CN104349295A - Wapi计费方法、***与接入控制器 - Google Patents
Wapi计费方法、***与接入控制器 Download PDFInfo
- Publication number
- CN104349295A CN104349295A CN201310326796.5A CN201310326796A CN104349295A CN 104349295 A CN104349295 A CN 104349295A CN 201310326796 A CN201310326796 A CN 201310326796A CN 104349295 A CN104349295 A CN 104349295A
- Authority
- CN
- China
- Prior art keywords
- msisdn
- charging
- certificate
- user
- user terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本公开涉及一种WAPI计费方法、***与接入控制器。该方法包括在用户终端上线后,接入控制器AC解析自用户终端接收的用户终端证书;自用户终端证书中提取用户的移动台国际ISDN号码;在发往Radius服务器的计费消息中包含用户的移动台国际ISDN号码,以使Radius服务器利用用户的移动台国际ISDN号码MSISDN实现对用户的计费。本公开无需在Radius服务器中建立用户证书与MSISDN的对应关系。
Description
技术领域
本公开涉及WLAN(Wireless Local Area Network,无线局域网),特别地,涉及一种WAPI(WLAN Authentication and PrivacyInfrastructure,无线局域网鉴别与保密基础结构)计费方法、***与接入控制器。
背景技术
WAPI是中国提出的、以802.11无线协议为基础的无线安全标准。
WAPI标准引入数字证书实现无线终端UE(User Equipment,用户设备)和无线访问节点AP(Access Point,接入点)之间的双向鉴别,并且使用此证书对用户进行授权与计费。WAPI联盟定义了用户授权与计费的流程,如图1所示。
该流程可以包括以下步骤:
S102,WLAN UE和AP建立无线链路关联,即,UE发现并连接上AP,建立无线链路并可以进行通信。
S104,UE和AP之间通过AS(Authentication Server,认证服务器)进行WAPI双向认证,具体地:
UE向AP发送UE证书,由AP/AC(Access Controller,接入控制器)向AS发出鉴别请求,鉴别请求中包括UE证书、接入鉴别请求时间、AP证书及AP的私钥对它们的签名。AS收到AP的证书鉴别请求后,验证AP的签名和AP证书的有效性,若不正确,则鉴别过程失败,否则进一步验证UE证书。验证完毕后,AS将UE证书鉴别结果信息(包括UE证书和鉴别结果)、AP证书鉴别结果信息(包括AP证书、鉴别结果及接入鉴别请求时间)和AS对它们的签名构成证书鉴别响应发送回给AP/AC。AP/AC对AS返回的证书鉴别响应进行签名验证,得到UE证书的鉴别结果,根据此结果对UE进行接入控制。AP将收到的证书鉴别响应回送至UE。UE验证ASU(Authentication Service Unit,鉴别服务单元)的签名后,得到AP证书的鉴别结果,根据该鉴别结果决定是否接入该AP。同时,AP/AC从相关报文中提取用户的MAC(Medium AccessControl,媒体接入控制)地址信息并记录。
S106,UE和AP之间进行密钥协商:包括单播密钥协商和组播密钥协商。
S108,用户通过认证后,AP/AC向Radius(Remote AuthorizationDial In User Service,远程认证拨号用户业务)服务器通告一个合法用户通过认证,给Radius服务器发送授权请求消息(Access Request),授权请求消息中包括用户证书号、MAC地址等信息。
S110,Radius服务器根据证书号查找对应的用户信息,然后带上相关的RADIUS的属性反馈给AP/AC(反馈消息为Access Response),反馈信息中包括用户带宽、权限等信息。
S112,UE发起DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)请求流程,由AC或外置DHCP Server为UE分配用户地址。
S114,AC解析UE证书,获取UE证书序列号,通过RadiusAccounting-Request(start)报文通知Radius服务器开始计费,信息中的用户名字段携带证书序列号。
S116,AC解析UE证书,获取UE证书序列号,通过RadiusAccounting-Request(Update)报文通知Radius服务器计费更新,信息中的用户名字段携带证书序列号。
S118,用户下线时,AC通过Radius Accounting-Request(Stop)报文通知Radius服务器停止计费,携带相关的计费信息,用户名字段携带用户证书序列号。
S120,AC通知UE已停止计费,用户下线。
根据WAPI产业联盟制定的WAPI计费方案,AAA(Authentication,Authorization and Accounting,认证、授权和计费)/Radius服务器是将用户证书号作为标识进行计费和结算;而运营商的AAA***是根据用户的MSISDN(Mobile Station international ISDN number,移动台国际ISDN号码)进行计费和结算。如果采用WAPI联盟的计费方案,运营商需要在AAA/Radius服务器中新建用户证书号与MSISDN映射关系的***或模块,并且该***/模块需与CA(Certification Authority,证书管理机构)有接口,以获得用户的证书号及与MSISDN对应关系;由于用户的证书有使用周期或遗失等原因,需要对用户的证书号、及与MSISDN对应关系要及时更新。这样,一方面增加了运营商的建设成本与运维成本;另一方面改变了现有的计费结算流程,增加了日常运维的难度。
发明内容
本公开鉴于以上问题中的至少一个提出了新的技术方案。
本公开在其一个方面提供了一种WAPI计费方法,其无需在Radius服务器中建立用户证书与MSISDN的对应关系。
本公开在其另一方面提供了一种接入控制器,其无需在Radius服务器中建立用户证书与MSISDN的对应关系。
本公开在其又一方面提供了一种WAPI计费***,其无需在Radius服务器中建立用户证书与MSISDN的对应关系。
根据本公开,提供一种WAPI计费方法,包括:
在用户终端上线后,接入控制器AC解析自用户终端接收的用户终端证书;
自用户终端证书中提取用户的MSISDN;
在发往Radius服务器的计费消息中包含用户的MSISDN,以使Radius服务器利用用户的MSISDN实现对用户的计费。
在本公开的一些实施例中,发往Radius服务器的计费消息包括计费开始消息、计费更新消息和计费结束消息。
在本公开的一些实施例中,该方法还包括:
在用户通过认证后,AC解析自用户终端接收的用户终端证书,并向Radius服务器发送授权请求消息,授权请求消息中包含自用户终端证书中提取的MSISDN。
在本公开的一些实施例中,在用户终端证书的扩展字段中以TLV格式定义了MSISDN。
根据本公开,还提供了一种接入控制器,包括:
证书解析单元,用于解析自用户终端接收的用户终端证书;
MSISDN提取单元,用于自用户终端证书中提取用户的MSISDN;
计费消息处理单元,用于在发往Radius服务器的计费消息中包含用户的MSISDN,以使Radius服务器利用用户的MSISDN实现对用户的计费。
在本公开的一些实施例中,发往Radius服务器的计费消息包括计费开始消息、计费更新消息和计费结束消息。
在本公开的一些实施例中,控制器还包括:
授权请求发送单元,用于在用户通过认证后,向Radius服务器发送授权请求消息,授权请求消息中包含MSISDN提取单元自用户终端证书中提取的MSISDN。
在本公开的一些实施例中,在用户终端证书的扩展字段中以TLV格式定义了MSISDN。
根据本公开,还提供了一种WAPI计费***,包括用户终端、接入点与前述实施例的接入控制器、认证服务器以及Radius服务器。
在本公开的技术方案中,由于将MSISDN定义到了用户终端证书中,因此,无需再在Radius服务器中设置用户终端证书与MSISDN之间的映射关系。
附图说明
此处所说明的附图用来提供对本公开的进一步理解,构成本申请的一部分。在附图中:
图1是现有技术中WAPI联盟的计费流程示意图。
图2是本公开一个实施例的WAPI计费方法的流程示意图。
图3是本公开中WAPI证书中扩展字段的示意图。
图4是本公开中AC从WAPI证书中提取MSISDN的流程示意图。
图5是本公开另一实施例的WAPI计费方法的流程示意图。
图6是本公开一个实施例的接入控制器的结构示意图。
图7是本公开另一实施例的接入控制器的结构示意图。
图8是本公开一个实施例的WAPI计费***的结构示意图。
具体实施方式
下面将参照附图描述本公开。要注意的是,以下的描述在本质上仅是解释性和示例性的,决不作为对本公开及其应用或使用的任何限制。除非另外特别说明,否则,在实施例中阐述的部件和步骤的相对布置以及数字表达式和数值并不限制本公开的范围。另外,本领域技术人员已知的技术、方法和装置可能不被详细讨论,但在适当的情况下意在成为说明书的一部分。
本公开下述实施例在原有的WAPI用户证书中增加一个扩展字段,用于储存用户的MSISDN信息,这样AC在解析用户证书时就可以直接获得用户的MSISDN信息,AC在向Radius服务器发送授权请求、计费开始、计费更新及计费结束等报文时,可以直接携带MSISDN信息,这样,Radius服务器/AAA***无需进行任何改造就可以支持对WAPI用户的计费。
图2是本公开一个实施例的WAPI计费方法的流程示意图。
如图2所示,该实施例可以包括以下步骤:
S202,在用户终端上线后,AC解析自用户终端接收的用户终端证书;
其中,在用户终端证书的扩展字段中以TLV(Type-Length-Value,类型长度值)格式定义了MSISDN,以使AC发往Radius服务器时可以直接利用MSISDN取代现有技术中携带的证书号。
目前WAPI认证使用X.509 v3证书,要实现将WAPI证书转换为MSISDN,首先需要建立证书和MSISDN之间的绑定关系,可利用WAPI证书的一个扩展字段储存MSISDN信息,格式如下述表1所示:
| 证书的版本号 |
| 证书的序列号 |
| 证书颁发者名称 |
| 证书的有效期 |
| 证书持有者名称 |
| 证书持有者的公钥信息 |
| 扩展(NUM+T+L+MSISDN) |
| 证书颁发者对证书的签名采用的算法 |
| 证书颁发者对证书的签名 |
表1
根据CCITT(The International Telegraph and TelephoneConsultative Committee,国际电话电报咨询委员会)的建议,MSISDN的组成为:MSISDN=CC+NDC+SN,其中,中国国家码CC(CountryCode)为86,NDC(National Destination Code)为国内目的码,SN(Subscriber Number)为用户号码,共占11个数字,所以MSISDN共占13个数字。
X.509 v3证书扩展字段包括扩展属性个数与扩展属性列表两个字段。其中,扩展属性个数字段标识扩展属性的个数,扩展属性列表字段中的每个扩展属性以TLV格式定义:T占1个八位位组,表示类型;L占2个八位位组,表示属性值字段的八位位组数;V为属性值字段,占13个八位位组,分别存储MSISDN的13个数字。因此,证书扩展字段如图3所示。
S204,自用户终端证书中提取MSISDN;
具体地,通过扩展字段,AC就可以通过用户的WAPI证书解析得到MSISDN,解析流程可参见图4。
S206,在发往Radius服务器的计费消息中包含MSISDN,以使Radius服务器利用MSISDN实现对用户的计费,这样可以在不对Radius服务器进行改造的情况下能够正常实现对用户的计费。
在该实施例中,由于将MSISDN定义到了用户终端证书中,因此,无需再在Radius服务器中设置用户终端证书与MSISDN之间的映射关系。
其中,发往Radius服务器的计费消息可以包括但不限于计费开始消息(Radius Accounting-Request(start))、计费更新消息(RadiusAccounting-Request(update))和计费结束消息(RadiusAccounting-Request(stop))。
进一步地,在步骤S202之前,在用户通过认证后,AC解析自用户终端接收的用户终端证书,并向Radius服务器发送授权请求消息,授权请求消息中包含自用户终端证书中提取的MSISDN。
图5是本公开另一实施例的WAPI计费方法的流程示意图。
如图5所示,在授权、计费信息中直接携带AC从用户WAPI证书中解析出的MSISDN作为报文中用户名字段,具体流程如下:
(一)链路关联,即,WLAN UE和AP建立链路关联
S502,在UE与AP/AC之间发起探询过程,其中携带SSID(ServiceSer Identifier,业务集标识)和WAPI能力集,UE向AP/AC发起探询请求消息,AP/AC向UE反馈探询响应消息;
S504,UE与AP/AC间的链路验证请求响应过程;
S506,UE与AP/AC间的关联请求/响应过程,其中携带SSID和WAPI能力集,至此UE和AP建立了链路关联;
(二)WAPI双向认证:UE和AP/AC之间通过AS进行WAPI双向认证
S508,AP/AC向WLAN UE发送鉴别激活请求报文,其中包括了AP证书;
S510,UE发送接入鉴别请求给AP/AC,其中包括用户的证书信息;
S512,AP/AC向AS发送接入鉴权请求,其中携带UE证书和AP证书;
S514,AS根据UE和AP的证书进行处理后,将认证结果反馈给AP/AC;
S516,AC/AP根据AS反馈判别UE是否合法,并通过接入认证响应反馈给UE;
(三)UE和AP之间进行密钥协商
S518,AP/AC向UE发起单播密钥协商请求分组;
S520,UE向AP/AC发送单播密钥协商响应分组;
S522,AP/AC向UE发送单播密钥协商确认分组;
S524,AP/AC向UE发起组播密钥协商通告分组;
S526,UE向AC/AP发送组播密钥协商响应分组;
(四)授权
S528,用户通过认证后,AP/AC向Radius服务器发送授权请求消息,该消息中携带用户MSISDN;
S530,Radius服务器将授权用户信息(包括带宽等)反馈给WLANAN网络;
(五)DHCP
S532,UE与WLAN AN进行DHCP流程;
(六)计费
S534,用户上线;
S536,AC解析UE证书,获取用户MSISDN,通过RadiusAccounting-Request(start)报文通知Radius服务器开始计费,通知信息中用户名字段携带MSISDN;
S538,计费开始后,AC解析UE证书,获取用户MSISDN,周期性地通过Radius Accounting-Request(Update)报文通知Radius服务器计费更新,通知信息中用户名字段携带MSISDN;
S540,用户异常下线;
S542,AC解析UE证书,获取用户MSISDN,通过RadiusAccounting-Request(Stop)报文通知Radius服务器停止计费,通知信息中用户名字段携带MSISDN。
或者,S544,用户正常下线;
S546,AC解析UE证书,获取用户MSISDN,通过RadiusAccounting-Request(Stop)报文通知Radius服务器停止计费,通知信息中用户名字段携带MSISDN;
S548,最后AP/AC通知UE已停止计费,用户下线。
本领域普通技术人员可以理解,实现上述方法实施例的全部和部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算设备可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤,而前述的存储介质可以包括ROM、RAM、磁碟和光盘等各种可以存储程序代码的介质。
图6是本公开一个实施例的接入控制器的结构示意图。
如图6所示,该实施例中的控制器60可以包括证书解析单元602、MSISDN提取单元604和计费消息处理单元606。其中,
证书解析单元602,用于在解析自用户终端接收的用户终端证书;
MSISDN提取单元604,用于自用户终端证书中提取MSISDN;
计费消息处理单元606,用于在发往Radius服务器的计费消息中包含MSISDN,以使Radius服务器利用MSISDN实现对用户的计费。
在该实施例中,由于将MSISDN定义到了用户终端证书中,因此,无需再在Radius服务器中设置用户终端证书与MSISDN之间的映射关系。
进一步地,发往Radius服务器的计费消息包括计费开始消息、计费更新消息和计费结束消息。
图7是本公开另一实施例的接入控制器的结构示意图。
如图7所示,与图6中的实施例相比,该实施例中的控制器70还包括授权请求发送单元702,用于在用户通过认证后,向Radius服务器发送授权请求消息,授权请求消息中包含MSISDN提取单元自用户终端证书中提取的MSISDN。
其中,在用户终端证书的扩展字段中以TLV格式定义了MSISDN。
图8是本公开一个实施例的WAPI计费***的结构示意图。
如图8所示,该实施例中的***80可以包括用户终端802、AP与AC 804、认证服务器806以及Radius服务器808。其中,接入控制器可以通过前述实施例实现。
本说明书中各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同和相似的部分可以相互参见。对于装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处可以参见方法实施例部分的说明。
本公开上述实施例可以应用于用户使用WAPI证书进行认证计费、计费服务器使用MSISDN标识用户的环境。
虽然已参照示例性实施例描述了本公开,但应理解,本公开不限于上述的示例性实施例。对于本领域技术人员显然的是,可以在不背离本公开的范围和精神的条件下修改上述的示例性实施例。所附的权利要求的范围应被赋予最宽的解释,以包含所有这样的修改以及等同的结构和功能。
Claims (9)
1.一种WAPI计费方法,其特征在于,包括:
在用户终端上线后,接入控制器AC解析自所述用户终端接收的用户终端证书;
自所述用户终端证书中提取用户的移动台国际ISDN号码MSISDN;
在发往Radius服务器的计费消息中包含所述用户的MSISDN,以使所述Radius服务器利用所述用户的MSISDN实现对用户的计费。
2.根据权利要求1所述的WAPI计费方法,其特征在于,所述发往Radius服务器的计费消息包括计费开始消息、计费更新消息和计费结束消息。
3.根据权利要求1所述的WAPI计费方法,其特征在于,所述方法还包括:
在所述用户通过认证后,所述AC解析自所述用户终端接收的用户终端证书,并向所述Radius服务器发送授权请求消息,所述授权请求消息中包含自所述用户终端证书中提取的MSISDN。
4.根据权利要求1所述的WAPI计费方法,其特征在于,在所述用户终端证书的扩展字段中以TLV格式定义了MSISDN。
5.一种接入控制器,其特征在于,包括:
证书解析单元,用于解析自所述用户终端接收的用户终端证书;
MSISDN提取单元,用于自所述用户终端证书中提取用户的MSISDN;
计费消息处理单元,用于在发往Radius服务器的计费消息中包含所述用户的MSISDN,以使所述Radius服务器利用所述用户的MSISDN实现对用户的计费。
6.根据权利要求5所述的接入控制器,其特征在于,所述发往Radius服务器的计费消息包括计费开始消息、计费更新消息和计费结束消息。
7.根据权利要求5所述的接入控制器,其特征在于,所述控制器还包括:
授权请求发送单元,用于在所述用户通过认证后,向所述Radius服务器发送授权请求消息,所述授权请求消息中包含所述MSISDN提取单元自所述用户终端证书中提取的MSISDN。
8.根据权利要求5所述的接入控制器,其特征在于,在所述用户终端证书的扩展字段中以TLV格式定义了MSISDN。
9.一种WAPI计费***,其特征在于,包括用户终端、接入点与权利要求5至8中任一项所述的接入控制器、认证服务器以及Radius服务器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310326796.5A CN104349295B (zh) | 2013-07-31 | 2013-07-31 | Wapi计费方法、***与接入控制器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310326796.5A CN104349295B (zh) | 2013-07-31 | 2013-07-31 | Wapi计费方法、***与接入控制器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104349295A true CN104349295A (zh) | 2015-02-11 |
| CN104349295B CN104349295B (zh) | 2018-02-16 |
Family
ID=52503929
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310326796.5A Active CN104349295B (zh) | 2013-07-31 | 2013-07-31 | Wapi计费方法、***与接入控制器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104349295B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1674497A (zh) * | 2004-03-26 | 2005-09-28 | 华为技术有限公司 | Wlan终端接入移动网络的认证方法 |
| CN101425909A (zh) * | 2008-09-28 | 2009-05-06 | 西安西电捷通无线网络通信有限公司 | 一种实现wapi***终端零干预计费的方法 |
| CN101800984A (zh) * | 2010-01-14 | 2010-08-11 | 宇龙计算机通信科技(深圳)有限公司 | 获取wapi证书的方法、服务器端及wapi认证*** |
| CN101867927A (zh) * | 2010-01-28 | 2010-10-20 | 宇龙计算机通信科技(深圳)有限公司 | 移动终端基于wapi的认证方法、***及移动终端 |
-
2013
- 2013-07-31 CN CN201310326796.5A patent/CN104349295B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1674497A (zh) * | 2004-03-26 | 2005-09-28 | 华为技术有限公司 | Wlan终端接入移动网络的认证方法 |
| CN101425909A (zh) * | 2008-09-28 | 2009-05-06 | 西安西电捷通无线网络通信有限公司 | 一种实现wapi***终端零干预计费的方法 |
| CN101800984A (zh) * | 2010-01-14 | 2010-08-11 | 宇龙计算机通信科技(深圳)有限公司 | 获取wapi证书的方法、服务器端及wapi认证*** |
| CN101867927A (zh) * | 2010-01-28 | 2010-10-20 | 宇龙计算机通信科技(深圳)有限公司 | 移动终端基于wapi的认证方法、***及移动终端 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104349295B (zh) | 2018-02-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101521883A (zh) | 一种数字证书的更新和使用方法及*** | |
| CN102172062B (zh) | 通信***,连接控制装置,移动终端,基站控制方法,服务请求方法和程序 | |
| CN101959186A (zh) | Wlan用户的下线处理方法、***及设备 | |
| CN102421098A (zh) | 一种用户认证方法、装置及*** | |
| EP2555545B1 (en) | Method and system for selecting mobility management entity of terminal group | |
| CN100455135C (zh) | 一种移动终端定位方法及*** | |
| CN102421097A (zh) | 一种用户认证方法、装置及*** | |
| TW564627B (en) | System and method for authentication in public networks | |
| CN103906055A (zh) | 业务数据分流方法及*** | |
| CN102333311A (zh) | 无线局域网用户接入控制方法和*** | |
| CN103428800A (zh) | 路由选择方法及功能网元 | |
| CN104519551B (zh) | WiFi网络DHCP协商的方法和客户端 | |
| CN101425909B (zh) | 一种实现wapi***终端零干预计费的方法 | |
| CN103227990A (zh) | 无线接入方法和设备 | |
| CN103986793A (zh) | 一种提升Portal认证用户IP地址使用效率的方法及*** | |
| CN102858026B (zh) | 一种触发特定位置终端的方法、***和终端 | |
| CN104349295A (zh) | Wapi计费方法、***与接入控制器 | |
| WO2013123716A1 (zh) | 一种监控终端行为异常的方法和*** | |
| EP2725830B1 (en) | Method and system for triggering response of terminal, terminal and network side | |
| CN112383910B (zh) | 网关及智能设备配网方法 | |
| KR100415512B1 (ko) | 이동 아이피 주소 지원을 위한 외부 에이전트에서의 세션관리 방법 | |
| CN103179222A (zh) | 一种双栈地址分配方法和设备 | |
| JP2019033338A (ja) | 親装置および通信制御方法 | |
| CN101360027B (zh) | 获知注册结果、及路由器迁移的方法、装置及*** | |
| CN105591762B (zh) | 用户计费的方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |