專利名稱:一種基于無線局域網鑒別與保密基礎結構體系的計費方法
技術領域:
本發明涉及無線局域網鑒別與保密基礎結構(WAPI)體系技術領域,特別是指一種基于WAPI體系的計費方法。
背景技術:
我國寬帶無線IP標準工作組制定了無線局域網(WLAN)國家標準GB/T15629.11,推出了基于WAPI體系的安全方案,該方案提供了一種基于公鑰證書的無線局域網移動終端安全接入方法。
在WAPI體系中,有無線接入用戶終端(STA,Station),訪問接入點(AP,Access Point)和鑒別服務單元(ASU,Authentication Service Unit)三種實體,分別作為鑒別請求者實體(ASUE,Authentication SupplicantEntity),鑒別器實體(AE,Authentication Entity)和鑒別服務實體(ASE,Authentication Service Entity)的載體。其中,ASUE是通過鑒別服務單元進行鑒別的實體,駐留在STA中;AE為鑒別請求者在接入服務之前提供鑒別操作的實體,駐留在AP;ASE為鑒別器和鑒別請求者提供相互鑒別的實體,駐留在ASU。
ASU對其管理范圍內的AP和STA進行管理并為每一個合法的AP和STA頒發一個公鑰證書,以作為網絡設備在該WLAN內的數字身份憑證。該公鑰證書中包括證書序列號以及用戶名等信息,其中,頒發者ASU和序列號唯一標識了每個證書。同時,ASU內也保存了STA證書和AP證書。STA與AP之間通過ASU實現身份的相互鑒別。
圖1所示為基于WAPI體系的接入控制原理圖。STA通過WLAN從未受控端口向AP發出連接請求,AP進一步封裝該請求后發送給ASU,由ASU協助AP和STA進行相互身份認證,即證書鑒別,若認證成功,AP開放受控端口允許STA接入,且STA和AP之間進行密鑰協商,利用協商的會話密鑰對數據進行加密和解密,并進行數據通信;若認證不成功,AP拒絕STA接入或STA放棄接入AP。
WAPI體系提出了獨特的鑒別方法和加密方法,彌補了現有國際標準在安全性方面的缺陷,提高了用戶使用的安全可靠性。但同時,WAPI在計費方面沒有給出明確的方法,而且也沒有表明其可以支持的方法,而在WLAN的實際應用中,合理進行計費很有必要,為了更好地實施WAPI,如何計費應該得到體現。
發明內容
有鑒于此,本發明的目的在于提供一種基于WAPI體系的計費方法,進一步完善WAPI體系。
為達到上述目的,本發明的技術方案是這樣實現的一種基于無線局域網鑒別與保密基礎結構體系的計費方法,該方法包括以下步驟a、ASU接收到來自STA的鑒別請求,并對該STA鑒別成功后,根據STA證書記錄該STA的已在線時間;b、ASU定時檢測是否有來自AP的STA在線信息,如果有,則ASU更新該STA的已在線時間信息,然后重復執行步驟b,否則,停止該STA已在線時間的計時操作,統計該STA的在線時間并根據該時間實現對STA證書計費。
較佳地,步驟b所述當ASU在定時時間內沒有檢測到來自AP的STA在線信息時,該方法進一步包括ASU再次確認該STA是否在線,如果在線,則更新該STA的已在線時間信息,然后重復執行步驟b,否則,停止該STA已在線時間的計時操作,統計該STA的在線時間并根據時間實現計費。
較佳地,該方法進一步包括在STA下線時,AP向ASU發送STA下線信息,ASU接收到來自AP的STA下線信息后,停止該STA已在線時間的計時操作,統計該STA的在線時間并根據時間實現計費。
較佳地,該方法進一步包括步驟a所述對該STA鑒別成功后,ASU對本地保存的該STA證書設置計時標志;步驟b所述ASU檢測到來自AP的STA在線信息后,進一步檢測該在線信息所指向的STA證書是否已設置計時標志,如果是,則更新該STA證書的已在線時間信息,否則不做處理;步驟b所述ASU停止對該STA已在線時間的計時操作后,取消本地保存的該STA證書的計時標志,然后再執行后續步驟。
較佳地,所述AP向ASU發送的STA下線信息的方法是AP直接將STA下線信息發送給ASU,或者,AP對整個STA下線信息進行私鑰簽名,將簽名后的下線信息發送給ASU。
較佳地,所述STA下線信息內至少包括STA證書中的用戶名和序列號;或者,該STA下線信息內包括完整的STA證書和AP證書,以及AP對整個消息的私鑰簽名信息;或者,下線信息內包括STA證書中的用戶名稱和序列號,AP證書中的用戶名稱和序列號,以及AP對整個消息的私鑰簽名信息。
較佳地,所述STA在線信息至少包括STA證書中的用戶名和序列號。
較佳地,該方法進一步包括如果一個證書僅允許一個STA使用,則ASU對該證書鑒別成功,且更新了該STA的已在線時間后,在該證書用戶下線之前,ASU拒絕對同一STA證書的鑒別請求進行鑒別處理,并給AP發送鑒別失敗;如果一個證書允許一個以上STA同時使用,則ASU對多個端口的使用時間進行累加,實現對該STA證書的計費。
較佳地,該方法進一步包括同級別的ASU之間交換STA在線信息,或低級別的ASU將自身保存的STA在線信息發送給更高級別的ASU。
本發明由頒發并保存有STA證書的ASU作為計費主體,統計用戶在線時間,并根據在線時間對STA證書進行計費。進一步完善了WAPI體系。
本發明保證了對WAPI體系中終端用戶的較為精確的計時。即使某STA證書被惡意攔截復制并向ASU發送鑒別請求,ASU也不會發生多收費的現象。因為即便這樣的證書通過鑒別,由于沒有用戶私鑰,其無法和AP進行有效的會話密鑰協商,因而AP不會向ASU發送STA在線信息。另外,當AP本身出現故障時,比如死機時,由于AP無法向ASU發送在線信息,因而ASU在定時時間內也就無法收到STA在線信息,這樣,ASU可以及時地結束對STA的本次計時,從而停止計費。
在授權許可下,同級別的ASU之間可以交換STA在線信息,或者,低級別的ASU將自身保存的STA在線信息發送給更高級別的ASU,使高級別的ASU進行有效的計費管理,方便用戶查詢。這一點,對于聯網的運營項目,比如一些聯網的酒店是很有必要的。
圖1所示為基于WAPI體系的接入控制原理圖;圖2所示為應用本發明的ASU實現計費的流程示意圖。
具體實施例方式
為使本發明的技術方案更加清楚,下面結合附圖對本發明再做進一步地詳細說明。
本發明的思路是由頒發并保存有STA證書的ASU作為計費主體,統計用戶在線時間,并根據在線時間對STA證書進行計費。
圖2所示為應用本發明的ASU實現計費的流程示意圖。
步驟201,STA向AP發送鑒別請求消息;步驟202,AP將該鑒別請求消息發送給ASU;步驟203,ASU協助AP和STA進行身份互認證,即證書鑒別,認證成功后,針對本地保存的該STA證書設置計時標志,根據該STA證書開始記錄該STA的已在線時間信息,開始記錄時通常為0分鐘;
步驟204,ASU將鑒別成功的結果信息發送給AP;步驟205,AP將鑒別成功的結果信息發送給STA;步驟206,STA與AP之間協商會話密鑰,并利用協商的會話密鑰對數據進行加解密,進行數據通信;步驟207,當AP開始與STA之間進行有效通信,即AP與STA的會話密鑰協商完畢,STA通過受控端口與AP開始數據通信之后,AP定時向ASU發送該STA證書的在線信息,也就是該STA的在線信息;上述在線信息中至少需要包括STA證書的用戶名和序列號,且該信息的發送頻率和ASU的計時單位要相匹配,如每分鐘發送一次,以支持ASU能夠較為精確地計算該用戶的在線時間;步驟208,在AP定時向ASU發送STA在線信息的同時,ASU也定時檢測是否有AP發送來的STA在線信息,如果檢測到,則ASU進一步檢測該在線信息所指向的STA證書是否已設置計時標志,如果是,則更新該STA證書的已在線時間信息,如果ASU發現檢測所指向的STA證書沒有設置計時標志,則認為該信息無效,并忽略該信息,不做任何處理;這樣可以防止由于AP運行錯誤,或者發生了被攻擊等情況而對用戶進行錯誤收費;如果ASU沒有檢測到來自AP的STA在線信息,為了防止AP和ASU之間偶然發生的通信障礙干擾,ASU再次確認該STA是否在線,例如,通過重復檢測來確認該STA是否確實不在線,如果確實不在線,則直接執行步驟210;如果該STA還在線,則更新該STA的已在線時間信息,并且繼續定時檢測是否有AP發送來的STA在線信息;該定時檢測的時間同樣需要與計時時間相匹配;步驟209,為了更好地配合ASU的計費,在用戶下線的時,AP可以向ASU發送STA下線的信息,該下線信息可以由AP直接發送給ASU,也可以由AP對整個下線信息進行私鑰簽名,將簽名后的下線信息發送給ASU,ASU接收到該信息后直接執行步驟210;
上述下線信息內至少包含STA證書中的用戶名稱和序列號,如果需要對下線信息進行私鑰簽名,則下線信息內包括完整的STA證書和AP證書,以及AP對整個消息的私鑰簽名;或者,下線信息內包括STA證書中的用戶名稱和序列號,AP證書中的用戶名稱和序列號,以及AP對整個消息的私鑰簽名;步驟210,停止該STA已在線時間的計時操作,清除該STA證書的計時標志,用戶下線時間以首次沒有檢測到STA在線信息的時間為準,統計該STA的在線時間并根據該時間實現對STA證書計費。
由于WLAN采用無連接的通信方式,可能發生用戶沒有收到,或者不能及時收到鑒別結果信息的情況,因此,WAPI允許一個用戶證書多次發送鑒別請求。如果一個證書僅允許一個STA使用,則在ASU鑒別該證書成功之后,且設置了該STA證書的計時標志并開始計時,在ASU沒有收到來自AP的STA在線信息之前,仍然可以為相同STA證書的鑒別請求進行鑒別處理,此時設置的計時標志不變;但是當ASU已經獲取了STA的在線信息,即更新了STA的已在線時間后,在該證書用戶下線之前,ASU拒絕對同一STA證書的鑒別請求進行鑒別處理,并給AP發送鑒別失敗;如果允許一個以上STA使用同一個證書,則當同一個證書被多個端口同時使用時,ASU可以通過累加多個端口的使用時間進行計費。
當一個以上STA使用同一個證書時,ASU通過累加多個端口的使用時間進行計費的實現方法,說明如下當系統允許一個以上STA使用同一個證書時,AP定時向ASU發送該STA的在線信息中,不僅包括STA證書的用戶名和序列號,還包括標識AP與STA通信的參數信息,該參數信息包括AP證書的用戶名和序列號,通信受控端口的邏輯端口標識等;ASU定時檢測到來自AP的在線信息后,進一步判斷該在線信息中標識AP與STA通信的參數信息是否與本地已保存的標識AP與STA通信的參數信息相匹配,如果是,則更新該相匹配STA的已在線時間,如果不匹配,則保存該接收到的標識AP與STA通信的參數信息,以此區別相同證書的不同使用終端,并對該終端開始計時。
當AP向ASU發送下線信息時,該下線信息中除了包括STA證書的用戶名和序列號,還包括標識AP與STA通信的參數信息;當ASU收到來自AP的下線信息后,在所有AP與該STA通信的參數信息中匹配,查詢與之相對的端口,結束對該STA證書使用的相應通信端口的計費。
最后,由ASU將所有使用同一STA證書的STA的在線時間相加,得到針對該STA證書的累計時間,并根據該時間對STA證書實現計費。
在授權許可下,同級別的ASU之間可以交換STA在線信息,或者,低級別的ASU將自身保存的STA在線信息發送給更高級別的ASU,使高級別的ASU進行有效的計費管理,方便用戶查詢。這一點,對于聯網的運營項目,比如一些聯網的酒店是很有必要的。
本發明保證了對WAPI體系中終端用戶的較為精確的計時。即使某STA證書被惡意攔截復制并向ASU發送鑒別請求,ASU也不會發生多收費的現象。因為即便這樣的證書通過鑒別,由于沒有用戶私鑰,其無法和AP進行有效的會話密鑰協商,因而AP不會向ASU發送STA在線信息。
另外,當AP本身出現故障時,比如死機時,由于AP無法向ASU發送在線信息,因而ASU在定時時間內也就無法收到STA在線信息,這樣,ASU可以及時地結束對STA的本次計時,從而停止計費。
再有,由于STA和AP的密鑰協商時間相對于計時單位而言很短,一般密鑰協商過程最多為幾秒,而如果AP和STA密鑰協商失敗,則ASU對STA的在線計時為0分鐘,因此,不會發生多計時的情況,因而也就不會多計費。
WAPI的安全體系可以方便地應用在酒店,網吧,圖書館等公共場所。ASU對于使用了資源的STA,根據其在線時間長度進行合理地收費。例如,當一顧客入住酒店后,酒店利用自己的WAPI安全設備對用戶提供無線上網服務,即產生公鑰證書并頒發給用戶,同時,采用本發明的方法對用戶進行在線計時,在用戶離開酒店時,結算相關費用。
以上所述僅為本發明的較佳實施例而已,并不用以限制本發明,凡在本發明的精神和原則之內,所作的任何修改、等同替換、改進等,均應包含在本發明的保護范圍之內。
權利要求
1.一種基于無線局域網鑒別與保密基礎結構體系的計費方法,其特征在于,該方法包括以下步驟a、ASU接收到來自STA的鑒別請求,并對該STA鑒別成功后,根據STA證書記錄該STA的已在線時間;b、ASU定時檢測是否有來自AP的STA在線信息,如果有,則ASU更新該STA的已在線時間信息,然后重復執行步驟b,否則,停止該STA已在線時間的計時操作,統計該STA的在線時間并根據該時間實現對STA證書計費。
2.根據權利要求1所述的方法,其特征在于,步驟b所述當ASU在定時時間內沒有檢測到來自AP的STA在線信息時,該方法進一步包括ASU再次確認該STA是否在線,如果在線,則更新該STA的已在線時間信息,然后重復執行步驟b,否則,停止該STA已在線時間的計時操作,統計該STA的在線時間并根據時間實現計費。
3.根據權利要求1所述的方法,其特征在于,該方法進一步包括在STA下線時,AP向ASU發送STA下線信息,ASU接收到來自AP的STA下線信息后,停止該STA已在線時間的計時操作,統計該STA的在線時間并根據時間實現計費。
4.根據權利要求1、2或3所述的方法,其特征在于,該方法進一步包括步驟a所述對該STA鑒別成功后,ASU對本地保存的該STA證書設置計時標志;步驟b所述ASU檢測到來自AP的STA在線信息后,進一步檢測該在線信息所指向的STA證書是否已設置計時標志,如果是,則更新該STA證書的已在線時間信息,否則不做處理;步驟b所述ASU停止對該STA已在線時間的計時操作后,取消本地保存的該STA證書的計時標志,然后再執行后續步驟。
5.根據權利要求3所述的方法,其特征在于,所述AP向ASU發送的STA下線信息的方法是AP直接將STA下線信息發送給ASU,或者,AP對整個STA下線信息進行私鑰簽名,將簽名后的下線信息發送給ASU。
6.根據權利要求3所述的方法,其特征在于,所述STA下線信息內至少包括STA證書中的用戶名和序列號;或者,該STA下線信息內包括完整的STA證書和AP證書,以及AP對整個消息的私鑰簽名信息;或者,該下線信息內包括STA證書中的用戶名稱和序列號,AP證書中的用戶名稱和序列號,以及AP對整個消息的私鑰簽名信息。
7.根據權利要求1所述的方法,其特征在于,所述STA在線信息至少包括STA證書中的用戶名和序列號。
8.根據權利要求1所述的方法,其特征在于,該方法進一步包括如果一個證書僅允許一個STA使用,則ASU對該證書鑒別成功,且更新了該STA的已在線時間后,在該證書用戶下線之前,ASU拒絕對同一STA證書的鑒別請求進行鑒別處理,并給AP發送鑒別失敗;如果一個證書允許一個以上STA同時使用,則ASU對多個端口的使用時間進行累加,實現對該STA證書的計費。
9.根據權利要求1所述的方法,其特征在于,該方法進一步包括同級別的ASU之間交換STA在線信息,或低級別的ASU將自身保存的STA在線信息發送給更高級別的ASU。
全文摘要
本發明提供了一種基于無線局域網鑒別與保密基礎結構體系的計費方法,其關鍵是,由頒發并保存有STA證書的ASU作為計費主體,統計用戶在線時間,并根據在線時間對STA證書進行計費。進一步完善了WAPI體系。本發明保證了對WAPI體系中終端用戶的較為精確的計時。而且,即使某STA證書被惡意攔截復制并向ASU發送鑒別請求,ASU也不會發生多收費的現象。另外,當AP本身出現故障時,比如死機時,ASU也可以及時地結束對STA的本次計時,從而停止計費。
文檔編號H04L12/14GK1697386SQ20041004423
公開日2005年11月16日 申請日期2004年5月14日 優先權日2004年5月14日
發明者劉淑玲, 劉廷永, 尹瀚, 馮凱鋒 申請人:華為技術有限公司