专利名称:鉴别服务实体的安全接入协议符合性测试的方法及其系统的制作方法
技术领域:
本发明涉及网络安全接入协议测试领域,尤其是一种鉴别服务实体的安全接入协议符合性测试的方法及其系统。
背景技术:
IP网络承载的业务种类日益繁多,已介入到国民经济和社会各个层面,无线IP网络通过无线电波传输数据,更使网络物理的开放性达到新的阶段,由此,安全接入成为有线和无线网络安全运行的关键问题。
IP网络的安全接入系统主要涉及到三个网络实体网络终端、接入点(又称基站)和鉴别服务实体。网络终端请求接入网络,享受网络提供的各种资源;接入点是IP互联网络的边缘设备,是为网络用户提供接入服务的实体;鉴别服务实体是提供用户身份鉴别服务的实体。
目前关于无线局域网领域的产品安全接入协议测试系统主要有WI-FI联盟针对IEEE802.11标准的互操作测试系统和一些无线局域网应用的辅助管理测试系统。其中辅助管理测试系统主要通过监测物理信道和网络的状态提供网络系统安装和应用的相关信息。WI-FI联盟的互操作测试系统是通过测试待测设备与基准设备的互通性以及通信的性能来验证待测设备中协议实现的正确性,即协议符合性检测。该测试系统具有以下缺点1、通过典型的应用环境,即高层协议的互操作性来测试设备具有不完整性,测试结果可能存在偏差。
2、基准设备实现的正确性程度将严重影响测试结果的准确性。
3、不能给出测试未通过情况下的错误定位信息。
发明内容
本发明为解决背景技术中存在的上述技术问题,而提供一种测试结果准确、测试数据完整并且可进行错误定位的鉴别服务实体的安全接入协议符合性测试的方法及其系统。
本发明的技术解决方案是一种鉴别服务实体的安全接入协议符合性测试的方法,其特殊之处在于该方法包括以下步骤1)检查待测鉴别服务实体颁发的接入点以及终端证书是否符合标准的规定;2)模拟接入点向待测鉴别服务实体发送证书鉴别请求报文;3)捕获待测鉴别服务实体发送的证书鉴别响应;4)分析检测鉴别服务实体发送的证书鉴别响应;5)各种证书有效性状态的组合测试。
上述步骤1)的具体步骤如下1.1)检查待测鉴别服务实体颁发的证书中版本号字段的值是否和标准中规定的值一致;1.2)检查序列号字段的长度以及内容是否与标准中的规定相符;1.3)检查签名算法字段中Hash(杂凑)算法和签名算法子字段的值是否与标准中规定的值一致;1.4)检查证书颁发者名称字段、证书持有者名称字段、证书持有者公钥字段以及颁发者签名字段中长度子字段值和内容子字段的长度是否相同;1.5)检查有效期字段的长度是否与标准中的规定相符。
上述步骤4)的具体步骤如下4.1)检查版本号是否符合标准中的规定;4.2)检查数据长度字段值是否和数据字段的长度一致;4.3)比较终端证书鉴别结果信息字段中终端证书字段内容与本地保存的终端证书内容是否相同,检查终端证书鉴别结果代码字段的值是否在标准定义的范围之内;4.4)比较接入点证书鉴别结果信息字段中接入点证书字段内容与本地保存的接入点证书内容是否相同,检查接入点证书鉴别结果代码字段的值是否在标准定义的范围之内;4.5)比较鉴别服务实体签名字段中长度子字段的值与内容子字段的长度是否相同,并和标准中规定的有效长度值相同。
上述步骤5)中在模拟接入点发送的证书鉴别请求报文中对接入点和终端的不同的证书状态进行组合发送,分别对应于接入点和终端证书“有效”、“已吊销”等多种状态的组合,检查每次待测鉴别服务实体返回的证书鉴别响应报文中的接入点和终端的鉴别结果是否和发送的证书状态一致。
上述安全接入协议为WAPI协议。
一种实现上述鉴别服务实体的安全接入协议符合性测试方法的系统,其特殊之处在于该系统包括监测控制台、集线器和待测鉴别服务实体,监测控制台和待测鉴别服务实体连接在集线器上。
本发明基于鉴别服务实体来设计的,可用于对设备厂商生产的鉴别服务实体进行安全接入协议实现的正确性和一致性进行测试。其通过模拟接入点发送安全接入协议数据到待测的鉴别服务实体,并通过捕获待测鉴别服务实体的响应数据,并详细的分析该响应数据,以及在此基础上实现的安全接入协议流程异常情况的模拟测试,保障了通过测试的产品完全符合国标的规定和互操作性。因此本发明具有如下优点1、测试结果准确。本方案通过技术改进,引入了相关协议数据的捕获与完整的分析方法,使测试的结果更准确。
2、测试数据完整。由于测试过程包括了完整的数据捕获分析,可以给出待测设备中协议数据的详细信息。
3、可进行错误定位。由于对协议的执行过程进行了微观的检测,可以精确的定位协议实现方面的错误。
四
图1为本发明的系统拓扑结构图。
五具体实施例方式
本发明的方法可适用于WAPI协议。其具体实现方法如下1)检查待测鉴别服务实体颁发的接入点以及终端证书是否符合标准的规定;1.1)检查待测鉴别服务实体颁发的证书中版本号字段的值是否和标准中规定的值一致;
1.2)检查序列号字段的长度以及内容是否与标准中的规定相符;1.3)检查签名算法字段中Hash算法和签名算法子字段的值是否与标准中规定的值一致;1.4)检查证书颁发者名称字段、证书持有者名称字段、证书持有者公钥字段以及颁发者签名字段中长度子字段值和内容子字段的长度是否相同;1.5)检查有效期字段的长度是否与标准中的规定相符。
2)模拟接入点向待测鉴别服务实体发送证书鉴别请求报文;3)捕获待测鉴别服务实体发送的证书鉴别响应;4)分析检测鉴别服务实体发送的证书鉴别响应;4.1)检查版本号是否符合标准中的规定;4.2)检查数据长度字段值是否和数据字段的长度一致;4.3)比较终端证书鉴别结果信息字段中终端证书字段内容与本地保存的终端证书内容是否相同,检查终端证书鉴别结果代码字段的值是否在标准定义的范围之内;4.4)比较接入点证书鉴别结果信息字段中接入点证书字段内容与本地保存的接入点证书内容是否相同,检查接入点证书鉴别结果代码字段的值是否在标准定义的范围之内;4.5)比较鉴别服务实体签名字段中长度子字段的值与内容子字段的长度是否相同,并和标准中规定的有效长度值相同。
5)各种证书有效性状态的组合测试。在模拟接入点发送的证书鉴别请求报文中对接入点和终端的不同的证书状态进行组合发送,分别对应于接入点和终端证书“有效”、“已吊销”等多种状态的组合,检查每次待测鉴别服务实体返回的证书鉴别响应报文中的接入点和终端的鉴别结果是否和发送的证书状态一致。
以上分析检查过程中,若有一项检测不通过,则该待测鉴别服务实体的测试结果为不通过,即必须通过上述所有检测项目,待测鉴别服务实体才能通过协议符合性检测。
参见图1,本发明的系统包括监测控制台1、集线器2和待测鉴别服务实体3,所述监测控制台1和待测鉴别服务实体3连接在集线器2上。
系统工作时,待测鉴别服务实体3分别颁发2个接入点和2个终端证书;由待测鉴别服务实体3分别吊销已颁发的1个接入点和1个终端证书;在监测控制台1安装待测鉴别服务实体颁发的接入点和终端的“有效”、“已吊销”证书。运行监测控制台1的监测模拟程序,分别向待测鉴别服务实体3发送接入点和终端的证书有效性组合的证书鉴别请求报文。监测控制台1分析待测鉴别服务实体3返回的证书鉴别响应报文的封装格式和响应的证书鉴别结果。
权利要求
1.一种鉴别服务实体的安全接入协议符合性测试的方法,其特征在于该方法包括以下步骤1)检查待测鉴别服务实体颁发的接入点以及终端证书是否符合标准的规定;2)模拟接入点向待测鉴别服务实体发送证书鉴别请求报文;3)捕获待测鉴别服务实体发送的证书鉴别响应;4)分析检测鉴别服务实体发送的证书鉴别响应;5)各种证书有效性状态的组合测试。
2.根据权利要求1所述的鉴别服务实体的安全接入协议符合性测试的方法,其特征在于所述步骤1)的具体步骤如下1.1)检查待测鉴别服务实体颁发的证书中版本号字段的值是否和标准中规定的值一致;1.2)检查序列号字段的长度以及内容是否与标准中的规定相符;1.3)检查签名算法字段中Hash算法和签名算法子字段的值是否与标准中规定的值一致;1.4)检查证书颁发者名称字段、证书持有者名称字段、证书持有者公钥字段以及颁发者签名字段中长度子字段值和内容子字段的长度是否相同;1.5)检查有效期字段的长度是否与标准中的规定相符。
3.根据权利要求1或2所述的鉴别服务实体的安全接入协议符合性测试的方法,其特征在于所述步骤4)的具体步骤如下4.1)检查版本号是否符合标准中的规定;4.2)检查数据长度字段值是否和数据字段的长度一致;4.3)比较终端证书鉴别结果信息字段中终端证书字段内容与本地保存的终端证书内容是否相同,检查终端证书鉴别结果代码字段的值是否在标准定义的范围之内;4.4)比较接入点证书鉴别结果信息字段中接入点证书字段内容与本地保存的接入点证书内容是否相同,检查接入点证书鉴别结果代码字段的值是否在标准定义的范围之内;4.5)比较鉴别服务实体签名字段中长度子字段的值与内容子字段的长度是否相同,并和标准中规定的有效长度值相同。
4.根据权利要求3所述的鉴别服务实体的安全接入协议符合性测试的方法,其特征在于所述步骤5)中在模拟接入点发送的证书鉴别请求报文中对接入点和终端的不同的证书状态进行组合发送,分别对应于接入点和终端证书“有效”、“已吊销”等多种状态的组合,检查每次待测鉴别服务实体返回的证书鉴别响应报文中的接入点和终端的鉴别结果是否和发送的证书状态一致。
5.根据权利要求1所述的鉴别服务实体的安全接入协议符合性测试的方法,其特征在于所述安全接入协议为WAPI协议。
6.一种实现权利要求1所述的鉴别服务实体的安全接入协议符合性测试的方法的系统,其特征在于该系统包括监测控制台、集线器和待测鉴别服务实体,所述监测控制台和待测鉴别服务实体连接在集线器上。
全文摘要
本发明涉及一种鉴别服务实体的安全接入协议符合性测试的方法及其系统。本发明的方法包括以下步骤1)检查待测鉴别服务实体颁发的接入点以及终端证书是否符合标准的规定;2)模拟接入点向待测鉴别服务实体发送证书鉴别请求报文;3)捕获待测鉴别服务实体发送的证书鉴别响应;4)分析检测鉴别服务实体发送的证书鉴别响应;5)各种证书有效性状态的组合测试。本发明为解决背景技术中存在的技术问题,而提供一种测试结果准确、测试数据完整并且可进行错误定位的鉴别服务实体的安全接入协议符合性测试的方法及其系统。
文档编号H04L12/56GK1812419SQ200610041849
公开日2006年8月2日 申请日期2006年2月28日 优先权日2006年2月28日
发明者张变玲, 曹军, 涂学峰 申请人:西安西电捷通无线网络通信有限公司