无委WPS认证测试指导.doc

WPS认证测试 一、定义： OOB（out-of-band）数据通信使用的通道，而不是WLAN局域网的信道。 Enrollee：一个设备寻求加入一个无线局域网域，一旦这个设备获得一个有效的凭证，它成为一个成员。 PBC：（PushButton configuration）：是一种配置方式，通过在注册机构和成员间按下物理按键或者逻辑按键来触发。 Registrar:一个有权力颁发或吊销域证书的实体机构，它可能集成在AP中，或者有可能与AP是分离的。Registrar可能没有WLAN的能力，既定的域中可能有多个注册机构。二、WPS的产生：WPS （Wi-Fi Protected Setup）:无线保护接入，最初的目标是简化无线安全配置以便更好的管理无线网络。WPS简化了无线安全的配置，让许多非专业人士不再需要依赖技术人员的支持而能够快速安全的加入到安全的无线网络。WPS为用户提供了三种配置选项。PIN 方式（personal identification number），又可分为AP PIN 和Client PIN；PBC方式（Push button configuration），可以通过软PBC或硬PBC方式实现；NFC方式（Near Field communication），启用后用户侧可实现自动完成配置网络标识和WPA2认证方式和密钥。其中PIN和PBC方式为WIFI产品认证必须支持的，NFC方式为可选支持。普通加密方式与WPS方式接入流程的对比：三、测试拓扑四、认证测试4.4.1验证待测AP的WPS协议帧格式和自动生成SSID和PSK的正确性 信道要求：802.11a only和双频AP，使用信道36，802.11g only AP使用信道1测试目标：验证待测AP beacon帧的WPS IE内容是正确的，包括WPS 版本和WPS状态。如果待测AP重置为OOB状态那么内部受理注册机构初始化一个新的WPS会话，新的PSK密钥必须不同于之前的会话。 测试要求： 待测AP必须支持WPS协议 测试平台：1. 无线抓包设备，能够抓取无线数据包，2. Buffalo STA，支持PIN 方式，可以作为一个注册者。Buffalo STA发送的probe request 帧可以可选的包含WPS IE。3. Ralink STA, 支持Association Request帧中可选包含WPS IE。4. Broadcom STA,不支持WPS的11g设备。 测试步骤：1. 待测AP上电2. 待测AP重置为OOB配置，3. 使用第三方设备及抓包软件监控待测设备，4. 如果待测AP的OOB选项为未配置，AP发出的Beacon中包含的WPS IE 版本必须为0X10，WPS状态被设置为未配置（0X01）。如果待测AP的OOB选项为已配置，AP发出来的Beacon包含的WPS IE版本必须是0X10且WPS状态为已配置（0X02）。5. Buffalo STA调用WPS应用程序加入WLAN。Buffalo STA发送的probe request 包中没有WPS IE字段。6. 待测AP发出的probe response必须包括WPS IE字段。WPS IE字段必须正确反应AP内部注册支持的正确配置方法。检验beacon中WPS IE字段的值为如下列表：7. 将Buffalo STA产生的PIN码输入到待测AP中。8. 使用Ralink网卡重复步骤4-6。验证待测AP与Ralink STA不能完成四步握手。9. 从console端ping Buffalo和ralink STA,必须在90秒持续不断。10. 验证待测AP发出的beacon包中的WPS IE字段必须被设置为已配置（0X02）。11. 待测AP的UI必须显示SSID。12. 待测AP的UI必须显示PSK密钥。13. 使用手动方式加入一个11g的Broadcom STA，使用待测设备确认的SSID和PSK。14. 从Broadcom STA侧ping Buffalo STA必须在90秒内持续不断。15. 如果步骤4中的OOB状态是未配置则继续步骤16-23。如果步骤4中的OOB状态是已配置则测试结束。16. 重置待测设备的OOB配置。17. Broadcom网卡ping Buffalo网卡30秒。Ping命令必须执行失败。18. 将Buffalo网卡产生的pin码输入到待测AP中。19. 从console ping Buffalo STA必须在90秒内ping持续不断。20. Broadcom STA必须处于未连接状态。21. 再次确认待测AP UI的PSK密钥。这个PSK密钥必须与步骤12中的不相同。22. 使用手动方式修改Broadcom网卡端的PSK密须。23. 从Broadcom网卡ping Buffalo网卡必须在90秒内ping持续不断。测试判断标准： 待测AP必须发送正确的Beacon与Probe Response帧。待测AP重置OOB后必须生成不同的PSK密钥。否则判定为FAIL。如果条件为必须的不满足则判定为FAIL.4.4.2 配置待测AP使用PIN方式通过WLAN 外部注册机构信道配置：对于802.11a only AP和双频AP，使用信道40。对于802.11g only AP,使用channel 6.测试目的：验证待测AP可以完成作为一个加入者的PIN方式。通过WLAN 外部注册机构可配置待测AP。测试要求：待测AP必须支持PIN配置方式。待测AP必须能扮演一个加入者并且使用WLAN外部注册机构注册其本身。测试平台：1. Intel STA,支持作为一个外部注册机构并且支持PIN方式配置。Broadcom STA,11g设备且不支持任何WPS方式。2. 无线抓包设备及工具，能够捕获无线空口报文。测试步骤：1. 开启待测AP。2. 重置待测AP的OOB配置。3. 开启intel STA,做为一个无线局域网外部注册代理。4. Intel STA注册代理提示输入时，应配置新的SSID及PSK密钥，5. 从待测AP上读取PIN码输入到Intel STA中。6. 从Intel STA PING AP必须在90秒内ping应持续不断。7. 手动配置Broadcom STA使用新的SSID 且加密方式为WPA2-PSK。8. 从Broadcom STA ping Intel STA必须在90秒内ping应持续不断。9. 检测AP发出的beacon包中WPS 的状态为已配置(0X2). 测试判定标准： 在步骤3和步骤10，beacon包中WPS的状态必须被设置正确。两个ping命令必须是成功的。否则判定为失败。如果不满足任意一个描述为必须的条件则判定fail。4.4.3 配置待测AP使用PIN方式通过有线外部注册信道配置：对于802.11a only 和双频AP，使用信道44，对于802.11g only AP,使用信道14.测试目标：验证待测AP能够扮演enrollee且完成PIN方式，使用有线外部注册代理且支持使用密码。测试要求：待测AP必须支持PIN方式并且待测AP能够扮演一个enrollee使用有线的外部注册代理注册其本身。测试平台：1. 微软STA，支持外部注册代理和密码的配置方法。2. 无线抓包设备及工具，能够捕获无线空口数据包。 测试步骤：1. 待测AP上电。2. 重置待测AP至OOB 配置。3. 开启微软STA，可以做为有线外部注册代理。4. 微软STA将被配置为新的SSID与WPA-PSK密钥，应提示输入。5. 当代理提示输入时从待测AP读取PIN码输入到微软STA。6. Broadcom网卡使用手动方式输入SSID与WPA2-PSK密钥（scaptest4.4.3psk）。7. 从broadcom网卡ping微软STA，必须在90秒内ping应持续不断。8. 待测AP发出的Beacon packet必须包含WPS 状态，值为configured(0X2).9. 待测AP必须能够显示密码且必须是scaptest4.4.3.测试判断标准： 如果两个ping命令都成功，测试项判定为PASS。否则判定为FAIL.如果任意一个被描述为必须的不满足，判定为FAIL.4.4.4 配置待测AP为open方式通过外部注册使用PIN方式，使用内部注册添加STA。 802.11g/双频AP，使用channel 1，802.11a only AP，使用channel 48,测试目的： 验证待测设备支持open方式下做为外部注册者，使用内部注册增加客户端，测试要求： 待测设备必须支持PIN配置方式，测试平台：1. 微软STA支持无线外部注册者并且支持PIN配置方式，2. broadcom STA，11g设备且不支持任意一种WPS方式，3. Atheros STA,支持WPS 客户端， 测试步骤：1. 待测设备上电，2. 重置待测设备为OOB配置，3. 开启微软STA，做为外部注册者。4. 微软STA应该配置为开放网络，SSID”scaptest4.4.5ssid”,5. 客户端输入AP端的PIN码，6. 从微软STA侧ping AP在90秒内必须持续不断，7. atheros客户端输入pin码，8. 从atheros STA侧ping AP在90秒内必须持续不断，9. broadcom STA使用手动方式连接到AP，10. brcoadcom 侧ping AP在90秒内必须持续不断，测试判断：如果两个ping都成功，测试判定为pass。否则判定为fail；如果有不满足描述为“必须”的条件，则判定为fail。4.4.5 检查PBC方式运行时间是否正确 前置条件：对于802.11g only AP和双频AP，使用channel 6,对于802.11a only AP，使用channel 36 测试目标：验证待测设备2分钟的协商时间和重置时间是合适的，如果按下AP上的WPS按钮与按下STA上的WPS按钮之间的时间超过2分钟，AP不能完成WPS会话。测试要求：AP必须支持PBC方式，测试平台： 4.无线抓包设备2.Buffalo STA，支持PBC方式，可以作为一个登录者，测试步骤：1. 待测设备上电，2. AP重置为OOB状态，3. 开启无线抓包工具，设置监视AP与STA之间的通信数据，4. 使用无线抓包工具监控待测设备的beacon报文。Beacon帧中是不包含SelectedRegistrar flag和Device Password ID字段的，5. 按下WPS按键（可以是AP的物理按键或者软按键），6. 使用无线抓包工具监控AP的beacon帧，beacon帧中必须包含SelectedRegistrar flag字段，且值为true, Device password ID字段的属性必须被设置为PushButton(0X0004),7. 等待1分钟，8. 按下待测AP的WPS按钮，9. 使用无线抓包工具监控待测AP的Beacon帧，beacon帧中必须包含SelectedRegistrar flag字段，且值为true, Device password ID的属性必须被设置为PushButton(0X0004),Beacon帧中必须包含。Beacon帧必须保持这种状态2分钟。从步骤7中的按键。 2分钟后beacon帧中的WPS IE selectedregistrar字段必须不存在。10. 在第8步后的2分钟时间已满按下Buffalo STA的WPS按钮，11. Buffalo STA必须不得表明成功，12. 等待1 分钟，13. 按下待测AP的WPS按钮，14. Buffalo STA ping控制台，测试判断标准：如果执行ping命令成功，可以判定为PASS。否则判定为FAIL。如果其中任意一个定义为必须的条件不满足，则判定为FAIL。4.2 增加设备4.2.1 手动配置待测AP，使用PIN方式增加设备，然后使用PBC方式增加设备 信道配置：对于802.11g only AP和双频AP，使用信道14.对于802.11a only AP，使用信道40. 测试目标：验证测试AP可以完成PIN和PBC配置作为内部注册代理。配置过的待测AP必须能够使用PIN方式增加STA设备，然后使用PBC方式增加STA设备。这个也验证必须使用正确的PIN码并且错误的校验和是可以被正确识别的。测试要求：待测AP必须支持PIN方式和PBC方式。测试平台： 4.ralink STA,支持PIN方式且可以扮演enrollee. 2.buffalo STA,支持PBC方式且可以扮演enrolle.测试步骤：1. 待测AP上电。2. 重置待测AP为OOB配置。3. 在待测AP UI配置使用新的SSID（scaptest4.2.1ssid），加密方式WPA（2）-PSK=”scaptest14.2.1psk”4. 开启ralink STA.5. 输入PIN码12345671（无效的PIN校检和）在AP的内部注册代理。6. 内部注册代理必须报告无效的PIN。7. 输入PIN码12345670（如果Ralink STA的PIN是12345670然后使用PIN24681353）在AP的内部注册代理。8. 待测设备ping ralink STA必须失败。9. 从ralink STA上读取PIN码输入到待测AP的内部注册代理。10. 从ralink STA ping待测AP应在90秒内持续不断。11. 开启Buffalo STA.12. 按下待测设备的WPS按键。13. 按下Buffalo STA上的WPS按键。14. 从Buffalo STA ping Ralink STA必须在90秒内持续不断。测试判定标准：如果两个ping命令都成功，测试判定为PASS。否则判定为FAIL。如果任意一个描述为必须的条件不满足则判定为FAIL。4.2.2使用PIN方式增加设备，然后再使用PBC方式增加设备，待测AP处于OOB状态 信道配置：对于802.11a only AP和双频AP，使用信道48，对于802.11a only AP,使用信道6. 测试目标：验证待测AP在OOB状态可以做为内部注册代理完成PIN和PBC方式。待测AP可以使用PIN方式增加STA设备到WLAN，然后使用PBC方式增加STA设备到WLAN。 测试要求：待测AP必须支持PIN和PBC方式。测试平台： 4.Ralink STA,支持PIN配置方式且可以扮演enrollee. 2.Atheros STA,支持PBC配置且可以扮演enrollee.测试步骤：1. 待测AP上电。2. 重置待测AP为OOB配置。3. 开启ralink STA。4. 将ralink STA上产生的PIN码输入到待测AP的内部注册代理。5. 从Ralink STA上PING待测AP在90秒内必须持续不断。6. 开启Atheros STA.7. 按下Atheros STA端的WPS按键。8. 按下待测AP的WPS按键。9. 从Atheros STA端ping Ralink STA必须在90秒内必须持续不断。 测试判定标准; 如果两个ping命令成功，判定为PASS。否则判定为FAIL。如果任意一个被描述为必须的条件不满足则判定为FAIL。4.2.3 使用多种外部注册代理与内部注册代理增加设备 信道配置：802.11g only AP和双频AP，使用信道11，对于802.11a only AP,使用信道44. 测试目标：验证待测AP支持内部注册代理、有线外部注册代理、WLAN 外部注册代理切换增加enrollees. 测试要求：待测AP必须支持有线和WLAN外部注册代理。待测AP必须支持PIN配置方式。 测试平台：1. Intel STA,WLAN外部注册代理支持PIN配置方式。2. Buffalo STA,enrollee，支持PIN配置方式。3. Atheros STA,enrollee,支持PIN配置方式。4. Ralink STA,enrollee，支持PIN配置方式。5. Microsoft STA,有线外部注册代理，支持PIN配置方式。 测试步骤：1. 待测AP上电。2. 重置待测AP为OOB配置。3. 开启microsoft STA,作为有线外部注册代理。4. 微软STA配置新的SSID(scaptest4.2.3ssid)并且WPA-PSK密钥=”scaptest4.2.3psk”.5. 当注册代理提示输入时，在microsoft STA输入待测AP的PIN码。6. 微软的注册代理完成时将显示其状态，状态必须是成功。7. 启用Intel STA,可以作为WLAN 外部注册代理。8. 当WLAN外部注册代理提示输入PIN码时，从待测AP上读取PIN码输入到Intel STA的外部注册代理机构，9. 从Intel STA ping Microsoft STA必须在180秒应持续不断。10. 启用Buffalo STA,作为一个Enrollee。11. 将Buffalo STA产生的PIN码输入到运行在microsoft STA上的有线外部注册代理。12. 从Buffalo STA ping Microsoft STA必须在180秒内持续不断。13. 开启microsoft STA.14. 开启Atheros STA,扮演enrollee角色.15. 在Intel STA上的WLAN外部注册代理上输入Atheros STA端产生的PIN码。16. 从Intel STA ping Atheros STA在180秒内必须持续不断。17. 启用Ralink STA，扮演enrollee角色.18. 将Ralink STA产生的PIN码输入到运行在待测AP上的内部注册代理。19. 从Buffalo STA ping Ralink STA必须在180秒内持续不断。 测试判定标准：如果所有的ping命令都成功，则判定为PASS。否则判定为FAIL。如果任意一个描述为必须的条件不满足则判定为FAIL。4.2.4 待测AP生成自动配置和手动增加11