CN110650065A - 面向互联网的网络设备众测系统及测试方法 - Google Patents

Abstract

本发明涉及网络安全技术领域，特别涉及一种面向互联网的网络设备众测系统及测试方法，该系统包括：用户管理模块，用于对用户进行身份认证；资源分配模块，用于向用户分配众测设备资源；安全防护模块，用于向众测设备模块提供安全防护和访问控制；以及众测设备模块，作为众测目标供用户测试。本发明通过用户管理模块将用户与众测系统建立联系，通过安全防护模块对众测系统进行安全保护，为网络设备厂商提供了一个安全、可靠、具有公信力的安全测试平台。

Description

面向互联网的网络设备众测系统及测试方法

技术领域

本发明涉及网络安全技术领域，特别涉及一种面向互联网的网络设备众测系统及测试方法。

背景技术

随着互联网尤其是工业互联网的快速发展，维护网络安全已经成为国家战略。目前，我国在互联网关键基础设施和工业控制系统上的安全性越加重视。

但是，当前各网络设备厂商主要是自行对产品进行安全性测试，或者由第三方测试团队进行测试，存在测试人员人数有限、测试内容不全面的问题。网络设备经常出现各种漏洞，其安全性不能得到保证。目前缺乏一套能够针对各种网络设备的全面的众测系统。

发明内容

为了解决现有测试中测试人员人数有限、测试内容不全面的问题，本发明提出了一种面向互联网的网络设备众测系统及测试方法，为网络设备厂商提供了一个安全、可靠、具有公信力的安全测试平台。

为解决上述技术问题，本发明采用以下的技术方案：

本发明提供了一种面向互联网的网络设备众测系统，该系统包括：

用户管理模块，用于对用户进行身份认证；

资源分配模块，用于向用户分配众测设备资源；

安全防护模块，用于向众测设备模块提供安全防护和访问控制；以及

众测设备模块，作为众测目标供用户测试。

进一步地，所述用户管理模块用于接受用户的注册请求，对用户的登录进行身份认证，管理用户参与的测试历史和结果，记录用户的注册用户名、分配的VPN账户名和虚拟IP地址的对应关系。

进一步地，所述资源分配模块包括访问资源分配单元和设备资源分配单元；

所述访问资源分配单元，包括SSL VPN网关，用于向用户分配访问众测系统的SSL VPN资源，所述SSL VPN资源包括VPN账户、密码和虚拟IP地址，所述虚拟IP地址、VPN账户和注册用户名一一对应，用户注册成功后，通过SSL VPN网关连接众测系统；

所述设备资源分配单元，用于向用户分配众测设备的访问权限和访问时长，用户通过申请测试某一款设备，获得该设备的访问权限和指定的访问时长，访问时长结束后，设备资源分配单元自动关闭用户对该设备的访问权限。

进一步地，所述安全防护模块包括云安全防护单元和本地安全防护单元；

所述云安全防护单元，是众测系统的第一道保护网，用于防护众测系统免受恶意攻击者的DDOS攻击；

所述本地安全防护单元，是众测系统的第二道保护网，用于防护众测系统遭受的各类网络攻击。

进一步地，所述众测设备模块包括接受用户渗透测试的各类网络设备和统一的日志存储系统，各个网络设备分配不同的网段，独立接受测试，相互之间通过防火墙进行隔离；各个网络设备将日志发送到统一的日志存储系统进行保存。

进一步地，该众测系统还包括测试裁决模块，用于根据众测设备模块中的日志存储系统的日志信息，分析用户对网络设备的测试结果，判断测试成功与否。

进一步地，该众测系统还包括设备管理模块，用于各设备管理人员对网络设备进行管理，支持本地管理和远程VPN连接管理。

本发明还提供了一种基于上述的面向互联网的网络设备众测系统的测试方法，包含以下步骤：

步骤一，用户注册；

步骤二，资源分配模块分配VPN账户、密码和虚拟IP地址；

步骤三，用户申请测试众测设备；

步骤四，资源分配模块分配访问权限；

步骤五，用户登录VPN账户，对众测设备进行安全测试，测试结果存放在统一的日志存储系统；

步骤六，测试裁决模块根据日志判断测试结果，将结果发送给用户管理模块显示。

与现有技术相比，本发明具有以下优点：

本发明提出的面向互联网的网络设备众测系统，能够模拟众测设备在互联网中的真实应用场景，接受全世界的安全测试人员注册登陆，对众测设备进行深度安全测试。同时，设备厂商也可以将该系统作为一个测试平台，邀请不同的第三方安全团队针对众测设备进行远程安全测试。独立测试人员加之多家第三方安全团队的测试方式，突破了以往第三方安全团队测试人数少、测试时间短的缺点，能够充分发现众测设备存在的安全漏洞，具有测试人员广、测试时间长、测试内容全面和测试方法灵活的特点。

本发明提出的面向互联网的网络设备众测系统的测试方法，其有益效果与面向互联网的网络设备众测系统的有益效果基本类似，此处不再赘述。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例提供的一种面向互联网的网络设备众测系统的结构框图；

图2是本发明实施例提供的一种面向互联网的网络设备众测系统的测试方法的流程图。

图中序号所代表的的含义为：110.用户管理模块，120.资源分配模块，130.安全防护模块，140.众测设备模块，150.测试裁决模块，160.设备管理模块。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例，基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例一

请参阅图1，其示出了本发明实施例提供的一种面向互联网的网络设备众测系统的结构框图，该系统包括用户管理模块110、资源分配模块120、安全防护模块130、众测设备模块140、测试裁决模块150和设备管理模块160；用户管理模块110用于对用户进行身份认证，资源分配模块120用于向用户分配众测设备资源，安全防护模块130用于向众测设备模块140提供安全防护和访问控制，众测设备模块140作为众测目标供用户测试，测试裁决模块150用于对用户测试的结果进行裁决，判断测试成功与否，设备管理模块160用于对众测设备进行本地或远程管理。

用户管理模块110用于接受用户的注册请求，对用户的登录进行身份认证，管理用户参与的测试历史和结果，记录用户的注册用户名、分配的VPN账户名和虚拟IP地址的对应关系。

资源分配模块120包括访问资源分配单元和设备资源分配单元；访问资源分配单元，包括SSL VPN网关，用于向用户分配访问众测系统的SSL VPN资源，所述SSL VPN资源包括VPN账户、密码和虚拟IP地址，所述虚拟IP地址、VPN账户和注册用户名一一对应，用户注册成功后，通过SSL VPN网关连接众测系统；设备资源分配单元，用于向用户分配众测设备的访问权限和访问时长，用户通过申请测试某一款设备，获得该设备的访问权限和指定的访问时长，访问时长结束后，设备资源分配单元自动关闭用户对该设备的访问权限。

安全防护模块130包括云安全防护单元和本地安全防护单元；云安全防护单元，是众测系统的第一道保护网，用于防护众测系统免受恶意攻击者的DDOS攻击；本地安全防护单元，是众测系统的第二道保护网，包括抗DDOS设备、防火墙、WAF等，用于防护众测系统可能遭受的各类网络攻击。

众测设备模块140包括接受用户渗透测试的各类网络设备和统一的日志存储系统，各个网络设备分配不同的网段，独立接受测试，相互之间通过防火墙进行隔离；各个网络设备将日志发送到统一的日志存储系统进行保存，并供测试裁决模块150进行裁决。

测试裁决模块150用于根据众测设备模块140中的日志存储系统的日志信息，分析用户对网络设备的测试结果，判断测试成功与否。

设备管理模块160用于各设备管理人员对网络设备进行管理，支持本地管理和远程VPN连接管理，为保证安全性，管理通道和用户测试通道为物理隔离的网络。

请参阅图2，其示出了本发明实施例提供的一种面向互联网的网络设备众测系统的测试方法的流程图，该方法可以包括以下步骤：

步骤S101，用户注册；

用户在众测系统官方网站上通过注册入口填写注册信息进行注册，注册信息包括国籍、注册用户名、性别、电子邮箱、邮箱验证码和网页验证码，注册用户名在众测系统内部是唯一的，用于用户登录众测系统使用。输入电子邮箱地址后，系统会向邮箱发送一封邮件，包含验证码，用户需要将验证码填写到注册信息中。网页验证码主要用于防止恶意用户通过脚本等手段批量注册用户。

步骤S102，资源分配模块分配VPN账户、密码和虚拟IP地址；

用户管理模块接收到用户注册信息后，如果信息格式正确无误，资源分配模块的访问资源分配单元将分配VPN账户、密码和虚拟IP地址信息，并发送到用户注册时填写的邮箱。用户管理模块保存注册用户名、VPN账户、虚拟IP地址的一一对应关系，用于后续用户测试结果的裁决。

步骤S103，用户申请测试某一款或几款众测设备；

用户在官网的用户中心申请测试某一款或几款众测设备，由于众测设备支持的并发测试数量有限，因此每一款设备测试申请都需要有测试开始时间和结束时间，以限制测试访问时长。

步骤S104，资源分配模块分配访问权限；

用户申请提交后，资源分配模块的设备资源分配单元根据用户提交的测试设备和访问时长，向用户分配对应设备的访问权限，在防火墙上设备访问权限。

步骤S105，用户登录VPN账户，对众测设备进行安全测试，测试结果存放在统一的日志存储系统；

根据用户操作系统的不同，用户通过不同的方式登录VPN账户，Windows用户可以通过浏览器登录，Mac用户和Linux用户通过下载专用客户端登录。登录VPN账户后，用户可以对设备进行安全测试，如果测试过程中，触发了漏洞或者产生了结果，设备的日志将记录测试结果并将结果发送到日志存储系统。

步骤S106，测试裁决模块根据日志判断测试结果，将结果发送给用户管理模块显示；

测试裁决模块定期读取日志存储系统中的日志信息，根据日志结果判断用户是否对设备测试触发漏洞或者攻击成功，如果攻击成功，测试裁决模块将虚拟IP地址、测试设备、日志时间、测试结果发送到用户管理模块，用户管理模块根据虚拟IP地址和注册用户名的对应关系，在该用户的用户中心显示测试结果。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储在计算机可读取的存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质中。

最后需要说明的是：以上所述仅为本发明的较佳实施例，仅用于说明本发明的技术方案，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等，均包含在本发明的保护范围内。

Claims (8)

1.一种面向互联网的网络设备众测系统，其特征在于，该系统包括：

用户管理模块，用于对用户进行身份认证；

资源分配模块，用于向用户分配众测设备资源；

安全防护模块，用于向众测设备模块提供安全防护和访问控制；以及

众测设备模块，作为众测目标供用户测试。

2.根据权利要求1所述的面向互联网的网络设备众测系统，其特征在于，所述用户管理模块用于接受用户的注册请求，对用户的登录进行身份认证，管理用户参与的测试历史和结果，记录用户的注册用户名、分配的VPN账户名和虚拟IP地址的对应关系。

3.根据权利要求2所述的面向互联网的网络设备众测系统，其特征在于，所述资源分配模块包括访问资源分配单元和设备资源分配单元；

所述访问资源分配单元，包括SSL VPN网关，用于向用户分配访问众测系统的SSL VPN资源，所述SSL VPN资源包括VPN账户、密码和虚拟IP地址，所述虚拟IP地址、VPN账户和注册用户名一一对应，用户注册成功后，通过SSL VPN网关连接众测系统；

所述设备资源分配单元，用于向用户分配众测设备的访问权限和访问时长，用户通过申请测试某一款设备，获得该设备的访问权限和指定的访问时长，访问时长结束后，设备资源分配单元自动关闭用户对该设备的访问权限。

4.根据权利要求1所述的面向互联网的网络设备众测系统，其特征在于，所述安全防护模块包括云安全防护单元和本地安全防护单元；

所述云安全防护单元，是众测系统的第一道保护网，用于防护众测系统免受恶意攻击者的DDOS攻击；

所述本地安全防护单元，是众测系统的第二道保护网，用于防护众测系统遭受的各类网络攻击。

5.根据权利要求1所述的面向互联网的网络设备众测系统，其特征在于，所述众测设备模块包括接受用户渗透测试的各类网络设备和统一的日志存储系统，各个网络设备分配不同的网段，独立接受测试，相互之间通过防火墙进行隔离；各个网络设备将日志发送到统一的日志存储系统进行保存。

6.根据权利要求5所述的面向互联网的网络设备众测系统，其特征在于，该众测系统还包括测试裁决模块，用于根据众测设备模块中的日志存储系统的日志信息，分析用户对网络设备的测试结果，判断测试成功与否。

7.根据权利要求1所述的面向互联网的网络设备众测系统，其特征在于，该众测系统还包括设备管理模块，用于各设备管理人员对网络设备进行管理，支持本地管理和远程VPN连接管理。

8.一种基于权利要求1至7任一项所述的面向互联网的网络设备众测系统的测试方法，其特征在于，包含以下步骤：

步骤一，用户注册；

步骤二，资源分配模块分配VPN账户、密码和虚拟IP地址；

步骤三，用户申请测试众测设备；

步骤四，资源分配模块分配访问权限；

步骤五，用户登录VPN账户，对众测设备进行安全测试，测试结果存放在统一的日志存储系统；

步骤六，测试裁决模块根据日志判断测试结果，将结果发送给用户管理模块显示。

Images