CN101425909B - 一种实现wapi系统终端零干预计费的方法 - Google Patents
一种实现wapi系统终端零干预计费的方法 Download PDFInfo
- Publication number
- CN101425909B CN101425909B CN2008101774930A CN200810177493A CN101425909B CN 101425909 B CN101425909 B CN 101425909B CN 2008101774930 A CN2008101774930 A CN 2008101774930A CN 200810177493 A CN200810177493 A CN 200810177493A CN 101425909 B CN101425909 B CN 101425909B
- Authority
- CN
- China
- Prior art keywords
- sta
- production line
- rolling
- response
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Abstract
一种实现WAPI系统终端零干预计费的方法,可在采用WAPI作为鉴别与保密机制的无线局域网中应用。本发明通过AP发送用户上线请求给AC,AC利用了上线请求中的用户身份字段完成RADIUS认证过程,通过AP发送上下线报文来实现对用户的计费。本发明使得AC不需要为了计费而对用户的状态进行实时监测,不需要修改WAPI协议的流程,具有用户零干预、终端接口简单、计费过程简化和安全性高的优点。
Description
技术领域
本发明涉及一种实现WAPI系统终端零干预计费的方法。
背景技术
WAPI(WLAN Authentication and Privacy Infrastructure),即无线局域网鉴别与保密基础结构,它是针对IEEE802.11中WEP协议安全问题,在中国无线局域网国家标准GB15629.11中提出的WLAN安全解决方案。它的主要特点是采用基于公钥密码体系的证书机制,真正实现了移动终端(MT)与无线接入点(AP)间双向鉴别。
WAPI虽然解决了802.11网络中的安全问题,但是并没有对计费作出规定,随着采用WAPI安全机制的无线局域网(WLAN)被运营商大量部署,简单实用的计费就显得很重要。在目前已经WAPI安全机制的WLAN网络中一般都是使用WAPI+Portal或者WAPI+PPPoE认证的方式来完成计费的。这两种方案是运营商目前采用的最为普遍的计费方式,但是这个方案对基于WAPI安全机制的WLAN网络来存在以下三个问题:
(1)这两种方案都需要用户的干预,属于两次认证,用户操作复杂;
(2)随着手机中WLAN的普及,支持WLAN网络的手机比例将超过PC端,如果还是采用WAPI+Portal的方式进行计费,都会因为Portal页面并没有统一的标准、各种各样,造成终端厂商软件的复杂性和用户操作的复杂性,影响手机中WLAN的普及。
(3)在WAPI+PPPoE计费方案中,由于PPPoE协议不能通过三层网络,因此不能在大型网络中部署,而且不能实现用户漫游。
2005年11月16日,中国国家知识产权局公开了一项申请号为:200410044235.7,名称为“一种基于无线局域网鉴别与保密基础结构的计费方法”的专利,该方法的主要特征和步骤如下:
(1)AS将STA证书的截止时间设置为向用户提供网络访问的最后期限;
(2)AP判断当前时间是否到达正在使用网络资源的STA说应用证书的截止时间,如果是则主动中止与该STA的通信,并执行步骤(3)否则重复执行步骤(2);
(3)AS根据该STA证书的有效时间长度对该STA证书进行计费。
该方法提供了一种基于WAPI证书的计费方法,利用用户持有的证书的有效期进行计费,进一步完善了WAPI体系。将用户鉴权和计费结合在一起,实现简单,不增加网络开销。
这种方法也有很大的缺点,主要如下:
(1)对多个用户使用一个证书的方式无法支持。
(2)AP要循环对每个用户的证书进行检测,看是否到期,给AP增加了额外的负担。
(3)只能实现预付费,不能实时计费,因此不能在运营级的网络中使用,局限性很大。
(4)更改了WAPI协议中ASU和AP的功能,造成了设备互通性的问题。
(5)计费方式与运营网中的的AC+RADIUS计费方式的不能融合,不能保护用户的投资。
发明内容
本发明的目的是提供一种实现WAPI系统终端零干预计费的方法,为采用WAPI安全协议WLAN网络提供了一种具有用户零干预、终端接口简单、计费过程简化和安全性高的优点的计费方法。
本发明的技术解决方案是:
一种实现WAPI系统终端零干预计费的方法,其特征在于:包括以下步骤:
1]WAPI鉴别过程完成后ASU记录STA证书中的身份字段、MAC地址和鉴别时间;
2]AP向AC发送STA的上线请求;
3]AC收到STA上线请求后向AP发送STA的上线响应;同时,AC向RADUIS发送计费开始,RADUIS发送确认,并记录AC收到STA上线响应的时间;
4]当AC收到STA下线请求后向AP发送STA的下线响应;同时,AC向RADUIS发送计费结束,RADUIS发送确认,并记录AC收到STA下线响应的时间;
5]计费模块通过STA的上线响应和下线响应之间的时间差来实现计费。
上述AP向AC发送STA的上线请求的过程为:当STA完成WAPI鉴别过程后,AP根据STA证书中的身份字段和MAC地址构造STA的上线请求。
上述AC收到STA上线请求后向AP发送STA的上线响应的过程为:
1]AC根据上线请求中的身份字段向RADUIS发起认证请求;
2]RADUIS使用认证请求中的身份字段和MAC地址向ASU查询STA的WAPI鉴别结果;
3]RADUIS根据ASU反馈的结果向AC发送认证响应;
4]AC根据认证响应向AP发送STA的上线响应。
上述AC收到STA下线请求后向AP发送STA的下线响应的过程为;
1]当STA主动或被动不再使用网络资源时,STA与AP解除关联;
2]AP向AC发送下线请求,下线请求至少包括STA的MAC地址;
3]AC收到下线请求后,向AP发送下线响应。
上述AC收到STA下线请求后向AP发送STA的下线响应的过程为;
1]当RADUIS检测到STA费用不足时通知AC;
2]AC向AP发送下线响应;
3]AP解除与STA的关联。
本发明具有以下优点:
1、本发明具有客户端零干预的优点,避免了WAPI+Portal以及WAPI+PPPoE计费方式中需要客户端输入的问题,降低了WAPI网络中计费的复杂性。
2、本发明使用客户端证书中的身份和MAC地址进行RADUIS认证,避免了WAPI+Portal以及WAPI+PPPoE计费方式中需要在客户端进行两次认证的问题。
3、本发明不改变AC+RADUIS网络拓扑,可适用于大型的运营环境。
4、本发明采用AP发送上下线的方式来确定STA使用网络的时间,可以做到精确计时。
附图说明
图1是本发明流程图。
具体实施方式
本发明主要是由RADUIS通过STA上下线的时间差来完成计费,流程图参见图1,具体步骤如下:
步骤1:在STA和AP完成WAPI证书鉴别和密钥协商过程后,ASU记录STA证书中的身份字段、MAC地址和鉴别时间;
步骤2:AP向AC发送STA上线请求;STA上线请求信息中至少包括STA的身份字段和MAC地址,其中STA的身份字段取自STA证书中;
步骤3:AC向RADUIS发送STA认证授权请求,STA认证授权信息至少包括STA上线请求信息中的STA的身份字段和MAC地址;
步骤4:RADUIS收到STA认证授权请求后,通过其中的STA身份标识和MAC地址向ASU查询STA的WAPI鉴别情况;
步骤5:ASU向RADUIS反馈查询结果,查询结果中至少包括STA的MAC地址和WAPI鉴别结果;
步骤6:RADUIS收到ASU反馈的查询结果后,向AC发送STA认证授权响应,STA认证授权响应至少包括STA的MAC地址和授权结果;
步骤7:AC收到STA认证授权响应后,向AP发送STA上线响应,STA上线响应至少包括STA的MAC地址和授权结果,其中STA的MAC地址和授权结果字段来自于STA认证授权响应中;
步骤8:AP收到STA上线响应后,检查授权结果字段,如果STA授权成功则AP将STA标识为已经上线状态,如果STA授权失败则终止STA的通信;
步骤9:AC向RADUIS发送计费开始,RADUIS发送确认,并开始计费;
步骤10:STA与AP终止通信时,AP向AC发送下线请求,下线请求至少包括STA的MAC地址;
步骤11:AC收到下线请求后,向AP发送下线响应;
步骤12:AC向RADUIS发送计费结束,RADUIS发送确认,并停止计费;
步骤13:计费模块通过STA的上线响应和下线响应之间的时间差来计费。
其中:
步骤11]AC收到下线请求后,向AP发送下线响应的过程分为两种不同的情况:
第一种情况:当STA主动或被动不再使用网络资源时,STA与AP解除关联;此时AP向AC发送下线请求,下线请求至少包括STA的MAC地址;AC收到下线请求后,向AP发送下线响应。
第二种情况:当RADUIS检测到STA费用不足时通知AC;AC向AP发送下线响应;AP解除与STA的关联。
本发明所用术语解释如下:
STA:无线站点(station),本说明书中STA也代表用户。
AC:无线控制器(Access Controller),负责接入和管理AP,并收集用户的认证信息。
AP:无线访问节点(Access Point),负责提供无线工作站对有线局域网和从有线局域网对无线工作站的访问,在访问接入点覆盖范围内的无线工作站可以通过它进行相互通信。
ASU:鉴别服务单元(Authentication Service Unit),负责用户证书的鉴别。
RADIUS:远程认证拨号用户服务/授权模块(Remote Authentication DialIn User Service),对用户进行认证、授权、和计费。
Claims (3)
1.一种实现WAPI系统终端零干预计费的方法,其特征在于:包括以下步骤:
1]WAPI鉴别过程完成后ASU记录STA证书中的身份字段、MAC地址和鉴别时间;
2]AP向AC发送STA的上线请求:当STA完成WAPI鉴别过程后,AP根据STA证书中的身份字段和MAC地址构造STA的上线请求;
3]AC收到STA上线请求后向AP发送STA的上线响应:
3.1]AC向RADUIS发送STA认证授权请求,STA认证授权信息至少包括STA上线请求信息中的STA的身份字段和MAC地址;
3.2]RADUIS使用认证授权请求中的身份字段和MAC地址向ASU查询STA的WAPI鉴别结果;
3.3]RADUIS根据ASU反馈的结果向AC发送认证授权响应;
3.4]AC收到STA认证授权响应后,向AP发送STA上线响应,STA上线响应至少包括STA的MAC地址和授权结果,其中STA的MAC地址和授权结果字段来自于STA认证授权响应中;AP收到STA上线响应后,检查授权结果字段,如果STA授权成功则AP将STA标识为已经上线状态,如果STA授权失败则终止STA的通信;STA标识为已经上线状态时,AC向RADUIS发送计费开始,RADUIS发送确认,并记录AC收到STA上线响应的时间;STA与AP终止通信时,AP向AC发送下线请求,下线请求至少包括STA的MAC地址;
4]当AC收到STA下线请求后向AP发送STA的下线响应,AC向RADUIS发送计费结束,RADUIS发送确认,并记录AC收到STA下线响应的时间;
5]计费模块通过STA的上线响应和下线响应之间的时间差来实现计费。
2.根据权利要求1所述的实现WAPI系统终端零干预计费的方法,其特征在于:所述AC收到STA下线请求后向AP发送STA的下线响应的过程为:
1]当STA主动或被动不再使用网络资源时,STA与AP解除关联;
2]AP向AC发送下线请求,下线请求至少包括STA的MAC地址;
3]AC收到下线请求后,向AP发送下线响应。
3.根据权利要求1所述的实现WAPI系统终端零干预计费的方法,其特征在于:所述AC收到STA下线请求后向AP发送STA的下线响应的过程为;
1]当RADUIS检测到STA费用不足时通知AC;
2]AC向AP发送下线响应;
3]AP解除与STA的关联。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101774930A CN101425909B (zh) | 2008-09-28 | 2008-11-25 | 一种实现wapi系统终端零干预计费的方法 |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200810231655 | 2008-09-28 | ||
| CN200810231655.4 | 2008-09-28 | ||
| CN2008101774930A CN101425909B (zh) | 2008-09-28 | 2008-11-25 | 一种实现wapi系统终端零干预计费的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101425909A CN101425909A (zh) | 2009-05-06 |
| CN101425909B true CN101425909B (zh) | 2011-06-01 |
Family
ID=40616264
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008101774930A Expired - Fee Related CN101425909B (zh) | 2008-09-28 | 2008-11-25 | 一种实现wapi系统终端零干预计费的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101425909B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101568147A (zh) * | 2009-05-15 | 2009-10-28 | 刘建 | 一种无线局域网鉴别基础结构超时处理的方法及装置 |
| CN101631312B (zh) * | 2009-08-19 | 2011-12-21 | 北京傲天动联技术有限公司 | 基于瘦AP架构的Portal认证方法 |
| CN102857886B (zh) * | 2012-08-24 | 2016-01-20 | 北京华信傲天网络技术有限公司 | 基于热点的信息推送系统及其方法 |
| CN103888924A (zh) * | 2012-12-19 | 2014-06-25 | 中国移动通信集团公司 | 一种基于wlan的计费方法及装置 |
| CN103281754B (zh) * | 2013-04-25 | 2017-02-22 | 深信服网络科技(深圳)有限公司 | 基于本地转发模式的无线接入点信息获取方法和装置 |
| CN104349295B (zh) * | 2013-07-31 | 2018-02-16 | 中国电信股份有限公司 | Wapi计费方法、系统与接入控制器 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1564524A (zh) * | 2004-03-26 | 2005-01-12 | 中兴通讯股份有限公司 | 一种无线局域网中无线终端计费的方法 |
| CN1625853A (zh) * | 2002-04-23 | 2005-06-08 | Sk电信有限公司 | 在公共无线局域网中具有移动性的认证系统和方法 |
| CN101018174A (zh) * | 2007-03-15 | 2007-08-15 | 北京安拓思科技有限责任公司 | 用于wapi的获取公钥证书的网络系统和方法 |
-
2008
- 2008-11-25 CN CN2008101774930A patent/CN101425909B/zh not_active Expired - Fee Related
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1625853A (zh) * | 2002-04-23 | 2005-06-08 | Sk电信有限公司 | 在公共无线局域网中具有移动性的认证系统和方法 |
| CN1564524A (zh) * | 2004-03-26 | 2005-01-12 | 中兴通讯股份有限公司 | 一种无线局域网中无线终端计费的方法 |
| CN101018174A (zh) * | 2007-03-15 | 2007-08-15 | 北京安拓思科技有限责任公司 | 用于wapi的获取公钥证书的网络系统和方法 |
Non-Patent Citations (1)
| Title |
|---|
| 汪坤等.无线局域网安全技术研究与测试.电信网技术.2006,(3),第47-51页. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101425909A (zh) | 2009-05-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102111766B (zh) | 网络接入方法、装置及系统 | |
| CN101150594B (zh) | 一种移动蜂窝网络和无线局域网的统一接入方法及系统 | |
| CN101425909B (zh) | 一种实现wapi系统终端零干预计费的方法 | |
| CN101998394B (zh) | 异质无线网络之间的快速鉴别 | |
| EP2652901B1 (en) | Method and apparatus for authenticating per m2m device between service provider and mobile network operator | |
| CN101990202B (zh) | 更新用户策略的方法及应用服务器 | |
| EP2234438B1 (en) | Wireless personal area network accessing method | |
| US20160328714A1 (en) | Method and apparatus for authenticating payment related information in mobile communication system | |
| CN101540985B (zh) | 一种实现wapi系统终端零干预计费的方法 | |
| CN102143492B (zh) | Vpn连接建立方法、移动终端、服务器 | |
| KR100729101B1 (ko) | 단말 이동성을 갖는 인터넷 서비스 장치 및 그 방법 | |
| CN103297968A (zh) | 一种无线终端认证的方法、设备及系统 | |
| CN100544253C (zh) | 无线局域网移动终端的安全重认证方法 | |
| CN102333309A (zh) | 一种无线局域网中密钥传递的方法、设备和系统 | |
| CN103384365A (zh) | 一种网络接入方法、业务处理方法、系统及设备 | |
| CN101754203B (zh) | 一种wapi证书获取方法、装置及网络系统 | |
| CN101800984A (zh) | 获取wapi证书的方法、服务器端及wapi认证系统 | |
| CN100459536C (zh) | 用于wlan会话控制的方法和网络 | |
| CN102547698B (zh) | 认证系统、方法及中间认证平台 | |
| CN101599878A (zh) | 重认证方法、系统及鉴权装置 | |
| CN100401670C (zh) | 一种无线局域网移动终端异地接入认证方法 | |
| CN103974223B (zh) | 无线局域网络与固网交互中实现认证及计费的方法及系统 | |
| CN100466567C (zh) | 一种无线局域网的接入认证方法 | |
| JP4009273B2 (ja) | 通信方法 | |
| CN103546982A (zh) | 工作站的工作状态转换方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110601 Termination date: 20211125 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |