[发明专利]一种客户端验证方法及装置

权利要求书

1.一种客户端验证装置，其应用于网络安全设备中，用于验证经由所述网络安全设备接入网络的客户端，其中该装置包括：

报文检查单元，用于检查网络安全设备接收到的报文是否为ICMP端口不可达报文，如果是，则转客户端判决单元处理；如果否，则进一步检查发出报文的客户端是否存在于客户端列表中，如果不在，则转验证发起单元处理；

验证发起单元，用于构造UDP报文并向客户端发出，其中该UDP报文目的端口为客户端未开放的UDP端口，该UDP报文的UDP头部携带有预设的验证信息，以及

客户端判决单元，用于检查该ICMP端口不可达报文是否携带有所述预设的验证信息，如果是，则将发出该报文的客户端加入到客户端列表中作为信任客户端。

2.根据权利要求1所述的装置，其特征在于，所述UDP报文的目的端口为非知名端口或者端口号大于50000。

3.根据权利要求1所述的装置，其特征在于，还包括老化处理单元，用于在预定的客户端老化时间到达时将客户端列表中的客户端删除。

4.根据权利要求1所述的装置，其特征在于，所述验证信息是与该客户端相对应的Cookie认证信息。

5.根据权利要求1所述的装置，其特征在于，所述客户端判决单元进一步用于在检查到所述ICMP端口不可达报文没有携带所述预设的验证信息时，将所述客户端加入客户端列表中作为不信任客户端。

6.一种客户端验证方法，其应用于网络安全设备中，用于验证经由所述网络安全设备接入网络的客户端，其中该方法包括：

A，检查网络安全设备接收到的报文是否为ICMP端口不可达报文，如果是，则转步骤C；如果否，则进一步检查发出报文的客户端是否在客户端列表中，如果不在，则步骤B；

步骤B，其中该UDP报文目的端口为客户端未开放的UDP端口，该UDP报文的UDP头部携带有预设的验证信息；

步骤C，检查该ICMP端口不可达报文是否携带有所述预设的验证信息，如果是，则将发出该报文的客户端加入到客户端列表中作为信任客户端。

7.根据权利要求6所述的方法，其特征在于，所述UDP报文的目的端口为非知名端口或者端口号大于50000。

8.根据权利要求6所述的方法，其特征在于，还包括：

D，在预定的客户端老化时间到达时将客户端列表中的客户端删除。

9.根据权利要求6所述的方法，其特征在于，验证信息是与该客户端相对应的Cookie认证信息。

10.根据权利要求6所述的方法，其特征在于，所述客户端列表包括信任列表以及不信任列表，步骤C进一步包括：在检查到所述ICMP端口不可达报文没有携带所述预设的验证信息时，将所述客户端加入不信任列表；在检查到所述ICMP端口不可达报文携带所述预设的验证信息时，将所述客户端加入不信任列表。