论文部分内容阅读
摘要:SSL VPN是使用SSL(Secure Sockets Layer)协议的一种传输层的安全隧道技术。由于SSL VPN安全稳定而且易于部署和使用的特点,使其逐步成为主流的安全远程接入技术。目前,SSL VPN应用的领域也越来越广泛。和其他安全产品一样,一种全面有效的测试与评价方法,对SSL VPN产品本身的技术发展和用户的合理选购,都是十分必要和重要的。本文在介绍现有的SSL VPN测试规范和方法的基础上,进一步探讨比较全面的测试方法。提出了一种比较全面的SSL VPN的测试方法。在介绍和分析国内外两种主要的测试标准和方法的基础上,将两种测试方案结合应用,从而形成了满足对当前SSL VPN产品测试要求的测试方法。
关键词:SSL VPN;测试;标准
中图分类号:TP393.1 文献标识码:A文章编号:1007-9599 (2011) 13-0000-02
Analysis and Application of SSL VPN Test Methods
Wang Yun
(Shanghai Normal University,Shanghai200234,China)
Abstract:SSL VPN is to use SSL(Secure Sockets Layer)protocol as a transport layer security tunnel technology.As SSL VPN security and stability and features easy to deploy and use,it has gradually become the mainstream of secure remote access technology.Currently,SSL VPN application areas are more extensive.And other security products,a comprehensive and effective testing and evaluation methods,the SSL VPN product itself,users of technology development and a reasonable purchase,are very necessary and important.This paper describes the existing SSL VPN test,based on the norms and methods to further explore the more comprehensive testing methods.A kind of comprehensive testing method of SSL VPN is put forwarded.We combine with two kind of main testing methods based on introducing and analyzing them. This method can better meet the testing need of current SSL VPN products.
Keywords:SSL VPN;Testing;Standard
一、目前的SSL VPN的测试标准现状
近两年,国内外对于SSL VPN产品的认证和测试工作才刚刚开始,还没有统一和公认的测试标准和方法。在国外,ICSA实验室是第一个开始针对SSL VPN产品进行认证的,也是目前业內唯一针对SSL VPN系统的认证测试项目。ICSA实验室是美国Tru Secure公司的一个独立部门,提供独立的安全产品测试和认证。ICSA实验室曾为全球数百家顶级的安全厂商的产品进行测试和认证。2004年4月24日,ICSA实验室推出了SSL VPN认证标准1.0版。今年5月12日,ICSA实验室推出了SSL VPN认证标准2.0版。
在国内,2004年9月,《计算机世界》组织了一次面向国内外知名八家安全厂商的SSL VPN的测试工作,这也是国内第一次针对SSL VPN产品的公开测试工作。
二、《计算机世界》评测方案
在《计算机世界》的SSL VPN网关测试方案中,测试重点是安全设备的性能和应用逻辑。主要包括性能测试、功能测试、使用和管理体验和安全性检测四个项目。
(一)性能测试
测试设备使用的是Spirent公司的4-7层网络应用专业测试仪Avalanche&Reflector,软件版本为6.22。主要测试应用事物的处理速率、处理容量以及应用吞吐量三个方面,具体的测试指标包括以下四项。
1.SSL建连接/拆连接速率
此项指标主要评估被测设备在应用层的处理速率,此项值越大,表示被测设备单位时间处理交易事物的能力越强。
影响着这个指标的因素有包括是否有SSL硬件加速卡,是否控制速率上限以确保CPU资源有盈余,加密算法实现所用的语言等。
2.SSL最大并发会话数
此项指标主要评估被测设备在应用层的处理容量,此项值越大,表示被测设备处理交易事物的并行度越大。
影响此项值的关键因素是内存空间大小,是否开辟缓冲空间做预处理等。
3.HTTPS应用吞吐量
此项指标主要评估被测设备在应用层的吞吐量,此项值越大,表示被测设备作为网关设备的数据转发能力越强。
影响此项值的一个很大因素是对称加密算法实现的效率。
4.Web Mail应用性能
此项指标主要评估被测设备对于一个实际的模拟环境(Web方式收取邮件)所表现出来的性能,单位时间处理的用户数量和用户的平均URL请求响应时间将作为此项测试的指标。
(二)功能测试
模拟一个公司内部网环境,一台Unix服务器上运行Apache服务、SMTP服务、POP3服务以及FTP服务,通过SSL VPN设备来访问受保护的服务资源以检测其对业务应用的支持。主要评估被测设备对于Web应用和其他非Web应用的支持。
1.Web应用测试
此项测试搭建一台Apache服务器来模拟企业内部受保护的Web资源。具体测试内容包括以下几个方面:
(1)若服务器本身有访问认证,被测设备是否支持解决二次认证问题;
(2)是否能保护所有本服务器的超链接资源仍然通过被测设备访问;
(3)是否能保护所有该Web服务器上的其他超链接资源;
(4)是否能保护通过脚本文件或插件形式的超链接资源访问;
2.C/S形式Mail应用测试
此项测试搭建一台Mail服务器(主要为SMTP服务和POP3服务)来模拟企业内部受保护的Mail资源。测试内容包括:
(1)是否支持POP3方式和SMTP方式收发邮件;
(2)是否支持发送和收取带附件的邮件,有无过滤功能;
3.FTP应用分析
此项测试搭建一台FTP服务器来模拟企业内部受保护的文件资源。测试内容包括:
(1)是否支持Passive模式下和Port模式下下的文件上传和下载;
(2)是否支持限制不同用户有不同的访问权限等。
(三)使用和管理评价
分别从终端用户和管理员的角度去感受设备的易用性和安全方案部署的可操作性。
1.从用户的角度的评估内容包括
(1)客户端软件的部署安装;
(2)是否支持第三方用户信息的认证,例如RADIUS服务认证;
(3)访问界面的友好性和访问应用的透明性;
(4)应用逻辑的安全性和可引导性等。
2.从管理员的角度出发的评估内容包括
(1)管理员的访问方式以及相应的权限设置;
(2)管理员设置资源访问权限的可操作性;
(3)各类配置文件在不同设备上的导入导出功能;
(4)系统资源监控的可读性;
(5)故障紧急恢复;
(6)系统日志的分级粒度。
(四)安全性检测
使用Nessus安全扫描工具对设备进行扫描,发现是否存在可能的安全漏洞。
三、ICSA实验室的认证标准
ICSA实验室的SSL VPN认证标准2.0版包括基线认证标准和SSL VPN认证标准两个部分。
(一)SSL—TLS基线标准
在基线测试标准中包括的具体的内容有以下方面。
(1)协议实现:对SSL3.0或者TLS1.0协议的支持;
(2)对X.509证书的管理和验证:包括对第三方CA颁发的证书的支持、证书的更新与替换、证书信息的查看、客户端以安全方式验证服务器证书、服务器不能在证书验证失效状态下建立SSL/TLS连接等;
(3)加密实现:密钥管理技术的要求和采用ICSA实验室认可的加密算法;
(4)随机数生成:随机数生成的时机和因素的要求;
(5)密码算法支持:非对称加密、对称加密和摘要算法使用的组合要求以及密钥长度要求(对称算法不低于128位,非对称算法不低于1024位);
(6)安全测试:安全漏洞测试、抗拒绝服务攻击以及服务器失效状态的要求;
(7)一致性测试:系统在重起和掉电后,系统的配置和日志数据要保持一致的要求;
(8)文档要求:随机文档的内容的完整和准确性要求;
(9)日志要求:对日志内容和格式的要求;
(10)管理功能:对管理员强认证登陆方式的支持、安全查看系统状态的要求。
只有全部符合上述十项要求,才能通过基线标准的认证。
(二)SSL-TLSVPN标准
在进行此标准的测试前,必须先通过基线标准。具体包括的内容有以下方面。
(1)功能测试:能够通过SSL-TLSVPN正常地访问Web应用(OWA)、文件服务(SMB)和C/S应用(Outlook);
(2)认证功能:支持对客户证书、令牌和挑战/响应等方式的用户认证;支持RADIUS、LDAP、Windows NT域认证和Kerberos等认证机制;
(3)授权功能:提供授权机制和安全策略;提供基于用户、资源和客户端安全测试的全面的访问控制机制;
(4)会话控制:提供自动终止超时会话和客户端浏览器会话敏感信息的清除功能;
(5)VPN客户端:如果使用SSL VPN客户端,需要符合基线标准的所有要求。
只有全部符合基线标准和SSL-TLSVPN的产品,才能得到相应的测试报告和认证资格。
四、全面测试方案的分析与应用
综合分析上述两种目前比较重要的测试标准和方案,我们可以发现,前者的测试方案,其特点在于侧重对SSL VPN的性能测试,而ICSA实验室的认证标准在协议实现、安全性要求、功能要求、认证与授权功能等方面的测试,相对来说更为完整与规范。
在实际应用中,完整和规范的功能测试是十分重要的,但针对SSL VPN硬件形式的安全设备的性能测试也是十分必要的,也往往是厂家和用户所关注的。因此,我们在对研发的SSL VPN产品进行测试时采用的方法是,结合应用ICSA实验室认证标准和国内测试方案,功能测试基本参照ICSA实验室的SSL-TLSVPN认证标准2.0进行,而性能测试基本参照《计算机世界》的性能测试方法进行,从而用比较规范的方法,获得对产品的一个比较完整的测试结果。目前,我们国内还没有针对SSL VPN产品的权威的认证标准和测试方法。因此,这种基于国外的行业标准和国内的实践经验,形成的比较全面的测试方法,对于我国逐步建立自己的权威的认证标准和测试方案,有着一定的借鉴意义和参考价值。
参考文献:
[1]ICSA Labs.Modular SSL-TLS Certification:Baseline Module v2.0.
http://www.icsalabs.com/html/communities/ssl-tls/certification/criteria/index.shtml.
[2]ICSA Labs.Modular SSL-TLS Certification:SSL-TLS VPN Module v2.0.
http://www.icsalabs.com/html/communities/ssl-tls/certification/criteria/index.shtml.
[3]杨海申,杨森等.我们怎样测试SSL VPN[J].计算机世界报,2004,37:D3
关键词:SSL VPN;测试;标准
中图分类号:TP393.1 文献标识码:A文章编号:1007-9599 (2011) 13-0000-02
Analysis and Application of SSL VPN Test Methods
Wang Yun
(Shanghai Normal University,Shanghai200234,China)
Abstract:SSL VPN is to use SSL(Secure Sockets Layer)protocol as a transport layer security tunnel technology.As SSL VPN security and stability and features easy to deploy and use,it has gradually become the mainstream of secure remote access technology.Currently,SSL VPN application areas are more extensive.And other security products,a comprehensive and effective testing and evaluation methods,the SSL VPN product itself,users of technology development and a reasonable purchase,are very necessary and important.This paper describes the existing SSL VPN test,based on the norms and methods to further explore the more comprehensive testing methods.A kind of comprehensive testing method of SSL VPN is put forwarded.We combine with two kind of main testing methods based on introducing and analyzing them. This method can better meet the testing need of current SSL VPN products.
Keywords:SSL VPN;Testing;Standard
一、目前的SSL VPN的测试标准现状
近两年,国内外对于SSL VPN产品的认证和测试工作才刚刚开始,还没有统一和公认的测试标准和方法。在国外,ICSA实验室是第一个开始针对SSL VPN产品进行认证的,也是目前业內唯一针对SSL VPN系统的认证测试项目。ICSA实验室是美国Tru Secure公司的一个独立部门,提供独立的安全产品测试和认证。ICSA实验室曾为全球数百家顶级的安全厂商的产品进行测试和认证。2004年4月24日,ICSA实验室推出了SSL VPN认证标准1.0版。今年5月12日,ICSA实验室推出了SSL VPN认证标准2.0版。
在国内,2004年9月,《计算机世界》组织了一次面向国内外知名八家安全厂商的SSL VPN的测试工作,这也是国内第一次针对SSL VPN产品的公开测试工作。
二、《计算机世界》评测方案
在《计算机世界》的SSL VPN网关测试方案中,测试重点是安全设备的性能和应用逻辑。主要包括性能测试、功能测试、使用和管理体验和安全性检测四个项目。
(一)性能测试
测试设备使用的是Spirent公司的4-7层网络应用专业测试仪Avalanche&Reflector,软件版本为6.22。主要测试应用事物的处理速率、处理容量以及应用吞吐量三个方面,具体的测试指标包括以下四项。
1.SSL建连接/拆连接速率
此项指标主要评估被测设备在应用层的处理速率,此项值越大,表示被测设备单位时间处理交易事物的能力越强。
影响着这个指标的因素有包括是否有SSL硬件加速卡,是否控制速率上限以确保CPU资源有盈余,加密算法实现所用的语言等。
2.SSL最大并发会话数
此项指标主要评估被测设备在应用层的处理容量,此项值越大,表示被测设备处理交易事物的并行度越大。
影响此项值的关键因素是内存空间大小,是否开辟缓冲空间做预处理等。
3.HTTPS应用吞吐量
此项指标主要评估被测设备在应用层的吞吐量,此项值越大,表示被测设备作为网关设备的数据转发能力越强。
影响此项值的一个很大因素是对称加密算法实现的效率。
4.Web Mail应用性能
此项指标主要评估被测设备对于一个实际的模拟环境(Web方式收取邮件)所表现出来的性能,单位时间处理的用户数量和用户的平均URL请求响应时间将作为此项测试的指标。
(二)功能测试
模拟一个公司内部网环境,一台Unix服务器上运行Apache服务、SMTP服务、POP3服务以及FTP服务,通过SSL VPN设备来访问受保护的服务资源以检测其对业务应用的支持。主要评估被测设备对于Web应用和其他非Web应用的支持。
1.Web应用测试
此项测试搭建一台Apache服务器来模拟企业内部受保护的Web资源。具体测试内容包括以下几个方面:
(1)若服务器本身有访问认证,被测设备是否支持解决二次认证问题;
(2)是否能保护所有本服务器的超链接资源仍然通过被测设备访问;
(3)是否能保护所有该Web服务器上的其他超链接资源;
(4)是否能保护通过脚本文件或插件形式的超链接资源访问;
2.C/S形式Mail应用测试
此项测试搭建一台Mail服务器(主要为SMTP服务和POP3服务)来模拟企业内部受保护的Mail资源。测试内容包括:
(1)是否支持POP3方式和SMTP方式收发邮件;
(2)是否支持发送和收取带附件的邮件,有无过滤功能;
3.FTP应用分析
此项测试搭建一台FTP服务器来模拟企业内部受保护的文件资源。测试内容包括:
(1)是否支持Passive模式下和Port模式下下的文件上传和下载;
(2)是否支持限制不同用户有不同的访问权限等。
(三)使用和管理评价
分别从终端用户和管理员的角度去感受设备的易用性和安全方案部署的可操作性。
1.从用户的角度的评估内容包括
(1)客户端软件的部署安装;
(2)是否支持第三方用户信息的认证,例如RADIUS服务认证;
(3)访问界面的友好性和访问应用的透明性;
(4)应用逻辑的安全性和可引导性等。
2.从管理员的角度出发的评估内容包括
(1)管理员的访问方式以及相应的权限设置;
(2)管理员设置资源访问权限的可操作性;
(3)各类配置文件在不同设备上的导入导出功能;
(4)系统资源监控的可读性;
(5)故障紧急恢复;
(6)系统日志的分级粒度。
(四)安全性检测
使用Nessus安全扫描工具对设备进行扫描,发现是否存在可能的安全漏洞。
三、ICSA实验室的认证标准
ICSA实验室的SSL VPN认证标准2.0版包括基线认证标准和SSL VPN认证标准两个部分。
(一)SSL—TLS基线标准
在基线测试标准中包括的具体的内容有以下方面。
(1)协议实现:对SSL3.0或者TLS1.0协议的支持;
(2)对X.509证书的管理和验证:包括对第三方CA颁发的证书的支持、证书的更新与替换、证书信息的查看、客户端以安全方式验证服务器证书、服务器不能在证书验证失效状态下建立SSL/TLS连接等;
(3)加密实现:密钥管理技术的要求和采用ICSA实验室认可的加密算法;
(4)随机数生成:随机数生成的时机和因素的要求;
(5)密码算法支持:非对称加密、对称加密和摘要算法使用的组合要求以及密钥长度要求(对称算法不低于128位,非对称算法不低于1024位);
(6)安全测试:安全漏洞测试、抗拒绝服务攻击以及服务器失效状态的要求;
(7)一致性测试:系统在重起和掉电后,系统的配置和日志数据要保持一致的要求;
(8)文档要求:随机文档的内容的完整和准确性要求;
(9)日志要求:对日志内容和格式的要求;
(10)管理功能:对管理员强认证登陆方式的支持、安全查看系统状态的要求。
只有全部符合上述十项要求,才能通过基线标准的认证。
(二)SSL-TLSVPN标准
在进行此标准的测试前,必须先通过基线标准。具体包括的内容有以下方面。
(1)功能测试:能够通过SSL-TLSVPN正常地访问Web应用(OWA)、文件服务(SMB)和C/S应用(Outlook);
(2)认证功能:支持对客户证书、令牌和挑战/响应等方式的用户认证;支持RADIUS、LDAP、Windows NT域认证和Kerberos等认证机制;
(3)授权功能:提供授权机制和安全策略;提供基于用户、资源和客户端安全测试的全面的访问控制机制;
(4)会话控制:提供自动终止超时会话和客户端浏览器会话敏感信息的清除功能;
(5)VPN客户端:如果使用SSL VPN客户端,需要符合基线标准的所有要求。
只有全部符合基线标准和SSL-TLSVPN的产品,才能得到相应的测试报告和认证资格。
四、全面测试方案的分析与应用
综合分析上述两种目前比较重要的测试标准和方案,我们可以发现,前者的测试方案,其特点在于侧重对SSL VPN的性能测试,而ICSA实验室的认证标准在协议实现、安全性要求、功能要求、认证与授权功能等方面的测试,相对来说更为完整与规范。
在实际应用中,完整和规范的功能测试是十分重要的,但针对SSL VPN硬件形式的安全设备的性能测试也是十分必要的,也往往是厂家和用户所关注的。因此,我们在对研发的SSL VPN产品进行测试时采用的方法是,结合应用ICSA实验室认证标准和国内测试方案,功能测试基本参照ICSA实验室的SSL-TLSVPN认证标准2.0进行,而性能测试基本参照《计算机世界》的性能测试方法进行,从而用比较规范的方法,获得对产品的一个比较完整的测试结果。目前,我们国内还没有针对SSL VPN产品的权威的认证标准和测试方法。因此,这种基于国外的行业标准和国内的实践经验,形成的比较全面的测试方法,对于我国逐步建立自己的权威的认证标准和测试方案,有着一定的借鉴意义和参考价值。
参考文献:
[1]ICSA Labs.Modular SSL-TLS Certification:Baseline Module v2.0.
http://www.icsalabs.com/html/communities/ssl-tls/certification/criteria/index.shtml.
[2]ICSA Labs.Modular SSL-TLS Certification:SSL-TLS VPN Module v2.0.
http://www.icsalabs.com/html/communities/ssl-tls/certification/criteria/index.shtml.
[3]杨海申,杨森等.我们怎样测试SSL VPN[J].计算机世界报,2004,37:D3