返回的最大DHCP消息大小響應(yīng)消息發(fā)送給第一 DHCP設(shè)備���,在最大DHCP消息大小響應(yīng)消息中攜帶協(xié)商的消息長(zhǎng)度如最大DHCP消息大小。本實(shí)施例中�,通過(guò)第一消息長(zhǎng)度接收單元22和消息長(zhǎng)度響應(yīng)轉(zhuǎn)發(fā)單元23,來(lái)轉(zhuǎn)發(fā)第一和第二 DHCP設(shè)備之間的交互信息�����,并完成了第一���、第二 DHCP設(shè)備對(duì)DHCP協(xié)議消息的消息長(zhǎng)度進(jìn)行協(xié)商�����,則在DHCP協(xié)議消息中攜帶數(shù)字證書時(shí)不會(huì)受到DHCP協(xié)議消息大小的限制����。地址分配單元25���,用于當(dāng)數(shù)字證書信息為數(shù)字證書的地址標(biāo)識(shí)�����,向第二 DHCP設(shè)備分配臨時(shí)IP地址��,以便第二 DHCP設(shè)備根據(jù)臨時(shí)IP地址和數(shù)字證書的地址標(biāo)識(shí)獲取相應(yīng)的數(shù)字證書����。本實(shí)施例中,如果第一消息接收單元20接收到的DHCP協(xié)議消息中攜帶第一 DHCP 設(shè)備的數(shù)字證書和請(qǐng)求的消息長(zhǎng)度��;當(dāng)?shù)诙?DHCP設(shè)備接收到消息轉(zhuǎn)發(fā)單元21轉(zhuǎn)發(fā)的DHCP 協(xié)議消息后����,進(jìn)行相應(yīng)驗(yàn)證���,在驗(yàn)證通過(guò)后����,返回DHCP協(xié)議消息的響應(yīng)消息�����,并在響應(yīng)消息中攜帶協(xié)商的消息長(zhǎng)度及第二 DHCP設(shè)備的數(shù)字證書等��。如果第一消息接收單元20接收的DHCP協(xié)議消息中攜帶的是數(shù)字證書的地址標(biāo)識(shí)����,當(dāng)?shù)诙?DHCP設(shè)備還沒有獲得DHCP服務(wù)器為之分配的網(wǎng)絡(luò)地址�,則地址分配單元25會(huì)給第二 DHCP設(shè)備分配臨時(shí)IP地址����,這樣第二 DHCP設(shè)備會(huì)用這個(gè)臨時(shí)IP地址與證書中心交互,獲得地址標(biāo)識(shí)相應(yīng)的數(shù)字證書�����。另一種設(shè)備實(shí)施例提供的一種動(dòng)態(tài)主機(jī)設(shè)置協(xié)議DHCP設(shè)備����,結(jié)構(gòu)示意圖如圖22 所示,包括第二消息接收單元30��,用于接收第一 DHCP設(shè)備發(fā)送的DHCP協(xié)議消息�,DHCP協(xié)議消息中包括第一 DHCP設(shè)備的數(shù)字證書信息和數(shù)字簽名,若數(shù)字證書信息為數(shù)字證書本身�����, 則DHCP協(xié)議消息的消息長(zhǎng)度是第一和第二 DHCP設(shè)備協(xié)商的�;驗(yàn)證單元31,用于驗(yàn)證第一 DHCP設(shè)備的數(shù)字證書的合法性�;并在第一 DHCP設(shè)備的數(shù)字證書合法時(shí)��,根據(jù)第一 DHCP設(shè)備的數(shù)字證書信息獲得第一 DHCP設(shè)備的公鑰�,并通過(guò)第一 DHCP設(shè)備的公鑰驗(yàn)證第一 DHCP設(shè)備的數(shù)字簽名的有效性���。參考圖23所示�,在一個(gè)具體的實(shí)施例中��,DHCP設(shè)備還可以包括第二消息長(zhǎng)度接收單元32��,用于接收第一 DHCP設(shè)備發(fā)送的請(qǐng)求的消息長(zhǎng)度�����,請(qǐng)求根據(jù)請(qǐng)求的消息長(zhǎng)度擴(kuò)展DHCP協(xié)議消息的消息長(zhǎng)度��;第二消息長(zhǎng)度接收單元32可以接收最大DHCP消息大小請(qǐng)求消息���,在最大DHCP消息大小請(qǐng)求消息攜帶請(qǐng)求的消息長(zhǎng)度。消息長(zhǎng)度響應(yīng)發(fā)送單元33�,用于向第一 DHCP設(shè)備返回響應(yīng)消息,該響應(yīng)消息指示第二 DHCP設(shè)備允許第一 DHCP設(shè)備擴(kuò)展協(xié)商的消息長(zhǎng)度����。消息長(zhǎng)度響應(yīng)發(fā)送單元33可以先獲取協(xié)商的消息長(zhǎng)度����,并將協(xié)商的消息長(zhǎng)度添加到最大DHCP消息大小響應(yīng)消息返回給第一 DHCP設(shè)備����。本實(shí)施例中,通過(guò)第二消息長(zhǎng)度接收單元32和消息長(zhǎng)度響應(yīng)發(fā)送單元33�����,完成了第一�、第二 DHCP設(shè)備對(duì)DHCP協(xié)議消息的消息長(zhǎng)度進(jìn)行協(xié)商,則在DHCP協(xié)議消息中攜帶數(shù)字證書時(shí)不會(huì)受到DHCP協(xié)議消息大小的限制�。參考圖M所示,在另一個(gè)具體的實(shí)施例中����,DHCP設(shè)備還可以包括密鑰獲得單元35,用于當(dāng)?shù)诙⒔邮諉卧?0接收的DHCP協(xié)議消息中還包括密鑰標(biāo)識(shí)和第一 DHCP設(shè)備的公開密鑰��,則根據(jù)密鑰標(biāo)識(shí)和第一 DHCP設(shè)備的公開密鑰獲得共
享密鑰���。若第二消息接收單元30接收的DHCP協(xié)議消息中攜帶的是數(shù)字證書的地址標(biāo)識(shí)�, 則驗(yàn)證單元31可以通過(guò)如下兩個(gè)單元實(shí)現(xiàn)證書獲取子單元311,用于獲取臨時(shí)網(wǎng)絡(luò)協(xié)議地址���,將臨時(shí)IP地址作為第二 DHCP 設(shè)備的臨時(shí)地址�,根據(jù)數(shù)字證書的地址標(biāo)識(shí)向認(rèn)證中心請(qǐng)求獲取相應(yīng)的數(shù)字證書��;驗(yàn)證子單元312����,用于驗(yàn)證證書獲取子單元311獲取的數(shù)字證書的合法性;在數(shù)字證書中提取得到第一 DHCP設(shè)備的公鑰��,并通過(guò)第一 DHCP設(shè)備的公鑰驗(yàn)證第一 DHCP設(shè)備的數(shù)字簽名的有效性�。本實(shí)施例中,若當(dāng)密鑰獲得單元35發(fā)現(xiàn)接收到的DHCP協(xié)議消息中攜帶有密鑰標(biāo)識(shí)���,則說(shuō)明需要基于共享密鑰進(jìn)行驗(yàn)證�����,則通過(guò)其中的第一 DHCP設(shè)備的公開密鑰獲得共享密鑰。
本發(fā)明實(shí)施例還提供一種DHCP驗(yàn)證系統(tǒng)����,包括如圖17到圖19任一個(gè)圖所示的 DHCP設(shè)備,和如圖所示22到M任一個(gè)圖所示的DHCP設(shè)備���。本發(fā)明實(shí)施例還提供一種消息驗(yàn)證系統(tǒng)�����,包括如圖17到圖19任一個(gè)圖所示的 DHCP設(shè)備���,和如圖所示22到M任一個(gè)圖所示的DHCP設(shè)備����,及如圖20或圖21任一個(gè)圖所示的DHCP中繼設(shè)備���。本發(fā)明實(shí)施例提供的消息驗(yàn)證系統(tǒng)中的設(shè)備進(jìn)行的DHCP驗(yàn)證方法如方法實(shí)施例所述����,在此不再贅述��。本領(lǐng)域普通技術(shù)人員可以理解上述實(shí)施例的各種方法中的全部或部分步驟是可以通過(guò)程序來(lái)指令相關(guān)的硬件來(lái)完成��,該程序可以存儲(chǔ)于一計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)中�����,存儲(chǔ)介質(zhì)可以包括只讀存儲(chǔ)器(ROM)、隨機(jī)存取存儲(chǔ)器(RAM)��、磁盤或光盤等���。以上對(duì)本發(fā)明實(shí)施例所提供的消息驗(yàn)證方法�����、系統(tǒng)及設(shè)備���,進(jìn)行了詳細(xì)介紹,本文中應(yīng)用了具體個(gè)例對(duì)本發(fā)明的原理及實(shí)施方式進(jìn)行了闡述�,以上實(shí)施例的說(shuō)明只是用于幫助理解本發(fā)明的方法及其核心思想;同時(shí)����,對(duì)于本領(lǐng)域的一般技術(shù)人員,依據(jù)本發(fā)明的思想�����,在具體實(shí)施方式
及應(yīng)用范圍上均會(huì)有改變之處����,綜上所述,本說(shuō)明書內(nèi)容不應(yīng)理解為對(duì)本發(fā)明的限制���。
權(quán)利要求
1.一種消息驗(yàn)證方法���,其特征在于,包括將第一動(dòng)態(tài)主機(jī)設(shè)置協(xié)議DHCP設(shè)備的數(shù)字證書信息和數(shù)字簽名添加到DHCP協(xié)議消息中�,若所述數(shù)字證書信息為數(shù)字證書本身,則所述DHCP協(xié)議消息的消息長(zhǎng)度是第一和第二 DHCP設(shè)備協(xié)商的���;將所述添加后的DHCP協(xié)議消息發(fā)送給第二 DHCP設(shè)備�����,以便所述第二 DHCP設(shè)備驗(yàn)證所述第一DHCP設(shè)備的數(shù)字證書的合法性�;并在所述第一DHCP設(shè)備的數(shù)字證書合法時(shí)����,根據(jù)第一 DHCP設(shè)備的數(shù)字證書信息獲得第一 DHCP設(shè)備的公鑰,并通過(guò)所述第一 DHCP設(shè)備的公鑰驗(yàn)證所述第一 DHCP設(shè)備的數(shù)字簽名的有效性��。
2.如權(quán)利要求1所述的方法����,其特征在于�����,還包括發(fā)送請(qǐng)求的消息長(zhǎng)度給所述第二 DHCP設(shè)備�,以便所述第二 DHCP設(shè)備根據(jù)所述請(qǐng)求的消息長(zhǎng)度擴(kuò)展所述DHCP協(xié)議消息的消息長(zhǎng)度�����;接收所述第二 DHCP設(shè)備返回的響應(yīng)����,所述響應(yīng)指示所述第二 DHCP設(shè)備允許所述第一 DHCP設(shè)備擴(kuò)展協(xié)商的消息長(zhǎng)度。
3.如權(quán)利要求2所述的方法��,其特征在于�����,所述發(fā)送請(qǐng)求的消息長(zhǎng)度給第二DHCP設(shè)備具體包括將所述請(qǐng)求的消息長(zhǎng)度添加到最大DHCP消息大小請(qǐng)求消息中��,將所述添加后的最大 DHCP消息大小請(qǐng)求消息發(fā)送給第二 DHCP設(shè)備��;所述接收所述第二 DHCP設(shè)備返回的響應(yīng)具體包括接收所述第二 DHCP設(shè)備返回的最大DHCP消息大小響應(yīng)消息����,所述最大DHCP消息大小響應(yīng)消息中包括協(xié)商的消息長(zhǎng)度���。
4.如權(quán)利要求1所述的方法����,其特征在于,所述將所述添加后的DHCP協(xié)議消息發(fā)送給第二 DHCP設(shè)備之前還包括將請(qǐng)求的消息長(zhǎng)度添加到所述DHCP協(xié)議消息的選項(xiàng)參數(shù)域中�����。
5.如權(quán)利要求1至4任一項(xiàng)所述的方法����,其特征在于,所述將所述添加后的DHCP協(xié)議消息發(fā)送給第二 DHCP設(shè)備之前還包括獲取所述第一 DHCP設(shè)備的公開密鑰���;將密鑰標(biāo)識(shí)和所述第一 DHCP設(shè)備的公開密鑰添加到所述DHCP協(xié)議消息中����,以便所述第二 DHCP設(shè)備根據(jù)所述密鑰標(biāo)識(shí)和第一 DHCP設(shè)備的公開密鑰獲得共享密鑰��。
6.如權(quán)利要求1所述的方法����,其特征在于�,則所述將第一動(dòng)態(tài)主機(jī)設(shè)置協(xié)議DHCP設(shè)備的數(shù)字證書信息和數(shù)字簽名添加到DHCP協(xié)議消息中具體包括將所述第一 DHCP設(shè)備的數(shù)字證書信息和數(shù)字簽名添加到所述DHCP協(xié)議消息的選項(xiàng)參數(shù)域中��。
7.一種消息驗(yàn)證方法�,其特征在于,包括接收第一 DHCP設(shè)備發(fā)送的DHCP協(xié)議消息����,所述DHCP協(xié)議消息中包括所述第一 DHCP 設(shè)備的數(shù)字證書信息和數(shù)字簽名,若所述數(shù)字證書信息為數(shù)字證書本身�����,則所述DHCP協(xié)議消息的消息長(zhǎng)度是第一和第二 DHCP設(shè)備協(xié)商的�;驗(yàn)證第一 DHCP設(shè)備的數(shù)字證書的合法性;并在所述第一 DHCP設(shè)備的數(shù)字證書合法時(shí)����, 根據(jù)所述第一 DHCP設(shè)備的數(shù)字證書信息獲得第一 DHCP設(shè)備的公鑰,并通過(guò)所述第一 DHCP 設(shè)備的公鑰驗(yàn)證所述第一 DHCP設(shè)備的數(shù)字簽名的有效性���。
8.如權(quán)利要求7所述的方法���,其特征在于,還包括接收所述第一 DHCP設(shè)備發(fā)送的請(qǐng)求的消息長(zhǎng)度�����,請(qǐng)求根據(jù)所述請(qǐng)求的消息長(zhǎng)度擴(kuò)展DHCP協(xié)議消息的消息長(zhǎng)度;向所述第一 DHCP設(shè)備返回響應(yīng)消息�����,所述響應(yīng)消息指示允許所述第一 DHCP設(shè)備擴(kuò)展協(xié)商的消息長(zhǎng)度�����。
9.如權(quán)利要求8所述的方法�,其特征在于���,所述接收所述第一 DHCP設(shè)備發(fā)送的請(qǐng)求的消息長(zhǎng)度具體包括接收最大DHCP消息大小請(qǐng)求消息�����,所述最大DHCP消息大小請(qǐng)求消息攜帶請(qǐng)求的消息長(zhǎng)度���;所述向所述第一 DHCP設(shè)備返回響應(yīng)消息具體包括獲取協(xié)商的消息長(zhǎng)度,并將所述協(xié)商的消息長(zhǎng)度大小添加到最大DHCP消息大小響應(yīng)消息返回給所述第一 DHCP設(shè)備����。
10.如權(quán)利要求7至9任一項(xiàng)所述的方法����,其特征在于���,若所述DHCP協(xié)議消息中還包括密鑰標(biāo)識(shí)和所述第一 DHCP設(shè)備的公開密鑰�,則所述方法還包括根據(jù)所述密鑰標(biāo)識(shí)和第一 DHCP設(shè)備的公開密鑰獲得共享密鑰����。
11.如權(quán)利要求7至9任一項(xiàng)所述的方法,其特征在于����,所述驗(yàn)證第一DHCP設(shè)備的數(shù)字證書的合法性;并在所述第一 DHCP設(shè)備的數(shù)字證書合法時(shí)�,根據(jù)所述第一 DHCP設(shè)備的數(shù)字證書信息獲得第一 DHCP設(shè)備的公鑰,并通過(guò)所述第一 DHCP設(shè)備的公鑰驗(yàn)證所述第一 DHCP 設(shè)備的數(shù)字簽名的有效性具體包括獲取臨時(shí)網(wǎng)絡(luò)協(xié)議地址��,將所述臨時(shí)IP地址作為第二 DHCP設(shè)備的臨時(shí)地址�,根據(jù)數(shù)字證書的地址標(biāo)識(shí)向證書中心請(qǐng)求獲取相應(yīng)的數(shù)字證書;驗(yàn)證數(shù)字證書的合法性�����;并在所述數(shù)字證書合法時(shí),在數(shù)字證書中提取得到第一 DHCP 設(shè)備的公鑰��,并通過(guò)第一 DHCP設(shè)備的公鑰驗(yàn)證第一 DHCP設(shè)備的數(shù)字簽名的有效性���。
12.一種消息驗(yàn)證方法���,其特征在于,包括接收第一 DHCP設(shè)備發(fā)送的DHCP協(xié)議消息����,所述DHCP協(xié)議消息中包括所述第一 DHCP 設(shè)備的數(shù)字證書信息和數(shù)字簽名�����,若所述數(shù)字證書信息為數(shù)字證書本身�����,則所述DHCP協(xié)議消息的消息長(zhǎng)度是第一和第二 DHCP設(shè)備協(xié)商的���;將所述DHCP協(xié)議消息發(fā)送給第二 DHCP設(shè)備��;以便所述第二 DHCP設(shè)備驗(yàn)證所述第一 DHCP設(shè)備的數(shù)字證書的合法性���;并在所述第一 DHCP設(shè)備的數(shù)字證書合法時(shí)���,根據(jù)第一 DHCP 設(shè)備的數(shù)字證書信息獲得第一 DHCP設(shè)備的公鑰,并通過(guò)所述第一 DHCP設(shè)備的公鑰驗(yàn)證所述第一 DHCP設(shè)備的數(shù)字簽名的有效性���。
13.如權(quán)利要求12所述的方法��,其特征在于�,若所述數(shù)字證書信息為數(shù)字證書的地址標(biāo)識(shí)��,則所述方法還包括向所述第一和第二 DHCP設(shè)備中請(qǐng)求獲取網(wǎng)絡(luò)協(xié)議IP地址的設(shè)備分配臨時(shí)IP地址�,以便所述請(qǐng)求獲取網(wǎng)絡(luò)協(xié)議IP地址的設(shè)備根據(jù)所述臨時(shí)IP地址和所述數(shù)字證書的地址標(biāo)識(shí)獲取相應(yīng)的數(shù)字證書。
14.一種動(dòng)態(tài)主機(jī)設(shè)置協(xié)議設(shè)備�,其特征在于,包括驗(yàn)證添加單元����,用于將第一動(dòng)態(tài)主機(jī)設(shè)置協(xié)議DHCP設(shè)備的數(shù)字證書信息和數(shù)字簽名添加到DHCP協(xié)議消息中,若所述數(shù)字證書信息為數(shù)字證書本身�����,則所述DHCP協(xié)議消息的消息長(zhǎng)度是第一和第二 DHCP設(shè)備協(xié)商的����;消息發(fā)送單元����,用于將所述驗(yàn)證添加單元添加后的DHCP協(xié)議消息發(fā)送給第二 DHCP設(shè)備��,以便所述第二 DHCP設(shè)備驗(yàn)證所述第一 DHCP設(shè)備的數(shù)字證書的合法性�����;并在所述第一 DHCP設(shè)備的數(shù)字證書合法時(shí)��,根據(jù)第一 DHCP設(shè)備的數(shù)字證書信息獲得第一 DHCP設(shè)備的公鑰�����,并通過(guò)所述第一 DHCP設(shè)備的公鑰驗(yàn)證所述第一 DHCP設(shè)備的數(shù)字簽名的有效性����。
15.如權(quán)利要求14所述的設(shè)備�,其特征在于,還包括消息長(zhǎng)度發(fā)送單元�����,用于發(fā)送請(qǐng)求的消息長(zhǎng)度給所述第二 DHCP設(shè)備,以便所述第二 DHCP設(shè)備根據(jù)所述請(qǐng)求的消息長(zhǎng)度擴(kuò)展所述DHCP協(xié)議消息的消息長(zhǎng)度��;消息長(zhǎng)度響應(yīng)接收單元��,用于接收所述第二 DHCP設(shè)備返回的響應(yīng)����,所述響應(yīng)指示所述第二 DHCP設(shè)備允許所述第一 DHCP設(shè)備擴(kuò)展協(xié)商的消息長(zhǎng)度。
16.如權(quán)利要求14所述的設(shè)備��,其特征在于��,還包括消息長(zhǎng)度添加單元�,用于將請(qǐng)求的消息長(zhǎng)度添加到所述DHCP協(xié)議消息的中;則所述消息發(fā)送單元將驗(yàn)證添加單元和消息長(zhǎng)度添加單元添加后的DHCP協(xié)議消息發(fā)送給所述第二 DHCP設(shè)備���。
17.如權(quán)利要求14至16任一項(xiàng)所述的設(shè)備���,其特征在于,還包括密鑰添加單元���,用于將密鑰標(biāo)識(shí)和所述第一 DHCP設(shè)備的公開密鑰添加到所述DHCP協(xié)議消息中���,以便所述第二 DHCP設(shè)備根據(jù)所述密鑰標(biāo)識(shí)和第一 DHCP設(shè)備的公開密鑰獲得共享密鑰��;則所述消息發(fā)送單元將所述驗(yàn)證添加單元和密鑰添加單元添加后的DHCP協(xié)議消息發(fā)送給所述第二 DHCP設(shè)備��。
18.—種動(dòng)態(tài)主機(jī)設(shè)置協(xié)議中繼設(shè)備��,其特征在于�,包括第一消息接收單元��,用于接收第一 DHCP設(shè)備發(fā)送的DHCP協(xié)議消息���,所述DHCP協(xié)議消息中包括所述第一 DHCP設(shè)備的數(shù)字證書信息和數(shù)字簽名�����,若所述數(shù)字證書信息為數(shù)字證書本身�,則所述DHCP協(xié)議消息的消息長(zhǎng)度是第一和第二 DHCP設(shè)備協(xié)商的���;消息轉(zhuǎn)發(fā)單元�����,用于將所述第一消息接收單元接收的DHCP協(xié)議消息發(fā)送給第二 DHCP 設(shè)備;以便所述第二 DHCP設(shè)備驗(yàn)證所述第一 DHCP設(shè)備的數(shù)字證書的合法性����;并在所述第一 DHCP設(shè)備的數(shù)字證書合法時(shí)��,根據(jù)第一 DHCP設(shè)備的數(shù)字證書信息獲得第一 DHCP設(shè)備的公鑰��,并通過(guò)所述第一 DHCP設(shè)備的公鑰驗(yàn)證所述第一 DHCP設(shè)備的數(shù)字簽名的有效性����。
19.如權(quán)利要求18所述的設(shè)備����,其特征在于,還包括地址分配單元��,用于當(dāng)所述數(shù)字證書信息為數(shù)字證書的地址標(biāo)識(shí)��,則向所述第二 DHCP 設(shè)備分配臨時(shí)IP地址��,以便所述第二 DHCP設(shè)備根據(jù)所述臨時(shí)IP地址和所述數(shù)字證書的地址標(biāo)識(shí)獲取相應(yīng)的數(shù)字證書�����。
20.一種動(dòng)態(tài)主機(jī)設(shè)置協(xié)議設(shè)備��,其特征在于�����,包括第二消息接收單元,用于接收第一 DHCP設(shè)備發(fā)送的DHCP協(xié)議消息�,所述DHCP協(xié)議消息中包括所述第一 DHCP設(shè)備的數(shù)字證書信息和數(shù)字簽名,若所述數(shù)字證書信息為數(shù)字證書本身����,則所述DHCP協(xié)議消息的消息長(zhǎng)度是第一和第二 DHCP設(shè)備協(xié)商的;驗(yàn)證單元�,用于驗(yàn)證第一 DHCP設(shè)備的數(shù)字證書的合法性;并在所述第一 DHCP設(shè)備的數(shù)字證書合法時(shí)��,根據(jù)所述第一 DHCP設(shè)備的數(shù)字證書信息獲得第一 DHCP設(shè)備的公鑰����,并通過(guò)所述第一 DHCP設(shè)備的公鑰驗(yàn)證所述第一 DHCP設(shè)備的數(shù)字簽名的有效性。
21.如權(quán)利要求20所述的設(shè)備���,其特征在于����,還包括第二消息長(zhǎng)度接收單元����,用于接收所述第一 DHCP設(shè)備發(fā)送的請(qǐng)求的消息長(zhǎng)度,請(qǐng)求根據(jù)所述請(qǐng)求的消息長(zhǎng)度擴(kuò)展DHCP協(xié)議消息的消息長(zhǎng)度����;消息長(zhǎng)度響應(yīng)發(fā)送單元,用于向所述第一 DHCP設(shè)備返回響應(yīng)消息���,允許所述第一 DHCP設(shè)備擴(kuò)展協(xié)商的消息長(zhǎng)度���。
22.如權(quán)利要求20或21所述的設(shè)備,其特征在于����,還包括密鑰獲得單元,用于當(dāng)所述第二消息接收單元接收的DHCP協(xié)議消息中還包括密鑰標(biāo)識(shí)和所述第一 DHCP設(shè)備的公開密鑰�,則根據(jù)所述密鑰標(biāo)識(shí)和第一 DHCP設(shè)備的公開密鑰獲得共享密鑰。
23.如權(quán)利要求20或21所述的設(shè)備�����,其特征在于����,所述驗(yàn)證單元具體包括證書獲取子單元,用于獲取臨時(shí)網(wǎng)絡(luò)協(xié)議地址�����,將所述臨時(shí)IP地址作為第二 DHCP設(shè)備的臨時(shí)地址,根據(jù)數(shù)字證書的地址標(biāo)識(shí)向證書中心請(qǐng)求獲取相應(yīng)的數(shù)字證書�����;驗(yàn)證子單元����,用于驗(yàn)證所述證書獲取子單元獲取的數(shù)字證書的合法性;在數(shù)字證書中提取得到第一 DHCP設(shè)備的公鑰���,并通過(guò)第一 DHCP設(shè)備的公鑰驗(yàn)證第一 DHCP設(shè)備的數(shù)字簽名的有效性��。
24.—種消息驗(yàn)證系統(tǒng)����,其特征在于���,包括如權(quán)利要求14至17任一項(xiàng)所述的動(dòng)態(tài)主機(jī)設(shè)置協(xié)議設(shè)備����,和如權(quán)利要求20到22任一項(xiàng)所述的動(dòng)態(tài)主機(jī)設(shè)置協(xié)議設(shè)備。
25.一種消息驗(yàn)證系統(tǒng)�����,其特征在于����,包括如權(quán)利要求14至17任一項(xiàng)所述的動(dòng)態(tài)主機(jī)設(shè)置協(xié)議設(shè)備����,如權(quán)利要求18或19所述的動(dòng)態(tài)主機(jī)設(shè)置協(xié)議中繼設(shè)備,如權(quán)利要求20至 22任一項(xiàng)所述的動(dòng)態(tài)主機(jī)設(shè)置協(xié)議設(shè)備�。
全文摘要
本發(fā)明實(shí)施例公開了消息驗(yàn)證方法、系統(tǒng)及設(shè)備����,應(yīng)用于通信技術(shù)領(lǐng)域。本方法實(shí)施例中的消息驗(yàn)證方法包括將第一DHCP設(shè)備的數(shù)字證書信息和數(shù)字簽名添加到DHCP協(xié)議消息中�����,若所述數(shù)字證書信息為數(shù)字證書本身��,則該DHCP協(xié)議消息的消息長(zhǎng)度是第一和第二DHCP設(shè)備協(xié)商的����;并將添加后的DHCP協(xié)議消息發(fā)送給第二DHCP設(shè)備��,這樣第二DHCP設(shè)備驗(yàn)證數(shù)字證書的合法性�;并在第一DHCP設(shè)備的數(shù)字證書合法時(shí)���,根據(jù)第一DHCP設(shè)備的數(shù)字證書信息獲得第一DHCP設(shè)備的公鑰��,并驗(yàn)證第一DHCP設(shè)備的數(shù)字簽名的有效性���。提高了IP地址獲取過(guò)程中的通信安全性。
文檔編號(hào)H04L29/06GK102413103SQ20101029075
公開日2012年4月11日 申請(qǐng)日期2010年9月20日 優(yōu)先權(quán)日2010年9月20日
發(fā)明者畢曉宇, 陳佳佳, 陳璟 申請(qǐng)人:華為技術(shù)有限公司