CN100365981C - 一种基于无线局域网鉴别与保密基础结构证书的计费方法 - Google Patents
一种基于无线局域网鉴别与保密基础结构证书的计费方法 Download PDFInfo
- Publication number
- CN100365981C CN100365981C CNB2004100423144A CN200410042314A CN100365981C CN 100365981 C CN100365981 C CN 100365981C CN B2004100423144 A CNB2004100423144 A CN B2004100423144A CN 200410042314 A CN200410042314 A CN 200410042314A CN 100365981 C CN100365981 C CN 100365981C
- Authority
- CN
- China
- Prior art keywords
- certificate
- sta
- deadline
- asu
- charging
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 238000000034 method Methods 0.000 title claims abstract description 27
- 230000006854 communication Effects 0.000 claims description 9
- 238000004891 communication Methods 0.000 claims description 7
- 238000012545 processing Methods 0.000 claims description 3
- 230000000903 blocking effect Effects 0.000 abstract 1
- 230000004044 response Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000004308 accommodation Effects 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000002950 deficient Effects 0.000 description 1
- 238000012850 discrimination method Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供了一种基于无线局域网鉴别与保密基础结构证书的计费方法,利用用户持有证书的有效期作为计费凭据,从而实现计费,进一步完善了WAPI体系。本发明将STA证书中的起始和截止时间作为提供网络服务收费的依据,使得ASU和AP不必再为了计费而对用户状态进行实时监测,而且不必查询用户是否在线,不必统计用户登陆时间及其已使用WLAN的时间长短等计费信息。应用本发明,将计费与用户鉴权结合在一起,实施简单,应用方便,不增加网络开销。
Description
技术领域
本发明涉及无线局域网鉴别与保密基础结构(WAPI)体系技术领域,特别是指一种基于WAPI证书的计费方法。
背景技术
无线局域网(WLAN)以其灵活便捷的优势引起设备制造商、运营商和用户的普遍关注。我国宽带无线IP标准工作组制定了WLAN国家标准GB/T15629.11,其中给出了一种基于WAPI体系的安全方案。该WAPI体系提供了一种基于公钥证书的无线局域网移动终端安全接入方法。
在WAPI体系中,有无线接入用户终端(STA,Station),访问接入点(AP,Access Point)和鉴别服务单元(ASU,Authentication Service Unit)三种实体,分别作为鉴别请求者实体(ASUE,Authentication SupplicantEntity),鉴别器实体(AE,Authentication Entity)和鉴别服务实体(ASE,Authentication Service Entity)的载体。其中,ASUE是通过鉴别服务单元进行鉴别的实体,驻留在STA中;AE为鉴别请求者在接入服务之前提供鉴别操作的实体,驻留在AP;ASE为鉴别器和鉴别请求者提供相互鉴别的实体,驻留在ASU。
ASU对其管理范围内的AP和STA进行管理并为每一个合法的AP和STA颁发一个公钥证书,以作为网络设备在该WLAN内的数字身份凭证。STA与AP之间通过ASU实现身份的相互鉴别。此时,ASU内也保存了STA证书和AP证书。
利用证书实现接入控制的基本原理为:STA从未受控端口向AP发出连接请求,在ASU的协助下AP与STA进行相互身份认证,即证书鉴别,若认证成功,AP开放受控端口允许STA接入,否则AP拒绝STA接入或STA放弃接入AP。
图1所示为在WAPI体系中对证书的鉴别流程图。
步骤101,AP向STA发送鉴别激活;
步骤102,STA向AP发送接入鉴别请求,即将STA证书发送给AP;
步骤103,AP向ASU发送证书鉴别请求,即AP将STA证书和自身证书一起发送给ASU,并对数据进行签名;
步骤104,ASU验证AP的签名,以及AP证书和STA的证书的真实性和有效性,对鉴别结果进行签名并发送给AP,即ASU给AP发送包含鉴别结果的鉴别响应信息;
步骤105,AP根据接收到的来自ASU的响应信息给STA发送包含鉴别结果的接入鉴别响应,STA和AP依据ASU的鉴别结果决定是否进行连接。
WAPI与其它接入控制方案相比有一个显著的特点:每个合法用户都会得到由ASU颁发的证书,只有在接入时正确通过了证书鉴别才能访问网络资源。WAPI标准证书的结构如表1所示:
| 证书版本号 | 指定证书版本 | 2 |
| 证书序列号 | ASU颁发的每个证书有唯一的序列号 | 4 |
| 签名算法 | 标识颁发者使用的Hash算法和签名算法 | 2 |
| 颁发者名称 | 颁发者身份标识 | 6~256 |
| 颁发者公钥 | 颁发者的公钥信息 | 41~256 |
| 有效期 | 包括起始时间和截止时间,各4个字节 | 8 |
| 持有者名称 | 证书持有者身份标识 | 6~256 |
| 持有者公钥 | 证书持有者的公钥信息 | 41~256 |
| 证书类型 | 设备类型,分STA、AP和ASU | 2 |
| 扩展 | 保留字段 | 2 |
| 颁发者签名 | 颁发者对上述所有信息的签名值 | 41~256 |
表1
其中的“有效期”字段规定了应用该证书接入的起始和截止时间。在用户接入时,如果当前时间超过证书中指明的截止时间,即该证书已过期失效,则该证书不能通过证书鉴别过程,也就是说不能应用该证书接入WLAN;如果当前时间仍处在有效期内,并且该证书通过了证书鉴别过程,用户就可以接入WLAN。
WAPI体系提出了独特的鉴别方法和加密方法,弥补了现有国际标准在安全性方面的缺陷,提高了用户使用的安全可靠性。但同时,WAPI在计费方面没有给出明确的方法,而且也没有表明其可以支持的方法,而在WLAN的实际应用中,合理进行计费很有必要,为了更好地实施WAPI,如何计费应该得到体现。
发明内容
有鉴于此,本发明的目的在于提供一种基于WAPI证书的计费方法,进一步完善WAPI体系。
为达到上述目的,本发明的技术方案是这样实现的:
一种基于无线局域网鉴别与保密基础结构证书的计费方法,该方法包括以下步骤:
a、ASU将STA证书的截止时间设置为向用户提供网络服务的最后期限;
b、AP与STA进行相互身份认证,认证成功后进行通信,在通信过程中,AP判断当前时间是否到达正在使用网络资源的STA所应用证书的截止时间,如果是,则主动终止与该STA通信,并执行步骤c,否则AP重复执行判断步骤;
c、ASU根据该STA证书的有效期长度对该STA证书进行计费。
较佳地,所述根据STA证书的有效期长度对STA证书进行计费的方法是:用有效期的长度乘以已设置的费率;或者,根据已设置的有效期长度与计费标准的列表,对STA证书进行计费。
较佳地,在一个证书只允许一个STA使用的情况下,该方法进一步包括:在ASU鉴别某个证书成功之后,且在该证书用户下线之前,ASU拒绝对同一STA证书的鉴别请求进行鉴别处理。
较佳地,步骤b所述AP判断当前时间是否到达正在使用网络资源的STA所应用证书的截止时间的方法为:
AP每隔一段预先设定的时间判断一次当前时间是否到达STA所应用证书的截止时间,或者,在AP为该STA开始提供通信服务后,启动一个定时时间为当前时间与STA证书截止时间时间差的定时器,AP根据是否接收到该定时器所发的到时信号,判断出当前时间是否到达STA所应用证书的截止时间。
本发明利用用户持有证书的有效期作为计费凭据,从而实现计费,进一步完善了WAPI体系。本发明将STA证书中的起始和截止时间作为提供网络服务收费的依据,使得ASU和AP不必再为了计费而对用户状态进行实时监测,而且不必查询用户是否在线,不必统计用户登陆时间及其已使用WLAN的时间长短等计费信息。应用本发明,将计费与用户鉴权结合在一起,实施简单,应用方便,不增加网络开销。
附图说明
图1所示为在WAPI体系中对证书的鉴别流程图;
图2所示为应用本发明的计费流程示意图。
具体实施方式
为使本发明的技术方案更加清楚,下面结合附图对本发明再做进一步地详细说明。
在WAPI体系中,ASU颁发的证书是STA的数字身份凭证,本发明利用用户持有证书的有效期作为计费凭据,从而实现计费。具体实施方法如下:
图2所示为应用本发明的计费流程示意图。
步骤201,ASU根据服务的种类向用户颁发具有有效期限的WAPI证书,将STA证书的截止时间设置为向用户提供网络服务的最后期限,用户拥有该证书后,才有可能访问WLAN网络资源;
步骤202,AP与STA在ASU的协助下进行相互身份认证,认证成功后,STA与AP之间进行通信,AP为该STA提供通信服务;此时,ASU内也保存了STA证书和AP证书;
步骤203,AP判断当前时间是否到达正在使用网络资源的STA所应用证书的截止时间,如果是,则执行步骤204,否则重复执行步骤203;
上述AP判断当前时间是否到达STA所应用证书的截止时间的方法是,AP每隔一段预先设定的时间判断一次当前时间是否到达STA所应用证书的截止时间,或者,在AP为该STA开始提供通信服务后,启动一个定时时间为当前时间与STA证书截止时间时间差的定时器,当该定时器到达所设定的时间后,给AP一个到时信号,AP根据是否接收到该定时器所发的信号判断出当前时间是否到达STA所应用证书的截止时间;
步骤204,AP主动终止与该STA通信,停止向该STA提供通信服务,该停止向该STA提供通信服务的操作与ASU无关,完全由AP独立完成。此时,ASU根据该STA证书的有效期长度进行计费。
上述ASU根据STA证书的有效期长度进行计费的方法是:用有效期的长度乘以已设置的费率;或者,根据已设置的有效期长度与计费标准的列表,对STA证书进行计费。
由于STA证书的截止时间是不可延长的,而STA证书到达截止时间后,该证书将不能再通过ASU鉴别,因此,如果用户还需AP提服务,其必须重新申请一个STA证书,否则其不能再访问WLAN网络资源。
如果一个证书只允许一个STA使用,则在ASU鉴别某个证书成功之后,且在该证书用户下线之前,ASU拒绝对同一STA证书的鉴别请求进行鉴别处理。
出于系统安全或其它方面的考虑,ASU可以随时向AP发送某个STA证书已经无效的信息,要求AP停止向使用该证书的STA提供服务,AP接收到该消息后,检查其正在提供通信服务的各STA,如果某个STA正在使用该证书,就立即主动停止为该STA提供服务,并将停止与该STA通信的信息通知ASU。
应用本发明,可灵活配置STA证书的有效期时间,这样,管理者可以根据不同的情况颁发不同期限的证书。例如,在酒店、旅馆等场所,可以根据顾客的住宿时间颁发相应时间段的证书。在网吧、图书馆、机场等场所可以颁发时间更短比如几个小时的证书。
应用本发明用户可以预付费,也可以在消费完毕后付费。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (4)
1.一种基于无线局域网鉴别与保密基础结构证书的计费方法,其特征在于,该方法包括以下步骤:
a、ASU将STA证书的截止时间设置为向用户提供网络服务的最后期限;
b、AP与STA进行相互身份认证,认证成功后进行通信,在通信过程中,AP判断当前时间是否到达正在使用网络资源的STA所应用证书的截止时间,如果是,则主动终止与该STA通信,并执行步骤c,否则AP重复执行判断步骤;
c、ASU根据该STA证书的有效期长度对该STA证书进行计费。
2.根据权利要求1所述的方法,其特征在于,所述根据STA证书的有效期长度对STA证书进行计费的方法是:用有效期的长度乘以已设置的费率;或者,根据已设置的有效期长度与计费标准的列表,对STA证书进行计费。
3.根据权利要求1所述的方法,其特征在于,在一个证书只允许一个STA使用的情况下,该方法进一步包括:在ASU鉴别某个证书成功之后,且在该证书用户下线之前,ASU拒绝对同一STA证书的鉴别请求进行鉴别处理。
4.根据权利要求1所述的方法,其特征在于,步骤b所述AP判断当前时间是否到达正在使用网络资源的STA所应用证书的截止时间的方法为:
AP每隔一段预先设定的时间判断一次当前时间是否到达STA所应用证书的截止时间,或者,在AP为该STA开始提供通信服务后,启动一个定时时间为当前时间与STA证书截止时间时间差的定时器,AP根据是否接收到该定时器所发的到时信号,判断出当前时间是否到达STA所应用证书的截止时间。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2004100423144A CN100365981C (zh) | 2004-05-17 | 2004-05-17 | 一种基于无线局域网鉴别与保密基础结构证书的计费方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2004100423144A CN100365981C (zh) | 2004-05-17 | 2004-05-17 | 一种基于无线局域网鉴别与保密基础结构证书的计费方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1700649A CN1700649A (zh) | 2005-11-23 |
| CN100365981C true CN100365981C (zh) | 2008-01-30 |
Family
ID=35476524
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2004100423144A Expired - Lifetime CN100365981C (zh) | 2004-05-17 | 2004-05-17 | 一种基于无线局域网鉴别与保密基础结构证书的计费方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100365981C (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100448196C (zh) * | 2006-12-29 | 2008-12-31 | 西安西电捷通无线网络通信有限公司 | 一种基于wapi的无线局域网运营方法 |
| CN101330401B (zh) * | 2007-06-22 | 2010-12-08 | 华为技术有限公司 | 一种安全状态的评估方法、装置及系统 |
| CN101568116B (zh) * | 2009-05-19 | 2011-03-02 | 中兴通讯股份有限公司 | 一种证书状态信息的获取方法及证书状态管理系统 |
| CN101656962B (zh) * | 2009-06-12 | 2011-12-07 | 中兴通讯股份有限公司 | 一种基于无线局域网保密基础结构的设备调试方法及系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1401172A (zh) * | 2000-12-12 | 2003-03-05 | 株式会社Ntt都科摩 | 认证方法、通信设备和中继装置 |
| CN1447579A (zh) * | 2002-03-21 | 2003-10-08 | 华为技术有限公司 | 使用预付费卡接入智能网的方法 |
| CN1454014A (zh) * | 2002-04-27 | 2003-11-05 | 华为技术有限公司 | 无线通信系统资费计费方法 |
| WO2004036871A1 (en) * | 2002-10-12 | 2004-04-29 | Lg Electronics Inc. | Handling charging information in interworking structure of mobile communication and wireless local area networks |
-
2004
- 2004-05-17 CN CNB2004100423144A patent/CN100365981C/zh not_active Expired - Lifetime
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1401172A (zh) * | 2000-12-12 | 2003-03-05 | 株式会社Ntt都科摩 | 认证方法、通信设备和中继装置 |
| CN1447579A (zh) * | 2002-03-21 | 2003-10-08 | 华为技术有限公司 | 使用预付费卡接入智能网的方法 |
| CN1454014A (zh) * | 2002-04-27 | 2003-11-05 | 华为技术有限公司 | 无线通信系统资费计费方法 |
| WO2004036871A1 (en) * | 2002-10-12 | 2004-04-29 | Lg Electronics Inc. | Handling charging information in interworking structure of mobile communication and wireless local area networks |
Non-Patent Citations (1)
| Title |
|---|
| 网守与许可控制和计费. 金欣,屈万里.计算机工程与应用,第9期. 2002 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1700649A (zh) | 2005-11-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7861283B2 (en) | User position utilization system | |
| CN101222388B (zh) | 一种确定接入点存在广播/多播缓存帧的方法和系统 | |
| CN101427511B (zh) | 用于促进接入服务的认证服务 | |
| US7945245B2 (en) | Authentication system and authentication method for performing authentication of wireless terminal | |
| CN100417274C (zh) | 用于松散耦合互操作的基于证书的认证授权计费方案 | |
| EP0973299A3 (en) | Fleet management using mobile stations and wireless data networks | |
| CN101094056B (zh) | 无线工业控制网络安全系统及安全策略实现方法 | |
| CN108881169A (zh) | 基于区块链的时间分发和同步方法及系统、数据处理系统 | |
| CN102209303B (zh) | 一种确定接入点存在广播/多播缓存帧的方法和系统 | |
| NZ333220A (en) | Providing anonymous data transfer in GSM mobile phone system by authenticating mobile station without using unique identifier | |
| US20060153189A1 (en) | Ad hoc communication system, mobile terminal, center, ad hoc communication method and ad hoc communication program | |
| CN101277234A (zh) | 一种家庭网络及登录方法 | |
| CN105391681A (zh) | 通信系统、通信设备、车辆和通信方法 | |
| CN102111766A (zh) | 网络接入方法、装置及系统 | |
| CN103746969A (zh) | 车载终端认证的方法及认证服务器 | |
| CN108734812A (zh) | 基于ZigBee的远程开锁方法、装置及系统 | |
| EP1595410A2 (en) | Virtual wireless local area networks | |
| EP1976179A1 (en) | A method for wireless access to the internet for the pre-paid customer | |
| EP1411475A1 (en) | System and method of communication including first and second access point | |
| CN101425909B (zh) | 一种实现wapi系统终端零干预计费的方法 | |
| CN100365981C (zh) | 一种基于无线局域网鉴别与保密基础结构证书的计费方法 | |
| CN101540985B (zh) | 一种实现wapi系统终端零干预计费的方法 | |
| CN101282215A (zh) | 证书鉴别方法和设备 | |
| CN100459536C (zh) | 用于wlan会话控制的方法和网络 | |
| JP2002529032A (ja) | 携帯電話網内のリスク管理方法とシステム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20160420 Address after: American California Patentee after: Snaptrack, Inc. Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Patentee before: Huawei Technologies Co., Ltd. |