CN114513347B - 一种终端认证方法及装置 - Google Patents
一种终端认证方法及装置 Download PDFInfo
- Publication number
- CN114513347B CN114513347B CN202210109372.2A CN202210109372A CN114513347B CN 114513347 B CN114513347 B CN 114513347B CN 202210109372 A CN202210109372 A CN 202210109372A CN 114513347 B CN114513347 B CN 114513347B
- Authority
- CN
- China
- Prior art keywords
- target terminal
- authentication
- terminal
- security check
- control strategy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 38
- 238000011217 control strategy Methods 0.000 claims abstract description 43
- 238000007689 inspection Methods 0.000 claims description 6
- 238000005516 engineering process Methods 0.000 abstract description 2
- 238000010586 diagram Methods 0.000 description 13
- 238000012545 processing Methods 0.000 description 10
- 230000006870 function Effects 0.000 description 8
- 238000004590 computer program Methods 0.000 description 7
- 230000008569 process Effects 0.000 description 4
- 230000006855 networking Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000009471 action Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/256—NAT traversal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及网络通信技术领域,特别涉及一种终端认证方法及装置。该方法包括:接收目标终端发送的认证请求报文,并基于所述认证请求报文判断所述目标终端是否为通过NAT设备接入的终端,其中,所述目标终端为安装有认证客户端的终端,所述目标终端通过所述认证客户端发送所述认证请求报文;若判定结果为是,则对所述目标终端进行身份认证;若确定所述目标终端身份认证通过,则向所述目标终端下发控制策略。
Description
技术领域
本申请涉及网络通信技术领域,特别涉及一种终端认证方法及装置。
背景技术
现如今网络规模扩展更加方便、成本也更加低廉,但对网络安全的要求确更加严格,绝大部分网络包括公司内网都要求终端通过认证系统认证后方可接入网络。但由于网络延伸到用户侧管理不到位、网络扩容预算不足等,会存在私拉乱接现象,尤其是针对接入交换机端口数量不足,可以通过外接NAT设备(家用路由器等)实现端口扩容。网络启用Portal认证后,这种NAT场景下多个终端通过NAT设备接入网络,第一个终端通过认证系统的认证后,此NAT设备其他终端无需认证即可接入网络。这样一来就绕开了认证系统的身份校验,管理员也无法对其他终端进行网络权限的管控,这种网络管理的薄弱之处,是网络安全要求不允许存在的,也是极大的安全隐患。另外现在大部分网络设备Portal认证都是基于VLAN开启认证的,无法做到像802.1x端口级管控。
发明内容
本申请提供了一种终端认证方法及装置。
第一方面,本申请提供了一种终端认证方法,应用于认证服务器,所述方法包括:
接收目标终端发送的认证请求报文,并基于所述认证请求报文判断所述目标终端是否为通过NAT设备接入的终端,其中,所述目标终端为安装有认证客户端的终端,所述目标终端通过所述认证客户端发送所述认证请求报文;
若判定结果为是,则对所述目标终端进行身份认证;
若确定所述目标终端身份认证通过,则向所述目标终端下发控制策略。
可选地,基于所述认证请求报文判断所述目标终端是否为通过NAT设备接入的终端的步骤包括:
获取所述认证请求报文携带的所述目标终端的第一IP地址;
获取所述NAT设备的第二IP地址;
判断所述第一IP地址和所述第二IP地址是否为同一网段的IP地址;
若判定所述第一IP地址和所述第二IP地址不是同一网段的IP地址,则确定所述目标终端是通过NAT设备接入的终端。
可选地,在确定所述目标终端身份认证通过之后,向所述目标终端下发控制策略之前,所述方法还包括:
向所述目标终端下发安全检查指令,其中,所述安全检查指令包括所需检查的项目;
接收所述目标终端发送的安全检查结果,并基于所述安全检查结果判断所述目标终端是否通过安全检查。
可选地,向所述目标终端下发控制策略的步骤包括:
若基于所述安全检查结果,判定所述目标终端通过安全检查,则向所述目标终端下发第一控制策略,以使得所述目标终端基于所述第一控制策略转发业务报文。
可选地,所述方法还包括:
若基于所述安全检查结果,判定所述目标终端未通过安全检查,则向所述目标终端下发第二控制策略,以使得所述目标终端基于所述第二控制策略转发业务报文,其中,所述第一控制策略对应的网络访问权限大于所述第二控制策略对应的网络访问权限。
第二方面,本申请提供了一种终端认证装置,应用于认证服务器,所述装置包括:
接收单元,用于接收目标终端发送的认证请求报文;
判断单元,用于基于所述认证请求报文判断所述目标终端是否为通过NAT设备接入的终端,其中,所述目标终端为安装有认证客户端的终端,所述目标终端通过所述认证客户端发送所述认证请求报文;
认证单元,若判定结果为是,则所述认证单元用于,对所述目标终端进行身份认证;
下发单元,若确定所述目标终端身份认证通过,则所述下发单元用于,向所述目标终端下发控制策略。
可选地,基于所述认证请求报文判断所述目标终端是否为通过NAT设备接入的终端时,所述判断单元具体用于:
获取所述认证请求报文携带的所述目标终端的第一IP地址;
获取所述NAT设备的第二IP地址;
判断所述第一IP地址和所述第二IP地址是否为同一网段的IP地址;
若判定所述第一IP地址和所述第二IP地址不是同一网段的IP地址,则确定所述目标终端是通过NAT设备接入的终端。
可选地,
所述下发单元还用于,向所述目标终端下发安全检查指令,其中,所述安全检查指令包括所需检查的项目;
所述接收单元还用于,接收所述目标终端发送的安全检查结果;
所述判断单元还用于,基于所述安全检查结果判断所述目标终端是否通过安全检查。
可选地,向所述目标终端下发控制策略时,所述下发单元具体用于:
若基于所述安全检查结果,判定所述目标终端通过安全检查,则向所述目标终端下发第一控制策略,以使得所述目标终端基于所述第一控制策略转发业务报文。
可选地,所述下发单元还用于:
若基于所述安全检查结果,判定所述目标终端未通过安全检查,则向所述目标终端下发第二控制策略,以使得所述目标终端基于所述第二控制策略转发业务报文,其中,所述第一控制策略对应的网络访问权限大于所述第二控制策略对应的网络访问权限。
第三方面,本申请实施例提供一种终端认证装置,该终端装置包括:
存储器,用于存储程序指令;
处理器,用于调用所述存储器中存储的程序指令,按照获得的程序指令执行如上述第一方面中任一项所述的方法的步骤。
第四方面,本申请实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机可执行指令,所述计算机可执行指令用于使所述计算机执行如上述第一方面中任一项所述方法的步骤。
综上可知,本申请实施例提供的终端认证方法,接收目标终端发送的认证请求报文,并基于所述认证请求报文判断所述目标终端是否为通过NAT设备接入的终端,其中,所述目标终端为安装有认证客户端的终端,所述目标终端通过所述认证客户端发送所述认证请求报文;若判定结果为是,则对所述目标终端进行身份认证;若确定所述目标终端身份认证通过,则向所述目标终端下发控制策略。
采用本申请实施例提供的终端认证方法,对通过NAT设备接入的终端也纳入AAA认证管理系统的管控范围,提高网络安全性,同时,无需对现有网络进行改造,既不需要新增接入设备,也不需要切换认证方式。
附图说明
为了更加清楚地说明本申请实施例或者现有技术中的技术方案,下面将对本申请实施例或者现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据本申请实施例的这些附图获得其他的附图。
图1为本申请实施例提供的一种终端认证方法的详细流程图;
图2为本申请实施例提供的一种组网示意图;
图3为本申请实施例提供的一种终端认证装置的结构示意图;
图4为本申请实施例提供的另一种终端认证装置的结构示意图。
具体实施方式
在本申请实施例使用的术语仅仅是出于描述特定实施例的目的,而非限制本申请。本申请和权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其它含义。还应当理解,本文中使用的术语“和/或”是指包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请实施例可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,此外,所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
示例性的,参阅图1所示,为本申请实施例提供的一种终端认证方法的详细流程图,应用于认证服务器,该方法包括以下步骤:
步骤100:接收目标终端发送的认证请求报文,并基于所述认证请求报文判断所述目标终端是否为通过NAT设备接入的终端。
其中,所述目标终端为安装有认证客户端的终端,所述目标终端通过所述认证客户端发送所述认证请求报文。
本申请实施例中,在基于所述认证请求报文判断所述目标终端是否为通过NAT设备接入的终端时,一种较佳地实现方式为,获取所述认证请求报文携带的所述目标终端的第一IP地址;获取所述NAT设备的第二IP地址;判断所述第一IP地址和所述第二IP地址是否为同一网段的IP地址;若判定所述第一IP地址和所述第二IP地址不是同一网段的IP地址,则确定所述目标终端是通过NAT设备接入的终端。
也就是说,若终端IP地址和NAT设备的IP地址为同一网段的IP地址,则说明终端不是通过NAT设备接入的,即终端不是通过NAT设备发起认证的,此时,按原有终端认证方式认证即可,本申请实施例中,在此不做具体限定。
本申请实施例中,以认证服务器为AAA认证管理系统(服务器),认证方式为Portal认证为例进行说明。所谓NAT设备,配置NAT,将私网网段转换为一个合法的内网IP,比如家用路由器,将192.168.1.0/24的私网网段通过NAT转换为100.1.1.10这个固定IP。
示例性的,参阅图2所示,为本申请实施例提供的一种组网示意图,该组网包括AAA认证管理系统,NAT设备通过接入设备接入AAA认证管理系统,各终端(如,终端1,终端2和终端3)通过NAT设备接入AAA认证管理系统,进一步的,还可以包括策略服务器,当然,该策略服务器可以集成在AAA认证管理系统中。
其中,AAA认证管理系统包括的NAT设备识别与管理模块,用于定义NAT设备识别、与策略服务器交互通过AAA认证客户端对NAT设备接入的终端进行控制策略下发,实现终端管理的目的。终端发起Portal身份认证时,通过认证报文携带的终端IP地址和接入设备上报的IP地址(NAT设备的IP地址)进行对比,若二者不是同一网段的IP地址,则判定为通过NAT设备发起的认证。
AAA认证管理系统包括的用户管理模块,定义了合法用户身份及其使用的接入策略、接入服务。开启Portal认证必须通过AAA认证客户端认证,关闭Portal web认证功能。
AAA认证管理系统包括的用户认证模块,定义了对用户身份鉴别与处理的方法,合法用户才能通过AAA认证,非法用户拒绝其AAA认证。
本申请实施例中,终端通过NAT设备接入AAA认证管理系统,并在终端上预先安装认证客户端(AAA认证客户端),且设置AAA认证客户端网卡对业务报文的默认动作为丢弃。终端网卡配置NAT设备的私网网段IP地址。
需要说明的是,本申请实施例中,AAA认证服务器关闭Portal web认证功能,若终端未安装AAA认证客户端,则终端无法通过Portal web认证方式进行身份认证。终端安装AAA认证客户端不进行身份认证时,由于AAA认证客户端默认对网卡报文动作为丢弃,NAT设备接入的终端无法将业务报文发送出去。
也就是说,安装有认证客户端的终端才能向AAA认证服务器认证报文,才能进行身份认证。
步骤110:若判定结果为是,则对所述目标终端进行身份认证。
具体地,若认证服务器基于所述认证请求报文,判定所述目标终端为通过NAT设备接入的终端,则基于所述认证请求报文携带的用户身份信息(如,用户名、密码等身份信息),对目标终端进行身份认证,具体认证方式/过程,本申请实施例中,在此不做具体限定。
步骤120:若确定所述目标终端身份认证通过,则向所述目标终端下发控制策略。
进一步的,本申请实施例中,在确定所述目标终端身份认证通过之后,向所述目标终端下发控制策略之前,上述终端认证方法还可以包括以下步骤:
向所述目标终端下发安全检查指令,其中,所述安全检查指令包括所需检查的项目;接收所述目标终端发送的安全检查结果,并基于所述安全检查结果判断所述目标终端是否通过安全检查。
也就是说,预先配置有各终端的安全检查项目,那么,在确定目标终端身份认证通过之后,即向目标终端上部署的认证客户端下发安全检查指令,以使得认证客户端基于安全检查指令进行安全检查操作,以确定终端上各项是否检查通过。
进一步的,若基于所述安全检查结果,判定所述目标终端通过安全检查,则向所述目标终端下发第一控制策略,以使得所述目标终端基于所述第一控制策略转发业务报文。
即,在确定目标终端身份认证通过,且安全检查通过之后,向目标终端发送对应的第一访问控制列表(Access Control Lists,ACL)。需要说明的是,该第一ACL是针对身份认证通过,且安全检查通过的终端预设的。
更进一步的,若基于所述安全检查结果,判定所述目标终端未通过安全检查,则向所述目标终端下发第二控制策略,以使得所述目标终端基于所述第二控制策略转发业务报文,其中,所述第一控制策略对应的网络访问权限大于所述第二控制策略对应的网络访问权限。
即,在确定目标终端身份认证通过,而安全检查未通过之后,向目标终端发送对应的第二ACL。需要说明的是,该第二ACL是针对身份认证通过,而安全检查未通过的终端预设的。
实际应用中,例如,假设终端1通过了AAA身份认证,终端2、终端3安装AAA认证客户端但不进行认证,那么,由于AAA认证客户端默认对业务报文的动作为丢弃,此时终端2、终端3无法将业务报文发送出去,若终端1通过了安全检查,则基于预设的第一ACL发送业务报文;若终端1未通过安全检查,则基于预设的第二ACL发送业务报文。
又例如,假设终端1通过AAA身份认证,终端2、终端3也通过了AAA身份认证,此时策略服务器通过AAA认证管理系统下发安全策略给AAA认证客户端,只有通过了安全检查才下发安全ACL(第一ACL),终端1、终端2、终端3网络访问权限受到安全ACL的控制。如果没有通过安全检查,策略服务器下发隔离ACL(第二ACL),此时网络访问权限受到隔离ACL的控制。
基于与上述方法实施例同样的发明构思,示例性的,参阅图3所示,为本申请实施例提供的一种终端认证装置的结构示意图,该装置应用于认证服务器,该装置包括:
接收单元30,用于接收目标终端发送的认证请求报文;
判断单元31,用于基于所述认证请求报文判断所述目标终端是否为通过NAT设备接入的终端,其中,所述目标终端为安装有认证客户端的终端,所述目标终端通过所述认证客户端发送所述认证请求报文;
认证单元32,若判定结果为是,则所述认证单元32用于,对所述目标终端进行身份认证;
下发单元33,若确定所述目标终端身份认证通过,则所述下发单元33用于,向所述目标终端下发控制策略。
可选地,基于所述认证请求报文判断所述目标终端是否为通过NAT设备接入的终端时,所述判断单元31具体用于:
获取所述认证请求报文携带的所述目标终端的第一IP地址;
获取所述NAT设备的第二IP地址;
判断所述第一IP地址和所述第二IP地址是否为同一网段的IP地址;
若判定所述第一IP地址和所述第二IP地址不是同一网段的IP地址,则确定所述目标终端是通过NAT设备接入的终端。
可选地,
所述下发单元33还用于,向所述目标终端下发安全检查指令,其中,所述安全检查指令包括所需检查的项目;
所述接收单元30还用于,接收所述目标终端发送的安全检查结果;
所述判断单元31还用于,基于所述安全检查结果判断所述目标终端是否通过安全检查。
可选地,向所述目标终端下发控制策略时,所述下发单元33具体用于:
若基于所述安全检查结果,判定所述目标终端通过安全检查,则向所述目标终端下发第一控制策略,以使得所述目标终端基于所述第一控制策略转发业务报文。
可选地,所述下发单元33还用于:
若基于所述安全检查结果,判定所述目标终端未通过安全检查,则向所述目标终端下发第二控制策略,以使得所述目标终端基于所述第二控制策略转发业务报文,其中,所述第一控制策略对应的网络访问权限大于所述第二控制策略对应的网络访问权限。
以上这些单元可以是被配置成实施以上方法的一个或多个集成电路,例如:一个或多个特定集成电路(Application Specific Integrated Circuit,简称ASIC),或,一个或多个微处理器(digital singnal processor,简称DSP),或,一个或者多个现场可编程门阵列(Field Programmable Gate Array,简称FPGA)等。再如,当以上某个单元通过处理元件调度程序代码的形式实现时,该处理元件可以是通用处理器,例如中央处理器(CentralProcessing Unit,简称CPU)或其它可以调用程序代码的处理器。再如,这些单元可以集成在一起,以片上系统(system-on-a-chip,简称SOC)的形式实现。
进一步地,本申请实施例提供的终端认证装置,从硬件层面而言,所述终端认证装置的硬件架构示意图可以参见图4所示,所述终端认证装置可以包括:存储器40和处理器41,
存储器40用于存储程序指令;处理器41调用存储器40中存储的程序指令,按照获得的程序指令执行上述方法实施例。具体实现方式和技术效果类似,这里不再赘述。
可选地,本申请还提供一种认证服务器,包括用于执行上述方法实施例的至少一个处理元件(或芯片)。
可选地,本申请还提供一种程序产品,例如计算机可读存储介质,该计算机可读存储介质存储有计算机可执行指令,该计算机可执行指令用于使该计算机执行上述方法实施例。
这里,机器可读存储介质可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,机器可读存储介质可以是:RAM(RadomAccess Memory,随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等),或者类似的存储介质,或者它们的组合。
上述实施例阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机,计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可以由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其它可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其它可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
而且,这些计算机程序指令也可以存储在能引导计算机或其它可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或者多个流程和/或方框图一个方框或者多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其它可编程数据处理设备上,使得在计算机或者其它可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其它可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (8)
1.一种终端认证方法,其特征在于,应用于认证服务器,所述方法包括:
接收目标终端发送的认证请求报文,并基于所述认证请求报文判断所述目标终端是否为通过NAT设备接入的终端,其中,所述目标终端为安装有认证客户端的终端,所述目标终端通过所述认证客户端发送所述认证请求报文;
若判定结果为是,则对所述目标终端进行身份认证;
若确定所述目标终端身份认证通过,则向所述目标终端下发控制策略;
基于所述认证请求报文判断所述目标终端是否为通过NAT设备接入的终端的步骤包括:
获取所述认证请求报文携带的所述目标终端的第一IP地址;
获取所述NAT设备的第二IP地址;
判断所述第一IP地址和所述第二IP地址是否为同一网段的IP地址;
若判定所述第一IP地址和所述第二IP地址不是同一网段的IP地址,则确定所述目标终端是通过NAT设备接入的终端。
2.如权利要求1所述的方法,其特征在于,在确定所述目标终端身份认证通过之后,向所述目标终端下发控制策略之前,所述方法还包括:
向所述目标终端下发安全检查指令,其中,所述安全检查指令包括所需检查的项目;
接收所述目标终端发送的安全检查结果,并基于所述安全检查结果判断所述目标终端是否通过安全检查。
3.如权利要求2所述的方法,其特征在于,向所述目标终端下发控制策略的步骤包括:
若基于所述安全检查结果,判定所述目标终端通过安全检查,则向所述目标终端下发第一控制策略,以使得所述目标终端基于所述第一控制策略转发业务报文。
4.如权利要求3所述的方法,其特征在于,所述方法还包括:
若基于所述安全检查结果,判定所述目标终端未通过安全检查,则向所述目标终端下发第二控制策略,以使得所述目标终端基于所述第二控制策略转发业务报文,其中,所述第一控制策略对应的网络访问权限大于所述第二控制策略对应的网络访问权限。
5.一种终端认证装置,其特征在于,应用于认证服务器,所述装置包括:
接收单元,用于接收目标终端发送的认证请求报文;
判断单元,用于基于所述认证请求报文判断所述目标终端是否为通过NAT设备接入的终端,其中,所述目标终端为安装有认证客户端的终端,所述目标终端通过所述认证客户端发送所述认证请求报文;
认证单元,若判定结果为是,则所述认证单元用于,对所述目标终端进行身份认证;
下发单元,若确定所述目标终端身份认证通过,则所述下发单元用于,向所述目标终端下发控制策略;
基于所述认证请求报文判断所述目标终端是否为通过NAT设备接入的终端时,所述判断单元具体用于:
获取所述认证请求报文携带的所述目标终端的第一IP地址;
获取所述NAT设备的第二IP地址;
判断所述第一IP地址和所述第二IP地址是否为同一网段的IP地址;
若判定所述第一IP地址和所述第二IP地址不是同一网段的IP地址,则确定所述目标终端是通过NAT设备接入的终端。
6.如权利要求5所述的装置,其特征在于,
所述下发单元还用于,向所述目标终端下发安全检查指令,其中,所述安全检查指令包括所需检查的项目;
所述接收单元还用于,接收所述目标终端发送的安全检查结果;
所述判断单元还用于,基于所述安全检查结果判断所述目标终端是否通过安全检查。
7.如权利要求6所述的装置,其特征在于,向所述目标终端下发控制策略时,所述下发单元具体用于:
若基于所述安全检查结果,判定所述目标终端通过安全检查,则向所述目标终端下发第一控制策略,以使得所述目标终端基于所述第一控制策略转发业务报文。
8.如权利要求7所述的装置,其特征在于,所述下发单元还用于:
若基于所述安全检查结果,判定所述目标终端未通过安全检查,则向所述目标终端下发第二控制策略,以使得所述目标终端基于所述第二控制策略转发业务报文,其中,所述第一控制策略对应的网络访问权限大于所述第二控制策略对应的网络访问权限。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210109372.2A CN114513347B (zh) | 2022-01-28 | 2022-01-28 | 一种终端认证方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210109372.2A CN114513347B (zh) | 2022-01-28 | 2022-01-28 | 一种终端认证方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114513347A CN114513347A (zh) | 2022-05-17 |
CN114513347B true CN114513347B (zh) | 2023-10-27 |
Family
ID=81552035
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210109372.2A Active CN114513347B (zh) | 2022-01-28 | 2022-01-28 | 一种终端认证方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114513347B (zh) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101072108A (zh) * | 2007-07-17 | 2007-11-14 | 杭州华三通信技术有限公司 | 一种ssl vpn客户端安全检查方法、系统及其装置 |
CN103532717A (zh) * | 2013-10-16 | 2014-01-22 | 杭州华三通信技术有限公司 | 一种Portal认证处理方法、认证协助方法及装置 |
CN112671708A (zh) * | 2020-11-25 | 2021-04-16 | 新华三技术有限公司 | 认证方法及系统、portal服务器、安全策略服务器 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10397060B2 (en) * | 2017-03-02 | 2019-08-27 | Cisco Technology, Inc. | Identity-based policy implementation in network address translation (NAT) environments |
-
2022
- 2022-01-28 CN CN202210109372.2A patent/CN114513347B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101072108A (zh) * | 2007-07-17 | 2007-11-14 | 杭州华三通信技术有限公司 | 一种ssl vpn客户端安全检查方法、系统及其装置 |
CN103532717A (zh) * | 2013-10-16 | 2014-01-22 | 杭州华三通信技术有限公司 | 一种Portal认证处理方法、认证协助方法及装置 |
CN112671708A (zh) * | 2020-11-25 | 2021-04-16 | 新华三技术有限公司 | 认证方法及系统、portal服务器、安全策略服务器 |
Non-Patent Citations (1)
Title |
---|
网络接入安全控制研究;王昌旭;周振柳;许榕生;;计算机应用与软件(第11期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN114513347A (zh) | 2022-05-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR102223827B1 (ko) | 단말의 네트워크 접속을 인증 및 제어하기 위한 시스템 및 그에 관한 방법 | |
US8868915B2 (en) | Secure authentication for client application access to protected resources | |
KR101296065B1 (ko) | 복수의 프로비저닝된 가입자 식별 모듈(sim) 서비스로부터 보안 가입자 식별 모듈(sim) 서비스를 선택하기 위해 컴퓨터로 구현되는 방법, 복수의 프로비저닝된 가입자 식별 모듈(sim) 서비스로부터 보안 가입자 식별 모듈(sim) 서비스를 선택하는 장치 및 컴퓨터 판독가능 저장매체 | |
US11405378B2 (en) | Post-connection client certificate authentication | |
US11082256B2 (en) | System for controlling network access of terminal based on tunnel and method thereof | |
US9479490B2 (en) | Methods and systems for single sign-on while protecting user privacy | |
US10855644B1 (en) | Address resolution protocol entry verification | |
KR102460691B1 (ko) | 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법 | |
US20240080299A1 (en) | Controller-based network access control system, and method thereof | |
CN113992354A (zh) | 一种身份验证方法、装置、设备及机器可读存储介质 | |
JP7489147B2 (ja) | 端末のネットワーク接続を認証及び制御するためのシステム及びそれに関する方法 | |
US20220247720A1 (en) | System for Controlling Network Access of Node on Basis of Tunnel and Data Flow, and Method Therefor | |
KR102545160B1 (ko) | 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법 | |
CN114513347B (zh) | 一种终端认证方法及装置 | |
WO2017153990A1 (en) | System and method for device authentication using hardware and software identifiers | |
CN114422167B (zh) | 一种网络准入控制方法、装置、电子设备及存储介质 | |
US12028345B2 (en) | Information security system and method for identifying trusted machines for machine-to-machine (M2M) security and validation | |
US11979396B2 (en) | Information security system and method for machine-to-machine (M2M) security and validation | |
CN108259420B (zh) | 一种报文处理方法及装置 | |
US20210377220A1 (en) | Open sesame | |
CN114978544A (zh) | 一种访问认证方法、装置、系统、电子设备及介质 | |
JP2023521901A (ja) | ユーザ識別子および署名収集を利用したモバイルアプリケーション偽造・変造探知方法、コンピュータプログラム、コンピュータ読み取り可能な記録媒体およびコンピュータ装置 | |
CN102123147B (zh) | 一种网络设备差异化授权的方法及系统 | |
CN114423005B (zh) | 一种无线网络配置方法、装置、设备及机器可读存储介质 | |
US20230254306A1 (en) | Systems and methods for authenticating access to a service by a mobile device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |