[发明专利]安全表项的管理方法、装置、设备及机器可读存储介质

说明书

本公开提供一种安全表项的管理方法、装置、设备及机器可读存储介质，该方法包括：在为DHCP客户端分配IP地址后，确定DHCP客户端的IP地址和MAC地址；向DHCP中继发送第一消息，第一消息携带所述IP地址和所述MAC地址；所述第一消息用于使DHCP中继在安全表项中记录所述IP地址和所述MAC地址的对应关系，使DHCP中继根据所述安全表项对接收到的认证报文进行过滤；在所述DHCP客户端下线后，确定DHCP客户端的IP地址和MAC地址；向DHCP中继发送第二消息，所述第二消息携带所述IP地址和所述MAC地址；所述第二消息用于使DHCP中继从所述安全表项中删除所述IP地址和所述MAC地址的对应关系。通过本公开的技术方案，避免认证服务器对大量非法认证报文进行处理，节约认证服务器的处理资源。

技术领域

本发明涉及通信技术领域，尤其涉及一种安全表项的管理方法、装置、设备及机器可读存储介质。

背景技术

DHCP(Dynamic Host Configuration Protocol，动态主机配置协议)可以采用客户端/服务器模式，由DHCP服务器(Server)为DHCP客户端(Client)动态分配IP地址。而且，当DHCP客户端和DHCP服务器处于不同的物理网段时，DHCP客户端还可以通过DHCP中继(Relay)与DHCP服务器进行通信。

DHCP客户端以广播方式发送DHCP-DISCOVER(发现)报文，DHCP中继接收到DHCP-DISCOVER报文后，单播转发给指定的DHCP服务器，DHCP服务器接收到DHCP-DISCOVER报文后，选择空闲IP地址，并通过DHCP中继向DHCP客户端发送DHCP-OFFER(提供)报文，其中携带该IP地址。

DHCP客户端收到DHCP-OFFER报文后，以广播方式发送DHCP-REQUEST(请求)报文，其中携带该IP地址，DHCP中继接收到DHCP-REQUEST报文后，单播转发给该DHCP服务器，DHCP服务器接收到DHCP-REQUEST报文后，如果确认将该IP地址分配给DHCP客户端，则通过DHCP中继向DHCP客户端发送DHCP-ACK(确认)报文，如果不能将该IP地址分配给DHCP客户端，则通过DHCP中继向DHCP客户端发送DHCP-NAK(否认)报文。

基于上述过程，DHCP客户端可以申请到IP地址，并利用IP地址执行认证过程，在认证通过后可以访问网络。但是某些应用场景下，非法用户会伪造IP地址，而不是采用DHCP方式申请IP地址。然后，非法用户利用伪造的IP地址构造大量认证请求报文，并发送给认证服务器。认证服务器处理这些认证请求报文时，浪费大量资源，对认证服务器造成攻击，影响正常用户的上线认证。

发明内容

本公开提供一种安全表项的管理方法，应用于DHCP服务器，包括：

在为DHCP客户端分配IP地址后，确定所述DHCP客户端对应的IP地址和MAC地址；向所述DHCP客户端对应的DHCP中继发送第一消息，所述第一消息携带所述IP地址和所述MAC地址；其中，所述第一消息用于使所述DHCP中继在安全表项中记录所述IP地址和所述MAC地址的对应关系，并使所述DHCP中继根据所述安全表项对接收到的认证报文进行过滤；

在所述DHCP客户端下线后，确定所述DHCP客户端对应的IP地址和MAC地址；向所述DHCP客户端对应的所述DHCP中继发送第二消息，所述第二消息携带所述IP地址和所述MAC地址；其中，所述第二消息用于使所述DHCP中继从所述安全表项中删除所述IP地址和所述MAC地址的对应关系。

本公开提供一种安全表项的管理方法，应用于DHCP中继，包括：

若接收到DHCP服务器发送的第一消息，则根据所述第一消息携带的DHCP客户端的IP地址和MAC地址，在安全表项中记录所述IP地址和所述MAC地址的对应关系，并根据所述安全表项对接收到的认证报文进行过滤，所述第一消息是所述DHCP服务器为DHCP客户端分配IP地址后发送的；