?

原文地址：http://www.wapia.org/yaowen/detail_4330.shtml

?

?

目前市場上支持WLAN功能的手機型號和數量如井噴之勢迅猛增加。隨之而來，檢測機構在檢測手機對WAPI功能支持的過程中，廠商送測的產品會出現一些問題，導致WAPI功能測試失敗，問題的出現造成了手機廠商產品研發周期的增長及研發成本的增加。其實，許多測試暴露出來的問題并不是十分嚴重，大多數是因為產品在研發過程中某些細節沒有注意到或者沒有合理的處理。檢測機構以及WAPI聯盟實驗室在開展檢測工作的過程中，積累了一些通常會遇到的具體的問題，通過對這些問題的分析和解釋，希望能夠為廠商的研發提供一些有價值的參考，以便節省廠商的研發時間和成本。

本文緊扣YDC 079-2009《移動用戶終端無線局域網技術指標和測試方法》（以下簡稱手機測試標準）和GB 15629.11-2003/XG1-2006《信息技術 系統間遠程通信和信息交換 局域網和城域網 特定要求 第11部分：無線局域網媒體訪問控制和物理層規范》第1號修改單（以下簡稱WAPI技術標準），通過介紹手機WAPI功能測試標準中的九個測試項目（1、證書安裝；2、證書鑒別；3、預共享密鑰；4、證書選擇；5、加密；6、密鑰更新；7、否定非法證書；8、同一AS域內AP間切換；9、WAPI-SOM功能），從測試中常見問題及解決方法、手機測試標準中的功能要求和測試方法以及手機測試標準中的功能要求與WAPI技術標準的章節對應關系等幾個方面入手為廠商的研發工作提供幫助。

本文將介紹手機WAPI功能檢測中證書安裝項目的常見問題及分析。

1 證書安裝功能測試中常見問題及解決方法

1.1 問題一：證書格式錯誤，導致無法安裝證書。
在 WAPI技術標準第8.1.3章中，明確定義了證書的格式為X.509 v3和GBW證書（GBW格式為可選）。對于部分廠商送測的樣品僅支持*.crt格式的證書，將無法通過檢測。對于證書存儲格式的問題，應遵循WAPI技術標準。X.509 v3證書應以PEM格式進行存儲，后綴名為 *.cer。對于有必要支持其他證書格式的產品，可以在完成了X.509 v3證書格式的基礎上，增添對其他證書格式的支持。

用戶證書為鑒別服務單元ASU頒發的公鑰證書，證書中應包含正確的WAPI特有的OID信息，如：簽名算法應使用ECDSA-192、雜湊算法應使用SHA-256、公鑰算法標識、簽名算法標識以及橢圓曲線參數等。如果在上述的參數中沒有采用WAPI特有的OID信息，或者這些信息未能被正確的添加，將導致證書無法安裝的問題出現。

1.2 問題二：證書鑒別模式接入網絡，產生虛假連接成功。

問題現象為手機端顯示網絡已連接，實際上不能上網。

個別情況是網卡本身的WLAN功能實現有問題導致，換而言之，使用open模式或11i等安全模式，同樣無法正常收發數據。因此，需要首先確定網卡WLAN功能實現的完整而且可以正常工作。在此基礎上可以繼續排查，是否是因為WAPI的鑒別協議WAI通過了，加解密協議WPI未成功所導致的虛假連接，需要排查加解密的功能是否正確實現并能正常工作。

1.3 問題三：P12格式證書無法解析及安裝。

為了提高證書頒發的安全性，在某些應用場景中需要使用基于*.P12格式的數字證書。該格式證書需要使用WAPI專有的ECC曲線，不能使用非WAPI專用ECC曲線來解析WAPI的P12格式證書。如：一些操作系統中會自帶P12格式證書的處理方式，沒有WAPI專用的ECC曲線來解析證書，最終會導致證書無法解析以及安裝。

一部分廠商已經意識到P12格式證書的重要性，也積極研發了P12格式證書功能。如果未能正確調用WAPI專用的ECC曲線，或者實現的不正確，將導致證書無法安裝，通常這種情況下PEM證書也無法安裝。

1.4 問題四：證書安裝后，手機在連接WAPI網絡時提示無法找到證書。

類似的問題主要是以下兩個方面的原因導致的：一、手機對證書安裝的完整性未做校驗，導致證書并未正確安裝，在調用證書時，無法完成對證書的校驗。二、證書的安裝位置和WAPI手機調用證書位置不一致。

手機需要在證書安裝的程序中完善安裝的校驗，如果證書未能正確安裝，需要提示用戶證書安裝錯誤，同時保證證書安裝的位置與WAPI手機調用證書的位置相同。

1.5 問題四：證書安裝過程不易操作。

證書安裝和使用的易用性問題，雖然不一定會導致手機無法通過檢測，但是易用性不高將給最終用戶操作上帶來極大不便，甚至導致最終用戶無法使用。證書安裝的易用性問題主要有以下幾個方面：

a)手機不識別包含中文字符的證書文件夾。

b)手機僅識別名稱為as和user的證書文件，其他命名不識別。

c)證書文件必須拷貝到一個特定的文件夾下才能安裝。

從技術的角度講，這些問題并不是核心的技術環節，但是，對于最終用戶使用的影響卻非常大。

2 證書安裝功能要求及測試方法

2.1 功能要求

移動用戶終端應能安裝X.509 v3證書 （參見手機測試標準 第5.2.2.3章）。

2.2 測試步驟

配置AS1為EUT頒發證書，拷貝證書文件到EUT并安裝，觀察是否安裝成功。

2.3 預期結果

EUT能夠成功安裝證書（參見手機測試標準第6.3.2.2章）。

3 證書安裝功能要求與WAPI技術標準的章節對應關系

手機測試標準中的證書安裝功能要求與WAPI技術標準第8.1.3章中包含的X.509 v3證書和GBW證書兩個小節對應。詳細內容可以參閱 WAPI技術標準。

總結

以上是生活随笔為你收集整理的手机WAPI功能检测常见问题分析(系列连载一)：证书安装的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。