CN102833746B - 用户重认证方法及接入控制器 - Google Patents
用户重认证方法及接入控制器 Download PDFInfo
- Publication number
- CN102833746B CN102833746B CN201210343850.2A CN201210343850A CN102833746B CN 102833746 B CN102833746 B CN 102833746B CN 201210343850 A CN201210343850 A CN 201210343850A CN 102833746 B CN102833746 B CN 102833746B
- Authority
- CN
- China
- Prior art keywords
- master key
- reason
- production line
- buffer memory
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供一种用户重认证方法及接入控制器,该方法包括:接入控制器AC根据用户设备UE的下线指令确定UE的本次下线原因,当下线原因为第一类原因时,缓存UE本次认证过程获得的第一主密钥;AC获取来自UE的关联请求消息;AC采用第一主密钥与UE进行四次握手过程,获得临时密钥。由于AC采用缓存的UE本次认证过程的第一主密钥进行四次握手协商临时密钥,节省了第一主密钥的协商过程,简化了认证过程,缩短了认证时间,解决了因频繁重认证过程导致客户端、认证者、认证服务器负担过重,系统开销大,接入效率低的问题。
Description
技术领域
本发明涉及通信技术,尤其涉及一种用户重认证方法及接入控制器(AccessController,简称AC)。
背景技术
在无线局域网(WirelessLocalAreaNetworks,以下简称WLAN)中,为了加强网络资源的安全控制和运维管理,需要通过用户认证过程对用户的访问进行控制。在802.1X认证体系,用户设备(UserEquipment,以下简称:UE)作为恳请者,接入点(AccessPoint,以下简称:AP)或AC作为认证者,恳请者向认证者发送认证请求报文,认证者将认证请求报文封装并发送给认证服务器,由认证服务器为恳请者提供认证服务。
由于WLAN采用公共的电磁波为传输媒介,因此,客户端在认证通过后,可能因为射频环境因素(如:无线信号太弱、其他信号源干扰、终端节电策略等因素)导致用户无线链路断开,从而使该用户下线,当用户所处位置的无线链路恢复时,需要重新对该用户进行认证,才能访问网络资源。当无线用户端所处的射频条件恶劣时,用户无线链路会频繁地断开和恢复,从而导致用户不断地进行重认证,导致客户端、认证者、认证服务器设备的负担过重,系统开销大,接入效率低。
发明内容
本发明提供一种用户重认证方法及接入控制器,以提高接入效率。
本发明提供一种用户重认证方法,包括:
接入控制器AC根据用户设备UE的下线指令确定所述UE的本次下线原因,当所述下线原因为第一类原因时,缓存所述UE本次认证过程获得的第一主密钥;
所述AC获取来自所述UE的关联请求消息;
所述AC采用所述第一主密钥与所述UE进行四次握手过程,获得临时密钥。
如上所述的方法,其中,所述根据UE的下线报文确定所述UE的本次下线原因包括:
判断所述UE的下线指令中是否包括UE发送的局域网可扩展的身份验证协议EAPOL登出报文或认证服务器发送的对于所述UE的强制下线报文或所述AC发送的对于所述UE的强制下线命令
如果是,确定所述UE的本次下线原因为第二类原因;
否则,确定所述UE的本次下线原因为第一类原因。
如上所述的方法,其中,当所述下线原因为第一类原因时,还包括:所述AC缓存所述UE本次认证过程获得的用户表项;
所述AC获取来自所述UE的关联请求消息之后,还包括:判断所述UE与所述用户表项是否匹配,如果是,执行所述AC采用所述第一主密钥与所述UE进行四次握手过程的步骤,否则,所述AC为所述UE与所述认证服务器转发协商消息,以使所述AC和所述UE获取第二主密钥,所述AC采用所述第二主密钥与所述UE进行四次握手过程。
如上所述的方法,其中,所述缓存所述UE本次认证过程获得的第一主密钥之后,还包括:
所述AC启动定时器;
所述AC判断所述定时器是否到时;
如果所述定时器未到时,所述AC判断是否获取到来自所述UE的关联请求消息,如果是,执行所述AC采用所述第一主密钥与所述UE进行四次握手过程的步骤,如果否,返回所述AC判断所述定时器是否到时的步骤;
如果所述定时器到时,所述AC删除缓存的所述第一主密钥。
如上所述的方法,其中,所述定时器到时之后,还包括:
所述AC获取来自所述UE的关联请求消息;
所述AC为所述UE与所述认证服务器转发协商消息,以使所述AC和所述UE获取第二主密钥,所述AC采用所述第二主密钥与所述UE进行四次握手过程。
如上所述的方法,其中,当所述下线原因为第一类原因时,还包括:
所述AC缓存所述UE本次认证过程获得的记账数据;
所述AC将缓存的所述记账数据周期性地发送给所述认证服务器。
本发明提供一种接入控制器AC,包括:
控制单元,用于根据用户设备UE的下线指令确定所述UE的本次下线原因,当所述下线原因为第一类原因时,控制缓存单元缓存所述UE本次认证过程获得的第一主密钥;
所述缓存单元,用于在所述控制单元的控制下缓存所述UE本次认证过程获得的第一主密钥;
获取单元,用于获取来自所述UE的关联请求消息;
临时密钥单元,用于采用所述第一主密钥与所述UE进行四次握手过程,获得临时密钥。
如上所述的AC,其中,所述控制单元具体用于判断所述UE的下线指令中是否包括UE发送的局域网可扩展的身份验证协议EAPOL登出报文或认证服务器发送的对于所述UE的强制下线报文或所述AC发送的对于所述UE的强制下线命令;如果是,确定所述UE的本次下线原因为第二类原因;否则,确定所述UE的本次下线原因为第一类原因。
如上所述的AC,其中,还包括:主密钥单元;
所述控制单元还用于当所述下线原因为第一类原因时,控制所述缓存单元缓存所述UE本次认证过程获得的用户表项;并用于判断所述UE与所述用户表项是否匹配,如果是,控制所述临时密钥单元采用所述第一主密钥与所述UE进行四次握手过程,否则,控制所述主密钥单元为所述UE与所述认证服务器转发协商消息,以使所述主密钥单元和所述UE获取第二主密钥,并控制所述临时密钥单元采用所述第二主密钥与所述UE进行四次握手过程;
所述主密钥单元用于在所述控制单元的控制下,为所述UE与所述认证服务器转发协商消息,以使所述主密钥单元和所述UE获取第二主密钥,
所述缓存单元还用于在所述控制单元的控制下缓存所述UE本次认证过程获得的用户表项。
如上所述的AC,其中,所述控制单元还用于在缓存所述UE本次认证过程获得的第一主密钥之后启动定时器,判断所述定时器是否到时,如果所述定时器未到时,判断是否获取到来自所述UE的关联请求消息,如果是,控制所述临时密钥单元采用所述第一主密钥与所述UE进行四次握手过程的步骤,如果否,继续判断所述定时器是否到时,如果所述定时器到时,控制所述缓存单元删除缓存的所述第一主密钥。
如上所述的AC,其中,所述控制单元还用于在所述定时器到时之后获取来自所述UE的关联请求消息时,控制所述主密钥单元为所述UE与所述认证服务器转发协商消息,以使所述主密钥单元和所述UE获取第二主密钥,并控制所述临时密钥单元采用所述第二主密钥与所述UE进行四次握手过程。
如上所述的AC,其中,还包括:发送单元;
控制单元还用于当所述下线原因为第一类原因时,控制缓存单元缓存所述UE本次认证过程获得的记账数据所述控制单元还用于控制所述发送单元将缓存的所述记账数据周期性地发送给所述认证服务器;
所述缓存单元还用于在所述控制单元的控制下缓存所述UE本次认证过程获得的记账数据;
所述发送单元用于在所述控制单元的控制下将缓存的所述记账数据周期性地发送给所述认证服务器。
本发明提供的用户重认证方法及接入控制器,通过AC根据UE的下线报文确定本次下线原因,当本次下线原因是第一类原因时,缓存UE本次认证过程获得的第一主密钥,当AC获取来自UE的关联请求消息后,采用第一主密钥与UE进行四次握手过程,获得临时密钥,完成了重认证的过程,由于AC采用缓存UE本次认证过程的第一主密钥进行四次握手协商临时密钥,节省了第一主密钥的协商过程,简化了认证过程,缩短了认证时间,解决了客户端、认证者、认证服务器设备的频繁重认证过程负担过重,系统开销大,接入效率低的问题。
附图说明
图1为本发明实施例一的用户重认证方法流程示意图;
图2为本发明实施例二的用户重认证方法流程示意图;
图3为本发明实施例三的用户重认证方法流程示意图;
图4为本发明实施例四的用户重认证方法流程示意图;
图5为本发明实施例五的用户重认证方法流程示意图;
图6为本发明实施例六的AC的结构示意图;
图7为本发明实施例七的AC的结构示意图;
图8为本发明实施例八的AC的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明实施例一的用户重认证方法流程示意图,如图1所示,该方法包括:
步骤101:AC根据UE的下线指令确定UE的本次下线原因,当下线原因为第一类原因时,缓存UE本次认证过程获得的第一主密钥。
具体地,在实际应用中,UE下线的原因很多,用户可能会因为不需要再访问网络资源而主动使UE下线,也可能因为射频环境因素(如:无线信号太弱、其他信号源干扰、终端节电策略等因素)导致UE发出解除无线链路的报文而下线,或者被AC、服务器强制下线,然后AC根据收到的UE的下线报文确定UE的本次下线原因,当下线原因为第一类原因时,上述第一类原因为用户可能在短时间内发起重认证的下线原因,缓存UE本次认证过程获得的第一主密钥。
步骤102:AC获取来自UE的关联请求消息。
步骤103:AC采用第一主密钥与UE进行四次握手过程,获得临时密钥。
具体地,AC获取来自UE的关联请求消息,采用缓存的第一主密钥与UE进行四次握手过程,获得临时密钥,上述临时密钥用于在AC与UE之间的空口数据加密。
本实施例,通过AC根据UE的下线指令确定本次下线原因,当本次下线原因是第一类原因时,缓存UE本次认证过程获得的第一主密钥,当AC获取来自UE的关联请求消息后,采用第一主密钥与UE进行四次握手过程,获得临时密钥,完成了重认证的过程,由于AC采用缓存UE本次认证过程的第一主密钥进行四次握手协商临时密钥,节省了第一主密钥的协商过程,简化了认证过程,缩短了认证时间,解决了客户端、认证者、认证服务器设备的频繁重认证过程负担过重,系统开销大,接入效率低的问题。
图2为本发明实施例二的用户重认证方法流程示意图,如图2所示,该方法包括:
步骤200:UE初次认证后下线。
具体包括:第一步:关联阶段,UE向AC发送关联请求消息,完成无线链路的建立,使UE关联上AC。
第二步:主密钥协商阶段,AC为UE与认证服务器转发协商消息,以使AC和UE获取第一主密钥。
第三步:临时密钥协商阶段,AC采用第一主密钥与UE进行四次握手,获得临时密钥,并存储第一主密钥、用户表项、记账数据等信息。初次认证完成,用户通过动态主机控制协议获取到网络协议(InternetProtocol,以下简称:IP)地址后就可以访问网络资源进行通信。
第四步,UE下线。
UE下线的原因很多,当用户因为不需要再访问网络资源或者其他原因而主动使UE下线,UE发送局域网可扩展的身份验证协议(ExtensibleAuthenticationProtocoloverLAN,简称EAPOL)登出报文(EAPoL-logoff报文),请求解除网络授权。
或者AC通过设置一些策略,如低流量检测,检测到一段时间内用户流量低于阈值时,强制将用户下线,上述阈值为AC设置的用户实际访问网络资源的流量最小值;或者AC通过CLI命令强制删除用户。
或者因为无线射频环境恶劣或其他原因,无法继续维持无线链路,导致用户下线。
步骤201:AC判断UE的下线指令中是否包括UE发送的EAPoL-logoff报文或认证服务器发送的对于UE的强制下线报文或AC发送的对于UE的强制下线命令;如果是,执行步骤202,如果否,执行步骤203。
步骤202:AC确定UE的本次下线原因为第二类原因。
具体地,当UE的下线指令中包含上述UE发送的EAPoL-logoff报文或认证服务器发送的对于UE的强制下线报文或AC发送的对于UE的强制下线命令时,AC发送的对于UE的强制下线命令可以为命令行界面CLI(CommandLineInterface)命令,确定UE本次下线原因为第二类原因。
步骤203:AC确定UE的本次下线原因为第一类原因。
具体地,当UE的下线指令中包含上述UE发送的EAPoL-logoff报文或认证服务器发送的对于UE的强制下线报文或AC发送的对于UE的强制下线命令时,确定UE本次下线原因为第二类原因,当接收到除以上第二类原因之外的所有UE下线报文都确定UE本次下线原因为第一类原因,即因为第一类原因下线的用户可能在短时间内发起重认证。
当确定UE本次下线原因为第一类原因之后,执行步骤204。
步骤204:AC缓存UE本次认证过程获得的第一主密钥。
在本步骤中,AC缓存UE本次认证过程获得的第一主密钥,进一步地,AC还可以缓存UE本次认证过程获得的用户表项。具体地,用户表项至少包括:用户身份(Identity,以下简称:ID)、用户名、用户介质访问控制(MediaAccessControl,以下简称:MAC)地址信息。
对于因为第一类原因下线的UE,在下线后,在短时间内会再次发起认证,即向AC发起关联请求消息。
步骤205:AC获取来自UE的关联请求消息,执行步骤206。
本步骤即为图1所示实施例的步骤102。
步骤206:AC判断UE与用户表项是否匹配,如果否,执行步骤207;如果是,执行步骤208。
具体地,当AC获取来自UE的关联请求消息之后,首先判断该UE与AC缓存的用户表项是否匹配,因为,关联请求消息可能来自一个新UE,也可能来自因第一类原因下线后重新发起关联的UE,所用判断方法为:判断UE与AC缓存的用户表项是否匹配,更具体地为用户ID、用户名、用户MAC地址信息是否匹配。
步骤207:AC为UE与认证服务器转发协商消息,以使AC和UE获取第二主密钥,AC采用第二主密钥与UE进行四次握手过程。
具体地,当UE与缓存的UE本次认证过程获得的用户表项不匹配时,则说明UE为一新用户,AC为UE与认证服务器转发协商消息,以使AC和UE获取第二主密钥,AC采用获得的第二主密钥与UE进行四次握手过程,获得临时密钥,完成用户认证。
步骤208:AC采用第一主密钥与UE进行四次握手过程的步骤。
具体地,当UE与用户表项匹配时,则说明UE为重关联用户,AC采用缓存的第一主密钥与UE进行四次握手过程的步骤,获取临时密钥。本步骤即图1所示实施例的步骤103。
本实施例中,通过判断UE的下线指令中是否包含UE发送的EAPoL-logoff报文或认证服务器发送的对于UE的强制下线报文,确定UE的下线原因是否为第一类原因,为UE是否缓存本次认证过程获得的第一主密钥提供依据。在确定UE的下线原因为第一类原因之后,除了缓存UE本次认证过程获得的第一主密钥,还缓存UE本次认证过程获得的用户表项,当AC获取到来自UE的关联请求消息之后,根据UE与用户表项是否匹配,判断发送关联请求消息的用户是否为重关联用户;如果是,AC采用第一主密钥与UE进行四次握手过程,获得临时密钥,完成认证;如果否,AC为UE与认证服务器转发协商消息,以使AC和UE获取第二主密钥,AC采用第二主密钥与UE进行四次握手过程,获得临时密钥,完成认证。由于增加了缓存UE本次认证过程获得的用户表项,当AC获取到来自UE的关联请求消息之后,根据UE与用户表项是否匹配,判断是否采用第一主密钥与UE进行四次握手过程,避免了当用户是一个新用户时,采用第一主密钥进行四次握手过程,进行无效的认证。
图3为本发明实施例三的用户重认证方法流程示意图,如图3所示,在图1或图2所示实施例缓存UE本次认证过程获得的第一主密钥之后,进一步地,还包括:
步骤301:AC启动定时器。
当判断下线原因为第一类原因时,缓存UE本次认证过程获得的第一主密钥,并启动定时器开始计时。
步骤302:AC判断定时器是否到时。若未到时,执行步骤303,若到时,执行步骤305。
定时器的时间设置根据实际应用的环境中的射频条件进行评估设置,推荐默认的时间为5分钟。也可根据射频条件的变化,阶段性的设置定时器时间,例如,在一定时期内,射频条件发生变化,经过评估,确定将定时器时间缩短为4分钟较好,则可通过CLI命令将定时器时间配置成4分钟;或者,在一定时期内,射频条件发生变化,经过评估,确定将定时器时间延长为8分钟较好,则可通过CLI命令将定时器时间配置成8分钟。
步骤303:AC判断是否获取到来自UE的关联请求消息,如果是,执行步骤304,如果否返回执行步骤302。
步骤304:AC采用第一主密钥与UE进行四次握手过程。
具体地,在AC判断定时器未到时时,可采用缓存的UE本次认证过程获得的第一主密钥,进行四次握手过程,获取临时密钥,完成认证。本步骤304即图1所示实施例中的步骤103或图2所示实施例中的步骤208。
步骤305:如果定时器到时,AC删除缓存的第一主密钥。
具体地,如果定时器到时,未获取到来自UE的关联请求消息,则删除缓存的第一主密钥,关闭上网通道,UE下线。
步骤306:在定时器到时之后,AC获取到来自UE的关联请求消息,则执行步骤307。
步骤307:AC为UE与认证服务器转发协商消息,以使AC和UE获取第二主密钥,AC采用第二主密钥与UE进行四次握手过程。
步骤307所执行的步骤,即在定时器超时之后,若AC获取到来自UE的关联请求消息,则进行完整的认证过程,本步骤307即图1所示步骤200的第二步与第三步所执行的操作。
本实施例中,通过在缓存UE本次认证过程获得的第一主密钥之后,AC启动定时器,在定时器未到时之前,通过判断是否获取到来自UE的关联请求消息,如果是,AC则采用第一主密钥与UE进行四次握手,获得临时密钥,完成认证过程,如果否,则继续判断定时器是否到时,如果到时,AC则删除缓存的UE本次认证过程获得的第一主密钥,关闭上网通道,将UE下线,减轻AC负担。
图4为本发明实施例四的用户重认证方法流程示意图,图4是在图1或图2所示方法实施例确定下线原因为第一类原因之后,还包括:
步骤401:AC缓存UE本次认证过程获得的记账数据;AC将缓存的记账数据周期性地发送给认证服务器。
具体地,当AC判断出UE下线原因为第一类原因时,AC缓存UE本次认证过程获得的记账数据,记账数据包括UE在线时长和流量信息等。AC停止对记账数据的统计,并将记账数据周期性地发送给认证服务器。
步骤402:AC采用第一主密钥与UE进行四次握手过程之后,还包括:AC在记账数据的基础上继续统计记账数据。
具体地,当AC获取到UE的关联请求消息后,采用缓存的第一主密钥与UE进行四次握手,获得临时密钥,完成认证,即图1所示实施例的步骤103或图2所示实施例的步骤208之后,在发送给认证服务器的记账数据的基础上继续统计记账数据
在上述实施例中,通过缓存UE本次认证过程获得的记账数据,并将记账数据周期性地发送给认证服务器,便于认证服务器对UE记账数据的管理,在获取到UE发送的关联请求消息之前,AC停止对记账数据的统计,确保在获取到UE发送的关联请求消息之前,没有新的费用产生,当AC采用第一主密钥与UE进行四次握手过程之后,在记账数据的基础上继续统计记账数据,确保了计费的精确问题。
图5为本发明实施例五的用户重认证方法流程示意图,图5所示实施例是在上述各方法实施例的基础上,结合各实施例的方案,具体地:
步骤500:UE初次认证后下线。
步骤501:AC接收到UE的下线指令。
步骤502:AC判断下线原因是否为第一类原因,若否,执行步骤503,若是,执行步骤504。
步骤503:AC停止记账数据统计,关闭上网通道,用户下线。
步骤504:AC缓存UE本次认证过程获得的用户相关信息,同时启动定时器。
更具体地,用户相关信息包括第一主密钥、用户表项和记账数据。用户表项至少包括用户ID,用户名,用户MAC地址。
需要说明的是,在步骤504之后,AC停止对记账数据的统计,并将记账数据周期性地发送给所述认证服务器。
步骤505:AC判断定时器是否到时。如果是,执行步骤506,如果否,执行步骤507。
步骤506:AC删除缓存的UE本次认证过程中的用户相关信息。
更具体地,用户相关信息包括第一主密钥、用户表项和记账数据;删除缓存的UE本次认证过程中的用户相关信息之后,计费停止,关闭上网通道,用户下线。
步骤507:AC判断是否获取到来自UE的关联请求消息,如果否,返回执行步骤505,如果是,执行步骤508。
步骤508:AC判断发送关联请求消息的UE与用户表项是否匹配,如果否,执行步骤509,如果是,执行步骤510。
更具体地,判断发送关联请求消息的UE与用户表项是否匹配,更详细的是判断发送关联请求消息的UE的用户ID、用户名、用户MAC地址是否在缓存的用户表项中存在,如果否,则说明发送关联请求消息的UE是一个新的用户,执行步骤509。如果是,则说明发送关联请求消息的UE为重认证用户,执行步骤510。
步骤509:AC为UE与认证服务器转发协商消息,以使AC和UE获取第二主密钥,AC采用第二主密钥与UE进行四次握手。
步骤510:AC采用第一主密钥与UE进行四次握手。
更具体地,AC采用第一主密钥与UE进行四次握手,获得临时密钥,完成认证,删除缓存的用户相关信息,生成新的用户相关信息,并在向认证服务器发送的记账数据的基础上继续统计记账数据,并周期性地向认证服务器发送记账数据,便于认证服务器对记账数据的管理。
步骤511:AC判断四次握手是否成功,如果是,完成认证,执行步骤512,如果否,则返回执行步骤509。
步骤512:AC允许UE访问网络资源。
本实施例,通过对上述各实施例的结合,在判断下线原因是第一类原因后,缓存用户相关信息,采用第一主密钥进行四次握手,获得临时密钥,完成认证,节省了第一主密钥的协商过程,简化了认证过程,缩短了认证时间,解决了因频繁重认证过程导致客户端、认证者、认证服务器负担过重,系统开销大,接入效率低的问题。同时,采用定时器判断在定时器到时之前,是否获取到UE的关联请求消息,如果是,AC则采用第一主密钥与UE进行四次握手,获得临时密钥,完成认证过程,如果否,AC则删除缓存的第一主密钥,关闭上网通道,将UE下线,减轻AC负担。通过缓存的用户表项信息,判断发送关联请求消息的UE是否为新的用户,提高重认证的可靠性,通过缓存UE本次认证过程获得的记账数据,周期性的向认证服务器发送记账数据,便于认证服务器对UE记账数据的管理,在获取到UE发送的关联请求消息之前,AC停止对记账数据的统计,确保在获取到UE发送的关联请求消息之前,没有新的费用产生,当AC采用第一主密钥与UE进行四次握手过程之后,在记账数据的基础上继续统计记账数据,确保了计费的精确问题。
值得说明的是,在上述各方法实施例中,AC所执行的步骤也可由AP代替AC来执行,AP与UE和认证服务器之间的交互过程与AC与UE和认证服务器相同,此处不再赘述。
图6为本发明实施例六的AC的结构示意图;如图6所示,本实施例的AC可以包括控制单元61、缓存单元62、获取单元63,临时密钥单元64,其中,控制单元61,用于根据用户设备UE的下线指令确定UE的本次下线原因,当下线原因为第一类原因时,控制缓存单元62缓存UE本次认证过程获得的第一主密钥;缓存单元62,用于在控制单元61的控制下缓存UE本次认证过程获得的第一主密钥;获取单元63,用于获取来自UE的关联请求消息;临时密钥单元64,用于采用第一主密钥与UE进行四次握手过程,获得临时密钥。
本实施例的AC中的各单元,其对应地,可执行图1所示的重认证方法实施例的技术方案,其实现原理和执行方式可参见图1所示的重认证方法实施例,此处不再赘述。在本实施例中,通过控制单元根据UE的下线指令确定本次下线原因,当本次下线原因是第一类原因时,控制缓存单元缓存UE本次认证过程获得的第一主密钥,当获取单元获取来自UE的关联请求消息后,临时密钥单元采用第一主密钥与UE进行四次握手过程,获得临时密钥,完成了重认证的过程,由于在重认证过程中临时密钥单元采用缓存UE本次认证过程的第一主密钥进行四次握手协商临时密钥,节省了第一主密钥的协商过程,简化了认证过程,缩短了认证时间,解决了客户端、认证者、认证服务器设备的频繁重认证过程负担过重,系统开销大,接入效率低的问题。
图7为本发明实施例七的AC的结构示意图;在图6所示AC的实施例一的结构的基础上,进一步地,还包括主密钥单元65,如图7所示,控制单元61具体用于判断UE的下线指令中是否包括UE发送的局域网可扩展的身份验证协议EAPOL登出报文或认证服务器发送的对于UE的强制下线报文或AC发送的对于UE的强制下线命令;如果是,确定UE的本次下线原因为第二类原因;否则,确定UE的本次下线原因为第一类原因。
控制单元61还用于当下线原因为第一类原因时,控制缓存单元62缓存UE本次认证过程获得的用户表项;并用于判断UE与用户表项是否匹配,如果是,控制临时密钥单元64采用第一主密钥与UE进行四次握手过程,否则,控制主密钥单元65为UE与认证服务器转发协商消息,以使主密钥单元65和UE获取第二主密钥,并控制临时密钥单元64采用第二主密钥与UE进行四次握手过程。
主密钥单元65用于在控制单元的控制下,为UE与认证服务器转发协商消息,以使主密钥单元65和UE获取第二主密钥,缓存单元62还用于在控制单元61的控制下缓存UE本次认证过程获得的用户表项。本实施例的AC中的各单元,其对应地,可执行图2所示的重认证方法实施例的技术方案,其实现原理和执行方式可参见图2所示的重认证方法实施例,此处不再赘述。在本实施例中,通过控制单元判断UE的下线指令中是否包含UE发送的EAPoL-logoff报文或认证服务器发送的对于UE的强制下线报文或AC发送的对于UE的强制下线命令,确定UE的下线原因是否为第一类原因,为缓存单元是否缓存UE本次认证过程获得的第一主密钥提供依据。在控制单元确定UE的下线原因为第一类原因之后,缓存单元除了缓存UE本次认证过程获得的第一主密钥,还缓存UE本次认证过程获得的用户表项,获取单元获取到来自UE的关联请求消息之后,控制单元根据UE与用户表项是否匹配,判断发送关联请求消息的用户是否为重关联用户;如果是,控制临时密钥单元采用第一主密钥与UE进行四次握手过程,获得临时密钥,完成认证;如果否,控制单元控制主密钥单元为UE与认证服务器转发协商消息,以使主密钥单元和UE获取第二主密钥,控制单元并控制临时密钥单元采用第二主密钥与UE进行四次握手过程,获得临时密钥,完成认证。由于缓存单元在控制单元确定用户下线原因为第一类原因之后,还缓存了UE本次认证过程获得的用户表项,当获取单元获取到来自UE的关联请求消息之后,控制单元根据UE与用户表项是否匹配,判断是否采用第一主密钥与UE进行四次握手过程,避免了当用户是一个新用户时,采用第一主密钥进行四次握手过程,进行无效的认证。
在图7所示本发明实施例七的AC结构示意图,控制单元61还用于在缓存单元62缓存UE本次认证过程获得的第一主密钥之后启动定时器,判断定时器是否到时,如果定时器未到时,判断是否获取到来自UE的关联请求消息,如果是,控制临时密钥单元64采用第一主密钥与UE进行四次握手过程的步骤,如果否,继续判断定时器是否到时,如果定时器到时,控制缓存单元62删除缓存的第一主密钥。
控制单元61还用于在定时器到时之后获取来自UE的关联请求消息时,控制主密钥单元65为UE与认证服务器转发协商消息,以使主密钥单元65和UE获取第二主密钥,并控制临时密钥单元64采用第二主密钥与UE进行四次握手过程。
本实施例的AC中的各单元,其对应地,可执行图3所示的重认证方法实施例的技术方案,其实现原理和执行方式可参见图3所示的重认证方法实施例,此处不再赘述。本实施例中,通过缓存单元在缓存UE本次认证过程获得的第一主密钥之后,控制单元启动定时器,在定时器未到时之前,通过判断是否获取到来自UE的关联请求消息,如果是,控制单元控制临时密钥单元采用第一主密钥与UE进行四次握手,获得临时密钥,完成认证过程,如果否,控制单元继续判断定时器是否到时,如果定时器到时,控制单元控制缓存单元删除缓存的第一主密钥,关闭上网通道,将UE下线,减轻AC负担。
图8为本发明实施例八的AC的结构示意图,图8是在图6或者图7的基础上,进一步地,还包括发送单元66,如图8所示,控制单元61还用于当下线原因为第一类原因时,控制缓存单元62缓存UE本次认证过程获得的记账数据,控制单元61还用于控制发送单元66将记账数据周期性地发送给认证服务器;缓存单元62还用于在控制单元61的控制下缓存UE本次认证过程获得的记账数据发送单元66用于在控制单元61的控制下将缓存的记账数据周期性地发送给认证服务器。
本实施例的AC中的各单元,其对应地,可执行图4所示的重认证方法实施例的技术方案,其实现原理和执行方式可参见图4所示的重认证方法实施例,此处不再赘述。在上述实施例中,通过缓存单元缓存UE本次认证过程获得的记账数据,并将记账数据周期性地发送给认证服务器,便于认证服务器对UE记账数据的管理,在获取单元获取到UE发送的关联请求消息之前,停止对记账数据的统计,确保获取单元在获取到UE发送的关联请求消息之前,没有新的费用产生,当临时密钥单元采用第一主密钥与UE进行四次握手过程之后,发送单元在记账数据的基础上继续统计记账数据,确保了计费的精确问题。
本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (10)
1.一种用户重认证方法,其特征在于,包括:
接入控制器AC根据用户设备UE的下线指令确定所述UE的本次下线原因,当所述下线原因为第一类原因时,缓存所述UE本次认证过程获得的第一主密钥;
所述AC获取来自所述UE的关联请求消息;
所述AC采用所述第一主密钥与所述UE进行四次握手过程,获得临时密钥;
所述根据UE的下线指令确定所述UE的本次下线原因包括:
判断所述UE的下线指令中是否包括UE发送的局域网可扩展的身份验证协议EAPOL登出报文或认证服务器发送的对于所述UE的强制下线报文或所述AC发送的对于所述UE的强制下线命令;
如果是,确定所述UE的本次下线原因为第二类原因;
否则,确定所述UE的本次下线原因为第一类原因。
2.根据权利要求1所述的方法,其特征在于,
当所述下线原因为第一类原因时,还包括:所述AC缓存所述UE本次认证过程获得的用户表项;
所述AC获取来自所述UE的关联请求消息之后,还包括:判断所述UE与所述用户表项是否匹配,如果是,执行所述AC采用所述第一主密钥与所述UE进行四次握手过程的步骤,否则,所述AC为所述UE与所述认证服务器转发协商消息,以使所述AC和所述UE获取第二主密钥,所述AC采用所述第二主密钥与所述UE进行四次握手过程。
3.根据权利要求1所述的方法,其特征在于,所述缓存所述UE本次认证过程获得的第一主密钥之后,还包括:
所述AC启动定时器;
所述AC判断所述定时器是否到时;
如果所述定时器未到时,所述AC判断是否获取到来自所述UE的关联请求消息,如果是,执行所述AC采用所述第一主密钥与所述UE进行四次握手过程的步骤,如果否,返回所述AC判断所述定时器是否到时的步骤;如果所述定时器到时,所述AC删除缓存的所述第一主密钥。
4.根据权利要求3所述的方法,其特征在于,所述定时器到时之后,还包括:
所述AC获取来自所述UE的关联请求消息;
所述AC为所述UE与所述认证服务器转发协商消息,以使所述AC和所述UE获取第二主密钥,所述AC采用所述第二主密钥与所述UE进行四次握手过程。
5.根据权利要求1所述的方法,其特征在于,
当所述下线原因为第一类原因时,还包括:
所述AC缓存所述UE本次认证过程获得的记账数据;
所述AC将缓存的所述记账数据周期性地发送给所述认证服务器。
6.一种接入控制器AC,其特征在于,包括:
控制单元,用于根据用户设备UE的下线指令确定所述UE的本次下线原因,当所述下线原因为第一类原因时,控制缓存单元缓存所述UE本次认证过程获得的第一主密钥;
所述缓存单元,用于在所述控制单元的控制下缓存所述UE本次认证过程获得的第一主密钥;
获取单元,用于获取来自所述UE的关联请求消息;
临时密钥单元,用于采用所述第一主密钥与所述UE进行四次握手过程,获得临时密钥;
所述控制单元具体用于判断所述UE的下线指令中是否包括UE发送的局域网可扩展的身份验证协议EAPOL登出报文或认证服务器发送的对于所述UE的强制下线报文或所述AC发送的对于所述UE的强制下线命令;如果是,确定所述UE的本次下线原因为第二类原因;否则,确定所述UE的本次下线原因为第一类原因。
7.根据权利要求6所述的AC,其特征在于,还包括:主密钥单元;
所述控制单元还用于当所述下线原因为第一类原因时,控制所述缓存单元缓存所述UE本次认证过程获得的用户表项;并用于判断所述UE与所述用户表项是否匹配,如果是,控制所述临时密钥单元采用所述第一主密钥与所述UE进行四次握手过程,否则,控制所述主密钥单元为所述UE与所述认证服务器转发协商消息,以使所述主密钥单元和所述UE获取第二主密钥,并控制所述临时密钥单元采用所述第二主密钥与所述UE进行四次握手过程;
所述主密钥单元用于在所述控制单元的控制下,为所述UE与所述认证服务器转发协商消息,以使所述主密钥单元和所述UE获取第二主密钥,
所述缓存单元还用于在所述控制单元的控制下缓存所述UE本次认证过程获得的用户表项。
8.根据权利要求6所述的AC,其特征在于,
所述控制单元还用于在缓存所述UE本次认证过程获得的第一主密钥之后启动定时器,判断所述定时器是否到时,如果所述定时器未到时,判断是否获取到来自所述UE的关联请求消息,如果是,控制所述临时密钥单元采用所述第一主密钥与所述UE进行四次握手过程的步骤,如果否,继续判断所述定时器是否到时,如果所述定时器到时,控制所述缓存单元删除缓存的所述第一主密钥。
9.根据权利要求8所述的AC,其特征在于,
所述控制单元还用于在所述定时器到时之后获取来自所述UE的关联请求消息时,控制所述主密钥单元为所述UE与所述认证服务器转发协商消息,以使所述主密钥单元和所述UE获取第二主密钥,并控制所述临时密钥单元采用所述第二主密钥与所述UE进行四次握手过程。
10.根据权利要求6所述的AC,其特征在于,还包括:发送单元;
控制单元还用于当所述下线原因为第一类原因时,控制缓存单元缓存所述UE本次认证过程获得的记账数据所述控制单元还用于控制所述发送单元将缓存的所述记账数据周期性地发送给所述认证服务器;
所述缓存单元还用于在所述控制单元的控制下缓存所述UE本次认证过程获得的记账数据;
所述发送单元用于在所述控制单元的控制下将缓存的所述记账数据周期性地发送给所述认证服务器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210343850.2A CN102833746B (zh) | 2012-09-14 | 2012-09-14 | 用户重认证方法及接入控制器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210343850.2A CN102833746B (zh) | 2012-09-14 | 2012-09-14 | 用户重认证方法及接入控制器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102833746A CN102833746A (zh) | 2012-12-19 |
| CN102833746B true CN102833746B (zh) | 2015-11-25 |
Family
ID=47336654
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210343850.2A Active CN102833746B (zh) | 2012-09-14 | 2012-09-14 | 用户重认证方法及接入控制器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102833746B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103763676B (zh) * | 2014-01-24 | 2017-09-15 | 成都西加云杉科技有限公司 | Ap与ac间的通信方法和设备 |
| CN105245338B (zh) * | 2014-05-26 | 2019-04-26 | 中兴通讯股份有限公司 | 一种认证方法及装置系统 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1564524A (zh) * | 2004-03-26 | 2005-01-12 | 中兴通讯股份有限公司 | 一种无线局域网中无线终端计费的方法 |
| CN1725685A (zh) * | 2004-07-22 | 2006-01-25 | 中兴通讯股份有限公司 | 无线局域网移动终端的安全重认证方法 |
| EP1647111A1 (en) * | 2003-07-22 | 2006-04-19 | THOMSON Licensing | Method and apparatus for controlling credit based access (prepaid) to a wireless network |
| CN101026866A (zh) * | 2006-02-20 | 2007-08-29 | 华为技术有限公司 | 一种无线通信系统中ak上下文缓存的方法 |
| CN101079702A (zh) * | 2006-05-23 | 2007-11-28 | 华为技术有限公司 | 一种无线网络中安全信息的传输方法及装置 |
| CN101127600A (zh) * | 2006-08-14 | 2008-02-20 | 华为技术有限公司 | 一种用户接入认证的方法 |
| CN101764693A (zh) * | 2009-12-24 | 2010-06-30 | 福建星网锐捷网络有限公司 | 认证方法、系统、客户端和网络设备 |
| EP2442602A1 (en) * | 2009-06-25 | 2012-04-18 | ZTE Corporation | Access method and system for cellular mobile communication network |
-
2012
- 2012-09-14 CN CN201210343850.2A patent/CN102833746B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1647111A1 (en) * | 2003-07-22 | 2006-04-19 | THOMSON Licensing | Method and apparatus for controlling credit based access (prepaid) to a wireless network |
| CN1564524A (zh) * | 2004-03-26 | 2005-01-12 | 中兴通讯股份有限公司 | 一种无线局域网中无线终端计费的方法 |
| CN1725685A (zh) * | 2004-07-22 | 2006-01-25 | 中兴通讯股份有限公司 | 无线局域网移动终端的安全重认证方法 |
| CN101026866A (zh) * | 2006-02-20 | 2007-08-29 | 华为技术有限公司 | 一种无线通信系统中ak上下文缓存的方法 |
| CN101079702A (zh) * | 2006-05-23 | 2007-11-28 | 华为技术有限公司 | 一种无线网络中安全信息的传输方法及装置 |
| CN101127600A (zh) * | 2006-08-14 | 2008-02-20 | 华为技术有限公司 | 一种用户接入认证的方法 |
| EP2442602A1 (en) * | 2009-06-25 | 2012-04-18 | ZTE Corporation | Access method and system for cellular mobile communication network |
| CN101764693A (zh) * | 2009-12-24 | 2010-06-30 | 福建星网锐捷网络有限公司 | 认证方法、系统、客户端和网络设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102833746A (zh) | 2012-12-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2806703B1 (en) | Method and terminal device for establishing wireless network connection | |
| CN102204307B (zh) | 基于mac地址的wlan认证方法和装置 | |
| US8601103B2 (en) | Method, apparatus and system for distributing and enforcing authenticated network connection policy | |
| US9154950B2 (en) | Network access method, apparatus and system | |
| WO2016150327A1 (zh) | 终端的远程协助方法及装置、系统 | |
| EP3700162B1 (en) | Systems and methods for authentication | |
| EP3547759B1 (en) | Method, access point and wireless local area network system for establishing a wireless local area network connection between an access point and a station | |
| CN101599967B (zh) | 基于802.1x认证系统的权限控制方法及系统 | |
| CN102333335B (zh) | 一种无线局域网wlan中业务恢复的方法、设备和系统 | |
| JP5815885B2 (ja) | ワイヤレスリンクのセットアップのために鍵のライフタイムへのアクセスを可能にすること | |
| CN104137618A (zh) | 经由对等链路的共享网络访问 | |
| EP2145406A2 (en) | Method for handover between heterogeneous radio access networks | |
| CN102932785A (zh) | 一种无线局域网的快速认证方法、系统和设备 | |
| CN102148838B (zh) | Web认证方法、网络设备及Web认证系统 | |
| WO2015000158A1 (en) | Determining legitimate access point response | |
| CN105792334A (zh) | 无线局域网站点、接入点以及无线局域网站点接入方法 | |
| CN101785343A (zh) | 快速转换资源协商 | |
| JP2017534214A (ja) | 認証サーバとのワイヤレス局の再認証中のプライバシー | |
| CN102761940B (zh) | 一种802.1x认证方法和设备 | |
| CN103281692B (zh) | 一种ac间的快速漫游方法和设备 | |
| CN101150472A (zh) | Wimax中实现认证的方法、认证服务器和终端 | |
| CN102215515B (zh) | 一种数据处理方法及通信系统以及相关设备 | |
| CN1964576A (zh) | 一种无线接入方法及接入控制器 | |
| CN102833746B (zh) | 用户重认证方法及接入控制器 | |
| CN103686704B (zh) | 终端与网络侧通信方法和设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee | ||
| CP01 | Change in the name or title of a patent holder |
Address after: Cangshan District of Fuzhou City, Fujian province 350002 Jinshan Road No. 618 Garden State Industrial Park building 19# Patentee after: RUIJIE NETWORKS CO., LTD. Address before: Cangshan District of Fuzhou City, Fujian province 350002 Jinshan Road No. 618 Garden State Industrial Park building 19# Patentee before: Fujian Xingwangruijie Network Co., Ltd. |