技術領域

本發明涉及一種實現DHCP客戶端與服務器安全交互的裝置。

背景技術

DHCP協議是在UDP和IP協議的基礎上運行，由于其運作機制比較開放，它有很多不安全因素。例如，在網絡中存在多臺DHCP服務器，很容易給網絡造成混亂。我們可以根據DCHP的常規工作流程做一分析，該常規工作流程包括發現階段、提供階段、選擇階段和確認階段，如圖l和圖2.

發現階段，即DHCP客戶端尋找DHCP服務器的階段。DHCP客戶端以廣播方式(因為DHCP服務器的IP地址對于客戶端來說是未知的)發送DHCP?discover發現信息來尋找DHCP服務器，網絡上每一臺安裝了TCP/IP協議的主機都會接收到這種廣播信息，但只有DHCP服務器才會做出響應。

提供階段，即DHCP服務器提供IP地址的階段。在網絡中接收到DHCP?discover發現信息的DHCP服務器都會做出響應，它從尚未出租的IP地址中挑選一個分配給DHCP客戶端，向DHCP客戶端發送一個包含出租的IP地址和其他設置的DHCP?offer提供信息。

選擇階段，即DHCP客戶端選擇某臺DHCP服務器提供的IP地址的階段。如果有多臺DHCP服務器向DHCP客戶端發來的DHCP?offer提供信息，則DHCP客戶端只接受第一個收到的DHCP?offer提供信息，然后它就以廣播方式回答一個DHCP?request請求信息，該信息中包含向它所選定的DHCP服務器請求IP地址的內容。

確認階段，即DHCP服務器確認所提供的IP地址的階段。當DHCP服務器收到DHCP客戶端回答的DHCP?request請求信息之后，它便向DHCP客戶端發送一個包含它所提供的IP地址和其他設置的DHCP?ACK確認信息，告訴DHCP客戶端可以使用它所提供的IP地址。

根據DHCP協議DHCP客戶端在發現階段尋找可用的DHCP服務器，也就是通過發送查詢報文在眾多DHCP服務器中查找可用的DHCP服務器，由于網絡中存在多臺DHCP服務器，容易網絡的安全性問題，例如網絡中出現不安全的DHCP服務器等，關于上述問題，很多廠商給出了各自的解決方案，例如，Cisco提出的DHCP?snooping技術，過濾非信任的DHCP響應報文，從而保證DHCP網絡安全。

本發明提出另外一種對于DHCP客戶端(client)是一種簡單的安全裝置，它不需服務器(server)做任何改變，僅是在客戶端(client)進行事先配置，報文交互時進行判斷。在實際應用場景中，具有明顯安全性的特點。

發明內容

為了解決上述技術問題，本發明提供了DHCP客戶端與服務器安全交互的裝置。

一種實現DHCP客戶端與服務器安全交互的裝置，所述的實現DHCP客戶端與服務器安全交互的裝置包括DHCP客戶端和DHCP服務器，所述DHCP客戶端和DHCP服務器通過DCHP報文進行連接，所述DHCP客戶端和DHCP服務器通過以廣播方式發送DHCP發現報文尋找DHCP服務器；

所述的DHCP服務器將向所述DHCP客戶端發送DHCP詢價報文，然后所述的DHCP服務器接收所述DHCP客戶端回答的DHCP請求報文，并向DHCP客戶端發送一個包含其所提供的IP地址和其他設置的DHCP確認報文，在所述的DHCP客戶端預先設定所述的DHCP服務器的IP地址；

當所述的DHCP客戶端與所述的DHCP服務器進行交互連接時，所述的DHCP客戶端從收到的DHCP服務器發送的DHCP詢價報文中提取DHCP服務器的IP地址，然后與所述的預先設定DHCP服務器的IP地址比較，從而限制與所述的DHCP客戶端交互連接的DHCP服務器。

當預先設定DHCP服務器的IP地址與DHCP服務器的IP地址匹配時，則所述DHCP客戶端與所述DHCP服務器繼續進行交互連接，所述DHCP客戶端以廣播方式回答DHCP請求報文方式連接所述DHCP服務器。

當DHCP客戶端主動釋放DHCP服務器分配給所述DHCP客戶端的IP地址的釋放地址報文時，所述DHCP服務器收到所述釋放地址報文后回收所述DHCP客戶端的IP地址和斷開與所述DHCP服務器的連接。

當預先設定DHCP服務器的IP地址與DHCP服務器的IP地址不匹配時，所述的DHCP客戶端忽略所述的DHCP詢價報文，所述的DHCP客戶端繼續以廣播方式發送DHCP發現報文來尋找DHCP服務器。