GB-T 28456-2012 IPsec协议应用测试规范.pdf
- 文档编号:14661256
- 上传时间:2023-06-25
- 格式:PDF
- 页数:92
- 大小:1.84MB
GB-T 28456-2012 IPsec协议应用测试规范.pdf
《GB-T 28456-2012 IPsec协议应用测试规范.pdf》由会员分享,可在线阅读,更多相关《GB-T 28456-2012 IPsec协议应用测试规范.pdf(92页珍藏版)》请在冰点文库上搜索。
ICS35.020L80中华人民共和国国家标准GB/T284562012IPsec协议应用测试规范TestingspecificationforapplicationsofIPsecprotocol2012-06-29发布2012-10-01实施中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会发布知识星球https:
/次前言引言1范围12规范性引用文件13术语和定义14缩略语45测试说明45.1测试对象说明45.2测试内容说明55.3测试环境说明56测试内容66.1AH传输模式测试内容66.2AH隧道模式测试内容76.3ESP传输模式测试内容86.4ESP隧道模式测试内容96.5传输邻接模式测试内容106.6迭代隧道模式测试内容116.7IKEv1主模式测试内容126.8IKEv1野蛮模式测试内容146.9IKEv1快速模式测试内容166.10IKEv2初始交换测试内容176.11IKEv2创建子SA交换测试内容196.12IKEv2信息交换测试内容207测试步骤217.1AH传输模式测试步骤217.2AH隧道模式测试步骤257.3ESP传输模式测试步骤267.4ESP隧道模式测试步骤307.5传输邻接模式测试步骤317.6迭代隧道模式测试步骤337.7IKEv1主模式测试步骤367.8IKEv1野蛮模式测试步骤437.9IKEv1快速模式测试步骤477.10IKEv2初始交换测试步骤527.11IKEv2创建子SA交换测试步骤597.12IKEv2信息交换测试步骤63GB/T284562012知识星球https:
/Psec协议规范说明66附录B(资料性附录)IKEv1密钥交换机制69附录C(资料性附录)IKEv2密钥交换机制79参考文献84图1IPsec协议应用测试的网络拓扑结构图5图A.1传输邻接组合模式67图A.2隧道端点相同的迭代隧道组合模式68图A.3一个隧道端点相同的迭代隧道组合模式68图A.4隧道端点均不相同的迭代隧道组合模式68图B.1IKEv1主模式交换发起方行为状态图72图B.2IKEv1主模式交换响应方行为状态图73图B.3IKEv1野蛮模式交换发起方行为状态图75图B.4IKEv1野蛮模式交换响应方行为状态图76图B.5IKEv1快速模式交换发起方行为状态图77图B.6IKEv1快速模式交换响应方行为状态图78图C.1IKEv2初始交换发起方行为状态图80图C.2IKEv2初始交换响应方行为状态图81图C.3IKEv2创建CHILDSA交换发起方行为状态图82图C.4IKEv2创建CHILDSA交换响应方行为状态图83GB/T284562012知识星球https:
/言本标准按照GB/T1.12009给出的规则起草。
请注意本文件的某些内容可能涉及专利。
本文件的发布机构不承担识别这些专利的责任。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本标准起草单位:
信息工程大学信息工程学院。
本标准主要起草人:
曾勇军、王清贤、颜学雄、武东英、朱俊虎、尹美娟。
GB/T284562012知识星球https:
/言IPsec是目前广泛使用的网络安全协议,相关产品种类较多。
尽管各厂家均声称支持IPsec协议,但由于协议理解上的不同,造成产品在实现方式、完成的功能、提供的安全服务上存在差异。
此外目前缺少规范的评估和检测手段,难以确定IPsec协议应用与协议标准的符合程度,难以给出产品准确的评价和分类,这不利于IPsec协议的推广和使用。
为进一步规范IPsec协议的开发、评估和使用,有必要对IPsec协议的测试标准进行研究和制定。
本标准为IPsec协议应用的测试标准,依据IPsec协议相关RFC标准制定。
本标准根据IPsec协议的工作模式,从功能、性能、健壮性和互操作性等方面组织测试内容并设计测试步骤。
本标准给出的测试步骤,旨在规范测试基本步骤和关键要点,测试人员可在此基础上选择相关的辅助工具,产生具体的测试用例并进行测试。
GB/T284562012知识星球https:
/Psec协议应用测试规范1范围本标准对IPsec协议应用的测试内容及测试步骤进行了规范。
本标准适用于IPsec协议应用的开发单位、第三方授权测试认证机构、用户等对IPsec协议应用测试时参考使用。
2规范性引用文件下列文件对于本文件的应用是必不可少的。
凡是注日期的引用文件,仅注日期的版本适用于本文件。
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T5271.82001信息技术词汇第8部分:
安全GB/T17178.11997信息技术开放系统互连一致性测试方法和框架第1部分:
基本概念3术语和定义GB/T5271.82001界定的以及下列术语和定义适用于本文件。
3.1IP安全协议IPsecurity一套用于保护IP通信的安全协议。
它是IPv4的一个可选协议系列,也是IPv6的组成部分之一,是一个网络层协议。
它提供了认证和加密两种安全机制:
认证机制使IP通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭到篡改;加密机制通过对数据进行编码来保证数据的保密性,防止数据在传输过程中遭到截获而失密。
3.2IPsec协议应用applicationoftheIPsecprotocol按照IPsec协议标准实现的产品或功能模块。
3.3安全关联securityassociation两个通信实体经协商建立起来的一种协定,它描述了实体如何利用安全服务来进行安全的通信。
安全关联包括了执行各种网络安全服务所需要的信息。
3.4互联网安全关联与密钥管理协议internetsecurityassociationandkeymanagementprotocol定义了建立、协商、修改和删除安全关联的过程和报文格式,并定义了交换密钥产生和认证数据的载荷格式。
这些格式为传输密钥和认证信息提供了一致的框架。
3.5载荷payloadISAKMP通信双方交换信息的传输形式,是构造ISAKMP消息的基本单位。
3.6认证头authenticationheader属于IPsec的一种协议,用于提供IP数据报的数据完整性、数据源认证以及抗重放攻击服务的功能。
1GB/T284562012知识星球https:
/封装安全载荷escapsulatingsecuritypayload属于IPsec的一种协议,用于提供IP数据报的保密性、数据完整性、数据源认证以及抗重放攻击服务的功能。
3.8互联网密钥交换internetkeyexchange定义了协商IPsec协议参数的密钥交换架构,用于生成经过鉴定的密钥材料。
3.9传输模式transportmodeIPsec保护的是网络层以上数据。
在这种模式中,IPsec会拦截从上层到网络层的数据,并根据具体的配置提供安全保护。
3.10传输邻接模式transportadjacencymodeIPsec安全关联的一种组合模式,对同一个IP数据报使用多于一个传输模式的安全协议。
3.11隧道模式tunnelmodeIPsec保护的是整个IP数据报。
在这种模式中,IPsec会拦截内部网络传递的数据,并根据具体的配置提供安全保护。
3.12迭代隧道模式iteratedtunnelingmodeIPsec安全关联的一种组合模式,对同一个IP数据报使用多于一个隧道模式的安全协议。
3.13主机host数据报文的始发设备或终结设备,可作为端的安全服务提供者,为自身的通信提供安全服务。
3.14安全网关securitygateway实现IPsec的中间设备,为内部主机之间的通信提供安全服务。
3.15主模式交换mainmodeexchange由互联网密钥交换(IKE)协议所定义的一种交换方式,用于协商建立互联网安全关联和密钥管理协议的安全关联(ISAKMPSA)。
该交换方式可提供身份保护,是互联网安全关联和密钥管理协议(ISAKMP)所定义的身份保护交换的实例。
3.16野蛮模式交换aggressivemodeexchange由互联网密钥交换(IKE)协议所定义的一种交换方式,用于协商建立互联网安全关联和密钥管理协议的安全关联(ISAKMPSA)。
该交换方式不提供身份保护,是互联网安全关联和密钥管理协议(ISAKMP)所定义的野蛮模式交换的实例。
3.17快速模式交换quickmodeexchange由互联网密钥交换(IKE)协议所定义的一种交换方式,用于在互联网安全关联和密钥管理协议的安全关联(ISAKMPSA)的保护下,协商建立IP安全协议的安全关联(IPsecSA)。
2GB/T284562012知识星球https:
/8ISAKMP信息交换ISAKMPinformationalexchange由互联网密钥交换(IKE)协议所定义的一种辅助性交换,必须在互联网安全关联和密钥管理协议的安全关联(ISAKMPSA)的保护下,用来传送通知或消息。
3.19初始交换initialexchange由互联网密钥交换协议版本2(IKEv2)定义的一种交换方式,用于创建互联网密钥交换协议的安全关联(IKESA)和子安全关联(CHILDSA)。
3.20CREATE_CHILD_SA交换CREATE_CHILD_SAexchange由互联网密钥交换协议版本2(IKEv2)定义的一种交换方式,用于创建子安全关联(CHILDSA)。
3.21功能测试functiontesting测试IPsec协议应用的基本功能,包括身份认证功能、数据保密性保护功能和数据完整性保护功能。
3.22性能测试performancetesting测试在不同的网络负载情况下IPsec协议应用的性能参数。
3.23健壮性测试robustnesstesting测试IPsec协议应用对错误(包括无效的、高强度输入、非期望输入或者恶意攻击)的有效处理能力。
3.24互操作性测试interoperabilitytesting测试不同IPsec协议应用之间的互操作能力。
3.25基本互连测试basicinterconnectiontesting测试IPsec协议应用的基本互连互通的情况,这是其他测试的基础。
3.26行为测试behaviourtesting测试IPsec协议应用的动态一致性,包括正确行为符合性测试和非正确行为符合性测试。
3.27连接建立时延connectionestablisheddelay从连接建立请求开始,到连接建立完成所经过的时间。
3.28传送时延transmissiondelay数据从一方传送到另一方的时间。
3.29连接拆除时延connectionreleaseddelay连接释放需要的时间。
连接拆除包括两种类型,一是服务的请求者完成服务后,主动请求拆除连接的时延,二是服务的提供者主动拆除连接的时延。
3GB/T284562012知识星球https:
/0吞吐量throughput丢包率为零的情况下,单位时间内传输有效数据的数量。
3.31剩余错误比率residualerrorratio在给定的时间间隔内,传送不正确、丢失或者重复的数据量与传输正确的数据量之比。
3.32失败概率probabilityoffailure包括连接建立失败概率、传送失败概率以及连接拆除失败概率等。
4缩略语AH认证头AuthenticationHeaderCPU中央处理单元CentralProcessorUnitDOI解释域DomainOfInterpreterDUT被测设备DeviceUnderTesterESP封装安全载荷EscapsulatingSecurityPayloadHMAC散列消息认证码HashMessageAuthenticationCodeICMP因特网控制报文协议InernetControlMessageProtocolICV完整性校验值IntegrityCheckValueIKE因特网密钥交换协议InternetKeyExchangeIKEv1因特网密钥交换协议版本1InternetKeyExchangev1IEKv2因特网密钥交换协议版本2InternetKeyExchangev2IP因特网协议InternetProtocolIPsecIP安全协议IPsecurityISAKMP因特网安全关联与密钥管理协议InternetSecurityAssociationandKeyManagementProtocolIV初始化向量InitializationVectorMAC消息认证码MessageAuthenticationCodeNAT网络地址翻译NetworkAddressTranslationMTU最大传送单元MaximunTransmissionUnitPFS完美前向保密PerfectForwardSecrecyPRF伪随机函数Pseudo-RandomFunctionSA安全关联SecurityAssociationSAD安全关联数据库SecurityAssociationDatabaseSG安全网关SecurityGatewaySPD安全策略数据库SecurityPolicyDatabaseSPI安全参数索引SecurityParameterIndex5测试说明5.1测试对象说明本标准是IPsec协议的测试标准,测试对象为依据RFC相关标准实现的IPsec协议应用。
4GB/T284562012知识星球https:
/Psec协议应用可提供基于密码的安全服务,使用的密码算法和密钥管理策略应符合国家密码主管部门的有关规定。
IPsec协议描述可见附录A,附录B和附录C给出了IKEv1和IKEv2的密钥交换机制。
5.2测试内容说明本标准定义了IPsec协议应用的测试内容,包括功能测试、性能测试、健壮性测试和互操作性测试。
功能测试用于测试IPsec协议应用实现的基本功能,包括基本互连测试、安全功能测试和行为测试。
基本互连测试用于测试IPsec协议应用的连通情况,是其他测试的基础;安全功能测试完成IPsec协议应用的各项安全功能测试,包括密码算法协商、身份认证、数据保密性和数据完整性等;为保证各项安全功能的有效性,IPsec协议应用的动态行为必须符合协议规范要求,行为测试完成IPsec协议应用的动态行为的符合性测试,包括正确输入行为符合性测试和非正确输入行为符合性测试。
性能测试用于测试在不同的网络负载情况下IPsec协议应用的性能参数,包括连接建立时延、传送时延、连接拆除时延、单位时间新建连接数、设备支持的总连接数、加解密时延、吞吐量、剩余错误比率以及失败概率等。
健壮性测试用于测试IPsec协议应用在无效数据输入或在高强度负载环境下,各项功能保持正确运行的程度,即测试IPsec协议应用对错误的有效处理能力,主要包括无效报文处理能力、异常事件处理能力和高强度负载下的处理能力。
IPsec协议应用属于安全产品,其健壮性对于安全功能的有效性至关重要,因此本标准对该质量属性进行了测试。
互操作性测试用于完成不同IPsec协议应用之间的互操作能力测试,包括基本互连互操作性测试和安全功能互操作测试。
基本互连互操作性测试内容和功能测试中的基本互连测试内容一样,安全功能互操作性测试和功能测试中的安全功能测试内容一样,主要区别在于功能测试是IPsec协议应用和测试系统之间的交互,而互操作性测试是不同的IPsec协议应用间的交互。
5.3测试环境说明本标准推荐采用GB/T17178.11997中的远程测试方法,构造测试环境并给出相关的测试步骤。
IPsec协议应用测试的典型网络拓扑结构如图1所示。
图1IPsec协议应用测试的网络拓扑结构图上述拓扑结构可根据待测设备DUT的类型(如终端或网关)灵活配置,如内部主机和管理机在终端情况下可不出现。
测试工具包括但不限于:
IPsec协议仿真器用于模拟IPsec协议的动作并进行测试;专用的流量发5GB/T284562012知识星球https:
/测试内容6.1AH传输模式测试内容6.1.1功能测试内容6.1.1.1基本互连测试测试IPsec协议应用在AH传输模式下的基本连通能力。
6.1.1.2安全功能测试测试IPsec协议应用在AH传输模式下的安全功能,测试内容包括:
a)AH传输模式功能:
能够支持AH传输模式,建立AH传输模式的SA并进行通信;b)数据完整性保护功能:
能够支持数据完整性保护功能,及时发现篡改、删除等情况的发生;c)数据源认证功能:
能够支持数据源认证功能,及时发现伪造、欺骗等情况的发生;d)抗重放攻击服务功能:
能够支持抗重放攻击服务功能,可检测出重放的报文并丢弃;e)应用IPsec策略功能:
能够配置SPD支持应用IPsec策略功能,允许合法的业务通过时获得AH协议的保护;f)旁路策略功能:
能够配置SPD支持旁路策略功能,允许合法的业务通过时不使用AH协议的保护;g)丢弃策略功能:
能够配置SPD支持丢弃策略功能,不合法的业务通过时将被丢弃;h)SPD策略选择功能:
能够配置多个SPD策略实体,在发送或接收分组时,可选择合适的SPD策略进行处理;i)SA生存期测试功能:
能够支持SA的有效生存期管理功能,防止利用过期的SA传递数据;j)分片重组功能:
能够支持分片重组功能,确保数据通过网络传递和接收时得到正确的处理;k)序号增长功能:
能够支持数据报文序号的自动递增功能。
6.1.2性能测试内容测试IPsec协议应用在AH传输模式下的性能,测试内容包括:
a)吞吐量:
测量在以太网长帧和短帧时,IPsec协议应用的数据吞吐量;b)传送时延:
测量IPsec协议应用的数据传送时延;c)剩余错误比率:
测量IPsec协议应用的剩余错误比率;d)失败概率:
测量IPsec协议应用传送失败的概率。
6.1.3健壮性测试内容6.1.3.1无效报文处理能力测试IPsec协议应用在AH传输模式下的无效报文处理能力,测试内容包括:
a)错误报文处理能力:
测试接收到AH传输模式封装的报文中有错误时,IPsec协议应用处理能力。
常见的错误报文如AH头部中保留字段不为0、SPI在0255之间、序号为0、ICV字段不正确等。
b)非期望报文处理能力:
测试接收到一个非期望的AH传输模式封装的报文时,IPsec协议应用处理能力。
常见的非期望报文如序号不在接受窗口内、重复报文等。
6GB/T284562012知识星球https:
/异常事件处理能力测试IPsec协议应用在AH传输模式下的异常事件处理能力,测试内容包括:
a)连接中断处理能力:
测试在网络物理连接突然非正常中断时,IPsec协议应用的处理能力;b)无效SA处理能力:
测试接收到AH传输模式封装的报文,但没有有效的SA时,IPsec协议应用的处理能力。
6.1.3.3高强度负载处理能力测试IPsec协议应用在AH传输模式下的高强度负载处理能力,测试内容包括:
a)网络高强度负载处理能力:
测试在网络流量负载比较大时,IPsec协议应用的处理能力;b)系统高强度负载处理能力:
测试在多种资源(如CPU或者内存)消耗比较多时,IPsec协议应用的处理能力。
6.1.4互操作性测试内容6.1.4.1基本互连测试测试不同IPsec协议应用在AH传输模式下的基本连通能力。
6.1.4
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- GB-T 28456-2012 IPsec协议应用测试规范 GB 28456 2012 IPsec 协议 应用 测试 规范