專(zhuān)利名稱(chēng):接入點(diǎn)的安全接入?yún)f(xié)議符合性測(cè)試方法及其系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全接入?yún)f(xié)議測(cè)試領(lǐng)域,尤其一種接入點(diǎn)(又稱(chēng)基站)的安全接入?yún)f(xié)議符合性測(cè)試的方法及其系統(tǒng)�。
背景技術(shù):
IP網(wǎng)絡(luò)承載的業(yè)務(wù)種類(lèi)日益繁多,已介入到經(jīng)濟(jì)和社會(huì)各個(gè)層面�,無(wú)線IP網(wǎng)絡(luò)通過(guò)無(wú)線電波傳輸數(shù)據(jù),更使網(wǎng)絡(luò)物理的開(kāi)放性達(dá)到新的階段��,由此���,安全接入成為有線和無(wú)線網(wǎng)絡(luò)安全運(yùn)行的關(guān)鍵問(wèn)題���。
IP網(wǎng)絡(luò)的安全接入系統(tǒng)主要涉及到三個(gè)網(wǎng)絡(luò)實(shí)體網(wǎng)絡(luò)終端、接入點(diǎn)(又稱(chēng)基站)和鑒別服務(wù)器���。網(wǎng)絡(luò)終端請(qǐng)求接入網(wǎng)絡(luò)��,享受網(wǎng)絡(luò)提供的各種資源�;接入點(diǎn)是IP互聯(lián)網(wǎng)絡(luò)的邊緣設(shè)備,是為網(wǎng)絡(luò)用戶(hù)提供接入服務(wù)的實(shí)體���;鑒別服務(wù)器是提供用戶(hù)身份鑒別服務(wù)的實(shí)體。
目前關(guān)于接入點(diǎn)的安全接入?yún)f(xié)議測(cè)試系統(tǒng)主要有WI-FI聯(lián)盟針對(duì)IEEE802.11標(biāo)準(zhǔn)的互操作測(cè)試系統(tǒng)和一些無(wú)線局域網(wǎng)應(yīng)用的輔助管理測(cè)試系統(tǒng)����。其中輔助管理測(cè)試系統(tǒng)主要通過(guò)監(jiān)測(cè)物理信道和網(wǎng)絡(luò)的狀態(tài)提供網(wǎng)絡(luò)系統(tǒng)安裝和應(yīng)用的相關(guān)信息。WI-FI聯(lián)盟的互操作測(cè)試系統(tǒng)是通過(guò)測(cè)試待測(cè)設(shè)備與基準(zhǔn)設(shè)備的互通性以及通信的性能來(lái)驗(yàn)證待測(cè)設(shè)備中協(xié)議實(shí)現(xiàn)的正確性����,即協(xié)議符合性檢測(cè)。該測(cè)試系統(tǒng)具有以下缺點(diǎn)1�����、通過(guò)典型的應(yīng)用環(huán)境�����,即高層協(xié)議的互操作性來(lái)測(cè)試設(shè)備具有不完整性�,測(cè)試結(jié)果可能存在偏差�。
2�����、基準(zhǔn)設(shè)備實(shí)現(xiàn)的正確性程度將嚴(yán)重影響測(cè)試結(jié)果的準(zhǔn)確性�。
3、不能給出測(cè)試未通過(guò)情況下的錯(cuò)誤定位信息��。
發(fā)明內(nèi)容
本發(fā)明為解決背景技術(shù)中存在的上述技術(shù)問(wèn)題�����,而提供一種測(cè)試結(jié)果準(zhǔn)確���、測(cè)試數(shù)據(jù)完整并且可進(jìn)行錯(cuò)誤定位的接入點(diǎn)安全接入?yún)f(xié)議符合性測(cè)試的方法及其系統(tǒng)��。
本發(fā)明的技術(shù)解決方案是一種接入點(diǎn)安全接入?yún)f(xié)議符合性測(cè)試的方法�����,其特殊之處在于該方法包括以下步驟1)激活安全接入?yún)f(xié)議認(rèn)證過(guò)程�����;2)捕獲該認(rèn)證過(guò)程中產(chǎn)生的安全接入?yún)f(xié)議數(shù)據(jù)包��;3)分析檢測(cè)安全接入?yún)f(xié)議數(shù)據(jù)包封裝格式和協(xié)議流程�。
上述安全接入?yún)f(xié)議為WAPI協(xié)議或IEEE802.11i協(xié)議。
當(dāng)安全接入?yún)f(xié)議為WAPI協(xié)議時(shí)�,該方法還包括步驟4)分別在終端和接入點(diǎn)配置WAPI啟用的組合情況,分析接入點(diǎn)接入控制功能實(shí)現(xiàn)的正確性���。
上述步驟4)中的終端和接入點(diǎn)配置WAPI啟用的組合情況包括1.1)待測(cè)接入點(diǎn)與基準(zhǔn)終端都啟用WAI證書(shū)鑒別和密鑰管理方式的WAPI情況下��,當(dāng)基準(zhǔn)終端采用非法X.509 v3證書(shū)時(shí)�����,待測(cè)接入點(diǎn)應(yīng)拒絕其接入;1.2)待測(cè)接入點(diǎn)啟用WAI預(yù)共享密鑰鑒別和密鑰管理方式的WAPI安全機(jī)制�,基準(zhǔn)終端采用證書(shū)鑒別和密鑰管理方式的WAPI安全機(jī)制,待測(cè)接入點(diǎn)應(yīng)拒絕其接入�����。
上述WAPI協(xié)議數(shù)據(jù)包包括WAI鑒別激活分組�、接入鑒別請(qǐng)求、證書(shū)鑒別請(qǐng)求���、證書(shū)鑒別響應(yīng)�、接入鑒別響應(yīng)、單播密鑰協(xié)商請(qǐng)求����、單播密鑰協(xié)商響應(yīng)、單播密鑰協(xié)商確認(rèn)分組��、組播密鑰通告�、組播密鑰通告響應(yīng);WPI單播數(shù)據(jù)幀和組播數(shù)據(jù)幀��。
上述步驟2)中若WAPI協(xié)議數(shù)據(jù)捕獲不全��,則待測(cè)接入點(diǎn)未通過(guò)WAPI測(cè)試��,并繼續(xù)對(duì)已捕獲數(shù)據(jù)按步驟3)進(jìn)行處理�����,并顯示結(jié)果�。
上述鑒別激活分組的分析檢測(cè)過(guò)程如下2.1)檢查版本號(hào)是否符合標(biāo)準(zhǔn)中的規(guī)定;2.2)檢查數(shù)據(jù)長(zhǎng)度字段值是否和數(shù)據(jù)字段的長(zhǎng)度一致�;2.3)驗(yàn)證ASU身份字段、終端證書(shū)字段以及ECDH參數(shù)字段格式是否正確����。
上述證書(shū)鑒別請(qǐng)求的分析檢測(cè)過(guò)程如下3.1)檢查版本號(hào)是否符合標(biāo)準(zhǔn)中的規(guī)定�;3.2)檢查數(shù)據(jù)長(zhǎng)度字段值是否和數(shù)據(jù)字段的長(zhǎng)度一致��;3.3)比較基準(zhǔn)終端證書(shū)字段內(nèi)容與本地保存的基準(zhǔn)終端證書(shū)內(nèi)容是否相同����;3.4)比較待測(cè)接入點(diǎn)證書(shū)字段內(nèi)容與本地保存的接入點(diǎn)證書(shū)內(nèi)容是否相同;3.5)比較ASUE詢(xún)問(wèn)字段的值與基準(zhǔn)終端發(fā)送的接入鑒別請(qǐng)求分組中的ASUE詢(xún)問(wèn)字段值是否相同�����。
上述接入鑒別響應(yīng)的分析檢測(cè)過(guò)程如下4.1)檢查版本號(hào)是否符合標(biāo)準(zhǔn)中的規(guī)定����;4.2)檢查數(shù)據(jù)長(zhǎng)度字段值是否和數(shù)據(jù)字段的長(zhǎng)度一致;4.3)比較復(fù)合的證書(shū)驗(yàn)證結(jié)果中基準(zhǔn)終端證書(shū)鑒別結(jié)果信息字段中基準(zhǔn)終端證書(shū)字段內(nèi)容與本地保存的基準(zhǔn)終端證書(shū)內(nèi)容是否相同�,檢查基準(zhǔn)終端證書(shū)鑒別結(jié)果代碼字段的值是否在標(biāo)準(zhǔn)定義的范圍之內(nèi)����;4.4)比較待測(cè)接入點(diǎn)證書(shū)鑒別結(jié)果信息字段中待測(cè)接入點(diǎn)證書(shū)字段內(nèi)容與本地保存的接入點(diǎn)證書(shū)內(nèi)容是否相同,檢查待測(cè)接入點(diǎn)證書(shū)鑒別結(jié)果代碼字段的值是否在標(biāo)準(zhǔn)定義的范圍之內(nèi)�����;4.5)比較AE簽名字段中長(zhǎng)度子字段的值與內(nèi)容子字段的長(zhǎng)度是否相同,并和標(biāo)準(zhǔn)中規(guī)定的有效長(zhǎng)度值是否符合��。
上述單播密鑰協(xié)商請(qǐng)求的分析檢測(cè)過(guò)程如下5.1)檢查版本號(hào)是否符合標(biāo)準(zhǔn)中的規(guī)定�;5.2)檢查數(shù)據(jù)長(zhǎng)度字段值是否和數(shù)據(jù)字段的長(zhǎng)度一致;5.3)驗(yàn)證BKID字段的的長(zhǎng)度是否與標(biāo)準(zhǔn)中規(guī)定的一致��。
5.4)檢查USKID字段和AE詢(xún)問(wèn)字段的值是否與標(biāo)準(zhǔn)中規(guī)定的一致���;上述單播密鑰協(xié)商確認(rèn)的分析檢測(cè)過(guò)程如下6.1)檢查版本號(hào)是否符合標(biāo)準(zhǔn)中的規(guī)定�;6.2)檢查數(shù)據(jù)長(zhǎng)度字段值是否和數(shù)據(jù)字段的長(zhǎng)度一致���;6.3)檢查BKID��、USKID����、ADDID��、ASUE�����、WIE和消息鑒別碼字段的長(zhǎng)度字段是否與標(biāo)準(zhǔn)中規(guī)定的一致���。
上述組播密鑰通告的分析檢測(cè)過(guò)程如下7.1)檢查版本號(hào)是否符合標(biāo)準(zhǔn)中的規(guī)定�;7.2)檢查數(shù)據(jù)長(zhǎng)度字段值是否和數(shù)據(jù)字段的長(zhǎng)度一致;
7.3)檢查MSKID字段的值是否在標(biāo)準(zhǔn)規(guī)定的范圍之內(nèi)����;7.4)檢查USKID字段的值是否在標(biāo)準(zhǔn)規(guī)定的范圍之內(nèi);7.5)檢查ADDID����、數(shù)據(jù)序號(hào)和密鑰通告標(biāo)識(shí)字段的長(zhǎng)度字段是否與標(biāo)準(zhǔn)中規(guī)定的一致;7.6)比較密鑰數(shù)據(jù)字段中長(zhǎng)度子字段的值與內(nèi)容子字段的長(zhǎng)度是否相同�;7.7)檢查消息鑒別碼字段的長(zhǎng)度值是否與標(biāo)準(zhǔn)規(guī)定的值吻合。
上述單播數(shù)據(jù)幀的分析檢測(cè)過(guò)程如下8.1)檢查會(huì)話密鑰索引字段的值是否在標(biāo)準(zhǔn)規(guī)定的范圍內(nèi)���;8.2)檢查數(shù)據(jù)分組序號(hào)字段的值是否在標(biāo)準(zhǔn)規(guī)定的范圍內(nèi)���;8.3)判斷數(shù)據(jù)分組序號(hào)字段的值是否為奇數(shù)。
上述組播數(shù)據(jù)幀的分析檢測(cè)過(guò)程如下9.1)檢查會(huì)話密鑰索引字段的值是否在標(biāo)準(zhǔn)規(guī)定的范圍內(nèi)��;9.2)檢查數(shù)據(jù)分組序號(hào)字段的值是否在標(biāo)準(zhǔn)規(guī)定的范圍內(nèi)����。
一種實(shí)現(xiàn)上述的接入點(diǎn)的安全接入?yún)f(xié)議符合性測(cè)試的系統(tǒng)�,其特殊之處在于該系統(tǒng)包括監(jiān)測(cè)控制臺(tái)、基準(zhǔn)鑒別服務(wù)器、基準(zhǔn)終端����、集線器和待測(cè)接入點(diǎn);監(jiān)測(cè)控制臺(tái)����、基準(zhǔn)鑒別服務(wù)器和待測(cè)接入點(diǎn)連接在集線器上,基準(zhǔn)終端通過(guò)無(wú)線鏈路關(guān)聯(lián)到待測(cè)接入點(diǎn)�����。
上述基準(zhǔn)終端包括筆記本電腦和網(wǎng)絡(luò)適配器�����。
本發(fā)明基于網(wǎng)絡(luò)接入點(diǎn)來(lái)設(shè)計(jì)的����,可用于對(duì)設(shè)備廠商生產(chǎn)的接入點(diǎn)進(jìn)行安全接入?yún)f(xié)議實(shí)現(xiàn)的正確性和一致性進(jìn)行測(cè)試。其不僅采用了協(xié)議的互通性測(cè)試��,來(lái)測(cè)試待測(cè)接入點(diǎn)與基準(zhǔn)網(wǎng)絡(luò)終端和鑒別服務(wù)器的互操作性�����,還通過(guò)完全的安全接入?yún)f(xié)議數(shù)據(jù)的捕獲、解析與分析�,以及在此基礎(chǔ)上實(shí)現(xiàn)的協(xié)議流程分析和異常情況的模擬測(cè)試,保障了通過(guò)測(cè)試的產(chǎn)品完全符合國(guó)標(biāo)的規(guī)定和互操作性��。因此本發(fā)明具有以下優(yōu)點(diǎn)1�、測(cè)試結(jié)果準(zhǔn)確。本發(fā)明引入了相關(guān)協(xié)議數(shù)據(jù)的捕獲與完整的分析方法����,使測(cè)試的結(jié)果更準(zhǔn)確。
2����、測(cè)試數(shù)據(jù)完整。由于測(cè)試過(guò)程包括了完整的數(shù)據(jù)捕獲分析���,可以給出待測(cè)設(shè)備中協(xié)議數(shù)據(jù)的詳細(xì)信息���。
3、可進(jìn)行錯(cuò)誤定位����。由于對(duì)協(xié)議的執(zhí)行過(guò)程進(jìn)行了微觀的檢測(cè),可以精確的定位協(xié)議實(shí)現(xiàn)方面的錯(cuò)誤�。
四
圖1為本發(fā)明的系統(tǒng)拓樸結(jié)構(gòu)圖��。
五具體實(shí)施例方式
WAPI協(xié)議或IEEE802.11i協(xié)議均可適用本發(fā)明的方法,其步驟如下1)激活安全接入?yún)f(xié)議認(rèn)證過(guò)程��;2)捕獲該認(rèn)證過(guò)程中產(chǎn)生的安全接入?yún)f(xié)議數(shù)據(jù)包�;3)分析檢測(cè)安全接入?yún)f(xié)議數(shù)據(jù)包封裝格式和協(xié)議流程。
下面以安全接入?yún)f(xié)議為WAPI協(xié)議時(shí)為具體實(shí)施例�,其方法的整個(gè)具體測(cè)試流程如下1)激活WAPI協(xié)議認(rèn)證過(guò)程;2)捕獲該認(rèn)證過(guò)程中產(chǎn)生的WAPI協(xié)議數(shù)據(jù)包�����;若WAPI協(xié)議數(shù)據(jù)捕獲不全����,則該待測(cè)接入點(diǎn)未通過(guò)WAPI測(cè)試,并繼續(xù)對(duì)已捕獲數(shù)據(jù)按步驟3進(jìn)行處理�,并顯示結(jié)果;該WAPI協(xié)議數(shù)據(jù)包包括WAI鑒別激活分組�、接入鑒別請(qǐng)求、證書(shū)鑒別請(qǐng)求�����、證書(shū)鑒別響應(yīng)�、接入鑒別響應(yīng)���、單播密鑰協(xié)商請(qǐng)求、單播密鑰協(xié)商響應(yīng)����、單播密鑰協(xié)商確認(rèn)、組播密鑰通告��、組播密鑰通告響應(yīng)���;WPI單播數(shù)據(jù)幀和組播數(shù)據(jù)幀�;3)分析檢測(cè)WAPI協(xié)議數(shù)據(jù)包封裝格式和協(xié)議流程��;其中只需對(duì)鑒別激活分組���、證書(shū)鑒別請(qǐng)求��、接入鑒別響應(yīng)���、單播密鑰協(xié)商請(qǐng)求、單播密鑰協(xié)商確認(rèn)�、組播密鑰通告、單播數(shù)據(jù)幀和組播數(shù)據(jù)幀進(jìn)行分析檢測(cè)。
上述鑒別激活分組的分析檢測(cè)過(guò)程如下1.1)檢查版本號(hào)是否符合標(biāo)準(zhǔn)中的規(guī)定����;1.2)檢查數(shù)據(jù)長(zhǎng)度字段值是否和數(shù)據(jù)字段的長(zhǎng)度一致;1.3)驗(yàn)證ASU身份字段�����、終端證書(shū)字段以及ECDH參數(shù)字段格式是否正確��。
上述證書(shū)鑒別請(qǐng)求的分析檢測(cè)過(guò)程如下2.1)檢查版本號(hào)是否符合標(biāo)準(zhǔn)中的規(guī)定��;
2.2)檢查數(shù)據(jù)長(zhǎng)度字段值是否和數(shù)據(jù)字段的長(zhǎng)度一致�����;2.3)比較基準(zhǔn)終端證書(shū)字段內(nèi)容與本地保存的基準(zhǔn)終端證書(shū)內(nèi)容是否相同�;2.4)比較待測(cè)接入點(diǎn)證書(shū)字段內(nèi)容與本地保存的接入點(diǎn)證書(shū)內(nèi)容是否相同����;2.5)比較ASUE詢(xún)問(wèn)字段的值與基準(zhǔn)終端發(fā)送的接入鑒別請(qǐng)求分組中的ASUE詢(xún)問(wèn)字段值是否相同。
上述接入鑒別響應(yīng)的分析檢測(cè)過(guò)程如下3.1)檢查版本號(hào)是否符合標(biāo)準(zhǔn)中的規(guī)定�����;3.2)檢查數(shù)據(jù)長(zhǎng)度字段值是否和數(shù)據(jù)字段的長(zhǎng)度一致;3.3)比較復(fù)合的證書(shū)驗(yàn)證結(jié)果中基準(zhǔn)終端證書(shū)鑒別結(jié)果信息字段中基準(zhǔn)終端證書(shū)字段內(nèi)容與本地保存的基準(zhǔn)終端證書(shū)內(nèi)容是否相同����,檢查基準(zhǔn)終端證書(shū)鑒別結(jié)果代碼字段的值是否在標(biāo)準(zhǔn)定義的范圍之內(nèi);3.4)比較待測(cè)接入點(diǎn)證書(shū)鑒別結(jié)果信息字段中待測(cè)接入點(diǎn)證書(shū)字段內(nèi)容與本地保存的接入點(diǎn)證書(shū)內(nèi)容是否相同�����,檢查待測(cè)接入點(diǎn)證書(shū)鑒別結(jié)果代碼字段的值是否在標(biāo)準(zhǔn)定義的范圍之內(nèi)���;3.5)比較AE簽名字段中長(zhǎng)度子字段的值與內(nèi)容子字段的長(zhǎng)度是否相同��,并和標(biāo)準(zhǔn)中規(guī)定的有效長(zhǎng)度值是否符合�����。
上述單播密鑰協(xié)商請(qǐng)求的分析檢測(cè)過(guò)程如下4.1)檢查版本號(hào)是否符合標(biāo)準(zhǔn)中的規(guī)定�;4.2)檢查數(shù)據(jù)長(zhǎng)度字段值是否和數(shù)據(jù)字段的長(zhǎng)度一致�����;4.3)驗(yàn)證BKID字段的的長(zhǎng)度是否與標(biāo)準(zhǔn)中規(guī)定的一致���。
4.4)檢查USKID字段和AE詢(xún)問(wèn)字段的值是否與標(biāo)準(zhǔn)中規(guī)定的一致���;上述單播密鑰協(xié)商確認(rèn)的分析檢測(cè)過(guò)程如下5.1)檢查版本號(hào)是否符合標(biāo)準(zhǔn)中的規(guī)定�;5.2)檢查數(shù)據(jù)長(zhǎng)度字段值是否和數(shù)據(jù)字段的長(zhǎng)度一致�;5.3)檢查BKID、USKID�����、ADDID���、ASUE、WIE和消息鑒別碼字段的長(zhǎng)度字段是否與標(biāo)準(zhǔn)中規(guī)定的一致���。
上述組播密鑰通告的分析檢測(cè)過(guò)程如下
6.1)檢查版本號(hào)是否符合標(biāo)準(zhǔn)中的規(guī)定���;6.2)檢查數(shù)據(jù)長(zhǎng)度字段值是否和數(shù)據(jù)字段的長(zhǎng)度一致;6.3)檢查MSKID字段的值是否在標(biāo)準(zhǔn)規(guī)定的范圍之內(nèi)���;6.4)檢查USKID字段的值是否在標(biāo)準(zhǔn)規(guī)定的范圍之內(nèi)�;6.5)檢查ADDID�����、數(shù)據(jù)序號(hào)和密鑰通告標(biāo)識(shí)字段的長(zhǎng)度字段是否與標(biāo)準(zhǔn)中規(guī)定的一致;6.6)比較密鑰數(shù)據(jù)字段中長(zhǎng)度子字段的值與內(nèi)容子字段的長(zhǎng)度是否相同��;6.7)檢查消息鑒別碼字段的長(zhǎng)度值是否與標(biāo)準(zhǔn)規(guī)定的值吻合���。
上述單播數(shù)據(jù)幀的分析檢測(cè)過(guò)程如下7.1)檢查會(huì)話密鑰索引字段的值是否在標(biāo)準(zhǔn)規(guī)定的范圍內(nèi)�;7.2)檢查數(shù)據(jù)分組序號(hào)字段的值是否在標(biāo)準(zhǔn)規(guī)定的范圍內(nèi)�;7.3)判斷數(shù)據(jù)分組序號(hào)字段的值是否為奇數(shù)。
上述組播數(shù)據(jù)幀的分析檢測(cè)過(guò)程如下8.1)檢查會(huì)話密鑰索引字段的值是否在標(biāo)準(zhǔn)規(guī)定的范圍內(nèi)�;8.2)檢查數(shù)據(jù)分組序號(hào)字段的值是否在標(biāo)準(zhǔn)規(guī)定的范圍內(nèi)。
以上分析檢測(cè)過(guò)程中���,若有一項(xiàng)檢測(cè)不通過(guò)�,則該待測(cè)接入點(diǎn)的測(cè)試結(jié)果為不通過(guò)�����,即必須通過(guò)上述所有檢測(cè)項(xiàng)目�,待測(cè)接入點(diǎn)才能通過(guò)協(xié)議符合性檢測(cè)。
該方法還包括步驟4)分別在終端和接入點(diǎn)配置WAPI啟用的組合情況��,分析接入點(diǎn)接入控制功能實(shí)現(xiàn)的正確性�����。其中終端和接入點(diǎn)配置WAI和WPI啟用的組合情況包括9.1)待測(cè)接入點(diǎn)與基準(zhǔn)終端都啟用WAI證書(shū)鑒別和密鑰管理方式的WAPI情況下,當(dāng)基準(zhǔn)終端采用非法X.509 v3證書(shū)時(shí)�,待測(cè)AP應(yīng)拒絕其接入;9.2)待測(cè)接入點(diǎn)啟用WAI預(yù)共享密鑰鑒別和密鑰管理方式的WAPI安全機(jī)制���,基準(zhǔn)終端采用證書(shū)鑒別和密鑰管理方式的WAPI安全機(jī)制����,待測(cè)接入點(diǎn)應(yīng)拒絕其接入�。
在上述情況下檢查基準(zhǔn)終端和待測(cè)的接入點(diǎn)WAPI和WPI各種配置情況下以及基準(zhǔn)終端安裝非法證書(shū)的情況下,待測(cè)接入點(diǎn)能否執(zhí)行正確的接入控制功能�。
步驟4)可在步驟1)前執(zhí)行,也可在步驟3)后執(zhí)行���,其所起到的效果完全相同。
參見(jiàn)圖1��,本發(fā)明的系統(tǒng)包括監(jiān)測(cè)控制臺(tái)1�����、基準(zhǔn)鑒別服務(wù)器3��、基準(zhǔn)終端5�����、集線器2和待測(cè)接入點(diǎn)4;其中監(jiān)測(cè)控制臺(tái)1��、基準(zhǔn)鑒別服務(wù)器3和待測(cè)接入點(diǎn)4連接在集線器2上�,基準(zhǔn)終端5通過(guò)無(wú)線鏈路關(guān)聯(lián)到待測(cè)接入點(diǎn)4,基準(zhǔn)終端5包括筆記本電腦和網(wǎng)絡(luò)適配器����。
系統(tǒng)工作時(shí),首先由基準(zhǔn)鑒別服務(wù)器3頒發(fā)接入點(diǎn)和基準(zhǔn)終端證書(shū)并安裝到基準(zhǔn)終端5和待測(cè)接入點(diǎn)4以及監(jiān)測(cè)控制臺(tái)1中�����,啟用待測(cè)接入點(diǎn)4和基準(zhǔn)終端5的WAPI后�,基準(zhǔn)終端5關(guān)聯(lián)到待測(cè)接入點(diǎn)4,監(jiān)測(cè)控制臺(tái)1捕獲WAPI身份認(rèn)證過(guò)程中的WAPI協(xié)議數(shù)據(jù)包����,并給出分析結(jié)果。
名詞解釋1����、X.509 v3證書(shū)一種國(guó)際通用的標(biāo)準(zhǔn)公鑰證書(shū)格式。
2����、ASU鑒別服務(wù)單元��,提供證書(shū)有效性驗(yàn)證服務(wù)����。
3��、ECDH橢圓曲線DH交換�����,一種完成密鑰交換的算法����。
4、ASUE鑒別請(qǐng)求者實(shí)體����,在接入服務(wù)之前請(qǐng)求進(jìn)行鑒別操作的實(shí)體��。
5����、BKID基密鑰標(biāo)識(shí)��,基密鑰索引值���。
6、USKID單播密鑰標(biāo)識(shí)�����,單播密鑰索引值����。
7、AE鑒別器實(shí)體����,為鑒別請(qǐng)求者在接入服務(wù)前提供鑒別操作的實(shí)體。
8���、ADDID地址索引����,MAC地址信息�����。
9、WIEWAPI信息元素����,包含WAPI的參數(shù)信息。
10�����、MSKID組播密鑰標(biāo)識(shí)�,組播密鑰索引值。
權(quán)利要求
1.一種接入點(diǎn)的安全接入?yún)f(xié)議符合性測(cè)試方法�����,其特征在于該方法包括以下步驟1)激活安全接入?yún)f(xié)議認(rèn)證過(guò)程�;2)捕獲該認(rèn)證過(guò)程中產(chǎn)生的安全接入?yún)f(xié)議協(xié)議數(shù)據(jù)包;3)分析檢測(cè)安全接入?yún)f(xié)議數(shù)據(jù)包封裝格式和協(xié)議流程���。
2.根據(jù)權(quán)利要求1所述的接入點(diǎn)的安全接入?yún)f(xié)議符合性測(cè)試方法�,其特征在于所述安全接入?yún)f(xié)議為WAPI協(xié)議或IEEE802.11i協(xié)議��。
3.根據(jù)權(quán)利要求2所述的接入點(diǎn)的安全接入?yún)f(xié)議符合性測(cè)試方法��,其特征在于當(dāng)安全接入?yún)f(xié)議為WAPI協(xié)議時(shí)���,該方法還包括步驟4)分別在終端和接入點(diǎn)配置WAPI啟用的組合情況����,分析接入點(diǎn)接入控制功能實(shí)現(xiàn)的正確性�。
4.根據(jù)權(quán)利要求3所述的接入點(diǎn)的安全接入?yún)f(xié)議符合性測(cè)試方法,其特征在于�;所述步驟4)中的終端和接入點(diǎn)配置WAI和WPI啟用的組合情況包括1.1)待測(cè)接入點(diǎn)與基準(zhǔn)終端都啟用WAI證書(shū)鑒別和密鑰管理方式的WAPI情況下,當(dāng)基準(zhǔn)終端采用非法X.509 v3證書(shū)時(shí)�,待測(cè)接入點(diǎn)應(yīng)拒絕其接入;1.2)待測(cè)接入點(diǎn)啟用WAI預(yù)共享密鑰鑒別和密鑰管理方式的WAPI安全機(jī)制�����,基準(zhǔn)終端采用證書(shū)鑒別和密鑰管理方式的WAPI安全機(jī)制��,待測(cè)接入點(diǎn)應(yīng)拒絕其接入���。
5.根據(jù)權(quán)利要求3所述的接入點(diǎn)的安全接入?yún)f(xié)議符合性測(cè)試方法�����,其特征在于所述WAPI協(xié)議數(shù)據(jù)包包括WAI鑒別激活分組���、接入鑒別請(qǐng)求�、證書(shū)鑒別請(qǐng)求�、證書(shū)鑒別響應(yīng)、接入鑒別響應(yīng)�、單播密鑰協(xié)商請(qǐng)求、單播密鑰協(xié)商響應(yīng)����、單播密鑰協(xié)商確認(rèn)、組播密鑰通告�����、組播密鑰通告響應(yīng)���;WPI單播數(shù)據(jù)幀和組播數(shù)據(jù)幀�����。
6.根據(jù)權(quán)利要求5所述的接入點(diǎn)的安全接入?yún)f(xié)議符合性測(cè)試方法�����,其特征在于所述步驟2)中若WAPI協(xié)議數(shù)據(jù)捕獲不全�,則待測(cè)接入點(diǎn)未通過(guò)WAPI測(cè)試,并繼續(xù)對(duì)已捕獲數(shù)據(jù)按步驟3)進(jìn)行處理��,并顯示結(jié)果���。
7.根據(jù)權(quán)利要求5所述的接入點(diǎn)的安全接入?yún)f(xié)議符合性測(cè)試方法,其特征在于所述鑒別激活分組的分析檢測(cè)過(guò)程如下2.1)檢查版本號(hào)是否符合標(biāo)準(zhǔn)中的規(guī)定�����;2.2)檢查數(shù)據(jù)長(zhǎng)度字段值是否和數(shù)據(jù)字段的長(zhǎng)度一致�����;2.3)驗(yàn)證ASU身份字段�、終端證書(shū)字段以及ECDH參數(shù)字段格式是否正確。
8.根據(jù)權(quán)利要求5所述的接入點(diǎn)的安全接入?yún)f(xié)議符合性測(cè)試方法��,其特征在于所述證書(shū)鑒別請(qǐng)求的分析檢測(cè)過(guò)程如下3.1)檢查版本號(hào)是否符合標(biāo)準(zhǔn)中的規(guī)定���;3.2)檢查數(shù)據(jù)長(zhǎng)度字段值是否和數(shù)據(jù)字段的長(zhǎng)度一致;3.3)比較基準(zhǔn)終端證書(shū)字段內(nèi)容與本地保存的基準(zhǔn)終端證書(shū)內(nèi)容是否相同���;3.4)比較待測(cè)接入點(diǎn)證書(shū)字段內(nèi)容與本地保存的接入點(diǎn)證書(shū)內(nèi)容是否相同��;3.5)比較ASUE詢(xún)問(wèn)字段的值與基準(zhǔn)終端發(fā)送的接入鑒別請(qǐng)求分組中的ASUE詢(xún)問(wèn)字段值是否相同���。
9.根據(jù)權(quán)利要求5所述的接入點(diǎn)的安全接入?yún)f(xié)議符合性測(cè)試方法�,其特征在于所述接入鑒別響應(yīng)的分析檢測(cè)過(guò)程如下4.1)檢查版本號(hào)是否符合標(biāo)準(zhǔn)中的規(guī)定�����;4.2)檢查數(shù)據(jù)長(zhǎng)度字段值是否和數(shù)據(jù)字段的長(zhǎng)度一致�����;4.3)比較復(fù)合的證書(shū)驗(yàn)證結(jié)果中基準(zhǔn)終端證書(shū)鑒別結(jié)果信息字段中基準(zhǔn)終端證書(shū)字段內(nèi)容與本地保存的基準(zhǔn)終端證書(shū)內(nèi)容是否相同���,檢查基準(zhǔn)終端證書(shū)鑒別結(jié)果代碼字段的值是否在標(biāo)準(zhǔn)定義的范圍之內(nèi)���;4.4)比較待測(cè)接入點(diǎn)證書(shū)鑒別結(jié)果信息字段中待測(cè)接入點(diǎn)證書(shū)字段內(nèi)容與本地保存的接入點(diǎn)證書(shū)內(nèi)容是否相同,檢查待測(cè)接入點(diǎn)證書(shū)鑒別結(jié)果代碼字段的值是否在標(biāo)準(zhǔn)定義的范圍之內(nèi)��;4.5)比較AE簽名字段中長(zhǎng)度子字段的值與內(nèi)容子字段的長(zhǎng)度是否相同�����,并和標(biāo)準(zhǔn)中規(guī)定的有效長(zhǎng)度值是否符合���。
10.根據(jù)權(quán)利要求5所述的接入點(diǎn)的安全接入?yún)f(xié)議符合性測(cè)試方法���,其特征在于所述單播密鑰協(xié)商請(qǐng)求的分析檢測(cè)過(guò)程如下5.1)檢查版本號(hào)是否符合標(biāo)準(zhǔn)中的規(guī)定�;5.2)檢查數(shù)據(jù)長(zhǎng)度字段值是否和數(shù)據(jù)字段的長(zhǎng)度一致����;5.3)驗(yàn)證BKID字段的的長(zhǎng)度是否與標(biāo)準(zhǔn)中規(guī)定的一致����。5.4)檢查USKID字段和AE詢(xún)問(wèn)字段的值是否與標(biāo)準(zhǔn)中規(guī)定的一致;
11.根據(jù)權(quán)利要求5所述的接入點(diǎn)的安全接入?yún)f(xié)議符合性測(cè)試方法��,其特征在于所述單播密鑰協(xié)商確認(rèn)分組的分析檢測(cè)過(guò)程如下6.1)檢查版本號(hào)是否符合標(biāo)準(zhǔn)中的規(guī)定����;6.2)檢查數(shù)據(jù)長(zhǎng)度字段值是否和數(shù)據(jù)字段的長(zhǎng)度一致;6.3)檢查BKID���、USKID��、ADDID�、ASUE����、WIE和消息鑒別碼字段的長(zhǎng)度字段是否與標(biāo)準(zhǔn)中規(guī)定的一致��。
12.根據(jù)權(quán)利要求5所述的接入點(diǎn)的安全接入?yún)f(xié)議符合性測(cè)試方法�,其特征在于所述組播密鑰通告的分析檢測(cè)過(guò)程如下7.1)檢查版本號(hào)是否符合標(biāo)準(zhǔn)中的規(guī)定�;7.2)檢查數(shù)據(jù)長(zhǎng)度字段值是否和數(shù)據(jù)字段的長(zhǎng)度一致;7.3)檢查MSKID字段的值是否在標(biāo)準(zhǔn)規(guī)定的范圍之內(nèi)����;7.4)檢查USKID字段的值是否在標(biāo)準(zhǔn)規(guī)定的范圍之內(nèi);7.5)檢查ADDID���、數(shù)據(jù)序號(hào)和密鑰通告標(biāo)識(shí)字段的長(zhǎng)度字段是否與標(biāo)準(zhǔn)中規(guī)定的一致��;7.6)比較密鑰數(shù)據(jù)字段中長(zhǎng)度子字段的值與內(nèi)容子字段的長(zhǎng)度是否相同��;7.7)檢查消息鑒別碼字段的長(zhǎng)度值是否與標(biāo)準(zhǔn)規(guī)定的值吻合�����。
13.根據(jù)權(quán)利要求5所述的接入點(diǎn)的安全接入?yún)f(xié)議符合性測(cè)試方法���,其特征在于所述單播數(shù)據(jù)幀的分析檢測(cè)過(guò)程如下8.1)檢查會(huì)話密鑰索引字段的值是否在標(biāo)準(zhǔn)規(guī)定的范圍內(nèi);8.2)檢查數(shù)據(jù)分組序號(hào)字段的值是否在標(biāo)準(zhǔn)規(guī)定的范圍內(nèi)��;8.3)判斷數(shù)據(jù)分組序號(hào)字段的值是否為奇數(shù)。
14.根據(jù)權(quán)利要求5所述的接入點(diǎn)的安全接入?yún)f(xié)議符合性測(cè)試方法��,其特征在于所述組播數(shù)據(jù)幀的分析檢測(cè)過(guò)程如下9.1)檢查會(huì)話密鑰索引字段的值是否在標(biāo)準(zhǔn)規(guī)定的范圍內(nèi)����;9.2)檢查數(shù)據(jù)分組序號(hào)字段的值是否在標(biāo)準(zhǔn)規(guī)定的范圍內(nèi)。
15.一種實(shí)現(xiàn)權(quán)利要求1所述的接入點(diǎn)的安全接入?yún)f(xié)議符合性測(cè)試方法的系統(tǒng)�����,其特征在于該系統(tǒng)包括監(jiān)測(cè)控制臺(tái)����、基準(zhǔn)鑒別服務(wù)器�����、基準(zhǔn)終端�、集線器和待測(cè)接入點(diǎn);所述監(jiān)測(cè)控制臺(tái)����、基準(zhǔn)鑒別服務(wù)器和待測(cè)接入點(diǎn)連接在集線器上,所述基準(zhǔn)終端通過(guò)無(wú)線鏈路關(guān)聯(lián)到待測(cè)接入點(diǎn)��。
16.根據(jù)權(quán)利要求15所述的接入點(diǎn)的安全接入?yún)f(xié)議符合性測(cè)試系統(tǒng),其特征在于所述基準(zhǔn)終端包括筆記本電腦和網(wǎng)絡(luò)適配器��。
全文摘要
本發(fā)明涉及一種接入點(diǎn)的安全接入?yún)f(xié)議符合性測(cè)試方法及其系統(tǒng)�����。該方法包括以下步驟1)激活安全接入?yún)f(xié)議認(rèn)證過(guò)程����;2)捕獲該認(rèn)證過(guò)程中產(chǎn)生的認(rèn)證協(xié)議數(shù)據(jù)包;3)分析檢測(cè)認(rèn)證協(xié)議數(shù)據(jù)包封裝格式和協(xié)議流程�。本發(fā)明為解決背景技術(shù)中存在的技術(shù)問(wèn)題,而提供一種測(cè)試結(jié)果準(zhǔn)確����、測(cè)試數(shù)據(jù)完整并且可進(jìn)行錯(cuò)誤定位的接入點(diǎn)的安全接入?yún)f(xié)議符合性測(cè)試的方法及其系統(tǒng)。
文檔編號(hào)H04L12/26GK1812417SQ20061004184
公開(kāi)日2006年8月2日 申請(qǐng)日期2006年2月28日 優(yōu)先權(quán)日2006年2月28日
發(fā)明者張變玲, 曹軍, 涂學(xué)峰 申請(qǐng)人:西安西電捷通無(wú)線網(wǎng)絡(luò)通信有限公司