专利名称:用户重认证方法及接入控制器的制作方法
技术领域:
本发明涉及通信技术,尤其涉及一种用户重认证方法及接入控制器(AccessController,简称 AC)。
背景技术:
在无线局域网(Wireless Local Area Networks,以下简称WLAN)中,为了加强网络资源的安全控制和运维管理,需要通过用户认证过程对用户的访问进行控制。在802. IX认证体系,用户设备(User Equipment,以下简称UE)作为恳请者,接入点(Access Point,以下简称AP)或AC作为认证者,恳请者向认证者发送认证请求报文,认证者将认证请求报文封装并发送给认证服务器,由认证服务器为恳请者提供认证服务。 由于WLAN采用公共的电磁波为传输媒介,因此,客户端在认证通过后,可能因为射频环境因素(如无线信号太弱、其他信号源干扰、终端节电策略等因素)导致用户无线链路断开,从而使该用户下线,当用户所处位置的无线链路恢复时,需要重新对该用户进行认证,才能访问网络资源。当无线用户端所处的射频条件恶劣时,用户无线链路会频繁地断开和恢复,从而导致用户不断地进行重认证,导致客户端、认证者、认证服务器设备的负担过重,系统开销大,接入效率低。
发明内容
本发明提供一种用户重认证方法及接入控制器,以提高接入效率。本发明提供一种用户重认证方法,包括接入控制器AC根据用户设备UE的下线指令确定所述UE的本次下线原因,当所述下线原因为第一类原因时,缓存所述UE本次认证过程获得的第一主密钥;所述AC获取来自所述UE的关联请求消息;所述AC采用所述第一主密钥与所述UE进行四次握手过程,获得临时密钥。如上所述的方法,其中,所述根据UE的下线报文确定所述UE的本次下线原因包括判断所述UE的下线指令中是否包括UE发送的局域网可扩展的身份验证协议EAPOL登出报文或认证服务器发送的对于所述UE的强制下线报文或所述AC发送的对于所述UE的强制下线命令如果是,确定所述UE的本次下线原因为第二类原因;否则,确定所述UE的本次下线原因为第一类原因。如上所述的方法,其中,当所述下线原因为第一类原因时,还包括所述AC缓存所述UE本次认证过程获得的用户表项;所述AC获取来自所述UE的关联请求消息之后,还包括判断所述UE与所述用户表项是否匹配,如果是,执行所述AC采用所述第一主密钥与所述UE进行四次握手过程的步骤,否则,所述AC为所述UE与所述认证服务器转发协商消息,以使所述AC和所述UE获取第二主密钥,所述AC采用所述第二主密钥与所述UE进行四次握手过程。如上所述的方法,其中,所述缓存所述UE本次认证过程获得的第一主密钥之后,还包括所述AC启动定时器;所述AC判断所述定时器是否到时;如果所述定时器未到时,所述AC判断是否获取到来自所述UE的关联请求消息,如果是,执行所述AC采用所述第一主密钥与所述UE进行四次握手过程的步骤,如果否,返回所述AC判断所述定时器是否到时的步骤;如果所述定时器到时,所述AC删除缓存的所述第一主密钥。
如上所述的方法,其中,所述定时器到时之后,还包括所述AC获取来自所述UE的关联请求消息;所述AC为所述UE与所述认证服务器转发协商消息,以使所述AC和所述UE获取第二主密钥,所述AC采用所述第二主密钥与所述UE进行四次握手过程。如上所述的方法,其中,当所述下线原因为第一类原因时,还包括所述AC缓存所述UE本次认证过程获得的记账数据;所述AC将缓存的所述记账数据周期性地发送给所述认证服务器。本发明提供一种接入控制器AC,包括控制单元,用于根据用户设备UE的下线指令确定所述UE的本次下线原因,当所述下线原因为第一类原因时,控制缓存单元缓存所述UE本次认证过程获得的第一主密钥;所述缓存单元,用于在所述控制单元的控制下缓存所述UE本次认证过程获得的
第一主密钥;获取单元,用于获取来自所述UE的关联请求消息;临时密钥单元,用于采用所述第一主密钥与所述UE进行四次握手过程,获得临时密钥。如上所述的AC,其中,所述控制单元具体用于判断所述UE的下线指令中是否包括UE发送的局域网可扩展的身份验证协议EAPOL登出报文或认证服务器发送的对于所述UE的强制下线报文或所述AC发送的对于所述UE的强制下线命令;如果是,确定所述UE的本次下线原因为第二类原因;否则,确定所述UE的本次下线原因为第一类原因。如上所述的AC,其中,还包括主密钥单元;所述控制单元还用于当所述下线原因为第一类原因时,控制所述缓存单元缓存所述UE本次认证过程获得的用户表项;并用于判断所述UE与所述用户表项是否匹配,如果是,控制所述临时密钥单元采用所述第一主密钥与所述UE进行四次握手过程,否则,控制所述主密钥单元为所述UE与所述认证服务器转发协商消息,以使所述主密钥单元和所述UE获取第二主密钥,并控制所述临时密钥单元采用所述第二主密钥与所述UE进行四次握手过程;所述主密钥单元用于在所述控制单元的控制下,为所述UE与所述认证服务器转发协商消息,以使所述主密钥单元和所述UE获取第二主密钥,所述缓存单元还用于在所述控制单元的控制下缓存所述UE本次认证过程获得的用户表项。
如上所述的AC,其中,所述控制单元还用于在缓存所述UE本次认证过程获得的第一主密钥之后启动定时器,判断所述定时器是否到时,如果所述定时器未到时,判断是否获取到来自所述UE的关联请求消息,如果是,控制所述临时密钥单元采用所述第一主密钥与所述UE进行四次握手过程的步骤,如果否,继续判断所述定时器是否到时,如果所述定时器到时,控制所述缓存单元删除缓存的所述第一主密钥。如上所述的AC,其中,所述控制单元还用于在所述定时器到时之后获取来自所述UE的关联请求消息时,控制所述主密钥单元为所述UE与所述认证服务器转发协商消息,以使所述主密钥单元和所述UE获取第二主密钥,并控制所述临时密钥单元采用所述第二主密钥与所述UE进行四次握手过程。如上所述的AC,其中,还包括发送单元;控制单元还用于当所述下线原因为第一类原因时,控制缓存单元缓存所述UE本次认证过程获得的记账数据所述控制单元还用于控制所述发送单元将缓存的所述记账数 据周期性地发送给所述认证服务器;所述缓存单元还用于在所述控制单元的控制下缓存所述UE本次认证过程获得的记账数据;所述发送单元用于在所述控制单元的控制下将缓存的所述记账数据周期性地发送给所述认证服务器。本发明提供的用户重认证方法及接入控制器,通过AC根据UE的下线报文确定本次下线原因,当本次下线原因是第一类原因时,缓存UE本次认证过程获得的第一主密钥,当AC获取来自UE的关联请求消息后,采用第一主密钥与UE进行四次握手过程,获得临时密钥,完成了重认证的过程,由于AC采用缓存UE本次认证过程的第一主密钥进行四次握手协商临时密钥,节省了第一主密钥的协商过程,简化了认证过程,缩短了认证时间,解决了客户端、认证者、认证服务器设备的频繁重认证过程负担过重,系统开销大,接入效率低的问题。
图I为本发明实施例一的用户重认证方法流程示意图;图2为本发明实施例二的用户重认证方法流程示意图;图3为本发明实施例三的用户重认证方法流程示意图;图4为本发明实施例四的用户重认证方法流程示意图;图5为本发明实施例五的用户重认证方法流程示意图;图6为本发明实施例六的AC的结构示意图;图7为本发明实施例七的AC的结构示意图;图8为本发明实施例八的AC的结构示意图。
具体实施例方式为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。图I为本发明实施例一的用户重认证方法流程示意图,如图I所示,该方法包括步骤101 :AC根据UE的下线指令确定UE的本次下线原因,当下线原因为第一类原因时,缓存UE本次认证过程获得的第一主密钥。具体地,在实际应用中,UE下线的原因很多,用户可能会因为不需要再访问网络资源而主动使UE下线,也可能因为射频环境因素(如无线信号太弱、其他信号源干扰、终端节电策略等因素)导致UE发出解除无线链路的报文而下线,或者被AC、服务器强制下线,然后AC根据收到的UE的下线报文确定UE的本次下线原因,当下线原因为第一类原因时,上述第一类原因为用户可能在短时间内发起重认证的下线原因,缓存UE本次认证过程获得的第一主密钥。步骤102 AC获取来自UE的关联请求消息。
步骤103 :AC采用第一主密钥与UE进行四次握手过程,获得临时密钥。具体地,AC获取来自UE的关联请求消息,采用缓存的第一主密钥与UE进行四次握手过程,获得临时密钥,上述临时密钥用于在AC与UE之间的空口数据加密。本实施例,通过AC根据UE的下线指令确定本次下线原因,当本次下线原因是第一类原因时,缓存UE本次认证过程获得的第一主密钥,当AC获取来自UE的关联请求消息后,采用第一主密钥与UE进行四次握手过程,获得临时密钥,完成了重认证的过程,由于AC采用缓存UE本次认证过程的第一主密钥进行四次握手协商临时密钥,节省了第一主密钥的协商过程,简化了认证过程,缩短了认证时间,解决了客户端、认证者、认证服务器设备的频繁重认证过程负担过重,系统开销大,接入效率低的问题。图2为本发明实施例二的用户重认证方法流程示意图,如图2所示,该方法包括步骤200 UE初次认证后下线。具体包括第一步关联阶段,UE向AC发送关联请求消息,完成无线链路的建立,使UE关联上AC。第二步主密钥协商阶段,AC为UE与认证服务器转发协商消息,以使AC和UE获
取第一主密钥。第三步临时密钥协商阶段,AC采用第一主密钥与UE进行四次握手,获得临时密钥,并存储第一主密钥、用户表项、记账数据等信息。初次认证完成,用户通过动态主机控制协议获取到网络协议(Internet Protocol,以下简称IP)地址后就可以访问网络资源进行通信。第四步,UE下线。UE下线的原因很多,当用户因为不需要再访问网络资源或者其他原因而主动使UE下线,UE发送局域网可扩展的身份验证协议(Extensible Authentication Protocolover LAN,简称EAP0L)登出报文(EAPoL-Iogoff报文),请求解除网络授权。或者AC通过设置一些策略,如低流量检测,检测到一段时间内用户流量低于阈值时,强制将用户下线,上述阈值为AC设置的用户实际访问网络资源的流量最小值;或者AC通过CLI命令强制删除用户。或者因为无线射频环境恶劣或其他原因,无法继续维持无线链路,导致用户下线。步骤201 AC判断UE的下线指令中是否包括UE发送的EAPoL-Iogoff报文或认证服务器发送的对于UE的强制下线报文或AC发送的对于UE的强制下线命令;如果是,执行步骤202,如果否,执行步骤203。步骤202 :AC确定UE的本次下线原因为第二类原因。具体地,当UE的下线指令中包含上述UE发送的EAPoL-Iogoff报文或认证服务器发送的对于UE的强制下线报文或AC发送的对于UE的强制下线命令时,AC发送的对于UE的强制下线命令可以为命令行界面CLI (Command Line Interface)命令,确定UE本次下线原因为第二类原因。步骤203 :AC确定UE的本次下线原因为第一类原因。具体地,当UE的下线指令中包含上述UE发送的EAPoL-Iogoff报文或认证服务器发送的对于UE的强制下线报文或AC发送的对于UE的强制下线命令时,确定UE本次下线原因为第二类原因,当接收到除以上第二类原因之外的所有UE下线报文都确定UE本次下线原因为第一类原因,即因为第一类原因下线的用户可能在短时间内发起重认证。 当确定UE本次下线原因为第一类原因之后,执行步骤204。步骤204 AC缓存UE本次认证过程获得的第一主密钥。在本步骤中,AC缓存UE本次认证过程获得的第一主密钥,进一步地,AC还可以缓存UE本次认证过程获得的用户表项。具体地,用户表项至少包括用户身份(Identity,以下简称ID)、用户名、用户介质访问控制(Media Access Control,以下简称MAC)地址信
肩、O对于因为第一类原因下线的UE,在下线后,在短时间内会再次发起认证,即向AC发起关联请求消息。步骤205 AC获取来自UE的关联请求消息,执行步骤206。本步骤即为图I所示实施例的步骤102。步骤206 :AC判断UE与用户表项是否匹配,如果否,执行步骤207 ;如果是,执行步骤 208。具体地,当AC获取来自UE的关联请求消息之后,首先判断该UE与AC缓存的用户表项是否匹配,因为,关联请求消息可能来自一个新UE,也可能来自因第一类原因下线后重新发起关联的UE,所用判断方法为判断UE与AC缓存的用户表项是否匹配,更具体地为用户ID、用户名、用户MAC地址信息是否匹配。步骤207 AC为UE与认证服务器转发协商消息,以使AC和UE获取第二主密钥,AC采用第二主密钥与UE进行四次握手过程。具体地,当UE与缓存的UE本次认证过程获得的用户表项不匹配时,则说明UE为一新用户,AC为UE与认证服务器转发协商消息,以使AC和UE获取第二主密钥,AC采用获得的第二主密钥与UE进行四次握手过程,获得临时密钥,完成用户认证。步骤208 AC采用第一主密钥与UE进行四次握手过程的步骤。具体地,当UE与用户表项匹配时,则说明UE为重关联用户,AC采用缓存的第一主密钥与UE进行四次握手过程的步骤,获取临时密钥。本步骤即图I所示实施例的步骤103。本实施例中,通过判断UE的下线指令中是否包含UE发送的EAPoL-Iogoff报文或认证服务器发送的对于UE的强制下线报文,确定UE的下线原因是否为第一类原因,为UE是否缓存本次认证过程获得的第一主密钥提供依据。在确定UE的下线原因为第一类原因之后,除了缓存UE本次认证过程获得的第一主密钥,还缓存UE本次认证过程获得的用户表项,当AC获取到来自UE的关联请求消息之后,根据UE与用户表项是否匹配,判断发送关联请求消息的用户是否为重关联用户;如果是,AC采用第一主密钥与UE进行四次握手过程,获得临时密钥,完成认证;如果否,AC为UE与认证服务器转发协商消息,以使AC和UE获取第二主密钥,AC采用第二主密钥与UE进行四次握手过程,获得临时密钥,完成认证。由于增加了缓存UE本次认证过程获得的用户表项,当AC获取到来自UE的关联请求消息之后,根据UE与用户表项是否匹配,判断是否采用第一主密钥与UE进行四次握手过程,避免了当用户是一个新用户时,采用第一主密钥进行四次握手过程,进行无效的认证。图3为本发明实施例三的用户重认证方法流程示意图,如图3所示,在图I或图2所示实施例缓存UE本次认证过程获得的第一主密钥之后,进一步地,还包括步骤301 :AC启动定时器。当判断下线原因为第一类原因时,缓存UE本次认证过程获得的第一主密钥,并启 动定时器开始计时。步骤302 :AC判断定时器是否到时。若未到时,执行步骤303,若到时,执行步骤305。定时器的时间设置根据实际应用的环境中的射频条件进行评估设置,推荐默认的时间为5分钟。也可根据射频条件的变化,阶段性的设置定时器时间,例如,在一定时期内,射频条件发生变化,经过评估,确定将定时器时间缩短为4分钟较好,则可通过CLI命令将定时器时间配置成4分钟;或者,在一定时期内,射频条件发生变化,经过评估,确定将定时器时间延长为8分钟较好,则可通过CLI命令将定时器时间配置成8分钟。步骤303 :AC判断是否获取到来自UE的关联请求消息,如果是,执行步骤304,如果否返回执行步骤302。步骤304 AC采用第一主密钥与UE进行四次握手过程。具体地,在AC判断定时器未到时时,可采用缓存的UE本次认证过程获得的第一主密钥,进行四次握手过程,获取临时密钥,完成认证。本步骤304即图I所示实施例中的步骤103或图2所示实施例中的步骤208。步骤305 :如果定时器到时,AC删除缓存的第一主密钥。具体地,如果定时器到时,未获取到来自UE的关联请求消息,则删除缓存的第一主密钥,关闭上网通道,UE下线。步骤306 :在定时器到时之后,AC获取到来自UE的关联请求消息,则执行步骤307。步骤307 AC为UE与认证服务器转发协商消息,以使AC和UE获取第二主密钥,AC采用第二主密钥与UE进行四次握手过程。步骤307所执行的步骤,即在定时器超时之后,若AC获取到来自UE的关联请求消息,则进行完整的认证过程,本步骤307即图I所示步骤200的第二步与第三步所执行的操作。本实施例中,通过在缓存UE本次认证过程获得的第一主密钥之后,AC启动定时器,在定时器未到时之前,通过判断是否获取到来自UE的关联请求消息,如果是,AC则采用第一主密钥与UE进行四次握手,获得临时密钥,完成认证过程,如果否,则继续判断定时器是否到时,如果到时,AC则删除缓存的UE本次认证过程获得的第一主密钥,关闭上网通道,将UE下线,减轻AC负担。图4为本发明实施例四的用户重认证方法流程示意图,图4是在图I或图2所示方法实施例确定下线原因为第一类原因之后,还包括步骤401 :AC缓存UE本次认证过程获得的记账数据;AC将缓存的记账数据周期性地发送给认证服务器。具体地,当AC判断出UE下线原因为第一类原因时,AC缓存UE本次认证过程获得的记账数据,记账数据包括UE在线时长和流量信息等。AC停止对记账数据的统计,并将记账数据周期性地发送给认证服务器。步骤402 AC采用第一主密钥与UE进行四次握手过程之后,还包括AC在记账数据的基础上继续统计记账数据。
具体地,当AC获取到UE的关联请求消息后,采用缓存的第一主密钥与UE进行四次握手,获得临时密钥,完成认证,即图I所示实施例的步骤103或图2所示实施例的步骤208之后,在发送给认证服务器的记账数据的基础上继续统计记账数据在上述实施例中,通过缓存UE本次认证过程获得的记账数据,并将记账数据周期性地发送给认证服务器,便于认证服务器对UE记账数据的管理,在获取到UE发送的关联请求消息之前,AC停止对记账数据的统计,确保在获取到UE发送的关联请求消息之前,没有新的费用产生,当AC采用第一主密钥与UE进行四次握手过程之后,在记账数据的基础上继续统计记账数据,确保了计费的精确问题。图5为本发明实施例五的用户重认证方法流程示意图,图5所示实施例是在上述各方法实施例的基础上,结合各实施例的方案,具体地步骤500 UE初次认证后下线。步骤501 AC接收到UE的下线指令。步骤502 :AC判断下线原因是否为第一类原因,若否,执行步骤503,若是,执行步骤 504。步骤503 :AC停止记账数据统计,关闭上网通道,用户下线。步骤504 AC缓存UE本次认证过程获得的用户相关信息,同时启动定时器。更具体地,用户相关信息包括第一主密钥、用户表项和记账数据。用户表项至少包括用户ID,用户名,用户MAC地址。需要说明的是,在步骤504之后,AC停止对记账数据的统计,并将记账数据周期性地发送给所述认证服务器。步骤505 :AC判断定时器是否到时。如果是,执行步骤506,如果否,执行步骤507。步骤506 :AC删除缓存的UE本次认证过程中的用户相关信息。更具体地,用户相关信息包括第一主密钥、用户表项和记账数据;删除缓存的UE本次认证过程中的用户相关信息之后,计费停止,关闭上网通道,用户下线。步骤507 :AC判断是否获取到来自UE的关联请求消息,如果否,返回执行步骤505,如果是,执行步骤508。步骤508 :AC判断发送关联请求消息的UE与用户表项是否匹配,如果否,执行步骤509,如果是,执行步骤510。
更具体地,判断发送关联请求消息的UE与用户表项是否匹配,更详细的是判断发送关联请求消息的UE的用户ID、用户名、用户MAC地址是否在缓存的用户表项中存在,如果否,则说明发送关联请求消息的UE是一个新的用户,执行步骤509。如果是,则说明发送关联请求消息的UE为重认证用户,执行步骤510。步骤509 AC为UE与认证服务器转发协商消息,以使AC和UE获取第二主密钥,AC采用第二主密钥与UE进行四次握手。步骤510 :AC采用第一主密钥与UE进行四次握手。更具体地,AC采用第一主密钥与UE进行四次握手,获得临时密钥,完成认证,删除缓存的用户相关信息,生成新的用户相关信息,并在向认证服务器发送的记账数据的基础上继续统计记账数据,并周期性地向认证服务器发送记账数据,便于认证服务器对记账数
据的管理。
步骤511 :AC判断四次握手是否成功,如果是,元成认证,执彳丁步骤512,如果否,则返回执行步骤509。步骤512 AC允许UE访问网络资源。本实施例,通过对上述各实施例的结合,在判断下线原因是第一类原因后,缓存用户相关信息,采用第一主密钥进行四次握手,获得临时密钥,完成认证,节省了第一主密钥的协商过程,简化了认证过程,缩短了认证时间,解决了因频繁重认证过程导致客户端、认证者、认证服务器负担过重,系统开销大,接入效率低的问题。同时,采用定时器判断在定时器到时之前,是否获取到UE的关联请求消息,如果是,AC则采用第一主密钥与UE进行四次握手,获得临时密钥,完成认证过程,如果否,AC则删除缓存的第一主密钥,关闭上网通道,将UE下线,减轻AC负担。通过缓存的用户表项信息,判断发送关联请求消息的UE是否为新的用户,提高重认证的可靠性,通过缓存UE本次认证过程获得的记账数据,周期性的向认证服务器发送记账数据,便于认证服务器对UE记账数据的管理,在获取到UE发送的关联请求消息之前,AC停止对记账数据的统计,确保在获取到UE发送的关联请求消息之前,没有新的费用产生,当AC采用第一主密钥与UE进行四次握手过程之后,在记账数据的基础上继续统计记账数据,确保了计费的精确问题。值得说明的是,在上述各方法实施例中,AC所执行的步骤也可由AP代替AC来执行,AP与UE和认证服务器之间的交互过程与AC与UE和认证服务器相同,此处不再赘述。图6为本发明实施例六的AC的结构示意图;如图6所示,本实施例的AC可以包括控制单元61、缓存单元62、获取单元63,临时密钥单元64,其中,控制单元61,用于根据用户设备UE的下线指令确定UE的本次下线原因,当下线原因为第一类原因时,控制缓存单元62缓存UE本次认证过程获得的第一主密钥;缓存单元62,用于在控制单元61的控制下缓存UE本次认证过程获得的第一主密钥;获取单元63,用于获取来自UE的关联请求消息;临时密钥单元64,用于采用第一主密钥与UE进行四次握手过程,获得临时密钥。本实施例的AC中的各单元,其对应地,可执行图I所示的重认证方法实施例的技术方案,其实现原理和执行方式可参见图I所示的重认证方法实施例,此处不再赘述。在本实施例中,通过控制单元根据UE的下线指令确定本次下线原因,当本次下线原因是第一类原因时,控制缓存单元缓存UE本次认证过程获得的第一主密钥,当获取单元获取来自UE的关联请求消息后,临时密钥单元采用第一主密钥与UE进行四次握手过程,获得临时密钥,完成了重认证的过程,由于在重认证过程中临时密钥单元采用缓存UE本次认证过程的第一主密钥进行四次握手协商临时密钥,节省了第一主密钥的协商过程,简化了认证过程,缩短了认证时间,解决了客户端、认证者、认证服务器设备的频繁重认证过程负担过重,系统开销大,接入效率低的问题。图7为本发明实施例七的AC的结构示意图;在图6所示AC的实施例一的结构的基础上,进一步地,还包括主密钥单元65,如图7所示,控制单元61具体用于判断UE的下线指令中是否包括UE发送的局域网可扩展的身份验证协议EAPOL登出报文或认证服务器发送的对于UE的强制下线报文或AC发送的对于UE的强制下线命令;如果是,确定UE的本次下线原因为第二类原因;否则,确定UE的本次下线原因为第一类原因。控制单元61还用于当下线原因为第一类原因时,控制缓存单元62缓存UE本次认证过程获得的用户表项;并用于判断UE与用户表项是否匹配,如果是,控制临时密钥单元64采用第一主密钥与UE进行四次握手过程,否则,控制主密钥单元65为UE与认证服务器转发协商消息,以使主密钥单元65和UE获取第二主密钥,并控制临时密钥单元64采用第二主密钥与UE进行四次握手过程。 主密钥单元65用于在控制单元的控制下,为UE与认证服务器转发协商消息,以使主密钥单元65和UE获取第二主密钥,缓存单元62还用于在控制单元61的控制下缓存UE本次认证过程获得的用户表项。本实施例的AC中的各单元,其对应地,可执行图2所示的重认证方法实施例的技术方案,其实现原理和执行方式可参见图2所示的重认证方法实施例,此处不再赘述。在本实施例中,通过控制单元判断UE的下线指令中是否包含UE发送的EAPoL-Iogoff报文或认证服务器发送的对于UE的强制下线报文或AC发送的对于UE的强制下线命令,确定UE的下线原因是否为第一类原因,为缓存单元是否缓存UE本次认证过程获得的第一主密钥提供依据。在控制单元确定UE的下线原因为第一类原因之后,缓存单元除了缓存UE本次认证过程获得的第一主密钥,还缓存UE本次认证过程获得的用户表项,获取单元获取到来自UE的关联请求消息之后,控制单元根据UE与用户表项是否匹配,判断发送关联请求消息的用户是否为重关联用户;如果是,控制临时密钥单元采用第一主密钥与UE进行四次握手过程,获得临时密钥,完成认证;如果否,控制单元控制主密钥单元为UE与认证服务器转发协商消息,以使主密钥单元和UE获取第二主密钥,控制单元并控制临时密钥单元采用第二主密钥与UE进行四次握手过程,获得临时密钥,完成认证。由于缓存单元在控制单元确定用户下线原因为第一类原因之后,还缓存了 UE本次认证过程获得的用户表项,当获取单元获取到来自UE的关联请求消息之后,控制单元根据UE与用户表项是否匹配,判断是否采用第一主密钥与UE进行四次握手过程,避免了当用户是一个新用户时,采用第一主密钥进行四次握手过程,进行无效的认证。在图7所示本发明实施例七的AC结构示意图,控制单元61还用于在缓存单元62缓存UE本次认证过程获得的第一主密钥之后启动定时器,判断定时器是否到时,如果定时器未到时,判断是否获取到来自UE的关联请求消息,如果是,控制临时密钥单元64采用第一主密钥与UE进行四次握手过程的步骤,如果否,继续判断定时器是否到时,如果定时器到时,控制缓存单元62删除缓存的第一主密钥。控制单元61还用于在定时器到时之后获取来自UE的关联请求消息时,控制主密钥单元65为UE与认证服务器转发协商消息,以使主密钥单元65和UE获取第二主密钥,并控制临时密钥单元64采用第二主密钥与UE进行四次握手过程。本实施例的AC中的各单元,其对应地,可执行图3所示的重认证方法实施例的技术方案,其实现原理和执行方式可参见图3所示的重认证方法实施例,此处不再赘述。本实施例中,通过缓存单元在缓存UE本次认证过程获得的第一主密钥之后,控制单元启动定时器,在定时器未到时之前,通过判断是否获取到来自UE的关联请求消息,如果是,控制单元控制临时密钥单元采用第一主密钥与UE进行四次握手,获得临时密钥,完成认证过程,如果否,控制单元继续判断定时器是否到时,如果定时器到时,控制单元控制缓存单元删除缓存的第一主密钥,关闭上网通道,将UE下线,减轻AC负担。图8为本发明实施例八的AC的结构示意图,图8是在图6或者图7的基础上,进一步地,还包括发送单元66,如图8所示,控制单元61还用于当下线原因为第一类原因时,控制缓存单元62缓存UE本次认证过程获得的记账数据,控制单元61还用于控制发送单元66将记账数据周期性地发送给认证服务器;缓存单元62还用于在控制单元61的控制下缓存UE本次认证过程获得的记账数据发送单元66用于在控制单元61的控制下将缓存的记 账数据周期性地发送给认证服务器。本实施例的AC中的各单元,其对应地,可执行图4所示的重认证方法实施例的技术方案,其实现原理和执行方式可参见图4所示的重认证方法实施例,此处不再赘述。在上述实施例中,通过缓存单元缓存UE本次认证过程获得的记账数据,并将记账数据周期性地发送给认证服务器,便于认证服务器对UE记账数据的管理,在获取单元获取到UE发送的关联请求消息之前,停止对记账数据的统计,确保获取单元在获取到UE发送的关联请求消息之前,没有新的费用产生,当临时密钥单元采用第一主密钥与UE进行四次握手过程之后,发送单元在记账数据的基础上继续统计记账数据,确保了计费的精确问题。本领域普通技术人员可以理解实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括R0M、RAM、磁碟或者光盘等各种可以存储程序代码的介质。最后应说明的是以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
权利要求
1.一种用户重认证方法,其特征在于,包括 接入控制器AC根据用户设备UE的下线指令确定所述UE的本次下线原因,当所述下线原因为第一类原因时,缓存所述UE本次认证过程获得的第一主密钥; 所述AC获取来自所述UE的关联请求消息; 所述AC采用所述第一主密钥与所述UE进行四次握手过程,获得临时密钥。
2.根据权利要求I所述的方法,其特征在于,所述根据UE的下线指令确定所述UE的本次下线原因包括 判断所述UE的下线指令中是否包括UE发送的局域网可扩展的身份验证协议EAPOL登出报文或认证服务器发送的对于所述UE的强制下线报文或所述AC发送的对于所述UE的强制下线命令; 如果是,确定所述UE的本次下线原因为第二类原因; 否则,确定所述UE的本次下线原因为第一类原因。
3.根据权利要求I或2所述的方法,其特征在于, 当所述下线原因为第一类原因时,还包括所述AC缓存所述UE本次认证过程获得的用户表项; 所述AC获取来自所述UE的关联请求消息之后,还包括判断所述UE与所述用户表项是否匹配,如果是,执行所述AC采用所述第一主密钥与所述UE进行四次握手过程的步骤,否则,所述AC为所述UE与所述认证服务器转发协商消息,以使所述AC和所述UE获取第二主密钥,所述AC采用所述第二主密钥与所述UE进行四次握手过程。
4.根据权利要求I或2所述的方法,其特征在于,所述缓存所述UE本次认证过程获得的第一主密钥之后,还包括 所述AC启动定时器; 所述AC判断所述定时器是否到时; 如果所述定时器未到时,所述AC判断是否获取到来自所述UE的关联请求消息,如果是,执行所述AC采用所述第一主密钥与所述UE进行四次握手过程的步骤,如果否,返回所述AC判断所述定时器是否到时的步骤;如果所述定时器到时,所述AC删除缓存的所述第一主密钥。
5.根据权利要求4所述的方法,其特征在于,所述定时器到时之后,还包括 所述AC获取来自所述UE的关联请求消息; 所述AC为所述UE与所述认证服务器转发协商消息,以使所述AC和所述UE获取第二主密钥,所述AC采用所述第二主密钥与所述UE进行四次握手过程。
6.根据权利要求I或2所述的方法,其特征在于, 当所述下线原因为第一类原因时,还包括 所述AC缓存所述UE本次认证过程获得的记账数据; 所述AC将缓存的所述记账数据周期性地发送给所述认证服务器。
7.一种接入控制器AC,其特征在于,包括 控制单元,用于根据用户设备UE的下线指令确定所述UE的本次下线原因,当所述下线原因为第一类原因时,控制缓存单元缓存所述UE本次认证过程获得的第一主密钥; 所述缓存单元,用于在所述控制单元的控制下缓存所述UE本次认证过程获得的第一主密钥; 获取单元,用于获取来自所述UE的关联请求消息; 临时密钥单元,用于采用所述第一主密钥与所述UE进行四次握手过程,获得临时密钥。
8.根据权利要求7所述的AC,其特征在于, 所述控制单元具体用于判断所述UE的下线指令中是否包括UE发送的局域网可扩展的身份验证协议EAPOL登出报文或认证服务器发送的对于所述UE的强制下线报文或所述AC发送的对于所述UE的强制下线命令;如果是,确定所述UE的本次下线原因为第二类原因;否则,确定所述UE的本次下线原因为第一类原因。
9.根据权利要求7或8所述的AC,其特征在于,还包括主密钥单元; 所述控制单元还用于当所述下线原因为第一类原因时,控制所述缓存单元缓存所述UE本次认证过程获得的用户表项;并用于判断所述UE与所述用户表项是否匹配,如果是,控制所述临时密钥单元采用所述第一主密钥与所述UE进行四次握手过程,否则,控制所述主密钥单元为所述UE与所述认证服务器转发协商消息,以使所述主密钥单元和所述UE获取第二主密钥,并控制所述临时密钥单元采用所述第二主密钥与所述UE进行四次握手过程; 所述主密钥单元用于在所述控制单元的控制下,为所述UE与所述认证服务器转发协商消息,以使所述主密钥单元和所述UE获取第二主密钥, 所述缓存单元还用于在所述控制单元的控制下缓存所述UE本次认证过程获得的用户表项。
10.根据权利要求7或8所述的AC,其特征在于, 所述控制单元还用于在缓存所述UE本次认证过程获得的第一主密钥之后启动定时器,判断所述定时器是否到时,如果所述定时器未到时,判断是否获取到来自所述UE的关联请求消息,如果是,控制所述临时密钥单元采用所述第一主密钥与所述UE进行四次握手过程的步骤,如果否,继续判断所述定时器是否到时,如果所述定时器到时,控制所述缓存单元删除缓存的所述第一主密钥。
11.根据权利要求10所述的AC,其特征在于, 所述控制单元还用于在所述定时器到时之后获取来自所述UE的关联请求消息时,控制所述主密钥单元为所述UE与所述认证服务器转发协商消息,以使所述主密钥单元和所述UE获取第二主密钥,并控制所述临时密钥单元采用所述第二主密钥与所述UE进行四次握手过程。
12.根据权利要求7或8所述的AC,其特征在于,还包括发送单元; 控制单元还用于当所述下线原因为第一类原因时,控制缓存单元缓存所述UE本次认证过程获得的记账数据所述控制单元还用于控制所述发送单元将缓存的所述记账数据周期性地发送给所述认证服务器; 所述缓存单元还用于在所述控制单元的控制下缓存所述UE本次认证过程获得的记账数据; 所述发送单元用于在所述控制单元的控制下将缓存的所述记账数据周期性地发送给所述认证服务器。
全文摘要
本发明提供一种用户重认证方法及接入控制器,该方法包括接入控制器AC根据用户设备UE的下线指令确定UE的本次下线原因,当下线原因为第一类原因时,缓存UE本次认证过程获得的第一主密钥;AC获取来自UE的关联请求消息;AC采用第一主密钥与UE进行四次握手过程,获得临时密钥。由于AC采用缓存的UE本次认证过程的第一主密钥进行四次握手协商临时密钥,节省了第一主密钥的协商过程,简化了认证过程,缩短了认证时间,解决了因频繁重认证过程导致客户端、认证者、认证服务器负担过重,系统开销大,接入效率低的问题。
文档编号H04W28/18GK102833746SQ201210343850
公开日2012年12月19日 申请日期2012年9月14日 优先权日2012年9月14日
发明者张碧仙 申请人:福建星网锐捷网络有限公司