CN1697386B - 一种基于无线局域网鉴别与保密基础结构体系的计费方法 - Google Patents
一种基于无线局域网鉴别与保密基础结构体系的计费方法 Download PDFInfo
- Publication number
- CN1697386B CN1697386B CN 200410044235 CN200410044235A CN1697386B CN 1697386 B CN1697386 B CN 1697386B CN 200410044235 CN200410044235 CN 200410044235 CN 200410044235 A CN200410044235 A CN 200410044235A CN 1697386 B CN1697386 B CN 1697386B
- Authority
- CN
- China
- Prior art keywords
- sta
- asu
- certificate
- information
- online
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供了一种基于无线局域网鉴别与保密基础结构体系的计费方法,其关键是,由颁发并保存有STA证书的ASU作为计费主体,统计用户在线时间,并根据在线时间对STA证书进行计费。进一步完善了WAPI体系。本发明保证了对WAPI体系中终端用户的较为精确的计时。而且,即使某STA证书被恶意拦截复制并向ASU发送鉴别请求,ASU也不会发生多收费的现象。另外,当AP本身出现故障时,比如死机时,ASU也可以及时地结束对STA的本次计时,从而停止计费。
Description
技术领域
本发明涉及无线局域网鉴别与保密基础结构(WAPI)体系技术领域,特别是指一种基于WAPI体系的计费方法。
背景技术
我国宽带无线IP标准工作组制定了无线局域网(WLAN)国家标准GB/T15629.11,推出了基于WAPI体系的安全方案,该方案提供了一种基于公钥证书的无线局域网移动终端安全接入方法。
在WAPI体系中,有无线接入用户终端(STA,Station),访问接入点(AP,Access Point)和鉴别服务单元(ASU,Authentication Service Unit)三种实体,分别作为鉴别请求者实体(ASUE,Authentication SupplicantEntity),鉴别器实体(AE,Authentication Entity)和鉴别服务实体(ASE,Authentication Service Entity)的载体。其中,ASUE是通过鉴别服务单元进行鉴别的实体,驻留在STA中;AE为鉴别请求者在接入服务之前提供鉴别操作的实体,驻留在AP;ASE为鉴别器和鉴别请求者提供相互鉴别的实体,驻留在ASU。
ASU对其管理范围内的AP和STA进行管理并为每一个合法的AP和STA颁发一个公钥证书,以作为网络设备在该WLAN内的数字身份凭证。该公钥证书中包括证书序列号以及用户名等信息,其中,颁发者ASU和序列号唯一标识了每个证书。同时,ASU内也保存了STA证书和AP证书。STA与AP之间通过ASU实现身份的相互鉴别。
图1所示为基于WAPI体系的接入控制原理图。STA通过WLAN从未受控端口向AP发出连接请求,AP进一步封装该请求后发送给ASU,由ASU协助AP和STA进行相互身份认证,即证书鉴别,若认证成功,AP开放受控端口允许STA接入,且STA和AP之间进行密钥协商,利用协商的会话密钥对数据进行加密和解密,并进行数据通信;若认证不成功,AP拒绝STA接入或STA放弃接入AP。
WAPI体系提出了独特的鉴别方法和加密方法,弥补了现有国际标准在安全性方面的缺陷,提高了用户使用的安全可靠性。但同时,WAPI在计费方面没有给出明确的方法,而且也没有表明其可以支持的方法,而在WLAN的实际应用中,合理进行计费很有必要,为了更好地实施WAPI,如何计费应该得到体现。
发明内容
有鉴于此,本发明的目的在于提供一种基于WAPI体系的计费方法,进一步完善WAPI体系。
为达到上述目的,本发明的技术方案是这样实现的:
一种基于无线局域网鉴别与保密基础结构体系的计费方法,该方法包括以下步骤:
a、鉴别服务单元ASU接收到来自无线接入用户终端STA的鉴别请求,并对该STA鉴别成功后,根据保存的该STA的STA证书,对该STA证书设置计时标志,以记录该STA的已在线时间;
b、ASU定时检测是否有来自访问接入点AP的STA在线信息,如果有,进一步检测该在线信息所指向的STA证书是否已设置计时标志,如果是,则ASU更新该STA的已在线时间信息,然后重复执行步骤b,如果该在线信息所指向的STA证书没有设置计时标志,则认为该在线信息无效,忽略该在线信息,不做任何处理;如果没有来自AP的STA在线信息,则停止该STA已在线时间的计时操作,统计该STA的在线时间并根据该时间实现对STA证书计费。
较佳地,步骤b所述当ASU在定时时间内没有检测到来自AP的STA在线信息时,该方法进一步包括:ASU再次确认该STA是否在线,如果在线,则更新该STA的已在线时间信息,然后重复执行步骤b,否则,停止该STA已在线时间的计时操作,统计该STA的在线时间并根据时间实现计费。
较佳地,该方法进一步包括:在STA下线时,AP向ASU发送STA下线信息,ASU接收到来自AP的STA下线信息后,停止该STA已在线时间的计时操作,统计该STA的在线时间并根据时间实现计费。
较佳地,该方法进一步包括:
步骤b所述ASU停止对该STA已在线时间的计时操作后,取消本地保存的该STA证书的计时标志,然后再执行后续步骤。
较佳地,所述AP向ASU发送的STA下线信息的方法是:AP直接将STA下线信息发送给ASU,或者,AP对整个STA下线信息进行私钥签名,将签名后的下线信息发送给ASU。
较佳地,所述STA下线信息内至少包括:STA证书中的用户名和序列号;或者,该STA下线信息内包括完整的STA证书和AP证书,以及AP对整个消息的私钥签名信息;或者,下线信息内包括STA证书中的用户名称和序列号,AP证书中的用户名称和序列号,以及AP对整个消息的私钥签名信息。
较佳地,所述STA在线信息至少包括:STA证书中的用户名和序列号。
较佳地,该方法进一步包括:如果一个STA证书仅允许一个STA使用,则ASU对该STA鉴别成功后,且ASU更新了该STA的已在线时间后,在该STA证书用户下线之前,ASU拒绝对同一STA证书的鉴别请求进行鉴别处理,并给AP发送鉴别失败;如果一个STA证书允许一个以上STA同时使用,则ASU统计该STA的在线时间并根据该时间实现对STA证书计费包括:
ASU对多个使用该STA证书的通信端口的使用该STA证书时间进行累加,实现对该STA证书的计费。
较佳地,该方法进一步包括:同级别的ASU之间交换STA在线信息,或低级别的ASU将自身保存的STA在线信息发送给更高级别的ASU。
本发明由颁发并保存有STA证书的ASU作为计费主体,统计用户在线时间,并根据在线时间对STA证书进行计费。进一步完善了WAPI体系。
本发明保证了对WAPI体系中终端用户的较为精确的计时。即使某STA证书被恶意拦截复制并向ASU发送鉴别请求,ASU也不会发生多收费的现象。因为即便这样的证书通过鉴别,由于没有用户私钥,其无法和AP进行有效的会话密钥协商,因而AP不会向ASU发送STA在线信息。另外,当AP本身出现故障时,比如死机时,由于AP无法向ASU发送在线信息,因而ASU在定时时间内也就无法收到STA在线信息,这样,ASU可以及时地结束对STA的本次计时,从而停止计费。
在授权许可下,同级别的ASU之间可以交换STA在线信息,或者,低级别的ASU将自身保存的STA在线信息发送给更高级别的ASU,使高级别的ASU进行有效的计费管理,方便用户查询。这一点,对于联网的运营项目,比如一些联网的酒店是很有必要的。
附图说明
图1所示为基于WAPI体系的接入控制原理图;
图2所示为应用本发明的ASU实现计费的流程示意图。
具体实施方式
为使本发明的技术方案更加清楚,下面结合附图对本发明再做进一步地详细说明。
本发明的思路是:由颁发并保存有STA证书的ASU作为计费主体,统计用户在线时间,并根据在线时间对STA证书进行计费。
图2所示为应用本发明的ASU实现计费的流程示意图。
步骤201,STA向AP发送鉴别请求消息;
步骤202,AP将该鉴别请求消息发送给ASU;
步骤203,ASU协助AP和STA进行身份互认证,即证书鉴别,认证成功后,针对本地保存的该STA证书设置计时标志,根据该STA证书开始记录该STA的已在线时间信息,开始记录时通常为0分钟;
步骤204,ASU将鉴别成功的结果信息发送给AP;
步骤205,AP将鉴别成功的结果信息发送给STA;
步骤206,STA与AP之间协商会话密钥,并利用协商的会话密钥对数据进行加解密,进行数据通信;
步骤207,当AP开始与STA之间进行有效通信,即AP与STA的会话密钥协商完毕,STA通过受控端口与AP开始数据通信之后,AP定时向ASU发送该STA证书的在线信息,也就是该STA的在线信息;
上述在线信息中至少需要包括STA证书的用户名和序列号,且该信息的发送频率和ASU的计时单位要相匹配,如每分钟发送一次,以支持ASU能够较为精确地计算该用户的在线时间;
步骤208,在AP定时向ASU发送STA在线信息的同时,ASU也定时检测是否有AP发送来的STA在线信息,如果检测到,则ASU进一步检测该在线信息所指向的STA证书是否已设置计时标志,如果是,则更新该STA证书的已在线时间信息,如果ASU发现检测所指向的STA证书没有设置计时标志,则认为该信息无效,并忽略该信息,不做任何处理;这样可以防止由于AP运行错误,或者发生了被攻击等情况而对用户进行错误收费;
如果ASU没有检测到来自AP的STA在线信息,为了防止AP和ASU之间偶然发生的通信障碍干扰,ASU再次确认该STA是否在线,例如,通过重复检测来确认该STA是否确实不在线,如果确实不在线,则直接执行步骤210;如果该STA还在线,则更新该STA的已在线时间信息,并且继续定时检测是否有AP发送来的STA在线信息;该定时检测的时间同样需要与计时时间相匹配;
步骤209,为了更好地配合ASU的计费,在用户下线的时,AP可以向ASU发送STA下线的信息,该下线信息可以由AP直接发送给ASU,也可以由AP对整个下线信息进行私钥签名,将签名后的下线信息发送给ASU,ASU接收到该信息后直接执行步骤210;
上述下线信息内至少包含STA证书中的用户名称和序列号,如果需要对下线信息进行私钥签名,则下线信息内包括完整的STA证书和AP证书,以及AP对整个消息的私钥签名;或者,下线信息内包括STA证书中的用户名称和序列号,AP证书中的用户名称和序列号,以及AP对整个消息的私钥签名;
步骤210,停止该STA已在线时间的计时操作,清除该STA证书的计时标志,用户下线时间以首次没有检测到STA在线信息的时间为准,统计该STA的在线时间并根据该时间实现对STA证书计费。
由于WLAN采用无连接的通信方式,可能发生用户没有收到,或者不能及时收到鉴别结果信息的情况,因此,WAPI允许一个用户证书多次发送鉴别请求。如果一个证书仅允许一个STA使用,则在ASU鉴别该证书成功之后,且设置了该STA证书的计时标志并开始计时,在ASU没有收到来自AP的STA在线信息之前,仍然可以为相同STA证书的鉴别请求进行鉴别处理,此时设置的计时标志不变;但是当ASU已经获取了STA的在线信息,即更新了STA的已在线时间后,在该证书用户下线之前,ASU拒绝对同一STA证书的鉴别请求进行鉴别处理,并给AP发送鉴别失败;如果允许一个以上STA使用同一个证书,则当同一个证书被多个端口同时使用时,ASU可以通过累加多个端口的使用时间进行计费。
当一个以上STA使用同一个证书时,ASU通过累加多个端口的使用时间进行计费的实现方法,说明如下:
当***允许一个以上STA使用同一个证书时,AP定时向ASU发送该STA的在线信息中,不仅包括STA证书的用户名和序列号,还包括标识AP与STA通信的参数信息,该参数信息包括AP证书的用户名和序列号,通信受控端口的逻辑端口标识等;
ASU定时检测到来自AP的在线信息后,进一步判断该在线信息中标识AP与STA通信的参数信息是否与本地已保存的标识AP与STA通信的参数信息相匹配,如果是,则更新该相匹配STA的已在线时间,如果不匹配,则保存该接收到的标识AP与STA通信的参数信息,以此区别相同证书的不同使用终端,并对该终端开始计时。
当AP向ASU发送下线信息时,该下线信息中除了包括STA证书的用户名和序列号,还包括标识AP与STA通信的参数信息;当ASU收到来自AP的下线信息后,在所有AP与该STA通信的参数信息中匹配,查询与之相对的端口,结束对该STA证书使用的相应通信端口的计费。
最后,由ASU将所有使用同一STA证书的STA的在线时间相加,得到针对该STA证书的累计时间,并根据该时间对STA证书实现计费。
在授权许可下,同级别的ASU之间可以交换STA在线信息,或者,低级别的ASU将自身保存的STA在线信息发送给更高级别的ASU,使高级别的ASU进行有效的计费管理,方便用户查询。这一点,对于联网的运营项目,比如一些联网的酒店是很有必要的。
本发明保证了对WAPI体系中终端用户的较为精确的计时。即使某STA证书被恶意拦截复制并向ASU发送鉴别请求,ASU也不会发生多收费的现象。因为即便这样的证书通过鉴别,由于没有用户私钥,其无法和AP进行有效的会话密钥协商,因而AP不会向ASU发送STA在线信息。
另外,当AP本身出现故障时,比如死机时,由于AP无法向ASU发送在线信息,因而ASU在定时时间内也就无法收到STA在线信息,这样,ASU可以及时地结束对STA的本次计时,从而停止计费。
再有,由于STA和AP的密钥协商时间相对于计时单位而言很短,一般密钥协商过程最多为几秒,而如果AP和STA密钥协商失败,则ASU对STA的在线计时为0分钟,因此,不会发生多计时的情况,因而也就不会多计费。
WAPI的安全体系可以方便地应用在酒店,网吧,图书馆等公共场所。ASU对于使用了资源的STA,根据其在线时间长度进行合理地收费。例如,当一顾客入住酒店后,酒店利用自己的WAPI安全设备对用户提供无线上网服务,即产生公钥证书并颁发给用户,同时,采用本发明的方法对用户进行在线计时,在用户离开酒店时,结算相关费用。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (9)
1.一种基于无线局域网鉴别与保密基础结构体系的计费方法,其特征在于,该方法包括以下步骤:
a、鉴别服务单元ASU接收到来自无线接入用户终端STA的鉴别请求,并对该STA鉴别成功后,根据保存的该STA的STA证书,对该STA证书设置计时标志,以记录该STA的已在线时间;
b、ASU定时检测是否有来自访问接入点AP的STA在线信息,如果有,进一步检测该在线信息所指向的STA证书是否已设置计时标志,如果是,则ASU更新该STA的已在线时间信息,然后重复执行步骤b,如果该在线信息所指向的STA证书没有设置计时标志,则认为该在线信息无效,忽略该在线信息,不做任何处理;如果没有来自AP的STA在线信息,则停止该STA已在线时间的计时操作,统计该STA的在线时间并根据该时间实现对STA证书计费。
2.根据权利要求1所述的方法,其特征在于,步骤b所述当ASU在定时时间内没有检测到来自AP的STA在线信息时,该方法进一步包括:ASU再次确认该STA是否在线,如果在线,则更新该STA的已在线时间信息,然后重复执行步骤b,否则,停止该STA已在线时间的计时操作,统计该STA的在线时间并根据时间实现计费。
3.根据权利要求1所述的方法,其特征在于,该方法进一步包括:在STA下线时,AP向ASU发送STA下线信息,ASU接收到来自AP的STA下线信息后,停止该STA已在线时间的计时操作,统计该STA的在线时间并根据时间实现计费。
4.根据权利要求1、2或3所述的方法,其特征在于,该方法进一步包括:
步骤b所述ASU停止对该STA已在线时间的计时操作后,取消本地保存的该STA证书的计时标志,然后再执行后续步骤。
5.根据权利要求3所述的方法,其特征在于,所述AP向ASU发送的STA下线信息的方法是:AP直接将STA下线信息发送给ASU,或者,AP对整个STA下线信息进行私钥签名,将签名后的下线信息发送给ASU。
6.根据权利要求3所述的方法,其特征在于,所述STA下线信息内至少包括:STA证书中的用户名和序列号;或者,该STA下线信息内包括完整的STA证书和AP证书,以及AP对整个消息的私钥签名信息;或者,该下线信息内包括STA证书中的用户名称和序列号,AP证书中的用户名称和序列号,以及AP对整个消息的私钥签名信息。
7.根据权利要求1所述的方法,其特征在于,所述STA在线信息至少包括:STA证书中的用户名和序列号。
8.根据权利要求1所述的方法,其特征在于,该方法进一步包括:
如果一个STA证书仅允许一个STA使用,则ASU对该STA鉴别成功后,且ASU更新了该STA的已在线时间后,在该STA证书用户下线之前,ASU拒绝对同一STA证书的鉴别请求进行鉴别处理,并给AP发送鉴别失败;
如果一个STA证书允许一个以上STA同时使用,则ASU统计该STA的在线时间并根据该时间实现对STA证书计费包括:
ASU对多个使用该STA证书的通信端口的使用该STA证书时间进行累加,实现对该STA证书的计费。
9.根据权利要求1所述的方法,其特征在于,该方法进一步包括:同级别的ASU之间交换STA在线信息,或低级别的ASU将自身保存的STA在线信息发送给更高级别的ASU。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200410044235 CN1697386B (zh) | 2004-05-14 | 2004-05-14 | 一种基于无线局域网鉴别与保密基础结构体系的计费方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200410044235 CN1697386B (zh) | 2004-05-14 | 2004-05-14 | 一种基于无线局域网鉴别与保密基础结构体系的计费方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1697386A CN1697386A (zh) | 2005-11-16 |
| CN1697386B true CN1697386B (zh) | 2010-04-07 |
Family
ID=35349926
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200410044235 Expired - Fee Related CN1697386B (zh) | 2004-05-14 | 2004-05-14 | 一种基于无线局域网鉴别与保密基础结构体系的计费方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1697386B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009055991A1 (en) * | 2007-11-01 | 2009-05-07 | Huawei Technologies Co., Ltd. | Determination of network parameters |
| CN101540985B (zh) * | 2009-03-11 | 2011-04-06 | 西安西电捷通无线网络通信股份有限公司 | 一种实现wapi***终端零干预计费的方法 |
| CN101521883B (zh) * | 2009-03-23 | 2011-01-19 | 中兴通讯股份有限公司 | 一种数字证书的更新和使用方法及*** |
| CN101925093B (zh) * | 2010-09-25 | 2013-06-05 | 杭州华三通信技术有限公司 | 终端信息的获取方法及设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1416072A (zh) * | 2002-07-31 | 2003-05-07 | 华为技术有限公司 | 基于认证、计费、授权协议的门户认证实现方法 |
| WO2003092190A1 (en) * | 2002-04-23 | 2003-11-06 | Sk Telecom Co., Ltd | Authentication system and method having mobility in public wireless local area network |
| CN1464682A (zh) * | 2002-06-24 | 2003-12-31 | 华为技术有限公司 | 基于验证、授权、计费协议的宽带预付费的实现方法 |
| CN1490984A (zh) * | 2002-10-14 | 2004-04-21 | 华为技术有限公司 | 一种无线局域网终端在线实时检测方法 |
-
2004
- 2004-05-14 CN CN 200410044235 patent/CN1697386B/zh not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2003092190A1 (en) * | 2002-04-23 | 2003-11-06 | Sk Telecom Co., Ltd | Authentication system and method having mobility in public wireless local area network |
| CN1464682A (zh) * | 2002-06-24 | 2003-12-31 | 华为技术有限公司 | 基于验证、授权、计费协议的宽带预付费的实现方法 |
| CN1416072A (zh) * | 2002-07-31 | 2003-05-07 | 华为技术有限公司 | 基于认证、计费、授权协议的门户认证实现方法 |
| CN1490984A (zh) * | 2002-10-14 | 2004-04-21 | 华为技术有限公司 | 一种无线局域网终端在线实时检测方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1697386A (zh) | 2005-11-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101232372B (zh) | 认证方法、认证***和认证装置 | |
| US7480933B2 (en) | Method and apparatus for ensuring address information of a wireless terminal device in communications network | |
| CN1319337C (zh) | 基于以太网认证***的认证方法 | |
| CN101595694B (zh) | 用于无线网络的入侵预防*** | |
| CN101248613A (zh) | 用于安全通信网络尤其是安全ip电话网络的可信装置准入方案 | |
| JP2003524336A (ja) | 送信データの量をチェックする方法 | |
| WO2006105302A1 (en) | Secure switching system for networks and method for secure switching | |
| US20110078311A1 (en) | Network communication device and automatic reconnection method | |
| CN101521886A (zh) | 一种对终端和电信智能卡进行认证的方法和设备 | |
| CN101568147A (zh) | 一种无线局域网鉴别基础结构超时处理的方法及装置 | |
| CN101207475B (zh) | 一种网络***的防止非授权连结方法 | |
| CN101425909B (zh) | 一种实现wapi***终端零干预计费的方法 | |
| CN1697386B (zh) | 一种基于无线局域网鉴别与保密基础结构体系的计费方法 | |
| CN103209411A (zh) | 无线网络防假冒接入的方法和装置 | |
| US8811272B2 (en) | Method and network for WLAN session control | |
| CN101540985B (zh) | 一种实现wapi***终端零干预计费的方法 | |
| CN1658553B (zh) | 一种采用公开密钥密码算法加密模式的强鉴别方法 | |
| CN101516091A (zh) | 一种基于端口的无线局域网接入控制***及方法 | |
| CN114338218B (zh) | PPPoE拨号的方法 | |
| CN205693897U (zh) | Lte电力无线专网的二次身份认证*** | |
| CN100428667C (zh) | 一种采用公开密钥密码算法数字签名模式的强鉴别方法 | |
| CN100490375C (zh) | 一种基于对称密码算法的强鉴别方法 | |
| CN101431754B (zh) | 一种防止克隆终端接入的方法 | |
| CN100365981C (zh) | 一种基于无线局域网鉴别与保密基础结构证书的计费方法 | |
| CN102801538A (zh) | 局域网用户的认证记账方法、装置及***、网络设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100407 Termination date: 20130514 |