DHCP安全系統(tǒng)構(gòu)架的研究.pdf

1、DHCP(Dynamic Host Configuration Protocol)．使得IP網(wǎng)絡(luò)地址的分配和管理變得容易。但是，DHCP協(xié)議并沒有任何抵御惡意網(wǎng)絡(luò)主機(jī)的設(shè)計(jì)，因此協(xié)議容易遭受多種攻擊。既然DHCP服務(wù)器對(duì)來(lái)自客戶端的DHCPDISCOVER請(qǐng)求不進(jìn)行任何認(rèn)證，入侵者可以輕易的模擬任何泄漏了身份信息的客戶端，從而竊取到DHCP服務(wù)器，獲得IP地址等配置信息，并可以對(duì)DHCP服務(wù)器進(jìn)行拒絕服務(wù)器攻擊。同樣，入侵者可以模擬成一

2、個(gè)DHCP服務(wù)器，并且給客戶端發(fā)送錯(cuò)誤的配置信息。當(dāng)前DHCP系統(tǒng)中認(rèn)證機(jī)制如此薄弱，因此，需要構(gòu)建一個(gè)安全的DHCP系統(tǒng)。 本論文提出了對(duì) DHCP協(xié)議進(jìn)行擴(kuò)展的E-DHCP(Extended-Dynamic HostConfi~uration Protocol)系統(tǒng)，該系統(tǒng)通過(guò)強(qiáng)有力的認(rèn)證措施對(duì)用戶或設(shè)備實(shí)現(xiàn)嚴(yán)格的訪問控制。E-DHCP系統(tǒng)的安全功能：一方面，確保了對(duì)實(shí)體和DHCP消息的認(rèn)證，另一方面，在DHCP系統(tǒng)中實(shí)現(xiàn)了

3、訪問控制。 E-DHCP系統(tǒng)為DHCP系統(tǒng)提供了全新的認(rèn)證和訪問控制機(jī)制。該方案定義了一個(gè)新的DHCP選項(xiàng)，該選項(xiàng)能夠同時(shí)提供實(shí)體和消息認(rèn)證。安全和訪問控制機(jī)制是基于公鑰密碼體系，X．509身份認(rèn)證和屬性證書實(shí)現(xiàn)的。另外，PMI(Privilege Management Infrastructure)的功能被賦予一個(gè)新的服務(wù)器，該服務(wù)器聚合了DHCP服務(wù)器和AA(Attributes Authority)服務(wù)器。該聚合的服務(wù)器構(gòu)