DHCP技术规范

1、电视上网copyright? 2009 电视上网 dhcp 接入技术规范v1.0 2009 年 3 月电视上网copyright? 2009 概述本文档定义了电视上网dhcp 接入规范。电视上网copyright? 2009 2. dhcp协议流程 2.1. dhcp 包交互流程 时序图如下： 流程描述： (1) 机顶盒开机即检测本机存储中是否有接入层户名及密码，如果没有，则提示要求输入，如果有，则将接入层用户名及密码加密后封装进 dhcp discover包中的 option 60字段里。 (2) 机顶盒将 dhcp 的 discover 包广播出去，申请地址；中间的网络设备将会捕捉到 dh

2、cp discover 报文，并向里添加相应的option82 信息。 (3) dhcp 服务器收到请求后将报文中的option 60信息进行解包并组成认证报文，送给认证服务器。 (4) 认证服务器将认证报文解密后进行认证。如果认证失败，传送结果给dhcp服务器， dhcp 服务器不对此用户做回应。如果认证成功，传送结果给dhcp 服务器，dhcp 服务器将分配给用户的ip 地址封装进 dhcp offer 包中，再发送给电视上网copyright? 2009 机顶盒。 (5) dhcp 服务器需要在回给客户端的dhcp offer 包中插入认证信息（option125）以便客户端能够对此信息

3、进行鉴权，以辨别该offer 包是否来自电信认可的 dhcp 服务器。 (6) 机顶盒收到offer包后再次将应用层用户名增加前后缀与密码一同加密后封装进 dhcp request 包（加密时随机数r 、时间戳 ts要重新生成），确认使用offer 包中分配的地址。此时dhcp 服务器并不把 option 60中的信息转给认证服务器。 (7) dhcp 服务器最后回复给机顶盒 dhcpack包并加入 option125 信息，完成此次地址申请。 续约时序 (1) 机顶盒将在 t1(租期的 50%) 时间发起第一次续约请求（request报文） ，报文发送方式为单播。 (2) 机顶盒如果在第一次

4、续约时没有得到回应的ack报文后，将在t2(租期的87.5%)第二次发送续约请求（request报文） ，报文发送方式为广播。 (3) 如果第二次续约仍然没有回应。将在租约到期后清除地址，重新发送 discover 包。注：机顶盒在续约的时候也必须带有option60 信息。 电视上网copyright? 2009 2.2. discover包内容要求-广播 补充说明： . 该报文中禁止包含租期、终端地址、等非本文规定的任何的可选 option信息 2.3. offer 包内容要求-单播电视上网copyright? 2009 2.4. request包内容要求-广播 电视上网copyright

5、? 2009 2.5. ack 包内容要求-单播 电视上网copyright? 2009 电视上网copyright? 2009 2.6. nak 包内容要求-广播 2.7. release包内容要求-单播 2.8. declient包内容要求 暂不做要求。 电视上网copyright? 2009 电视上网copyright? 2009 2.9. 同时支持 dhcp 和 pppoe协议 要求机顶盒同时支持 dhcp 和 pppoe 协议： (1) 开机后先发送dhcp 请求，如果获得回应，即获取地址，接通iptv 业务； (2) 一次 dhcp 的请求，按照协议栈的实现在第1 秒，第 9 秒分

6、别发起两次地址请求； (3) 如果 dhcp 请求在以上第 1 秒，第 9 秒共两次重发 discover动作全部完成后的 3 秒内仍然没有得到任何回应，则开始发送pppoe 请求，pppoe 请求发送 3次，每次间隔 10 秒； (4) 在机顶盒发起pppoe 请求后，如果收到任何dhcp 服务器的回应，均无条件丢弃； (5) 如果两次 dhcp 请求，三次 pppoe 请求都没有回应，则提示用户网络连接故障。 3. option 60 详细要求（authentication for dhcp messages ）3.1 功能描述 option 60功能用来完成基于标准 dhcp 协议，以在

7、客户端输入用户名和密码的方式进行的地址鉴权。 电视上网copyright? 2009 目前在机顶盒中，使用接入帐号和业务帐号分开输入的方式；在 option60里将直接 使用用户输入的接入层帐号和密码。接入层用户名与密码一旦输入之后，应储存在硬件之中。 当 pppoe与 dhcp接入模式相切换时如果之前已经输入过接入层用户名与密码，则可以无需再次输入，直接过渡至新的接入方式。 3.2 实现流程(1) 在机顶盒启动后，如果 flash 中没有储存用户名和密码信息，则马上弹出要求输入用户名与密码的窗口由用户输入用户名和密码并保存用户名和密码，用户名密码保存到机顶盒的 flash中，点击确定之后机顶

8、盒重新启动，机顶盒再次开 机 时 发 送 的discover报 文 中 将 在option60字 段authentication information field插入 message （其中 message 为用户名和密码的加密字符串，加密算法见 1.3节） 。 (2) dhcp 平台（包括 dhcp服务器和认证服务器）收到 discover 报文之后解析出 option60 字段中的用户名和密码， 并在本地所保存的用户名信息库中查找以进行真伪验证。 (3) dhcp 平台验证用户名、密码，通过则向用户返回 offer报文；没有通过则丢弃该报文不做任何处理。 (4) dhcp 认证的详细流程

9、详见 2.1节。 3.3 加密算法 3.3.1 协议描述机顶盒（stb ）上保存：用户名（ userid），密码（ password） (1) 在每次发出认证包前，stb 生成随机数 r，r长度为 64bit ，8 字节。 (2) stb生成时间戳 ts，ts定义为距离格林威志时间 1970年 0 点秒数的 64bit 整型，强制转换 8字节长整型，实在位数不够的话高位补 0。 (3) 生成 dhcp 认证的用户名 login ， login为接入层帐号（ userid）如 ad50980087iptv 。 电视上网copyright? 2009 (4) stb 生成密文 c = encry(

10、r+ts+64bit, login) ，c的长度为 8的整数倍长度，根据 login 的长度计算最终长度，例如 如果login 为 120bit, 那么 c的长度为 128bit, 依次类推，encry 为 3des对称加密算法，密钥为 r+ts 后用 64 位 0 补足 192bit 。 (5) stb 生成密钥 key = hash(r+password+ts) ，其中 key为 128bit ，hash()为哈希算法， 这里定义为 md5 ；r+password+ts 就是 byte的直接拼接。 (6) stb 生成发送消息 message = o+r+ts+key+c，其中 o描述使用

11、的对称加密算法 8bit ，o=1 ：表示为上述描述的加密算法， o=其他数字：保留。 注释：1、加密时对认证用户名不足的位数采用 pkcs7 填充。 pkcs #7 填充字符串由一个字节序列组成，每个字节填充该字节序列的长度。 下面的示例演示这些模式的工作原理。 假定数据每块长度为 8字节，需要处理的数据长度为 9字节，则需要填充的字 节数等于 7，我们就在填充位补上 7个字节的 07。 数据： ff ff ff ff ff ff ff ff ff pkcs7 填充后： ff ff ff ff ff ff ff ff ff 07 07 07 07 07 07 07。 2、密文中的整数字节排序

12、采用 big-endian ： big-endian 和 little-endian 字节排序 字节排序含义 big-endian 一个 word中的高位的 byte 放在内存中这个 word 区域的低地址处。little-endian 一个 word中的低位的 byte放在内存中这个 word 区域的低地址处。一个例子： 如果我们将 0 x1234abcd 写入到以 0 x0000开始的内存中，则结果为 big-endian little-endian 0 x0000 0 x12 0 xcd 0 x0001 0 x34 0 xab 0 x0002 0 xab 0 x34 0 x0003 0

13、xcd 0 x12 电视上网copyright? 2009 3.3.2 服务器上的处理(1) 根据 option 60 中的 r、ts 、密文 c，生成 useriddecry(r+ts+64bit,c) 。 (2) 根据解密出的 userid查找 password，结合 option60中的 r 和 ts 生成 key=hash(r+password+ts)，比对 option60中的 key。 (3) 在确认 userid和 key 的正确性后，通过。 3.4 内置加密方式特别说明(1) 单个机顶盒只需要内置一套加密方式，如果加密方式更新可以远程自动升级新的加密算法。 (2) 在网络层认证

14、完成后还需进行应用层认证。应用层认证发送帐号密码时仍然要按照以上加密规则对信息进行加密。 3.5 option 60 字段说明 option60 字段鉴权规划参照中国电信“我的 e 家” 技术规范 e家终端 （e8） 文中标准设计。 扩充 filed type 31 -60 为 iptv 机顶盒专用，其中field type 31 定义为 iptv机顶盒 dhcp认证的鉴权信息（具体为：接入层用户名、密码等信息加密后的密文，加密算法见 1.3 节） 。 电视上网copyright? 2009 电视上网copyright? 2009 4.option 125 详细要求（ vendor-ident

15、ifying vendor options）option 125 功能是对标准 dhcp协议一个补充标准，该功能的标准定义在 rfc 3925中。 dhcp 服务器在完成验证将客户端的ip 地址等信息封装成 dhcp offer包的时候，将 option 125 信息封装进 dhcp offer包中再发送给客户端。 dhcp 服务器在收到 request包后，同样也会在回给机顶盒的 ack 包中添加 option125 的信息。 客户端收到 offer/ack包以后，首先查看该 offer/ack包中 option 125中的约定的信息，并与预先存储的信息进行比对。比对结果为相同则使用此 of

16、fer/ack，如果比对信息不同则将此 offer/ack丢弃。 option 125 信息定义：该文中未提及的信息请参照 rfc 3925 option-code=125 option-len=dhcp 服务器厂商自定义 enterprise-number1=dhcp 服务器厂商自定义 data-len1 16 vendor-class-data1=scctciptvdhcpaaa 电视上网copyright? 2009 参考资料 本文未包含的标准处理参考文档 在本文没有包含的dhcp 相关配置和信息，请参照如下 rfc ： rfc 951 bootstrap protocol rfc 10

17、84 bootp vendor information extensions rfc 1123 requirements for internet hosts -application and sup rfc 1534 interoperation between dhcp and bootp rfc 1497 bootp vendor information extensions rfc 1541 dynamic host configuration protocol rfc 1533 dhcp options and bootp vendor extensions rfc 2131 dynamic host configuration protocol rfc 3203 dhcp reconfigure extension rfc 3315 dynamic host configuration protocol for ipv6 (dhcpv6) rfc 3315 vendor-identifying vendor opt