设为首页 加入收藏 联系我们
关于联盟 联盟工作 联盟成员 WAPI产业链 WAPI专题 行业资讯 咨询测试 WAPI互操作认定 招贤纳士
 
 
 联盟活动
热点新闻
市场推广
国际拓展
成员交流
技术交流
 
技术交流
手机WAPI功能检测常见问题分析(五)-- --密钥更新及否定非法证书功能

 

 

一、密钥更新功能测试中常见问题及解决方法

问题一:密钥更新测试中,基准AP发起密钥更新后,移动用户终端无响应。

问题分析及解决方法: 可能是移动用户终端的状态机设置的问题,导致移动用户终端未能侦测到基准AP发起的密钥更新。移动用户终端应该在成功连接WAPI网络后,状态机开始侦测含有0X88B4字段的数据包,并能够对这样的数据包做出正确的判断和处理。

问题二:在基准AP发起密钥更新后,移动用户终端断开连接,并重新进行连接、WAI鉴别以及密钥协商。

问题分析及解决方法:虽然断开并重新连接,可以得到一组新的会话密钥,但是本文所涉及的密钥更新为会话密钥更新,不涉及基密钥更新。断开并重新连接的做法,会导致基密钥和会话密钥都变更。厂商需要严格按照密钥更新的流程执行。

问题三:在单播密钥更新过程中,USKID不正确。

问题分析及解决方法:个别厂商将USKID的比特0位赋予了一个固定的值,导致该比特不能按照密钥更新的要求进行翻转。正确的做法是,在BKSA(基密钥安全关联)建立后,第一次单播密钥协商时初值为0。之后进行单播密钥更新时,该比特位的值应在0和1之间翻转。

二、WAPI密钥更新流程解析

WAPI密钥更新流程是基于单播密钥协商和组播密钥通告五个数据分组的消息交互完成的。本节将依托单播密钥协商和组播密钥通告的五个数据分组消息,重点介绍一下密钥更新流程中容易出错之处。

1.单播密钥更新

第一次进行单播密钥更新过程所包含的三组消息交互。

在终端与AP初次进行连接并建立了基密钥安全关联之后,在第一次进行单播密钥协商时,USKID的比特0位应该设置为0。移动用户终端应能够侦测到建立连接后数据包中的密钥更新请求。在第一次密钥更新时,AP与移动用户终端均应将USKID的比特0位设置为1。当进行第二次密钥更新时,应将该比特位翻转为0,当进行第三次密钥更新时,应将该比特位再次翻转为1,以此类推,之后每次密钥更新该比特位将在0和1之间翻转。

2.组播密钥更新

第一次进行组播密钥更新过程所包含的两组消息交互。

组播密钥更新交互过程中,MSKID/STAKeyID字段的翻转机制与单播密钥更新中的USKID字段翻转机制相同。在第一次进行组播密钥协商时,MSKID/STAKeyID的比特0位应该设置为0,并在其后的每一次组播密钥更新时在0和1之间翻转。
在组播密钥协商过程中,USKID字段表示的意义与在单播密钥协商过程中不同。组播密钥协商过程中,USKID的比特0 标识计算消息鉴别码字段值所用的消息鉴别密钥MAK。

另外,在密钥协商以及密钥更新的过程中,包含0X88B4协议帧的数据包应该是不加密的。如果终端接收到一个加密的数据包,解密之后发现是含有0X88B4协议帧的数据包,应该将该数据包丢弃,不应继续处理。并且移动用户终端也应该以明文的形式发送含有0X88B4协议帧的数据包。

三、密钥更新功能要求及测试方法

1.功能要求:

移动用户终端应能响应由AP发起的密钥更新过程,与AP协商更新会话密钥(《移动用户终端无线局域网技术指标和测试方法》,5.2.2.7 )。

2.测试步骤:

步骤一:配置AP1和EUT均安装AS1颁发的证书,并配置为证书模式。

步骤二:EUT成功连接AP1。

步骤三:AP1发起密钥更新。

步骤四:能在单播密钥协商的整个过程中观测到,数据的类型字段值为1,USKID字段值为1。

步骤五:能够完成组播通告过程。

四、密钥更新功能要求与WAPI技术标准的章节对应关系

手机测试标准中的密钥更新功能要求与WAPI技术标准中以下章节的内容对应。详细内容可以参阅 WAPI技术标准。

WAPI技术标准第8.1.4.8章: 密钥更新

WAPI技术标准第8.1.4.3章: 单播密钥协商过程

WAPI技术标准第8.1.4.4章: 组播密钥/站间密钥通告过程

WAPI技术标准第8.1.4.10章: WPI-SMS4密钥导出体系

五、否定非法证书功能测试中常见问题及解决方法

问题:当移动用户终端未能成功接入网络时,未提示用户接入失败。

问题分析及解决方法:该问题涉及产品工程实现层面的问题。在收到基准AP发出的接入鉴别响应分组后,移动用户终端获得不允许接入网络的信息,移动用户终端应能给予用户相应的提示。

六、否定非法证书功能流程解析

否定非法证书流程是基于证书鉴别五个数据分组的消息交互完成的。本节将依托证书鉴别的消息交互介绍一下否定非法证书的功能。
 

移动用户终端在接收到基准AP发来的鉴别激活分组后,应能使用证书构建接入鉴别请求分组。如果使用非法的证书向合法的网络发起WAI流程后,移动用户终端应该能从基准AP发出的接入鉴别响应中获得不允许接入网络的回应,并无法完成鉴别接入过程。

如果使用合法的证书向非法的网络发起WAI流程之后,移动用户终端也应该能从基准AP发出的鉴别激活和接入鉴别响应中的相关信息判断网络的合法性。即便非法网络允许移动用户终端接入,移动用户终端也不应接入。从而实现了移动用户终端与网络之间的双向鉴别功能。

只有使用合法的证书向合法的网络发起WAI流程,才能完成鉴别并开始密钥协商,最终成功接入合法网络。

七、否定非法证书功能要求及测试方法

功能要求:

安装非法证书的移动用户终端,应不能与安装合法证书的AP通过WAI鉴别建立连接;安装合法证书的移动用户终端,应不能与安装有非法证书的AP设备通过WAI鉴别建立连接(《移动用户终端无线局域网技术指标和测试方法》,5.2.2.8 )。

测试步骤:

步骤一:AP1安装AS1颁发的证书,并信任AS1。EUT安装AS2颁发的证书,向AP1发起WAI,无法建立连接。

步骤二:AP1安装AS2颁发的证书,并信任AS2。 EUT安装AS1颁发的证书,向AP1发起WAI,无法建立连接。

步骤三:AP1安装AS1颁发的证书,并信任AS1。 EUT安装AS1颁发的证书,向AP1发起WAI,可以建立连接,并能从检测台ping通。

八、否定非法证书功能要求与WAPI技术标准的章节对应关系

手机测试标准中的否定非法证书功能要求与WAPI技术标准中以下章节的内容对应。详细内容可以参阅 WAPI技术标准。

WAPI技术标准第8.1.4.2章:证书鉴别过程
 

  


 
 


电话:010-82351181/82357730   传真:010-82351181 Ext.1901  邮箱:wapia@wapia.org; wapi@wapia.org

地址:北京市海淀区知春路27号量子芯座1608室 邮编 :100191