[发明专利]一种动态主机配置协议监听与防护方法和系统

权利要求书

1.一种动态主机配置协议监听与防护方法，其特征在于，应用于无线接入点，所述方法包括：

S10：检测到有用户建立连接后，创建用户信息记录项保存对应用户的物理地址以及用户连接时关联的无线接口；

S20：监听用户与动态主机配置协议服务器之间的动态主机配置协议报文，更新所述用户信息记录项内容，同时根据所述用户信息记录项，选择对监听的动态主机配置协议报文进行转发或丢弃处理；

S30：检测到用户断开连接后，删除该用户对应的所述用户信息记录项；

所述步骤S30中所述删除该用户对应的所述用户信息记录项之前包括：

S31：根据断开连接的用户所对应的用户信息记录项，向动态主机配置协议服务器发送释放报文以释放对应的用户网际协议地址。

2.根据权利要求1所述的一种动态主机配置协议监听与防护方法，其特征在于，所述步骤S10之前包括：

S01：查看是否建立有无线桥接；

S02：根据无线桥接建立情况，设置信任端口。

3.根据权利要求2所述的一种动态主机配置协议监听与防护方法，其特征在于，所述步骤S20中若监听到动态主机配置协议请求类报文，则执行以下步骤：

S21a：判断所述动态主机配置协议请求报文的入口是否为信任端口，若是则转发所述动态主机配置协议请求报文，若不是，则执行S22a；

S22a：判断所述动态主机配置协议请求报文的用户端物理地址与相应的以太网源物理地址是否一致，若不一致，则丢弃所述动态主机配置协议请求报文，若一致，则执行S23a；

S23a：比对所述用户信息记录项中的各项信息，均一致后转发所述动态主机配置协议请求报文，若有任一项不符合，则丢弃所述动态主机配置协议请求报文。

4.根据权利要求2所述的一种动态主机配置协议监听与防护方法，其特征在于，所述步骤S20中若监听到动态主机配置协议应答类报文，则执行以下步骤：

S21b：判断所述动态主机配置协议应答报文的入口是否为信任端口，若不是则丢弃所述动态主机配置协议应答报文,若是，则执行S22b；

S22b：根据所述动态主机配置协议应答报文的客户端物理地址在所述用户信息记录项中查找是否存在相对应的物理地址，若不存在，则根据无线桥接建立情况进行丢弃或者转发处理，若存在，则执行步骤S23b；

S23b：转发所述动态主机配置协议应答报文，同时若所述动态主机配置协议应答报文为回应找到相应的租约记录的动态主机配置协议确认报文时，根据所述动态主机配置协议确认报文内容，添加其中相应的用户网际协议地址以及动态主机配置协议服务器的信息到所述用户信息记录项以更新内容。

5.根据权利要求4所述的一种动态主机配置协议监听与防护方法，其特征在于，所述步骤S22b中所述根据无线桥接建立情况进行丢弃或者转发处理具体包括：

若没有建立无线桥接，则丢弃所述动态主机配置协议应答报文，若建立有无线桥接，则向无线桥接下所关联设备转发所述动态主机配置协议应答报文。

6.一种动态主机配置协议监听与防护系统，其特征在于，应用于无线接入点，所述系统包括：

创建模块：用于检测到有用户建立连接后，创建用户信息记录项保存对应用户的物理地址以及用户连接时关联的无线接口；

监听处理模块：用于监听用户与动态主机配置协议服务器之间的动态主机配置协议报文，更新所述用户信息记录项内容，同时根据所述用户信息记录项，选择对监听的动态主机配置协议报文进行转发或丢弃处理；

删除模块：用于检测到用户断开连接后，删除该用户对应的所述用户信息记录项；

所述删除模块包括：

释放单元：用于根据断开连接的用户所对应的用户信息记录项，向动态主机配置协议服务器发送释放报文以释放对应的用户网际协议地址。

7.根据权利要求6所述的一种动态主机配置协议监听与防护系统，其特征在于，所述系统还包括：

信任端口模块：用于查看是否建立有无线桥接，根据无线桥接建立情况，设置信任端口。

8.根据权利要求6或7所述的一种动态主机配置协议监听与防护系统，其特征在于，所述监听处理模块包括：

识别单元：用于识别动态主机配置协议报文的类型；

信息比对单元：用于将动态主机配置协议报文携带信息与所述用户信息记录项进行比对；

转发丢弃单元：根据所述信息比对单元比对结果，选择对监听的动态主机配置协议报文进行转发或丢弃。