阅读说明：本技术 网络接入控制方法及装置 (Network access control method and device ) 是由 李晶 徐霆 于 2018-08-07 设计创作，主要内容包括：本申请提供一种网络接入控制方法，涉及通信技术领域，用于提供无需认证点设备直接控制接入设备的认证点与控制点分离方案。该方法包括：控制器以远程登录的方式从接入设备获取终端关联数据，该终端关联数据包括：终端和接入设备的与终端相连的接口的对应关系；之后，控制器获取认证服务器对终端的认证结果；若终端的认证结果为认证通过，则控制器以远程登录的方式指示接入设备打开与终端相连的接口。本申请适用于终端接入园区网络过程中。(The application provides a network access control method, relates to the technical field of communication, and is used for providing a scheme for separating an authentication point and a control point without directly controlling access equipment by authentication point equipment. The method comprises the following steps: the controller acquires terminal associated data from the access equipment in a remote login mode, wherein the terminal associated data comprises: the corresponding relation between the terminal and the interface of the access device connected with the terminal; then, the controller acquires the authentication result of the authentication server to the terminal; and if the authentication result of the terminal is that the authentication is passed, the controller instructs the access equipment to open an interface connected with the terminal in a remote login mode. The method and the device are suitable for the process that the terminal is accessed into the park network.)

网络接入控制方法及装置

技术领域

本申请涉及通信技术领域，尤其涉及网络接入控制方法及装置。

背景技术

可扩展认证协议(Extensible authentication protocol，EAP)架构包括请求者(supplicant)，认证点(authenticator)和认证服务器(authentication server)。一般以接入设备作为认证点来控制和管理终端接入园区网络。接入设备通常是与终端直接连接的设备，例如接入层交换机。

认证点与控制点分离方案中，将认证点从接入设备转移到离终端更远的设备(例如网关设备)。在终端通过认证之后，认证点设备指示接入设备(作为控制是否允许终端访问网络资源的控制点)打开与终端相连的接口，以使得终端能够访问网络资源。但是，如果认证点设备和接入设备不由同一厂商提供，则认证点设备不能获知接入设备的哪个接口与终端相连，也不能控制接入设备的接口的状态。

发明内容

本申请提供一种网络接入控制方法及装置，用于提供无需认证点设备直接控制接入设备的认证点与控制点分离方案。

为实现上述目的，本申请提供如下技术方案：

第一方面，提供一种网络接入控制方法，包括：控制器以远程登录的方式从接入设备获取终端关联数据，终端关联数据包括：终端和接入设备的与终端相连的接口的对应关系；控制器获取认证服务器对终端的认证结果；若终端的认证结果为认证通过，则控制器以远程登录的方式指示接入设备打开与终端相连的接口。

由于远程登录的相关协议是公开协议，因此接入设备很可能支持远程登录的相关协议。这样一来，终端关联数据，以及用于指示接入设备打开与终端相连的接口的信息可以由控制器以远程登录的方式从接入设备获取或发送到接入设备。在这一过程中，无需认证点设备的参与，控制器能够直接控制接入设备。从而，在认证点与控制点分离的场景下，即使认证点设备和接入设备不由同一厂商提供，园区网络也能够控制和管理终端的接入。

一种可能的设计中，控制器以远程登录的方式从接入设备获取终端关联数据，包括：控制器重复地以远程登录的方式从接入设备获取终端关联数据。这样一来，控制器能够及时获知是否有新的终端连接接入设备，从而控制器能够控制新的终端接入园区网络。

一种可能的设计中，控制器以远程登录的方式从接入设备获取终端关联数据，包括：控制器根据接入设备的设备数据，通过电传网络(Telnet)协议或者安全外壳(SecureShell，SSH)协议连接接入设备，设备数据包括：登录方式、接入设备的地址、账号和/或密码；控制器执行脚本文件，从接入设备获取终端关联数据。基于上述技术方案，控制器通过执行脚本文件，实现自动地从接入设备获取终端关联数据。

一种可能的设计中，该方法还包括：控制器基于终端关联数据将终端的标识发送给认证点设备。这样一来，在对终端进行认证的流程中，认证点设备可以根据是否有预先存储该终端的标识，判断终端是否已经与接入设备连接，以提高安全性。

一种可能的设计中，控制器获取认证服务器对终端的认证结果，包括：控制器从认证点设备获取终端的认证结果；或者，控制器从认证服务器获取终端的认证结果。

第二方面，提供一种网络接入控制装置，包括：远程登录模块，用于以远程登录的方式从接入设备获取终端关联数据，终端关联数据包括：终端和接入设备的与终端相连的接口的对应关系。认证处理模块，用于确定认证服务器对终端的认证结果。远程登录模块，还用于当终端的认证结果为认证通过时，以远程登录的方式指示接入设备打开与终端相连的接口。

一种可能的设计中，远程登录模块，用于重复地以远程登录的方式从接入设备获取终端关联数据。

一种可能的设计中，远程登录模块，用于根据接入设备的设备数据，通过Telnet协议或者SSH协议连接接入设备，设备数据包括：登录方式、接入设备的地址、账号和/或密码；执行脚本文件，从接入设备获取终端关联数据。

一种可能的设计中，认证处理模块，还用于基于终端关联数据将终端的标识发送给认证点设备。

一种可能的设计中，认证处理模块，用于从认证点设备获取终端的认证结果；或者，从认证服务器获取终端的认证结果。

第三方面，提供一种控制器，包括：通信接口、处理器和存储器，该存储器用于存储计算机执行指令，当该控制器运行时，该处理器执行该存储器存储的计算机执行指令，以使该控制器执行上述第一方面中任一项所述的网络接入控制方法。

第四方面，提供一种计算机可读存储介质，该计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机可以执行上述第一方面中任一项所述的网络接入控制方法。

第五方面，提供一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机可以执行上述第一方面中任一项所述的网络接入控制方法。

第六方面，提供一种芯片系统，该芯片系统包括处理器，用于支持控制器实现上述第一方面中任一项所述的网络接入控制方法的功能。在一种可能的设计中，该芯片系统还包括存储器，该存储器用于保存控制器必要的程序指令和数据。该芯片系统可以由芯片构成，也可以包含芯片和其他分立器件。

其中，上述第二方面至第六方面中任一种设计方式所带来的技术效果可参见第一方面中不同设计方式所带来的技术效果，在此不再赘述。

附图说明

图1为本申请实施例提供的一种园区网络的架构示意图；

图2为本申请实施例提供的一种控制器的硬件结构示意图；

图3为本申请实施例提供的一种网络接入控制方法的流程图一；

图4为本申请实施例提供的一种网络接入控制方法的流程图二；

图5为本申请实施例提供的一种网络接入控制方法的流程图三；

图6为本申请实施例提供的一种网络接入控制方法的流程图四；

图7为本申请实施例提供的一种网络接入控制装置的结构示意图。

具体实施方式

本申请中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。

此外，本申请实施例描述的网络架构以及业务场景是为了更加清楚的说明本申请实施例的技术方案，并不构成对于本申请实施例提供的技术方案的限定，本领域普通技术人员可知，随着网络架构的演变和新业务场景的出现，本申请实施例提供的技术方案对于类似的技术问题，同样适用。

如图1所示，为本申请实施例提供的一种园区网络的架构示意图。园区网络包括：终端、无线访问点(wireless access point，WAP)、接入设备、认证点设备、控制器以及认证服务器。该园区网络还可以包括其他设备，例如门户(portal)服务器。

其中，终端可以为各种具有通信功能的手持设备、车载设备、可穿戴设备、计算机、网络设备。例如，手持设备可以是智能手机。车载设备可以是车载导航系统。可穿戴设备可以是智能手环。计算机可以是个人数字助理(personal digital assistant，PDA)电脑、平板型电脑以及膝上型电脑(laptop computer)。网络设备可以是家庭网关(residentialgateway，RG)、WAP以及交换机。在本申请实施例中，终端可以通过有线连接的方式连接接入设备，以接入园区网络。或者，终端以无线连接的方式连接接入设备，例如终端通过WAP连接接入设备，以接入园区网络。

接入设备用于负责转发来自终端的数据，以及具有控制是否允许终端访问网络资源的功能。可选的，接入设备可以为接入层交换机。

认证点设备用于负责终端的认证流程。可选的，认证点设备可以为汇聚层交换机或者核心层交换机。其中，汇聚交换机是设置在汇聚层的交换机，是多台接入层交换机的汇聚点，用于处理来自接入层设备的数据，并提供到核心层的上行链路。核心交换机是设置在核心层(也即网络主干部分)的交换机，下联汇聚交换机，具有高速处理数据转发的能力。

认证服务器为终端提供认证服务。认证服务器预先保存了终端的账号和密码，以及终端的网络访问权限。可选的，认证服务器为远程用户拨号认证服务(RemoteAuthentication Dial In User Service，RADIUS)认证服务器。在本申请实施例中，认证服务器可以集成在控制器上。

控制器用于以远程登录的方式从接入设备获取终端关联数据，并在终端通过认证的情况下，以远程登录的方式指示接入设备打开与终端相连的接口，从而提供无需认证点设备直接控制接入设备的认证点与控制点分离方案。可选的，所述控制器为敏捷控制器。

如图2所示，为本申请实施例提供的一种控制器的硬件结构示意图。该控制器200包括至少一个处理器201，存储器202以及至少一个通信接口203。

处理器201可以是中央处理器(central processing unit，CPU)。

通信接口203，用于与其他设备或通信网络通信，如以太网，无线局域网(wirelesslocal area networks，WLAN)等。

存储器202例如是只读存储器(read-only memory，ROM)，随机存取存储器(randomaccess memory，RAM)，电可擦可编程只读存储器(electrically erasable programmableread-only memory，EEPROM)、光盘或其他光存储设备、磁盘或者其他磁存储设备。存储器203可以独立存在，也可以和处理器201集成在一起。

其中，存储器202用于存储执行本申请方案的计算机可执行指令。处理器201用于执行存储器202中存储的计算机可执行指令，控制通信接口203实现本申请下述实施例提供的网络接入控制方法。

处理器201可以包括一个或多个CPU，例如图2中的CPU0和CPU1。控制器200可以包括多个处理器，例如图2中的处理器201和处理器206。这些处理器中的每一个可以是一个单核处理器，也可以是一个多核处理器。

控制器200还可以包括输出设备204和输入设备205。例如，输出设备204可以是液晶显示器(liquid crystal display，LCD)，阴极射线管(cathode ray tube，CRT)显示器，或投影仪(projector)等。例如，输入设备205可以是鼠标、键盘、触摸屏设备或传感设备等。

基于上述图1所示的园区网络的架构，本申请实施例提供一种网络接入控制方法，适用于园区网络采用各种认证技术的场景下，例如园区网络采用EAP认证技术的场景，又例如园区网络采用强制门户(captive portal)认证技术的场景。

下面以园区网络采用EAP认证技术的场景为示例，详细介绍本申请实施例提供的网络接入控制方法。如图3所示，为本申请实施例提供的一种网络接入控制方法，该方法包括如下步骤：

S101、控制器以远程登录的方式从接入设备获取终端关联数据。

其中，所述终端关联数据包括：终端和所述接入设备的与所述终端相连的接口的对应关系。所述接口可以为物理接口，也可以为逻辑接口。逻辑接口是指实现数据交换功能但物理上不存在，需要通过配置建立的接口。例如，逻辑接口为802.1X协议定义的受控接口和非受控接口。其中，非受控接口始终处于双向联通状态，用于接收终端发送的认证报文，或者向终端发送认证报文。受控接口在授权状态下处于双向连通状态下，用于传递业务报文；受控接口在非授权状态下，禁止从终端接收任何报文。

终端和所述接入设备用于与所述终端相连的接口的对应关系可以用终端的标识与接入设备的接口的标识的对应关系表示。所述终端的标识包括终端的介质访问控制(medium accesscontrol，MAC)地址和/或网际协议(Internet Protocol，IP)地址。所述接口的标识为接口的索引。或者，所述接口的标识为接口的虚拟局域网(virtual local areanetwork，VLAN)标识和接口的MAC地址的组合。或者，所述接口的标识为接口的虚拟局域网标识和接口的IP地址的组合。

一种实现方式中，所述控制器根据所述接入设备的设备数据，通过Telnet协议或者SSH协议连接所述接入设备。然后，控制器执行脚本文件，从接入设备获取终端关联数据。

可选的，所述接入设备的设备数据包括：登录方式、所述接入设备的地址、账号和/或密码。其中，登录方式用于指示远程登录使用的协议，例如Telnet协议或者SSH协议。在本申请实施例中，所述接入设备的设备数据是所述控制器预先存储的，或者所述接入设备的设备数据是用户在控制器显示的录入页面输入的。

可选的，所述脚本文件用于从接入设备获取终端关联数据。所述脚本文件可以用python语言或者其他计算机语言编写，本申请实施例对此不做任何限制。在本申请实施例中，所述脚本文件为控制器根据预设规则编写的，或者所述脚本文件为手工编写的。

在本申请实施例中，所述控制器重复地以远程登录的方式从接入设备获取终端关联数据，以便于控制器及时获知是否有新的终端连接接入设备，从而控制器能够控制新的终端接入园区网络。

S102、终端与认证点设备之间发起认证流程。

一种实现方式中，终端向认证点设备发送认证请求报文(例如EAPOL-start报文)，以发起认证流程。或者，认证点设备向终端发送认证请求报文(例如EAP-Request/Identity报文)，以发起认证流程。

在终端未通过认证之前，接入设备与终端相连的接口是受限的。也就是说，在终端未通过认证之前，接入设备用于与终端相连的接口仅用于传输认证报文，而不能用于传输非认证报文(如业务报文)。例如，接入设备为与终端相连的接口设置访问控制列表(accesscontrol list，ACL)，该ACL用于指示接口丢弃非认证报文。该ACL设置有与非认证报文匹配的拒绝(deny)规则，该拒绝规则用于使与其匹配的报文被丢弃。这样一来，与终端相连的接口导入的报文中，非认证报文被接入设备丢弃，认证报文被接入设备转发。

可选的，在本申请实施例中，可先执行步骤S101之后，再执行步骤S102；或者，同时执行步骤S101和步骤S102。

S103、终端将认证数据发送给认证点设备。

例如，所述认证数据为账号和密码。所述认证数据是终端预先存储的，或者所述认证数据为用户在终端安装的认证客户端上输入的。

例如，在发起认证之后，认证点设备通过接入设备向终端发送EAP-Request/Identity报文，以请求用户在终端的认证客户端上输入账号。终端响应认证点设备发送的请求，将EAP-Response/Identity报文发送给认证点设备，该EAP-Response/Identity报文携带终端的账号。认证点设备将EAP-Request/MD5Challenge报文发送给终端，该EAP-Request/MD5Challenge报文携带加密字。终端以该加密字对密码进行加密处理，然后通过接入设备将EAP-Response/MD5Challenge报文发送给认证点设备，该EAP-Response/MD5Challenge报文携带加密后的密码。

上述加密字是认证点设备生成的，或者是认证点设备从认证服务器获取的。可选的，若加密字是认证点设备生成的，则认证点设备在接收到加密后的密码之后，认证点设备先根据加密字将加密后的密码解密，再将账号和解密后的密码一起发送给认证服务器；或者，认证点设备在接收到加密后的密码之后，认证点设备将账号、加密字以及加密后的密码一起发送给认证服务器，以便于认证服务器利用加密字对加密后的密码进行解密，获取解密后的密码。从而，认证服务器可以根据账号以及解密后的密码，对终端进行认证。

S104、认证点设备将认证数据发送给认证服务器。

例如，认证点设备将认证数据封装成RADIUS报文，并将该RADIUS报文发送给认证服务器。需要说明的是，该RADIUS报文携带有终端的地址，以使得认证服务器获知该认证数据对应的终端。

S105、认证服务器根据终端的认证数据，对终端进行认证。

例如，认证服务器将接收到的认证数据与数据库中存储的认证数据进行比对。若接收到的认证数据与数据库中存储的认证数据一致，则认证服务器对所述终端的认证通过。反之，则终端未通过认证。

S106、认证服务器将认证结果发送给认证点设备。

携带认证结果的报文还包含终端的标识，以使得认证点设备获知该认证结果对应的终端。

可选的，携带认证结果的报文还包含终端的网络访问策略。其中，所述网络访问策略用于指示终端有权和/或无权访问的网络资源。所述网络访问策略是认证服务器根据终端的认证数据从数据库中查找到的。作为一种示例，所述网络访问策略以ACL的方式实现。

例如，若终端的认证结果为认证通过，认证服务器向认证点设备发送EAP-Success报文，以使得认证点设备获知终端认证通过。若终端的认证结果为认证未通过，认证服务器向认证点设备发送EAP-Failure报文，以使得认证点设备获知终端认证未通过。

S107、控制器从认证点设备获取认证结果。

一种实现方式中，认证点设备主动将认证结果发送给控制器。或者，控制器向认证点设备发送认证结果请求信息；之后，认证点设备响应于认证结果请求信息，将认证结果发送给控制器。

可选的，步骤S107可被替换为下述步骤S108。

S108、控制器从认证服务器获取认证结果。

一种实现方式中，认证服务器主动将认证结果发送给控制器。或者，控制器向认证服务器发送认证结果请求信息；之后，认证服务器响应于认证结果请求信息，将认证结果发送给控制器。

这样一来，控制器可以从认证服务器或者认证点设备获取到终端的认证结果。若认证服务器集成在控制器上，则无需执行上述步骤S107或者步骤S108，控制器可以从自身获取到终端的认证结果。

S109、若终端的认证结果为认证通过，则控制器以远程登录的方式指示接入设备打开与终端相连的接口。

一种实现方式中，控制器根据终端关联数据，以及携带认证结果的报文包含的终端的标识，确定接入设备以及接入设备用于与终端相连的接口。从而，控制器以远程登录的方式指示该接入设备打开与终端相连的接口。

在本申请实施例中，接入设备打开与终端相连的接口，是指接口设备允许与终端相连的接口传输非认证报文(也即业务报文)。可选的，若终端通过认证，接口设备删除与终端相连的接口配置的ACL中与非认证报文匹配的拒绝规则。

进一步的，若控制器接收到终端对应的网络访问策略，则控制器以远程登录的方式向接入设备下发网络访问策略。从而，接入设备根据该网络访问策略，控制终端对网络资源的访问。

需要说明的是，图3所示的EAP认证流程仅示意了本申请实施例提供的网络接入控制方法的一些相关步骤，从而说明本申请实施例提供的技术方案涉及的一种应用场景。在实际应用中，EAP认证流程还可以包括其他步骤。

基于上述技术方案，由于远程登录的相关协议是公开协议，因此接入设备很可能支持远程登录的相关协议。这样一来，在园区网络采用EAP认证技术的情况下，控制器能够以远程登录的方式从接入设备获取终端关联数据，并在终端通过认证后，控制器能够以远程登录的方式指示接入设备打开与终端相连的接口。也即，在认证点和控制点分离的场景下，无需认证点设备的参与，控制器能够直接控制接入设备。

可选的，为了提高园区网络的安全性，在图3所示方案的基础上，如图4所示，在步骤S101之后，本申请实施例提供的网络接入控制方法还可以包括步骤S110；在步骤S103之后，本申请实施例提供的网络接入控制方法还可以包括步骤S111。

S110、控制器将终端的标识发送给认证点设备。

一种实现方式中，控制器基于所述终端关联数据，用网络配置协议(NetworkConfiguration Protocol，NETCONF)，将终端的标识发送给认证点设备。认证点设备在接收到终端的标识之后，会存储所述终端的标识。

S111、认证点设备检测是否有预先存储发送认证数据的终端的标识。

一种实现方式中，若认证点设备有预先存储发送认证数据的终端的标识，则认证点设备能够确定该终端已经与接入设备连接，从而认证点设备继续执行该终端认证流程，也即认证点设备执行步骤S104。若认证点设备未预先存储发送认证数据的终端的标识，则认证点设备能够确定该终端未与接入设备连接，从而认证点设备停止该终端的认证流程，也即认证点设备不执行步骤S104。

这样一来，认证点设备能够阻止未连接接入设备的终端的认证流程，进而禁止未连接接入设备的终端访问园区网络的网络资源，提高园区网络的安全性。

下面以园区网络采用强制门户认证技术的场景为示例，详细介绍本申请实施例提供的网络接入控制方法。

如图5所示，为本申请实施例提供的一种网络接入控制方法，该方法包括以下步骤：

S201、与步骤S101相似，详细内容可参见图3所示的实施例，在此不再赘述。

S202、终端向认证点设备发送超文本传输协议(Hyper Text Transfer Protocol，HTTP)请求报文。

一种实现方式中，终端获取用户输入的网址，并根据该网址，发送相应的HTTP请求报文，该HTTP请求报文用于请求访问用户输入的网址。

需要说明的是，在终端未通过认证之前，接入设备用于与终端相连的接口是受限的。也就是说，在终端未通过认证之前，接入设备用于与终端相连的接口仅用于传输HTTP报文以及发送HTTP报文前必要的准备报文(例如动态主机配置协议(Dynamic HostConfigurationProtocol，DHCP)报文、地址解析协议(Address Resolution Protocol，ARP)报文等)，不能用于传输非HTTP报文。例如，接入设备在与终端相连的接口设置有ACL，该ACL用于指示接口丢弃非HTTP报文。具体的，该ACL设置有与非HTTP报文匹配的拒绝规则，该拒绝规则用于使与其匹配的报文被丢弃。这样一来，与终端相连的接口导入的报文中，非HTTP报文被接入设备丢弃，HTTP报文被接入设备转发。

需要说明的是，本申请实施例不限制步骤S201和步骤S202的执行顺序，也即可以先执行步骤S201，再执行步骤S202；也可以同时执行步骤S201和步骤S202。

S203、认证点设备将HTTP请求报文重定向至门户服务器。

一种实现方式中，认证点设备拦截未认证的终端发送的HTTP请求报文，并向终端返回重定向地址，以便于终端根据重定向地址，向门户服务器发送HTTP请求报文。其中，所述重定向地址包括门户服务器的地址。

S204、门户服务器向终端返回供用户输入认证数据的页面。

一种实现方式中，门户服务器向认证点设备返回HTTP应答报文，该HTTP应答报文携带供用户输入认证数据的页面。认证点设备向终端发送该HTTP应答报文。

S205、终端向门户服务器发送认证数据。

其中，所述认证数据包括：账号和密码。

一种实现方式中，终端在接收到该HTTP应答报文之后，显示供用户输入认证数据的页面。在用户输入认证数据之后，终端向认证点设备发送携带认证数据的HTTP请求报文。认证点设备将该携带认证数据的HTTP请求报文转发给门户服务器。

需要说明的是，该携带认证数据的HTTP请求报文包含终端的标识，以便于使其他设备获知该携带认证数据的HTTP请求报文对应的终端。

S206、门户服务器将认证数据转发给认证点设备。

一种实现方式中，门户服务器向认证点设备发送携带认证数据的HTTP应答报文，以触发终端的认证流程。

S207-S211、与步骤S104-S108相似，详细内容请参见图3所示的实施例，在此不再赘述。在执行步骤S108的前提下，步骤S106是可选的，也即认证服务器可以执行步骤S106，也可以不执行步骤S106。

在本申请实施例中，在步骤S209之后，若认证点设备获知终端通过认证，则认证点设备不再对该终端发送的报文执行重定向操作。

S212、若终端的认证结果为认证通过，控制器以远程登录的方式指示接入设备打开与终端相连的接口。

一种实现方式中，控制器根据携带认证结果的报文包含的终端的标识，以及终端关联数据，确定接入设备以及接入设备用于与终端相连的接口。从而，控制器以远程登录的方式指示该接入设备打开与终端相连的接口。

在本申请实施例中，接入设备打开与终端相连的接口，是指接口设备允许与终端相连的接口传输非HTTP报文。可选的，接口设备删除与终端相连的接口配置的ACL中与非认证报文匹配的拒绝规则。

进一步的，若控制器接收到终端对应的网络访问策略，则控制器以远程登录的方式向接入设备下发网络访问策略。从而，接入设备根据该网络访问策略，控制终端对网络资源的访问。

S213、认证点设备将认证结果发送给门户服务器。

一种实现方式中，认证点设备向门户服务器发送携带认证结果的HTTP请求报文，以使得门户服务器获知认证服务器对于终端的认证结果。

S214、门户服务器向终端返回认证结果页面。

例如，若终端通过认证，则门户服务器向终端返回认证成功页面；若终端未通过认证，则门户服务器向终端返回认证失败页面，可选的，该认证失败页面包含认证失败的原因。

需要说明的是，图5所示的强制门户认证流程仅示意了本申请实施例提供的网络接入控制方法的一些相关步骤，从而说明本申请实施例提供的技术方案涉及的一种应用场景。在实际应用中，强制门户认证流程还可以包括其他步骤。

基于上述技术方案，由于远程登录的相关协议是公开协议，因此接入设备很可能支持远程登录的相关协议。这样一来，在园区网络采用强制门户认证技术的情况下，控制器能够以远程登录的方式从接入设备获取终端关联数据，并在终端通过认证后，控制器能够以远程登录的方式指示接入设备打开与终端相连的接口。也即，在认证点和控制点分离的场景下，无需认证点设备的参与，控制器能够直接控制接入设备。

可选的，为了提高园区网络的安全性，在图5所示方案的基础上，如图6所示，在步骤S201之后，本申请实施例提供的网络接入控制方法还可以包括步骤S215；在步骤S202之后，本申请实施例提供的网络接入控制方法还可以包括步骤S216。

S215、与步骤S110相似，详细内容可参加图3所示的实施例，在此不再赘述。

S216、认证点设备检测是否有预先存储发送HTTP请求报文的终端的标识。

一种实现方式中，若认证点设备有预先存储发送HTTP请求报文的终端的标识，则认证点设备能够确定该终端已经与接入设备连接，从而认证点设备继续该终端的认证流程，也即认证点设备执行步骤S203。若认证点设备未预先存储发送HTTP请求报文的终端的标识，则认证点设备能够确定该终端未与接入设备连接，从而认证点设备停止该终端的认证流程，也即认证点设备不执行步骤S203。

这样一来，认证点设备能够阻止未连接接入设备的终端的认证流程，进而禁止未连接接入设备的终端访问园区网络的网络资源，提高园区网络的安全性。

综上，本申请实施例公开了一种网络接入控制方法，包括：控制器以远程登录的方式从接入设备获取终端关联数据，所述终端关联数据包括：终端和所述接入设备的与所述终端相连的接口的对应关系；所述控制器获取认证服务器对所述终端的认证结果；若所述终端的认证结果为认证通过，则所述控制器以远程登录的方式指示所述接入设备打开与所述终端相连的接口。

上述主要从控制器角度对本申请实施例提供的方案进行了介绍。可以理解的是，上述控制器为了实现上述功能，其包含了执行各个功能相应的硬件结构或软件模块。本领域技术人员应该很容易意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，本申请能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。本领域技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

比如，在采用各个功能划分各个功能模块的情况下，图7示出一种网络接入控制装置的几个示意图。如图7所示，网络接入控制装置包括：远程登录模块701和认证处理模块702。所述远程登录模块701用于支持控制器执行图3中的步骤S101和S109，图5中的步骤S201和S212，和/或用于本文所描述的技术的其它过程。所述认证处理模块702用于支持控制器执行图3中的步骤S107或S108，图4中的步骤S110，图5中的步骤S210或S211，图6中的步骤S215，和/或用于本文所描述的技术的其它过程。

其中，上述方法实施例涉及的各步骤的所有相关内容均可以援引到对应功能模块的功能描述，在此不再赘述。作为一个示例，结合图2所示的控制器，图7中的远程登录模块701以及认证处理模块702可以由图2中控制器的通信接口来实现，本申请实施例对此不作任何限制。

本申请实施例还提供一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机指令；当所述计算机可读存储介质在图2所示的控制器上运行时，使得该控制器执行本申请实施例图3至图6所示的网络接入控制方法。所述计算机可读存储介质可以是计算机能够存取的任何介质或者是包含一个或多个介质集成的服务器、数据中心等数据存储设备。所述介质可以是磁性介质(例如，软盘、硬盘、磁带)，光介质(例如，光盘)、或者半导体介质(例如固态硬盘(solid state disk，SSD))等。另外，所述计算机指令不仅可以存储在计算机可读存储介质中，还可以从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或者数据中心通过有线(例如同轴电缆、光纤、双绞线)或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。

本申请实施例还提供一种包含计算机指令的计算机程序产品，当其在计算机上运行时，使得计算机可以执行上述图3至图6所示的网络接入控制方法。

上述本申请实施例提供的控制器、计算机存储介质以及计算机程序产品均用于执行上文所提供的对应的方法，因此，其所能达到的有益效果可参考上文所提供的对应的方法中的有益效果，在此不再赘述。

尽管在此结合各实施例对本申请进行了描述，然而，在实施所要求保护的本申请过程中，本领域技术人员通过查看所述附图、公开内容、以及所附权利要求书，可理解并实现所述公开实施例的其他变化。单个处理器或其他单元可以实现权利要求中列举的若干项功能。相互不同的从属权利要求中记载了某些措施，但这并不表示这些措施不能组合起来产生良好的效果。