CN109639735A - 一种IPv6工业无线网络安全等级的测试方法 - Google Patents

Abstract

本发明提供了一种IPv6工业无线网络安全等级的测试方法，先通过因果图法对安全等级测试进行测试用例设计，并提出一种测试用例优先级排序方法，对每个安全等级中的安全要素进行优先级排序，以确定测试顺序，从而可以尽早的发现系统中存在的错误或缺陷，提高了检测速率，降低测试执行成本。

Description

一种IPv6工业无线网络安全等级的测试方法

技术领域

本发明涉及安全等级测试技术领域，尤其涉及一种IPv6工业无线网络安全等级的测试方法。

背景技术

IPv6工业无线网络拓扑结构如图1所示，对其网络、数据等安全需求进行分析，结合《工业互联网安全总体要求》和《信息安全技术信息系统安全等级保护基本要求》中对安全等级的要求，对IPv6工业无线网络的安全等级进行划分，其安全保护能力随着安全等级的提高而逐渐提高。对于IPv6工业互联网系统的安全保护分为以下五个等级：第一级，IPv6工业无线网络系统受到破坏后，会对系统提供商、个人及企业用户等的合法权益造成轻微损害，但不损害国家安全、社会秩序和公共利益。第二级，IPv6工业无线网系统受到破坏后，会对系统提供商、个人及企业用户等的合法权益产生严重损害，或者对社会秩序、经济运行和公共利益造成轻微损害，但不损害国家安全。第三级，IPv6工业无线网络系统受到破坏后，会对系统提供商、个人及企业用户等的合法权益产生特别严重损害，或者对社会秩序、经济运行和公共利益造成严重损害，或者对国家安全造成损害。第四级，IPv6工业无线网络系统受到破坏后，会对社会秩序、经济运行和公共利益造成特别严重损害，或者对国家安全造成严重损害。第五级，IPv6工业无线网络系统受到破坏后，会对国家安全造成特别严重损害。

划分安全等级的安全要素大体分为数据完整性、数据保密性、数据新鲜性、数据备份与恢复、设备认证、访问控制、密钥管理、IPSec、边界隔离、边界访问控制、安全审计、安全网管策略、安全防火墙、端口安全、流量控制等。在测试时，对每个安全要素均进行测试，但现有的测试方法并没有对多个安全要素的测试顺序进行规定，使得每个测试用例中的安全要素测试顺序具有随机性，导致测试效率低下。

发明内容

本发明的目的在于提供一种IPv6工业无线网络安全等级的测试方法，以提高测试速率，降低测试执行成本。

为了达到上述目的，本发明提供了一种IPv6工业无线网络安全等级的测试方法，包括：

确定一IPv6工业无线网络的安全等级以确定安全要素集，其中，所述安全要素集包括多个安全要素；

确定每个所述的安全要素集中的各安全要素的排序影响因子及每个所述排序影响因子所占的权重；

根据所述排序影响因子及其所占的权重确定每个所述安全要素集中的各安全要素的优先级；

对所述IPv6工业无线网络的每一级的所有所述安全要素按照优先级从高到低的顺序执行测试。

可选的，所述安全要素包括数据完整性、数据保密性、数据新鲜性、数据备份与恢复、设备认证、访问控制、密钥管理、IPSec、边界隔离、边界访问控制、安全审计、安全网管策略、安全防火墙、端口安全或流量控制中的一种或多种。

可选的，所述排序影响因子包括重要度、变更度及实现复杂度，则第j个安全要素的优先级的取值Y_j为：

Y_j＝Mp_jW_Mp+V_jW_V+Re_j W_Re；

其中，Mp_j、V_j、Re_j分别为第j个安全要素的重要度、变更度及实现复杂度，W_Mp、W_V、W_Re分别为重要度Mp、变更度V及实现复杂度Re所占的权重。

可选的，第j个安全要素的变更度V_j为：

其中，T_j为第j个安全要素的变更次数，为该安全等级下所有安全要素的变更总次数。

可选的，第j个安全要素的实现复杂度Re_j为：

Re_j＝Le_j*W_Le+Ha_j*W_Ha+Mc_j*W_Mc；

其中，Le_j、Ha_j、Mc_j分别为第j个安全要素的代码行、代码复杂度及环路复杂度，W_Le、W_Ha、W_Mc分别为代码行Le、代码复杂度Ha、环路复杂度Mc的权重。

可选的，所述IPv6工业无线网络的每一级的所有所述安全要素均测试通过时，则所述IPv6工业无线网络符合该安全等级。

在本发明提供的IPv6工业无线网络安全等级的测试方法中，对每个安全要素集中的安全要素进行优先级排序，以确定测试顺序，从而可以尽早的发现系统中存在的错误或缺陷，提高了检测速率，降低测试执行成本。

附图说明

图1为IPv6工业无线网络拓扑结构图；

图2为本发明实施例提供的IPv6工业无线网络安全等级的测试方法的流程图；

图3为本发明实施例提供的安全等级测试因果图。

具体实施方式

下面将结合示意图对本发明的具体实施方式进行更详细的描述。根据下列描述和权利要求书，本发明的优点和特征将更清楚。需说明的是，附图均采用非常简化的形式且均使用非精准的比例，仅用以方便、明晰地辅助说明本发明实施例的目的。

如图2所示，本实施例提供了一种IPv6工业无线网络安全等级的测试方法，包括：

S1：确定一IPv6工业无线网络的安全等级以确定安全要素集，其中，所述安全要素集包括多个安全要素；

S2：确定每个所述的安全要素集中的各安全要素的排序影响因子及每个所述排序影响因子所占的权重；

S3：根据所述排序影响因子及其所占的权重确定每个所述安全要素集中的各安全要素的优先级；

S4：对所述IPv6工业无线网络的每一级的所有所述安全要素按照优先级从高到低的顺序执行测试。

具体的，安全等级划分要素(安全要素)通常包括数据完整性、数据保密性、数据新鲜性、数据备份与恢复、设备认证、访问控制、密钥管理、IPSec、边界隔离、边界访问控制、安全审计、安全网管策略、安全防火墙、端口安全或流量控制中的一种或多种，如表1所示：

表1安全等级划分

为方便区别以及后续表述不同等级的安全要素强度，对每一种安全要素做出定义，Ai：数据完整性；Bi：数据保密性；Ci：数据新鲜性；Di：数据备份与恢复；Ei：设备认证；Fi：密钥管理；Gi：IPSec；Hi：边界隔离；Ii：边界访问控制；Ji：安全审计；Ki：安全网管策略；Li：连接限制；Mi：安全防火墙；Ni：端口安全；Pi：流量控制。其中：i表示安全要素的强度，i∈[0，4]，其中0表示当前安全等级下对此安全要素不做要求。

因此，可以通过所述IPv6工业无线网络的安全等级确定安全要素集Xi：

Xi→{Ai，Bi，Ci……Pi，Qi}；

只有当所述IPv6工业无线网络的每一级的所有安全要素均符合要求时，才能表示所述IPv6工业无线网络达到相应的安全等级。因此原因与结果之间是一个“与”的关系。所述IPv6工业无线网络同一级的多个安全要素均可以独立实现，则原因与原因之间不存在约束关系。根据分析，画出如图3所示的因果图，将如图3所示的因果图转换成决策表，不同的安全等级包含不同的安全要素，根据安全要素的实现情况，会出现多种可能，如表2所示：

表2决策表

其中：情况1：表示安全等级第一级中至少有一项安全要素不满足要求，由于满足该情况的可能较多，因此在表2中不做详细描述。情况3：表示安全等级第二级中至少有一项安全要素不满足要求，但是满足第一级要求。情况5：表示安全等级第三级中至少有一项安全要素不满足要求，但是满足第二级要求。情况7：表示安全等级第四级中至少有一项安全要素不满足要求，但是满足第三级要求。情况9：表示安全等级第五级中至少有一项安全要素不满足要求，但是满足第四级要求。情况2、4、6、8、10：表示每一级中的安全要素均满足要求。

为达到IPv6工业无线网络安全等级测试的目的，在实际的测试中选取情况2、4、6、8、10属于必测项，而情况1、3、5、7、9则选取一定的数量进行测试。

下面以情况2为例给出详细测试设计：安全要素集X1{A1，B1，E1，H1，I1，L1}。

首先确定每个所述的安全要素集中的各安全要素的排序影响因子及每个所述排序影响因子所占的权重，再根据所述排序影响因子及其所占的权重确定每个所述安全要素集中的各安全要素的优先级。本实施例选取安全要素的重要度、每一级包含的安全要素变更情况、安全要素的实现复杂度作为排序影响因子。首先对排序影响因子做出以下定义：

重要度Mp：安全要素重要度是对IPv6工业无线网络安全等级要求重要程度的度量，可以量化处理为1-10的数值区间，数值越高表示重要度约高，而安全要素的重要度可由专家进行评定。

变更度V：变更度就用来表示对安全要素的变化情况的度量，在安全等级测试的反复测试过程中，可能会对安全等级的划分做出一定的调整，导致每级的安全要素会发生一定的变化，比如会增加或减少一些安全要素。将变更次数多的安全要素对应的测试用例具有较高优先级，能够较早开始执行，这样有利于更早的检测到软件缺陷，使测试更有效率。用下面的公式量化计算第j个安全要素变更度V_j：

其中，T_j为第j个安全要素的变更次数，为该安全等级下所有安全要素的变更总次数。

实现复杂度Re：研究表明功能实现的复杂度越高，系统越容易产生漏洞。本实施例中安全要素实现复杂度度量方式综合考虑代码行Le、代码复杂度Ha及环路复杂度Mc三个因素，上述三个因素的值可以通过使用源代码静态分析与度量工具获得，其值量化处理为1-10的数值区间，用下面的公式量化计算第j个安全要素的实现复杂度：

Re_j＝Le_j*W_Le+Ha_j*W_Ha+Mc_j*W_Mc；

其中，Le_j、Ha_j、Mc_j分别代码行、代码复杂度及环路复杂度，W_Le、W_Ha、W_Mc分别为代码行Le、代码复杂度Ha、环路复杂度Mc的权重，其权重值可根据实际情况作出调整。

则第j个安全要素测试的优先级的取值Y_j为：

Y_j＝Mp_jW_Mp+V_jW_V+Re_j W_Re；

其中，W_Mp、W_V、W_Re分别为重要度Mp、变更度V及实现复杂度Re所占的权重。最后根据安全要素的优先级的取值从高到低进行排序，若出现优先级的取值相同的几个安全要素，则这几个安全要素的顺序任意排列。

下面以安全等级第一级测试为例，对第一级中安全要素的测试顺序做出排序。首先确定安全要素集X1：

X1{A1，B1，E1，H1，I1，L1}；

并做出如下假设：

假设1：专家给出安全要素集X1中对应个各安全要素重要度的值如表3所示：

表3安全要素重要度

假设2：在初始测试中认为每个安全要素的变更次数为0，因此在进行第一次排序时不考虑变更度。

假设3：假设通过使用源代码静态分析与度量工具获得代码行、代码复杂度、环路复杂度的值，权重值分别为0.3、0.35、0.35，并计算得到相应的实现复杂度的值，如表4所示：

表4安全要素实现复杂度

假设4：假设安全要素的重要度Mp、变更度V、实现复杂度Re三个排序影响因子的权重分别为0.4、0.2、0.4。则最后根据公式计算得到安全要素集X1的各安全要素的优先级的取值Y如表5所示：

表5安全要素优先级值

因此，安全等级测试第一级测试中各安全要素执行测试的顺序如下：

B1→E1→A1→I1→H1→J1→L1。

首先执行B1数据保密性测试：

测试目的：测试IPv6工业无线网络对数据报文的安全处理是否符合保密性要求。

测试步骤如下：

Step1:网关和节点中同时部署AES算法的CCM*操作模式，在安全管理端中集成的基于AES-CCM*标准的第三方测试软件Wireless HART CCM Security Utility软件；

Step2:安全管理端下发数据安全处理命令，被测节点设备收到安全处理命令后，将明文A经过AES-CCM*操作模式进行加密校验后生成的密文M发送至网关；

Step3:网关收到密文M后首先将该报文转发至安全管理端，安全管理端存储该密文M；

Step4:网关在转发该密文的同时，利用网关中集成的AES算法的CCM*操作模式，将该密文M进行校验，解密，并将计算出来的明文A1转发至安全管理端；

Step4:安全管理端收到A1后，将A1、密钥材料输入Wireless HART CCM SecurityUtility软件中，获取经过该软件加密校验的密文M1；

Step5:安全管理端对比生成的M1和收到的密文M，如果一致，则说明标准要求；否则，不符合，并将测试结果显示在安全管理端。

测试判决：若测试步骤中任意一步失败则认为不符合数据保密性要求。

接着执行E1设备认证测试：

测试目的：为了测试采用基于IPv6地址的认证方案是否能够保证IPv6工业无线网络信息源的真实性。

测试步骤如下：

Step1:安全管理端预存储节点的IPv6地址，并向下发送认证测试命令；

Step2:节点收到测试命令后，向网关发送认证请求信息：

其中Re表示强度为一的认证标识，IPu标识节点U的IPv6地址。

Step3:网关接收到认证消息后转发给安全管理端；

Step4:安全管理端接收到认证消息之后将IPu与预先保存的IPu’进行对比，若IPu与IPu’完全一致，则认为节点合法，反之，认为节点不合法；

Step5：安全管理端向节点发送一个认证应答信息，若节点合法，则同意节点入网，反之，不同意节点入网。

测试判决：若测试步骤中任意一步失败则认为不符合入网认证要求。

接着执行A1数据完整性测试：

测试目的：测试IPv6工业无线网络中对数据报文的安全处理是否符合完整性要求。

测试步骤如下：

Step1:安全管理端向下发送完整性测试命令；

Step2:节点设备收到测试命令后，运用hash运算利用明文数据信息生成MIC消息验证码，并向网关发送消息；

其中R1表示消息标识，M表示加密后的数据信息、MIC为完整性校验码；

Step3:网关收到消息后，将数据信息进行解密，然后用同样的方式生成MIC’，并比较收到的MIC与计算得到的MIC’是否一致，若一致，则表示消息完整性校验成功，反之，则失败。

测试判决：若测试步骤中任意一步失败则认为不符合数据完整性要求。

接着执行I1边界访问控制测试：

测试目的：主要测试用户的注册、授权和访问控制功能，验证最终是否能够实现外网用户的访问控制过程。

测试步骤如下：

Step1:用户在访问IPv6工业无线网络前，首先在安全管理端进行注册，用户User向安全管理端发送注册请求消息：

Message＝IDu||IDs||N1||Nonce1||Time1||MIC1；

其中MIC1＝H(IDu||IDs||N1||Nonce1||Time1)，Message1为注册请求消息，IDu为用户身份，IDs为管理端身份，N1为认证请求消息标示号，Nonce1为随机数，Time1为时间戳，MIC1为完整性校验码；

Step2:安全管理端接收到Message1后，计算MIC2＝H(IDu||IDs||N1||Nonce1||Time1)，判断MIC1与MIC2是否相等，若相等则产生随机数Nonce2，并利用收到的Nonce1生成用户与安全管理端的会话密钥Ku,s，回复响应消息并保存至信息库；

Step3:使用任意注册用户进行登录，安全管理端在信息库中查找该用户信息，若信息库中查找到该用户注册信息，则登陆成功，否则，登录失败，不能进行以下授权操作；

Step4:用户登录成功后，向安全管理端发送授权请求消息Message3＝IDu||IDs||N3||E1||Time3||MIC3，E1＝E(Ku,s，IDu||IDs||Rs)为授权请求消息，N3为授权请求标识号，E1为发送的授权请求消息，E1＝E(Ku,s，IDu||IDs||Rs)为，Rs为网络的资源集合；

Step5:安全管理端收到Message3后给用户分配相关资源信息，同时产生用户与网关之间的会话密钥Ku,n，回复授权响应信息Message4＝IDs||IDn||N4||E2||E3||Time4||MIC4，其中E2＝E(Ku,s，IDu||IDs||GAC||Ku,n||Time4)，E3＝E(Ks,n，IDu||IDs||GAC||Ku,n)，其中Ks,n为安全管理端与网关之间的预共享密钥，GAC是授权证书结构体；

Step6:用户收到安全管理端发送的访问响应后，解密E2存储授权证书消息GAC和Ku,n并保存E3；

Step7:用户向网关发起访问请求Message5＝IDu||IDn||N5||E4||E3||Time5||MIC5，其中E4访问请求消息，E4＝E(Ku,n，IDu||IDn||gac||Nonce3)；

Step8:网关收到Message5后，利用Ks,n解密E3从而认证用户IDu，得到与用户的共享密钥Ku,n以及授权证书GAC，根据Ku,n解密E4，得到Nonce3以及用户相关资源的属性证书gac；

Step9:根据授权证书GAC执行访问控制判定，查询授权证书，确认用户是否已被授权，若判断合法，则查询属性证书信息库，判断其访问操作是否可行，若可行，则网关回复访问请求响应消息并发送给消息至安全管理端，并在安全管理端显示访问控制测试结果。

判决准则：若测试步骤中任意一步失败则认为不符合边界访问控制要求。

接着执行H1边界隔离测试：

测试目的：测试在边界安全网关处采用的基于IPv6地址的隔离手段是否能够有效的将工业无线内部网络与外部网络进行隔离。

测试步骤如下：

Step1：在边界安全网关上进行配置，将工业无线网络根据IPv6地址划分成不同的安全区域；

Step2：用任意外网用户连接到网络，开启ping服务，判断是否能ping通；

判决准则：若步骤2中，外网用户可以通过Ping服务与安全域中的设备进行正常连接，则说明不符合边界隔离要求。

接着执行L1连接限制测试：

测试目的：验证在IPv6工业边界网关是否能够通过配置连接限制策略、应用连接限制策略，实现对内部网络资源的连接进行统计和限制。

测试步骤如下：

Step1：在边界安全网关上进行配置，限定节点连接数量，例如限制连接数量为20；

Step2：开启19个节点，判断所有节点是否能同时正常连接；

Step3：开启20个节点，判断所有节点是否能同时正常连接；

Step4:开启21个节点，判断所有节点是否能同时正常连接；

判决准则：若步骤1，2中的所有节点均不能同时正常连接，则认为测试失败；若步骤3中所有节点能同时正常连接，则说明测试失败。

上述仅为本发明的优选实施例而已，并不对本发明起到任何限制作用。任何所属技术领域的技术人员，在不脱离本发明的技术方案的范围内，对本发明揭露的技术方案和技术内容做任何形式的等同替换或修改等变动，均属未脱离本发明的技术方案的内容，仍属于本发明的保护范围之内。

Claims (6)

1.一种IPv6工业无线网络安全等级的测试方法，其特征在于，包括：

确定一IPv6工业无线网络的安全等级以确定安全要素集，其中，所述安全要素集包括多个安全要素；

确定每个所述的安全要素集中的各安全要素的排序影响因子及每个所述排序影响因子所占的权重；

根据所述排序影响因子及其所占的权重确定每个所述安全要素集中的各安全要素的优先级；

对所述IPv6工业无线网络的每一级的所有所述安全要素按照优先级从高到低的顺序执行测试。

2.如权利要求1所述的IPv6工业无线网络安全等级的测试方法，其特征在于，所述安全要素包括数据完整性、数据保密性、数据新鲜性、数据备份与恢复、设备认证、访问控制、密钥管理、IPSec、边界隔离、边界访问控制、安全审计、安全网管策略、安全防火墙、端口安全或流量控制中的一种或多种。

3.如权利要求1或2所述的IPv6工业无线网络安全等级的测试方法，其特征在于，所述排序影响因子包括重要度、变更度及实现复杂度，则第j个安全要素的优先级的取值Y_j为：

Y_j＝Mp_jW_Mp+V_jW_V+Re_jW_Re；

其中，Mp_j、V_j、Re_j分别为第j个安全要素的重要度、变更度及实现复杂度，W_Mp、W_V、W_Re分别为重要度Mp、变更度V及实现复杂度Re所占的权重。

4.如权利要求3所述的IPv6工业无线网络安全等级的测试方法，其特征在于，第j个安全要素的变更度V_j为：

其中，T_j为第j个安全要素的变更次数，为该安全等级下所有安全要素的变更总次数。

5.如权利要求3所述的IPv6工业无线网络安全等级的测试方法，其特征在于，第j个安全要素的实现复杂度Re_j为：

Re_j＝Le_j*W_Le+Ha_j*W_Ha+Mc_j*W_Mc；

其中，Le_j、Ha_j、Mc_j分别为第j个安全要素的代码行、代码复杂度及环路复杂度，W_Le、W_Ha、W_Mc分别为代码行Le、代码复杂度Ha、环路复杂度Mc的权重。

6.如权利要求1所述的IPv6工业无线网络安全等级的测试方法，其特征在于，所述IPv6工业无线网络的每一级的所有所述安全要素均测试通过时，则所述IPv6工业无线网络符合该安全等级。