戴设备和电子书阅读器(英文:e_book reader)等。
[0050]本发明实施例中的网络接入设备为路由器或网络交换机。
[0051]本发明实施例中的认证服务器例如可以为AAA服务器,该AAA服务器具体可为远程用户拨号认证服务(英文:remote authenticat1n dial in user service,缩写:RADIUS)服务器、终端访问控制器访问控制系统(英文:terminal access controlleraccess control system,缩写:TACACS)服务器或轻量目录访问协议(英文:lightweightdirectory access protocol,缩写:LDAP)服务器等。
[0052]为了更好理解本发明实施例提供的一种网络连接的认证方法及网络接入设备,下面先描述本发明实施例的网络构架。
[0053]请参阅图1,为本发明实施例提供的一种基于Portal认证的网络架构示意图。在图1所示的基于Portal认证的网络架构中,用户通过用户设备访问网络时,被网络接入设备重定向到Portal服务器提供的认证页面,用户在该认证页面提交认证数据(例如用户名和密码),由网络接入设备将认证数据发送给认证服务器,在认证服务器根据该认证数据对该用户设备的身份认证通过后,网络接入设备即可允许该用户设备访问该网络。
[0054]请参阅图2,为本发明实施例在图1所示的基于Portal认证的网络架构的基础上提供的一种网络连接的认证方法的流程示意图。本实施例中所描述的网络连接的认证方法,包括以下步骤:
[0055]S101、网络接入设备在认证服务器对用户设备的身份认证通过时,在允许介质访问控制MAC地址集合中添加所述用户设备的MAC地址。
[0056]其中,允许MAC地址集合由网络接入设备的控制面维护,并且在用户设备断开网络后仍然保留允许MAC地址集合中的该用户设备的MAC地址。
[0057]其中,认证服务器对用户设备进行的身份认证通过具体可以为认证服务器直接对用户设备进行MAC认证通过,或者认证服务器联合Portal服务器对用户设备进行Portal认证通过。
[0058]用户设备第一次访问网络时,认证服务器可以联合Portal服务器对用户设备进行Portal认证。Portal认证通过后,网络接入设备可以在允许MAC地址集合中添加该用户设备的MAC地址。
[0059]可替换地,用户设备第一次访问网络时,认证服务器对用户设备进行MAC认证。由于认证服务器尚未记录该用户设备的MAC地址,MAC认证失败。MAC认证失败后,认证服务器联合Portal服务器对用户设备进行Portal认证。Portal认证通过后,认证服务器记录该用户设备的MAC地址,网络接入设备不在允许MAC地址集合中添加该用户设备的MAC地址。用户设备断开网络后,再次访问网络时,证服务器对用户设备进行MAC认证。由于认证服务器记录了该用户设备的MAC地址,MAC认证通过。MAC认证通过后,网络接入设备可以在允许MAC地址集合中添加该用户设备的MAC地址。
[0060]可替换地,用户设备第一次访问网络时,认证服务器对用户设备进行MAC认证。由于认证服务器尚未记录该用户设备的MAC地址,MAC认证失败。MAC认证失败后,认证服务器联合Portal服务器对用户设备进行Portal认证。Portal认证通过后,认证服务器记录该用户设备的MAC地址,网络接入设备在允许MAC地址集合中添加该用户设备的MAC地址。
[0061]具体实现中,该网络接入设备可接收该认证服务器发送的认证结果报文,在该认证结果报文指示的认证结果为认证通过时,该网络接入设备的控制面将该用户设备的MAC地址添加到存储的允许MAC地址集合中,并向该网络接入设备的转发面发送身份认证通过指令,以指示转发面该用户设备已通过身份认证。如果认证结果报文中还包括该认证服务器设置的老化时间参数,网络接入设备的控制面可根据该老化时间参数设置该用户设备的MAC地址在该允许MAC地址集合中的老化时间。如果认证结果报文中缺乏老化时间参数,网络接入设备的控制面可自行设置该用户设备的MAC地址在该允许MAC地址集合中的老化时间。
[0062]其中,老化时间用于指示该网络接入设备的控制面在时间到达该老化时间对应的时刻(例如2015年10月I日00:00:00)时,或者在该用户设备的MAC地址添加到该允许MAC地址集合后经历的时间达到该老化时间对应的时长(如7*24小时)时,将该用户设备的MAC地址从该允许MAC地址集合中删除。
[0063]其中,该身份认证通过指令中可以包括该用户设备的标识,例如该用户设备的网际协议(英文:Internet Protocol,缩写:IP)地址、MAC地址或IP地址与MAC地址的组合,该网络接入设备的转发面可建立包括该用户设备的标识的控制表项,例如访问控制列表(英文:access control list,缩写:ACL)。该控制表项还包括动作,例如允许转发。在该网络接入设备的转发面接收到该用户设备发送的报文时,如果该报文中的用户设备的标识匹配到了控制表项,则该网络接入设备的转发面根据该控制表项中的动作,允许转发该报文,此时该用户设备可访问网络。
[0064]S102、所述用户设备断开网络后,所述网络接入设备在接收到所述用户设备发送的第一网络访问请求时,所述网络接入设备的转发面确定所述用户设备尚未通过身份认证,并将所述第一网络访问请求发送至所述网络接入设备的控制面,所述第一网络访问请求的源MAC地址为所述用户设备的MAC地址。
[0065]其中,该第一网络访问请求具体可为超文本传输协议(英文:hyper texttransfer protocol,缩写:HTTP)报文或者安全超文本传输协议(英文:HTTP Secure,缩写:HTTPS)报文,其源MAC地址为用户设备的MAC地址,其源IP地址为用户设备的IP地址。
[0066]其中,在接收到用户设备发送的登出报文时,网络接入设备的控制面可确定该用户设备已断开网络,并向该网络接入设备的转发面发送断开网络指令,以指示转发面该用户设备已断开网络,进而转发面可以删除包括该用户设备的标识的控制表项,或者将该控制表项的动作修改为禁止转发。转发面也可以在长时间内未收到过该用户设备发送的任何报文时(即控制表项的老化时间到达时),删除包括该用户设备的标识的控制表项,或者将该控制表项的动作修改为禁止转发。
[0067]此后,转发面接收到该用户设备发送的报文时,确定该报文中的该用户设备的标识没有匹配到控制表项,则转发面将该报文发送至控制面,或者该报文中的该用户设备的标识匹配到了控制表项,并且该控制表项中的动作为禁止转发,则转发面也会将该报文发送至控制面。被发送到控制面的报文即为该第一网络访问请求。
[0068]S103、所述网络接入设备的控制面确定所述第一网络访问请求的源MAC地址属于所述允许MAC地址集合,则所述网络接入设备的控制面向所述网络接入设备的转发面发送身份认证通过指令,以指示所述网络接入设备的转发面所述用户设备已通过身份认证。
[0069]具体实现中,该网络接入设备的控制面接收到该网络接入设备的转发面发送的第一网络访问请求(即报文)时,查询该报文的源MAC地址是否属于该允许MAC地址集合,以对该用户设备进行身份认证,此时该网络接入设备的控制面可确定该报文的源MAC地址属于该允许MAC地址集合,则向该网络接入设备的转发面发送身份认证通过指令,以指示该转发面重新建立包括该用户设备的标识的控制表项,或者将包括该用户设备的标识的控制表项的动作修改为允许转发,从而转发面可对该用户设备发送的报文进行转发。
[0070]如果该报文的源MAC地址不属于允许MAC地址集合,网络接入设备向Portal服务器发送该报文,以指示Portal服务器联合认证服务器对用户设备进行Portal认证,或者向认证服务器发送该报文的源MAC地址,以指示认证服务器对用户设备进行MAC认证。
[0071]本申请中,网络接入设备的控制面可在认证服务器对用户设备进行的身份认证通过时,在允许MAC地址集合中添加该用户设备的MAC地址;在该用户设备断开网络后再次发起上线请求时,该网络接入设备的控制面在确定该用户设备的MAC地址属于该允许MAC地址集合时,即可指示该网络接入设备的转发面允许该用户设备访问网络,从而实现由网络接入设备直接对用户设备进行身份认证,提高了认证速度。
[0072]请参阅图3,为本发明实施例在图1所示的基于Portal认证的网络架构的基础上提供的另一种网络连接的认证方法的流程示意图。本实施例中所描述的网络连接的认证方法,包括以下步骤:
[0073]S201、网络接入设备接收用户设备发送的第二网络访问请求后,所述网络接入设备的转发面确定所述用户设备尚未通过身份认证,并将所述第二网络访问请求发送至所述网络接入设备的控制面,所述第二网络访问请求的源MAC地址为所述用户设备的MAC地址。
[0074]其中,在接收到用户设备发送的第二网络访问请求(即报文)时,网络接入设备的转发面获取该报文中包括的该用户设备的标识,并查询是否有与该用户设备的标识匹配的控制表项,如果没有匹配到控制表项,或者匹配到了控制表项,并且该控制表项中的动作为禁止转发,则该网络接入设备的转发面确定用户设备尚未通过身份认证,并将该报文发送至该网络接入设备的控制面。
[0075]S202、所述网络接入设备的控制面将所述第二网络访问请求的源MAC地址发送给所述认证服务器,以指示所述认证服务器基于所述第二网络访问请求的源MAC地址对所述用户设备进行身份认证。
[0076]具体实现中,认证服务器接收到网络接入设备的控制面发送的该报文的源MAC地址时,可查询存储的账号表项中是否存在与该报文的源MAC地址(即该用户设备的MAC地址)对应的绑定关系,如果该账号表项中存在与该用户设备的MAC地址对应的绑定关系,则该认证服务器确定对该用户设备的身份进行的MAC认证通过,并向该网络接入设备的控制面发送认证结果报文;如果该账号表项中不存在与该用户设备的MAC地址对应的绑定关系,则该认证服务器确定对该用户设备的身份进行的MAC认证不通过,并向该网络接入设备的控制面发送认证结果报文。
[0077]其中,用户设备访问网络时,可先进行Portal认证,即网络接入设备的转发面收到用户设备发送的报文后,确定用户设备尚未通过身份认证,则将报文发送至网络接入设备的控制面,进而由网络接入设备的控制面将报文重定向到Portal服务器提供的认证页面,用户在认证页面提交认证数据(例如用户名和密码),Portal服务器将认证数据发送给网络接入设备的控制面,再由网络接入设备的控制面将认证数据发送给认证服务器,认证服务器在根据认证数据对用户设备的身份认证通过后,可指示网络接入设备允许用户设备访问网络,同时认证服务器可将认证数据与用户设备的MAC地址绑定,创建账号表项,该账号表项包括认证数据与用户设备的MAC地址的绑定关系。
[0078]S203、所述网络接入设备的控制面接收所述认证服务器发送的对所述用户设备的认证结果报文,并在所述认证结果报文指示的身份认证结果为认证通过时,所述网络接入设备的控制面在所述允许MAC地址集合中添加所述用户设备的MAC地址,并向所述网络接入设备的转发面发送身份认证通过指令,以指示所述网络接入设备的转发面所述用户设备已通过身份认证。
[0079]具体实现中,如果该认证结果报文指示的身份认证结果为认证通过,则该网络接入设备的控制面可将该用户设备的MAC地址添加到该允许MAC地址集合中以实现对用户设备的MAC地址的缓存,并向该网络接入设备的转发面发送身份认证通过指令,以指示该网络接入设备的转发面可转发该用户设备发送的报文。
[0080]进一步的,如果该认证结果报文指示的身份认证结果为认证不通过,则该网络接入设备的