CN114024750B - 一种网关准入认证方法及装置 - Google Patents

Abstract

本发明提供一种网关准入认证方法及装置，应用于网关准入设备中，所述方法包括：随机生成共享密钥，并下发至所述终端；获得终端的IP报文，所述IP报文中包含特殊标识，所述特殊标识包括由所述共享密钥及IP报文处理形成的第一密文数据；基于所述IP报文确定所述特殊标识；基于所述共享密钥及所述IP报文计算得到第二密文数据；对比所述第一密文数据和第二密文数据，并基于比对结果确定是否允许所述终端通过网关访问外网。本发明的网关准入认证方法能够精确认证各终端对外网的访问权限，有效保证内网环境安全。

Description

一种网关准入认证方法及装置

技术领域

本发明实施例涉及网络安全技术领域，特别涉及一种网关准入认证方法及装置。

背景技术

网络准入控制系统中，采用策略路由或透明网关这类网关准入方式时，由于是三层网络，存在一些管控不严格的地方。另外，目前的准入控制设备在部署网关准入时一般有两种部署方式，分别是旁路部署和串联部署。当以旁路方式连接到核心交换机时，核心交换机要开启引流，将内网所有终端的上行流量都引入到准入控制设备进行流量清洗，准入控制设备会过滤掉不合规的终端流量，再将剩余流量回注到核心交换机。而当以串联方式部署时，只需保证准入控制设备在核心交换机到外网之间，对交换机配置不需要改动。终端要想访问外网，需要先找准入控制设备认证，认证通过后才能访问外网。

通用网关准入是一套控制内网终端访问外网的安全解决方案。其是通过建立一套已认证终端的IP表，来过滤掉其他IP的流量，达到控制内网终端访问外网的目的。如图1所示，图示描述了准入控制设备的流量过滤方式。准入控制设备上有两个主要服务：认证服务、流量清洗服务。认证服务会为终端提供认证，然后将认证成功的终端信息加入到在线用户信息表，这样在流量清洗服务进行网络报文过滤时，可以根据在线用户信息表进行IP匹配，过滤掉不合规的IP报文，达到控制内网终端访问外网的目的。但是上述方法也是有着明显缺陷的，包括：

1、认证成功的终端如果重启了，不需要再重新认证，仍可以访问外网，准入控制设备不知道该终端是否重启，造成终端上线时间管控不严格；

2、如果内网中存在NAT(Network Address Translation，网络地址转换)设备，NAT设备下再挂了很多终端，这些下挂在同一NAT设备下的终端，只要有一个终端认证成功能访问外网，其他终端都不需要再认证就能访问外网；因此内网其他终端可以冒用已认证终端的IP访问外网；

3、内网其他终端可以冒用已认证终端的IP接入到内网，不需要认证，身份识别维度过少，管控不精确。

发明内容

本发明提供了一种能够精确认证各终端对外网的访问权限，有效保证内网环境安全的网关准入认证方法及装置。

为了解决上述技术问题，本发明实施例提供了一种网关准入认证方法，应用于网关准入设备中，所述方法包括：

随机生成共享密钥，并下发至所述终端；

获得终端的IP报文，所述IP报文中包含特殊标识，所述特殊标识包括由所述共享密钥及IP报文处理形成的第一密文数据；

基于所述IP报文确定所述特殊标识；

基于所述共享密钥及所述IP报文计算得到第二密文数据；

对比所述第一密文数据和第二密文数据，并基于比对结果确定是否允许所述终端通过网关访问外网。

作为一可选实施例，还包括：

获得所述终端的MAC信息、IP信息、用户名；

至少基于所述MAC信息、IP信息、用户名及所述共享密钥建立在线用户信息表。

作为一可选实施例，在确定所述特殊标识后，还包括：

基于所述IP报文确定对应的所述在线用户信息列表；

基于所述在线用户信息列表获得所述共享密钥，以用于计算得到所述第二密文数据。

作为一可选实施例，还包括：

在确定所述特殊标识后，基于所述IP报文在本地查找匹配的所述共享密钥；

验证所述共享密钥的有效性；

若有效，则使用所述共享密钥辅助计算得到所述第二密文数据，并删除存储的所述共享密钥；

若无效，则发送新的共享密钥至所述终端，使所述终端基于新的共享密钥生成新的IP报文。

作为一可选实施例，所述验证所述共享密钥的有效性，包括：

确定所述共享密钥被下发至所述终端的时间距离当前时间的时间值；

基于所述时间值及时间阈值确定所述共享密钥的有效性。

作为一可选实施例，所述第一密文数据与第二密文数据由所述共享密钥对所述IP报文中的至少部分数据进行hash计算生成。

作为一可选实施例，所述特殊标识由所述终端的MAC地址与所述第一密文数据拼接形成；

所述方法还包括：

验证所述特殊标识中记录的所述MAC地址及所述IP报文的源IP的有效性；

在确定所述MAC地址及源IP为有效地址时，计算所述第二密文数据。

作为一可选实施例，所述特殊标识插入在所述IP报文的报文头及报文数据之间。

作为一可选实施例，所述对比所述第一密文数据和第二密文数据，基于比对结果确定是否允许所述终端通过网关访问外网，包括：

若比对结果为第一密文数据与第二密文数据相同，则删除所述IP报文中的所述特殊标识，并基于所述IP报文的目的地址转发所述IP报文；

若比对结果为第一密文数据与第二密文数据不相同，则禁止所述终端访问外网。

本发明另一实施例同时提供一种网关准入认证装置，应用于网关准入设备中，所述装置包括：

生成模块，用于随机生成共享密钥，并下发至所述终端；

获得模块，用于获得终端的IP报文，所述IP报文中包含特殊标识，所述特殊标识包括由所述共享密钥及IP报文处理形成的第一密文数据；

确定模块，用于根据所述IP报文确定所述特殊标识；

计算模块，用于根据所述共享密钥及所述IP报文计算得到第二密文数据；

对比模块，用于对比所述第一密文数据和第二密文数据，并基于比对结果确定是否允许所述终端通过网关访问外网。

基于上述实施例的公开可以获知，本发明实施例具备的有益效果包括通过共享随机密钥，并对IP报文插入由随机密钥辅助生成的特殊标识，使网关准入设备能够通过该特殊标识来精确判定流量来源，以及精确认证终端权限，有效控制各终端对外网的访问权限。由于共享密钥是随机产生的，且具有有效时长，故共享密钥不能重复使用，各个终端的每一次访问都需要基于新的共享密钥实现，故能够有效避免部分终端恶意冒充被认证的终端进行外网访问的现象发生。另外，对于位于NAT设备下的终端在发送IP报文时，由于流量源IP是一样的，但是MAC不一样，因此在共享密钥唯一的情况下，网关准入设备可以基于MAC地址准确识别出当前欲访问外网的终端，弥补了以往通用网关准入方式无法精确识别流量来源的缺陷，能够更有效地对内网终端设备进行监控，保障内网环境的安全性。

附图说明

图1为现有技术中准入控制设备的流量过滤方式流程图。

图2为本发明实施例中的网关准入认证方法的流程图。

图3为本发明实施例中的网关准入认证方法的实际应用流程图。

图4为本发明实施例中的IP报文的生成过程图。

图5为本发明实施例中的特殊标识结构图。

图6为本发明实施例中的网关准入认证装置的结构框图。

具体实施方式

下面，结合附图对本发明的具体实施例进行详细的描述，但不作为本发明的限定。

应理解的是，可以对此处公开的实施例做出各种修改。因此，下述说明书不应该视为限制，而仅是作为实施例的范例。本领域的技术人员将想到在本公开的范围和精神内的其他修改。

包含在说明书中并构成说明书的一部分的附图示出了本公开的实施例，并且与上面给出的对本公开的大致描述以及下面给出的对实施例的详细描述一起用于解释本公开的原理。

通过下面参照附图对给定为非限制性实例的实施例的优选形式的描述，本发明的这些和其它特性将会变得显而易见。

还应当理解，尽管已经参照一些具体实例对本发明进行了描述，但本领域技术人员能够确定地实现本发明的很多其它等效形式，它们具有如权利要求所述的特征并因此都位于借此所限定的保护范围内。

当结合附图时，鉴于以下详细说明，本公开的上述和其他方面、特征和优势将变得更为显而易见。

此后参照附图描述本公开的具体实施例；然而，应当理解，所公开的实施例仅仅是本公开的实例，其可采用多种方式实施。熟知和/或重复的功能和结构并未详细描述以避免不必要或多余的细节使得本公开模糊不清。因此，本文所公开的具体的结构性和功能性细节并非意在限定，而是仅仅作为权利要求的基础和代表性基础用于教导本领域技术人员以实质上任意合适的详细结构多样地使用本公开。

本说明书可使用词组“在一种实施例中”、“在另一个实施例中”、“在又一实施例中”或“在其他实施例中”，其均可指代根据本公开的相同或不同实施例中的一个或多个。

下面，结合附图详细的说明本发明实施例。

如图2所示，本发明实施例提供一种网关准入认证方法，应用于网关准入设备中，所述方法包括：

随机生成共享密钥，并下发至终端；

获得终端的IP报文，IP报文中包含特殊标识，特殊标识包括由共享密钥及IP报文处理形成的第一密文数据；

基于IP报文确定特殊标识；

基于共享密钥及IP报文计算得到第二密文数据；

对比第一密文数据和第二密文数据，并基于比对结果确定是否允许终端通过网关访问外网。

本实施例中的方法可以应用于例如公司、医院、政府单位、信息中心等内网，通过部署网络准入设备进行网关准入控制的场景中，用于认证终端设备是否具有访问外网权限。具体地，例如，终端设备向网关准入设备发送请求以进行身份认证时，如认证其属于内网设备时，网关准入设备会随机生成一个共享密钥反馈至终端中，或者，网关准入设备会定时地向其管辖的内网中的多个终端设备发送共享密钥。该随机密钥可以是基于终端上传的MAC地址而随机生成的，也可以是基于其他数据而随机生成的，具体不定。当终端设备收到共享密钥后，会生成用于发送至目的外网的IP报文，同时会至少基于该IP报文及共享密钥配合计算生成特殊标识，该特殊标识至少包括由共享密钥及IP报文处理形成的第一密文数据，例如可以是共享密钥对全部IP报文进行加密得到第一密文数据，也可以是共享密钥加密了部分IP报文形成第一密文数据，还可以是共享密钥对其自身以及IP报文的部分信息拼接后的数据进行加密形成的第一密文数据等，具体用于形成第一密文数据的方式不定。但该方式需要预先与网关准入设备进行协商，以确保双方均能够基于相同的方式成功生成密文数据。当终端制备完成了特殊标识后，会将其插入至IP报文中，再发送给网关准入设备，网关准入设备获得IP报文后，会先检查确定是否具有特殊标识，若有，则确定特殊标识的具体内容。接着确定对应的共享密钥，例如网关准入设备在下发共享密钥后，会将终端的身份信息及共享密钥进行暂时的存储，当获得了IP报文后，网关准入设备可以基于IP报文来确定终端身份，进而确定对应的共享密钥。网关准入设备确定了共享密钥后，会按照预先约定的方式利用共享密钥及IP报文进行计算处理，生成第二密文数据。之后，网关准入设备会比对第一密文数据与第二密文数据，并基于比对结果确定该终端是否具有访问外网的权限。

基于上述实施例的公开可以获知，本实施例具备的有益效果包括通过共享随机密钥，并对IP报文插入由随机密钥辅助生成的特殊标识，使网关准入设备能够通过该特殊标识来精确判定流量来源，以及精确认证终端权限，有效控制各终端对外网的访问权限。而且，由于共享密钥是随机产生的，且具有有效时长，故共享密钥不能重复使用，各个终端的每一次访问都需要基于新的共享密钥实现，因此能够有效避免部分终端恶意冒充被认证的终端进行外网访问的现象发生。

进一步地，本实施例中的方法还包括：

获得终端的MAC信息、IP信息、用户名；

至少基于MAC信息、IP信息、用户名及共享密钥建立在线用户信息表。

例如，网关准入设备在下发共享密钥时，会先获得终端的MAC地址，IP地址，用户名等表征终端身份的信息，该信息可以包括上述的全部信息，也可以仅包括其中的部分信息，如包括MAC信息、IP信息等。应用时，网关准入设备可以要求终端上传上述表征身份的信息，然后再下发共享密钥，同时基于获得的信息建立在线用户信息表，或者将终端的信息同步存储在已建立好的在线用户信息表中。

如图3所示，在确定特殊标识后，本实施例的方法还包括：

基于IP报文确定对应的在线用户信息列表；

基于在线用户信息列表获得共享密钥，以用于计算得到第二密文数据。

也即，网关准入设备会基于IP报文确定终端身份，如确定IP信息，接着利用该IP信息来查找对应的用户信息列表，或在用户信息列表中查找到多对应项，进而确定出与该终端，或与该IP报文匹配的共享密钥，并利用该共享密钥计算确定第二密文数据，实现鉴权。

可选地，本申请另一实施例中的方法还包括：

在确定特殊标识后，基于IP报文在本地查找匹配的共享密钥；

验证共享密钥的有效性；

若有效，则使用共享密钥辅助计算得到第二密文数据，并删除存储的共享密钥；

若无效，则发送新的共享密钥至终端，使终端基于新的共享密钥生成新的IP报文。

具体地，本实施例中，网关准入设备可以不建立用户信息列表，仅仅是将终端的IP信息与共享密钥匹配存储在本地，或将终端的MAC信息与共享密钥匹配存储在本地。终端发送的IP报文中可以存储有MAC信息，网关准入设备基于该MAC信息查找到对应的共享密钥，或者是根据IP报文的源IP信息查找到对应的共享密钥。当网关准入设备获得共享密钥后，会先检验该共享密钥是否有效。若有效，则直接基于该共享密钥计算第二密文数据，并删除该存储的共享密钥。而若无效，则删除存储的共享密钥，并发送新的共享密钥至终端，使终端基于新的共享密钥重新制备IP报文，而对于本次IP报文则直接丢弃，不予处理。或者，网关准入设备也可以直接丢弃报文，不予理会，或向终端发送共享密钥过期的响应信息。其中，不论共享密钥是否有效，当网关准入设备在流量过滤阶段查找使用了共享密钥，则不论该共享密钥是否有效，是否使用成功，均需删除，以用于记录、存储更新的共享密钥。

进一步地，本实施例中在验证共享密钥的有效性时，包括：

确定共享密钥被下发至终端的时间距离当前时间的时间值；

基于时间值及时间阈值确定共享密钥的有效性。

例如，每个共享密钥均有一个有效时段，该有效时段可以自网关准入设备下发共享密钥至终端时开始计时，终端只能在该有效时段内使用共享密钥，才能够被顺利认证，而倘若在超出有效时段的时间内使用该共享密钥，则无法通过网关准入设备的认证。故网关准入设备在验证共享密钥时，会确定该共享密钥发至终端的时间点距当前时间点的时间值，并基于该时间值与时间阈值进行比对，若超出阈值，则说明超出有效时段，该共享密钥为无效状态，而若位于阈值内，则说明未超出有效时段，该共享密钥有效。或者，网关准入设备在记录存储了共享密钥后，就开始计时，当到达有效时段时，自动清除共享密钥，当网关准入设备进行查找时，若无法找到对应的共享密钥，则可按照共享密钥无效的方法处理，若能查找到，则按共享密钥有效的方式处理。

通过上述实施例，可以有效保证每个终端无法重复使用共享密钥，每次访问外网时均需要经历一次新的网关认证，确保内网网络环境更加安全。

进一步地，第一密文数据与第二密文数据可以由共享密钥对IP报文中的至少部分数据进行hash计算生成。本实施例中的第一密文数据与第二密文数据是通过共享密钥对IP报文中的数据部分整体进行hash计算而生成的。如图4所示，本实施例中的特殊标识不仅包含密文数据，还包括终端的MAC地址。也即，本实施例中的特殊标识是由第一密文数据及MAC地址拼接形成的。制备好的特殊标识插入在访问报文的报文头及报文数据之间，以形成本实施例中的上述IP报文。当然，该特殊标识也可插入在报文中的其他位置，具体插入位置并不限于报文头与报文数据之间。

可选地，在设置特殊标识时，其包含的数据可以不仅仅是MAC地址和第一密文数据，还可以包含其他具有不同含义的数据段。具体地，本实施例中在设计特殊标识符时，其内容可以参考图5所示，该特殊标识包括多个数据段，每个数据段容量为32位。图5中的NextHeader，下一个头(8位)：其表示紧跟在特殊标识后面的协议类型。该字段是处于保护中的传输层协议的值，如6(TCP)，17(UDP)。Payload Length，有效载荷长度(8位)：其值是以32位(4字节)为单位的整个特殊标识的长度。Reserved，保留(16位)：保证4字节对齐，又可以向后扩展，初始位置为0。Sequence Number，序列号(32位)：一个单调递增的计数器，为每个特殊标识赋予一个序号。刚认证成功时，初始值为0。同一终端每发送一个数据包，计数器增1。MAC，终端设备的网卡物理地址(48位)：主要方便网关准入设备区分终端，以及对应各个终端的共享密钥。Reserved，保留(16位)：保证4字节对齐，又可以向后扩展数据，初始值置为0。Authentication Data，验证数据(64位)：对IP报文数据部分进行hash计算的结果，即第一密文数据。符号…，代表后续数据：由Payload Length来控制是否有后续数据，方便以后追加定义新的数据字段。也即，本实施例中的特殊标识是由上述多个数据段组合形成的，但具体设置方式并不局限于此，还可以根据不同的有效载荷长度而增加包含其他含义的数据字段。

进一步地，本实施例中的方法还包括：

验证特殊标识中记录的MAC地址及IP报文的源IP的有效性；

在确定MAC地址及源IP为有效地址时，计算第二密文数据。

例如，在网关准入设备对获得的上行流量进行流量过滤时，设备中的流量清洗服务会在终端上外网时进行管控，首先会根据获得的IP报文验证报文的源IP和特殊标识中包含的MAC地址的有效性，如可以根据地址的结构确定，或根据本地存储的关于内网的各个终端的地址信息，身份信息进行查找，确定是否能够匹配查找到对应信息，若有，则为有效地址，若没能查到，则认定为无效地址；或者可以基于上述地址信息反馈一响应数据，来确定终端是否能够成功接收，若能够成功接收，则表明地址有效，若不能成功接收，则为无效。在网关准入设备确定终端的MAC,源IP有效时，则查找共享密钥，验证共享密钥是否有效，若均有效，则计算第二密文数据。而若网关准入设备确定终端的MAC,源IP中任一地址无效时，则停止后续认证过程，删除报文，或反馈终端一关于上述地址无效的信息。

基于上述实施例所述的方法，对于位于NAT设备下的多个终端在发送IP报文时，由于流量源IP是一样的，也即各个终端发送报文时使用的IP时一样的，但是各终端的MAC地址是不一样的，不会改变。因此本实施例在共享密钥唯一的情况下，网关准入设备可以基于MAC地址准确识别出当前欲访问外网的终端，弥补了以往通用网关准入方式无法精确识别流量来源的缺陷，能够更有效地对内网终端设备进行监控，保障内网环境的安全性。

进一步地，在网关准入设备执行对比第一密文数据和第二密文数据，基于比对结果确定是否允许终端通过网关访问外网时，包括：

若比对结果为第一密文数据与第二密文数据相同，则删除IP报文中的特殊标识，并基于IP报文的目的地址转发IP报文；

若比对结果为第一密文数据与第二密文数据不相同，则禁止终端访问外网。

例如，网关准入设备用查到的共享密钥对IP报文的数据部分进行Hash计算，得到第二密文数据。接着将计算结果与特殊标识中的认证数据，即第一密文数据进行比对校验，若校验成功，则删除报文中的特殊标识，再将IP报文正常转发至目的地址，也即允许终端访问外网。而若校验不成功，网关准入设备可以丢弃IP报文，或重定向IP报文，或发送验证失败的信息给到终端等。

如图6所示，本发明另一实施例同时提供一种网关准入认证装置，应用于网关准入设备中，所述装置包括：

生成模块，用于随机生成共享密钥，并下发至所述终端；

获得模块，用于获得终端的IP报文，所述IP报文中包含特殊标识，所述特殊标识包括由所述共享密钥及IP报文处理形成的第一密文数据；

确定模块，用于根据所述IP报文确定所述特殊标识；

计算模块，用于根据所述共享密钥及所述IP报文计算得到第二密文数据；

对比模块，用于对比所述第一密文数据和第二密文数据，并基于比对结果确定是否允许所述终端通过网关访问外网。

还包括：

获得所述终端的MAC信息、IP信息、用户名；

至少基于所述MAC信息、IP信息、用户名及所述共享密钥建立在线用户信息表。

作为一可选实施例，在确定所述特殊标识后，还包括：

基于所述IP报文确定对应的所述在线用户信息列表；

基于所述在线用户信息列表获得所述共享密钥，以用于计算得到所述第二密文数据。

作为一可选实施例，所述装置还包括：

查找模块，用于在确定所述特殊标识后，基于所述IP报文在本地查找匹配的所述共享密钥；

第一验证模块，用于验证所述共享密钥的有效性，若有效，则使用所述共享密钥辅助计算得到所述第二密文数据，并删除存储的所述共享密钥，若无效，则发送新的共享密钥至所述终端，使所述终端基于新的共享密钥生成新的IP报文。

作为一可选实施例，验证所述共享密钥的有效性，包括：

确定所述共享密钥被下发至所述终端的时间距离当前时间的时间值；

基于所述时间值及时间阈值确定所述共享密钥的有效性。

作为一可选实施例，第一密文数据与第二密文数据由所述共享密钥对所述IP报文中的至少部分数据进行hash计算生成。

作为一可选实施例，特殊标识由所述终端的MAC地址与所述第一密文数据拼接形成；

所述装置还包括：

第二验证模块，用于验证所述特殊标识中记录的所述MAC地址及所述IP报文的源IP的有效性，在确定所述MAC地址及源IP为有效地址时，计算所述第二密文数据。

作为一可选实施例，所述特殊标识插入在所述IP报文的报文头及报文数据之间。

作为一可选实施例，对比所述第一密文数据和第二密文数据，基于比对结果确定是否允许所述终端通过网关访问外网，包括：

若比对结果为第一密文数据与第二密文数据相同，则删除所述IP报文中的所述特殊标识，并基于所述IP报文的目的地址转发所述IP报文；

若比对结果为第一密文数据与第二密文数据不相同，则禁止所述终端访问外网。

本发明另一实施例还提供一种电子设备，包括:

一个或多个处理器；

存储器，配置为存储一个或多个程序；

当该一个或多个程序被该一个或多个处理器执行时，使得该一个或多个处理器实现上述方法。

本发明一实施例还提供一种存储介质，其上存储有计算机程序，该程序被处理器执行时实现如上所述的方法。应理解，本实施例中的各个方案具有上述方法实施例中对应的技术效果，此处不再赘述。

本发明实施例还提供了一种计算机程序产品，所述计算机程序产品被有形地存储在计算机可读介质上并且包括计算机可读指令，所述计算机可执行指令在被执行时使至少一个处理器执行诸如上文所述实施例中的方法。应理解，本实施例中的各个方案具有上述方法实施例中对应的技术效果，此处不再赘述。

需要说明的是，本申请的计算机存储介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读介质例如可以但不限于是电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储介质(RAM)、只读存储介质(ROM)、可擦式可编程只读存储介质(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储介质(CD-ROM)、光存储介质件、磁存储介质件、或者上述的任意合适的组合。在本申请中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本申请中，计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输配置为由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：无线、天线、光缆、RF等等，或者上述的任意合适的组合。

应当理解，虽然本申请是按照各个实施例描述的，但并非每个实施例仅包含一个独立的技术方案，说明书的这种叙述方式仅仅是为清楚起见，本领域技术人员应当将说明书作为一个整体，各实施例中的技术方案也可以经适当组合，形成本领域技术人员可以理解的其他实施方式。

以上实施例仅为本发明的示例性实施例，不用于限制本发明，本发明的保护范围由权利要求书限定。本领域技术人员可以在本发明的实质和保护范围内，对本发明做出各种修改或等同替换，这种修改或等同替换也应视为落在本发明的保护范围内。

Claims (10)

1.一种网关准入认证方法，应用于网关准入设备中，其特征在于，所述方法包括：

在终端响应网关准入设备的要求从而上传表征终端身份的信息的情况下，随机生成共享密钥，并下发至所述终端；

获得终端的IP报文，所述IP报文中具有特殊标识，所述特殊标识包括由所述共享密钥及IP报文中的数据部分处理形成的第一密文数据；

基于所述IP报文确定所述特殊标识；

基于终端的MAC信息查找到对应的共享密钥；

基于所述共享密钥及所述IP报文中的数据部分计算得到第二密文数据；

对比所述第一密文数据和第二密文数据，并基于比对结果确定是否允许所述终端通过网关访问外网。

2.根据权利要求1所述的方法，其特征在于，还包括：

获得所述终端的IP信息、用户名；

至少基于所述MAC信息、IP信息、用户名及所述共享密钥建立在线用户信息表。

3.根据权利要求2所述的方法，其特征在于，在确定所述特殊标识后，还包括：

基于所述IP报文确定对应的所述在线用户信息列表；

基于所述在线用户信息列表获得所述共享密钥，以用于计算得到所述第二密文数据。

4.根据权利要求1所述的方法，其特征在于，还包括：

在确定所述特殊标识后，基于所述IP报文在本地查找匹配的所述共享密钥；

验证所述共享密钥的有效性；

若有效，则使用所述共享密钥辅助计算得到所述第二密文数据，并删除存储的所述共享密钥；

若无效，则发送新的共享密钥至所述终端，使所述终端基于新的共享密钥生成新的IP报文。

5.根据权利要求4所述的方法，其特征在于，所述验证所述共享密钥的有效性，包括：

确定所述共享密钥被下发至所述终端的时间距离当前时间的时间值；

基于所述时间值及时间阈值确定所述共享密钥的有效性。

6.根据权利要求1所述的方法，其特征在于，所述第一密文数据与第二密文数据由所述共享密钥对所述IP报文中的至少部分数据进行hash计算生成。

7.根据权利要求1所述的方法，其特征在于，所述特殊标识由所述终端的MAC地址与所述第一密文数据拼接形成；

所述方法还包括：

验证所述特殊标识中记录的所述MAC地址及所述IP报文的源IP的有效性；

在确定所述MAC地址及源IP为有效地址时，计算所述第二密文数据。

8.根据权利要求1所述的方法，其特征在于，所述特殊标识插入在所述IP报文的报文头及报文数据之间。

9.根据权利要求1所述的方法，其特征在于，所述对比所述第一密文数据和第二密文数据，基于比对结果确定是否允许所述终端通过网关访问外网，包括：

若比对结果为第一密文数据与第二密文数据相同，则删除所述IP报文中的所述特殊标识，并基于所述IP报文的目的地址转发所述IP报文；

若比对结果为第一密文数据与第二密文数据不相同，则禁止所述终端访问外网。

10.一种网关准入认证装置，应用于网关准入设备中，其特征在于，所述装置包括：

生成模块，用于在终端响应网关准入设备的要求从而上传表征终端身份的信息的情况下，随机生成共享密钥，并下发至所述终端；

获得模块，用于获得终端的IP报文，所述IP报文中具有特殊标识，所述特殊标识包括由所述共享密钥及IP报文中的数据部分处理形成的第一密文数据；

确定模块，用于根据所述IP报文确定所述特殊标识；

计算模块，用于根据所述共享密钥及所述IP报文中的数据部分计算得到第二密文数据；共享密钥的查找方式包括：基于终端的MAC信息查找到对应的共享密钥；

对比模块，用于对比所述第一密文数据和第二密文数据，并基于比对结果确定是否允许所述终端通过网关访问外网。