专利名称:接入点的安全接入协议符合性测试方法及其系统的制作方法
技术领域:
本发明涉及网络安全接入协议测试领域,尤其一种接入点(又称基站)的安全接入协议符合性测试的方法及其系统。
背景技术:
IP网络承载的业务种类日益繁多,已介入到经济和社会各个层面,无线IP网络通过无线电波传输数据,更使网络物理的开放性达到新的阶段,由此,安全接入成为有线和无线网络安全运行的关键问题。
IP网络的安全接入系统主要涉及到三个网络实体网络终端、接入点(又称基站)和鉴别服务器。网络终端请求接入网络,享受网络提供的各种资源;接入点是IP互联网络的边缘设备,是为网络用户提供接入服务的实体;鉴别服务器是提供用户身份鉴别服务的实体。
目前关于接入点的安全接入协议测试系统主要有WI-FI联盟针对IEEE802.11标准的互操作测试系统和一些无线局域网应用的辅助管理测试系统。其中辅助管理测试系统主要通过监测物理信道和网络的状态提供网络系统安装和应用的相关信息。WI-FI联盟的互操作测试系统是通过测试待测设备与基准设备的互通性以及通信的性能来验证待测设备中协议实现的正确性,即协议符合性检测。该测试系统具有以下缺点1、通过典型的应用环境,即高层协议的互操作性来测试设备具有不完整性,测试结果可能存在偏差。
2、基准设备实现的正确性程度将严重影响测试结果的准确性。
3、不能给出测试未通过情况下的错误定位信息。
发明内容
本发明为解决背景技术中存在的上述技术问题,而提供一种测试结果准确、测试数据完整并且可进行错误定位的接入点安全接入协议符合性测试的方法及其系统。
本发明的技术解决方案是一种接入点安全接入协议符合性测试的方法,其特殊之处在于该方法包括以下步骤1)激活安全接入协议认证过程;2)捕获该认证过程中产生的安全接入协议数据包;3)分析检测安全接入协议数据包封装格式和协议流程。
上述安全接入协议为WAPI协议或IEEE802.11i协议。
当安全接入协议为WAPI协议时,该方法还包括步骤4)分别在终端和接入点配置WAPI启用的组合情况,分析接入点接入控制功能实现的正确性。
上述步骤4)中的终端和接入点配置WAPI启用的组合情况包括1.1)待测接入点与基准终端都启用WAI证书鉴别和密钥管理方式的WAPI情况下,当基准终端采用非法X.509 v3证书时,待测接入点应拒绝其接入;1.2)待测接入点启用WAI预共享密钥鉴别和密钥管理方式的WAPI安全机制,基准终端采用证书鉴别和密钥管理方式的WAPI安全机制,待测接入点应拒绝其接入。
上述WAPI协议数据包包括WAI鉴别激活分组、接入鉴别请求、证书鉴别请求、证书鉴别响应、接入鉴别响应、单播密钥协商请求、单播密钥协商响应、单播密钥协商确认分组、组播密钥通告、组播密钥通告响应;WPI单播数据帧和组播数据帧。
上述步骤2)中若WAPI协议数据捕获不全,则待测接入点未通过WAPI测试,并继续对已捕获数据按步骤3)进行处理,并显示结果。
上述鉴别激活分组的分析检测过程如下2.1)检查版本号是否符合标准中的规定;2.2)检查数据长度字段值是否和数据字段的长度一致;2.3)验证ASU身份字段、终端证书字段以及ECDH参数字段格式是否正确。
上述证书鉴别请求的分析检测过程如下3.1)检查版本号是否符合标准中的规定;3.2)检查数据长度字段值是否和数据字段的长度一致;3.3)比较基准终端证书字段内容与本地保存的基准终端证书内容是否相同;3.4)比较待测接入点证书字段内容与本地保存的接入点证书内容是否相同;3.5)比较ASUE询问字段的值与基准终端发送的接入鉴别请求分组中的ASUE询问字段值是否相同。
上述接入鉴别响应的分析检测过程如下4.1)检查版本号是否符合标准中的规定;4.2)检查数据长度字段值是否和数据字段的长度一致;4.3)比较复合的证书验证结果中基准终端证书鉴别结果信息字段中基准终端证书字段内容与本地保存的基准终端证书内容是否相同,检查基准终端证书鉴别结果代码字段的值是否在标准定义的范围之内;4.4)比较待测接入点证书鉴别结果信息字段中待测接入点证书字段内容与本地保存的接入点证书内容是否相同,检查待测接入点证书鉴别结果代码字段的值是否在标准定义的范围之内;4.5)比较AE签名字段中长度子字段的值与内容子字段的长度是否相同,并和标准中规定的有效长度值是否符合。
上述单播密钥协商请求的分析检测过程如下5.1)检查版本号是否符合标准中的规定;5.2)检查数据长度字段值是否和数据字段的长度一致;5.3)验证BKID字段的的长度是否与标准中规定的一致。
5.4)检查USKID字段和AE询问字段的值是否与标准中规定的一致;上述单播密钥协商确认的分析检测过程如下6.1)检查版本号是否符合标准中的规定;6.2)检查数据长度字段值是否和数据字段的长度一致;6.3)检查BKID、USKID、ADDID、ASUE、WIE和消息鉴别码字段的长度字段是否与标准中规定的一致。
上述组播密钥通告的分析检测过程如下7.1)检查版本号是否符合标准中的规定;7.2)检查数据长度字段值是否和数据字段的长度一致;
7.3)检查MSKID字段的值是否在标准规定的范围之内;7.4)检查USKID字段的值是否在标准规定的范围之内;7.5)检查ADDID、数据序号和密钥通告标识字段的长度字段是否与标准中规定的一致;7.6)比较密钥数据字段中长度子字段的值与内容子字段的长度是否相同;7.7)检查消息鉴别码字段的长度值是否与标准规定的值吻合。
上述单播数据帧的分析检测过程如下8.1)检查会话密钥索引字段的值是否在标准规定的范围内;8.2)检查数据分组序号字段的值是否在标准规定的范围内;8.3)判断数据分组序号字段的值是否为奇数。
上述组播数据帧的分析检测过程如下9.1)检查会话密钥索引字段的值是否在标准规定的范围内;9.2)检查数据分组序号字段的值是否在标准规定的范围内。
一种实现上述的接入点的安全接入协议符合性测试的系统,其特殊之处在于该系统包括监测控制台、基准鉴别服务器、基准终端、集线器和待测接入点;监测控制台、基准鉴别服务器和待测接入点连接在集线器上,基准终端通过无线链路关联到待测接入点。
上述基准终端包括笔记本电脑和网络适配器。
本发明基于网络接入点来设计的,可用于对设备厂商生产的接入点进行安全接入协议实现的正确性和一致性进行测试。其不仅采用了协议的互通性测试,来测试待测接入点与基准网络终端和鉴别服务器的互操作性,还通过完全的安全接入协议数据的捕获、解析与分析,以及在此基础上实现的协议流程分析和异常情况的模拟测试,保障了通过测试的产品完全符合国标的规定和互操作性。因此本发明具有以下优点1、测试结果准确。本发明引入了相关协议数据的捕获与完整的分析方法,使测试的结果更准确。
2、测试数据完整。由于测试过程包括了完整的数据捕获分析,可以给出待测设备中协议数据的详细信息。
3、可进行错误定位。由于对协议的执行过程进行了微观的检测,可以精确的定位协议实现方面的错误。
四
图1为本发明的系统拓朴结构图。
五具体实施例方式
WAPI协议或IEEE802.11i协议均可适用本发明的方法,其步骤如下1)激活安全接入协议认证过程;2)捕获该认证过程中产生的安全接入协议数据包;3)分析检测安全接入协议数据包封装格式和协议流程。
下面以安全接入协议为WAPI协议时为具体实施例,其方法的整个具体测试流程如下1)激活WAPI协议认证过程;2)捕获该认证过程中产生的WAPI协议数据包;若WAPI协议数据捕获不全,则该待测接入点未通过WAPI测试,并继续对已捕获数据按步骤3进行处理,并显示结果;该WAPI协议数据包包括WAI鉴别激活分组、接入鉴别请求、证书鉴别请求、证书鉴别响应、接入鉴别响应、单播密钥协商请求、单播密钥协商响应、单播密钥协商确认、组播密钥通告、组播密钥通告响应;WPI单播数据帧和组播数据帧;3)分析检测WAPI协议数据包封装格式和协议流程;其中只需对鉴别激活分组、证书鉴别请求、接入鉴别响应、单播密钥协商请求、单播密钥协商确认、组播密钥通告、单播数据帧和组播数据帧进行分析检测。
上述鉴别激活分组的分析检测过程如下1.1)检查版本号是否符合标准中的规定;1.2)检查数据长度字段值是否和数据字段的长度一致;1.3)验证ASU身份字段、终端证书字段以及ECDH参数字段格式是否正确。
上述证书鉴别请求的分析检测过程如下2.1)检查版本号是否符合标准中的规定;
2.2)检查数据长度字段值是否和数据字段的长度一致;2.3)比较基准终端证书字段内容与本地保存的基准终端证书内容是否相同;2.4)比较待测接入点证书字段内容与本地保存的接入点证书内容是否相同;2.5)比较ASUE询问字段的值与基准终端发送的接入鉴别请求分组中的ASUE询问字段值是否相同。
上述接入鉴别响应的分析检测过程如下3.1)检查版本号是否符合标准中的规定;3.2)检查数据长度字段值是否和数据字段的长度一致;3.3)比较复合的证书验证结果中基准终端证书鉴别结果信息字段中基准终端证书字段内容与本地保存的基准终端证书内容是否相同,检查基准终端证书鉴别结果代码字段的值是否在标准定义的范围之内;3.4)比较待测接入点证书鉴别结果信息字段中待测接入点证书字段内容与本地保存的接入点证书内容是否相同,检查待测接入点证书鉴别结果代码字段的值是否在标准定义的范围之内;3.5)比较AE签名字段中长度子字段的值与内容子字段的长度是否相同,并和标准中规定的有效长度值是否符合。
上述单播密钥协商请求的分析检测过程如下4.1)检查版本号是否符合标准中的规定;4.2)检查数据长度字段值是否和数据字段的长度一致;4.3)验证BKID字段的的长度是否与标准中规定的一致。
4.4)检查USKID字段和AE询问字段的值是否与标准中规定的一致;上述单播密钥协商确认的分析检测过程如下5.1)检查版本号是否符合标准中的规定;5.2)检查数据长度字段值是否和数据字段的长度一致;5.3)检查BKID、USKID、ADDID、ASUE、WIE和消息鉴别码字段的长度字段是否与标准中规定的一致。
上述组播密钥通告的分析检测过程如下
6.1)检查版本号是否符合标准中的规定;6.2)检查数据长度字段值是否和数据字段的长度一致;6.3)检查MSKID字段的值是否在标准规定的范围之内;6.4)检查USKID字段的值是否在标准规定的范围之内;6.5)检查ADDID、数据序号和密钥通告标识字段的长度字段是否与标准中规定的一致;6.6)比较密钥数据字段中长度子字段的值与内容子字段的长度是否相同;6.7)检查消息鉴别码字段的长度值是否与标准规定的值吻合。
上述单播数据帧的分析检测过程如下7.1)检查会话密钥索引字段的值是否在标准规定的范围内;7.2)检查数据分组序号字段的值是否在标准规定的范围内;7.3)判断数据分组序号字段的值是否为奇数。
上述组播数据帧的分析检测过程如下8.1)检查会话密钥索引字段的值是否在标准规定的范围内;8.2)检查数据分组序号字段的值是否在标准规定的范围内。
以上分析检测过程中,若有一项检测不通过,则该待测接入点的测试结果为不通过,即必须通过上述所有检测项目,待测接入点才能通过协议符合性检测。
该方法还包括步骤4)分别在终端和接入点配置WAPI启用的组合情况,分析接入点接入控制功能实现的正确性。其中终端和接入点配置WAI和WPI启用的组合情况包括9.1)待测接入点与基准终端都启用WAI证书鉴别和密钥管理方式的WAPI情况下,当基准终端采用非法X.509 v3证书时,待测AP应拒绝其接入;9.2)待测接入点启用WAI预共享密钥鉴别和密钥管理方式的WAPI安全机制,基准终端采用证书鉴别和密钥管理方式的WAPI安全机制,待测接入点应拒绝其接入。
在上述情况下检查基准终端和待测的接入点WAPI和WPI各种配置情况下以及基准终端安装非法证书的情况下,待测接入点能否执行正确的接入控制功能。
步骤4)可在步骤1)前执行,也可在步骤3)后执行,其所起到的效果完全相同。
参见图1,本发明的系统包括监测控制台1、基准鉴别服务器3、基准终端5、集线器2和待测接入点4;其中监测控制台1、基准鉴别服务器3和待测接入点4连接在集线器2上,基准终端5通过无线链路关联到待测接入点4,基准终端5包括笔记本电脑和网络适配器。
系统工作时,首先由基准鉴别服务器3颁发接入点和基准终端证书并安装到基准终端5和待测接入点4以及监测控制台1中,启用待测接入点4和基准终端5的WAPI后,基准终端5关联到待测接入点4,监测控制台1捕获WAPI身份认证过程中的WAPI协议数据包,并给出分析结果。
名词解释1、X.509 v3证书一种国际通用的标准公钥证书格式。
2、ASU鉴别服务单元,提供证书有效性验证服务。
3、ECDH椭圆曲线DH交换,一种完成密钥交换的算法。
4、ASUE鉴别请求者实体,在接入服务之前请求进行鉴别操作的实体。
5、BKID基密钥标识,基密钥索引值。
6、USKID单播密钥标识,单播密钥索引值。
7、AE鉴别器实体,为鉴别请求者在接入服务前提供鉴别操作的实体。
8、ADDID地址索引,MAC地址信息。
9、WIEWAPI信息元素,包含WAPI的参数信息。
10、MSKID组播密钥标识,组播密钥索引值。
权利要求
1.一种接入点的安全接入协议符合性测试方法,其特征在于该方法包括以下步骤1)激活安全接入协议认证过程;2)捕获该认证过程中产生的安全接入协议协议数据包;3)分析检测安全接入协议数据包封装格式和协议流程。
2.根据权利要求1所述的接入点的安全接入协议符合性测试方法,其特征在于所述安全接入协议为WAPI协议或IEEE802.11i协议。
3.根据权利要求2所述的接入点的安全接入协议符合性测试方法,其特征在于当安全接入协议为WAPI协议时,该方法还包括步骤4)分别在终端和接入点配置WAPI启用的组合情况,分析接入点接入控制功能实现的正确性。
4.根据权利要求3所述的接入点的安全接入协议符合性测试方法,其特征在于;所述步骤4)中的终端和接入点配置WAI和WPI启用的组合情况包括1.1)待测接入点与基准终端都启用WAI证书鉴别和密钥管理方式的WAPI情况下,当基准终端采用非法X.509 v3证书时,待测接入点应拒绝其接入;1.2)待测接入点启用WAI预共享密钥鉴别和密钥管理方式的WAPI安全机制,基准终端采用证书鉴别和密钥管理方式的WAPI安全机制,待测接入点应拒绝其接入。
5.根据权利要求3所述的接入点的安全接入协议符合性测试方法,其特征在于所述WAPI协议数据包包括WAI鉴别激活分组、接入鉴别请求、证书鉴别请求、证书鉴别响应、接入鉴别响应、单播密钥协商请求、单播密钥协商响应、单播密钥协商确认、组播密钥通告、组播密钥通告响应;WPI单播数据帧和组播数据帧。
6.根据权利要求5所述的接入点的安全接入协议符合性测试方法,其特征在于所述步骤2)中若WAPI协议数据捕获不全,则待测接入点未通过WAPI测试,并继续对已捕获数据按步骤3)进行处理,并显示结果。
7.根据权利要求5所述的接入点的安全接入协议符合性测试方法,其特征在于所述鉴别激活分组的分析检测过程如下2.1)检查版本号是否符合标准中的规定;2.2)检查数据长度字段值是否和数据字段的长度一致;2.3)验证ASU身份字段、终端证书字段以及ECDH参数字段格式是否正确。
8.根据权利要求5所述的接入点的安全接入协议符合性测试方法,其特征在于所述证书鉴别请求的分析检测过程如下3.1)检查版本号是否符合标准中的规定;3.2)检查数据长度字段值是否和数据字段的长度一致;3.3)比较基准终端证书字段内容与本地保存的基准终端证书内容是否相同;3.4)比较待测接入点证书字段内容与本地保存的接入点证书内容是否相同;3.5)比较ASUE询问字段的值与基准终端发送的接入鉴别请求分组中的ASUE询问字段值是否相同。
9.根据权利要求5所述的接入点的安全接入协议符合性测试方法,其特征在于所述接入鉴别响应的分析检测过程如下4.1)检查版本号是否符合标准中的规定;4.2)检查数据长度字段值是否和数据字段的长度一致;4.3)比较复合的证书验证结果中基准终端证书鉴别结果信息字段中基准终端证书字段内容与本地保存的基准终端证书内容是否相同,检查基准终端证书鉴别结果代码字段的值是否在标准定义的范围之内;4.4)比较待测接入点证书鉴别结果信息字段中待测接入点证书字段内容与本地保存的接入点证书内容是否相同,检查待测接入点证书鉴别结果代码字段的值是否在标准定义的范围之内;4.5)比较AE签名字段中长度子字段的值与内容子字段的长度是否相同,并和标准中规定的有效长度值是否符合。
10.根据权利要求5所述的接入点的安全接入协议符合性测试方法,其特征在于所述单播密钥协商请求的分析检测过程如下5.1)检查版本号是否符合标准中的规定;5.2)检查数据长度字段值是否和数据字段的长度一致;5.3)验证BKID字段的的长度是否与标准中规定的一致。5.4)检查USKID字段和AE询问字段的值是否与标准中规定的一致;
11.根据权利要求5所述的接入点的安全接入协议符合性测试方法,其特征在于所述单播密钥协商确认分组的分析检测过程如下6.1)检查版本号是否符合标准中的规定;6.2)检查数据长度字段值是否和数据字段的长度一致;6.3)检查BKID、USKID、ADDID、ASUE、WIE和消息鉴别码字段的长度字段是否与标准中规定的一致。
12.根据权利要求5所述的接入点的安全接入协议符合性测试方法,其特征在于所述组播密钥通告的分析检测过程如下7.1)检查版本号是否符合标准中的规定;7.2)检查数据长度字段值是否和数据字段的长度一致;7.3)检查MSKID字段的值是否在标准规定的范围之内;7.4)检查USKID字段的值是否在标准规定的范围之内;7.5)检查ADDID、数据序号和密钥通告标识字段的长度字段是否与标准中规定的一致;7.6)比较密钥数据字段中长度子字段的值与内容子字段的长度是否相同;7.7)检查消息鉴别码字段的长度值是否与标准规定的值吻合。
13.根据权利要求5所述的接入点的安全接入协议符合性测试方法,其特征在于所述单播数据帧的分析检测过程如下8.1)检查会话密钥索引字段的值是否在标准规定的范围内;8.2)检查数据分组序号字段的值是否在标准规定的范围内;8.3)判断数据分组序号字段的值是否为奇数。
14.根据权利要求5所述的接入点的安全接入协议符合性测试方法,其特征在于所述组播数据帧的分析检测过程如下9.1)检查会话密钥索引字段的值是否在标准规定的范围内;9.2)检查数据分组序号字段的值是否在标准规定的范围内。
15.一种实现权利要求1所述的接入点的安全接入协议符合性测试方法的系统,其特征在于该系统包括监测控制台、基准鉴别服务器、基准终端、集线器和待测接入点;所述监测控制台、基准鉴别服务器和待测接入点连接在集线器上,所述基准终端通过无线链路关联到待测接入点。
16.根据权利要求15所述的接入点的安全接入协议符合性测试系统,其特征在于所述基准终端包括笔记本电脑和网络适配器。
全文摘要
本发明涉及一种接入点的安全接入协议符合性测试方法及其系统。该方法包括以下步骤1)激活安全接入协议认证过程;2)捕获该认证过程中产生的认证协议数据包;3)分析检测认证协议数据包封装格式和协议流程。本发明为解决背景技术中存在的技术问题,而提供一种测试结果准确、测试数据完整并且可进行错误定位的接入点的安全接入协议符合性测试的方法及其系统。
文档编号H04L12/26GK1812417SQ20061004184
公开日2006年8月2日 申请日期2006年2月28日 优先权日2006年2月28日
发明者张变玲, 曹军, 涂学峰 申请人:西安西电捷通无线网络通信有限公司