DHCP安全系統(tǒng)構架的研究.pdf

1、DHCP(Dynamic Host Configuration Protocol)．使得IP網絡地址的分配和管理變得容易。但是，DHCP協(xié)議并沒有任何抵御惡意網絡主機的設計，因此協(xié)議容易遭受多種攻擊。既然DHCP服務器對來自客戶端的DHCPDISCOVER請求不進行任何認證，入侵者可以輕易的模擬任何泄漏了身份信息的客戶端，從而竊取到DHCP服務器，獲得IP地址等配置信息，并可以對DHCP服務器進行拒絕服務器攻擊。同樣，入侵者可以模擬成一

2、個DHCP服務器，并且給客戶端發(fā)送錯誤的配置信息。當前DHCP系統(tǒng)中認證機制如此薄弱，因此，需要構建一個安全的DHCP系統(tǒng)。 本論文提出了對 DHCP協(xié)議進行擴展的E-DHCP(Extended-Dynamic HostConfi~uration Protocol)系統(tǒng)，該系統(tǒng)通過強有力的認證措施對用戶或設備實現(xiàn)嚴格的訪問控制。E-DHCP系統(tǒng)的安全功能：一方面，確保了對實體和DHCP消息的認證，另一方面，在DHCP系統(tǒng)中實現(xiàn)了

3、訪問控制。 E-DHCP系統(tǒng)為DHCP系統(tǒng)提供了全新的認證和訪問控制機制。該方案定義了一個新的DHCP選項，該選項能夠同時提供實體和消息認證。安全和訪問控制機制是基于公鑰密碼體系，X．509身份認證和屬性證書實現(xiàn)的。另外，PMI(Privilege Management Infrastructure)的功能被賦予一個新的服務器，該服務器聚合了DHCP服務器和AA(Attributes Authority)服務器。該聚合的服務器構