網(wǎng)絡(luò)協(xié)議安全性測試.docx

網(wǎng)絡(luò)協(xié)議安全性測試網(wǎng)絡(luò)協(xié)議安全性測試包括安全協(xié)議測試和協(xié)議安全性測試。網(wǎng)絡(luò)協(xié)議安全性測試的主要功能是對Internet 體系中的安全協(xié)議和TCP/IP協(xié)議族進(jìn)行安全性測試，這種測試是針對包含協(xié)議實(shí)現(xiàn)的產(chǎn)品或獨(dú)立模塊進(jìn)行的。安全協(xié)議測試的功能是對包含了SSL、IPSec和Kerberos安全協(xié)議實(shí)現(xiàn)的產(chǎn)品（如IPSec產(chǎn)品）或獨(dú)立模塊進(jìn)行各種標(biāo)稱安全功能的測試；協(xié)議安全性測試要求對TCP/IP協(xié)議族的具體實(shí)現(xiàn)模塊進(jìn)行抗攻擊測試；另外，安全機(jī)制對協(xié)議實(shí)現(xiàn)性能的影響也是測試的內(nèi)容。 一、主要技術(shù)指標(biāo)網(wǎng)絡(luò)協(xié)議安全性測試系統(tǒng)按照測試集管理、測試過程管理和測試結(jié)果管理為主線進(jìn)行開發(fā)，提供友好的用戶界面，有效支持測試準(zhǔn)備、測試執(zhí)行、測試結(jié)果采集、測試結(jié)果分析和測試報告生成，同時具有良好的開放性和可擴(kuò)展性，便于系統(tǒng)的功能擴(kuò)充和動態(tài)升級。1 能對包含IPSec、SSL和Kerberos協(xié)議的產(chǎn)品或模塊進(jìn)行功能測試。2采用Benchmark測試在上述協(xié)議典型應(yīng)用中（如 VPN ）各種使用方式的吞吐量、時延等數(shù)據(jù)。3能對TCP/IP協(xié)議族的具體實(shí)現(xiàn)模塊進(jìn)行抗攻擊性測試，如抗IP地址欺騙能力、抗物理地址欺騙能力、抗TCP序列號攻擊能力等。 二、總體方案1 集成環(huán)境網(wǎng)絡(luò)協(xié)議安全性測試系統(tǒng)以測試集管理、測試過程管理、測試結(jié)果管理為主線分別集成為用戶界面友好的一體化環(huán)境，有效支持測試準(zhǔn)備、測試執(zhí)行、測試結(jié)果采集、測試結(jié)果分析、測試報告生成。2系統(tǒng)架構(gòu)如下圖所示。(1) 測試集管理建立、維護(hù)測試集數(shù)據(jù)庫，訪問、瀏覽、入庫、出庫、修改、更新、擴(kuò)充、管理測試集數(shù)據(jù)庫內(nèi)容。(2) 測試過程管理有效測試準(zhǔn)備、測試執(zhí)行、測試結(jié)果采集、測試結(jié)果分析、測試結(jié)果輸出等功能，基本實(shí)現(xiàn)測試過程的自動化。網(wǎng)絡(luò)協(xié)議安全性的測試環(huán)境l在安全協(xié)議測試部分，測試管理、測試執(zhí)行和結(jié)果收集等模塊一般分布在網(wǎng)絡(luò)中，測試集一般由某種分布式應(yīng)用構(gòu)成。其一般結(jié)構(gòu)如下：(3) 測試結(jié)果管理建立、維護(hù)測試結(jié)果數(shù)據(jù)庫，訪問、瀏覽、入庫、出庫、修改、更新、擴(kuò)充、顯示、管理測試結(jié)果數(shù)據(jù)庫內(nèi)容。(4) 測試集數(shù)據(jù)庫測試集數(shù)據(jù)庫用來存網(wǎng)絡(luò)協(xié)議安全性測試集。測試集主要包括：安全功能測試集：各種安全功能的測試集。包括針對多數(shù)產(chǎn)品普遍的功能測試用例以及產(chǎn)品一些特定功能的測試用例，新的模塊可通過系統(tǒng)維護(hù)接口添加升級。l安全性能測試集：進(jìn)行性能測試的程序集合，其中主要是對基本的網(wǎng)絡(luò)性能，如吞吐率和延遲的標(biāo)準(zhǔn)測試程序。l脆弱性測試集：針對各種系統(tǒng)脆弱性、安全漏洞進(jìn)行攻擊的測試集。包括針對普遍的安全漏洞的攻擊測試用例及系統(tǒng)特定的脆弱性測試用例，需要及時的更新、升級。l(5) 測試結(jié)果數(shù)據(jù)庫測試結(jié)果數(shù)據(jù)庫用來存儲各種測試結(jié)果。測試結(jié)果數(shù)據(jù)庫的主要內(nèi)容包括中間測試結(jié)果、最終測試結(jié)果、歷史測試結(jié)果、測試分析報告等。在測試之前，系統(tǒng)首先要進(jìn)行測試準(zhǔn)備，建立測試過程；然后，通過測試過程管理提交測試程序，激活測試程序，控制測試程序執(zhí)行，收集、采集測試結(jié)果；最后，進(jìn)行測試結(jié)果分析，生成測試分析報告，打印、顯示測試結(jié)果，產(chǎn)生評測報告。三、 系統(tǒng)配套設(shè)備和軟件方案1.配套設(shè)備方案(1)測試集成管理環(huán)境配套設(shè)備方案測試集成管理環(huán)境的主要作用是對網(wǎng)絡(luò)產(chǎn)品安全性的各種測試集進(jìn)行集中的管理和控制，它本身對硬件環(huán)境的要求比較單一。其配套設(shè)備為Windows 或Unix硬件平臺、數(shù)據(jù)庫管理系統(tǒng)以及相應(yīng)的編程工具。(2)協(xié)議安全性測試系統(tǒng)配套設(shè)備方案本系統(tǒng)的運(yùn)行環(huán)境要求： 高性能PC及被測系統(tǒng)硬件平臺； 運(yùn)行平臺為WINDOWS 及被測系統(tǒng)軟件平臺；還有配套設(shè)備，如數(shù)據(jù)發(fā)生器等。本測試軟件安裝在WINDOWS 及與被測系統(tǒng)發(fā)生交互的主機(jī)上，它通過對安全協(xié)議軟件的通信數(shù)據(jù)進(jìn)行分析或通過運(yùn)行在被測協(xié)議上的有關(guān)測試程序來判斷軟件的功能、性能和符合性。本測試軟件還可發(fā)送特定的數(shù)據(jù)包來測試TCP/IP協(xié)議的性能和健壯性。網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)示意圖如下所示：圖三 主機(jī)H1到Hn上安裝安全協(xié)議軟件所要求的運(yùn)行環(huán)境及可能的測試程序，測試控制系統(tǒng)和它們在同一個網(wǎng)段，通過對安全協(xié)議軟件的傳輸數(shù)據(jù)進(jìn)行分析，及與各個主機(jī)上的測試程序的通信來判斷安全協(xié)議的功能、性能以及和標(biāo)準(zhǔn)的符合程度。系統(tǒng)通過發(fā)送特定數(shù)據(jù)包來完成對TCP/IP協(xié)議軟件性能和健壯性測試。2軟件方案(1) 測試集成管理環(huán)境軟件方案測試集成管理環(huán)境的設(shè)計主要考慮支持主流平臺Windows或Unix，在這些平臺上的GUI界面風(fēng)格一致，操作一致，使各測試步驟具有統(tǒng)一的操作風(fēng)格，測試步驟更清晰，測試過程更方便且自動化程度更高。集成環(huán)境主要包括以下幾個部分：測試集管理工具、測試配置工具、測試準(zhǔn)備工具、測試執(zhí)行工具、測試結(jié)果采集工具、測試結(jié)果分析工具、測試報告生成工具、測試結(jié)果管理工具以及測試集數(shù)據(jù)庫和測試結(jié)果數(shù)據(jù)庫。（2) 協(xié)議安全性測試系統(tǒng)軟件方案協(xié)議安全性測試系統(tǒng)對基于TCP/IP協(xié)議的安全協(xié)議軟件進(jìn)行測試，同時為了保證安全協(xié)議的運(yùn)行基礎(chǔ)的可靠性，需要測試TCP/IP的性能和健壯性。測試系統(tǒng)采用自頂而下的方式設(shè)計，整個系統(tǒng)按測試對象分成若干個測試集，由各個測試集完成對各安全協(xié)議的測試。系統(tǒng)軟件結(jié)構(gòu)圖如下所示：圖四SSL協(xié)議測試集：完成對SSL協(xié)議軟件的測試。對包含SSL實(shí)現(xiàn)產(chǎn)品或模塊的主要功能和性能進(jìn)行測試，測試集應(yīng)能覆蓋SSL協(xié)議的鑒別、完整、保密等功能，對SSL上的各種典型應(yīng)用如l SHTTP等也應(yīng)有所覆蓋。在功能測試方面，主要測試SSL軟件的身份鑒別功能、數(shù)據(jù)加密功能、數(shù)據(jù)完整性功能等；在性能測試方面，主要測試SSL連接協(xié)商時間、數(shù)據(jù)吞吐量等；在符合性測試方面，主要測試SSL軟件是否符合Internet Draft Secure Socket Layer Protocol Version 3.0之要求。IPSec協(xié)議測試集：完成對IPSec協(xié)議軟件的測試。對包含IPSec實(shí)現(xiàn)產(chǎn)品或模塊的主要功能和性能進(jìn)行測試，測試集應(yīng)能覆蓋IPSec協(xié)議的鑒別、完整、保密等功能，對 VPN 等典型應(yīng)用也應(yīng)有所覆蓋。在功能測試方面，主要測試IPSec協(xié)議軟件的身份鑒別功能、數(shù)據(jù)加密功能和數(shù)據(jù)完整性功能；在性能測試方面，主要測試IPSec協(xié)議軟件的數(shù)據(jù)吞吐量、連接協(xié)商時間等；在符合性測試方面，主要測試IPSec軟件是否滿足相關(guān)協(xié)議之要求。l Kerberos協(xié)議測試集：完成對Kerberos協(xié)議軟件的測試。對包含Kerberos實(shí)現(xiàn)產(chǎn)品或模塊的主要功能和性能進(jìn)行測試，測試集應(yīng)能覆蓋Kerberos協(xié)議的鑒別等功能，對Kerberos的各種典型應(yīng)用也應(yīng)有所覆蓋。在功能測試方面，主要測試Kerberos協(xié)議軟件的票據(jù)發(fā)放功能、票據(jù)驗證功能和數(shù)據(jù)加密功能；在性能測試方面，主要測試Kerberos協(xié)議軟件數(shù)據(jù)吞吐量、連接協(xié)商時間等；在符合性測試方面，主要測試Kerberos協(xié)議軟件與MIT Kerberos V5協(xié)議的符合程度。TCP/IP協(xié)議測試集：完成對TCP/IP協(xié)議的性能和健壯性測試。對TCP/IP協(xié)議簇的具體實(shí)現(xiàn)模塊的安全脆弱性進(jìn)行測試，測試集應(yīng)覆蓋協(xié)議族中各協(xié)議的安全脆弱問題。在性能測試方面，主要測試TCP/IP協(xié)議軟件的連接時間、處理連接的速度；在健壯性測試方面，主要測試抗IP地址欺騙能力、抗物理地址欺騙能力、抗TCP序列號攻擊能力、抗極小數(shù)據(jù)段攻擊能力和抗源路由攻擊能力。l各個協(xié)議的測試軟件由數(shù)據(jù)發(fā)生模塊、數(shù)據(jù)捕獲模塊、數(shù)據(jù)分析模塊和報告生成模塊組成，其組成如下圖所示：圖五 其中數(shù)據(jù)發(fā)生模