一种网络准入控制方法、装置、计算机设备及存储介质与流程

1.本公开涉及互联网技术领域，具体而言，涉及一种网络准入控制方法、装置、计算机设备及存储介质。


背景技术：

2.随着网络技术的发展，接入网络的终端可能会给网络带来各种安全威胁。因此为了保证网络安全，需要对终端设备进行网络准入控制，也就是只有合法的、值得信任的终端设备才能被允许接入网络中。
3.在网络准入控制过程中，通常是根据媒体接入控制(media access control，mac)地址对终端设备进行识别的。但是在终端设备限制采集mac地址或启用随机mac地址的情况下，导致难以执行网络准入控制。


技术实现要素：

4.本公开实施例至少提供一种网络准入控制方法、装置、计算机设备及存储介质。
5.第一方面，本公开实施例提供了一种网络准入控制方法，包括：
6.获取用户设备通过网络接入设备发送的网络准入请求；所述网络准入请求中包含所述用户设备的访问账户信息以及所述用户设备的入网媒体接入控制mac地址；
7.在所述访问账户信息认证通过且在映射关系表中未查找到与所述入网mac地址具有映射关系的合法设备标识时，针对所述用户设备配置第一访问权限；所述第一访问权限包括所述用户设备向所述服务器上报信息的权限；
8.获取所述用户设备基于所述第一访问权限上报的互联网协议ip地址和待认证设备标识，以及获取所述网络接入设备在计费启动请求中携带的入网mac地址和ip地址；
9.在所述用户设备上报的ip地址和所述网络接入设备在计费启动请求中携带的ip地址一致时，在所述映射关系表中存储所述待认证设备标识与所述入网mac地址之间的映射关系，所述映射关系用于所述用户设备再次基于所述入网mac地址发起网络准入请求时，针对所述用户设备配置第二访问权限；所述第二访问权限的权限级别高于所述第一访问权限的权限级别。
10.在一种可选的实施方式中，在所述用户设备上报的ip地址和所述网络接入设备在计费启动请求中携带的ip地址一致之前，所述方法还包括：
11.判断是否接收到所述用户设备基于所述第一访问权限上报的设备mac地址；
12.所述在所述映射关系表中存储所述待认证设备标识与所述入网mac地址之间的映射关系，包括：
13.若未接收到所述用户设备基于所述第一访问权限上报的设备mac地址，则在所述用户设备上报的ip地址和所述网络接入设备在计费启动请求中携带的ip地址一致时，在所述映射关系表中存储所述待认证设备标识与所述入网mac地址之间的映射关系。
14.在一种可选的实施方式中，判断是否接收到所述用户设备基于所述第一访问权限
上报的设备mac地址之后，所述方法还包括：
15.若确定接收到所述用户设备基于所述第一访问权限上报的设备mac地址，则基于所述用户设备基于所述第一访问权限上报的所述待认证设备标识和所述设备mac地址，在所述映射关系表中存储所述待认证设备标识和所述设备mac地址之间的映射关系。
16.在一种可选的实施方式中，所述用户设备上报的ip地址和待认证设备标识为所述用户设备通过调用准入客户端上报的；
17.所述针对所述用户设备配置第一访问权限之后，所述方法还包括：
18.若在预设时间段内未接收到所述用户设备通过所述准入客户端上报的所述待认证设备标识，则向所述用户设备发送安装所述准入客户端的第一提示信息。
19.在一种可选的实施方式中，在所述映射关系表中存储所述待认证设备标识与所述入网mac地址之间的映射关系之后，所述方法还包括：
20.向所述用户设备发送重新认证的第二提示信息；
21.在获取到所述用户设备针对所述第二提示信息重新发送的网络准入请求后，在确定所述访问账户信息认证通过且在映射关系表中查找到与所述入网mac地址具有映射关系的合法设备标识的情况下，基于所述入网mac地址，针对所述用户设备配置第二访问权限。
22.在一种可选的实施方式中，所述方法还包括：
23.获取所述用户设备基于所述第一访问权限上报的访问用户名，以及获取所述网络接入设备在所述计费启动请求中携带的访问用户名；
24.所述在所述用户设备上报的ip地址和所述网络接入设备在计费启动请求中携带的ip地址一致时，在所述映射关系表中存储所述待认证设备标识与所述入网mac地址之间的映射关系，包括：
25.在所述用户设备上报的ip地址和所述网络接入设备在计费启动请求中携带的ip地址一致，且所述用户设备基于所述第一访问权限上报的访问用户名与所述网络接入设备在所述计费启动请求中携带的访问用户名一致时，在所述映射关系表中存储所述待认证设备标识与所述入网mac地址之间的映射关系。
26.在一种可选的实施方式中，所述方法还包括：
27.获取所述用户设备基于所述第一访问权限上报的网络接入设备标识，以及获取所述网络接入设备在所述计费启动请求中携带的网络接入设备标识；
28.所述在所述用户设备上报的ip地址和所述网络接入设备在计费启动请求中携带的ip地址一致时，在所述映射关系表中存储所述待认证设备标识与所述入网mac地址之间的映射关系，包括：
29.在所述用户设备上报的ip地址和所述网络接入设备在计费启动请求中携带的ip地址一致，且所述用户设备基于所述第一访问权限上报的网络接入设备标识与所述网络接入设备在所述计费启动请求中携带的网络接入设备标识一致时，在所述映射关系表中存储所述待认证设备标识与所述入网mac地址之间的映射关系。
30.第二方面，本公开实施例还提供一种网络准入控制方法，包括：
31.通过网络接入设备向服务器发送网络准入请求；所述网络准入请求中包含所述用户设备的访问账户信息以及所述用户设备的入网媒体接入控制mac地址；所述访问账户信息用于所述服务器对所述用户设备进行合法性认证；所述入网mac地址用于所述服务器判
断映射关系表中是否存储有与所述入网mac地址具有映射关系的合法设备标识；
32.基于所述服务器配置的第一访问权限，向所述服务器上报互联网协议ip地址和待认证设备标识，以使所述服务器在获取到所述网络接入设备在计费启动请求中携带的入网mac地址和ip地址后，并且在所述上报的ip地址和所述网络接入设备在计费启动请求中携带的ip地址一致时，在所述映射关系表中存储所述待认证设备标识与所述入网mac地址之间的映射关系；其中，所述第一访问权限是所述服务器在确定所述访问账户信息认证通过且在所述映射关系表中未查找到与所述入网mac地址具有映射关系的合法设备标识的反馈结果的情况下，针对所述用户设备配置的；所述映射关系用于在所述用户设备再次基于所述入网mac地址发起网络准入请求时，所述服务器针对所述用户设备配置第二访问权限；所述第二访问权限的权限级别高于所述第一访问权限的权限级别。
33.第三方面，本公开实施例还提供一种网络准入控制装置，包括：
34.第一获取模块，用于获取用户设备通过网络接入设备发送的网络准入请求；所述网络准入请求中包含所述用户设备的访问账户信息以及所述用户设备的入网媒体接入控制mac地址；
35.第一配置模块，用于在所述访问账户信息认证通过且在映射关系表中未查找到与所述入网mac地址具有映射关系的合法设备标识时，针对所述用户设备配置第一访问权限；所述第一访问权限包括所述用户设备向所述服务器上报信息的权限；
36.第二获取模块，用于获取所述用户设备基于所述第一访问权限上报的互联网协议ip地址和待认证设备标识，以及获取所述网络接入设备在计费启动请求中携带的入网mac地址和ip地址；
37.第一存储模块，用于在所述用户设备上报的ip地址和所述网络接入设备在计费启动请求中携带的ip地址一致时，在所述映射关系表中存储所述待认证设备标识与所述入网mac地址之间的映射关系，所述映射关系用于所述用户设备再次基于所述入网mac地址发起网络准入请求时，针对所述用户设备配置第二访问权限；所述第二访问权限的权限级别高于所述第一访问权限的权限级别。
38.第四方面，本公开实施例还提供一种网络准入控制装置，包括：
39.发送模块，用于通过网络接入设备向服务器发送网络准入请求；所述网络准入请求中包含所述用户设备的访问账户信息以及所述用户设备的入网媒体接入控制mac地址；所述访问账户信息用于所述服务器对所述用户设备进行合法性认证；所述入网mac地址用于所述服务器判断映射关系表中是否存储有与所述入网mac地址具有映射关系的合法设备标识；
40.处理模块，用于基于所述服务器配置的第一访问权限，向所述服务器上报互联网协议ip地址和待认证设备标识，以使所述服务器在获取到所述网络接入设备在计费启动请求中携带的入网mac地址和ip地址后，并且在所述上报的ip地址和所述网络接入设备在计费启动请求中携带的ip地址一致时，在所述映射关系表中存储所述待认证设备标识与所述入网mac地址之间的映射关系；其中，所述第一访问权限是所述服务器在确定所述访问账户信息认证通过且在所述映射关系表中未查找到与所述入网mac地址具有映射关系的合法设备标识的反馈结果的情况下，针对所述用户设备配置的；所述映射关系用于在所述用户设备再次基于所述入网mac地址发起网络准入请求时，所述服务器针对所述用户设备配置第
二访问权限；所述第二访问权限的权限级别高于所述第一访问权限的权限级别。
41.第五方面，本公开实施例还提供一种计算机设备，包括：处理器、存储器和总线，所述存储器存储有所述处理器可执行的机器可读指令，当计算机设备运行时，所述处理器与所述存储器之间通过总线通信，所述机器可读指令被所述处理器执行时执行上述第一方面，或第一方面中任一种可能的实施方式中的步骤，或者执行上述第二方面中的步骤。
42.第六方面，本公开实施例还提供一种计算机可读存储介质，该计算机可读存储介质上存储有计算机程序，该计算机程序被处理器运行时执行上述第一方面，或第一方面中任一种可能的实施方式中的步骤，或者执行上述第二方面中的步骤。
43.本公开实施例提供的网络准入控制方法，可以在认证阶段，在访问账户信息认证通过且在映射关系表中未查找到与入网mac地址匹配的合法设备标识的情况下，先为用户设备配置第一访问权限；然后在计费阶段，在准入客户端上报的ip地址和网络接入设备在计费启动请求中携带的ip地址一致的情况下，在映射关系表中存储待认证设备标识与入网mac地址之间的映射关系，并为用户设备配置权限级别高于第一访问权限的第二访问权限。上述网络准入控制过程，可以在用户设备限制准入客户端采集mac地址或启用随机mac地址的情况下，仍然能够访问网络，从而实现网络准入控制。
44.为使本公开的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。
附图说明
45.为了更清楚地说明本公开实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，此处的附图被并入说明书中并构成本说明书中的一部分，这些附图示出了符合本公开的实施例，并与说明书一起用于说明本公开的技术方案。应当理解，以下附图仅示出了本公开的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。
46.图1示出了本公开实施例所提供的一种网络准入控制方法的流程图；
47.图2示出了本公开实施例所提供的另一种网络准入控制方法的流程图；
48.图3示出了本公开实施例所提供的另一种网络准入控制方法的流程图；
49.图4示出了本公开实施例所提供的一种网络准入控制装置的示意图；
50.图5示出了本公开实施例所提供的另一种网络准入控制装置的示意图；
51.图6示出了本公开实施例所提供的一种计算机设备的示意图；
52.图7示出了本公开实施例所提供的另一种计算机设备的示意图。
具体实施方式
53.为使本公开实施例的目的、技术方案和优点更加清楚，下面将结合本公开实施例中附图，对本公开实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本公开一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本公开实施例的组件可以以各种不同的配置来布置和设计。因此，以下对在附图中提供的本公开的实施例的详细描述并非旨在限制要求保护的本公开的范围，而是仅仅表示本公开的选定实施例。基于本公开的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的所
有其他实施例，都属于本公开保护的范围。
54.在网络准入控制的过程中，一些终端设备在进行网络连接的过程中，会默认使用随机mac地址进行网络访问，网络准入服务器无法根据随机mac地址准确识别出终端设备，此时还需要借助终端设备的其他软硬件信息等进行识别，导致终端设备识别过程较为复杂。
55.基于上述研究，本公开实施例提供的网络准入控制方法，可以在认证阶段，在访问账户信息认证通过且在映射关系表中未查找到与入网mac地址匹配的合法设备标识的情况下，先为用户设备配置第一访问权限；然后在计费阶段，在准入客户端上报的ip地址和网络接入设备在计费启动请求中携带的ip地址一致的情况下，在映射关系表中存储待认证设备标识与入网mac地址之间的映射关系，并为用户设备配置权限级别高于第一访问权限的第二访问权限。上述网络准入控制过程，可以在用户设备限制准入客户端采集mac地址或启用随机mac地址的情况下，仍然能够访问网络，从而实现网络准入控制。
56.针对以上方案所存在的缺陷以及所提出的解决方案，均是发明人在经过实践并仔细研究后得出的结果，因此，上述问题的发现过程以及下文中本公开针对上述问题所提出的解决方案，都应该是发明人在本公开过程中对本公开做出的贡献。
57.应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。
58.为便于对本实施例进行理解，首先对本公开实施例所公开的一种网络准入控制方法进行详细介绍，本公开实施例所提供的网络准入控制方法的执行主体一般为具有一定计算能力的计算机设备。
59.下面以执行主体为服务器为例对本公开实施例提供的网络准入控制方法加以说明。
60.本公开实施例提供的网络准入控制方法主要应用于终端设备接入目标网络的场景中，例如员工的电脑接入公司局域网的过程中。本公开实施例提供的网络准入控制方法主要包括认证和计费两个阶段。在认证阶段，主要是对终端设备的身份进行合法性认证，在认证通过的情况下，可以为终端设备匹配对应的访问权限。在计费阶段，主要是针对未匹配到设备标识的终端设备，生成终端设备的mac地址与设备标识的匹配关系，实现对访问权限的修改等管理。
61.参见图1所示，为本公开实施例提供的网络准入控制方法的流程图，所述方法包括s101～s104。其中s101～s102为认证阶段，具体地：
62.s101：获取用户设备通过网络接入设备发送的网络准入请求；所述网络准入请求中包含所述用户设备的访问账户信息以及所述用户设备的入网媒体接入控制mac地址。
63.本公开实施例中，用户设备是指请求接入到网络中的终端设备。网络准入请求可以是由用户设备主动发起的，服务器可以接收通过网络接入设备发送的该网络准入请求。具体地，网络准入请求的发送流程可以包括：用户设备主动发起网络准入请求；然后，用户设备将网络准入请求发送至网络接入设备；然后，网络接入设备将网络准入请求发送至服务器。
64.当上述网络准入请求的发送流程是在无线通讯方式下进行的情况下，网络接入设备可以包括接入控制器(access controller，ac)和无线接入点(access point，ap)等组成
的网络接入设备。当上述网络准入请求的发送流程是在有线通讯方式下进行的情况下，网络接入设备可以包括交换机、路由器等网络接入设备。
65.网络准入请求中包含的mac地址指的是用户设备入网时的mac地址，该入网mac地址可能是用户设备的设备mac地址，即网络设备制造商生产时写在用户设备内部的mac地址；也可能是用户设备启用的随机mac地址，即用户设备随机生成的mac地址。其中在网络接入设备不发生变化的情况下，例如无线网络名称不发生变化，随机mac地址可以是不变的。
66.用户设备中可以安装有服务器提供的准入客户端，准入客户端可以用于对用户设备进行网络准入控制。网络准入请求中包含的用户设备的访问账户信息可以指准入客户端所对应的访问账户信息。上述准入客户端可以是服务器提供给用户设备的。安装在用户设备上的准入客户端，可以获取用户设备的设备mac地址、根据用户设备的软硬件信息生成设备标识，通过将设备mac地址、设备标识等信息发送到服务器，可以用于实现对用户设备的网络准入控制。准入客户端例如可以是杀毒软件、防火墙等监测应用程序。服务器还可以为用户设备提供用于登录准入客户端的上述访问账户信息。其中，访问账户信息可以包括用户名和登录密码。当服务器将上述准入客户端提供给用户设备后，可以在准入客户端上显示访问账户信息，从而使得用户可以查看上述访问账户信息。上述访问账户信息也可以通过网络管理员通过短信、邮件等分发方式发送到用户设备上，以使用户知晓上述访问账户信息。
67.上述网络准入请求可以是在用户设备请求入网的过程中，基于用户在准入客户端上输入的访问账户信息以及用户设备上的入网mac地址生成的。
68.用户在准入客户端上输入的访问账户信息可能是真实的访问账户信息，也可能是虚假的访问账户信息，例如用户自己随意输入的访问账户信息，因此服务器通过接收网络准入请求，需要根据网络准入请求中包含的访问账户信息，对用户设备进行身份的合法性认证。服务器还可以根据入网mac地址可以查询与该入网mac地址对应的访问权限。
69.在一种方式中，用户设备入网可以使用远程拨号认证服务(remote authentication dial in user service，radius)协议对用户设备进行认证以及查询访问权限。因此，上述进行合法性认证和访问权限查询的过程可以通过radius服务器完成。在另一种方式中，radius服务器还可以与准入服务器连接，radius服务器和准入客户端可以将接收到的数据发送给准入服务器，然后由准入服务器对接收到的数据进行进一步地处理。具体地，准入服务器可以通过接收radius服务器发送的访问账户信息和mac地址，来完成上述合法性认证和访问权限查询的过程。
70.s102：在所述访问账户信息认证通过且在映射关系表中未查找到与所述入网mac地址具有映射关系的合法设备标识时，针对所述用户设备配置第一访问权限；所述第一访问权限包括所述用户设备向所述服务器上报信息的权限。
71.承接上文，在对用户设备进行合法性认证的过程中，服务器可以根据用户输入的访问账户信息，查询是否存在与用户输入的访问账户信息一致的合法访问账户信息。其中，合法访问账户信息可以是服务器存储的、提供给用户设备的访问账户信息。
72.若存在与用户输入的访问账户信息一致的合法访问账户信息，则说明用户输入的访问账户信息是服务器提供的访问账户信息。在这种情况下，可以确定访问账户信息认证通过。若不存在与用户输入的访问账户信息一致的合法访问账户信息，则说明用户输入的
访问账户信息不是服务器提供的访问账户信息。在这种情况下，可以确定访问账户信息认证不通过。
73.在查询访问权限的过程中，服务器可以根据网络准入请求中包含的入网mac地址，在映射关系表中查询是否存储有该入网mac地址具有映射关系的合法设备标识。其中，合法设备标识可以是在历史入网过程中，安装在用户设备上的准入客户端根据获取到的用户设备的(例如硬件名称、硬件型号等信息)和设备软件信息(例如操作系统、系统版本等信息)等生成的设备标识。通过合法设备标识可以用于对用户设备进行识别和追踪。
74.若存在入网mac地址具有映射关系的合法设备标识，则说明在用户设备历史入网的过程中，对该入网mac地址和合法设备标识进行过关联。因此，通过查询到的合法设备标识，可以识别出用户设备，并且确定出用户设备的访问权限。在用户设备历史入网的过程中，如果是使用设备mac地址与合法设备标识进行关联的，并且此次使用的还是设备mac地址，则可以在本次查询过程中，找到与设备mac地址具有映射关系的合法设备标识。
75.若不存在该入网mac地址具有映射关系的合法设备标识，可能有两种原因：第一种原因，用户设备上还未安装准入客户端，也就是该用户设备是首次入网，映射关系表中还未存储有合法设备标识；第二种原因，用户设备中安装有准入客户端，用户设备在历史入网过程中，是使用设备mac地址与准入客户端生成的合法设备标识进行关联的，但是在此次使用的是随机mac地址，因此，本次无法找到与随机mac地址具有映射关系的合法设备标识。
76.针对上述不存在入网mac地址具有映射关系的合法设备标识的情况，可以先为用户设备配置第一访问权限。用户设备可以利用第一访问权限进行权限级别较低的访问行为，例如可以向服务器上报信息。在具体实施中，可以向服务器上报设备标识、互联网协议地址(internet protocol address，ip地址)等信息。
77.针对上述第一种原因，由于用户设备中还未安装准入客户端，无法生成并向服务器发送与访问账户信息匹配的合法设备标识，也就无法在服务器中存储mac地址与合法设备标识的映射关系。因此在这种情况下，可以提示用户设备安装准入客户端。
78.在一种实施方式中，在针对用户设备配置第一访问权限之后，服务器可以通过是否在预设时间段内接收到用户设备通过准入客户端上报的待认证设备标识，来判断用户设备中是否安装了准入客户端。其中，待认证设备标识是用于在计费阶段，与获取的入网mac地址进行关联的设备标识。如果在预设时间段内接收到了用户设备通过准入客户端上报的待认证设备标识，说明用户设备上安装了准入客户端，则可以直接将上报的待认证设备标识与获取的入网mac地址进行关联。若在预设时间段内未接收到用户设备通过准入客户端上报的待认证设备标识，则向用户设备发送安装准入客户端的第一提示信息，以提示用户设备尽快安装准入客户端。
79.针对上述第二种原因，由于用户设备中安装有准入客户端，则在计费阶段执行s103～s104的步骤。
80.s103：获取所述用户设备基于所述第一访问权限上报的互联网协议ip地址和待认证设备标识，以及获取所述网络接入设备在计费启动请求中携带的入网mac地址和ip地址。
81.在该步骤中，互联网协议ip地址和待认证设备标识可以是用户设备在入网时准入客户端上报的。计费启动请求中携带的入网mac地址可以是用户设备启动的随机mac地址，也可以是用户设备的设备mac地址。
82.由于准入客户端获取的是用户设备的设备mac地址，在一种实施方式中，服务器可以判断是否接收到用户设备基于第一访问权限上报的mac地址，也就是判断是否接收到准入客户端上报的设备mac地址。当用户设备未启用随机mac地址的情况下，则准入客户端可以获取到设备mac地址，此时，服务器可以接收到由准入客户端设备发送的设备mac地址和待认证设备标识。若确定接收到用户设备基于第一访问权限上报的设备mac地址，服务器可以基于用户设备基于第一访问权限上报的待认证设备标识和设备mac地址，在映射关系表中存储待认证设备标识和设备mac地址之间的映射关系。
83.当用户设备启用随机mac地址，或限制采集设备mac地址的情况下，准入客户端则无法获取到用户设备的设备mac地址，服务器也就无法接收到准入客户端发送的设备mac地址。若未接收到用户设备基于第一访问权限上报的设备mac地址，则执行如s104的步骤。
84.s104：在所述用户设备上报的ip地址和所述网络接入设备在计费启动请求中携带的ip地址一致时，在所述映射关系表中存储所述待认证设备标识与所述入网mac地址之间的映射关系，所述映射关系用于所述用户设备再次基于所述入网mac地址发起网络准入请求时，针对所述用户设备配置第二访问权限；所述第二访问权限的权限级别高于所述第一访问权限的权限级别。
85.由于未接收到用户设备上报的设备mac地址，只接收到用户设备上报的待认证设备标识，因此，可以在用户设备上报的ip地址和网络接入设备在计费启动请求中携带的ip地址一致时，将用户设备上报的待认证设备标识和网络接入设备发送的入网mac地址进行关联，也就是在映射关系表中存储待认证设备标识与入网mac地址之间的映射关系。这里需要说明的是，如果入网mac地址是设备mac地址，则存储的是待认证设备标识与设备mac地址之间的映射关系；如果入网mac地址是随机mac地址，则存储的是待认证设备标识与随机mac地址之间的映射关系。由于一般情况下，在网络接入设备不变的情况下，随机mac地址也不会发生变化，因此在存储待认证设备标识与随机mac地址之间的映射关系之后，用户设备再次入网时，是可以根据存储的待认证设备标识与随机mac地址之间的映射关系，以及通过网络接入设备发送的网络准入请求，查询出对应的设备标识的。
86.为了防止ip地址发生冲突的情况，在一些可行的实施方式中，可以根据访问用户名和ip地址进行结合的方式，确定待认证设备标识为合法设备标识，或根据网络接入设备和ip地址结合的方式，确定待认证设备标识为合法设备标识，从而减少冲突。
87.具体地，在一种实施方式中，可以获取用户设备基于第一访问权限上报的访问用户名，以及获取网络接入设备在计费启动请求中携带的访问用户名。然后在用户设备上报的ip地址和网络接入设备在计费启动请求中携带的ip地址一致，且用户设备基于第一访问权限上报的访问用户名与网络接入设备在计费启动请求中携带的访问用户名一致时，在映射关系表中存储待认证设备标识与入网mac地址之间的映射关系。
88.其中，用户设备基于第一访问权限上报的访问用户名可以是用户在准入客户端输入的访问账户信息中包含的访问用户名。用户设备通过准入客户端将访问用户名上报给服务器。网络接入设备在计费启动请求中携带的访问用户名可以是通过网络接入设备发送到服务器的。
89.如果用户设备基于第一访问权限上报的访问用户名与网络接入设备在计费启动请求中携带的访问用户名一致，并且用户设备上报的ip地址和网络接入设备在计费启动请
求中携带的ip地址一致，可以在映射关系表中存储待认证设备标识与入网mac地址之间的映射关系。
90.在一种实施方式中，可以获取用户设备基于第一访问权限上报的网络接入设备标识，以及获取网络接入设备在计费启动请求中携带的网络接入设备标识。然后，在用户设备上报的ip地址和网络接入设备在计费启动请求中携带的ip地址一致，且用户设备基于第一访问权限上报的网络接入设备标识与网络接入设备在计费启动请求中携带的网络接入设备标识一致时，在映射关系表中存储待认证设备标识与入网mac地址之间的映射关系。
91.其中，用户设备基于第一访问权限上报的网络接入设备标识可以是用户设备通过准入客户端上报的。用户设备基于第一访问权限上报的网络接入设备标识与网络接入设备在计费启动请求中携带的网络接入设备标识可以为网络接入设备的名称等标识信息。
92.如果用户设备基于第一访问权限上报的网络接入设备标识与网络接入设备在计费启动请求中携带的网络接入设备标识一致，并且用户设备上报的ip地址和网络接入设备在计费启动请求中携带的ip地址一致，则可以在映射关系表中存储待认证设备标识与入网mac地址之间的映射关系。
93.在存储待认证设备标识与入网mac地址之间的映射关系之后，在一种实施方式中，还可以向用户设备发送重新认证的第二提示信息；然后在获取到用户设备针对第二提示信息重新发送的网络准入请求后，在确定访问账户信息认证通过且存储有与入网mac地址匹配的合法设备标识的情况下，基于入网mac地址，针对用户设备配置第二访问权限。这里，可以基于radius协议中的更改用户授权(change of authorization，coa)能力修改用户设备的访问权限。修改后的第二访问权限可以是高于第一访问权限的。
94.如图2所示，为本公开实施例提供的另一种网络准入控制方法的流程图，应用于用户设备，包括：
95.s201：通过网络接入设备向服务器发送网络准入请求；所述网络准入请求中包含所述用户设备的访问账户信息以及所述用户设备的入网媒体接入控制mac地址；所述访问账户信息用于所述服务器对所述用户设备进行合法性认证；所述入网mac地址用于所述服务器判断映射关系表中是否存储有与所述入网mac地址具有映射关系的合法设备标识。
96.s202：基于所述服务器配置的第一访问权限，向所述服务器上报互联网协议ip地址和待认证设备标识，以使所述服务器在获取到所述网络接入设备在计费启动请求中携带的入网mac地址和ip地址后，并且在所述上报的ip地址和所述网络接入设备在计费启动请求中携带的ip地址一致时，在所述映射关系表中存储所述待认证设备标识与所述入网mac地址之间的映射关系；其中，所述第一访问权限是所述服务器在确定所述访问账户信息认证通过且在所述映射关系表中未查找到与所述入网mac地址具有映射关系的合法设备标识的反馈结果的情况下，针对所述用户设备配置的；所述映射关系用于在所述用户设备再次基于所述入网mac地址发起网络准入请求时，所述服务器针对所述用户设备配置第二访问权限；所述第二访问权限的权限级别高于所述第一访问权限的权限级别。
97.在s201中，用户设备可以将基于访问账户信息以及用户设备的入网媒体接入控制mac地址生成的网络准入请求发送到网络接入设备，网络接入设备再将网络准入请求发送到服务器。用户设备的入网mac地址可以为设备mac地址或随机mac地址。其中，设备mac地址，即网络设备制造商生产时写在用户设备内部的mac地址；随机mac地址，即用户设备随机
生成的mac地址。当用户设备未启用随机mac地址的时候，则网络准入请求中的入网mac地址为设备mac地址，当用户设备启用随机mac地址的时候，则网络准入请求中的入网mac地址为随机mac地址。
98.用户设备中可以安装有准入客户端，访问账户请求可以是用户输入到准入客户端中的访问账户信息。准入客户端可以是服务器提供给用户设备的。准入客户端通过获取用户设备的设备mac地址、根据用户设备的软硬件信息生成设备标识，通过将设备mac地址、设备标识等信息发送到服务器，可以用于实现对用户设备的网络准入控制。
99.用户输入到准入客户端中的访问账户信息可能是服务器提供给用户设备，用于登录准入客户端的访问账户信息，也可能是用户随意输入的。
100.用户设备将网络准入请求发送到服务器之后，服务器可以根据访问账户信息对用户设备进行合法性认证，以及根据入网mac地址判断映射关系表中是否存储有与入网mac地址具有映射关系的合法设备标识。上述过程可以参照图1所示的网络准入控制方法中s101～s102的过程，这里不再赘述。
101.在s202中，在服务器确定访问账户信息认证通过且在映射关系表中未查找到与入网mac地址具有映射关系的合法设备标识的反馈结果的情况下，针对用户设备配置第一访问权限之后，可以根据第一访问权限，向服务器上报互联网协议ip地址和待认证设备标识。
102.考虑到在映射关系表中未查找到与入网mac地址具有映射关系的合法设备标识的反馈结果的情况可以有两种原因，第一种是用户设备中未安装准入客户端，也就是该用户设备是首次入网，服务器中还未存储有合法设备标识；第二种是用户设备中安装有准入客户端，用户设备在历史入网过程中，是使用设备mac地址与准入客户端生成的合法设备标识进行关联的，但是在此次使用的是随机mac地址，因此，本次无法找到与随机mac地址具有映射关系的合法设备标识。
103.针对第一种原因，当用户设备接收到服务器发送的安装准入客户端的第一提示信息后，可以尽快安装准入客户端。针对第二种原因，可以向服务器上报互联网协议ip地址和待认证设备标识，以使服务器在获取到网络接入设备在计费启动请求中携带的入网mac地址和ip地址后，并且在用户设备上报的ip地址和网络接入设备在计费启动请求中携带的ip地址一致后，在映射关系表中存储待认证设备标识与入网mac地址之间的映射关系。其中，服务器获取用户设备上报互联网协议ip地址和待认证设备标识，以及网络接入设备发送携带有入网mac地址和ip地址的计费启动请求的过程，以及在用户设备上报的ip地址和网络接入设备在计费启动请求中携带的ip地址一致时，在映射关系表中存储待认证设备标识与入网mac地址之间的映射关系的过程，可以参照图1所示的网络准入控制方法中s101～s102的过程，这里不再赘述。
104.图3为本公开实施例提供的另一种网络准入控制方法的流程图。如图3所示，用户设备可以将携带有入网mac地址和访问账户信息的网络准入请求发送给网络接入设备。然后，网络接入设备将网络准入请求发送到radius服务器。入网mac地址可以为设备mac地址或随机mac地址。radius服务器可以根据网络准入请求中的访问账户信息在准入服务器的映射关系表中查找是否存储有与访问账户信息一致的访问账户信息，以对用户设备进行合法性认证，以及根据入网mac地址查询是否存储有与入网mac地址具有映射关系的合法设备标识。
105.准入服务器在查询到存储有与访问账户信息一致的访问账户信息的情况下，则可以确定访问账户信息认证通过。并且，准入服务器在查询是否存储有与入网mac地址具有映射关系的合法设备标识的情况下，可以返回用户设备对应的访问权限，在查询未存储有与入网mac地址具有映射关系的合法设备标识的情况下，可以针对用户设备配置第一访问权限。其中，第一访问权限可以包括用户设备向服务器上报信息的权限。第一访问权限可以是权限比较低的权限。
106.其中，当用户设备在历史入网过程中，服务器中存储了由准入客户端发送的合法设备标识与设备mac地址的映射关系。并且，在此次入网过程中，使用的入网mac地址是设备mac地址，那么在此次入网过程中就可以查询到与入网mac地址匹配的合法设备标识。
107.当用户设备中未安装有准入客户端，或在历史入网过程中，服务器中存储了由准入客户端发送的合法设备标识与设备mac地址的映射关系，但是在此次入网过程中，使用的入网mac地址是随机mac地址，那么此次入网过程中就无法查询到与入网mac地址匹配的合法设备标识。
108.准入服务器可以将认证结果和访问权限返回给radius服务器，radius服务器返回给网络接入设备，网络接入设备再返回给用户设备。上述过程为网络准入控制中的认证过程。
109.如果用户设备中未安装有准入客户端，则服务器可以向用户设备发送安装准入客户端的第一提示信息，以提示用户设备安装准入客户端。如果用户设备中安装了准入客户端，并且此次入网过程中，使用的入网mac地址是随机mac地址。那么在计费过程中，网络接入设备可以向radius服务器发送计费启动请求，计费启动请求中可以包含访问账户信息、入网mac地址和ip地址，准入客户端可以基于第一访问权限，向准入服务器上报访问账户信息、设备标识和ip地址。准入服务器可以在确定访问账户信息相同、且ip地址一致的情况下，在映射关系表中存储入网mac地址与设备标识的映射关系，并且修改用户设备的访问权限。在该过程中，准入服务器可以向用户设备发送重新认证的第二提示信息，以使用户设备针对第二提示信息重新发送的网络准入请求后，在确定访问账户信息认证通过且存储有与入网mac地址具有映射关系的合法设备标识的情况下，基于入网mac地址，针对用户设备配置第二访问权限。第二访问权限的权限级别可以是高于第一访问权限的访问权限。
110.本领域技术人员可以理解，在具体实施方式的上述方法中，各步骤的撰写顺序并不意味着严格的执行顺序而对实施过程构成任何限定，各步骤的具体执行顺序应当以其功能和可能的内在逻辑确定。
111.基于同一发明构思，本公开实施例中还提供了与网络准入控制方法对应的网络准入控制装置，由于本公开实施例中的装置解决问题的原理与本公开实施例上述网络准入控制方法相似，因此装置的实施可以参见方法的实施，重复之处不再赘述。
112.参照图4所示，为本公开实施例提供的一种网络准入控制装置的示意图，所述装置包括：第一获取模块401、第一配置模块402、第二获取模块403、第一存储模块404；其中，
113.第一获取模块401，用于获取用户设备通过网络接入设备发送的网络准入请求；所述网络准入请求中包含所述用户设备的访问账户信息以及所述用户设备的入网媒体接入控制mac地址；
114.第一配置模块402，用于在所述访问账户信息认证通过且在映射关系表中未查找
到与所述入网mac地址具有映射关系的合法设备标识时，针对所述用户设备配置第一访问权限；所述第一访问权限包括所述用户设备向所述服务器上报信息的权限；
115.第二获取模块403，用于获取所述用户设备基于所述第一访问权限上报的互联网协议ip地址和待认证设备标识，以及获取所述网络接入设备在计费启动请求中携带的入网mac地址和ip地址；
116.第一存储模块404，在所述用户设备上报的ip地址和所述网络接入设备在计费启动请求中携带的ip地址一致时，在所述映射关系表中存储所述待认证设备标识与所述入网mac地址之间的映射关系，所述映射关系用于所述用户设备再次基于所述入网mac地址发起网络准入请求时，针对所述用户设备配置第二访问权限；所述第二访问权限的权限级别高于所述第一访问权限的权限级别。
117.一种可行的实施方式中，所述装置还包括：
118.判断模块，用于判断是否接收到所述用户设备基于所述第一访问权限上报的设备mac地址；
119.第一存储模块404，具体用于：
120.若未接收到所述用户设备基于所述第一访问权限上报的设备mac地址，则在所述用户设备上报的ip地址和所述网络接入设备在计费启动请求中携带的ip地址一致时，在所述映射关系表中存储所述待认证设备标识与所述入网mac地址之间的映射关系。
121.一种可行的实施方式中，所述装置还包括：
122.第二存储模块，用于若确定接收到所述用户设备基于所述第一访问权限上报的设备mac地址，则基于所述用户设备基于所述第一访问权限上报的所述待认证设备标识和所述设备mac地址，在所述映射关系表中存储所述待认证设备标识和所述设备mac地址之间的映射关系。
123.一种可行的实施方式中，所述用户设备上报的ip地址和待认证设备标识为所述用户设备通过调用准入客户端上报的；
124.所述装置还包括：
125.第一发送模块，用于若在预设时间段内未接收到所述用户设备通过所述准入客户端上报的所述待认证设备标识，则向所述用户设备发送安装所述准入客户端的第一提示信息。
126.一种可行的实施方式中，所述装置还包括：
127.第二发送模块，用于向所述用户设备发送重新认证的第二提示信息；
128.第二配置模块，用于在获取到所述用户设备针对所述第二提示信息重新发送的网络准入请求后，在确定所述访问账户信息认证通过且在映射关系表中查找到与所述入网mac地址具有映射关系的合法设备标识的情况下，基于所述入网mac地址，针对所述用户设备配置第二访问权限。
129.一种可行的实施方式中，所述装置还包括：
130.第三获取模块，用于获取所述用户设备基于所述第一访问权限上报的访问用户名，以及获取所述网络接入设备在所述计费启动请求中携带的访问用户名；
131.第一存储模块404，具体用于：
132.在所述用户设备上报的ip地址和所述网络接入设备在计费启动请求中携带的ip
地址一致，且所述用户设备基于所述第一访问权限上报的访问用户名与所述网络接入设备在所述计费启动请求中携带的访问用户名一致时，在所述映射关系表中存储所述待认证设备标识与所述入网mac地址之间的映射关系。
133.一种可行的实施方式中，所述装置还包括：
134.第四获取模块，用于获取所述用户设备基于所述第一访问权限上报的网络接入设备标识，以及获取所述网络接入设备在所述计费启动请求中携带的网络接入设备标识；
135.第一存储模块404，具体用于：
136.在所述用户设备上报的ip地址和所述网络接入设备在计费启动请求中携带的ip地址一致，且所述用户设备基于所述第一访问权限上报的网络接入设备标识与所述网络接入设备在所述计费启动请求中携带的网络接入设备标识一致时，在所述映射关系表中存储所述待认证设备标识与所述入网mac地址之间的映射关系。
137.参照图5所示，为本公开实施例提供的另一种网络准入控制装置的示意图，所述装置包括：发送模块501、处理模块502；其中，
138.发送模块501，用于通过网络接入设备向服务器发送网络准入请求；所述网络准入请求中包含所述用户设备的访问账户信息以及所述用户设备的入网媒体接入控制mac地址；所述访问账户信息用于所述服务器对所述用户设备进行合法性认证；所述入网mac地址用于所述服务器判断映射关系表中是否存储有与所述入网mac地址具有映射关系的合法设备标识；
139.处理模块502，用于基于所述服务器配置的第一访问权限，向所述服务器上报互联网协议ip地址和待认证设备标识，以使所述服务器在获取到所述网络接入设备在计费启动请求中携带的入网mac地址和ip地址后，并且在所述上报的ip地址和所述网络接入设备在计费启动请求中携带的ip地址一致时，在所述映射关系表中存储所述待认证设备标识与所述入网mac地址之间的映射关系；其中，所述第一访问权限是所述服务器在确定所述访问账户信息认证通过且在所述映射关系表中未查找到与所述入网mac地址具有映射关系的合法设备标识的反馈结果的情况下，针对所述用户设备配置的；所述映射关系用于在所述用户设备再次基于所述入网mac地址发起网络准入请求时，所述服务器针对所述用户设备配置第二访问权限；所述第二访问权限的权限级别高于所述第一访问权限的权限级别。
140.关于装置中的各模块的处理流程、以及各模块之间的交互流程的描述可以参照上述方法实施例中的相关说明，这里不再详述。
141.基于同一技术构思，本公开实施例还提供一种计算机设备。参照图6所示，为本公开实施例提供的计算机设备600的结构示意图，包括处理器601、存储器602、和总线603。其中，存储器602用于存储执行指令，包括内存6021和外部存储器6022；这里的内存6021也称内存储器，用于暂时存放处理器601中的运算数据，以及与硬盘等外部存储器6022交换的数据，处理器601通过内存6021与外部存储器6022进行数据交换，当计算机设备600运行时，处理器601与存储器602之间通过总线603通信，使得处理器601在执行以下指令：
142.获取用户设备通过网络接入设备发送的网络准入请求；所述网络准入请求中包含所述用户设备的访问账户信息以及所述用户设备的入网媒体接入控制mac地址；
143.在所述访问账户信息认证通过且在映射关系表中未查找到与所述入网mac地址具有映射关系的合法设备标识时，针对所述用户设备配置第一访问权限；所述第一访问权限
包括所述用户设备向所述服务器上报信息的权限；
144.获取所述用户设备基于所述第一访问权限上报的互联网协议ip地址和待认证设备标识，以及获取所述网络接入设备在计费启动请求中携带的入网mac地址和ip地址；
145.在所述用户设备上报的ip地址和所述网络接入设备在计费启动请求中携带的ip地址一致时，在所述映射关系表中存储所述待认证设备标识与所述入网mac地址之间的映射关系，所述映射关系用于所述用户设备再次基于所述入网mac地址发起网络准入请求时，针对所述用户设备配置第二访问权限；所述第二访问权限的权限级别高于所述第一访问权限的权限级别。
146.本公开实施例还提供一种计算机设备，包括处理器701、存储器702、和总线703。其中，存储器702用于存储执行指令，包括内存7021和外部存储器7022；这里的内存7021也称内存储器，用于暂时存放处理器701中的运算数据，以及与硬盘等外部存储器7022交换的数据，处理器701通过内存7021与外部存储器7022进行数据交换，当计算机设备700运行时，处理器701与存储器702之间通过总线703通信，使得处理器701在执行以下指令：
147.通过网络接入设备向服务器发送网络准入请求；所述网络准入请求中包含所述用户设备的访问账户信息以及所述用户设备的入网媒体接入控制mac地址；所述访问账户信息用于所述服务器对所述用户设备进行合法性认证；所述入网mac地址用于所述服务器判断映射关系表中是否存储有与所述入网mac地址具有映射关系的合法设备标识；
148.基于所述服务器配置的第一访问权限，向所述服务器上报互联网协议ip地址和待认证设备标识，以使所述服务器在获取到所述网络接入设备在计费启动请求中携带的入网mac地址和ip地址后，并且在所述上报的ip地址和所述网络接入设备在计费启动请求中携带的ip地址一致时，在所述映射关系表中存储所述待认证设备标识与所述入网mac地址之间的映射关系；其中，所述第一访问权限是所述服务器在确定所述访问账户信息认证通过且在所述映射关系表中未查找到与所述入网mac地址具有映射关系的合法设备标识的反馈结果的情况下，针对所述用户设备配置的；所述映射关系用于在所述用户设备再次基于所述入网mac地址发起网络准入请求时，所述服务器针对所述用户设备配置第二访问权限；所述第二访问权限的权限级别高于所述第一访问权限的权限级别。
149.本公开实施例还提供一种计算机可读存储介质，该计算机可读存储介质上存储有计算机程序，该计算机程序被处理器运行时执行上述方法实施例中所述的网络准入控制方法的步骤。其中，该存储介质可以是易失性或非易失的计算机可读取存储介质。
150.本公开实施例还提供一种计算机程序产品，该计算机产品承载有程序代码，所述程序代码包括的指令可用于执行上述方法实施例中所述的网络准入控制方法的步骤，具体可参见上述方法实施例，在此不再赘述。
151.其中，上述计算机程序产品可以具体通过硬件、软件或其结合的方式实现。在一个可选实施例中，所述计算机程序产品具体体现为计算机存储介质，在另一个可选实施例中，计算机程序产品具体体现为软件产品，例如软件开发包(software development kit，sdk)等等。
152.所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统和装置的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。在本公开所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。以
上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，又例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。
153.所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
154.另外，在本公开各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。
155.所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解，本公开的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本公开各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(read-only memory，rom)、随机存取存储器(random access memory，ram)、磁碟或者光盘等各种可以存储程序代码的介质。
156.最后应说明的是：以上所述实施例，仅为本公开的具体实施方式，用以说明本公开的技术方案，而非对其限制，本公开的保护范围并不局限于此，尽管参照前述实施例对本公开进行了详细的说明，本领域的普通技术人员应当理解：任何熟悉本技术领域的技术人员在本公开揭露的技术范围内，其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化，或者对其中部分技术特征进行等同替换；而这些修改、变化或者替换，并不使相应技术方案的本质脱离本公开实施例技术方案的精神和范围，都应涵盖在本公开的保护范围之内。因此，本公开的保护范围应以所述权利要求的保护范围为准。