手机WAPI功能检测常见问题分析(系列连载二)：证书鉴别功能

原文地址：http://www.wapia.org/topic/standards/detail_5074.shtml

证书鉴别功能测试中常见问题及解决方法

问题：待测手机在接收到基准AP发出的鉴别激活分组后，未能回复接入鉴别请求分组。

问题分析及解决方法：待测手机接收到基准AP发出的鉴别激活分组数据包之后，应能正确解析该数据包，如果WAPI客户端开发实现不够完善，未能正确解析鉴别激活分组数据包，将无法对该分组数据做出正确的响应。在解析鉴别激活分组数据包过程中，部分待测手机WAPI客户端不能对“本地ASU的身份”字段进行有效判断或者不支持漫游场景，例如当基准AP 配置的“本地ASU的身份”字段值与手机终端数字证书的颁发者身份不匹配时，手机WAPI客户端无法识别，直接丢弃鉴别激活分组等。“本地ASU的身份”字段代表了基准AP信任的鉴别服务器的身份，如果与手机终端数字证书颁发者身份相同则说明基准AP和手机在同一个鉴别服务器下，如果不相同则说明基准AP和手机处在不同鉴别服务器下或者手机处于漫游状态。WAPI技术标准中，证书鉴别流程和重要字段解析参见下文第2部分。

WAPI证书鉴别流程和重要字段解析

如图1 所示，WAPI证书鉴别流程共包含有五个数据分组的消息交互。本节将详细讲解每一个数据分组的结构及其重要字段，以便帮助手机厂商更加清晰了解WAPI标准中的协议流程以及容易被忽视的重要字段。

（图1）

鉴别激活分组数据字段格式（见图2）

（图2）

重要字段：

标识FLAG：比特0为基密钥BK更新标识。当ASUE关联或重新关联至AE时进行证书鉴别过程，比特0的值为0；当证书鉴别功能为BK更新过程时，比特0的值为1。
鉴别标识：如果不是BK更新过程（比特0的值为0），则鉴别标识字段的值由AE 随机生成；如果是BK更新过程（比特0的值为1），则鉴别标识字段的值采用上一次证书鉴别过程所协商的鉴别标识。

本地ASU的身份：AE信任的鉴别服务器ASU 。

接入鉴别请求分组数据字段格式（见图3）

（见图3）

重要字段：

鉴别标识：字段值与鉴别激活分组中的鉴别标识字段值相同。

ASUE询问：ASUE生成的32 个八位位组的随机数。

STAASUE的证书：ASUE的数字证书。

ASUE的签名：对本分组中除本字段之外所有数据字段的签名。

证书鉴别请求分组数据字段格式（见图4）

（见图4）

重要字段：

ADDID：AE和ASUE 的MAC地址串连。

AE询问和ASUE询问：分别为ASUE 在接入鉴别请求分组中生成的随机数和AE生成的随机数。

STAASUE和STAAE的证书：分别为ASUE和AE的数字证书，供ASU进行鉴别。

证书鉴别响应分组数据字段格式（见图5）

（见图5）

重要字段：

证书的验证结果：证书结果定义如下：

0 表示证书有效；

1 表示证书的颁发者不明确；

2 表示证书基于不可信任的根证书；

3 表示证书未到生效期或已过期；

4 表示签名错误；

5 表示证书已吊销；

6 表示证书未按规定用途使用；

7 表示证书吊销状态未知；

8 表示证书错误原因未知；

其他值保留。

ASUE信任的服务器签名：对本分组中证书的验证结果字段的签名。

AE信任的服务器签名：对本分组中除本字段和ADDID字段之外所有数据字段的签名。

注：若ASUE信任的服务器和AE信任的服务器为同一个，则证书鉴别响应分组中ASUE信任的服务器签名字段和AE信任的服务器签名字段只存在一个；若ASUE证书的验证结果为证书的颁发者不明确，则证书鉴别响应分组不包含ASUE信任的服务器签名字段。

接入鉴别响应分组数据字段格式（见图6）

（见图6）

重要字段：

AE询问、ASUE询问、AE密钥数据、ASUE密钥数据：为BK导出的必要输入。

接入结果：具体意义如下：

0 表示接入成功，对应证书验证结果值为0；

1 表示无法验证证书，对应证书验证结果值为1；

2 表示证书错误，对应证书验证结果除0 和1 之外的其他值；

3 表示本地策略禁止；

其他值保留。

复合的证书验证结果：包含鉴别服务器对STAASUE证书和STAAE证书验证的结果。

证书鉴别功能要求及测试方法

功能要求：

移动用户终端应能正确实现完整的WAI鉴别流程，并在成功完成WAI鉴别后与AP建立连接。（参见手机测试标准第5.2.2.4章）

测试步骤：

步骤一：AP1上安装AS1颁发的证书，AS1为鉴别服务器。

步骤二：EUT上安装AS1颁发的证书。

步骤三：EUT发起WAI流程，并能成功连接。

步骤四：EUT安装一个已经被AS1吊销的证书。

步骤五：EUT发起WAI流程，不能连接。

证书鉴别功能要求与WAPI技术标准的章节对应关系

手机测试标准中的证书鉴别功能要求与WAPI技术标准中以下章节的内容对应。详细内容可以参阅 WAPI技术标准。

WAPI技术标准第7.3.2.8章: WAPI 信息元素

WAPI技术标准第8.1章: WAI鉴别及密钥管理中支持WAI鉴别及密钥管理的STA四种实现方式中的a）在BSS中基于证书的方式和c）在IBSS中基于证书的方式内容对应

WAPI技术标准第8.1.4.1章: WAI协议分组格式

WAPI技术标准第8.1.4.2章: 证书鉴别过程

手机WAPI功能检测常见问题分析(系列连载二)：证书鉴别功能相关推荐

手机WAPI功能检测常见问题分析(系列连载三)：预共享密钥功能
原文地址:http://www.wapia.org/topic/standards/detail_5073.shtml 1 预共享密钥功能测试中常见问题及解决方法 A. 问题一:预共享密钥长度不符合要 ...
idea 线程内存_Java线程池系列之-Java线程池底层源码分析系列（二）
课程简介: 课程目标:通过本课程学习,深入理解Java线程池,提升自身技术能力与价值. 适用人群:具有Java多线程基础的人群,希望深入理解线程池底层原理的人群. 课程概述:多线程的异步执行方式,虽然 ...
android 9 手机硬件性能,一加9系列系统评测：功能丰富+稳定流畅，或是目前最佳安卓系统...
原标题:一加9系列系统评测:功能丰富+稳定流畅,或是目前最佳安卓系统哪款手机是目前最火的?相信一加9系列应该是最有可能的.不得不说这款手机给我们带来的惊喜实在太多了,除了创新的高颜值外观.顶级的屏幕 ...
AI人脸检测/口罩检测/安全帽检测智能分析网关告警推送功能开发
智能分析网关是可支持AI视频智能分析功能,包括人体检测.人脸检测.区域入侵检测.安全帽检测.口罩检测等,可广泛应用于客流统计.安防监控.周界防范.企业安全生产.公共防疫等场景.目前我们仍在进一步拓展更 ...
nginx 获取body参数_日志分析系列(外传二):Nginx日志统一化
本系列故事纯属虚构,如有雷同实属巧合为了完成对Nginx服务器的日志分析,小B对Q公司的Nginx日志做了统一化要求.下面是小B在统一化过程中遇到的一些知识点: Nginx日志与字段解析 Q公司的N ...
情感分析系列（二）——使用BiLSTM进行情感分析
目录一.数据预处理二.搭建BiLSTM 三.训练&测试一.数据预处理先前我们已经进行了数据预处理:情感分析系列(一)--IMDb数据集及其预处理,这里不再过多介绍,本文将聚焦于模型的搭 ...
SystemUi状态栏客制化功能和常见问题分析
一.多图标成点当系统图标区域或者通知图标区域图标过多,而区域不够时,就会将多余的图标隐藏,并显示一个点,如下图所示. 介绍此功能之前先看一下图标的初始化过程,从中可以看到有个config_statu ...
spring源码分析系列（二）AOP应用
这里讲AOP应用先来说说一个比较虚无缥缈的问题:什么是AOP? 1.OOP 在说AOP之前,我们需要先看看什么是OOP:Object Oriented Programming,翻译过来就是面向对象编 ...
jQuery源码分析系列（二）Sizzle选择器引擎-上
前言我们继续从init()方法中的find()方法往下看, jQuery.find = Sizzle; ...find: function (selector) {/** ... */ret = t ...
jQuery-1.9.1源码分析系列（二）jQuery选择器续2——筛选
前面分析了选择器的结构和几个解析函数,接下来分析jQuery对象的伪类选择器.这里所谓的jQuery对象的伪类选择器就是从已有的jQuery对象(元素集合)中筛选出指定的集合出来. 4. jQu ...

手机WAPI功能检测常见问题分析(系列连载二)：证书鉴别功能

手机WAPI功能检测常见问题分析(系列连载二)：证书鉴别功能相关推荐

最新文章

热门文章