WO2010102496A1 - 一种实现wapi系统终端零干预计费的方法 - Google Patents

Description

一种实现 WAPI系统终端零干预计费的方法

本申请要求于 2009 年 3 月 11 日提交中国专利局、 申请号为 200910021605.8、 发明名称为"一种实现 WAPI系统终端零干预计费的方法 "的 中国专利申请的优先权， 其全部内容通过引用结合在本申请中。

技术领域

本发明涉及网络技术领域，尤其涉及一种实现 WAPI系统终端零干预计费 的方法。

背景技术 网鉴别与保密基础结构， 它是针对国际标准 ISO/IEC 8802-11中 WEP (等价有 线保密）协议安全问题， 在中国无线局域网国家标准 GB15629.il 中提出的 WLAN 安全解决方案。 它的主要特点是采用基于公钥密码体系的证书机制， 真正实现了移动终端 (MT)与无线接入点 (AP)间的双向鉴别。

WAPI虽然解决了 8802.11网络中的安全问题， 但是因为 WAPI属于媒体 访问控制和物理层规范， 并不规定计费的规程， 随着采用 WAPI安全机制的无 线局域网 (WLAN)被运营商大量部署， 筒单实用的计费就显得很重要。 在目前 应用 WAPI 安全机制的 WLAN 网络中一般都是使用 WAPI+Portal 或者 WAPI+PPPoE认证的方式来完成计费的。这两种方案是运营商目前采用的最为 普遍的计费方式， 但是这个方案对基于 WAPI安全机制的 WLAN网络而言至 少存在以下三个问题：

( 1 )这两种方案都需要用户的干预， 需要两次认证， 用户操作复杂； ( 2 )随着手机中 WLAN的普及， 支持 WLAN网络的手机比例将超过 PC 端， 如果还是采用 WAPI+Portal的方式进行计费， 都会因为 Portal页面并没有 统一的标准、 各种各样， 造成终端厂商软件的复杂性和用户操作的复杂性， 影 响手机中 WLAN的普及。

( 3 )在 WAPI+PPPoE计费方案中， 由于 PPPoE协议不能通过三层网络， 因此不能在大型网络中部署， 而且不能实现用户漫游。

2005 年 11 月 16 日， 中国国家知识产权局公开了一项申请号为 200410044235.7 , 名称为 "一种基于无线局域网鉴别与保密基础结构的计费方 法"的专利， 该方法的主要特征和步骤如下：

( 1 ) AS将 STA证书的截止时间设置为向用户提供网络访问的最后期限；

( 2 ) AP判断当前时间是否到达正在使用网络资源的 STA说应用证书的 截止时间， 如果是则主动中止与该 STA的通信， 并执行步骤（3 )否则重复执 行步骤（ 2 );

( 3 ) AS根据该 STA证书的有效时间长度对该 STA证书进行计费。

该方法提供了一种基于 WAPI证书的计费方法，利用用户持有的证书的有 效期进行计费， 进一步完善了 WAPI体系。 将用户鉴权和计费结合在一起， 实 现筒单， 不增加网络开销。

这种方法也有很大的缺点， 主要如下：

( 1 )对多个用户使用一个证书的方式无法支持。

( 2 ) AP要循环对每个用户的证书进行检测， 看是否到期， 给 AP增加了 额外的负担。

( 3 )只能实现预付费， 不能实时计费， 因此不能在运营级的网络中使用， 局限性很大。

( 4 )更改了 WAPI协议中 ASU和 AP的功能，造成了设备互通性的问题。

( 5 )计费方式与运营网中的 AC/BAS+RADIUS计费方式的不能融合， 不 能保护用户的投资。

发明内容

本发明的目的是提供一种实现 WAPI系统终端零干预计费的方法，为采用 WAPI安全协议 WLAN网络提供了一种具有用户零干预、 终端接口筒单、 计 费过程筒化和安全性高的优点的计费方法， 为安全、 可运营、 可管理 WAPI SOM网络（ Secure, Operationable, Manageable WAPI network )解决方案提供了 保障。

本发明的技术解决方案是：

一种实现 WAPI系统终端零干预计费的方法， 包括以下步骤：

1] WAPI鉴别过程完成后， ASU记录 STA证书中的身份字段、 STA的 MAC/BAS地址和鉴别时间；

2] AP向 AC/BAS发送 STA的上线请求； 3] AC/BAS收到 AP发送的 STA上线请求后， 向 ASU发送 STA业务授权 请求， ASU向 AC/BAS返回包括终端类型信息的 STA业务授权响应， 并向 AP发送 STA上线响应；

4] AC/BAS向 RADUIS发送计费开始报文， RADUIS确认，并记录 AC/BAS 发送 STA上线响应的时间；

5] 当 AC/BAS收到 STA下线请求后向 AP发送 STA下线响应； 同时， AC/BAS向 RADUIS发送计费结束， RADUIS确认，并记录 AC/BAS发送 STA 下线响应的时间；

6] RADUIS中的计费模块通过 AC/BAS发送 STA上线响应和 STA下线响 应之间的时间差实现计费。

其中， 所述 AP向 AC/BAS发送 STA的上线请求的过程为： 当 STA完成 WAPI鉴别过程后， AP根据 STA证书中的身份字段和 MAC/BAS地址构造 STA 的上线请求。

其中， 所述 STA上线响应至少包括 STA的 MAC/BAS地址和 4受权结果， 其中 STA的 MAC/BAS地址和 4受权结果字段来自于所述 STA业务 4受权响应。

其中， 所述 AC/BAS收到 STA下线请求后向 AP发送 STA下线响应的过 程为；

1] 当 STA主动或被动不再使用网络资源时， STA与 AP解除关联；

2] AP向 AC/BAS发送下线请求，下线请求至少包括 STA的 MAC/BAS地 址；

3] AC/BAS收到下线请求后， 向 AP发送下线响应；

或者，

1] 当 RADUIS检测到 STA费用不足时通知 AC/BAS;

2] AC/BAS向 AP发送下线响应。

其中， AC/BAS根据 STA业务授权响应中的终端类型执行不同的操作， 具体为：

若 STA业务授权响应中的终端类型为嵌入式设备终端， 则 AC/BAS直接 向 RADUIS发送计费开始报文；

若用户类型为笔记本电脑或 PC机， 则根据本地策略选择是否继续进行其 他的认证流程， 然后再向 RADIUS发送计费开始。

本发明具有以下优点：

1、 本发明具有客户端零干预的优点， 避免了 WAPI+Portal 以及 WAPI+PPPoE计费方式中需要客户端输入的问题，降低了 WAPI网络中计费的 复杂性。

2、本发明使用客户端证书中的身份和 MAC/B AS地址进行 RADUIS认证， 避免了 WAPI+Portal以及 WAPI+PPPoE计费方式中需要在客户端进行两次认 证的问题。

3、本发明不改变 AC/BAS+RADUIS网络拓朴，可适用于大型的运营环境。

4、 本发明采用 AP发送上下线的方式来确定 STA使用网络的时间， 可以 做到精确计时。

5、 本发明可识别哪些用户需要进行零干预计费， 可满足在多种用户需求 共存的环境下使用的要求。

附图说明

图 1是本发明流程图。

具体实施方式

术语解释：

STA: 无线站点 (station), 本说明书中 STA也代表用户。

AC/BAS: 无线控制器 (AC/BAScess Controller), 负责接入和管理 AP, 并 收集用户的认证信息。

AP: 无线访问节点 (AC/BAScess Point), 负责提供无线工作站对有线局域 网和从有线局域网对无线工作站的访问，在访问接入点覆盖范围内的无线工作 站可以通过它进行相互通信。

ASU: 鉴别服务单元（ Authentication Service Unit ) ,负责用户证书的鉴别。

RADIUS:远程认证拨号用户服务 /授权模块（ Remote Authentication Dial In User Service ), 对用户进行认证、 授权、 和计费。

本发明主要是由 RADUIS通过 STA上下线的时间差来完成计费， 流程图 参见图 1 , 具体步骤如下：

步骤 1 : 在 STA和 AP完成 WAPI证书鉴别和密钥协商过程后， ASU记录 STA证书中的身份字段、 MAC/BAS地址和鉴别时间；

步骤 2: AP向 AC/BAS发送 STA上线请求； STA上线请求信息中至少包 括 STA的身份字段和 MAC/BAS地址，其中 STA的身份字段取自 STA证书中； 步骤 3: AC/BAS向 ASU发送 STA业务授权请求， ASU返回 STA业务授 权响应， 该响应中包括终端类型信息；

步骤 4: AC/BAS收到 STA业务 4受权响应后， 向 AP发送 STA上线响应， STA 上线响应至少包括 STA 的 MAC/BAS 地址和 4受权结果， 其中 STA 的 MAC/BAS地址和 4受权结果字段来自于 STA业务 4受权响应；

步骤 5: AP收到 STA上线响应后， 检查授权结果字段， 如果 STA授权成 功则 AP将 STA标识为已经上线状态， 如果 STA 4受权失败则终止与 STA的通 信；

步骤 6: AC/BAS向 RADUIS发送计费开始， RADUIS发送确认， 并开始 计费；

其中， AC/BAS可根据 STA业务授权响应中的终端类型执行不同的操作， 具体为：

若 STA业务授权响应中的终端类型为嵌入式设备终端， 则 AC/BAS直接 向 RADUIS发送计费开始报文；

若用户类型为笔记本电脑或 PC机， 则根据本地策略选择是否继续进行其 他的认证流程， 然后再向 RADIUS发送计费开始。

步骤 7: STA与 AP终止通信时， AP向 AC/BAS发送下线请求， 下线请 求至少包括 STA的 MAC/BAS地址；

步骤 8： AC/BAS收到下线请求后， 向 AP发送下线响应；

步骤 9: AC/BAS向 RADUIS发送计费结束， RADUIS发送确认， 并停止 计费；

步骤 10: RADUIS中的计费模块通过 STA的上线响应和下线响应之间的 时间差来计费。

其中：

步骤 8] AC/BAS收到下线请求后，向 AP发送下线响应的过程分为两种不 同的情况： 第一种情况： 当 STA主动或被动不再使用网络资源时， STA与 AP解除 关联；此时 AP向 AC/BAS发送下线请求，下线请求至少包括 STA的 MAC/BAS 地址； AC/BAS收到下线请求后， 向 AP发送下线响应。

第二种情况： 当 RADUIS检测到 STA费用不足时通知 AC/BAS; AC/BAS 向 AP发送下线响应； AP解除与 STA的关联。

Claims

权 利 要 求

1、 一种实现 WAPI系统终端零干预计费的方法， 其特征在于： 包括以下 步骤：

1] WAPI鉴别过程完成后， ASU记录 STA证书中的身份字段、 STA的 MAC/BAS地址和鉴别时间；

2] AP向 AC/BAS发送 STA的上线请求；

3] AC/BAS收到 AP发送的 STA上线请求后， 向 ASU发送 STA业务授权 请求， ASU向 AC/BAS返回包括终端类型信息的 STA业务授权响应， 并向 AP发送 STA上线响应；

4] AC/BAS向 RADUIS发送计费开始报文， RADUIS确认，并记录 AC/BAS 发送 STA上线响应的时间；

5] 当 AC/BAS收到 STA下线请求后向 AP发送 STA下线响应； 同时， AC/BAS向 RADUIS发送计费结束， RADUIS确认，并记录 AC/BAS发送 STA 下线响应的时间；

6] RADUIS中的计费模块通过 AC/BAS发送 STA上线响应和 STA下线响 应之间的时间差实现计费。

2、 根据权利要求 1所述的一种实现 WAPI系统终端零干预计费的方法， 其特征在于： 所述 AP向 AC/BAS发送 STA的上线请求的过程为： 当 STA完 成 WAPI鉴别过程后， AP根据 STA证书中的身份字段和 MAC/BAS地址构造 STA的上线请求。

3、 根据权利要求 1或 2所述的一种实现 WAPI系统终端零干预计费的方 法， 其特征在于：

所述 STA上线响应至少包括 STA的 MAC/BAS地址和 4受权结果，其中 STA 的 MAC/BAS地址和 4受权结果字段来自于所述 STA业务 4受权响应。

4、 根据权利要求 1或 2所述的一种实现 WAPI系统终端零干预计费的方 法， 其特征在于： 所述 AC/BAS收到 STA下线请求后向 AP发送 STA下线响 应的过程为；

1] 当 STA主动或被动不再使用网络资源时， STA与 AP解除关联；

2] AP向 AC/BAS发送下线请求，下线请求至少包括 STA的 MAC/BAS地 址；

3] AC/BAS收到下线请求后， 向 AP发送下线响应； 或者，

1] 当 RADUIS检测到 STA费用不足时通知 AC/BAS;

2] AC/BAS向 AP发送下线响应。

5、 根据权利要求 1所述方法， 其特征在于， AC/BAS根据 STA业务授 权响应中的终端类型执行不同的操作， 具体为：

若 STA业务授权响应中的终端类型为嵌入式设备终端， 则 AC/BAS直接 向 RADUIS发送计费开始报文；

若用户类型为笔记本电脑或 PC机， 则根据本地策略选择是否继续进行其 他的认证流程， 然后再向 RADIUS发送计费开始。