中国移动wapi接入流程测试规范

2024-07-16 来源：赴品旅游

中国移动WAPI接入流程测试规范

中国移动研究院

2006年10月

1/ 50

目录
前言...........................................4
1范围............................................5
2 规范性引用文件..................................5
3 缩略语..........................................5
4 测试环境........................................6

4.1被测设备................................6
4.2 测试工具................................6
5 WAPI 接入流程测试项目列表......................8
6 测试项目 IP地址分配..........................10
测试编号：6.1..............................10
分项目：用户固定分配IP 地址..............10
测试编号：6.2..............................11
分项目：用户从外置DHCP Server 分配IP地址11
测试编号：6.3..............................11
分项目：用户从内置DHCP Server 分配IP地址12
2 / 50

7 测试项目强制Portal...........................12
测试编号：7.1..............................12
分项目：未认证WEB 用户访问网站...........13
测试编号：7.2..............................13
分项目：已认证WEB 用户访问网站...........13
8 用户认证流程...................................14
测试编号：8.1..............................14
分项目：合法用户认证.....................14

测试编号：8.2..............................15
分项目：用户未开户.......................15
分项目：用户已开户，但是密码错误.........16
9测试项目门户网站推送..........................17
测试编号：9.1..............................17
分项目：门户网站推送.....................17
10测试项目计费流程.............................18
测试编号：10.1.............................18
分项目：计费开始.........................18
测试编号：10.2.............................19
3 / 50

分项目：实时计费.........................19
测试编号：10.3.............................20
分项目：停止计费.........................20
测试编号：10.4.............................21
分项目：流量翻转.........................21
11测试项目用户下线.............................22
测试编号：11.1.............................22
分项目：WLAN 用户主动下线.................22

测试编号：11.2.............................23
分项目：AC 侦测到用户下线.................24
分项目：强制用户下线.....................25
12 测试项目WAPI 协议一致性测试..................26
测试编号：12.1.............................26
分项目：鉴别激活分组.....................27
测试编号：12.2.............................27
分项目：接入鉴别请求分组.................27
测试编号：12.3.............................28
分项目：证书鉴别请求分组.................28
4/ 50

测试编号：12.4.............................28
分项目：证书鉴别响应分组.................28
测试编号：12.5.............................29
分项目：接入鉴别响应分组.................29
测试编号：12.6.............................30
分项目：单播密钥协商请求分组.............30
测试编号：12.7.............................30
分项目：单播密钥协商响应分组.............30

测试编号：12.8.............................31
分项目：单播密钥协商确认分组.............31
分项目：组播密钥通告分组.................32
测试编号：12.10............................32
分项目：组播密钥响应分组.................32
13测试项目安全能力测试.........................33
13.1可用性测试...............................33
13.2 安全性测试...............................36
13.3 性能测试.................................39
13.4WEP/WPA 安全性测试........................41
5/ 50

附录A:编制历史..................................42附件一、WEP、WPA-PSK密钥破解..................43

6 / 50

前言
本信令测试规范
本规范解释权属于中国移动通信集团公司。

本规范起草单位：中国移动通信集团公司研发中心本标准主要起草人：

7 / 50

1范围

本规范用于检验WAPI接入流程

2规范性引用文件

下列标准包含的条文，通过在本标准中引用而构成为本

标准的条文。本标准出版时，所示版本均为有效。所有标准都会

被修订，使用本标准的各方应探讨使用下列标准最新版本的可能

性。

GB15629.11-2003 《信息技术系统间远程通信和信息交

换局域网和城域网特定要求第11部分：无线局域网媒体访问

控制和物理层规范》

交换局域网和城域网特定要求第11部分无线局域网媒体访

问控制和物理层规范：2.4GHz 频段较高速物理层扩展规范》

GB15629.1104-2006 《信息技术系统间远程通信和信息

交换局域网和城域网特定要求第11部分：无线局域网媒体访

问控制和物理层规范：2.4GHz频段更高数据速率扩展规范》

3 缩略语

WLAN Wireless LAN 无线局域网

8/ 50

AP	Access Point	无线接入点
AC	Access Controller	接入控制器
AAA	Authentication，Authorization，Accounting	验证,授权,计费
DHCP	Dynamic Host Configuration Protocol	动态主机配置协议
DNS	Domain Name Service	域名服务
HTTP	Hyper Text Transport Protocol	超文本传输协议
RADIUS	Remote Authenticaton Dial In USR Service	拔号用户远程鉴权
SSL	Secure Sockets Layer	安去套接层
STA	Station	WLAN 用户终端
ASUE	Authenticatoin Supplicant Entity	鉴别请求者实体
AE	Authentocator Entity	鉴别器实体
ASU	Authenticatoin Service Unit	鉴别服务单元
WAPI	WLAN Authentication and Privacy Infrastructure	无线局域网鉴别与保密基

本结构

本测试规范中的被测设备包含如下部分：
STA： WLAN用户终端
AP：无线接入点
AS：鉴别服务器
Lanswitch：二层交换机（上行报文带vlanID）
AC：接入控制器
RadiusServer：Radius 用户认证服务器

9/ 50

PortalServer：门户网站。推送认证页面，接收WLAN用

户的认证信息，向AC发起用户认证请求,以及用户下线通知

DHCPServer：分配用户IP

4.2测试工具

本测试规范中需要如下的测试工具：

TESTPC：安装有Win98/2k/XP的操作系统，硬盘不小于

500M、内存不小于64M、CPU为PIII或以上的PC机，并且装有

Airopeek和Ethereal抓包工具，用于捕获和分析STA、AP和AS

SmartBits：用来向客户端发包之间的WAPI协议报文。

Ethereal：抓包软件，用来分析捕获有线链路的报文

4.3测试环境

基于WAPI的认证方式，是以AP作为WLAN用户接入认证点。

WAPI接入流程如图1所示。

10/ 50

ASUE

ASU

鉴别激活分组

接入鉴别请求分组

证书鉴别请求分组

证

书	接入鉴别响应分组	证书鉴别响应分组
鉴
别

单播密钥协商请求分组

单
播
密单播密钥协商响应分组

钥

商单播密钥协商确认分组协

图1WAPI 接入流程

测试环境如图2所示。

11/ 50

5 WAPI 接入流程测试项目列表

测试项目	项目编号	测试子项目	实测结果	备注
IP地址分配	6.1	用户固定分配IP地址	□通过 □部分通过□不通过□免测试
	6.2	用户从外置DHCP Server分配IP地址	□通过 □部分通过□不通过□免测试
	6.3	用户从内置DHCP Server分配IP地址	□通过 □部分通过□不通过□免测试
强制 Portal	7.1	未认证WEB用户访问网站	□通过 □部分通过□不通过□免测试
强制 Portal	7.2	已认证WEB用户访问网站	□通过 □部分通过□不通过□免测试
用户认证流程	8.1	合法用户认证	□通过 □部分通过□不通过□免测试下载高
用户认证流程	8.2	用户未开户	□通过 □部分通过□不通过□免测试

12/ 50

	8.3	用户已开户，但是密码错误	□通过 □部分通过□不通过□免测试
门户网站推送	9.1	门户网站推送	□通过 □部分通过□不通过□免测试
计费流程	10.1	计费开始	□通过 □部分通过□不通过□免测试
	10.2	实时计费	□通过 □部分通过□不通过□免测试
	10.3	停止计费	□通过 □部分通过□不通过□免测试
	10.4	流量翻转	□通过 □部分通过□不通过□免测试
用户下线	11.1	WLAN用户主动下线	□通过 □部分通过□不通过□免测试
	11.2	AC侦测到用户下线	□通过 □部分通过□不通过□免测试
	11.3	强制用户下线	□通过 □部分通过□不通过□免测试
WAPI协议一致性测试 w安全能力测试	12.1	鉴别激活分组	□通过 □部分通过□不通过□免测试
	12.2	接入鉴别请求分组	□通过 □部分通过□不通过□免测试
	12.3	证书鉴别请求分组	□通过 □部分通过□不通过□免测试
	12.4	证书鉴别响应分组	□通过 □部分通过□不通过□免测试
	12.5	接入鉴别响应分组	□通过 □部分通过□不通过□免测试
	12.6	单播密钥协商请求分组	□通过 □部分通过□不通过□免测试
	12.7	单播密钥协商响应分组	□通过 □部分通过□不通过□免测试豆网
	w 13.2	w.ta安全性测试	odocs.c □通过 □部分通过□不通过□免测试	o
	13.3	性能测试	□通过 □部分通过□不通过□免测试
	13.4	WEP/WPA安全性测试	□通过 □部分通过□不通过□免测试

13/ 50

6 测试项目IP地址分配

测试编号：6.1

参考：

项目：IP 地址分配

分项目：用户固定分配IP 地址

测试目的：
1、检测静态WLAN用户能否正常认证上线

预置条件：
1、用户已获取了密码，并开通了业务
2、用户已经获取证书并正确安装
3、认证点、RADIUS用户认证服务器正确配置完毕4、STA、AP和AS的WAPI认证功能正确配置完毕

测试流程：
1. 正确配置客户端的IP地址
3、WLAN 用户终端完成鉴别过程，接入AP 2、AC上配置WLAN用户的静态用户数据，且不绑定mac地址
7、打开IE 浏览器访问Internet，启动用户认证流程www.taodocs.c

预期结果：
1、步骤3、4中WLAN用户终端认证成功
2、步骤7中用户终端认证成功

测试说明：

测试结果：

14/ 50

测试编号：6.2

参考：

项目：IP 地址分配

分项目：用户从外置DHCP Server 分配IP 地址

测试目的：
1、测试AC的DHCP Relay功能

预置条件：

用户已获取了密码，并开通了业务
用户已经获取了证书并正确安装
正确配置DHCP服务器上的地址池和网关等数据

AC上配置DHCP Relay，正确配置外部DHCP服务器信息AC上配置WLAN用户使用外部DHCP服务器进行地址分配

测试流程：www.taodocs.c

2. 用户申请IP地址

3. 查询DHCP服务器上IP地址分配情况，观察是否正确记录所分配的IP地址

4. 用户释放IP 地址

预期结果：
1. 在步骤2中，用户正确申请到IP地址，并且网关、租用期以及DNS服务器等设置是否与DHCP服务器所设置的一致；
2. 在步骤3中，DHCP服务器应该正确记录IP地址分配情况；

3. 在步骤4中，DHCP服务器应该正确释放该IP地址。

测试说明：
1、win98下可以用winipcfg命令申请IP地址
2、win2k、winXp下可用ipconfig命令申请IP地址

测试结果：

15/ 50

测试编号：6.3

参考：

项目：IP 地址分配

分项目：用户从内置DHCP Server 分配IP 地址

测试目的：
1、测试Ac的内置DHCP Server

预置条件：
1、用户已获取了密码，并开通了业务
2、用户已经获取了证书并正确安装
3. 正确配置AC内置的DHCP服务器上的地址池和网关等数据

4．AC上配置WLAN用户使用内置DHCP服务器进行地址分配5、STA、AP和AS的WAPI认证功能正确配置完毕

测试流程：
1、WLAN 用户终端完成WAPI 鉴别过程，接入AP
2. 用户申请IP地址；
3. 查询AC上DHCP服务器上IP地址分配情况，观察是否正确记录所分配的IP地址；

预期结果：

与DHCP服务器所设置的一致；www.taodocs.c 2. 在步骤3中，AC上内置的DHCP服务器应该正确记录IP地址分配情况；

3. 在步骤4中，AC上内置的DHCP服务器应该正确释放该IP地址

测试说明：
1、win98下可以用winipcfg命令申请IP地址
2、win2k、winXp下可用ipconfig命令申请IP地址

测试结果：

7测试项目强制Portal

测试编号：7.1

参考：

项

目：强制Portal

16/ 50

分项目：未认证WEB 用户访问网站

测试目的：
1、测试WLAN 用户认证前是否能访问外部网站
2、测试WLAN 用户WEB 认证前访问外部网络是否被强制到Portal Server 3、测试强制WLAN用户通过PORTAL服务器进行WEB认证功能是否正常

预置条件：

用户已获取了密码，并开通了业务

1、用户已经获取了证书并正确安装
2、认证点、RADIUS 用户认证服务器正确配置完毕3、WEB 认证功能正确配置
4、AC 上配置PORTAL 服务器及强制PORTAL 功能5、STA、AP 和AS 的WAPI 认证功能正确配置完毕

测试流程：
1．WLAN用户终端完成WAPI鉴别过程，接入AP
2．用户申请IP地址；
3．用户访问WWW服务器；
4．用户在WEB认证页面上输入正确的帐号和密码进行认证；5．用户访问WWW 服务器

预期结果： 1、在步骤3中，用户无法访问WWW服务器，被强制到PORTAL服务器上；
www.taodocs.c

测试说明：

测试结果：

测试编号：7.2

参考：

项 目：强制Portal

分项目：已认证WEB 用户访问网站

测试目的：
1、测试WLAN 用户认证后是否能正常访问外部网站

17/ 50

预置条件：
1、存在一个已经过认证的在线WLAN用户
2．AC 上配置PORTAL 服务器及强制PORTAL 功能

测试流程：
1．用户访问WWW 服务器；

预期结果：
1、用户应可以正常访问WWW服务器，不会被强制到PORTAL Server

测试说明：

测试结果：

8 用户认证流程

测试编号：8.1

参

项

测试目的：
1、检测合法用户认证流程

预置条件：

1、用户已获取了密码，并开通了业务
2、用户已经获取了证书并正确安装
3、STA、AP和AS的WAPI认证功能正确配置完毕

4、AC和RADIUS进行相关配置，配置互通的IP地址和Key值

5、WLAN用户申请IP地址正常

6、WEB认证功能正确配置

7、认证点、RADIUS用户认证服务器正确配置完毕

18/ 50

测试流程：
1、启动TEST PC上的抓包工具，在TEST PC捕获UDP报文

2、WLAN用户终端完成WAPI鉴别过程，接入AP

3、打开IE 浏览器访问Internet，启动用户认证流程
4、用户输入正确的帐号和密码后进行认证
5、当WLAN 用户终端提示成功或者失败时，停止抓包，进行报文分析

预期结果：
1、WLAN用户终端认证成功
2、从TEST PC上抓包可以发现ACCESS-ACCEPT报文

测试说明：

测试结果：

测试编号：8.2

参

项

分项目：用户未开户

测试目的：
1、检测未开户的用户不能通过认证

预置条件：

1、用户未开户
2、用户已经获取了证书并正确安装
3、STA、AP和AS的WAPI认证功能正确配置完毕

4、AC和RADIUS进行相关配置，配置互通的IP地址和Key值

5、WLAN用户申请IP地址正常

6、WEB认证功能正确配置

7、认证点、RADIUS用户认证服务器正确配置完毕

19/ 50

测试流程：
1 启动TEST PC上的抓包工具，捕获UDP报文
2、WLAN用户终端完成WAPI鉴别过程，接入AP
3、打开IE 浏览器访问Internet，启动用户认证流程
4、输入未开户的用户帐号和密码后进行认证
5、当WLAN用户终端提示成功或者失败时，停止抓包，进行报文分析

预期结果：
1、WLAN用户终端认证失败
2、从TEST PC上可以抓到从Radius用户认证服务器发出的Access-Reject的消息

测试说明：

测试结果：

测试编号：8.3

参考：

项

测试目的：
1、检测错误的密码用户不能通过认证

预置条件：

1、用户已开户，但用户输入错误密码
2、用户已经获取了证书并正确安装
3、STA、AP和AS的WAPI认证功能正确配置完毕

4、AC和RADIUS进行相关配置，配置互通的IP地址和Key值

5、WLAN用户申请IP地址正常

6、WEB认证功能正确配置

7、认证点、RADIUS用户认证服务器正确配置完毕

20/ 50

测试流程：

1 启动TEST PC上的抓包工具，捕获UDP报文

2、打开IE 浏览器访问Internet，启动用户认证流程
3、输入错误的用户帐号和密码后进行认证
4、当WLAN 用户终端提示成功或者失败时，停止抓包，进行报文分析5、再次输入正确密码
6、启动TEST PC 上的抓包工具，捕获UDP 报文
7、重新打开IE 浏览器访问Internet，启动用户认证流程
8、当WLAN 用户终端提示成功或者失败时，停止抓包，进行报文分析

预期结果：
1、错误的密码无法登录

测试说明：

测试结果：

9 测试项目门户网站推送

测试编号：9.1

参

项

分项目：门户网站推送

测试目的：
1、检测WLAN用户WEB认证通过后是否推出设定的门户网站页面

预置条件：
1、用户已开户，并得到相应的用户名和密码
2、用户已经获取了证书并正确安装
3、STA、AP和AS的WAPI认证功能正确配置完毕
4、AC和RADIUS进行相关配置，配置互通的IP地址和Key值

5、WLAN用户申请IP地址正常

6、WEB认证功能正确配置

7、认证点、RADIUS用户认证服务器正确配置完毕8、Portal服务器正确配置完毕

21/ 50

测试流程：
1、用户申请IP地址，启动认证流程
2、用户输入正确的帐号和密码后进行认证

预期结果：
1、WLAN用户终端认证成功
2、向WLAN用户推出定制的门户网站页面

测试说明：

测试结果：

10测试项目计费流程

测试编号：10.1

参考：

项

测试目的：
1、检测WLAN用户终端上线后WLAN接入系统设备能够发起开始计费请求

预置条件：

1、用户已获取了密码，并开通了业务
2、用户已经获取了证书并正确安装
3、STA、AP和AS的WAPI认证功能正确配置完毕4、认证点、RADIUS 用户认证服务器正确配置完毕5、WLAN接入系统设备正确配置完毕
6、正确配置DHCP SERVER，并分配指定的地址段

测试流程：
1、启动TEST PC上的抓包工具，捕获UDP报文
2、用户申请IP地址，启动认证流程
3、等WLAN用户终端提示用户认证成功后，停止抓包，进行报文分析

22/ 50

预期结果：
1、从TEST PC能够捕获从AC发出的计费开始请求报文
2、从TEST PC上能够捕获从RADIUS 用户认证服务器发向AP或者AC上的计费开始响应消息

测试说明：

测试结果：

测试编号：10.2

参考：

项 目：计费流程

分项目：实时计费

1、检测WLAN用户终端上线后WLAN接入系统设备能够发起实时计费请求测试目的：

预置条件：
www.taodocs.c 4、认证点、RADIUS 用户认证服务器正确配置完毕
5、正确配置DHCP SERVER，并分配指定的地址段
6、WLAN接入系统设备正确配置完毕

测试流程：

1、配置AC的实时计费时间间隔是3分钟
2、启动TEST PC上的抓包工具，捕获UDP报文3、用户申请IP地址，启动认证流程

4、等WLAN用户终端提示用户认证成功后，启动WWW业务
5、过5分钟后，停止抓包，进行报文分析
6、配置AC的实时计费时间间隔是6分钟、配置Radius Server的实时计费间隔为3分钟7、重复步骤3~5

23/ 50

预期结果：

1、WLAN用户终端提示认证成功
2、步骤5中从TEST PC上可以抓到从RADIUS 用户认证服务器发出的Access-Accept的消息

3、步骤5从TEST PC能够捕获从AC发出的实时计费请求报文
4、步骤5从TEST PC上能够捕获从RADIUS 用户认证服务器发向AP或者AC上的实时计费响应消息

5、步骤5分析实时计费报文的时间间隔为3分钟，
6、步骤5实时计费报文中含有累加的时长和流量信息
7、步骤7中结果和预期结果3、4、5、6、7中相同，不过在现象3中有从Radius服务器返回的Acct-Interim-Interval属性值（3分钟）

测试说明：

测试结果：

测试编号：10.3

参

项

分项目：停止计费

测试目的：
1、检测WLAN用户终端下线后WLAN接入系统设备能够发起停止计费请求

预置条件：

1、用户已获取了密码，并开通了业务
2、用户已经获取了证书并正确安装
3、STA、AP和AS的WAPI认证功能正确配置完毕4、认证点、RADIUS 用户认证服务器正确配置完毕5、正确配置DHCP SERVER，并分配指定的地址段6、WLAN接入系统设备正确配置WLAN接入设备编号7、配置Radius server的实时计费时间间隔是3分钟

24 / 50

测试流程：

1、启动TEST PC上的抓包工具，捕获UDP报文2、用户申请IP地址，启动认证流程

3、等WLAN用户终端提示用户认证成功后，启动WWW业务4、过5分钟后，点击WLAN用户终端的断线按钮
5、停止抓包，进行报文分析

预期结果：

1、WLAN用户正常上线，WWW业务正常
2、从TEST PC能够捕获从AC发出的停止计费请求报文
3、从TEST PC上能够捕获从RADIUS 用户认证服务器发向AP或者AC上的停止计费响应消息

4、停止计费报文中含有累加的时长和流量信息
5、RADIUS 认证服务器能够查看WLAN用户会话话单，满足中国移动提出的会话话单内容要求

测试说明：

测试结果：

测试编号：10.4

参考：

项 目：计费流程

分项目：流量翻转

测试目的：
1、检测WLAN用户终端上线后WLAN系统接入设备能够处理流量翻转问题

预置条件：

1、用户已获取了密码，并开通了业务
2、用户已经获取了证书并正确安装
3、STA、AP和AS的WAPI认证功能正确配置完毕3、认证点、RADIUS 用户认证服务器正确配置完毕

4、正确配置DHCP SERVER，并分配指定的地址段5、WLAN接入系统设备正确配置WLAN接入设备编号6、配置Radius服务器的实时计费时间间隔是3分钟

25/ 50

测试流程：

1、启动TEST PC上的抓包工具，捕获UDP报文2、用户申请IP地址，启动认证流程

3、等WLAN用户终端提示用户认证成功后，启动WWW业务之后，
4、开始启动SMARTBits对WLAN客户终端进行发包
5、当SMARTBITS向WLAN用户终端发包的流量超过4Gbit时，启动TEST PC的抓包程序，SMARTBITS停止发包

预期结果：
1、Radius服务器能够查看含有正确的流量信息的会话话单

测试说明：

测试结果：

11 测试项目用户下线

26/ 50

测试流程：

1、用户申请IP地址，启动认证流程
2、认证成功后，WLAN用户终端启动WWW业务
3、3分钟后启动TEST PC上的抓包工具，捕获UDP报文4、点击WLAN用户终端下线按钮
5、再次启动WWW业务

预期结果：1、WLAN
2、从TEST过来的计费

WAP

下线流程

计费结束

（对应更改为W用户终端下线后

PC上可以抓到从停止响应

I用户

接
（

1.HTTP POS [下线请求

2.HTTP Res
ww

API的预期结果，再次启动WWW业务 AC发出的计费停

入点接入控AP）内置

T portal-url

ponse portal-url淘，用户IP地址]

.ta

如果流程图不同，请一并更改并

时，不能正常进行

止报文请求和从RADIUS 认证

制器（AC）认证/计费

PORTAL器（RADI

豆网

odocs

4.Accounting-Response/Stop

替换）

服务器发送

服务

US）

测试说明：

测试结果：

测试编号：11.2

参

考：

27/ 50

项 目：用户下线

分项目：AC 侦测到用户下线

测试目的：
1、检测AC设备能够检测用户异常下线

预置条件：

1、用户已获取了密码，并开通了业务
2、用户已经获取了证书并正确安装
3、STA、AP和AS的WAPI认证功能正确配置完毕4、认证点、RADIUS 认证服务器正确配置完毕5、正确配置DHCP SERVER，并分配指定的地址段6、Portal Server已经正确配置完毕

测试流程：

1、用户申请IP地址，启动认证流程

2、认证成功后，WLAN用户终端启动WWW业务

3、3 分钟后启动TEST PC 上的抓包工具，捕获UDP 报文
4、禁用WLAN 用户终端的网卡
5、过一段时间后，启用WLAN 用户的网卡，重新启动WWW 业务

预期结果：1、WLAN
w

下线流程

计费结束

（对应更改为W用户终端重新启
ww

用网卡后，再次启动API的预期结果，淘

.ta

如果流程图不同，请一并更改并豆网WWW业务时，不能正常进行

odocs

1.检测到用户断线

2.Accounting-Request/Stop

3.Accounting-Response/Stop下载

无水

替换）

高清印

28/ 50

测试说明：

测试结果：

29/ 50

预期结果：1、5分钟后2、从TEST发送过来的

WAP

下线流程

计费结束

（对应更改为W WLAN用户终端 PC上可以抓到从计费停止响应

I用户

接
（

API的预期结果，提示下线，不能进

AC发出的计费停

入点接入控AP）内置

淘.ta

如果流程图不同，请一并更改并行WWW业务
止报文请求和从RADIUS 用户

制器（AC）认证/计费PORTAL器（RADI

1.AC将用户强制下线

2.Accounting-Request/Stop豆网3.Accounting-Response/Stop docs

替换）

认证服务器

服务

US）

测试说明：

测试结果：

12测试项目WAPI协议一致性测试

30/ 50

预置条件：
1、用户已经获取了证书并正确安装
2、STA、AP和AS的WAPI认证功能正确配置完毕

测试流程：
1、启动TEST PC上的抓包工具，捕获鉴别激活分组2、STA关联AP，启动WAPI证书鉴别过程

预期结果：
报文符合GB 15629.11-2003-/XG1-2006的8.1.4.2.1的规定

测试说明：

测试结果：

测试编号：12.2

参考：

测试目的：
1、测试接入鉴别请求分组的协议一致性

预置条件：
1、用户已经获取了证书并正确安装
2、STA、AP和AS的WAPI认证功能正确配置完毕

测试流程：
1、启动TEST PC上的抓包工具，捕获接入鉴别请求分组2、STA关联AP，启动WAPI证书鉴别过程

预期结果：
报文符合GB 15629.11-2003/XG1-2006的8.1.4.2.2的规定

31 / 50

测试说明：

测试结果：

测试编号：12.3

参考：

项目：WAPI 协议一致性测试

分项目：证书鉴别请求分组

1、测试证书鉴别请求分组的协议一致性测试目的：

预置条件：

测试流程：
1、启动TEST PC上的抓包工具，捕获证书鉴别请求分组2、STA关联AP，启动WAPI证书鉴别过程

预期结果：
报文符合GB 15629.11-2003/XG1-2006的8.1.4.2.3的规定

测试说明：

测试结果：

32/ 50

测试编号：12.5

参考：

项目：WAPI 协议一致性测试

分项目：接入鉴别响应分组

测试目的：
1、测试接入鉴别响应分组的协议一致性

预置条件：
1、用户已经获取了证书并正确安装
2、STA、AP和AS的WAPI认证功能正确配置完毕

33/ 50

测试流程：
1、启动TEST PC上的抓包工具，捕获接入鉴别响应分组2、STA关联AP，启动WAPI证书鉴别过程

预期结果：
报文符合GB 15629.11-2003/XG1-2006的8.1.4.2.5的规定

测试说明：

测试结果：

测试编号：12.6

参考：

项目：WAPI 协议一致性测试

分项目：单播密钥协商请求分组

测试目的：

预置条件：

2、STA、AP和AS的WAPI认证功能正确配置完毕

测试流程：
1、启动TEST PC上的抓包工具，捕获单播密钥协商请求分组2、STA关联AP，启动WAPI证书鉴别过程

预期结果：
报文符合GB 15629.11-2003/XG1-2006的8.1.4.3.1的规定

测试说明：

测试结果：

34/ 50

测试编号：12.8

参考：

项目：WAPI 协议一致性测试

分项目：单播密钥协商确认分组

测试目的：
1、测试单播密钥协商确认分组的协议一致性

35/ 50

预置条件：
1、用户已经获取了证书并正确安装
2、STA、AP和AS的WAPI认证功能正确配置完毕

测试流程：
1、启动TEST PC上的抓包工具，捕获单播密钥协商确认分组2、STA关联AP，启动WAPI证书鉴别过程

预期结果：
报文符合GB 15629.11-2003/XG1-2006的8.1.4.3.3的规定

测试说明：

测试结果：

测试编号：12.9

参考：

测试目的：
1、测试组播密钥通告分组的协议一致性

预置条件：
1、用户已经获取了证书并正确安装
2、STA、AP和AS的WAPI认证功能正确配置完毕

测试流程：
1、启动TEST PC上的抓包工具，捕获组播密钥通告分组2、STA关联AP，启动WAPI证书鉴别过程

预期结果：
报文符合GB 15629.11-2003/XG1-2006的8.1.4.4.1的规定

测试说明：

36 / 50

测试结果

37/ 50

13.1可用性测试

测试编号：13.1.1

项目：AP证书生成、下载与安装

测试目的：验证为AP进行证书生成、下载与安装操作的正确性和便捷性。

预置条件：
1、AS 正确配置，能够访问

测试步骤：

1、管理员登录到AS 申请证书
2、下载证书
3、登录AP 安装证书

预期结果：
能正确生成、下载并安装证书

异常：

38/ 50

测试结果：

备注：

测试编号：13.1.3

项目：终端证书生成、分发与安装

39/ 50

40/ 50

3、在终端命令行状态下键入ping x.x.x.x -t (x.x.x.x为任意Internet可ping通地址)

4、关闭AP1，终端接入AP2

预期结果：
1、终端和Internet 地址之间的ping 中断1－2 帧后恢复正常2、用户无需再次登录

异常：

测试结果：

备注：

测试编号：13.2.1

项目：加密功能测试

测试目的：验证终端在启用WAPI机制接入后，在登录及访问网络时其账户信息及访问内容是否被正确的加密。

预置条件：
1、STA 和AP 已经安装证书

测试步骤：

1、STA 和AP 不启用WAPI
2、启动TEST PC 上的抓包工具，捕获数据包
3、STA 接入AP

4、通过IE 输入用户名和密码完成WEB 认证并浏览网页5、停止抓包，对数据包进行分析
6、STA 和AP 启用WAPI
7、启动TEST PC 上的抓包工具，捕获数据包

41/ 50

8、STA 接入AP
9、通过IE 输入用户名和密码完成WEB 认证并浏览网页10、停止抓包，对数据包进行分析

预期结果：
1、步骤5 用户名和密码以明文显示
2、步骤10 所有的数据包已加密

异常：

测试结果：

备注：

测试编号：13.2.2

项目：密钥数据产生随机性验证

测试目的：验证同一STA在不同次接入鉴权过程中产生的密钥数据的随机性，以保

1、STA 和AP 已经安装证书

测试步骤：

1、启动TEST PC 上的抓包工具，捕获WAPI 协议报文2、STA 接入AP
3、停止抓包，保存报文
4、重复上述步骤10 次，记录协议内容进行分析。

预期结果：
接入鉴别响应分组中的ASUE 密钥数据和AE 密钥数据均不相同

异常：

测试结果：
备注：

42/ 50

测试编号：13.2.3

项目：AP证书吊销功能验证

测试目的：验证证书服务器吊销证书功能的正确性，以确保在AP证书泄漏的情况下能够正确的将证书吊销，使该证书无法使用。

预置条件：
1、STA 和AP 已经安装证书并启用WAPI

测试步骤：

1、STA 接入AP
2、AS 吊销AP 的证书
3、STA 重新接入AP，检查证书鉴别结果

预期结果：
AP 证书已吊销

异常：

测试结果：

备注：

43/ 50

所捕获的接入鉴别响应分组中的ASUE 密钥数据和AE 密钥数据均不相同

异常：

测试结果：

备注：

13.3性能测试

测试编号：13.3.1

项目：接入鉴别流程执行时间测试

测试目的：测试WAPI鉴别接入过程从激活到结束所需的执行时间，检查其执行的性能情况。

预置条件：
1、STA 已安装证书2、AP 已安装证书，已启动WAPI 安全机制

www.taodocs.co 3、停止抓包，对报文进行分析
4、读取“组播密钥通告响应”的捕获时间和“鉴别激活”的捕获时间，二者之差即为WAPI 证书鉴别的时间
5、STA 重复接入AP 3 次，测试并记录每次证书鉴别的时间，取算数平均值

预期结果：

异常：

测试结果：
备注：

44/ 50

测试编号：13.3.2

项目：网络访问时间测试

测试目的：测试网络访问的执行时间

预置条件：
1、STA已安装证书
2、AP已安装证书，已启动WAPI安全机制

测试步骤：
1、启动TEST PC 上的抓包工具
2、将STA 启动WAPI 安全机制并接入AP
3、STA1 访问Internet，在弹出的登录界面中输入用户名和密码，并单击“确定”
二者之差即为用户从登录到上网所需时间
4、读取捕获到系统回弹网页数据包的时间和系统提交用户名/密码数据包的时间，

www.taodocs.co

异常：

测试结果：

备注：

测试编号：13.3.3

项目：AS证书操作性能测试

测试目的：验证在证书申请、证书鉴别操作高并发量的情况下，证书服务器的性

45/ 50

13.4WEP/WPA 安全性测试

46/ 50

附录A:编制历史

业务名称（SN）业务规范编制历史
版本号	更新时间	主要内容或重大修改

47/ 50

附件一、WEP、WPA-PSK密钥破解
1、WEP/WPA-PSK密钥破解的系统组成
1.1 硬件环境
选用带有WEP和WPA-PSK加密功能的无线路由器一
台
带有无线网卡（802.11b/g）的笔记本两台STA1、
STA2作为合法无线接入用户
Netgear无线网卡一块（型号：WG511T）
笔记本电脑一台STA3（作为入侵者）
1.2 软件环境
WinAirCrackPack 工具包
2、系统拓扑图

48 / 50

3、下载WinAircrackPack 软件
2．STA3 启动airodump开始抓包
3．STA1、STA2通过WEP加密的无线网络通信
4．启动WinAircrack软件，破解WEP 密钥
5、破解WPA-PSK密钥
1.修改无线路由器的加密类型和加密方法，并设置
WPA-PSK密钥
2. 在STA3笔记本上运行airodump，开始抓包

49 / 50

3.STA1 配置WPA密钥并重新接入
4.运行WinAircrack软件，破解WPA密钥

50 / 50

显示全文

全部栏目

中国移动wapi接入流程测试规范