網(wǎng)絡(luò)協(xié)議安全性測(cè)試.docx

網(wǎng)絡(luò)協(xié)議安全性測(cè)試網(wǎng)絡(luò)協(xié)議安全性測(cè)試包括安全協(xié)議測(cè)試和協(xié)議安全性測(cè)試。網(wǎng)絡(luò)協(xié)議安全性測(cè)試的主要功能是對(duì)Internet 體系中的安全協(xié)議和TCP/IP協(xié)議族進(jìn)行安全性測(cè)試，這種測(cè)試是針對(duì)包含協(xié)議實(shí)現(xiàn)的產(chǎn)品或獨(dú)立模塊進(jìn)行的。安全協(xié)議測(cè)試的功能是對(duì)包含了SSL、IPSec和Kerberos安全協(xié)議實(shí)現(xiàn)的產(chǎn)品（如IPSec產(chǎn)品）或獨(dú)立模塊進(jìn)行各種標(biāo)稱安全功能的測(cè)試；協(xié)議安全性測(cè)試要求對(duì)TCP/IP協(xié)議族的具體實(shí)現(xiàn)模塊進(jìn)行抗攻擊測(cè)試；另外，安全機(jī)制對(duì)協(xié)議實(shí)現(xiàn)性能的影響也是測(cè)試的內(nèi)容。 一、主要技術(shù)指標(biāo)網(wǎng)絡(luò)協(xié)議安全性測(cè)試系統(tǒng)按照測(cè)試集管理、測(cè)試過程管理和測(cè)試結(jié)果管理為主線進(jìn)行開發(fā)，提供友好的用戶界面，有效支持測(cè)試準(zhǔn)備、測(cè)試執(zhí)行、測(cè)試結(jié)果采集、測(cè)試結(jié)果分析和測(cè)試報(bào)告生成，同時(shí)具有良好的開放性和可擴(kuò)展性，便于系統(tǒng)的功能擴(kuò)充和動(dòng)態(tài)升級(jí)。1 能對(duì)包含IPSec、SSL和Kerberos協(xié)議的產(chǎn)品或模塊進(jìn)行功能測(cè)試。2采用Benchmark測(cè)試在上述協(xié)議典型應(yīng)用中（如 VPN ）各種使用方式的吞吐量、時(shí)延等數(shù)據(jù)。3能對(duì)TCP/IP協(xié)議族的具體實(shí)現(xiàn)模塊進(jìn)行抗攻擊性測(cè)試，如抗IP地址欺騙能力、抗物理地址欺騙能力、抗TCP序列號(hào)攻擊能力等。 二、總體方案1 集成環(huán)境網(wǎng)絡(luò)協(xié)議安全性測(cè)試系統(tǒng)以測(cè)試集管理、測(cè)試過程管理、測(cè)試結(jié)果管理為主線分別集成為用戶界面友好的一體化環(huán)境，有效支持測(cè)試準(zhǔn)備、測(cè)試執(zhí)行、測(cè)試結(jié)果采集、測(cè)試結(jié)果分析、測(cè)試報(bào)告生成。2系統(tǒng)架構(gòu)如下圖所示。(1) 測(cè)試集管理建立、維護(hù)測(cè)試集數(shù)據(jù)庫(kù)，訪問、瀏覽、入庫(kù)、出庫(kù)、修改、更新、擴(kuò)充、管理測(cè)試集數(shù)據(jù)庫(kù)內(nèi)容。(2) 測(cè)試過程管理有效測(cè)試準(zhǔn)備、測(cè)試執(zhí)行、測(cè)試結(jié)果采集、測(cè)試結(jié)果分析、測(cè)試結(jié)果輸出等功能，基本實(shí)現(xiàn)測(cè)試過程的自動(dòng)化。網(wǎng)絡(luò)協(xié)議安全性的測(cè)試環(huán)境l在安全協(xié)議測(cè)試部分，測(cè)試管理、測(cè)試執(zhí)行和結(jié)果收集等模塊一般分布在網(wǎng)絡(luò)中，測(cè)試集一般由某種分布式應(yīng)用構(gòu)成。其一般結(jié)構(gòu)如下：(3) 測(cè)試結(jié)果管理建立、維護(hù)測(cè)試結(jié)果數(shù)據(jù)庫(kù)，訪問、瀏覽、入庫(kù)、出庫(kù)、修改、更新、擴(kuò)充、顯示、管理測(cè)試結(jié)果數(shù)據(jù)庫(kù)內(nèi)容。(4) 測(cè)試集數(shù)據(jù)庫(kù)測(cè)試集數(shù)據(jù)庫(kù)用來存網(wǎng)絡(luò)協(xié)議安全性測(cè)試集。測(cè)試集主要包括：安全功能測(cè)試集：各種安全功能的測(cè)試集。包括針對(duì)多數(shù)產(chǎn)品普遍的功能測(cè)試用例以及產(chǎn)品一些特定功能的測(cè)試用例，新的模塊可通過系統(tǒng)維護(hù)接口添加升級(jí)。l安全性能測(cè)試集：進(jìn)行性能測(cè)試的程序集合，其中主要是對(duì)基本的網(wǎng)絡(luò)性能，如吞吐率和延遲的標(biāo)準(zhǔn)測(cè)試程序。l脆弱性測(cè)試集：針對(duì)各種系統(tǒng)脆弱性、安全漏洞進(jìn)行攻擊的測(cè)試集。包括針對(duì)普遍的安全漏洞的攻擊測(cè)試用例及系統(tǒng)特定的脆弱性測(cè)試用例，需要及時(shí)的更新、升級(jí)。l(5) 測(cè)試結(jié)果數(shù)據(jù)庫(kù)測(cè)試結(jié)果數(shù)據(jù)庫(kù)用來存儲(chǔ)各種測(cè)試結(jié)果。測(cè)試結(jié)果數(shù)據(jù)庫(kù)的主要內(nèi)容包括中間測(cè)試結(jié)果、最終測(cè)試結(jié)果、歷史測(cè)試結(jié)果、測(cè)試分析報(bào)告等。在測(cè)試之前，系統(tǒng)首先要進(jìn)行測(cè)試準(zhǔn)備，建立測(cè)試過程；然后，通過測(cè)試過程管理提交測(cè)試程序，激活測(cè)試程序，控制測(cè)試程序執(zhí)行，收集、采集測(cè)試結(jié)果；最后，進(jìn)行測(cè)試結(jié)果分析，生成測(cè)試分析報(bào)告，打印、顯示測(cè)試結(jié)果，產(chǎn)生評(píng)測(cè)報(bào)告。三、 系統(tǒng)配套設(shè)備和軟件方案1.配套設(shè)備方案(1)測(cè)試集成管理環(huán)境配套設(shè)備方案測(cè)試集成管理環(huán)境的主要作用是對(duì)網(wǎng)絡(luò)產(chǎn)品安全性的各種測(cè)試集進(jìn)行集中的管理和控制，它本身對(duì)硬件環(huán)境的要求比較單一。其配套設(shè)備為Windows 或Unix硬件平臺(tái)、數(shù)據(jù)庫(kù)管理系統(tǒng)以及相應(yīng)的編程工具。(2)協(xié)議安全性測(cè)試系統(tǒng)配套設(shè)備方案本系統(tǒng)的運(yùn)行環(huán)境要求： 高性能PC及被測(cè)系統(tǒng)硬件平臺(tái)； 運(yùn)行平臺(tái)為WINDOWS 及被測(cè)系統(tǒng)軟件平臺(tái)；還有配套設(shè)備，如數(shù)據(jù)發(fā)生器等。本測(cè)試軟件安裝在WINDOWS 及與被測(cè)系統(tǒng)發(fā)生交互的主機(jī)上，它通過對(duì)安全協(xié)議軟件的通信數(shù)據(jù)進(jìn)行分析或通過運(yùn)行在被測(cè)協(xié)議上的有關(guān)測(cè)試程序來判斷軟件的功能、性能和符合性。本測(cè)試軟件還可發(fā)送特定的數(shù)據(jù)包來測(cè)試TCP/IP協(xié)議的性能和健壯性。網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)示意圖如下所示：圖三 主機(jī)H1到Hn上安裝安全協(xié)議軟件所要求的運(yùn)行環(huán)境及可能的測(cè)試程序，測(cè)試控制系統(tǒng)和它們?cè)谕粋€(gè)網(wǎng)段，通過對(duì)安全協(xié)議軟件的傳輸數(shù)據(jù)進(jìn)行分析，及與各個(gè)主機(jī)上的測(cè)試程序的通信來判斷安全協(xié)議的功能、性能以及和標(biāo)準(zhǔn)的符合程度。系統(tǒng)通過發(fā)送特定數(shù)據(jù)包來完成對(duì)TCP/IP協(xié)議軟件性能和健壯性測(cè)試。2軟件方案(1) 測(cè)試集成管理環(huán)境軟件方案測(cè)試集成管理環(huán)境的設(shè)計(jì)主要考慮支持主流平臺(tái)Windows或Unix，在這些平臺(tái)上的GUI界面風(fēng)格一致，操作一致，使各測(cè)試步驟具有統(tǒng)一的操作風(fēng)格，測(cè)試步驟更清晰，測(cè)試過程更方便且自動(dòng)化程度更高。集成環(huán)境主要包括以下幾個(gè)部分：測(cè)試集管理工具、測(cè)試配置工具、測(cè)試準(zhǔn)備工具、測(cè)試執(zhí)行工具、測(cè)試結(jié)果采集工具、測(cè)試結(jié)果分析工具、測(cè)試報(bào)告生成工具、測(cè)試結(jié)果管理工具以及測(cè)試集數(shù)據(jù)庫(kù)和測(cè)試結(jié)果數(shù)據(jù)庫(kù)。（2) 協(xié)議安全性測(cè)試系統(tǒng)軟件方案協(xié)議安全性測(cè)試系統(tǒng)對(duì)基于TCP/IP協(xié)議的安全協(xié)議軟件進(jìn)行測(cè)試，同時(shí)為了保證安全協(xié)議的運(yùn)行基礎(chǔ)的可靠性，需要測(cè)試TCP/IP的性能和健壯性。測(cè)試系統(tǒng)采用自頂而下的方式設(shè)計(jì)，整個(gè)系統(tǒng)按測(cè)試對(duì)象分成若干個(gè)測(cè)試集，由各個(gè)測(cè)試集完成對(duì)各安全協(xié)議的測(cè)試。系統(tǒng)軟件結(jié)構(gòu)圖如下所示：圖四SSL協(xié)議測(cè)試集：完成對(duì)SSL協(xié)議軟件的測(cè)試。對(duì)包含SSL實(shí)現(xiàn)產(chǎn)品或模塊的主要功能和性能進(jìn)行測(cè)試，測(cè)試集應(yīng)能覆蓋SSL協(xié)議的鑒別、完整、保密等功能，對(duì)SSL上的各種典型應(yīng)用如l SHTTP等也應(yīng)有所覆蓋。在功能測(cè)試方面，主要測(cè)試SSL軟件的身份鑒別功能、數(shù)據(jù)加密功能、數(shù)據(jù)完整性功能等；在性能測(cè)試方面，主要測(cè)試SSL連接協(xié)商時(shí)間、數(shù)據(jù)吞吐量等；在符合性測(cè)試方面，主要測(cè)試SSL軟件是否符合Internet Draft Secure Socket Layer Protocol Version 3.0之要求。IPSec協(xié)議測(cè)試集：完成對(duì)IPSec協(xié)議軟件的測(cè)試。對(duì)包含IPSec實(shí)現(xiàn)產(chǎn)品或模塊的主要功能和性能進(jìn)行測(cè)試，測(cè)試集應(yīng)能覆蓋IPSec協(xié)議的鑒別、完整、保密等功能，對(duì) VPN 等典型應(yīng)用也應(yīng)有所覆蓋。在功能測(cè)試方面，主要測(cè)試IPSec協(xié)議軟件的身份鑒別功能、數(shù)據(jù)加密功能和數(shù)據(jù)完整性功能；在性能測(cè)試方面，主要測(cè)試IPSec協(xié)議軟件的數(shù)據(jù)吞吐量、連接協(xié)商時(shí)間等；在符合性測(cè)試方面，主要測(cè)試IPSec軟件是否滿足相關(guān)協(xié)議之要求。l Kerberos協(xié)議測(cè)試集：完成對(duì)Kerberos協(xié)議軟件的測(cè)試。對(duì)包含Kerberos實(shí)現(xiàn)產(chǎn)品或模塊的主要功能和性能進(jìn)行測(cè)試，測(cè)試集應(yīng)能覆蓋Kerberos協(xié)議的鑒別等功能，對(duì)Kerberos的各種典型應(yīng)用也應(yīng)有所覆蓋。在功能測(cè)試方面，主要測(cè)試Kerberos協(xié)議軟件的票據(jù)發(fā)放功能、票據(jù)驗(yàn)證功能和數(shù)據(jù)加密功能；在性能測(cè)試方面，主要測(cè)試Kerberos協(xié)議軟件數(shù)據(jù)吞吐量、連接協(xié)商時(shí)間等；在符合性測(cè)試方面，主要測(cè)試Kerberos協(xié)議軟件與MIT Kerberos V5協(xié)議的符合程度。TCP/IP協(xié)議測(cè)試集：完成對(duì)TCP/IP協(xié)議的性能和健壯性測(cè)試。對(duì)TCP/IP協(xié)議簇的具體實(shí)現(xiàn)模塊的安全脆弱性進(jìn)行測(cè)試，測(cè)試集應(yīng)覆蓋協(xié)議族中各協(xié)議的安全脆弱問題。在性能測(cè)試方面，主要測(cè)試TCP/IP協(xié)議軟件的連接時(shí)間、處理連接的速度；在健壯性測(cè)試方面，主要測(cè)試抗IP地址欺騙能力、抗物理地址欺騙能力、抗TCP序列號(hào)攻擊能力、抗極小數(shù)據(jù)段攻擊能力和抗源路由攻擊能力。l各個(gè)協(xié)議的測(cè)試軟件由數(shù)據(jù)發(fā)生模塊、數(shù)據(jù)捕獲模塊、數(shù)據(jù)分析模塊和報(bào)告生成模塊組成，其組成如下圖所示：圖五 其中數(shù)據(jù)發(fā)生模