專利名稱:一種wapi設備協(xié)議中實現(xiàn)健壯性的負面測試的檢測系統(tǒng)及其檢測方法
技術領域:
本發(fā)明屬于無線通信安全協(xié)議檢測領域,涉及一種對無線局域網(wǎng)設備安全協(xié)議 WAPI的協(xié)議中實現(xiàn)健壯性的負面測試的檢測系統(tǒng)及其檢測方法。
背景技術:
無線局域網(wǎng)認證(或鑒別)與保密基礎結構(WLAN Authentication and Privacy Infrastructure, WAPI)協(xié)議由WAI (無線局域網(wǎng)鑒別基礎結構)和WPI (無線局域網(wǎng)保密基 礎結構)兩部分組成。隨著WAPI技術的推廣,WAPI生產(chǎn)廠商開發(fā)的WAPI設備也越來越多 樣,廠商開發(fā)的WAPI設備,如用戶終端(Station,STA)、訪問接入點(Access Point,AP)、認 證服務器(或鑒別)服務器(Authentication SerVer,AS),在開發(fā)過程中,有些廠商的設備 開發(fā)不夠完善、實現(xiàn)協(xié)議不夠健壯、并不是嚴格的按照協(xié)議標準對收發(fā)報文的每個字段按 照WAPI協(xié)議標準做了嚴格的比較和判斷、對規(guī)定字段填寫錯誤的異常報文缺乏正確的處 理能力,從而引發(fā)其設備難以完成正常的WAPI協(xié)議鑒別流程,致使設備在無線電監(jiān)測中心 和中國商用密碼研究中心進行WAPI協(xié)議CCCi檢測時遇到問題。目前沒有測試方法來判斷 WAPI協(xié)議設備協(xié)議實現(xiàn)的健壯性,從而無法使設備生產(chǎn)廠商或運營商判斷設備生產(chǎn)廠商開 發(fā)的WAPI設備是否是按照WAPI協(xié)議標準的規(guī)定開發(fā)的。
發(fā)明內容
為了解決背景技術中存在的上述技術問題,本發(fā)明提供了一種WAPI設備協(xié)議中 實現(xiàn)健壯性的負面測試的檢測系統(tǒng)及其檢測方法。本發(fā)明的技術解決方案是本發(fā)明提供了一種WAPI設備協(xié)議中實現(xiàn)健壯性的負 面測試的檢測系統(tǒng),其特殊之處在于所述系統(tǒng)包括檢測控制臺、集線器以及WAPI設備;所 述檢測控制臺通過集線器與WAPI設備相連;所述WAPI設備中包括基準設備以及待測設備, 所述基準設備是符合WAPI協(xié)議標準的規(guī)定的能夠構造并發(fā)送固定字段填寫錯誤的異常報 文的WAPI設備,所述基準設備根據(jù)WAPI負面測試項目向待測設備發(fā)送異常的特定字段填 寫錯誤的WAPI鑒別報文;所述檢測控制臺對檢測過程中收發(fā)報文包括負面測試異常報文 進行捕獲并進行協(xié)議分析和負面測試協(xié)議分析。上述WAPI設備是用戶終端STA,訪問接入點AP以及鑒別服務器AS。若所述待測設備是用戶終端STA時,所述基準設備是訪問接入點AP和鑒別服務器 AS ;若所述待測設備是訪問接入點AP時,所述基準設備是用戶終端STA和鑒別服務器AS ; 若所述待測設備是鑒別服務器AS時,所述基準設備是用戶終端STA和訪問接入點AP?!NWAPI設備協(xié)議中實現(xiàn)健壯性的負面測試的檢測方法,其特殊之處在于所述 方法包括以下步驟1)選取符合WAPI協(xié)議標準規(guī)定的能夠構造并發(fā)送固定字段填寫錯誤的異常報文 的基準設備;
2)基準設備根據(jù)WAPI負面測試項目向待測設備發(fā)送異常的特定字段填寫錯誤的 WAPI鑒別報文;3)通過步驟2)所發(fā)送的異常的特定字段填寫錯誤的WAPI鑒別報文對待測WAPI 設備的健壯性進行負面測試。上述WAPI負面測試項目包括用戶終端STA的負面測試、訪問接入點AP的負面測 試以及鑒別服務器AS的負面測試;所述用戶終端STA的負面測試包括基準AP發(fā)送異常WAI子類型報文對STA進行 負面測試、基準AP發(fā)送異常WAI頭部字段報文對STA進行負面測試、基準AP發(fā)送異常指定 字段報文對STA進行負面測試以及基準AP發(fā)送異常WAI完整性校驗字段報文對STA進行 負面測試;所述訪問接入點AP的負面測試包括基準STA發(fā)送異常WAI子類型報文對AP進行 負面測試、基準STA發(fā)送異常WAI頭部報文對AP進行負面測試、基準STA發(fā)送異常指定字段 報文對AP進行負面測試以及基準STA發(fā)送異常完整性校驗字段報文對AP進行負面測試;所述鑒別服務器AS的負面測試包括基準AP發(fā)送異常證書鑒別請求對AS進行負 面測試。上述步驟2)中基準設備向待測設備發(fā)送異常的特定字段填寫錯誤的WAPI鑒別報 文的方式是2. 1)連續(xù)發(fā)送若干次固定字段填寫錯誤的異常報文,而后等待,查看待測設備對 異常報文的處理能力;2.2)連續(xù)發(fā)送若干次固定字段填寫錯誤的異常報文后,再次發(fā)送正常的WAPI協(xié) 議報文,恢復WAPI鑒別處理過程,查看待測設備對異常報文的處理情況。若所述待測WAPI設備是用戶終端STA,且基準設備向待測設備發(fā)送的報文方式是 2. 1)時,所述步驟3)的具體實現(xiàn)方式是3. 1. 1)在基準訪問接入點AP上根據(jù)所選擇的測試項進行僅發(fā)送錯誤報文的負面 測試項目的配置;待測用戶終端STA與基準訪問接入點AP進行關聯(lián),并進行WAPI協(xié)議鑒 別處理,直至協(xié)議認證進展到與測試項相應的報文時,基準訪問接入點AP根據(jù)測試項目構 造異常報文,并將異常報文發(fā)送給待測用戶終端STA,連續(xù)發(fā)送若干次,發(fā)送間隔為一段時 間;3. 1. 2)檢測控制臺捕獲步驟3. 1. 1)中鑒別過程的所有報文并對待測用戶終端 STA發(fā)送的報文進行協(xié)議一致性和正確性判斷,對基準訪問接入點AP發(fā)送異常報文后待測 用戶終端STA的響應進行判斷;若控制臺能夠捕獲到后續(xù)的鑒別報文,則表示待測用戶終 端STA沒有對基準訪問接入點AP發(fā)送的異常報文進行正確處理,協(xié)議檢測失敗;否則,等待 一段時間后,若待測STA沒有發(fā)送后續(xù)的鑒別報文,則負面測試的相應測試項目在僅發(fā)送 錯誤報文的情況下的協(xié)議檢測成功;若所述待測WAPI設備是用戶終端STA,且基準設備向待測設備發(fā)送的報文方式是 2. 2)時,所述步驟3)的具體實現(xiàn)方式是3. 2. 1)在基準AP上根據(jù)所選擇的測試項進行發(fā)送錯誤報文后恢復發(fā)送正確報文 的負面測試項目的配置;待測用戶終端STA與基準訪問接入點AP進行關聯(lián),并進行WAPI協(xié) 議鑒別處理,直至協(xié)議認證進展到與測試項相應的報文時,基準訪問接入點AP根據(jù)測試項
7目構造異常報文,并將異常報文發(fā)送給待測用戶終端STA,連續(xù)發(fā)送若干次,發(fā)送間隔一段 時間,再次發(fā)送正常的報文,而后進行后續(xù)的正常的WAPI鑒別處理過程;3. 2. 2)檢測控制臺捕獲步驟3. 2. 1)所述鑒別過程的所有報文并對待測用戶終端 STA發(fā)送的報文進行協(xié)議一致性和正確性判斷,對基準訪問接入點AP發(fā)送異常報文后待測 用戶終端STA的響應進行判斷;若控制臺能夠捕獲到后續(xù)的鑒別報文,并進行完整的WAPI 協(xié)議處理,對整個WAPI協(xié)議處理過程進行流程正確性和完整性分析,則負面測試的相應測 試項目在發(fā)送錯誤報文后恢復發(fā)送正常報文的情況下的協(xié)議檢測過程成功;否則,協(xié)議檢 測過程失敗;其中,若所述步驟3. 1. 2)以及步驟3. 2. 2)的兩項測試都成功,則表示對用戶終端 STA的負面測試成功,用戶終端STA的健壯性符合WAPI協(xié)議要求;若有一項測試不成功,則 表示對用戶終端STA的負面測試失敗,用戶終端STA的健壯性不符合WAPI協(xié)議要求。上述測試項目是用戶終端STA的負面測試中的一個或多個測試項目進行測試。若所述待測WAPI設備是訪問接入點AP,且基準設備向待測設備發(fā)送的報文方式 是2. 1)時,所述步驟3)的具體實現(xiàn)方式是3. 3. 1)在基準上根據(jù)所選擇的測試項進行僅發(fā)送錯誤報文的負面測試的配置; 基準用戶終端STA與待測訪問接入點AP進行關聯(lián),并進行WAPI協(xié)議鑒別處理,直至協(xié)議認 證進展到與測試項相應的報文時,基準用戶終端STA根據(jù)測試項目構造異常報文,并將異 常報文發(fā)送給待測訪問接入點AP,連續(xù)發(fā)送若干次,發(fā)送間隔一段時間;3. 3. 2)檢測控制臺捕獲步驟3. 3. 1)所述鑒別過程的所有報文并對待測訪問接入 點AP發(fā)送的報文進行協(xié)議一致性和正確性判斷,對基準用戶終端STA發(fā)送異常報文后待測 訪問接入點AP的響應進行判斷,若控制臺能夠捕獲到后續(xù)的鑒別報文,則表示待測訪問接 入點AP沒有對基準用戶終端STA發(fā)送的異常報文進行正確處理,協(xié)議檢測失?。环駝t,等待 一段時間后,若待測訪問接入點AP沒有發(fā)送后續(xù)的鑒別報文,則負面測試的相應測試項目 在僅發(fā)送錯誤報文的情況下的協(xié)議檢測成功;若所述待測WAPI設備是訪問接入點AP,且基準設備向待測設備發(fā)送的報文方式 是2. 2)時,所述步驟3)的具體實現(xiàn)方式是3. 4. 1)在基準用戶終端STA上根據(jù)所選擇的測試項進行發(fā)送錯誤報文后恢復發(fā) 送正確報文的負面測試的配置;基準用戶終端STA與待測訪問接入點AP進行關聯(lián),并進行 WAPI協(xié)議鑒別處理,直至協(xié)議認證進展到與測試項相應的報文時,基準用戶終端STA根據(jù) 測試項目構造異常報文,并將異常報文發(fā)送給待測訪問接入點AP,連續(xù)發(fā)送若干次,發(fā)送間 隔一段時間,再次發(fā)送正常的報文,而后進行后續(xù)的正常的WAPI鑒別處理過程;3. 4. 2)檢測控制臺捕獲步驟3. 4. 1)所述鑒別過程的所有報文并對待測訪問接入 點AP發(fā)送的報文進行協(xié)議一致性和正確性判斷,對基準用戶終端STA發(fā)送異常報文后待測 訪問接入點AP的響應進行判斷,若控制臺能夠捕獲到后續(xù)的鑒別報文,并進行完整的WAPI 協(xié)議處理,對整個WAPI協(xié)議處理過程進行流程正確性和完整性分析,則負面測試的相應測 試項在發(fā)送錯誤報文后恢復發(fā)送正確報文情況下的協(xié)議檢測過程成功;否則,協(xié)議檢測過 程失??;其中,若步驟3. 3. 2)與步驟3. 4. 2)所述的兩項測試都成功,則表示對訪問接入點 AP的負面測試成功,訪問接入點AP的健壯性符合WAPI協(xié)議要求;若有一項測試不成功,則表示對訪問接入點AP的負面測試失敗,訪問接入點AP的健壯性不符合WAPI協(xié)議要求。上述測試項目是訪問接入點AP的負面測試中的一個或多個測試項目進行測試。若所述待測WAPI設備是鑒別服務器AS,且基準設備向待測設備發(fā)送的報文方式 是2. 1)時,所述步驟3)的具體實現(xiàn)方式是3. 5. 1)在基準上根據(jù)所選擇的測試項進行僅發(fā)送錯誤報文的負面測試的配置; 基準用戶終端STA與基準訪問接入點AP進行關聯(lián),并進行WAPI協(xié)議鑒別處理,直至協(xié)議認 證進展到測試項目要進行證書鑒別請求處理時,基準訪問接入點AP構造異常證書鑒別請 求報文,并將該異常報文發(fā)送給待測鑒別服務器AS ;3. 5. 2)檢測控制臺捕獲步驟3. 5. 1)所述鑒別過程所有的報文并進行協(xié)議一致性 和正確性判斷,對基準訪問接入點AP發(fā)送異常證書鑒別請求報文后待測鑒別服務器AS的 響應進行判斷,若檢測控制臺能夠捕獲到后續(xù)的鑒別報文,則待測鑒別服務器AS沒有對基 準訪問接入點AP發(fā)送的異常證書鑒別請求進行正確處理,協(xié)議檢測失??;否則,等待一段 時間,若待測鑒別服務器AS沒有發(fā)送后續(xù)的鑒別報文,則負面測試的相應測試項目在僅發(fā) 送錯誤報文的情況下的協(xié)議檢測成功;若所述待測WAPI設備是鑒別服務器AS,且基準設備向待測設備發(fā)送的報文方式 是2. 2)時,所述步驟3)的具體實現(xiàn)方式是3. 6. 1)在基準訪問接入點AP上根據(jù)所選擇的測試項進行發(fā)送錯誤證書鑒別請求 報文后恢復發(fā)送正常的證書鑒別請求報文的負面測試進行配置,基準用戶終端STA與基準 訪問接入點AP進行關聯(lián),并進行WAPI協(xié)議鑒別處理,當協(xié)議認證進展到測試項目要進行證 書鑒別請求報文的處理時,基準訪問接入點AP構造異常證書鑒別請求報文,并將該異常報 文發(fā)送給待測鑒別服務器AS,再次發(fā)送正常的證書鑒別請求報文,而后進行后續(xù)的WAPI鑒 別處理過程;3. 6. 2)檢測控制臺捕獲步驟3. 6. 2)所述鑒別過程的所有報文并對待測鑒別服務 器AS發(fā)送的報文進行協(xié)議一致性和正確性判斷,對基準訪問接入點AP發(fā)送異常證書鑒別 請求報文后待測鑒別服務器AS的響應進行判斷,若檢測控制臺能夠捕獲到后續(xù)的鑒別報 文,并進行完整的WAPI協(xié)議處理,對整個WAPI協(xié)議處理過程進行流程正確性和完整性分 析,則負面測試的相應測試項在先發(fā)送錯誤報文而后恢復發(fā)送正常報文的情況下的協(xié)議檢 測過程成功;否則,協(xié)議檢測過程失?。黄渲校襟E3. 5. 2)與步驟3. 6. 2)所述的兩項測試都成功,則表示對鑒別服務器AS 的負面測試成功,鑒別服務器AS的健壯性符合WAPI協(xié)議要求;若有一項測試不成功,則表 示對鑒別服務器AS的負面測試失敗,鑒別服務器AS的健壯性不符合WAPI協(xié)議要求。上述測試項目是鑒別服務器AS的負面測試中的一個或多個進行測試。本發(fā)明的優(yōu)點是本發(fā)明提供了一種檢測系統(tǒng)及其檢測方法,通過檢測控制臺對上述鑒別過程中收 發(fā)的報文及其過程進行捕獲分析,對報文字段相關字段,報文格式的正確性、一致性,報文 完整性,流程正確性進行分析,對待測設備對錯誤報文處理能力的健壯性進行負面測試檢 測,從而判斷用戶開發(fā)的WAPI協(xié)議設備協(xié)議實現(xiàn)的健壯性。該檢測系統(tǒng)的基準設備首先要 符合WAPI協(xié)議標準的規(guī)定,其次要能夠構造并發(fā)送固定字段填寫錯誤的異常報文。通過基 準設備發(fā)送異常的特定字段填寫錯誤的WAPI鑒別報文,通過兩種方式,第一種,連續(xù)發(fā)送
9若干次固定字段填寫錯誤的異常報文,而后等待,查看待測設備對異常報文的處理能力。第 二種,連續(xù)發(fā)送若干次固定字段填寫錯誤的異常報文后,再次發(fā)送正常的WAPI協(xié)議報文, 恢復WAPI鑒別處理過程,查看待測設備對異常報文的處理情況及收到正常報文能夠恢復, 并進行完整的WAPI協(xié)議處理流程。本發(fā)明所提供的方法能夠判斷WAPI協(xié)議設備協(xié)議實現(xiàn) 的健壯性,從而使設備生產(chǎn)廠商或運營商判斷設備生產(chǎn)廠商開發(fā)的WAPI設備是否是按照 WAPI協(xié)議標準的規(guī)定開發(fā)的,通過該方法的實現(xiàn),將能幫助廠商開發(fā)出規(guī)范的WAPI設備, 對運營商來說,也能更好的監(jiān)測WAPI設備市場。
圖1是WAPI協(xié)議實現(xiàn)健壯性負面測試項目一覽表。圖2是現(xiàn)有的正常的WAPI協(xié)議鑒別的完整流程圖。圖3是基準AP發(fā)送異常接入鑒別請求的STA負面測試情況1的WAPI協(xié)議處理流程。圖4是基準AP發(fā)送異常接入鑒別請求的STA負面測試情況2的WAPI協(xié)議處理流程。圖5是STA協(xié)議健壯性負面測試檢測拓撲圖。圖6是AP協(xié)議健壯性負面測試檢測拓撲圖。圖7是AS協(xié)議健壯性負面測試檢測拓撲圖。 圖8是基準AP發(fā)送異常WAI版本號的證書鑒別請求的AS負面測試情況1的WAPI 協(xié)議流程圖。圖9是基準AP發(fā)送異常WAI版本號的證書鑒別請求的AS負面測試情況2的WAPI 協(xié)議流程圖。
具體實施例方式為解決背景技術中存在的技術問題,本發(fā)明提供了一套基準設備,包括基準的AP, STAjAS0該套基準設備符合WAPI協(xié)議標準的規(guī)定,能夠構造并發(fā)送固定字段填寫錯誤的異 常報文。通過基準設備發(fā)送異常的特定字段填寫錯誤的WAPI鑒別報文,包括兩種可選發(fā)送 方式,第一種,連續(xù)發(fā)送若干次固定字段填寫錯誤的異常報文,而后等待,查看待測設備對 異常報文的處理能力;第二種,連續(xù)發(fā)送若干次固定字段填寫錯誤的異常報文后,再次發(fā)送 正常的WAPI協(xié)議報文,恢復WAPI鑒別處理過程,查看待測設備對異常報文的處理情況及收 到正常報文能夠恢復,并進行完整的WAPI協(xié)議處理流程。本發(fā)明提供一套檢測控制臺,可 對上述鑒別過程中收發(fā)的報文及其過程進行捕獲分析,對報文字段相關字段、報文格式的 正確性和一致性、報文完整性、流程正確性進行分析,對待測設備對錯誤報文處理能力的健 壯性進行負面測試檢測,從而判斷用戶開發(fā)的WAPI協(xié)議設備協(xié)議實現(xiàn)的健壯性。本方案可對STA,AP, AS三種WAPI設備進行協(xié)議健壯性的負面測試。STA的負面測試處理步驟1.當待測設備為STA時,如圖5方式搭建協(xié)議健壯性的負面測試檢測拓撲圖,其 中AP,AS為基準設備,控制臺負責對檢測過程中收發(fā)的無線有線報文包括負面測試異常報 文進行捕獲并進行協(xié)議分析和負面測試協(xié)議分析,集線器可選擇100M集線器,AP, AS和控制臺通過有線方式連接到集線器上,STA和AP之間的連接采用WAPI無線方式。2.進行僅發(fā)送錯誤報文的負面測試2. 1.根據(jù)測試需要或測試目的,按照圖IWAPI負面測試項目一覽表選擇“STA的負 面測試”的四類中的一個或多個測試項進行負面測試;在基準AP上根據(jù)所選擇的測試項進 行僅發(fā)送錯誤報文的負面測試項目的配置;待測STA與基準AP進行關聯(lián),并進行如圖2所 示的WAPI協(xié)議鑒別處理,直至協(xié)議認證進展到與測試項相應的報文時,基準AP根據(jù)測試項 目構造異常報文,并將異常報文發(fā)送給待測STA,連續(xù)發(fā)送若干次(較佳實施例為兩次),發(fā) 送間隔一段時間(較佳實施例為100毫秒)。2. 2.檢測控制臺捕獲上述鑒別過程的所有報文并對待測STA發(fā)送的報文進行協(xié) 議一致性和正確性判斷,對基準AP發(fā)送異常報文后待測STA的響應進行判斷,若控制臺能 夠捕獲到后續(xù)的鑒別報文,則表示待測STA沒有對基準AP發(fā)送的異常報文進行正確處理, 協(xié)議檢測失敗,否則,等待一段時間(較佳實施例為3秒)后,若待測STA沒有發(fā)送后續(xù)的 鑒別報文,則負面測試的相應測試項目在僅發(fā)送錯誤報文的情況下的協(xié)議檢測成功。3.進行發(fā)送錯誤報文后恢復發(fā)送正確報文的負面測試3. 1.根據(jù)測試需要或測試目的,按照圖1中WAPI負面測試項目一覽表選擇“STA 負面測試”的四類的一個或多個測試項進行負面測試;在基準AP上根據(jù)所選擇的測試項進 行發(fā)送錯誤報文后恢復發(fā)送正確報文的負面測試項目的配置;待測STA與基準AP進行關 聯(lián),并進行如圖2所示的WAPI協(xié)議鑒別處理,直至協(xié)議認證進展到與測試項相應的報文時, 基準AP根據(jù)測試項目構造異常報文,并將異常報文發(fā)送給待測STA,連續(xù)發(fā)送若干次(較佳 實施例為兩次),發(fā)送間隔一段時間(較佳實施例為100毫秒),再次發(fā)送正常的報文,而后 進行后續(xù)的如圖2中的正常的WAPI鑒別處理過程。3. 2.檢測控制臺捕獲上述鑒別過程的所有報文并對待測STA發(fā)送的報文進行協(xié) 議一致性和正確性判斷,對基準AP發(fā)送異常報文后待測STA的響應進行判斷,若控制臺能 夠捕獲到后續(xù)的鑒別報文,并進行完整的WAPI協(xié)議處理,對整個WAPI協(xié)議處理過程進行流 程正確性和完整性分析,則負面測試的相應測試項目在發(fā)送錯誤報文后恢復發(fā)送正常報文 的情況下的協(xié)議檢測過程成功,否則,協(xié)議檢測過程失敗。其中,步驟2與步驟3不分先后,步驟2與步驟3所述的兩項測試都成功,則表示 對STA的負面測試成功,STA的健壯性符合WAPI協(xié)議要求;若有一項測試不成功,則表示對 STA的負面測試失敗,STA的健壯性不符合WAPI協(xié)議要求。AP的負面測試處理步驟1.當待測設備為AP時,如圖6方式搭建協(xié)議健壯性的負面測試檢測拓撲圖,其中 STA,AS為基準設備,控制臺負責對檢測過程中收發(fā)的無線有線報文包括負面測試異常報文 進行捕獲并進行協(xié)議分析和負面測試協(xié)議分析,集線器可采用100M集線器,待測AP,基準 AS和檢測控制臺通告有線方式與集線器連接,基準STA與待測AP之間采用WAPI無線方式 連接。2.進行僅發(fā)送錯誤報文的負面測試2. 1.根據(jù)測試需要或測試目的,按照圖1中的WAPI負面測試項目一覽表選擇“AP 的負面測試”的四類中的一個或多個測試項進行負面測試;在基準上根據(jù)所選擇的測試項 進行僅發(fā)送錯誤報文的負面測試的配置;基準STA與待測AP進行關聯(lián),并進行如圖2所示的WAPI協(xié)議鑒別處理,直至協(xié)議認證進展到與測試項相應的報文時,基準STA根據(jù)測試項 目構造異常報文,并將異常報文發(fā)送給待測AP,連續(xù)發(fā)送若干次(較佳實施例為兩次),發(fā) 送間隔一段時間(較佳實施例為100毫秒)。2. 2.檢測控制臺捕獲上述鑒別過程的所有報文并對待測AP發(fā)送的報文進行協(xié)議 一致性和正確性判斷,對基準STA發(fā)送異常報文后待測AP的響應進行判斷,若控制臺能夠 捕獲到后續(xù)的鑒別報文,則表示待測AP沒有對基準STA發(fā)送的異常報文進行正確處理,協(xié) 議檢測失敗,否則,等待一段時間(較佳實施例為3秒)后,若待測AP沒有發(fā)送后續(xù)的鑒別 報文,則負面測試的相應測試項目在僅發(fā)送錯誤報文的情況下的協(xié)議檢測成功。3.進行發(fā)送錯誤報文后恢復發(fā)送正確報文的負面測試3. 1.根據(jù)測試需要或測試目的,按照圖1中WAPI負面測試項目一覽表選擇“AP負 面測試項目,,的四類中的一個或多個測試項進行負面測試;在基準STA上根據(jù)所選擇的測 試項進行發(fā)送錯誤報文后恢復發(fā)送正確報文的負面測試的配置;基準STA與待測AP進行關 聯(lián),并進行如圖2所示的WAPI協(xié)議鑒別處理,直至協(xié)議認證進展到與測試項相應的報文時, 基準STA根據(jù)測試項目構造異常報文,并將異常報文發(fā)送給待測AP,連續(xù)發(fā)送若干次(較佳 實施例為兩次),發(fā)送間隔一段時間(較佳實施例為100毫秒),再次發(fā)送正常的報文,而后 進行后續(xù)的如圖2中的正常的WAPI鑒別處理過程。3. 2.檢測控制臺捕獲上述鑒別過程的所有報文并對待測AP發(fā)送的報文進行協(xié)議 一致性和正確性判斷,對基準STA發(fā)送異常報文后待測AP的響應進行判斷,若控制臺能夠 捕獲到后續(xù)的鑒別報文,并進行完整的WAPI協(xié)議處理,對整個WAPI協(xié)議處理過程進行流程 正確性和完整性分析,則負面測試的相應測試項在發(fā)送錯誤報文后恢復發(fā)送正確報文情況 下的協(xié)議檢測過程成功,否則,協(xié)議檢測過程失敗。其中,步驟2與步驟3不分先后,步驟2與步驟3所述的兩項測試都成功,則表示 對AP的負面測試成功,AP的健壯性符合WAPI協(xié)議要求;若有一項測試不成功,則表示對AP 的負面測試失敗,AP的健壯性不符合WAPI協(xié)議要求。AS的負面測試處理步驟1.當待測設備為AS時,如圖7方式搭建協(xié)議健壯性的負面測試檢測拓撲圖,其中 STA,AP為基準設備,控制臺負責對檢測過程中收發(fā)的無線有線報文包括負面測試異常報文 進行捕獲并進行協(xié)議分析和負面測試協(xié)議分析,集線器可采用100M集線器,基準AP,待測 AS,檢測控制臺通過有線方式與集線器連接,基準STA與基準AP之間采用WAPI無線方式連接。2.進行僅發(fā)送錯誤報文的負面測試2. 1.根據(jù)測試需要或測試目的,按照圖1中WAPI負面測試項目一覽表選擇“AS負 面測試項目”的一項或多項測試項進行負面測試;在基準上根據(jù)所選擇的測試項進行僅發(fā) 送錯誤報文的負面測試的配置;基準STA與基準AP進行關聯(lián),并進行如圖2所示的WAPI協(xié) 議鑒別處理,直至協(xié)議認證進展到測試項目要進行證書鑒別請求處理時,基準AP構造異常 證書鑒別請求報文,并將該異常報文發(fā)送給待測AS。2. 2.檢測控制臺捕獲上述鑒別過程所有的報文并進行協(xié)議一致性和正確性判斷, 對基準AP發(fā)送異常證書鑒別請求報文后待測AS的響應進行判斷,若檢測控制臺能夠捕獲 到后續(xù)的鑒別報文,則待測AS沒有對基準AP發(fā)送的異常證書鑒別請求進行正確處理,協(xié)議檢測失敗,否則,等待一段時間(較佳實施例為30秒)后,若待測AS沒有發(fā)送后續(xù)的鑒別 報文,則負面測試的相應測試項目在僅發(fā)送錯誤報文的情況下的協(xié)議檢測成功。3.進行發(fā)送錯誤報文后恢復發(fā)送正確報文的負面測試3. 1.根據(jù)測試需要或測試目的,要按照圖1中WAPI負面測試項目一覽表選擇“AS 負面測試項目,,的一項或多項測試項進行負面測試,在基準AP上根據(jù)所選擇的測試項進行 發(fā)送錯誤證書鑒別請求報文后恢復發(fā)送正常的證書鑒別請求報文的負面測試進行配置,基 準STA與基準AP進行關聯(lián),并進行如圖2所示的WAPI協(xié)議鑒別處理,當協(xié)議認證進展到測 試項目要進行證書鑒別請求報文的處理時,基準AP構造異常證書鑒別請求報文,并將該異 常報文發(fā)送給待測AS,再次發(fā)送正常的證書鑒別請求報文,而后進行后續(xù)的WAPI鑒別處理 過程。3. 2.檢測控制臺捕獲上述鑒別過程的所有報文并對待測AS發(fā)送的報文進行協(xié)議 一致性和正確性判斷,對基準AP發(fā)送異常證書鑒別請求報文后待測AS的響應進行判斷,若 檢測控制臺能夠捕獲到后續(xù)的鑒別報文,并進行完整的WAPI協(xié)議處理,對整個WAPI協(xié)議處 理過程進行流程正確性和完整性分析,則負面測試的相應測試項在先發(fā)送錯誤報文而后恢 復發(fā)送正常報文的情況下的協(xié)議檢測過程成功,否則,協(xié)議檢測過程失敗。其中,步驟2與步驟3不分先后,步驟2與步驟3所述的兩項測試都成功,則表示 對AS的負面測試成功,AS的健壯性符合WAPI協(xié)議要求;若有一項測試不成功,則表示對AS 的負面測試失敗,AS的健壯性不符合WAPI協(xié)議要求。由于WAPI協(xié)議實現(xiàn)健壯性負面測試的測試項目比較多(參見圖1),本方案不便 羅列所有測試項目,僅以WAPI協(xié)議實現(xiàn)健壯性負面測試項目一覽表(即圖1)中的“STA的 負面測試”中的“第三類基準AP發(fā)送異常指定字段報文對STA進行負面測試”中的測試項 b) “基準AP發(fā)送異常AE簽名屬性類型的接入鑒別響應對STA進行負面測試”為例說明STA 的負面測試具體的詳細測試步驟。對于STA的負面測試中的其他測試項目的測試測試步驟 與此相同,僅需根據(jù)所選測試項對測試步驟中的報文做相應替換即可。另外,對于AP的負 面測試,其具體過程與STA的負面測試相同,僅需對測試步驟中的報文做相應替換即可。STA負面測試舉例1.如圖5的檢測拓撲圖搭建基準AP發(fā)送異常AE簽名屬性類型的接入鑒別響應對 STA進行負面測試的檢測拓撲圖,集線器可采用100M集線器,基準AP和基準AS及檢測控制 臺通過有線方式連接到集線器上,待測STA與基準AP采用WAPI無線方式連接,檢測控制臺 可對待測STA與基準AP之間進行鑒別無線報文,如關聯(lián)請求幀、鑒別激活、接入鑒別請求、 接入鑒別響應、單播密鑰協(xié)商請求、單播密鑰協(xié)商響應、單播密鑰協(xié)商確認、組播密鑰通告、 組播密鑰響應及數(shù)據(jù)加解密的WPI報文,進行捕獲分析;檢測控制臺也可對基準AP與基準 AS之間進行證書鑒別的證書鑒別請求和證書鑒別響應報文進行捕獲分析。2.在基準AP上開啟負面測試,選擇異常指定字段報文類型,選擇發(fā)送異常AE簽名 屬性類型的接入鑒別響應報文進行的負面測試,報文發(fā)送方式選擇僅發(fā)送錯誤報文的第一 種情況,令待測STA依照圖2所示的鑒別流程與基準AP進行WAPI鑒別處理,待測STA發(fā)送 關聯(lián)請求幀給基準AP進行關聯(lián),關聯(lián)成功后基準AP發(fā)送鑒別激活給待測STA,待測STA收 到鑒別激活后向基準AP發(fā)送接入鑒別請求報文,基準AP收到接入鑒別請求報文后向基準 AS發(fā)送證書鑒別請求報文,基準AS回應證書鑒別響應報文,后基準AP向待測STA發(fā)送AE簽名屬性字段填寫錯誤的接入鑒別響應報文給待測STA,接著基準AP再次向待測STA發(fā)送 AE簽名屬性字段填寫錯誤的接入鑒別響應報文該待測STA,等待3秒從而檢查待測STA對 基準AP的響應。3.或者基準AP選擇異常指定字段報文類型,選擇異常AE簽名屬性類型的接入鑒 別響應報文,報文發(fā)送方式選擇僅發(fā)送錯誤報文后恢復發(fā)送正常的接入鑒別響應的第二種 情況,令待測STA依照圖3的鑒別流程與基準AP進行WAPI鑒別處理,待測STA發(fā)送關聯(lián)請 求幀給基準AP進行重新關聯(lián),關聯(lián)成功后基準AP發(fā)送鑒別激活給待測STA,待測STA收到 鑒別激活后向基準AP發(fā)送接入鑒別請求報文,基準AP收到接入鑒別請求報文后向基準AS 發(fā)送證書鑒別請求報文,基準AS回應證書鑒別響應報文,后基準AP向待測STA發(fā)送AE簽 名屬性字段填寫錯誤的接入鑒別響應報文給待測STA,等待100ms,再次向待測STA發(fā)送AE 簽名屬性字段填寫錯誤的接入鑒別響應報文給待測STA,而后發(fā)送正常的接入鑒別響應報 文給待測STA,隨后基準AP向待測STA發(fā)送單播密鑰協(xié)商請求報文,待測STA向基準AP發(fā) 送單播密鑰協(xié)商響應報文,基準AP收到單播密鑰協(xié)商響應報文后向基準STA發(fā)送單播密鑰 協(xié)商確認報文,隨后基準AP向待測STA發(fā)送組播密鑰通告報文,最后待測STA向基準AP發(fā) 送組播密鑰響應報文;檢測控制臺再向待測STA發(fā)送ping (用于檢查網(wǎng)絡是否能夠連通,屬 于公知技術)包,待測STA會發(fā)送WPI數(shù)據(jù)包給基準AP。4.在上述步驟2及3敘述的過程中,當基準AP收到待測STA發(fā)送的接入鑒別請求 報文,成功處理后,進行證書的鑒別過程,并成功收到AS返回的證書鑒別響應報文后,構造 接入鑒別響應報文發(fā)送給待測STA之前,修改其緩沖中的AE的簽名屬性的屬性類型,修改 為0x09,其它字段不變。對于第一種情況,也就是進行僅發(fā)送錯誤報文的負面測試時,發(fā)送錯誤AE簽名屬 性類型的接入鑒別響應報文給待測STA,連續(xù)發(fā)送兩次,發(fā)送間隔為100毫秒,發(fā)送完畢,等 待3秒,用于驗證待測STA對基準AP發(fā)送的異常AE簽名屬性類型的接入鑒別響應報文的 處理情況。對于第二種情況,也就是進行發(fā)送錯誤報文后恢復發(fā)送正確報文的負面測試先 發(fā)送錯誤AE簽名屬性類型的接入鑒別響應報文給待測STA,連續(xù)發(fā)送兩次,發(fā)送間隔為100 毫秒,而后再將正確的接入鑒別響應報文發(fā)給待測STA。用于驗證待測STA對基準AP發(fā)送 的異常AE簽名屬性類型的接入鑒別響應報文能否做正常的處理,以及能否恢復并進行完 整的WAPI協(xié)議認證過程。5.通過檢測控制臺對以上兩種情況鑒別過程中收發(fā)的無線有線報文進行捕獲, 并根據(jù)協(xié)議要求進行分析判斷待測設備對基準AP發(fā)送的異常接入鑒別響應報文的處理情 況,具體分析如下對于第一種情況,也就是進行僅發(fā)送錯誤報文的負面測試a)檢測控制臺能夠接收到待測STA關聯(lián)至基準AP的關聯(lián)請求幀,并解析其中的 WIEasue 字段。b)檢測控制臺能夠接收到基準AP發(fā)送的正常的鑒別激活報文。c)檢測控制臺繼續(xù)接收待測STA向基準AP發(fā)送的正常的接入鑒別請求報文,并且 對接入鑒別請求報文進行協(xié)議一致性和正確性判斷。d)檢測控制臺能夠繼續(xù)接收到基準AP向基準AS進行認證的證書鑒別請求報文有
14線報文。e)檢測控制臺能夠繼續(xù)接收到基準AS向基準AP返回的認證成功的證書鑒別響應 報文有線報文。f)檢測控制臺能夠接收到基準AP發(fā)送給待測STA的異常AE簽名屬性類型的接入 鑒別響應報文,解析其AE的簽名屬性類型為0x09,則該報文通過。g)檢測控制臺能夠繼續(xù)接收到基準AP重新發(fā)送給待測STA的異常AE簽名屬性類 型的接入鑒別響應報文,解析其AE的簽名屬性類型為0x09,則該報文通過。h)檢測控制臺繼續(xù)接收報文,等待3秒,檢測控制臺只有可能接收到待測STA重 發(fā)的接入鑒別請求報文,而不會接收到待測STA發(fā)送的任何其它報文,則待測STA對基準 AP發(fā)送的異常AE簽名屬性類型的接入鑒別響應報文進行了正確處理,則協(xié)議檢測正確,否 則,協(xié)議檢測失敗。對于第二種情況,也就是進行發(fā)送錯誤報文后恢復發(fā)送正確報文的負面測試時a)檢測控制臺能夠接收到待測STA重新關聯(lián)至基準AP的關聯(lián)請求幀,并解析其中 的WIEasue字段。b)檢測控制臺能夠接收到基準AP發(fā)送的正常的鑒別激活報文。c)檢測控制臺繼續(xù)接收待測STA向基準AP發(fā)送的正常的接入鑒別請求報文,并且 對接入鑒別請求報文進行協(xié)議一致性和正確性判斷。d)檢測控制臺能夠繼續(xù)接收到基準AP向基準AS進行認證的證書鑒別請求報文。e)檢測控制臺能夠繼續(xù)接收到基準AS向基準AP返回的認證成功的證書鑒別響應 報文。f)檢測控制臺能夠接收到基準AP發(fā)送給待測STA的異常AE簽名屬性類型的接入 鑒別響應報文,解析其AE的簽名屬性類型為0x09,則該報文通過。g)檢測控制臺能夠繼續(xù)接收到基準AP重新發(fā)送給待測STA的異常AE簽名屬性類 型的接入鑒別響應報文,解析其AE的簽名屬性類型為0x09,則該報文通過。h)檢測控制臺繼續(xù)接收報文,檢測控制臺接收到基準AP發(fā)送給待測STA的正常的 接入鑒別響應報文,解析其子類型為5,則該報文通過。i)檢測控制臺繼續(xù)接收報文,檢測控制臺能夠接收到基準AP發(fā)送給待測STA的單 播密鑰協(xié)商請求報文,則該報文通過。j)檢測控制臺繼續(xù)接收報文,若檢測控制臺能接收到待測STA向基準AP發(fā)送的單 播密鑰協(xié)商響應報文,并對單播密鑰協(xié)商響應報文的協(xié)議一致性和正確性進行判斷,同時 比較單播密鑰協(xié)商響應報文中的WAPI參數(shù)集合字段與開始關聯(lián)請求幀中WIEasue字段是 否相同,若各項比較通過,則該報文通過。k)檢測控制臺繼續(xù)接收報文,檢測控制臺能夠接收到基準AP發(fā)送給待測STA的單 播密鑰協(xié)商確認報文。1)檢測控制臺繼續(xù)接收報文,檢測控制臺能夠接收到基準AP發(fā)送給待測STA的組 播密鑰通告報文。m)檢測控制臺繼續(xù)接收報文,檢測控制臺能夠接收到待測STA向基準AP發(fā)送的組 播密鑰響應報文,并對組播密鑰響應報文的協(xié)議正確性和一致性進行判斷,若判斷成功,則 報文通過。
η)檢測控制臺繼續(xù)接收報文,檢測控制臺能夠接收到待測STA發(fā)送給基準AP的 WPI報文,并對加密數(shù)據(jù)的格式進行判斷,并對上述的整個過程接收WAPI協(xié)議報文的完整 性和流程正確性進行分析,若各項比較都通過,則協(xié)議檢測通過。ο)若檢測控制臺在第j)步?jīng)]有能夠接收到后續(xù)完整的WAPI協(xié)議認證報文,或是 其后接收的報文不完整,各項比較判斷不正確,則協(xié)議檢測失敗。由于AS的WAPI協(xié)議實現(xiàn)健壯性負面測試的測試項目分為四種(參見圖1),本方 案不便羅列所有測試項目,僅以AS負面測試項目一覽表(即圖1)中的“AS的負面測試”中 測試項目b)的“基準AP發(fā)送異常WAI版本號的證書鑒別請求報文給AS的負面測試”為例 說明具體的詳細測試步驟。對于AS的負面測試中的其他測試項目的測試測試步驟與此相 同,僅需根據(jù)所選測試項對測試步驟中的報文做相應替換即可。AS負面測試舉例1.如圖7的檢測拓撲圖搭建基準AP發(fā)送異常WAI版本號的證書鑒別請求報文給 待測AS的負面測試的檢測拓撲圖,集線器可采用100M集線器,基準AP和待測AS及檢測控 制臺通過有線方式連接到集線器上,基準STA與基準AP采用WAPI無線方式連接,檢測控制 臺可對基準STA與基準AP之間進行鑒別無線報文,如關聯(lián)請求幀,鑒別激活,接入鑒別請 求,接入鑒別響應,單播密鑰協(xié)商請求,單播密鑰協(xié)商響應,單播密鑰協(xié)商確認,組播密鑰通 告,組播密鑰響應及數(shù)據(jù)加解密的WPI報文進行捕獲分析;檢測控制臺也可對基準AP與待 測AS之間進行證書鑒別的證書鑒別請求和證書鑒別響應報文進行捕獲分析。2.在基準AP上開啟負面測試,選擇基準AP發(fā)送異常WAI版本號的證書鑒別請求 報文給待測AS的負面測試,報文發(fā)送方式選擇僅發(fā)送錯誤報文的第一種情況,令基準STA 依照圖8的鑒別流程與基準AP進行WAPI鑒別處理,如圖,基準STA發(fā)送關聯(lián)請求幀給基準 AP進行關聯(lián),關聯(lián)成功后基準AP發(fā)送鑒別激活給基準STA,基準STA收到鑒別激活后向基 準AP發(fā)送接入鑒別請求報文,基準AP收到接入鑒別請求報文后向基準AS發(fā)送異常WAI版 本號的證書鑒別請求報文,等待30秒,觀察待測AS對基準AP的響應情況。3.或者基準AP選擇發(fā)送異常WAI版本號的證書鑒別請求報文給待測AS的負面 測試,報文發(fā)送方式選擇發(fā)送錯誤證書鑒別請求后恢復發(fā)送正常的證書鑒別請求的第二種 情況,令基準STA依照圖9的鑒別流程與基準AP進行WAPI鑒別處理,基準STA發(fā)送關聯(lián)請 求幀給基準AP進行重新關聯(lián),關聯(lián)成功后基準AP發(fā)送鑒別激活給基準STA,基準STA收到 鑒別激活后向基準AP發(fā)送接入鑒別請求報文,基準AP收到接入鑒別請求報文后向待測AS 發(fā)送異常WAI版本號的證書鑒別請求報文,基準AP隨后發(fā)送正常的證書鑒別請求分組給待 測AS,待測AS回應證書鑒別響應報文,而后基準AP發(fā)送正常的接入鑒別響應報文給基準 STA,隨后基準AP向基準STA發(fā)送單播密鑰協(xié)商請求報文,基準STA向基準AP發(fā)送單播密 鑰協(xié)商響應報文,基準AP收到單播密鑰協(xié)商響應報文后向基準STA發(fā)送單播密鑰協(xié)商確認 報文,隨后基準AP向基準STA發(fā)送組播密鑰通告報文,最后基準STA向基準AP發(fā)送組播密 鑰響應報文;檢測控制臺再向基準STA發(fā)送ping包,基準STA會發(fā)送WPI數(shù)據(jù)包給基準AP。4.在上述步驟2及3敘述的過程中,當基準AP收到基準STA發(fā)送的接入鑒別請求 報文,構造WAI版本號填寫異常的證書鑒別請求分組給待測AS,將版本號改寫為0x0009。對于第一種情況,也就是進行僅發(fā)送錯誤報文的負面測試發(fā)送異常WAI版本號的證書鑒別請求報文給待測AS,發(fā)送完畢,等待30秒,用于驗
16證待測AS對控制臺發(fā)送的異常WAI版本號的證書鑒別請求分組的處理情況。對于第二種情況,也就是進行發(fā)送錯誤報文后恢復發(fā)送正確報文的負面測試先將異常WAI版本號的證書鑒別請求報文發(fā)送給待測AS,而后將正常的證書鑒別 請求發(fā)送給待測AS,驗證待測AS能否對異常WAI版本號的證書鑒別請求做正常處理,以及 能否進行完整的證書鑒別過程。5.通過檢測控制臺對以上兩種情況鑒別過程中收發(fā)的無線有線報文進行捕獲,并 根據(jù)協(xié)議要求進行分析判斷待測設備對基準AP發(fā)送的異常WAI版本號的證書鑒別請求報 文的處理情況,具體分析如下對于第一種情況,也就是進行僅發(fā)送錯誤報文的負面測試a)檢測控制臺能夠接收到基準STA關聯(lián)至基準AP的關聯(lián)請求幀,并解析其中的 WIEasue 字段。b)檢測控制臺能夠接收到基準AP發(fā)送的正常的鑒別激活報文。c)檢測控制臺繼續(xù)接收基準STA向基準AP發(fā)送的正常的接入鑒別請求報文。d)檢測控制臺能夠繼續(xù)接收到基準AP向待測AS發(fā)送的WAI版本號填寫異常的證 書鑒別請求報文,解析WAI版本號為0x0009,則該報文通過。e)檢測控制臺繼續(xù)接收報文,等待30秒,檢測控制臺沒有收到待測AS對基準AP 發(fā)回的證書鑒別請求響應報文,則待測AS對基準AP發(fā)送的異常WAI版本號的證書鑒別請 求進行了正確處理,則協(xié)議檢測成功,否則協(xié)議檢測失敗。對于第二種情況,也就是進行發(fā)送錯誤報文后恢復發(fā)送正確報文的負面測試a)檢測控制臺能夠接收到基準STA重新關聯(lián)至基準AP的關聯(lián)請求幀,并解析其中 的WIEasue字段。b)檢測控制臺能夠接收到基準AP發(fā)送的正常的鑒別激活報文。c)檢測控制臺繼續(xù)接收待測STA向基準AP發(fā)送的正常的接入鑒別請求報文。d)檢測控制臺能夠繼續(xù)接收到基準AP向待測AS發(fā)送的WAI版本號填寫異常的證 書鑒別請求報文,解析WAI版本號為0x0009,則該報文通過。e)檢測控制臺能夠繼續(xù)接收到基準AP向待測AS發(fā)送的正常的證書鑒別請求報 文,并對該報文進行協(xié)議一致性和正確性判斷。f)檢測控制臺繼續(xù)接收報文,檢測控制臺接收到基準AP發(fā)送給待測基準STA的正 常的接入鑒別響應報文。g)檢測控制臺繼續(xù)接收報文,檢測控制臺能夠接收到基準AP發(fā)送給基準STA的單 播密鑰協(xié)商請求報文。h)檢測控制臺繼續(xù)接收報文,若檢測控制臺能接收到基準STA向基準AP發(fā)送的單 播密鑰協(xié)商響應報文,并比較單播密鑰協(xié)商響應報文中的WAPI參數(shù)集合字段與開始關聯(lián) 請求幀中WIEasue字段是否相同,若比較通過,則該報文通過。i)檢測控制臺繼續(xù)接收報文,檢測控制臺能夠接收到基準AP發(fā)送給基準STA的單 播密鑰協(xié)商確認報文。j)檢測控制臺繼續(xù)接收報文,檢測控制臺能夠接收到基準AP發(fā)送給基準STA的組 播密鑰通告報文。k)檢測控制臺繼續(xù)接收報文,檢測控制臺能夠接收到基準STA向基準AP發(fā)送的組
17播密鑰響應報文。1)檢測控制臺繼續(xù)接收報文,檢測控制臺能夠接收到基準STA發(fā)送給基準AP的 WPI報文,并對加密數(shù)據(jù)的格式進行判斷,并對上述的整個過程接收WAPI協(xié)議報文的完整 性和流程正確性進行分析,若各項比較都通過,則協(xié)議檢測通過。m)若檢測控制臺在第e)步?jīng)]有能夠接收到后續(xù)完整的WAPI協(xié)議認證報文,或是 其后接收的報文不完整,各項比較判斷不正確,則協(xié)議檢測失敗。
權利要求
1.一種WAPI設備協(xié)議中實現(xiàn)健壯性的負面測試的檢測系統(tǒng),其特征在于所述系統(tǒng)包 括檢測控制臺、集線器以及WAPI設備;所述檢測控制臺通過集線器與WAPI設備相連;所述 WAPI設備中包括基準設備以及待測設備,所述基準設備是符合WAPI協(xié)議標準的規(guī)定的能 夠構造并發(fā)送固定字段填寫錯誤的異常報文的WAPI設備,所述基準設備根據(jù)WAPI負面測 試項目向待測設備發(fā)送異常的特定字段填寫錯誤的WAPI鑒別報文;所述檢測控制臺對檢 測過程中收發(fā)報文包括負面測試異常報文進行捕獲并進行協(xié)議分析和負面測試協(xié)議分析。
2.根據(jù)權利要求1所述的WAPI設備協(xié)議中實現(xiàn)健壯性的負面測試的檢測系統(tǒng),其特征 在于所述WAPI設備是用戶終端STA,訪問接入點AP以及鑒別服務器AS。
3.根據(jù)權利要求2所述的WAPI設備協(xié)議中實現(xiàn)健壯性的負面測試的檢測系統(tǒng),其特 征在于若所述待測設備是用戶終端STA時,所述基準設備是訪問接入點AP和鑒別服務器 AS ;若所述待測設備是訪問接入點AP時,所述基準設備是用戶終端STA和鑒別服務器AS ; 若所述待測設備是鑒別服務器AS時,所述基準設備是用戶終端STA和訪問接入點AP。
4.一種WAPI設備協(xié)議中實現(xiàn)健壯性的負面測試的檢測方法,其特征在于所述方法包 括以下步驟1)選取符合WAPI協(xié)議標準的規(guī)定的能夠構造并發(fā)送固定字段填寫錯誤的異常報文的 基準設備;2)基準設備根據(jù)WAPI負面測試項目向待測設備發(fā)送異常的特定字段填寫錯誤的WAPI 鑒別報文;3)通過步驟2~)所發(fā)送的異常的特定字段填寫錯誤的WAPI鑒別報文進行待測WAPI設 備的健壯性進行負面測試。
5.根據(jù)權利要求4所述的WAPI設備協(xié)議中實現(xiàn)健壯性的負面測試的檢測方法,其特征 在于所述WAPI負面測試項目包括用戶終端STA的負面測試、訪問接入點AP的負面測試或 鑒別服務器AS的負面測試;所述用戶終端STA的負面測試包括基準AP發(fā)送異常WAI子類型報文對STA進行負面 測試、基準AP發(fā)送異常WAI頭部字段報文對STA進行負面測試、基準AP發(fā)送異常指定字段 報文對STA進行負面測試以及基準AP發(fā)送異常WAI完整性校驗字段報文對STA進行負面 測試中的至少一種;所述訪問接入點AP的負面測試包括基準STA發(fā)送異常WAI子類型報文對AP進行負面 測試、基準STA發(fā)送異常WAI頭部報文對AP進行負面測試、基準STA發(fā)送異常指定字段報 文對AP進行負面測試以及基準STA發(fā)送異常完整性校驗字段報文對AP進行負面測試中的 至少一種;所述鑒別服務器AS的負面測試包括基準AP發(fā)送異常證書鑒別請求對AS進行負面測試ο
6.根據(jù)權利要求4或5所述的WAPI設備協(xié)議中實現(xiàn)健壯性的負面測試的檢測方法,其 特征在于所述步驟幻中基準設備向待測設備發(fā)送異常的特定字段填寫錯誤的WAPI鑒別 報文的方式是.2. 1)連續(xù)發(fā)送若干次固定字段填寫錯誤的異常報文,而后等待,查看待測設備對異常 報文的處理能力;或者.2. 2)連續(xù)發(fā)送若干次固定字段填寫錯誤的異常報文后,再次發(fā)送正常的WAPI協(xié)議報文,恢復WAPI鑒別處理過程,查看待測設備對異常報文的處理情況。
7.根據(jù)權利要求6所述的WAPI設備協(xié)議中實現(xiàn)健壯性的負面測試的檢測方法,其特 征在于若所述待測WAPI設備是用戶終端STA,且基準設備向待測設備發(fā)送的報文方式是 2. 1)時,所述步驟幻的具體實現(xiàn)方式是,3. 1. 1)在基準訪問接入點AP上根據(jù)所選擇的測試項進行僅發(fā)送錯誤報文的負面測試 項目的配置;待測用戶終端STA與基準訪問接入點AP進行關聯(lián),并進行WAPI協(xié)議鑒別處 理,直至協(xié)議認證進展到與測試項相應的報文時,基準訪問接入點AP根據(jù)測試項目構造異 常報文,并將異常報文發(fā)送給待測用戶終端STA,連續(xù)發(fā)送若干次,發(fā)送間隔為一段時間;,3. 1. 2)檢測控制臺捕獲步驟3. 1. 1)中鑒別過程的所有報文并對待測用戶終端STA發(fā) 送的報文進行協(xié)議一致性和正確性判斷,對基準訪問接入點AP發(fā)送異常報文后待測用戶 終端STA的響應進行判斷;若控制臺能夠捕獲到后續(xù)的鑒別報文,則表示待測用戶終端STA 沒有對基準訪問接入點AP發(fā)送的異常報文進行正確處理,協(xié)議檢測失?。环駝t,等待一段 時間后,若待測STA沒有發(fā)送后續(xù)的鑒別報文,則負面測試的相應測試項目在僅發(fā)送錯誤 報文的情況下的協(xié)議檢測成功;若所述待測WAPI設備是用戶終端STA,且基準設備向待測設備發(fā)送的報文方式是2. 2) 時,所述步驟幻的具體實現(xiàn)方式是,3. 2. 1)在基準AP上根據(jù)所選擇的測試項進行發(fā)送錯誤報文后恢復發(fā)送正確報文的負 面測試項目的配置;待測用戶終端STA與基準訪問接入點AP進行關聯(lián),并進行WAPI協(xié)議鑒 別處理,直至協(xié)議認證進展到與測試項相應的報文時,基準訪問接入點AP根據(jù)測試項目構 造異常報文,并將異常報文發(fā)送給待測用戶終端STA,連續(xù)發(fā)送若干次,發(fā)送間隔一段時間, 再次發(fā)送正常的報文,而后進行后續(xù)的正常的WAPI鑒別處理過程;,3. 2. 2)檢測控制臺捕獲步驟3. 2. 1)所述鑒別過程的所有報文并對待測用戶終端STA 發(fā)送的報文進行協(xié)議一致性和正確性判斷,對基準訪問接入點AP發(fā)送異常報文后待測用 戶終端STA的響應進行判斷;若控制臺能夠捕獲到后續(xù)的鑒別報文,并進行完整的WAPI協(xié) 議處理,對整個WAPI協(xié)議處理過程進行流程正確性和完整性分析,則負面測試的相應測試 項目在發(fā)送錯誤報文后恢復發(fā)送正常報文的情況下的協(xié)議檢測過程成功;否則,協(xié)議檢測 過程失敗。
8.根據(jù)權利要求6所述的WAPI設備協(xié)議中實現(xiàn)健壯性的負面測試的檢測方法,其特 征在于若所述待測WAPI設備是訪問接入點AP,且基準設備向待測設備發(fā)送的報文方式是 2. 1)時,所述步驟幻的具體實現(xiàn)方式是,3. 3. 1)在基準上根據(jù)所選擇的測試項進行僅發(fā)送錯誤報文的負面測試的配置;基準 用戶終端STA與待測訪問接入點AP進行關聯(lián),并進行WAPI協(xié)議鑒別處理,直至協(xié)議認證進 展到與測試項相應的報文時,基準用戶終端STA根據(jù)測試項目構造異常報文,并將異常報 文發(fā)送給待測訪問接入點AP,連續(xù)發(fā)送若干次,發(fā)送間隔一段時間;,3. 3. 2)檢測控制臺捕獲步驟3. 3. 1)所述鑒別過程的所有報文并對待測訪問接入點AP 發(fā)送的報文進行協(xié)議一致性和正確性判斷,對基準用戶終端STA發(fā)送異常報文后待測訪問 接入點AP的響應進行判斷,若控制臺能夠捕獲到后續(xù)的鑒別報文,則表示待測訪問接入點 AP沒有對基準用戶終端STA發(fā)送的異常報文進行正確處理,協(xié)議檢測失??;否則,等待一段 時間后,若待測訪問接入點AP沒有發(fā)送后續(xù)的鑒別報文,則負面測試的相應測試項目在僅發(fā)送錯誤報文的情況下的協(xié)議檢測成功;若所述待測WAPI設備是訪問接入點AP,且基準設備向待測設備發(fā)送的報文方式是 2.2)時,所述步驟幻的具體實現(xiàn)方式是3. 4. 1)在基準用戶終端STA上根據(jù)所選擇的測試項進行發(fā)送錯誤報文后恢復發(fā)送正 確報文的負面測試的配置;基準用戶終端STA與待測訪問接入點AP進行關聯(lián),并進行WAPI 協(xié)議鑒別處理,直至協(xié)議認證進展到與測試項相應的報文時,基準用戶終端STA根據(jù)測試 項目構造異常報文,并將異常報文發(fā)送給待測訪問接入點AP,連續(xù)發(fā)送若干次,發(fā)送間隔一 段時間,再次發(fā)送正常的報文,而后進行后續(xù)的正常的WAPI鑒別處理過程;3. 4. 2)檢測控制臺捕獲步驟3. 4. 1)所述鑒別過程的所有報文并對待測訪問接入點AP 發(fā)送的報文進行協(xié)議一致性和正確性判斷,對基準用戶終端STA發(fā)送異常報文后待測訪問 接入點AP的響應進行判斷,若控制臺能夠捕獲到后續(xù)的鑒別報文,并進行完整的WAPI協(xié)議 處理,對整個WAPI協(xié)議處理過程進行流程正確性和完整性分析,則負面測試的相應測試項 在發(fā)送錯誤報文后恢復發(fā)送正確報文情況下的協(xié)議檢測過程成功;否則,協(xié)議檢測過程失 敗。
9.根據(jù)權利要求6所述的WAPI設備協(xié)議中實現(xiàn)健壯性的負面測試的檢測方法,其特 征在于若所述待測WAPI設備是鑒別服務器AS,且基準設備向待測設備發(fā)送的報文方式是 2. 1)時,所述步驟幻的具體實現(xiàn)方式是3. 5. 1)在基準上根據(jù)所選擇的測試項進行僅發(fā)送錯誤報文的負面測試的配置;基準 用戶終端STA與基準訪問接入點AP進行關聯(lián),并進行WAPI協(xié)議鑒別處理,直至協(xié)議認證進 展到測試項目要進行證書鑒別請求處理時,基準訪問接入點AP構造異常證書鑒別請求報 文,并將該異常報文發(fā)送給待測鑒別服務器AS ;3. 5. 2)檢測控制臺捕獲步驟3. 5. 1)所述鑒別過程所有的報文并進行協(xié)議一致性和正 確性判斷,對基準訪問接入點AP發(fā)送異常證書鑒別請求報文后待測鑒別服務器AS的響應 進行判斷,若檢測控制臺能夠捕獲到后續(xù)的鑒別報文,則待測鑒別服務器AS沒有對基準訪 問接入點AP發(fā)送的異常證書鑒別請求進行正確處理,協(xié)議檢測失??;否則,等待一段時間, 若待測鑒別服務器AS沒有發(fā)送后續(xù)的鑒別報文,則負面測試的相應測試項目在僅發(fā)送錯 誤報文的情況下的協(xié)議檢測成功;若所述待測WAPI設備是鑒別服務器AS,且基準設備向待測設備發(fā)送的報文方式是 2.2)時,所述步驟幻的具體實現(xiàn)方式是3. 6. 1)在基準訪問接入點AP上根據(jù)所選擇的測試項進行發(fā)送錯誤證書鑒別請求報文 后恢復發(fā)送正常的證書鑒別請求報文的負面測試進行配置,基準用戶終端STA與基準訪問 接入點AP進行關聯(lián),并進行WAPI協(xié)議鑒別處理,當協(xié)議認證進展到測試項目要進行證書鑒 別請求報文的處理時,基準訪問接入點AP構造異常證書鑒別請求報文,并將該異常報文發(fā) 送給待測鑒別服務器AS,再次發(fā)送正常的證書鑒別請求報文,而后進行后續(xù)的WAPI鑒別處 理過程;3. 6. 2)檢測控制臺捕獲步驟3. 6. 2)所述鑒別過程的所有報文并對待測鑒別服務器AS 發(fā)送的報文進行協(xié)議一致性和正確性判斷,對基準訪問接入點AP發(fā)送異常證書鑒別請求 報文后待測鑒別服務器AS的響應進行判斷,若檢測控制臺能夠捕獲到后續(xù)的鑒別報文,并 進行完整的WAPI協(xié)議處理,對整個WAPI協(xié)議處理過程進行流程正確性和完整性分析,則負面測試的相應測試項在先發(fā)送錯誤報文而后恢復發(fā)送正常報文的情況下的協(xié)議檢測過程 成功;否則,協(xié)議檢測過程失敗。
全文摘要
本發(fā)明涉及一種對無線局域網(wǎng)設備安全協(xié)議WAPI的協(xié)議中實現(xiàn)健壯性的負面測試的檢測系統(tǒng)及其檢測方法,該系統(tǒng)包括檢測控制臺、集線器以及WAPI設備;檢測控制臺通過集線器與WAPI設備相連;WAPI設備中包括基準設備以及待測設備,基準設備是符合WAPI協(xié)議標準的規(guī)定的能夠構造并發(fā)送固定字段填寫錯誤的異常報文的WAPI設備,基準設備根據(jù)WAPI負面測試項目向待測設備發(fā)送異常的特定字段填寫錯誤的WAPI鑒別報文;檢測控制臺對檢測過程中收發(fā)報文包括負面測試異常報文進行捕獲并進行協(xié)議分析和負面測試協(xié)議分析。本發(fā)明提供了一種WAPI設備協(xié)議中實現(xiàn)健壯性的負面測試的檢測系統(tǒng)及其檢測方法。
文檔編號H04W12/00GK102098668SQ201010597638
公開日2011年6月15日 申請日期2010年12月20日 優(yōu)先權日2010年12月20日
發(fā)明者師倩俊, 張化鵬, 張變玲, 李毅, 胡亞楠, 郭曉東 申請人:西安西電捷通無線網(wǎng)絡通信股份有限公司