DHCP消息传送的方法及系统转让专利
申请号 : CN200710079264.0
文献号 : CN101247356B
文献日 : 2011-02-16
发明人 : 赵宇萍
申请人 : 华为技术有限公司
摘要 :
本发明提供一种DHCP消息传送的方法及系统,实现用户敏感性信息的加密传送。方法包括:动态主机配置协议DHCP客户端向DHCP服务器发送请求消息;所述DHCP服务器对配置信息选项进行加密,将所述配置信息选项加密的消息返回到所述DHCP客户端。系统包括:DHCP客户端,用于向DHCP服务器发送请求消息;DHCP服务器,用于对配置信息选项进行加密,向所述DHCP客户端发送所述配置信息选项加密的消息。
权利要求 :
1.一种DHCP消息传送的方法,其特征在于,包括:动态主机配置协议DHCP客户端向DHCP服务器发送请求消息;
所述DHCP服务器对配置信息选项进行加密,将所述配置信息选项加密的消息返回到所述DHCP客户端;
在所述请求消息中标识需求加密的配置信息选项时;
所述DHCP服务器进一步对所述需求加密的配置信息选项进行加密,所述配置信息选项加密的消息进一步携带加密的所述需求加密的配置信息选项。
2.根据权利要求1所述的DHCP消息传送的方法,其特征在于,在DHCP客户端与DHCP服务器之间存在DHCP中继代理时:所述DHCP中继代理对中继代理信息选项进行加密;
所述DHCP中继代理向所述DHCP服务器发送的请求消息进一步携带加密的中继代理信息选项;
所述DHCP服务器返回到所述DHCP中继代理的消息进一步携带加密的中继代理信息选项。
3.一种DHCP消息传送的方法,其特征在于,包括:DHCP中继代理对中继代理信息选项进行加密;
所述DHCP中继代理向DHCP服务器发送携带了加密的中继代理信息选项的请求消息;
所述DHCP服务器向DHCP中继代理返回携带加密的中继代理信息选项的消息。
4.一种DHCP消息传送的系统,其特征在于,包括:DHCP客户端,用于向DHCP服务器发送请求消息;
DHCP服务器,用于对配置信息选项进行加密,向所述DHCP客户端发送所述配置信息选项加密的消息;
所述DHCP客户端进一步用于在所述请求消息中标识需求加密的配置信息选项;
所述DHCP服务器进一步对所述需求加密的配置信息选项进行加密。
5.根据权利要求4所述的DHCP消息传送的系统,其特征在于,所述DHCP客户端包括:标识加密单元,用于在所述请求消息中标识需求加密的配置信息选项;
发送单元,用于向DHCP服务器发送请求消息,所述请求消息进一步携带标识需求加密的配置信息选项;
所述DHCP服务器包括:
加密单元,用于对配置选项进行加密,进一步对标识需求加密的配置信息选项进行加密;
消息发送单元,用于向DHCP客户端发送所述配置信息选项加密的消息,所述消息进一步携带标识需求加密的配置信息选项。
6.根据权利要求4或5所示的DHCP消息传送的系统,其特征在于,所述DHCP消息传送的系统进一步包括:DHCP中继代理,用于将所述DHCP客户端发送的请求消息转发到DHCP服务器,将所述DHCP服务器发送的配置信息选项加密的消息转发到DHCP客户端。
7.根据权利要求6所述的DHCP消息传送的系统,其特征在于,所述DHCP中继代理进一步对中继代理信息选项进行加密。
8.一种DHCP消息传送的系统,其特征在于,包括:DHCP中继代理,用于对中继代理信息选项进行加密,向DHCP服务器发送携带中继代理信息选项加密的请求消息;
DHCP服务器,用于向所述DHCP中继代理返回携带中继代理信息选项加密的消息。
说明书 :
DHCP消息传送的方法及系统
技术领域
[0001] 本发明涉及通讯领域,尤其涉及DHCP消息传送的方法及系统。
背景技术
[0002] DHCP(Dynamic Host Configuration Protocol)消息是在互联网中服务器给网络中的主机分配的配置信息,这些配置信息包括动态分配的网络地址和附加的配置信息选项(Configuration Options),这些配置信息选项包括:DNS服务器地址,Internet主机的物理位置等等,这些附加的配置信息选项封装在DHCP消息的选项(option)中,以明文的方式进行传送。
[0003] 当主机(DHCP客户端)进入到网络时,首先向DHCP服务器发送请求消息,寻找网络中的DHCP服务器请求分配网络地址,请求消息中包含了传送附加的配置信息的选项;网络中的DHCP服务器收到DHCP客户端发送的请求消息后,向DHCP客户端发送分配网络地址和附加配置信息选项的消息,附加的配置信息被封装在消息中的配置信息选项中传送;当DHCP客户端与DHCP服务器不在同一个网段时,在DHCP客户端与DHCP服务器之间会存在DHCP中继代理(DHCP Relay Agent);DHCP客户端将请求消息发送到DHCP中继代理,DHCP中继代理收到DHCP客户端发送的请求消息后,添加额外的信息帮助DHCP服务器进行地址选择和参数配置,这些额外的信息被封装到请求消息中称为中继代理信息选项,这些额外信息分别存放在不同的中继代理信息选项中;DHCP中继代理在请求消息添加额外的信息后,会将请求消息转发到DHCP服务器;DHCP服务器向DHCP中继代理返回携带额外信息和网络地址以及附加的配置信息选项的消息,DHCP中继代理将包含网络地址和附加的配置信息选项的消息发送到DHCP客户端;在某些情况下,DHCP中继代理会向DHCP服务器发送DHCP请求消息更新DHCP中继代理上存储的信息,该请求消息中携带DHCP中继代理添加的中继代理信息选项,DHCP服务器根据DHCP中继代理发送的请求消息,向DHCP中继代理返回携带中继代理信息选项的消息。
[0004] DHCP服务器传送的附加的配置信息选项中有各种各样的配置信息,其中不乏一些用户敏感性的信息,例如:用户的物理位置,每个配置信息选项中对应一个用户敏感信息;DHCP中继代理在转发请求消息时,也会添加一些用户敏感性信息,例如:认证信息传送给DHCP服务器。这些用户敏感信息在配置信息选项中以明文的方式传送,在传送的过程中极易被窃取,用户敏感信息的私密性无法得到保证。
发明内容
[0005] 本发明实施例要解决的技术问题是提供一种DHCP消息传送的方法及系统,用于实现用户敏感性信息的加密传送。
[0006] 为解决上述技术问题,本发明实施例是通过以下技术方案实现的,本发明提供一种DHCP消息传送的方法,包括:
[0007] 动态主机配置协议DHCP客户端向DHCP服务器发送请求消息;所述DHCP服务器对配置信息选项进行加密,将所述配置信息选项加密的消息返回到所述DHCP客户端。
[0008] 可选的,在所述请求消息中标识需求加密的配置信息选项时;
[0009] 所述DHCP服务器进一步对所述需求加密的配置信息选项进行加密,所述配置信息选项加密的消息进一步携带加密的所述需求加密的配置信息选项。
[0010] 可选的,在DHCP客户端与DHCP服务器之间存在DHCP中继代理时:
[0011] 所述DHCP中继代理对中继代理信息选项进行加密;
[0012] 所述DHCP中继代理向所述DHCP服务器发送的请求消息进一步携带加密的中继代理信息选项;
[0013] 所述DHCP服务器返回到所述DHCP中继代理的消息进一步携带加密的中继代理信息选项。
[0014] 本发明还提供一种DHCP消息传送的方法,包括:
[0015] DHCP中继代理对中继代理信息选项进行加密;所述DHCP中继代理向DHCP服务器发送中继代理信息选项加密的请求消息;所述DHCP服务器向DHCP中继代理返回携带加密的中继代理信息选项的消息。
[0016] 本发明还提供一种DHCP消息传送的系统,包括:
[0017] DHCP客户端,用于向DHCP服务器发送请求消息;DHCP服务器,用于对配置信息选项进行加密,向所述DHCP客户端发送所述配置信息选项加密的消息。
[0018] 可选的,所述DHCP客户端进一步用于在所述请求消息中标识需求加密的配置信息选项;
[0019] 所述DHCP服务器进一步对所述需求加密的配置信息选项进行加密。
[0020] 可选的,所述DHCP客户端包括:
[0021] 标识加密单元,用于在所述请求消息中标识需求加密的配置信息选项;
[0022] 发送单元,用于向DHCP服务器发送请求消息,所述请求消息进一步携带标识需求加密的配置信息选项;
[0023] 所述DHCP服务器包括:
[0024] 加密单元,用于对配置选项进行加密,进一步对标识需求加密的配置信息选项进行加密;
[0025] 消息发送单元,用于向DHCP客户端发送所述配置信息选项加密的消息,所述消息进一步携带标识需求加密的配置信息选项。
[0026] 可选的,所述DHCP消息传送的系统进一步包括:
[0027] DHCP中继代理,用于将所述DHCP客户端发送的请求消息转发到DHCP服务器,将所述DHCP服务器发送的配置信息选项加密的消息转发到DHCP客户端。
[0028] 可选的,所述DHCP中继代理进一步对中继代理信息选项进行加密。
[0029] 本发明还提供一种DHCP消息传送的系统,包括:
[0030] DHCP中继代理,用于对中继代理信息选项进行加密,向DHCP服务器发送携带中继代理信息选项加密的请求消息;DHCP服务器,用于向所述DHCP中继代理返回携带中继代理信息选项加密的消息。
[0031] 以上技术方案可以看出,由于本发明实施例DHCP服务器端DHCP客户端发送的请求消息后,会根据配置将配置信息选项加密返回给DHCP客户端,实现用户敏感性信息的加密传送,保证了用户敏感信息在网络上安全传送。
附图说明
[0032] 图1是本发明实施例提供的DHCP客户端与DHCP服务器之间DHCP消息传送的方法图;
[0033] 图2是本发明实施例提供的DHCP客户端与DHCP服务器之间存在DHCP中继代理的DHCP消息传送的方法图;
[0034] 图3是本发明实施例提供的DHCP中继代理与DHCP服务器之间DHCP消息传送的系统图;
[0035] 图4是本发明实施例提供的DHCP消息传送的系统图;
[0036] 图5是本发明提供的DHCP中继代理与DHCP服务器间传送DHCP消息的系统图。
具体实施方式
[0037] 本发明实施例提供一种DHCP消息传送的方法及系统,保证DHCP消息中用户敏感性信息的安全传送。
[0038] 如下阐述本发明详细的实施例。
[0039] 实施例一:DHCP客户端与DHCP服务器之间直接DHCP消息传送的方法实施例;
[0040] 请参阅图1是本发明实施例提供的DHCP客户端与DHCP服务器之间传送DHCP消息的方法图。
[0041] DHCP客户端和DHCP服务器端可以通过人工配置方式,获得客户端和服务器端的密钥,客户端和服务器端采用相同的加密算法。
[0042] 101、DHCP客户端向DHCP服务器发送请求消息;
[0043] 在此请求消息中,DHCP客户端可以选择标识需求加密的配置信息选项。
[0044] 标识配置信息选项加密请求可以通过修改配置信息选项字段和添加修改字段的配置信息选项实现;
[0045] 修改配置信息选项中字段的方案如下:
[0046] 在DHCP协议中用于传送配置信息的选项的格式如下:(配置信息的选项以下简称配置信息选项)
[0047]Code Len Data......
[0048] Code表示该配置信息选项的编码,Len表示该配置信息选项的长度,Data为该配置信息选项存放的数据;修改配置信息选项字段的配置信息选项格式如下:
[0049]
[0050] 添加的Flag字段标识该配置信息选项是否需要加密,Flag为0表示给配置信息选项不需要加密,Flag为1表示该配置信息选项请求加密;Key字段指示加密的密钥(可以是密钥的索引),Algorithm字段指示用于加密的算法。当用户请求对配置信息选项对应的用户敏感性信息进行加密时,在请求消息中的配置信息选项中Flag字段被设置为1。
[0051] DHCP客户端需求DHCP服务器在返回配置信息选项时对选项123,选项77,选项67进行加密:DHCP客户端向DHCP服务器发送请求消息,请求消息中要求加密的配置信息选项123、选项77、选项67的格式如下:
[0052]
[0053] Algorithm为加密算法;
[0054] 配置信息选项77的格式如下:
[0055]
[0056] 配置信息选项67的格式如下:
[0057]
[0058] 添加修改字段的配置信息选项的方案如下:
[0059] 在DHCP协议中用于传送配置信息的选项的格式如下:(配置信息的选项以下简称配置信息选项)
[0060]Code Len Data......
[0061] Code表示该配置信息选项的编码,Len表示该配置信息选项的长度,Data为该配置信息选项存放的数据;修改配置信息选项字段的配置信息选项格式如下:
[0062]Algorit
Code Len Key
hm
C1 C2 C3 .........
..
Code Len Key
hm
C1 C2 C3 .........
..
[0063] Key字段指示加密的密钥(可以是密钥的索引或密钥的标识),Algorithm字段指示用于加密的算法;C1,C2,C3......表示DHCP客户端请求在DHCP应答时加密的配置信息选项的编码。
[0064] DHCP客户端需求DHCP服务器在返回配置信息选项时,对选项123,选项77,选项67进行加密:DHCP客户端向DHCP服务器发送请求消息,请求消息中添加上述格式的配置信息选项,其中Key字段设置为0(表示不指定加密密钥);此添加的配置信息选项的格式为:
[0065]Algorit
Code Len 0
hm
123 77 67 .........
..
Code Len 0
hm
123 77 67 .........
..
[0066] Algorithm字段中填入相应的加密算法。
[0067] 102、DHCP服务器对配置信息选项进行加密;
[0068] DHCP服务器收到DHCP客户端发送的请求消息后,若DHCP客户端用户没有选择标识需求加密的配置信息选项,则DHCP服务器根据先前用户在DHCP服务器上设置的需要加密的配置信息选项,对需要加密的配置信息选项进行加密;若DHCP客户端用户选择标识需求加密的配置信息选项,则DHCP服务器根据先前用户在DHCP服务器上设置的需要加密的配置信息选项,同时将DHCP客户端用户选择标识需求加密的配置信息选项加密。
[0069] 具体加密的如下:
[0070] DHCP服务器收到DHCP客户端发送的请求消息后,DCHP服务器上先前用户设置对选项22、23、34进行加密;使用索引为2的密钥对选项22、23进行加密;
[0071] 采用修改配置信息选项中字段的方案,DHCP服务器返回的配置信息选项加密的消息中配置信息选项的格式如下:
[0072]
[0073] Algorithm为加密算法;
[0074] 配置信息选项23的格式如下:
[0075]
[0076] 配置信息选项34的格式如下:
[0077]
[0078] 其中Key字段设置为2(表示使用索引为2的密钥进行加密),在此方案中选项22、23、34可以分别使用不同的索引进行加密,对请求保护程度高的选项可以使用较长的密钥。
[0079] 使用添加修改字段的配置信息选项的方案,DHCP服务器向DHCP客户端返回的消息中配置信息选项的添加了加密的配置信息选项;如下:
[0080]Algorit
Code Len 3
hm
22 23 34 .........
..
Code Len 3
hm
22 23 34 .........
..
[0081] 其中Key字段设置为3(表示使用索引为3的密钥进行加密),此方案中,选项22、选项23、选项34使用相同的密钥进行加密,即在同一个添加修改字段的配置信息选项中加密的配置信息选项使用相同的密钥加密;其他使用另外加密密钥的选项可以另外增加修改字段的配置信息选项,使用另外的密钥。
[0082] 若DHCP客户端用户选择标识需求加密的配置信息选项,DHCP服务器同时对请求消息中标识需求加密的配置信息选项进行加密,如步骤101中请求加密的配置信息选项。DHCP服务器使用索引为2的密钥对选项123,选项77,选项67进行加密:DHCP服务器向DHCP客户端发送消息,其中携带了对步骤101中请求加密的选项的加密信息。
[0083] 采用修改配置信息选项中字段的方案,DHCP服务器返回的配置信息选项加密的消息中配置信息选项的格式如下:
[0084]
[0085] Algorithm为加密算法;
[0086] 配置信息选项77的格式如下:
[0087]
[0088] 配置信息选项67的格式如下:
[0089]
[0090] 其中Key字段设置为2(表示使用索引为2的密钥进行加密),在此方案中选项123、77、67可以分别使用不同的索引进行加密,对请求保护程度高的选项可以使用较长的密钥。
[0091] 使用添加修改字段的配置信息选项的方案,DHCP服务器向DHCP客户端返回的消息中配置信息选项的添加了加密的配置信息选项;如下:
[0092]Algorit
Code Len 3
hm
123 77 67 .........
..
Code Len 3
hm
123 77 67 .........
..
[0093] 其中Key字段设置为3(表示使用索引为3的密钥进行加密),此方案中,选项123、选项77、选项67使用相同的密钥进行加密,即在同一个添加修改字段的配置信息选项中加密的配置信息选项使用相同的密钥加密;其他使用另外加密密钥的选项可以另外增加修改字段的配置信息选项,使用另外的密钥。
[0094] 103、DHCP服务器向DHCP客户端返回消息;
[0095] 若DHCP客户端用户没有选择标识需求加密的配置信息选项,则DHCP服务器向DHCP客户端发送的消息中只携带DHCP服务器上用户配置需求加密的配置信息选项;若DHCP客户端用户选择标识需求加密的配置信息选项,则DHCP服务器向DHCP客户端发送的消息中只携带DHCP服务器上用户配置需求加密的配置信息选项和加密的DHCP客户端用户选择标识需求加密的配置信息选项。
[0096] 至此,完成DHCP消息中用户敏感性信息的加密传送。
[0097] 当DHCP客户端与DHCP服务器不在同一个网段时,在DHCP客户端与DHCP服务器之间会存在DHCP中继代理。
[0098] 实施例二,DHCP客户端与DHCP服务器之间存在DHCP中继代理的DHCP消息传送的方法实施例。
[0099] 请参阅图2是本发明实施例提供的DHCP客户端与DHCP服务器之间存在DHCP中继代理的DHCP消息传送的方法图;
[0100] DHCP客户端和DHCP服务器端通过人工配置方式,获得客户端和服务器端的密钥,客户端和服务器端采用相同的加密算法。
[0101] 201、DHCP客户端向DHCP中继代理发送请求消息;
[0102] 在此请求消息中,DHCP客户端可以选择标识需求加密的配置信息选项。
[0103] 标识配置信息选项加密请求可以通过修改配置信息选项字段和添加修改字段的配置信息选项实现;
[0104] 修改配置信息选项中字段的方案如下:
[0105] 在DHCP协议中用于传送配置信息的选项的格式如下:(配置信息的选项以下简称配置信息选项)
[0106]Code Len Data......
[0107] Code表示该配置信息选项的编码,Len表示该配置信息选项的长度,Data为该配置信息选项存放的数据;修改配置信息选项字段的配置信息选项格式如下:
[0108]
[0109] 添加的Flag字段标识该配置信息选项是否需要加密,Flag为0表示给配置信息选项不需要加密,Flag为1表示该配置信息选项请求加密;Key字段指示加密的密钥(可以是密钥的索引或是密钥的标识),Algorithm字段指示用于加密的算法。当用户请求对配置信息选项对应的用户敏感性信息进行加密时,在请求消息中的配置信息选项中Flag字段被设置为1。
[0110] DHCP客户端需求DHCP服务器在返回配置信息选项时,对选项123,选项77,选项67进行加密:DHCP客户端向DHCP服务器发送请求消息,请求消息中要求加密的配置信息选项123、选项77、选项67的格式如下:
[0111]
[0112] Algorithm为加密算法;
[0113] 配置信息选项77的格式如下:
[0114]
[0115] 配置信息选项67的格式如下:
[0116]
[0117] 添加修改字段的配置信息选项的方案如下:
[0118] 在DHCP协议中用于传送配置信息的选项的格式如下:(配置信息的选项以下简称配置信息选项)
[0119]Code Len Data......
[0120] Code表示该配置信息选项的编码,Len表示该配置信息选项的长度,Data为该配置信息选项存放的数据;修改配置信息选项字段的配置信息选项格式如下:
[0121]Algorit
Code Len Key
hm
C1 C2 C3 .........
..
Code Len Key
hm
C1 C2 C3 .........
..
[0122] Key字段指示加密的密钥(可以是密钥的索引或密钥标识),Algorithm字段指示用于加密的算法;C1,C2,C3......表示DHCP客户端请求在DHCP应答时加密的配置信息选项的编码。
[0123] DHCP客户端需求DHCP服务器在返回配置信息选项时,对选项123,选项77,选项67进行加密:DHCP客户端向DHCP服务器发送请求消息,请求消息中添加上述格式的配置信息选项,其中Key字段设置为0(表示不指定加密密钥);此添加的配置信息选项的格式为:
[0124]Algorit
Code Len 0
hm
123 77 67 .........
..
Code Len 0
hm
123 77 67 .........
..
[0125] Algorithm字段中填入相应的加密算法。
[0126] 202、DHCP中继代理加密中继代理信息选项;
[0127] DHCP服务器端和DHCP中继代理通过人工配置方式,获得客户端和服务器端的密钥。
[0128] DHCP中继代理(Relay Agent)收到DHCP客户端发送的请求消息后,会在请求消息中添加额外的信息,这些额外的信息帮助DHCP服务器进行地址选择和参数配置,被封装在DHCP中继代理信息选项中。本发明实施例中,DHCP中继代理使用先前通过人工配置的方式设置的密钥,并选择需求加密的额外信息的选项,DHCP中继代理对添加的额外的信息进行加密,加密的方式可以通过修改配置信息选项字段和添加修改字段的配置信息选项实现。
[0129] 在DHCP中继代理中请求消息中携带中继代理添加的额外配置信息的选项的格式如下:(额外配置信息的选项以下简称中继代理信息选项)
[0130]Code Len Data......
[0131] Code表示该中继代理信息选项的编码,Len表示该中继代理信息选项的长度,Data为该中继代理信息选项存放的数据;修改中继代理信息选项字段的中继代理信息选项格式如下:
[0132]
[0133] 添加的Flag字段标识该配置信息选项是否需要加密,Flag为0表示给配置信息选项不需要加密,Flag为1表示该配置信息选项请求加密;Key字段指示加密的密钥(可以是密钥的索引),Algorithm字段指示用于加密的算法。当用户请求对配置信息选项对应的用户敏感性信息进行加密时,在请求消息中的配置信息选项中Flag字段被设置为1。
[0134] DHCP中继代理使用索引为1的密钥对子选项7,子选项6,子选项4进行加密:DHCP中继代理向DHCP服务器转发请求消息,请求消息中插入加密的DHCP中继代理信息选项。要求加密的中继代理信息选项7、中继代理信息选项6、选项4的格式如下:
[0135]
[0136] Algorithm为加密算法;
[0137] 中继信息选项6的格式如下:
[0138]
[0139] 中继信息选项4的格式如下:
[0140]
[0141] 其中Key字段设置为1(表示使用索引为1的密钥进行加密),在此方案中子选项7、6、4可以分别使用不同的索引进行加密,对请求保护程度高的选项可以使用较长的密钥。
[0142] 添加修改字段的配置信息选项的方案如下:
[0143] 在DHCP协议中用于传送配置信息的选项的格式如下:(中继代理添加的额外的配置信息的选项以下简称中继代理信息选项)
[0144]Code Len Data......
[0145] Code表示该中继代理信息选项的编码,Len表示该中继代理信息选项的长度,Data为该中继代理信息选项存放的数据;修改中继代理信息子信息选项字段的中继代理信息选项格式如下:
[0146]Code Len Key Algorithm
C1 C2 C3 ...........
C1 C2 C3 ...........
[0147] Key字段指示加密的密钥(可以是密钥的索引),Algorithm字段指示用于加密的算法;C1,C2,C3......表示DHCP中继代理加密的中继代理信息选项的编码。
[0148] DHCP中继代理对子选项7,选项6,选项4进行加密:DHCP客户端向DHCP服务器发送请求消息,请求消息中添加上述格式的配置信息选项,其中Key字段设置为3(表示使用索引为3的密钥进行加密);此添加的配置信息选项的格式为:
[0149]Code Len 3 Algorithm
7 6 4 ...........
7 6 4 ...........
[0150] Algorithm字段中填入相应的加密算法。
[0151] 203、DHCP中继代理向DHCP服务器发送请求消息;
[0152] DHCP中继代理向DHCP服务器发送请求消息的请求消息中增加了中继代理信息选项,若DHCP中继代理对中继代理信息选项进行了加密,则中继代理向DHCP服务器发送的请求消息中携带加密的中继代理信息选项;若步骤201中DHCP客户端用户选择选择标识需求加密的配置信息选项,则DHCP中继代理发送给DHCP服务器的请求消息中还携带标识需求加密的配置信息选项。
[0153] 中继代理在请求消息中插入加密的中继代理信息选项后向DHCP服务器转发该请求消息。
[0154] 204、DHCP服务器对配置信息选项进行加密;
[0155] DHCP服务器收到DHCP中继代理发送的请求消息后,若DHCP客户端用户没有选择标识需求加密的配置信息选项,则DHCP服务器根据先前用户在DHCP服务器上设置的需要加密的配置信息选项,对需要加密的配置信息选项进行加密;若DHCP客户端用户选择标识需求加密的配置信息选项,则DHCP服务器根据先前用户在DHCP服务器上设置的需要加密的配置信息选项,同时将DHCP客户端用户选择标识需求加密的配置信息选项加密。
[0156] 若请求消息中,中继代理信息选项被加密,DHCP服务器对中继代理信息选项解密,保存中继代理信息选项供寻址所用;将DHCP中继代理插入的加密信息使用与DHCP中继代理相同的加密方式加密,将加密的中继代理信息选项封装到消息中返回给DHCP中继代理。
[0157] DHCP服务器收到DHCP客户端发送的请求消息后,DCHP服务器上先前用户设置对选项22、23、34进行加密;使用索引为2的密钥对选项22、23进行加密;
[0158] 采用修改配置信息选项中字段的方案,DHCP服务器返回的配置信息选项加密的消息中配置信息选项的格式如下:
[0159]
[0160] Algorithm为加密算法;
[0161] 配置信息选项23的格式如下:
[0162]
[0163] 配置信息选项34的格式如下:
[0164]
[0165] 其中Key字段设置为2(表示使用索引为2的密钥进行加密),在此方案中选项22、23、34可以分别使用不同的索引进行加密,对请求保护程度高的选项可以使用较长的密钥。
[0166] 使用添加修改字段的配置信息选项的方案,DHCP服务器向DHCP客户端返回的消息中配置信息选项的添加了加密的配置信息选项;如下:
[0167]Algorit
Code Len 3
hm
22 23 34 .........
..
Code Len 3
hm
22 23 34 .........
..
[0168] 其中Key字段设置为3(表示使用索引为3的密钥进行加密),此方案中,选项22、选项23、选项34使用相同的密钥进行加密,即在同一个添加修改字段的配置信息选项中加密的配置信息选项使用相同的密钥加密;其他使用另外加密密钥的选项可以另外增加修改字段的配置信息选项,使用另外的密钥。
[0169] 若DHCP客户端用户选择标识需求加密的配置信息选项,DHCP服务器同时对请求消息中标识需求加密的配置信息选项进行加密,如步骤101中请求加密的配置信息选项。DHCP服务器使用索引为2的密钥对选项123,选项77,选项67进行加密:DHCP服务器通过DHCP中继代理向DHCP客户端发送消息,其中携带了对步骤201)中请求加密的选项的加密信息。
[0170] 采用修改配置信息选项中字段的方案,DHCP服务器返回的配置信息选项加密的消息中配置信息选项的格式如下:
[0171]
[0172] Algorithm为加密算法;
[0173] 配置信息选项77的格式如下:
[0174]
[0175] 配置信息选项67的格式如下:
[0176]
[0177] 其中Key字段设置为2(表示使用索引为2的密钥进行加密),在此方案中选项123、77、67可以分别使用不同的索引进行加密,对请求保护程度高的选项可以使用较长的密钥。
[0178] 使用添加修改字段的配置信息选项的方案,DHCP服务器向DHCP客户端返回的消息中配置信息选项的添加了加密的配置信息选项;如下:
[0179]Algorit
Code Len 3
hm
123 77 67 .........
..
Code Len 3
hm
123 77 67 .........
..
[0180] 其中Key字段设置为3(表示使用索引为3的密钥进行加密),此方案中,选项123、选项77、选项67使用相同的密钥进行加密,即在同一个添加修改字段的配置信息选项中加密的配置信息选项使用相同的密钥加密;其他使用另外加密密钥的选项可以另外增加修改字段的配置信息选项,使用另外的密钥。
[0181] DHCP服务器收到请求消息后,请求消息中中继代理信息选项被加密,DHCP服务器解密中继代理信息,进行策略选择,对中继代理信息选项进行加密或者直接将请求消息中加密的中继代理信息选项复制封装到发送给DHCP中继代理的消息中。
[0182] DHCP服务器加密中继代理信息选项的加密如下:
[0183] DHCP服务器使用索引为1的密钥对子选项7,子选项6,子选项4进行加密:要求加密的中继代理信息选项7、中继代理信息选项6、选项4的格式如下:
[0184]
[0185] Algorithm为加密算法;
[0186] 中继信息子选项6的格式如下:
[0187]
[0188] 中继信息子选项4的格式如下:
[0189]
[0190] 其中Key字段设置为1(表示使用索引为1的密钥进行加密),在此方案中子选项7、6、4可以分别使用不同的索引进行加密,对请求保护程度高的选项可以使用较长的密钥。
[0191] 添加修改字段的配置信息选项的方案如下:
[0192] 在DHCP协议中用于传送配置信息的选项的格式如下:(中继代理添加的额外的配置信息的选项以下简称中继代理信息选项)
[0193]Sub-Code Len Data......
[0194] Code表示该中继代理信息选项的编码,Len表示该中继代理信息选项的长度,Data为该中继代理信息选项存放的数据;修改中继代理信息子信息选项字段的中继代理信息选项格式如下:
[0195]Sub-Code Len Key Algorithm
C1 C2 C3 ...........
C1 C2 C3 ...........
[0196] Key字段指示加密的密钥(可以是密钥的索引),Algorithm字段指示用于加密的算法;C1,C2,C3......表示DHCP中继代理加密的中继代理信息选项的编码。
[0197] 其中Key字段设置为3(表示使用索引为3的密钥进行加密);此添加的配置信息选项的格式为:
[0198]Sub-Code Len 3 Algorithm
7 6 4 ...........
7 6 4 ...........
[0199] Algorithm字段中填入相应的加密算法。
[0200] 205、DHCP服务器向DHCP中继代理返回消息;
[0201] 若DHCP客户端用户没有选择标识需求加密的配置信息选项,则DHCP服务器向DHCP中继代理发送的消息中只携带DHCP服务器上用户配置需求加密的配置信息选项;若DHCP客户端用户选择标识需求加密的配置信息选项,则DHCP服务器向DHCP中继代理发送的消息中只携带DHCP服务器上用户配置需求加密的配置信息选项和加密的DHCP客户端用户选择标识需求加密的配置信息选项。若DHCP中继代理向DHCP服务器发送的请求消息中加密了中继代理信息选项,则DHCP服务器发送给中继代理的消息中中继代理信息选项也同样被加密。
[0202] 206)DHCP中继代理将消息转发到DHCP客户端;
[0203] DHCP中继代理收到DHCP服务器发送的消息后,提取中继代理信息选项,将消息转发到DHCP客户端,即DHCP中继代理发送给DHCP客户端的消息中不携带中继代理信息选项。
[0204] 至此,完成DHCP客户端与DHCP服务器端之间存在DHCP中继代理的情况下的用户敏感性信息的加密传送。
[0205] 在某些情况下,DHCP中继代理会向DHCP服务器发送DHCP请求消息更新DHCP中继代理上存储的信息,该请求消息中携带DHCP中继代理添加的中继代理信息选项,DHCP服务器根据DHCP中继代理发送的请求消息,向DHCP中继代理返回携带中继代理信息选项的消息。
[0206] 实施例三,DHCP中继代理与DHCP服务器之间DHCP消息传送的方法。
[0207] 请参阅图3是本发明实施例提供的DHCP中继代理与DHCP服务器之间DHCP消息传送的方法图。
[0208] 301、DHCP中继代理加密中继代理信息选项;
[0209] DHCP服务器端和DHCP中继代理通过人工配置方式,获取密钥。
[0210] DHCP中继代理(Relay Agent)向DHCP服务器发送的请求消息时,会在请求消息中添加额外的信息,这些额外的信息帮助DHCP服务器进行地址选择和参数配置,被封装在DHCP中继代理信息选项中。本发明实施例中,DHCP中继代理使用先前通过人工配置的方式设置的密钥,并选择需求加密的额外信息的选项,DHCP中继代理对添加的额外的信息进行加密,加密的方式可以通过修改配置信息选项字段和添加修改字段的配置信息选项实现。
[0211] 在DHCP中继代理中请求消息中携带中继代理添加的额外配置信息的选项的格式如下:(额外配置信息的选项以下简称中继代理信息选项)
[0212]Code Len Data......
[0213] Code表示该中继代理信息选项的编码,Len表示该中继代理信息选项的长度,Data为该中继代理信息选项存放的数据;修改中继代理信息选项字段的中继代理信息选项格式如下:
[0214]
[0215] 添加的Flag字段标识该配置信息选项是否需要加密,Flag为0表示给配置信息选项不需要加密,Flag为1表示该配置信息选项请求加密;Key字段指示加密的密钥(可以是密钥的索引),Algorithm字段指示用于加密的算法。当用户请求对配置信息选项对应的用户敏感性信息进行加密时,在请求消息中的配置信息选项中Flag字段被设置为1。
[0216] DHCP中继代理使用索引为1的密钥对子选项7,子选项6,子选项4进行加密:DHCP中继代理向DHCP服务器转发请求消息,请求消息中插入加密的DHCP中继代理信息选项。要求加密的中继代理信息选项7、中继代理信息选项6、选项4的格式如下:
[0217]
[0218] Algorithm为加密算法;
[0219] 中继信息选项6的格式如下:
[0220]
[0221] 中继信息选项4的格式如下:
[0222]
[0223] 其中Key字段设置为1(表示使用索引为1的密钥进行加密),在此方案中子选项7、6、4可以分别使用不同的索引进行加密,对请求保护程度高的选项可以使用较长的密钥。
[0224] 添加修改字段的配置信息选项的方案如下:
[0225] 在DHCP协议中用于传送配置信息的选项的格式如下:(中继代理添加的额外的配置信息的选项以下简称中继代理信息选项)
[0226]Code Len Data......
[0227] Code表示该中继代理信息选项的编码,Len表示该中继代理信息选项的长度,Data为该中继代理信息选项存放的数据;修改中继代理信息子信息选项字段的中继代理信息选项格式如下:
[0228]Code Len Key Algorithm
C1 C2 C3 ...........
C1 C2 C3 ...........
[0229] Key字段指示加密的密钥(可以是密钥的索引),Algorithm字段指示用于加密的算法;C1,C2,C3......表示DHCP中继代理加密的中继代理信息选项的编码。
[0230] DHCP中继代理对子选项7,选项6,选项4进行加密:DHCP客户端向DHCP服务器发送请求消息,请求消息中添加上述格式的配置信息选项,其中Key字段设置为3(表示使用索引为3的密钥进行加密);此添加的配置信息选项的格式为:
[0231]Code Len 3 Algorithm
7 6 4 ...........
7 6 4 ...........
[0232] Algorithm字段中填入相应的加密算法。
[0233] 302、DHCP中继代理向DHCP服务器发送请求消息;
[0234] DHCP中继代理向DHCP服务器发送的请求消息中携带加密的中继代理信息选项。
[0235] 303、DHCP服务器向DHCP中继代理返回消息;
[0236] DHCP服务器收到请求消息后,请求消息中中继代理信息选项被加密,DHCP服务器解密中继代理信息,进行策略选择,对中继代理信息选项进行加密或者直接将请求消息中加密的中继代理信息选项复制封装到发送给DHCP中继代理的消息中。DHCP服务器向DHCP中继代理发送的消息中携带加密的中继代理信息选项。
[0237] 本发明实施例还提供DHCP消息传送的系统。
[0238] 请参阅图4是本发明实施例提供的DHCP消息传送的系统图。
[0239] DHCP客户端400,用于向DHCP服务器发送请求消息;
[0240] DHCP服务器600,用于对配置信息选项进行加密,向所述DHCP客户端发送所述配置信息选项加密的消息。
[0241] 所述DHCP客户端进一步用于在所述请求消息中标识需求加密的配置信息选项;
[0242] 所述DHCP服务器进一步对所述需求加密的配置信息选项进行加密。
[0243] 所述DHCP客户端包括:
[0244] 标识加密单元401,用于在所述请求消息中标识需求加密的配置信息选项;
[0245] 发送单元402,用于向DHCP服务器发送请求消息,所述请求消息进一步携带标识需求加密的配置信息选项;
[0246] 所述DHCP服务器包括:加密单元601,用于对配置选项进行加密,进一步对标识需求加密的配置信息选项进行加密;
[0247] 消息发送单元602,用于向DHCP客户端发送所述配置信息选项加密的消息,所述消息进一步携带标识需求加密的配置信息选项。
[0248] DHCP消息传送的系统进一步包括:
[0249] DHCP中继代理500,用于将所述DHCP客户端发送的请求消息转发到DHCP服务器,将所述DHCP服务器发送的配置信息选项加密的消息转发到DHCP客户端。
[0250] 所述DHCP中继代理进一步对中继代理信息选项进行加密。
[0251] 依旧实施例三,DHCP中继代理与DHCP客户端直接传送DHCP消息时,DHCP消息传送的系统包括:
[0252] 请参阅图5是本发明提供的DHCP中继代理与DHCP服务器间传送DHCP消息的系统图。
[0253] DHCP中继代理500,用于对中继代理信息选项进行加密,向DHCP服务器发送携带中继代理信息选项加密的请求消息;
[0254] DHCP服务器600,用于向所述DHCP中继代理返回携带中继代理信息选项加密的消息。
[0255] 以上对本发明实施例进行详细的描述,由于本发明实施例提供在配置信息请求字段中标识配置信息选项加密请求,方便用户根据每次上网需求选择不同的配置信息选项进行加密。
[0256] 进一步的,本发明实施例提供DHCP中继代理加密中继代理信息选项,加密DHCP中继代理添加的额外信息,防止中继代理添加的信息被窃取,做到用户敏感信息的全面保护。
[0257] 以上对本发明所提供的一种DHCP消息传送的方法及系统进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。