专利名称:一种基于无线局域网鉴别与保密基础结构体系的计费方法
技术领域:
本发明涉及无线局域网鉴别与保密基础结构(WAPI)体系技术领域,特别是指一种基于WAPI体系的计费方法。
背景技术:
我国宽带无线IP标准工作组制定了无线局域网(WLAN)国家标准GB/T15629.11,推出了基于WAPI体系的安全方案,该方案提供了一种基于公钥证书的无线局域网移动终端安全接入方法。
在WAPI体系中,有无线接入用户终端(STA,Station),访问接入点(AP,Access Point)和鉴别服务单元(ASU,Authentication Service Unit)三种实体,分别作为鉴别请求者实体(ASUE,Authentication SupplicantEntity),鉴别器实体(AE,Authentication Entity)和鉴别服务实体(ASE,Authentication Service Entity)的载体。其中,ASUE是通过鉴别服务单元进行鉴别的实体,驻留在STA中;AE为鉴别请求者在接入服务之前提供鉴别操作的实体,驻留在AP;ASE为鉴别器和鉴别请求者提供相互鉴别的实体,驻留在ASU。
ASU对其管理范围内的AP和STA进行管理并为每一个合法的AP和STA颁发一个公钥证书,以作为网络设备在该WLAN内的数字身份凭证。该公钥证书中包括证书序列号以及用户名等信息,其中,颁发者ASU和序列号唯一标识了每个证书。同时,ASU内也保存了STA证书和AP证书。STA与AP之间通过ASU实现身份的相互鉴别。
图1所示为基于WAPI体系的接入控制原理图。STA通过WLAN从未受控端口向AP发出连接请求,AP进一步封装该请求后发送给ASU,由ASU协助AP和STA进行相互身份认证,即证书鉴别,若认证成功,AP开放受控端口允许STA接入,且STA和AP之间进行密钥协商,利用协商的会话密钥对数据进行加密和解密,并进行数据通信;若认证不成功,AP拒绝STA接入或STA放弃接入AP。
WAPI体系提出了独特的鉴别方法和加密方法,弥补了现有国际标准在安全性方面的缺陷,提高了用户使用的安全可靠性。但同时,WAPI在计费方面没有给出明确的方法,而且也没有表明其可以支持的方法,而在WLAN的实际应用中,合理进行计费很有必要,为了更好地实施WAPI,如何计费应该得到体现。
发明内容
有鉴于此,本发明的目的在于提供一种基于WAPI体系的计费方法,进一步完善WAPI体系。
为达到上述目的,本发明的技术方案是这样实现的一种基于无线局域网鉴别与保密基础结构体系的计费方法,该方法包括以下步骤a、ASU接收到来自STA的鉴别请求,并对该STA鉴别成功后,根据STA证书记录该STA的已在线时间;b、ASU定时检测是否有来自AP的STA在线信息,如果有,则ASU更新该STA的已在线时间信息,然后重复执行步骤b,否则,停止该STA已在线时间的计时操作,统计该STA的在线时间并根据该时间实现对STA证书计费。
较佳地,步骤b所述当ASU在定时时间内没有检测到来自AP的STA在线信息时,该方法进一步包括ASU再次确认该STA是否在线,如果在线,则更新该STA的已在线时间信息,然后重复执行步骤b,否则,停止该STA已在线时间的计时操作,统计该STA的在线时间并根据时间实现计费。
较佳地,该方法进一步包括在STA下线时,AP向ASU发送STA下线信息,ASU接收到来自AP的STA下线信息后,停止该STA已在线时间的计时操作,统计该STA的在线时间并根据时间实现计费。
较佳地,该方法进一步包括步骤a所述对该STA鉴别成功后,ASU对本地保存的该STA证书设置计时标志;步骤b所述ASU检测到来自AP的STA在线信息后,进一步检测该在线信息所指向的STA证书是否已设置计时标志,如果是,则更新该STA证书的已在线时间信息,否则不做处理;步骤b所述ASU停止对该STA已在线时间的计时操作后,取消本地保存的该STA证书的计时标志,然后再执行后续步骤。
较佳地,所述AP向ASU发送的STA下线信息的方法是AP直接将STA下线信息发送给ASU,或者,AP对整个STA下线信息进行私钥签名,将签名后的下线信息发送给ASU。
较佳地,所述STA下线信息内至少包括STA证书中的用户名和序列号;或者,该STA下线信息内包括完整的STA证书和AP证书,以及AP对整个消息的私钥签名信息;或者,下线信息内包括STA证书中的用户名称和序列号,AP证书中的用户名称和序列号,以及AP对整个消息的私钥签名信息。
较佳地,所述STA在线信息至少包括STA证书中的用户名和序列号。
较佳地,该方法进一步包括如果一个证书仅允许一个STA使用,则ASU对该证书鉴别成功,且更新了该STA的已在线时间后,在该证书用户下线之前,ASU拒绝对同一STA证书的鉴别请求进行鉴别处理,并给AP发送鉴别失败;如果一个证书允许一个以上STA同时使用,则ASU对多个端口的使用时间进行累加,实现对该STA证书的计费。
较佳地,该方法进一步包括同级别的ASU之间交换STA在线信息,或低级别的ASU将自身保存的STA在线信息发送给更高级别的ASU。
本发明由颁发并保存有STA证书的ASU作为计费主体,统计用户在线时间,并根据在线时间对STA证书进行计费。进一步完善了WAPI体系。
本发明保证了对WAPI体系中终端用户的较为精确的计时。即使某STA证书被恶意拦截复制并向ASU发送鉴别请求,ASU也不会发生多收费的现象。因为即便这样的证书通过鉴别,由于没有用户私钥,其无法和AP进行有效的会话密钥协商,因而AP不会向ASU发送STA在线信息。另外,当AP本身出现故障时,比如死机时,由于AP无法向ASU发送在线信息,因而ASU在定时时间内也就无法收到STA在线信息,这样,ASU可以及时地结束对STA的本次计时,从而停止计费。
在授权许可下,同级别的ASU之间可以交换STA在线信息,或者,低级别的ASU将自身保存的STA在线信息发送给更高级别的ASU,使高级别的ASU进行有效的计费管理,方便用户查询。这一点,对于联网的运营项目,比如一些联网的酒店是很有必要的。
图1所示为基于WAPI体系的接入控制原理图;图2所示为应用本发明的ASU实现计费的流程示意图。
具体实施例方式
为使本发明的技术方案更加清楚,下面结合附图对本发明再做进一步地详细说明。
本发明的思路是由颁发并保存有STA证书的ASU作为计费主体,统计用户在线时间,并根据在线时间对STA证书进行计费。
图2所示为应用本发明的ASU实现计费的流程示意图。
步骤201,STA向AP发送鉴别请求消息;步骤202,AP将该鉴别请求消息发送给ASU;步骤203,ASU协助AP和STA进行身份互认证,即证书鉴别,认证成功后,针对本地保存的该STA证书设置计时标志,根据该STA证书开始记录该STA的已在线时间信息,开始记录时通常为0分钟;
步骤204,ASU将鉴别成功的结果信息发送给AP;步骤205,AP将鉴别成功的结果信息发送给STA;步骤206,STA与AP之间协商会话密钥,并利用协商的会话密钥对数据进行加解密,进行数据通信;步骤207,当AP开始与STA之间进行有效通信,即AP与STA的会话密钥协商完毕,STA通过受控端口与AP开始数据通信之后,AP定时向ASU发送该STA证书的在线信息,也就是该STA的在线信息;上述在线信息中至少需要包括STA证书的用户名和序列号,且该信息的发送频率和ASU的计时单位要相匹配,如每分钟发送一次,以支持ASU能够较为精确地计算该用户的在线时间;步骤208,在AP定时向ASU发送STA在线信息的同时,ASU也定时检测是否有AP发送来的STA在线信息,如果检测到,则ASU进一步检测该在线信息所指向的STA证书是否已设置计时标志,如果是,则更新该STA证书的已在线时间信息,如果ASU发现检测所指向的STA证书没有设置计时标志,则认为该信息无效,并忽略该信息,不做任何处理;这样可以防止由于AP运行错误,或者发生了被攻击等情况而对用户进行错误收费;如果ASU没有检测到来自AP的STA在线信息,为了防止AP和ASU之间偶然发生的通信障碍干扰,ASU再次确认该STA是否在线,例如,通过重复检测来确认该STA是否确实不在线,如果确实不在线,则直接执行步骤210;如果该STA还在线,则更新该STA的已在线时间信息,并且继续定时检测是否有AP发送来的STA在线信息;该定时检测的时间同样需要与计时时间相匹配;步骤209,为了更好地配合ASU的计费,在用户下线的时,AP可以向ASU发送STA下线的信息,该下线信息可以由AP直接发送给ASU,也可以由AP对整个下线信息进行私钥签名,将签名后的下线信息发送给ASU,ASU接收到该信息后直接执行步骤210;
上述下线信息内至少包含STA证书中的用户名称和序列号,如果需要对下线信息进行私钥签名,则下线信息内包括完整的STA证书和AP证书,以及AP对整个消息的私钥签名;或者,下线信息内包括STA证书中的用户名称和序列号,AP证书中的用户名称和序列号,以及AP对整个消息的私钥签名;步骤210,停止该STA已在线时间的计时操作,清除该STA证书的计时标志,用户下线时间以首次没有检测到STA在线信息的时间为准,统计该STA的在线时间并根据该时间实现对STA证书计费。
由于WLAN采用无连接的通信方式,可能发生用户没有收到,或者不能及时收到鉴别结果信息的情况,因此,WAPI允许一个用户证书多次发送鉴别请求。如果一个证书仅允许一个STA使用,则在ASU鉴别该证书成功之后,且设置了该STA证书的计时标志并开始计时,在ASU没有收到来自AP的STA在线信息之前,仍然可以为相同STA证书的鉴别请求进行鉴别处理,此时设置的计时标志不变;但是当ASU已经获取了STA的在线信息,即更新了STA的已在线时间后,在该证书用户下线之前,ASU拒绝对同一STA证书的鉴别请求进行鉴别处理,并给AP发送鉴别失败;如果允许一个以上STA使用同一个证书,则当同一个证书被多个端口同时使用时,ASU可以通过累加多个端口的使用时间进行计费。
当一个以上STA使用同一个证书时,ASU通过累加多个端口的使用时间进行计费的实现方法,说明如下当系统允许一个以上STA使用同一个证书时,AP定时向ASU发送该STA的在线信息中,不仅包括STA证书的用户名和序列号,还包括标识AP与STA通信的参数信息,该参数信息包括AP证书的用户名和序列号,通信受控端口的逻辑端口标识等;ASU定时检测到来自AP的在线信息后,进一步判断该在线信息中标识AP与STA通信的参数信息是否与本地已保存的标识AP与STA通信的参数信息相匹配,如果是,则更新该相匹配STA的已在线时间,如果不匹配,则保存该接收到的标识AP与STA通信的参数信息,以此区别相同证书的不同使用终端,并对该终端开始计时。
当AP向ASU发送下线信息时,该下线信息中除了包括STA证书的用户名和序列号,还包括标识AP与STA通信的参数信息;当ASU收到来自AP的下线信息后,在所有AP与该STA通信的参数信息中匹配,查询与之相对的端口,结束对该STA证书使用的相应通信端口的计费。
最后,由ASU将所有使用同一STA证书的STA的在线时间相加,得到针对该STA证书的累计时间,并根据该时间对STA证书实现计费。
在授权许可下,同级别的ASU之间可以交换STA在线信息,或者,低级别的ASU将自身保存的STA在线信息发送给更高级别的ASU,使高级别的ASU进行有效的计费管理,方便用户查询。这一点,对于联网的运营项目,比如一些联网的酒店是很有必要的。
本发明保证了对WAPI体系中终端用户的较为精确的计时。即使某STA证书被恶意拦截复制并向ASU发送鉴别请求,ASU也不会发生多收费的现象。因为即便这样的证书通过鉴别,由于没有用户私钥,其无法和AP进行有效的会话密钥协商,因而AP不会向ASU发送STA在线信息。
另外,当AP本身出现故障时,比如死机时,由于AP无法向ASU发送在线信息,因而ASU在定时时间内也就无法收到STA在线信息,这样,ASU可以及时地结束对STA的本次计时,从而停止计费。
再有,由于STA和AP的密钥协商时间相对于计时单位而言很短,一般密钥协商过程最多为几秒,而如果AP和STA密钥协商失败,则ASU对STA的在线计时为0分钟,因此,不会发生多计时的情况,因而也就不会多计费。
WAPI的安全体系可以方便地应用在酒店,网吧,图书馆等公共场所。ASU对于使用了资源的STA,根据其在线时间长度进行合理地收费。例如,当一顾客入住酒店后,酒店利用自己的WAPI安全设备对用户提供无线上网服务,即产生公钥证书并颁发给用户,同时,采用本发明的方法对用户进行在线计时,在用户离开酒店时,结算相关费用。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种基于无线局域网鉴别与保密基础结构体系的计费方法,其特征在于,该方法包括以下步骤a、ASU接收到来自STA的鉴别请求,并对该STA鉴别成功后,根据STA证书记录该STA的已在线时间;b、ASU定时检测是否有来自AP的STA在线信息,如果有,则ASU更新该STA的已在线时间信息,然后重复执行步骤b,否则,停止该STA已在线时间的计时操作,统计该STA的在线时间并根据该时间实现对STA证书计费。
2.根据权利要求1所述的方法,其特征在于,步骤b所述当ASU在定时时间内没有检测到来自AP的STA在线信息时,该方法进一步包括ASU再次确认该STA是否在线,如果在线,则更新该STA的已在线时间信息,然后重复执行步骤b,否则,停止该STA已在线时间的计时操作,统计该STA的在线时间并根据时间实现计费。
3.根据权利要求1所述的方法,其特征在于,该方法进一步包括在STA下线时,AP向ASU发送STA下线信息,ASU接收到来自AP的STA下线信息后,停止该STA已在线时间的计时操作,统计该STA的在线时间并根据时间实现计费。
4.根据权利要求1、2或3所述的方法,其特征在于,该方法进一步包括步骤a所述对该STA鉴别成功后,ASU对本地保存的该STA证书设置计时标志;步骤b所述ASU检测到来自AP的STA在线信息后,进一步检测该在线信息所指向的STA证书是否已设置计时标志,如果是,则更新该STA证书的已在线时间信息,否则不做处理;步骤b所述ASU停止对该STA已在线时间的计时操作后,取消本地保存的该STA证书的计时标志,然后再执行后续步骤。
5.根据权利要求3所述的方法,其特征在于,所述AP向ASU发送的STA下线信息的方法是AP直接将STA下线信息发送给ASU,或者,AP对整个STA下线信息进行私钥签名,将签名后的下线信息发送给ASU。
6.根据权利要求3所述的方法,其特征在于,所述STA下线信息内至少包括STA证书中的用户名和序列号;或者,该STA下线信息内包括完整的STA证书和AP证书,以及AP对整个消息的私钥签名信息;或者,该下线信息内包括STA证书中的用户名称和序列号,AP证书中的用户名称和序列号,以及AP对整个消息的私钥签名信息。
7.根据权利要求1所述的方法,其特征在于,所述STA在线信息至少包括STA证书中的用户名和序列号。
8.根据权利要求1所述的方法,其特征在于,该方法进一步包括如果一个证书仅允许一个STA使用,则ASU对该证书鉴别成功,且更新了该STA的已在线时间后,在该证书用户下线之前,ASU拒绝对同一STA证书的鉴别请求进行鉴别处理,并给AP发送鉴别失败;如果一个证书允许一个以上STA同时使用,则ASU对多个端口的使用时间进行累加,实现对该STA证书的计费。
9.根据权利要求1所述的方法,其特征在于,该方法进一步包括同级别的ASU之间交换STA在线信息,或低级别的ASU将自身保存的STA在线信息发送给更高级别的ASU。
全文摘要
本发明提供了一种基于无线局域网鉴别与保密基础结构体系的计费方法,其关键是,由颁发并保存有STA证书的ASU作为计费主体,统计用户在线时间,并根据在线时间对STA证书进行计费。进一步完善了WAPI体系。本发明保证了对WAPI体系中终端用户的较为精确的计时。而且,即使某STA证书被恶意拦截复制并向ASU发送鉴别请求,ASU也不会发生多收费的现象。另外,当AP本身出现故障时,比如死机时,ASU也可以及时地结束对STA的本次计时,从而停止计费。
文档编号H04L12/14GK1697386SQ20041004423
公开日2005年11月16日 申请日期2004年5月14日 优先权日2004年5月14日
发明者刘淑玲, 刘廷永, 尹瀚, 冯凯锋 申请人:华为技术有限公司