[发明专利]一种网络连接的认证方法及网络接入设备

权利要求书

1.一种网络连接的认证方法，其特征在于，包括：

网络接入设备在认证服务器对用户设备的身份认证通过时，在允许介质访问控制MAC地址集合中添加所述用户设备的MAC地址；

所述用户设备断开网络后，所述网络接入设备在接收到所述用户设备发送的第一网络访问请求时，所述网络接入设备的转发面确定所述用户设备尚未通过身份认证，并将所述第一网络访问请求发送至所述网络接入设备的控制面，所述第一网络访问请求的源MAC地址为所述用户设备的MAC地址；

所述网络接入设备的控制面确定所述第一网络访问请求的源MAC地址属于所述允许MAC地址集合，则所述网络接入设备的控制面向所述网络接入设备的转发面发送身份认证通过指令，以指示所述网络接入设备的转发面所述用户设备已通过身份认证。

2.根据权利要求1所述的方法，其特征在于，所述网络接入设备在认证服务器对用户设备的身份认证通过时，在允许MAC地址集合中添加所述用户设备的MAC地址，包括：

所述网络接入设备接收所述用户设备发送的第二网络访问请求后，所述网络接入设备的转发面确定所述用户设备尚未通过身份认证，并将所述第二网络访问请求发送至所述网络接入设备的控制面，所述第二网络访问请求的源MAC地址为所述用户设备的MAC地址；

所述网络接入设备的控制面将所述第二网络访问请求的源MAC地址发送给所述认证服务器，以指示所述认证服务器基于所述第二网络访问请求的源MAC地址对所述用户设备进行身份认证；

所述网络接入设备的控制面接收所述认证服务器发送的对所述用户设备的认证结果报文，并在所述认证结果报文指示的身份认证结果为认证通过时，所述网络接入设备的控制面在所述允许MAC地址集合中添加所述用户设备的MAC地址，并向所述网络接入设备的转发面发送身份认证通过指令，以指示所述网络接入设备的转发面所述用户设备已通过身份认证。

3.根据权利要求1所述的方法，其特征在于，所述网络接入设备在认证服务器对用户设备的身份认证通过时，在允许MAC地址集合中添加所述用户设备的MAC地址，包括：

所述网络接入设备接收所述用户设备发送的第三网络访问请求后，所述网络接入设备的转发面确定所述用户设备尚未通过身份认证，并将所述第三网络访问请求发送至所述网络接入设备的控制面；

所述网络接入设备的控制面将所述第三网络访问请求重定向至门户Portal服务器；

所述网络接入设备的控制面接收所述Portal服务器发送的认证数据，并将所述认证数据发送给所述认证服务器，以指示所述认证服务器基于所述认证数据对所述用户设备进行身份认证；

所述网络接入设备的控制面接收所述认证服务器发送的对所述用户设备的认证结果报文；

所述网络接入设备的控制面在所述认证结果报文指示的身份认证结果为认证通过时，在所述允许MAC地址集合中添加所述用户设备的MAC地址，并向所述网络接入设备的转发面发送身份认证通过指令，以指示所述网络接入设备的转发面所述用户设备已通过身份认证。

4.根据权利要求2或3所述的方法，其特征在于，在所述认证结果报文指示的身份认证结果为认证通过时，所述认证结果报文中还包括所述认证服务器设置的老化时间参数，所述方法还包括：

所述网络接入设备的控制面根据所述老化时间参数，设置所述用户设备的MAC地址在所述允许MAC地址集合中的老化时间。

5.一种网络接入设备，其特征在于，包括：

第一处理模块，用于在认证服务器对用户设备的身份认证通过时，在允许介质访问控制MAC地址集合中添加所述用户设备的MAC地址；

接收模块，用于接收所述用户设备发送的第一网络访问请求；

第二处理模块，用于在所述用户设备断开网络后，在所述接收模块接收到所述第一网络访问请求时，使网络接入设备的转发面确定所述用户设备尚未通过身份认证，并将所述第一网络访问请求发送至所述网络接入设备的控制面，所述第一网络访问请求的源MAC地址为所述用户设备的MAC地址；

第三处理模块，用于使所述网络接入设备的控制面确定所述第一网络访问请求的源MAC地址属于所述允许MAC地址集合，并向所述网络接入设备的转发面发送身份认证通过指令，以指示所述网络接入设备的转发面所述用户设备已通过身份认证。