CN103188257A - 一种实现dhcp客户端与服务器安全交互的装置 - Google Patents
一种实现dhcp客户端与服务器安全交互的装置 Download PDFInfo
- Publication number
- CN103188257A CN103188257A CN2012101832260A CN201210183226A CN103188257A CN 103188257 A CN103188257 A CN 103188257A CN 2012101832260 A CN2012101832260 A CN 2012101832260A CN 201210183226 A CN201210183226 A CN 201210183226A CN 103188257 A CN103188257 A CN 103188257A
- Authority
- CN
- China
- Prior art keywords
- dhcp
- configuration protocol
- host configuration
- dynamic host
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种实现DHCP客户端与服务器安全交互的装置,包括DHCP客户端和DHCP服务器,在所述DHCP客户端预先设定所述的DHCP服务器的IP地址;当所述的DHCP客户端与所述的DHCP服务器进行交互时,所述的DHCP客户端从收到的DHCP服务器发送的DHCP询价报文中提取DHCP服务器的IP地址,然后与所述的预先设定DHCP服务器的IP地址比较,从而限制与所述的DHCP客户端交互的DHCP服务器;确保了所选择的服务器是安全可靠的,无需DHCP服务器做任何改变,仅是在客户端进行事先配置,报文交互时进行判断,在实际应用场景中,具有明显安全性特点。
Description
技术领域
本发明涉及一种实现DHCP客户端与服务器安全交互的装置。
背景技术
DHCP协议是在UDP和IP协议的基础上运行,由于其运作机制比较开放,它有很多不安全因素。例如,在网络中存在多台DHCP服务器,很容易给网络造成混乱。我们可以根据DCHP的常规工作流程做一分析,该常规工作流程包括发现阶段、提供阶段、选择阶段和确认阶段,如图l和图2.
发现阶段,即DHCP客户端寻找DHCP服务器的阶段。DHCP客户端以广播方式(因为DHCP服务器的IP地址对于客户端来说是未知的)发送DHCP discover发现信息来寻找DHCP服务器,网络上每一台安装了TCP/IP协议的主机都会接收到这种广播信息,但只有DHCP服务器才会做出响应。
提供阶段,即DHCP服务器提供IP地址的阶段。在网络中接收到DHCP discover发现信息的DHCP服务器都会做出响应,它从尚未出租的IP地址中挑选一个分配给DHCP客户端,向DHCP客户端发送一个包含出租的IP地址和其他设置的DHCP offer提供信息。
选择阶段,即DHCP客户端选择某台DHCP服务器提供的IP地址的阶段。如果有多台DHCP服务器向DHCP客户端发来的DHCP offer提供信息,则DHCP客户端只接受第一个收到的DHCP offer提供信息,然后它就以广播方式回答一个DHCP request请求信息,该信息中包含向它所选定的DHCP服务器请求IP地址的内容。
确认阶段,即DHCP服务器确认所提供的IP地址的阶段。当DHCP服务器收到DHCP客户端回答的DHCP request请求信息之后,它便向DHCP客户端发送一个包含它所提供的IP地址和其他设置的DHCP ACK确认信息,告诉DHCP客户端可以使用它所提供的IP地址。
根据DHCP协议DHCP客户端在发现阶段寻找可用的DHCP服务器,也就是通过发送查询报文在众多DHCP服务器中查找可用的DHCP服务器,由于网络中存在多台DHCP服务器,容易网络的安全性问题,例如网络中出现不安全的DHCP服务器等,关于上述问题,很多厂商给出了各自的解决方案,例如,Cisco提出的DHCP snooping技术,过滤非信任的DHCP响应报文,从而保证DHCP网络安全。
本发明提出另外一种对于DHCP客户端(client)是一种简单的安全装置,它不需服务器(server)做任何改变,仅是在客户端(client)进行事先配置,报文交互时进行判断。在实际应用场景中,具有明显安全性的特点。
发明内容
为了解决上述技术问题,本发明提供了DHCP客户端与服务器安全交互的装置。
一种实现DHCP客户端与服务器安全交互的装置,所述的实现DHCP客户端与服务器安全交互的装置包括DHCP客户端和DHCP服务器,所述DHCP客户端和DHCP服务器通过DCHP报文进行连接,所述DHCP客户端和DHCP服务器通过以广播方式发送DHCP发现报文寻找DHCP服务器;
所述的DHCP服务器将向所述DHCP客户端发送DHCP询价报文,然后所述的DHCP服务器接收所述DHCP客户端回答的DHCP请求报文,并向DHCP客户端发送一个包含其所提供的IP地址和其他设置的DHCP确认报文,在所述的DHCP客户端预先设定所述的DHCP服务器的IP地址;
当所述的DHCP客户端与所述的DHCP服务器进行交互连接时,所述的DHCP客户端从收到的DHCP服务器发送的DHCP询价报文中提取DHCP服务器的IP地址,然后与所述的预先设定DHCP服务器的IP地址比较,从而限制与所述的DHCP客户端交互连接的DHCP服务器。
当预先设定DHCP服务器的IP地址与DHCP服务器的IP地址匹配时,则所述DHCP客户端与所述DHCP服务器继续进行交互连接,所述DHCP客户端以广播方式回答DHCP请求报文方式连接所述DHCP服务器。
当DHCP客户端主动释放DHCP服务器分配给所述DHCP客户端的IP地址的释放地址报文时,所述DHCP服务器收到所述释放地址报文后回收所述DHCP客户端的IP地址和断开与所述DHCP服务器的连接。
当预先设定DHCP服务器的IP地址与DHCP服务器的IP地址不匹配时,所述的DHCP客户端忽略所述的DHCP询价报文,所述的DHCP客户端继续以广播方式发送DHCP发现报文来寻找DHCP服务器。
所述DHCP报文的格式包括操作码、硬件类型、硬件地址长度、跳数、事务、秒数、标志、客户IP地址、服务器IP地址、中继代理IP地址、客户硬件地址、服务器的主机名、启动文件名和选项。
所述DHCP报文的名称包括DHCP发现报文、DHCP询价报文、DHCP请求报文、DHCP确认报文和DHCP释放地址报文。
本发明提出的技术方案采用了预先设定DHCP服务器的IP地址,确保了所选择的服务器是安全可靠的,无需DHCP服务器(server)做任何改变,仅是在客户端(client)进行事先配置,报文交互时进行判断,在实际应用场景中,具有明显安全性。
附图说明
图l为DHCP客户端和服务器交互结构图
图2为DHCP客户端状态迁移图
图3为改进后的DHCP客户端和服务器交互结构图
具体实施方式
下面结合附图1具体说明实现DHCP客户端与服务器安全交互的装置,一种实现DHCP客户端与服务器安全交互的装置,所述的实现DHCP客户端与服务器安全交互的装置包括DHCP客户端和DHCP服务器,所述DHCP客户端和DHCP服务器通过DCHP报文进行连接,所述DHCP客户端和DHCP服务器通过以广播方式发送DHCP发现报文寻找DHCP服务器;
所述的DHCP服务器将向所述DHCP客户端发送DHCP询价报文,然后所述的DHCP服务器接收所述DHCP客户端回答的DHCP请求报文,并向DHCP客户端发送一个包含其所提供的IP地址和其他设置的DHCP确认报文,在所述的DHCP客户端预先设定所述的DHCP服务器的IP地址;
当所述的DHCP客户端与所述的DHCP服务器进行交互连接时,所述的DHCP客户端从收到的DHCP服务器发送的DHCP询价报文中提取DHCP服务器的IP地址,然后与所述的预先设定DHCP服务器的IP地址比较,从而限制与所述的DHCP客户端交互连接的DHCP服务器。
当预先设定DHCP服务器的IP地址与DHCP服务器的IP地址匹配时,则所述DHCP客户端与所述DHCP服务器继续进行交互连接,所述DHCP客户端以广播方式回答DHCP请求报文方式连接所述DHCP服务器。
当DHCP客户端主动释放DHCP服务器分配给所述DHCP客户端的IP地址的释放地址报文时,所述DHCP服务器收到所述释放地址报文后回收所述DHCP客户端的IP地址和断开与所述DHCP服务器的连接。
当预先设定DHCP服务器的IP地址与DHCP服务器的IP地址不匹配时,所述的DHCP客户端忽略所述的DHCP询价报文,所述的DHCP客户端继续以广播方式发送DHCP发现报文来寻找DHCP服务器。
所述DHCP报文的格式包括操作码、硬件类型、硬件地址长度、跳数、事务、秒数、标志、客户IP地址、服务器IP地址、中继代理IP地址、客户硬件地址、服务器的主机名、启动文件名和选项。
所述DHCP报文的名称包括DHCP发现报文、DHCP询价报文、DHCP请求报文、DHCP确认报文和DHCP释放地址报文。
DHCP协议采用CLIENT-SERVER方式进行交互,图l展示了DHCP交互过程时序,表1为报文格式内容,表2为8种报文以及含义,其中8种报文信息由表1报文格式中的“选项”的“DHCP message type”确定。
表1报文格式
表2报文名称及含义
在DHCP客户端预先设定DHCP服务器的IP地址。DHCP客户端以广播方式发送DHCP discover发现信息来寻找DHCP服务器,即向地址255.255.255.255发送特定的广播信息。网络上每一台安装了TCP/IP协议的主机都会接收到这种广播信息,但只有DHCP服务器才会做出响应。
在网络中接收到DHCP discover发现信息的DHCP服务器将做出响应,它从尚未出租的IP地址中挑选一个分配给DHCP客户端,向DHCP客户端发送一个包含出租的IP地址和其他设置的DHCP offer报文。
当DHCP客户端接收DHCP服务器的DHCP offer报文时,DHCP客户端从收到的DHCP服务器应答报文中提取DHCP服务器的IP地址,然后与预先设定DHCP服务器的IP地址比较,从而限制与DHCP客户端交互的DHCP服务器。
当预先设定DHCP服务器的IP地址与DHCP服务器的IP地址匹配时,则DHCP客户端以广播方式回答一个DHCP request请求信息,该信息中包含向它所选定的DHCP服务器请求IP地址的内容;
当DHCP服务器收到DHCP客户端回答的DHCP request请求信息之后,它便向DHCP客户端发送一个包含它所提供的IP地址和其他设置的DHCP ACK确认信息,告诉DHCP客户端可以使用它所提供的IP地址。然后DHCP客户端便将其TCP/IP协议与网卡绑定,另外除DHCP客户端选中的服务器外,其他的DHCP服务器都将收回曾提供的IP地址。
另外,当预先设定DHCP服务器的IP地址与DHCP服务器的IP地址不匹配时,DHCP客户端所述的忽略DHCPOFFER报文,DHCP客户端继续以广播方式发送DHCP discover发现信息来寻找DHCP服务器,如图3所示。
Claims (6)
1.一种实现DHCP客户端与服务器安全文互的装置,其特征在于:所述的实现DHCP客户端与服务器安全交互的装置包括DHCP客户端和DHCP服务器,所述DHCP客户端和DHCP服务器通过DCHP报文进行交互连接,所述DHCP客户端和DHCP服务器通过以广播方式发送DHCP发现报文寻找DHCP服务器;
所述的DHCP服务器将向所述DHCP客户端发送DHCP询价报文,然后所述的DHCP服务器接收所述DHCP客户端回答的DHCP请求报文,并向DHCP客户端发送一个包含其所提供的IP地址和其他设置的DHCP确认报文,在所述的DHCP客户端预先设定所述的DHCP服务器的IP地址;
当所述的DHCP客户端与所述的DHCP服务器进行交互连接时,所述的DHCP客户端从收到的DHCP服务器发送的DHCP询价报文中提取DHCP服务器的IP地址,然后与所述的预先设定DHCP服务器的IP地址比较,从而限制与所述的DHCP客户端交互连接的DHCP服务器。
2.根据权利要求1所述的实现DHCP客户端与服务器安全交互的装置,其特征在于:当预先设定DHCP服务器的IP地址与DHCP服务器的IP地址匹配时,则所述DHCP客户端与所述DHCP服务器继续进行交互连接,所述DHCP客户端以广播方式回答DHCP请求报文方式连接所述DHCP服务器。
3.根据权利1或2所述的实现DHCP客户端和服务器安全交互的装置,其特征在于:当DHCP客户端主动释放DHCP服务器分配给所述DHCP客户端的IP地址的释放地址报文时,所述DHCP服务器收到所述释放地址报文后回收所述DHCP客户端的IP地址和断开与所述DHCP服务器的连接。
4.根据权利要求1所述的实现DHCP客户端与服务器安全交互的装置,其特征在于:当预先设定DHCP服务器的IP地址与DHCP服务器的IP地址不匹配时,所述的DHCP客户端忽略所述的DHCP询价报文,所述的DHCP客户端继续以广播方式发送DHCP发现报文来寻找DHCP服务器。
5.根据权利要求1~4任一所述的实现DHCP客户端与服务器安全交互的装置,其特征在于:所述DHCP报文的格式包括操作码、硬件类型、硬件地址长度、跳数、事务、秒数、标志、客户IP地址、服务器IP地址、中继代理IP地址、客户硬件地址、服务器的主机名、启动文件名和选项。
6.根据权利要求1~4任一所述的实现DHCP客户端与服务器安全交互的装置,其特征在于:所述DHCP报文的名称包括DHCP发现报文、DHCP询价报文、DHCP请求报文、DHCP确认报文和DHCP释放地址报文。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2012101832260A CN103188257A (zh) | 2011-12-28 | 2012-06-05 | 一种实现dhcp客户端与服务器安全交互的装置 |
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201120559438 | 2011-12-28 | ||
CN201120559438.5 | 2011-12-28 | ||
CN2012101832260A CN103188257A (zh) | 2011-12-28 | 2012-06-05 | 一种实现dhcp客户端与服务器安全交互的装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN103188257A true CN103188257A (zh) | 2013-07-03 |
Family
ID=48679226
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2012101832260A Pending CN103188257A (zh) | 2011-12-28 | 2012-06-05 | 一种实现dhcp客户端与服务器安全交互的装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103188257A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107707689A (zh) * | 2017-10-31 | 2018-02-16 | 迈普通信技术股份有限公司 | 一种dhcp报文处理方法、dhcp服务器及网关设备 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1859409A (zh) * | 2006-03-17 | 2006-11-08 | 华为技术有限公司 | 一种提高网络动态主机配置dhcp安全性的方法和系统 |
WO2008010184A2 (en) * | 2006-07-17 | 2008-01-24 | Utstarcom Telecom Co., Ltd | Ip address assignment method based on dhcp extension options |
CN101227356A (zh) * | 2007-12-12 | 2008-07-23 | 深圳市同洲电子股份有限公司 | 基于动态主机配置协议的网络接入方法、系统和设备 |
CN101465756A (zh) * | 2009-01-14 | 2009-06-24 | 杭州华三通信技术有限公司 | 使非法dhcp服务自动失效的方法和装置及dhcp服务器 |
CN101527740A (zh) * | 2009-05-05 | 2009-09-09 | 杭州华三通信技术有限公司 | 一种动态地址分配的方法、装置及系统 |
CN101553804A (zh) * | 2006-10-21 | 2009-10-07 | 拿丕.Com有限公司 | 处理本土语言因特网地址的方法及保存执行该方法的程序的存储介质 |
CN101715009A (zh) * | 2009-12-28 | 2010-05-26 | 北京星网锐捷网络技术有限公司 | 一种安全的地址分配方法、检测装置、设备和系统 |
CN102185724A (zh) * | 2011-05-30 | 2011-09-14 | 杭州华三通信技术有限公司 | 一种地址的管理方法和设备 |
-
2012
- 2012-06-05 CN CN2012101832260A patent/CN103188257A/zh active Pending
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1859409A (zh) * | 2006-03-17 | 2006-11-08 | 华为技术有限公司 | 一种提高网络动态主机配置dhcp安全性的方法和系统 |
WO2008010184A2 (en) * | 2006-07-17 | 2008-01-24 | Utstarcom Telecom Co., Ltd | Ip address assignment method based on dhcp extension options |
CN101553804A (zh) * | 2006-10-21 | 2009-10-07 | 拿丕.Com有限公司 | 处理本土语言因特网地址的方法及保存执行该方法的程序的存储介质 |
CN101227356A (zh) * | 2007-12-12 | 2008-07-23 | 深圳市同洲电子股份有限公司 | 基于动态主机配置协议的网络接入方法、系统和设备 |
CN101465756A (zh) * | 2009-01-14 | 2009-06-24 | 杭州华三通信技术有限公司 | 使非法dhcp服务自动失效的方法和装置及dhcp服务器 |
CN101527740A (zh) * | 2009-05-05 | 2009-09-09 | 杭州华三通信技术有限公司 | 一种动态地址分配的方法、装置及系统 |
CN101715009A (zh) * | 2009-12-28 | 2010-05-26 | 北京星网锐捷网络技术有限公司 | 一种安全的地址分配方法、检测装置、设备和系统 |
CN102185724A (zh) * | 2011-05-30 | 2011-09-14 | 杭州华三通信技术有限公司 | 一种地址的管理方法和设备 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107707689A (zh) * | 2017-10-31 | 2018-02-16 | 迈普通信技术股份有限公司 | 一种dhcp报文处理方法、dhcp服务器及网关设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3041183B1 (en) | Remote wireless screen sharing method, device and system | |
US9356974B2 (en) | Systems and methods for establishing a Wi-Fi display (WFD) session | |
CN103475751B (zh) | 一种ip地址切换的方法及装置 | |
JP5335881B2 (ja) | 多重ネットワーク環境におけるピア・ツー・ピア接続システム及び方法 | |
US10819761B2 (en) | Electronic device and method for controlling electronic device | |
NO332231B1 (no) | Metode for a parre datamaskiner og videokonferanseinnretninger | |
CN101431464A (zh) | 一种优选客户端之间数据传输路径的方法及其装置 | |
CN103873472A (zh) | 一种自动连接网络的方法 | |
IN2012DN00910A (zh) | ||
CN104270302B (zh) | 在线订单的传送系统及传送方法 | |
CN103476027A (zh) | 一种移动终端的文件传输方法 | |
CN103634172A (zh) | 一种多终端协同信息处理方法、装置及系统 | |
CN107529229A (zh) | 数据传输的方法,装置及系统 | |
CN103618795A (zh) | 跨设备的文件处理方法、客户端和服务器 | |
CN101009593A (zh) | 一种实现终端和伪终端设备绑定的方法、装置及系统 | |
CN102904902A (zh) | 一种基于dhcp旁路阻断方法 | |
CN103188257A (zh) | 一种实现dhcp客户端与服务器安全交互的装置 | |
CN101883147A (zh) | 一种实现多方视频共享的方法和系统 | |
US10375175B2 (en) | Method and apparatus for terminal application accessing NAS | |
CN107733979A (zh) | 数据推送方法、服务器及系统 | |
US20150373000A1 (en) | System and method for connecting to security device by means of peer-to-peer (p2p) relay demon | |
CN111092911B (zh) | 一种增强安全性的网络代理实现方法 | |
CN1972227A (zh) | 一种通配注册方法和系统 | |
US8443421B2 (en) | Method and apparatus for implementing communication of stand-alone software | |
CN102546520A (zh) | 在多平台系统中实现语音信息互通的方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20130703 |