用户重认证方法及接入控制器.pdf

摘要
申请专利号：	CN201210343850.2	申请日：	2012.09.14
公开号：	CN102833746A	公开日：	2012.12.19
当前法律状态：	授权	有效性：	有权
法律详情：	专利权人的姓名或者名称、地址的变更IPC(主分类):H04W 12/04变更事项:专利权人变更前:福建星网锐捷网络有限公司变更后:锐捷网络股份有限公司变更事项:地址变更前:350002 福建省福州市仓山区金山大道618号桔园州工业园19＃楼变更后:350002 福建省福州市仓山区金山大道618号桔园州工业园19＃楼\|\|\|授权\|\|\|实质审查的生效IPC(主分类):H04W 12/04申请日:20120914\|\|\|公开
IPC分类号：	H04W12/04(2009.01)I; H04W12/06(2009.01)I; H04W28/18(2009.01)I	主分类号：	H04W12/04
申请人：	福建星网锐捷网络有限公司
发明人：	张碧仙
地址：	350002 福建省福州市仓山区金山大道618号桔园州工业园19＃楼
优先权：
专利代理机构：	北京同立钧成知识产权代理有限公司 11205	代理人：	刘芳
PDF下载：	PDF下载

内容摘要

本发明提供一种用户重认证方法及接入控制器，该方法包括：接入控制器AC根据用户设备UE的下线指令确定UE的本次下线原因，当下线原因为第一类原因时，缓存UE本次认证过程获得的第一主密钥；AC获取来自UE的关联请求消息；AC采用第一主密钥与UE进行四次握手过程，获得临时密钥。由于AC采用缓存的UE本次认证过程的第一主密钥进行四次握手协商临时密钥，节省了第一主密钥的协商过程，简化了认证过程，缩短了认证时间，解决了因频繁重认证过程导致客户端、认证者、认证服务器负担过重，系统开销大，接入效率低的问题。

权利要求书

1.一种用户重认证方法，其特征在于，包括：接入控制器AC根据用户设备UE的下线指令确定所述UE的本次下线原因，当所述下线原因为第一类原因时，缓存所述UE本次认证过程获得的第一主密钥；所述AC获取来自所述UE的关联请求消息；所述AC采用所述第一主密钥与所述UE进行四次握手过程，获得临时密钥。2.根据权利要求1所述的方法，其特征在于，所述根据UE的下线指令确定所述UE的本次下线原因包括：判断所述UE的下线指令中是否包括UE发送的局域网可扩展的身份验证协议EAPOL登出报文或认证服务器发送的对于所述UE的强制下线报文或所述AC发送的对于所述UE的强制下线命令；如果是，确定所述UE的本次下线原因为第二类原因；否则，确定所述UE的本次下线原因为第一类原因。3.根据权利要求1或2所述的方法，其特征在于，当所述下线原因为第一类原因时，还包括：所述AC缓存所述UE本次认证过程获得的用户表项；所述AC获取来自所述UE的关联请求消息之后，还包括：判断所述UE与所述用户表项是否匹配，如果是，执行所述AC采用所述第一主密钥与所述UE进行四次握手过程的步骤，否则，所述AC为所述UE与所述认证服务器转发协商消息，以使所述AC和所述UE获取第二主密钥，所述AC采用所述第二主密钥与所述UE进行四次握手过程。4.根据权利要求1或2所述的方法，其特征在于，所述缓存所述UE本次认证过程获得的第一主密钥之后，还包括：所述AC启动定时器；所述AC判断所述定时器是否到时；如果所述定时器未到时，所述AC判断是否获取到来自所述UE的关联请求消息，如果是，执行所述AC采用所述第一主密钥与所述UE进行四次握手过程的步骤，如果否，返回所述AC判断所述定时器是否到时的步骤；如果所述定时器到时，所述AC删除缓存的所述第一主密钥。5.根据权利要求4所述的方法，其特征在于，所述定时器到时之后，还包括：所述AC获取来自所述UE的关联请求消息；所述AC为所述UE与所述认证服务器转发协商消息，以使所述AC和所述UE获取第二主密钥，所述AC采用所述第二主密钥与所述UE进行四次握手过程。6.根据权利要求1或2所述的方法，其特征在于，当所述下线原因为第一类原因时，还包括：所述AC缓存所述UE本次认证过程获得的记账数据；所述AC将缓存的所述记账数据周期性地发送给所述认证服务器。7.一种接入控制器AC，其特征在于，包括：控制单元，用于根据用户设备UE的下线指令确定所述UE的本次下线原因，当所述下线原因为第一类原因时，控制缓存单元缓存所述UE本次认证过程获得的第一主密钥；所述缓存单元，用于在所述控制单元的控制下缓存所述UE本次认证过程获得的第一主密钥；获取单元，用于获取来自所述UE的关联请求消息；临时密钥单元，用于采用所述第一主密钥与所述UE进行四次握手过程，获得临时密钥。8.根据权利要求7所述的AC，其特征在于，所述控制单元具体用于判断所述UE的下线指令中是否包括UE发送的局域网可扩展的身份验证协议EAPOL登出报文或认证服务器发送的对于所述UE的强制下线报文或所述AC发送的对于所述UE的强制下线命令；如果是，确定所述UE的本次下线原因为第二类原因；否则，确定所述UE的本次下线原因为第一类原因。9.根据权利要求7或8所述的AC，其特征在于，还包括：主密钥单元；所述控制单元还用于当所述下线原因为第一类原因时，控制所述缓存单元缓存所述UE本次认证过程获得的用户表项；并用于判断所述UE与所述用户表项是否匹配，如果是，控制所述临时密钥单元采用所述第一主密钥与所述UE进行四次握手过程，否则，控制所述主密钥单元为所述UE与所述认证服务器转发协商消息，以使所述主密钥单元和所述UE获取第二主密钥，并控制所述临时密钥单元采用所述第二主密钥与所述UE进行四次握手过程；所述主密钥单元用于在所述控制单元的控制下，为所述UE与所述认证服务器转发协商消息，以使所述主密钥单元和所述UE获取第二主密钥，所述缓存单元还用于在所述控制单元的控制下缓存所述UE本次认证过程获得的用户表项。10.根据权利要求7或8所述的AC，其特征在于，所述控制单元还用于在缓存所述UE本次认证过程获得的第一主密钥之后启动定时器，判断所述定时器是否到时，如果所述定时器未到时，判断是否获取到来自所述UE的关联请求消息，如果是，控制所述临时密钥单元采用所述第一主密钥与所述UE进行四次握手过程的步骤，如果否，继续判断所述定时器是否到时，如果所述定时器到时，控制所述缓存单元删除缓存的所述第一主密钥。11.根据权利要求10所述的AC，其特征在于，所述控制单元还用于在所述定时器到时之后获取来自所述UE的关联请求消息时，控制所述主密钥单元为所述UE与所述认证服务器转发协商消息，以使所述主密钥单元和所述UE获取第二主密钥，并控制所述临时密钥单元采用所述第二主密钥与所述UE进行四次握手过程。12.根据权利要求7或8所述的AC，其特征在于，还包括：发送单元；控制单元还用于当所述下线原因为第一类原因时，控制缓存单元缓存所述UE本次认证过程获得的记账数据所述控制单元还用于控制所述发送单元将缓存的所述记账数据周期性地发送给所述认证服务器；所述缓存单元还用于在所述控制单元的控制下缓存所述UE本次认证过程获得的记账数据；所述发送单元用于在所述控制单元的控制下将缓存的所述记账数据周期性地发送给所述认证服务器。

说明书

用户重认证方法及接入控制器

技术领域

本发明涉及通信技术，尤其涉及一种用户重认证方法及接入控制器
（Access Controller，简称AC）。

背景技术

在无线局域网（Wireless Local Area Networks，以下简称WLAN）中，
为了加强网络资源的安全控制和运维管理，需要通过用户认证过程对用户
的访问进行控制。在802.1X认证体系，用户设备（User Equipment，以下
简称：UE）作为恳请者，接入点（Access Point，以下简称：AP）或AC
作为认证者，恳请者向认证者发送认证请求报文，认证者将认证请求报文
封装并发送给认证服务器，由认证服务器为恳请者提供认证服务。

由于WLAN采用公共的电磁波为传输媒介，因此，客户端在认证通
过后，可能因为射频环境因素（如：无线信号太弱、其他信号源干扰、终
端节电策略等因素）导致用户无线链路断开，从而使该用户下线，当用户
所处位置的无线链路恢复时，需要重新对该用户进行认证，才能访问网络
资源。当无线用户端所处的射频条件恶劣时，用户无线链路会频繁地断开
和恢复，从而导致用户不断地进行重认证，导致客户端、认证者、认证服
务器设备的负担过重，系统开销大，接入效率低。

发明内容

本发明提供一种用户重认证方法及接入控制器，以提高接入效率。

本发明提供一种用户重认证方法，包括：

接入控制器AC根据用户设备UE的下线指令确定所述UE的本次下
线原因，当所述下线原因为第一类原因时，缓存所述UE本次认证过程获
得的第一主密钥；

所述AC获取来自所述UE的关联请求消息；

所述AC采用所述第一主密钥与所述UE进行四次握手过程，获得临
时密钥。

如上所述的方法，其中，所述根据UE的下线报文确定所述UE的本
次下线原因包括：

判断所述UE的下线指令中是否包括UE发送的局域网可扩展的身份
验证协议EAPOL登出报文或认证服务器发送的对于所述UE的强制下线
报文或所述AC发送的对于所述UE的强制下线命令

如果是，确定所述UE的本次下线原因为第二类原因；

否则，确定所述UE的本次下线原因为第一类原因。

如上所述的方法，其中，当所述下线原因为第一类原因时，还包括：
所述AC缓存所述UE本次认证过程获得的用户表项；

所述AC获取来自所述UE的关联请求消息之后，还包括：判断所述
UE与所述用户表项是否匹配，如果是，执行所述AC采用所述第一主密
钥与所述UE进行四次握手过程的步骤，否则，所述AC为所述UE与所
述认证服务器转发协商消息，以使所述AC和所述UE获取第二主密钥，
所述AC采用所述第二主密钥与所述UE进行四次握手过程。

如上所述的方法，其中，所述缓存所述UE本次认证过程获得的第一
主密钥之后，还包括：

所述AC启动定时器；

所述AC判断所述定时器是否到时；

如果所述定时器未到时，所述AC判断是否获取到来自所述UE的关
联请求消息，如果是，执行所述AC采用所述第一主密钥与所述UE进行
四次握手过程的步骤，如果否，返回所述AC判断所述定时器是否到时的
步骤；

如果所述定时器到时，所述AC删除缓存的所述第一主密钥。

如上所述的方法，其中，所述定时器到时之后，还包括：

所述AC获取来自所述UE的关联请求消息；

所述AC为所述UE与所述认证服务器转发协商消息，以使所述AC
和所述UE获取第二主密钥，所述AC采用所述第二主密钥与所述UE进
行四次握手过程。

如上所述的方法，其中，当所述下线原因为第一类原因时，还包括：

所述AC缓存所述UE本次认证过程获得的记账数据；

所述AC将缓存的所述记账数据周期性地发送给所述认证服务器。

本发明提供一种接入控制器AC，包括：

控制单元，用于根据用户设备UE的下线指令确定所述UE的本次下
线原因，当所述下线原因为第一类原因时，控制缓存单元缓存所述UE本
次认证过程获得的第一主密钥；

所述缓存单元，用于在所述控制单元的控制下缓存所述UE本次认证
过程获得的第一主密钥；

获取单元，用于获取来自所述UE的关联请求消息；

临时密钥单元，用于采用所述第一主密钥与所述UE进行四次握手过
程，获得临时密钥。

如上所述的AC，其中，所述控制单元具体用于判断所述UE的下线
指令中是否包括UE发送的局域网可扩展的身份验证协议EAPOL登出报
文或认证服务器发送的对于所述UE的强制下线报文或所述AC发送的对
于所述UE的强制下线命令；如果是，确定所述UE的本次下线原因为第
二类原因；否则，确定所述UE的本次下线原因为第一类原因。

如上所述的AC，其中，还包括：主密钥单元；

所述控制单元还用于当所述下线原因为第一类原因时，控制所述缓存
单元缓存所述UE本次认证过程获得的用户表项；并用于判断所述UE与
所述用户表项是否匹配，如果是，控制所述临时密钥单元采用所述第一主
密钥与所述UE进行四次握手过程，否则，控制所述主密钥单元为所述UE
与所述认证服务器转发协商消息，以使所述主密钥单元和所述UE获取第
二主密钥，并控制所述临时密钥单元采用所述第二主密钥与所述UE进行
四次握手过程；

所述主密钥单元用于在所述控制单元的控制下，为所述UE与所述认
证服务器转发协商消息，以使所述主密钥单元和所述UE获取第二主密钥，

所述缓存单元还用于在所述控制单元的控制下缓存所述UE本次认证
过程获得的用户表项。

如上所述的AC，其中，所述控制单元还用于在缓存所述UE本次认
证过程获得的第一主密钥之后启动定时器，判断所述定时器是否到时，如
果所述定时器未到时，判断是否获取到来自所述UE的关联请求消息，如
果是，控制所述临时密钥单元采用所述第一主密钥与所述UE进行四次握
手过程的步骤，如果否，继续判断所述定时器是否到时，如果所述定时器
到时，控制所述缓存单元删除缓存的所述第一主密钥。

如上所述的AC，其中，所述控制单元还用于在所述定时器到时之后
获取来自所述UE的关联请求消息时，控制所述主密钥单元为所述UE与
所述认证服务器转发协商消息，以使所述主密钥单元和所述UE获取第二
主密钥，并控制所述临时密钥单元采用所述第二主密钥与所述UE进行四
次握手过程。

如上所述的AC，其中，还包括：发送单元；

控制单元还用于当所述下线原因为第一类原因时，控制缓存单元缓存
所述UE本次认证过程获得的记账数据所述控制单元还用于控制所述发送
单元将缓存的所述记账数据周期性地发送给所述认证服务器；

所述缓存单元还用于在所述控制单元的控制下缓存所述UE本次认证
过程获得的记账数据；

所述发送单元用于在所述控制单元的控制下将缓存的所述记账数据
周期性地发送给所述认证服务器。

本发明提供的用户重认证方法及接入控制器，通过AC根据UE的下
线报文确定本次下线原因，当本次下线原因是第一类原因时，缓存UE本
次认证过程获得的第一主密钥，当AC获取来自UE的关联请求消息后，
采用第一主密钥与UE进行四次握手过程，获得临时密钥，完成了重认证
的过程，由于AC采用缓存UE本次认证过程的第一主密钥进行四次握手
协商临时密钥，节省了第一主密钥的协商过程，简化了认证过程，缩短了
认证时间，解决了客户端、认证者、认证服务器设备的频繁重认证过程负
担过重，系统开销大，接入效率低的问题。

附图说明

图1为本发明实施例一的用户重认证方法流程示意图；

图2为本发明实施例二的用户重认证方法流程示意图；

图3为本发明实施例三的用户重认证方法流程示意图；

图4为本发明实施例四的用户重认证方法流程示意图；

图5为本发明实施例五的用户重认证方法流程示意图；

图6为本发明实施例六的AC的结构示意图；

图7为本发明实施例七的AC的结构示意图；

图8为本发明实施例八的AC的结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发
明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，
显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于
本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获
得的所有其他实施例，都属于本发明保护的范围。

图1为本发明实施例一的用户重认证方法流程示意图，如图1所示，该
方法包括：

步骤101：AC根据UE的下线指令确定UE的本次下线原因，当下线
原因为第一类原因时，缓存UE本次认证过程获得的第一主密钥。

具体地，在实际应用中，UE下线的原因很多，用户可能会因为不需
要再访问网络资源而主动使UE下线，也可能因为射频环境因素（如：无
线信号太弱、其他信号源干扰、终端节电策略等因素）导致UE发出解除
无线链路的报文而下线，或者被AC、服务器强制下线，然后AC根据收
到的UE的下线报文确定UE的本次下线原因，当下线原因为第一类原因
时，上述第一类原因为用户可能在短时间内发起重认证的下线原因，缓存
UE本次认证过程获得的第一主密钥。

步骤102：AC获取来自UE的关联请求消息。

步骤103：AC采用第一主密钥与UE进行四次握手过程，获得临时密
钥。

具体地，AC获取来自UE的关联请求消息，采用缓存的第一主密钥
与UE进行四次握手过程，获得临时密钥，上述临时密钥用于在AC与UE
之间的空口数据加密。

本实施例，通过AC根据UE的下线指令确定本次下线原因，当本次
下线原因是第一类原因时，缓存UE本次认证过程获得的第一主密钥，当
AC获取来自UE的关联请求消息后，采用第一主密钥与UE进行四次握手
过程，获得临时密钥，完成了重认证的过程，由于AC采用缓存UE本次
认证过程的第一主密钥进行四次握手协商临时密钥，节省了第一主密钥的
协商过程，简化了认证过程，缩短了认证时间，解决了客户端、认证者、
认证服务器设备的频繁重认证过程负担过重，系统开销大，接入效率低的
问题。

图2为本发明实施例二的用户重认证方法流程示意图，如图2所示，
该方法包括：

步骤200：UE初次认证后下线。

具体包括：第一步：关联阶段，UE向AC发送关联请求消息，完成
无线链路的建立，使UE关联上AC。

第二步：主密钥协商阶段，AC为UE与认证服务器转发协商消息，
以使AC和UE获取第一主密钥。

第三步：临时密钥协商阶段，AC采用第一主密钥与UE进行四次握
手，获得临时密钥，并存储第一主密钥、用户表项、记账数据等信息。初
次认证完成，用户通过动态主机控制协议获取到网络协议(Internet Protocol,
以下简称：IP)地址后就可以访问网络资源进行通信。

第四步，UE下线。

UE下线的原因很多，当用户因为不需要再访问网络资源或者其他原
因而主动使UE下线，UE发送局域网可扩展的身份验证协议（Extensible
Authentication Protocol over LAN，简称EAPOL）登出报文（EAPoL-logoff
报文），请求解除网络授权。

或者AC通过设置一些策略，如低流量检测，检测到一段时间内用户
流量低于阈值时，强制将用户下线，上述阈值为AC设置的用户实际访问
网络资源的流量最小值；或者AC通过CLI命令强制删除用户。

或者因为无线射频环境恶劣或其他原因，无法继续维持无线链路，导
致用户下线。

步骤201：AC判断UE的下线指令中是否包括UE发送的EAPoL-logoff
报文或认证服务器发送的对于UE的强制下线报文或AC发送的对于UE
的强制下线命令；如果是，执行步骤202，如果否，执行步骤203。

步骤202：AC确定UE的本次下线原因为第二类原因。

具体地，当UE的下线指令中包含上述UE发送的EAPoL-logoff报文
或认证服务器发送的对于UE的强制下线报文或AC发送的对于UE的强
制下线命令时，AC发送的对于UE的强制下线命令可以为命令行界面CLI
（Command Line Interface）命令，确定UE本次下线原因为第二类原因。

步骤203：AC确定UE的本次下线原因为第一类原因。

具体地，当UE的下线指令中包含上述UE发送的EAPoL-logoff报文
或认证服务器发送的对于UE的强制下线报文或AC发送的对于UE的强
制下线命令时，确定UE本次下线原因为第二类原因，当接收到除以上第
二类原因之外的所有UE下线报文都确定UE本次下线原因为第一类原因，
即因为第一类原因下线的用户可能在短时间内发起重认证。

当确定UE本次下线原因为第一类原因之后，执行步骤204。

步骤204：AC缓存UE本次认证过程获得的第一主密钥。

在本步骤中，AC缓存UE本次认证过程获得的第一主密钥，进一步
地，AC还可以缓存UE本次认证过程获得的用户表项。具体地，用户表
项至少包括：用户身份（Identity，以下简称：ID）、用户名、用户介质访
问控制（Media Access Control，以下简称：MAC）地址信息。

对于因为第一类原因下线的UE，在下线后，在短时间内会再次发起
认证，即向AC发起关联请求消息。

步骤205：AC获取来自UE的关联请求消息，执行步骤206。

本步骤即为图1所示实施例的步骤102。

步骤206：AC判断UE与用户表项是否匹配，如果否，执行步骤207；
如果是，执行步骤208。

具体地，当AC获取来自UE的关联请求消息之后，首先判断该UE
与AC缓存的用户表项是否匹配，因为，关联请求消息可能来自一个新UE，
也可能来自因第一类原因下线后重新发起关联的UE，所用判断方法为：
判断UE与AC缓存的用户表项是否匹配，更具体地为用户ID、用户名、
用户MAC地址信息是否匹配。

步骤207：AC为UE与认证服务器转发协商消息，以使AC和UE获
取第二主密钥，AC采用第二主密钥与UE进行四次握手过程。

具体地，当UE与缓存的UE本次认证过程获得的用户表项不匹配时，
则说明UE为一新用户，AC为UE与认证服务器转发协商消息，以使AC
和UE获取第二主密钥，AC采用获得的第二主密钥与UE进行四次握手过
程，获得临时密钥，完成用户认证。

步骤208：AC采用第一主密钥与UE进行四次握手过程的步骤。

具体地，当UE与用户表项匹配时，则说明UE为重关联用户，AC采
用缓存的第一主密钥与UE进行四次握手过程的步骤，获取临时密钥。本
步骤即图1所示实施例的步骤103。

本实施例中，通过判断UE的下线指令中是否包含UE发送的
EAPoL-logoff报文或认证服务器发送的对于UE的强制下线报文，确定UE
的下线原因是否为第一类原因，为UE是否缓存本次认证过程获得的第一
主密钥提供依据。在确定UE的下线原因为第一类原因之后，除了缓存UE
本次认证过程获得的第一主密钥，还缓存UE本次认证过程获得的用户表
项，当AC获取到来自UE的关联请求消息之后，根据UE与用户表项是
否匹配，判断发送关联请求消息的用户是否为重关联用户；如果是，AC
采用第一主密钥与UE进行四次握手过程，获得临时密钥，完成认证；如
果否，AC为UE与认证服务器转发协商消息，以使AC和UE获取第二主
密钥，AC采用第二主密钥与UE进行四次握手过程，获得临时密钥，完
成认证。由于增加了缓存UE本次认证过程获得的用户表项，当AC获取
到来自UE的关联请求消息之后，根据UE与用户表项是否匹配，判断是
否采用第一主密钥与UE进行四次握手过程，避免了当用户是一个新用户
时，采用第一主密钥进行四次握手过程，进行无效的认证。

图3为本发明实施例三的用户重认证方法流程示意图，如图3所示，
在图1或图2所示实施例缓存UE本次认证过程获得的第一主密钥之后，
进一步地，还包括：

步骤301：AC启动定时器。

当判断下线原因为第一类原因时，缓存UE本次认证过程获得的第一
主密钥，并启动定时器开始计时。

步骤302：AC判断定时器是否到时。若未到时，执行步骤303，若到
时，执行步骤305。

定时器的时间设置根据实际应用的环境中的射频条件进行评估设置，
推荐默认的时间为5分钟。也可根据射频条件的变化，阶段性的设置定时
器时间，例如，在一定时期内，射频条件发生变化，经过评估，确定将定
时器时间缩短为4分钟较好，则可通过CLI命令将定时器时间配置成4分
钟；或者，在一定时期内，射频条件发生变化，经过评估，确定将定时器
时间延长为8分钟较好，则可通过CLI命令将定时器时间配置成8分钟。

步骤303：AC判断是否获取到来自UE的关联请求消息，如果是，
执行步骤304，如果否返回执行步骤302。

步骤304：AC采用第一主密钥与UE进行四次握手过程。

具体地，在AC判断定时器未到时时，可采用缓存的UE本次认证过
程获得的第一主密钥，进行四次握手过程，获取临时密钥，完成认证。本
步骤304即图1所示实施例中的步骤103或图2所示实施例中的步骤208。

步骤305：如果定时器到时，AC删除缓存的第一主密钥。

具体地，如果定时器到时，未获取到来自UE的关联请求消息，则删
除缓存的第一主密钥，关闭上网通道，UE下线。

步骤306：在定时器到时之后，AC获取到来自UE的关联请求消息，
则执行步骤307。

步骤307：AC为UE与认证服务器转发协商消息，以使AC和UE获
取第二主密钥，AC采用第二主密钥与UE进行四次握手过程。

步骤307所执行的步骤，即在定时器超时之后，若AC获取到来自UE
的关联请求消息，则进行完整的认证过程，本步骤307即图1所示步骤200
的第二步与第三步所执行的操作。

本实施例中，通过在缓存UE本次认证过程获得的第一主密钥之后，
AC启动定时器，在定时器未到时之前，通过判断是否获取到来自UE的
关联请求消息，如果是，AC则采用第一主密钥与UE进行四次握手，获
得临时密钥，完成认证过程，如果否，则继续判断定时器是否到时，如果
到时，AC则删除缓存的UE本次认证过程获得的第一主密钥，关闭上网
通道，将UE下线，减轻AC负担。

图4为本发明实施例四的用户重认证方法流程示意图，图4是在图1
或图2所示方法实施例确定下线原因为第一类原因之后，还包括：

步骤401：AC缓存UE本次认证过程获得的记账数据；AC将缓存的
记账数据周期性地发送给认证服务器。

具体地，当AC判断出UE下线原因为第一类原因时，AC缓存UE本
次认证过程获得的记账数据，记账数据包括UE在线时长和流量信息等。
AC停止对记账数据的统计，并将记账数据周期性地发送给认证服务器。

步骤402：AC采用第一主密钥与UE进行四次握手过程之后，还包括：
AC在记账数据的基础上继续统计记账数据。

具体地，当AC获取到UE的关联请求消息后，采用缓存的第一主密
钥与UE进行四次握手，获得临时密钥，完成认证，即图1所示实施例的
步骤103或图2所示实施例的步骤208之后，在发送给认证服务器的记账
数据的基础上继续统计记账数据

在上述实施例中，通过缓存UE本次认证过程获得的记账数据，并将
记账数据周期性地发送给认证服务器，便于认证服务器对UE记账数据的
管理，在获取到UE发送的关联请求消息之前，AC停止对记账数据的统
计，确保在获取到UE发送的关联请求消息之前，没有新的费用产生，当
AC采用第一主密钥与UE进行四次握手过程之后，在记账数据的基础上
继续统计记账数据，确保了计费的精确问题。

图5为本发明实施例五的用户重认证方法流程示意图，图5所示实施
例是在上述各方法实施例的基础上，结合各实施例的方案，具体地：

步骤500：UE初次认证后下线。

步骤501：AC接收到UE的下线指令。

步骤502：AC判断下线原因是否为第一类原因，若否，执行步骤503，
若是，执行步骤504。

步骤503：AC停止记账数据统计，关闭上网通道，用户下线。

步骤504：AC缓存UE本次认证过程获得的用户相关信息，同时启动
定时器。

更具体地，用户相关信息包括第一主密钥、用户表项和记账数据。用
户表项至少包括用户ID，用户名，用户MAC地址。

需要说明的是，在步骤504之后，AC停止对记账数据的统计，并将
记账数据周期性地发送给所述认证服务器。

步骤505：AC判断定时器是否到时。如果是，执行步骤506，如果否，
执行步骤507。

步骤506：AC删除缓存的UE本次认证过程中的用户相关信息。

更具体地，用户相关信息包括第一主密钥、用户表项和记账数据；删
除缓存的UE本次认证过程中的用户相关信息之后，计费停止，关闭上网
通道，用户下线。

步骤507：AC判断是否获取到来自UE的关联请求消息，如果否，返
回执行步骤505，如果是，执行步骤508。

步骤508：AC判断发送关联请求消息的UE与用户表项是否匹配，如
果否，执行步骤509，如果是，执行步骤510。

更具体地，判断发送关联请求消息的UE与用户表项是否匹配，更详
细的是判断发送关联请求消息的UE的用户ID、用户名、用户MAC地址
是否在缓存的用户表项中存在，如果否，则说明发送关联请求消息的UE
是一个新的用户，执行步骤509。如果是，则说明发送关联请求消息的UE
为重认证用户，执行步骤510。

步骤509：AC为UE与认证服务器转发协商消息，以使AC和UE获
取第二主密钥，AC采用第二主密钥与UE进行四次握手。

步骤510：AC采用第一主密钥与UE进行四次握手。

更具体地，AC采用第一主密钥与UE进行四次握手，获得临时密钥，
完成认证，删除缓存的用户相关信息，生成新的用户相关信息，并在向认
证服务器发送的记账数据的基础上继续统计记账数据，并周期性地向认证
服务器发送记账数据，便于认证服务器对记账数据的管理。

步骤511：AC判断四次握手是否成功，如果是，完成认证，执行步
骤512，如果否，则返回执行步骤509。

步骤512：AC允许UE访问网络资源。

本实施例，通过对上述各实施例的结合，在判断下线原因是第一类原
因后，缓存用户相关信息，采用第一主密钥进行四次握手，获得临时密钥，
完成认证，节省了第一主密钥的协商过程，简化了认证过程，缩短了认证
时间，解决了因频繁重认证过程导致客户端、认证者、认证服务器负担过
重，系统开销大，接入效率低的问题。同时，采用定时器判断在定时器到
时之前，是否获取到UE的关联请求消息，如果是，AC则采用第一主密
钥与UE进行四次握手，获得临时密钥，完成认证过程，如果否，AC则
删除缓存的第一主密钥，关闭上网通道，将UE下线，减轻AC负担。通
过缓存的用户表项信息，判断发送关联请求消息的UE是否为新的用户，
提高重认证的可靠性，通过缓存UE本次认证过程获得的记账数据，周期
性的向认证服务器发送记账数据，便于认证服务器对UE记账数据的管理，
在获取到UE发送的关联请求消息之前，AC停止对记账数据的统计，确
保在获取到UE发送的关联请求消息之前，没有新的费用产生，当AC采
用第一主密钥与UE进行四次握手过程之后，在记账数据的基础上继续统
计记账数据，确保了计费的精确问题。

值得说明的是，在上述各方法实施例中，AC所执行的步骤也可由AP
代替AC来执行，AP与UE和认证服务器之间的交互过程与AC与UE和
认证服务器相同，此处不再赘述。

图6为本发明实施例六的AC的结构示意图；如图6所示，本实施例
的AC可以包括控制单元61、缓存单元62、获取单元63，临时密钥单元
64，其中，控制单元61，用于根据用户设备UE的下线指令确定UE的本
次下线原因，当下线原因为第一类原因时，控制缓存单元62缓存UE本次
认证过程获得的第一主密钥；缓存单元62，用于在控制单元61的控制下
缓存UE本次认证过程获得的第一主密钥；获取单元63，用于获取来自
UE的关联请求消息；临时密钥单元64，用于采用第一主密钥与UE进行
四次握手过程，获得临时密钥。

本实施例的AC中的各单元，其对应地，可执行图1所示的重认证方
法实施例的技术方案，其实现原理和执行方式可参见图1所示的重认证方
法实施例，此处不再赘述。在本实施例中，通过控制单元根据UE的下线
指令确定本次下线原因，当本次下线原因是第一类原因时，控制缓存单元
缓存UE本次认证过程获得的第一主密钥，当获取单元获取来自UE的关
联请求消息后，临时密钥单元采用第一主密钥与UE进行四次握手过程，
获得临时密钥，完成了重认证的过程，由于在重认证过程中临时密钥单元
采用缓存UE本次认证过程的第一主密钥进行四次握手协商临时密钥，节
省了第一主密钥的协商过程，简化了认证过程，缩短了认证时间，解决了
客户端、认证者、认证服务器设备的频繁重认证过程负担过重，系统开销
大，接入效率低的问题。

图7为本发明实施例七的AC的结构示意图；在图6所示AC的实施
例一的结构的基础上，进一步地，还包括主密钥单元65，如图7所示，控
制单元61具体用于判断UE的下线指令中是否包括UE发送的局域网可扩
展的身份验证协议EAPOL登出报文或认证服务器发送的对于UE的强制
下线报文或AC发送的对于UE的强制下线命令；如果是，确定UE的本
次下线原因为第二类原因；否则，确定UE的本次下线原因为第一类原因。

控制单元61还用于当下线原因为第一类原因时，控制缓存单元62缓
存UE本次认证过程获得的用户表项；并用于判断UE与用户表项是否匹
配，如果是，控制临时密钥单元64采用第一主密钥与UE进行四次握手过
程，否则，控制主密钥单元65为UE与认证服务器转发协商消息，以使主
密钥单元65和UE获取第二主密钥，并控制临时密钥单元64采用第二主
密钥与UE进行四次握手过程。

主密钥单元65用于在控制单元的控制下，为UE与认证服务器转发协
商消息，以使主密钥单元65和UE获取第二主密钥，缓存单元62还用于
在控制单元61的控制下缓存UE本次认证过程获得的用户表项。
本实施例的AC中的各单元，其对应地，可执行图2所示的重认证方法实
施例的技术方案，其实现原理和执行方式可参见图2所示的重认证方法实
施例，此处不再赘述。在本实施例中，通过控制单元判断UE的下线指令
中是否包含UE发送的EAPoL-logoff报文或认证服务器发送的对于UE的
强制下线报文或AC发送的对于UE的强制下线命令，确定UE的下线原
因是否为第一类原因，为缓存单元是否缓存UE本次认证过程获得的第一
主密钥提供依据。在控制单元确定UE的下线原因为第一类原因之后，缓
存单元除了缓存UE本次认证过程获得的第一主密钥，还缓存UE本次认
证过程获得的用户表项，获取单元获取到来自UE的关联请求消息之后，
控制单元根据UE与用户表项是否匹配，判断发送关联请求消息的用户是
否为重关联用户；如果是，控制临时密钥单元采用第一主密钥与UE进行
四次握手过程，获得临时密钥，完成认证；如果否，控制单元控制主密钥
单元为UE与认证服务器转发协商消息，以使主密钥单元和UE获取第二
主密钥，控制单元并控制临时密钥单元采用第二主密钥与UE进行四次握
手过程，获得临时密钥，完成认证。由于缓存单元在控制单元确定用户下
线原因为第一类原因之后，还缓存了UE本次认证过程获得的用户表项，
当获取单元获取到来自UE的关联请求消息之后，控制单元根据UE与用
户表项是否匹配，判断是否采用第一主密钥与UE进行四次握手过程，避
免了当用户是一个新用户时，采用第一主密钥进行四次握手过程，进行无
效的认证。

在图7所示本发明实施例七的AC结构示意图，控制单元61还用于
在缓存单元62缓存UE本次认证过程获得的第一主密钥之后启动定时器，
判断定时器是否到时，如果定时器未到时，判断是否获取到来自UE的关
联请求消息，如果是，控制临时密钥单元64采用第一主密钥与UE进行四
次握手过程的步骤，如果否，继续判断定时器是否到时，如果定时器到时，
控制缓存单元62删除缓存的第一主密钥。

控制单元61还用于在定时器到时之后获取来自UE的关联请求消息
时，控制主密钥单元65为UE与认证服务器转发协商消息，以使主密钥单
元65和UE获取第二主密钥，并控制临时密钥单元64采用第二主密钥与
UE进行四次握手过程。

本实施例的AC中的各单元，其对应地，可执行图3所示的重认证方
法实施例的技术方案，其实现原理和执行方式可参见图3所示的重认证方
法实施例，此处不再赘述。本实施例中，通过缓存单元在缓存UE本次认
证过程获得的第一主密钥之后，控制单元启动定时器，在定时器未到时之
前，通过判断是否获取到来自UE的关联请求消息，如果是，控制单元控
制临时密钥单元采用第一主密钥与UE进行四次握手，获得临时密钥，完
成认证过程，如果否，控制单元继续判断定时器是否到时，如果定时器到
时，控制单元控制缓存单元删除缓存的第一主密钥，关闭上网通道，将
UE下线，减轻AC负担。

图8为本发明实施例八的AC的结构示意图，图8是在图6或者图7
的基础上，进一步地，还包括发送单元66，如图8所示，控制单元61还
用于当下线原因为第一类原因时，控制缓存单元62缓存UE本次认证过程
获得的记账数据，控制单元61还用于控制发送单元66将记账数据周期性
地发送给认证服务器；缓存单元62还用于在控制单元61的控制下缓存
UE本次认证过程获得的记账数据发送单元66用于在控制单元61的控制
下将缓存的记账数据周期性地发送给认证服务器。

本实施例的AC中的各单元，其对应地，可执行图4所示的重认证方
法实施例的技术方案，其实现原理和执行方式可参见图4所示的重认证方
法实施例，此处不再赘述。在上述实施例中，通过缓存单元缓存UE本次
认证过程获得的记账数据，并将记账数据周期性地发送给认证服务器，便
于认证服务器对UE记账数据的管理，在获取单元获取到UE发送的关联
请求消息之前，停止对记账数据的统计，确保获取单元在获取到UE发送
的关联请求消息之前，没有新的费用产生，当临时密钥单元采用第一主密
钥与UE进行四次握手过程之后，发送单元在记账数据的基础上继续统计
记账数据，确保了计费的精确问题。

本领域普通技术人员可以理解：实现上述各方法实施例的全部或部分
步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算
机可读取存储介质中。该程序在执行时，执行包括上述各方法实施例的步
骤；而前述的存储介质包括：ROM、RAM、磁碟或者光盘等各种可以存
储程序代码的介质。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非
对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普
通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修
改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，
并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

资源描述

《用户重认证方法及接入控制器.pdf》由会员分享，可在线阅读，更多相关《用户重认证方法及接入控制器.pdf（18页珍藏版）》请在专利查询网上搜索。

1、(10)申请公布号 CN 102833746 A (43)申请公布日 2012.12.19 C N 1 0 2 8 3 3 7 4 6 A *CN102833746A* (21)申请号 201210343850.2 (22)申请日 2012.09.14 H04W 12/04(2009.01) H04W 12/06(2009.01) H04W 28/18(2009.01) (71)申请人福建星网锐捷网络有限公司地址 350002 福建省福州市仓山区金山大道 618号桔园州工业园19楼 (72)发明人张碧仙 (74)专利代理机构北京同立钧成知识产权代理有限公司 11205 代理人刘芳 (54)。

2、发明名称用户重认证方法及接入控制器 (57) 摘要本发明提供一种用户重认证方法及接入控制器，该方法包括：接入控制器AC根据用户设备UE 的下线指令确定UE的本次下线原因，当下线原因为第一类原因时，缓存UE本次认证过程获得的第一主密钥；AC获取来自UE的关联请求消息；AC采用第一主密钥与UE进行四次握手过程，获得临时密钥。由于AC采用缓存的UE本次认证过程的第一主密钥进行四次握手协商临时密钥，节省了第一主密钥的协商过程，简化了认证过程，缩短了认证时间，解决了因频繁重认证过程导致客户端、认证者、认证服务器负担过重，系统开销大，接入效率低的问题。 (51)Int.Cl. 权。

3、利要求书2页说明书10页附图5页 (19)中华人民共和国国家知识产权局 (12)发明专利申请权利要求书 2 页说明书 10 页附图 5 页 1/2页 2 1.一种用户重认证方法，其特征在于，包括：接入控制器AC根据用户设备UE的下线指令确定所述UE的本次下线原因，当所述下线原因为第一类原因时，缓存所述UE本次认证过程获得的第一主密钥；所述AC获取来自所述UE的关联请求消息；所述AC采用所述第一主密钥与所述UE进行四次握手过程，获得临时密钥。 2.根据权利要求1所述的方法，其特征在于，所述根据UE的下线指令确定所述UE的本次下线原因包括：判断所述UE的下线指令中是否包括UE。

4、发送的局域网可扩展的身份验证协议EAPOL登出报文或认证服务器发送的对于所述UE的强制下线报文或所述AC发送的对于所述UE的强制下线命令；如果是，确定所述UE的本次下线原因为第二类原因；否则，确定所述UE的本次下线原因为第一类原因。 3.根据权利要求1或2所述的方法，其特征在于，当所述下线原因为第一类原因时，还包括：所述AC缓存所述UE本次认证过程获得的用户表项；所述AC获取来自所述UE的关联请求消息之后，还包括：判断所述UE与所述用户表项是否匹配，如果是，执行所述AC采用所述第一主密钥与所述UE进行四次握手过程的步骤，否则，所述AC为所述UE与所述认证服务器转发协商消息，以。

5、使所述AC和所述UE获取第二主密钥，所述AC采用所述第二主密钥与所述UE进行四次握手过程。 4.根据权利要求1或2所述的方法，其特征在于，所述缓存所述UE本次认证过程获得的第一主密钥之后，还包括：所述AC启动定时器；所述AC判断所述定时器是否到时；如果所述定时器未到时，所述AC判断是否获取到来自所述UE的关联请求消息，如果是，执行所述AC采用所述第一主密钥与所述UE进行四次握手过程的步骤，如果否，返回所述AC判断所述定时器是否到时的步骤；如果所述定时器到时，所述AC删除缓存的所述第一主密钥。 5.根据权利要求4所述的方法，其特征在于，所述定时器到时之后，还包括：所述AC获取来。

6、自所述UE的关联请求消息；所述AC为所述UE与所述认证服务器转发协商消息，以使所述AC和所述UE获取第二主密钥，所述AC采用所述第二主密钥与所述UE进行四次握手过程。 6.根据权利要求1或2所述的方法，其特征在于，当所述下线原因为第一类原因时，还包括：所述AC缓存所述UE本次认证过程获得的记账数据；所述AC将缓存的所述记账数据周期性地发送给所述认证服务器。 7.一种接入控制器AC，其特征在于，包括：控制单元，用于根据用户设备UE的下线指令确定所述UE的本次下线原因，当所述下线原因为第一类原因时，控制缓存单元缓存所述UE本次认证过程获得的第一主密钥；所述缓存单元，用于在所述控制单。

7、元的控制下缓存所述UE本次认证过程获得的第一权利要求书CN 102833746 A 2/2页 3 主密钥；获取单元，用于获取来自所述UE的关联请求消息；临时密钥单元，用于采用所述第一主密钥与所述UE进行四次握手过程，获得临时密钥。 8.根据权利要求7所述的AC，其特征在于，所述控制单元具体用于判断所述UE的下线指令中是否包括UE发送的局域网可扩展的身份验证协议EAPOL登出报文或认证服务器发送的对于所述UE的强制下线报文或所述AC 发送的对于所述UE的强制下线命令；如果是，确定所述UE的本次下线原因为第二类原因；否则，确定所述UE的本次下线原因为第一类原因。 9.根据权利。

8、要求7或8所述的AC，其特征在于，还包括：主密钥单元；所述控制单元还用于当所述下线原因为第一类原因时，控制所述缓存单元缓存所述UE 本次认证过程获得的用户表项；并用于判断所述UE与所述用户表项是否匹配，如果是，控制所述临时密钥单元采用所述第一主密钥与所述UE进行四次握手过程，否则，控制所述主密钥单元为所述UE与所述认证服务器转发协商消息，以使所述主密钥单元和所述UE获取第二主密钥，并控制所述临时密钥单元采用所述第二主密钥与所述UE进行四次握手过程；所述主密钥单元用于在所述控制单元的控制下，为所述UE与所述认证服务器转发协商消息，以使所述主密钥单元和所述UE获取第二主密钥，所述缓存。

9、单元还用于在所述控制单元的控制下缓存所述UE本次认证过程获得的用户表项。 10.根据权利要求7或8所述的AC，其特征在于，所述控制单元还用于在缓存所述UE本次认证过程获得的第一主密钥之后启动定时器，判断所述定时器是否到时，如果所述定时器未到时，判断是否获取到来自所述UE的关联请求消息，如果是，控制所述临时密钥单元采用所述第一主密钥与所述UE进行四次握手过程的步骤，如果否，继续判断所述定时器是否到时，如果所述定时器到时，控制所述缓存单元删除缓存的所述第一主密钥。 11.根据权利要求10所述的AC，其特征在于，所述控制单元还用于在所述定时器到时之后获取来自所述UE的关联请求消息时，控。

10、制所述主密钥单元为所述UE与所述认证服务器转发协商消息，以使所述主密钥单元和所述UE获取第二主密钥，并控制所述临时密钥单元采用所述第二主密钥与所述UE进行四次握手过程。 12.根据权利要求7或8所述的AC，其特征在于，还包括：发送单元；控制单元还用于当所述下线原因为第一类原因时，控制缓存单元缓存所述UE本次认证过程获得的记账数据所述控制单元还用于控制所述发送单元将缓存的所述记账数据周期性地发送给所述认证服务器；所述缓存单元还用于在所述控制单元的控制下缓存所述UE本次认证过程获得的记账数据；所述发送单元用于在所述控制单元的控制下将缓存的所述记账数据周期性地发送给所述认证服务器。

11、。权利要求书CN 102833746 A 1/10页 4 用户重认证方法及接入控制器技术领域 0001 本发明涉及通信技术，尤其涉及一种用户重认证方法及接入控制器（Access Controller，简称AC）。背景技术 0002 在无线局域网（Wireless Local Area Networks，以下简称WLAN）中，为了加强网络资源的安全控制和运维管理，需要通过用户认证过程对用户的访问进行控制。在802.1X 认证体系，用户设备（User Equipment，以下简称：UE）作为恳请者，接入点（Access Point，以下简称：AP）或AC作为认证者，恳请者向认证者。

12、发送认证请求报文，认证者将认证请求报文封装并发送给认证服务器，由认证服务器为恳请者提供认证服务。 0003 由于WLAN采用公共的电磁波为传输媒介，因此，客户端在认证通过后，可能因为射频环境因素（如：无线信号太弱、其他信号源干扰、终端节电策略等因素）导致用户无线链路断开，从而使该用户下线，当用户所处位置的无线链路恢复时，需要重新对该用户进行认证，才能访问网络资源。当无线用户端所处的射频条件恶劣时，用户无线链路会频繁地断开和恢复，从而导致用户不断地进行重认证，导致客户端、认证者、认证服务器设备的负担过重，系统开销大，接入效率低。发明内容 0004 本发明提供一种用户重认证方法及接入。

13、控制器，以提高接入效率。 0005 本发明提供一种用户重认证方法，包括： 0006 接入控制器AC根据用户设备UE的下线指令确定所述UE的本次下线原因，当所述下线原因为第一类原因时，缓存所述UE本次认证过程获得的第一主密钥； 0007 所述AC获取来自所述UE的关联请求消息； 0008 所述AC采用所述第一主密钥与所述UE进行四次握手过程，获得临时密钥。 0009 如上所述的方法，其中，所述根据UE的下线报文确定所述UE的本次下线原因包括： 0010 判断所述UE的下线指令中是否包括UE发送的局域网可扩展的身份验证协议 EAPOL登出报文或认证服务器发送的对于所述UE的强制下线报文或所述A。

14、C发送的对于所述UE的强制下线命令 0011 如果是，确定所述UE的本次下线原因为第二类原因； 0012 否则，确定所述UE的本次下线原因为第一类原因。 0013 如上所述的方法，其中，当所述下线原因为第一类原因时，还包括：所述AC缓存所述UE本次认证过程获得的用户表项； 0014 所述AC获取来自所述UE的关联请求消息之后，还包括：判断所述UE与所述用户表项是否匹配，如果是，执行所述AC采用所述第一主密钥与所述UE进行四次握手过程的步骤，否则，所述AC为所述UE与所述认证服务器转发协商消息，以使所述AC和所述UE获取说明书CN 102833746 A 2/10页 5 第二主密钥。

15、，所述AC采用所述第二主密钥与所述UE进行四次握手过程。 0015 如上所述的方法，其中，所述缓存所述UE本次认证过程获得的第一主密钥之后，还包括： 0016 所述AC启动定时器； 0017 所述AC判断所述定时器是否到时； 0018 如果所述定时器未到时，所述AC判断是否获取到来自所述UE的关联请求消息，如果是，执行所述AC采用所述第一主密钥与所述UE进行四次握手过程的步骤，如果否，返回所述AC判断所述定时器是否到时的步骤； 0019 如果所述定时器到时，所述AC删除缓存的所述第一主密钥。 0020 如上所述的方法，其中，所述定时器到时之后，还包括： 0021 所述AC获取来自所述UE。

16、的关联请求消息； 0022 所述AC为所述UE与所述认证服务器转发协商消息，以使所述AC和所述UE获取第二主密钥，所述AC采用所述第二主密钥与所述UE进行四次握手过程。 0023 如上所述的方法，其中，当所述下线原因为第一类原因时，还包括： 0024 所述AC缓存所述UE本次认证过程获得的记账数据； 0025 所述AC将缓存的所述记账数据周期性地发送给所述认证服务器。 0026 本发明提供一种接入控制器AC，包括： 0027 控制单元，用于根据用户设备UE的下线指令确定所述UE的本次下线原因，当所述下线原因为第一类原因时，控制缓存单元缓存所述UE本次认证过程获得的第一主密钥； 0028 所。

17、述缓存单元，用于在所述控制单元的控制下缓存所述UE本次认证过程获得的第一主密钥； 0029 获取单元，用于获取来自所述UE的关联请求消息； 0030 临时密钥单元，用于采用所述第一主密钥与所述UE进行四次握手过程，获得临时密钥。 0031 如上所述的AC，其中，所述控制单元具体用于判断所述UE的下线指令中是否包括 UE发送的局域网可扩展的身份验证协议EAPOL登出报文或认证服务器发送的对于所述UE 的强制下线报文或所述AC发送的对于所述UE的强制下线命令；如果是，确定所述UE的本次下线原因为第二类原因；否则，确定所述UE的本次下线原因为第一类原因。 0032 如上所述的AC，其中，还包括。

18、：主密钥单元； 0033 所述控制单元还用于当所述下线原因为第一类原因时，控制所述缓存单元缓存所述UE本次认证过程获得的用户表项；并用于判断所述UE与所述用户表项是否匹配，如果是，控制所述临时密钥单元采用所述第一主密钥与所述UE进行四次握手过程，否则，控制所述主密钥单元为所述UE与所述认证服务器转发协商消息，以使所述主密钥单元和所述 UE获取第二主密钥，并控制所述临时密钥单元采用所述第二主密钥与所述UE进行四次握手过程； 0034 所述主密钥单元用于在所述控制单元的控制下，为所述UE与所述认证服务器转发协商消息，以使所述主密钥单元和所述UE获取第二主密钥， 0035 所述缓存单元还用。

19、于在所述控制单元的控制下缓存所述UE本次认证过程获得的用户表项。说明书CN 102833746 A 3/10页 6 0036 如上所述的AC，其中，所述控制单元还用于在缓存所述UE本次认证过程获得的第一主密钥之后启动定时器，判断所述定时器是否到时，如果所述定时器未到时，判断是否获取到来自所述UE的关联请求消息，如果是，控制所述临时密钥单元采用所述第一主密钥与所述UE进行四次握手过程的步骤，如果否，继续判断所述定时器是否到时，如果所述定时器到时，控制所述缓存单元删除缓存的所述第一主密钥。 0037 如上所述的AC，其中，所述控制单元还用于在所述定时器到时之后获取来自所述 UE的关。

20、联请求消息时，控制所述主密钥单元为所述UE与所述认证服务器转发协商消息，以使所述主密钥单元和所述UE获取第二主密钥，并控制所述临时密钥单元采用所述第二主密钥与所述UE进行四次握手过程。 0038 如上所述的AC，其中，还包括：发送单元； 0039 控制单元还用于当所述下线原因为第一类原因时，控制缓存单元缓存所述UE本次认证过程获得的记账数据所述控制单元还用于控制所述发送单元将缓存的所述记账数据周期性地发送给所述认证服务器； 0040 所述缓存单元还用于在所述控制单元的控制下缓存所述UE本次认证过程获得的记账数据； 0041 所述发送单元用于在所述控制单元的控制下将缓存的所述记账数据周。

21、期性地发送给所述认证服务器。 0042 本发明提供的用户重认证方法及接入控制器，通过AC根据UE的下线报文确定本次下线原因，当本次下线原因是第一类原因时，缓存UE本次认证过程获得的第一主密钥，当AC获取来自UE的关联请求消息后，采用第一主密钥与UE进行四次握手过程，获得临时密钥，完成了重认证的过程，由于AC采用缓存UE本次认证过程的第一主密钥进行四次握手协商临时密钥，节省了第一主密钥的协商过程，简化了认证过程，缩短了认证时间，解决了客户端、认证者、认证服务器设备的频繁重认证过程负担过重，系统开销大，接入效率低的问题。附图说明 0043 图1为本发明实施例一的用户重认证方法流程示。

22、意图； 0044 图2为本发明实施例二的用户重认证方法流程示意图； 0045 图3为本发明实施例三的用户重认证方法流程示意图； 0046 图4为本发明实施例四的用户重认证方法流程示意图； 0047 图5为本发明实施例五的用户重认证方法流程示意图； 0048 图6为本发明实施例六的AC的结构示意图； 0049 图7为本发明实施例七的AC的结构示意图； 0050 图8为本发明实施例八的AC的结构示意图。具体实施方式 0051 为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例。

23、，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员说明书CN 102833746 A 4/10页 7 在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。 0052 图1为本发明实施例一的用户重认证方法流程示意图，如图1所示，该方法包括： 0053 步骤101：AC根据UE的下线指令确定UE的本次下线原因，当下线原因为第一类原因时，缓存UE本次认证过程获得的第一主密钥。 0054 具体地，在实际应用中，UE下线的原因很多，用户可能会因为不需要再访问网络资源而主动使UE下线，也可能因为射频环境因素（如：无线信号太弱、其他信号源干扰、终端节电策略等因素。

24、）导致UE发出解除无线链路的报文而下线，或者被AC、服务器强制下线，然后AC根据收到的UE的下线报文确定UE的本次下线原因，当下线原因为第一类原因时，上述第一类原因为用户可能在短时间内发起重认证的下线原因，缓存UE本次认证过程获得的第一主密钥。 0055 步骤102：AC获取来自UE的关联请求消息。 0056 步骤103：AC采用第一主密钥与UE进行四次握手过程，获得临时密钥。 0057 具体地，AC获取来自UE的关联请求消息，采用缓存的第一主密钥与UE进行四次握手过程，获得临时密钥，上述临时密钥用于在AC与UE之间的空口数据加密。 0058 本实施例，通过AC根据UE的下线指令确定本。

25、次下线原因，当本次下线原因是第一类原因时，缓存UE本次认证过程获得的第一主密钥，当AC获取来自UE的关联请求消息后，采用第一主密钥与UE进行四次握手过程，获得临时密钥，完成了重认证的过程，由于AC采用缓存UE本次认证过程的第一主密钥进行四次握手协商临时密钥，节省了第一主密钥的协商过程，简化了认证过程，缩短了认证时间，解决了客户端、认证者、认证服务器设备的频繁重认证过程负担过重，系统开销大，接入效率低的问题。 0059 图2为本发明实施例二的用户重认证方法流程示意图，如图2所示，该方法包括： 0060 步骤200：UE初次认证后下线。 0061 具体包括：第一步：关联阶段，UE向AC发。

26、送关联请求消息，完成无线链路的建立，使UE关联上AC。 0062 第二步：主密钥协商阶段，AC为UE与认证服务器转发协商消息，以使AC和UE获取第一主密钥。 0063 第三步：临时密钥协商阶段，AC采用第一主密钥与UE进行四次握手，获得临时密钥，并存储第一主密钥、用户表项、记账数据等信息。初次认证完成，用户通过动态主机控制协议获取到网络协议(Internet Protocol,以下简称：IP)地址后就可以访问网络资源进行通信。 0064 第四步，UE下线。 0065 UE下线的原因很多，当用户因为不需要再访问网络资源或者其他原因而主动使 UE下线，UE发送局域网可扩展的身份验证协议（。

27、Extensible Authentication Protocol over LAN，简称EAPOL）登出报文（E APoL-logoff报文），请求解除网络授权。 0066 或者AC通过设置一些策略，如低流量检测，检测到一段时间内用户流量低于阈值时，强制将用户下线，上述阈值为AC设置的用户实际访问网络资源的流量最小值；或者AC 通过CLI命令强制删除用户。 0067 或者因为无线射频环境恶劣或其他原因，无法继续维持无线链路，导致用户下线。 0068 步骤201：AC判断UE的下线指令中是否包括UE发送的EAPoL-logoff报文或认证说明书CN 102833746 A 5/10页。

28、 8 服务器发送的对于UE的强制下线报文或AC发送的对于UE的强制下线命令；如果是，执行步骤202，如果否，执行步骤203。 0069 步骤202：AC确定UE的本次下线原因为第二类原因。 0070 具体地，当UE的下线指令中包含上述UE发送的EAPoL-logoff报文或认证服务器发送的对于UE的强制下线报文或AC发送的对于UE的强制下线命令时，AC发送的对于UE 的强制下线命令可以为命令行界面CLI（Command Line Interface）命令，确定UE本次下线原因为第二类原因。 0071 步骤203：AC确定UE的本次下线原因为第一类原因。 0072 具体地，当UE的下线指令。

29、中包含上述UE发送的EAPoL-logoff报文或认证服务器发送的对于UE的强制下线报文或AC发送的对于UE的强制下线命令时，确定UE本次下线原因为第二类原因，当接收到除以上第二类原因之外的所有UE下线报文都确定UE本次下线原因为第一类原因，即因为第一类原因下线的用户可能在短时间内发起重认证。 0073 当确定UE本次下线原因为第一类原因之后，执行步骤204。 0074 步骤204：AC缓存UE本次认证过程获得的第一主密钥。 0075 在本步骤中，AC缓存UE本次认证过程获得的第一主密钥，进一步地，AC还可以缓存UE本次认证过程获得的用户表项。具体地，用户表项至少包括：用户身份（Ide。

30、ntity，以下简称：ID）、用户名、用户介质访问控制（Media Access Control，以下简称：MAC）地址信息。 0076 对于因为第一类原因下线的UE，在下线后，在短时间内会再次发起认证，即向AC 发起关联请求消息。 0077 步骤205：AC获取来自UE的关联请求消息，执行步骤206。 0078 本步骤即为图1所示实施例的步骤102。 0079 步骤206：AC判断UE与用户表项是否匹配，如果否，执行步骤207；如果是，执行步骤208。 0080 具体地，当AC获取来自UE的关联请求消息之后，首先判断该UE与AC缓存的用户表项是否匹配，因为，关联请求消息可能来自一个新。

31、UE，也可能来自因第一类原因下线后重新发起关联的UE，所用判断方法为：判断UE与AC缓存的用户表项是否匹配，更具体地为用户ID、用户名、用户MAC地址信息是否匹配。 0081 步骤207：AC为UE与认证服务器转发协商消息，以使AC和UE获取第二主密钥，AC 采用第二主密钥与UE进行四次握手过程。 0082 具体地，当UE与缓存的UE本次认证过程获得的用户表项不匹配时，则说明UE为一新用户，AC为UE与认证服务器转发协商消息，以使AC和UE获取第二主密钥，AC采用获得的第二主密钥与UE进行四次握手过程，获得临时密钥，完成用户认证。 0083 步骤208：AC采用第一主密钥与UE进行四次。

32、握手过程的步骤。 0084 具体地，当UE与用户表项匹配时，则说明UE为重关联用户，AC采用缓存的第一主密钥与UE进行四次握手过程的步骤，获取临时密钥。本步骤即图1所示实施例的步骤103。 0085 本实施例中，通过判断UE的下线指令中是否包含UE发送的EAPoL-logoff报文或认证服务器发送的对于UE的强制下线报文，确定UE的下线原因是否为第一类原因，为UE 是否缓存本次认证过程获得的第一主密钥提供依据。在确定UE的下线原因为第一类原因说明书CN 102833746 A 6/10页 9 之后，除了缓存UE本次认证过程获得的第一主密钥，还缓存UE本次认证过程获得的用户表项，当A。

33、C获取到来自UE的关联请求消息之后，根据UE与用户表项是否匹配，判断发送关联请求消息的用户是否为重关联用户；如果是，AC采用第一主密钥与UE进行四次握手过程，获得临时密钥，完成认证；如果否，AC为UE与认证服务器转发协商消息，以使AC和UE获取第二主密钥，AC采用第二主密钥与UE进行四次握手过程，获得临时密钥，完成认证。由于增加了缓存UE本次认证过程获得的用户表项，当AC获取到来自UE的关联请求消息之后，根据UE与用户表项是否匹配，判断是否采用第一主密钥与UE进行四次握手过程，避免了当用户是一个新用户时，采用第一主密钥进行四次握手过程，进行无效的认证。 0086 图3为本发明实施例。

34、三的用户重认证方法流程示意图，如图3所示，在图1或图2 所示实施例缓存UE本次认证过程获得的第一主密钥之后，进一步地，还包括： 0087 步骤301：AC启动定时器。 0088 当判断下线原因为第一类原因时，缓存UE本次认证过程获得的第一主密钥，并启动定时器开始计时。 0089 步骤302：AC判断定时器是否到时。若未到时，执行步骤303，若到时，执行步骤 305。 0090 定时器的时间设置根据实际应用的环境中的射频条件进行评估设置，推荐默认的时间为5分钟。也可根据射频条件的变化，阶段性的设置定时器时间，例如，在一定时期内，射频条件发生变化，经过评估，确定将定时器时间缩短为4分钟较好，。

35、则可通过CLI命令将定时器时间配置成4分钟；或者，在一定时期内，射频条件发生变化，经过评估，确定将定时器时间延长为8分钟较好，则可通过CLI命令将定时器时间配置成8分钟。 0091 步骤303：AC判断是否获取到来自UE的关联请求消息，如果是，执行步骤304，如果否返回执行步骤302。 0092 步骤304：AC采用第一主密钥与UE进行四次握手过程。 0093 具体地，在AC判断定时器未到时时，可采用缓存的UE本次认证过程获得的第一主密钥，进行四次握手过程，获取临时密钥，完成认证。本步骤304即图1所示实施例中的步骤103或图2所示实施例中的步骤208。 0094 步骤305：如果定。

36、时器到时，AC删除缓存的第一主密钥。 0095 具体地，如果定时器到时，未获取到来自UE的关联请求消息，则删除缓存的第一主密钥，关闭上网通道，UE下线。 0096 步骤306：在定时器到时之后，AC获取到来自UE的关联请求消息，则执行步骤 307。 0097 步骤307：AC为UE与认证服务器转发协商消息，以使AC和UE获取第二主密钥，AC 采用第二主密钥与UE进行四次握手过程。 0098 步骤307所执行的步骤，即在定时器超时之后，若AC获取到来自UE的关联请求消息，则进行完整的认证过程，本步骤307即图1所示步骤200的第二步与第三步所执行的操作。 0099 本实施例中，通过在缓存U。

37、E本次认证过程获得的第一主密钥之后，AC启动定时器，在定时器未到时之前，通过判断是否获取到来自UE的关联请求消息，如果是，AC则采用第一主密钥与UE进行四次握手，获得临时密钥，完成认证过程，如果否，则继续判断定时器说明书CN 102833746 A 7/10页 10 是否到时，如果到时，AC则删除缓存的UE本次认证过程获得的第一主密钥，关闭上网通道，将UE下线，减轻AC负担。 0100 图4为本发明实施例四的用户重认证方法流程示意图，图4是在图1或图2所示方法实施例确定下线原因为第一类原因之后，还包括： 0101 步骤401：AC缓存UE本次认证过程获得的记账数据；AC将缓存的记。

38、账数据周期性地发送给认证服务器。 0102 具体地，当AC判断出UE下线原因为第一类原因时，AC缓存UE本次认证过程获得的记账数据，记账数据包括UE在线时长和流量信息等。AC停止对记账数据的统计，并将记账数据周期性地发送给认证服务器。 0103 步骤402：AC采用第一主密钥与UE进行四次握手过程之后，还包括：AC在记账数据的基础上继续统计记账数据。 0104 具体地，当AC获取到UE的关联请求消息后，采用缓存的第一主密钥与UE进行四次握手，获得临时密钥，完成认证，即图1所示实施例的步骤103或图2所示实施例的步骤 208之后，在发送给认证服务器的记账数据的基础上继续统计记账数据 0。

39、105 在上述实施例中，通过缓存UE本次认证过程获得的记账数据，并将记账数据周期性地发送给认证服务器，便于认证服务器对UE记账数据的管理，在获取到UE发送的关联请求消息之前，AC停止对记账数据的统计，确保在获取到UE发送的关联请求消息之前，没有新的费用产生，当AC采用第一主密钥与UE进行四次握手过程之后，在记账数据的基础上继续统计记账数据，确保了计费的精确问题。 0106 图5为本发明实施例五的用户重认证方法流程示意图，图5所示实施例是在上述各方法实施例的基础上，结合各实施例的方案，具体地： 0107 步骤500：UE初次认证后下线。 0108 步骤501：AC接收到UE的下线指令。。

40、 0109 步骤502：AC判断下线原因是否为第一类原因，若否，执行步骤503，若是，执行步骤504。 0110 步骤503：AC停止记账数据统计，关闭上网通道，用户下线。 0111 步骤504：AC缓存UE本次认证过程获得的用户相关信息，同时启动定时器。 0112 更具体地，用户相关信息包括第一主密钥、用户表项和记账数据。用户表项至少包括用户ID，用户名，用户MAC地址。 0113 需要说明的是，在步骤504之后，AC停止对记账数据的统计，并将记账数据周期性地发送给所述认证服务器。 0114 步骤505：AC判断定时器是否到时。如果是，执行步骤506，如果否，执行步骤507。 0115。

41、步骤506：AC删除缓存的UE本次认证过程中的用户相关信息。 0116 更具体地，用户相关信息包括第一主密钥、用户表项和记账数据；删除缓存的UE 本次认证过程中的用户相关信息之后，计费停止，关闭上网通道，用户下线。 0117 步骤507：AC判断是否获取到来自UE的关联请求消息，如果否，返回执行步骤 505，如果是，执行步骤508。 0118 步骤508：AC判断发送关联请求消息的UE与用户表项是否匹配，如果否，执行步骤 509，如果是，执行步骤510。说明书CN 102833746 A 10 8/10页 11 0119 更具体地，判断发送关联请求消息的UE与用户表项是否匹配，更详细的。

42、是判断发送关联请求消息的UE的用户ID、用户名、用户MAC地址是否在缓存的用户表项中存在，如果否，则说明发送关联请求消息的UE是一个新的用户，执行步骤509。如果是，则说明发送关联请求消息的UE为重认证用户，执行步骤510。 0120 步骤509：AC为UE与认证服务器转发协商消息，以使AC和UE获取第二主密钥，AC 采用第二主密钥与UE进行四次握手。 0121 步骤510：AC采用第一主密钥与UE进行四次握手。 0122 更具体地，AC采用第一主密钥与UE进行四次握手，获得临时密钥，完成认证，删除缓存的用户相关信息，生成新的用户相关信息，并在向认证服务器发送的记账数据的基础上继续统。

43、计记账数据，并周期性地向认证服务器发送记账数据，便于认证服务器对记账数据的管理。 0123 步骤511：AC判断四次握手是否成功，如果是，完成认证，执行步骤512，如果否，则返回执行步骤509。 0124 步骤512：AC允许UE访问网络资源。 0125 本实施例，通过对上述各实施例的结合，在判断下线原因是第一类原因后，缓存用户相关信息，采用第一主密钥进行四次握手，获得临时密钥，完成认证，节省了第一主密钥的协商过程，简化了认证过程，缩短了认证时间，解决了因频繁重认证过程导致客户端、认证者、认证服务器负担过重，系统开销大，接入效率低的问题。同时，采用定时器判断在定时器到时之前，是否获。

44、取到UE的关联请求消息，如果是，AC则采用第一主密钥与UE进行四次握手，获得临时密钥，完成认证过程，如果否，AC则删除缓存的第一主密钥，关闭上网通道，将UE下线，减轻AC负担。通过缓存的用户表项信息，判断发送关联请求消息的UE是否为新的用户，提高重认证的可靠性，通过缓存UE本次认证过程获得的记账数据，周期性的向认证服务器发送记账数据，便于认证服务器对UE记账数据的管理，在获取到UE发送的关联请求消息之前，AC停止对记账数据的统计，确保在获取到UE发送的关联请求消息之前，没有新的费用产生，当AC采用第一主密钥与UE进行四次握手过程之后，在记账数据的基础上继续统计记账数据，确保了计费。

45、的精确问题。 0126 值得说明的是，在上述各方法实施例中，AC所执行的步骤也可由AP代替AC来执行，AP与UE和认证服务器之间的交互过程与AC与UE和认证服务器相同，此处不再赘述。 0127 图6为本发明实施例六的AC的结构示意图；如图6所示，本实施例的AC可以包括控制单元61、缓存单元62、获取单元63，临时密钥单元64，其中，控制单元61，用于根据用户设备UE的下线指令确定UE的本次下线原因，当下线原因为第一类原因时，控制缓存单元 62缓存UE本次认证过程获得的第一主密钥；缓存单元62，用于在控制单元61的控制下缓存UE本次认证过程获得的第一主密钥；获取单元63，用于获取来自UE。

46、的关联请求消息；临时密钥单元64，用于采用第一主密钥与UE进行四次握手过程，获得临时密钥。 0128 本实施例的AC中的各单元，其对应地，可执行图1所示的重认证方法实施例的技术方案，其实现原理和执行方式可参见图1所示的重认证方法实施例，此处不再赘述。在本实施例中，通过控制单元根据UE的下线指令确定本次下线原因，当本次下线原因是第一类原因时，控制缓存单元缓存UE本次认证过程获得的第一主密钥，当获取单元获取来自UE的关联请求消息后，临时密钥单元采用第一主密钥与UE进行四次握手过程，获得临时密钥，说明书CN 102833746 A 11 9/10页 12 完成了重认证的过程，由于在重。

47、认证过程中临时密钥单元采用缓存UE本次认证过程的第一主密钥进行四次握手协商临时密钥，节省了第一主密钥的协商过程，简化了认证过程，缩短了认证时间，解决了客户端、认证者、认证服务器设备的频繁重认证过程负担过重，系统开销大，接入效率低的问题。 0129 图7为本发明实施例七的AC的结构示意图；在图6所示AC的实施例一的结构的基础上，进一步地，还包括主密钥单元65，如图7所示，控制单元61具体用于判断UE的下线指令中是否包括UE发送的局域网可扩展的身份验证协议EAPOL登出报文或认证服务器发送的对于UE的强制下线报文或AC发送的对于UE的强制下线命令；如果是，确定UE的本次下线原因为第二。

48、类原因；否则，确定UE的本次下线原因为第一类原因。 0130 控制单元61还用于当下线原因为第一类原因时，控制缓存单元62缓存UE本次认证过程获得的用户表项；并用于判断UE与用户表项是否匹配，如果是，控制临时密钥单元 64采用第一主密钥与UE进行四次握手过程，否则，控制主密钥单元65为UE与认证服务器转发协商消息，以使主密钥单元65和UE获取第二主密钥，并控制临时密钥单元64采用第二主密钥与UE进行四次握手过程。 0131 主密钥单元65用于在控制单元的控制下，为UE与认证服务器转发协商消息，以使主密钥单元65和UE获取第二主密钥，缓存单元62还用于在控制单元61的控制下缓存UE 本次。

49、认证过程获得的用户表项。本实施例的AC中的各单元，其对应地，可执行图2所示的重认证方法实施例的技术方案，其实现原理和执行方式可参见图2所示的重认证方法实施例，此处不再赘述。在本实施例中，通过控制单元判断UE的下线指令中是否包含UE发送的 EAPoL-logoff报文或认证服务器发送的对于UE的强制下线报文或AC发送的对于UE的强制下线命令，确定UE的下线原因是否为第一类原因，为缓存单元是否缓存UE本次认证过程获得的第一主密钥提供依据。在控制单元确定UE的下线原因为第一类原因之后，缓存单元除了缓存UE本次认证过程获得的第一主密钥，还缓存UE本次认证过程获得的用户表项，获取单元获取到来自UE的关联请求消息之后，控制单元根据UE与用户表项是否匹配，判断发送关。

展开阅读全文