技術領域

本發明涉及網絡信息安全領域，尤其是涉及一種DHCP的IP地址安全配置方法。

背景技術

動態主機設置協議(Dynamic?Host?Configuration?Protocol，DHCP)是一種適用于局域網的網絡協議，在傳輸層使用UDP協議工作，主要有兩個用途：

1、給內部網絡用戶自動分配IP地址；

2、作為網絡管理員集中管理內網計算機的一種手段。

在IP網絡中，每個連接Internet的設備都需要分配唯一的IP地址。DHCP使網絡管理員能從中心結點監控和分配IP地址。當某臺計算機移到網絡中的其它位置時，能自動收到新的IP地址。

目前酒店、商場等開放性的網絡環境一般都依賴于DHCP服務來分配IP地址的網絡，如果網絡中出現非法的DHCP服務器，會給整個網絡帶來嚴重的影響，這種影響包括客戶機不能正確獲得IP地址，從而無法正常連接網絡，也包括由于客戶機獲得人為偽造的非法IP地址配置，而導致的各種安全隱患(如網關偽造，DNS域名服務器偽造等)。上述問題通過現有的技術手段很難得到有效的解決：

1、非法DHCP服務器的接入，無法用技術手段從更本上來避免，而只能通過加強人工管理來緩解；

2、基于DHCP協議的固有屬性(廣播、明文傳輸)，惡意軟件可以很容易的截獲、篡改、偽造DHCP數據包，從而影響、控制客戶機的網絡配置；

3、只要非法的DHCP數據包符合DHCP協議，客戶機將無法識別：目前主流的DHCP客戶端實現，基本上采用先到先得的原則選擇DHCP?OFFER，這種方式沒有任何安全保證；而且某些DHCP客戶端實現，可以根據DHCP?OFFER中的內容進行一定的篩選，比如指定DHCP服務器的IP地址。在這種情況下，惡意DHCP服務器依然可以對其它不被篩選的內容進行篡改，發送偽造的數據包。

發明內容

本發明的目的就是為了克服上述現有技術存在的缺陷而提供一種安全性高的DHCP的IP地址配置方法。

本發明的目的可以通過以下技術方案來實現：

一種DHCP的IP地址安全配置方法，該方法包括以下步驟：

1)在DHCP服務器發送的報文中增加一自定義選項；

2)當DHCP服務器發送DHCP?OFFER報文時對其進行數字簽名，并將該數字簽名寫入自定義選項中，一起發送至客戶機；

3)客戶機在接收到DHCP?OFFER報文時檢查數據簽名，通過數據簽名篩選出合法的DHCP?OFFER報文，并進行后續配置流程，完成IP地址配置。

該方法中DHCP報文的收發流程具體包括以下步驟：

(a)客戶機維護一個變量Selected-OFFER，用于存儲一個當前選中的DHCP?OFFER報文；

(b)客戶機向DHCP服務器發出DHCP?DISCOVER報文，并啟動定時器，并清空變量Selected-OFFER；

(c)客戶機等待接收來自DHCP服務器應答的DHCP?OFFER報文；

(d)若在定時器時效內未收到DHCP?OFFER報文，則執行步驟(i)，若在定時器時效內，如果收到DHCP?OFFER報文，則執行步驟(e)；

(e)檢查DHCP?OFFER報文中是否包含數字簽名；若為否，則執行步驟(h)；若為是，則執行步驟(f)；

(f)檢查DHCP?OFFER報文中的數字簽名，若數字簽名錯誤，丟棄此DHCPOFFER報文，返回步驟(c)；若數字簽名正確，則執行步驟(g)；

(g)接受該DHCP?OFFER報文，并將其設置為變量Selected-OFFER，同時停止定時器，結束DHCP?OFFER報文的篩選，并進行后續配置流程；

(h)若此時變量Selected-OFFER為空，則將該DHCP?OFFER報文設置為變量Selected-OFFER，然后返回步驟(c)；若此時變量Selected-OFFER不為空，則丟棄此DHCP?OFFER，然后返回步驟(c)；

(i)檢查變量Selected-OFFER是否為空，若為空，則IP地址配置失敗，退出；若變量Selected-OFFER不為空，則根據變量Selected-OFFER內的DHCP?OFFER報文進行后續配置流程。

所述的后續配置流程為：客戶機處理DHCP?OFFER報文并向DHCP服務器發送DHCP?REQUEST報文，DHCP服務器在收到DHCP?REQUEST報文后，響應一個DHCP?ACK報文給客戶機完成IP地址配置。