【技术实现步骤摘要】
一种终端认证方法及装置
[0001]本申请涉及网络通信
,特别涉及一种终端认证方法及装置。
技术介绍
[0002]现如今网络规模扩展更加方便、成本也更加低廉,但对网络安全的要求确更加严格,绝大部分网络包括公司内网都要求终端通过认证系统认证后方可接入网络。但由于网络延伸到用户侧管理不到位、网络扩容预算不足等,会存在私拉乱接现象,尤其是针对接入交换机端口数量不足,可以通过外接NAT设备(家用路由器等)实现端口扩容。网络启用Portal认证后,这种NAT场景下多个终端通过NAT设备接入网络,第一个终端通过认证系统的认证后,此NAT设备其他终端无需认证即可接入网络。这样一来就绕开了认证系统的身份校验,管理员也无法对其他终端进行网络权限的管控,这种网络管理的薄弱之处,是网络安全要求不允许存在的,也是极大的安全隐患。另外现在大部分网络设备Portal认证都是基于VLAN开启认证的,无法做到像802.1x端口级管控。
技术实现思路
[0003]本申请提供了一种终端认证方法及装置。
[0004]第一方面,本申请...
【技术保护点】
【技术特征摘要】
1.一种终端认证方法,其特征在于,应用于认证服务器,所述方法包括:接收目标终端发送的认证请求报文,并基于所述认证请求报文判断所述目标终端是否为通过NAT设备接入的终端,其中,所述目标终端为安装有认证客户端的终端,所述目标终端通过所述认证客户端发送所述认证请求报文;若判定结果为是,则对所述目标终端进行身份认证;若确定所述目标终端身份认证通过,则向所述目标终端下发控制策略。2.如权利要求1所述的方法,其特征在于,基于所述认证请求报文判断所述目标终端是否为通过NAT设备接入的终端的步骤包括:获取所述认证请求报文携带的所述目标终端的第一IP地址;获取所述NAT设备的第二IP地址;判断所述第一IP地址和所述第二IP地址是否为同一网段的IP地址;若判定所述第一IP地址和所述第二IP地址不是同一网段的IP地址,则确定所述目标终端是通过NAT设备接入的终端。3.如权利要求1所述的方法,其特征在于,在确定所述目标终端身份认证通过之后,向所述目标终端下发控制策略之前,所述方法还包括:向所述目标终端下发安全检查指令,其中,所述安全检查指令包括所需检查的项目;接收所述目标终端发送的安全检查结果,并基于所述安全检查结果判断所述目标终端是否通过安全检查。4.如权利要求3所述的方法,其特征在于,向所述目标终端下发控制策略的步骤包括:若基于所述安全检查结果,判定所述目标终端通过安全检查,则向所述目标终端下发第一控制策略,以使得所述目标终端基于所述第一控制策略转发业务报文。5.如权利要求4所述的方法,其特征在于,所述方法还包括:若基于所述安全检查结果,判定所述目标终端未通过安全检查,则向所述目标终端下发第二控制策略,以使得所述目标终端基于所述第二控制策略转发业务报文,其中,所述第一控制策略对应的网络访问权限大于所述第二控制策略对应的网络访问权限。6.一种终端认证装置,其特征在于,应用于认证服务器,所述装...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。