?

原文地址：http://www.wapia.org/topic/standards/detail_5074.shtml

?

證書鑒別功能測試中常見問題及解決方法

問題：待測手機在接收到基準AP發出的鑒別激活分組后，未能回復接入鑒別請求分組。

問題分析及解決方法：待測手機接收到基準AP發出的鑒別激活分組數據包之后，應能正確解析該數據包，如果WAPI客戶端開發實現不夠完善，未能正確解析鑒別激活分組數據包，將無法對該分組數據做出正確的響應。在解析鑒別激活分組數據包過程中，部分待測手機WAPI客戶端不能對“本地ASU的身份”字段進行有效判斷或者不支持漫游場景，例如當基準AP 配置的“本地ASU的身份”字段值與手機終端數字證書的頒發者身份不匹配時，手機WAPI客戶端無法識別，直接丟棄鑒別激活分組等?！氨镜谹SU的身份”字段代表了基準AP信任的鑒別服務器的身份，如果與手機終端數字證書頒發者身份相同則說明基準AP和手機在同一個鑒別服務器下，如果不相同則說明基準AP和手機處在不同鑒別服務器下或者手機處于漫游狀態。WAPI技術標準中，證書鑒別流程和重要字段解析參見下文第2部分。

WAPI證書鑒別流程和重要字段解析

如圖1 所示，WAPI證書鑒別流程共包含有五個數據分組的消息交互。本節將詳細講解每一個數據分組的結構及其重要字段，以便幫助手機廠商更加清晰了解WAPI標準中的協議流程以及容易被忽視的重要字段。

（圖1）

鑒別激活分組數據字段格式（見圖2）

（圖2）

重要字段：

標識FLAG：比特0為基密鑰BK更新標識。當ASUE關聯或重新關聯至AE時進行證書鑒別過程，比特0的值為0；當證書鑒別功能為BK更新過程時，比特0的值為1。
鑒別標識：如果不是BK更新過程（比特0的值為0），則鑒別標識字段的值由AE 隨機生成；如果是BK更新過程（比特0的值為1），則鑒別標識字段的值采用上一次證書鑒別過程所協商的鑒別標識。

本地ASU的身份：AE信任的鑒別服務器ASU 。

接入鑒別請求分組數據字段格式（見圖3）

（見圖3）

重要字段：

鑒別標識：字段值與鑒別激活分組中的鑒別標識字段值相同。

ASUE詢問：ASUE生成的32 個八位位組的隨機數。

STAASUE的證書：ASUE的數字證書。

ASUE的簽名：對本分組中除本字段之外所有數據字段的簽名。

證書鑒別請求分組數據字段格式（見圖4）

（見圖4）

重要字段：

ADDID：AE和ASUE 的MAC地址串連。

AE詢問和ASUE詢問：分別為ASUE 在接入鑒別請求分組中生成的隨機數和AE生成的隨機數。

STAASUE和STAAE的證書：分別為ASUE和AE的數字證書，供ASU進行鑒別。

證書鑒別響應分組數據字段格式（見圖5）

（見圖5）

重要字段：

證書的驗證結果：證書結果定義如下：

0 表示證書有效；

1 表示證書的頒發者不明確；

2 表示證書基于不可信任的根證書；

3 表示證書未到生效期或已過期；

4 表示簽名錯誤；

5 表示證書已吊銷；

6 表示證書未按規定用途使用；

7 表示證書吊銷狀態未知；

8 表示證書錯誤原因未知；

其他值保留。

ASUE信任的服務器簽名：對本分組中證書的驗證結果字段的簽名。

AE信任的服務器簽名：對本分組中除本字段和ADDID字段之外所有數據字段的簽名。

注：若ASUE信任的服務器和AE信任的服務器為同一個，則證書鑒別響應分組中ASUE信任的服務器簽名字段和AE信任的服務器簽名字段只存在一個；若ASUE證書的驗證結果為證書的頒發者不明確，則證書鑒別響應分組不包含ASUE信任的服務器簽名字段。

接入鑒別響應分組數據字段格式（見圖6）

（見圖6）

重要字段：

AE詢問、ASUE詢問、AE密鑰數據、ASUE密鑰數據：為BK導出的必要輸入。

接入結果：具體意義如下：

0 表示接入成功，對應證書驗證結果值為0；

1 表示無法驗證證書，對應證書驗證結果值為1；

2 表示證書錯誤，對應證書驗證結果除0 和1 之外的其他值；

3 表示本地策略禁止；

其他值保留。

復合的證書驗證結果：包含鑒別服務器對STAASUE證書和STAAE證書驗證的結果。

證書鑒別功能要求及測試方法

功能要求：

移動用戶終端應能正確實現完整的WAI鑒別流程，并在成功完成WAI鑒別后與AP建立連接。 （參見手機測試標準 第5.2.2.4章）

測試步驟：

步驟一：AP1上安裝AS1頒發的證書，AS1為鑒別服務器。

步驟二：EUT上安裝AS1頒發的證書。

步驟三：EUT發起WAI流程，并能成功連接。

步驟四：EUT安裝一個已經被AS1吊銷的證書。

步驟五：EUT發起WAI流程，不能連接。

證書鑒別功能要求與WAPI技術標準的章節對應關系

手機測試標準中的證書鑒別功能要求與WAPI技術標準中以下章節的內容對應。詳細內容可以參閱 WAPI技術標準。

WAPI技術標準第7.3.2.8章: WAPI 信息元素

WAPI技術標準第8.1章: WAI鑒別及密鑰管理中支持WAI鑒別及密鑰管理的STA四種實現方式中的a）在BSS中基于證書的方式和c）在IBSS中基于證書的方式內容對應

WAPI技術標準第8.1.4.1章: WAI協議分組格式

WAPI技術標準第8.1.4.2章: 證書鑒別過程

?

總結

以上是生活随笔為你收集整理的手机WAPI功能检测常见问题分析(系列连载二)：证书鉴别功能的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。