一種wapi設備協議中實現健壯性的負面測試的檢測系統及其檢測方法

2023-06-19 23:07:41

專利名稱：一種wapi設備協議中實現健壯性的負面測試的檢測系統及其檢測方法
技術領域：
本發明屬於無線通信安全協議檢測領域，涉及一種對無線區域網設備安全協議 WAPI的協議中實現健壯性的負面測試的檢測系統及其檢測方法。
背景技術：
無線區域網認證(或鑑別)與保密基礎結構(WLAN Authentication and Privacy Infrastructure, WAPI)協議由WAI (無線區域網鑑別基礎結構)和WPI (無線區域網保密基 礎結構)兩部分組成。隨著WAPI技術的推廣，WAPI生產廠商開發的WAPI設備也越來越多 樣，廠商開發的WAPI設備，如用戶終端(Station，STA)、訪問接入點(Access Point，AP)、認 證伺服器(或鑑別)伺服器(Authentication SerVer，AS)，在開發過程中，有些廠商的設備 開發不夠完善、實現協議不夠健壯、並不是嚴格的按照協議標準對收發報文的每個欄位按 照WAPI協議標準做了嚴格的比較和判斷、對規定欄位填寫錯誤的異常報文缺乏正確的處 理能力，從而引發其設備難以完成正常的WAPI協議鑑別流程，致使設備在無線電監測中心 和中國商用密碼研究中心進行WAPI協議CCCi檢測時遇到問題。目前沒有測試方法來判斷 WAPI協議設備協議實現的健壯性，從而無法使設備生產廠商或運營商判斷設備生產廠商開 發的WAPI設備是否是按照WAPI協議標準的規定開發的。

發明內容
為了解決背景技術中存在的上述技術問題，本發明提供了一種WAPI設備協議中 實現健壯性的負面測試的檢測系統及其檢測方法。本發明的技術解決方案是本發明提供了一種WAPI設備協議中實現健壯性的負 面測試的檢測系統，其特殊之處在於所述系統包括檢測控制臺、集線器以及WAPI設備；所 述檢測控制臺通過集線器與WAPI設備相連；所述WAPI設備中包括基準設備以及待測設備， 所述基準設備是符合WAPI協議標準的規定的能夠構造並發送固定欄位填寫錯誤的異常報 文的WAPI設備，所述基準設備根據WAPI負面測試項目向待測設備發送異常的特定欄位填 寫錯誤的WAPI鑑別報文；所述檢測控制臺對檢測過程中收發報文包括負面測試異常報文 進行捕獲並進行協議分析和負面測試協議分析。上述WAPI設備是用戶終端STA，訪問接入點AP以及鑑別伺服器AS。若所述待測設備是用戶終端STA時，所述基準設備是訪問接入點AP和鑑別伺服器 AS ；若所述待測設備是訪問接入點AP時，所述基準設備是用戶終端STA和鑑別伺服器AS ； 若所述待測設備是鑑別伺服器AS時，所述基準設備是用戶終端STA和訪問接入點AP。—種WAPI設備協議中實現健壯性的負面測試的檢測方法，其特殊之處在於所述 方法包括以下步驟1)選取符合WAPI協議標準規定的能夠構造並發送固定欄位填寫錯誤的異常報文 的基準設備；
2)基準設備根據WAPI負面測試項目向待測設備發送異常的特定欄位填寫錯誤的 WAPI鑑別報文；3)通過步驟2)所發送的異常的特定欄位填寫錯誤的WAPI鑑別報文對待測WAPI 設備的健壯性進行負面測試。上述WAPI負面測試項目包括用戶終端STA的負面測試、訪問接入點AP的負面測 試以及鑑別伺服器AS的負面測試；所述用戶終端STA的負面測試包括基準AP發送異常WAI子類型報文對STA進行 負面測試、基準AP發送異常WAI頭部欄位報文對STA進行負面測試、基準AP發送異常指定 欄位報文對STA進行負面測試以及基準AP發送異常WAI完整性校驗欄位報文對STA進行 負面測試；所述訪問接入點AP的負面測試包括基準STA發送異常WAI子類型報文對AP進行 負面測試、基準STA發送異常WAI頭部報文對AP進行負面測試、基準STA發送異常指定欄位 報文對AP進行負面測試以及基準STA發送異常完整性校驗欄位報文對AP進行負面測試；所述鑑別伺服器AS的負面測試包括基準AP發送異常證書鑑別請求對AS進行負 面測試。上述步驟2)中基準設備向待測設備發送異常的特定欄位填寫錯誤的WAPI鑑別報 文的方式是2. 1)連續發送若干次固定欄位填寫錯誤的異常報文，而後等待，查看待測設備對 異常報文的處理能力；2.2)連續發送若干次固定欄位填寫錯誤的異常報文後，再次發送正常的WAPI協 議報文，恢復WAPI鑑別處理過程，查看待測設備對異常報文的處理情況。若所述待測WAPI設備是用戶終端STA，且基準設備向待測設備發送的報文方式是 2. 1)時，所述步驟3)的具體實現方式是3. 1. 1)在基準訪問接入點AP上根據所選擇的測試項進行僅發送錯誤報文的負面 測試項目的配置；待測用戶終端STA與基準訪問接入點AP進行關聯，並進行WAPI協議鑑 別處理，直至協議認證進展到與測試項相應的報文時，基準訪問接入點AP根據測試項目構 造異常報文，並將異常報文發送給待測用戶終端STA，連續發送若干次，發送間隔為一段時 間；3. 1. 2)檢測控制臺捕獲步驟3. 1. 1)中鑑別過程的所有報文並對待測用戶終端 STA發送的報文進行協議一致性和正確性判斷，對基準訪問接入點AP發送異常報文後待測 用戶終端STA的響應進行判斷；若控制臺能夠捕獲到後續的鑑別報文，則表示待測用戶終 端STA沒有對基準訪問接入點AP發送的異常報文進行正確處理，協議檢測失敗；否則，等待 一段時間後，若待測STA沒有發送後續的鑑別報文，則負面測試的相應測試項目在僅發送 錯誤報文的情況下的協議檢測成功；若所述待測WAPI設備是用戶終端STA，且基準設備向待測設備發送的報文方式是 2. 2)時，所述步驟3)的具體實現方式是3. 2. 1)在基準AP上根據所選擇的測試項進行發送錯誤報文後恢復發送正確報文 的負面測試項目的配置；待測用戶終端STA與基準訪問接入點AP進行關聯，並進行WAPI協 議鑑別處理，直至協議認證進展到與測試項相應的報文時，基準訪問接入點AP根據測試項
7目構造異常報文，並將異常報文發送給待測用戶終端STA，連續發送若干次，發送間隔一段 時間，再次發送正常的報文，而後進行後續的正常的WAPI鑑別處理過程；3. 2. 2)檢測控制臺捕獲步驟3. 2. 1)所述鑑別過程的所有報文並對待測用戶終端 STA發送的報文進行協議一致性和正確性判斷，對基準訪問接入點AP發送異常報文後待測 用戶終端STA的響應進行判斷；若控制臺能夠捕獲到後續的鑑別報文，並進行完整的WAPI 協議處理，對整個WAPI協議處理過程進行流程正確性和完整性分析，則負面測試的相應測 試項目在發送錯誤報文後恢復發送正常報文的情況下的協議檢測過程成功；否則，協議檢 測過程失敗；其中，若所述步驟3. 1. 2)以及步驟3. 2. 2)的兩項測試都成功，則表示對用戶終端 STA的負面測試成功，用戶終端STA的健壯性符合WAPI協議要求；若有一項測試不成功，則 表示對用戶終端STA的負面測試失敗，用戶終端STA的健壯性不符合WAPI協議要求。上述測試項目是用戶終端STA的負面測試中的一個或多個測試項目進行測試。若所述待測WAPI設備是訪問接入點AP，且基準設備向待測設備發送的報文方式 是2. 1)時，所述步驟3)的具體實現方式是3. 3. 1)在基準上根據所選擇的測試項進行僅發送錯誤報文的負面測試的配置； 基準用戶終端STA與待測訪問接入點AP進行關聯，並進行WAPI協議鑑別處理，直至協議認 證進展到與測試項相應的報文時，基準用戶終端STA根據測試項目構造異常報文，並將異 常報文發送給待測訪問接入點AP，連續發送若干次，發送間隔一段時間；3. 3. 2)檢測控制臺捕獲步驟3. 3. 1)所述鑑別過程的所有報文並對待測訪問接入 點AP發送的報文進行協議一致性和正確性判斷，對基準用戶終端STA發送異常報文後待測 訪問接入點AP的響應進行判斷，若控制臺能夠捕獲到後續的鑑別報文，則表示待測訪問接 入點AP沒有對基準用戶終端STA發送的異常報文進行正確處理，協議檢測失敗；否則，等待 一段時間後，若待測訪問接入點AP沒有發送後續的鑑別報文，則負面測試的相應測試項目 在僅發送錯誤報文的情況下的協議檢測成功；若所述待測WAPI設備是訪問接入點AP，且基準設備向待測設備發送的報文方式 是2. 2)時，所述步驟3)的具體實現方式是3. 4. 1)在基準用戶終端STA上根據所選擇的測試項進行發送錯誤報文後恢復發 送正確報文的負面測試的配置；基準用戶終端STA與待測訪問接入點AP進行關聯，並進行 WAPI協議鑑別處理，直至協議認證進展到與測試項相應的報文時，基準用戶終端STA根據 測試項目構造異常報文，並將異常報文發送給待測訪問接入點AP，連續發送若干次，發送間 隔一段時間，再次發送正常的報文，而後進行後續的正常的WAPI鑑別處理過程；3. 4. 2)檢測控制臺捕獲步驟3. 4. 1)所述鑑別過程的所有報文並對待測訪問接入 點AP發送的報文進行協議一致性和正確性判斷，對基準用戶終端STA發送異常報文後待測 訪問接入點AP的響應進行判斷，若控制臺能夠捕獲到後續的鑑別報文，並進行完整的WAPI 協議處理，對整個WAPI協議處理過程進行流程正確性和完整性分析，則負面測試的相應測 試項在發送錯誤報文後恢復發送正確報文情況下的協議檢測過程成功；否則，協議檢測過 程失敗；其中，若步驟3. 3. 2)與步驟3. 4. 2)所述的兩項測試都成功，則表示對訪問接入點 AP的負面測試成功，訪問接入點AP的健壯性符合WAPI協議要求；若有一項測試不成功，則表示對訪問接入點AP的負面測試失敗，訪問接入點AP的健壯性不符合WAPI協議要求。上述測試項目是訪問接入點AP的負面測試中的一個或多個測試項目進行測試。若所述待測WAPI設備是鑑別伺服器AS，且基準設備向待測設備發送的報文方式 是2. 1)時，所述步驟3)的具體實現方式是3. 5. 1)在基準上根據所選擇的測試項進行僅發送錯誤報文的負面測試的配置； 基準用戶終端STA與基準訪問接入點AP進行關聯，並進行WAPI協議鑑別處理，直至協議認 證進展到測試項目要進行證書鑑別請求處理時，基準訪問接入點AP構造異常證書鑑別請 求報文，並將該異常報文發送給待測鑑別伺服器AS ；3. 5. 2)檢測控制臺捕獲步驟3. 5. 1)所述鑑別過程所有的報文並進行協議一致性 和正確性判斷，對基準訪問接入點AP發送異常證書鑑別請求報文後待測鑑別伺服器AS的 響應進行判斷，若檢測控制臺能夠捕獲到後續的鑑別報文，則待測鑑別伺服器AS沒有對基 準訪問接入點AP發送的異常證書鑑別請求進行正確處理，協議檢測失敗；否則，等待一段 時間，若待測鑑別伺服器AS沒有發送後續的鑑別報文，則負面測試的相應測試項目在僅發 送錯誤報文的情況下的協議檢測成功；若所述待測WAPI設備是鑑別伺服器AS，且基準設備向待測設備發送的報文方式 是2. 2)時，所述步驟3)的具體實現方式是3. 6. 1)在基準訪問接入點AP上根據所選擇的測試項進行發送錯誤證書鑑別請求 報文後恢復發送正常的證書鑑別請求報文的負面測試進行配置，基準用戶終端STA與基準 訪問接入點AP進行關聯，並進行WAPI協議鑑別處理，當協議認證進展到測試項目要進行證 書鑑別請求報文的處理時，基準訪問接入點AP構造異常證書鑑別請求報文，並將該異常報 文發送給待測鑑別伺服器AS，再次發送正常的證書鑑別請求報文，而後進行後續的WAPI鑑 別處理過程；3. 6. 2)檢測控制臺捕獲步驟3. 6. 2)所述鑑別過程的所有報文並對待測鑑別服務 器AS發送的報文進行協議一致性和正確性判斷，對基準訪問接入點AP發送異常證書鑑別 請求報文後待測鑑別伺服器AS的響應進行判斷，若檢測控制臺能夠捕獲到後續的鑑別報 文，並進行完整的WAPI協議處理，對整個WAPI協議處理過程進行流程正確性和完整性分 析，則負面測試的相應測試項在先發送錯誤報文而後恢復發送正常報文的情況下的協議檢 測過程成功；否則，協議檢測過程失敗；其中，步驟3. 5. 2)與步驟3. 6. 2)所述的兩項測試都成功，則表示對鑑別伺服器AS 的負面測試成功，鑑別伺服器AS的健壯性符合WAPI協議要求；若有一項測試不成功，則表 示對鑑別伺服器AS的負面測試失敗，鑑別伺服器AS的健壯性不符合WAPI協議要求。上述測試項目是鑑別伺服器AS的負面測試中的一個或多個進行測試。本發明的優點是本發明提供了一種檢測系統及其檢測方法，通過檢測控制臺對上述鑑別過程中收 發的報文及其過程進行捕獲分析，對報文欄位相關欄位，報文格式的正確性、一致性，報文 完整性，流程正確性進行分析，對待測設備對錯誤報文處理能力的健壯性進行負面測試檢 測，從而判斷用戶開發的WAPI協議設備協議實現的健壯性。該檢測系統的基準設備首先要 符合WAPI協議標準的規定，其次要能夠構造並發送固定欄位填寫錯誤的異常報文。通過基 準設備發送異常的特定欄位填寫錯誤的WAPI鑑別報文，通過兩種方式，第一種，連續發送
9若干次固定欄位填寫錯誤的異常報文，而後等待，查看待測設備對異常報文的處理能力。第 二種，連續發送若干次固定欄位填寫錯誤的異常報文後，再次發送正常的WAPI協議報文， 恢復WAPI鑑別處理過程，查看待測設備對異常報文的處理情況及收到正常報文能夠恢復， 並進行完整的WAPI協議處理流程。本發明所提供的方法能夠判斷WAPI協議設備協議實現 的健壯性，從而使設備生產廠商或運營商判斷設備生產廠商開發的WAPI設備是否是按照 WAPI協議標準的規定開發的，通過該方法的實現，將能幫助廠商開發出規範的WAPI設備， 對運營商來說，也能更好的監測WAPI設備市場。


圖1是WAPI協議實現健壯性負面測試項目一覽表。圖2是現有的正常的WAPI協議鑑別的完整流程圖。圖3是基準AP發送異常接入鑑別請求的STA負面測試情況1的WAPI協議處理流程。圖4是基準AP發送異常接入鑑別請求的STA負面測試情況2的WAPI協議處理流程。圖5是STA協議健壯性負面測試檢測拓撲圖。圖6是AP協議健壯性負面測試檢測拓撲圖。圖7是AS協議健壯性負面測試檢測拓撲圖。 圖8是基準AP發送異常WAI版本號的證書鑑別請求的AS負面測試情況1的WAPI 協議流程圖。圖9是基準AP發送異常WAI版本號的證書鑑別請求的AS負面測試情況2的WAPI 協議流程圖。
具體實施例方式為解決背景技術中存在的技術問題，本發明提供了一套基準設備，包括基準的AP， STAjAS0該套基準設備符合WAPI協議標準的規定，能夠構造並發送固定欄位填寫錯誤的異 常報文。通過基準設備發送異常的特定欄位填寫錯誤的WAPI鑑別報文，包括兩種可選發送 方式，第一種，連續發送若干次固定欄位填寫錯誤的異常報文，而後等待，查看待測設備對 異常報文的處理能力；第二種，連續發送若干次固定欄位填寫錯誤的異常報文後，再次發送 正常的WAPI協議報文，恢復WAPI鑑別處理過程，查看待測設備對異常報文的處理情況及收 到正常報文能夠恢復，並進行完整的WAPI協議處理流程。本發明提供一套檢測控制臺，可 對上述鑑別過程中收發的報文及其過程進行捕獲分析，對報文欄位相關欄位、報文格式的 正確性和一致性、報文完整性、流程正確性進行分析，對待測設備對錯誤報文處理能力的健 壯性進行負面測試檢測，從而判斷用戶開發的WAPI協議設備協議實現的健壯性。本方案可對STA，AP, AS三種WAPI設備進行協議健壯性的負面測試。STA的負面測試處理步驟1.當待測設備為STA時，如圖5方式搭建協議健壯性的負面測試檢測拓撲圖，其 中AP，AS為基準設備，控制臺負責對檢測過程中收發的無線有線報文包括負面測試異常報 文進行捕獲並進行協議分析和負面測試協議分析，集線器可選擇100M集線器，AP, AS和控制臺通過有線方式連接到集線器上，STA和AP之間的連接採用WAPI無線方式。2.進行僅發送錯誤報文的負面測試2. 1.根據測試需要或測試目的，按照圖IWAPI負面測試項目一覽表選擇「STA的負 面測試」的四類中的一個或多個測試項進行負面測試；在基準AP上根據所選擇的測試項進 行僅發送錯誤報文的負面測試項目的配置；待測STA與基準AP進行關聯，並進行如圖2所 示的WAPI協議鑑別處理，直至協議認證進展到與測試項相應的報文時，基準AP根據測試項 目構造異常報文，並將異常報文發送給待測STA，連續發送若干次(較佳實施例為兩次)，發 送間隔一段時間(較佳實施例為100毫秒)。2. 2.檢測控制臺捕獲上述鑑別過程的所有報文並對待測STA發送的報文進行協 議一致性和正確性判斷，對基準AP發送異常報文後待測STA的響應進行判斷，若控制臺能 夠捕獲到後續的鑑別報文，則表示待測STA沒有對基準AP發送的異常報文進行正確處理， 協議檢測失敗，否則，等待一段時間(較佳實施例為3秒)後，若待測STA沒有發送後續的 鑑別報文，則負面測試的相應測試項目在僅發送錯誤報文的情況下的協議檢測成功。3.進行發送錯誤報文後恢復發送正確報文的負面測試3. 1.根據測試需要或測試目的，按照圖1中WAPI負面測試項目一覽表選擇「STA 負面測試」的四類的一個或多個測試項進行負面測試；在基準AP上根據所選擇的測試項進 行發送錯誤報文後恢復發送正確報文的負面測試項目的配置；待測STA與基準AP進行關 聯，並進行如圖2所示的WAPI協議鑑別處理，直至協議認證進展到與測試項相應的報文時， 基準AP根據測試項目構造異常報文，並將異常報文發送給待測STA，連續發送若干次(較佳 實施例為兩次)，發送間隔一段時間(較佳實施例為100毫秒)，再次發送正常的報文，而後 進行後續的如圖2中的正常的WAPI鑑別處理過程。3. 2.檢測控制臺捕獲上述鑑別過程的所有報文並對待測STA發送的報文進行協 議一致性和正確性判斷，對基準AP發送異常報文後待測STA的響應進行判斷，若控制臺能 夠捕獲到後續的鑑別報文，並進行完整的WAPI協議處理，對整個WAPI協議處理過程進行流 程正確性和完整性分析，則負面測試的相應測試項目在發送錯誤報文後恢復發送正常報文 的情況下的協議檢測過程成功，否則，協議檢測過程失敗。其中，步驟2與步驟3不分先後，步驟2與步驟3所述的兩項測試都成功，則表示 對STA的負面測試成功，STA的健壯性符合WAPI協議要求；若有一項測試不成功，則表示對 STA的負面測試失敗，STA的健壯性不符合WAPI協議要求。AP的負面測試處理步驟1.當待測設備為AP時，如圖6方式搭建協議健壯性的負面測試檢測拓撲圖，其中 STA，AS為基準設備，控制臺負責對檢測過程中收發的無線有線報文包括負面測試異常報文 進行捕獲並進行協議分析和負面測試協議分析，集線器可採用100M集線器，待測AP，基準 AS和檢測控制臺通告有線方式與集線器連接，基準STA與待測AP之間採用WAPI無線方式 連接。2.進行僅發送錯誤報文的負面測試2. 1.根據測試需要或測試目的，按照圖1中的WAPI負面測試項目一覽表選擇「AP 的負面測試」的四類中的一個或多個測試項進行負面測試；在基準上根據所選擇的測試項 進行僅發送錯誤報文的負面測試的配置；基準STA與待測AP進行關聯，並進行如圖2所示的WAPI協議鑑別處理，直至協議認證進展到與測試項相應的報文時，基準STA根據測試項 目構造異常報文，並將異常報文發送給待測AP，連續發送若干次(較佳實施例為兩次)，發 送間隔一段時間(較佳實施例為100毫秒)。2. 2.檢測控制臺捕獲上述鑑別過程的所有報文並對待測AP發送的報文進行協議 一致性和正確性判斷，對基準STA發送異常報文後待測AP的響應進行判斷，若控制臺能夠 捕獲到後續的鑑別報文，則表示待測AP沒有對基準STA發送的異常報文進行正確處理，協 議檢測失敗，否則，等待一段時間(較佳實施例為3秒)後，若待測AP沒有發送後續的鑑別 報文，則負面測試的相應測試項目在僅發送錯誤報文的情況下的協議檢測成功。3.進行發送錯誤報文後恢復發送正確報文的負面測試3. 1.根據測試需要或測試目的，按照圖1中WAPI負面測試項目一覽表選擇「AP負 面測試項目，，的四類中的一個或多個測試項進行負面測試；在基準STA上根據所選擇的測 試項進行發送錯誤報文後恢復發送正確報文的負面測試的配置；基準STA與待測AP進行關 聯，並進行如圖2所示的WAPI協議鑑別處理，直至協議認證進展到與測試項相應的報文時， 基準STA根據測試項目構造異常報文，並將異常報文發送給待測AP，連續發送若干次(較佳 實施例為兩次)，發送間隔一段時間(較佳實施例為100毫秒)，再次發送正常的報文，而後 進行後續的如圖2中的正常的WAPI鑑別處理過程。3. 2.檢測控制臺捕獲上述鑑別過程的所有報文並對待測AP發送的報文進行協議 一致性和正確性判斷，對基準STA發送異常報文後待測AP的響應進行判斷，若控制臺能夠 捕獲到後續的鑑別報文，並進行完整的WAPI協議處理，對整個WAPI協議處理過程進行流程 正確性和完整性分析，則負面測試的相應測試項在發送錯誤報文後恢復發送正確報文情況 下的協議檢測過程成功，否則，協議檢測過程失敗。其中，步驟2與步驟3不分先後，步驟2與步驟3所述的兩項測試都成功，則表示 對AP的負面測試成功，AP的健壯性符合WAPI協議要求；若有一項測試不成功，則表示對AP 的負面測試失敗，AP的健壯性不符合WAPI協議要求。AS的負面測試處理步驟1.當待測設備為AS時，如圖7方式搭建協議健壯性的負面測試檢測拓撲圖，其中 STA，AP為基準設備，控制臺負責對檢測過程中收發的無線有線報文包括負面測試異常報文 進行捕獲並進行協議分析和負面測試協議分析，集線器可採用100M集線器，基準AP，待測 AS，檢測控制臺通過有線方式與集線器連接，基準STA與基準AP之間採用WAPI無線方式連接。2.進行僅發送錯誤報文的負面測試2. 1.根據測試需要或測試目的，按照圖1中WAPI負面測試項目一覽表選擇「AS負 面測試項目」的一項或多項測試項進行負面測試；在基準上根據所選擇的測試項進行僅發 送錯誤報文的負面測試的配置；基準STA與基準AP進行關聯，並進行如圖2所示的WAPI協 議鑑別處理，直至協議認證進展到測試項目要進行證書鑑別請求處理時，基準AP構造異常 證書鑑別請求報文，並將該異常報文發送給待測AS。2. 2.檢測控制臺捕獲上述鑑別過程所有的報文並進行協議一致性和正確性判斷， 對基準AP發送異常證書鑑別請求報文後待測AS的響應進行判斷，若檢測控制臺能夠捕獲 到後續的鑑別報文，則待測AS沒有對基準AP發送的異常證書鑑別請求進行正確處理，協議檢測失敗，否則，等待一段時間(較佳實施例為30秒)後，若待測AS沒有發送後續的鑑別 報文，則負面測試的相應測試項目在僅發送錯誤報文的情況下的協議檢測成功。3.進行發送錯誤報文後恢復發送正確報文的負面測試3. 1.根據測試需要或測試目的，要按照圖1中WAPI負面測試項目一覽表選擇「AS 負面測試項目，，的一項或多項測試項進行負面測試，在基準AP上根據所選擇的測試項進行 發送錯誤證書鑑別請求報文後恢復發送正常的證書鑑別請求報文的負面測試進行配置，基 準STA與基準AP進行關聯，並進行如圖2所示的WAPI協議鑑別處理，當協議認證進展到測 試項目要進行證書鑑別請求報文的處理時，基準AP構造異常證書鑑別請求報文，並將該異 常報文發送給待測AS，再次發送正常的證書鑑別請求報文，而後進行後續的WAPI鑑別處理 過程。3. 2.檢測控制臺捕獲上述鑑別過程的所有報文並對待測AS發送的報文進行協議 一致性和正確性判斷，對基準AP發送異常證書鑑別請求報文後待測AS的響應進行判斷，若 檢測控制臺能夠捕獲到後續的鑑別報文，並進行完整的WAPI協議處理，對整個WAPI協議處 理過程進行流程正確性和完整性分析，則負面測試的相應測試項在先發送錯誤報文而後恢 復發送正常報文的情況下的協議檢測過程成功，否則，協議檢測過程失敗。其中，步驟2與步驟3不分先後，步驟2與步驟3所述的兩項測試都成功，則表示 對AS的負面測試成功，AS的健壯性符合WAPI協議要求；若有一項測試不成功，則表示對AS 的負面測試失敗，AS的健壯性不符合WAPI協議要求。由於WAPI協議實現健壯性負面測試的測試項目比較多(參見圖1)，本方案不便 羅列所有測試項目，僅以WAPI協議實現健壯性負面測試項目一覽表(即圖1)中的「STA的 負面測試」中的「第三類基準AP發送異常指定欄位報文對STA進行負面測試」中的測試項 b) 「基準AP發送異常AE籤名屬性類型的接入鑑別響應對STA進行負面測試」為例說明STA 的負面測試具體的詳細測試步驟。對於STA的負面測試中的其他測試項目的測試測試步驟 與此相同，僅需根據所選測試項對測試步驟中的報文做相應替換即可。另外，對於AP的負 面測試，其具體過程與STA的負面測試相同，僅需對測試步驟中的報文做相應替換即可。STA負面測試舉例1.如圖5的檢測拓撲圖搭建基準AP發送異常AE籤名屬性類型的接入鑑別響應對 STA進行負面測試的檢測拓撲圖，集線器可採用100M集線器，基準AP和基準AS及檢測控制 臺通過有線方式連接到集線器上，待測STA與基準AP採用WAPI無線方式連接，檢測控制臺 可對待測STA與基準AP之間進行鑑別無線報文，如關聯請求幀、鑑別激活、接入鑑別請求、 接入鑑別響應、單播密鑰協商請求、單播密鑰協商響應、單播密鑰協商確認、組播密鑰通告、 組播密鑰響應及數據加解密的WPI報文，進行捕獲分析；檢測控制臺也可對基準AP與基準 AS之間進行證書鑑別的證書鑑別請求和證書鑑別響應報文進行捕獲分析。2.在基準AP上開啟負面測試，選擇異常指定欄位報文類型，選擇發送異常AE籤名 屬性類型的接入鑑別響應報文進行的負面測試，報文發送方式選擇僅發送錯誤報文的第一 種情況，令待測STA依照圖2所示的鑑別流程與基準AP進行WAPI鑑別處理，待測STA發送 關聯請求幀給基準AP進行關聯，關聯成功後基準AP發送鑑別激活給待測STA，待測STA收 到鑑別激活後向基準AP發送接入鑑別請求報文，基準AP收到接入鑑別請求報文後向基準 AS發送證書鑑別請求報文，基準AS回應證書鑑別響應報文，後基準AP向待測STA發送AE籤名屬性欄位填寫錯誤的接入鑑別響應報文給待測STA，接著基準AP再次向待測STA發送 AE籤名屬性欄位填寫錯誤的接入鑑別響應報文該待測STA，等待3秒從而檢查待測STA對 基準AP的響應。3.或者基準AP選擇異常指定欄位報文類型，選擇異常AE籤名屬性類型的接入鑑 別響應報文，報文發送方式選擇僅發送錯誤報文後恢復發送正常的接入鑑別響應的第二種 情況，令待測STA依照圖3的鑑別流程與基準AP進行WAPI鑑別處理，待測STA發送關聯請 求幀給基準AP進行重新關聯，關聯成功後基準AP發送鑑別激活給待測STA，待測STA收到 鑑別激活後向基準AP發送接入鑑別請求報文，基準AP收到接入鑑別請求報文後向基準AS 發送證書鑑別請求報文，基準AS回應證書鑑別響應報文，後基準AP向待測STA發送AE籤 名屬性欄位填寫錯誤的接入鑑別響應報文給待測STA，等待100ms，再次向待測STA發送AE 籤名屬性欄位填寫錯誤的接入鑑別響應報文給待測STA，而後發送正常的接入鑑別響應報 文給待測STA，隨後基準AP向待測STA發送單播密鑰協商請求報文，待測STA向基準AP發 送單播密鑰協商響應報文，基準AP收到單播密鑰協商響應報文後向基準STA發送單播密鑰 協商確認報文，隨後基準AP向待測STA發送組播密鑰通告報文，最後待測STA向基準AP發 送組播密鑰響應報文；檢測控制臺再向待測STA發送ping (用於檢查網絡是否能夠連通，屬 於公知技術)包，待測STA會發送WPI數據包給基準AP。4.在上述步驟2及3敘述的過程中，當基準AP收到待測STA發送的接入鑑別請求 報文，成功處理後，進行證書的鑑別過程，並成功收到AS返回的證書鑑別響應報文後，構造 接入鑑別響應報文發送給待測STA之前，修改其緩衝中的AE的籤名屬性的屬性類型，修改 為0x09，其它欄位不變。對於第一種情況，也就是進行僅發送錯誤報文的負面測試時，發送錯誤AE籤名屬 性類型的接入鑑別響應報文給待測STA，連續發送兩次，發送間隔為100毫秒，發送完畢，等 待3秒，用於驗證待測STA對基準AP發送的異常AE籤名屬性類型的接入鑑別響應報文的 處理情況。對於第二種情況，也就是進行發送錯誤報文後恢復發送正確報文的負面測試先 發送錯誤AE籤名屬性類型的接入鑑別響應報文給待測STA，連續發送兩次，發送間隔為100 毫秒，而後再將正確的接入鑑別響應報文發給待測STA。用於驗證待測STA對基準AP發送 的異常AE籤名屬性類型的接入鑑別響應報文能否做正常的處理，以及能否恢復並進行完 整的WAPI協議認證過程。5.通過檢測控制臺對以上兩種情況鑑別過程中收發的無線有線報文進行捕獲， 並根據協議要求進行分析判斷待測設備對基準AP發送的異常接入鑑別響應報文的處理情 況，具體分析如下對於第一種情況，也就是進行僅發送錯誤報文的負面測試a)檢測控制臺能夠接收到待測STA關聯至基準AP的關聯請求幀，並解析其中的 WIEasue 欄位。b)檢測控制臺能夠接收到基準AP發送的正常的鑑別激活報文。c)檢測控制臺繼續接收待測STA向基準AP發送的正常的接入鑑別請求報文，並且 對接入鑑別請求報文進行協議一致性和正確性判斷。d)檢測控制臺能夠繼續接收到基準AP向基準AS進行認證的證書鑑別請求報文有
14線報文。e)檢測控制臺能夠繼續接收到基準AS向基準AP返回的認證成功的證書鑑別響應 報文有線報文。f)檢測控制臺能夠接收到基準AP發送給待測STA的異常AE籤名屬性類型的接入 鑑別響應報文，解析其AE的籤名屬性類型為0x09，則該報文通過。g)檢測控制臺能夠繼續接收到基準AP重新發送給待測STA的異常AE籤名屬性類 型的接入鑑別響應報文，解析其AE的籤名屬性類型為0x09，則該報文通過。h)檢測控制臺繼續接收報文，等待3秒，檢測控制臺只有可能接收到待測STA重 發的接入鑑別請求報文，而不會接收到待測STA發送的任何其它報文，則待測STA對基準 AP發送的異常AE籤名屬性類型的接入鑑別響應報文進行了正確處理，則協議檢測正確，否 則，協議檢測失敗。對於第二種情況，也就是進行發送錯誤報文後恢復發送正確報文的負面測試時a)檢測控制臺能夠接收到待測STA重新關聯至基準AP的關聯請求幀，並解析其中 的WIEasue欄位。b)檢測控制臺能夠接收到基準AP發送的正常的鑑別激活報文。c)檢測控制臺繼續接收待測STA向基準AP發送的正常的接入鑑別請求報文，並且 對接入鑑別請求報文進行協議一致性和正確性判斷。d)檢測控制臺能夠繼續接收到基準AP向基準AS進行認證的證書鑑別請求報文。e)檢測控制臺能夠繼續接收到基準AS向基準AP返回的認證成功的證書鑑別響應 報文。f)檢測控制臺能夠接收到基準AP發送給待測STA的異常AE籤名屬性類型的接入 鑑別響應報文，解析其AE的籤名屬性類型為0x09，則該報文通過。g)檢測控制臺能夠繼續接收到基準AP重新發送給待測STA的異常AE籤名屬性類 型的接入鑑別響應報文，解析其AE的籤名屬性類型為0x09，則該報文通過。h)檢測控制臺繼續接收報文，檢測控制臺接收到基準AP發送給待測STA的正常的 接入鑑別響應報文，解析其子類型為5，則該報文通過。i)檢測控制臺繼續接收報文，檢測控制臺能夠接收到基準AP發送給待測STA的單 播密鑰協商請求報文，則該報文通過。j)檢測控制臺繼續接收報文，若檢測控制臺能接收到待測STA向基準AP發送的單 播密鑰協商響應報文，並對單播密鑰協商響應報文的協議一致性和正確性進行判斷，同時 比較單播密鑰協商響應報文中的WAPI參數集合欄位與開始關聯請求幀中WIEasue欄位是 否相同，若各項比較通過，則該報文通過。k)檢測控制臺繼續接收報文，檢測控制臺能夠接收到基準AP發送給待測STA的單 播密鑰協商確認報文。1)檢測控制臺繼續接收報文，檢測控制臺能夠接收到基準AP發送給待測STA的組 播密鑰通告報文。m)檢測控制臺繼續接收報文，檢測控制臺能夠接收到待測STA向基準AP發送的組 播密鑰響應報文，並對組播密鑰響應報文的協議正確性和一致性進行判斷，若判斷成功，則 報文通過。
η)檢測控制臺繼續接收報文，檢測控制臺能夠接收到待測STA發送給基準AP的 WPI報文，並對加密數據的格式進行判斷，並對上述的整個過程接收WAPI協議報文的完整 性和流程正確性進行分析，若各項比較都通過，則協議檢測通過。ο)若檢測控制臺在第j)步沒有能夠接收到後續完整的WAPI協議認證報文，或是 其後接收的報文不完整，各項比較判斷不正確，則協議檢測失敗。由於AS的WAPI協議實現健壯性負面測試的測試項目分為四種(參見圖1)，本方 案不便羅列所有測試項目，僅以AS負面測試項目一覽表(即圖1)中的「AS的負面測試」中 測試項目b)的「基準AP發送異常WAI版本號的證書鑑別請求報文給AS的負面測試」為例 說明具體的詳細測試步驟。對於AS的負面測試中的其他測試項目的測試測試步驟與此相 同，僅需根據所選測試項對測試步驟中的報文做相應替換即可。AS負面測試舉例1.如圖7的檢測拓撲圖搭建基準AP發送異常WAI版本號的證書鑑別請求報文給 待測AS的負面測試的檢測拓撲圖，集線器可採用100M集線器，基準AP和待測AS及檢測控 制臺通過有線方式連接到集線器上，基準STA與基準AP採用WAPI無線方式連接，檢測控制 臺可對基準STA與基準AP之間進行鑑別無線報文，如關聯請求幀，鑑別激活，接入鑑別請 求，接入鑑別響應，單播密鑰協商請求，單播密鑰協商響應，單播密鑰協商確認，組播密鑰通 告，組播密鑰響應及數據加解密的WPI報文進行捕獲分析；檢測控制臺也可對基準AP與待 測AS之間進行證書鑑別的證書鑑別請求和證書鑑別響應報文進行捕獲分析。2.在基準AP上開啟負面測試，選擇基準AP發送異常WAI版本號的證書鑑別請求 報文給待測AS的負面測試，報文發送方式選擇僅發送錯誤報文的第一種情況，令基準STA 依照圖8的鑑別流程與基準AP進行WAPI鑑別處理，如圖，基準STA發送關聯請求幀給基準 AP進行關聯，關聯成功後基準AP發送鑑別激活給基準STA，基準STA收到鑑別激活後向基 準AP發送接入鑑別請求報文，基準AP收到接入鑑別請求報文後向基準AS發送異常WAI版 本號的證書鑑別請求報文，等待30秒，觀察待測AS對基準AP的響應情況。3.或者基準AP選擇發送異常WAI版本號的證書鑑別請求報文給待測AS的負面 測試，報文發送方式選擇發送錯誤證書鑑別請求後恢復發送正常的證書鑑別請求的第二種 情況，令基準STA依照圖9的鑑別流程與基準AP進行WAPI鑑別處理，基準STA發送關聯請 求幀給基準AP進行重新關聯，關聯成功後基準AP發送鑑別激活給基準STA，基準STA收到 鑑別激活後向基準AP發送接入鑑別請求報文，基準AP收到接入鑑別請求報文後向待測AS 發送異常WAI版本號的證書鑑別請求報文，基準AP隨後發送正常的證書鑑別請求分組給待 測AS，待測AS回應證書鑑別響應報文，而後基準AP發送正常的接入鑑別響應報文給基準 STA,隨後基準AP向基準STA發送單播密鑰協商請求報文，基準STA向基準AP發送單播密 鑰協商響應報文，基準AP收到單播密鑰協商響應報文後向基準STA發送單播密鑰協商確認 報文，隨後基準AP向基準STA發送組播密鑰通告報文，最後基準STA向基準AP發送組播密 鑰響應報文；檢測控制臺再向基準STA發送ping包，基準STA會發送WPI數據包給基準AP。4.在上述步驟2及3敘述的過程中，當基準AP收到基準STA發送的接入鑑別請求 報文，構造WAI版本號填寫異常的證書鑑別請求分組給待測AS，將版本號改寫為0x0009。對於第一種情況，也就是進行僅發送錯誤報文的負面測試發送異常WAI版本號的證書鑑別請求報文給待測AS，發送完畢，等待30秒，用於驗
16證待測AS對控制臺發送的異常WAI版本號的證書鑑別請求分組的處理情況。對於第二種情況，也就是進行發送錯誤報文後恢復發送正確報文的負面測試先將異常WAI版本號的證書鑑別請求報文發送給待測AS，而後將正常的證書鑑別 請求發送給待測AS，驗證待測AS能否對異常WAI版本號的證書鑑別請求做正常處理，以及 能否進行完整的證書鑑別過程。5.通過檢測控制臺對以上兩種情況鑑別過程中收發的無線有線報文進行捕獲，並 根據協議要求進行分析判斷待測設備對基準AP發送的異常WAI版本號的證書鑑別請求報 文的處理情況，具體分析如下對於第一種情況，也就是進行僅發送錯誤報文的負面測試a)檢測控制臺能夠接收到基準STA關聯至基準AP的關聯請求幀，並解析其中的 WIEasue 欄位。b)檢測控制臺能夠接收到基準AP發送的正常的鑑別激活報文。c)檢測控制臺繼續接收基準STA向基準AP發送的正常的接入鑑別請求報文。d)檢測控制臺能夠繼續接收到基準AP向待測AS發送的WAI版本號填寫異常的證 書鑑別請求報文，解析WAI版本號為0x0009，則該報文通過。e)檢測控制臺繼續接收報文，等待30秒，檢測控制臺沒有收到待測AS對基準AP 發回的證書鑑別請求響應報文，則待測AS對基準AP發送的異常WAI版本號的證書鑑別請 求進行了正確處理，則協議檢測成功，否則協議檢測失敗。對於第二種情況，也就是進行發送錯誤報文後恢復發送正確報文的負面測試a)檢測控制臺能夠接收到基準STA重新關聯至基準AP的關聯請求幀，並解析其中 的WIEasue欄位。b)檢測控制臺能夠接收到基準AP發送的正常的鑑別激活報文。c)檢測控制臺繼續接收待測STA向基準AP發送的正常的接入鑑別請求報文。d)檢測控制臺能夠繼續接收到基準AP向待測AS發送的WAI版本號填寫異常的證 書鑑別請求報文，解析WAI版本號為0x0009，則該報文通過。e)檢測控制臺能夠繼續接收到基準AP向待測AS發送的正常的證書鑑別請求報 文，並對該報文進行協議一致性和正確性判斷。f)檢測控制臺繼續接收報文，檢測控制臺接收到基準AP發送給待測基準STA的正 常的接入鑑別響應報文。g)檢測控制臺繼續接收報文，檢測控制臺能夠接收到基準AP發送給基準STA的單 播密鑰協商請求報文。h)檢測控制臺繼續接收報文，若檢測控制臺能接收到基準STA向基準AP發送的單 播密鑰協商響應報文，並比較單播密鑰協商響應報文中的WAPI參數集合欄位與開始關聯 請求幀中WIEasue欄位是否相同，若比較通過，則該報文通過。i)檢測控制臺繼續接收報文，檢測控制臺能夠接收到基準AP發送給基準STA的單 播密鑰協商確認報文。j)檢測控制臺繼續接收報文，檢測控制臺能夠接收到基準AP發送給基準STA的組 播密鑰通告報文。k)檢測控制臺繼續接收報文，檢測控制臺能夠接收到基準STA向基準AP發送的組
17播密鑰響應報文。1)檢測控制臺繼續接收報文，檢測控制臺能夠接收到基準STA發送給基準AP的 WPI報文，並對加密數據的格式進行判斷，並對上述的整個過程接收WAPI協議報文的完整 性和流程正確性進行分析，若各項比較都通過，則協議檢測通過。m)若檢測控制臺在第e)步沒有能夠接收到後續完整的WAPI協議認證報文，或是 其後接收的報文不完整，各項比較判斷不正確，則協議檢測失敗。
權利要求
1.一種WAPI設備協議中實現健壯性的負面測試的檢測系統，其特徵在於所述系統包 括檢測控制臺、集線器以及WAPI設備；所述檢測控制臺通過集線器與WAPI設備相連；所述 WAPI設備中包括基準設備以及待測設備，所述基準設備是符合WAPI協議標準的規定的能 夠構造並發送固定欄位填寫錯誤的異常報文的WAPI設備，所述基準設備根據WAPI負面測 試項目向待測設備發送異常的特定欄位填寫錯誤的WAPI鑑別報文；所述檢測控制臺對檢 測過程中收發報文包括負面測試異常報文進行捕獲並進行協議分析和負面測試協議分析。
2.根據權利要求1所述的WAPI設備協議中實現健壯性的負面測試的檢測系統，其特徵 在於所述WAPI設備是用戶終端STA，訪問接入點AP以及鑑別伺服器AS。
3.根據權利要求2所述的WAPI設備協議中實現健壯性的負面測試的檢測系統，其特 徵在於若所述待測設備是用戶終端STA時，所述基準設備是訪問接入點AP和鑑別伺服器 AS ；若所述待測設備是訪問接入點AP時，所述基準設備是用戶終端STA和鑑別伺服器AS ； 若所述待測設備是鑑別伺服器AS時，所述基準設備是用戶終端STA和訪問接入點AP。
4.一種WAPI設備協議中實現健壯性的負面測試的檢測方法，其特徵在於所述方法包 括以下步驟1)選取符合WAPI協議標準的規定的能夠構造並發送固定欄位填寫錯誤的異常報文的 基準設備；2)基準設備根據WAPI負面測試項目向待測設備發送異常的特定欄位填寫錯誤的WAPI 鑑別報文；3)通過步驟2~)所發送的異常的特定欄位填寫錯誤的WAPI鑑別報文進行待測WAPI設 備的健壯性進行負面測試。
5.根據權利要求4所述的WAPI設備協議中實現健壯性的負面測試的檢測方法，其特徵 在於所述WAPI負面測試項目包括用戶終端STA的負面測試、訪問接入點AP的負面測試或 鑑別伺服器AS的負面測試；所述用戶終端STA的負面測試包括基準AP發送異常WAI子類型報文對STA進行負面 測試、基準AP發送異常WAI頭部欄位報文對STA進行負面測試、基準AP發送異常指定欄位 報文對STA進行負面測試以及基準AP發送異常WAI完整性校驗欄位報文對STA進行負面 測試中的至少一種；所述訪問接入點AP的負面測試包括基準STA發送異常WAI子類型報文對AP進行負面 測試、基準STA發送異常WAI頭部報文對AP進行負面測試、基準STA發送異常指定欄位報 文對AP進行負面測試以及基準STA發送異常完整性校驗欄位報文對AP進行負面測試中的 至少一種；所述鑑別伺服器AS的負面測試包括基準AP發送異常證書鑑別請求對AS進行負面測試ο
6.根據權利要求4或5所述的WAPI設備協議中實現健壯性的負面測試的檢測方法，其 特徵在於所述步驟幻中基準設備向待測設備發送異常的特定欄位填寫錯誤的WAPI鑑別 報文的方式是.2. 1)連續發送若干次固定欄位填寫錯誤的異常報文，而後等待，查看待測設備對異常 報文的處理能力；或者.2. 2)連續發送若干次固定欄位填寫錯誤的異常報文後，再次發送正常的WAPI協議報文，恢復WAPI鑑別處理過程，查看待測設備對異常報文的處理情況。
7.根據權利要求6所述的WAPI設備協議中實現健壯性的負面測試的檢測方法，其特 徵在於若所述待測WAPI設備是用戶終端STA，且基準設備向待測設備發送的報文方式是 2. 1)時，所述步驟幻的具體實現方式是，3. 1. 1)在基準訪問接入點AP上根據所選擇的測試項進行僅發送錯誤報文的負面測試 項目的配置；待測用戶終端STA與基準訪問接入點AP進行關聯，並進行WAPI協議鑑別處 理，直至協議認證進展到與測試項相應的報文時，基準訪問接入點AP根據測試項目構造異 常報文，並將異常報文發送給待測用戶終端STA，連續發送若干次，發送間隔為一段時間；，3. 1. 2)檢測控制臺捕獲步驟3. 1. 1)中鑑別過程的所有報文並對待測用戶終端STA發 送的報文進行協議一致性和正確性判斷，對基準訪問接入點AP發送異常報文後待測用戶 終端STA的響應進行判斷；若控制臺能夠捕獲到後續的鑑別報文，則表示待測用戶終端STA 沒有對基準訪問接入點AP發送的異常報文進行正確處理，協議檢測失敗；否則，等待一段 時間後，若待測STA沒有發送後續的鑑別報文，則負面測試的相應測試項目在僅發送錯誤 報文的情況下的協議檢測成功；若所述待測WAPI設備是用戶終端STA，且基準設備向待測設備發送的報文方式是2. 2) 時，所述步驟幻的具體實現方式是，3. 2. 1)在基準AP上根據所選擇的測試項進行發送錯誤報文後恢復發送正確報文的負 面測試項目的配置；待測用戶終端STA與基準訪問接入點AP進行關聯，並進行WAPI協議鑑 別處理，直至協議認證進展到與測試項相應的報文時，基準訪問接入點AP根據測試項目構 造異常報文，並將異常報文發送給待測用戶終端STA，連續發送若干次，發送間隔一段時間， 再次發送正常的報文，而後進行後續的正常的WAPI鑑別處理過程；，3. 2. 2)檢測控制臺捕獲步驟3. 2. 1)所述鑑別過程的所有報文並對待測用戶終端STA 發送的報文進行協議一致性和正確性判斷，對基準訪問接入點AP發送異常報文後待測用 戶終端STA的響應進行判斷；若控制臺能夠捕獲到後續的鑑別報文，並進行完整的WAPI協 議處理，對整個WAPI協議處理過程進行流程正確性和完整性分析，則負面測試的相應測試 項目在發送錯誤報文後恢復發送正常報文的情況下的協議檢測過程成功；否則，協議檢測 過程失敗。
8.根據權利要求6所述的WAPI設備協議中實現健壯性的負面測試的檢測方法，其特 徵在於若所述待測WAPI設備是訪問接入點AP，且基準設備向待測設備發送的報文方式是 2. 1)時，所述步驟幻的具體實現方式是，3. 3. 1)在基準上根據所選擇的測試項進行僅發送錯誤報文的負面測試的配置；基準 用戶終端STA與待測訪問接入點AP進行關聯，並進行WAPI協議鑑別處理，直至協議認證進 展到與測試項相應的報文時，基準用戶終端STA根據測試項目構造異常報文，並將異常報 文發送給待測訪問接入點AP，連續發送若干次，發送間隔一段時間；，3. 3. 2)檢測控制臺捕獲步驟3. 3. 1)所述鑑別過程的所有報文並對待測訪問接入點AP 發送的報文進行協議一致性和正確性判斷，對基準用戶終端STA發送異常報文後待測訪問 接入點AP的響應進行判斷，若控制臺能夠捕獲到後續的鑑別報文，則表示待測訪問接入點 AP沒有對基準用戶終端STA發送的異常報文進行正確處理，協議檢測失敗；否則，等待一段 時間後，若待測訪問接入點AP沒有發送後續的鑑別報文，則負面測試的相應測試項目在僅發送錯誤報文的情況下的協議檢測成功；若所述待測WAPI設備是訪問接入點AP，且基準設備向待測設備發送的報文方式是 2.2)時，所述步驟幻的具體實現方式是3. 4. 1)在基準用戶終端STA上根據所選擇的測試項進行發送錯誤報文後恢復發送正 確報文的負面測試的配置；基準用戶終端STA與待測訪問接入點AP進行關聯，並進行WAPI 協議鑑別處理，直至協議認證進展到與測試項相應的報文時，基準用戶終端STA根據測試 項目構造異常報文，並將異常報文發送給待測訪問接入點AP，連續發送若干次，發送間隔一 段時間，再次發送正常的報文，而後進行後續的正常的WAPI鑑別處理過程；3. 4. 2)檢測控制臺捕獲步驟3. 4. 1)所述鑑別過程的所有報文並對待測訪問接入點AP 發送的報文進行協議一致性和正確性判斷，對基準用戶終端STA發送異常報文後待測訪問 接入點AP的響應進行判斷，若控制臺能夠捕獲到後續的鑑別報文，並進行完整的WAPI協議 處理，對整個WAPI協議處理過程進行流程正確性和完整性分析，則負面測試的相應測試項 在發送錯誤報文後恢復發送正確報文情況下的協議檢測過程成功；否則，協議檢測過程失 敗。
9.根據權利要求6所述的WAPI設備協議中實現健壯性的負面測試的檢測方法，其特 徵在於若所述待測WAPI設備是鑑別伺服器AS，且基準設備向待測設備發送的報文方式是 2. 1)時，所述步驟幻的具體實現方式是3. 5. 1)在基準上根據所選擇的測試項進行僅發送錯誤報文的負面測試的配置；基準 用戶終端STA與基準訪問接入點AP進行關聯，並進行WAPI協議鑑別處理，直至協議認證進 展到測試項目要進行證書鑑別請求處理時，基準訪問接入點AP構造異常證書鑑別請求報 文，並將該異常報文發送給待測鑑別伺服器AS ；3. 5. 2)檢測控制臺捕獲步驟3. 5. 1)所述鑑別過程所有的報文並進行協議一致性和正 確性判斷，對基準訪問接入點AP發送異常證書鑑別請求報文後待測鑑別伺服器AS的響應 進行判斷，若檢測控制臺能夠捕獲到後續的鑑別報文，則待測鑑別伺服器AS沒有對基準訪 問接入點AP發送的異常證書鑑別請求進行正確處理，協議檢測失敗；否則，等待一段時間， 若待測鑑別伺服器AS沒有發送後續的鑑別報文，則負面測試的相應測試項目在僅發送錯 誤報文的情況下的協議檢測成功；若所述待測WAPI設備是鑑別伺服器AS，且基準設備向待測設備發送的報文方式是 2.2)時，所述步驟幻的具體實現方式是3. 6. 1)在基準訪問接入點AP上根據所選擇的測試項進行發送錯誤證書鑑別請求報文 後恢復發送正常的證書鑑別請求報文的負面測試進行配置，基準用戶終端STA與基準訪問 接入點AP進行關聯，並進行WAPI協議鑑別處理，當協議認證進展到測試項目要進行證書鑑 別請求報文的處理時，基準訪問接入點AP構造異常證書鑑別請求報文，並將該異常報文發 送給待測鑑別伺服器AS，再次發送正常的證書鑑別請求報文，而後進行後續的WAPI鑑別處 理過程；3. 6. 2)檢測控制臺捕獲步驟3. 6. 2)所述鑑別過程的所有報文並對待測鑑別伺服器AS 發送的報文進行協議一致性和正確性判斷，對基準訪問接入點AP發送異常證書鑑別請求 報文後待測鑑別伺服器AS的響應進行判斷，若檢測控制臺能夠捕獲到後續的鑑別報文，並 進行完整的WAPI協議處理，對整個WAPI協議處理過程進行流程正確性和完整性分析，則負面測試的相應測試項在先發送錯誤報文而後恢復發送正常報文的情況下的協議檢測過程 成功；否則，協議檢測過程失敗。
全文摘要
本發明涉及一種對無線區域網設備安全協議WAPI的協議中實現健壯性的負面測試的檢測系統及其檢測方法，該系統包括檢測控制臺、集線器以及WAPI設備；檢測控制臺通過集線器與WAPI設備相連；WAPI設備中包括基準設備以及待測設備，基準設備是符合WAPI協議標準的規定的能夠構造並發送固定欄位填寫錯誤的異常報文的WAPI設備，基準設備根據WAPI負面測試項目向待測設備發送異常的特定欄位填寫錯誤的WAPI鑑別報文；檢測控制臺對檢測過程中收發報文包括負面測試異常報文進行捕獲並進行協議分析和負面測試協議分析。本發明提供了一種WAPI設備協議中實現健壯性的負面測試的檢測系統及其檢測方法。
文檔編號H04W12/00GK102098668SQ201010597638
公開日2011年6月15日 申請日期2010年12月20日 優先權日2010年12月20日
發明者師倩俊, 張化鵬, 張變玲, 李毅, 胡亞楠, 郭曉東 申請人:西安西電捷通無線網絡通信股份有限公司