WO2008098453A1 - A method, system and apparatus for the dhcp message transmission - Google Patents

Description

DHCP消息传送的方法、 系统及设备

本申请要求于 2007 年 2 月 13 日提交中国专利局、 申请号为 200710079264.0、 发明名称为" DHCP消息传送的方法及系统"的中国专利申请 的优先权， 其全部内容通过引用结合在本申请中。

技术领域

本发明涉及通讯领域， 尤其涉及一种 DHCP消息传送的方法、 系统及设备。 背景技术

DHCP ( Dynamic Host Configuration Protocol, 动态主机配置协议 )消息用 于在互联网中服务器给网络中的主机分配配置信息，这些配置信息包括动态分 配的网络地址和附加的配置信息选项 （ Configuration Options ), 这些配置信息 选项包括： DNS ( Domain Name Server, 域名服务器）地址， Internet主机的物 理位置等等，这些附加的配置信息选项封装在 DHCP消息的选项（option )中， 以明文的方式进行传送。

当主机（ DHCP客户端 )进入到网络时， 首先向 DHCP服务器发送请求消 息， 寻找网络中的 DHCP服务器请求分配网络地址， 请求消息中包含了传送 附加的配置信息的选项； 网络中的 DHCP服务器收到 DHCP客户端发送的请 求消息后， 向 DHCP客户端发送分配网络地址和附加配置信息选项的消息， 附加的配置信息被封装在消息中的配置信息选项中传送； 当 DHCP客户端与 DHCP服务器不在同一个网段时， 在 DHCP客户端与 DHCP服务器之间会存 在 DHCP 中继代理（DHCP Relay Agent ); DHCP客户端将请求消息发送到 DHCP中继代理， DHCP中继代理收到 DHCP客户端发送的请求消息后， 添加 额外的信息帮助 DHCP服务器进行地址选择和参数配置， 这些额外的信息被 封装到请求消息中称为中继代理信息选项，这些额外信息分别存放在不同的中 继代理信息选项中； DHCP中继代理在请求消息中添加额外的信息后， 会将请 求消息转发到 DHCP服务器； DHCP服务器向 DHCP中继代理返回携带额外 信息和网络地址以及附加的配置信息选项的消息， DHCP中继代理将包含网络 地址和附加的配置信息选项的消息发送到 DHCP客户端；在某些情况下， DHCP 中继代理会向 DHCP服务器发送 DHCP请求消息更新 DHCP中继代理上存储 的信息， 该请求消息中携带 DHCP中继代理添加的中继代理信息选项， DHCP 服务器根据 DHCP中继代理发送的请求消息， 向 DHCP中继代理返回携带中 继代理信息选项的消息。

DHCP服务器传送的附加的配置信息选项中有各种各样的配置信息，其中 不乏一些用户敏感性的信息， 例如： 用户的物理位置， 每个配置信息选项中对 应一个用户敏感信息； DHCP中继代理在转发请求消息时， 也会添加一些用户 敏感性信息， 例如： 认证信息， 并将其传送给 DHCP服务器。 这些用户敏感 信息在配置信息选项中以明文的方式传送，在传送的过程中极易被窃取， 用户 敏感信息的私密性无法得到保证。

发明内容

本发明实施例提供一种 DHCP 消息传送的方法、 系统及设备， 以保证

DHCP消息中携带的信息的安全性。

本发明实施例是通过以下技术方案实现的， 本发明提供一种 DHCP 消息 传送的方法， 包括：

动态主机配置协议 DHCP服务器接收 DHCP客户端的请求消息； 对配置信息选项进行加密；

将包含加密的配置信息选项的消息返回给所述 DHCP客户端。

本发明还提供一种 DHCP消息传送的方法， 包括：

DHCP中继代理对中继代理信息选项进行加密；

所述 DHCP中继代理向 DHCP服务器发送包含加密的中继代理信息选项 的请求消息；

所述 DHCP服务器处理所述中继代理信息选项。

本发明还提供一种 DHCP消息传送的系统， 包括：

DHCP客户端和 DHCP服务器； 所述 DHCP客户端包括发送单元， 用于 向 DHCP服务器发送请求消息； 所述 DHCP服务器， 用于接收所述请求消息， 对配置信息选项进行加密， 并将包含加密的配置信息选项的消息返回给所述 DHCP客户端。

本发明还提供一种 DHCP消息传送的系统， 包括：

DHCP中继代理，用于对中继代理信息选项进行加密，并向 DHCP服务器 发送携带包含加密的中继代理信息选项的请求消息； DHCP服务器， 用于处理所述中继代理信息选项。

本发明还提供一种 DHCP服务器， 包括：

加密单元， 用于对配置选项进行加密；

消息发送单元， 用于发送包含加密的所述配置信息选项的消息。

由以上技术方案可以看出， 由于本发明实施例的 DHCP服务器端接收到

DHCP 客户端发送的请求消息后， 会根据配置将配置信息选项加密返回给 DHCP客户端， 实现用户敏感性信息的加密传送， 保证了用户敏感信息在网络 上安全传送。

附图说明

图 1是本发明实施例提供的 DHCP客户端与 DHCP服务器之间 DHCP消 息传送的方法的流程图；

图 2是本发明实施例提供的 DHCP客户端与 DHCP服务器之间存在 DHCP 中继代理的 DHCP消息传送的方法的流程图；

图 3是本发明实施例提供的 DHCP中继代理与 DHCP服务器之间 DHCP 消息传送的系统结构图；

图 4是本发明实施例提供的 DHCP消息传送的系统结构图；

图 5是本发明提供的 DHCP中继代理与 DHCP服务器间传送 DHCP消息 的系统结构图。

具体实施方式

本发明实施例提供一种 DHCP消息传送的方法及系统， 保证 DHCP消息 中用户敏感性信息的安全传送。

如下阐述本发明详细的实施例。

实施例一： DHCP客户端与 DHCP服务器之间直接进行 DHCP消息传送 的方法实施例；

请参阅图 1，是本发明实施例提供的 DHCP客户端与 DHCP服务器之间传 送 DHCP消息的方法流程图。

DHCP客户端和 DHCP服务器端可以通过人工配置方式，获得客户端和服 务器端的密钥， 客户端和服务器端釆用相同的加密算法。

101、 DHCP客户端向 DHCP服务器发送请求消息； 在此请求消息中， DHCP客户端可以选择标识要求加密的配置信息选项。 标识配置信息选项加密请求可以通过修改配置信息选项字段和添加修改字段 的配置信息选项实现。

( 1 )修改配置信息选项中字段的方案如下：

在 DHCP协议中用于传送配置信息的选项的格式如下： (配置信息的选项 以下简称配置信息选项）

Code Len Data.

其中， Code表示该配置信息选项的编码， Len表示该配置信息选项的长 度， Data为该配置信息选项存放的数据；

修改配置信息选项字段后的配置信息选项格式如下：

添加的 Flag字段标识该配置信息选项是否需要加密， 比如， Flag为 0表 示给配置信息选项不需要加密， Flag为 1表示该配置信息选项请求加密； Key 字段指示加密的密钥（可以是密钥的索引 ) , Algorithm字段指示用于加密的算 法。 当用户请求对配置信息选项对应的用户敏感性信息进行加密时，在请求消 息中的配置信息选项中 Flag字段被设置为 1。

DHCP客户端要求 DHCP服务器在返回配置信息选项时对选项 123、选项 77、 以及选项 67进行加密： DHCP客户端向 DHCP服务器发送请求消息， 请 求消息中要求加密的配置信息选项 123、 选项 77、 以及选项 67的格式如下， 其中， Algorithm为力。密算法。

配置信息选项 123的格式如下：

配置信息选项 77的格式如下:

配置信息选项 67的格式如下: 67 Len 1 Algorithm

0 Data

( 2 )添加修改字段的配置信息选项的方案如下：

在 DHCP协议中用于传送配置信息的选项的格式如下：

Code Len Data 其中， Code表示该配置信息选项的编码， Len表示该配置信息选项的长 度， Data为该配置信息选项存放的数据； 修改配置信息选项字段的配置信息 选项格式如下：

Key字段指示加密的密钥 （可以是密钥的索引或密钥的标识）， Algorithm 字段指示用于加密的算法； CI , C2, C3... ...表示 DHCP客户端请求在 DHCP 应答时加密的配置信息选项的编码。

DHCP客户端需求 DHCP服务器在返回配置信息选项时，对选项 123、选 项 77、 以及选项 67进行加密： DHCP客户端向 DHCP服务器发送请求消息， 请求消息中添加上述格式的配置信息选项， 其中 Key字段设置为 0 (表示不指 定加密密钥）； 此添加的配置信息选项的格式为：

Algorithm字段中填入相应的加密算法。

102、 DHCP服务器对配置信息选项进行加密；

DHCP服务器收到 DHCP客户端发送的请求消息后， 若 DHCP客户端用 户没有选择标识要求加密的配置信息选项， 则 DHCP服务器根据先前用户在 DHCP服务器上设置的需要加密的配置信息选项，对需要加密的配置信息选项 进行加密； 若 DHCP客户端用户选择标识要求加密的配置信息选项，则 DHCP 服务器根据先前用户在 DHCP服务器上设置的需要加密的配置信息选项， 同 时将 DHCP客户端用户选择标识需求加密的配置信息选项加密。

具体加密的过程如下：

DHCP服务器收到 DHCP客户端发送的请求消息后， DHCP服务器上先前 用户设置对选项 22、 23、 34进行加密； 使用索引为 2的密钥对选项 22、 23、 34进行加密；

釆用修改配置信息选项中字段的方案， DHCP服务器返回的配置信息选项 加密的消息中配置信息选项的格式如下， 其中， Algorithm为加密算法。

配置信息选项 22的格式如下:

配置信息选项 23的格式如下:

配置信息选项 34的格式如下:

其中 Key字段设置为 2 (表示使用索引为 2的密钥进行加密）， 在此方案 中， 选项 22、 23、 34可以分别使用不同的索引进行加密， 对请求保护程度高 的选项可以使用较长的密钥。

使用添加修改字段的配置信息选项的方案， DHCP服务器向 DHCP客户端 返回的消息中配置信息选项为加密了的配置信息选项； 如下：

其中 Key字段设置为 3 (表示使用索引为 3的密钥进行加密）， 此方案中， 选项 22、 选项 23、 选项 34使用相同的密钥进行加密， 即在同一个添加修改字 段的配置信息选项中加密的配置信息选项使用相同的密钥加密；其他使用另外 加密密钥的选项可以另外增加修改字段的配置信息选项， 使用另外的密钥。

若 DHCP客户端用户选择标识要求加密的配置信息选项， DHCP服务器同 时对请求消息中标识要求加密的配置信息选项进行加密，如步骤 101中请求加 密的配置信息选项。 DHCP服务器使用索引为 2的密钥对选项 123、 选项 77、 以及选项 67进行加密： DHCP服务器向 DHCP客户端发送消息， 其中携带了 对步骤 101中请求加密的选项的加密信息。 釆用修改配置信息选项中字段的方案， DHCP服务器返回的配置信息选项 加密的消息中配置信息选项的格式如下， 其中， Algorithm为加密算法。

配置信息选项 123的格式如下:

配置信息选项 77的格式如下:

配置信息选项 67的格式如下:

其中 Key字段设置为 2 (表示使用索引为 2的密钥进行加密）， 在此方案 中选项 123、 77、 67可以分别使用不同的索引进行加密， 对请求保护程度高的 选项可以使用较长的密钥。

使用添加修改字段的配置信息选项的方案， DHCP服务器向 DHCP客户端 返回的消息中配置信息选项的添加了加密的配置信息选项； 如下：

其中 Key字段设置为 3 (表示使用索引为 3的密钥进行加密）， 此方案中， 选项 123、 选项 77、 选项 67使用相同的密钥进行加密， 即在同一个添加修改 字段的配置信息选项中加密的配置信息选项使用相同的密钥加密；其他使用另 外加密密钥的选项可以另外增加修改字段的配置信息选项， 使用另外的密钥。

103、 DHCP服务器向 DHCP客户端返回消息；

至此， 完成 DHCP消息中用户敏感性信息的加密传送。

当 DHCP客户端与 DHCP服务器不在同一个网段时， 在 DHCP客户端与 DHCP服务器之间会存在 DHCP中继代理。

实施例二， DHCP客户端与 DHCP服务器之间存在 DHCP 中继代理的 DHCP消息传送的方法实施例。

请参阅图 2,是本发明实施例提供的 DHCP客户端与 DHCP服务器之间存 在 DHCP中继代理的 DHCP消息传送的方法流程图；

DHCP客户端和 DHCP服务器端通过人工配置方式，获得客户端和服务器 端的密钥， 客户端和服务器端釆用相同的加密算法。

201、 DHCP客户端向 DHCP中继代理发送请求消息；

在此请求消息中， DHCP客户端可以选择标识要求加密的配置信息选项。 标识配置信息选项加密请求可以通过修改配置信息选项字段和添加修改字段 的配置信息选项实现。

( 1 )修改配置信息选项中字段的方案如下：

在 DHCP协议中用于传送配置信息的选项的格式如下： (配置信息的选项 以下简称配置信息选项）

Code Len Data.

其中， Code表示该配置信息选项的编码， Len表示该配置信息选项的长 度， Data为该配置信息选项存放的数据。

修改配置信息选项字段后的配置信息选项格式如下：

添加的 Flag字段标识该配置信息选项是否需要加密， 比如， Flag为 0表 示给配置信息选项不需要加密， Flag为 1表示该配置信息选项请求加密； Key 字段指示加密的密钥（可以是密钥的索引或是密钥的标识）， Algorithm字段指 示用于加密的算法。当用户请求对配置信息选项对应的用户敏感性信息进行加 密时， 在请求消息中的配置信息选项中 Flag字段被设置为 1。

DHCP客户端要求 DHCP服务器在返回配置信息选项时，对选项 123、选 项 77、 以及选项 67进行加密： DHCP客户端向 DHCP服务器发送请求消息， 请求消息中要求加密的配置信息选项 123、 选项 77、 选项 67 的格式如下， Algorithm为力 o密算法；

配置信息选项 123的格式如下：

配置信息选项 77的格式如下: 77 Len 1 Algorithm

0 Data

配置信息选项 67的格式如下:

( 2 )添加修改字段的配置信息选项的方案如下：

在 DHCP协议中用于传送配置信息的选项的格式如下： (配置信息的选项 以下简称配置信息选项）

Code Len Data.

其中， Code表示该配置信息选项的编码， Len表示该配置信息选项的长 度， Data为该配置信息选项存放的数据；

修改配置信息选项字段后的配置信息选项格式如下：

Key字段指示加密的密钥（可以是密钥的索引或密钥标识）， Algorithm字 段指示用于加密的算法； CI , C2, C3... ...表示 DHCP客户端请求在 DHCP应 答时加密的配置信息选项的编码。

DHCP客户端需求 DHCP服务器在返回配置信息选项时，对选项 123、选 项 77、 以及选项 67进行加密： DHCP客户端向 DHCP服务器发送请求消息， 请求消息中添加上述格式的配置信息选项， 其中 Key字段设置为 0 (表示不指 定加密密钥）； 此添加的配置信息选项的格式为：

Algorithm字段中填入相应的加密算法。

202、 DHCP中继代理加密中继代理信息选项；

DHCP服务器端和 DHCP中继代理通过人工配置方式，获得客户端和服务 端的密钥。

DHCP中继代理 ( Relay Agent )收到 DHCP客户端发送的请求消息后， 会 在请求消息中添加额外的信息， 这些额外的信息帮助 DHCP服务器进行地址 选择和参数配置， 被封装在 DHCP 中继代理信息选项中。 本发明实施例中， DHCP中继代理使用先前通过人工配置的方式设置的密钥，并选择要求加密的 额外信息的选项， DHCP中继代理对添加的额外的信息进行加密， 加密的方式 可以通过修改配置信息选项字段和添加修改字段的配置信息选项来实现。

在 DHCP 中继代理的请求消息中携带中继代理添加的额外配置信息的选 项的格式如下： （额外配置信息的选项以下简称中继代理信息选项）

Code Len Data. 其中， Code表示该中继代理信息选项的编码， Len表示该中继代理信息 选项的长度， Data为该中继代理信息选项存放的数据；

添加的 Flag字段标识该配置信息选项是否需要加密， 比如， Flag为 0表 示给配置信息选项不需要加密， Flag为 1表示该配置信息选项请求加密； Key 字段指示加密的密钥（可以是密钥的索引 ) , Algorithm字段指示用于加密的算 法。 当用户请求对配置信息选项对应的用户敏感性信息进行加密时，在请求消 息中的配置信息选项中 Flag字段被设置为 1。

DHCP 中继代理使用索引为 1的密钥对子选项 7、 子选项 6、 以及子选项 4进行加密： DHCP 中继代理向 DHCP服务器转发请求消息，请求消息中插入 加密的 DHCP中继代理信息选项。要求加密的中继代理信息选项 7、 中继代理 信息选项 6、 选项 4的格式如下， 其中， Algorithm为加密算法；

中继信息选项 7的格式如下：

中继信息选项 6的格式如下:

中继信息选项 4的格式如下: 4 Len 1 Algorithm

1 Data

其中 Key字段设置为 1 (表示使用索引为 1的密钥进行加密）， 在此方案 中子选项 7、 6、 4可以分别使用不同的索引进行加密， 对请求保护程度高的选 项可以使用较长的密钥。

添加修改字段的配置信息选项的方案如下：

在 DHCP协议中用于传送配置信息的选项的格式如下： (中继代理添加的 额外的配置信息的选项以下简称中继代理信息选项）

Code Len Data.

Code表示该中继代理信息选项的编码， Len表示该中继代理信息选项的 长度， Data为该中继代理信息选项存放的数据；

修改中继代理信息子信息选项字段后的中继代理信息选项格式如下：

Key字段指示加密的密钥（可以是密钥的索引）， Algorithm字段指示用于 加密的算法； CI , C2, C3... ...表示 DHCP中继代理加密的中继代理信息选项 的编码。

DHCP中继代理对子选项 7、 6、 4进行加密： DHCP客户端向 DHCP服 务器发送请求消息， 请求消息中添加上述格式的配置信息选项， 其中 Key字 段设置为 3 (表示使用索引为 3 的密钥进行加密）； 此添加的配置信息选项的 格式为：

Algorithm字段中填入相应的加密算法。

203、 DHCP中继代理向 DHCP服务器发送请求消息；

DHCP 中继代理向 DHCP服务器发送的请求消息中增加了中继代理信息 选项， 若 DHCP 中继代理对中继代理信息选项进行了加密， 则中继代理向 DHCP服务器发送的请求消息中携带加密的中继代理信息选项。 中继代理在请求消息中插入加密的中继代理信息选项后向 DHCP服务器 转发该请求消息。

204、 DHCP服务器对配置信息选项进行加密；

DHCP服务器收到 DHCP中继代理发送的请求消息后， 若 DHCP客户端 用户没有选择标识要求加密的配置信息选项， 则 DHCP服务器根据先前用户 在 DHCP服务器上设置的需要加密的配置信息选项， 对需要加密的配置信息 选项进行加密； 若 DHCP客户端用户选择标识需求加密的配置信息选项， 则 DHCP服务器根据先前用户在 DHCP服务器上设置的需要加密的配置信息选 项， 同时将 DHCP客户端用户选择标识要求加密的配置信息选项加密。

若请求消息中， 中继代理信息选项被加密， DHCP服务器对中继代理信息 选项解密， 保存中继代理信息选项供地址选择和参数配置所用。

DHCP服务器收到 DHCP客户端发送的请求消息后， DCHP服务器上先前 用户设置对选项 22、 23、 34进行加密； 使用索引为 2的密钥对选项 22、 23、 34进行加密；

釆用修改配置信息选项中字段的方案， DHCP服务器返回的配置信息选项 加密的消息中配置信息选项的格式如下， Algorithm为加密算法；

配置信息选项 22的格式如下:

配置信息选项 23的格式如下:

配置信息选项 34的格式如下:

其中 Key字段设置为 2 (表示使用索引为 2的密钥进行加密）， 在此方案 中选项 22、 23、 34可以分别使用不同的索引进行加密， 对请求保护程度高的 选项可以使用较长的密钥。

使用添加修改字段的配置信息选项的方案， DHCP服务器向 DHCP客户端 返回的消息中配置信息选项的添加了加密的配置信息选项； 如下:

其中 Key字段设置为 3 (表示使用索引为 3的密钥进行加密）， 此方案中， 选项 22、 选项 23、 选项 34使用相同的密钥进行加密， 即在同一个添加修改字 段的配置信息选项中加密的配置信息选项使用相同的密钥加密；其他使用另外 加密密钥的选项可以另外增加修改字段的配置信息选项， 使用另外的密钥。

若 DHCP客户端用户选择标识要求加密的配置信息选项， DHCP服务器同 时对请求消息中标识要求加密的配置信息选项进行加密，如步骤 101中请求加 密的配置信息选项。 DHCP服务器使用索引为 2的密钥对选项 123、 选项 77、 以及选项 67进行加密： DHCP服务器通过 DHCP中继代理向 DHCP客户端发 送消息， 其中携带了对步骤 201中请求加密的选项的加密信息。

釆用修改配置信息选项中字段的方案， DHCP服务器返回的配置信息选项 加密的消息中配置信息选项的格式如下， Algorithm为加密算法；

配置信息选项 123的格式如下:

配置信息选项 77的格式如下:

配置信息选项 67的格式如下:

其中 Key字段设置为 2 (表示使用索引为 2的密钥进行加密）， 在此方案 中， 选项 123、 77、 67可以分别使用不同的索引进行加密， 对请求保护程度高 的选项可以使用较长的密钥。

使用添加修改字段的配置信息选项的方案， DHCP服务器向 DHCP客户端 返回的消息中配置信息选项为加密了的配置信息选项； 如下： Code Len 3 Algorithm

123 77 67

其中 Key字段设置为 3 (表示使用索引为 3的密钥进行加密）， 此方案中， 选项 123、 选项 77、 选项 67使用相同的密钥进行加密， 即在同一个添加修改 字段的配置信息选项中加密的配置信息选项使用相同的密钥加密；其他使用另 外加密密钥的选项可以另外增加修改字段的配置信息选项， 使用另外的密钥。

DHCP服务器收到请求消息后， 请求消息中中继代理信息选项被加密， DHCP服务器解密中继代理信息， 进行策略选择， 对中继代理信息选项进行加 密或者直接将请求消息中加密的中继代理信息选项复制封装到发送给 DHCP 中继代理的消息中。

DHCP服务器加密中继代理信息选项的加密过程如下：

DHCP服务器使用索引为 1的密钥对子选项 7、 子选项 6、 以及子选项 4 进行加密： 要求加密的中继代理信息选项 7、 选项 6、 选项 4的格式如下， 其 中， Algorithm为力。密算法；

中继信息子选项 7的格式如下:

中继信息子选项 6的格式如下:

中继信息子选项 4的格式如下:

其中 Key字段设置为 1 (表示使用索引为 1的密钥进行加密）， 在此方案 中子选项 7、 6、 4可以分别使用不同的索引进行加密， 对请求保护程度高的选 项可以使用较长的密钥。

添加修改字段的配置信息选项的方案如下：

在 DHCP协议中用于传送配置信息的选项的格式如下： (中继代理添加的 额外的配置信息的选项以下简称中继代理信息选项） Sub-Code Len Data.

Code表示该中继代理信息选项的编码， Len表示该中继代理信息选项的 长度， Data为该中继代理信息选项存放的数据；

修改中继代理信息子信息选项字段后的中继代理信息选项格式如下：

Key字段指示加密的密钥（可以是密钥的索引）， Algorithm字段指示用于 加密的算法； CI , C2, C3... ...表示 DHCP中继代理加密的中继代理信息选项 的编码。

其中 Key字段设置为 3 (表示使用索引为 3的密钥进行加密）； 此添加的 配置信息选项的格式为：

Algorithm字段中填入相应的加密算法。

205、 DHCP服务器向 DHCP中继代理返回消息；

206、 DHCP中继代理将消息转发到 DHCP客户端；

DHCP 中继代理收到 DHCP服务器发送的消息后， 提取中继代理信息选 项， 将消息转发到 DHCP客户端， 即 DHCP中继代理发送给 DHCP客户端的 消息中不携带中继代理信息选项。

至此， 完成 DHCP客户端与 DHCP服务器端之间存在 DHCP中继代理的 情况下的用户敏感性信息的加密传送。

在某些情况下， DHCP中继代理会向 DHCP服务器发送 DHCP请求消息， 以更新 DHCP中继代理上存储的信息， 该请求消息中携带 DHCP中继代理添 加的中继代理信息选项， DHCP服务器根据 DHCP中继代理发送的请求消息， 处理该请求消息， 比如解密该请求消息中携带的 DHCP 中继代理信息选项， 或向 DHCP中继代理返回携带中继代理信息选项的消息。

实施例三， DHCP中继代理与 DHCP服务器之间 DHCP消息传送的方法。 请参阅图 3 ,是本发明实施例提供的 DHCP中继代理与 DHCP服务器之间 DHCP消息传送的方法的流程图。

301、 DHCP中继代理加密中继代理信息选项；

DHCP服务器端和 DHCP中继代理通过人工配置方式获取密钥。

DHCP中继代理（Relay Agent )向 DHCP服务器发送请求消息时， 会在请 求消息中添加额外的信息， 这些额外的信息帮助 DHCP服务器进行地址选择 和参数配置， 被封装在 DHCP中继代理信息选项中。 本发明实施例中， DHCP 中继代理使用先前通过人工配置的方式设置的密钥，并选择要求加密的额外信 息的选项， DHCP中继代理对添加的额外的信息进行加密， 加密的方式可以通 过修改配置信息选项字段和添加修改字段的配置信息选项实现。

在 DHCP 中继代理中请求消息中携带中继代理添加的额外配置信息的选 项的格式如下： （额外配置信息的选项以下简称中继代理信息选项）

Code Len Data. 其中， Code表示该中继代理信息选项的编码， Len表示该中继代理信息 选项的长度， Data为该中继代理信息选项存放的数据；

添加的 Flag字段标识该配置信息选项是否需要加密， 比如， Flag为 0表 示给配置信息选项不需要加密， Flag为 1表示该配置信息选项请求加密； Key 字段指示加密的密钥（可以是密钥的索引 ) , Algorithm字段指示用于加密的算 法。 当用户请求对配置信息选项对应的用户敏感性信息进行加密时，在请求消 息中的配置信息选项中 Flag字段被设置为 1。

DHCP 中继代理使用索引为 1的密钥对子选项 7、 子选项 6、 以及子选项 4进行加密： DHCP 中继代理向 DHCP服务器转发请求消息，请求消息中插入 加密的 DHCP中继代理信息选项。 要求加密的中继代理信息选项 7、 选项 6、 选项 4的格式如下， 其中， Algorithm为加密算法；

中继信息选项 7的格式如下：

7 Len 1 Algorithm

1 Data 中继信息选项 6的格式如下:

中继信息选项 4的格式如下:

其中 Key字段设置为 1 (表示使用索引为 1的密钥进行加密）， 在此方案 中子选项 7、 6、 4可以分别使用不同的索引进行加密， 对请求保护程度高的选 项可以使用较长的密钥。

添加修改字段的配置信息选项的方案如下：

在 DHCP协议中用于传送配置信息的选项的格式如下： (中继代理添加的 额外的配置信息的选项以下简称中继代理信息选项）

Code Len Data.

其中， Code表示该中继代理信息选项的编码， Len表示该中继代理信息 选项的长度， Data为该中继代理信息选项存放的数据；

修改中继代理信息子信息选项字段后的中继代理信息选项格式如下：

Key字段指示加密的密钥（可以是密钥的索引）， Algorithm字段指示用于 加密的算法； CI , C2, C3... ...表示 DHCP中继代理加密的中继代理信息选项 的编码。

DHCP中继代理对子选项 7、 选项 6、 以及选项 4进行加密： DHCP客户 端向 DHCP服务器发送请求消息， 请求消息中添加上述格式的配置信息选项， 其中 Key字段设置为 3 (表示使用索引为 3的密钥进行加密）； 此添加的配置 信息选项的格式为：

上述 Algorithm字段中填入相应的加密算法 _t 302、 DHCP中继代理向 DHCP服务器发送请求消息； 在该请求消息中携 带加密的中继代理信息选项。

303、 DHCP服务器向 DHCP中继代理返回消息；

DHCP服务器收到请求消息后， 请求消息中中继代理信息选项被加密， DHCP服务器解密中继代理信息， 进行策略选择， 对中继代理信息选项进行加 密或者直接将请求消息中加密的中继代理信息选项复制封装到发送给 DHCP 中继代理的消息中。 DHCP服务器向 DHCP中继代理发送的消息中携带加密的 中继代理信息选项。

本发明实施例还提供 DHCP消息传送的系统。

请参阅图 4, 是本发明实施例提供的 DHCP消息传送的系统结构图。 该系 统包括：

DHCP客户端 400, 用于向 DHCP服务器发送请求消息；

DHCP服务器 600, 用于对配置信息选项进行加密， 并向所述 DHCP客户 端 400发送所述配置信息选项加密的消息。

DHCP客户端 400进一步用于在所述请求消息中标识要求加密的配置信息 选项；

DHCP服务器 600进一步对所述要求加密的配置信息选项进行加密。 DHCP客户端 400包括：

标识加密单元 401 , 用于在所述请求消息中标识要求加密的配置信息选项； 发送单元 402 , 用于向 DHCP服务器 600发送请求消息， 所述请求消息进 一步携带标识要求加密的配置信息选项；

DHCP服务器 600包括：

加密单元 601 , 用于对配置选项进行加密， 进一步对标识需求加密的配置 信息选项进行加密；

消息发送单元 602,用于向 DHCP客户端 400发送所述配置信息选项加密 的消息， 所述消息进一步携带标识要求加密的配置信息选项。

该 DHCP消息传送的系统还可进一步包括：

DHCP中继代理 500, 用于将 DHCP客户端 400发送的请求消息转发到 DHCP服务器 600,将 DHCP服务器 600发送的配置信息选项加密的消息转发 到 DHCP客户端 400。

DHCP中继代理 500还可进一步对中继代理信息选项进行加密。

请参阅图 5 , 是本发明提供的 DHCP 中继代理与 DHCP服务器间传送 DHCP消息的系统结构图。 该系统包括：

DHCP中继代理 500 , 用于对中继代理信息选项进行加密， 向 DHCP服务 器 600发送携带中继代理信息选项加密的请求消息；

DHCP服务器 600, 用于处理所述加密的中继代理信息选项。

该实施例中的 DHCP服务器包括： 解密单元， 用于对所述加密的中继代 理信息选项进行解密； 信息获取单元， 用于根据所述解密单元的解密结果， 获 得所述中继代理信息选项。

本发明实施例还提供了一种 DHCP服务器， 包括： 加密单元和消息发送 单元， 还可进一步包括： 消息接收单元。 其中， 加密单元用于对配置选项进行 加密； 消息发送单元用于发送包含加密的所述配置信息选项的消息； 消息接收 单元用于接收请求消息， 所述请求消息中携带标识要求加密的配置信息选项。 这样，在消息接收单元接收到的请求消息中如果携带了标识要求加密的配置信 息选项， 则所述加密单元只对该消息中标识要求加密的配置信息选项进行加 密。 另夕卜， 所述消息发送单元向所述 DHCP客户端或 DHCP中继代理发送的 消息中也可进一步携带标识要求加密的配置信息选项。

以上对本发明实施例进行详细的描述，由于本发明实施例提供在配置信息 请求字段中标识配置信息选项加密请求，方便用户根据每次上网需求选择不同 的配置信息选项进行加密。

进一步的， 本发明实施例提供 DHCP 中继代理加密中继代理信息选项， 加密 DHCP 中继代理添加的额外信息， 防止中继代理添加的信息被窃取， 做 到用户敏感信息的全面保护。

以上对本发明所提供的一种 DHCP 消息传送的方法及系统进行了详细介 例的说明只是用于帮助理解本发明的方法及其核心思想； 同时，对于本领域的 一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变 之处， 综上所述， 本说明书内容不应理解为对本发明的限制。

Claims

权 利 要 求

1、 一种 DHCP消息传送的方法， 其特征在于， 包括：

动态主机配置协议 DHCP服务器接收 DHCP客户端的请求消息； 对配置信息选项进行加密；

将包含加密的配置信息选项的消息返回给所述 DHCP客户端。

2、 根据权利要求 1所述的 DHCP消息传送的方法， 其特征在于， 所述请 求消息中标识要求加密的配置信息选项；

所述对配置信息选项进行加密包括：

对所述请求消息中标识了要求加密的配置信息选项进行加密。

3、 根据权利要求 2所述的 DHCP消息传送的方法， 其特征在于， 按照以 下方式在所述请求消息中标识要求加密的配置信息选项：

修改 DHCP消息中的配置信息选项格式； 或者

在 DHCP消息中添加新的配置选项。

4、根据权利要求 2所述的 DHCP消息传送的方法，其特征在于，在 DHCP 客户端与 DHCP服务器之间存在 DHCP中继代理时所述方法还包括：

通过 DHCP中继代理转发所述 DHCP客户端和所述 DHCP服务器之间传 送的消息。

5、 根据权利要求 1至 4任一项所述的 DHCP消息传送的方法， 其特征在 于， 所述 DHCP服务器向所述 DHCP客户端返回的消息中进一步携带标识要 求加密的配置信息选项。

6、 根据权利要求 1至 4任一项所述的 DHCP消息传送的方法， 其特征在 于， 所述方法还包括：

所述 DHCP客户端对所述加密的配置信息选项进行解密， 获得所述配置 信息选项。

7、 一种 DHCP消息传送的方法， 其特征在于， 包括：

DHCP中继代理对中继代理信息选项进行加密；

所述 DHCP中继代理向 DHCP服务器发送包含加密的中继代理信息选项 的请求消息；

所述 DHCP服务器处理所述加密的中继代理信息选项。

8、 根据权利要求 7 所述的 DHCP 消息传送的方法， 其特征在于， 所述 DHCP服务器处理所述加密的中继代理信息选项包括：

所述 DHCP服务器对所述加密的中继代理信息选项进行解密， 获得所述 中继代理信息选项。

9、 一种 DHCP消息传送的系统， 包括： DHCP客户端和 DHCP服务器； 所述 DHCP客户端包括发送单元， 用于向 DHCP服务器发送请求消息； 其特 征在于，

所述 DHCP服务器， 用于接收所述请求消息， 对配置信息选项进行加密， 并将包含加密的配置信息选项的消息返回给所述 DHCP客户端。

10、 根据权利要求 9所述的 DHCP消息传送的系统， 其特征在于， 所述

DHCP服务器包括：

消息接收单元， 用于接收所述请求消息；

加密单元， 用于对所述配置选项进行加密；

消息发送单元， 用于向所述 DHCP客户端发送包含加密的所述配置信息 选项的消息。

11、 根据权利要求 10所述的 DHCP消息传送的系统， 其特征在于， 所述 DHCP客户端进一步包括：

标识加密单元，用于在所述发送单元发送的请求消息中标识要求加密的配 置信息选项；

所述加密单元对所述消息接收单元接收的消息中标识要求加密的配置信 息选项进行加密； 所述消息发送单元向所述 DHCP客户端发送的消息中进一 步携带标识要求加密的配置信息选项。

12、 根据权利要求 9或 10或 11所示的 DHCP消息传送的系统， 其特征 在于， 所述系统进一步包括：

DHCP中继代理， 用于转发所述 DHCP客户端与所述 DHCP服务器之间 传送的消息。

13、 一种 DHCP消息传送的系统， 其特征在于， 包括：

DHCP中继代理，用于对中继代理信息选项进行加密，并向 DHCP服务器 发送携带包含加密的中继代理信息选项的请求消息； DHCP服务器， 用于处理所述加密的中继代理信息选项。

14、 根据权利要求 13所述的 DHCP消息传送的系统， 其特征在于， 所述 DHCP服务器包括：

解密单元， 用于对所述加密的中继代理信息选项进行解密；

信息获取单元， 用于根据所述解密单元的解密结果， 获得所述中继代理信 息选项。

15、 一种 DHCP服务器， 其特征在于， 包括：

加密单元， 用于对配置选项进行加密；

消息发送单元， 用于发送包含加密的所述配置信息选项的消息。

16、 根据权利要求 15所述的 DHCP服务器， 其特征在于， 进一步包括： 消息接收单元， 用于接收请求消息， 所述请求消息中携带标识要求加密的 配置信息选项；

所述加密单元对所述消息接收单元接收的消息中标识要求加密的配置信 息选项进行加密；

所述消息发送单元向发送的消息中进一步携带标识要求加密的配置信息 选项。