CN113285850A

CN113285850A - 一种适用于配电安全设备密码性能测试的方法及系统

Info

Publication number: CN113285850A
Application number: CN202110443089.9A
Authority: CN
Inventors: 亢超群; 李二霞; 韩子龙; 杨红磊; 张波; 李玉凌; 何连杰; 樊勇华; 许保平; 吴殿亮; 王利; 刘芸杉
Original assignee: China Online Shanghai Energy Internet Research Institute Co ltd
Current assignee: China Online Shanghai Energy Internet Research Institute Co ltd; Electric Power Research Institute of State Grid Shanghai Electric Power Co Ltd
Priority date: 2021-04-23
Filing date: 2021-04-23
Publication date: 2021-08-20

Abstract

本发明公开了一种适用于配电安全设备密码性能测试的方法及系统，属于电力监控系统网络安全防护技术领域。本发明方法，包括：针对被测配电加密认证装置或配电安全接入网关等密码设备，建立密码性能测试指标体系；建立测试平台与被测密码服务设备的不同的连接场景；在每一种连接场景下，控制测试平台加载接口库，加载完成后，对接口库与被测密码服务设备建立TCP连接；连接完成后，通过测试平台对密码性能测试指标体系中的每个测试项目，进行测试，并获取密码性能测试结果。本发明有效的解决了当前通用性测试系统或设备中存在的无法模拟真实业务数据及数据转发时延不准确的问题。

Description

一种适用于配电安全设备密码性能测试的方法及系统

技术领域

本发明涉及电力监控系统网络安全防护技术领域，并且更具体地，涉及一种适用于配电安全设备密码性能测试的方法及系统。

背景技术

在配电自动化系统安全防护体系中，配电专用安全类设备起到了十分关键的作用，包括用于给配电主站提供密码服务的配电加密认证装置，对接入主站的配电终端进行身份合法性管控的配电安全接入网关，部署在管理信息大区配电主站与配电终端纵向通信链路上的数据隔离组件等专用性安全防护产品。

现阶段配电专用安全类设备的性能测试主要使用国外研发的通用型测试工具，此类测试工具针对五层协议中网络层及链路层的报文，只能对部分基础性能进行测试，与设备的业务应用联系较少。

发明内容

针对上述问题，本发明提出了一种适用于配电安全设备密码性能测试的方法，包括：

针对被测配电加密认证装置、配电安全接入网关等具备密码服务功能的设备(以下简称“配电密码服务设备”)，建立密码性能测试指标体系；

建立测试平台与被测配电密码服务设备的不同的连接场景；

在每一种连接场景下，控制测试平台加载接口库，加载完成后，对接口库与被测配电密码服务设备建立TCP连接；

连接完成后，通过测试平台对密码性能测试指标体系中的每个测试项目，进行测试，并获取密码性能测试结果。

可选的，密码性能测试指标中，包括多个测试项目，所述多个测试项目具体为：SM1加密吞吐量、SM1加密计算速度、SM1解密吞吐量、SM1解密计算速度、SM2签名速度、SM2验签速度、SM3摘要计算吞吐量、随机数产生吞吐量、SM1密钥存储最大数和SM2密钥存储最大数。

可选的，SM1加密吞吐量、SM1加密计算速度、SM1解密吞吐量、SM1解密计算速度同时测试，所述测试过程包括：

控制测试平台通过启动多线程，每个线程连续向被测配电密码服务设备，发送数量大于10000的加密报文模拟大量用户使用配电密码服务设备场景，测试平台统计交互时间总和、加密报文输出总量、线程数量及每个线程执行次数，根据时间总和及输出总量确定SM1加密吞吐量及SM1解密吞吐量，根据时间总和、线程个数及每个线程执行次数确定SM1加密计算速度及SM1解密计算速度。

可选的，SM2签名速度及SM2验签速度同时测试，所述测试过程包括：

控制测试平台通过启动多线程，每个线程连续向被测配电密码服务设备，发送数量大于10000的加密报文模拟大量用户使用配电密码服务设备场景，测试平台统计交互时间总和、线程数量及每个线程执行次数，根据时间总和、线程数量及每个线程执行次数确定。

可选的，SM3摘要计算吞吐量的测试过程，包括：

控制测试平台通过启动多线程，每个线程连续向被测配电密码服务设备，发送数量大于10000的摘要计算报文模拟大量用户使用配电密码服务设备场景，测试平台统计交互时间总和及摘要计算报文计算输出总量，根据交互时间总和及摘要报文计算输出总量确定SM3摘要计算吞吐量。

可选的，随机数产生吞吐量的测试过程，包括：

控制测试平台通过启动多线程，每个线程连续向被测配电密码服务设备，发送数量大于10000的随机数产生报文模拟大量用户使用配电密码服务设备场景，测试平台统计交互时间总和及随机数产生报文计算输出总量，根据交互时间总和及摘要报文计算输出总量确定随机数产生吞吐量。

可选的，SM1密钥存储最大数和SM2密钥存储最大数同时测试，所述测试过程包括：

控制测试平台从指定索引开始导入对称或者非对称密钥，直到失败，统计导入成功密钥的数量与开始索引数量，根据导入成功密钥的数量与开始索引数量的和，确定SM1密钥存储最大数和SM2密钥存储最大数。

可选的，连接场景包括：直连场景、经交换机连接场景、多业务连接场景及连续运行稳定性场景。

本发明还提出了一种适用于配电安全设备密码性能测试的系统，包括：

确认体系单元，针对被测配电密码服务设备，建立密码性能测试指标体系；

场景搭建单元，建立测试平台与被测配电密码服务设备的不同的连接场景；

连接建立单元，在每一种连接场景下，控制测试平台加载接口库，加载完成后，对接口库与被测配电密码服务设备建立TCP连接；

测试单元，连接完成后，通过测试平台对密码性能测试指标体系中的每个测试项目，进行测试，并获取密码性能测试结果。

可选的，SM3摘要计算吞吐量的测试过程，包括：

可选的，随机数产生吞吐量的测试过程，包括：

本发明有效的解决了当前通用性测试系统或设备中存在的无法模拟真实业务数据及数据转发时延不准确等问题。

附图说明

图1为本发明方法的流程图；

图2为本发明方法实施例直连场景拓扑图；

图3为本发明方法实施例经交换机连接场景拓扑图；

图4为本发明方法实施例多业务场景拓扑图；

图5为本发明系统的结构图。

具体实施方式

现在参考附图介绍本发明的示例性实施方式，然而，本发明可以用许多不同的形式来实施，并且不局限于此处描述的实施例，提供这些实施例是为了详尽地且完全地公开本发明，并且向所属技术领域的技术人员充分传达本发明的范围。对于表示在附图中的示例性实施方式中的术语并不是对本发明的限定。在附图中，相同的单元/元件使用相同的附图标记。

除非另有说明，此处使用的术语(包括科技术语)对所属技术领域的技术人员具有通常的理解含义。另外，可以理解的是，以通常使用的词典限定的术语，应当被理解为与其相关领域的语境具有一致的含义，而不应该被理解为理想化的或过于正式的意义。

本发明提出了一种适用于配电安全设备密码性能测试的方法，如图1所示，包括：

针对被测配电密码服务设备，建立密码性能测试指标体系；

建立测试平台与被测配电密码服务设备的不同的连接场景；

其中，密码性能测试指标中，包括多个测试项目，所述多个测试项目具体为：SM1加密吞吐量、SM1加密计算速度、SM1解密吞吐量、SM1解密计算速度、SM2签名速度、SM2验签速度、SM3摘要计算吞吐量、随机数产生吞吐量、SM1密钥存储最大数和SM2密钥存储最大数。

其中，SM1加密吞吐量、SM1加密计算速度、SM1解密吞吐量、SM1解密计算速度同时测试，所述测试过程包括：

其中，SM2签名速度及SM2验签速度同时测试，所述测试过程包括：

其中，SM3摘要计算吞吐量的测试过程，包括：

其中，随机数产生吞吐量的测试过程，包括：

其中，SM1密钥存储最大数和SM2密钥存储最大数同时测试，所述测试过程包括：

其中，连接场景包括：直连场景、经交换机连接场景、多业务连接场景及连续运行稳定性场景。

下面结合实施例对本发明进行进一步的说明：

为测试不同网络环境及应用条件下，配电密码服务设备的性能指标差异性，设置了测试平台与被测设备直连如图2所示，经交换机连接如图3所示，多业务场景测试如图4所示及连续运行稳定性4类测试场景。

密码性能测试指标体系；

密码性能类测试主要针对配电加密认证装置、配电安全接入网关等配电密码服务设备，根据《配电自动化系统网络安全防护方案》，配电加密认证装置主要用于为配电主站提供数据加解密服务，包括对明文数据的加密、密文数据的解密，产生随机数、签名值，以及对签名结果进行验证等；配电安全接入网关主要用于与配电终端进行双向身份认证，涉及产生随机数、签名、以及对签名结果进行验证等配电密码服务设备所有的加解密、签名/验签操作均基于国产商用密码算法执行，其中加解密基于国密SM1算法执行，签名/验签操作基于国密SM2及SM3算法执行。

基于此，为验证配电密码服务设备对配电自动化业务的支撑能力，形成涉及密钥的生成、存储及不同类密码算法的10大类测试项目，包括SM1加密吞吐量、SM1解密吞吐量、SM1加密计算速度、SM1解密计算速度、SM2签名速度、SM2验签速度、SM3摘要计算吞吐、随机数产生吞吐、SM1密钥存储最大数、SM2密钥存储最大数，如表1所示：

表1

以配电加密认证装置为例，对测试方法进行介绍：配电加密认证装置部署于配电自动化系统主站侧，通过直连或者专用交换机方式与主站前置机连接，用于为主站前置机提供加解密运算、签名验签、产生随机数等功能。

测试平台加载接口库(.so文件)，通过TCP连接，实现与加密认证装置服务口通讯，测试平台数据库中存放有主站测试数字证书对应的公私钥对；

测试平台通过启动多线程(默认100个，可配置)，每个线程连续发送大量(默认10000次，可配置)加密报文，来模拟大量用户使用配电加密认证装置场景，测试平台统计交互时间总和及数据输出总量，根据时间总和及数据输出总量计算得出加密吞吐量，根据时间总和和线程数量及每个线程执行次数计算得出每秒加、解密次数。

测试平台通过启动多线程(默认100个，可配置)，每个线程连续发送大量(默认10000次，可配置)签名报文，来模拟大量用户使用配电加密认证装置场景，测试平台统计交互时间总和，根据时间总和和线程数量及每个线程执行次数计算得出每秒签名、验签次数。

测试平台通过启动多线程(默认100个，可配置)，每个线程连续发送大量(默认10000次，可配置)摘要计算报文，来模拟大量用户使用配电加密认证装置场景，测试平台统计交互时间总和及数据输出总量，根据时间总和和数据输出总量计算得出摘要计算吞吐量。

测试平台通过启动多线程(默认100个，可配置)，每个线程连续发送大量(默认10000次，可配置)随机数产生报文，来模拟大量用户使用配电加密认证装置场景，测试平台统计交互时间总和及数据输出总量，根据时间总和和数据输出总量计算得出随机数产生吞吐量。

测试平台从指定索引开始导入对称或者非对称密钥，直到失败，统计导入成功密钥的数量加上开始索引数量(SM1对称密钥从2开始索引，SM2非对称密钥从1开始索引)，即为密钥存储最大数量。

对某品牌配电加密认证装置的测试结果如表2所示：

表2

由表2可知，此配电加密认证装置的运行性能良好。

测试过程中搭建了不同的测试环境以模拟实际的不同应用场景：对于配电加密认证装置有测试平台与被测设备直连、经交换机连接、多业务场景测试、连续运行稳定性4类测试场景；对测试结果进行修正而得到更准确的时延测试结果。

本发明还提出了一种适用于配电安全设备密码性能测试的系统200，如图5所示，包括：

确认体系单元201，针对被测配电加密认证装置，建立密码性能测试指标体系；

场景搭建单元202，建立测试平台与被测配电加密认证装置的不同的连接场景；

连接建立单元203，在每一种连接场景下，控制测试平台加载接口库，加载完成后，对接口库与被测配电加密认证装置建立TCP连接；

测试单元204，连接完成后，通过测试平台对密码性能测试指标体系中的每个测试项目，进行测试，并获取密码性能测试结果。

控制测试平台通过启动多线程，每个线程连续向被测配电加密认证装置，发送数量大于10000的加密报文模拟大量用户使用配电加密认证装置场景，测试平台统计交互时间总和、加密报文输出总量、线程数量及每个线程执行次数，根据时间总和及输出总量确定SM1加密吞吐量及SM1解密吞吐量，根据时间总和、线程个数及每个线程执行次数确定SM1加密计算速度及SM1解密计算速度。

控制测试平台通过启动多线程，每个线程连续向被测配电加密认证装置，发送数量大于10000的加密报文模拟大量用户使用配电加密认证装置场景，测试平台统计交互时间总和、线程数量及每个线程执行次数，根据时间总和、线程数量及每个线程执行次数确定。

其中，SM3摘要计算吞吐量的测试过程，包括：

控制测试平台通过启动多线程，每个线程连续向被测配电加密认证装置，发送数量大于10000的摘要计算报文模拟大量用户使用配电加密认证装置场景，测试平台统计交互时间总和及摘要计算报文计算输出总量，根据交互时间总和及摘要报文计算输出总量确定SM3摘要计算吞吐量。

其中，随机数产生吞吐量的测试过程，包括：

控制测试平台通过启动多线程，每个线程连续向被测配电加密认证装置，发送数量大于10000的随机数产生报文模拟大量用户使用配电加密认证装置场景，测试平台统计交互时间总和及随机数产生报文计算输出总量，根据交互时间总和及摘要报文计算输出总量确定随机数产生吞吐量。

控制测试平台从指定索引开始导入对称或者非对称密钥，直到失败，统计导入成功密钥的数量与开始索引数量，根据导入成功密钥的数量与开始索引数量的和，确定M1密钥存储最大数和SM2密钥存储最大数。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。本发明实施例中的方案可以采用各种计算机语言实现，例如，面向对象的程序设计语言Java和直译式脚本语言JavaScript等。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。

Claims

1.一种适用于配电安全设备密码性能测试的方法，所述方法包括：

针对被测配电密码服务设备，建立密码性能测试指标体系；

建立测试平台与被测配电密码服务设备的不同的连接场景；

2.根据权利要求1所述的方法，所述密码性能测试指标中，包括多个测试项目，所述多个测试项目具体为：SM1加密吞吐量、SM1加密计算速度、SM1解密吞吐量、SM1解密计算速度、SM2签名速度、SM2验签速度、SM3摘要计算吞吐量、随机数产生吞吐量、SM1密钥存储最大数和SM2密钥存储最大数。

3.根据权利要求2所述的方法，所述SM1加密吞吐量、SM1加密计算速度、SM1解密吞吐量、SM1解密计算速度同时测试，所述测试过程包括：

4.根据权利要求2所述的方法，所述SM2签名速度及SM2验签速度同时测试，所述测试过程包括：

5.根据权利要求2所述的方法，所述SM3摘要计算吞吐量的测试过程，包括：

6.根据权利要求2所述的方法，所述随机数产生吞吐量的测试过程，包括：

7.根据权利要求2所述的方法，所述SM1密钥存储最大数和SM2密钥存储最大数同时测试，所述测试过程包括：

8.根据权利要求1所述的方法，所述的连接场景包括：直连场景、经交换机连接场景、多业务连接场景及连续运行稳定性场景。

9.一种适用于配电安全设备密码性能测试的系统，所述系统包括：

10.根据权利要求9所述的系统，所述密码性能测试指标中，包括多个测试项目，所述多个测试项目具体为：SM1加密吞吐量、SM1加密计算速度、SM1解密吞吐量、SM1解密计算速度、SM2签名速度、SM2验签速度、SM3摘要计算吞吐量、随机数产生吞吐量、SM1密钥存储最大数和SM2密钥存储最大数。

11.根据权利要求10所述的系统，所述SM1加密吞吐量、SM1加密计算速度、SM1解密吞吐量、SM1解密计算速度同时测试，所述测试过程包括：

12.根据权利要求10所述的系统，所述SM2签名速度及SM2验签速度同时测试，所述测试过程包括：

13.根据权利要求10所述的系统，所述SM3摘要计算吞吐量的测试过程，包括：

14.根据权利要求10所述的系统，所述随机数产生吞吐量的测试过程，包括：

15.根据权利要求10所述的系统，所述SM1密钥存储最大数和SM2密钥存储最大数同时测试，所述测试过程包括：

16.根据权利要求9所述的系统，所述的连接场景包括：直连场景、经交换机连接场景、多业务连接场景及连续运行稳定性场景。