CN114513347B - 一种终端认证方法及装置 - Google Patents

Abstract

本申请涉及网络通信技术领域，特别涉及一种终端认证方法及装置。该方法包括：接收目标终端发送的认证请求报文，并基于所述认证请求报文判断所述目标终端是否为通过NAT设备接入的终端，其中，所述目标终端为安装有认证客户端的终端，所述目标终端通过所述认证客户端发送所述认证请求报文；若判定结果为是，则对所述目标终端进行身份认证；若确定所述目标终端身份认证通过，则向所述目标终端下发控制策略。

Description

一种终端认证方法及装置

技术领域

本申请涉及网络通信技术领域，特别涉及一种终端认证方法及装置。

背景技术

现如今网络规模扩展更加方便、成本也更加低廉，但对网络安全的要求确更加严格，绝大部分网络包括公司内网都要求终端通过认证系统认证后方可接入网络。但由于网络延伸到用户侧管理不到位、网络扩容预算不足等，会存在私拉乱接现象，尤其是针对接入交换机端口数量不足，可以通过外接NAT设备(家用路由器等)实现端口扩容。网络启用Portal认证后，这种NAT场景下多个终端通过NAT设备接入网络，第一个终端通过认证系统的认证后，此NAT设备其他终端无需认证即可接入网络。这样一来就绕开了认证系统的身份校验，管理员也无法对其他终端进行网络权限的管控，这种网络管理的薄弱之处，是网络安全要求不允许存在的，也是极大的安全隐患。另外现在大部分网络设备Portal认证都是基于VLAN开启认证的，无法做到像802.1x端口级管控。

发明内容

本申请提供了一种终端认证方法及装置。

第一方面，本申请提供了一种终端认证方法，应用于认证服务器，所述方法包括：

接收目标终端发送的认证请求报文，并基于所述认证请求报文判断所述目标终端是否为通过NAT设备接入的终端，其中，所述目标终端为安装有认证客户端的终端，所述目标终端通过所述认证客户端发送所述认证请求报文；

若判定结果为是，则对所述目标终端进行身份认证；

若确定所述目标终端身份认证通过，则向所述目标终端下发控制策略。

可选地，基于所述认证请求报文判断所述目标终端是否为通过NAT设备接入的终端的步骤包括：

获取所述认证请求报文携带的所述目标终端的第一IP地址；

获取所述NAT设备的第二IP地址；

判断所述第一IP地址和所述第二IP地址是否为同一网段的IP地址；

若判定所述第一IP地址和所述第二IP地址不是同一网段的IP地址，则确定所述目标终端是通过NAT设备接入的终端。

可选地，在确定所述目标终端身份认证通过之后，向所述目标终端下发控制策略之前，所述方法还包括：

向所述目标终端下发安全检查指令，其中，所述安全检查指令包括所需检查的项目；

接收所述目标终端发送的安全检查结果，并基于所述安全检查结果判断所述目标终端是否通过安全检查。

可选地，向所述目标终端下发控制策略的步骤包括：

若基于所述安全检查结果，判定所述目标终端通过安全检查，则向所述目标终端下发第一控制策略，以使得所述目标终端基于所述第一控制策略转发业务报文。

可选地，所述方法还包括：

若基于所述安全检查结果，判定所述目标终端未通过安全检查，则向所述目标终端下发第二控制策略，以使得所述目标终端基于所述第二控制策略转发业务报文，其中，所述第一控制策略对应的网络访问权限大于所述第二控制策略对应的网络访问权限。

第二方面，本申请提供了一种终端认证装置，应用于认证服务器，所述装置包括：

接收单元，用于接收目标终端发送的认证请求报文；

判断单元，用于基于所述认证请求报文判断所述目标终端是否为通过NAT设备接入的终端，其中，所述目标终端为安装有认证客户端的终端，所述目标终端通过所述认证客户端发送所述认证请求报文；

认证单元，若判定结果为是，则所述认证单元用于，对所述目标终端进行身份认证；

下发单元，若确定所述目标终端身份认证通过，则所述下发单元用于，向所述目标终端下发控制策略。

可选地，基于所述认证请求报文判断所述目标终端是否为通过NAT设备接入的终端时，所述判断单元具体用于：

获取所述认证请求报文携带的所述目标终端的第一IP地址；

获取所述NAT设备的第二IP地址；

判断所述第一IP地址和所述第二IP地址是否为同一网段的IP地址；

若判定所述第一IP地址和所述第二IP地址不是同一网段的IP地址，则确定所述目标终端是通过NAT设备接入的终端。

可选地，

所述下发单元还用于，向所述目标终端下发安全检查指令，其中，所述安全检查指令包括所需检查的项目；

所述接收单元还用于，接收所述目标终端发送的安全检查结果；

所述判断单元还用于，基于所述安全检查结果判断所述目标终端是否通过安全检查。

可选地，向所述目标终端下发控制策略时，所述下发单元具体用于：

若基于所述安全检查结果，判定所述目标终端通过安全检查，则向所述目标终端下发第一控制策略，以使得所述目标终端基于所述第一控制策略转发业务报文。

可选地，所述下发单元还用于：

若基于所述安全检查结果，判定所述目标终端未通过安全检查，则向所述目标终端下发第二控制策略，以使得所述目标终端基于所述第二控制策略转发业务报文，其中，所述第一控制策略对应的网络访问权限大于所述第二控制策略对应的网络访问权限。

第三方面，本申请实施例提供一种终端认证装置，该终端装置包括：

存储器，用于存储程序指令；

处理器，用于调用所述存储器中存储的程序指令，按照获得的程序指令执行如上述第一方面中任一项所述的方法的步骤。

第四方面，本申请实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机可执行指令，所述计算机可执行指令用于使所述计算机执行如上述第一方面中任一项所述方法的步骤。

综上可知，本申请实施例提供的终端认证方法，接收目标终端发送的认证请求报文，并基于所述认证请求报文判断所述目标终端是否为通过NAT设备接入的终端，其中，所述目标终端为安装有认证客户端的终端，所述目标终端通过所述认证客户端发送所述认证请求报文；若判定结果为是，则对所述目标终端进行身份认证；若确定所述目标终端身份认证通过，则向所述目标终端下发控制策略。

采用本申请实施例提供的终端认证方法，对通过NAT设备接入的终端也纳入AAA认证管理系统的管控范围，提高网络安全性，同时，无需对现有网络进行改造，既不需要新增接入设备，也不需要切换认证方式。

附图说明

为了更加清楚地说明本申请实施例或者现有技术中的技术方案，下面将对本申请实施例或者现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请中记载的一些实施例，对于本领域普通技术人员来讲，还可以根据本申请实施例的这些附图获得其他的附图。

图1为本申请实施例提供的一种终端认证方法的详细流程图；

图2为本申请实施例提供的一种组网示意图；

图3为本申请实施例提供的一种终端认证装置的结构示意图；

图4为本申请实施例提供的另一种终端认证装置的结构示意图。

具体实施方式

在本申请实施例使用的术语仅仅是出于描述特定实施例的目的，而非限制本申请。本申请和权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其它含义。还应当理解，本文中使用的术语“和/或”是指包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本申请实施例可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，此外，所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

示例性的，参阅图1所示，为本申请实施例提供的一种终端认证方法的详细流程图，应用于认证服务器，该方法包括以下步骤：

步骤100：接收目标终端发送的认证请求报文，并基于所述认证请求报文判断所述目标终端是否为通过NAT设备接入的终端。

其中，所述目标终端为安装有认证客户端的终端，所述目标终端通过所述认证客户端发送所述认证请求报文。

本申请实施例中，在基于所述认证请求报文判断所述目标终端是否为通过NAT设备接入的终端时，一种较佳地实现方式为，获取所述认证请求报文携带的所述目标终端的第一IP地址；获取所述NAT设备的第二IP地址；判断所述第一IP地址和所述第二IP地址是否为同一网段的IP地址；若判定所述第一IP地址和所述第二IP地址不是同一网段的IP地址，则确定所述目标终端是通过NAT设备接入的终端。

也就是说，若终端IP地址和NAT设备的IP地址为同一网段的IP地址，则说明终端不是通过NAT设备接入的，即终端不是通过NAT设备发起认证的，此时，按原有终端认证方式认证即可，本申请实施例中，在此不做具体限定。

本申请实施例中，以认证服务器为AAA认证管理系统(服务器)，认证方式为Portal认证为例进行说明。所谓NAT设备，配置NAT，将私网网段转换为一个合法的内网IP，比如家用路由器，将192.168.1.0/24的私网网段通过NAT转换为100.1.1.10这个固定IP。

示例性的，参阅图2所示，为本申请实施例提供的一种组网示意图，该组网包括AAA认证管理系统，NAT设备通过接入设备接入AAA认证管理系统，各终端(如，终端1，终端2和终端3)通过NAT设备接入AAA认证管理系统，进一步的，还可以包括策略服务器，当然，该策略服务器可以集成在AAA认证管理系统中。

其中，AAA认证管理系统包括的NAT设备识别与管理模块，用于定义NAT设备识别、与策略服务器交互通过AAA认证客户端对NAT设备接入的终端进行控制策略下发，实现终端管理的目的。终端发起Portal身份认证时，通过认证报文携带的终端IP地址和接入设备上报的IP地址(NAT设备的IP地址)进行对比，若二者不是同一网段的IP地址，则判定为通过NAT设备发起的认证。

AAA认证管理系统包括的用户管理模块，定义了合法用户身份及其使用的接入策略、接入服务。开启Portal认证必须通过AAA认证客户端认证，关闭Portal web认证功能。

AAA认证管理系统包括的用户认证模块，定义了对用户身份鉴别与处理的方法，合法用户才能通过AAA认证，非法用户拒绝其AAA认证。

本申请实施例中，终端通过NAT设备接入AAA认证管理系统，并在终端上预先安装认证客户端(AAA认证客户端)，且设置AAA认证客户端网卡对业务报文的默认动作为丢弃。终端网卡配置NAT设备的私网网段IP地址。

需要说明的是，本申请实施例中，AAA认证服务器关闭Portal web认证功能，若终端未安装AAA认证客户端，则终端无法通过Portal web认证方式进行身份认证。终端安装AAA认证客户端不进行身份认证时，由于AAA认证客户端默认对网卡报文动作为丢弃，NAT设备接入的终端无法将业务报文发送出去。

也就是说，安装有认证客户端的终端才能向AAA认证服务器认证报文，才能进行身份认证。

步骤110：若判定结果为是，则对所述目标终端进行身份认证。

具体地，若认证服务器基于所述认证请求报文，判定所述目标终端为通过NAT设备接入的终端，则基于所述认证请求报文携带的用户身份信息(如，用户名、密码等身份信息)，对目标终端进行身份认证，具体认证方式/过程，本申请实施例中，在此不做具体限定。

步骤120：若确定所述目标终端身份认证通过，则向所述目标终端下发控制策略。

进一步的，本申请实施例中，在确定所述目标终端身份认证通过之后，向所述目标终端下发控制策略之前，上述终端认证方法还可以包括以下步骤：

向所述目标终端下发安全检查指令，其中，所述安全检查指令包括所需检查的项目；接收所述目标终端发送的安全检查结果，并基于所述安全检查结果判断所述目标终端是否通过安全检查。

也就是说，预先配置有各终端的安全检查项目，那么，在确定目标终端身份认证通过之后，即向目标终端上部署的认证客户端下发安全检查指令，以使得认证客户端基于安全检查指令进行安全检查操作，以确定终端上各项是否检查通过。

进一步的，若基于所述安全检查结果，判定所述目标终端通过安全检查，则向所述目标终端下发第一控制策略，以使得所述目标终端基于所述第一控制策略转发业务报文。

即，在确定目标终端身份认证通过，且安全检查通过之后，向目标终端发送对应的第一访问控制列表(Access Control Lists，ACL)。需要说明的是，该第一ACL是针对身份认证通过，且安全检查通过的终端预设的。

更进一步的，若基于所述安全检查结果，判定所述目标终端未通过安全检查，则向所述目标终端下发第二控制策略，以使得所述目标终端基于所述第二控制策略转发业务报文，其中，所述第一控制策略对应的网络访问权限大于所述第二控制策略对应的网络访问权限。

即，在确定目标终端身份认证通过，而安全检查未通过之后，向目标终端发送对应的第二ACL。需要说明的是，该第二ACL是针对身份认证通过，而安全检查未通过的终端预设的。

实际应用中，例如，假设终端1通过了AAA身份认证，终端2、终端3安装AAA认证客户端但不进行认证，那么，由于AAA认证客户端默认对业务报文的动作为丢弃，此时终端2、终端3无法将业务报文发送出去，若终端1通过了安全检查，则基于预设的第一ACL发送业务报文；若终端1未通过安全检查，则基于预设的第二ACL发送业务报文。

又例如，假设终端1通过AAA身份认证，终端2、终端3也通过了AAA身份认证，此时策略服务器通过AAA认证管理系统下发安全策略给AAA认证客户端，只有通过了安全检查才下发安全ACL(第一ACL)，终端1、终端2、终端3网络访问权限受到安全ACL的控制。如果没有通过安全检查，策略服务器下发隔离ACL(第二ACL)，此时网络访问权限受到隔离ACL的控制。

基于与上述方法实施例同样的发明构思，示例性的，参阅图3所示，为本申请实施例提供的一种终端认证装置的结构示意图，该装置应用于认证服务器，该装置包括：

接收单元30，用于接收目标终端发送的认证请求报文；

判断单元31，用于基于所述认证请求报文判断所述目标终端是否为通过NAT设备接入的终端，其中，所述目标终端为安装有认证客户端的终端，所述目标终端通过所述认证客户端发送所述认证请求报文；

认证单元32，若判定结果为是，则所述认证单元32用于，对所述目标终端进行身份认证；

下发单元33，若确定所述目标终端身份认证通过，则所述下发单元33用于，向所述目标终端下发控制策略。

可选地，基于所述认证请求报文判断所述目标终端是否为通过NAT设备接入的终端时，所述判断单元31具体用于：

获取所述认证请求报文携带的所述目标终端的第一IP地址；

获取所述NAT设备的第二IP地址；

判断所述第一IP地址和所述第二IP地址是否为同一网段的IP地址；

若判定所述第一IP地址和所述第二IP地址不是同一网段的IP地址，则确定所述目标终端是通过NAT设备接入的终端。

可选地，

所述下发单元33还用于，向所述目标终端下发安全检查指令，其中，所述安全检查指令包括所需检查的项目；

所述接收单元30还用于，接收所述目标终端发送的安全检查结果；

所述判断单元31还用于，基于所述安全检查结果判断所述目标终端是否通过安全检查。

可选地，向所述目标终端下发控制策略时，所述下发单元33具体用于：

若基于所述安全检查结果，判定所述目标终端通过安全检查，则向所述目标终端下发第一控制策略，以使得所述目标终端基于所述第一控制策略转发业务报文。

可选地，所述下发单元33还用于：

若基于所述安全检查结果，判定所述目标终端未通过安全检查，则向所述目标终端下发第二控制策略，以使得所述目标终端基于所述第二控制策略转发业务报文，其中，所述第一控制策略对应的网络访问权限大于所述第二控制策略对应的网络访问权限。

以上这些单元可以是被配置成实施以上方法的一个或多个集成电路，例如：一个或多个特定集成电路(Application Specific Integrated Circuit，简称ASIC)，或，一个或多个微处理器(digital singnal processor，简称DSP)，或，一个或者多个现场可编程门阵列(Field Programmable Gate Array，简称FPGA)等。再如，当以上某个单元通过处理元件调度程序代码的形式实现时，该处理元件可以是通用处理器，例如中央处理器(CentralProcessing Unit，简称CPU)或其它可以调用程序代码的处理器。再如，这些单元可以集成在一起，以片上系统(system-on-a-chip，简称SOC)的形式实现。

进一步地，本申请实施例提供的终端认证装置，从硬件层面而言，所述终端认证装置的硬件架构示意图可以参见图4所示，所述终端认证装置可以包括：存储器40和处理器41，

存储器40用于存储程序指令；处理器41调用存储器40中存储的程序指令，按照获得的程序指令执行上述方法实施例。具体实现方式和技术效果类似，这里不再赘述。

可选地，本申请还提供一种认证服务器，包括用于执行上述方法实施例的至少一个处理元件(或芯片)。

可选地，本申请还提供一种程序产品，例如计算机可读存储介质，该计算机可读存储介质存储有计算机可执行指令，该计算机可执行指令用于使该计算机执行上述方法实施例。

这里，机器可读存储介质可以是任何电子、磁性、光学或其它物理存储装置，可以包含或存储信息，如可执行指令、数据，等等。例如，机器可读存储介质可以是：RAM(RadomAccess Memory，随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等)，或者类似的存储介质，或者它们的组合。

上述实施例阐明的系统、装置、模块或单元，具体可以由计算机芯片或实体实现，或者由具有某种功能的产品来实现。一种典型的实现设备为计算机，计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。

为了描述的方便，描述以上装置时以功能分为各种单元分别描述。当然，在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可以由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其它可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其它可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

而且，这些计算机程序指令也可以存储在能引导计算机或其它可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或者多个流程和/或方框图一个方框或者多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其它可编程数据处理设备上，使得在计算机或者其它可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其它可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

以上所述仅为本申请的较佳实施例而已，并不用以限制本申请，凡在本申请的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请保护的范围之内。

Claims (8)

1.一种终端认证方法，其特征在于，应用于认证服务器，所述方法包括：

接收目标终端发送的认证请求报文，并基于所述认证请求报文判断所述目标终端是否为通过NAT设备接入的终端，其中，所述目标终端为安装有认证客户端的终端，所述目标终端通过所述认证客户端发送所述认证请求报文；

若判定结果为是，则对所述目标终端进行身份认证；

若确定所述目标终端身份认证通过，则向所述目标终端下发控制策略；

基于所述认证请求报文判断所述目标终端是否为通过NAT设备接入的终端的步骤包括：

获取所述认证请求报文携带的所述目标终端的第一IP地址；

获取所述NAT设备的第二IP地址；

判断所述第一IP地址和所述第二IP地址是否为同一网段的IP地址；

若判定所述第一IP地址和所述第二IP地址不是同一网段的IP地址，则确定所述目标终端是通过NAT设备接入的终端。

2.如权利要求1所述的方法，其特征在于，在确定所述目标终端身份认证通过之后，向所述目标终端下发控制策略之前，所述方法还包括：

向所述目标终端下发安全检查指令，其中，所述安全检查指令包括所需检查的项目；

接收所述目标终端发送的安全检查结果，并基于所述安全检查结果判断所述目标终端是否通过安全检查。

3.如权利要求2所述的方法，其特征在于，向所述目标终端下发控制策略的步骤包括：

若基于所述安全检查结果，判定所述目标终端通过安全检查，则向所述目标终端下发第一控制策略，以使得所述目标终端基于所述第一控制策略转发业务报文。

4.如权利要求3所述的方法，其特征在于，所述方法还包括：

若基于所述安全检查结果，判定所述目标终端未通过安全检查，则向所述目标终端下发第二控制策略，以使得所述目标终端基于所述第二控制策略转发业务报文，其中，所述第一控制策略对应的网络访问权限大于所述第二控制策略对应的网络访问权限。

5.一种终端认证装置，其特征在于，应用于认证服务器，所述装置包括：

接收单元，用于接收目标终端发送的认证请求报文；

判断单元，用于基于所述认证请求报文判断所述目标终端是否为通过NAT设备接入的终端，其中，所述目标终端为安装有认证客户端的终端，所述目标终端通过所述认证客户端发送所述认证请求报文；

认证单元，若判定结果为是，则所述认证单元用于，对所述目标终端进行身份认证；

下发单元，若确定所述目标终端身份认证通过，则所述下发单元用于，向所述目标终端下发控制策略；

基于所述认证请求报文判断所述目标终端是否为通过NAT设备接入的终端时，所述判断单元具体用于：

获取所述认证请求报文携带的所述目标终端的第一IP地址；

获取所述NAT设备的第二IP地址；

判断所述第一IP地址和所述第二IP地址是否为同一网段的IP地址；

若判定所述第一IP地址和所述第二IP地址不是同一网段的IP地址，则确定所述目标终端是通过NAT设备接入的终端。

6.如权利要求5所述的装置，其特征在于，

所述下发单元还用于，向所述目标终端下发安全检查指令，其中，所述安全检查指令包括所需检查的项目；

所述接收单元还用于，接收所述目标终端发送的安全检查结果；

所述判断单元还用于，基于所述安全检查结果判断所述目标终端是否通过安全检查。

7.如权利要求6所述的装置，其特征在于，向所述目标终端下发控制策略时，所述下发单元具体用于：

若基于所述安全检查结果，判定所述目标终端通过安全检查，则向所述目标终端下发第一控制策略，以使得所述目标终端基于所述第一控制策略转发业务报文。

8.如权利要求7所述的装置，其特征在于，所述下发单元还用于：

若基于所述安全检查结果，判定所述目标终端未通过安全检查，则向所述目标终端下发第二控制策略，以使得所述目标终端基于所述第二控制策略转发业务报文，其中，所述第一控制策略对应的网络访问权限大于所述第二控制策略对应的网络访问权限。