手机WAPI功能检测常见问题分析(系列连载二)：证书鉴别功能

证书鉴别功能测试中常见问题及解决方法

问题：待测手机在接收到基准AP发出的鉴别激活分组后，未能回复接入鉴别请求分组。

问题分析及解决方法：待测手机接收到基准AP发出的鉴别激活分组数据包之后，应能正确解析该数据包，如果WAPI客户端开发实现不够完善，未能正确解析鉴别激活分组数据包，将无法对该分组数据做出正确的响应。在解析鉴别激活分组数据包过程中，部分待测手机WAPI客户端不能对“本地ASU的身份”字段进行有效判断或者不支持漫游场景，例如当基准AP 配置的“本地ASU的身份”字段值与手机终端数字证书的颁发者身份不匹配时，手机WAPI客户端无法识别，直接丢弃鉴别激活分组等。“本地ASU的身份”字段代表了基准AP信任的鉴别服务器的身份，如果与手机终端数字证书颁发者身份相同则说明基准AP和手机在同一个鉴别服务器下，如果不相同则说明基准AP和手机处在不同鉴别服务器下或者手机处于漫游状态。WAPI技术标准中，证书鉴别流程和重要字段解析参见下文第2部分。

WAPI证书鉴别流程和重要字段解析

如图1 所示，WAPI证书鉴别流程共包含有五个数据分组的消息交互。本节将详细讲解每一个数据分组的结构及其重要字段，以便帮助手机厂商更加清晰了解WAPI标准中的协议流程以及容易被忽视的重要字段。

（图1）

鉴别激活分组数据字段格式（见图2）

（图2）

重要字段：

标识FLAG：比特0为基密钥BK更新标识。当ASUE关联或重新关联至AE时进行证书鉴别过程，比特0的值为0；当证书鉴别功能为BK更新过程时，比特0的值为1。
鉴别标识：如果不是BK更新过程（比特0的值为0），则鉴别标识字段的值由AE 随机生成；如果是BK更新过程（比特0的值为1），则鉴别标识字段的值采用上一次证书鉴别过程所协商的鉴别标识。

本地ASU的身份：AE信任的鉴别服务器ASU 。

接入鉴别请求分组数据字段格式（见图3）

（见图3）

重要字段：

鉴别标识：字段值与鉴别激活分组中的鉴别标识字段值相同。

ASUE询问：ASUE生成的32 个八位位组的随机数。

STAASUE的证书：ASUE的数字证书。

ASUE的签名：对本分组中除本字段之外所有数据字段的签名。

证书鉴别请求分组数据字段格式（见图4）

（见图4）

重要字段：

ADDID：AE和ASUE 的MAC地址串连。

AE询问和ASUE询问：分别为ASUE 在接入鉴别请求分组中生成的随机数和AE生成的随机数。

STAASUE和STAAE的证书：分别为ASUE和AE的数字证书，供ASU进行鉴别。

证书鉴别响应分组数据字段格式（见图5）

（见图5）

重要字段：

证书的验证结果：证书结果定义如下：

0 表示证书有效；

1 表示证书的颁发者不明确；

2 表示证书基于不可信任的根证书；

3 表示证书未到生效期或已过期；

4 表示签名错误；

5 表示证书已吊销；

6 表示证书未按规定用途使用；

7 表示证书吊销状态未知；

8 表示证书错误原因未知；

其他值保留。

ASUE信任的服务器签名：对本分组中证书的验证结果字段的签名。

AE信任的服务器签名：对本分组中除本字段和ADDID字段之外所有数据字段的签名。

注：若ASUE信任的服务器和AE信任的服务器为同一个，则证书鉴别响应分组中ASUE信任的服务器签名字段和AE信任的服务器签名字段只存在一个；若ASUE证书的验证结果为证书的颁发者不明确，则证书鉴别响应分组不包含ASUE信任的服务器签名字段。

接入鉴别响应分组数据字段格式（见图6）

（见图6）

重要字段：

AE询问、ASUE询问、AE密钥数据、ASUE密钥数据：为BK导出的必要输入。

接入结果：具体意义如下：

0 表示接入成功，对应证书验证结果值为0；

1 表示无法验证证书，对应证书验证结果值为1；

2 表示证书错误，对应证书验证结果除0 和1 之外的其他值；

3 表示本地策略禁止；

其他值保留。

复合的证书验证结果：包含鉴别服务器对STAASUE证书和STAAE证书验证的结果。

证书鉴别功能要求及测试方法

功能要求：

移动用户终端应能正确实现完整的WAI鉴别流程，并在成功完成WAI鉴别后与AP建立连接。 （参见手机测试标准 第5.2.2.4章）

测试步骤：

步骤一：AP1上安装AS1颁发的证书，AS1为鉴别服务器。

步骤二：EUT上安装AS1颁发的证书。

步骤三：EUT发起WAI流程，并能成功连接。

步骤四：EUT安装一个已经被AS1吊销的证书。

步骤五：EUT发起WAI流程，不能连接。

证书鉴别功能要求与WAPI技术标准的章节对应关系

手机测试标准中的证书鉴别功能要求与WAPI技术标准中以下章节的内容对应。详细内容可以参阅 WAPI技术标准。

WAPI技术标准第7.3.2.8章: WAPI 信息元素

WAPI技术标准第8.1章: WAI鉴别及密钥管理中支持WAI鉴别及密钥管理的STA四种实现方式中的a）在BSS中基于证书的方式和c）在IBSS中基于证书的方式内容对应

WAPI技术标准第8.1.4.1章: WAI协议分组格式

WAPI技术标准第8.1.4.2章: 证书鉴别过程