[发明专利]WAPI计费方法、系统与接入控制器

说明书

技术领域

本公开涉及WLAN（Wireless Local Area Network，无线局域网），特别地，涉及一种WAPI（WLAN Authentication and Privacy Infrastructure，无线局域网鉴别与保密基础结构）计费方法、系统与接入控制器。

背景技术

WAPI是中国提出的、以802.11无线协议为基础的无线安全标准。

WAPI标准引入数字证书实现无线终端UE（User Equipment，用户设备）和无线访问节点AP（Access Point，接入点）之间的双向鉴别，并且使用此证书对用户进行授权与计费。WAPI联盟定义了用户授权与计费的流程，如图1所示。

该流程可以包括以下步骤：

S102，WLAN UE和AP建立无线链路关联，即，UE发现并连接上AP，建立无线链路并可以进行通信。

S104，UE和AP之间通过AS（Authentication Server，认证服务器）进行WAPI双向认证，具体地：

UE向AP发送UE证书，由AP/AC（Access Controller，接入控制器）向AS发出鉴别请求，鉴别请求中包括UE证书、接入鉴别请求时间、AP证书及AP的私钥对它们的签名。AS收到AP的证书鉴别请求后，验证AP的签名和AP证书的有效性，若不正确，则鉴别过程失败，否则进一步验证UE证书。验证完毕后，AS将UE证书鉴别结果信息（包括UE证书和鉴别结果）、AP证书鉴别结果信息（包括AP证书、鉴别结果及接入鉴别请求时间）和AS对它们的签名构成证书鉴别响应发送回给AP/AC。AP/AC对AS返回的证书鉴别响应进行签名验证，得到UE证书的鉴别结果，根据此结果对UE进行接入控制。AP将收到的证书鉴别响应回送至UE。UE验证ASU（Authentication Service Unit，鉴别服务单元）的签名后，得到AP证书的鉴别结果，根据该鉴别结果决定是否接入该AP。同时，AP/AC从相关报文中提取用户的MAC（Medium Access Control，媒体接入控制）地址信息并记录。

S106，UE和AP之间进行密钥协商：包括单播密钥协商和组播密钥协商。

S108，用户通过认证后，AP/AC向Radius（Remote Authorization Dial In User Service，远程认证拨号用户业务）服务器通告一个合法用户通过认证，给Radius服务器发送授权请求消息（Access Request），授权请求消息中包括用户证书号、MAC地址等信息。

S110，Radius服务器根据证书号查找对应的用户信息，然后带上相关的RADIUS的属性反馈给AP/AC（反馈消息为Access Response），反馈信息中包括用户带宽、权限等信息。

S112，UE发起DHCP（Dynamic Host Configuration Protocol，动态主机配置协议）请求流程，由AC或外置DHCP Server为UE分配用户地址。

S114，AC解析UE证书，获取UE证书序列号，通过Radius Accounting-Request（start）报文通知Radius服务器开始计费，信息中的用户名字段携带证书序列号。

S116，AC解析UE证书，获取UE证书序列号，通过RadiusAccounting-Request（Update）报文通知Radius服务器计费更新，信息中的用户名字段携带证书序列号。

S118，用户下线时，AC通过Radius Accounting-Request（Stop）报文通知Radius服务器停止计费，携带相关的计费信息，用户名字段携带用户证书序列号。

S120，AC通知UE已停止计费，用户下线。