[发明专利]认证方法、系统、客户端和网络设备

说明书

技术领域

本发明实施例涉及认证技术领域，特别涉及一种认证方法、系统、客户 端和网络设备。

背景技术

目前，宽带接入网络通常依据802.1x协议完成客户端的网络接入控制。 基于802.1x协议的认证系统包括：客户端、网络设备和认证服务器。其中， 客户端作为认证过程中的请求者(Supplicant)，可以安装在用户PC中，认 证服务器可以驻留在运营商的计费认证授权中心，网络设备可以作为认证过 程中的认证者(Authenticator)。客户端与网络设备之间运行802.1x定义 的基于局域网的扩展认证(Extensible Authentication Protocol over LAN， 以下简称：EAPOL)协议，网络设备与认证服务器之间运行远程拨入认证 (Remote Authentication Dial In User Service，以下简称：RADIUS)协 议。客户端接入网络过程中，网络设备通过认证服务器对客户端进行认证， 如果认证成功则允许客户端接入网络，此时客户端可以访问网络资源。并且 根据802.1x协议中规定的客户端的重认证机制，在客户端接入网络后，网络 设备还可以对客户端进行重认证，以获知客户端是否在线。

为避免客户端异常下线时网络设备不能及时探测到客户端下线的问题， 现有技术中通常采用定时重认证方法对客户端进行重认证。网络设备定时向 客户端发送重认证请求，客户端在接收到重认证请求后向网络设备返回响应， 网络设备通过认证服务器对客户端进行认证，从而完成对客户端的重认证过 程。

但是，现有技术中每次对客户端的重认证过程均需要认证服务器的参与， 这导致认证服务器负载过重。

发明内容

本发明实施例提供一种认证方法、系统、客户端和网络设备，用以降低 认证服务器的负载。

本发明实施例提供了一种认证方法，包括：

网络设备当判断出在设置的有效时间内接收到客户端生成并发送的重认 证报文，所述重认证报文包括加密数据，所述加密数据为所述客户端根据预 先生成的第二共享对等密钥对认证数据进行加密处理而生成时，根据预先生 成的所述客户端对应的第一共享对等密钥对所述加密数据进行解密处理获得 解密数据，所述第一共享对等密钥与所述第二共享对等密钥相同；

所述网络设备判断所述解密数据与对比数据是否相符，如果是则重认证 成功；

其中，所述重认证报文包括主动Hello报文，所述认证数据包括主板序 列号摘要信息，所述解密数据包括解密处理获得的主板序列号摘要信息，所 述对比数据包括提取出的密钥交换请求报文中的主板序列号摘要信息；

则所述判断出所述解密数据与对比数据相符包括：判断出所述解密处理 获得的主板序列号摘要信息与所述提取出的密钥交换请求报文中的主板序列 号摘要信息相符；

所述主动Hello报文还包括时间戳，所述认证数据还包括时间戳，所述 解密数据还包括解密处理获得的时间戳，所述对比数据还包括所述主动Hello 报文中的时间戳；

则所述判断出所述解密数据与对比数据相符还包括：判断出所述解密处 理获得的时间戳与所述主动Hello报文中的时间戳相符。

本发明实施例提供了一种网络设备，包括：

第一接收模块，用于接收客户端生成并发送的重认证报文，所述重认证 报文包括加密数据，所述加密数据为所述客户端根据预先生成的第二共享对 等密钥对认证数据进行加密处理而生成；

第一判断模块，用于判断在设置的有效时间内所述第一接收模块是否接 收到客户端生成并发送的重认证报文；

解密模块，用于当所述第一判断模块判断出在设置的有效时间内接收到 客户端生成并发送的重认证报文时，根据预先生成的所述客户端对应的第一 共享对等密钥对所述加密数据进行解密处理获得解密数据，所述第一共享对 等密钥与所述第二共享对等密钥相同；

第二判断模块，用于判断所述解密数据与对比数据是否相符，并当判断 出所述解密数据与对比数据相符时重认证成功；

其中，所述重认证报文包括主动Hello报文，所述认证数据包括主板序 列号摘要信息，所述解密数据包括解密处理获得的主板序列号摘要信息，所 述对比数据包括提取出的密钥交换请求报文中的主板序列号摘要信息；