CN108123955A - 安全表项的管理方法、装置、设备及机器可读存储介质 - Google Patents
安全表项的管理方法、装置、设备及机器可读存储介质 Download PDFInfo
- Publication number
- CN108123955A CN108123955A CN201711445467.7A CN201711445467A CN108123955A CN 108123955 A CN108123955 A CN 108123955A CN 201711445467 A CN201711445467 A CN 201711445467A CN 108123955 A CN108123955 A CN 108123955A
- Authority
- CN
- China
- Prior art keywords
- dhcp
- message
- address
- mac address
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000003860 storage Methods 0.000 title claims abstract description 32
- 238000007726 management method Methods 0.000 title claims abstract description 18
- 238000000034 method Methods 0.000 claims abstract description 61
- 230000008569 process Effects 0.000 claims abstract description 23
- 238000012217 deletion Methods 0.000 claims description 26
- 230000037430 deletion Effects 0.000 claims description 26
- 238000012545 processing Methods 0.000 claims description 22
- 238000001914 filtration Methods 0.000 claims description 9
- 238000003032 molecular docking Methods 0.000 abstract 1
- 238000010586 diagram Methods 0.000 description 20
- 238000001514 detection method Methods 0.000 description 9
- 238000004590 computer program Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 6
- 230000003287 optical effect Effects 0.000 description 5
- 230000000737 periodic effect Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 238000012546 transfer Methods 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- GNFTZDOKVXKIBK-UHFFFAOYSA-N 3-(2-methoxyethoxy)benzohydrazide Chemical compound COCCOC1=CC=CC(C(=O)NN)=C1 GNFTZDOKVXKIBK-UHFFFAOYSA-N 0.000 description 1
- FGUUSXIOTUKUDN-IBGZPJMESA-N C1(=CC=CC=C1)N1C2=C(NC([C@H](C1)NC=1OC(=NN=1)C1=CC=CC=C1)=O)C=CC=C2 Chemical compound C1(=CC=CC=C1)N1C2=C(NC([C@H](C1)NC=1OC(=NN=1)C1=CC=CC=C1)=O)C=CC=C2 FGUUSXIOTUKUDN-IBGZPJMESA-N 0.000 description 1
- YTAHJIFKAKIKAV-XNMGPUDCSA-N [(1R)-3-morpholin-4-yl-1-phenylpropyl] N-[(3S)-2-oxo-5-phenyl-1,3-dihydro-1,4-benzodiazepin-3-yl]carbamate Chemical compound O=C1[C@H](N=C(C2=C(N1)C=CC=C2)C1=CC=CC=C1)NC(O[C@H](CCN1CCOCC1)C1=CC=CC=C1)=O YTAHJIFKAKIKAV-XNMGPUDCSA-N 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000004140 cleaning Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/5014—Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/618—Details of network addresses
- H04L2101/622—Layer-2 addresses, e.g. medium access control [MAC] addresses
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本公开提供一种安全表项的管理方法、装置、设备及机器可读存储介质,该方法包括:在为DHCP客户端分配IP地址后,确定DHCP客户端的IP地址和MAC地址;向DHCP中继发送第一消息,第一消息携带所述IP地址和所述MAC地址;所述第一消息用于使DHCP中继在安全表项中记录所述IP地址和所述MAC地址的对应关系,使DHCP中继根据所述安全表项对接收到的认证报文进行过滤;在所述DHCP客户端下线后,确定DHCP客户端的IP地址和MAC地址;向DHCP中继发送第二消息,所述第二消息携带所述IP地址和所述MAC地址;所述第二消息用于使DHCP中继从所述安全表项中删除所述IP地址和所述MAC地址的对应关系。通过本公开的技术方案,避免认证服务器对大量非法认证报文进行处理,节约认证服务器的处理资源。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种安全表项的管理方法、装置、设备及机器可读存储介质。
背景技术
DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)可以采用客户端/服务器模式,由DHCP服务器(Server)为DHCP客户端(Client)动态分配IP地址。而且,当DHCP客户端和DHCP服务器处于不同的物理网段时,DHCP客户端还可以通过DHCP中继(Relay)与DHCP服务器进行通信。
DHCP客户端以广播方式发送DHCP-DISCOVER(发现)报文,DHCP中继接收到DHCP-DISCOVER报文后,单播转发给指定的DHCP服务器,DHCP服务器接收到DHCP-DISCOVER报文后,选择空闲IP地址,并通过DHCP中继向DHCP客户端发送DHCP-OFFER(提供)报文,其中携带该IP地址。
DHCP客户端收到DHCP-OFFER报文后,以广播方式发送DHCP-REQUEST(请求)报文,其中携带该IP地址,DHCP中继接收到DHCP-REQUEST报文后,单播转发给该DHCP服务器,DHCP服务器接收到DHCP-REQUEST报文后,如果确认将该IP地址分配给DHCP客户端,则通过DHCP中继向DHCP客户端发送DHCP-ACK(确认)报文,如果不能将该IP地址分配给DHCP客户端,则通过DHCP中继向DHCP客户端发送DHCP-NAK(否认)报文。
基于上述过程,DHCP客户端可以申请到IP地址,并利用IP地址执行认证过程,在认证通过后可以访问网络。但是某些应用场景下,非法用户会伪造IP地址,而不是采用DHCP方式申请IP地址。然后,非法用户利用伪造的IP地址构造大量认证请求报文,并发送给认证服务器。认证服务器处理这些认证请求报文时,浪费大量资源,对认证服务器造成攻击,影响正常用户的上线认证。
发明内容
本公开提供一种安全表项的管理方法,应用于DHCP服务器,包括:
在为DHCP客户端分配IP地址后,确定所述DHCP客户端对应的IP地址和MAC地址;向所述DHCP客户端对应的DHCP中继发送第一消息,所述第一消息携带所述IP地址和所述MAC地址;其中,所述第一消息用于使所述DHCP中继在安全表项中记录所述IP地址和所述MAC地址的对应关系,并使所述DHCP中继根据所述安全表项对接收到的认证报文进行过滤;
在所述DHCP客户端下线后,确定所述DHCP客户端对应的IP地址和MAC地址;向所述DHCP客户端对应的所述DHCP中继发送第二消息,所述第二消息携带所述IP地址和所述MAC地址;其中,所述第二消息用于使所述DHCP中继从所述安全表项中删除所述IP地址和所述MAC地址的对应关系。
本公开提供一种安全表项的管理方法,应用于DHCP中继,包括:
若接收到DHCP服务器发送的第一消息,则根据所述第一消息携带的DHCP客户端的IP地址和MAC地址,在安全表项中记录所述IP地址和所述MAC地址的对应关系,并根据所述安全表项对接收到的认证报文进行过滤,所述第一消息是所述DHCP服务器为DHCP客户端分配IP地址后发送的;
若接收到DHCP服务器发送的第二消息,则根据所述第二消息携带的DHCP客户端的IP地址和MAC地址,从所述安全表项中删除所述IP地址和所述MAC地址的对应关系,所述第二消息是所述DHCP服务器确定DHCP客户端下线后发送的。
本公开提供一种安全表项的管理装置,应用于DHCP服务器,包括:
确定模块,用于在为DHCP客户端分配IP地址后,确定所述DHCP客户端对应的IP地址和MAC地址;
发送模块,用于向所述DHCP客户端对应的DHCP中继发送第一消息,所述第一消息携带所述IP地址和所述MAC地址;其中,所述第一消息用于使所述DHCP中继在安全表项中记录所述IP地址和所述MAC地址的对应关系,并使所述DHCP中继根据所述安全表项对接收到的认证报文进行过滤;
所述确定模块,还用于在所述DHCP客户端下线后,确定所述DHCP客户端对应的IP地址和MAC地址;
所述发送模块,还用于向DHCP客户端对应的DHCP中继发送第二消息,所述第二消息携带所述IP地址和所述MAC地址;其中,所述第二消息用于使DHCP中继从所述安全表项中删除所述IP地址和所述MAC地址的对应关系。
本公开提供一种一种安全表项的管理装置,应用于DHCP中继,包括:
接收模块,用于接收到DHCP服务器发送的第一消息,所述第一消息是所述DHCP服务器为DHCP客户端分配IP地址后发送的;
处理模块,用于根据所述第一消息携带的DHCP客户端的IP地址和MAC地址,在安全表项中记录所述IP地址和所述MAC地址的对应关系,并根据所述安全表项对接收到的认证报文进行过滤;
所述接收模块,还用于接收到DHCP服务器发送的第二消息,所述第二消息是所述DHCP服务器确定DHCP客户端下线后发送的;
删除模块,用于根据所述第二消息携带的DHCP客户端的IP地址和MAC地址,从所述安全表项中删除所述IP地址和所述MAC地址的对应关系。
本公开提供一种电子设备,包括:处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令;其中,所述处理器用于执行所述机器可执行指令,以实现上述的方法步骤。
本公开提供一种机器可读存储介质,所述机器可读存储介质存储有机器可执行指令,所述机器可执行指令在被处理器调用和执行时,所述机器可执行指令促使所述处理器实现上述的方法步骤。
基于上述技术方案,本公开实施例中,DHCP中继在安全表项记录DHCP客户端的IP地址(DHCP服务器为DHCP客户端分配的IP地址)和MAC(Media Access Control,介质访问控制)的对应关系,并使用安全表项对认证报文进行合法性检测。DHCP中继在接收到认证报文后,若安全表项中存在该认证报文携带的IP地址和MAC地址的对应关系,则转发该认证报文;否则,丢弃该认证报文。基于此,当非法用户利用伪造的IP地址构造大量认证报文时,DHCP中继会丢弃这些认证报文,避免认证服务器对大量非法认证报文进行处理,节约认证服务器的处理资源,不会影响正常用户的上线认证。通过向DHCP中继发送第二消息,以使DHCP中继获知DHCP客户端已经不在线,并删除安全表项中的相关内容,而不需要DHCP中继定期的探测DHCP客户端是否在线,避免对DHCP中继的处理资源造成持续冲击,节约DHCP中继的处理资源。
附图说明
为了更加清楚地说明本公开实施例或者现有技术中的技术方案,下面将对本公开实施例或者现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据本公开实施例的这些附图获得其他的附图。
图1是本公开一种实施方式中的应用场景示意图;
图2是本公开一种实施方式中的安全表项的管理方法的流程图;
图3是本公开另一种实施方式中的安全表项的管理方法的流程图;
图4是本公开一种实施方式中的安全表项的管理装置的结构图;
图5是本公开一种实施方式中的DHCP服务器的硬件结构图;
图6是本公开另一种实施方式中的安全表项的管理装置的结构图;
图7是本公开一种实施方式中的DHCP中继的硬件结构图。
具体实施方式
在本公开实施例使用的术语仅仅是出于描述特定实施例的目的,而非限制本公开。本公开和权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其它含义。还应当理解,本文中使用的术语“和/或”是指包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本公开实施例可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本公开范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,此外,所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
本公开实施例提出一种安全表项的管理方法,该方法可以应用于包括DHCP服务器、DHCP客户端和DHCP中继的系统。其中,DHCP客户端可以部署在用户设备,如PC(PersonalComputer,个人计算机)、移动终端、笔记本电脑等,对此用户设备的类型不做限制。此外,DHCP服务器可以是独立的服务器,也可以部署在BRAS(Broadband Remote Access Server,宽带远程接入服务器)设备,对此不做限制。当DHCP客户端和DHCP服务器处于不同的物理网段时,DHCP中继可以实现DHCP客户端与DHCP服务器之间的通信。
参见图1所示,为本公开实施例的应用场景示意图,以DHCP服务器部署在BRAS设备为例进行说明,此外,以两个DHCP中继为例进行说明,在实际应用中,DHCP中继的数量可以更多,也可以为一个,对此数量不做限制。
在上述应用场景下,参见图2所示,为本公开实施例中的安全表项的管理方法的流程图,该方法可以应用于DHCP服务器,该方法可以包括以下步骤:
步骤201,在为DHCP客户端分配IP地址后,则确定该DHCP客户端对应的IP地址和MAC(Media Access Control,介质访问控制)地址。
其中,DHCP服务器为DHCP客户端分配IP地址的过程中,若DHCP服务器接收到DHCP-REQUEST报文,并确认将IP地址分配给DHCP客户端,则成功为该DHCP客户端分配IP地址,然后,可以确定该DHCP客户端对应的IP地址(即DHCP服务器为DHCP客户端分配的IP地址)和MAC地址。
步骤202,向该DHCP客户端对应的DHCP中继发送第一消息,该第一消息携带该DHCP客户端对应的IP地址和MAC地址;其中,该第一消息用于使该DHCP中继在安全表项中记录该IP地址和该MAC地址的对应关系,并使该DHCP中继根据所述安全表项对接收到的认证报文进行过滤。
在一个例子中,针对“向该DHCP客户端对应的DHCP中继发送第一消息”的过程,可以包括但不限于如下方式:方式一、向DHCP中继发送DHCP-ACK消息(即第一消息),该DHCP-ACK消息可以携带Yiaddr字段和Chaddr字段,该Yiaddr字段用于携带DHCP客户端对应的IP地址,该Chaddr字段用于携带DHCP客户端对应的MAC地址。方式二、向DHCP中继发送高层建立消息(即第一消息),该高层建立消息可以携带特定TLV(Type Length Value,类型长度值),且特定TLV用于携带DHCP客户端对应的IP地址和MAC地址。
在方式一中,DHCP服务器接收到DHCP-REQUEST报文,并确认将IP地址分配给DHCP客户端后,可以向DHCP中继发送DHCP-ACK消息(即第一消息),DHCP-ACK消息可以携带DHCP客户端对应的IP地址和MAC地址。
在方式二中,DHCP服务器接收到DHCP-REQUEST报文,并确认将IP地址分配给DHCP客户端后,可以向DHCP中继发送DHCP-ACK消息(方式二中的DHCP-ACK消息不是第一消息),并向DHCP中继发送高层建立消息(即第一消息),高层建立消息可以携带DHCP客户端对应的IP地址和MAC地址。
步骤203,在DHCP客户端下线后,则确定该DHCP客户端对应的IP地址和MAC地址,并向该DHCP客户端对应的DHCP中继发送第二消息,该第二消息携带该DHCP客户端对应的IP地址和MAC地址;其中,该第二消息用于使该DHCP中继从安全表项中删除该IP地址和该MAC地址的对应关系。
在一个例子中,针对DHCP客户端下线的确定过程,还可以包括但不限于:方式一、若DHCP服务器接收到DHCP客户端发送的DHCP-RELEASE(释放)报文,则确定该DHCP客户端下线。方式二、DHCP服务器向DHCP客户端发送检测报文,若在预设时间内未接收到针对该检测报文的响应报文,则确定该DHCP客户端下线。上述过程只是给出了DHCP客户端下线的两个确定方式,对此不做限制,只要是DHCP服务器能够确定DHCP客户端下线即可。
在一个例子中,针对“DHCP服务器向该DHCP客户端对应的DHCP中继发送第二消息”的过程,可以包括但不限于如下方式:DHCP服务器向该DHCP中继发送高层删除消息(即第二消息),该高层删除消息可以携带特定TLV,且该特定TLV用于携带该DHCP客户端对应的IP地址和MAC地址。
在上述实施例中,还可以在所述DHCP服务器与所述DHCP中继之间建立TCP(Transmission Control Protocol,传输控制协议)连接。基于此,DHCP服务器可以通过所述TCP连接向DHCP客户端对应的DHCP中继发送第一消息,并通过所述TCP连接向DHCP客户端对应的DHCP中继发送第二消息。
其中,DHCP服务器与DHCP中继之间可以建立TCP连接。例如,DHCP服务器向DHCP中继发送连接请求报文,DHCP中继接受连接后,向DHCP服务器回复ACK报文,并为这次连接分配资源,DHCP服务器接收到ACK报文后,向DHCP中继发送ACK报文,并为这次连接分配资源,这样,就成功建立TCP连接。又例如,DHCP中继向DHCP服务器发送连接请求报文,DHCP服务器接受连接后,向DHCP中继回复ACK报文,并为这次连接分配资源,DHCP中继接收到ACK报文后,向DHCP服务器发送ACK报文,并为这次连接分配资源,这样,就成功建立TCP连接。上述过程只是给出了建立TCP连接的两个示例,对此TCP连接建立过程不做限制,只要能够建立TCP连接即可。
在TCP连接的基础上,DHCP服务器与DHCP中继之间可以采用高层协议进行交互,即上述高层建立消息/高层删除消息是基于所述高层协议的消息,而且,高层建立消息/高层删除消息可以在TCP连接上传输,也就是说,DHCP服务器通过所述TCP连接将高层建立消息/高层删除消息发送给DHCP中继。
其中,高层协议可以是基于TCP连接的协议,对此高层协议的类型不做限制,只要基于TCP连接即可。例如,高层协议可以包括但不限于:BGP(Border Gateway Protocol,边界网关协议)、HTTP(Hyper Text Transfer Protocol,超文本传输协议)、SMTP(SimpleMail Transfer Protocol,即简单邮件传输协议)、Telnet(远程终端协议)、FTP(FileTransfer Protocol,文件传输协议)等。
进一步的,若高层协议是BGP,则高层建立消息可以是BGP建立消息,且高层删除消息可以是BGP删除消息。若高层协议是HTTP,则高层建立消息可以是HTTP建立消息,且高层删除消息可以是HTTP删除消息。以此类推。
为了方便描述,后续以高层协议是BGP为例进行说明,在传统BGP消息的基础上,BGP建立消息中增加一个特定TLV,且该特定TLV包括Type(类型)字段、Length(长度)字段、Value(值)字段。Type字段的取值为第一标识,第一标识表示当前消息是BGP建立消息;Length字段的取值为特定TLV的长度;Value字段的取值包括但不限于DHCP客户端对应的IP地址和MAC地址。
在传统BGP消息的基础上,BGP删除消息中增加一个特定TLV,且该特定TLV包括Type字段、Length字段、Value字段。Type字段的取值为第二标识,第二标识表示当前消息是BGP删除消息;Length字段的取值为特定TLV的长度;Value字段的取值包括但不限于DHCP客户端对应的IP地址和MAC地址。
在一个例子中,DHCP服务器与DHCP中继之间建立TCP连接的原因可以是:TCP连接稳定、可靠、具有重传机制,因此,基于TCP连接传输BGP建立消息/BGP删除消息时,可以可靠的传输BGP建立消息/BGP删除消息。如果高层协议由于某些原因中断,DHCP中继可以自身完成本地表项的删除和清理。
基于与上述方法同样的构思,参见图3所示,为本公开实施例的安全表项的管理方法的另一流程图,该方法可以应用于DHCP中继,该方法可以包括:
步骤301,若接收到DHCP服务器发送的第一消息,则根据第一消息携带的DHCP客户端的IP地址和MAC地址,在安全表项中记录该IP地址和该MAC地址的对应关系,并根据该安全表项对接收到的认证报文进行过滤。其中,该第一消息是DHCP服务器为DHCP客户端分配IP地址后发送的。
在一个例子中,针对“DHCP中继接收到DHCP服务器发送的第一消息”的过程,可以包括但不限于:方式一、DHCP中继接收DHCP服务器发送的DHCP-ACK消息(即第一消息),该DHCP-ACK消息可以携带Yiaddr字段和Chaddr字段,该Yiaddr字段用于携带DHCP客户端对应的IP地址,该Chaddr字段用于携带DHCP客户端对应的MAC地址。方式二、DHCP中继可以接收DHCP服务器发送的高层建立消息(即第一消息),该高层建立消息可以携带特定TLV,且该特定TLV用于携带DHCP客户端对应的IP地址和MAC地址。
在方式一中,DHCP中继接收到DHCP-ACK消息后,还可以将DHCP-ACK消息发送给DHCP客户端。在方式二中,DHCP中继在接收高层建立消息的基础上,DHCP中继还可以接收到DHCP服务器发送的DHCP-ACK消息,而在接收到DHCP-ACK消息后,还可以将DHCP-ACK消息发送给DHCP客户端。
步骤302,若接收到DHCP服务器发送的第二消息,则根据第二消息携带的DHCP客户端的IP地址和MAC地址,从安全表项中删除该IP地址和该MAC地址的对应关系。该第二消息是DHCP服务器确定DHCP客户端下线后发送的。
在一个例子中,针对“DHCP中继接收到DHCP服务器发送的第二消息”的过程,可以包括但不限于如下方式:DHCP中继可以接收该DHCP服务器发送的高层删除消息(即上述第二消息),该高层删除消息可以携带特定TLV,且该特定TLV用于携带上述DHCP客户端对应的IP地址和MAC地址。
在一个例子中,基于DHCP中继维护的安全表项,根据该安全表项对接收到的认证报文进行过滤的过程,可以包括:该DHCP中继在接收到DHCP客户端发送的认证报文(如认证请求报文)后,还可以从该认证报文中解析出DHCP客户端的IP地址和MAC地址。进一步的,若该安全表项中存在该IP地址和该MAC地址的对应关系,则说明该认证报文是合法的认证报文,因此,可以转发该认证报文;若该安全表项中不存在该IP地址和该MAC地址的对应关系,则说明该认证报文是非法的认证报文,因此,可以丢弃该认证报文。
基于上述方案,在DHCP服务器为DHCP客户端分配IP地址后,可以在该DHCP客户端对应的DHCP中继(即接入的DHCP中继)的安全表项中,记录DHCP客户端的IP地址与DHCP客户端的MAC地址的对应关系,DHCP中继可以使用安全表项对认证报文进行合法性检测,即,若安全表项中存在该认证报文携带的IP地址和MAC地址的对应关系,则转发该认证报文;若安全表项中不存在该认证报文携带的IP地址和MAC地址的对应关系,则丢弃该认证报文。基于此,如果非法用户伪造IP地址(而不是采用DHCP方式申请IP地址),且利用伪造的IP地址构造大量认证报文,则DHCP中继会丢弃这些认证报文,避免将这些认证报文发送给认证服务器,从而避免认证服务器对大量非法认证报文进行处理,节约认证服务器的处理资源,不会影响正常用户的上线认证。
以下结合图1的应用场景,对上述安全表项的管理方法进行详细说明。
步骤a、在DHCP中继111与DHCP服务器121之间建立TCP连接,在DHCP中继112与DHCP服务器121之间建立TCP连接,对此过程不做限制。
步骤b、DHCP客户端101以广播方式发送DHCP-DISCOVER报文,DHCP中继111在接收到DHCP-DISCOVER报文后,单播转发给DHCP服务器121。
步骤c、DHCP服务器121在接收到DHCP-DISCOVER报文后,选择空闲的IP地址1,并向DHCP中继111发送DHCP-OFFER报文,其中携带IP地址1。DHCP中继111将接收到的DHCP-OFFER报文转发给DHCP客户端101。
步骤d、DHCP客户端101接收到DHCP-OFFER报文后,以广播方式发送DHCP-REQUEST报文,其中携带IP地址1、DHCP客户端101的MAC地址1,DHCP中继111收到DHCP-REQUEST报文后,单播转发给DHCP服务器121。
步骤e、DHCP服务器121接收到DHCP-REQUEST报文后,如果确认将IP地址1分配给DHCP客户端101,则向DHCP中继111发送DHCP-ACK报文,其中携带IP地址1和MAC地址1,DHCP中继111将接收到的DHCP-ACK报文转发给DHCP客户端101,至此,DHCP客户端101成功申请到IP地址1。
步骤f、DHCP服务器121在确认将IP地址1分配给DHCP客户端101时,确定DHCP客户端101的IP地址1和MAC地址1(从DHCP-REQUEST报文中获知),通过DHCP服务器121与DHCP中继111之间的TCP连接,向DHCP中继111发送高层建立消息,该高层建立消息携带IP地址1和MAC地址1。
步骤g、DHCP中继111在接收到高层建立消息后,可以从该高层建立消息中解析出DHCP客户端101的IP地址1和MAC地址1,并在安全表项中记录IP地址1和MAC地址1的对应关系,如表1所示,为安全表项的一个示例。
表1
| IP地址 | MAC地址 |
| IP地址1 | MAC地址1 |
| … | … |
步骤h、DHCP中继111接收到DHCP客户端101发送的认证请求报文后,解析出认证请求报文携带的IP地址2(用户伪造的IP地址)和MAC地址1。由于安全表项中不存在IP地址2和MAC地址1的对应关系,因此,DHCP中继111丢弃该认证请求报文,而不是将该认证请求报文发送给认证服务器131。
综上所述,如果非法用户伪造IP地址(如上述IP地址2),且利用伪造的IP地址构造认证请求报文,则DHCP中继111会丢弃该认证请求报文,避免将该认证请求报文发送给认证服务器131,从而节约认证服务器131的处理资源。
基于上述过程,DHCP中继111在安全表项中记录IP地址1和MAC地址1的对应关系,然后,若DHCP客户端101下线,则DHCP中继111还可以从安全表项中删除IP地址1和MAC地址1的对应关系,以下对此过程进行说明。
方式一、为了感知DHCP客户端101是否下线,则DHCP中继111可以定期向DHCP服务器121发送请求报文,如每隔1秒发送一次请求报文,该请求报文可以携带DHCP客户端101的IP地址1。DHCP服务器121在接收到请求报文后,若IP地址1已经下线,则DHCP服务器121向DHCP中继111发送针对该请求报文的ACK报文,表示IP地址1已经下线。DHCP中继111在接收到ACK报文后,则从安全表项中删除IP地址1和MAC地址1的对应关系。若IP地址1没有下线,则DHCP服务器121向DHCP中继111发送针对该请求报文的NAK报文,表示IP地址1没有下线。DHCP中继111在接收到NAK报文后,则等待下一个周期,继续向DHCP服务器121发送请求报文,以此类推。
在上述方式中,DHCP中继111针对安全表项中的每个IP地址进行检测(即定期向DHCP服务器121发送携带该IP地址的请求报文,如DHCP-REQUEST报文),如果接入用户数很多,则安全表项的IP地址数量很多,定期检测的操作,对DHCP中继111的CPU(CentralProcessing Unit,中央处理器)压力很大。
例如,为了及时判断DHCP客户端是否已经下线,则定期检测时间不会太长,如最短为50毫秒,假设安全表项存在256K个安全表项,则每50毫秒就需要发送256K个请求报文,并对256K个ACK报文/NAK报文进行处理,这种定期检测对CPU的压力很大,耗费CPU资源,容易造成其它任务得不到调度。
方式二、不需要由DHCP中继111对安全表项中的每个IP地址进行检测,而是基于DHCP中继111与DHCP服务器121之间的TCP连接,由DHCP服务器121在DHCP客户端下线时,主动向DHCP中继111发送高层删除消息,以从安全表项中删除IP地址和MAC地址的对应关系。在上述方式中,DHCP服务器121为高层删除消息传输的主动方,DHCP中继111为高层删除消息传输的被动方,不需要DHCP中继111执行定期检测的操作,从而解决方式一的问题,不会对DHCP中继111的CPU造成很大压力,以下对方式二进行说明。
步骤i、在DHCP客户端101下线(对此下线的确定方式不做限制)后,DHCP服务器121确定DHCP客户端101对应的IP地址1和MAC地址1,并通过DHCP服务器121与DHCP中继111之间的TCP连接,向DHCP中继111发送高层删除消息,该高层删除消息可以携带该IP地址1和该MAC地址1。
步骤j、DHCP中继111在接收到高层删除消息后,可以从该高层删除消息中解析出DHCP客户端101的IP地址1和MAC地址1,并从上述安全表项(如表1所示的安全表项)中删除该IP地址1和该MAC地址1的对应关系。
在上述过程中,介绍了DHCP客户端101的地址申请过程,针对DHCP客户端102、DHCP客户端103、DHCP客户端104,其理流程类似,不再赘述。
基于上述技术方案,本公开实施例中,在DHCP服务器为DHCP客户端分配IP地址后,可以在该DHCP客户端对应的DHCP中继(即接入的DHCP中继)的安全表项中,记录DHCP客户端的IP地址与DHCP客户端的MAC地址的对应关系,DHCP中继可以使用安全表项对认证报文进行合法性检测,即,若安全表项中存在该认证报文携带的IP地址和MAC地址的对应关系,则转发该认证报文;若安全表项中不存在该认证报文携带的IP地址和MAC地址的对应关系,则丢弃该认证报文。基于此,如果非法用户伪造IP地址(而不是采用DHCP方式申请IP地址),且利用伪造的IP地址构造大量认证报文,则DHCP中继会丢弃这些认证报文,避免将这些认证报文发送给认证服务器,从而避免认证服务器对大量非法认证报文进行处理,节约认证服务器的处理资源,不会影响正常用户的上线认证。DHCP服务器获知DHCP客户端下线后,通过向DHCP中继发送第二消息,DHCP中继获知DHCP客户端已经不在线,删除安全表项中的相关内容,不需要DHCP中继定期的探测DHCP客户端是否在线,避免对DHCP中继的处理资源造成持续冲击,节约DHCP中继的处理资源。
基于与上述方法同样的构思,本公开实施例中还提出一种安全表项的管理装置,应用于DHCP服务器,如图4所示,为该装置的结构图,该装置包括:
确定模块401,用于在为DHCP客户端分配IP地址后,确定所述DHCP客户端对应的IP地址和MAC地址;
发送模块402,用于向所述DHCP客户端对应的DHCP中继发送第一消息,所述第一消息携带所述IP地址和所述MAC地址;其中,所述第一消息用于使所述DHCP中继在安全表项中记录所述IP地址和所述MAC地址的对应关系,并使所述DHCP中继根据所述安全表项对接收到的认证报文进行过滤;
所述确定模块401,还用于在所述DHCP客户端下线后,确定所述DHCP客户端对应的IP地址和MAC地址;
所述发送模块402,还用于向DHCP客户端对应的DHCP中继发送第二消息,所述第二消息携带所述IP地址和所述MAC地址;所述第二消息用于使DHCP中继从所述安全表项中删除所述IP地址和所述MAC地址的对应关系。
所述发送模块402,具体用于在向所述DHCP客户端对应的DHCP中继发送第一消息的过程中,向DHCP中继发送DHCP-ACK消息,所述DHCP-ACK消息携带Yiaddr字段和Chaddr字段,所述Yiaddr字段用于携带所述IP地址,所述Chaddr字段用于携带所述MAC地址;或者,向所述DHCP中继发送高层建立消息,所述高层建立消息携带特定TLV,所述特定TLV用于携带所述IP地址和所述MAC地址;以及,在向DHCP客户端对应的DHCP中继发送第二消息的过程中,向所述DHCP中继发送高层删除消息,所述高层删除消息携带特定TLV,所述特定TLV用于携带所述IP地址和所述MAC地址。
本公开实施例提供的DHCP服务器(即电子设备),从硬件层面而言,硬件架构示意图可以参见图5所示。包括:机器可读存储介质和处理器,其中:
机器可读存储介质:存储指令代码。
处理器:与机器可读存储介质通信,读取和执行机器可读存储介质中存储的所述指令代码,实现本公开上述示例公开的安全表项的管理操作。
这里,机器可读存储介质可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,机器可读存储介质可以是:RAM(RadomAccess Memory,随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等),或者类似的存储介质,或者它们的组合。
基于与上述方法同样的构思,本公开实施例中还提出一种安全表项的管理装置,应用于DHCP中继,如图6所示,为该装置的结构图,该装置包括:
接收模块601,用于接收到DHCP服务器发送的第一消息,所述第一消息是所述DHCP服务器为DHCP客户端分配IP地址后发送的;
处理模块602,用于根据所述第一消息携带的DHCP客户端的IP地址和MAC地址,在安全表项中记录所述IP地址和所述MAC地址的对应关系,并根据所述安全表项对接收到的认证报文进行过滤;
所述接收模块601,还用于接收到DHCP服务器发送的第二消息,所述第二消息是所述DHCP服务器确定DHCP客户端下线后发送的;
删除模块603,用于根据所述第二消息携带的DHCP客户端的IP地址和MAC地址,从所述安全表项中删除所述IP地址和所述MAC地址的对应关系。
所述接收模块601,具体用于在接收到DHCP服务器发送的第一消息的过程中,接收所述DHCP服务器发送的DHCP-ACK消息,所述DHCP-ACK消息携带Yiaddr字段和Chaddr字段,所述Yiaddr字段用于携带所述IP地址,所述Chaddr字段用于携带所述MAC地址;或者,接收所述DHCP服务器发送的高层建立消息,所述高层建立消息携带特定TLV,所述特定TLV用于携带所述IP地址和所述MAC地址;在接收到所述DHCP服务器发送的第二消息的过程中,接收所述DHCP服务器发送的高层删除消息,所述高层删除消息携带特定TLV,所述特定TLV用于携带所述IP地址和所述MAC地址。
其中,所述处理模块602,具体用于在根据所述安全表项对接收到的认证报文进行过滤的过程中,在接收到DHCP客户端发送的认证报文后,从所述认证报文中解析出DHCP客户端的IP地址和MAC地址;若所述安全表项中存在该IP地址和该MAC地址的对应关系,转发所述认证报文;否则丢弃所述认证报文。
本公开实施例提供的DHCP中继(即电子设备),从硬件层面而言,硬件架构示意图可以参见图7所示。包括:机器可读存储介质和处理器,其中:
机器可读存储介质:存储指令代码。
处理器:与机器可读存储介质通信,读取和执行机器可读存储介质中存储的所述指令代码,实现本公开上述示例公开的安全表项的管理操作。
这里,机器可读存储介质可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,机器可读存储介质可以是:RAM(RadomAccess Memory,随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等),或者类似的存储介质,或者它们的组合。
上述实施例阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机,计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本公开时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
本领域内的技术人员应明白,本公开的实施例可提供为方法、系统、或计算机程序产品。因此,本公开可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本公开实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本公开是参照根据本公开实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可以由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其它可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其它可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
而且,这些计算机程序指令也可以存储在能引导计算机或其它可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或者多个流程和/或方框图一个方框或者多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其它可编程数据处理设备上,使得在计算机或者其它可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其它可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述仅为本公开的实施例而已,并不用于限制本公开。对于本领域技术人员来说,本公开可以有各种更改和变化。凡在本公开的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本公开的权利要求范围之内。
Claims (14)
1.一种安全表项的管理方法,其特征在于,应用于DHCP服务器,包括:
在为DHCP客户端分配IP地址后,确定所述DHCP客户端对应的IP地址和MAC地址;向所述DHCP客户端对应的DHCP中继发送第一消息,所述第一消息携带所述IP地址和所述MAC地址;其中,所述第一消息用于使所述DHCP中继在安全表项中记录所述IP地址和所述MAC地址的对应关系,并使所述DHCP中继根据所述安全表项对接收到的认证报文进行过滤;
在所述DHCP客户端下线后,确定所述DHCP客户端对应的IP地址和MAC地址;向所述DHCP客户端对应的所述DHCP中继发送第二消息,所述第二消息携带所述IP地址和所述MAC地址;其中,所述第二消息用于使所述DHCP中继从所述安全表项中删除所述IP地址和所述MAC地址的对应关系。
2.根据权利要求1所述的方法,其特征在于,
向所述DHCP客户端对应的DHCP中继发送第一消息,具体包括:
向所述DHCP中继发送DHCP-ACK消息,所述DHCP-ACK消息携带Yiaddr字段和Chaddr字段,Yiaddr字段用于携带所述IP地址,Chaddr字段用于携带所述MAC地址;或者,
向所述DHCP中继发送高层建立消息,所述高层建立消息携带特定TLV,所述特定TLV用于携带所述IP地址和所述MAC地址。
3.根据权利要求1所述的方法,其特征在于,
向所述DHCP客户端对应的所述DHCP中继发送第二消息,具体包括:
向所述DHCP中继发送高层删除消息,所述高层删除消息携带特定TLV,所述特定TLV用于携带所述IP地址和所述MAC地址。
4.一种安全表项的管理方法,其特征在于,应用于DHCP中继,包括:
若接收到DHCP服务器发送的第一消息,则根据所述第一消息携带的DHCP客户端的IP地址和MAC地址,在安全表项中记录所述IP地址和所述MAC地址的对应关系,并根据所述安全表项对接收到的认证报文进行过滤,所述第一消息是所述DHCP服务器为DHCP客户端分配IP地址后发送的;
若接收到DHCP服务器发送的第二消息,则根据所述第二消息携带的DHCP客户端的IP地址和MAC地址,从所述安全表项中删除所述IP地址和所述MAC地址的对应关系,所述第二消息是所述DHCP服务器确定DHCP客户端下线后发送的。
5.根据权利要求4所述的方法,其特征在于,
所述接收到DHCP服务器发送的第一消息,具体包括:
接收所述DHCP服务器发送的DHCP-ACK消息,所述DHCP-ACK消息携带Yiaddr字段和Chaddr字段,所述Yiaddr字段用于携带所述IP地址,所述Chaddr字段用于携带所述MAC地址;或者,
接收所述DHCP服务器发送的高层建立消息,所述高层建立消息携带特定TLV,所述特定TLV用于携带所述IP地址和所述MAC地址。
6.根据权利要求4所述的方法,其特征在于,
所述接收到DHCP服务器发送的第二消息,具体包括:
接收所述DHCP服务器发送的高层删除消息,所述高层删除消息携带特定TLV,所述特定TLV用于携带所述IP地址和所述MAC地址。
7.根据权利要求4所述的方法,其特征在于,
所述根据所述安全表项对接收到的认证报文进行过滤,包括:
在接收到DHCP客户端发送的认证报文后,从所述认证报文中解析出DHCP客户端的IP地址和MAC地址;若所述安全表项中存在该IP地址和该MAC地址的对应关系,则转发所述认证报文;否则,丢弃所述认证报文。
8.一种安全表项的管理装置,其特征在于,应用于DHCP服务器,包括:
确定模块,用于在为DHCP客户端分配IP地址后,确定所述DHCP客户端对应的IP地址和MAC地址;
发送模块,用于向所述DHCP客户端对应的DHCP中继发送第一消息,所述第一消息携带所述IP地址和所述MAC地址;其中,所述第一消息用于使所述DHCP中继在安全表项中记录所述IP地址和所述MAC地址的对应关系,并使所述DHCP中继根据所述安全表项对接收到的认证报文进行过滤;
所述确定模块,还用于在所述DHCP客户端下线后,确定所述DHCP客户端对应的IP地址和MAC地址;
所述发送模块,还用于向DHCP客户端对应的DHCP中继发送第二消息,所述第二消息携带所述IP地址和所述MAC地址;其中,所述第二消息用于使DHCP中继从所述安全表项中删除所述IP地址和所述MAC地址的对应关系。
9.根据权利要求8所述的装置,其特征在于,
所述发送模块,具体用于在向所述DHCP客户端对应的DHCP中继发送第一消息的过程中,向所述DHCP中继发送DHCP-ACK消息,所述DHCP-ACK消息携带Yiaddr字段和Chaddr字段,所述Yiaddr字段用于携带所述IP地址,所述Chaddr字段用于携带所述MAC地址;或者,向所述DHCP中继发送高层建立消息,所述高层建立消息携带特定TLV,所述特定TLV用于携带所述IP地址和所述MAC地址;以及,在向DHCP客户端对应的DHCP中继发送第二消息的过程中,向所述DHCP中继发送高层删除消息,所述高层删除消息携带特定TLV,所述特定TLV用于携带所述IP地址和所述MAC地址。
10.一种安全表项的管理装置,其特征在于,应用于DHCP中继,包括:
接收模块,用于接收到DHCP服务器发送的第一消息,所述第一消息是所述DHCP服务器为DHCP客户端分配IP地址后发送的;
处理模块,用于根据所述第一消息携带的DHCP客户端的IP地址和MAC地址,在安全表项中记录所述IP地址和所述MAC地址的对应关系,并根据所述安全表项对接收到的认证报文进行过滤;
所述接收模块,还用于接收到DHCP服务器发送的第二消息,所述第二消息是所述DHCP服务器确定DHCP客户端下线后发送的;
删除模块,用于根据所述第二消息携带的DHCP客户端的IP地址和MAC地址,从所述安全表项中删除所述IP地址和所述MAC地址的对应关系。
11.根据权利要求10所述的装置,其特征在于,
所述接收模块,具体用于在接收到DHCP服务器发送的第一消息的过程中,接收所述DHCP服务器发送的DHCP-ACK消息,所述DHCP-ACK消息携带Yiaddr字段和Chaddr字段,所述Yiaddr字段用于携带所述IP地址,所述Chaddr字段用于携带所述MAC地址;或者,接收所述DHCP服务器发送的高层建立消息,所述高层建立消息携带特定TLV,所述特定TLV用于携带所述IP地址和所述MAC地址;在接收到所述DHCP服务器发送的第二消息的过程中,接收所述DHCP服务器发送的高层删除消息,所述高层删除消息携带特定TLV,所述特定TLV用于携带所述IP地址和所述MAC地址。
12.根据权利要求10所述的装置,其特征在于,
所述处理模块,具体用于在根据所述安全表项对接收到的认证报文进行过滤的过程中,在接收到DHCP客户端发送的认证报文后,从所述认证报文中解析出DHCP客户端的IP地址和MAC地址;若所述安全表项中存在该IP地址和该MAC地址的对应关系,转发所述认证报文;否则,丢弃所述认证报文。
13.一种电子设备,其特征在于,包括:处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令;
其中,所述处理器用于执行所述机器可执行指令,以实现权利要求1-3任一所述的方法步骤,或者,实现权利要求4-7任一所述的方法步骤。
14.一种机器可读存储介质,其特征在于,
所述机器可读存储介质存储有机器可执行指令,所述机器可执行指令在被处理器调用和执行时,所述机器可执行指令促使所述处理器实现权利要求1-3任一所述的方法步骤,或者,实现权利要求4-7任一所述的方法步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711445467.7A CN108123955B (zh) | 2017-12-27 | 2017-12-27 | 安全表项的管理方法、装置、设备及机器可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711445467.7A CN108123955B (zh) | 2017-12-27 | 2017-12-27 | 安全表项的管理方法、装置、设备及机器可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108123955A true CN108123955A (zh) | 2018-06-05 |
| CN108123955B CN108123955B (zh) | 2020-12-29 |
Family
ID=62231868
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711445467.7A Active CN108123955B (zh) | 2017-12-27 | 2017-12-27 | 安全表项的管理方法、装置、设备及机器可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108123955B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020048177A1 (zh) * | 2018-09-05 | 2020-03-12 | 中兴通讯股份有限公司 | 机顶盒管理方法、装置、设备及存储介质 |
| CN113992583A (zh) * | 2021-10-26 | 2022-01-28 | 新华三信息安全技术有限公司 | 一种表项维护方法及装置 |
| CN115002071A (zh) * | 2022-05-25 | 2022-09-02 | 深信服科技股份有限公司 | 一种信息更新方法、装置、设备及可读存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1466341A (zh) * | 2002-06-22 | 2004-01-07 | ��Ϊ��������˾ | 一种动态地址分配中防止ip地址欺骗的方法 |
| CN1780244A (zh) * | 2004-11-18 | 2006-05-31 | 中兴通讯股份有限公司 | 基于动态主机配置协议加网络门户认证的安全接入方法 |
| US20090279454A1 (en) * | 2007-08-04 | 2009-11-12 | Michael Wacker | Method for configuring a dhcp server using dhcp option 82 |
| CN102325202A (zh) * | 2011-10-31 | 2012-01-18 | 杭州华三通信技术有限公司 | 一种用户地址表管理方法和设备 |
| CN104158917A (zh) * | 2013-05-14 | 2014-11-19 | 杭州华三通信技术有限公司 | 回收动态主机配置协议客户端的ip地址的方法及设备 |
| CN104219338A (zh) * | 2014-09-15 | 2014-12-17 | 杭州华三通信技术有限公司 | 授权地址解析协议安全表项的生成方法及装置 |
| US20160359872A1 (en) * | 2015-06-05 | 2016-12-08 | Cisco Technology, Inc. | System for monitoring and managing datacenters |
-
2017
- 2017-12-27 CN CN201711445467.7A patent/CN108123955B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1466341A (zh) * | 2002-06-22 | 2004-01-07 | ��Ϊ��������˾ | 一种动态地址分配中防止ip地址欺骗的方法 |
| CN1780244A (zh) * | 2004-11-18 | 2006-05-31 | 中兴通讯股份有限公司 | 基于动态主机配置协议加网络门户认证的安全接入方法 |
| US20090279454A1 (en) * | 2007-08-04 | 2009-11-12 | Michael Wacker | Method for configuring a dhcp server using dhcp option 82 |
| CN102325202A (zh) * | 2011-10-31 | 2012-01-18 | 杭州华三通信技术有限公司 | 一种用户地址表管理方法和设备 |
| CN104158917A (zh) * | 2013-05-14 | 2014-11-19 | 杭州华三通信技术有限公司 | 回收动态主机配置协议客户端的ip地址的方法及设备 |
| CN104219338A (zh) * | 2014-09-15 | 2014-12-17 | 杭州华三通信技术有限公司 | 授权地址解析协议安全表项的生成方法及装置 |
| US20160359872A1 (en) * | 2015-06-05 | 2016-12-08 | Cisco Technology, Inc. | System for monitoring and managing datacenters |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020048177A1 (zh) * | 2018-09-05 | 2020-03-12 | 中兴通讯股份有限公司 | 机顶盒管理方法、装置、设备及存储介质 |
| CN110881143A (zh) * | 2018-09-05 | 2020-03-13 | 中兴通讯股份有限公司 | 一种机顶盒管理方法、装置、设备及计算机可读存储介质 |
| CN113992583A (zh) * | 2021-10-26 | 2022-01-28 | 新华三信息安全技术有限公司 | 一种表项维护方法及装置 |
| CN113992583B (zh) * | 2021-10-26 | 2023-03-21 | 新华三信息安全技术有限公司 | 一种表项维护方法及装置 |
| CN115002071A (zh) * | 2022-05-25 | 2022-09-02 | 深信服科技股份有限公司 | 一种信息更新方法、装置、设备及可读存储介质 |
| CN115002071B (zh) * | 2022-05-25 | 2024-07-09 | 深信服科技股份有限公司 | 一种信息更新方法、装置、设备及可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108123955B (zh) | 2020-12-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102685270B (zh) | 动态地址分配方法和设备 | |
| CN108123955B (zh) | 安全表项的管理方法、装置、设备及机器可读存储介质 | |
| CN101291205B (zh) | 传输备份数据的方法、系统和镜像服务器 | |
| US7853703B1 (en) | Methods and apparatuses for identification of device presence | |
| CN102769603A (zh) | 一种数据传输的方法、系统及设备 | |
| CN109104395B (zh) | 互联网资产扫描发现与服务识别的方法和装置 | |
| KR101526289B1 (ko) | 동적 호스트 구성 프로토콜 버전 6 서버의 아이피 어드레스 획득 방법, 동적 호스트 구성 프로토콜 버전 6 서버 및 동적 호스트 구성 프로토콜 버전 6 통신 시스템 | |
| CN102082835B (zh) | Ip地址的分配方法及装置 | |
| CN102325202A (zh) | 一种用户地址表管理方法和设备 | |
| CN103685357A (zh) | 一种账号多开消息处理方法及系统 | |
| CN101980496A (zh) | 报文处理方法和系统、交换机和接入服务器设备 | |
| CN103945455A (zh) | 一种实现自适应心跳数据包发送的方法及装置 | |
| CN108600407B (zh) | 一种ip地址分配方法、装置、设备及机器可读存储介质 | |
| CN104780232A (zh) | 一种资源分配方法、控制器及系统 | |
| CN110233902B (zh) | 会话处理方法、装置、电子设备及机器可读存储介质 | |
| CN101729314A (zh) | 动态表项的回收方法、装置及动态主机分配协议侦听设备 | |
| CN101072139A (zh) | 一种WiMAX通信系统中实现退网的方法 | |
| CN107070719A (zh) | 一种设备管理方法和装置 | |
| CN107547680B (zh) | 一种数据处理方法及装置 | |
| CN111464479A (zh) | 终端设备用户身份的识别方法及系统 | |
| CN113507431A (zh) | 一种报文管理方法、装置、设备及机器可读存储介质 | |
| CN106027354A (zh) | Vpn客户端的回流方法及装置 | |
| CN104009961A (zh) | 一种PPPoE会话标识分配方法及设备 | |
| CN106612307B (zh) | 一种永远在线业务的实现方法及装置 | |
| CN111010362B (zh) | 一种异常主机的监控方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |