控制面将该报文重定向到Portal服务器提供的认证页面,用户在该认证页面提交认证数据(例如用户名和密码),该Portal服务器将认证数据发送给该网络接入设备的控制面,由网络接入设备的控制面将认证数据发送给认证服务器,认证服务器在根据该认证数据对该用户设备的身份认证通过后,向该网络接入设备的控制面发送用于指示该用户设备身份认证通过的认证结果报文,从而该网络接入设备的控制面可将该用户设备的MAC地址添加到该允许MAC地址集合中以实现对用户设备的MAC地址的缓存,并向该网络接入设备的转发面发送身份认证通过指令,以指示该网络接入设备的转发面可转发该用户设备发送的报文。
[0081]如果认证结果报文中还包括该认证服务器设置的老化时间参数,网络接入设备的控制面可根据该老化时间参数设置该用户设备的MAC地址在该允许MAC地址集合中的老化时间。如果认证结果报文中缺乏老化时间参数,网络接入设备的控制面可自行设置该用户设备的MAC地址在该允许MAC地址集合中的老化时间。
[0082]其中,老化时间用于指示该网络接入设备的控制面在时间到达该老化时间对应的时刻(例如2015年10月I日00:00:00)时,或者在该用户设备的MAC地址添加到该允许MAC地址集合后经历的时间达到该老化时间对应的时长(如7*24小时)时,将该用户设备的MAC地址从该允许MAC地址集合中删除。
[0083]S204、所述用户设备断开网络后,所述网络接入设备在接收到所述用户设备发送的第一网络访问请求时,所述网络接入设备的转发面确定所述用户设备尚未通过身份认证,并将所述第一网络访问请求发送至所述网络接入设备的控制面,所述第一网络访问请求的源MAC地址为所述用户设备的MAC地址。
[0084]S205、所述网络接入设备的控制面确定所述第一网络访问请求的源MAC地址属于所述允许MAC地址集合,则所述网络接入设备的控制面向所述网络接入设备的转发面发送身份认证通过指令,以指示所述网络接入设备的转发面所述用户设备已通过身份认证。
[0085]其中,在另一用户设备A访问网络时,网络接入设备在接收到用户设备A发送的报文后,若网络接入设备的转发面确定用户设备A尚未通过身份认证,则将报文发送至网络接入设备的控制面,报文的源MAC地址为用户设备A的MAC地址,由网络接入设备的控制面查询报文的源MAC地址是否属于存储的允许MAC地址集合,如果报文的源MAC地址属于存储的允许MAC地址集合,则网络接入设备的控制面向转发面发送身份认证通过指令,以指示转发面可转发用户设备A发送的报文。
[0086]进一步的,如果报文的源MAC地址不属于存储的允许MAC地址集合,则网络接入设备的控制面进而将报文的源MAC地址发送给认证服务器,由认证服务器根据报文的源MAC地址对用户设备A的身份进行MAC认证,如果认证服务器向网络接入设备的控制面发送的认证结果报文为认证通过时,则网络接入设备的控制面在允许MAC地址集合中添加用户设备A的MAC地址,并向转发面发送身份认证通过指令,以指示转发面可转发用户设备A发送的报文。
[0087]进一步的,如果认证服务器向网络接入设备的控制面发送的认证结果报文为认证不通过时,网络接入设备的控制面可将报文重定向到Portal服务器提供的认证页面,用户在认证页面提交认证数据(例如用户名和密码),Portal服务器将认证数据发送给网络接入设备的控制面,由网络接入设备的控制面将认证数据发送给认证服务器,认证服务器在根据认证数据对用户设备A的身份认证通过后,向网络接入设备的控制面发送用于指示用户设备A身份认证通过的认证结果报文,从而网络接入设备的控制面可在允许MAC地址集合中添加用户设备A的MAC地址,并向转发面发送身份认证通过指令,以指示转发面可转发用户设备A发送的报文。
[0088]本申请中,网络接入设备的控制面可在认证服务器对用户设备的身份进行的MAC认证时,或者该认证服务器对该用户设备的身份进行的MAC认证失败后再与Portal服务器联合对该用户设备的身份进行的Portal认证通过时,在允许MAC地址集合中添加该用户设备的MAC地址;在该用户设备断开网络后再次发起上线请求时,该网络接入设备的控制面在确定该用户设备的MAC地址属于该允许MAC地址集合时,即可指示该网络接入设备的转发面允许该用户设备访问网络,从而实现由网络接入设备直接对用户设备进行身份认证,提尚了认证速度。
[0089]请参阅图4,为本发明实施例在图1所示的基于Portal认证的网络架构的基础上提供的又一种网络连接的认证方法的流程示意图。本实施例中所描述的网络连接的认证方法,包括以下步骤:
[0090]S301、网络接入设备接收用户设备发送的第三网络访问请求后,所述网络接入设备的转发面确定所述用户设备尚未通过身份认证,并将所述第三网络访问请求发送至所述网络接入设备的控制面。
[0091]其中,在接收到用户设备发送的第三网络访问请求(即报文)时,网络接入设备的转发面获取该报文中包括的该用户设备的标识,并查询是否有与该用户设备的标识匹配的控制表项,如果没有匹配到控制表项,或者匹配到了控制表项,并且该控制表项中的动作为禁止转发,则该网络接入设备的转发面确定用户设备尚未通过身份认证,并将该报文发送至该网络接入设备的控制面。
[0092]S302、所述网络接入设备的控制面将所述第三网络访问请求重定向至门户Portal服务器,接收所述Portal服务器发送的认证数据,并将所述认证数据发送给所述认证服务器,以指示所述认证服务器基于所述认证数据对所述用户设备进行身份认证。
[0093]S303、所述网络接入设备的控制面接收所述认证服务器发送的对所述用户设备的认证结果报文。
[0094]具体的,该网络接入设备的控制面可将该报文重定向至Portal服务器提供的认证页面,用户通过该用户设备在该认证页面上输入用户名、密码等认证数据,由该Portal服务器获取该认证数据,并将该认证数据发送给该网络接入设备的控制面,再由该网络接入设备的控制面将该认证数据发送给认证服务器,该认证服务器根据该认证数据对该用户设备进行身份认证,并向该网络接入设备的控制面发送认证结果报文。
[0095]S304、所述网络接入设备的控制面在所述认证结果报文指示的身份认证结果为认证通过时,在所述允许MAC地址集合中添加所述用户设备的MAC地址,并向所述网络接入设备的转发面发送身份认证通过指令,以指示所述网络接入设备的转发面所述用户设备已通过身份认证。
[0096]如果认证结果报文中还包括该认证服务器设置的老化时间参数,网络接入设备的控制面可根据该老化时间参数设置该用户设备的MAC地址在该允许MAC地址集合中的老化时间。如果认证结果报文中缺乏老化时间参数,网络接入设备的控制面可自行设置该用户设备的MAC地址在该允许MAC地址集合中的老化时间。
[0097]其中,老化时间用于指示该网络接入设备的控制面在时间到达该老化时间对应的时刻(例如2015年10月I日00:00:00)时,或者在该用户设备的MAC地址添加到该允许MAC地址集合后经历的时间达到该老化时间对应的时长(如7*24小时)时,将该用户设备的MAC地址从该允许MAC地址集合中删除。
[0098]S305、所述用户设备断开网络后,所述网络接入设备在接收到所述用户设备发送的第一网络访问请求时,所述网络接入设备的转发面确定所述用户设备尚未通过身份认证,并将所述第一网络访问请求发送至所述网络接入设备的控制面,所述第一网络访问请求的源MAC地址为所述用户设备的MAC地址。
[0099]S306、所述网络接入设备的控制面确定所述第一网络访问请求的源MAC地址属于所述允许MAC地址集合,则所述网络接入设备的控制面向所述网络接入设备的转发面发送身份认证通过指令,以指示所述网络接入设备的转发面所述用户设备已通过身份认证。
[0100]本申请中,网络接入设备的控制面可在认证服务器与Portal服务器联合对用户设备的身份进行的Portal认证通过时,在允许MAC地址集合中添加该用户设备的MAC地址;在该用户设备断开网络后再次发起上线请求时,该网络接入设备的控制面在确定该用户设备的MAC地址属于该允许MAC地址集合时,即可指示该网络接入设备的转发面允许该用户设备访问网络,从而实现由网络接入设备直接对用户设备进行身份认证,提高了认证速度。
[0101]请参阅图5,为本发明实施例提供的一种网络接入设备的结构示意图。本实施例中所描述的网络接入设备,包括:第一处理模块401、接收模块402、第二处理模块403以及第三处理模块404,其中:
[0102]第一处理模块401,用于在认证服务器对用户设备的身份认证通过时,在允许介质访问控制MAC地址集合中添加所述用户设备的MAC地址。
[0103]接收模块402,用于接收所述用户设备发送的第一网络访问请求。
[0104]第二处理模块403,用于在所述用户设备断开网络后,在所述接收模块接收到所述第一网络访问请求时,使网络接入设备的转发面确定所述用户设备尚未通过身份认证,并将所述第一网络访问请求发送至所述网络接入设备的控制面,所述第一网络访问请求的源MAC地址为所述用户设备的MAC地址。
[0105]第三处理模块404,用于使所述网络接入设备的控制面确定所述第一网络访问请求的源MAC地址属于所述允许MAC地址集合,并向所述网络接入设备的转发面发送身份认证通过指令,以指示所述网络接入设备的转发面所述用户设备已通过身份认证。
[0106]其中,该第一网络访问请求具体可为HTTP报文或者HTTPS报文,其源MAC地址为用户设备的MAC地址,其源IP地址为用户设备的IP地址。
[0107]其中,在接收到用户设备发送的登出报文时,第三处理模块404可使该网络接入设备的控制面确定该用户设备已断开网络,并向该网络接入设备的转发面发送断开网络指令,以指示转发面该用户设备已断开网络,进而转发面可以删除包括该用户设备的标识的控制表项,或者将控制表项的动作修改为禁止转发。转发面也可以在接收模块402长时间内未收到过该用户设备发送的任何报文时(即控制表项的老化时间到达时),删除包括该用户设备的标识的控制表项,或者将该控制表项的动作修改为禁止转发。
[0108]此后,接收模块402接收到该用户设备发送的报文时,第二处理模块403使该网络接入设备的转发面确定该报文中的该用户设备的标识没有匹配到控制表项,将该报文发送至该网络接入设备的控制面,或者该报文中的该用户设备的标识匹配到了控制表项,并且该控制表项中的动作为禁止转发,则该网络接入设备的转发面也会将该报文发送至该网络接入设备的控制面,被发送到控制面的报文即为该第一网络访问请求。第三处理模块404使该网络接入设备的控制面查询该报文的源MAC地址是否属于该允许MAC地址集合,以对该用户设备进行身份认证,此时该网络接入设备的控制面可确定该报文的源MAC地址属于该允许MAC地址集合,并向该网络接入设备的转发面发送身份认证通过指令,以指示该网络接入设备的转发面重新建立包括该用户设备的标识的控制表项,或者将包括该用户设备的标识的控制表项的动作修改为允许转发,从而该网络接入设备的转发面可对该用户设备发送的报文进行转发。
[0109]如果该网络接入设备的控制面确定该报文的源MAC地址不属于允许MAC地址集合,则第三处理模块404使该网络接入设备的控制面向Portal服务器发送该报文,以指示Portal服务器联合认证服务器对用户设备进行Portal认证,或者向认证服务器发送该报文的源MAC地址,以指示认证服务器对用户设备进行MAC认证。
[0110]本申请中,网络接入设备的控制面可在认证服务器对用户设备进行的身份认证通过时,在允许MAC地址集合中添加该用户设备的MAC地址;在该用户设备断开网络后再次发起上线请求时,该网络接入设备的控制面在确定该用户设备的MAC地址属于该允许MAC地址