一种终端认证方法及装置制造方法及图纸

本申请提供一种终端认证方法，其特征在于，应用于终端认证设备，所述终端认证设备旁挂在转发设备一侧，所述方法包括：接收由所述转发设备转发的ARP数据报文，所述ARP数据报文为待认证终端发出的ARP数据报文；从所述ARP数据报文中解析出所述待认证终端的标识；在终端认证设备本地存储的白名单中查找是否存在所述待认证终端的标识；若存在，则所述待认证终端认证通过。

A Terminal Authentication Method and Device

This application provides a terminal authentication method, which is characterized by its application to terminal authentication equipment. The terminal authentication device is attached to the side of the forwarding device. The method includes: receiving ARP data message forwarded by the forwarding device, the ARP data message is the ARP data message sent by the terminal to be authenticated, and parsing the label of the terminal to be authenticated from the ARP data message. Identify; find whether the identification of the terminal to be authenticated exists in the whitelist stored locally by the terminal authentication device; if so, the terminal to be authenticated has passed.

【技术实现步骤摘要】
一种终端认证方法及装置
本申请涉及通信
，尤其涉及一种终端认证方法及装置。
技术介绍
随着网络技术的不断发展，网络安全问题变得尤为突出。门户(英文：Portal)认证是一种可以有效保障网络安全的方法。其中Portal认证是指终端需要获得Portal服务器的授权认证才可以访问网络数据。另外还存在PPPOE(PointToPointOverEthernet，基于以太网的点对点通讯协议)认证、IPoE认证等认证方式同样可以保障网络安全。然而这些传统的认证方式需要将终端串接在网络中。由于需要将终端串接在网络中，会增加网络的单点故障，需要改变用户组网。
技术实现思路
有鉴于此，本申请提供一种终端认证方法及装置。具体地，本申请是通过如下技术方案实现的：一种终端认证方法，其特征在于，应用于终端认证设备，所述终端认证设备旁挂在转发设备一侧，所述方法包括：接收由所述转发设备转发的ARP数据报文，所述ARP数据报文为待认证终端发出的ARP数据报文；从所述ARP数据报文中解析出所述待认证终端的标识；在终端认证设备本地存储的白名单中查找是否存在所述待认证终端的标识；若存在，则所述待认证终端认证通过。一种终端认证装置，其特征在于，应用于终端认证设备，所述终端认证设备旁挂在转发设备一侧，所述装置包括：报文接收模块，用于接收由所述转发设备转发的ARP数据报文，所述ARP数据报文为待认证终端发出的ARP数据报文；标识解析模块，用于从所述ARP数据报文中解析出所述待认证终端的标识；查找模块，用于在终端认证设备本地存储的白名单中查找是否存在所述待认证终端的标识；认证模块，用于若存在，则所述待认证终端认证通过。本申请通过旁路部署终端认证设备，在终端认证设备上进行终端认证，无需改变用户组网，避免网络的单点故障，且部署方便。附图说明为了更清楚地说明本申请实施例的技术方案，下面将对实施例描述中所需要的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请中记载的一些实施例，对于本领域普通技术人员来讲，还可以根据这些附图获得其他的附图。图1是本申请一示例性实施例示出的一种终端认证设备、转发设备以及终端进行连接的示意图；图2是本申请一示例性实施例示出的一种终端认证方法的实施流程图；图3是本申请一示例性实施例示出的一种终端认证装置的结构示意图。具体实施方式这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。首先对本申请实施例提供的一种终端认证方法进行说明，该方法可以包括以下步骤：接收由所述转发设备转发的ARP数据报文，所述ARP数据报文为待认证终端发出的ARP数据报文；从所述ARP数据报文中解析出所述待认证终端的标识；在终端认证设备本地存储的白名单中查找是否存在所述待认证终端的标识；若存在，则所述待认证终端认证通过。如图1所示的一示例性终端认证设备、转发设备以及终端进行连接的示意图，待认证终端与转发设备进行连接，终端认证设备旁挂在转发设备一侧，其中转发设备可以是路由器、交换机等网络设备，终端认证设备与转发设备之间需要两根链接线缆(光纤、双绞线、同轴电缆等)进行连接，其中一根链接线缆负责传输待认证终端发出的ARP数据报文，另一根链接线缆负责终端认证设备与目的设备的通信，即负责将通过认证的终端的业务报文传输至转发设备，以使转发设备转发到目的设备。待认证终端发送ARP数据报文至转发设备，转发设备将待认证终端发出的ARP数据报文转发至终端认证设备，在终端认证设备上，接收该转发设备转发的ARP数据报文，从该ARP数据报文中解析出待认证终端的标识，在终端认证设备本地存储的白名单中，查找是否存在该待认证终端的标识，若存在，则该待认证终端认证通过，若不存在，则该待认证终端认证未通过。如此一来，通过旁路部署终端认证设备，在终端认证设备上进行终端认证，无需改变用户组网，避免网络的单点故障，且部署方便。为了对本申请进一步说明，提供下列实施例进行说明：如图2所示，为本申请终端认证方法的一种实施流程图，其具体可以包括以下步骤：S201，接收由所述转发设备转发的ARP数据报文，所述ARP数据报文为待认证终端发出的ARP数据报文；在本申请中，在终端认证设备上，接收由转发设备转发的ARP(AddressResolutionProtocol，地址解析协议，是根据IP地址获取物理地址的一个TCP/IP协议)数据报文，该ARP数据报文由待认证终端发出，先发送至转发设备，转发设备进而将该ARP数据报文转发至终端认证设备。例如，在终端认证设备上，接收由交换机转发的ARP数据报文1以及ARP数据报文2，该ARP数据报文1由待认证终端1发出，该ARP数据报文2由待认证终端2发出。S202，从所述ARP数据报文中解析出所述待认证终端的标识；针对S201中所接收的ARP数据报文，从该ARP数据报文中解析出待认证终端的标识，该标识为待认证终端的MAC地址(物理地址)和/或IP地址，即该ARP数据报文中携带的源MAC地址(物理地址)和/或源IP地址。例如，对于ARP数据报文1，可以解析出其携带的源MAC地址1(物理地址)和/或源IP地址1，对于ARP数据报文2，可以解析出其携带的源MAC地址2(物理地址)和/或源IP地址2。S203，在终端认证设备本地存储的白名单中查找是否存在所述待认证终端的标识；在本申请中，可以预先将合法终端的标识在终端认证设备上进行存储，后续当需要对待认证终端进行认证时，在终端认证设备本地存储的白名单中查找是否存在该待认证终端的标识，若存在该待认证终端的标识，表示该待认证终端为合法终端，若不存在该待认证终端的标识，表示该待认证终端为非法终端。S204，若存在，则所述待认证终端认证通过。针对S203中的查找结果，若存在该待认证终端的标识，则确定该待认证终端认证通过，在该待认证终端认证通过的情况下，将该ARP数据报文发送给转发设备，以使转发设备转发到目的设备，后续待认证终端会接收到由目的设备发出的正常的响应报文，待认证终端可以正常连接网络。另外，若不存在该待认证终端的标识，则确定该待认证终端认证未通过。与此同时，从该ARP数据报文中解析出目的IP地址，确定终端认证设备为该ARP数据报文对应的目的设备，意味着此刻该目的IP本文档来自技高网...

【技术保护点】
1.一种终端认证方法，其特征在于，应用于终端认证设备，所述终端认证设备旁挂在转发设备一侧，所述方法包括：接收由所述转发设备转发的ARP数据报文，所述ARP数据报文为待认证终端发出的ARP数据报文；从所述ARP数据报文中解析出所述待认证终端的标识；在终端认证设备本地存储的白名单中查找是否存在所述待认证终端的标识；若存在，则所述待认证终端认证通过。

【技术特征摘要】
1.一种终端认证方法，其特征在于，应用于终端认证设备，所述终端认证设备旁挂在转发设备一侧，所述方法包括：接收由所述转发设备转发的ARP数据报文，所述ARP数据报文为待认证终端发出的ARP数据报文；从所述ARP数据报文中解析出所述待认证终端的标识；在终端认证设备本地存储的白名单中查找是否存在所述待认证终端的标识；若存在，则所述待认证终端认证通过。2.根据权利要求1所述的方法，其特征在于，所述方法还包括：在所述待认证终端认证通过的情况下，将所述ARP数据报文发送给转发设备，以使转发设备转发到所述ARP数据报文中携带的目的IP对应的目的设备。3.根据权利要求1所述的方法，其特征在于，所述方法还包括：若不存在，则确定所述待认证终端认证未通过；确定终端认证设备为所述ARP数据报文对应的目的设备，并建立终端认证设备与所述ARP数据报文中携带的目的IP对应的目的设备的映射关系；仿造与所述ARP数据报文对应的响应报文，发送给转发设备，以使所述转发设备将所述响应报文转发给所述待认证终端，所述响应报文用于使所述待认证终端学习到的ARP表项指向所述终端认证设备。4.根据权利要求3所述的方法，其特征在于，所述方法还包括：在所述待认证终端未通过认证的情况下，当接收到由所述转发设备转发的业务报文时，根据所建立的映射关系，丢弃所述业务报文，所述业务报文为待认证终端发出的业务报文。5.根据权利要求1至4任一项所述的方法，其特征在于，所述待认证终端的标识为待认证终端的MAC地址和/或IP地址。6.一种终端认证装置，其特征在于，应用于终端认证设备，所述...

【专利技术属性】
技术研发人员：仇俊杰，
申请(专利权)人：杭州迪普科技股份有限公司，
类型：发明
国别省市：浙江,33