本发明涉及网络通信领域,具体是一种基于linux网桥的3des解密dhcpoption60的方法。
背景技术:
在ipv4dhcp协议rfc2131中定义了允许客户端指定它的供应商类型(vendortype)(选项60),以及客户端和服务器交换厂商特定信息(vendor-specificinformation)(选项43)两个选项。dhcp客户端和服务器可以使用这个选项来交换厂商特定信息。
dhcp客户端可以通过option60来携带特定信息,比如在option60中携带用户名和密码来实现鉴权认证功能。实际使用中dhcp客户端可以对option60携带的认证信息采用加密算法来防止信息泄露。dhcp客户端使用key生成3des密文并通过option60携带该密文发给dhcp服务器。dhcp服务器使用相同的key来解密出option60中的认证信息。在确认认证信息的正确性后,通过认证进行下一步的操作。
linux下的网桥是一个高层次的二层虚拟设备,内核通过一个虚拟的网桥设备来实现数据链路层的网络报文转发。运行着linux内核的机器本身就是一台主机,有可能就是网络报文的中转站也可能是目的地。网关设备收到的报文要么转发要么丢弃,dhcp服务器收到的报文要么丢弃,要么送到网络协议栈的上层进行处理。因此基于linux的dhcp服务器在收到dhcp请求报文时常规的处理是先在网桥判断报文是要丢弃不处理还是直接送到本机的网络协议栈上层进行dhcp解析,然后根据前面提到的option60信息进行判断是否回复dhcpoffer。
在对dhcp有认证要求的组网环境中可以使用这种方式来避免未授权的设备获取ip。这种方式对dhcp服务器加入认证判断功能即可,但更复杂的网络拓扑结构中dhcp服务器的负担会比较重。
技术实现要素:
本发明的目的在于克服现有技术的不足,提供一种基于linux网桥的3des解密dhcpoption60的方法,包括如下步骤:
步骤一:首先在linux内核的网桥中识别dhcp报文;
步骤二:将收到的dhcp报文解析出option60字段,并将获得的option60字段转发到认证过滤模块;
步骤三:通过认证过滤模块解密option60字段,并将解密出的option60字段的合法信息发送到带有linux网桥的网络设备。
进一步的,所述的认证过滤模块包括option60字段获取模块、3des解码模块、认证判断模块,所述的option60字段获取模块用于提取dhcp报文中的option60字段,提取到的option60字段通过3des解码模块解码获得option60字段携带的认证信息,认证判断模块判断认证信息是否合法。
进一步的,认证过滤模块的判断过程包括如下过程:首先判断dhcp报文是否包含option60字段,若没有option60字段则丢弃dhcp报文不做转发,若有option60字段则取出option60字段,然后进行3des解密,解密成功后通过认证判断模块判断是否是合法的认证信息,若是合法的认证信息则转发至带有linux网桥的网络设备,否则丢弃不转发。
进一步的,所述的带有linux网桥的网络设备为带有linux网桥的3des解密dhcpoption60功能的网络设备。
进一步的,所述的linux网桥的网络设备若为dhcp服务器,合法的认证信息则转发至dhcp服务器。
进一步的,dhcp客户端使用key生成3des密文并通过option60携带该密文发给dhcp服务器。
本发明的有益效果是:通过部署带有linux网桥3des解密dhcpoption60功能的网关设备来实现降低dhcp服务器负载的功能。并且使用该功能可以做到接入终端的第一级网关进行过滤未认证的请求,从而大大减少网络广播数据包。
附图说明
图1为一种基于linux网桥的3des解密dhcpoption60的方法的流程示意图;
图2为网关设备dhcp数据处理流程示意图;
图3为一种具体实施的网络拓扑示意图;
图4为dhcp交互流程示意图;
图5为linuxdhcpsever数据流向示意图。
具体实施方式
下面结合附图进一步详细描述本发明的技术方案,但本发明的保护范围不局限于以下所述。
如图1所示,一种基于linux网桥的3des解密dhcpoption60的方法,包括如下步骤:
步骤一:首先在linux内核的网桥中识别dhcp报文;
步骤二:将收到的dhcp报文解析出option60字段,并将获得的option60字段转发到认证过滤模块;
步骤三:通过认证过滤模块解密option60字段,并将解密出的option60字段的合法信息发送到带有linux网桥的网络设备;
认证过滤模块包括option60字段获取模块、3des解码模块、认证判断模块,所述的option60字段获取模块用于提取dhcp报文中的option60字段,提取到的option60字段通过3des解码模块解码获得option60字段携带的认证信息,认证判断模块判断认证信息是否合法。
认证过滤模块的判断过程包括如下过程:首先判断dhcp报文是否包含option60字段,如果没有option60字段则丢弃不做转发,如果有option60字段则取出option60字段的信息然后进行3des解密,解密成功并通过认证判断模块判断是否是合法的认证信息,若是合法的认证信息则转发至带有linux网桥的网络设备,否则丢弃不转发。
带有linux网桥的网络设备为带有linux网桥的3des解密dhcpoption60功能的网络设备。若linux网桥的网络设备为dhcp服务器,合法的认证信息则转发至dhcp服务器。
可以通过部署带有linux网桥3des解密dhcpoption60功能的网关设备来实现降低dhcp服务器负载的功能。并且使用该功能可以做到接入终端的第一级网关进行过滤未认证的请求,从而大大减少网络广播数据包。
在网关或者dhcp服务器上部署带有linux网桥的网络设备,在linux网桥(即内核层)实现dhcpoption60的解析并3des解密模块来判断dhcp请求报文是继续转发或者是丢弃还是自己处理(如果是dhcp服务器收到时则自己处理)。
在网关设备上首先在linux内核中的网桥中识别dhcp报文,然后对收到的dhcp报文解析option60字段,如下图所示通过实现一个认证过滤模块来判断。首先判断dhcp报文有没有option60,如果没有option60则丢弃不做转发,如果有option60则取出option60字段的信息然后进行3des解密,解密成功并判断是否是合法的认证信息,如果是合法的则转发,否则丢弃不转发。
在dhcp服务器上也可以使用同样的方式来优化对认证信息的初步判断。通过了的dhcp报文则从linux内核传递给dhcp应用程序来做dhcp相应的处理。
具体的,在实际使用中可以通过部署具备改功能的dhcp服务器和网关以及普通交换机来组成一个具备认证要求的拓扑网络环境。
如图3所示,网关b设备具备linux网桥的3des解密dhcpoption60功能作为一个交换机会对其下挂设备进行dhcp认证判断。如果下挂设备的dhcp请求中的option60使用了3des加密的认证信息(认证信息可以是特定的字符串或者邮箱地址,这个可以根据实际情况而定,本列中使用特定的字符串specialnet),那么则把dhcp请求报文转给dhcp服务器,否则丢弃不转发,对应的设备也就无法获取ip。其数据处理流程如流程图4所示。
普通交换机c会直接转发c下挂设备的dhcp请求到dhcp服务器a,由服务器a来判断是否分配ip给c下挂的设备。
dhcp服务器a具备linux网桥的3des解密dhcpoption60功能,会判断收到的dhcp请求中的option60是否是3des加密的specialnet,如果是则分配ip给对应的设备,如果不是则不分配ip。dhcp服务器使用linux系统,其数据处理流程如流程图2所示。
具体的,首先在linux内核的网桥中识别到dhcp报文;将识别到的dhcp报文解析出option60字段,并将获得的option60字段转发到认证过滤模块;通过认证过滤模块解密option60字段,并将解密出的option60字段的合法信息发送到带有linux网桥的网络设备。
具体的认证过滤模块包含option60字段获取模块、3des解码模块、认证判断模块,option60字段获取模块用于提取识别到的dhcp报文中的option60字段,提取到的option60字段通过3des解码模块解码,解码获得option60字段携带的认证信息,认证判断模块判断认证信息是否合法,如果合法则转发到对应的网络设备中,不合法则丢弃信息。
认证过滤模块的判断过程具体包括如下过程:首先判断dhcp报文是否包含option60字段,若没有option60字段则丢弃dhcp报文不做转发,若有option60字段则取出option60字段,然后进行3des解密,解密成功后通过认证判断模块判断是否是合法的认证信息,若是合法的认证信息则转发至带有linux网桥的网络设备,否则丢弃不转发。
所述的带有linux网桥的网络设备为带有linux网桥的3des解密dhcpoption60功能的网络设备。所述的linux网桥的网络设备若为dhcp服务器,合法的认证信息则转发至dhcp服务器。
因此,通过部署带有linux网桥的3des解密dhcpoption60功能的设备,实现分担dhcp服务器在复杂的网络拓扑结构中,dhcp服务器在对dhcp有认证要求的组网环境中来避免未授权的设备获取ip时的较重的负担。
以上所述仅是本发明的优选实施方式,应当理解本发明并非局限于本文所披露的形式,不应看作是对其他实施例的排除,而可用于各种其他组合、修改和环境,并能够在本文所述构想范围内,通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围,则都应在本发明所附权利要求的保护范围内。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
如需转载请保留出处:https://bianchenghao.cn/38309.html