集合时,即可指示该网络接入设备的转发面允许该用户设备访问网络,从而实现由网络接入设备直接对用户设备进行身份认证,提高了认证速度。
[0111]请参阅图6,为本发明实施例提供的另一种网络接入设备的结构示意图。本实施例中所描述的网络接入设备,包括:第一处理模块501、设置模块502、接收模块503、第二处理模块504以及第三处理模块505,其中:
[0112]第一处理模块501,用于在接收到用户设备发送的第二网络访问请求后,使网络接入设备的转发面确定所述用户设备尚未通过身份认证,并将所述第二网络访问请求发送至所述网络接入设备的控制面,所述第二网络访问请求的源MAC地址为所述用户设备的MAC地址。
[0113]所述第一处理模块501,还用于使所述网络接入设备的控制面将所述第二网络访问请求的源MAC地址发送给所述认证服务器,以指示所述认证服务器基于所述第二网络访问请求的源MAC地址对所述用户设备进行身份认证。
[0114]所述第一处理模块501,还用于使所述网络接入设备的控制面接收所述认证服务器发送的对所述用户设备的认证结果报文,并在所述认证结果报文指示的身份认证结果为认证通过时,使所述网络接入设备的控制面在所述允许MAC地址集合中添加所述用户设备的MAC地址,并向所述网络接入设备的转发面发送身份认证通过指令,以指示所述网络接入设备的转发面所述用户设备已通过身份认证。
[0115]具体实现中,第一处理模块501接收到用户设备发送的第二网络访问请求(即报文)后,将该报文的源MAC地址发送给认证服务器,该认证服务器查询存储的账号表项中是否存在与该报文的源MAC地址(即该用户设备的MAC地址)对应的绑定关系,如果该账号表项中存在与该用户设备的MAC地址对应的绑定关系,则该认证服务器确定对该用户设备的身份进行的MAC认证通过,并向该网络接入设备的控制面发送认证结果报文;如果该账号表项中不存在与该用户设备的MAC地址对应的绑定关系,则该认证服务器确定对该用户设备的身份进行的MAC认证不通过,并向该网络接入设备的控制面发送认证结果报文。
[0116]进一步的,如果该认证结果报文指示的身份认证结果为认证通过,则第一处理模块501可使该网络接入设备的控制面将该用户设备的MAC地址添加到该允许MAC地址集合中以实现对用户设备的MAC地址的缓存,并向该网络接入设备的转发面发送身份认证通过指令,以指示该网络接入设备的转发面可转发该用户设备发送的报文。
[0117]设置模块502,用于使所述网络接入设备的控制面根据所述认证结果报文包括的老化时间参数,设置所述用户设备的MAC地址在所述允许MAC地址集合中的老化时间。
[0118]如果认证结果报文中还包括该认证服务器设置的老化时间参数,设置模块502使该网络接入设备的控制面根据该老化时间参数设置该用户设备的MAC地址在该允许MAC地址集合中的老化时间。如果认证结果报文中缺乏老化时间参数,设置模块502可使该网络接入设备的控制面自行设置该用户设备的MAC地址在该允许MAC地址集合中的老化时间。
[0119]其中,老化时间用于指示该网络接入设备的控制面在时间到达该老化时间对应的时刻(例如2015年10月I日00:00:00)时,或者在该用户设备的MAC地址添加到该允许MAC地址集合后经历的时间达到该老化时间对应的时长(如7*24小时)时,将该用户设备的MAC地址从该允许MAC地址集合中删除。
[0120]接收模块503,用于接收所述用户设备发送的第一网络访问请求。
[0121]第二处理模块504,用于在所述用户设备断开网络后,在所述接收模块接收到所述第一网络访问请求时,使网络接入设备的转发面确定所述用户设备尚未通过身份认证,并将所述第一网络访问请求发送至所述网络接入设备的控制面,所述第一网络访问请求的源MAC地址为所述用户设备的MAC地址。
[0122]第三处理模块505,用于使所述网络接入设备的控制面确定所述第一网络访问请求的源MAC地址属于所述允许MAC地址集合,并向所述网络接入设备的转发面发送身份认证通过指令,以指示所述网络接入设备的转发面所述用户设备已通过身份认证。
[0123]本申请中,网络接入设备的控制面可在认证服务器对用户设备的身份进行的MAC认证时,或者该认证服务器对该用户设备的身份进行的MAC认证失败后再与Portal服务器联合对该用户设备的身份进行的Portal认证通过时,在允许MAC地址集合中添加该用户设备的MAC地址;在该用户设备断开网络后再次发起上线请求时,该网络接入设备的控制面在确定该用户设备的MAC地址属于该允许MAC地址集合时,即可指示该网络接入设备的转发面允许该用户设备访问网络,从而实现由网络接入设备直接对用户设备进行身份认证,提尚了认证速度。
[0124]请参阅图7,为本发明实施例提供的又一种网络接入设备的结构示意图。本实施例中所描述的网络接入设备,包括:第一处理模块601、设置模块602、接收模块603、第二处理模块604以及第三处理模块605,其中:
[0125]第一处理模块601,用于接收用户设备发送的第三网络访问请求后,使网络接入设备的转发面确定所述用户设备尚未通过身份认证,并将所述第三网络访问请求发送至所述网络接入设备的控制面。
[0126]所述第一处理模块601,还用于使所述网络接入设备的控制面将所述第三网络访问请求重定向至门户Portal服务器。
[0127]所述第一处理模块601,还用于使所述网络接入设备的控制面接收所述Portal服务器发送的认证数据,并将所述认证数据发送给所述认证服务器,以指示所述认证服务器基于所述认证数据对所述用户设备进行身份认证。
[0128]所述第一处理模块601,还用于使所述网络接入设备的控制面接收所述认证服务器发送的对所述用户设备的认证结果报文。
[0129]所述第一处理模块601,还用于使所述网络接入设备的控制面在所述认证结果报文指示的身份认证结果为认证通过时,在所述允许MAC地址集合中添加所述用户设备的MAC地址,并向所述网络接入设备的转发面发送身份认证通过指令,以指示所述网络接入设备的转发面所述用户设备已通过身份认证。
[0130]具体的,第一处理模块601可使该网络接入设备的控制面将该报文重定向至Portal服务器提供的认证页面,用户通过该用户设备在该认证页面上输入用户名、密码等认证数据,由该Portal服务器获取该认证数据,并将该认证数据发送给该网络接入设备的控制面,第一处理模块601使该网络接入设备的控制面将该认证数据发送给认证服务器,该认证服务器根据该认证数据对该用户设备进行身份认证,并向该网络接入设备的控制面发送认证结果报文。
[0131]设置模块602,用于使所述网络接入设备的控制面根据所述认证结果报文包括的老化时间参数,设置所述用户设备的MAC地址在所述允许MAC地址集合中的老化时间。
[0132]如果认证结果报文中还包括该认证服务器设置的老化时间参数,设置模块602使该网络接入设备的控制面根据该老化时间参数设置该用户设备的MAC地址在该允许MAC地址集合中的老化时间。如果认证结果报文中缺乏老化时间参数,设置模块602可使该网络接入设备的控制面自行设置该用户设备的MAC地址在该允许MAC地址集合中的老化时间。
[0133]其中,老化时间用于指示该网络接入设备的控制面在时间到达该老化时间对应的时刻(例如2015年10月I日00:00:00)时,或者在该用户设备的MAC地址添加到该允许MAC地址集合后经历的时间达到该老化时间对应的时长(如7*24小时)时,将该用户设备的MAC地址从该允许MAC地址集合中删除。
[0134]接收模块603,用于接收所述用户设备发送的第一网络访问请求。
[0135]第二处理模块604,用于在所述用户设备断开网络后,在所述接收模块接收到所述第一网络访问请求时,使网络接入设备的转发面确定所述用户设备尚未通过身份认证,并将所述第一网络访问请求发送至所述网络接入设备的控制面,所述第一网络访问请求的源MAC地址为所述用户设备的MAC地址。
[0136]第三处理模块605,用于使所述网络接入设备的控制面确定所述第一网络访问请求的源MAC地址属于所述允许MAC地址集合,并向所述网络接入设备的转发面发送身份认证通过指令,以指示所述网络接入设备的转发面所述用户设备已通过身份认证。
[0137]本申请中,网络接入设备的控制面可在认证服务器与Portal服务器联合对用户设备的身份进行的Portal认证通过时,在允许MAC地址集合中添加该用户设备的MAC地址;在该用户设备断开网络后再次发起上线请求时,该网络接入设备的控制面在确定该用户设备的MAC地址属于该允许MAC地址集合时,即可指示该网络接入设备的转发面允许该用户设备访问网络,从而实现由网络接入设备直接对用户设备进行身份认证,提高了认证速度。
[0138]请参阅图8,为本发明实施例提供的又一种网络接入设备的结构示意图。本实施例中所描述的网络接入设备,包括:转发电路701、控制电路702和接口 703,上述转发电路701、控制电路702、接口 703之间可以通过总线连接,也可以以其他方式连接。
[0139]上述接口 703与其他网络设备相连。例如,接口 703包括多个接口,分别与用户设备,Portal服务器以及服务设备相连。接口 703可以是有线接口,无线接口或其组合。有线接口例如可以为以太网接口。以太网接口可以是光接口,电接口或其组合。无线接口例如可以为无线局域网(英文:wireless local area network,缩写:WLAN)接口,蜂窝网络接口或其组合。
[0140]控制电路702用于实现本发明实施例的控制面,控制电路702可以是中央处理器(英文:central processing unit,缩写:CPU),网络处理器(英文:network processor,缩写:NP)或者CPU和NP的组合。控制电路702也可以是多核CPU或多核NP中用于实现控制面的核。
[0141]转发电路701用于实现本发明实施例的转发面,转发电路701可以包括NP(或多核NP中用于实现转发面的核)、硬件芯片和多核CPU中用于实现转发面的核。上述硬件芯片可以是专用集成电路(英文:applicat1n_specific integrated circuit,缩写:ASIC),可编程逻辑器件(英文:programmable logic device,缩写:PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(英文:complex programmable logic device,缩写:CPLD),现场可编程逻辑门阵列(英文:field-programmable gate array,缩写:FPGA),通用阵列逻辑(英文:generic array logic,缩写:GAL)或其任意组合。
[0142]如果控制电路702或转发电路701中包括CPU,上述网络接入设备还可以包括存储器。存储器中存储程序以指令CPU实现控制面或转发面的工作。存储器可包括易失性存储器(英文:volatile memory),例如随机存取存储器(英文:random_access memory,缩写:RAM);存储器也可以包括非易失性存储器(英文:non-volatile memory),例如只读存储器(英文:read-only memory,缩写:R0M),快闪存储器(英文:flash memory),硬盘(英文:hard disk drive,缩写:HDD)或固态硬盘(英文:solid-state drive,缩写:SSD);存储器还可以包括上述种类的存储器的组合。
[0143]其中,上述控制电路702,用于在认证服务器对用户设备的身份认证通过时,在允许介质访问控制MAC地址集合中添加所述用户设备的MAC地址。
[0144