CN107026772A - 一种面向网络准入控制系统的测试系统、测试床和测试方法 - Google Patents

一种面向网络准入控制系统的测试系统、测试床和测试方法 Download PDF

Info

Publication number
CN107026772A
CN107026772A CN201710296219.4A CN201710296219A CN107026772A CN 107026772 A CN107026772 A CN 107026772A CN 201710296219 A CN201710296219 A CN 201710296219A CN 107026772 A CN107026772 A CN 107026772A
Authority
CN
China
Prior art keywords
test
network
control system
strategy
management unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201710296219.4A
Other languages
English (en)
Other versions
CN107026772B (zh
Inventor
钟力
操寒
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing VRV Software Corp Ltd
Original Assignee
Beijing VRV Software Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing VRV Software Corp Ltd filed Critical Beijing VRV Software Corp Ltd
Priority to CN201710296219.4A priority Critical patent/CN107026772B/zh
Publication of CN107026772A publication Critical patent/CN107026772A/zh
Application granted granted Critical
Publication of CN107026772B publication Critical patent/CN107026772B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/50Testing arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities

Abstract

本发明公开了一种面向网络准入控制系统的测试系统、测试床和测试方法,属于网络安全技术领域。所述测试系统包括测试管理单元和测试代理单元。所述测试床包括测试系统、网络准入控制系统、网络系统、第三方身份认证系统和信息服务系统。所述测试方法包括:测试管理单元配置测试策略并分发给测试代理单元;测试代理单元根据测试策略执行测试并将测试结果返回至测试管理单元;重复以上步骤直至遍历所有测试策略后,测试管理单元统计所有测试结果并进行分析,生成测试报告。通过本发明,规范了面向网络准入控制系统的测试内容、过程、环境和方法,提高了测试的标准化水平和效率。

Description

一种面向网络准入控制系统的测试系统、测试床和测试方法
技术领域
本发明属于网络安全领域,涉及针对网络准入控制系统的测试系统、测试床和测试方法。
背景技术
近年来,黑客技术的发展使得深处在计算机信息系统环境下的企业和人们愈加的缺乏安全感,越来越多的安全问题均来自于企业或机构内部的终端系统。人们逐渐的意思到,在应对目前的网络安全风险和威胁时,不仅需要自顶向下的网络安全体系设计,还需要自底向上保证计算机终端及计算机网络的安全可信,使得网络成为一个可信的计算环境。这其中包括在终端接入前对用户身份进行认证,对终端进行安全测量和评估,对终端可信状态进行审核,确保接入信息系统的终端是一个完全可信的终端。
网络准入控制软件的普及性应用,催生了对网络准入控制软件安全性测试的现实需求。而目前,尚未出台针对网络准入技术或产品的国家标准(或行业标准),在一般情况下,针对网络准入控制软件的测试通常由测试人员搭建测试环境而后进行手工测试,而没有一个完善的测试系统与测试床,这导致了测试过程中常出现测试内容不全、测试过程不够规范、测试效率低等问题。
因此,如何提高测试效率、规范测试内容和测试过程成为目前网络准入控制系统测试中亟待解决的技术问题。为此,本发明提出了一种面向网络准入控制系统的测试系统、测试床和测试方法,通过对测试方法、测试环境、测试内容和测试工具等多个方面进行规范,来有效解决测试中存在的上述问题。
发明内容
本发明的目的,是为针对网络准入控制系统的测试,提供一种规范化的测试床系统和方法,使测试方法、测试环境、测试内容和测试结果评判等测试要素得到明确,从而解决目前测试中存在的种种问题,促进测试标准化水平的提高,以及测试能力和效率的提升。
本发明提供一种面向网络准入控制系统的测试系统,其特征在于:包括测试管理单元和测试代理单元;其中,
测试管理单元负责测试策略管理、测试结果收集和测试报告生成;测试代理单元负责根据测试策略执行相应的测试用例,获得测试结果并将测试结果返回至测试管理单元。
通常,测试管理单元安装在一台服务器上,测试代理单元安装在终端主机上,服务器和终端主机通过网络进行连接。
测试管理单元包括测试策略管理模块、测试数据收集模块和测试报告生成模块。测试策略管理模块负责维护网络准入控制系统的测试策略,根据相关标准规范,增加、删除和完善测试策略。测试数据收集模块负责收集测试代理单元发来的测试结果数据,即与测试策略对应的测试用例及测试用例是否通过的结论。测试报告生成模块用于根据测试结果数据,进行统计分析,生成测试报告。
测试代理单元包括合规主机测试模块、不合规主机测试模块、修复模块。合规主机测试模块负责执行终端主机合规的测试用例,验证合规主机是否能够正常接入网络,并获得相应的访问权限。不合规主机测试模块负责执行终端主机不合规的测试用例,验证不合规主机是否被拒绝入网,并被置于隔离区修复。修复模块负责对隔离区的终端主机进行修复,包括更改配置或下载安装缺失的安全软件或补丁程序,使其合规,并验证修复后能否正常接入网络及获得相应的访问权限。
本发明还提供一种面向网络准入控制系统的测试床,所述测试床由测试系统、网络准入控制系统、网络系统、第三方身份认证系统和信息服务系统组成。其中,测试系统用于执行测试并出具测试报告;网络准入控制系统是受测对象,通常包括网络准入控制网关、管理服务端和客户端,客户端需与测试系统的测试代理单元安装在一起;网络系统用于提供必要的网络测试环境,通常为一至多台支持IEEE802.1X协议的三层网络交换机。第三方身份认证系统通过网络系统提供Radius服务、AD域服务、CA服务等身份认证服务。信息服务系统则通过网络系统向测试系统则用于提供信息服务,在测试过程中,如果终端主机能接收到信息服务系统的信息服务,证明该终端主机已被允许接入网络。所述信息服务系统还通过网络系统向测试代理单元的修复模块提供安全软件与补丁程序。
本发明还提供一种面向网络准入控制系统的测试方法,分为如下步骤:
步骤301:测试管理单元配置测试策略,并分发到相应的测试代理单元中;
步骤302:测试代理单元根据测试策略,调用对应的测试用例,执行测试;
步骤303:测试代理单元将测试用例的执行结果与预期结果进行比对,得到测试结果;
步骤304:测试代理单元将测试策略的测试结果返回至测试管理单元;
步骤305:重读上述步骤直至遍历所有测试策略;
步骤306:测试管理单元统计所有测试策略的测试结果并进行分析,生成测试报告。
附图说明
图1为本发明实施例中一种面向网络准入控制系统的测试系统的结构框图。
图2是本发明实施例中一种面向网络准入控制系统的测试床d应用部署示意图。
图3是本发明实施例中一种面向网络准入控制系统的测试方法流程图。
图4是本发明实施例中的一种网络准入安全策略测试方法流程图。
图5是本发明实施例中的另一种网络准入安全策略的测试方法流程图。
具体实施方式
以下结合说明书附图对本发明的优选实施例进行说明,应当理解,此处所 描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明,并且在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
如图1所示,为本发明实施例提供的一种面向网络准入控制系统的测试系统的结构框图。测试系统由测试管理单元11和测试代理单元12组成。通常,测试管理单元11安装在一台服务器上,测试代理单元12安装在各类终端主机上,服务器和终端主机通过网络进行连接从而完成测试管理单元11与测试代理单元12的连接。
测试管理单元11负责管理测试策略、收集测试结果并生成测试报告,包括测试策略管理模块111、测试数据收集模块112和测试报告生成模块113。
其中,测试策略管理模块111负责维护网络准入控制系统的测试策略,根据相关标准规范,增加、删除和完善测试策略。测试数据收集模块112负责收集测试代理单元12发来的测试结果数据,即与测试策略对应的测试用例及测试用例是否通过的结论。测试报告生成模块113则根据测试结果数据,对测试结果进行统计分析并生成测试报告。
测试代理单元12安装在受测终端上,它负责根据测试策略,执行相应的测试用例,而后获得测试结果,并将测试结果返回至测试管理单元。
测试代理单元12包括合规主机测试模块121、不合规主机测试模块122、修复模块123。
合规主机测试模块121负责执行终端主机合规的测试用例,验证合规主机是否能够正常接入网络,并获得相应的访问权限。不合规主机测试模块122负责执行终端主机不合规的测试用例,验证不合规主机是否被拒绝入网,并被置于隔离区修复。而修复模块123负责对隔离区的终端主机进行修复,包括更改配置或下载安装缺失的安全软件或补丁程序以使其合规,并验证修复后能否正常接入网络及获得相应的访问权限。
如图2所示,为本发明实施例提供的一种面向网络准入控制系统的测试床应用部署示意图。测试床由测试系统、网络准入控制系统、网络系统、第三方身份认证系统和信息服务系统组成。其中,网络准入控制系统是受测对象,通常包括网络准入控制网关、管理服务端和客户端,客户端需与测试系统的测试代理单元安装在同一终端主机上;测试系统用于执行测试并出具测试报告;网络系统用于提供必要的网络测试环境,通常为一至多台支持IEEE802.1X协议的三层网络交换机;第三方身份认证系统通过网络系统提供身份认证服务,包括Radius服务、AD域服务、CA服务等;信息服务系统则通过网络系统向测试代理单元的修复模块提供安全软件与补丁程序、并向终端主机提供信息服务以辅助测试网络准入系统,如果终端主机能够获得到信息服务系统上的信息服务,就说明终端主机已被允许接入网络。
如图3所示,为本发明实施例提供的一种面向网络控制系统的测试方法的流程示意图,可以包括以下步骤:
步骤301:测试管理单元配置测试策略,并分发到相应的测试代理单元中;
步骤302:测试代理单元根据测试策略,调用对应的测试用例,执行测试;
步骤303:测试代理单元将测试用例的执行结果与预期结果进行比对,得到测试结果;
步骤304:测试代理单元将测试策略的测试结果返回至测试管理单元;
步骤305:重读上述步骤直至遍历所有测试策略;
步骤306:测试管理单元统计所有测试策略的测试结果并进行分析,得到测试报告。
以下,对于步骤301至步骤304中的测试方法,分别通过针对两个基本的准入策略的具体测试过程来说明。
如图4所示,为本发明实施例中一种网络准入安全策略测试方法流程图,所述待测试的准入策略为新入网终端时的具体测试方法:
步骤401:测试管理单元的测试策略管理模块向测试代理单元的不合规主机测试模块分发新入网终端测试策略;
步骤402:该测试策略对应的测试用例启动,新入网终端中的不合规主机测试模块访问信息服务系统的信息提供部分,验证是否能正确访问;
步骤403:如果不能访问,说明新入网终端已被置于隔离区,进入步骤404;如果能访问,进入步骤406;
步骤404:修复模块启动,引导新入网终端访问信息服务系统的安全软件&补丁部分,使新入网终端得到安全修复和管控;
步骤405:修复完毕,修复模块将新入网终端移出隔离区,该测试用例测试通过;
步骤406:新入网终端未受网络准入控制系统控制,该测试用例测试不通过;
步骤407:测试代理单元向测试管理单元的测试数据收集模块提交该测试策略及对应测试用例的测试结果数据;
步骤408:该测试策略测试结束。
如图5所示,为本发明实施例中另一种网络准入安全策略测试方法流程图,所述待测试的准入策略为安全检测时的具体检测方法:
步骤501:测试管理单元的测试策略管理模块向测试代理单元的合规主机测试模块分发已入网终端安全检测测试策略;
步骤502:该测试策略对应的测试用例启动,已入网终端中的合规主机测试模块对终端进行安全检测;
步骤503:合规主机测试模块在安全检测结束后,将检测结果与终端安全基线进行对比,判断终端是否满足安全要求;
步骤504:如果满足安全要求,已入网终端继续保持入网状态,进入步骤507;如果不满足安全要求,直接进入步骤505,;
步骤505:合规主机测试模块将已入网终端置于隔离区,并启动修复模块,修复模块引导被置于隔离区的已入网终端访问信息服务系统的安全软件&补丁部分,使该终端得到安全修复;
步骤506:修复完毕,修复模块将该终端移出隔离区,并通知合规主机测试模块,回到步骤503;
步骤507:测试代理单元的合规主机测试模块向测试管理单元的测试数据收集模块提交该测试策略及对应测试用例的测试结果数据;
步骤508:该测试策略测试结束。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围内。

Claims (10)

1.一种面向网络准入控制系统的测试系统,其特征在于:包括测试管理单元和测试代理单元;其中,
测试管理单元负责测试策略管理、测试结果收集和测试报告生成;测试代理单元负责根据测试策略执行相应的测试用例,获得测试结果并将测试结果返回至测试管理单元;所述测试管理单元安装在服务器上,所述测试代理单元安装在终端主机上,服务器和终端主机通过网络进行连接。
2.根据权利要求1所述的测试系统,所述测试管理单元包括测试策略管理模块、测试数据收集模块和测试报告生成模块,用于维护网络准入控制系统的测试策略、收集测试代理单元发来的测试结果数据并生成测试报告。
3.根据权利要求1所述的测试系统,其特征在于,所述测试代理单元包括合规主机测试模块、不合规主机测试模块,用于测试合规的终端主机和不合规终端主机是否接受正确的网络准入控制。
4.根据权利要求1所述的测试系统,其特征在于,所述测试代理单元还包括修复模块,用于对隔离区的终端主机进行修复使其合规,并验证修复后的终端主机能否正常接入网络及获得相应的访问权限。
5.一种面向网络准入控制系统的测试床,其特征在于:包括测试系统、网络准入控制系统、网络系统、第三方身份认证系统和信息服务系统;其中,网络准入控制系统为受测对象,测试系统用于执行测试并出具测试报告,网络系统用于提供必要的网络测试环境,第三方身份认证系统用于提供身份认证,服务信息服务系统则用于提供信息服务、安全软件和补丁程序。
6.根据权利要求5所述的测试床,其特征在于,所述网络准入控制系统为受测对象,包括网络准入控制网关、管理服务端和客户端。
7.根据权利要求6所述的网络准入控制系统,其特征在于,所述客户端需与所述测试代理单元安装在同一终端主机上。
8.根据权利要求5所述的测试床,其特征在于,所述网络系统由一至多台支持IEEE802.1X协议的三层网络交换机构成。
9.根据权利要求5所述的测试床,其特征在于,当所述终端主机能够访问到信息服务系统的信息服务时,证明该终端主机已被允许接入网络;所述信息服务系统还向测试代理单元的修复模块提供安全软件与补丁程序。
10.一种面向网络准入控制系统的测试方法,分为如下步骤:
S1:测试管理单元配置测试策略,并分发到相应的测试代理单元中;
S2:测试代理单元根据测试策略,调用对应的测试用例,执行测试;
S3:测试代理单元将测试用例的执行结果与预期结果进行比对,得到测试结果;
S4:测试代理单元将测试策略的测试结果返回至测试管理单元;
S5:重读上述步骤直至遍历所有测试策略;
S6:测试管理单元统计所有测试策略的测试结果并进行分析,生成测试报告。
CN201710296219.4A 2017-04-28 2017-04-28 一种面向网络准入控制系统的测试系统、测试床和测试方法 Active CN107026772B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710296219.4A CN107026772B (zh) 2017-04-28 2017-04-28 一种面向网络准入控制系统的测试系统、测试床和测试方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710296219.4A CN107026772B (zh) 2017-04-28 2017-04-28 一种面向网络准入控制系统的测试系统、测试床和测试方法

Publications (2)

Publication Number Publication Date
CN107026772A true CN107026772A (zh) 2017-08-08
CN107026772B CN107026772B (zh) 2020-06-16

Family

ID=59526629

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710296219.4A Active CN107026772B (zh) 2017-04-28 2017-04-28 一种面向网络准入控制系统的测试系统、测试床和测试方法

Country Status (1)

Country Link
CN (1) CN107026772B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1753364A (zh) * 2005-10-26 2006-03-29 杭州华为三康技术有限公司 网络接入控制方法及系统
CN1937461A (zh) * 2006-09-22 2007-03-28 中国移动通信集团公司 基于终端管理业务的终端测试装置
CN102420727A (zh) * 2012-01-05 2012-04-18 北京邮电大学 一种基于分布式的协议测试系统及方法
EP2650788A1 (de) * 2012-04-11 2013-10-16 achelos GmbH Netzwerkbasierter Chipkartentest
CN104104745A (zh) * 2014-07-14 2014-10-15 国家电网公司 一种电网终端安全准入方法
CN106534289A (zh) * 2016-11-03 2017-03-22 京信通信技术(广州)有限公司 自动化测试方法、装置及系统

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1753364A (zh) * 2005-10-26 2006-03-29 杭州华为三康技术有限公司 网络接入控制方法及系统
CN1937461A (zh) * 2006-09-22 2007-03-28 中国移动通信集团公司 基于终端管理业务的终端测试装置
CN102420727A (zh) * 2012-01-05 2012-04-18 北京邮电大学 一种基于分布式的协议测试系统及方法
EP2650788A1 (de) * 2012-04-11 2013-10-16 achelos GmbH Netzwerkbasierter Chipkartentest
CN104104745A (zh) * 2014-07-14 2014-10-15 国家电网公司 一种电网终端安全准入方法
CN106534289A (zh) * 2016-11-03 2017-03-22 京信通信技术(广州)有限公司 自动化测试方法、装置及系统

Also Published As

Publication number Publication date
CN107026772B (zh) 2020-06-16

Similar Documents

Publication Publication Date Title
CN103368987B (zh) 云服务器、应用程序的审核认证及管理系统和方法
US10873594B2 (en) Test system and method for identifying security vulnerabilities of a device under test
CN100369446C (zh) 接入点的安全接入协议符合性测试方法及其系统
CN101778099B (zh) 可容忍非信任组件的可信网络接入架构及其接入方法
CN103581187B (zh) 访问权限的控制方法及控制系统
CN100448239C (zh) 鉴别服务实体的安全接入协议符合性测试的方法及其系统
CN106603507A (zh) 一种自动化完成网络安全自检的方法及系统
CN107766728A (zh) 移动应用安全管理装置、方法及移动作业安全防护系统
CN110213215A (zh) 一种资源访问方法、装置、终端和存储介质
CN103413202B (zh) 一种应用于运维审计系统的自动收集授权关系的方法
CN110061987A (zh) 一种基于角色和终端可信性的接入访问控制方法及装置
CN113868659B (zh) 一种漏洞检测方法及系统
CN104104650B (zh) 数据文件访问方法及终端设备
CN106454824A (zh) 一种无线终端安全接入信息内网的系统及方法
CN105516207B (zh) 一种远程认证中证书管理的方法
CN105429996A (zh) 一种智能发现和定位地址转换设备的方法
CN107644165A (zh) 安全防护平台以及安全防护方法和装置
CN104486306A (zh) 基于指静脉识别和云服务进行身份认证的方法
CN104104745B (zh) 一种电网终端安全准入方法
CN103491054A (zh) Sam准入系统
CN107026772A (zh) 一种面向网络准入控制系统的测试系统、测试床和测试方法
Hristova et al. Security assessment methodology for industrial control system products
CN106407836A (zh) 一种数据非法修改行为自动检测的方法及装置
CN100496052C (zh) 网络终端的安全接入协议符合性测试的方法及系统
CN116208401A (zh) 一种基于零信任的云主站访问控制方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant