CN103391331A - 一种dhcp的ip地址安全配置方法 - Google Patents
一种dhcp的ip地址安全配置方法 Download PDFInfo
- Publication number
- CN103391331A CN103391331A CN2012101485388A CN201210148538A CN103391331A CN 103391331 A CN103391331 A CN 103391331A CN 2012101485388 A CN2012101485388 A CN 2012101485388A CN 201210148538 A CN201210148538 A CN 201210148538A CN 103391331 A CN103391331 A CN 103391331A
- Authority
- CN
- China
- Prior art keywords
- dhcp
- message
- offer
- dhcp offer
- dynamic host
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明涉及一种DHCP的IP地址安全配置方法,该方法包括以下步骤:1)在DHCP服务器发送的报文中增加一自定义选项;2)当DHCP服务器发送DHCPOFFER报文时对其进行数字签名,并将该数字签名写入自定义选项中,一起发送至客户机;3)客户机在接收到DHCP OFFER报文时检查数据签名,通过数据签名筛选出合法的DHCP OFFER报文,并进行后续配置流程,完成IP地址配置。与现有技术相比,本发明具有安全性高的优点。
Description
技术领域
本发明涉及网络信息安全领域,尤其是涉及一种DHCP的IP地址安全配置方法。
背景技术
动态主机设置协议(Dynamic Host Configuration Protocol,DHCP)是一种适用于局域网的网络协议,在传输层使用UDP协议工作,主要有两个用途:
1、给内部网络用户自动分配IP地址;
2、作为网络管理员集中管理内网计算机的一种手段。
在IP网络中,每个连接Internet的设备都需要分配唯一的IP地址。DHCP使网络管理员能从中心结点监控和分配IP地址。当某台计算机移到网络中的其它位置时,能自动收到新的IP地址。
目前酒店、商场等开放性的网络环境一般都依赖于DHCP服务来分配IP地址的网络,如果网络中出现非法的DHCP服务器,会给整个网络带来严重的影响,这种影响包括客户机不能正确获得IP地址,从而无法正常连接网络,也包括由于客户机获得人为伪造的非法IP地址配置,而导致的各种安全隐患(如网关伪造,DNS域名服务器伪造等)。上述问题通过现有的技术手段很难得到有效的解决:
1、非法DHCP服务器的接入,无法用技术手段从更本上来避免,而只能通过加强人工管理来缓解;
2、基于DHCP协议的固有属性(广播、明文传输),恶意软件可以很容易的截获、篡改、伪造DHCP数据包,从而影响、控制客户机的网络配置;
3、只要非法的DHCP数据包符合DHCP协议,客户机将无法识别:目前主流的DHCP客户端实现,基本上采用先到先得的原则选择DHCP OFFER,这种方式没有任何安全保证;而且某些DHCP客户端实现,可以根据DHCP OFFER中的内容进行一定的筛选,比如指定DHCP服务器的IP地址。在这种情况下,恶意DHCP服务器依然可以对其它不被筛选的内容进行篡改,发送伪造的数据包。
发明内容
本发明的目的就是为了克服上述现有技术存在的缺陷而提供一种安全性高的DHCP的IP地址配置方法。
本发明的目的可以通过以下技术方案来实现:
一种DHCP的IP地址安全配置方法,该方法包括以下步骤:
1)在DHCP服务器发送的报文中增加一自定义选项;
2)当DHCP服务器发送DHCP OFFER报文时对其进行数字签名,并将该数字签名写入自定义选项中,一起发送至客户机;
3)客户机在接收到DHCP OFFER报文时检查数据签名,通过数据签名筛选出合法的DHCP OFFER报文,并进行后续配置流程,完成IP地址配置。
该方法中DHCP报文的收发流程具体包括以下步骤:
(a)客户机维护一个变量Selected-OFFER,用于存储一个当前选中的DHCPOFFER报文;
(b)客户机向DHCP服务器发出DHCP DISCOVER报文,并启动定时器,并清空变量Selected-OFFER;
(c)客户机等待接收来自DHCP服务器应答的DHCP OFFER报文;
(d)若在定时器时效内未收到DHCP OFFER报文,则执行步骤(i),若在定时器时效内,如果收到DHCP OFFER报文,则执行步骤(e);
(e)检查DHCP OFFER报文中是否包含数字签名;若为否,则执行步骤(h);若为是,则执行步骤(f);
(f)检查DHCP OFFER报文中的数字签名,若数字签名错误,丢弃此DHCPOFFER报文,返回步骤(c);若数字签名正确,则执行步骤(g);
(g)接受该DHCP OFFER报文,并将其设置为变量Selected-OFFER,同时停止定时器,结束DHCP OFFER报文的筛选,并进行后续配置流程;
(h)若此时变量Selected-OFFER为空,则将该DHCP OFFER报文设置为变量Selected-OFFER,然后返回步骤(c);若此时变量Selected-OFFER不为空,则丢弃此DHCP OFFER,然后返回步骤(c);
(i)检查变量Selected-OFFER是否为空,若为空,则IP地址配置失败,退出;若变量Selected-OFFER不为空,则根据变量Selected-OFFER内的DHCP OFFER报文进行后续配置流程。
所述的后续配置流程为:客户机处理DHCP OFFER报文并向DHCP服务器发送DHCP REQUEST报文,DHCP服务器在收到DHCP REQUEST报文后,响应一个DHCP ACK报文给客户机完成IP地址配置。
与现有技术相比,本发明具有以下优点:
1、出于对原有系统的兼容性考虑,客户机依然可以选择未经数字签名的DHCPOFFER,此时依据先到先得的原则。
2、客户机在选择DHCP OFFER的时候,采用延时机制,可以有效的对应非法DHCP OFFER先于合法DHCP OFFER到达的情况。合法DHCP OFFER只要在定时器时效内到达即可。
3、数字签名是一项成熟的安全技术,可以有效的避免恶意软件对合法DHCPOFFER进行的篡改与伪造。客户机可以有效的识别出所接收到的DHCP OFFER中的内容,是否是由合法的服务器生成。
4、对DHCP OFFER的数字签名,可以只基于特定的关键数据项,根据不同网络的不同需求,其范围可以有所变更。
附图说明
图1为本发明的流程图。
具体实施方式
下面结合附图和具体实施例对本发明进行详细说明。
实施例
如图1所示,一种DHCP的IP地址安全配置方法,该方法包括以下步骤:
(a)客户机维护一个变量Selected-OFFER,用于存储一个当前选中的DHCPOFFER报文;
(b)客户机向DHCP服务器发出DHCP DISCOVER报文,并启动定时器,并清空变量Selected-OFFER;
(c)客户机等待接收来自DHCP服务器应答的DHCP OFFER报文;
(d)若在定时器时效内未收到DHCP OFFER报文,则执行步骤(i),若在定时器时效内,如果收到DHCP OFFER报文,则执行步骤(e);
(e)检查DHCP OFFER报文中是否包含数字签名;若为否,则执行步骤(h);若为是,则执行步骤(f);
(f)检查DHCP OFFER报文中的数字签名,若数字签名错误,丢弃此DHCPOFFER报文,返回步骤(c);若数字签名正确,则执行步骤(g);
(g)接受该DHCP OFFER报文,并将其设置为变量Selected-OFFER,同时停止定时器,结束DHCP OFFER报文的筛选,并进行后续配置流程;
(h)若此时变量Selected-OFFER为空,则将该DHCP OFFER报文设置为变量Selected-OFFER,然后返回步骤(c);若此时变量Selected-OFFER不为空,则丢弃此DHCP OFFER,然后返回步骤(c);
(i)检查变量Selected-OFFER是否为空,若为空,则IP地址配置失败,退出;若变量Selected-OFFER不为空,则根据变量Selected-OFFER内的DHCP OFFER报文进行后续配置流程。
所述的后续配置流程为:客户机处理DHCP OFFER报文并向DHCP服务器发送DHCP REQUEST报文,DHCP服务器在收到DHCP REQUEST报文后,响应一个DHCPACK报文给客户机完成IP地址配置。
Claims (3)
1.一种DHCP的IP地址安全配置方法,其特征在于,该方法包括以下步骤:
1)在DHCP服务器发送的报文中增加一自定义选项;
2)当DHCP服务器发送DHCP OFFER报文时对其进行数字签名,并将该数字签名写入自定义选项中,一起发送至客户机;
3)客户机在接收到DHCP OFFER报文时检查数据签名,通过数据签名筛选出合法的DHCP OFFER报文,并进行后续配置流程,完成IP地址配置。
2.根据权利要求1所述的一种DHCP的IP地址安全配置方法,其特征在于,该方法中DHCP报文的收发流程具体包括以下步骤:
(a)客户机维护一个变量Selected-OFFER,用于存储一个当前选中的DHCPOFFER报文;
(b)客户机向DHCP服务器发出DHCP DISCOVER报文,并启动定时器,并清空变量Selected-OFFER;
(c)客户机等待接收来自DHCP服务器应答的DHCP OFFER报文;
(d)若在定时器时效内未收到DHCP OFFER报文,则执行步骤(i),若在定时器时效内,如果收到DHCP OFFER报文,则执行步骤(e);
(e)检查DHCP OFFER报文中是否包含数字签名;若为否,则执行步骤(h);若为是,则执行步骤(f);
(f)检查DHCP OFFER报文中的数字签名,若数字签名错误,丢弃此DHCPOFFER报文,返回步骤(c);若数字签名正确,则执行步骤(g);
(g)接受该DHCP OFFER报文,并将其设置为变量Selected-OFFER,同时停止定时器,结束DHCP OFFER报文的筛选,并进行后续配置流程;
(h)若此时变量Selected-OFFER为空,则将该DHCP OFFER报文设置为变量Selected-OFFER,然后返回步骤(c);若此时变量Selected-OFFER不为空,则丢弃此DHCP OFFER,然后返回步骤(c);
(i)检查变量Selected-OFFER是否为空,若为空,则IP地址配置失败,退出;若变量Selected-OFFER不为空,则根据变量Selected-OFFER内的DHCP OFFER报文进行后续配置流程。
3.根据权利要求1或2所述的一种DHCP的IP地址安全配置方法,其特征在于,所述的后续配置流程为:客户机处理DHCP OFFER报文并向DHCP服务器发送DHCP REQUEST报文,DHCP服务器在收到DHCP REQUEST报文后,响应一个DHCP ACK报文给客户机完成IP地址配置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210148538.8A CN103391331B (zh) | 2012-05-11 | 2012-05-11 | 一种dhcp的ip地址安全配置方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210148538.8A CN103391331B (zh) | 2012-05-11 | 2012-05-11 | 一种dhcp的ip地址安全配置方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103391331A true CN103391331A (zh) | 2013-11-13 |
CN103391331B CN103391331B (zh) | 2016-12-14 |
Family
ID=49535486
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210148538.8A Expired - Fee Related CN103391331B (zh) | 2012-05-11 | 2012-05-11 | 一种dhcp的ip地址安全配置方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103391331B (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6308061B1 (en) * | 1996-08-07 | 2001-10-23 | Telxon Corporation | Wireless software upgrades with version control |
CN101083660A (zh) * | 2007-05-30 | 2007-12-05 | 北京润汇科技有限公司 | 基于会话控制的动态地址分配协议的ip网认证鉴权方法 |
CN101471934A (zh) * | 2007-12-28 | 2009-07-01 | 三星电子株式会社 | 动态主机配置协议中双向加密及身份鉴权的方法 |
CN102231725A (zh) * | 2010-03-25 | 2011-11-02 | 北京星网锐捷网络技术有限公司 | 一种动态主机配置协议报文的认证方法、设备及系统 |
CN102413205A (zh) * | 2011-12-23 | 2012-04-11 | 华为技术有限公司 | 一种ip地址分配方法及相关中继设备、服务器和系统 |
-
2012
- 2012-05-11 CN CN201210148538.8A patent/CN103391331B/zh not_active Expired - Fee Related
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6308061B1 (en) * | 1996-08-07 | 2001-10-23 | Telxon Corporation | Wireless software upgrades with version control |
CN101083660A (zh) * | 2007-05-30 | 2007-12-05 | 北京润汇科技有限公司 | 基于会话控制的动态地址分配协议的ip网认证鉴权方法 |
CN101471934A (zh) * | 2007-12-28 | 2009-07-01 | 三星电子株式会社 | 动态主机配置协议中双向加密及身份鉴权的方法 |
CN102231725A (zh) * | 2010-03-25 | 2011-11-02 | 北京星网锐捷网络技术有限公司 | 一种动态主机配置协议报文的认证方法、设备及系统 |
CN102413205A (zh) * | 2011-12-23 | 2012-04-11 | 华为技术有限公司 | 一种ip地址分配方法及相关中继设备、服务器和系统 |
Also Published As
Publication number | Publication date |
---|---|
CN103391331B (zh) | 2016-12-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102263774B (zh) | 一种处理源角色信息的方法和装置 | |
CN101179603B (zh) | IPv6网络中用于控制用户网络接入的方法和装置 | |
CN102025792B (zh) | 路由器及其ip地址设置方法 | |
CN101741702B (zh) | 实现arp请求广播限制的方法和装置 | |
CN106559292A (zh) | 一种宽带接入方法和装置 | |
CN100546304C (zh) | 一种提高网络动态主机配置dhcp安全性的方法和系统 | |
JP2007036374A (ja) | パケット転送装置、通信網及びパケット転送方法 | |
CN101902482B (zh) | 基于IPv6自动配置实现终端安全准入控制的方法和系统 | |
EP3720075B1 (en) | Data transmission method and virtual switch | |
CN104010049A (zh) | 基于sdn的以太网ip报文封装方法及网络隔离和dhcp实现方法 | |
US20080192751A1 (en) | Method and system for service provision | |
CN103414709A (zh) | 用户身份绑定、协助绑定的方法及装置 | |
EP3175580B1 (en) | System, gateway and method for an improved quality of service, qos, in a data stream delivery | |
EP2466796B1 (en) | User access method, system and access server, access device | |
CN110493366A (zh) | 一种接入点加入网络管理的方法及装置 | |
CN102437946B (zh) | 一种接入控制的方法、nas设备及认证服务器 | |
CN1921496B (zh) | 一种dhcp客户端识别dhcp服务器的方法 | |
CN103701713A (zh) | AP路由器基于wifi密码进行QoS调度的方法 | |
CN105049546A (zh) | 一种dhcp服务器为客户端分配ip地址的方法及装置 | |
WO2016082335A1 (zh) | Ip地址分配方法、同轴电缆中间转换器及系统 | |
US20120300776A1 (en) | Method for creating virtual link, communication network element, and ethernet network system | |
CN105933235A (zh) | 数据通信方法及装置 | |
CN102594808A (zh) | 一种防止DHCPv6服务器欺骗的系统及方法 | |
US8737413B2 (en) | Relay server and relay communication system | |
CN103634844A (zh) | 分布式多端口dhcp中继的实现方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
TR01 | Transfer of patent right | ||
TR01 | Transfer of patent right |
Effective date of registration: 20190521 Address after: 2000 72 No. 149 Yanchang Road, Jing'an District, Shanghai Patentee after: SHANGHAI UNIVERSITY SCIENCE AND TECHNOLOGY PARK CO., LTD. Address before: Room 602B, 149 Yanchang Road, Zhabei District, Shanghai 200072 Patentee before: Shanghai Yoshiba Electronic Information Technology Co., Ltd. |
|
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20161214 Termination date: 20200511 |