WO2010139163A1

WO2010139163A1 - 一种实时数据业务的实现方法和实时数据业务***

Info

Publication number: WO2010139163A1
Application number: PCT/CN2009/075417
Authority: WO
Inventors: 惠毅; 周洋
Original assignee: 中兴通讯股份有限公司
Priority date: 2009-06-01
Filing date: 2009-12-08
Publication date: 2010-12-09
Also published as: EP2426873A4; CN101583083A; US8745396B2; EP2426873B1; EP2426873A1; US20120102328A1; CN101583083B

Abstract

本发明公开了一种实时数据业务的实现方法和实时数据业务***，均可以在实时数据业务***的AP开始向接入的用户终端转发数据报文后，AP对该用户终端进行验证，并在验证成功后继续向该用户终端转发数据报文。可见，采用本发明的方法及***，在采用基于预共享密钥的鉴别和密钥管理方式接入实时数据业务***时，能够保证在用户大量获取业务数据之前进行对用户的认证，因此能有效提高接入安全性；此外，本发明的方法及***可以先向用户提供免费的预览业务数据，在预览结束后通过向用户发起签名认证请求来获取并验证用户的WAPI证书及签名，并开始进行计费，方便了用户，有利于运营商推广实时数据业务。

Description

一种实时数据业务的实现方法和实时数据业务*** 技术领域

本发明涉及通信领域，尤其涉及一种实时数据业务的实现方法和实时数据业务***。背景技术

随着 3G网络的成熟以及移动终端性能的提升，利用移动终端进行实时数据业务已经成为可能。例如，用户可以使用手机电视客户端观看手机电视、利用手机流媒体客户端进行音视频节目的点播或音视频直播节目的观看。实时数据业务的发展将会有效提升 3G时代的手机用户体验，基于实时数据业务的运营也将成为 3G时代运营商关注的热点和重点。

实时数据业务包括：手机电视、视频点播、视频直播等。在 WLAN ( Wireless Local Area Networks , 无线局域网）中部署实时数据业务服务器后，用户可以使用移动终端上的实时数据业务客户端接入实时数据业务服务器，获取实时业务数据流，进行包括手机电视节目浏览、视频点播、视频直播等实时数据业务的体验。

由于无线局域网安全性不高，为了保护合法移动终端安全、高质量地使用实时数据业务，防止非法移动终端接入实时数据业务服务器，必须釆用某种无线局域网认证和保护协议以提高实时数据业务的安全性， WAPI ( WLAN Authentication and Privacy Infrastructure ,无线局 i或网鉴别与保密基础结构）协议无疑是一种最佳的选择。

WAPI是针对 IEEE802.il中 WEP ( Wried Equivalent Privacy,有线等效隐私）等协议的安全问题，经多方反复论证，充分考虑各种应用模式，在中国无线局域网国家标准 GB15629.il中提出的 WLAN安全解决方案。 WAPI协议主要通过 WAI ( WLAN Authentication Infrastructure , 无线局域网鉴别基础结构）协议规定的鉴别和密钥管理过程进行移动终端的接入认证和密钥的协商，并通过 WPI ( WLAN Privacy Infrastructure, 无线局域网保密基础结构）协议规定的加解密过程完成数据在 MAC ( Media Access Control, 介质访问控制）层的加密传输，以保证合法的移动终端安全地接入实时数据业务服务器。

WAI协议规定了两种鉴别和密钥管理方式：

( 1 )基于证书的鉴别和密钥管理方式

釆用这种方式时，无线局域网移动终端（通常简称为移动终端）与 AP (接入点）交换双方的 WAPI证书，并通过鉴别服务器完成证书鉴别，在证书鉴别过程中进行基密钥（BK ) 的协商；基密钥协商完成后，移动终端和 AP使用协商出的基密钥进行会话密钥的协商，得到单播会话密钥、组播密钥等会话密钥；

( 2 )基于预共享密钥的鉴别和密钥管理方式

釆用这种方式时，移动终端和 AP分别使用相同的预共享密钥（PSK ) 导出基密钥，并使用导出的基密钥进行会话密钥的协商，得到单播会话密钥、组播密钥等会话密钥。

在支持将无线局域网作为接入网的实时数据业务***中可以釆用任意一种鉴别和密钥管理方式。基于证书的鉴别和密钥管理方式具有较高的安全性，但过程较为复杂；实时数据业务***的 AP需要釆用 ECDH (椭圓曲线密码体制的 Diffie-Hellman戴菲-赫曼）交换算法为每一接入的移动终端生成基密钥，计算量较大。基于预共享密钥的鉴别和密钥管理方式安全性较低，但过程简单，多个移动终端可以使用相同的预共享密钥（即使用相同的基密钥），因此可以减少生成基密钥的计算量和管理成本。

图 1 是现有技术中釆用基于预共享密钥的鉴别和密钥管理方式的实时数据业务实现方法流程图，该方法包括：

101 : 移动终端与实时数据业务***的接入点（AP )采用预共享密钥导出基密钥（BK )。

102: 移动终端和 AP使用基密钥完成会话密钥的协商，在移动终端和 AP之间协商出单播会话密钥、组播会话密钥等会话密钥。

完成 WAI协议的鉴别和会话密钥协商过程后， AP打开控制端口，允许移动终端与实时数据业务***的实时数据业务服务器进行交互。

103: 移动终端和实时数据业务服务器进行交互，完成实时数据业务控制信令的传输；

在此过程中，移动终端和 AP之间使用步骤 102中协商得到的单播会话密钥对控制信令报文进行加密传输，而 AP和实时数据业务服务器之间由于存在较为安全的通信链路，因此可以进行明文传输、或使用其他安全方式进行控制信令报文的传输。

其中，控制信令的主要作用包括：进行实时数据业务参数的协商、建立音视频传输通道、启动 /控制实时数据业务音视频数据的传输等，例如：

103a:移动终端通过 AP向实时数据业务服务器发送寻呼请求（ Describe Request )信令，将移动终端支持的媒体参数发送给实时数据业务服务；实时数据业务服务器通过 AP向移动终^

信令，将实时数据业务服务器选定的媒体参数发送给移动终端；通过上述信令交互，移动终端与实时数据业务服务器完成实时数据业务媒体参数的协商；

103b:移动终端通过 AP向实时数据业务服务器发送音视频传输通道构建请求（ Setup Request )信令；实时数据业务服务器通过 AP向移动终端发送音视频传输通道构建响应（ Setup Response )信令；通过上述信令交互，在移动终端与实时数据业务服务器之间建立音视频传输通道； 103c:移动终端通过 AP向实时数据业务服务器发送音视频数据播放控制信令（例如， Play (播放）、 Pause (暂停）、 Stop (停止）等），以便启动、暂停、停止音视频数据的传输。

104: 实时数据业务服务器通过 AP向移动终端发送音视频数据；同样，在此过程中实时数据业务服务器与 AP之间可以釆用明文方式、或釆用其他安全方式进行音视频数据报文的传输，而在 AP和移动终端之间使用步骤 102 中协商得到的单播会话密钥或组播密钥对音视频数据报文进行加密传输。

需要注意的是，在实时数据业务服务器向移动终端传输音视频数据报文的过程中，实时数据业务服务器和移动终端之间可以随时进行控制信令报文的传输，但是音视频数据和控制信令不会在相同的报文中传输，也就是说，音视频数据和控制信令在不同的逻辑通道中传输。

通过以上描述可知，在实时数据业务***中釆用基于预共享密钥的 WAI鉴别和密钥管理方式可以免去 AP与鉴别服务器的交互过程，并减少 AP的计算量，增加了可同时接入 AP的移动终端的数量。同时，实时数据业务运营商可以向多个签约用户提供相同的预共享密钥，用户（移动终端）可以使用该预共享密钥接入实时数据业务***，进行实时数据业务的预览。

但是，上述方法也存在以下不足之处：

1 )使用预共享密钥导出的基密钥的安全性不高，预共享密钥泄露后，非法用户可以使用该预共享密钥对应的基密钥与 AP进行会话密钥的协商，接入实时数据业务***；

2 )由于基于预共享密钥的鉴别和密钥管理方式无需向实时数据业务系统提供移动终端的 WAPI证书，因此无法实现计费，只能为用户提供免费的预览节目；用户必须使用基于证书的鉴别和密钥管理方式重新接入实时数据业务***后才能接收收费的业务数据。发明内容

本发明所要解决的技术问题是，克服现有技术的不足，提供一种实时数据业务的实现方法和实时数据业务***，以提高釆用基于预共享密钥的鉴别和密钥管理方式接入实时数据业务***的安全性。

为了解决上述问题，本发明技术方案是这样实现的：

一种实时数据业务的实现方法，该方法包括：

在实时数据业务***的 AP 开始向接入的用户终端转发数据报文后， AP对该用户终端进行验证，并在验证成功后继续向该用户终端转发数据报文。

进一步包含触发 AP进行所述验证的操作：

预先设置预览时长阔值，确定 AP向所述用户终端转发数据报文的时间长度超过该预览时长阔值；

或者，预先设置预览数据量阔值，确定向所述用户终端转发数据报文的数据量超过该预览数据量阔值。

在 AP开始进行所述验证时进一步启动签名验证定时器；在该签名验证定时器超时、并且未收到来自所述用户终端的签名验证响应的情况下，停止向该用户终端转发数据报文。

进行所述验证的过程包括：

AP向用户终端发送签名验证请求；

接收到所述签名验证请求后，用户终端使用其 WAPI证书所对应的私钥生成签名值，并将该签名值携带于签名验证响应中发送给 AP;

AP使用 WAPI证书所对应的公钥对收到的所述签名值进行解密，对所得解密值与待签名数据进行一致性对比，并在对比结果为一致时确定验证成功。

所述签名验证响应中还包含所述用户终端的 WAPI证书；接收到所述签名验证响应后， AP进一步与鉴别服务器验证该 WAPI证书的有效性，并在该 WAPI证书有效时针对所述签名值进行后续操作。

所述签名值的生成方法为：

所述用户终端将由所述 AP生成的随机数、或者接收到的数据报文的哈希值作为待签名数据，使用私钥对该待签名数据进行加密生成所述签名值。

进行所述验证时， AP进一步暂停向所述用户终端转发数据报文。

该方法是在所述用户终端釆用基于预共享密钥的鉴别和密钥管理方式接入实时数据业务***后实施的。

一种实时数据业务***，用于为用户终端提供实时数据业务；该*** 包含： AP以及接入实时数据业务***用户终端；其中：

所述 AP, 用于在向所述用户终端转发数据报文后，对该用户终端进行验证，并在验证成功后继续向该用户终端转发数据报文；

所述用户终端，用于配合所述 AP进行所述验证。

该***进一步包括签名验证定时器，用于受所述 AP的控制而进行定时操作；在该签名验证定时器超时、并且未收到来自所述用户终端的针对验证的反馈时，停止向该用户终端转发数据报文。

该***进一步包括鉴别服务器；在接收到来自所述用户终端的针对验证的反馈时，所述 AP进一步用于与该鉴别服务器验证该反馈中所包含的 WAPI证书的有效性。

在进行所述验证时，所述 AP进一步用于暂停向所述用户终端转发数据报文。

所述用户终端是移动终端。

综上所述，釆用本发明的方法及***，在釆用基于预共享密钥的鉴别和密钥管理方式接入实时数据业务***时，能够保证在用户大量获取业务数据之前进行对用户的认证，因此能有效提高接入安全性；此外，本发明的方法及***可以先向用户提供免费的预览业务数据，在预览结束后通过向用户发起签名认证请求来获取并验证用户的 WAPI证书及签名，并开始进行计费，方便了用户，有利于运营商推广实时数据业务。附图说明

图 1 是现有技术中釆用基于预共享密钥的鉴别和密钥管理方式的实时数据业务实现方法流程图；

图 2是本发明实施例基于无线局域网的实时数据业务的实现方法流程图；

图 3是 WPI的 MPDU封装结构示意图；

图 4是包含签名验证请求标识的 MPDU封装结构示意图；

图 5是可实现本发明方法的实时数据业务***的结构示意图。具体实施方式

本发明的主要思路是：移动终端釆用基于预共享密钥的 WAI鉴别和密钥管理方式接入实时数据业务***，并且实时数据业务***的 AP开始向移动终端转发音视频数据报文之后， AP 向移动终端发送签名验证请求； AP 对移动终端返回的签名值进行验证，验证通过后继续向其发送音视频数据报文，否则停止向其发送音视频数据报文。

下面将结合附图和实施例对本发明进行详细描述。

图 2是本发明实施例基于无线局域网的实时数据业务的实现方法流程图，该方法包括：

201 : 移动终端与实时数据业务***的 AP采用预共享密钥导出 BK。 202: 移动终端和 AP使用基密钥完成会话密钥的协商，在移动终端和 AP之间协商出单播会话密钥、组播会话密钥等会话密钥。

会话密钥协商完成后， AP打开控制端口，允许移动终端与实时数据业务***的实时数据业务服务器进行交互。

203: 移动终端与实时数据业务服务器通过 AP进行交互，进行实时数据业务控制信令报文的传输，以协商实时数据业务的媒体参数、建立音视频传输通道、最终启动实时数据业务。

其中，在移动终端和 AP之间，控制信令报文被加密后封装在 MPDU ( MAC Protocol Data Unit, 介质访问控制协议数据单元）中进行传输。

204: 实时数据业务启动后，实时数据业务服务器通过 AP向移动终端发送实时数据业务的音视频数据报文。

205: 接收到实时数据业务服务器发送给移动终端的音视频数据报文后， AP使用步骤 202协商得到的会话密钥（组播会话密钥或单播会话密钥）对该音视频数据报文进行加密，并将加密后的音视频数据报文封装到 MPDU中发送给移动终端。

具体的报文封装结构可参见图 3 , 图 3是 WPI的 MPDU封装结构示意图，其中：

MAC头字段的长度为 24字节或 30字节；

会话密钥索引字段长度为 1个字节，表示 USKID (单播会话密钥索引）或 MSKID (组播会话密钥索引）或 STAKeylD (站间密钥索引）值，即表示加密本 MPDU所使用的会话密钥的索引；

保留字段的长度为 1字节；

PN (数据分组序号）字段的长度为 16字节，该字段的值可以作为数据加解密时所需的 IV (初始向量）；

PDU (数据 )字段封装有 MPDU数据，最大长度为 2278字节，其中封装有高层协议数据报文，包括实时数据业务的控制信令报文和音视频数据报文等应用层协议数据报文；

MIC (完整性校验码 )字段的长度为 16字节；

FCS字段的长度为 4字节，为 MAC帧格式的帧校验序列。

此外，图 3 中还示出了一种实时数据业务的控制信令报文和音视频数据报文的封装方式。

其中，实时数据业务的控制信令报文和音视频数据报文统称为实时数据业务报文，由实时数据业务报文头和实时业务数据组成；实时业务数据的类型包括：实时数据业务的控制信令和实时数据业务的音视频数据。实时数据业务报文头中包含有实时业务数据的类型等信息。

实时数据业务报文可以封装在 TCP ( Transfer Control Protocol , 传输控制协议）报文或 UDP ( User Datagram Protocol, 用户数据报协议）报文中传输。在 TCP头和 UDP头中包含有实时数据业务所使用的端口号等信息。

TCP报文和 UDP报文可以封装在 IP ( Internet Protocol , 因特网协议）报文中传输。在 IP头中包含有移动终端 /实时数据业务服务器的 IP地址等信息。

需要注意的是，图 3 所示的实时数据业务的控制信令报文和音视频数据报文在 PDU字段中的封装方式仅是一种示例，也可以釆用其它封装方式封装实时数据业务的控制信令报文和音视频数据报文。

206: 接收到封装有音视频数据报文的 MPDU后，移动终端使用步骤 202协商得到的会话密钥（组播会话密钥或单播会话密钥）对 PDU字段中的加密音视频数据报文进行解密后，播放音视频数据报文中封装的音视频数据。

207: 向移动终端加密转发音视频数据的时间长度超过预先设定的时长 (可以称为预览时长阔值 T )、或转发的音视频数据的数据量超过预先设定的大小（可以称为预览数据量阔值 N )后， AP向移动终端发送签名验证请求，并启动定时器（可以称为签名验证定时器）。

AP发送的签名验证请求可以是包含签名验证请求标识的 MPDU。如图 4所示，可以将 MPDU中的保留字段作为签名验证请求标识，例如，该字段值为 1时表示该 MPDU是签名验证请求，该字段为 0时表示该 MPDU是封装有控制信令报文或音视频数据报文的正常 MPDU。

签名验证请求的 PDU字段中可以包含 AP生成的随机数，移动终端可以将该随机数作为待签名数据、或使用该随机数生成待签名数据。

此外，签名验证请求中的 PDU字段中也可以是加密的音视频数据报文，即 AP接收到实时数据业务服务器发送的音视频数据之后，将该音视频数据加密封装在 MPDU中，并在该 MPDU中设置签名验证请求标识后发送给移动终端。

需要注意的是，在发送签名验证请求之后， AP可以暂停向移动终端转发音视频数据报文，直到签名验证通过后再恢复转发音视频数据报文。在此过程中， AP可以緩存实时数据业务服务器发送给该移动终端的音视频数据报文。

208: 接收到签名验证请求后，移动终端使用 WAPI证书对应的私钥对待签名数据进行加密，生成签名值，并向 AP返回包含该签名值的签名验证口向应。

上述待签名数据可以是签名验证请求的 PDU 字段中的全部或部分数据、也可以是 PDU字段中的全部或部分数据的哈希（HASH )值。例如，如果签名验证请求的 PDU字段中包含 AP生成的长度较小的随机数，则待签名数据可以是该随机数本身；如果签名验证请求的 PDU字段中包含加密的音视频数据报文，则待签名数据可以是该音视频数据报文的哈希值。

此外，上述待签名数据也可以由移动终端生成，例如：待签名数据是移动终端生成的随机数。在这种情况下，移动终端需要把待签名数据包含在签名验证响应中发给 AP, 以便 AP对签名值进行验证。

此外，签名验证响应中还可以包含移动终端的 WAPI证书， WAPI证书中包含有该证书对应的公钥。当然，如果 AP中已预存有移动终端的 WAPI 证书的公钥，签名验证响应中可以不包含 WAPI证书。

209: 接收到签名验证响应后，如果该响应中包含移动终端的 WAPI证书，则 AP向实时数据业务***的鉴别服务器发送包含该 WAPI证书的证书鉴别请求，以验证该 WAPI证书的有效性。

如果在签名验证定时器超时前 AP 没有收到移动终端发送的签名验证响应，则跳转至步骤 212。

210: 接收到证书鉴别请求后，鉴别服务器对其中包含的 WAPI证书进行验证，并将证书验证结果包含在证书鉴别响应中发送给 AP。

211 : AP根据鉴别服务器返回的证书验证结果获知 WAPI证书的有效性，或对该 WAPI证书进行本地验证以判断 WAPI证书的有效性；如果移动终端的 WAPI证书无效（例如：证书已被吊销、证书已超期等），则跳转至步骤 212; 如果 WAPI证书有效，则 AP使用该 WAPI证书对应的公钥对签名验证响应中包含的签名值进行验证，如果签名验证成功，则执行步骤 213; 如果签名验证失败，则执行步骤 212。

在实际应用中，上述验证签名的过程可以包含如下步骤：

211a:使用移动终端的 WAPI证书对应的公钥对签名验证响应中包含的签名值进行解密，得到解密值；

211b: 将上述解密值与待签名数据进行对比，如果两者相同则认为签名值正确，确定签名验证成功；如果两者不同则认为签名值错误，确定签名验证失败。

如上所述，待签名数据可以是 AP在发送签名验证请求是保存的 PDU 字段中的全部或部分数据、或 PDU字段中的全部或部分数据的哈希值；也可以是由移动终端生成并包含在签名验证响应中的数据。

212: 如果签名验证失败、或签名验证定时器超时未收到移动终端发送的签名验证响应，则 AP停止向移动终端转发接收到的音视频数据报文；此外， AP还可以向实时数据业务服务器发送实时数据业务停止请求，以指示实时数据业务服务器停止向移动终端发送音视频数据。

213: 如果签名验证成功，则 AP继续向移动终端转发实时数据业务服务器发送音视频数据报文。

根据本发明的基本原理，上述实施例还可以有多种变换方式，例如： (一）发送签名验证请求之后， AP也可以继续向移动终端转发音视频数据报文，直至签名验证失败或签名验证定时器超时，以避免緩存音视频数据报文占用 AP的***资源。

此外，发送签名验证请求之后， AP也可以直接丟弃接收到的音视频数据报文。

(二 )待签名数据除了可以是 AP生成的随机数、实时数据业务服务器发送音视频数据报文的哈希值、移动终端生成的随机数以外，待签名数据还可以是签名验证响应中除了 PDU字段以外的其它 MPDU字段。

当然，如果待签名数据是由 AP生成的随机数、或实时数据业务服务器发送的音视频报文的哈希值，可以最大程度防止非法移动终端发起的重放攻击。

(三 )上述预览时长阔值 T和预览数据量阔值 N也可以是随机值。

(四）对移动终端的 WAPI证书以及签名值验证成功后， AP可以开始使用 WAPI证书对用户进行计费（例如，按照流量或按照时长计费），或者通知实时数据业务***中的计费网元开始计费（例如， AP每隔 10分钟向计费网元发送一个携带 WAPI证书的计费请求消息，指示计费网元按照时长计费；或者 AP每转发 1M音视频数据报文向计费网元发送一个携带 WAPI 证书的计费请求消息，指示计费网元按照流量计费）。

图 5是可实现本发明方法的实时数据业务***的结构示意图；如图 5 所示，该***包含： AP、实时数据业务服务器和鉴别服务器；其中：

实时数据业务服务器用于在移动终端釆用基于预共享密钥的鉴别和密钥管理方式接入实时数据业务***，并启动实时数据业务后，通过 AP向移动终端发送实时数据业务的音视频数据报文；

AP用于向移动终端转发实时数据业务的音视频数据报文，并且当转发音视频数据报文的时间长度超过预览时长阔值、或转发的音视频数据报文的数据量超过预览数据量阔值后，向移动终端发送签名验证请求；并在接收到移动终端使用其 WAPI证书所对应的私钥生成的签名值后，使用 WAPI 证书所对应的公钥对该签名值进行验证，如果验证失败，则停止向移动终端转发实时数据业务的音视频数据报文。

鉴别服务器用于在接收到证书鉴别请求后，对该请求中包含的 WAPI 证书的有效性进行验证，并返回证书验证结果；

AP还用于在接收到签名验证响应后，向鉴别服务器发送包含移动终端的 WAPI证书的证书鉴别请求，并根据鉴别服务器返回的证书验证结果判断 WAPI证书是否为有效证书；当 WAPI证书为有效证书时，才进行验证签名值的操作；当 WAPI证书为无效证书时，停止向移动终端转发实时数据业务的音视频数据报文。

AP还用于在发送签名验证请求时启动签名验证定时器，并且在签名验证定时器超时前，如果未收到移动终端发送的签名值，则停止向移动终端转发实时数据业务的音视频数据报文。

AP还用于在发送签名验证请求时，暂停向移动终端转发实时数据业务的音视频数据报文；接收到签名验证响应后，如果对签名值验证成功，则继续向移动终端转发实时数据业务的音视频数据报文。

实时数据业务***中包含的各网元的详细功能以及相互之间的交互关系可参见对图 4所示的方法的描述部分，此处不再赘述。

需要说明的是，上述的本发明方法及***均针对移动终端进行描述，但在实际应用中，能够进行相应接入、认证等操作的通信实体不一定只限于移动终端，其它的可经由移动网络间接接入的固定终端等用户终端也可以进行所述接入、认证等操作。实际上，无论是何种形式的用户终端，只要该用户终端能顺利进行所述接入、认证等操作即可。

由以上所述可见，釆用本发明的方法及***，在釆用基于预共享密钥的鉴别和密钥管理方式接入实时数据业务***时，能够保证在用户大量获取业务数据之前进行对用户的认证，因此能有效提高接入安全性；此外，由于本发明的方法及***可以先向用户提供免费的预览业务数据，在预览名，再开始进行计费，这样既方便了用户又有利于运营商推广实时数据业务。

以上所述，仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims

权利要求书

1、一种实时数据业务的实现方法，其特征在于，该方法包括：在实时数据业务***的接入点 AP 开始向接入的用户终端转发数据报文后， AP对该用户终端进行验证，并在验证成功后继续向该用户终端转发数据报文。

2、如权利要求 1 所述的方法，其特征在于，该方法进一步包含触发 AP进行所述验证的操作：

3、如权利要求 1所述的方法，其特征在于，在 AP开始进行所述验证时进一步启动签名验证定时器；在该签名验证定时器超时、并且未收到来自所述用户终端的签名验证响应的情况下，停止向该用户终端转发数据报文。

4、如权利要求 1至 3任一项所述的方法，其特征在于，进行所述验证的过程包括：

AP向用户终端发送签名验证请求；

接收到所述签名验证请求后，用户终端使用自身的 WAPI证书所对应的私钥生成签名值，并将该签名值携带于签名验证响应中发送给 AP;

5、如权利要求 4所述的方法，其特征在于，

6、如权利要求 4所述的方法，其特征在于，所述签名值的生成方法为：所述用户终端将由所述 AP生成的随机数、或者接收到的数据报文的哈希值作为待签名数据，使用私钥对该待签名数据进行加密生成所述签名值。

7、如权利要求 1至 3任一项所述的方法，其特征在于，进行所述验证时， AP进一步暂停向所述用户终端转发数据报文。

8、如权利要求 1所述的方法，其特征在于，该方法是在所述用户终端釆用基于预共享密钥的鉴别和密钥管理方式接入实时数据业务***后实施的。

9、一种实时数据业务***，用于为用户终端提供实时数据业务；其特征在于，该***包含： AP以及接入实时数据业务***用户终端；其中：所述 AP, 用于在向所述用户终端转发数据报文后，对该用户终端进行验证，并在验证成功后继续向该用户终端转发数据报文；

所述用户终端，用于配合所述 AP进行所述验证。

10、如权利要求 9所述的***，其特征在于，该***进一步包括签名验证定时器，用于受所述 AP的控制而进行定时操作；在该签名验证定时器超时、并且未收到来自所述用户终端的针对验证的反馈时，停止向该用户终端转发数据报文。

11、如权利要求 9所述的***，其特征在于，该***进一步包括鉴别服务器；在接收到来自所述用户终端的针对验证的反馈时，所述 AP进一步用于与该鉴别服务器验证该反馈中所包含的 WAPI证书的有效性。

12、如权利要求 9至 11任一项所述的***，其特征在于，在进行所述验证时，所述 AP进一步用于暂停向所述用户终端转发数据报文。

13、如权利要求 9所述的***，其特征在于，所述用户终端是移动终端。