技術領域

本發明涉及通信技術領域，尤其是涉及了一種認證方法和設備。

背景技術

如圖1所示，在802.1x認證過程中，認證流程可以包括：1、認證客戶端向認證設備發送EAPoL(Extensible?Authentication?Protocol?over?LAN，基于局域網的擴展認證協議)-Start(開始)報文，開始802.1x認證接入。2、認證設備向認證客戶端發送EAP-Request/Identity(請求/標識)報文，要求認證客戶端上報用戶名。3、認證客戶端回應EAP-Response(響應)/Identity給認證設備，其中包括用戶名。4、認證設備將EAP-Response/Identity報文封裝到RADIUS(Remote?Authentication?Dial?In?User?Service，遠程用戶撥號認證系)Access(獲取)-Request報文中，發送給認證服務器。5、認證服務器產生Challenge(挑戰)，并向認證設備發送RADIUS?Access-Challenge報文，該報文中包含有EAP-Request/MD5-Challenge。6、認證設備發送EAP-Request/MD5-Challenge報文給認證客戶端。7、認證客戶端在收到EAP-Request/MD5-Challenge報文后，計算Challenged?Password(密碼)，并通過EAP-Response/MD5-Challenge報文回應給認證設備。8、認證設備將Challenge，Challenged?Password和用戶名一起發送到認證服務器，由認證服務器進行認證，并回應認證成功報文或者認證失敗報文到認證設備。9、如果認證通過，認證設備向認證服務器發送計費開始請求報文，由認證服務器對相應用戶進行計費。至此，用戶上線完畢。

在上述認證流程中，認證設備只是一個匯聚層設備，即上述認證處理均在一個匯聚層設備上實現。隨著用戶數目的增加，認證方式的日趨復雜，在通過一個匯聚層設備實現認證處理時，會加重匯聚層設備的處理負擔，且容易造成網絡認證的瓶頸，并且該匯聚層設備還可能無法完成認證處理。

發明內容

本發明實施例提供一種認證方法，應用于網絡中第一認證設備，所述第一認證設備與網絡中其它認證設備組成認證聚合組，該方法包括：

所述第一認證設備維護認證能力表，所述認證能力表中記錄有認證聚合組中各認證設備的角色，處理能力以及當前處理的認證客戶端數目；如果所述第一認證設備的角色為Slave認證設備，則所述第一認證設備在收到認證報文時，從所述認證能力表中查詢本認證設備當前處理的認證客戶端數目是否達到本認證設備的處理能力；如果未達到，則對所述認證報文進行認證處理；如果達到，則在所述認證報文中添加用于表示所述認證報文當前未進行認證處理的第一標記，將所述認證報文發送給認證聚合組中Master認證設備；如果所述第一認證設備的角色為Master認證設備，則所述第一認證設備在收到攜帶了第一標記的認證報文時，所述第一認證設備從所述認證能力表中查詢到本認證設備當前處理的認證客戶端數目未達到本認證設備的處理能力時，對所述認證報文進行認證處理。

所述第一認證設備維護認證能力表的過程，具體包括：

所述第一認證設備將本認證設備到達認證服務器的跳數通知給其它認證設備，并接收來自其它認證設備的所述其它認證設備到達認證服務器的跳數，并利用本認證設備到達認證服務器的跳數和其它認證設備到達認證服務器的跳數，確定本認證設備的角色為Slave認證設備或者Master認證設備；

如果所述第一認證設備的角色為Master認證設備，則所述第一認證設備向認證聚合組中各Slave認證設備發送認證統計請求報文，并接收所述各Slave認證設備返回的認證統計響應報文，所述各認證統計響應報文中分別攜帶了對應Slave認證設備的處理能力以及當前處理的認證客戶端數目；利用所述各Slave認證設備返回的認證統計響應報文維護認證能力表，將所述認證能力表發送給所述各Slave認證設備，由所述各Slave認證設備維護所述認證能力表；

如果所述第一認證設備的角色為Slave認證設備，則所述第一認證設備接收來自認證聚合組中Master認證設備的認證統計請求報文，并向所述Master認證設備返回認證統計響應報文，所述認證統計響應報文中攜帶了本認證設備的處理能力以及當前處理的認證客戶端數目；所述第一認證設備接收并維護來自所述Master認證設備的認證能力表。