本发明公开了一种终端认证装置及方法，属于通信安全领域。所述方法包括：认证点将终端的MAC地址发送给认证服务器，认证服务器根据预设的MAC地址列表对MAC地址进行认证；在认证结果表示终端不属于预设的MAC地址列表时，由安全网关根据终端的数据流检测终端是否为可信任终端，并根据检测结果指示认证服务器更新MAC地址列表；并在更新MAC地址列表后，触发认证点对终端进行重新认证；解决了直接拒绝不在白名单中的终端接入监控网络，将严重影响正常监控的问题；达到了根据终端的数据流来检测终端是否为可信任终端，并根据检测结果准许或拒绝该终端接入网络，无需将终端的MAC地址手动加入认证服务器，减少了工作量。