[发明专利]认证方法及系统、portal服务器、安全策略服务器

说明书

本说明书提供一种认证方法及系统、portal服务器、安全策略服务器，所述方法包括：本公开通过portal服务器记录公网IP地址和私网IP地址的对应关系，不仅仅记录公网IP地址，还记录了私网IP地址，从而portal服务器后续可以根据私网IP地址进行单独的认证。即Portal服务器可以以私网IP地址为粒度进行认证。避免私网IP地址经过NAT转换后变成同一个公网IP地址，该公网IP地址通过认证，则与该公网IP地址对应的私网IP地址的终端都通过认证而产生的安全隐患问题。

技术领域

本说明书涉及认证技术领域，尤其涉及认证方法及系统、portal服务器、安全策略服务器。

背景技术

网络地址转换NAT(Network Address Translation，缩写为NAT)是将IP数据报报头中的IP地址转换为另一个IP地址的过程。在实际应用中，NAT主要用于实现私有网络访问公共网络的功能。这种通过使用少量的公有IP地址代表较多的私有IP地址的方式，在企业网应用比较普遍。

Portal认证采用三层协议，使用IP地址作为终端认证因子，但是如何进行认证具有多种策略。

发明内容

为克服相关技术中存在的问题，本说明书提供了认证方法及portal服务器、安全策略服务器、认证系统。

根据本说明书实施例的第一方面，提供一种认证方法，应用于portal服务器，所述方法包括：

接收NAT设备发送的经过NAT转换后的认证请求报文；

获取认证请求报文中的公网IP地址和私网IP地址；

判断该公网IP地址对应的终端是否为该公网IP地址对应的私网网段内的首个发起认证的终端；

若是首个发起认证的终端，则记录所述公网IP地址和私网IP地址的对应关系，并通过接入设备向认证服务器发送认证请求。

可选的，判断该公网IP地址对应的终端是否为该公网IP地址对应的私网网段内的首个发起认证的终端，包括：

根据记录的公网IP地址和私网IP地址的对应关系确定所述公网IP地址是否存在于所述对应关系中，若不存在，则确定该公网IP地址对应的终端为该公网IP地址对应的私网网段内的首个发起认证的终端。

可选的，所述方法还包括：若判断该公网IP地址对应的终端不是首个发起认证的终端，则向所述终端发送认证成功的响应。

本公开的第二方面还提供一种认证方法，应用于安全策略服务器，所述方法包括：

接收经过NAT转换后的公网IP地址和私网IP地址的对应关系；

接收终端发送的安全认证请求；

获取安全认证请求中的公网IP地址和私网IP地址；

根据所述安全认证请求中的公网IP地址和私网IP地址以及所述对应关系确定所述终端是否已经通过portal认证，若确定通过portal认证，则根据终端的私网IP地址进行安全检查。

可选的，若根据终端的私网IP进行安全检查的结果为合格的IP地址，则向所述终端发送相应的访问控制列表ACL。

本公开的第三方面还提供一种portal服务器，所述portal服务器包括：

第一接收模块，用于接收NAT设备发送的经过NAT转换后的认证请求报文；

第一获取模块，用于获取认证请求报文中的公网IP地址和私网IP地址；

第一判断模块，用于该公网IP地址对应的终端是否为该公网IP地址对应的私网网段内的首个发起认证的终端。