移动终端WAPI协议测试介绍

开篇：润墨网以专业的文秘视角，为您筛选了一篇移动终端WAPI协议测试介绍范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

【摘要】随着无线宽带和移动通信技术的不断发展,WLAN无线宽带网络应用日益成熟和普及,集成WAPI功能的终端也越来越多的投入市场。文章针对wapi协议测试,首先研究WAPI协议流程,然后对WAPI协议测试系统进行介绍。

【关键词】WLAN WAPI 移动终端 协议测试

1 引言

随着无线宽带和移动通信技术的不断发展,各种网络及应用的不断推出,以WLAN应用为代表的无线宽带网络应用日益成熟和普及,在现代通信网络中扮演着不可或缺的角色。从运营商的角度来讲,3G数据量上涨与用户规模增大,使得单位小区的数据吞吐量日益增加,大幅度的网速衰减将使得3G用户的网络使用体验受到影响;而WLAN所具有的技术特性正好能够满足用户室内高数据传输的需求,由此增加用户黏性,不仅降低了运营商的网络部署成本,对于目前势头正旺的3G网络也起到了优势补充的作用。作为3G网络的补充接入手段,WLAN已经受到了运营商的推崇。

安全问题一直是阻碍WLAN进入信息化应用领域的最大障碍。国际标准为此采用了WEP、WPA、802.1x、802.11i、VPN等方式来保证WLAN的安全,但都没有从根本上解决WLAN的安全问题。我国在2003年5月份提出了无线局域网国家标准GB15629.11,引入一种全新的安全机制WAPI,采用非对称(椭圆曲线密码)和对称密码体制(分组密码)相结合的方法实现安全保护,实现了设备的身份鉴别、链路验证、访问控制和用户信息在无线传输状态下的加密保护,从而很好的解决了WLAN的安全问题。

2 WAPI协议流程

目前WAPI的网络结构有两种:BSS和IBSS。BSS为基础服务结构,即通常所说的路由接入点(以下简称AP)提供接入服务的基础结构;IBSS为独立基本服务结构,即通常所说的自组网模式。由于目前提供的WAPI接入服务大都是BSS模式的,所以文章中只介绍BSS模式下WAPI的协议流程。

WAPI协议由WAI(无线局域网鉴别基础结构)和WPI(无线局域网保密基础结构)两部分组成,其中:WAI包括安全策略的发现与协商、鉴别及密钥管理,WPI包括数据加密及完整性校验。

WAI鉴别及密钥管理的协议流程如下:

(1)工作站(以下简称STA)通过AP的信标帧(Beacon)或探寻响应帧(probe response)识别AP支持的WAI鉴别及密钥管理套件。在WAPI信息元素中,包含鉴别和密钥管理(AKM)套件、单播密码套件、组播密码套件、WAPI能力信息(目前只标识是否支持预鉴别)等。

(2)在识别出AP支持的WAI鉴别及密钥管理套件之后,STA和AP之间进行链路验证。链路验证分为两种:开始模式和预共享密钥模式。由于预共享密钥模式只用于WEP加密的情况,所以对于WAPI来讲,链路验证都是开放模式的。

对于开放模式的链路验证,首先STA发出子类型为Authentication(身份验证)的管理帧。802.11在规范中并未正式将此帧视为验证请求(Authentication Request),不过它实际上的作用正是如此。在802.11中,STA是以MAC地址作为身份证明的。AP以这些帧的源地址作为发送者的身份证明,此外,并没有以该帧的其它字段作为身份证明之用。

AP接着会处理身份验证请求,然后返回结果。与之前终端发出的帧一样,响应帧也是子类型为Authentication的管理帧。

(3)链路验证完成之后,STA向AP发送Association Request(关联请求)帧,在关联请求帧中包含WAPI信息元素确定选择的密码套件。AP随后会对关联请求进行处理。一旦关联请求获准,AP就会以代表成功的状态代码0及关联标识符(Association ID,简称AID)来响应。AID本身是数值形式的标识符,在逻辑上则是用来识别缓存帧所要传递到的移动式工作站。关联请求如果失败,就只会返回状态码并且中止整个过程。

(4)执行WAI鉴权过程。如果采用基于证书的认证方式,STA和AP先进行证书鉴别过程,协商出BK,然后进行单播密钥协商过程和组播密钥通告过程。具体的流程如图1所示。

第1步:AP向STA发送鉴别激活分组进行双向证书鉴别。

第2步:STA收到AP发送的鉴别激活分组之后, 检查鉴别激活分组中标识字段的比特0(BK更新标识)的值,当值为1时执行a)操作,当值为0时执行b)操作:

a)STA检查鉴别激活分组中鉴别标识字段与上一次证书鉴别过程中保存的鉴别标识是否一致,若不一致,则丢弃该鉴别激活分组;否则执行b)操作;

b)STA根据鉴别激活分组中的AP信任的ASU身份选择由该ASU颁发的证书或本地策略选择证书,产生用于ECDH交换的临时私钥、临时公钥和其ASUE挑战,生成接入鉴别请求分组,发送给AP。

第3步:AP收到STA发来的接入鉴别请求分组后,进行如下处理:

a)如果AP没有发送鉴别激活分组,则检查鉴别标识字段值和上一次证书鉴别过程中保存的鉴别标识是否相同,若相同,执行b)操作;否则丢弃该分组。如果STA发送了鉴别激活分组,则比较鉴别标识字段值及标识字段的比特0、比特1与AP发送的鉴别激活分组中相应字段的值是否相同,若不同,则丢弃该分组;否则,执行b)操作。

b)检查STA的身份字段是否与自己的身份一致,以及ECDH参数字段是否与自己在鉴别激活分组中的ECDH参数是否一致,若不一致,则丢弃该分组;否则验证STA签名,若验证不通过,则丢弃该分组;若标识字段的比特2为1或AP的本地策略要求使用远程AS服务器鉴别STA的证书,则AP生成证书鉴别请求分组,发往远程AS服务器,执行第4步;否则在AP本地鉴别STA的证书,若鉴别结果为成功,则生成基密钥BK,然后构造接入鉴别响应帧发往STA;若鉴别结果为不成功,则构造接入鉴别响应帧发往STA,然后解除与STA的链路验证。

第4步:远程AS服务器收到证书鉴别请求分组后,对AP和STA证书进行验证,根据验证结果,构造证书鉴别响应分组发往AP。

第5步:AP收到证书鉴别响应分组后,检查证书鉴别结果。若鉴别结果为成功,则生成基密钥BK,然后构造接入鉴别响应帧发往STA;若鉴别结果为不成功,则构造接入鉴别响应帧发往STA,然后解除与STA的链路验证。

第6步～第8步:单播密钥协商过程。使用基密钥完成单播会话密钥的协商,建立单播会话密钥安全关联。

第9步～第10步:组播密钥通告过程。使用单播密钥协商过程协商出来的密钥进行组播密钥通告,并建立组播会话密钥安全关联。

如果采用基于预共享密钥的认证方式,在通过预共享密钥导出基密钥后,STA和AP进行单播密钥协商过程、组播密钥通告过程。具体的流程如图1的第6步到第10步所示。

(5)把协商出来的密钥和密码套件通知WPI模块,进行数据传输保护。

WPI保密基础结构对MAC子层的MPDU进行加、解密处理,但对于WAI协议分组不进行加解密处理。WPI-SMS4密码套件中采用的分组密码算法为SMS4。

3 WAPI协议测试系统

目前针对终端的协议测试系统,如图2所示,其中:

AP1、AP2为支持WAPI协议的WLAN接入点,AS为接入鉴别服务器,它们都是符合WAPI协议的标准设备,可以用来验证STA的协议流程是否正确。两台AP主要用于做切换测试,并且使用远程AS服务器进行鉴权。

控制台用于对AP及AS进行参数设置,证书的生成、安装,以及检查是否能Ping通终端等。

空中抓包无线网卡安装到一台便携式笔记本上,用于抓取EUT及AP之间传输的数据报文,并对报文进行分析,检查协议流程是否完整、关键字段的值是否正确等。

EUT为被测终端,通过操作终端来执行各项测试。

在测试过程中,终端与AP之间按照标准要求执行各个测试项目,空口抓包无线网卡抓取每个项目的数据包,并对数据包进行分析,检查报文的流程及内容是否符合要求。

目前检测的项目主要有:

预共享密钥功能:测试终端是否可以用正确的预共享密钥连接到AP。

证书安装功能:测试是否可以在终端上安装证书。

证书鉴别功能:分别测试终端用正确证书及吊销证书连接AP的协议流程及关键字段值是否正确。

证书选择功能:分别测试终端在只安装了错误证书及错误证书和正确证书都已安装的情况下,协议流程和关键字段的值是否正确。

加密功能:测试终端WPI报文传输功能是否正确。

密钥更新功能:分别测试单播密钥更新和组播密钥更新的协议流程和关键字段的值是否正确。

否定非法证书功能:测试安装合法证书的终端是否能连接到安装非法证书的AP,以及安装非法证书的终端是否能连接到安装合法证书的AP。

同一AS域内的不同AP间切换功能:测试终端在开放模式和证书模式下是否能实现AP间的切换。

4 结束语

WAPI作为国内自主创新并拥有知识产权的安全接入技术标准,相比另一个由美国IEEE主导完成的公认存在严重安全缺陷的802.11i标准,具有明显的安全和技术优势,迄今未被发现有安全技术漏洞,从而为运营商大规模建设WLAN网络提供了安全保障,也促使越来越多的终端支持WAPI功能,相信WAPI会在终端数据业务中发挥越来越重要的作用。

参考文献

[1]GB 15629.11-2003. 信息技术系统间远程通信和信息交换 局域网和城域网特定要求第11部分:无线局域网媒体访问控制和物理层规范[S].

[2]GB 15629.1102-2003. 信息技术系统间远程通信和信息交换局域网和城域网特定要求第11部分:无线局域网媒体访问控制和物理层规范:2.4GHz频段较高速物理层扩展规范[S]. 2005.

[3]YDC 079-2009. 移动用户终端无线局域网技术指标和测试方法[S].

[4]Mattbew S.Gast.802.11无线网络权威指南[M]. 南京:东南大学出版社,2007:188-197.

【作者简介】

赵 强:工业和信息化部电信研究院泰尔实验室工程师,北京邮电大学通信与信息系统专业硕士,主要从事无线局域网相关技术与测试方法的研究。

郑忠斌:工业和信息化部电信研究院泰尔实验室无线通信部副主任,北京邮电大学通信与信息系统专业硕士,主要从事移动通信、无线接入领域相关技术的研究工作。

贺 鹏:工业和信息化部电信研究院泰尔实验室无线通信部主任,清华大学通信与信息系统专业硕士,主要从事移动通信、无线接入领域相关技术的研究工作。