[发明专利]一种基于linux网桥的3DES解密DHCP option 60的方法

说明书

本发明公开了一种基于linux网桥的3DES解密DHCP option 60的方法，包括如下步骤：步骤一：首先在linux内核的网桥中识别DHCP报文；步骤二：将收到的DHCP报文解析出option 60字段，并将获得的option 60字段转发到认证过滤模块；步骤三：通过认证过滤模块解密option 60字段，并将解密出的option 60字段的合法信息发送到带有linux网桥的网络设备。通过本发明，可以做到接入终端的第一级网关进行过滤未认证的请求，从而大大减少网络广播数据包。

技术领域

本发明涉及网络通信领域，具体是一种基于linux网桥的3DES解密DHCP option60的方法。

背景技术

在IPv4 DHCP协议RFC 2131中定义了允许客户端指定它的供应商类型(vendortype )（选项60），以及客户端和服务器交换厂商特定信息(vendor-specific information )（选项43）两个选项。DHCP客户端和服务器可以使用这个选项来交换厂商特定信息。

DHCP客户端可以通过OPTION 60来携带特定信息，比如在OPTION 60中携带用户名和密码来实现鉴权认证功能。实际使用中DHCP客户端可以对option 60携带的认证信息采用加密算法来防止信息泄露。DHCP客户端使用KEY生成3DES密文并通过option 60携带该密文发给DHCP服务器。DHCP服务器使用相同的KEY来解密出option 60中的认证信息。在确认认证信息的正确性后，通过认证进行下一步的操作。

linux下的网桥是一个高层次的二层虚拟设备，内核通过一个虚拟的网桥设备来实现数据链路层的网络报文转发。运行着linux内核的机器本身就是一台主机，有可能就是网络报文的中转站也可能是目的地。网关设备收到的报文要么转发要么丢弃，DHCP服务器收到的报文要么丢弃，要么送到网络协议栈的上层进行处理。因此基于linux的DHCP 服务器在收到DHCP请求报文时常规的处理是先在网桥判断报文是要丢弃不处理还是直接送到本机的网络协议栈上层进行dhcp解析，然后根据前面提到的OPTION 60信息进行判断是否回复DHCP offer。

在对DHCP有认证要求的组网环境中可以使用这种方式来避免未授权的设备获取ip。这种方式对DHCP 服务器加入认证判断功能即可，但更复杂的网络拓扑结构中DHCP 服务器的负担会比较重。

发明内容

本发明的目的在于克服现有技术的不足，提供一种基于linux网桥的3DES解密DHCP option 60的方法,包括如下步骤：

步骤一：首先在linux内核的网桥中识别DHCP报文；

步骤二：将收到的DHCP报文解析出option 60字段，并将获得的option 60字段转发到认证过滤模块；

步骤三：通过认证过滤模块解密option 60字段，并将解密出的option 60字段的合法信息发送到带有linux网桥的网络设备。

进一步的，所述的认证过滤模块包括option 60字段获取模块、3DES解码模块、认证判断模块，所述的option 60字段获取模块用于提取DHCP报文中的option 60字段，提取到的option 60字段通过3DES解码模块解码获得option 60字段携带的认证信息，认证判断模块判断认证信息是否合法。

进一步的，认证过滤模块的判断过程包括如下过程：首先判断DHCP报文是否包含option 60字段，若没有option 60字段则丢弃DHCP报文不做转发，若有option 60字段则取出option 60字段，然后进行3DES解密，解密成功后通过认证判断模块判断是否是合法的认证信息，若是合法的认证信息则转发至带有linux网桥的网络设备，否则丢弃不转发。