专利名称:一种提高网络动态主机配置dhcp安全性的方法和系统的制作方法
技术领域:
本发明涉及通信技术领域,特别公开了一种提高网络动态地址配置安全性的方法和系统。
背景技术:
随着网络规模的不断扩大、网络复杂程度的不断提高,进行网络配置也变得越来越复杂,由此产生了DHCP协议(Dynamic Host Configuration Protocol,动态主机配置协议)并得到了广泛的应用。DHCP协议是在BOOTP(BootstrapProtocol,引导程序协议)的基础上提出,但相对于BOOTP来说,DHCP提供了一种更加有效的、动态的配置分配能力,即DHCP给接入的DHCP客户端指定一系列包括IP地址在内有时间限制(租约期)的配置参数,当租约期满或者客户主动放弃使用这些配置(主要是IP地址)时,这些配置可以被其它客户使用,从而提高了资源的利用率。在给一个临时接入的DHCP客户端或者给不需要永久IP地址的DHCP客户端分配IP地址时,可以利用动态分配;当一个新DHCP客户端要永久地接入到一个网络时,而网络的IP地址非常有限,为了将来这个DHCP客户端不再永久连接时能回收IP地址,也可以利用动态分配。
下面首先说明本发明中涉及的关键技术名词的含义DHCP动态主机配置协议,用于动态自动配置计算机的IP地址、网关IP地址、域名服务器IP地址等参数,使用DHCP协议的计算机开机后,可以从DHCP服务器得到IP地址等上网所需的参数,避免手工配置的繁琐工作。
DHCP服务器DHCP Server,用于管理IP地址的服务器,响应计算机的地址分配请求,给计算机分配合适的IP地址。当前还有一些DHCP服务器具有安全策略功能,主要是依靠DHCP某些选项记录和识别客户终端作安全性检查。
DHCP客户端DHCP Client,使用DHCP协议获取IP地址等网络参数的各种客户终端,包括计算机,STB(机顶盒),IAD(综合接入设备)等。
DHCP中继DHCP Relay,它是一种将处于不同网段的DHCP服务器和DHCP客户端间交互报文进行转发或者处理后发送的功能。
DHCP中继代理DHCP Relay Agent,具有DHCP中继功能的部件或者模块,对于DHCP客户端和DHCP服务器来说是透明的,它具有绑定DHCPOption82功能。在宽带接入设备中,通常以宽带远程接入服务器BRAS作为DHCP中继代理,并且它具有比普通DHCP中继设备更智能的功能,如记录和检查客户登录信息。
DHCP选项DHCP Options,DHCP报文中的一个控制域字段,用来携带DHCP配置参数和其它控制信息的参数域。
DHCP Option 82DHCP选项的一种,叫DHCP Relay Agent InformationOption(DHCP中继代理信息选项),它记录了代理电路ID(Agent Circuit ID)信息或者代理远程ID(Agent Remote ID)信息,具有全局性、唯一性,用以识别链路或者远端客户设备的某些唯一性信息如位置信息或者Modem ID。通常是由DHCP中继代理或者其它接入节点绑定到DHCP报文当中。
DHCP发现报文DHCP Discover,DHCP协议的请求类型报文之一,由DHCP客户端发出,也可能由DHCP中继代理来发出或者中继,其作用是用于DHCP客户端发现DHCP服务器。
DHCP提供报文DHCP Offer,DHCP协议的回应类型报文之一,由DHCP服务器发出,也可能由DHCP中继代理来发出或者中继,其作用是用于DHCP服务器回应DHCP客户端的DHCP Discover的请求,主要包含了所能提供的IP地址、IP地址掩码、域名服务器地址、租约等配置信息。
DHCP请求报文DHCP Request,DHCP协议的请求类型报文之一,由DHCP客户端发出,也可能由DHCP中继代理来发出或者中继,其作用是用于DHCP客户端请求DHCP服务器的配置。
DHCP应答报文DHCP ACK,DHCP协议的回应类型报文之一,由DHCP服务器发出,也可能由DHCP中继代理来发出或者中继,其作用是回应DHCP客户端的请求,并在报文内提供了所有DHCP客户端请求的配置信息。
DHCP非应答报文DHCP NAK,与DHCP ACK报文类似,区别在于它用于回应DHCP客户端不能满足其DHCP请求报文的配置信息。
BRAS宽带远程接入服务器,宽带客户的接入管理设备,对于DHCP客户,BRAS完成DHCP中继功能。
接入网从客户家庭到BRAS中间的网络。
接入节点接入网中与客户线路直接相连的设备,具有DHCP Options82绑定功能,如ADSL接入设备DSLAM。
DHCP动态分配是通过DHCP服务器和作为DHCP客户端的客户终端之间的DHCP报文交互来完成的,而DHCP报文是广播报文,不能跨越网段对客户终端进行IP地址分配。但由于资源的限制,为每个网段分配一个DHCP服务器是非常不现实的,且出于安全性的考虑,DHCP服务器通常处于单独的一个网段。这样就需要DHCP服务器可以为不在其网段的客户提供服务。DHCP中继为DHCP广播报文提供了网段间的转发功能,使得DHCP服务器实现为不在与其同一网段的客户终端提供服务。
DHCP中继实际的组网应用情况如图1所示,包括具有DHCP中继功能的设备三层交换机,与其相连网段1的DHCP服务器和DHCP客户端A,另一个相连网段2的DHCP客户端B和客户端C。如上文所述,三层交换机作为DHCP中继代理将DHCP客户端B和DHCP客户端C发出的DHCP请求消息中继到DHCP服务器,同时也将DHCP服务器的回应消息转发到DHCP客户端B和DHCP客户端C,这样DHCP服务器就可以为与其同一网段下的DHCP客户端A分配IP地址,也可以为与其不在同一网段的DHCP客户端B和客户端C分配IP地址。
图2为DHCP宽带接入网模型示意图。客户终端通过接入网连接到BRAS上,BRAS作为DHCP中继代理,把DHCP报文中继到DHCP服务器上去,由DHCP服务器分配IP地址。客户终端获取DHCP相关配置信息后可以访问互联网。
由于一般直接由DHCP客户端发出的DHCP请求报文不带任何可以唯一确认客户的信息,容易使运营商无法监控和控制客户而带来安全问题,因此在DHCP中继设备上往往会启用DHCP Option82绑定功能,即DHCP中继代理或者接入节点对客户DHCP请求报文添加唯一指定客户合法位置的信息如代理电路ID信息或者代理远程ID信息来标识此报文是合法报文(若是接入节点来进行绑定操作,则DHCP中继代理必须信任其发出的DHCP报文中所含的DHCP Option82),客户自己对此没有任何可操作性。同时,在DHCP服务器记录了客户的这些唯一性信息以备核对客户请求报文是否合法。
具体客户获取DHCP配置信息的报文处理过程(以DHCP中继代理绑定信息为例)如图3所示。
步骤1DHCP客户端发起DHCP Discover请求报文请求IP地址、网关IP地址、域名服务器IP地址等配置信息;步骤2DHCP中继代理截获到客户DHCP Discover请求报文并绑定DHCPOption 82信息再送到DHCP服务器;步骤3DHCP服务器根据记录对DHCP Discover请求报文进行合法性检查后,若是合法客户则通过DHCP中继代理转给DHCP客户端DHCP Offer报文,若是非法客户则丢弃报文;步骤4DHCP客户端收到DHCP Offer报文,回复DHCP Request请求;步骤5DHCP中继代理截获客户DHCP Request请求报文并绑定DHCPOption 82信息再送到DHCP服务器;步骤6DHCP服务器根据记录对DHCP Request请求报文进行合法性检查后,若是合法客户且DHCP服务器能满足客户请求的配置参数,则给客户端回应DHCP ACK,若是合法客户且DHCP服务器能不满足客户请求的配置参数,则给客户端回应DHCP NAK,若是非法客户则丢弃报文;步骤7DHCP客户端下线,发出DHCP Release请求报文,请求IP地址释放;DHCP中继代理转发DHCP Release请求报文给DHCP服务器;DHCP服务器收到DHCP Release请求报文后,直接回收此IP地址。
在上述的现有技术方案中,DHCP Release报文不包含指定客户唯一性信息,任何同一DHCP服务器管理下的客户都可以仿冒其它客户终端进行攻击,导致在线客户异常下线;而且,由于没有记录客户的相关信息,运营商事后无法追踪到真实攻击者。
发明内容
鉴于上述现有技术所存在的问题,本发明的目的是提供一种提高网络动态地址配置安全性的方法,通过DHCP中继代理在客户端的请求报文中加入能够代表客户唯一性的信息,从而解决现有技术中同一DHCP服务器管理下的客户都可以仿冒其它客户终端进行攻击所带来的网络安全问题。
本发明的目的是通过以下技术方案实现的一种提高网络动态地址配置安全性的方法,包括以下步骤步骤A,动态主机配置DHCP客户端释放IP地址,发送动态主机配置DHCPRelease报文到动态主机配置中继模块;步骤B,动态主机配置DHCP中继模块捕获动态主机配置DHCP Release报文,并在动态主机配置DHCP Release报文中的字段中绑定客户位置信息;步骤C,DHCP中继模块将绑定有客户位置信息的动态主机配置DHCPRelease报文发送给动态主机配置服务器。
所述的步骤C之后进一步包括步骤D,动态主机配置DHCP服务器检查动态主机配置DHCP Release报文中的字段是否与存放于动态主机配置DHCP服务器中的客户位置信息的记录相符;步骤E,动态主机配置DHCP Release报文中的字段与记录相符,则动态主机配置DHCP服务器回收动态主机配置DHCP Release报文的动态主机配置DHCP客户端IP地址。
所述的DHCP中继模块包括动态主机配置DHCP中继或者接入节点。
所述的客户位置信息包括标识客户唯一性信息的代理电路ID信息或者代理远程ID信息。
所述的步骤D进一步包括,若动态主机配置DHCP Release报文中的字段所绑定的客户位置信息与记录不相符,则动态主机配置DHCP服务器丢弃此动态主机配置DHCP Release报文。
所述的主机配置DHCP Release报文中的字段为Option 82字段。
本发明还提供了一种提高网络动态地址配置DHCP安全性的系统,包括动态主机配置DHCP客户端、DHCP中继模块和动态主机配置DHCP服务器,其中,所述的动态主机配置DHCP客户端用于释放IP地址,发送动态主机配置DHCP Release报文到动态主机配置DHCP中继模块;所述的DHCP中继模块用于捕获动态主机配置客户端发送的动态主机配置DHCP Release报文,在动态主机配置DHCP Release报文中绑定客户位置信息,并将其发送给动态主机配置协议DHCP服务器;所述的动态主机配置DHCP服务器包括检查模块,该检查模块用于检查动态主机配置DHCP Release报文中是否与存放于动态主机配置DHCP服务器中的客户位置信息的记录相符;若检查结果为是,则动态主机配置DHCP服务器回收发送该动态主机配置DHCP Release报文的客户端的IP地址。
与现有技术相比,本发明的有益效果如下1、有效保护了同一DHCP服务器控制下的所有DHCP客户端的安全;
2、通过对DHCP Release报文进行合法性监控,增强了运营商对客户行为的可控性。
图1为DHCP中继实现组网示意图;图2为DHCP宽带接入网模型示意图;图3为现有技术中的DHCP配置信息报文处理示意图;图4为本发明中的DHCP配置信息报文处理示意图;图5为本发明中的DHCP Release报文处理流程图;图6为本发明的系统结构示意图。
具体实施例方式
DHCP中继设备或者接入节点设备支持对DHCP Release报文DHCPOption82信息绑定(若是接入节点来进行绑定操作,则DHCP中继代理必须信任其发出的DHCP报文中所含的DHCP Option82);DHCP服务器支持对DHCPRelease报文进行DHCP Option82信息的检查,正常回收DHCP Option82信息与记录(此记录为之前在DHCP服务器上进行登记)相符的DHCP Release报文中DHCP客户端的IP地址(DHCP中继代理同时同步释放此IP地址与DHCPOption82绑定关系,以使客户不能访问Internet),丢弃DHCP Option82信息与记录不相符的DHCP Release报文。由于DHCP客户端对DHCP Option82不可进行修改,只能由DHCP中继或者接入节点来进行绑定操作,保证了DHCPRelease报文的合法性。
具体DHCP客户端DHCP Release报文处理过程(以DHCP中继绑定信息为例)如图4所示。
步骤1DHCP客户端发起DHCP Discover请求报文请求IP地址、网关IP地址、域名服务器IP地址等配置信息;
步骤2DHCP中继代理截获到客户DHCP Discover请求报文并绑定DHCPOption 82信息再送到DHCP服务器;步骤3DHCP服务器根据记录对DHCP Discover请求报文进行合法性检查后,若是合法客户则通过DHCP中继代理转给DHCP客户端DHCP Offer报文,若是非法客户则丢弃报文;步骤4DHCP客户端收到DHCP Offer报文,回复DHCP Request请求;步骤5DHCP中继代理截获客户DHCP Request请求报文并绑定DHCPOption 82信息再送到DHCP服务器;步骤6DHCP服务器根据记录对DHCP Request请求报文进行合法性检查后,若是合法客户且DHCP服务器能满足客户请求的配置参数,则给客户端回应DHCP ACK,若是合法客户且DHCP服务器能不满足客户请求的配置参数,则给客户端回应DHCP NAK,若是非法客户则丢弃报文;步骤7DHCP客户端下线,发出DHCP Release请求报文,请求IP地址释放;步骤8DHCP中继代理截获客户DHCP Release请求报文并绑定DHCPOption82信息再送到DHCP服务器;DHCP服务器支持对DHCP Release报文进行DHCP Option82信息的检查,正常回收DHCP Option82信息与记录相符的DHCP Release报文中DHCP客户端的IP地址,丢弃DHCP Option 82信息与记录不相符的DHCP Release报文。
图5为本发明提供的步骤8中DHCP Release报文处理的流程图。
步骤501,DHCP客户端释放IP地址,发送DHCP Release报文到DHCP中继;步骤502,DHCP中继或者接入节点捕获DHCP Release报文,在DHCPRelease报文Option82字段中绑定客户位置信息,该客户位置信息包括标识客户唯一性信息的代理电路ID信息或者代理远程ID信息;步骤503,DHCP服务器检查DHCP Release报文的Option82字段是否与记录相符,若与记录相符,则执行步骤504,否则执行步骤505;步骤504,DHCP服务器回收DHCP Release报文的DHCP客户端IP地址;步骤505,DHCP服务器丢弃此DHCP Release报文。
本发明的系统结构示意图如图6所示。本发明系统装置包括动态主机配置DHCP客户端模块,用于释放IP地址,发送动态主机配置DHCP Release报文到动态主机配置DHCP中继模块;DHCP中继模块,用于捕获动态主机配置客户端发送的动态主机配置DHCP Release报文,在动态主机配置DHCP Release报文中绑定客户位置信息,并将其发送给动态主机配置协议DHCP服务器;动态主机配置DHCP服务器,包括检查模块,该检查模块用于检查动态主机配置DHCP Release报文中是否与存放于动态主机配置DHCP服务器中的客户位置信息的记录相符;若检查结果为是,则动态主机配置DHCP服务器回收发送该动态主机配置DHCP Release报文的客户端的IP地址。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
权利要求
1.一种提高网络动态主机配置DHCP安全性的方法,其特征在于,包括如下步骤步骤A,动态主机配置DHCP客户端释放IP地址,发送动态主机配置DHCPRelease报文到动态主机配置中继模块;步骤B,动态主机配置DHCP中继模块捕获动态主机配置DHCP Release报文,并在动态主机配置DHCP Release报文中的字段中绑定客户位置信息;步骤C,DHCP中继模块将绑定有客户位置信息的动态主机配置DHCPRelease报文发送给动态主机配置服务器。
2.如权利要求1所述的方法,其特征在于,所述的步骤C之后进一步包括步骤D,动态主机配置DHCP服务器检查动态主机配置DHCP Release报文中的字段是否与存放于动态主机配置DHCP服务器中的客户位置信息的记录相符;步骤E,动态主机配置DHCP Release报文中的字段与记录相符,则动态主机配置DHCP服务器回收动态主机配置DHCP Release报文的动态主机配置DHCP客户端IP地址。
3.如权利要求1所述的方法,其特征在于,所述的DHCP中继模块包括动态主机配置DHCP中继或者接入节点。
4.如权利要求1所述的方法,其特征在于,所述的客户位置信息包括标识客户唯一性信息的代理电路ID信息或者代理远程ID信息。
5.如权利要求1所述的方法,其特征在于,所述的步骤D进一步包括,若动态主机配置DHCP Release报文中的字段所绑定的客户位置信息与记录不相符,则动态主机配置DHCP服务器丢弃此动态主机配置DHCP Release报文。
6.如权利要求1所述的方法,其特征在于,所述的主机配置DHCP Release报文中的字段为Option 82字段。
7.一种提高网络动态地址配置DHCP安全性的系统,其特征在于,包括动态主机配置DHCP客户端、DHCP中继模块和动态主机配置DHCP服务器,其中,所述的动态主机配置DHCP客户端用于释放IP地址,发送动态主机配置DHCP Release报文到动态主机配置DHCP中继模块;所述的DHCP中继模块用于捕获动态主机配置客户端发送的动态主机配置DHCP Release报文,在动态主机配置DHCP Release报文中绑定客户位置信息,并将其发送给动态主机配置协议DHCP服务器;所述的动态主机配置DHCP服务器包括检查模块,该检查模块用于检查动态主机配置DHCP Release报文中是否与存放于动态主机配置DHCP服务器中的客户位置信息的记录相符;若检查结果为是,则动态主机配置DHCP服务器回收发送该动态主机配置DHCP Release报文的客户端的IP地址。
全文摘要
本发明涉及通信技术领域,特别公开了一种提高网络动态地址配置DHCP安全性的方法。所述方法,通过DHCP中继代理在客户端的DHCP IP地址释放请求报文中加入能够代表客户唯一性的信息,从而解决现有技术中同一DHCP服务器管理下的客户都可以仿冒其它客户终端进行攻击所带来的网络安全问题。
文档编号H04L29/12GK1859409SQ20061003450
公开日2006年11月8日 申请日期2006年3月17日 优先权日2006年3月17日
发明者肖燕健, 肖平 申请人:华为技术有限公司