網(wǎng)絡協(xié)議安全性測試.docx

網(wǎng)絡協(xié)議安全性測試網(wǎng)絡協(xié)議安全性測試包括安全協(xié)議測試和協(xié)議安全性測試。網(wǎng)絡協(xié)議安全性測試的主要功能是對Internet 體系中的安全協(xié)議和TCP/IP協(xié)議族進行安全性測試，這種測試是針對包含協(xié)議實現(xiàn)的產(chǎn)品或獨立模塊進行的。安全協(xié)議測試的功能是對包含了SSL、IPSec和Kerberos安全協(xié)議實現(xiàn)的產(chǎn)品（如IPSec產(chǎn)品）或獨立模塊進行各種標稱安全功能的測試；協(xié)議安全性測試要求對TCP/IP協(xié)議族的具體實現(xiàn)模塊進行抗攻擊測試；另外，安全機制對協(xié)議實現(xiàn)性能的影響也是測試的內(nèi)容。 一、主要技術指標網(wǎng)絡協(xié)議安全性測試系統(tǒng)按照測試集管理、測試過程管理和測試結果管理為主線進行開發(fā)，提供友好的用戶界面，有效支持測試準備、測試執(zhí)行、測試結果采集、測試結果分析和測試報告生成，同時具有良好的開放性和可擴展性，便于系統(tǒng)的功能擴充和動態(tài)升級。1 能對包含IPSec、SSL和Kerberos協(xié)議的產(chǎn)品或模塊進行功能測試。2采用Benchmark測試在上述協(xié)議典型應用中（如 VPN ）各種使用方式的吞吐量、時延等數(shù)據(jù)。3能對TCP/IP協(xié)議族的具體實現(xiàn)模塊進行抗攻擊性測試，如抗IP地址欺騙能力、抗物理地址欺騙能力、抗TCP序列號攻擊能力等。 二、總體方案1 集成環(huán)境網(wǎng)絡協(xié)議安全性測試系統(tǒng)以測試集管理、測試過程管理、測試結果管理為主線分別集成為用戶界面友好的一體化環(huán)境，有效支持測試準備、測試執(zhí)行、測試結果采集、測試結果分析、測試報告生成。2系統(tǒng)架構如下圖所示。(1) 測試集管理建立、維護測試集數(shù)據(jù)庫，訪問、瀏覽、入庫、出庫、修改、更新、擴充、管理測試集數(shù)據(jù)庫內(nèi)容。(2) 測試過程管理有效測試準備、測試執(zhí)行、測試結果采集、測試結果分析、測試結果輸出等功能，基本實現(xiàn)測試過程的自動化。網(wǎng)絡協(xié)議安全性的測試環(huán)境l在安全協(xié)議測試部分，測試管理、測試執(zhí)行和結果收集等模塊一般分布在網(wǎng)絡中，測試集一般由某種分布式應用構成。其一般結構如下：(3) 測試結果管理建立、維護測試結果數(shù)據(jù)庫，訪問、瀏覽、入庫、出庫、修改、更新、擴充、顯示、管理測試結果數(shù)據(jù)庫內(nèi)容。(4) 測試集數(shù)據(jù)庫測試集數(shù)據(jù)庫用來存網(wǎng)絡協(xié)議安全性測試集。測試集主要包括：安全功能測試集：各種安全功能的測試集。包括針對多數(shù)產(chǎn)品普遍的功能測試用例以及產(chǎn)品一些特定功能的測試用例，新的模塊可通過系統(tǒng)維護接口添加升級。l安全性能測試集：進行性能測試的程序集合，其中主要是對基本的網(wǎng)絡性能，如吞吐率和延遲的標準測試程序。l脆弱性測試集：針對各種系統(tǒng)脆弱性、安全漏洞進行攻擊的測試集。包括針對普遍的安全漏洞的攻擊測試用例及系統(tǒng)特定的脆弱性測試用例，需要及時的更新、升級。l(5) 測試結果數(shù)據(jù)庫測試結果數(shù)據(jù)庫用來存儲各種測試結果。測試結果數(shù)據(jù)庫的主要內(nèi)容包括中間測試結果、最終測試結果、歷史測試結果、測試分析報告等。在測試之前，系統(tǒng)首先要進行測試準備，建立測試過程；然后，通過測試過程管理提交測試程序，激活測試程序，控制測試程序執(zhí)行，收集、采集測試結果；最后，進行測試結果分析，生成測試分析報告，打印、顯示測試結果，產(chǎn)生評測報告。三、 系統(tǒng)配套設備和軟件方案1.配套設備方案(1)測試集成管理環(huán)境配套設備方案測試集成管理環(huán)境的主要作用是對網(wǎng)絡產(chǎn)品安全性的各種測試集進行集中的管理和控制，它本身對硬件環(huán)境的要求比較單一。其配套設備為Windows 或Unix硬件平臺、數(shù)據(jù)庫管理系統(tǒng)以及相應的編程工具。(2)協(xié)議安全性測試系統(tǒng)配套設備方案本系統(tǒng)的運行環(huán)境要求： 高性能PC及被測系統(tǒng)硬件平臺； 運行平臺為WINDOWS 及被測系統(tǒng)軟件平臺；還有配套設備，如數(shù)據(jù)發(fā)生器等。本測試軟件安裝在WINDOWS 及與被測系統(tǒng)發(fā)生交互的主機上，它通過對安全協(xié)議軟件的通信數(shù)據(jù)進行分析或通過運行在被測協(xié)議上的有關測試程序來判斷軟件的功能、性能和符合性。本測試軟件還可發(fā)送特定的數(shù)據(jù)包來測試TCP/IP協(xié)議的性能和健壯性。網(wǎng)絡拓撲結構示意圖如下所示：圖三 主機H1到Hn上安裝安全協(xié)議軟件所要求的運行環(huán)境及可能的測試程序，測試控制系統(tǒng)和它們在同一個網(wǎng)段，通過對安全協(xié)議軟件的傳輸數(shù)據(jù)進行分析，及與各個主機上的測試程序的通信來判斷安全協(xié)議的功能、性能以及和標準的符合程度。系統(tǒng)通過發(fā)送特定數(shù)據(jù)包來完成對TCP/IP協(xié)議軟件性能和健壯性測試。2軟件方案(1) 測試集成管理環(huán)境軟件方案測試集成管理環(huán)境的設計主要考慮支持主流平臺Windows或Unix，在這些平臺上的GUI界面風格一致，操作一致，使各測試步驟具有統(tǒng)一的操作風格，測試步驟更清晰，測試過程更方便且自動化程度更高。集成環(huán)境主要包括以下幾個部分：測試集管理工具、測試配置工具、測試準備工具、測試執(zhí)行工具、測試結果采集工具、測試結果分析工具、測試報告生成工具、測試結果管理工具以及測試集數(shù)據(jù)庫和測試結果數(shù)據(jù)庫。（2) 協(xié)議安全性測試系統(tǒng)軟件方案協(xié)議安全性測試系統(tǒng)對基于TCP/IP協(xié)議的安全協(xié)議軟件進行測試，同時為了保證安全協(xié)議的運行基礎的可靠性，需要測試TCP/IP的性能和健壯性。測試系統(tǒng)采用自頂而下的方式設計，整個系統(tǒng)按測試對象分成若干個測試集，由各個測試集完成對各安全協(xié)議的測試。系統(tǒng)軟件結構圖如下所示：圖四SSL協(xié)議測試集：完成對SSL協(xié)議軟件的測試。對包含SSL實現(xiàn)產(chǎn)品或模塊的主要功能和性能進行測試，測試集應能覆蓋SSL協(xié)議的鑒別、完整、保密等功能，對SSL上的各種典型應用如l SHTTP等也應有所覆蓋。在功能測試方面，主要測試SSL軟件的身份鑒別功能、數(shù)據(jù)加密功能、數(shù)據(jù)完整性功能等；在性能測試方面，主要測試SSL連接協(xié)商時間、數(shù)據(jù)吞吐量等；在符合性測試方面，主要測試SSL軟件是否符合Internet Draft Secure Socket Layer Protocol Version 3.0之要求。IPSec協(xié)議測試集：完成對IPSec協(xié)議軟件的測試。對包含IPSec實現(xiàn)產(chǎn)品或模塊的主要功能和性能進行測試，測試集應能覆蓋IPSec協(xié)議的鑒別、完整、保密等功能，對 VPN 等典型應用也應有所覆蓋。在功能測試方面，主要測試IPSec協(xié)議軟件的身份鑒別功能、數(shù)據(jù)加密功能和數(shù)據(jù)完整性功能；在性能測試方面，主要測試IPSec協(xié)議軟件的數(shù)據(jù)吞吐量、連接協(xié)商時間等；在符合性測試方面，主要測試IPSec軟件是否滿足相關協(xié)議之要求。l Kerberos協(xié)議測試集：完成對Kerberos協(xié)議軟件的測試。對包含Kerberos實現(xiàn)產(chǎn)品或模塊的主要功能和性能進行測試，測試集應能覆蓋Kerberos協(xié)議的鑒別等功能，對Kerberos的各種典型應用也應有所覆蓋。在功能測試方面，主要測試Kerberos協(xié)議軟件的票據(jù)發(fā)放功能、票據(jù)驗證功能和數(shù)據(jù)加密功能；在性能測試方面，主要測試Kerberos協(xié)議軟件數(shù)據(jù)吞吐量、連接協(xié)商時間等；在符合性測試方面，主要測試Kerberos協(xié)議軟件與MIT Kerberos V5協(xié)議的符合程度。TCP/IP協(xié)議測試集：完成對TCP/IP協(xié)議的性能和健壯性測試。對TCP/IP協(xié)議簇的具體實現(xiàn)模塊的安全脆弱性進行測試，測試集應覆蓋協(xié)議族中各協(xié)議的安全脆弱問題。在性能測試方面，主要測試TCP/IP協(xié)議軟件的連接時間、處理連接的速度；在健壯性測試方面，主要測試抗IP地址欺騙能力、抗物理地址欺騙能力、抗TCP序列號攻擊能力、抗極小數(shù)據(jù)段攻擊能力和抗源路由攻擊能力。l各個協(xié)議的測試軟件由數(shù)據(jù)發(fā)生模塊、數(shù)據(jù)捕獲模塊、數(shù)據(jù)分析模塊和報告生成模塊組成，其組成如下圖所示：圖五 其中數(shù)據(jù)發(fā)生模