Wapi计费方法、系统与接入控制器的制造方法
【专利摘要】本公开涉及一种WAPI计费方法、系统与接入控制器。该方法包括在用户终端上线后,接入控制器AC解析自用户终端接收的用户终端证书;自用户终端证书中提取用户的移动台国际ISDN号码;在发往Radius服务器的计费消息中包含用户的移动台国际ISDN号码,以使Radius服务器利用用户的移动台国际ISDN号码MSISDN实现对用户的计费。本公开无需在Radius服务器中建立用户证书与MSISDN的对应关系。
【专利说明】WAPI计费方法、系统与接入控制器
【技术领域】
[0001] 本公开涉及WLAN (Wireless Local Area Network,无线局域网),特别地,涉及一 种 WAPI (WLAN Authentication and Privacy Infrastructure,无线局域网鉴别与保密基 础结构)计费方法、系统与接入控制器。
【背景技术】
[0002] WAPI是中国提出的、以802. 11无线协议为基础的无线安全标准。
[0003] WAPI标准引入数字证书实现无线终端UE (User Equipment,用户设备)和无线访 问节点AP (Access Point,接入点)之间的双向鉴别,并且使用此证书对用户进行授权与计 费。WAPI联盟定义了用户授权与计费的流程,如图1所示。
[0004] 该流程可以包括以下步骤:
[0005] S102, WLAN UE和AP建立无线链路关联,S卩,UE发现并连接上AP,建立无线链路并 可以进行通信。
[0006] S104, UE 和 AP 之间通过 AS (Authentication Server,认证服务器)进行 WAPI 双 向认证,具体地:
[0007] UE向AP发送UE证书,由AP/AC (Access Controller,接入控制器)向AS发出鉴 别请求,鉴别请求中包括UE证书、接入鉴别请求时间、AP证书及AP的私钥对它们的签名。 AS收到AP的证书鉴别请求后,验证AP的签名和AP证书的有效性,若不正确,则鉴别过程失 败,否则进一步验证UE证书。验证完毕后,AS将UE证书鉴别结果信息(包括UE证书和鉴别 结果)、AP证书鉴别结果信息(包括AP证书、鉴别结果及接入鉴别请求时间)和AS对它们的 签名构成证书鉴别响应发送回给AP/AC。AP/AC对AS返回的证书鉴别响应进行签名验证, 得到UE证书的鉴别结果,根据此结果对UE进行接入控制。AP将收到的证书鉴别响应回送 至UE。UE验证ASU (Authentication Service Unit,鉴别服务单元)的签名后,得到AP证 书的鉴别结果,根据该鉴别结果决定是否接入该AP。同时,AP/AC从相关报文中提取用户的 MAC (Medium Access Control,媒体接入控制)地址信息并记录。
[0008] S106, UE和AP之间进行密钥协商:包括单播密钥协商和组播密钥协商。
[0009] S108,用户通过认证后,AP/AC 向 Radius (Remote Authorization Dial In User Service,远程认证拨号用户业务)服务器通告一个合法用户通过认证,给Radius服务器发 送授权请求消息(Access Request),授权请求消息中包括用户证书号、MAC地址等信息。
[0010] S110, Radius服务器根据证书号查找对应的用户信息,然后带上相关的RADIUS的 属性反馈给AP/AC(反馈消息为Access Response),反馈信息中包括用户带宽、权限等信息。
[0011] S112,UE 发起 DHCP (Dynamic Host Configuration Protocol,动态主机配置协 议)请求流程,由AC或外置DHCP Server为UE分配用户地址。
[0012] S114,AC 解析 UE 证书,获取 UE 证书序列号,通过 Radius Accounting-Request (start)报文通知Radius服务器开始计费,信息中的用户名字段携带证书序列号。
[0013] S116,AC 解析 UE 证书,获取 UE 证书序列号,通过 RadiusAccounting-Request (Update)报文通知Radius服务器计费更新,信息中的用户名字段携带证书序列号。
[0014] S118,用户下线时,AC 通过 Radius Accounting-Request (Stop)报文通知 Radius 服务器停止计费,携带相关的计费信息,用户名字段携带用户证书序列号。
[0015] S120, AC通知UE已停止计费,用户下线。
[0016] 根据 WAPI 产业联盟制定的 WAPI 计费方案,AAA (Authentication, Authorization and Accounting,认证、授权和计费)/Radius服务器是将用户证书号作为标识进行计费和 结算;而运营商的AAA系统是根据用户的MSISDN (Mobile Station international ISDN number,移动台国际ISDN号码)进行计费和结算。如果采用WAPI联盟的计费方案,运营商 需要在AAA/Radius服务器中新建用户证书号与MSISDN映射关系的系统或模块,并且该系 统/模块需与CA(Certification Authority,证书管理机构)有接口,以获得用户的证书号 及与MSISDN对应关系;由于用户的证书有使用周期或遗失等原因,需要对用户的证书号、 及与MSISDN对应关系要及时更新。这样,一方面增加了运营商的建设成本与运维成本;另 一方面改变了现有的计费结算流程,增加了日常运维的难度。
【发明内容】
[0017] 本公开鉴于以上问题中的至少一个提出了新的技术方案。
[0018] 本公开在其一个方面提供了一种WAPI计费方法,其无需在Radius服务器中建立 用户证书与MSISDN的对应关系。
[0019] 本公开在其另一方面提供了一种接入控制器,其无需在Radius服务器中建立用 户证书与MSISDN的对应关系。
[0020] 本公开在其又一方面提供了一种WAPI计费系统,其无需在Radius服务器中建立 用户证书与MSISDN的对应关系。
[0021] 根据本公开,提供一种WAPI计费方法,包括:
[0022] 在用户终端上线后,接入控制器AC解析自用户终端接收的用户终端证书;
[0023] 自用户终端证书中提取用户的MSISDN ;
[0024] 在发往Radius服务器的计费消息中包含用户的MSISDN,以使Radius服务器利用 用户的MSISDN实现对用户的计费。
[0025] 在本公开的一些实施例中,发往Radius服务器的计费消息包括计费开始消息、计 费更新消息和计费结束消息。
[0026] 在本公开的一些实施例中,该方法还包括:
[0027] 在用户通过认证后,AC解析自用户终端接收的用户终端证书,并向Radius服务器 发送授权请求消息,授权请求消息中包含自用户终端证书中提取的MSISDN。
[0028] 在本公开的一些实施例中,在用户终端证书的扩展字段中以TLV格式定义了 MSISDN。
[0029] 根据本公开,还提供了一种接入控制器,包括:
[0030] 证书解析单元,用于解析自用户终端接收的用户终端证书;
[0031] MSISDN提取单元,用于自用户终端证书中提取用户的MSISDN ;
[0032] 计费消息处理单元,用于在发往Radius服务器的计费消息中包含用户的MSISDN, 以使Radius服务器利用用户的MSISDN实现对用户的计费。
[0033] 在本公开的一些实施例中,发往Radius服务器的计费消息包括计费开始消息、计 费更新消息和计费结束消息。
[0034] 在本公开的一些实施例中,控制器还包括:
[0035] 授权请求发送单元,用于在用户通过认证后,向Radius服务器发送授权请求消 息,授权请求消息中包含MSISDN提取单元自用户终端证书中提取的MSISDN。
[0036] 在本公开的一些实施例中,在用户终端证书的扩展字段中以TLV格式定义了 MSISDN。
[0037] 根据本公开,还提供了一种WAPI计费系统,包括用户终端、接入点与前述实施例 的接入控制器、认证服务器以及Radius服务器。
[0038] 在本公开的技术方案中,由于将MSISDN定义到了用户终端证书中,因此,无需再 在Radius服务器中设置用户终端证书与MSISDN之间的映射关系。
【专利附图】
【附图说明】
[0039] 此处所说明的附图用来提供对本公开的进一步理解,构成本申请的一部分。在附 图中:
[0040] 图1是现有技术中WAPI联盟的计费流程示意图。
[0041] 图2是本公开一个实施例的WAPI计费方法的流程示意图。
[0042] 图3是本公开中WAPI证书中扩展字段的示意图。
[0043] 图4是本公开中AC从WAPI证书中提取MSISDN的流程示意图。
[0044] 图5是本公开另一实施例的WAPI计费方法的流程示意图。
[0045] 图6是本公开一个实施例的接入控制器的结构示意图。
[0046] 图7是本公开另一实施例的接入控制器的结构示意图。
[0047] 图8是本公开一个实施例的WAPI计费系统的结构示意图。
【具体实施方式】
[0048] 下面将参照附图描述本公开。要注意的是,以下的描述在本质上仅是解释性和示 例性的,决不作为对本公开及其应用或使用的任何限制。除非另外特别说明,否则,在实施 例中阐述的部件和步骤的相对布置以及数字表达式和数值并不限制本公开的范围。另外, 本领域技术人员已知的技术、方法和装置可能不被详细讨论,但在适当的情况下意在成为 说明书的一部分。
[0049] 本公开下述实施例在原有的WAPI用户证书中增加一个扩展字段,用于储存用 户的MSISDN信息,这样AC在解析用户证书时就可以直接获得用户的MSISDN信息,AC在 向Radius服务器发送授权请求、计费开始、计费更新及计费结束等报文时,可以直接携带 MSISDN信息,这样,Radius服务器/AAA系统无需进行任何改造就可以支持对WAPI用户的 计费。
[0050] 图2是本公开一个实施例的WAPI计费方法的流程示意图。
[0051] 如图2所示,该实施例可以包括以下步骤:
[0052] S202,在用户终端上线后,AC解析自用户终端接收的用户终端证书;
[0053] 其中,在用户终端证书的扩展字段中以TLV (Type-Length-Value,类型长度值)格 式定义了 MSISDN,以使AC发往Radius服务器时可以直接利用MSISDN取代现有技术中携带 的证书号。
[0054] 目前WAPI认证使用X. 509 v3证书,要实现将WAPI证书转换为MSISDN,首先需要 建立证书和MSISDN之间的绑定关系,可利用WAPI证书的一个扩展字段储存MSISDN信息, 格式如下述表1所示:
[0055]
[0056] 表 1
【权利要求】
1. 一种WAPI计费方法,其特征在于,包括: 在用户终端上线后,接入控制器AC解析自所述用户终端接收的用户终端证书; 自所述用户终端证书中提取用户的移动台国际ISDN号码MSISDN ; 在发往Radius服务器的计费消息中包含所述用户的MSISDN,以使所述Radius服务器 利用所述用户的MSISDN实现对用户的计费。
2. 根据权利要求1所述的WAPI计费方法,其特征在于,所述发往Radius服务器的计费 消息包括计费开始消息、计费更新消息和计费结束消息。
3. 根据权利要求1所述的WAPI计费方法,其特征在于,所述方法还包括: 在所述用户通过认证后,所述AC解析自所述用户终端接收的用户终端证书,并向所述 Radius服务器发送授权请求消息,所述授权请求消息中包含自所述用户终端证书中提取的 MSISDN。
4. 根据权利要求1所述的WAPI计费方法,其特征在于,在所述用户终端证书的扩展字 段中以TLV格式定义了 MSISDN。
5. -种接入控制器,其特征在于,包括: 证书解析单元,用于解析自所述用户终端接收的用户终端证书; MSISDN提取单元,用于自所述用户终端证书中提取用户的MSISDN; 计费消息处理单元,用于在发往Radius服务器的计费消息中包含所述用户的MSISDN, 以使所述Radius服务器利用所述用户的MSISDN实现对用户的计费。
6. 根据权利要求5所述的接入控制器,其特征在于,所述发往Radius服务器的计费消 息包括计费开始消息、计费更新消息和计费结束消息。
7. 根据权利要求5所述的接入控制器,其特征在于,所述控制器还包括: 授权请求发送单元,用于在所述用户通过认证后,向所述Radius服务器发送授权请 求消息,所述授权请求消息中包含所述MSISDN提取单元自所述用户终端证书中提取的 MSISDN。
8. 根据权利要求5所述的接入控制器,其特征在于,在所述用户终端证书的扩展字段 中以TLV格式定义了 MSISDN。
9. 一种WAPI计费系统,其特征在于,包括用户终端、接入点与权利要求5至8中任一项 所述的接入控制器、认证服务器以及Radius服务器。
【文档编号】H04W12/06GK104349295SQ201310326796
【公开日】2015年2月11日 申请日期:2013年7月31日 优先权日:2013年7月31日
【发明者】高波 申请人:中国电信股份有限公司