手机WAPI功能检测常见问题分析(系列连载二):证书鉴别功能

 

原文地址:http://www.wapia.org/topic/standards/detail_5074.shtml

 

证书鉴别功能测试中常见问题及解决方法

问题:待测手机在接收到基准AP发出的鉴别激活分组后,未能回复接入鉴别请求分组。

问题分析及解决方法:待测手机接收到基准AP发出的鉴别激活分组数据包之后,应能正确解析该数据包,如果WAPI客户端开发实现不够完善,未能正确解析鉴别激活分组数据包,将无法对该分组数据做出正确的响应。在解析鉴别激活分组数据包过程中,部分待测手机WAPI客户端不能对“本地ASU的身份”字段进行有效判断或者不支持漫游场景,例如当基准AP 配置的“本地ASU的身份”字段值与手机终端数字证书的颁发者身份不匹配时,手机WAPI客户端无法识别,直接丢弃鉴别激活分组等。“本地ASU的身份”字段代表了基准AP信任的鉴别服务器的身份,如果与手机终端数字证书颁发者身份相同则说明基准AP和手机在同一个鉴别服务器下,如果不相同则说明基准AP和手机处在不同鉴别服务器下或者手机处于漫游状态。WAPI技术标准中,证书鉴别流程和重要字段解析参见下文第2部分。

WAPI证书鉴别流程和重要字段解析

如图1 所示,WAPI证书鉴别流程共包含有五个数据分组的消息交互。本节将详细讲解每一个数据分组的结构及其重要字段,以便帮助手机厂商更加清晰了解WAPI标准中的协议流程以及容易被忽视的重要字段。

(图1)

鉴别激活分组数据字段格式(见图2)

(图2)

重要字段:

标识FLAG:比特0为基密钥BK更新标识。当ASUE关联或重新关联至AE时进行证书鉴别过程,比特0的值为0;当证书鉴别功能为BK更新过程时,比特0的值为1。
鉴别标识:如果不是BK更新过程(比特0的值为0),则鉴别标识字段的值由AE 随机生成;如果是BK更新过程(比特0的值为1),则鉴别标识字段的值采用上一次证书鉴别过程所协商的鉴别标识。

本地ASU的身份:AE信任的鉴别服务器ASU 。

接入鉴别请求分组数据字段格式(见图3)

(见图3)

重要字段:

鉴别标识:字段值与鉴别激活分组中的鉴别标识字段值相同。

ASUE询问:ASUE生成的32 个八位位组的随机数。

STAASUE的证书:ASUE的数字证书。

ASUE的签名:对本分组中除本字段之外所有数据字段的签名。

证书鉴别请求分组数据字段格式(见图4)

(见图4)

重要字段:

ADDID:AE和ASUE 的MAC地址串连。

AE询问和ASUE询问:分别为ASUE 在接入鉴别请求分组中生成的随机数和AE生成的随机数。

STAASUE和STAAE的证书:分别为ASUE和AE的数字证书,供ASU进行鉴别。

证书鉴别响应分组数据字段格式(见图5)

(见图5)

重要字段:

证书的验证结果:证书结果定义如下:

0 表示证书有效;

1 表示证书的颁发者不明确;

2 表示证书基于不可信任的根证书;

3 表示证书未到生效期或已过期;

4 表示签名错误;

5 表示证书已吊销;

6 表示证书未按规定用途使用;

7 表示证书吊销状态未知;

8 表示证书错误原因未知;

其他值保留。

ASUE信任的服务器签名:对本分组中证书的验证结果字段的签名。

AE信任的服务器签名:对本分组中除本字段和ADDID字段之外所有数据字段的签名。

注:若ASUE信任的服务器和AE信任的服务器为同一个,则证书鉴别响应分组中ASUE信任的服务器签名字段和AE信任的服务器签名字段只存在一个;若ASUE证书的验证结果为证书的颁发者不明确,则证书鉴别响应分组不包含ASUE信任的服务器签名字段。

接入鉴别响应分组数据字段格式(见图6)

(见图6)

重要字段:

AE询问、ASUE询问、AE密钥数据、ASUE密钥数据:为BK导出的必要输入。

接入结果:具体意义如下:

0 表示接入成功,对应证书验证结果值为0;

1 表示无法验证证书,对应证书验证结果值为1;

2 表示证书错误,对应证书验证结果除0 和1 之外的其他值;

3 表示本地策略禁止;

其他值保留。

复合的证书验证结果:包含鉴别服务器对STAASUE证书和STAAE证书验证的结果。

证书鉴别功能要求及测试方法

功能要求:

移动用户终端应能正确实现完整的WAI鉴别流程,并在成功完成WAI鉴别后与AP建立连接。 (参见手机测试标准 第5.2.2.4章)

测试步骤:

步骤一:AP1上安装AS1颁发的证书,AS1为鉴别服务器。

步骤二:EUT上安装AS1颁发的证书。

步骤三:EUT发起WAI流程,并能成功连接。

步骤四:EUT安装一个已经被AS1吊销的证书。

步骤五:EUT发起WAI流程,不能连接。

证书鉴别功能要求与WAPI技术标准的章节对应关系

手机测试标准中的证书鉴别功能要求与WAPI技术标准中以下章节的内容对应。详细内容可以参阅 WAPI技术标准。

WAPI技术标准第7.3.2.8章: WAPI 信息元素

WAPI技术标准第8.1章: WAI鉴别及密钥管理中支持WAI鉴别及密钥管理的STA四种实现方式中的a)在BSS中基于证书的方式和c)在IBSS中基于证书的方式内容对应

WAPI技术标准第8.1.4.1章: WAI协议分组格式

WAPI技术标准第8.1.4.2章: 证书鉴别过程

 

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值