本發明公開了一種基于linux網橋的3DES解密DHCP option 60的方法，包括如下步驟：步驟一：首先在linux內核的網橋中識別DHCP報文；步驟二：將收到的DHCP報文解析出option 60字段，并將獲得的option 60字段轉發到認證過濾模塊；步驟三：通過認證過濾模塊解密option 60字段，并將解密出的option 60字段的合法信息發送到帶有linux網橋的網絡設備。通過本發明，可以做到接入終端的第一級網關進行過濾未認證的請求，從而大大減少網絡廣播數據包。

技術領域

本發明涉及網絡通信領域，具體是一種基于linux網橋的3DES解密DHCP option60的方法。

背景技術

在IPv4 DHCP協議RFC 2131中定義了允許客戶端指定它的供應商類型(vendortype )（選項60），以及客戶端和服務器交換廠商特定信息(vendor-specific information )（選項43）兩個選項。DHCP客戶端和服務器可以使用這個選項來交換廠商特定信息。

DHCP客戶端可以通過OPTION 60來攜帶特定信息，比如在OPTION 60中攜帶用戶名和密碼來實現鑒權認證功能。實際使用中DHCP客戶端可以對option 60攜帶的認證信息采用加密算法來防止信息泄露。DHCP客戶端使用KEY生成3DES密文并通過option 60攜帶該密文發給DHCP服務器。DHCP服務器使用相同的KEY來解密出option 60中的認證信息。在確認認證信息的正確性后，通過認證進行下一步的操作。

linux下的網橋是一個高層次的二層虛擬設備，內核通過一個虛擬的網橋設備來實現數據鏈路層的網絡報文轉發。運行著linux內核的機器本身就是一臺主機，有可能就是網絡報文的中轉站也可能是目的地。網關設備收到的報文要么轉發要么丟棄，DHCP服務器收到的報文要么丟棄，要么送到網絡協議棧的上層進行處理。因此基于linux的DHCP 服務器在收到DHCP請求報文時常規的處理是先在網橋判斷報文是要丟棄不處理還是直接送到本機的網絡協議棧上層進行dhcp解析，然后根據前面提到的OPTION 60信息進行判斷是否回復DHCP offer。

在對DHCP有認證要求的組網環境中可以使用這種方式來避免未授權的設備獲取ip。這種方式對DHCP 服務器加入認證判斷功能即可，但更復雜的網絡拓撲結構中DHCP 服務器的負擔會比較重。

發明內容

本發明的目的在于克服現有技術的不足，提供一種基于linux網橋的3DES解密DHCP option 60的方法,包括如下步驟：

步驟一：首先在linux內核的網橋中識別DHCP報文；

步驟二：將收到的DHCP報文解析出option 60字段，并將獲得的option 60字段轉發到認證過濾模塊；

步驟三：通過認證過濾模塊解密option 60字段，并將解密出的option 60字段的合法信息發送到帶有linux網橋的網絡設備。

進一步的，所述的認證過濾模塊包括option 60字段獲取模塊、3DES解碼模塊、認證判斷模塊，所述的option 60字段獲取模塊用于提取DHCP報文中的option 60字段，提取到的option 60字段通過3DES解碼模塊解碼獲得option 60字段攜帶的認證信息，認證判斷模塊判斷認證信息是否合法。

進一步的，認證過濾模塊的判斷過程包括如下過程：首先判斷DHCP報文是否包含option 60字段，若沒有option 60字段則丟棄DHCP報文不做轉發，若有option 60字段則取出option 60字段，然后進行3DES解密，解密成功后通過認證判斷模塊判斷是否是合法的認證信息，若是合法的認證信息則轉發至帶有linux網橋的網絡設備，否則丟棄不轉發。