一种终端认证方法及装置与流程

本申请涉及通信
技术领域：
，尤其涉及一种终端认证方法及装置。
背景技术：
：随着网络技术的不断发展，网络安全问题变得尤为突出。门户(英文：portal)认证是一种可以有效保障网络安全的方法。其中portal认证是指终端需要获得portal服务器的授权认证才可以访问网络数据。另外还存在pppoe(pointtopointoverethernet，基于以太网的点对点通讯协议)认证、ipoe认证等认证方式同样可以保障网络安全。然而这些传统的认证方式需要将终端串接在网络中。由于需要将终端串接在网络中，会增加网络的单点故障，需要改变用户组网。技术实现要素：有鉴于此，本申请提供一种终端认证方法及装置。具体地，本申请是通过如下技术方案实现的：一种终端认证方法，其特征在于，应用于终端认证设备，所述终端认证设备旁挂在转发设备一侧，所述方法包括：接收由所述转发设备转发的arp数据报文，所述arp数据报文为待认证终端发出的arp数据报文；从所述arp数据报文中解析出所述待认证终端的标识；在终端认证设备本地存储的白名单中查找是否存在所述待认证终端的标识；若存在，则所述待认证终端认证通过。一种终端认证装置，其特征在于，应用于终端认证设备，所述终端认证设备旁挂在转发设备一侧，所述装置包括：报文接收模块，用于接收由所述转发设备转发的arp数据报文，所述arp数据报文为待认证终端发出的arp数据报文；标识解析模块，用于从所述arp数据报文中解析出所述待认证终端的标识；查找模块，用于在终端认证设备本地存储的白名单中查找是否存在所述待认证终端的标识；认证模块，用于若存在，则所述待认证终端认证通过。本申请通过旁路部署终端认证设备，在终端认证设备上进行终端认证，无需改变用户组网，避免网络的单点故障，且部署方便。附图说明为了更清楚地说明本申请实施例的技术方案，下面将对实施例描述中所需要的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请中记载的一些实施例，对于本领域普通技术人员来讲，还可以根据这些附图获得其他的附图。图1是本申请一示例性实施例示出的一种终端认证设备、转发设备以及终端进行连接的示意图；图2是本申请一示例性实施例示出的一种终端认证方法的实施流程图；图3是本申请一示例性实施例示出的一种终端认证装置的结构示意图。具体实施方式这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。首先对本申请实施例提供的一种终端认证方法进行说明，该方法可以包括以下步骤：接收由所述转发设备转发的arp数据报文，所述arp数据报文为待认证终端发出的arp数据报文；从所述arp数据报文中解析出所述待认证终端的标识；在终端认证设备本地存储的白名单中查找是否存在所述待认证终端的标识；若存在，则所述待认证终端认证通过。如图1所示的一示例性终端认证设备、转发设备以及终端进行连接的示意图，待认证终端与转发设备进行连接，终端认证设备旁挂在转发设备一侧，其中转发设备可以是路由器、交换机等网络设备，终端认证设备与转发设备之间需要两根链接线缆(光纤、双绞线、同轴电缆等)进行连接，其中一根链接线缆负责传输待认证终端发出的arp数据报文，另一根链接线缆负责终端认证设备与目的设备的通信，即负责将通过认证的终端的业务报文传输至转发设备，以使转发设备转发到目的设备。待认证终端发送arp数据报文至转发设备，转发设备将待认证终端发出的arp数据报文转发至终端认证设备，在终端认证设备上，接收该转发设备转发的arp数据报文，从该arp数据报文中解析出待认证终端的标识，在终端认证设备本地存储的白名单中，查找是否存在该待认证终端的标识，若存在，则该待认证终端认证通过，若不存在，则该待认证终端认证未通过。如此一来，通过旁路部署终端认证设备，在终端认证设备上进行终端认证，无需改变用户组网，避免网络的单点故障，且部署方便。为了对本申请进一步说明，提供下列实施例进行说明：如图2所示，为本申请终端认证方法的一种实施流程图，其具体可以包括以下步骤：s201，接收由所述转发设备转发的arp数据报文，所述arp数据报文为待认证终端发出的arp数据报文；在本申请中，在终端认证设备上，接收由转发设备转发的arp(addressresolutionprotocol，地址解析协议，是根据ip地址获取物理地址的一个tcp/ip协议)数据报文，该arp数据报文由待认证终端发出，先发送至转发设备，转发设备进而将该arp数据报文转发至终端认证设备。例如，在终端认证设备上，接收由交换机转发的arp数据报文1以及arp数据报文2，该arp数据报文1由待认证终端1发出，该arp数据报文2由待认证终端2发出。s202，从所述arp数据报文中解析出所述待认证终端的标识；针对s201中所接收的arp数据报文，从该arp数据报文中解析出待认证终端的标识，该标识为待认证终端的mac地址(物理地址)和/或ip地址，即该arp数据报文中携带的源mac地址(物理地址)和/或源ip地址。例如，对于arp数据报文1，可以解析出其携带的源mac地址1(物理地址)和/或源ip地址1，对于arp数据报文2，可以解析出其携带的源mac地址2(物理地址)和/或源ip地址2。s203，在终端认证设备本地存储的白名单中查找是否存在所述待认证终端的标识；在本申请中，可以预先将合法终端的标识在终端认证设备上进行存储，后续当需要对待认证终端进行认证时，在终端认证设备本地存储的白名单中查找是否存在该待认证终端的标识，若存在该待认证终端的标识，表示该待认证终端为合法终端，若不存在该待认证终端的标识，表示该待认证终端为非法终端。s204，若存在，则所述待认证终端认证通过。针对s203中的查找结果，若存在该待认证终端的标识，则确定该待认证终端认证通过，在该待认证终端认证通过的情况下，将该arp数据报文发送给转发设备，以使转发设备转发到目的设备，后续待认证终端会接收到由目的设备发出的正常的响应报文，待认证终端可以正常连接网络。另外，若不存在该待认证终端的标识，则确定该待认证终端认证未通过。与此同时，从该arp数据报文中解析出目的ip地址，确定终端认证设备为该arp数据报文对应的目的设备，意味着此刻该目的ip对应的目的设备并不是真正意义上的目的设备，而是该终端认证设备，利用该终端认证设备仿冒该目的ip对应的目的设备，并建立终端认证设备与该目的ip对应的真实目的设备的映射关系。例如，该arp数据报文中解析出目的ip地址为192.168.1.1，对应的真实目的设备为a，在本申请中利用终端认证设备仿冒该真实目的设备a，确定该终端认证设备为该arp数据报文对应的目的设备，此刻该目的ip对应的目的设备并不是真实目的设备a，而是终端认证设备，建立终端认证设备与该真实目的设备a的映射关系，如下表1所示：终端认证设备真实目的设备a终端认证设备真实目的设备b表1后续仿造与该arp数据报文对应的响应报文，即错误的arp响应报文，发送给转发设备，以使转发设备将该响应报文转发给该待认证终端，所述响应报文用于使所述待认证终端学习到的arp表项指向该终端认证设备。后续该未通过认证的终端向转发设备发送业务报文，当接收到由该转发设备转发的业务报文时，即未通过认证的终端发出的业务报文(数据)，可以根据所建立的终端认证设备与真实目的设备的映射关系，丢弃该业务报文，导致该未通过认证的终端无法连接网络。通过上述对本申请实施例提供的技术方案的描述，本申请通过旁路部署终端认证设备，在终端认证设备上进行终端认证，无需改变用户组网，避免网络的单点故障，且部署方便。与上述方法实施例相对应，本申请还提供一种终端认证装置，应用于终端认证设备，参见图3所示，该装置可以包括：报文接收模块310、标识解析模块320、查找模块330、认证模块340。报文接收模块310，用于接收由所述转发设备转发的arp数据报文，所述arp数据报文为待认证终端发出的arp数据报文；标识解析模块320，用于从所述arp数据报文中解析出所述待认证终端的标识；查找模块330，用于在终端认证设备本地存储的白名单中查找是否存在所述待认证终端的标识；认证模块340，用于若存在，则所述待认证终端认证通过。在本申请的一种具体实施方式中，所述装置还包括：报文转发模块350，用于在所述待认证终端认证通过的情况下，将所述arp数据报文发送给转发设备，以使转发设备转发到所述arp数据报文中携带的目的ip对应的目的设备。在本申请的一种具体实施方式中，所述装置还包括：响应模块360，用于若不存在，则确定所述待认证终端认证未通过；确定终端认证设备为所述arp数据报文对应的目的设备，并建立终端认证设备与所述arp数据报文中携带的目的ip对应的目的设备的映射关系；仿造与所述arp数据报文对应的响应报文，发送给转发设备，以使所述转发设备将所述响应报文转发给所述待认证终端，所述响应报文用于使所述待认证终端学习到的arp表项指向所述终端认证设备.在本申请的一种具体实施方式中，所述装置还包括：报文丢弃模块370，用于在所述待认证终端未通过认证的情况下，当接收到由所述转发设备转发的业务报文时，根据所建立的映射关系，丢弃所述业务报文，所述业务报文为待认证终端发出的业务报文。在本申请的一种具体实施方式中，所述待认证终端的标识为待认证终端的mac地址和/或ip地址。通过上述对本申请实施例提供的技术方案的描述，本申请通过旁路部署终端认证设备，在终端认证设备上进行终端认证，无需改变用户组网，避免网络的单点故障，且部署方便。上述系统中各个单元的作用实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。对于系统实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的系统实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。本发明可以在由计算机执行的计算值可执行指令的一般上下文中描述，例如程序模块。一般地，程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本发明，在这些分布式计算环境中，由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中，程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。以上所述仅是本发明的具体实施方式，应当指出，对于本
技术领域：
的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。当前第1页12