专利名称:网络终端的安全接入协议符合性测试的方法及系统的制作方法
技术领域:
本发明涉及网络安全接入协议测试领域,尤其是一种网络终端的安全接入协议符合性测试的方法及其系统。
背景技术:
IP网络承载的业务种类日益繁多,已介入到国民经济和社会各个层面,无线IP网络通过无线电波传输数据,更使网络物理的开放性达到新的阶段,由此,安全接入成为有线和无线网络安全运行的关键问题。
IP网络的安全接入系统主要涉及到三个网络实体网络终端、接入点(又称基站)和鉴别服务器。网络终端请求接入网络,享受网络提供的各种资源;接入点是IP互联网络的边缘设备,是为网络用户提供接入服务的实体;鉴别服务器是提供用户身份鉴别服务的实体。
目前关于网络终端产品安全接入协议测试系统主要有WI-FI联盟针对IEEE802.11标准的互操作测试系统和一些无线局域网应用的辅助管理测试系统。其中辅助管理测试系统主要通过监测物理信道和网络的状态提供网络系统安装和应用的相关信息。WI-FI联盟的互操作测试系统是通过测试待测设备与基准设备的互通性以及通信的性能来验证待测设备中协议实现的正确性,即协议符合性检测。该测试系统具有以下缺点1、通过典型的应用环境,即高层协议的互操作性来测试设备具有不完整性,测试结果可能存在偏差。
2、基准设备实现的正确性程度将严重影响测试结果的准确性。
3、不能给出测试未通过情况下的错误定位信息。
发明内容
本发明为解决背景技术中存在的上述技术问题,而提供一种测试结果准确、测试数据完整并且可进行错误定位的网络终端的安全接入协议符合性测试的方法及其系统。
本发明的技术解决方案是一种网络终端的安全接入协议符合性测试的方法,其特殊之处在于该方法包括以下步骤
1)激活安全接入协议认证过程;2)捕获该认证过程中产生的安全接入协议数据包;3)分析检测安全接入协议数据包封装格式和协议流程。
上述安全接入协议为WAPI协议或IEEE802.11i协议。
当安全接入协议为WAPI协议时,上述方法还包括步骤4)分别在终端和接入点配置WAPI启用的组合情况,分析接入点接入控制功能实现的正确性。
上述步骤4)中的终端和接入点配置WAPI启用的组合情况包括1.1)待测终端启用WAI预共享密钥鉴别和密钥管理方式的WAPI安全机制,基准接入点采用证书鉴别和密钥管理方式的WAPI安全机制,被测终端应不能与基准接入点通信;1.2)待测终端启用WAI证书鉴别和密钥管理方式的WAPI安全机制,基准接入点采用预共享密钥鉴别和密钥管理方式的WAPI安全机制,终端应不能与基准接入点通信。
上述WAPI协议数据包包括WAI鉴别激活帧、接入鉴别请求、证书鉴别请求、证书鉴别响应、接入鉴别响应、单播密钥协商请求、单播密钥协商响应、单播密钥协商确认、组播密钥通告、组播密钥通告响应;WPI单播数据帧。
上述步骤2)中若WAPI协议数据捕获不全,则待测网络终端未通过WAPI测试,继续对已捕获数据按步骤3进行处理,并显示结果。
上述接入鉴别请求的分析检测过程如下2.1)检查版本号是否符合标准中的规定;2.2)检查数据长度字段值是否和数据字段的长度一致;2.3)比较鉴别标识字段的值和接入点发送的鉴别分组中的鉴别标识字段的值是否相同;2.4)比较终端证书字段内容与本地保存的终端证书内容是否相同;2.5)检查ASUE询问、ASUE密钥数据、终端身份、ECDH参数、和ASUE的签名字段的封装格式与长度与标准中的规定是否相符。
上述单播密钥协商响应的分析检测过程如下3.1)检查版本号是否符合标准中的规定;
3.2)检查数据长度字段值是否和数据字段的长度一致;3.3)验证BKID、USKID、ADDID、ASUE询问和WIE字段的长度是否与标准中规定的一致;3.4)检查AE询问字段的值和接入点发送的单播密钥协商请求中的AE询问字段的值是否相同;3.5)检查消息鉴别码字段的长度与标准中的规定是否一致。
上述组播密钥通告响应的分析检测过程如下4.1)检查版本号是否符合标准中的规定;4.2)检查数据长度字段值是否和数据字段的长度一致;4.3)比较MSKID字段值与接入点发送的组播密钥通告分组中的MSKID字段值是否相同;4.4)比较USKID字段值与接入点发送的组播密钥通告分组中的USKID字段值是否相同;4.5)比较密钥通告标识字段值与接入点发送的组播密钥通告分组中的密钥通告标识字段值是否相同;4.6)检查消息鉴别码字段的长度与标准中的规定是否一致。
上述单播数据帧的分析检测过程如下5.1)检查会话密钥索引字段的值是否在标准规定的范围内;5.2)检查数据分组序号字段的值是否在标准规定的范围内;5.3)判断数据分组序号字段的值是否为偶数。
一种实现上述的网络终端的安全接入协议符合性测试的方法的系统,其特殊之处在于该系统包括监测控制台、基准鉴别服务器、基准接入点、集线器和安装有辅测软件的待测终端,所述监测控制台、基准鉴别服务器和基准接入点连接在集线器上,所述待测终端通过无线链路关联到基准接入点中。
上述待测网络终端包括笔记本电脑和网络适配器。
本发明是基于网络终端来设计的,可用于对设备厂商生产的网络终端进行安全接入协议实现的正确性和一致性进行测试。本发明不仅采用了协议的互通性测试,来测试待测网络终端与基准接入点和鉴别服务器的互操作性,还通过完全的安全接入协议数据的捕获、解析与分析,以及在此基础上实现的安全接入协议流程分析和异常情况的模拟测试,保障了通过测试的产品完全符合国标的规定和互操作性。因此本发明具有如下优点1、测试结果更准确。本发明引入了相关协议数据的捕获与完整的分析方法,使测试的结果更准确。
2、测试数据完整。由于测试过程包括了完整的数据捕获分析,可以给出待测设备中协议数据的详细信息。
3、可进行错误定位。由于对协议的执行过程进行了微观的检测,可以精确的定位协议实现方面的错误。
四
图1为本发明的系统拓朴结构图。
五具体实施例方式
WAPI协议或IEEE802.11i协议均可适用本发明的方法,其步骤如下1)激活安全接入协议认证过程;2)捕获该认证过程中产生的安全接入协议数据包;3)分析检测安全接入协议数据包封装格式和协议流程。
下面以安全接入协议为WAPI协议时为具体实施例,其方法的整个具体测试流程如下1)激活WAPI认证过程;2)捕获该认证过程中产生的WAPI协议数据包;若WAPI协议数据捕获不全,则待测网络终端未通过WAPI测试,继续对已捕获数据按步骤3进行处理,并显示结果;WAPI协议数据包包括WAI鉴别激活帧、接入鉴别请求、证书鉴别请求、证书鉴别响应、接入鉴别响应、单播密钥协商请求、单播密钥协商响应、单播密钥协商确认、组播密钥通告、组播密钥通告响应;WPI单播数据帧。
3)分析检测WAPI协议数据包封装格式和协议流程。其中只需对接入鉴别请求、密钥协商响应、组播密钥通告响应和单播数据帧进行分析检测。
接入鉴别请求的分析检测过程如下1.1)检查版本号是否符合标准中的规定;1.2)检查数据长度字段值是否和数据字段的长度一致;1.3)比较鉴别标识字段的值和接入点发送的鉴别分组中的鉴别标识字段的值是否相同;1.4)比较终端证书字段内容与本地保存的终端证书内容是否相同;1.5)检查ASUE询问、ASUE密钥数据、终端身份、ECDH参数、和ASUE的签名字段的封装格式与长度与标准中的规定是否相符。
单播密钥协商响应的分析检测过程如下2.1)检查版本号是否符合标准中的规定;2.2)检查数据长度字段值是否和数据字段的长度一致;2.3)验证BKID、USKID、ADDID、ASUE询问和WIE字段的长度是否与标准中规定的一致;2.4)检查AE询问字段的值和接入点发送的单播密钥协商请求中的AE询问字段的值是否相同;2.5)检查消息鉴别码字段的长度与标准中的规定是否一致。
组播密钥通告响应的分析检测过程如下3.1)检查版本号是否符合标准中的规定;3.2)检查数据长度字段值是否和数据字段的长度一致;3.3)比较MSKID字段值与接入点发送的组播密钥通告分组中的MSKID字段值是否相同;3.4)比较USKID字段值与接入点发送的组播密钥通告分组中的USKID字段值是否相同;3.5)比较密钥通告标识字段值与接入点发送的组播密钥通告分组中的密钥通告标识字段值是否相同;3.6)检查消息鉴别码字段的长度与标准中的规定是否一致。
单播数据帧的分析检测过程如下4.1)检查会话密钥索引字段的值是否在标准规定的范围内;4.2)检查数据分组序号字段的值是否在标准规定的范围内;4.3)判断数据分组序号字段的值是否为偶数。
以上分析检测过程中,若有一项检测不通过,则该待测网络终端的测试结果为不通过,即必须通过上述所有检测项目,待测网络终端才能通过协议符合性检测。
本发明还包括步骤4)分别在终端和接入点配置WAPI启用的组合情况,分析接入点接入控制功能实现的正确性。其中终端和接入点配置WAPI启用的组合情况包括5.1)待测终端启用WAI预共享密钥鉴别和密钥管理方式的WAPI安全机制,基准接入点采用证书鉴别和密钥管理方式的WAPI安全机制,被测终端应不能与基准AP通信;5.2)待测终端启用WAI证书鉴别和密钥管理方式的WAPI安全机制,基准接入点采用预共享密钥鉴别和密钥管理方式的WAPI安全机制,终端应不能与基准接入点通信。
在上述情况下检查待测终端和基准的接入点WAPI各种配置情况下,待测终端能否执行正确的接入控制功能。
步骤4)可在步骤1)前执行,也可在步骤3)后执行,其所起到的效果完全相同。
参见图1,本发明的系统包括监测控制台1、基准鉴别服务器4、基准接入点3、集线器2和安装有辅测软件的待测终端5,所述监测控制台1、基准鉴别服务器4和基准接入点3连接在集线器2上,所述待测终端5通过无线链路关联到基准接入点3中,待测终端5包括笔记本电脑和网络适配器。
系统工作时,基准鉴别服务器4颁发接入点和终端证书并安装到待测终端5和基准接入点3以及监测控制台1中。启用基准接入点3和待测终端5的WAPI后,待测终端5关联到基准接入点3;监测控制台1捕获WAPI身份认证过程中的WAPI协议数据包,并给出分析结果。
名词解释1、ECDH椭圆曲线DH交换,一种完成密钥交换的算法。
2、ASUE鉴别请求者实体,在接入服务之前请求进行鉴别操作的实体。
3、BKID基密钥标识,基密钥索引值。
4、USKID单播密钥标识,单播密钥索引值。
5、AE鉴别器实体,为鉴别请求者在接入服务前提供鉴别操作的实体。
6、ADDID地址索引,MAC地址信息。
7、WIEWAPI信息元素,包含WAPI的参数信息。
8、MSKID组播密钥标识,组播密钥索引值。
权利要求
1.一种网络终端的安全接入协议符合性测试的方法,其特征在于该方法包括以下步骤1)激活安全接入协议认证过程;2)捕获该认证过程中产生的安全接入协议数据包;3)分析检测安全接入协议数据包封装格式和协议流程。
2.根据权利要求1所述的网络终端的安全接入协议符合性测试的方法,其特征在于所述安全接入协议为WAPI协议或IEEE802.11i协议。
3.根据权利要求2所述的网络终端的安全接入协议符合性测试的方法,其特征在于当安全接入协议为WAPI协议时,该方法还包括步骤4)分别在终端和接入点配置WAPI启用的组合情况,分析接入点接入控制功能实现的正确性。
4.根据权利要求3所述的网络终端的安全接入协议符合性测试的方法,其特征在于;所述步骤4)中的终端和接入点配置WAPI启用的组合情况包括1.1)待测终端启用WAI预共享密钥鉴别和密钥管理方式的WAPI安全机制,基准接入点采用证书鉴别和密钥管理方式的WAPI安全机制,被测终端应不能与基准接入点通信;1.2)待测终端启用WAI证书鉴别和密钥管理方式的WAPI安全机制,基准接入点采用预共享密钥鉴别和密钥管理方式的WAPI安全机制,终端应不能与基准接入点通信。
5.根据权利要求3所述的网络终端的安全接入协议符合性测试的方法,其特征在于所述WAPI协议数据包包括WAI鉴别激活帧、接入鉴别请求、证书鉴别请求、证书鉴别响应、接入鉴别响应、单播密钥协商请求、单播密钥协商响应、单播密钥协商确认、组播密钥通告、组播密钥通告响应;WPI单播数据帧。
6.根据权利要求5所述的网络终端的安全接入协议符合性测试的方法,其特征在于所述步骤2)中若WAPI协议数据捕获不全,则待测网络终端未通过WAPI测试,继续对已捕获数据按步骤3进行处理,并显示结果。
7.根据权利要求5所述的网络终端的安全接入协议符合性测试的方法,其特征在于所述接入鉴别请求的分析检测过程如下2.1)检查版本号是否符合标准中的规定;2.2)检查数据长度字段值是否和数据字段的长度一致;2.3)比较鉴别标识字段的值和接入点发送的鉴别分组中的鉴别标识字段的值是否相同;2.4)比较终端证书字段内容与本地保存的终端证书内容是否相同;2.5)检查ASUE询问、ASUE密钥数据、终端身份、ECDH参数、和ASUE的签名字段的封装格式与长度与标准中的规定是否相符。
8.根据权利要求5所述的网络终端的安全接入协议符合性测试的方法,其特征在于所述密钥协商响应的分析检测过程如下3.1)检查版本号是否符合标准中的规定;3.2)检查数据长度字段值是否和数据字段的长度一致;3.3)验证BKID、USKID、ADDID、ASUE询问和WIE字段的长度是否与标准中规定的一致;3.4)检查AE询问字段的值和接入点发送的单播密钥协商请求中的AE询问字段的值是否相同;3.5)检查消息鉴别码字段的长度与标准中的规定是否一致。
9.根据权利要求5所述的网络终端的安全接入协议符合性测试的方法,其特征在于所述组播密钥通告响应的分析检测过程如下4.1)检查版本号是否符合标准中的规定;4.2)检查数据长度字段值是否和数据字段的长度一致;4.3)比较MSKID字段值与接入点发送的组播密钥通告分组中的MSKID字段值是否相同;4.4)比较USKID字段值与接入点发送的组播密钥通告分组中的USKID字段值是否相同;4.5)比较密钥通告标识字段值与接入点发送的组播密钥通告分组中的密钥通告标识字段值是否相同;4.6)检查消息鉴别码字段的长度与标准中的规定是否一致。
10.根据权利要求5所述的网络终端的安全接入协议符合性测试的方法,其特征在于所述单播数据帧的分析检测过程如下5.1)检查会话密钥索引字段的值是否在标准规定的范围内;5.2)检查数据分组序号字段的值是否在标准规定的范围内;5.3)判断数据分组序号字段的值是否为偶数。
11.一种实现权利要求1所述的网络终端的安全接入协议符合性测试的方法的系统,其特征在于该系统包括监测控制台、基准鉴别服务器、基准接入点、集线器和安装有辅测软件的待测终端,所述监测控制台、基准鉴别服务器和基准接入点连接在集线器上,所述待测终端通过无线链路关联到基准接入点中。
12.根据权利要求11所述的网络终端的安全接入协议符合性测试的系统,其特征在于所述待测终端包括笔记本电脑和网络适配器。
全文摘要
本发明涉及一种网络终端的安全接入协议符合性测试的方法及其系统。该方法包括以下步骤1)激活安全接入认证过程;2)捕获该认证过程中产生的安全接入协议数据包;3)分析检测安全接入协议数据包封装格式和协议流程。本发明为解决背景技术中存在的技术问题,而提供一种测试结果准确、测试数据完整并且可进行错误定位的网络终端的安全接入协议符合性测试的方法及其系统。
文档编号H04L12/26GK1812418SQ200610041848
公开日2006年8月2日 申请日期2006年2月28日 优先权日2006年2月28日
发明者张变玲, 曹军, 涂学峰 申请人:西安西电捷通无线网络通信有限公司