[发明专利]一种认证方法和设备

说明书

技术领域

本发明涉及通信技术领域，尤其是涉及了一种认证方法和设备。

背景技术

如图1所示，在802.1x认证过程中，认证流程可以包括：1、认证客户端向认证设备发送EAPoL(Extensible Authentication Protocol over LAN，基于局域网的扩展认证协议)-Start(开始)报文，开始802.1x认证接入。2、认证设备向认证客户端发送EAP-Request/Identity(请求/标识)报文，要求认证客户端上报用户名。3、认证客户端回应EAP-Response(响应)/Identity给认证设备，其中包括用户名。4、认证设备将EAP-Response/Identity报文封装到RADIUS(Remote Authentication Dial In User Service，远程用户拨号认证系)Access(获取)-Request报文中，发送给认证服务器。5、认证服务器产生Challenge(挑战)，并向认证设备发送RADIUS Access-Challenge报文，该报文中包含有EAP-Request/MD5-Challenge。6、认证设备发送EAP-Request/MD5-Challenge报文给认证客户端。7、认证客户端在收到EAP-Request/MD5-Challenge报文后，计算Challenged Password(密码)，并通过EAP-Response/MD5-Challenge报文回应给认证设备。8、认证设备将Challenge，Challenged Password和用户名一起发送到认证服务器，由认证服务器进行认证，并回应认证成功报文或者认证失败报文到认证设备。9、如果认证通过，认证设备向认证服务器发送计费开始请求报文，由认证服务器对相应用户进行计费。至此，用户上线完毕。

在上述认证流程中，认证设备只是一个汇聚层设备，即上述认证处理均在一个汇聚层设备上实现。随着用户数目的增加，认证方式的日趋复杂，在通过一个汇聚层设备实现认证处理时，会加重汇聚层设备的处理负担，且容易造成网络认证的瓶颈，并且该汇聚层设备还可能无法完成认证处理。

发明内容

本发明实施例提供一种认证方法，应用于网络中第一认证设备，所述第一认证设备与网络中其它认证设备组成认证聚合组，该方法包括：

所述第一认证设备维护认证能力表，所述认证能力表中记录有认证聚合组中各认证设备的角色，处理能力以及当前处理的认证客户端数目；如果所述第一认证设备的角色为Slave认证设备，则所述第一认证设备在收到认证报文时，从所述认证能力表中查询本认证设备当前处理的认证客户端数目是否达到本认证设备的处理能力；如果未达到，则对所述认证报文进行认证处理；如果达到，则在所述认证报文中添加用于表示所述认证报文当前未进行认证处理的第一标记，将所述认证报文发送给认证聚合组中Master认证设备；如果所述第一认证设备的角色为Master认证设备，则所述第一认证设备在收到携带了第一标记的认证报文时，所述第一认证设备从所述认证能力表中查询到本认证设备当前处理的认证客户端数目未达到本认证设备的处理能力时，对所述认证报文进行认证处理。

所述第一认证设备维护认证能力表的过程，具体包括：

所述第一认证设备将本认证设备到达认证服务器的跳数通知给其它认证设备，并接收来自其它认证设备的所述其它认证设备到达认证服务器的跳数，并利用本认证设备到达认证服务器的跳数和其它认证设备到达认证服务器的跳数，确定本认证设备的角色为Slave认证设备或者Master认证设备；

如果所述第一认证设备的角色为Master认证设备，则所述第一认证设备向认证聚合组中各Slave认证设备发送认证统计请求报文，并接收所述各Slave认证设备返回的认证统计响应报文，所述各认证统计响应报文中分别携带了对应Slave认证设备的处理能力以及当前处理的认证客户端数目；利用所述各Slave认证设备返回的认证统计响应报文维护认证能力表，将所述认证能力表发送给所述各Slave认证设备，由所述各Slave认证设备维护所述认证能力表；

如果所述第一认证设备的角色为Slave认证设备，则所述第一认证设备接收来自认证聚合组中Master认证设备的认证统计请求报文，并向所述Master认证设备返回认证统计响应报文，所述认证统计响应报文中携带了本认证设备的处理能力以及当前处理的认证客户端数目；所述第一认证设备接收并维护来自所述Master认证设备的认证能力表。