设备认证方法、装置、计算机设备和存储介质与流程

1.本技术涉及计算机技术领域，尤其涉及一种设备认证方法、装置、计算机设备和存储介质。


背景技术：

2.在基于802.1x的网络准入系统中，交换机作为代理实现对所有接入网络的终端设备进行准入控制。由于传统上每个交换机都是独立的网络实体，相互之间没有关联。当一个终端设备在一台交换机上通过了认证后，其报文可能被转发给其他交换机。一旦所有交换机都启动了认证，那么意味着每台交换机都需要对网络中的每个终端设备进行认证。这极大地增加了认证所带来的网络消耗，延长了终端设备获得全网准入的时间，降低了用户体验。


技术实现要素：

3.为了解决上述技术问题，本技术提供了一种设备认证方法、装置、计算机设备和存储介质。
4.第一方面，本技术提供了一种设备认证方法，包括：
5.在检测到目标交换端口接收到目标设备发送的报文数据的情况下，在所述目标交换端口对应的目标认证记录中查询所述目标设备对应的目标认证数据，其中，所述目标交换端口为所述第一边界交换机的任意一个交换端口，所述目标认证记录包括从所述目标交换端口处认证通过的认证数据；
6.在所述目标认证记录中未查询到所述目标认证数据的情况下，对所述目标设备进行认证处理，得到相应的认证结果；
7.发送所述认证结果至相邻交换机以及集中管理服务器，令第二边界交换机在接收到所述报文数据的情况下，根据所述目标认证数据快速响应，所述相邻交换机为所述第一边界交换机所处局域网中的其他边界交换机，所述第二边界交换机包括所述相邻交换机。
8.第二方面，本技术提供了一种设备认证装置，包括：
9.查询模块，用于在检测到目标交换端口接收到目标设备发送的报文数据的情况下，在所述目标交换端口对应的目标认证记录中查询所述目标设备对应的目标认证数据，其中，所述目标交换端口为第一边界交换机的任意一个交换端口，所述目标认证记录包括从所述目标交换端口处认证通过的认证数据；
10.认证模块，用于在所述目标认证记录中未查询到所述目标认证数据的情况下，对所述目标设备进行认证处理，得到相应的认证结果；
11.发送模块，用于发送所述认证结果至相邻交换机以及集中管理服务器，令第二边界交换机在接收到所述报文数据的情况下，根据所述目标认证数据快速响应，所述相邻交换机为所述第一边界交换机所处局域网中的其他边界交换机，所述第二边界交换机包括所述相邻交换机。
12.第三方面，本技术提供了一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现以下步骤：
13.在检测到目标交换端口接收到目标设备发送的报文数据的情况下，在所述目标交换端口对应的目标认证记录中查询所述目标设备对应的目标认证数据，其中，所述目标交换端口为所述第一边界交换机的任意一个交换端口，所述目标认证记录包括从所述目标交换端口处认证通过的认证数据；
14.在所述目标认证记录中未查询到所述目标认证数据的情况下，对所述目标设备进行认证处理，得到相应的认证结果；
15.发送所述认证结果至相邻交换机以及集中管理服务器，令第二边界交换机在接收到所述报文数据的情况下，根据所述目标认证数据快速响应，所述相邻交换机为所述第一边界交换机所处局域网中的其他边界交换机，所述第二边界交换机包括所述相邻交换机。
16.第四方面，本技术提供了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现以下步骤：
17.在检测到目标交换端口接收到目标设备发送的报文数据的情况下，在所述目标交换端口对应的目标认证记录中查询所述目标设备对应的目标认证数据，其中，所述目标交换端口为所述第一边界交换机的任意一个交换端口，所述目标认证记录包括从所述目标交换端口处认证通过的认证数据；
18.在所述目标认证记录中未查询到所述目标认证数据的情况下，对所述目标设备进行认证处理，得到相应的认证结果；
19.发送所述认证结果至相邻交换机以及集中管理服务器，令第二边界交换机在接收到所述报文数据的情况下，根据所述目标认证数据快速响应，所述相邻交换机为所述第一边界交换机所处局域网中的其他边界交换机，所述第二边界交换机包括所述相邻交换机。
20.基于上述设备认证方法，在检测到目标交换端口接收到目标设备发送的报文数据的情况下，在所述目标交换端口对应的目标认证记录中查询所述目标设备对应的目标认证数据，其中，所述目标交换端口为所述第一边界交换机的任意一个交换端口，所述目标认证记录包括从所述目标交换端口处认证通过的认证数据；在所述目标认证记录中未查询到所述目标认证数据的情况下，对所述目标设备进行认证处理，得到相应的认证结果；发送所述认证结果至相邻交换机以及集中管理服务器，令第二边界交换机在接收到所述报文数据的情况下，根据所述目标认证数据快速响应，所述相邻交换机为所述第一边界交换机所处局域网中的其他边界交换机，所述第二边界交换机包括所述相邻交换机。
21.通过第一边界交换机将对目标设备的认证结果发送至相邻交换机以及集中管理服务器，令相邻交换机和集中管理服务器获得该目标设备对应的认证结果，在第二边界交换机接收到该目标设备相应报文数据时，无需再对其进行重复认证，可以基于接收到的认证结果进行相应的快速响应，以节约了第二边界交换机对其认证所产生的网络消耗，并且缩短了目标设备获得全网准入的时间，优化了用户体验。
附图说明
22.此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本发明的实施例，并与说明书一起用于解释本发明的原理。
23.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
24.图1为一个实施例中设备认证方法的应用环境图；
25.图2为一个实施例中设备认证方法的流程示意图；
26.图3为一个实施例中设备认证方法的流程示意图；
27.图4为一个实施例中设备认证装置的结构框图；
28.图5为一个实施例中计算机设备的内部结构图。
具体实施方式
29.为使本技术实施例的目的、技术方案和优点更加清楚，下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本技术的一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本技术保护的范围。
30.图1为一个实施例中设备认证方法的应用环境图。参照图1，该设备认证方法应用于设备认证系统。该设备认证系统包括接入设备110、集中管理服务器和通信网络120。接入设备110、集中管理服务器130和通信网络120通过网络连接。接入设备110具体可以是支持mac-based准入方式的设备或是支持安装认证客户端软件的终端，支持mac-based准入方式的设备具体可以为打印机、扫描仪等，终端具体可以为台式终端或移动终端，移动终端具体可以为手机、平板电脑、笔记本电脑等中的至少一种。通信网络120包括至少一个局域网，局域网包括多个边界交换机，同一局域网中的各个边界交换机之间建立有信任关系，每个边界交换机包括至少一个交换端口，边界交换机通过交换端口接收目标设备发送的报文数据，并在对该目标设备认证通过的情况下转发该目标设备发送的报文数据。
31.集中管理服务器130用于管理所有局域网中的各个边界交换机，具体可以用独立的服务器或多个服务器组成的服务器集群来实现。
32.在一个实施例中，图2为一个实施例中一种设备认证方法的流程示意图，参照图2，提供了一种设备认证方法。本实施例主要以该方法应用于第一边界交换机来举例说明，该设备认证方法具体包括如下步骤：
33.步骤s210，在检测到目标交换端口接收到目标设备发送的报文数据的情况下，在所述目标交换端口对应的目标认证记录中查询所述目标设备对应的目标认证数据。
34.其中，所述目标交换端口为所述第一边界交换机的任意一个交换端口，所述目标认证记录包括从所述目标交换端口处认证通过的认证数据。
35.具体的，第一边界交换机可以为任意一个局域网中的任意一个边界交换机，目标设备为任意一个接入设备110，报文数据包含有目标设备对应的物理地址(mac)，边界交换机的每个交换端口都对应一个认证记录，认证记录用于记录不同设备经过该交换端口的认证数据，认证数据包括该设备的物理地址以及交换端口对其进行认证处理后的认证状态，认证状态包括认证通过和认证未通过，目标认证记录则为目标交换端口对应的认证记录，在目标认证记录中基于报文数据中的目标物理地址查询相应的目标认证数据，以判断目标交换端口是否对当前目标设备进行过认证处理。
36.步骤s220，在所述目标认证记录中未查询到所述目标认证数据的情况下，对所述目标设备进行认证处理，得到相应的认证结果。
37.具体的，在目标认证记录中未查询到目标认证数据，表示目标交换端口未曾对目标设备进行过认证处理，即目标设备对于目标交换端口来说为一个新设备，因此目标交换端口则需要对目标设备进行认证处理，从而得到相应的认证结果，认证结果用于指示认证通过、认证未通过或克隆攻击，克隆攻击用于表示目标设备为非法访问设备。
38.步骤s230，发送所述认证结果至相邻交换机以及集中管理服务器130，令第二边界交换机在接收到所述报文数据的情况下，根据所述目标认证数据快速响应，所述相邻交换机为所述第一边界交换机所处局域网中的其他边界交换机，所述第二边界交换机包括所述相邻交换机。
39.具体的，第一边界交换机将得到的关于目标设备的认证结果发送至相邻交换机以及集中管理服务器130，即通知相邻交换机以及集中管理服务器130目标设备对应的认证结果，第二边界交换机包括相邻交换机和/或远程交换机，远程交换机为与所述第一边界交换机处于不同局域网中的边界交换机，在相邻交换机或远程交换机接收到目标设备相应目标物理地址对应的报文数据时，相邻交换机可根据第一边界交换机发送的认证结果快速响应，而远程交换机可以从集中服务器获取该目标设备对应的认证结果，无论是相邻交换机还是远程交换机都无需再对目标设备进行重复认证处理，以节约了相邻交换机和/或远程交换机对目标设备进行重复认证所产生的网络消耗，并且缩短了目标设备获得全网准入的时间，优化了用户体验。
40.在一个实施例中，所述在所述目标交换端口对应的目标认证记录中查询所述目标设备对应的目标认证数据之后，所述方法还包括：
41.在所述目标认证记录中查询到所述目标设备对应的目标认证数据、且所述目标认证数据中的目标认证状态为认证通过的情况下，对所述报文数据进行转发处理；或，
42.在所述目标认证记录中查询到所述目标设备对应的目标认证数据、且所述目标认证数据中的目标认证状态为认证未通过的情况下，拒绝转发所述报文数据并丢弃所述报文数据。
43.具体的，在目标认证记录中查询到目标设备对应的目标认证数据时，表示目标交换端口曾对目标设备进行过认证处理，在目标认证数据中的目标认证状态为认证通过的情况下，可以直接转发目标设备发送的报文数据，即刷新设备活动计时(client_active_time)并将报文数据交由协议栈继续进行转发处理。在目标认证数据中的目标认证状态为认证未通过的情况下，表示目标交换端口不支持为目标设备提供报文转发服务，则拒绝转发目标设备发送的报文数据并丢弃该报文数据。
44.在一个实施例中，所述目标认证数据包括目标认证状态和目标活动状态，所述对所述目标设备进行认证处理，得到相应的认证结果，包括：
45.在设备数据库中查询到所述目标设备对应的目标认证状态和目标活动状态、且所述目标认证状态为认证通过、且所述目标活动状态为在线活动的情况下，得到指示克隆攻击的认证结果，其中，所述设备数据库包括所述第一边界交换机的各个交换端口对应的认证记录；或，
46.在设备数据库中未查询到所述目标认证状态和所述目标活动状态、或查询到所述
目标认证状态为认证未通过的情况下，生成并发送询问消息至所述相邻交换机，根据所述相邻交换机的反馈结果确定相应的认证结果，其中，所述询问消息用于查询获取所述目标认证数据，所述询问消息包括所述目标设备的目标物理地址。
47.具体的，设备数据库包括第一边界交换机的各个交换端口对应的认证记录以及其他相邻交换机广播发送的认证记录，由于在目标交换端口对应的目标认证记录中未查询到目标设备对应的目标认证数据，但可能第一边界交换机除目标交换端口以外的其他交换端口或其他相邻交换机曾对目标设备进行过认证处理，因此在第一边界交换机对应的设备数据库中查询目标设备对应的目标认证数据，以判断第一边界交换机的其他交换端口或其他相邻交换机是否对目标设备进行过认证处理。
48.在设备数据库中查找到目标设备对应的目标认证状态和目标活动状态的情况下，表示第一边界交换机的其他交换端口或其他相邻交换机曾对目标设备进行过认证处理，在目标认证状态为认证通过且目标活动状态为在线活动的情况下，表示目标设备对应的目标物理地址当前已经通过认证并且还在通过边界交换机在线访问网络，因此确定当前访问目标交换端口的目标设备为非法访问设备，即目标设备通过克隆已经认证通过且在线活动的访问设备的目标物理地址，来访问第一边界交换机的目标交换端口，即访问设备为目标物理地址对应的实际接入设备110，而此时的目标设备为冒名访问设备的目标物理地址以访问第一边界交换机的接入设备110，第一边界交换机可判定目标设备对应的认证结果为克隆攻击。
49.在设备数据库中未查询到目标认证状态和目标活动状态的情况下，表示第一边界交换机的各个交换端口都未曾对目标设备进行过认证处理，但可能由于其他相邻交换机发送认证数据的时延导致第一边界交换机并未及时更新设备数据库中的认证数据，可能其他相邻边界交换机对目标设备进行过认证处理，因此需要根据报文数据生成相应的询问消息，询问消息包含目标设备的目标物理地址，发送询问消息至相邻交换机，以询问相邻交换机是否对目标设备进行过认证处理，从而根据相邻交换机的反馈结果确定目标设备对应的认证结果。
50.在一个实施例中，所述根据所述相邻交换机的反馈结果确定相应的认证结果，包括：
51.在所述相邻交换机的反馈结果指示所述目标认证状态为认证通过、且所述目标活动状态为在线活动的情况下，得到指示克隆攻击的认证结果；或，
52.在所述相邻交换机的反馈结果指示响应超时、或未查询到所述目标认证数据的情况下，发送所述询问消息至所述集中管理服务器130，根据所述集中管理服务器130的反馈结果，确定所述目标设备对应的认证结果。
53.具体的，在相邻交换机返回的反馈结果指示目标认证状态为认证通过、且目标活动状态为在线活动的情况下，表示相邻交换机对目标设备进行过认证处理，亦或者该相邻交换机从其他与之存在信任关系的交换机处获取到对于目标设备的目标认证数据，均指示目标设备对应的目标物理地址当前已经通过认证并且还处于活动状态，即目标物理地址对应实际访问设备正在通过边界交换机在线访问网络，因此确定当前访问目标交换端口的目标设备为非法访问设备，此时第一边界交换机可判定目标设备对应的认证结果为克隆攻击。
54.在相邻交换机对于询问消息的响应超时、或相邻交换机返回的反馈结果指示未查询到目标认证数据的情况下，表示第一边界交换机并未从相邻交换机获取目标设备对应的目标认证数据，则第一边界交换机继续向集中管理服务器130发送询问消息，根据集中管理服务器130返回的反馈结果确定目标设备对应的认证结果。
55.在一个实施例中，所述根据所述集中管理服务器130的反馈结果，确定所述目标设备对应的认证结果，包括：
56.在所述集中管理服务器130返回的反馈结果指示所述目标物理地址对应的注册信息的情况下，根据所述注册信息对所述目标设备进行认证，得到认证通过的认证结果；或，
57.在所述集中管理服务器130返回的反馈结果指示所述目标认证状态为认证通过、且所述目标活动状态为在线活动的情况下，得到指示克隆攻击的认证结果。
58.具体的，在集中管理服务器130返回的反馈结果指示目标物理地址对应的注册信息的情况下，表示该目标设备为未曾经过认证处理的接入设备110，注册信息包括目标物理地址的注册状态，注册状态包括已注册和未注册，则根据目标设备对应的注册信息对其进行认证处理，生成指示认证通过的认证结果。
59.在集中管理服务器130返回的反馈结果指示目标认证状态为认证通过、且目标活动状态为在线活动的情况下，表示目标设备对应的目标物理地址当前已经通过认证并且还处于活动状态，即目标物理地址对应实际访问设备正在通过边界交换机在线访问网络，因此确定基于目标物理地址当前访问目标交换端口的目标设备为非法访问设备，此时第一边界交换机可判定目标设备对应的认证结果为克隆攻击。
60.对于上述实施例中，目标设备对应的认证结果为克隆攻击的情况下，第一边界交换机拒绝所述目标设备通过所述目标交换端口访问所述第一边界交互机，即拒绝转发目标设备发送的报文数据。
61.在一个实施例中，所述得到认证通过的认证结果之后，所述方法还包括：
62.根据所述认证通过的认证结果生成所述目标设备相应的认证数据，并保存至所述目标认证记录中；
63.按照预设周期向所述目标设备发送侦测报文；
64.根据所述目标设备返回的报文应答，确定所述目标设备对应的更新活动状态；
65.在所述更新活动状态为离线的情况下，从所述目标认证记录中删除所述目标设备对应的认证数据。
66.具体的，第一边界交换机将认证通过的认证结果作为目标设备相应的认证数据保存至目标交换端口对应的目标认证记录中，并通过钩子函数(rx-hook)监听目标设备发送的侦测报文，即对目标设备进行周期侦测，如果目标设备为支持mac-based准入方式的接入设备110，只要目标设备正常在线活动，那么钩子函数将定期收到来自目标设备对侦测报文的报文应答；如果目标设备为安装有认证客户端软件的接入设备110，那么除了上述侦测报文的应答外，钩子函数还将定期收到来自目标设备的周期重复认证相关的报文。
67.根据目标设备周期性返回的当前报文应答与上一报文应答之间的时间差，若时间差大于或等于预设时长，则确定目标设备的更新活动状态为离线；若时间差小于预设时长，则确定目标设备的更新活动状态为在线活动。在目标设备的更新活动状态为离线的情况下，删除目标认证记录中目标设备对应的认证数据。
68.在一个实施例中，所述在所述更新活动状态为离线的情况下，从所述目标认证记录中删除所述目标设备对应的认证数据之前，所述方法还包括：
69.在所述目标交换端口的闭合状态为关闭的情况下，确定所述目标设备对应的更新活动状态为离线。
70.具体的，还可以根据目标设备所接入的交换端口的闭合状态是否为关闭，来判断目标设备对应的更新活动状态，在目标交换端口的闭合状态为关闭的情况下，将从目标交换端口接入的所有设备全部判定为离线，并将离线的目标设备相应的认证数据从目标认证记录中删除。
71.示例性的，边界交换机a的目标交换端口在对新接入的接入设备110进行认证时，先在本地设备数据库中检查是否有相同的mac-a地址已在其他交换端口通过认证且处于活动状态，如果是，则将当前新接入的接入设备110认定为克隆攻击并阻断其访问网络，认证过程终止结束。
72.在边界交换机a从本地未查询到mac-a地址对应的认证数据的情况下，边界交换机a则发布询问消息给相同局域网中的其他边界交换机询问接入设备110mac-a地址对应的认证数据；其他边界交换机收到询问后，如果其为mac-a地址的归属边界交换机，且该mac-a地址处于活动状态，则给边界交换机a回复mac-a地址对应的认证数据，归属边界交换机指示为mac地址相应接入设备110提供交换服务的边界交换机。边界交换机a收到了来自其他边界机交换机的反馈结果指示该mac-a地址通过认证且处于活动状态，则判定mac-a访问为克隆攻击并阻断其访问网络，认证过程终止。
73.在边界交换机a未从其他边界交换机获取到mac-a地址对应的认证数据的情况下，边界交换机a向集中管理服务器130请求mac-a地址对应的认证数据；集中管理服务器130查询mac-a地址对应的认证数据，如果其已在其他边界机认证交换机上通过了认证且处于活动状态，则向边界交换机a回复克隆攻击，否则根据mac-a地址的注册情况回复注册信息。边界交换机a如果收到来自集中管理服务器130关于mac-a地址的克隆攻击回复，则判定mac-a访问为克隆攻击并阻断其访问网络，认证过程终止。
74.示例性的，如图3所示，边界机用于指示边界交换机，h-1、h-2、h-3、h-4用于分别指示不同的接入设备110，h-1在边界机1处通过认证后，边界机1向局域网lan-a中的其他边界机同步h-1的认证数据，其他边界机记录h-1已在边界机1通过认证的认证数据，并将h-1的mac地址加入白名单，以快速转发响应h-1发起的报文数据。当h-1发送报文数据给h-4时，报文数据在lan-a中经过边界机2、边界机n时，由于边界机2和边界机n根据边界机1发送的h-1相应认证数据，对h-1的mac地址已经加入相应的白名单，所以边界机2和边界机n将报文数据直接发送到h-4，从而避免了边界机2和边界机n对h-1的重复认证，节约了认证所需的网络消耗，并加快了数据传输效率。
75.接入设备110h-1在边界机1处通过认证后，边界机1向lan-a中的其他边界机及集中管理服务器130同步h-1的认证数据，其他边界机及集中管理服务器130记录h-1已在边界机1通过认证的认证数据。攻击者h-1a仿冒h-1的mac地址，h-1a试图在边界机1处接入，边界机1发现此mac地址已通过认证且其处于在线活动状态，则拒绝h-1a的接入，使得非法访问攻击被阻止。
76.h-1a试图从边界机n处接入，边界机n发现此mac地址已在边界机1处通过认证且其
处于在线活动状态，拒绝h-1a的接入，使得非法访问攻击被阻止。
77.h-1a试图在边界机1’处接入，边界机1’向集中管理服务器130查询mac地址对应的认证数据，集中管理服务器130发现此mac地址已在边界机1处通过认证且其处于在线活动状态，向边界机1’回复消息反馈h-1a为克隆攻击，边界机1’收到回复后，拒绝h-1a的接入，使得非法访问攻击被阻止。
78.综上所述，在不降低安全性能的前提下，在非归属边界交换机上实现重复认证免疫，提高了合法设备接入网络的速度，降低了因重复认证带来的网络和资源消耗。并在不影响合法设备访问网络的情况下，通过认证数据的同步实现mac克隆攻击行为的识别，阻止非法访问设备访问网络并影响合法设备的正常交换业务，即拒绝仿冒mac地址的攻击者接入网络，并阻止跨局域网的mac克隆攻击行为，提高了网络的安全性。
79.图2为一个实施例中设备认证方法的流程示意图。应该理解的是，虽然图2的流程图中的各个步骤按照箭头的指示依次显示，但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明，这些步骤的执行并没有严格的顺序限制，这些步骤可以以其它的顺序执行。而且，图2中的至少一部分步骤可以包括多个子步骤或者多个阶段，这些子步骤或者阶段并不必然是在同一时刻执行完成，而是可以在不同的时刻执行，这些子步骤或者阶段的执行顺序也不必然是依次进行，而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
80.在一个实施例中，如图4所示，提供了一种设备认证装置，包括：
81.查询模块310，用于在检测到目标交换端口接收到目标设备发送的报文数据的情况下，在所述目标交换端口对应的目标认证记录中查询所述目标设备对应的目标认证数据，其中，所述目标交换端口为第一边界交换机的任意一个交换端口，所述目标认证记录包括从所述目标交换端口处认证通过的认证数据；
82.认证模块320，用于在所述目标认证记录中未查询到所述目标认证数据的情况下，对所述目标设备进行认证处理，得到相应的认证结果；
83.发送模块330，用于发送所述认证结果至相邻交换机以及集中管理服务器130，令第二边界交换机在接收到所述报文数据的情况下，根据所述目标认证数据快速响应，所述相邻交换机为所述第一边界交换机所处局域网中的其他边界交换机，所述第二边界交换机包括所述相邻交换机。
84.在一个实施例中，所述装置还包括处理模块，用于：
85.在所述目标认证记录中查询到所述目标设备对应的目标认证数据、且所述目标认证数据中的目标认证状态为认证通过的情况下，对所述报文数据进行转发处理；或，
86.在所述目标认证记录中查询到所述目标设备对应的目标认证数据、且所述目标认证数据中的目标认证状态为认证未通过的情况下，拒绝转发所述报文数据并丢弃所述报文数据。
87.在一个实施例中，所述认证模块320具体用于：
88.在设备数据库中查询到所述目标设备对应的目标认证状态和目标活动状态、且所述目标认证状态为认证通过、且所述目标活动状态为在线活动的情况下，得到指示克隆攻击的认证结果，其中，所述设备数据库包括所述第一边界交换机的各个交换端口对应的认证记录；或，
89.在设备数据库中未查询到所述目标认证状态和所述目标活动状态、或查询到所述目标认证状态为认证未通过的情况下，生成并发送询问消息至所述相邻交换机，根据所述相邻交换机的反馈结果确定相应的认证结果，其中，所述询问消息用于查询获取所述目标认证数据，所述询问消息包括所述目标设备的目标物理地址。
90.在一个实施例中，所述认证模块320具体用于：
91.在所述相邻交换机的反馈结果指示所述目标认证状态为认证通过、且所述目标活动状态为在线活动的情况下，得到指示克隆攻击的认证结果；或，
92.在所述相邻交换机的反馈结果指示响应超时、或未查询到所述目标认证数据的情况下，发送所述询问消息至所述集中管理服务器130，根据所述集中管理服务器130的反馈结果，确定所述目标设备对应的认证结果。
93.在一个实施例中，所述认证模块320具体用于：
94.在所述集中管理服务器130返回的反馈结果指示所述目标物理地址对应的注册信息的情况下，根据所述注册信息对所述目标设备进行认证，得到认证通过的认证结果；或，
95.在所述集中管理服务器130返回的反馈结果指示所述目标认证状态为认证通过、且所述目标活动状态为在线活动的情况下，得到指示克隆攻击的认证结果。
96.在一个实施例中，所述处理模块还用于：
97.根据所述认证通过的认证结果生成所述目标设备相应的认证数据，并保存至所述目标认证记录中；
98.按照预设周期向所述目标设备发送侦测报文；
99.根据所述目标设备返回的报文应答，确定所述目标设备对应的更新活动状态；
100.在所述更新活动状态为离线的情况下，从所述目标认证记录中删除所述目标设备对应的认证数据。
101.在一个实施例中，所述处理模块还用于：
102.在所述目标交换端口的闭合状态为关闭的情况下，确定所述目标设备对应的更新活动状态为离线。
103.图5示出了一个实施例中计算机设备的内部结构图。该计算机设备具体可以是图1中的边界交换机。如图5所示，该计算机设备包括该计算机设备包括通过系统总线连接的处理器、存储器、网络接口、输入装置和显示屏。其中，存储器包括非易失性存储介质和内存储器。该计算机设备的非易失性存储介质存储有操作系统，还可存储有计算机程序，该计算机程序被处理器执行时，可使得处理器实现设备认证方法。该内存储器中也可储存有计算机程序，该计算机程序被处理器执行时，可使得处理器执行设备认证方法。计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏，计算机设备的输入装置可以是显示屏上覆盖的触摸层，也可以是计算机设备外壳上设置的按键、轨迹球或触控板，还可以是外接的键盘、触控板或鼠标等。
104.本领域技术人员可以理解，图5中示出的结构，仅仅是与本技术方案相关的部分结构的框图，并不构成对本技术方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。
105.在一个实施例中，本技术提供的设备认证装置可以实现为一种计算机程序的形式，计算机程序可在如图5所示的计算机设备上运行。计算机设备的存储器中可存储组成该
设备认证装置的各个程序模块，比如，图4所示的查询模块310、认证模块320和发送模块330。各个程序模块构成的计算机程序使得处理器执行本说明书中描述的本技术各个实施例的设备认证方法中的步骤。
106.图5所示的计算机设备可以通过如图4所示的设备认证装置中的查询模块310执行在检测到目标交换端口接收到目标设备发送的报文数据的情况下，在所述目标交换端口对应的目标认证记录中查询所述目标设备对应的目标认证数据，其中，所述目标交换端口为第一边界交换机的任意一个交换端口，所述目标认证记录包括从所述目标交换端口处认证通过的认证数据。计算机设备可通过认证模块320执行在所述目标认证记录中未查询到所述目标认证数据的情况下，对所述目标设备进行认证处理，得到相应的认证结果。计算机设备可通过发送模块330执行发送所述认证结果至相邻交换机以及集中管理服务器130，令第二边界交换机在接收到所述报文数据的情况下，根据所述目标认证数据快速响应，所述相邻交换机为所述第一边界交换机所处局域网中的其他边界交换机，所述第二边界交换机包括所述相邻交换机。
107.在一个实施例中，提供了一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行计算机程序时实现上述任一项实施例所述的方法。
108.在一个实施例中，提供了一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现上述任一项实施例所述的方法。
109.本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指示相关的硬件来完成，所述的程序可存储于一非易失性计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，本技术所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(rom)、可编程rom(prom)、电可编程rom(eprom)、电可擦除可编程rom(eeprom)或闪存。易失性存储器可包括随机存取存储器(ram)或者外部高速缓冲存储器。作为说明而非局限，ram以多种形式可得，诸如静态ram(sram)、动态ram(dram)、同步dram(sdram)、双倍速率sdram(ddrsdram)、增强型sdram(esdram)、同步链路(synchlink)dram(sldram)、存储器总线(rambus)直接ram(rdram)、直接存储器总线动态ram(drdram)、以及存储器总线动态ram(rdram)等。
110.需要说明的是，在本文中，诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
111.以上所述仅是本发明的具体实施方式，使本领域技术人员能够理解或实现本发明。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所申请的原理和新颖特点相一
致的最宽的范围。