原文地址:http://www.wapia.org/topic/standards/detail_5074.shtml
证书鉴别功能测试中常见问题及解决方法
问题:待测手机在接收到基准AP发出的鉴别激活分组后,未能回复接入鉴别请求分组。
问题分析及解决方法:待测手机接收到基准AP发出的鉴别激活分组数据包之后,应能正确解析该数据包,如果WAPI客户端开发实现不够完善,未能正确解析鉴别激活分组数据包,将无法对该分组数据做出正确的响应。在解析鉴别激活分组数据包过程中,部分待测手机WAPI客户端不能对“本地ASU的身份”字段进行有效判断或者不支持漫游场景,例如当基准AP 配置的“本地ASU的身份”字段值与手机终端数字证书的颁发者身份不匹配时,手机WAPI客户端无法识别,直接丢弃鉴别激活分组等。“本地ASU的身份”字段代表了基准AP信任的鉴别服务器的身份,如果与手机终端数字证书颁发者身份相同则说明基准AP和手机在同一个鉴别服务器下,如果不相同则说明基准AP和手机处在不同鉴别服务器下或者手机处于漫游状态。WAPI技术标准中,证书鉴别流程和重要字段解析参见下文第2部分。
WAPI证书鉴别流程和重要字段解析
如图1 所示,WAPI证书鉴别流程共包含有五个数据分组的消息交互。本节将详细讲解每一个数据分组的结构及其重要字段,以便帮助手机厂商更加清晰了解WAPI标准中的协议流程以及容易被忽视的重要字段。
(图1)
鉴别激活分组数据字段格式(见图2)
(图2)
重要字段:
标识FLAG:比特0为基密钥BK更新标识。当ASUE关联或重新关联至AE时进行证书鉴别过程,比特0的值为0;当证书鉴别功能为BK更新过程时,比特0的值为1。
鉴别标识:如果不是BK更新过程(比特0的值为0),则鉴别标识字段的值由AE 随机生成;如果是BK更新过程(比特0的值为1),则鉴别标识字段的值采用上一次证书鉴别过程所协商的鉴别标识。
本地ASU的身份:AE信任的鉴别服务器ASU 。
接入鉴别请求分组数据字段格式(见图3)
(见图3)
重要字段:
鉴别标识:字段值与鉴别激活分组中的鉴别标识字段值相同。
ASUE询问:ASUE生成的32 个八位位组的随机数。
STAASUE的证书:ASUE的数字证书。
ASUE的签名:对本分组中除本字段之外所有数据字段的签名。
证书鉴别请求分组数据字段格式(见图4)
(见图4)
重要字段:
ADDID:AE和ASUE 的MAC地址串连。
AE询问和ASUE询问:分别为ASUE 在接入鉴别请求分组中生成的随机数和AE生成的随机数。
STAASUE和STAAE的证书:分别为ASUE和AE的数字证书,供ASU进行鉴别。
证书鉴别响应分组数据字段格式(见图5)
(见图5)
重要字段:
证书的验证结果:证书结果定义如下:
0 表示证书有效;
1 表示证书的颁发者不明确;
2 表示证书基于不可信任的根证书;
3 表示证书未到生效期或已过期;
4 表示签名错误;
5 表示证书已吊销;
6 表示证书未按规定用途使用;
7 表示证书吊销状态未知;
8 表示证书错误原因未知;
其他值保留。
ASUE信任的服务器签名:对本分组中证书的验证结果字段的签名。
AE信任的服务器签名:对本分组中除本字段和ADDID字段之外所有数据字段的签名。
注:若ASUE信任的服务器和AE信任的服务器为同一个,则证书鉴别响应分组中ASUE信任的服务器签名字段和AE信任的服务器签名字段只存在一个;若ASUE证书的验证结果为证书的颁发者不明确,则证书鉴别响应分组不包含ASUE信任的服务器签名字段。
接入鉴别响应分组数据字段格式(见图6)
(见图6)
重要字段:
AE询问、ASUE询问、AE密钥数据、ASUE密钥数据:为BK导出的必要输入。
接入结果:具体意义如下:
0 表示接入成功,对应证书验证结果值为0;
1 表示无法验证证书,对应证书验证结果值为1;
2 表示证书错误,对应证书验证结果除0 和1 之外的其他值;
3 表示本地策略禁止;
其他值保留。
复合的证书验证结果:包含鉴别服务器对STAASUE证书和STAAE证书验证的结果。
证书鉴别功能要求及测试方法
功能要求:
移动用户终端应能正确实现完整的WAI鉴别流程,并在成功完成WAI鉴别后与AP建立连接。 (参见手机测试标准 第5.2.2.4章)
测试步骤:
步骤一:AP1上安装AS1颁发的证书,AS1为鉴别服务器。
步骤二:EUT上安装AS1颁发的证书。
步骤三:EUT发起WAI流程,并能成功连接。
步骤四:EUT安装一个已经被AS1吊销的证书。
步骤五:EUT发起WAI流程,不能连接。
证书鉴别功能要求与WAPI技术标准的章节对应关系
手机测试标准中的证书鉴别功能要求与WAPI技术标准中以下章节的内容对应。详细内容可以参阅 WAPI技术标准。
WAPI技术标准第7.3.2.8章: WAPI 信息元素
WAPI技术标准第8.1章: WAI鉴别及密钥管理中支持WAI鉴别及密钥管理的STA四种实现方式中的a)在BSS中基于证书的方式和c)在IBSS中基于证书的方式内容对应
WAPI技术标准第8.1.4.1章: WAI协议分组格式
WAPI技术标准第8.1.4.2章: 证书鉴别过程