Wapi計費方法、系統(tǒng)與接入控制器的制造方法
【專利摘要】本公開涉及一種WAPI計費方法、系統(tǒng)與接入控制器。該方法包括在用戶終端上線后,接入控制器AC解析自用戶終端接收的用戶終端證書;自用戶終端證書中提取用戶的移動臺國際ISDN號碼;在發(fā)往Radius服務器的計費消息中包含用戶的移動臺國際ISDN號碼,以使Radius服務器利用用戶的移動臺國際ISDN號碼MSISDN實現對用戶的計費。本公開無需在Radius服務器中建立用戶證書與MSISDN的對應關系。
【專利說明】WAPI計費方法、系統(tǒng)與接入控制器
【技術領域】
[0001] 本公開涉及WLAN (Wireless Local Area Network,無線局域網),特別地,涉及一 種 WAPI (WLAN Authentication and Privacy Infrastructure,無線局域網鑒別與保密基 礎結構)計費方法、系統(tǒng)與接入控制器。
【背景技術】
[0002] WAPI是中國提出的、以802. 11無線協議為基礎的無線安全標準。
[0003] WAPI標準引入數字證書實現無線終端UE (User Equipment,用戶設備)和無線訪 問節(jié)點AP (Access Point,接入點)之間的雙向鑒別,并且使用此證書對用戶進行授權與計 費。WAPI聯盟定義了用戶授權與計費的流程,如圖1所示。
[0004] 該流程可以包括以下步驟:
[0005] S102, WLAN UE和AP建立無線鏈路關聯,S卩,UE發(fā)現并連接上AP,建立無線鏈路并 可以進行通信。
[0006] S104, UE 和 AP 之間通過 AS (Authentication Server,認證服務器)進行 WAPI 雙 向認證,具體地:
[0007] UE向AP發(fā)送UE證書,由AP/AC (Access Controller,接入控制器)向AS發(fā)出鑒 別請求,鑒別請求中包括UE證書、接入鑒別請求時間、AP證書及AP的私鑰對它們的簽名。 AS收到AP的證書鑒別請求后,驗證AP的簽名和AP證書的有效性,若不正確,則鑒別過程失 敗,否則進一步驗證UE證書。驗證完畢后,AS將UE證書鑒別結果信息(包括UE證書和鑒別 結果)、AP證書鑒別結果信息(包括AP證書、鑒別結果及接入鑒別請求時間)和AS對它們的 簽名構成證書鑒別響應發(fā)送回給AP/AC。AP/AC對AS返回的證書鑒別響應進行簽名驗證, 得到UE證書的鑒別結果,根據此結果對UE進行接入控制。AP將收到的證書鑒別響應回送 至UE。UE驗證ASU (Authentication Service Unit,鑒別服務單元)的簽名后,得到AP證 書的鑒別結果,根據該鑒別結果決定是否接入該AP。同時,AP/AC從相關報文中提取用戶的 MAC (Medium Access Control,媒體接入控制)地址信息并記錄。
[0008] S106, UE和AP之間進行密鑰協商:包括單播密鑰協商和組播密鑰協商。
[0009] S108,用戶通過認證后,AP/AC 向 Radius (Remote Authorization Dial In User Service,遠程認證撥號用戶業(yè)務)服務器通告一個合法用戶通過認證,給Radius服務器發(fā) 送授權請求消息(Access Request),授權請求消息中包括用戶證書號、MAC地址等信息。
[0010] S110, Radius服務器根據證書號查找對應的用戶信息,然后帶上相關的RADIUS的 屬性反饋給AP/AC(反饋消息為Access Response),反饋信息中包括用戶帶寬、權限等信息。
[0011] S112,UE 發(fā)起 DHCP (Dynamic Host Configuration Protocol,動態(tài)主機配置協 議)請求流程,由AC或外置DHCP Server為UE分配用戶地址。
[0012] S114,AC 解析 UE 證書,獲取 UE 證書序列號,通過 Radius Accounting-Request (start)報文通知Radius服務器開始計費,信息中的用戶名字段攜帶證書序列號。
[0013] S116,AC 解析 UE 證書,獲取 UE 證書序列號,通過 RadiusAccounting-Request (Update)報文通知Radius服務器計費更新,信息中的用戶名字段攜帶證書序列號。
[0014] S118,用戶下線時,AC 通過 Radius Accounting-Request (Stop)報文通知 Radius 服務器停止計費,攜帶相關的計費信息,用戶名字段攜帶用戶證書序列號。
[0015] S120, AC通知UE已停止計費,用戶下線。
[0016] 根據 WAPI 產業(yè)聯盟制定的 WAPI 計費方案,AAA (Authentication, Authorization and Accounting,認證、授權和計費)/Radius服務器是將用戶證書號作為標識進行計費和 結算;而運營商的AAA系統(tǒng)是根據用戶的MSISDN (Mobile Station international ISDN number,移動臺國際ISDN號碼)進行計費和結算。如果采用WAPI聯盟的計費方案,運營商 需要在AAA/Radius服務器中新建用戶證書號與MSISDN映射關系的系統(tǒng)或模塊,并且該系 統(tǒng)/模塊需與CA(Certification Authority,證書管理機構)有接口,以獲得用戶的證書號 及與MSISDN對應關系;由于用戶的證書有使用周期或遺失等原因,需要對用戶的證書號、 及與MSISDN對應關系要及時更新。這樣,一方面增加了運營商的建設成本與運維成本;另 一方面改變了現有的計費結算流程,增加了日常運維的難度。
【發(fā)明內容】
[0017] 本公開鑒于以上問題中的至少一個提出了新的技術方案。
[0018] 本公開在其一個方面提供了一種WAPI計費方法,其無需在Radius服務器中建立 用戶證書與MSISDN的對應關系。
[0019] 本公開在其另一方面提供了一種接入控制器,其無需在Radius服務器中建立用 戶證書與MSISDN的對應關系。
[0020] 本公開在其又一方面提供了一種WAPI計費系統(tǒng),其無需在Radius服務器中建立 用戶證書與MSISDN的對應關系。
[0021] 根據本公開,提供一種WAPI計費方法,包括:
[0022] 在用戶終端上線后,接入控制器AC解析自用戶終端接收的用戶終端證書;
[0023] 自用戶終端證書中提取用戶的MSISDN ;
[0024] 在發(fā)往Radius服務器的計費消息中包含用戶的MSISDN,以使Radius服務器利用 用戶的MSISDN實現對用戶的計費。
[0025] 在本公開的一些實施例中,發(fā)往Radius服務器的計費消息包括計費開始消息、計 費更新消息和計費結束消息。
[0026] 在本公開的一些實施例中,該方法還包括:
[0027] 在用戶通過認證后,AC解析自用戶終端接收的用戶終端證書,并向Radius服務器 發(fā)送授權請求消息,授權請求消息中包含自用戶終端證書中提取的MSISDN。
[0028] 在本公開的一些實施例中,在用戶終端證書的擴展字段中以TLV格式定義了 MSISDN。
[0029] 根據本公開,還提供了一種接入控制器,包括:
[0030] 證書解析單元,用于解析自用戶終端接收的用戶終端證書;
[0031] MSISDN提取單元,用于自用戶終端證書中提取用戶的MSISDN ;
[0032] 計費消息處理單元,用于在發(fā)往Radius服務器的計費消息中包含用戶的MSISDN, 以使Radius服務器利用用戶的MSISDN實現對用戶的計費。
[0033] 在本公開的一些實施例中,發(fā)往Radius服務器的計費消息包括計費開始消息、計 費更新消息和計費結束消息。
[0034] 在本公開的一些實施例中,控制器還包括:
[0035] 授權請求發(fā)送單元,用于在用戶通過認證后,向Radius服務器發(fā)送授權請求消 息,授權請求消息中包含MSISDN提取單元自用戶終端證書中提取的MSISDN。
[0036] 在本公開的一些實施例中,在用戶終端證書的擴展字段中以TLV格式定義了 MSISDN。
[0037] 根據本公開,還提供了一種WAPI計費系統(tǒng),包括用戶終端、接入點與前述實施例 的接入控制器、認證服務器以及Radius服務器。
[0038] 在本公開的技術方案中,由于將MSISDN定義到了用戶終端證書中,因此,無需再 在Radius服務器中設置用戶終端證書與MSISDN之間的映射關系。
【專利附圖】
【附圖說明】
[0039] 此處所說明的附圖用來提供對本公開的進一步理解,構成本申請的一部分。在附 圖中:
[0040] 圖1是現有技術中WAPI聯盟的計費流程示意圖。
[0041] 圖2是本公開一個實施例的WAPI計費方法的流程示意圖。
[0042] 圖3是本公開中WAPI證書中擴展字段的示意圖。
[0043] 圖4是本公開中AC從WAPI證書中提取MSISDN的流程示意圖。
[0044] 圖5是本公開另一實施例的WAPI計費方法的流程示意圖。
[0045] 圖6是本公開一個實施例的接入控制器的結構示意圖。
[0046] 圖7是本公開另一實施例的接入控制器的結構示意圖。
[0047] 圖8是本公開一個實施例的WAPI計費系統(tǒng)的結構示意圖。
【具體實施方式】
[0048] 下面將參照附圖描述本公開。要注意的是,以下的描述在本質上僅是解釋性和示 例性的,決不作為對本公開及其應用或使用的任何限制。除非另外特別說明,否則,在實施 例中闡述的部件和步驟的相對布置以及數字表達式和數值并不限制本公開的范圍。另外, 本領域技術人員已知的技術、方法和裝置可能不被詳細討論,但在適當的情況下意在成為 說明書的一部分。
[0049] 本公開下述實施例在原有的WAPI用戶證書中增加一個擴展字段,用于儲存用 戶的MSISDN信息,這樣AC在解析用戶證書時就可以直接獲得用戶的MSISDN信息,AC在 向Radius服務器發(fā)送授權請求、計費開始、計費更新及計費結束等報文時,可以直接攜帶 MSISDN信息,這樣,Radius服務器/AAA系統(tǒng)無需進行任何改造就可以支持對WAPI用戶的 計費。
[0050] 圖2是本公開一個實施例的WAPI計費方法的流程示意圖。
[0051] 如圖2所示,該實施例可以包括以下步驟:
[0052] S202,在用戶終端上線后,AC解析自用戶終端接收的用戶終端證書;
[0053] 其中,在用戶終端證書的擴展字段中以TLV (Type-Length-Value,類型長度值)格 式定義了 MSISDN,以使AC發(fā)往Radius服務器時可以直接利用MSISDN取代現有技術中攜帶 的證書號。
[0054] 目前WAPI認證使用X. 509 v3證書,要實現將WAPI證書轉換為MSISDN,首先需要 建立證書和MSISDN之間的綁定關系,可利用WAPI證書的一個擴展字段儲存MSISDN信息, 格式如下述表1所示:
[0055]
[0056] 表 1
【權利要求】
1. 一種WAPI計費方法,其特征在于,包括: 在用戶終端上線后,接入控制器AC解析自所述用戶終端接收的用戶終端證書; 自所述用戶終端證書中提取用戶的移動臺國際ISDN號碼MSISDN ; 在發(fā)往Radius服務器的計費消息中包含所述用戶的MSISDN,以使所述Radius服務器 利用所述用戶的MSISDN實現對用戶的計費。
2. 根據權利要求1所述的WAPI計費方法,其特征在于,所述發(fā)往Radius服務器的計費 消息包括計費開始消息、計費更新消息和計費結束消息。
3. 根據權利要求1所述的WAPI計費方法,其特征在于,所述方法還包括: 在所述用戶通過認證后,所述AC解析自所述用戶終端接收的用戶終端證書,并向所述 Radius服務器發(fā)送授權請求消息,所述授權請求消息中包含自所述用戶終端證書中提取的 MSISDN。
4. 根據權利要求1所述的WAPI計費方法,其特征在于,在所述用戶終端證書的擴展字 段中以TLV格式定義了 MSISDN。
5. -種接入控制器,其特征在于,包括: 證書解析單元,用于解析自所述用戶終端接收的用戶終端證書; MSISDN提取單元,用于自所述用戶終端證書中提取用戶的MSISDN; 計費消息處理單元,用于在發(fā)往Radius服務器的計費消息中包含所述用戶的MSISDN, 以使所述Radius服務器利用所述用戶的MSISDN實現對用戶的計費。
6. 根據權利要求5所述的接入控制器,其特征在于,所述發(fā)往Radius服務器的計費消 息包括計費開始消息、計費更新消息和計費結束消息。
7. 根據權利要求5所述的接入控制器,其特征在于,所述控制器還包括: 授權請求發(fā)送單元,用于在所述用戶通過認證后,向所述Radius服務器發(fā)送授權請 求消息,所述授權請求消息中包含所述MSISDN提取單元自所述用戶終端證書中提取的 MSISDN。
8. 根據權利要求5所述的接入控制器,其特征在于,在所述用戶終端證書的擴展字段 中以TLV格式定義了 MSISDN。
9. 一種WAPI計費系統(tǒng),其特征在于,包括用戶終端、接入點與權利要求5至8中任一項 所述的接入控制器、認證服務器以及Radius服務器。
【文檔編號】H04W12/06GK104349295SQ201310326796
【公開日】2015年2月11日 申請日期:2013年7月31日 優(yōu)先權日:2013年7月31日
【發(fā)明者】高波 申請人:中國電信股份有限公司