一种提高dhcp协议安全性的方法与系统的制作方法
【技术领域】
[0001]本发明涉及通信技术领域,具体说是一种提高DHCP协议安全性的方法与系统。
【背景技术】
[0002]在RFC2131中详细定义了 DHCP协议(Dynamic Host Configurat1n Protocol,动态主机配置协议),DHCP协议采用客户端/服务器模式,提供了一种为客户端动态分配IP地址及其网络配置的机制。
[0003]DHCP协议系统的典型组网方式见图1和图2。
[0004]图1中只有一个网段,DHCP服务器可以直接接收到从DHCP客户端发出的广播报文。
[0005]图2中有多个网段,通过接入设备(路由器等)进行路由转换,由于DHCP客户端发出的广播报文无法直接跨过子网传播,因此需要接入设备中启动DHCP代理,当DHCP代理侦听到DHCP客户端发出的广播报文后,可以转发给已预先配置的DHCP服务器。
[0006]DHCP客户端发起IP地址的申请过程,如图3所示,DHCP客户端通过DHCP-DISC0VER广播报文向网络上的DHCP服务器申请IP地址以及配置信息,DHCP服务器根据自身的配置响应DHCP客户端的请求。
[0007]DHCP客户端可以将自身的具体信息,如上次使用的IP地址等信息,附加在DHCP-DISC0VER广播报文中传送给DHCP服务器,作为配置建议。
[0008]由于DHCP客户端本身不知道DHCP服务器的地址,因此,其发出的DHCP-DISC0VER广播报文的目的MAC地址为广播地址,该广播报文可以被与该DHCP客户端所处相同子网内的所有主机侦听到。如果通过此DHCP-DISC0VER广播报文附带与该DHCP客户端有关的敏感信息,则该DHCP客户端的信息很容易被泄露,造成网络安全问题。
【发明内容】
[0009]针对现有技术中存在的缺陷,本发明的目的在于提供一种提高DHCP协议安全性的方法与系统,通过重新构造DHCP-DISC0VER单播报文,上传敏感信息,解决DHCP客户端上传敏感信息过程中信息泄露的问题。
[0010]为达到以上目的,本发明采取的技术方案是:
[0011 ] 一种提高DHCP协议安全性的方法,其特征在于,包括如下步骤:
[0012]步骤1,DHCP客户端发送DHCP-DISC0VER广播报文,然后等待来自DHCP服务器的响应;
[0013]步骤2,DHCP服务器收到DHCP-DISC0VER广播报文,然后向DHCP客户端发送应答报文,所述应答报文包括但不限于DHCP-0FFER响应报文;
[0014]步骤3,DHCP客户端收到应答报文,然后从应答报文中提取DHCP服务器的MAC地址;
[0015]步骤4,DHCP客户端将步骤3中获得的DHCP服务器的MAC地址,替换步骤1中所述DHCP-DISCOVER广播报文中的目的MAC地址,得到DHCP-DISCOVER单播报文;
[0016]步骤5,根据需要传送的敏感信息,DHCP客户端按DHCP协议的定义在DHCP-DISCOVER单播报文中附加上需要的DHCP选项,构成含有敏感信息的DHCP-DISCOVER单播报文;
[0017]步骤6,DHCP客户端将含有敏感信息的DHCP-DISCOVER单播报文发出;
[0018]步骤7,DHCP服务器收到含有敏感信息的DHCP-DISCOVER单播报文,然后再次向DHCP客户端发送应答报文。
[0019]在上述技术方案的基础上,DHCP客户端和DHCP服务器位于同一个子网中,DHCP客户端和DHCP服务器间的报文直接收发。
[0020]在上述技术方案的基础上,DHCP客户端和DHCP服务器位于不同子网中,两个子网间设有接入设备,所述接入设备具备DHCP代理功能,DHCP客户端和DHCP服务器间的报文通过DHCP代理转发。
[0021]—种采用上述方法的提高DHCP协议安全性的系统,其特征在于,包括:DHCP客户端,DHCP服务器,
[0022]所述DHCP服务器为所述DHCP客户端分配IP地址,
[0023]DHCP客户端从对DHCP-DISCOVER广播报文的应答报文中获得所述DHCP服务器的MAC地址,并重构目的MAC地址为DHCP服务器的MAC地址的DHCP-DISCOVER单播报文,DHCP客户端利用DHCP-DISCOVER单播报文向DHCP服务器发送敏感信息。
[0024]在上述技术方案的基础上,接入设备,所述接入设备中启动DHCP代理,所述DHCP代理起到转发报文的作用,DHCP代理在多网段的网络系统中按照DHCP协议对DHCP数据包进行转发。
[0025]在上述技术方案的基础上,所述接入设备为路由器。
[0026]本发明所述的提高DHCP协议安全性的方法与系统,通过重新构造DHCP-DISCOVER单播报文,上传敏感信息,解决DHCP客户端上传敏感信息过程中信息泄露的问题。
[0027]本发明通过对DHCP协议的功能增强,将DHCP广播报文转换为单播报文,通过单播报文上传敏感信息,可以增强DHCP报文的安全性,防止用户的信息泄露,提高网络信息传输的安全性。
【附图说明】
[0028]本发明有如下附图:
[0029]图1现有DHCP协议系统的典型组网方式一,
[0030]图2现有DHCP协议系统的典型组网方式二,
[0031]图3现有DHCP客户端发起IP地址的申请过程示意图,
[0032]图4本发明的DHCP客户端发起IP地址的申请过程示意图,
[0033]图5本发明的组网方式示意图一,
[0034]图6本发明的组网方式示意图二,
[0035]图7本发明在单网段的情况下报文交互示意图,
[0036]图8本发明在多网段的情况下报文交互示意图。
【具体实施方式】
[0037]以下结合附图对本发明作进一步详细说明。
[0038]如图4?8所示,本发明所述的提高DHCP协议安全性的方法,包括如下步骤:
[0039]步骤1,DHCP客户端发送DHCP-DISCOVER广播报文,然后等待来自DHCP服务器的响应;
[0040]广播报文是指IP报文中目的MAC地址为广播地址的报文,该报文可以被相同子网内的所有计算机接收到;换一种说法,可以是:该报文可以被同一广播域内的所有计算机或网络设备接收到;
[0041 ] 步骤2,DHCP服务器收到DHCP-DISCOVER广播报文,然后向DHCP客户端发送应答报文,所述应答报文包括但不限于DHCP-0FFER响应报文;
[0042]DHCP服务器的应答报文可以是DHCP-0FFER响应报文,也可以是DHCP服务器响应的其它任何类型的报文;
[0043]步骤3,DHCP客户端收到应答报文,然后从应答报文中提取DHCP服务器的MAC地址;
[0044]步骤4,DHCP客户端将步骤3中获得的DHCP服务器的MAC地址,替换步骤1中所述DHCP-DISCOVER广播报文中的目的MAC地址,得到DHCP-DISCOVER单播报文;
[0045]单播报文是指IP报文中目的MAC地址为所述DHCP服务器的MAC地址的报文,只有与该MAC地址匹配的设备才能接收;
[0046]步骤5,根据需要传送的敏感信息,DHCP客户端按DHCP协议的定义在DHCP-DISCOVER单播报文中附加上需要的DHCP选项,构成含有敏感信息的DHCP-DISCOVER单播报文;
[0047]步骤6,DHCP客户端将含有敏感信息的DHCP-DISCOVER单播报文发出;
[0048]步骤7,DHCP服务器收到含有敏感信息的DHCP-DISCOVER单播报文,然后再次向DHCP客户端发送应答报文。
[0049]本发明中,为了提高并确保DHCP协议的安全性,DHCP客户端从对DHCP-DISCOVER广播报文的应答报文中获得所述DHCP服务器的M