專利名稱:一種實(shí)現(xiàn)dhcp客戶端與服務(wù)器安全交互的裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種實(shí)現(xiàn)DHCP客戶端與服務(wù)器安全交互的裝置���。
背景技術(shù):
DHCP協(xié)議是在UDP和IP協(xié)議的基礎(chǔ)上運(yùn)行�����,由于其運(yùn)作機(jī)制比較開放��,它有很多不安全因素����。例如,在網(wǎng)絡(luò)中存在多臺DHCP服務(wù)器����,很容易給網(wǎng)絡(luò)造成混亂。我們可以根據(jù)DCHP的常規(guī)工作流程做一分析���,該常規(guī)工作流程包括發(fā)現(xiàn)階段��、提供階段��、選擇階段和確認(rèn)階段,如圖1和圖2.
發(fā)現(xiàn)階段�,即DHCP客戶端尋找DHCP服務(wù)器的階段。DHCP客戶端以廣播方式(因?yàn)镈HCP服務(wù)器的IP地址對于客戶端來說是未知的)發(fā)送DHCP discover發(fā)現(xiàn)信息來尋找DHCP服務(wù)器�����,網(wǎng)絡(luò)上每一臺安裝了 TCP/IP協(xié)議的主機(jī)都會接收到這種廣播信息����,但只有DHCP服務(wù)器才會做出響應(yīng)��。提供階段���,即DHCP服務(wù)器提供IP地址的階段。在網(wǎng)絡(luò)中接收到DHCP discover發(fā)現(xiàn)信息的DHCP服務(wù)器都會做出響應(yīng)����,它從尚未出租的IP地址中挑選一個分配給DHCP客戶端,向DHCP客戶端發(fā)送一個包含出租的IP地址和其他設(shè)置的DHCP offer提供信息���。選擇階段�,即DHCP客戶端選擇某臺DHCP服務(wù)器提供的IP地址的階段�����。如果有多臺DHCP服務(wù)器向DHCP客戶端發(fā)來的DHCP offer提供信息�����,則DHCP客戶端只接受第一個收到的DHCP offer提供信息����,然后它就以廣播方式回答一個DHCP request請求信息���,該信息中包含向它所選定的DHCP服務(wù)器請求IP地址的內(nèi)容。確認(rèn)階段�����,即DHCP服務(wù)器確認(rèn)所提供的IP地址的階段����。當(dāng)DHCP服務(wù)器收到DHCP客戶端回答的DHCP request請求信息之后,它便向DHCP客戶端發(fā)送一個包含它所提供的IP地址和其他設(shè)置的DHCP ACK確認(rèn)信息�,告訴DHCP客戶端可以使用它所提供的IP地址。根據(jù)DHCP協(xié)議DHCP客戶端在發(fā)現(xiàn)階段尋找可用的DHCP服務(wù)器�,也就是通過發(fā)送查詢報(bào)文在眾多DHCP服務(wù)器中查找可用的DHCP服務(wù)器,由于網(wǎng)絡(luò)中存在多臺DHCP服務(wù)器�����,容易網(wǎng)絡(luò)的安全性問題���,例如網(wǎng)絡(luò)中出現(xiàn)不安全的DHCP服務(wù)器等,關(guān)于上述問題����,很多廠商給出了各自的解決方案���,例如,Cisco提出的DHCP snooping技術(shù)����,過濾非信任的DHCP響應(yīng)報(bào)文,從而保證DHCP網(wǎng)絡(luò)安全�。本發(fā)明提出另外一種對于DHCP客戶端(client)是一種簡單的安全裝置,它不需服務(wù)器(server)做任何改變,僅是在客戶端(client)進(jìn)行事先配置,報(bào)文交互時進(jìn)行判斷���。在實(shí)際應(yīng)用場景中��,具有明顯安全性的特點(diǎn)����。
發(fā)明內(nèi)容
為了解決上述技術(shù)問題�,本發(fā)明提供了 DHCP客戶端與服務(wù)器安全交互的裝置。一種實(shí)現(xiàn)DHCP客戶端與服務(wù)器安全交互的裝置���,所述的實(shí)現(xiàn)DHCP客戶端與服務(wù)器安全交互的裝置包括DHCP客戶端和DHCP服務(wù)器����,所述DHCP客戶端和DHCP服務(wù)器通過DCHP報(bào)文進(jìn)行連接,所述DHCP客戶端和DHCP服務(wù)器通過以廣播方式發(fā)送DHCP發(fā)現(xiàn)報(bào)文尋找DHCP服務(wù)器�;所述的DHCP服務(wù)器將向所述DHCP客戶端發(fā)送DHCP詢價報(bào)文,然后所述的DHCP服務(wù)器接收所述DHCP客戶端回答的DHCP請求報(bào)文����,并向DHCP客戶端發(fā)送一個包含其所提供的IP地址和其他設(shè)置的DHCP確認(rèn)報(bào)文,在所述的DHCP客戶端預(yù)先設(shè)定所述的DHCP服務(wù)器的IP地址�����;當(dāng)所述的DHCP客戶端與所述的DHCP服務(wù)器進(jìn)行交互連接時�����,所述的DHCP客戶端從收到的DHCP服務(wù)器發(fā)送的DHCP詢價報(bào)文中提取DHCP服務(wù)器的IP地址�����,然后與所述的預(yù)先設(shè)定DHCP服務(wù)器的IP地址比較���,從而限制與所述的DHCP客戶端交互連接的DHCP服務(wù)器��。當(dāng)預(yù)先設(shè)定DHCP服務(wù)器的IP地址與DHCP服務(wù)器的IP地址匹配時�,則所述DHCP客戶端與所述DHCP服務(wù)器繼續(xù)進(jìn)行交互連接�,所述DHCP客戶端以廣播方式回答DHCP請求報(bào)文方式連接所述DHCP服務(wù)器���。當(dāng)DHCP客戶端主動釋放DHCP服務(wù)器分配給所述DHCP客戶端的IP地址的釋放地址報(bào)文時�����,所述DHCP服務(wù)器收到所述釋放地址報(bào)文后回收所述DHCP客戶端的IP地址和斷開與所述DHCP服務(wù)器的連接���。當(dāng)預(yù)先設(shè)定DHCP服務(wù)器的IP地址與DHCP服務(wù)器的IP地址不匹配時����,所述的DHCP客戶端忽略所述的DHCP詢價報(bào)文��,所述的DHCP客戶端繼續(xù)以廣播方式發(fā)送DHCP發(fā)現(xiàn)報(bào)文來尋找DHCP服務(wù)器�����。所述DHCP報(bào)文的格式包括操作碼����、硬件類型、硬件地址長度��、跳數(shù)�����、事務(wù)、秒數(shù)�、標(biāo)志、客戶IP地址�、服務(wù)器IP地址、中繼代理IP地址�����、客戶硬件地址�����、服務(wù)器的主機(jī)名��、啟動文件名和選項(xiàng)�����。所述DHCP報(bào)文的名稱包括DHCP發(fā)現(xiàn)報(bào)文�����、DHCP詢價報(bào)文���、DHCP請求報(bào)文�����、DHCP確認(rèn)報(bào)文和DHCP釋放地址報(bào)文��。本發(fā)明提出的技術(shù)方案采用了預(yù)先設(shè)定DHCP服務(wù)器的IP地址�����,確保了所選擇的服務(wù)器是安全可靠的����,無需DHCP服務(wù)器(server)做任何改變�,僅是在客戶端(client)進(jìn)行事先配置,報(bào)文交互時進(jìn)行判斷�,在實(shí)際應(yīng)用場景中,具有明顯安全性��。
圖1為DHCP客戶端和服務(wù)器交互結(jié)構(gòu)2為DHCP客戶端狀態(tài)遷移3為改進(jìn)后的DHCP客戶端和服務(wù)器交互結(jié)構(gòu)圖
具體實(shí)施例方式下面結(jié)合附圖1具體說明實(shí)現(xiàn)DHCP客戶端與服務(wù)器安全交互的裝置����,一種實(shí)現(xiàn)DHCP客戶端與服務(wù)器安全交互的裝置,所述的實(shí)現(xiàn)DHCP客戶端與服務(wù)器安全交互的裝置包括DHCP客戶端和DHCP服務(wù)器�����,所述DHCP客戶端和DHCP服務(wù)器通過DCHP報(bào)文進(jìn)行連接,所述DHCP客戶端和DHCP服務(wù)器通過以廣播方式發(fā)送DHCP發(fā)現(xiàn)報(bào)文尋找DHCP服務(wù)器���;所述的DHCP服務(wù)器將向所述DHCP客戶端發(fā)送DHCP詢價報(bào)文�,然后所述的DHCP服務(wù)器接收所述DHCP客戶端回答的DHCP請求報(bào)文�����,并向DHCP客戶端發(fā)送一個包含其所提供的IP地址和其他設(shè)置的DHCP確認(rèn)報(bào)文��,在所述的DHCP客戶端預(yù)先設(shè)定所述的DHCP服務(wù)器的IP地址����;當(dāng)所述的DHCP客戶端與所述的DHCP服務(wù)器進(jìn)行交互連接時,所述的DHCP客戶端從收到的DHCP服務(wù)器發(fā)送的DHCP詢價報(bào)文中提取DHCP服務(wù)器的IP地址�,然后與所述的預(yù)先設(shè)定DHCP服務(wù)器的IP地址比較,從而限制與所述的DHCP客戶端交互連接的DHCP服務(wù)器�����。當(dāng)預(yù)先設(shè)定DHCP服務(wù)器的IP地址與DHCP服務(wù)器的IP地址匹配時���,則所述DHCP客戶端與所述DHCP服務(wù)器繼續(xù)進(jìn)行交互連接�,所述DHCP客戶端以廣播方式回答DHCP請求報(bào)文方式連接所述DHCP服務(wù)器。當(dāng)DHCP客戶端主動釋放DHCP服務(wù)器分配給所述DHCP客戶端的IP地址的釋放地址報(bào)文時�����,所述DHCP服務(wù)器收到所述釋放地址報(bào)文后回收所述DHCP客戶端的IP地址和斷開與所述DHCP服務(wù)器的連接����。當(dāng)預(yù)先設(shè)定DHCP服務(wù)器的IP地址與DHCP服務(wù)器的IP地址不匹配時,所述的DHCP客戶端忽略所述的DHCP詢價報(bào)文���,所述的DHCP客戶端繼續(xù)以廣播方式發(fā)送DHCP發(fā)現(xiàn)報(bào)文來尋找DHCP服務(wù)器。所述DHCP報(bào)文的格式包括操作碼�����、硬件類型����、硬件地址長度、跳數(shù)�����、事務(wù)��、秒數(shù)、標(biāo)志����、客戶IP地址、服務(wù)器IP地址�����、中繼代理IP地址�����、客戶硬件地址�����、服務(wù)器的主機(jī)名���、啟動文件名和選項(xiàng)��。 所述DHCP報(bào)文的名稱包括DHCP發(fā)現(xiàn)報(bào)文��、DHCP詢價報(bào)文�����、DHCP請求報(bào)文��、DHCP確認(rèn)報(bào)文和DHCP釋放地址報(bào)文�����。DHCP協(xié)議采用CLIENT-SERVER方式進(jìn)行交互����,圖1展示了 DHCP交互過程時序,表I為報(bào)文格式內(nèi)容�,表2為8種報(bào)文以及含義,其中8種報(bào)文信息由表I報(bào)文格式中的“選項(xiàng)”的 “DHCP message type” 確定��。表I報(bào)文格式
權(quán)利要求
1.一種實(shí)現(xiàn)DHCP客戶端與服務(wù)器安全文互的裝置����,其特征在于:所述的實(shí)現(xiàn)DHCP客戶端與服務(wù)器安全交互的裝置包括DHCP客戶端和DHCP服務(wù)器���,所述DHCP客戶端和DHCP服務(wù)器通過DCHP報(bào)文進(jìn)行交互連接�,所述DHCP客戶端和DHCP服務(wù)器通過以廣播方式發(fā)送DHCP發(fā)現(xiàn)報(bào)文尋找DHCP服務(wù)器�; 所述的DHCP服務(wù)器將向所述DHCP客戶端發(fā)送DHCP詢價報(bào)文,然后所述的DHCP服務(wù)器接收所述DHCP客戶端回答的DHCP請求報(bào)文����,并向DHCP客戶端發(fā)送一個包含其所提供的IP地址和其他設(shè)置的DHCP確認(rèn)報(bào)文�,在所述的DHCP客戶端預(yù)先設(shè)定所述的DHCP服務(wù)器的IP地址�; 當(dāng)所述的DHCP客戶端與所述的DHCP服務(wù)器進(jìn)行交互連接時,所述的DHCP客戶端從收到的DHCP服務(wù)器發(fā)送的DHCP詢價報(bào)文中提取DHCP服務(wù)器的IP地址�,然后與所述的預(yù)先設(shè)定DHCP服務(wù)器的IP地址比較,從而限制與所述的DHCP客戶端交互連接的DHCP服務(wù)器��。
2.根據(jù)權(quán)利要求1所述的實(shí)現(xiàn)DHCP客戶端與服務(wù)器安全交互的裝置����,其特征在于:當(dāng)預(yù)先設(shè)定DHCP服務(wù)器的IP地址與DHCP服務(wù)器的IP地址匹配時,則所述DHCP客戶端與所述DHCP服務(wù)器繼續(xù)進(jìn)行交互連接��,所述DHCP客戶端以廣播方式回答DHCP請求報(bào)文方式連接所述DHCP服務(wù)器�。
3.根據(jù)權(quán)利I或2所述的實(shí)現(xiàn)DHCP客戶端和服務(wù)器安全交互的裝置,其特征在于:當(dāng)DHCP客戶端主動釋放DHCP服務(wù)器分配給所述DHCP客戶端的IP地址的釋放地址報(bào)文時��,所述DHCP服務(wù)器收到所述釋放地址報(bào)文后回收所述DHCP客戶端的IP地址和斷開與所述DHCP服務(wù)器的連接����。
4.根據(jù)權(quán)利要求1所述的實(shí)現(xiàn)DHCP客戶端與服務(wù)器安全交互的裝置,其特征在于:當(dāng)預(yù)先設(shè)定DHCP服務(wù)器的IP地址與DHCP服務(wù)器的IP地址不匹配時���,所述的DHCP客戶端忽略所述的DHCP詢價報(bào)文�����,所述的DHCP客戶端繼續(xù)以廣播方式發(fā)送DHCP發(fā)現(xiàn)報(bào)文來尋找DHCP服務(wù)器����。
5.根據(jù)權(quán)利要求f4任一所述的實(shí)現(xiàn)DHCP客戶端與服務(wù)器安全交互的裝置,其特征在于:所述DHCP報(bào)文的格式包括操作碼�、硬件類型、硬件地址長度�����、跳數(shù)��、事務(wù)���、秒數(shù)��、標(biāo)志、客戶IP地址����、服務(wù)器IP地址、中繼代理IP地址、客戶硬件地址�����、服務(wù)器的主機(jī)名����、啟動文件名和選項(xiàng)。
6.根據(jù)權(quán)利要求f4任一所述的實(shí)現(xiàn)DHCP客戶端與服務(wù)器安全交互的裝置��,其特征在于:所述DHCP報(bào)文的名稱包括DHCP發(fā)現(xiàn)報(bào)文�、DHCP詢價報(bào)文、DHCP請求報(bào)文�、DHCP確認(rèn)報(bào)文和DHCP釋放地址報(bào)文。
全文摘要
一種實(shí)現(xiàn)DHCP客戶端與服務(wù)器安全交互的裝置�����,包括DHCP客戶端和DHCP服務(wù)器����,在所述DHCP客戶端預(yù)先設(shè)定所述的DHCP服務(wù)器的IP地址;當(dāng)所述的DHCP客戶端與所述的DHCP服務(wù)器進(jìn)行交互時�����,所述的DHCP客戶端從收到的DHCP服務(wù)器發(fā)送的DHCP詢價報(bào)文中提取DHCP服務(wù)器的IP地址,然后與所述的預(yù)先設(shè)定DHCP服務(wù)器的IP地址比較��,從而限制與所述的DHCP客戶端交互的DHCP服務(wù)器�����;確保了所選擇的服務(wù)器是安全可靠的�,無需DHCP服務(wù)器做任何改變,僅是在客戶端進(jìn)行事先配置�����,報(bào)文交互時進(jìn)行判斷�,在實(shí)際應(yīng)用場景中,具有明顯安全性特點(diǎn)���。
文檔編號H04L29/06GK103188257SQ20121018322
公開日2013年7月3日 申請日期2012年6月5日 優(yōu)先權(quán)日2011年12月28日
發(fā)明者李紅雨 申請人:北京東土科技股份有限公司