GB-T 28456-2012 IPsec协议应用测试规范.pdf

《GB-T 28456-2012 IPsec协议应用测试规范.pdf》由会员分享，可在线阅读，更多相关《GB-T 28456-2012 IPsec协议应用测试规范.pdf（92页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、I C S3 5.0 2 0L8 0中 华 人 民 共 和 国 国 家 标 准G B/T2 8 4 5 62 0 1 2I P s e c协议应用测试规范T e s t i n gs p e c i f i c a t i o nf o ra p p l i c a t i o n so f I P s e cp r o t o c o l2 0 1 2-0 6-2 9发布2 0 1 2-1 0-0 1实施中华人民共和国国家质量监督检验检疫总局中 国 国 家 标 准 化 管 理 委 员 会发 布知识星球https:/ 次前言引言1 范围12 规范性引用文件13 术语和定义14 缩略语45 测试

2、说明4 5.1 测试对象说明4 5.2 测试内容说明5 5.3 测试环境说明56 测试内容6 6.1 AH传输模式测试内容6 6.2 AH隧道模式测试内容7 6.3 E S P传输模式测试内容8 6.4 E S P隧道模式测试内容9 6.5 传输邻接模式测试内容1 0 6.6 迭代隧道模式测试内容1 1 6.7 I K E v 1主模式测试内容1 2 6.8 I K E v 1野蛮模式测试内容1 4 6.9 I K E v 1快速模式测试内容1 6 6.1 0 I K E v 2初始交换测试内容1 7 6.1 1 I K E v 2创建子S A交换测试内容1 9 6.1 2 I K E v 2

3、信息交换测试内容2 07 测试步骤2 1 7.1 AH传输模式测试步骤2 1 7.2 AH隧道模式测试步骤2 5 7.3 E S P传输模式测试步骤2 6 7.4 E S P隧道模式测试步骤3 0 7.5 传输邻接模式测试步骤3 1 7.6 迭代隧道模式测试步骤3 3 7.7 I K E v 1主模式测试步骤3 6 7.8 I K E v 1野蛮模式测试步骤4 3 7.9 I K E v 1快速模式测试步骤4 7 7.1 0 I K E v 2初始交换测试步骤5 2 7.1 1 I K E v 2创建子S A交换测试步骤5 9 7.1 2 I K E v 2信息交换测试步骤6 3G B/T2

4、8 4 5 62 0 1 2知识星球https:/ P s e c协议规范说明6 6附录B(资料性附录)I K E v 1密钥交换机制6 9附录C(资料性附录)I K E v 2密钥交换机制7 9参考文献8 4图1 I P s e c协议应用测试的网络拓扑结构图5图A.1 传输邻接组合模式6 7图A.2 隧道端点相同的迭代隧道组合模式6 8图A.3 一个隧道端点相同的迭代隧道组合模式6 8图A.4 隧道端点均不相同的迭代隧道组合模式6 8图B.1 I K E v 1主模式交换发起方行为状态图7 2图B.2 I K E v 1主模式交换响应方行为状态图7 3图B.3 I K E v 1野蛮模式交

5、换发起方行为状态图7 5图B.4 I K E v 1野蛮模式交换响应方行为状态图7 6图B.5 I K E v 1快速模式交换发起方行为状态图7 7图B.6 I K E v 1快速模式交换响应方行为状态图7 8图C.1 I K E v 2初始交换发起方行为状态图8 0图C.2 I K E v 2初始交换响应方行为状态图8 1图C.3 I K E v 2创建CH I L DS A交换发起方行为状态图8 2图C.4 I K E v 2创建CH I L DS A交换响应方行为状态图8 3G B/T2 8 4 5 62 0 1 2知识星球https:/ 言 本标准按照G B/T1.12 0 0 9给出

6、的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会(S A C/T C2 6 0)提出并归口。本标准起草单位:信息工程大学信息工程学院。本标准主要起草人:曾勇军、王清贤、颜学雄、武东英、朱俊虎、尹美娟。G B/T2 8 4 5 62 0 1 2知识星球https:/ 言 I P s e c是目前广泛使用的网络安全协议,相关产品种类较多。尽管各厂家均声称支持I P s e c协议,但由于协议理解上的不同,造成产品在实现方式、完成的功能、提供的安全服务上存在差异。此外目前缺少规范的评估和检测手段,难以确定I P s e c

7、协议应用与协议标准的符合程度,难以给出产品准确的评价和分类,这不利于I P s e c协议的推广和使用。为进一步规范I P s e c协议的开发、评估和使用,有必要对I P s e c协议的测试标准进行研究和制定。本标准为I P s e c协议应用的测试标准,依据I P s e c协议相关R F C标准制定。本标准根据I P s e c协议的工作模式,从功能、性能、健壮性和互操作性等方面组织测试内容并设计测试步骤。本标准给出的测试步骤,旨在规范测试基本步骤和关键要点,测试人员可在此基础上选择相关的辅助工具,产生具体的测试用例并进行测试。G B/T2 8 4 5 62 0 1 2知识星球http

8、s:/ P s e c协议应用测试规范1 范围本标准对I P s e c协议应用的测试内容及测试步骤进行了规范。本标准适用于I P s e c协议应用的开发单位、第三方授权测试认证机构、用户等对I P s e c协议应用测试时参考使用。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。G B/T5 2 7 1.82 0 0 1 信息技术 词汇 第8部分:安全G B/T1 7 1 7 8.11 9 9 7 信息技术 开放系统互连 一致性测试方法和框架 第1部分:基本概念3

9、术语和定义G B/T5 2 7 1.82 0 0 1界定的以及下列术语和定义适用于本文件。3.1 I P安全协议 I Ps e c u r i t y一套用于保护I P通信的安全协议。它是I P v 4的一个可选协议系列,也是I P v 6的组成部分之一,是一个网络层协议。它提供了认证和加密两种安全机制:认证机制使I P通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭到篡改;加密机制通过对数据进行编码来保证数据的保密性,防止数据在传输过程中遭到截获而失密。3.2 I P s e c协议应用 a p p l i c a t i o no f t h e I P s e cp

10、 r o t o c o l按照I P s e c协议标准实现的产品或功能模块。3.3 安全关联 s e c u r i t ya s s o c i a t i o n两个通信实体经协商建立起来的一种协定,它描述了实体如何利用安全服务来进行安全的通信。安全关联包括了执行各种网络安全服务所需要的信息。3.4 互联网安全关联与密钥管理协议 i n t e r n e t s e c u r i t ya s s o c i a t i o na n dk e ym a n a g e m e n tp r o t o c o l定义了建立、协商、修改和删除安全关联的过程和报文格式,并定义了交换密

11、钥产生和认证数据的载荷格式。这些格式为传输密钥和认证信息提供了一致的框架。3.5 载荷 p a y l o a dI S AKMP通信双方交换信息的传输形式,是构造I S AKMP消息的基本单位。3.6 认证头 a u t h e n t i c a t i o nh e a d e r属于I P s e c的一种协议,用于提供I P数据报的数据完整性、数据源认证以及抗重放攻击服务的功能。1G B/T2 8 4 5 62 0 1 2知识星球https:/ 封装安全载荷 e s c a p s u l a t i n gs e c u r i t yp a y l o a d属于I P s e

12、c的一种协议,用于提供I P数据报的保密性、数据完整性、数据源认证以及抗重放攻击服务的功能。3.8 互联网密钥交换 i n t e r n e tk e ye x c h a n g e定义了协商I P s e c协议参数的密钥交换架构,用于生成经过鉴定的密钥材料。3.9 传输模式 t r a n s p o r tm o d eI P s e c保护的是网络层以上数据。在这种模式中,I P s e c会拦截从上层到网络层的数据,并根据具体的配置提供安全保护。3.1 0 传输邻接模式 t r a n s p o r t a d j a c e n c ym o d eI P s e c安全关联

13、的一种组合模式,对同一个I P数据报使用多于一个传输模式的安全协议。3.1 1 隧道模式 t u n n e lm o d eI P s e c保护的是整个I P数据报。在这种模式中,I P s e c会拦截内部网络传递的数据,并根据具体的配置提供安全保护。3.1 2 迭代隧道模式 i t e r a t e dt u n n e l i n gm o d eI P s e c安全关联的一种组合模式,对同一个I P数据报使用多于一个隧道模式的安全协议。3.1 3 主机 h o s t数据报文的始发设备或终结设备,可作为端的安全服务提供者,为自身的通信提供安全服务。3.1 4 安全网关 s e

14、c u r i t yg a t e w a y实现I P s e c的中间设备,为内部主机之间的通信提供安全服务。3.1 5 主模式交换 m a i nm o d e e x c h a n g e由互联网密钥交换(I K E)协议所定义的一种交换方式,用于协商建立互联网安全关联和密钥管理协议的安全关联(I S AKMPS A)。该交换方式可提供身份保护,是互联网安全关联和密钥管理协议(I S AKMP)所定义的身份保护交换的实例。3.1 6 野蛮模式交换 a g g r e s s i v em o d e e x c h a n g e由互联网密钥交换(I K E)协议所定义的一种交换方

15、式,用于协商建立互联网安全关联和密钥管理协议的安全关联(I S AKMPS A)。该交换方式不提供身份保护,是互联网安全关联和密钥管理协议(I S AKMP)所定义的野蛮模式交换的实例。3.1 7 快速模式交换 q u i c km o d e e x c h a n g e由互联网密钥交换(I K E)协议所定义的一种交换方式,用于在互联网安全关联和密钥管理协议的安全关联(I S AKMPS A)的保护下,协商建立I P安全协议的安全关联(I P s e cS A)。2G B/T2 8 4 5 62 0 1 2知识星球https:/ 8 I S A KMP信息交换 I S A KMPi n

16、f o r m a t i o n a l e x c h a n g e由互联网密钥交换(I K E)协议所定义的一种辅助性交换,必须在互联网安全关联和密钥管理协议的安全关联(I S AKMPS A)的保护下,用来传送通知或消息。3.1 9 初始交换 i n i t i a l e x c h a n g e由互联网密钥交换协议版本2(I K E v 2)定义的一种交换方式,用于创建互联网密钥交换协议的安全关联(I K ES A)和子安全关联(CH I L DS A)。3.2 0 C R E A T E_C H I L D_S A交换 C R E A T E_C H I L D_S Ae x

17、 c h a n g e由互联网密钥交换协议版本2(I K E v 2)定义的一种交换方式,用于创建子安全关联(CH I L DS A)。3.2 1 功能测试 f u n c t i o nt e s t i n g测试I P s e c协议应用的基本功能,包括身份认证功能、数据保密性保护功能和数据完整性保护功能。3.2 2 性能测试 p e r f o r m a n c e t e s t i n g测试在不同的网络负载情况下I P s e c协议应用的性能参数。3.2 3 健壮性测试 r o b u s t n e s s t e s t i n g测试I P s e c协议应用对错误(

18、包括无效的、高强度输入、非期望输入或者恶意攻击)的有效处理能力。3.2 4 互操作性测试 i n t e r o p e r a b i l i t y t e s t i n g测试不同I P s e c协议应用之间的互操作能力。3.2 5 基本互连测试 b a s i c i n t e r c o n n e c t i o nt e s t i n g测试I P s e c协议应用的基本互连互通的情况,这是其他测试的基础。3.2 6 行为测试 b e h a v i o u r t e s t i n g测试I P s e c协议应用的动态一致性,包括正确行为符合性测试和非正确行为符合

19、性测试。3.2 7 连接建立时延 c o n n e c t i o ne s t a b l i s h e dd e l a y从连接建立请求开始,到连接建立完成所经过的时间。3.2 8 传送时延 t r a n s m i s s i o nd e l a y数据从一方传送到另一方的时间。3.2 9 连接拆除时延 c o n n e c t i o nr e l e a s e dd e l a y连接释放需要的时间。连接拆除包括两种类型,一是服务的请求者完成服务后,主动请求拆除连接的时延,二是服务的提供者主动拆除连接的时延。3G B/T2 8 4 5 62 0 1 2知识星球https

20、:/ 0 吞吐量 t h r o u g h p u t丢包率为零的情况下,单位时间内传输有效数据的数量。3.3 1 剩余错误比率 r e s i d u a l e r r o r r a t i o在给定的时间间隔内,传送不正确、丢失或者重复的数据量与传输正确的数据量之比。3.3 2 失败概率 p r o b a b i l i t yo f f a i l u r e包括连接建立失败概率、传送失败概率以及连接拆除失败概率等。4 缩略语AH 认证头 A u t h e n t i c a t i o nH e a d e rC P U 中央处理单元 C e n t r a lP r o c

21、 e s s o rU n i tD O I 解释域 D o m a i nO f I n t e r p r e t e rDUT 被测设备 D e v i c eU n d e rT e s t e rE S P 封装安全载荷 E s c a p s u l a t i n gS e c u r i t yP a y l o a dHMA C 散列消息认证码 H a s hM e s s a g eA u t h e n t i c a t i o nC o d eI CMP 因特网控制报文协议 I n e r n e tC o n t r o lM e s s a g eP r o t

22、o c o lI C V 完整性校验值 I n t e g r i t yC h e c kV a l u eI K E 因特网密钥交换协议 I n t e r n e tK e yE x c h a n g eI K E v 1 因特网密钥交换协议版本1 I n t e r n e tK e yE x c h a n g ev 1I E K v 2 因特网密钥交换协议版本2 I n t e r n e tK e yE x c h a n g ev 2I P 因特网协议 I n t e r n e tP r o t o c o lI P s e c I P安全协议 I Ps e c u r i

23、 t yI S AKMP 因特网安全关联与密钥管理协议 I n t e r n e tS e c u r i t yA s s o c i a t i o na n dK e yM a n a g e m e n tP r o t o c o lI V 初始化向量 I n i t i a l i z a t i o nV e c t o rMA C 消息认证码 M e s s a g eA u t h e n t i c a t i o nC o d eNAT 网络地址翻译 N e t w o r kA d d r e s sT r a n s l a t i o nMTU 最大传送单元 M

24、a x i m u nT r a n s m i s s i o nU n i tP F S 完美前向保密 P e r f e c tF o r w a r dS e c r e c yP R F 伪随机函数 P s e u d o-R a n d o mF u n c t i o nS A 安全关联 S e c u r i t yA s s o c i a t i o nS A D 安全关联数据库 S e c u r i t yA s s o c i a t i o nD a t a b a s eS G 安全网关 S e c u r i t yG a t e w a yS P D 安全策略

25、数据库 S e c u r i t yP o l i c yD a t a b a s eS P I 安全参数索引 S e c u r i t yP a r a m e t e r I n d e x5 测试说明5.1 测试对象说明本标准是I P s e c协议的测试标准,测试对象为依据R F C相关标准实现的I P s e c协议应用。4G B/T2 8 4 5 62 0 1 2知识星球https:/ P s e c协议应用可提供基于密码的安全服务,使用的密码算法和密钥管理策略应符合国家密码主管部门的有关规定。I P s e c协议描述可见附录A,附录B和附录C给出了I K E v 1和I

26、K E v 2的密钥交换机制。5.2 测试内容说明本标准定义了I P s e c协议应用的测试内容,包括功能测试、性能测试、健壮性测试和互操作性测试。功能测试用于测试I P s e c协议应用实现的基本功能,包括基本互连测试、安全功能测试和行为测试。基本互连测试用于测试I P s e c协议应用的连通情况,是其他测试的基础;安全功能测试完成I P s e c协议应用的各项安全功能测试,包括密码算法协商、身份认证、数据保密性和数据完整性等;为保证各项安全功能的有效性,I P s e c协议应用的动态行为必须符合协议规范要求,行为测试完成I P s e c协议应用的动态行为的符合性测试,包括正确输

27、入行为符合性测试和非正确输入行为符合性测试。性能测试用于测试在不同的网络负载情况下I P s e c协议应用的性能参数,包括连接建立时延、传送时延、连接拆除时延、单位时间新建连接数、设备支持的总连接数、加解密时延、吞吐量、剩余错误比率以及失败概率等。健壮性测试用于测试I P s e c协议应用在无效数据输入或在高强度负载环境下,各项功能保持正确运行的程度,即测试I P s e c协议应用对错误的有效处理能力,主要包括无效报文处理能力、异常事件处理能力和高强度负载下的处理能力。I P s e c协议应用属于安全产品,其健壮性对于安全功能的有效性至关重要,因此本标准对该质量属性进行了测试。互操作性

28、测试用于完成不同I P s e c协议应用之间的互操作能力测试,包括基本互连互操作性测试和安全功能互操作测试。基本互连互操作性测试内容和功能测试中的基本互连测试内容一样,安全功能互操作性测试和功能测试中的安全功能测试内容一样,主要区别在于功能测试是I P s e c协议应用和测试系统之间的交互,而互操作性测试是不同的I P s e c协议应用间的交互。5.3 测试环境说明本标准推荐采用G B/T1 7 1 7 8.11 9 9 7中的远程测试方法,构造测试环境并给出相关的测试步骤。I P s e c协议应用测试的典型网络拓扑结构如图1所示。图1 I P s e c协议应用测试的网络拓扑结构图上

29、述拓扑结构可根据待测设备DUT的类型(如终端或网关)灵活配置,如内部主机和管理机在终端情况下可不出现。测试工具包括但不限于:I P s e c协议仿真器用于模拟I P s e c协议的动作并进行测试;专用的流量发5G B/T2 8 4 5 62 0 1 2知识星球https:/ 测试内容6.1 A H传输模式测试内容6.1.1 功能测试内容6.1.1.1 基本互连测试测试I P s e c协议应用在AH传输模式下的基本连通能力。6.1.1.2 安全功能测试测试I P s e c协议应用在AH传输模式下的安全功能,测试内容包括:a)AH传输模式功能:能够支持AH传输模式,建立AH传输模式的S A

30、并进行通信;b)数据完整性保护功能:能够支持数据完整性保护功能,及时发现篡改、删除等情况的发生;c)数据源认证功能:能够支持数据源认证功能,及时发现伪造、欺骗等情况的发生;d)抗重放攻击服务功能:能够支持抗重放攻击服务功能,可检测出重放的报文并丢弃;e)应用I P s e c策略功能:能够配置S P D支持应用I P s e c策略功能,允许合法的业务通过时获得AH协议的保护;f)旁路策略功能:能够配置S P D支持旁路策略功能,允许合法的业务通过时不使用AH协议的保护;g)丢弃策略功能:能够配置S P D支持丢弃策略功能,不合法的业务通过时将被丢弃;h)S P D策略选择功能:能够配置多个S

31、 P D策略实体,在发送或接收分组时,可选择合适的S P D策略进行处理;i)S A生存期测试功能:能够支持S A的有效生存期管理功能,防止利用过期的S A传递数据;j)分片重组功能:能够支持分片重组功能,确保数据通过网络传递和接收时得到正确的处理;k)序号增长功能:能够支持数据报文序号的自动递增功能。6.1.2 性能测试内容测试I P s e c协议应用在AH传输模式下的性能,测试内容包括:a)吞吐量:测量在以太网长帧和短帧时,I P s e c协议应用的数据吞吐量;b)传送时延:测量I P s e c协议应用的数据传送时延;c)剩余错误比率:测量I P s e c协议应用的剩余错误比率;d

32、)失败概率:测量I P s e c协议应用传送失败的概率。6.1.3 健壮性测试内容6.1.3.1 无效报文处理能力测试I P s e c协议应用在AH传输模式下的无效报文处理能力,测试内容包括:a)错误报文处理能力:测试接收到AH传输模式封装的报文中有错误时,I P s e c协议应用处理能力。常见的错误报文如AH头部中保留字段不为0、S P I在02 5 5之间、序号为0、I C V字段不正确等。b)非期望报文处理能力:测试接收到一个非期望的AH传输模式封装的报文时,I P s e c协议应用处理能力。常见的非期望报文如序号不在接受窗口内、重复报文等。6G B/T2 8 4 5 62 0

33、1 2知识星球https:/ 异常事件处理能力测试I P s e c协议应用在AH传输模式下的异常事件处理能力,测试内容包括:a)连接中断处理能力:测试在网络物理连接突然非正常中断时,I P s e c协议应用的处理能力;b)无效S A处理能力:测试接收到AH传输模式封装的报文,但没有有效的S A时,I P s e c协议应用的处理能力。6.1.3.3 高强度负载处理能力测试I P s e c协议应用在AH传输模式下的高强度负载处理能力,测试内容包括:a)网络高强度负载处理能力:测试在网络流量负载比较大时,I P s e c协议应用的处理能力;b)系统高强度负载处理能力:测试在多种资源(如C

34、P U或者内存)消耗比较多时,I P s e c协议应用的处理能力。6.1.4 互操作性测试内容6.1.4.1 基本互连测试测试不同I P s e c协议应用在AH传输模式下的基本连通能力。6.1.4.2 功能互操作性测试测试不同I P s e c协议应用在AH传输模式下的功能互操作情况。测试内容见6.1.1.2的规定。6.2 A H隧道模式测试内容6.2.1 功能测试内容6.2.1.1 基本互连测试测试I P s e c协议应用在AH隧道模式下的基本连通能力。6.2.1.2 安全功能测试测试I P s e c协议应用在AH隧道模式下支持的安全功能。测试内容见6.1.1.2的规定。6.2.2

35、性能测试内容测试I P s e c协议应用在AH隧道模式下的性能指标。测试内容见6.1.2的规定。6.2.3 健壮性测试内容6.2.3.1 无效报文处理能力测试I P s e c协议应用在AH隧道模式下无效报文处理能力。测试内容见6.1.3.1的规定。6.2.3.2 异常事件处理能力测试I P s e c协议应用在AH隧道模式下异常事件处理能力。测试内容见6.1.3.2的规定。6.2.3.3 高强度负载处理能力测试I P s e c协议应用在AH隧道模式下高强度负载处理能力。测试内容见6.1.3.3的规定。7G B/T2 8 4 5 62 0 1 2知识星球https:/ 互操作性测试内容6.

36、2.4.1 基本互连测试测试不同I P s e c协议应用在AH隧道模式下的基本连通能力。6.2.4.2 功能互操作性测试测试不同I P s e c协议应用在AH隧道模式下的功能互操作情况。测试内容见6.1.1.2的规定。6.3 E S P传输模式测试内容6.3.1 功能测试内容6.3.1.1 基本互连测试测试I P s e c协议应用在E S P传输模式下的基本连通能力。6.3.1.2 安全功能测试测试I P s e c协议应用在E S P传输模式下的安全功能,测试内容包括:a)E S P传输模式功能:能够支持E S P传输模式,建立E S P传输模式的S A并进行通信;b)数据完整性保护功

37、能:能够支持数据完整性保护功能,及时发现篡改、删除等情况的发生;c)数据源认证功能:能够支持数据源认证功能,及时发现伪造、欺骗等情况的发生;d)数据保密性功能:能够支持数据保密性功能,防止数据传输过程中的非授权泄露;e)抗重放攻击服务功能:能够支持抗重放攻击服务功能,可检测出重放的报文并丢弃;f)应用I P s e c策略功能:能够配置S P D支持应用I P s e c策略功能,允许合法的业务通过时获得E S P协议的保护;g)旁路策略功能:能够配置S P D支持旁路策略功能,允许合法的业务通过时不使用E S P协议的保护;h)丢弃策略功能:能够配置S P D支持丢弃策略功能,不合法的业务通

38、过时将被丢弃;i)S P D策略选择功能:能够配置多个S P D策略实体,在发送或接收分组时,可选择合适的S P D策略进行处理;j)S A生存期测试功能:能够支持S A的有效生存期管理功能,防止利用过期的S A传递数据;k)分片重组功能:能够支持分片重组功能,确保数据通过网络传递和接收时得到正确的处理;l)序号增长功能:能够支持发送数据报文序号的自动递增功能;m)NAT穿越功能:能够支持NAT穿越功能,满足I P s e c与NAT的兼容性要求。6.3.2 性能测试要求测试I P s e c协议应用在E S P传输模式下的性能,测试内容包括:a)加解密吞吐量:测量在以太网长帧和短帧时,I P

39、 s e c协议应用在丢包率为0的条件下内部接口上达到的双向数据最大流量;b)加解密时延:测量在以太网长帧和短帧时,I P s e c协议应用在丢包率为0的条件下,一个报文经过加密算法计算变为密文,再由密文解密还原为明文所消耗的平均时间;c)传送时延:测量I P s e c协议应用的数据传送时延;d)剩余错误比率:测量I P s e c协议应用的剩余错误比率;e)失败概率:测量I P s e c协议应用传送失败的概率。8G B/T2 8 4 5 62 0 1 2知识星球https:/ 健壮性测试内容6.3.3.1 无效报文处理能力测试I P s e c协议应用在E S P传输模式下的无效报文处

40、理能力,测试内容包括:a)错误报文处理能力:测试接收到E S P传输模式封装的报文中有错误时,I P s e c协议应用的处理能力。常见的错误报文如S P I在02 5 5之间、序号为0、填充长度和下一个头字段不以4字节对齐、填充长度不在02 5 5之间、载荷长度为0、I C V字段不正确等。b)非期望报文处理能力:测试接收到一个非期望的E S P传输模式封装的报文时,I P s e c协议应用的处理能力。常见的非期望报文如序号不在接受窗口内、重复报文等。6.3.3.2 异常事件处理能力测试I P s e c协议应用在E S P传输模式下的异常事件处理能力,测试内容包括:a)连接中断处理能力:

41、测试在网络物理连接突然非正常中断时,I P s e c协议应用处理能力;b)无效S A处理能力:测试接收到E S P传输模式封装的报文,但没有有效的S A时,I P s e c协议应用处理能力。6.3.3.3 高强度负载处理能力测试I P s e c协议应用在E S P传输模式下的高强度负载处理能力,测试内容包括:a)网络高强度负载处理能力:测试在网络流量负载比较大时,I P s e c协议应用处理能力;b)系统高强度负载处理能力:测试在多种资源(如C P U或者内存)消耗比较多时,I P s e c协议应用处理能力。6.3.4 互操作性测试内容6.3.4.1 基本互连测试测试不同I P s

42、e c协议应用在E S P传输模式下的基本连通能力。6.3.4.2 功能互操作性测试测试不同I P s e c协议应用在E S P传输模式下的功能互操作情况。测试内容见6.3.1.2的规定。6.4 E S P隧道模式测试内容6.4.1 功能测试内容6.4.1.1 基本互连测试测试I P s e c协议应用在E S P隧道模式下的基本连通能力。6.4.1.2 安全功能测试测试I P s e c协议应用在E S P隧道模式下的安全功能,测试内容包括:a)基本安全功能:测试I P s e c协议应用在E S P隧道模式下支持的各种安全功能。测试内容见6.3.1.2的规定。b)有限业务流的保密性保护功

43、能:能够支持有限业务流的保密性保护功能,防止对报文内容的分析。9G B/T2 8 4 5 62 0 1 2知识星球https:/ 性能测试内容测试I P s e c协议应用在E S P隧道模式下的各种性能指标。测试内容见6.3.2的规定。6.4.3 健壮性测试内容6.4.3.1 无效报文处理能力测试I P s e c协议应用在E S P隧道模式下无效报文处理能力。测试内容见6.3.3.1的规定。6.4.3.2 异常事件处理能力测试I P s e c协议应用在E S P隧道模式下异常事件处理能力。测试内容见6.3.3.2的规定。6.4.3.3 高强度负载处理能力测试I P s e c协议应用在E

44、 S P隧道模式下高强度负载处理能力。测试内容见6.3.3.3的规定。6.4.4 互操作性测试内容6.4.4.1 基本互连测试测试不同I P s e c协议应用在E S P隧道模式下的基本连通能力。6.4.4.2 功能互操作性测试测试不同I P s e c协议应用在E S P隧道模式下的功能互操作情况。测试内容见6.4.1.2的规定。6.5 传输邻接模式测试内容6.5.1 功能测试内容6.5.1.1 基本互连测试测试I P s e c协议应用在传输邻接模式下的基本连通能力。6.5.1.2 安全功能测试测试I P s e c协议应用在传输邻接模式下的安全功能,测试内容包括:a)传输邻接模式功能:

45、能够支持传输邻接模式,建立传输邻接模式的S A并进行通信;b)数据完整性保护功能:能够支持数据完整性保护功能,及时发现篡改、删除等情况的发生;c)数据源认证功能:能够支持数据源认证功能,及时发现伪造、欺骗等情况的发生;d)数据保密性功能:能够支持数据保密性保护功能,防止数据传输过程中的非授权泄露;e)抗重放攻击服务功能:能够支持抗重放攻击服务功能,可检测出重放的报文并丢弃;f)应用I P s e c策略功能:能够配置S P D支持应用I P s e c策略功能,允许合法的业务通过时获得安全性保护;g)旁路策略功能:能够配置S P D支持旁路策略功能,允许合法的业务通过时不使用安全性保护;h)丢

46、弃策略功能:能够配置S P D支持丢弃策略功能,不合法的业务通过时将被丢弃;i)S P D策略选择功能:能够配置多个S P D策略实体,在发送或接收分组时,可选择合适的S P D策略进行处理;j)S A生存期测试功能:能够支持S A的有效生存期管理功能,防止利用过期的S A传递数据;k)分片重组功能:能够支持分片重组功能,确保数据通过网络传递和接收时得到正确的处理;01G B/T2 8 4 5 62 0 1 2知识星球https:/ P s e c协议应用支持发送数据报文序号的自动递增功能。6.5.2 性能测试内容测试I P s e c协议应用在传输邻接模式下的各种性能指标,测试内容见6.3.

47、2的规定。6.5.3 健壮性测试内容6.5.3.1 无效报文处理能力测试I P s e c协议应用在传输邻接模式下的无效报文处理能力,测试内容包括:a)错误报文处理能力:测试接收到传输邻接模式封装的报文中有错误时,I P s e c协议应用处理能力。常见的错误报文如AH头部中保留字段不为0、S P I在02 5 5之间、序号为0、I C V字段不正确,E S P封装结构中S P I在02 5 5之间、序号为0、填充长度和下一个头字段不以4字节对齐、填充长度不在02 5 5之间、载荷长度为0等。b)非期望报文处理能力:测试接收到一个非期望的传输邻接模式封装的报文时,I P s e c协议应用处理

48、能力。常见的非期望报文如序号不在接受窗口内、重复报文等。6.5.3.2 异常事件处理能力测试I P s e c协议应用在传输邻接模式下的异常事件处理能力,测试内容包括:a)连接中断处理能力:测试在网络物理连接突然非正常中断时,I P s e c协议应用处理能力;b)无效S A处理能力:测试接收到传输邻接模式封装的报文,但没有有效的S A时,I P s e c协议应用处理能力。6.5.3.3 高强度负载处理能力测试I P s e c协议应用在传输邻接模式下的高强度负载处理能力,测试内容包括:a)网络高强度负载处理能力:测试在网络流量负载比较大时,I P s e c协议应用处理能力;b)系统高强度

49、负载处理能力:测试在多种资源(如C P U或者内存)消耗比较多时,I P s e c协议应用处理能力。6.5.4 互操作性测试内容6.5.4.1 基本互连测试测试不同I P s e c协议应用在传输邻接模式下的基本连通能力。6.5.4.2 功能互操作性测试测试不同I P s e c协议应用在传输邻接模式下的功能互操作情况。测试内容见6.5.1.2的规定。6.6 迭代隧道模式测试内容6.6.1 功能测试内容6.6.1.1 基本互连测试测试I P s e c协议应用在迭代隧道模式下的基本连通能力。6.6.1.2 安全功能测试测试I P s e c协议应用在迭代隧道模式下的安全功能,测试内容包括:1

50、1G B/T2 8 4 5 62 0 1 2知识星球https:/ A并进行通信;b)数据完整性保护功能:能够支持数据完整性保护功能,及时发现篡改、删除等情况的发生;c)数据源认证功能:能够支持数据源认证功能,及时发现伪造、欺骗等情况的发生;d)数据保密性功能:能够支持数据保密性保护功能,防止数据传输过程中的非授权泄露;e)有限业务流的保密性保护功能:能够支持有限业务流的保密性保护功能,防止对报文内容的分析;f)抗重放攻击服务功能:能够支持抗重放攻击服务功能,可检测出重放的报文并丢弃;g)应用I P s e c策略功能:能够配置S P D支持应用I P s e c策略功能,允许合法的业务通过时