一种网络连接的认证方法及网络接入设备的制造方法
【技术领域】
[0001]本申请涉及通信技术领域,具体涉及一种网络连接的认证方法及网络接入设备。
【背景技术】
[0002]网络一般都会设置访问权限,用户在利用智能手机、平板电脑、手提电脑等用户设备访问该网络时,一般会被网络接入设备(如路由器或交换机)重定向到门户(英文:portal)服务器提供的认证页面,用户在该认证页面提交认证数据(例如用户名和密码),由网络接入设备将认证数据发送给认证服务器,如认证、授权和计费(英文:authenticat1n、authorizat1n and accounting,缩写:AAA)服务器,在认证服务器根据该认证数据对该用户设备的身份认证通过后,网络接入设备即可允许该用户设备访问该网络。然而,每次该用户设备下线后再上线而访问该网络时,都需要用户在该认证页面手动输入用户名、密码等认证数据,并需要认证服务器根据该认证数据对该用户设备进行身份认证,这增加了认证服务器的处理负担,并且认证速度较慢。
【发明内容】
[0003]本申请提供了一种网络连接的认证方法及网络接入设备,可以由网络接入设备直接对用户设备进行身份认证,从而提高认证速度。
[0004]第一方面提供了一种网络连接的认证方法,包括:
[0005]网络接入设备在认证服务器对用户设备的身份认证通过时,在允许介质访问控制(英文:media access control,缩写:MAC)地址集合中添加所述用户设备的MAC地址;
[0006]所述用户设备断开网络后,所述网络接入设备在接收到所述用户设备发送的第一网络访问请求时,所述网络接入设备的转发面确定所述用户设备尚未通过身份认证,并将所述第一网络访问请求发送至所述网络接入设备的控制面,所述第一网络访问请求的源MAC地址为所述用户设备的MAC地址;
[0007]所述网络接入设备的控制面确定所述第一网络访问请求的源MAC地址属于所述允许MAC地址集合,则所述网络接入设备的控制面向所述网络接入设备的转发面发送身份认证通过指令,以指示所述网络接入设备的转发面所述用户设备已通过身份认证。
[0008]结合第一方面,在第一方面的第一种可能的实现方式中,所述网络接入设备在认证服务器对用户设备的身份认证通过时,在允许MAC地址集合中添加所述用户设备的MAC地址,包括:
[0009]所述网络接入设备接收所述用户设备发送的第二网络访问请求后,所述网络接入设备的转发面确定所述用户设备尚未通过身份认证,并将所述第二网络访问请求发送至所述网络接入设备的控制面,所述第二网络访问请求的源MAC地址为所述用户设备的MAC地址;
[0010]所述网络接入设备的控制面将所述第二网络访问请求的源MAC地址发送给所述认证服务器,以指示所述认证服务器基于所述第二网络访问请求的源MAC地址对所述用户设备进行身份认证;
[0011]所述网络接入设备的控制面接收所述认证服务器发送的对所述用户设备的认证结果报文,并在所述认证结果报文指示的身份认证结果为认证通过时,所述网络接入设备的控制面在所述允许MAC地址集合中添加所述用户设备的MAC地址,并向所述网络接入设备的转发面发送身份认证通过指令,以指示所述网络接入设备的转发面所述用户设备已通过身份认证。
[0012]结合第一方面,在第一方面的第二种可能的实现方式中,所述网络接入设备在认证服务器对用户设备的身份认证通过时,在允许MAC地址集合中添加所述用户设备的MAC地址,包括:
[0013]所述网络接入设备接收所述用户设备发送的第三网络访问请求后,所述网络接入设备的转发面确定所述用户设备尚未通过身份认证,并将所述第三网络访问请求发送至所述网络接入设备的控制面;
[0014]所述网络接入设备的控制面将所述第三网络访问请求重定向至门户Portal服务器;
[0015]所述网络接入设备的控制面接收所述Portal服务器发送的认证数据,并将所述认证数据发送给所述认证服务器,以指示所述认证服务器基于所述认证数据对所述用户设备进行身份认证;
[0016]所述网络接入设备的控制面接收所述认证服务器发送的对所述用户设备的认证结果报文;
[0017]所述网络接入设备的控制面在所述认证结果报文指示的身份认证结果为认证通过时,在所述允许MAC地址集合中添加所述用户设备的MAC地址,并向所述网络接入设备的转发面发送身份认证通过指令,以指示所述网络接入设备的转发面所述用户设备已通过身份认证。
[0018]结合第一方面的第一种或第二种可能的实现方式,在第一方面的第三种可能的实现方式中,在所述认证结果报文指示的身份认证结果为认证通过时,所述认证结果报文中还包括所述认证服务器设置的老化时间参数,所述方法还包括:
[0019]所述网络接入设备的控制面根据所述老化时间参数,设置所述用户设备的MAC地址在所述允许MAC地址集合中的老化时间。
[0020]第二方面提供了一种网络接入设备,包括:
[0021]第一处理模块,用于在认证服务器对用户设备的身份认证通过时,在允许介质访问控制MAC地址集合中添加所述用户设备的MAC地址;
[0022]接收模块,用于接收所述用户设备发送的第一网络访问请求;
[0023]第二处理模块,用于在所述用户设备断开网络后,在所述接收模块接收到所述第一网络访问请求时,使网络接入设备的转发面确定所述用户设备尚未通过身份认证,并将所述第一网络访问请求发送至所述网络接入设备的控制面,所述第一网络访问请求的源MAC地址为所述用户设备的MAC地址;
[0024]第三处理模块,用于使所述网络接入设备的控制面确定所述第一网络访问请求的源MAC地址属于所述允许MAC地址集合,并向所述网络接入设备的转发面发送身份认证通过指令,以指示所述网络接入设备的转发面所述用户设备已通过身份认证。
[0025]结合第二方面,在第二方面的第一种可能的实现方式中,所述第一处理模块,还用于在接收到所述用户设备发送的第二网络访问请求后,使所述网络接入设备的转发面确定所述用户设备尚未通过身份认证,并将所述第二网络访问请求发送至所述网络接入设备的控制面,所述第二网络访问请求的源MAC地址为所述用户设备的MAC地址;
[0026]所述第一处理模块,还用于使所述网络接入设备的控制面将所述第二网络访问请求的源MAC地址发送给所述认证服务器,以指示所述认证服务器基于所述第二网络访问请求的源MAC地址对所述用户设备进行身份认证;
[0027]所述第一处理模块,还用于使所述网络接入设备的控制面接收所述认证服务器发送的对所述用户设备的认证结果报文,并在所述认证结果报文指示的身份认证结果为认证通过时,使所述网络接入设备的控制面在所述允许MAC地址集合中添加所述用户设备的MAC地址,并向所述网络接入设备的转发面发送身份认证通过指令,以指示所述网络接入设备的转发面所述用户设备已通过身份认证。
[0028]结合第二方面,在第二方面的第二种可能的实现方式中,所述第一处理模块,还用于接收所述用户设备发送的第三网络访问请求后,使所述网络接入设备的转发面确定所述用户设备尚未通过身份认证,并将所述第三网络访问请求发送至所述网络接入设备的控制面;
[0029]所述第一处理模块,还用于使所述网络接入设备的控制面将所述第三网络访问请求重定向至门户Portal服务器;
[0030]所述第一处理模块,还用于使所述网络接入设备的控制面接收所述Portal服务器发送的认证数据,并将所述认证数据发送给所述认证服务器,以指示所述认证服务器基于所述认证数据对所述用户设备进行身份认证;
[0031]所述第一处理模块,还用于使所述网络接入设备的控制面接收所述认证服务器发送的对所述用户设备的认证结果报文;
[0032]所述第一处理模块,还用于使所述网络接入设备的控制面在所述认证结果报文指示的身份认证结果为认证通过时,在所述允许MAC地址集合中添加所述用户设备的MAC地址,并向所述网络接入设备的转发面发送身份认证通过指令,以指示所述网络接入设备的转发面所述用户设备已通过身份认证。
[0033]结合第二方面的第一种或第二种可能的实现方式,在第二方面的第三种可能的实现方式中,在所述认证结果报文指示的身份认证结果为认证通过时,所述认证结果报文中还包括所述认证服务器设置的老化时间参数,所述设备还包括:
[0034]设置模块,用于使所述网络接入设备的控制面根据所述老化时间参数,设置所述用户设备的MAC地址在所述允许MAC地址集合中的老化时间。
[0035]本申请中,网络接入设备在认证服务器对用户设备的身份认证通过时在允许MAC地址集合中添加该用户设备的MAC地址;该用户设备断开网络后,该网络接入设备在接收到该用户设备发送的第一网络访问请求时,该网络接入设备的转发面确定该用户设备尚未通过身份认证,并将该第一网络访问请求发送至该网络接入设备的控制面,该第一网络访问请求的源MAC地址为该用户设备的MAC地址;该网络接入设备的控制面确定该第一网络访问请求的源MAC地址属于该允许MAC地址集合,并向该网络接入设备的转发面发送身份认证通过指令,以指示该网络接入设备的转发面该用户设备已通过身份认证,可以由网络接入设备直接对用户设备进行身份认证,从而提高认证速度。
【附图说明】
[0036]为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0037]图1是本发明实施例提供的一种基于Portal认证的网络架构示意图;
[0038]图2是本发明实施例提供的一种网络连接的认证方法的流程示意图;
[0039]图3是本发明实施例提供的另一种网络连接的认证方法的流程示意图;
[0040]图4是本发明实施例提供的又一种网络连接的认证方法的流程示意图;
[0041]图5是本发明实施例提供的一种网络接入设备的结构示意图;
[0042]图6是本发明实施例提供的另一种网络接入设备的结构示意图;
[0043]图7是本发明实施例提供的又一种网络接入设备的结构示意图;
[0044]图8是本发明实施例提供的又一种网络接入设备的结构示意图。
【具体实施方式】
[0045]为了简化用户操作,认证服务器可以在对该用户设备的第一次Portal认证通过后,记录该用户设备的MAC地址。在该用户设备再次访问该网络时,由网络接入设备将该用户设备的MAC地址发送给认证服务器,认证服务器查询是否有与该用户设备的MAC地址匹配的记录,如果有,则指示网络接入设备允许该用户设备访问该网络,从而无需用户手动输入认证数据。然而,该认证方案中,该用户设备每次下线后再上线而访问该网络时,都需要认证服务器对该用户设备的MAC地址进行认证,这增加了认证服务器的处理负担,并且认证速度较慢。
[0046]下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚地描述。
[0047]本发明实施例提供了一种网络连接的认证方法及网络接入设备,可以由网络接入设备直接对用户设备进行身份认证,从而提高认证速度。以下分别进行详细说明。
[0048]本发明的说明书和权利要求书及附图中的术语“第一 ”、“第二”和“第三”等是用于区别不同对象,而不是用于描述特定顺序。
[0049]本发明实施例中所描述的用户设备例如可以为移动电话、计算机、平板电脑、个人数码助理(英文:personal digital assistant,缩写:PDA)、移动互联网设备(英文:mobile Internet device,缩写:MID)、可穿