一种无线局域网中无线终端计费的方法 【技术领域】
本发明涉及一种应用于无线局域网的对无线终端(STA)计费方法。具体地说,本发明涉及一种基于国标WAPI(WLAN Authentication and Privacy Infrastructure,无线局域网鉴别与保密基础结构)的带计费的WLAN(无线局域网)会话过程。
背景技术
2003年5月,国家宽带无线IP工作组发布了WLAN国家标准GB15629.11。在国标第8章定义了国标无线局域网鉴别和保密基础结构(WAPI)。
WAPI主要包括无线局域网鉴别基础结构(WAI)和无线局域网保密基础结构(WPI)两部分内容。其中WAI机制通过椭圆曲线密码证书实现了STA和无线网络之间的双向认证,并采用公钥加密的两条消息来实现会话密钥协商。在WAPI中定义的一次STA安全接入流程认证包括证书鉴别和密钥协商两部分。WLAN国家标准GB15629.11规定的安全接入流程如下:
1.鉴别激活。当STA关联或重新关联至AP时,由AP向STA发送鉴别激活以启动整个鉴别过程。
2.接入鉴别请求。STA向AP发出接入鉴别请求,即将STA证书与STA的当前系统时间发往AP,其中系统时间称为接入鉴别请求时间。
3.证书鉴别请求。AP收到STA接入鉴别请求后,首先记录鉴别请求时间,然后向ASU发出证书鉴别请求,即将STA证书、接入鉴别请求时间、AP证书及AP的私钥对它们的签名构成证书鉴别请求发送给ASU。
4.证书鉴别响应。ASU收到AP的证书签别请求后,验证AP的签名和AP证书的有效性,若不正确,则鉴别过程失败,否则进一步验证STA证书。验证完毕后,ASU将STA证书鉴别结果信息(包括STA证书和鉴别结果)、AP证书签别结果信息(包括AP证书和鉴别结果及接入鉴别请求时间)和ASU对它们地签名构成证书鉴别响应发回给AP。
5.接入鉴别响应。AP对ASU返回的证书签别响应进行签名验证,得到STA证书的鉴别结果,根据此结果对STA进行接入控制。AP将收到的证书签别响应回送至STA。STA验证ASU的签名后,得到AP证书的鉴别结果,根据该鉴别结果决定是否接入该AP。
6.密钥协商请求。AP产生一串随机数据,利用STA的公钥加密后,向STA发出密钥协商请求。此请求包含请求方所有的备选会话算法信息。
7.密钥协商响应。STA收到AP发来的密钥协商请求后,首先进行会话算法协商,若响应方不支持请求方的所有备选会话算法,则向请求方响应会话算法协商失败,否则在请求方提供的备选算法中选择一种自己支持的算法;再利用本地的私钥解密协商数据,得到AP产生的随机数据;然后产生一串随机数据,利用AP的公钥加密后,再发送给AP。
当基于国标WAPI的无线局域网进行运营商级别的应用时,如机场,宾馆的热点应用,计费作为一个重要功能是不能够忽略的。而WAPI中没有针对如何支持计费而进行设计。
目前的无线局域网计费方法通常是采用Radius协议进行计费。Radius协议要求计费报文中携带一个唯一的用户标识,以便在计费服务器查找用户信息进行计费。
在STA认证成功后,AP向计费服务器发送计费开始请求,在计费报文中,需要携带一个唯一的用户标识,以确定针对用户的计费信息。此用户标识由STA在认证过程中提供。在国标WAPI定义的安全接入过程(包括接入鉴别和密钥协商)中,不存在确定用户标识的过程。计费的准确性需要通过计费开始和计费停止来保证,这点也是国标WAPI所欠缺的。国标WAPI定义的安全接入过程,只是一个STA和AP会话过程的开始部分,没有定义STA如何下线。计费开始可以在接入鉴别成功以后由AP向计费服务器发送,而由于缺乏STA下线过程,AP无法确定何时停止计费。
【发明内容】
本发明针对基于国标WAPI的无线局域网应用在公众无线网络场景下,不能进行计费的问题,设计了基于WAPI的计费方法,发明内容如下:
在WAI规定的安全接入会话过程中:
1.AP收到ASU返回的证书鉴别响应后,如果证书鉴别结果信息中的STA结果代码为“0”,即表示认证成功,AP记录STA证书中的证书持有者名称;
2.AP和STA进行密钥协商过程中,如果AP判断密钥协商失败,密钥协商失败则不进行计费;如果AP判断密钥协商成功,则以事先缓存的所述STA证书中的证书持有者名称作为计费用户标识,向计费服务器发送计费开始报文;
3.当会话结束时,STA向AP发送下线通知,AP收到后,验证下线通知报文;验证通过后,向计费服务器发送计费停止报文;否则,丢弃该下线通知报文;
4.STA异常下线时,AP应通过合理的超时时间设定,根据证书中的证书持有者名称作为计费用户标识,向计费服务器发送停止计费报文。
本发明解决了当基于国家标准WAPI的WLAN应用于公众网的场景下的计费问题,并能够和现有的计费软件和协议很好的兼容。
【附图说明】
图1是本发明的一次完整的带计费的接入过程流程图;
图2是国标中的WAI的数据分组基本格式示意图;
图3是下线通知报文数据段格式示意图。
【具体实施方式】
如图1所示,为一次完整的带计费的会话过程。会话过程如下:
1.当STA关联或重新关联至AP时,由AP向STA发送鉴别激活以启动整个鉴别过程。
2.STA向AP发出接入鉴别请求,即将STA证书与STA的当前系统时间发往AP,其中系统时间称为接入鉴别请求时间。
3.AP收到STA接入鉴别请求后,首先记录鉴别请求时间,然后向ASU发出证书鉴别请求,即将STA证书、接入鉴别请求时间、AP证书及AP的私钥对它们的签名构成证书鉴别请求发送给ASU。
4.ASU收到AP的证书签别请求后,验证AP的签名和AP证书的有效性,若不正确,则鉴别过程失败,否则进一步验证STA证书。验证完毕后,ASU将STA证书鉴别结果信息(包括STA证书和鉴别结果)、AP证书签别结果信息(包括AP证书和鉴别结果及接入鉴别请求时间)和ASU对它们的签名构成证书鉴别响应发回给AP。
5.接入鉴别响应。AP对ASU返回的证书签别响应进行签名验证,得到STA证书的鉴别结果,根据此结果对STA进行接入控制,如果证书鉴别结果信息中的STA结果代码为”0”,即表示认证成功,则记录STA证书中的证书持有者名称。AP将收到的证书签别响应回送至STA。STA验证ASU的签名后,得到AP证书的鉴别结果,根据该鉴别结果决定是否接入该AP。
6.AP和STA进行密钥协商。如果密钥协商成功,AP以证书中的证书持有者名称作为计费用户标识,向计费服务器发送计费开始报文。
7.在会话过程中,AP根据时间或流量向计费服务器发送计费报文。当用户异常下线时,AP应根据一定的超时机制向计费服务器发送停止计费报文。
8.当会话结束时,STA向AP发送下线通知报文,AP收到后,验证下线通知报文的会话标识。验证通过后,向计费服务器发送停止计费报文。否则,丢弃该下线通知报文。
与上述会话过程对应的下线通知格式:
在国标中的WAI的数据分组基本格式中,添加了下线通知报文类型,如图2所示即鉴别分组类型字段。
鉴别分组类型字段定义为:
“5”表示下线通知报文类型号。
图3为WAI的数据分组基本格式中下线通知的数据段内容。下线通知是STA用来通知AP,STA要结束一次WAPI会话,AP可以根据下线通知来断开STA的连接,并停止计费过程。