认证方法、系统、客户端和网络设备.pdf

本发明公开了一种认证方法、系统、客户端和网络设备。该方法包括：当判断出在设置的有效时间内接收到客户端生成并发送的重认证报文，所述重认证报文包括加密数据，所述加密数据为所述客户端根据预先生成的第二共享对等密钥对认证数据进行加密处理而生成时，根据预先生成的所述客户端对应的第一共享对等密钥对所述加密数据进行解密处理获得解密数据，所述第一共享对等密钥与所述第二共享对等密钥相同；判断所述解密数据与对比数据是否相符，如果是则重认证成功。本发明实施例的技术方案在对客户端的重认证过程中无需认证服务器的参与，从而降低了认证服务器的负载。

1.  一种认证方法，其特征在于，包括：
当判断出在设置的有效时间内接收到客户端生成并发送的重认证报文，所述重认证报文包括加密数据，所述加密数据为所述客户端根据预先生成的第二共享对等密钥对认证数据进行加密处理而生成时，根据预先生成的所述客户端对应的第一共享对等密钥对所述加密数据进行解密处理获得解密数据，所述第一共享对等密钥与所述第二共享对等密钥相同；
判断所述解密数据与对比数据是否相符，如果是则重认证成功。

2.  根据权利要求1所述的方法，其特征在于，所述判断出在设置的有效时间内接收到客户端生成并发送的重认证报文之前还包括：
生成并向所述客户端发送主动探测报文。

3.  根据权利要求1所述的方法，其特征在于，当判断出在设置的有效时间内未接收到客户端生成并发送的重认证报文时，删除所述客户端。

4.  根据权利要求1所述的方法，其特征在于，当判断出所述解密数据与对比数据不相符时，则重认证失败，丢弃所述重认证报文。

5.  根据权利要求1至4任一所述的方法，其特征在于，还包括：通过认证服务器执行对所述客户端的认证过程，在所述认证过程中生成所述第一共享对等密钥和所述第二共享对等密钥；
所述在所述认证过程中生成所述第一共享对等密钥和所述第二共享对等密钥包括：
接收所述客户端发送的扩展认证协议EAP挑战应答报文，所述EAP挑战应答报文封装有密钥交换请求报文，所述密钥交换请求报文封装有组ID、安全素数、第一公开密钥和主板序列号摘要信息，所述第一公开密钥为根据随机生成的第一随机数、所述组ID和所述安全素数而生成，所述主板序列号摘要信息为根据读取的主板序列号而生成；
从所述EAP挑战应答报文中提取出密钥交换请求报文；
当收到认证服务器返回的远程拨入认证RADIUS访问接受报文时，根据随机生成的第二随机数、提取出的密钥交换请求报文中的组ID和安全素数生成第二公开密钥；
将所述第二公开密钥封装到密钥交换应答报文中，将所述密钥交换应答报文封装到EAP成功报文中；
根据所述第二公开密钥、提取出的密钥交换请求报文中的第一公开密钥和安全素数，生成第一共享对等密钥；
向客户端发送所述EAP成功报文，以供所述客户端从所述EAP成功报文中提取出所述密钥交换应答报文，根据第一公开密钥、安全素数和所述密钥交换应答报文中的第二公开密钥，生成第二共享对等密钥。

6.  根据权利要求5所述的方法，其特征在于，所述重认证报文包括主动Hello报文，所述认证数据包括主板序列号摘要信息，所述解密数据包括解密处理获得的主板序列号摘要信息，所述对比数据包括提取出的密钥交换请求报文中的主板序列号摘要信息；
则所述判断出所述解密数据与对比数据相符包括：判断出所述解密处理获得的主板序列号摘要信息与所述提取出的密钥交换请求报文中的主板序列号摘要信息相符。

7.  根据权利要求6所述的方法，其特征在于，所述主动Hello报文还包括时间戳，所述认证数据还包括时间戳，所述解密数据还包括解密处理获得的时间戳，所述对比数据还包括所述主动Hello报文中的时间戳；
则所述判断出所述解密数据与对比数据相符还包括：判断出所述解密处理获得的时间戳与所述主动Hello报文中的时间戳相符。

8.  一种网络设备，其特征在于，包括：
第一接收模块，用于接收客户端生成并发送的重认证报文，所述重认证报文包括加密数据，所述加密数据为所述客户端根据预先生成的第二共享对等密钥对认证数据进行加密处理而生成；
第一判断模块，用于判断在设置的有效时间内所述第一接收模块是否接收到客户端生成并发送的重认证报文；
解密模块，用于当所述第一判断模块判断出在设置的有效时间内接收到客户端生成并发送的重认证报文时，根据预先生成的所述客户端对应的第一共享对等密钥对所述加密数据进行解密处理获得解密数据，所述第一共享对等密钥与所述第二共享对等密钥相同；
第二判断模块，用于判断所述解密数据与对比数据是否相符，并当判断出所述解密数据与对比数据相符时重认证成功。

9.  根据权利要求8所述的网络设备，其特征在于，还包括：
第一生成模块，用于生成主动探测报文；
第一发送模块，用于将所述第一生成模块生成的主动探测报文发送给所述客户端。

10.  根据权利要求8所述的网络设备，其特征在于，还包括：
丢弃模块，用于当所述第二判断模块判断出所述解密数据与对比数据不相符时，丢弃所述重认证报文。

11.  根据权利要求8所述的网络设备，其特征在于，还包括：第一提取模块、第二生成模块、封装模块、第三生成模块和第一接收模块；
所述第一接收模块还用于接收所述客户端发送的EAP挑战应答报文，所述EAP挑战应答报文封装有密钥交换请求报文，所述密钥交换请求报文封装有组ID、安全素数、第一公开密钥和主板序列号摘要信息，所述第一公开密钥为根据随机生成的第一随机数、所述组ID和所述安全素数而生成，所述主板序列号摘要信息为根据读取的主板序列号而生成；
第一提取模块，用于从所述第一接收模块接收的所述EAP挑战应答报文中提取出密钥交换请求报文；
第二生成模块，用于根据随机生成的第二随机数、所述第一提取模块提取出的密钥交换请求报文中的组ID和安全素数生成第二公开密钥；
封装模块，用于将所述第二生成模块生成的第二公开密钥封装到密钥交换应答报文中，将所述密钥交换应答报文封装到EAP成功报文中；
第三生成模块，用于根据所述第二生成模块生成的第二公开密钥、所述提取模块提取出的密钥交换请求报文中的第一公开密钥和安全素数，生成第一共享对等密钥；
第一发送模块，用于向所述客户端发送所述EAP成功报文。

12.  一种客户端，其特征在于，包括：
第四生成模块，用于根据预先生成的第二共享对等密钥对认证数据进行加密处理生成加密数据，并生成重认证报文，所述重认证报文包括加密数据；
第二发送模块，用于向网络设备发送所述重认证报文，以供
网络设备在设置的有效时间内接收到客户端生成并发送的重认证报文，根据预先生成的所述客户端对应的第一共享对等密钥对所述加密数据进行解密处理获得解密数据，判断所述解密数据与对比数据是否相符，并当判断出所述解密数据与对比数据相符时重认证成功，所述第一共享对等密钥与所述第二共享对等密钥相同。

13.  根据权利要求12所述的客户端，其特征在于，还包括：第二接收模块、第二提取模块、第五生成模块和第六生成模块；
第五生成模块，用于根据随机生成的第一随机数、生成的组号和安全素数生成第一公开密钥，以及根据读取的主板序列号生成主板序列号摘要信息；
第二接收模块，用于接收网络设备发送的EAP成功报文，所述EAP成功报文封装有密钥交换应答报文，所述密钥交换应答报文封装有第二公开密钥；
第二提取模块，用于从所述EAP成功报文中提取出所述密钥交换应答报文；
第六生成模块，用于根据所述第五生成模块生成的第一公开密钥、安全素数和所述第二提取模块提取出的密钥交换应答报文中的第二公开密钥，生成第二共享对等密钥。

14.  一种认证系统，其特征在于，包括：客户端和网络设备；
所述客户端，用于根据预先生成的第二共享对等密钥对认证数据进行加密处理生成加密数据，生成并向所述网络设备发送重认证报文，所述重认证报文包括所述加密数据；
所述网络设备，用于判断出在设置的有效时间内接收到客户端生成并发送的重认证报文，根据预先生成的所述客户端对的第一共享对等密钥对所述加密数据进行解密处理获得解密数据，判断所述解密数据与对比数据是否相符，当判断出所述解密数据与对比数据相符时重认证成功，所述第一共享对等密钥与所述第二共享对等密钥相同。

认证方法、系统、客户端和网络设备
技术领域
本发明实施例涉及认证技术领域，特别涉及一种认证方法、系统、客户端和网络设备。
背景技术
目前，宽带接入网络通常依据802.1x协议完成客户端的网络接入控制。基于802.1x协议的认证系统包括：客户端、网络设备和认证服务器。其中，客户端作为认证过程中的请求者(Supplicant)，可以安装在用户PC中，认证服务器可以驻留在运营商的计费认证授权中心，网络设备可以作为认证过程中的认证者(Authenticator)。客户端与网络设备之间运行802.1x定义的基于局域网的扩展认证(Extensible Authentication Protocol over LAN，以下简称：EAPOL)协议，网络设备与认证服务器之间运行远程拨入认证(Remote Authentication Dial In User Service，以下简称：RADIUS)协议。客户端接入网络过程中，网络设备通过认证服务器对客户端进行认证，如果认证成功则允许客户端接入网络，此时客户端可以访问网络资源。并且根据802.1x协议中规定的客户端的重认证机制，在客户端接入网络后，网络设备还可以对客户端进行重认证，以获知客户端是否在线。
为避免客户端异常下线时网络设备不能及时探测到客户端下线的问题，现有技术中通常采用定时重认证方法对客户端进行重认证。网络设备定时向客户端发送重认证请求，客户端在接收到重认证请求后向网络设备返回响应，网络设备通过认证服务器对客户端进行认证，从而完成对客户端的重认证过程。
但是，现有技术中每次对客户端的重认证过程均需要认证服务器的参与，这导致认证服务器负载过重。
发明内容
本发明实施例提供一种认证方法、系统、客户端和网络设备，用以降低认证服务器的负载。
本发明实施例提供了一种认证方法，包括：
当判断出在设置的有效时间内接收到客户端生成并发送的重认证报文，所述重认证报文包括加密数据，所述加密数据为所述客户端根据预先生成的第二共享对等密钥对认证数据进行加密处理而生成时，根据预先生成的所述客户端对应的第一共享对等密钥对所述加密数据进行解密处理获得解密数据，所述第一共享对等密钥与所述第二共享对等密钥相同；
判断所述解密数据与对比数据是否相符，如果是则重认证成功。
本发明实施例提供了一种网络设备，包括：
第一接收模块，用于接收客户端生成并发送的重认证报文，所述重认证报文包括加密数据，所述加密数据为所述客户端根据预先生成的第二共享对等密钥对认证数据进行加密处理而生成；
第一判断模块，用于判断在设置的有效时间内所述第一接收模块是否接收到客户端生成并发送的重认证报文；
解密模块，用于当所述第一判断模块判断出在设置的有效时间内接收到客户端生成并发送的重认证报文时，根据预先生成的所述客户端对应的第一共享对等密钥对所述加密数据进行解密处理获得解密数据，所述第一共享对等密钥与所述第二共享对等密钥相同；
第二判断模块，用于判断所述解密数据与对比数据是否相符，并当判断出所述解密数据与对比数据相符时重认证成功。
本发明实施例提供了一种客户端，包括：
第四生成模块，用于根据预先生成的第二共享对等密钥对认证数据进行加密处理生成加密数据，并生成重认证报文，所述重认证报文包括加密数据；
第二发送模块，用于向网络设备发送所述重认证报文，以供
网络设备在设置的有效时间内接收到客户端生成并发送的重认证报文，根据预先生成的所述客户端对应的第一共享对等密钥对所述加密数据进行解密处理获得解密数据，判断所述解密数据与对比数据是否相符，并当判断出所述解密数据与对比数据相符时重认证成功，所述第一共享对等密钥与所述第二共享对等密钥相同。
本发明实施例提供了一种认证系统，包括：客户端和网络设备；
所述客户端，用于根据预先生成的第二共享对等密钥对认证数据进行加密处理生成加密数据，生成并向所述网络设备发送重认证报文，所述重认证报文包括所述加密数据；
所述网络设备，用于判断出在设置的有效时间内接收到客户端生成并发送的重认证报文，根据预先生成的所述客户端对的第一共享对等密钥对所述加密数据进行解密处理获得解密数据，判断所述解密数据与对比数据是否相符，当判断出所述解密数据与对比数据相符时重认证成功，所述第一共享对等密钥与所述第二共享对等密钥相同。
本发明实施例的技术方案中，网络设备在有效时间内接收到客户端发送的包括加密数据的重认证报文，该加密数据为客户端根据第二共享对等密钥对认证数据进行加密而生成，根据与第二共享对等密钥相同的第一共享对等密钥对加密数据进行解密数据进行解密处理获得解密数据，并当判断出解密数据与对比数据相符时，则重认证成功，从而完成对客户端的重认证过程，在对客户端的重认证过程中无需认证服务器的参与，从而降低了认证服务器的负载。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
图1为本发明实施例一提供的一种认证方法的流程图；
图2a为本发明实施例二提供的一种认证方法的流程图；
图2b为本发明实施例中网络设备通过认证服务器执行对客户端的认证过程的流程图；
图3为本发明实施例三提供的一种认证方法的流程图；
图4为本发明实施例四提供的一种认证方法的流程图；
图5为本发明实施例五提供的一种网络设备的结构示意图；
图6为本发明实施例六提供的一种网络设备的结构示意图；
图7为本发明实施例七提供的一种客户端的结构示意图；
图8为本发明实施例八提供的一种客户端的结构示意图；
图9为本发明实施例九提供的一种认证系统的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
图1为本发明实施例一提供的一种认证方法的流程图，如图1所示，该方法包括：
步骤101、当判断出在设置的有效时间内接收到客户端生成并发送的重认证报文，该重认证报文包括加密数据，该加密数据为该客户端根据该客户端预先生成的第二共享对等密钥对认证数据进行加密处理而生成时，根据预先生成的该客户端对应的第一共享对等密钥对加密数据进行解密处理获得解密数据，该第一共享对等密钥与该第二共享对等密钥相同；
本实施例中，重认证报文可以包括主动Hello报文，认证数据可以包括主板序列号摘要信息，则客户端根据预先生成的第二共享对等密钥对认证数据进行加密处理生成加密数据具体为：客户端根据预先生成的第二共享对等密钥对主板序列号摘要信息进行加密处理生成加密数据；
进一步地，认证数据还可以包括时间戳，则客户端根据预先生成的第二共享对等密钥对认证数据进行加密处理生成加密数据具体为：客户端根据预先生成的第二共享对等密钥对主板序列号摘要信息和时间戳进行加密处理生成加密数据。
本实施例中，当各步骤由网络设备执行时，该客户端对应的第一共享对等密钥为网络设备预先生成的，并且该客户端对应的第一共享对等密钥与步骤101中该客户端预先生成的第二共享对等密钥相同。
本实施例中，当认证数据包括主板序列号摘要信息时，解密数据可以包括解密处理获得的主板序列号摘要信息；当认证数据包括主板序列号摘要信息和时间戳时，解密数据可以包括解密处理获得的主板序列号摘要信息和解密处理获得的时间戳。
步骤102、判断该解密数据与对比数据是否相符，如果是则重认证成功。
本实施例中，当判断出该解密数据与对比数据相符时，表明对客户端的重认证成功，从而完成对客户端的重认证过程。
本实施例中，当认证数据包括主板序列号摘要信息时，对比数据可以包括预先获得的主板序列号摘要信息，例如，主板序列号摘要信息可以从通过认证服务器执行对客户端的认证过程中生成共享对等密钥过程中客户端采用的密钥交换请求报文中获得。
本实施例中，当认证数据还包括时间戳时，对比数据还可以包括重认证报文中的时间戳，重认证报文可以主动Hello报文。
本实施例的技术方案中，在有效时间内接收到客户端发送的包括加密数据的重认证报文，该加密数据为客户端根据第二共享对等密钥对认证数据进行加密而生成，根据与第二共享对等密钥相同的第一共享对等密钥对加密数据进行解密数据进行解密处理获得解密数据，并当判断出解密数据与对比数据相符时，则重认证成功，从而完成对客户端的重认证过程，在对客户端的重认证过程中无需认证服务器的参与，从而降低了认证服务器的负载。
图2a为本发明实施例二提供的一种认证方法的流程图，如图2a所示，该方法包括：
步骤201、网络设备通过认证服务器执行对客户端的认证过程，在该认证过程中网络设备生成第一共享对等密钥以及客户端生成第二共享对等密钥；
图2b为本发明实施例中网络设备通过认证服务器执行对客户端的认证过程的流程图，如图2b所示，本实施例中，步骤201具体包括：
步骤2011、客户端向网络设备发送EAPOL开始(EAPOL-START)报文；
本步骤中，客户端发送EAPOL开始报文的目的是发送认证请求，从而发起认证过程。
步骤2012、网络设备接收到EAPOL开始报文后，向客户端发送扩展认证协议(Extensible Authentication Protocol，以下简称：EAP)请求(EAP-Request)报文，以请求客户端的用户名；
本步骤中，用户名还可称为用户ID。
步骤2013、客户端向网络设备发送EAP应答(EAP-Response)报文，该EAP应答报文封装有该客户端的用户名；
本步骤中，客户端接收到EAP请求后，将该客户端的用户名封装到EAP应答报文中并将EAP应答报文发送给网络设备。
步骤2014、网络设备向认证服务器发送RADIUS访问请求(RADIUSAccess-Request)报文，该RADIUS访问请求报文封装有该EAP应答报文；
本步骤中，网络设备接收到EAP应答报文后，将EAP应答报文封装到RADIUS访问请求报文中。进一步地，网络设备还可以将网络访问服务IP地址(NetworkAccess Server IP，以下简称：NAS IP)、网络访问服务端口(Network AccessServer Port，以下简称：NAS Port)等信息封装到该RADIUS接入请求报文，则此时发送的RADIUS访问请求报文还封装有NAS IP、NAS Port等信息。
步骤2015、认证服务器从RADIUS访问请求报文中的EAP应答报文中提取出用户名，若查询出数据库中存储有该用户名，则从数据库中提取出该用户名对应的用户密码，采用该用户密码对随机生成的加密字进行加密处理，生成第一密文；
本实施例中，随机生成的加密字可以为信息摘要(Message-digestAlgorithm 5，以下简称：MD5)值。
本实施例中，若查询出数据库中未存储有该用户名，则直接丢弃该RADIUS访问请求报文，流程结束。
步骤2016、认证服务器向网络设备发送RADIUS访问挑战(RADIUSAccess-Challenge)报文，该RADIUS访问挑战报文封装有EAP挑战请求(EAP-Challenge Request)报文，该EAP挑战请求报文封装有该随机生成的加密字；
本步骤中，认证服务器首先将随机生成的加密字封装到该EAP挑战请求报文中，并将该EAP挑战请求报文封装到RADIUS访问挑战报文的EAP信息(EAP-Message)属性中。
步骤2017、网络设备将从RADIUS访问挑战报文中提取的EAP挑战请求报文发送给客户端；
步骤2018、客户端采用用户密码对从EAP挑战请求报文中提取的随机生成的加密字进行加密处理，生成第二密文，将第二密文封装到EAP挑战应答(EAP-Challenge Response)报文中；
步骤2019、客户端打开设置的认证探测开关，客户端生成组ID(Group-ID)和安全素数(Safe-Prime)，根据该Group-ID和Safe-Prime生成第一公开密钥(Exchange-Key-C)；读取主板序列号(Motherboard serialID)，根据该Motherboard serial ID生成主板序列号摘要信息(Motherboardserial ID MD5)；
本实施例中，可以设置认证探测开关，当认证探测开关打开时，客户端会开始执行步骤2019中的过程。
其中，可以根据该Motherboard serial ID生成Motherboard serial IDMD5具体可以为：通过MD5算法对Motherboard serial ID进行计算处理，生成Motherboard serial ID MD5。
步骤2020、客户端将Group-ID、Safe-Prime、Exchange-Key-C和Motherboard serial ID MD5封装到密钥交换请求(Key-Exchange Request)报文中；
步骤2021、客户端将密钥交换请求报文封装到EAP挑战应答报文中；
具体地，客户端可以将密钥交换请求报文封装到EAP挑战应答报文的尾部。
本实施例中的封装有密钥交换请求报文的EAP挑战应答报文如下所示：
0               1               2               3             4
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|                      Src MAC                                |
+                               +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|                               |                             |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+                             +
|                                Dst MAC                      |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|          Type(0x888e)         |  Ver(0x01)    |Type(0x00)   |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|            Length             |  Code(0x02)   |     ID      |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|            Length             |     Type      | Value-Size  |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
-                                                             -
-                            Value                            -
-                                                             -
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
-                                                             -
-                          Extra Data                         -
-                                                             -
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
-                                                             -
-                          Group-ID                           -
-                                                             -
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|                                                             |
|                                                             |
                          Safe-Prime
|                                                             |
|                                                             |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|                                                             |
|                                                             |
                         Exchange-Key-C
|                                                             |
|                                                             |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|                                                             |
|                     Motherboard serial ID MD5               |
|                                                             |
|                                                             |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
本实施例中，Group-ID是由客户端声明的一个大整数，可以作为D-H密钥交换协议中的一个全局变量通告给网络设备，Group-ID是Safe-Prime的一个原根，该Group-ID可以设置为16byte；Safe-Prime是由客户端声明的一个素数，该Safe-Prime可以作为D-H密钥交换协议中的一个全局变量通告给网络设备，该Safe-Prime可以设置为16byte；生成的Motherboard serialID MD5可以设置为16byte。
本实施例中，根据该Group-ID和Safe-Prime生成Exchange-Key-C具体为：随机生成第一私有随机数Key_C(0＜＝Key_C＜＝Safe-Prime)；根据公式Exchange-Key-C＝Group-ID^Key_Cmod Safe-Prime对Key_C、Group-ID和Safe-Prime进行计算处理，生成Exchange-Key-C。
步骤2022、客户端向网络设备发送EAP挑战应答报文，该EAP挑战应答报文中封装有第二密文和密钥交换请求报文；
步骤2023、网络设备从EAP挑战应答报文中提取出密钥交换请求报文，将封装有第二密文的EAP挑战应答报文发送给认证服务器；
步骤2024、认证服务器从封装有第二密文的EAP挑战应答报文中提取出第二密文，当判断出第二密文与步骤2015中生成的第一密文一致时，将EAP成功(EAP-Success)报文封装到RADIUS访问接受(RADIUS Access-Accept)报文中；
本实施例中，当判断出第二密文与步骤2015中生成的第一密文一致时，表示认证成功，并具体可以将EAP成功报文封装到RADIUS访问接受报文的属性中。
进一步地，当判断出第二密文与步骤2015中生成的第一密文不一致时，表示认证失败，则直接向网络设备返回RADIUS接入拒绝消息，网络设备在接收到该RADIUS接入拒绝消息后，保持网络设备的端口的阻断状态，以拒绝客户端通过该端口访问网络资源，流程结束。
步骤2025、认证服务器向网络设备发送RADIUS访问接受报文，该RADIUS访问接入报文封装有EAP成功报文；
步骤2026、网络设备根据接收到的RADIUS访问接受报文，将端口的状态更改为已授权状态，并从RADIUS访问接受报文中提取出EAP成功报文；根据步骤2023中提取出的密钥交换请求报文中的Group-ID和Safe-Prime生成第二公开密钥(Exchange-Key-S)，将该Exchange-Key-S封装到密钥交换应答(Key-Exchange Reponse)报文中，并将密钥交换应答报文封装到EAP成功报文中；
本实施例中，根据步骤2023中提取出的密钥交换请求报文中的Group-ID和Safe-Prime生成Exchange-Key-S具体可以为：随机生成第二随机数Key_S(0<＝Key_S<＝Safe-Prime)；根据公式Exchange-Key-S＝Group-ID^Key_SmodSafe-Prime对Key_S、Group-ID和Safe-Prime进行计算处理，生成Exchange-Key-S。
本实施例中的封装有密钥交换应答报文的EAP成功报文如下所示：
0               1               2               3             4
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|                      Src MAC                                |
+                               +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|                               |                             |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+                             +
|                                Dst MAC                      |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|          Type(0x888e)         |  Ver(0x01)    |Type(0x00)   |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|            Length             |  Code(0x03)   |     ID      |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|            Length             |                             |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+                             +
-                                                             -
-                           Data                              -
-                                                             -
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|                                                             |
|                                                             |
                      Exchange-Key-S
|                                                             |
|                                                             |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
并且将密钥交换应答报文封装到EAP成功报文中具体可以为：将该密钥交换应答报文封装到EAP成功报文的尾部。
步骤2027、网络设备根据第二公开密钥、从步骤2023中提取出的密钥交换请求报文中的Exchange-Key-C和Safe-Prime生成该客户端对应的第一共享对等密钥；
具体地，网络设备可以根据公式Key＝Exchange-Key-S^{Exchange-Key-C}modSafe-Prime对Exchange-Key-S、Exchange-Key-C和Safe-Prime进行计算处理，生成第一共享对等密钥(Key)。
步骤2028、网络设备向客户端发送EAP成功报文，该EAP成功报文封装有密钥交换应答报文；
步骤2029、客户端从EAP成功报文中提取出密钥交换应答报文，根据Exchange-Key-C、Safe-Prime和密钥交换应答报文中的Exchange-Key-S生成第二共享对等密钥(Key)；
具体地，客户端可以根据公式Key＝Exchange-Key-C^{Exchange-Key-S}modSafe-Prime对Exchange-Key-C、Exchange-Key-S和Safe-Prime进行计算处理，生成第二共享对等密钥。
由于网络设备是根据Exchange-Key-C、Exchange-Key-S和Safe-Prime生成第一共享对等密钥，客户端是根据Exchange-Key-C、Exchange-Key-S和Safe-Prime生成第二共享对等密钥，并且Exchange-Key-S^{Exchange-Key-C}modSafe-Prime＝Exchange-Key-C^{Exchange-Key-S}mod Safe-Prime，因此步骤2027中网络设备生成的第一共享对等密钥与步骤2029中客户端生成的第二共享对等密钥相同。
本实施例中，在执行完步骤2019后即完成了对客户端的首次认证过程，并且在首次认证过程中客户端和网络设备生成了共享对等密钥。
步骤202、网络设备判断在设置的有效时间内是否接收到客户端生成并发送的主动Hello报文，该主动Hello报文包括时间戳(Timestamp)和加密数据，该加密数据为客户端根据第二共享对等密钥对Motherboard serial IDMD5和Timestamp进行加密处理而生成，如果是则执行步骤203，如果否则执行步骤207；
本实施例中，判断在设置的有效时间内具体可以为通过定时器来判断是否达到有效时间。
本实施例中，客户端可以按照设定时间间隔生成主动Hello报文，并向网络设备发送该主动Hello报文，生成的主动Hello报文可如下所示：
0               1               2               3             4
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|  Ver          |    Type       |          Length             |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|                           Timestamp                         |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|                                                             |
+                                                             +
|                                                             |
+                           Ciphertext                        +
|                                                             |
+                                                             +
|                                                             |
+                                                             +
|                                                             |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
-                                                             -
-                           User Name                         -
-                                                             -
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
该主动Hello报文可以是在EAPOL报文的基础上私有定义的报文，该主动Hello报文的具体字段包括：版本(Ver)、类型(Type)、长度(Length)、时间戳(Timestamp)、加密数据(Ciphetext)和用户名(User Name)。
Ver可以设置为0x01，为802.1x认证协议版本号。
Type可以设置为私有类型0Xc2，表示该报文为主动Hello报文。
Length表示报文中负载的长度，即从Ver字段到User Name字段的长度，以byte为单位。
Timestamp表示时间戳，长度可以设置为4byte。
Cliphetext表示加密数据，长度可以设置为20byte。本实施例中，客户端可以根据第二共享对等密钥对Motherboard serial ID MD5和Timestamp进行加密处理生成该加密数据，具体地，客户端可以通过RC4算法根据第二共享对等密钥对Motherboard serial ID MD5和Timestamp进行加密处理生成该加密数据。
User Name作为用户表示，用于标识客户端的用户名。
本实施例中，由于每次生成主动Hello报文的时间戳是不同的，因此根据时间戳生成的加密数据也是不同的。
步骤203、网络设备根据该客户端对应的第一共享对等密钥对Hello报文中的加密数据进行解密处理获得Motherboard serial ID MD5和Timestamp；
具体地，网络设备可以通过RC4算法根据第一共享对等密钥对Hello报文中的加密数据进行解密处理获得Motherboard serial ID MD5和Timestamp。
网络设备可以生成不同的客户端对应的共享对等密钥。本实施例中，网络设备可以从不同的客户端对应的共享对等密钥中查找出该客户端对应的共享对等密钥。具体地，网络设备可以根据主动Hello报文中包括的用户名从不同的客户端对应的共享对等密钥中查找出该客户端的用户名对应的第一共享对等密钥，其中，该用户名对应的第一共享对等密钥即为该客户端对应的第一共享对等密钥。
步骤204、网络设备判断解密处理获得的Motherboard serial ID MD5与从步骤2023中提取出的密钥交换请求报文中的Motherboard serial ID MD5是否相符以及解密处理获得的Timestamp与Hello报文中的Timestamp是否相符，如果是则重认证成功并执行步骤205、如果否则重认证失败并执行步骤206；
如果判断出解密处理获得的Motherboard serial ID MD5与从步骤2023中提取出的密钥交换请求报文中的Motherboard serial ID MD5相符以及解密处理获得的Timestamp与Hello报文中的Timestamp相符，则执行步骤205；如果判断出解密处理获得的Motherboard serial ID MD5与从步骤2023中提取出的密钥交换请求报文中的Motherboard serial ID MD5不相符和/或解密处理获得的Timestamp与Hello报文中的Timestamp不相符，则执行步骤206；
步骤205、网络设备重置定时器，并继续执行步骤202；
本实施例中，当网络设备判断出解密处理获得的Motherboard serial IDMD5与从步骤2023中提取出的密钥交换请求报文中的Motherboard serial IDMD5相符以及解密处理获得的Timestamp与Hello报文中的Timestamp相符时，即表示对客户端的此次重认证成功，则重置定时器。
本实施例中，重置定时器即为将定时器归零，重新开始计时。
步骤206、网络设备丢弃该主动Hello报文，并继续执行步骤202；
步骤207、网络设备删除该客户端以及该客户端对应的第一共享对等密钥；
进一步地，本实施例中，当客户端主动下线时，客户端会向网络设备发送主动下线(Logoff)报文，则网络设备删除该客户端以及该客户端对应的第一共享对等密钥。
本实施例中，当网络设备判断出在设置的有效时间内未接收到客户端生成并发送的主动Hello报文时，表明客户端下线，则网络设备将删除该客户端以及该客户端对应的第一共享对等密钥。
本实施例的技术方案中，在网络设备通过认证服务器执行对客户端的认证过程中，客户端通过从网络设备获取的第二公开密钥而生成第二共享对等密钥，网络设备通过从客户端获取的第一公开密钥而生成第一共享对等密钥，该第一共享对等密钥与第二共享对等密钥相同，在对客户端进行重认证过程中，客户端根据第二共享对等密钥对主板序列号摘要信息和时间戳进行加密生成加密数据，网络设备在有效时间内接收到客户端发送的包括加密数据的主动Hello报文时，根据第一共享对等密钥对加密数据进行解密数据获得主板序列号摘要信息和时间戳，并判断出解密获得的主板序列号摘要信息和时间戳分别与密钥交换请求报文中的主板序列号摘要信息以及主动Hello报文中的时间戳是否相符，从而完成对客户端的重认证过程，在对客户端的重认证过程中无需认证服务器的参与，从而降低了认证服务器的负载。本实施例中，由于客户端每次生成主动Hello报文的时间戳是不同的以及根据时间戳生成的加密数据也是不同的，因此客户端每次向网络设备发送的重认证报文也是不同的，从而有效避免了客户端上的已认证用户下线后，其它用户冒充该已认证用户登录客户端访问网络资源的问题，避免了给已认证用户造成损失，保证了网络的安全性。
图3为本发明实施例三提供的一种认证方法的流程图，如图3所示，该方法包括：
步骤301、网络设备通过认证服务器执行对客户端的认证过程，在该认证过程中网络设备生成第一共享对等密钥以及客户端生成第二共享对等密钥；
对步骤301的具体地描述可参见图2b以及实施例二中步骤201的描述。
步骤302、网络设备生成并向客户端发送主动探测(Detect)报文；
本实施例中，当网络设备发生异常事件，例如MAC地址冲突，则可以主动生成并向客户端发送主动探测报文。
本实施例中，生成的主动探测报文可如下所示：
0               1               2               3             4
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|  Ver          |    Type       |          Length             |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
-                                                             -
-                           User Name                         -
-                                                             -
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
该主动探测报文可以是在EAPOL报文的基础上私有定义的报文，该主动探测报文的具体字段包括：版本(Ver)、类型(Type)、长度(Length)和用户名(User Name)。
Ver可以设置为0x01，为802.1x认证协议版本号。
Type可以设置为私有类型0Xc3，表示该报文为主动探测报文。
Length表示报文中负载的长度，以byte为单位。
User Name作为用户表示，用于标识客户端上认证用户的用户名。
步骤303、网络设备判断在设置的有效时间内是否接收到客户端生成并发送的主动Hello报文，该主动Hello报文包括时间戳(Timestamp)和加密数据，该加密数据为客户端根据第二共享对等密钥对Motherboard serial IDMD5和Timestamp进行加密处理而生成，如果是则执行步骤304，如果否则执行步骤308；
对步骤303的描述可参见实施例二中的步骤202。
步骤304、网络设备根据该客户端对应的第一共享对等密钥对Hello报文中的加密数据进行解密处理获得Motherboard serial ID MD5和Timestamp；
对步骤304的描述可参见实施例二中的步骤203。
步骤305、网络设备判断解密处理获得的Motherboard serial ID MD5与从步骤2023中提取出的密钥交换请求报文中的Motherboard serial ID MD5是否相符以及解密处理获得的Timestamp与Hello报文中的Timestamp是否相符，如果是则重认证成功并执行步骤306、如果否则重认证失败并执行步骤307；
对步骤305的描述可参见实施例二中的步骤204。
步骤306、网络设备重置定时器，并继续执行步骤303；
对步骤306的描述可参见实施例二中的步骤205。
步骤307、网络设备丢弃该主动Hello报文，并继续执行步骤303；
步骤308、网络设备删除该客户端以及该客户端对应的第一共享对等密钥；
对步骤308的描述可参见实施例二中的步骤207。
本实施例的技术方案中，在网络设备通过认证服务器执行对客户端的认证过程中，客户端通过从网络设备获取的第二公开密钥而生成第二共享对等密钥，网络设备通过从客户端获取的第一公开密钥而生成第一共享对等密钥，该第一共享对等密钥与第二共享对等密钥相同，在对客户端进行重认证过程中，当客户端接收到网络设备发送的主动探测报文时，客户端根据第二共享对等密钥对主板序列号摘要信息和时间戳进行加密生成加密数据，网络设备在有效时间内接收到客户端发送的包括加密数据的主动Hello报文时，根据第一共享对等密钥对加密数据进行解密数据获得主板序列号摘要信息和时间戳，并判断出解密获得的主板序列号摘要信息和时间戳分别与密钥交换请求报文中的主板序列号摘要信息以及主动Hello报文中的时间戳是否相符，从而完成对客户端的重认证过程，在对客户端的重认证过程中无需认证服务器的参与，从而降低了认证服务器的负载。本实施例中，由于客户端每次生成主动Hello报文的时间戳是不同的以及根据时间戳生成的加密数据也是不同的，因此客户端每次向网络设备发送的重认证报文也是不同的，从而有效避免了客户端上的已认证用户下线后，其它用户冒充该已认证用户登录客户端访问网络资源的问题，避免了给已认证用户造成损失，保证了网络的安全性。
图4为本发明实施例四提供的一种认证方法的流程图，如图4所示，该方法包括：
步骤401、网络设备通过认证服务器执行对客户端的认证过程，在该认证过程中网络设备生成第一共享对等密钥以及客户端生成第二共享对等密钥；
对步骤401的具体地描述可参见图2b以及实施例二中步骤201的描述。
步骤402、网络设备生成并向客户端发送主动探测(Detect)报文；
对步骤402的描述可参见实施例三中的步骤302。
步骤403、网络设备判断在设置的有效时间内是否接收到客户端生成并发送的主动Hello报文，该主动Hello报文包括时间戳(Timestamp)和加密数据，该加密数据为客户端根据第二共享对等密钥对Motherboard serial IDMD5和Timestamp进行加密处理而生成，如果是则执行步骤404，如果否则执行步骤408；
对步骤403的描述可参见实施例三中的步骤303。
步骤404、网络设备根据该客户端对应的第一共享对等密钥对Hello报文中的加密数据进行解密处理获得Motherboard serial ID MD5和Timestamp；
步骤405、网络设备判断解密处理获得的Motherboard serial ID MD5与从步骤2023中提取出的密钥交换请求报文中的Motherboard serial ID MD5是否相符以及解密处理获得的Timestamp与Hello报文中的Timestamp是否相符，如果是则重认证成功并执行步骤406、如果否则重认证失败并执行步骤407；
对步骤405的描述可参见实施例三中的步骤404。
步骤406、网络设备重置定时器，并继续执行步骤403；
对步骤406的描述可参见实施例三中的步骤306。
步骤407、网络设备丢弃该主动Hello报文，并继续执行步骤403；
步骤408、网络设备判断向客户端发送主动探测报文的次数是否达到设置的阈值，如果否则继续执行步骤402，如果是则执行步骤409；
例如本实施例中，设置的阈值可以为3。
步骤409、网络设备删除该客户端以及该客户端上对应的第一共享对等密钥；
对步骤409的描述可参见实施例三中的步骤308。
本实施例的技术方案与上述实施例三的区别在于，本实施例中可以设置阈值，当网络设备判断出向客户端发送主动探测报文的次数达到设置的阈值时再删除客户端以及该客户端上对应的第一共享对等密钥。
图5为本发明实施例五提供的一种网络设备的结构示意图，如图5所示，该网络设备包括：第一接收模块11、第一判断模块12、解密模块13和第二判断模块14；
第一接收模块11用于接收客户端生成并发送的重认证报文，所述重认证报文包括加密数据，所述加密数据为所述客户端根据预先生成的第二共享对等密钥对认证数据进行加密处理而生成；第一判断模块12用于判断在设置的有效时间内所述第一接收模块11是否接收到客户端生成并发送的重认证报文；解密模块13用于当所述第一判断模块12判断出在设置的有效时间内接收到客户端生成并发送的重认证报文时，根据预先生成的所述客户端对应的第一共享对等密钥对所述加密数据进行解密处理获得解密数据，所述第一共享对等密钥与所述第二共享对等密钥相同；第二判断模块14用于判断所述解密数据与对比数据是否相符，并当判断出所述解密数据与对比数据相符时重认证成功。
图6为本发明实施例六提供的一种网络设备的结构示意图，如图6所示，在上述实施例五的基础上，该网络设备还包括第一发送模块15和第一生成模块16。该第一生成模块16用于生成主动探测报文，第一发送模块15用于将所述第一生成模块16生成的主动探测报文发送给所述客户端。
进一步地，该网络设备还可以包括丢弃模块17。该丢弃模块17用于当所述第二判断模块14判断出所述解密数据与对比数据不相符时，丢弃所述重认证报文。
进一步地，该网络设备还可以包括第一提取模块18、第二生成模块19、封装模块20和第三生成模块21。
所述第一接收模块11还用于接收所述客户端发送的EAP挑战应答报文，所述EAP挑战应答报文封装有密钥交换请求报文，所述密钥交换请求报文封装有组ID、安全素数、第一公开密钥和主板序列号摘要信息，所述第一公开密钥为根据随机生成的第一随机数、所述组ID和所述安全素数而生成，所述主板序列号摘要信息为根据读取的主板序列号而生成；第一提取模块18用于从所述第一接收模块11接收的所述EAP挑战应答报文中提取出密钥交换请求报文；第二生成模块19用于根据随机生成的第二随机数、所述第一提取模块18提取出的密钥交换请求报文中的组ID和安全素数生成第二公开密钥；封装模块20用于将所述第二生成模块19生成的第二公开密钥封装到密钥交换应答报文中，将所述密钥交换应答报文封装到EAP成功报文中；第三生成模块21用于根据所述第二生成模块19生成的第二公开密钥、所述第一提取模块18提取出的密钥交换请求报文中的第一公开密钥和安全素数，生成第一共享对等密钥；所述第一发送模块15用于向所述客户端发送所述EAP成功报文。
上述实施例五和实施例六的网络设备，在有效时间内接收到客户端发送的包括加密数据的重认证报文，该加密数据为客户端根据第一共享对等密钥对认证数据进行加密而生成，根据与第一共享对等密钥相同的第二共享对等密钥对加密数据进行解密数据进行解密处理获得解密数据，并判断解密数据与对比数据是否相符，从而完成对客户端的重认证过程，在对客户端的重认证过程中无需认证服务器的参与，从而降低了认证服务器的负载。
图7为本发明实施例七提供的一种客户端的结构示意图，如图7所示，该客户端包括：第四生成模块22和第二发送模块23。
第四生成模块22用于根据预先生成的第二共享对等密钥对认证数据进行加密处理生成加密数据，并生成重认证报文，所述重认证报文包括加密数据；第二发送模块23用于向网络设备发送所述重认证报文，以供网络设备在设置的有效时间内接收到客户端生成并发送的重认证报文，根据预先生成的客户端对应的第一共享对等密钥对所述加密数据进行解密处理获得解密数据，判断所述解密数据与对比数据是否相符，当判断出所述解密数据与对比数据相符时重认证成功，该第一共享对等密钥与第二共享对等密钥相同。
图8为本发明实施例八提供的一种客户端的结构示意图，如图8所示，在上述实施例七的基础上，本实施例中的客户端还包括：第二接收模块24和第五生成模块25、第二提取模块26和第六生成模块27；
第五生成模块25用于根据随机生成的第一随机数、生成的组ID和安全素数生成第一公开密钥，以及根据读取的主板序列号生成主板序列号摘要信息；第二接收模块24用于接收网络设备发送的EAP成功报文，所述EAP成功报文封装有密钥交换应答报文，所述密钥交换应答报文封装有第二公开密钥；第二提取模块26用于从所述EAP成功报文中提取出所述密钥交换应答报文；第六生成模块27用于根据所述第五生成模块25生成的第一公开密钥、安全素数和所述第二提取模块26提取出的密钥交换应答报文中的第二公开密钥，生成第二共享对等密钥。
上述实施例七和实施例八的客户端，根据第二共享对等密钥对认证数据进行加密生成加密数据，并向网络设备发送包括加密数据的重认证报文，由网络设备根据与第二共享对等密钥相同的第一共享对等密钥对加密数据进行解密数据进行解密处理获得解密数据，并判断解密数据与对比数据是否相符，从而完成对客户端的重认证过程，在对客户端的重认证过程中无需认证服务器的参与，从而降低了认证服务器的负载。
图9为本发明实施例九提供的一种认证系统的结构示意图，如图9所示，该系统包括网络设备1和客户端2。
客户端2用于根据预先生成的第二共享对等密钥对认证数据进行加密处理生成加密数据，生成并向网络设备1发送重认证报文，所述重认证报文包括所述加密数据；网络设备1用于判断出在设置的有效时间内接收到客户端生成并发送的重认证报文，根据预先生成的该客户端2对应的第一共享对等密钥对所述加密数据进行解密处理获得解密数据，并判断解密数据与对比数据是否相符，当判断出所述解密数据与对比数据相符时重认证成功，该第一共享对等密钥与该第二共享对等密钥相同。
本实施例的认证系统，网络设备在有效时间内接收到客户端发送的包括加密数据的重认证报文，该加密数据为客户端根据第二共享对等密钥对认证数据进行加密而生成，根据第二共享对等密钥相同的第一共享对等密钥对加密数据进行解密数据进行解密处理获得解密数据，并判断解密数据与对比数据是否相符，从而完成对客户端的重认证过程，网络设备在对客户端的重认证过程中无需认证服务器的参与，从而降低了认证服务器的负载。
本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。