本发明专利技术公开了一种终端认证装置及方法,属于通信安全领域。所述方法包括:认证点将终端的MAC地址发送给认证服务器,认证服务器根据预设的MAC地址列表对MAC地址进行认证;在认证结果表示终端不属于预设的MAC地址列表时,由安全网关根据终端的数据流检测终端是否为可信任终端,并根据检测结果指示认证服务器更新MAC地址列表;并在更新MAC地址列表后,触发认证点对终端进行重新认证;解决了直接拒绝不在白名单中的终端接入监控网络,将严重影响正常监控的问题;达到了根据终端的数据流来检测终端是否为可信任终端,并根据检测结果准许或拒绝该终端接入网络,无需将终端的MAC地址手动加入认证服务器,减少了工作量。
【技术实现步骤摘要】
本专利技术涉及通信安全领域,特别涉及一种终端认证装置及方法。
技术介绍
监控网络中会设置有很多的网络摄像头。出于网络安全的考虑,网络摄像头需要认证通过后才能接入监控网络。目前的一种终端准入方法是:预先设置一个认证服务器(英文:authenticationserver),该认证服务器中保存了可信任网络摄像头的介质访问控制(英文:mediaaccesscontrol;简称:MAC)地址列表,也称白名单(英文:whitelist)。当一个网络摄像头与认证点建立物理连接后,认证点会接收到该网络摄像头的MAC地址,然后将该MAC地址发送给认证服务器。认证服务器检测该MAC地址是否属于白名单;如果属于白名单,则认证服务器向认证点发送认证通过的信息,认证点允许该网络摄像头接入监控网络;如果不属于白名单,则认证服务器向认证点发送认证失败的信息,认证点拒绝该网络摄像头接入监控网络。由于监控网络中的网络摄像头数量巨大且经常更换,有很多新更换的网络摄像头不在认证服务器的白名单中,但又是可信任网络摄像头。如果直接拒绝这些网络摄像头接入监控网络,将严重影响正常监控。如果逐个查出这些网络摄像头的MAC地址并加入认证服务器的白名单中,工作量又极其巨大,可操行性较差。
技术实现思路
为了解决直接拒绝不在白名单中的终端接入监控网络,将严重影响正常监控;若逐个查出这些终端的MAC地址并加入认证服务器中,工作量又极其巨大,可操行性较差的问题,本专利技术实施例提供了一种终端认证装置及方法。所述技术方案如下:根据本专利技术实施例的第一方面,提供了一种终端认证装置,所述装置包括:地址接收模块,用于接收来自终端的数据流,根据所述终端的数据流获取所述终端的MAC地址;地址发送模块,用于将所述终端的MAC地址发送给认证服务器;结果接收模块,用于接收所述认证服务器的认证结果;数据流发送模块,用于在所述认证结果表示所述终端的MAC地址不属于所述认证服务器中预设的MAC地址列表时,将所述终端的数据流发送给安全网关;重新认证模块,用于接收所述认证服务器发送的携带有所述MAC地址的重新认证指示,根据所述重新认证指示对所述终端进行重新认证。在第一方面的第一种可能的实施方式中,所述重新认证模块,用于:接收所述认证服务器发送的携带有所述MAC地址的第一指示,所述第一指示用于指示对所述终端的MAC地址所对应的网络访问端口进行重启;在所述网络访问端口重启后,再次接收来自所述终端的数据流,根据所述数据流获取所述终端的MAC地址;将所述终端的MAC地址重新发送给所述认证服务器进行认证。在第一方面的第二种可能的实施方式中,所述重新认证模块,包括:接收所述认证服务器发送的携带有所述MAC地址的第二指示,所述第二指示用于指示对所述MAC地址所对应的连接进行切断;在所述连接切断后,再次接收来自所述终端的数据流,根据所述数据流获取所述终端的MAC地址;将所述终端的MAC地址发送给所述认证服务器进行重认证。根据本专利技术实施例的第二方面,提供了一种终端认证装置,所述装置包括:认证接收模块,用于接收认证点发送的终端的介质访问控制MAC地址;地址认证模块,用于根据预设的MAC地址列表对所述MAC地址进行认证;结果发送模块,用于在所述MAC地址不属于所述预设的MAC地址列表时,向所述认证点发送用于表示所述终端的MAC地址不属于所述MAC地址列表的认证结果;指示接收模块,用于接收安全网关发送的指示,所述指示携带有所述终端的MAC地址以及所述终端是否为可信任终端的标识;列表更新模块,用于根据所述安全网关发送的指示更新所述MAC地址列表;报文发送模块,用于根据所述安全网关发送的指示向所述认证点发送携带有所述终端的MAC地址的重新认证指示。在第二方面的第一种可能的实施方式中,所述列表更新模块,用于:在所述指示携带有所述终端为可信任终端的标识时,将所述终端的MAC地址添加入可信任终端的MAC地址列表;在所述指示携带有所述终端为不可信任终端的标识时,将所述终端的MAC地址添加入不可信任终端的MAC地址列表。根据本专利技术实施例的第三方面,提供了一种终端认证方法,所述方法包括:接收来自终端的数据流,根据所述数据流获取所述终端的MAC地址;将所述终端的MAC地址发送给认证服务器;接收所述认证服务器的认证结果;在所述认证结果表示所述终端的MAC地址不属于所述认证服务器中预设的MAC地址列表时,将所述终端的数据流发送给安全网关;接收所述认证服务器发送的携带有所述终端的MAC地址的重新认证指示,根据所述重新认证指示对所述终端进行重新认证。在第三方面的第一种可能的实施方式中,所述接收所述认证服务器发送的携带有所述MAC地址的重新认证指示,根据所述重新认证指示对所述终端进行重新认证,包括:接收所述认证服务器发送的携带有所述终端的MAC地址的第一指示,所述第一指示用于指示对所述MAC地址所对应的网络访问端口进行重启;在所述网络访问端口重启后,再次接收所述终端的数据流,根据所述数据流获取所述终端的MAC地址;将所述终端的MAC地址重新发送给所述认证服务器进行认证。在第三方面的第二种可能的实施方式中,所述接收所述认证服务器发送的携带有所述终端的MAC地址的重新认证指示,根据所述重新认证指示对所述终端进行重新认证,包括:接收所述认证服务器发送的携带有所述终端的MAC地址的第二指示,所述第二指示用于指示对所述MAC地址所对应的连接进行切断;在所述连接切断后,再次接收所述终端的数据流,根据所述数据流获取所述终端的MAC地址;将所述终端的MAC地址重新发送给所述认证服务器进行认证。根据本专利技术实施例的第四方面,提供了一种终端认证方法,所述方法包括:接收认证点发送的终端的介质访问控制MAC地址;根据预设的MAC地址列表对所述MAC地址进行认证;在所述MAC地址不属于所述MAC地址列表时,向所述认证点发送用于表示所述终端的MAC地址不属于所述MAC地址列表的认证结果;接收安全网关发送的指示,所述指示携带有所述终端的MAC地址以及所述终端是否为可信任终端的标识;根据所述安全网关发送的指示更新所述MAC地址列表;根据所述安全网关发送的指示向所述认证点发送携带有所述终端的MAC地址的重新认证指示。在第四方面的第一种可能的实施方式中,所述根据所述安全网关发送的指示更新所述MA本文档来自技高网...
【技术保护点】
一种终端认证装置,其特征在于,所述装置包括:地址接收模块,用于接收来自终端的数据流,根据所述终端的数据流获取所述终端的介质访问控制MAC地址;地址发送模块,用于将所述终端的MAC地址发送给认证服务器;结果接收模块,用于接收所述认证服务器的认证结果;数据流发送模块,用于在所述认证结果表示所述终端的MAC地址不属于所述认证服务器中预设的MAC地址列表时,将所述终端的数据流发送给安全网关;重新认证模块,用于接收所述认证服务器发送的携带有所述终端的MAC地址的重新认证指示,根据所述重新认证指示对所述终端进行重新认证。
【技术特征摘要】
1.一种终端认证装置,其特征在于,所述装置包括:
地址接收模块,用于接收来自终端的数据流,根据所述终端的数据流获取
所述终端的介质访问控制MAC地址;
地址发送模块,用于将所述终端的MAC地址发送给认证服务器;
结果接收模块,用于接收所述认证服务器的认证结果;
数据流发送模块,用于在所述认证结果表示所述终端的MAC地址不属于所
述认证服务器中预设的MAC地址列表时,将所述终端的数据流发送给安全网
关;
重新认证模块,用于接收所述认证服务器发送的携带有所述终端的MAC地
址的重新认证指示,根据所述重新认证指示对所述终端进行重新认证。
2.根据权利要求1所述的装置,其特征在于,所述重新认证模块,用于:
接收所述认证服务器发送的携带有所述终端的MAC地址的第一指示,所述
第一指示用于指示对所述终端的MAC地址所对应的网络访问端口进行重启;
在所述网络访问端口重启后,再次接收来自所述终端的数据流,根据所述
数据流获取所述终端的MAC地址;
将所述终端的MAC地址重新发送给所述认证服务器进行认证。
3.根据权利要求1所述的装置,其特征在于,所述重新认证模块,用于:
接收所述认证服务器发送的携带有所述终端的MAC地址的第二指示,所述
第二指示用于指示对所述MAC地址所对应的连接进行切断;
在所述连接切断后,再次接收来自所述终端的数据流,根据所述数据流获
取所述终端的MAC地址;
将所述终端的MAC地址重新发送给所述认证服务器进行认证。
4.一种终端认证装置,其特征在于,所述装置包括:
认证接收模块,用于接收认证点发送的终端的介质访问控制MAC地址;
地址认证模块,用于根据预设的MAC地址列表对所述MAC地址进行认证;
结果发送模块,用于在所述MAC地址不属于所述预设的MAC地址列表时,
向所述认证点发送用于表示所述终端的MAC地址不属于所述MAC地址列表的
认证结果;
指示接收模块,用于接收安全网关发送的指示,所述指示携带有所述终端
的MAC地址以及所述终端是否为可信任终端的标识;
列表更新模块,用于根据所述安全网关发送的指示更新所述MAC地址列
表;
报文发送模块,用于根据所述安全网关发送的指示向所述认证点发送携带
有所述终端的MAC地址的重新认证指示。
5.根据权利要求4所述的装置,其特征在于,所述列表更新模块,用于:
在所述指示携带有所述终端为可信任终端的标识时,将所述终端的MAC地
址添加入可信任终端对应的MAC地址列表;
在所述指示携带有所述终端为不可信任终端的标识时,将所述终端的MAC
地址添加入不可信任终端的MAC地址列表。
6.一种终端认证方法...
【专利技术属性】
技术研发人员:王科,李伟,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。