低速无线个域网空口安全测试规范.docx

ICSOB中华人民共和I家标准GB/T×××××××××低速无线个域网空口安全测试规范Air-interfaceSecurityTestSpecificationfor1.ow-RateWire1.essPersona1.AreaNetworks（征求意见稿）在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上。XXXX-XX-XX发布×××X-X×-×X实施中华人民共和国国家质量监督检验检疫总局分布中国国家标准化管理委员会发布1黄国本标准规定了符合GB/T15629.152010中安全机制器A1.(WPAN安全接入设施)的设备、协谢器和可估第三方的安全协议的符合性检测方法.本标准所涉密码灯法应符合国家密码管理局相关规定.木标准适用于符合GB/T15629.15-2010的设品中的安全机制的符合性测试。2规楚性引用文件下列文件对于本文件的应用是必不可少的.凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注H期的引用文件，其最新版本(包括所有的修改单)适用于本文件。GB/T15629.15-2010信息技术系统间远程通信和信息交换局域网和城域网特定要求第15部分:低速无线个域网(UPAN)媒体访问控制和物理层规范GB/T28455-2012估息安全技术引入可信第三方的实体鉴别及接入架构规范GB/T15813.3信息技术安全技术实体格别第3部分采用数字签名技术的机制GM/T0002SMi分组密码算法GM/T0003SM2描I典曲线公物密码算法GM/TOOO1.SM3密码杂凑算法GwT0009SM2密码豫法使用规范GM/T0015基于SM2密码蟀法的数字证竹格式规范IS0IEC97983:1998md.1:2010信息技术安全技术实体鉴别第3部分：采用数字签名技术的机制补篇1(Informationtechno1.ogy-Securitytechniques-Entityauthentication-Part3:Mechanismsusingdigita1.signaturetechniques-Amendment1)3术语和定义GB/T15629.15-2010和GB/T284552012界定的以及下列术语和定义适用于本文件.3.1被测设备Jestedequipment被测设品是被测试时象，指被测的实现WSA1.安全协议的设籍，3.2测试平台testp1.atform测试平台是提供SAI安全机制测试的平台，用于收集和分析处理冽试数据，按照测试规范的要求对测试数据进行判断，并且时判断结果进行早.现并记录的平台.3.3辅助设备supportequipment辅助设在是种特殊的基准设备，除诳行TSA1.安全机制交互外，还需要主动提供用于辅助测试的数据给测试平台。3.4基准设备standardequipment娓准设品是对被测设在开展测试时需要同步使用的设备，和破测设备协同工作执行WSA1.安全机制交互过程。基准设备具有VSR1.安全机制的设备，3.5三元对等密码安全协议CryPtOgraPhyandsecurityprotoco1.inTri<1.cmcntPeerArchitecture三元对等密码安全协议是符合国际标准ISO1EC9798-3:1998/Amd.1:2010和国家标准GB/T15&13.3、GB/T284552012的基于三元对等架构的密码安全协议.4缩略语GBT15629.152CHO和GB/T28455-2012界定的以及下列缩略语适用于本文件。IPAP基于ID的WPAN鉴别协议(identity-basedUPANauthenticationprotoco1.)1.R-BPAN低速无线个域网(IOW-ratewire1.esspersona1.areanetwork)MAC媒体访问控制(Inediuaccesscontro1.>MIC消息完整性代码(mcssaein1.eritycode)PjN个域网(PerSOna1.areanetwork)PAPTEI)基于传输加密数据的WPAN鉴别协议(1PANauthenticationprotoco1.basedonthetransportationofenciphereddataPIBPAN信息库(PANinformationbase)PSK预共享密份(pre-sharedkey)SPI,基于共享密钥的WpAN鉴别协议(Shared-keyWPANauthenticationprotoco1.)TAEP三元器别可扩展协议(Tri-e1.e<neniAuthenticationExtensib1.eProtoco1.)TAEPo1.些于链路的三元鉴别Ur扩展协议<TAEPover1.ink)TePA三元对等架构(Trie1.ementPeerArchitecture)TePA-AC基于一:元对等架构的访问控制(TePA-basedAccessContro1.)WPAN无线个域网(WireIeSSpersona1.areanetworks)WSAI>PAN安全接入基础设牖(UPANsecurityaccessinfrastructure)5概述本标准定义的低速无线个域网(1.R-WPAN)空1安全测试建立在一个支持WSA1.安全机制的通信网络基础之上，其中WSAI安全机制测试网络结构如图1所示，图1ASAI测试网络结构图在图1中，在GB/T15629.15-2010中定义的低速无线个域网的USA1.安全机制中涉及的实体主要有1.RIIPRN设备、1.RWPAN协调零和可信第三方.BSAI安全机制基于三元对等架构(TePR),符合三元对等密码安全协议.低速无税个域网空11安全测试主要针对以上三种无线个域网基本功能实体,规定了各功能实体应满足的技术要求以及测试方法，标准规定的测试要求以及测试方法可应用于低速无战个域网设法互操作系统和对安全有一定要求的行业应用中.本标准中涉及的低速无线个域网设备是符合GB/T15629.152010标准中5.5.6所定义的设备.6测试环境要求6.1测试设备1.RBPAN空口安全测试需在满足以下条件的前提下进行：a)支小NSAI的1.RTpAN设备和1.R-WpAN协调器.可以进行BSA1.安全接入.b) 1.R-WPN网络系统，包括1.R-WPAN设笛、1.RTPAN协调器和Ur信第三方等设招，且各设备运行IE常.c) 测试平台,应支持对WSA1.安全协议的分析，也可采用支持WSAI安全协议的抓包工具.WSAI安全机制测试拓扑中除测试平台外，还有三种测试角色：被测设备、展准设在、辅助设任,62测试拓扑6.2.11.R-WPAN设备测试拓扑针对1.RTPANi殳备的测试可分为有可信第三方参与和无可伯第三方参与两类，其中被测设备为1.RTPAN设备，菸准设备为1.RTTAN协调器，被测1.R-WPAN设备与基准1.RTPAN协调器连接，由基准设需1.R-WPAN协调器与被测1.RTTAN设备将收发的数据按骁求提供给检测平台,检测平台可通过抓包获取被测设备和基准设备的收发数据.当有可信第三方参与时，可由可佶第三方珞测试数掘按要求提供给检测平台.1.R7PAN设备测试柘扑如图2所示.<“AMS*ARU*"SVMiteN图2IRTPAN设备测试拓扑6. 2.21.R-WPAN协调器测试拓扑针对1.RT1.PAN协询器测试可分为有可伯第：方参与和无可信第-：方参与的鉴别协议的桧测，其中被测设备为1.R-WPAN设备.基准设缶为1.RTPAN协谓器,被测设符1.R-WPAN砂询器与基准1.R-WPAN设备连接，由君准1.R-WPAN设得与被测设的IR-WPAN协调器将收发的数据按要求提供给检测平价.检测平台可通过抓包获取鼓测设备和基准设备的收发数据.当有可信第三方参与时，可由可佑第：.方物测试数据按要求提供给检测平台.1.R-WPAN协Wj器测试拓扑如图3所示。S31.R-WPAN协调器测试柘扑7. 2.3可信第三方测试拓扑计对可信第三方测试，无基准设备.被刈i殳备为可怕第：方.被测设得Ur信第三方和检测平台连接，由检测平台模拟1.R-WPAN设和1.K-WpAN仍调器与被测可信第三方进行交互,被测可信第三方需将收发的数据按要求提供给测试平f3针对可信第三方测试拓扑见图4.Mf1.twaznR<M<bM图4可信第三方测试拓扑7测试方法测试方法中所涉及的赛别套件的测试中的消息类型参见GB/T15629.15-2010标准中的网录A,4种类型帧（信标帧、数据帧、确认帧和MAaW）的格式参见GBZT15629.15-2010中的7.2.2.1。8. 11.R-WPAN设备测试8.1.1 鉴别能力协商7. 1.1.1鉴别能力协商一不支持鉴别测试目的：物证1.RWPAN设备在不支持认证情形下的鉴别能力协商的流程.测试预捏条件：a）1.R-WPAN网络系统各设备运行正常；b）存在一个1.R-UTAN设备，但不支持鉴别；c）1.RWPAN设备未接入1.RUPAN网络.测试流程：a）获取1.R-WpAN设备和1.R->PAN用调器之间的信标帆：b）获取1.R-WPAN设备和1.RTPAN协询器之间的关联请求：预期结果:a）1.R-WPA、设备能铭在发出信标帧后，能收到1.R-WPAN协调器的鉴别请求：b）在1.R-WpAN设法发出的信标帧中，GTS规范字段中比特3和比特4的侑都为0：c）在1.R-WPAN设需发出的信标帧中，信标有效负荷字段不包含鉴别套件字段；d）在1.RWPAN协调渊发出的关联请求命令帧中.性旎信息字段的比特4的值为0.7.1.1.2差别能力协商一支持鉴别测试目的；验证1.RTPAN设翁在支持签别情形下的签别能力访商的流程.测试预置条件：a） 1.RTPAM络系统各设备运行正常：b） WSA1.接入系统各设法运行正常：c）存在一个1.R-WPAN设备,且支特鉴别：d1.RWPAN设招未鉴别接入1.RWPAN同络.测试漉程：a）获取1.R-WPAN设备和1.R-WPAN协调涔之间的信标帧；b）获取1.R-WPAN设得和1.R-WPAN协调涔之间的签别i?求：预期结果:a）1.R-WPa谀备健铭在发出信标帧后,能攻到1.RTpAN处调器的盥别请求并成功协调了一个Sfe别套件；b）在1.R-WPAN设莅发出的信标帧中，GTS规范字段中比特3和比特4的值都为1；c)在1.R-WPAN设在发出的信标帧中，信标有效负荷字段包含能别套件字段：d)在1.RWPAN协谓擀发出的鉴别请求命令帧中,鉴别信息字段包含1.RWPAN协调湍选定的一个签别套件的标识.7.1.2鉴别套件71.2.1基于共享密钥的WPAN鉴别协议SPAP测试目的：验证1.R-WPAN设备在执行基于预共享密钥方式SpAP协议时的一致性.测试预置条件：a)1.R-WPAN网络系统各设运行正常：b)器A1.接入系统各设符运行正常：c)存在一个1.RTPAN设备，旦支持鉴别：d)1.R-WPAN设备采用SPAP鉴别套件匿别接入1.RTPRN网络，测试流程：a) 1.RWPN孙调潺发送消息1给1.RTPRN设备：b) 1.R-WPAN协调器接收1.R-UPAN设备对消息1的响应：C)M1.-WPAN协调器发送消息3给1.R