[发明专利]一种基于报文模拟的非公开密码算法SSL VPN设备性能测试方法

说明书

技术领域

本发明涉及一种基于SSL（Secure Sockets Layer，安全套接层）协议的VPN（virtual private network，虚拟专用网络）接入系统，主要针对基于报文模拟的非公开密码算法SSL VPN设备性能测试，属于信息安全测试领域。 

背景技术

SSL（Secure Sockets Layer，安全套接层）协议是一种在两台设备之间提供安全通道的网络安全通信协议，它采用数据加密、身份认证、隧道传输和密钥管理等关键技术保障数据传输的安全。 

SSLVPN即指采用SSL协议来实现远程接入的一种新型VPN技术。它在公共IP网络设施上，通过数据包封装的隧道技术，并采用加密技术、认证技术和访问控制等综合安全机制，构建的安全虚拟专用网络。 

随着信息安全从只关注网络安全转变为重点关注以业务为核心的应用安全，SSL VPN已经逐渐成为远程接入解决方案的标准。它具有高细粒度的访问控制、简单易用的使用风格受到越来越多远程访问用户的青睐，在网络中得到越来越多的应用。用户新需求的日益增加促使SSL VPN系统也变得越来越复杂，比如支持不同的客户端接入模式，支持不同的客户端操作系统，支持客户端不同的认证方式等，SSLVPN复杂的部署环境使得对SSL VPN性能测试变得困难。 

在国外，ICSA实验室是第一个开始针对SSL VPN产品进行认证的，也是目前业内唯一针对SSL VPN系统的认证测试项目。ICSA实验室曾为全球数百家顶级的安全厂商的产品进行测试和认证。然而，国内对于SSL VPN产品的认证和测试工作才刚刚开始，还没有统一和公认的测试标准和认证方法。而国外ICSA实验室SSL VPN认证及测试方法又是非公开的。为此，我国必须拥有自主知识产权的SSL VPN认证及测试方法，在模拟真实世界的环境中对SSL VPN产品进行严格的测试、评估和验证。 

目前商业或开源自动化测试工具，采用基于录制回放的机制，通过录制构成单次流程，然后再通过多进程/线程回放流程的方法对一般设备进行性能测试。然而，国内部分基于SSL协议的VPN接入设备使用了国家密码管理局指定的密码算法，这是一种非公开的密码算法，只有硬件实现，并且终端软件必须通过专用密码芯片进行加 解密运算。由于加密协议自身的安全性设计，特别是服务器和客户端均采用硬件加密卡加解密时，加密数据包具有不可复制的特性，不能直接使用录制回放的机制进行性能测试。因此，商业或开源的自动化测试工具直接使用录制回放的机制来对SSL VPN设备进行性能测试是行不通的。 

发明内容

为了解决上述的问题，本发明提出了一种基于报文模拟的非公开密码算法SSL VPN设备性能测试方法。基于SSL协议的VPN接入设备使用了国家密码管理局指定的密码算法，这是一种非公开的密码算法，只有硬件实现。终端软件必须通过专用密码芯片进行加解密运算。由于加密协议自身的安全性设计，加密数据包具有不可复制的特性，不能使用商业或开源的自动化测试工具通过录制回放机制来对SSL VPN设备进行性能测试，这就需要对加密传输SSL协议进行相应改造和加密报文进行模拟工作。本发明首先对加密传输SSL协议进行改造，固定客户端Hello和服务端Hello报文在进行基于RSA、ECC或IBC的密码算法协商时的密码套件、证书信息、以及用来产生随机数的random字段，使得客户端与服务端每次协商出来的会话密钥固定。去除加密SSL记录层协议中对seq num的递增操作，使得相同的应用数据产生相同的加密报文，从而得到专门的协议客户端模拟与服务端完整的交互过程。通过加密报文捕获与解析、应用层加密报文模拟、加密报文发送与回放，实现使用商业或开源的自动化测试工具对SSL VPN设备性能测试。解决了基于硬件加密的SSL VPN设备无法使用商业或开源自动化测试工具进行性能测试的难题。 

本发明采用如下技术方案： 

一种基于报文模拟的非公开密码算法测试基于安全套接层（SSL）协议的虚拟专用网络（VPN）设备性能的方法，包括如下步骤： 

第一步，对加密传输SSL协议进行改造； 

第二步，对加密数据报文进行捕获与解析； 

第三步，对加密数据报文进行模拟； 

第四步，对加密数据报文进行发送； 

第五步，对加密数据报文进行回放； 

最后，实现对非公开密码算法SSL VPN设备性能测试。