本發(fā)明屬于網(wǎng)絡(luò)安全領(lǐng)域，涉及針對網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)的測試系統(tǒng)、測試床和測試方法。

背景技術(shù)：

近年來，黑客技術(shù)的發(fā)展使得深處在計(jì)算機(jī)信息系統(tǒng)環(huán)境下的企業(yè)和人們愈加的缺乏安全感，越來越多的安全問題均來自于企業(yè)或機(jī)構(gòu)內(nèi)部的終端系統(tǒng)。人們逐漸的意思到，在應(yīng)對目前的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和威脅時，不僅需要自頂向下的網(wǎng)絡(luò)安全體系設(shè)計(jì)，還需要自底向上保證計(jì)算機(jī)終端及計(jì)算機(jī)網(wǎng)絡(luò)的安全可信，使得網(wǎng)絡(luò)成為一個可信的計(jì)算環(huán)境。這其中包括在終端接入前對用戶身份進(jìn)行認(rèn)證，對終端進(jìn)行安全測量和評估，對終端可信狀態(tài)進(jìn)行審核，確保接入信息系統(tǒng)的終端是一個完全可信的終端。

網(wǎng)絡(luò)準(zhǔn)入控制軟件的普及性應(yīng)用，催生了對網(wǎng)絡(luò)準(zhǔn)入控制軟件安全性測試的現(xiàn)實(shí)需求。而目前，尚未出臺針對網(wǎng)絡(luò)準(zhǔn)入技術(shù)或產(chǎn)品的國家標(biāo)準(zhǔn)（或行業(yè)標(biāo)準(zhǔn)），在一般情況下，針對網(wǎng)絡(luò)準(zhǔn)入控制軟件的測試通常由測試人員搭建測試環(huán)境而后進(jìn)行手工測試，而沒有一個完善的測試系統(tǒng)與測試床，這導(dǎo)致了測試過程中常出現(xiàn)測試內(nèi)容不全、測試過程不夠規(guī)范、測試效率低等問題。

因此，如何提高測試效率、規(guī)范測試內(nèi)容和測試過程成為目前網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)測試中亟待解決的技術(shù)問題。為此，本發(fā)明提出了一種面向網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)的測試系統(tǒng)、測試床和測試方法，通過對測試方法、測試環(huán)境、測試內(nèi)容和測試工具等多個方面進(jìn)行規(guī)范，來有效解決測試中存在的上述問題。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明的目的，是為針對網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)的測試，提供一種規(guī)范化的測試床系統(tǒng)和方法，使測試方法、測試環(huán)境、測試內(nèi)容和測試結(jié)果評判等測試要素得到明確，從而解決目前測試中存在的種種問題，促進(jìn)測試標(biāo)準(zhǔn)化水平的提高，以及測試能力和效率的提升。

本發(fā)明提供一種面向網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)的測試系統(tǒng)，其特征在于：包括測試管理單元和測試代理單元；其中，

測試管理單元負(fù)責(zé)測試策略管理、測試結(jié)果收集和測試報(bào)告生成；測試代理單元負(fù)責(zé)根據(jù)測試策略執(zhí)行相應(yīng)的測試用例，獲得測試結(jié)果并將測試結(jié)果返回至測試管理單元。

通常，測試管理單元安裝在一臺服務(wù)器上，測試代理單元安裝在終端主機(jī)上，服務(wù)器和終端主機(jī)通過網(wǎng)絡(luò)進(jìn)行連接。

測試管理單元包括測試策略管理模塊、測試數(shù)據(jù)收集模塊和測試報(bào)告生成模塊。測試策略管理模塊負(fù)責(zé)維護(hù)網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)的測試策略，根據(jù)相關(guān)標(biāo)準(zhǔn)規(guī)范，增加、刪除和完善測試策略。測試數(shù)據(jù)收集模塊負(fù)責(zé)收集測試代理單元發(fā)來的測試結(jié)果數(shù)據(jù)，即與測試策略對應(yīng)的測試用例及測試用例是否通過的結(jié)論。測試報(bào)告生成模塊用于根據(jù)測試結(jié)果數(shù)據(jù)，進(jìn)行統(tǒng)計(jì)分析，生成測試報(bào)告。

測試代理單元包括合規(guī)主機(jī)測試模塊、不合規(guī)主機(jī)測試模塊、修復(fù)模塊。合規(guī)主機(jī)測試模塊負(fù)責(zé)執(zhí)行終端主機(jī)合規(guī)的測試用例，驗(yàn)證合規(guī)主機(jī)是否能夠正常接入網(wǎng)絡(luò)，并獲得相應(yīng)的訪問權(quán)限。不合規(guī)主機(jī)測試模塊負(fù)責(zé)執(zhí)行終端主機(jī)不合規(guī)的測試用例，驗(yàn)證不合規(guī)主機(jī)是否被拒絕入網(wǎng)，并被置于隔離區(qū)修復(fù)。修復(fù)模塊負(fù)責(zé)對隔離區(qū)的終端主機(jī)進(jìn)行修復(fù)，包括更改配置或下載安裝缺失的安全軟件或補(bǔ)丁程序，使其合規(guī)，并驗(yàn)證修復(fù)后能否正常接入網(wǎng)絡(luò)及獲得相應(yīng)的訪問權(quán)限。

本發(fā)明還提供一種面向網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)的測試床，所述測試床由測試系統(tǒng)、網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、第三方身份認(rèn)證系統(tǒng)和信息服務(wù)系統(tǒng)組成。其中，測試系統(tǒng)用于執(zhí)行測試并出具測試報(bào)告；網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)是受測對象，通常包括網(wǎng)絡(luò)準(zhǔn)入控制網(wǎng)關(guān)、管理服務(wù)端和客戶端，客戶端需與測試系統(tǒng)的測試代理單元安裝在一起；網(wǎng)絡(luò)系統(tǒng)用于提供必要的網(wǎng)絡(luò)測試環(huán)境，通常為一至多臺支持ieee802.1x協(xié)議的三層網(wǎng)絡(luò)交換機(jī)。第三方身份認(rèn)證系統(tǒng)通過網(wǎng)絡(luò)系統(tǒng)提供radius服務(wù)、ad域服務(wù)、ca服務(wù)等身份認(rèn)證服務(wù)。信息服務(wù)系統(tǒng)則通過網(wǎng)絡(luò)系統(tǒng)向測試系統(tǒng)則用于提供信息服務(wù)，在測試過程中，如果終端主機(jī)能接收到信息服務(wù)系統(tǒng)的信息服務(wù)，證明該終端主機(jī)已被允許接入網(wǎng)絡(luò)。所述信息服務(wù)系統(tǒng)還通過網(wǎng)絡(luò)系統(tǒng)向測試代理單元的修復(fù)模塊提供安全軟件與補(bǔ)丁程序。

本發(fā)明還提供一種面向網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)的測試方法，分為如下步驟：

步驟301：測試管理單元配置測試策略，并分發(fā)到相應(yīng)的測試代理單元中；

步驟302:測試代理單元根據(jù)測試策略，調(diào)用對應(yīng)的測試用例，執(zhí)行測試；

步驟303:測試代理單元將測試用例的執(zhí)行結(jié)果與預(yù)期結(jié)果進(jìn)行比對，得到測試結(jié)果；

步驟304:測試代理單元將測試策略的測試結(jié)果返回至測試管理單元；

步驟305:重讀上述步驟直至遍歷所有測試策略；

步驟306:測試管理單元統(tǒng)計(jì)所有測試策略的測試結(jié)果并進(jìn)行分析，生成測試報(bào)告。

附圖說明

圖1為本發(fā)明實(shí)施例中一種面向網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)的測試系統(tǒng)的結(jié)構(gòu)框圖。

圖2是本發(fā)明實(shí)施例中一種面向網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)的測試床d應(yīng)用部署示意圖。

圖3是本發(fā)明實(shí)施例中一種面向網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)的測試方法流程圖。

圖4是本發(fā)明實(shí)施例中的一種網(wǎng)絡(luò)準(zhǔn)入安全策略測試方法流程圖。

圖5是本發(fā)明實(shí)施例中的另一種網(wǎng)絡(luò)準(zhǔn)入安全策略的測試方法流程圖。

具體實(shí)施方式

以下結(jié)合說明書附圖對本發(fā)明的優(yōu)選實(shí)施例進(jìn)行說明，應(yīng)當(dāng)理解，此處所描述的優(yōu)選實(shí)施例僅用于說明和解釋本發(fā)明，并不用于限定本發(fā)明，并且在不沖突的情況下，本發(fā)明中的實(shí)施例及實(shí)施例中的特征可以相互組合。

如圖1所示，為本發(fā)明實(shí)施例提供的一種面向網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)的測試系統(tǒng)的結(jié)構(gòu)框圖。測試系統(tǒng)由測試管理單元11和測試代理單元12組成。通常，測試管理單元11安裝在一臺服務(wù)器上，測試代理單元12安裝在各類終端主機(jī)上，服務(wù)器和終端主機(jī)通過網(wǎng)絡(luò)進(jìn)行連接從而完成測試管理單元11與測試代理單元12的連接。

測試管理單元11負(fù)責(zé)管理測試策略、收集測試結(jié)果并生成測試報(bào)告，包括測試策略管理模塊111、測試數(shù)據(jù)收集模塊112和測試報(bào)告生成模塊113。

其中，測試策略管理模塊111負(fù)責(zé)維護(hù)網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)的測試策略，根據(jù)相關(guān)標(biāo)準(zhǔn)規(guī)范，增加、刪除和完善測試策略。測試數(shù)據(jù)收集模塊112負(fù)責(zé)收集測試代理單元12發(fā)來的測試結(jié)果數(shù)據(jù)，即與測試策略對應(yīng)的測試用例及測試用例是否通過的結(jié)論。測試報(bào)告生成模塊113則根據(jù)測試結(jié)果數(shù)據(jù)，對測試結(jié)果進(jìn)行統(tǒng)計(jì)分析并生成測試報(bào)告。

測試代理單元12安裝在受測終端上，它負(fù)責(zé)根據(jù)測試策略，執(zhí)行相應(yīng)的測試用例，而后獲得測試結(jié)果，并將測試結(jié)果返回至測試管理單元。

測試代理單元12包括合規(guī)主機(jī)測試模塊121、不合規(guī)主機(jī)測試模塊122、修復(fù)模塊123。

合規(guī)主機(jī)測試模塊121負(fù)責(zé)執(zhí)行終端主機(jī)合規(guī)的測試用例，驗(yàn)證合規(guī)主機(jī)是否能夠正常接入網(wǎng)絡(luò)，并獲得相應(yīng)的訪問權(quán)限。不合規(guī)主機(jī)測試模塊122負(fù)責(zé)執(zhí)行終端主機(jī)不合規(guī)的測試用例，驗(yàn)證不合規(guī)主機(jī)是否被拒絕入網(wǎng)，并被置于隔離區(qū)修復(fù)。而修復(fù)模塊123負(fù)責(zé)對隔離區(qū)的終端主機(jī)進(jìn)行修復(fù)，包括更改配置或下載安裝缺失的安全軟件或補(bǔ)丁程序以使其合規(guī)，并驗(yàn)證修復(fù)后能否正常接入網(wǎng)絡(luò)及獲得相應(yīng)的訪問權(quán)限。

如圖2所示，為本發(fā)明實(shí)施例提供的一種面向網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)的測試床應(yīng)用部署示意圖。測試床由測試系統(tǒng)、網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、第三方身份認(rèn)證系統(tǒng)和信息服務(wù)系統(tǒng)組成。其中，網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)是受測對象，通常包括網(wǎng)絡(luò)準(zhǔn)入控制網(wǎng)關(guān)、管理服務(wù)端和客戶端，客戶端需與測試系統(tǒng)的測試代理單元安裝在同一終端主機(jī)上；測試系統(tǒng)用于執(zhí)行測試并出具測試報(bào)告；網(wǎng)絡(luò)系統(tǒng)用于提供必要的網(wǎng)絡(luò)測試環(huán)境，通常為一至多臺支持ieee802.1x協(xié)議的三層網(wǎng)絡(luò)交換機(jī)；第三方身份認(rèn)證系統(tǒng)通過網(wǎng)絡(luò)系統(tǒng)提供身份認(rèn)證服務(wù)，包括radius服務(wù)、ad域服務(wù)、ca服務(wù)等；信息服務(wù)系統(tǒng)則通過網(wǎng)絡(luò)系統(tǒng)向測試代理單元的修復(fù)模塊提供安全軟件與補(bǔ)丁程序、并向終端主機(jī)提供信息服務(wù)以輔助測試網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)，如果終端主機(jī)能夠獲得到信息服務(wù)系統(tǒng)上的信息服務(wù)，就說明終端主機(jī)已被允許接入網(wǎng)絡(luò)。

如圖3所示，為本發(fā)明實(shí)施例提供的一種面向網(wǎng)絡(luò)控制系統(tǒng)的測試方法的流程示意圖，可以包括以下步驟：

步驟301：測試管理單元配置測試策略，并分發(fā)到相應(yīng)的測試代理單元中；

步驟302:測試代理單元根據(jù)測試策略，調(diào)用對應(yīng)的測試用例，執(zhí)行測試；

步驟303:測試代理單元將測試用例的執(zhí)行結(jié)果與預(yù)期結(jié)果進(jìn)行比對，得到測試結(jié)果；

步驟304:測試代理單元將測試策略的測試結(jié)果返回至測試管理單元；

步驟305:重讀上述步驟直至遍歷所有測試策略；

步驟306:測試管理單元統(tǒng)計(jì)所有測試策略的測試結(jié)果并進(jìn)行分析，得到測試報(bào)告。

以下，對于步驟301至步驟304中的測試方法，分別通過針對兩個基本的準(zhǔn)入策略的具體測試過程來說明。

如圖4所示，為本發(fā)明實(shí)施例中一種網(wǎng)絡(luò)準(zhǔn)入安全策略測試方法流程圖，所述待測試的準(zhǔn)入策略為新入網(wǎng)終端時的具體測試方法：

步驟401：測試管理單元的測試策略管理模塊向測試代理單元的不合規(guī)主機(jī)測試模塊分發(fā)新入網(wǎng)終端測試策略；

步驟402：該測試策略對應(yīng)的測試用例啟動，新入網(wǎng)終端中的不合規(guī)主機(jī)測試模塊訪問信息服務(wù)系統(tǒng)的信息提供部分，驗(yàn)證是否能正確訪問；

步驟403：如果不能訪問，說明新入網(wǎng)終端已被置于隔離區(qū)，進(jìn)入步驟404；如果能訪問，進(jìn)入步驟406；

步驟404：修復(fù)模塊啟動，引導(dǎo)新入網(wǎng)終端訪問信息服務(wù)系統(tǒng)的安全軟件&補(bǔ)丁部分，使新入網(wǎng)終端得到安全修復(fù)和管控；

步驟405：修復(fù)完畢，修復(fù)模塊將新入網(wǎng)終端移出隔離區(qū)，該測試用例測試通過；

步驟406：新入網(wǎng)終端未受網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)控制，該測試用例測試不通過；

步驟407：測試代理單元向測試管理單元的測試數(shù)據(jù)收集模塊提交該測試策略及對應(yīng)測試用例的測試結(jié)果數(shù)據(jù)；

步驟408：該測試策略測試結(jié)束。

如圖5所示，為本發(fā)明實(shí)施例中另一種網(wǎng)絡(luò)準(zhǔn)入安全策略測試方法流程圖，所述待測試的準(zhǔn)入策略為安全檢測時的具體檢測方法：

步驟501：測試管理單元的測試策略管理模塊向測試代理單元的合規(guī)主機(jī)測試模塊分發(fā)已入網(wǎng)終端安全檢測測試策略；

步驟502：該測試策略對應(yīng)的測試用例啟動，已入網(wǎng)終端中的合規(guī)主機(jī)測試模塊對終端進(jìn)行安全檢測；

步驟503：合規(guī)主機(jī)測試模塊在安全檢測結(jié)束后，將檢測結(jié)果與終端安全基線進(jìn)行對比，判斷終端是否滿足安全要求；

步驟504：如果滿足安全要求，已入網(wǎng)終端繼續(xù)保持入網(wǎng)狀態(tài)，進(jìn)入步驟507；如果不滿足安全要求，直接進(jìn)入步驟505，；

步驟505：合規(guī)主機(jī)測試模塊將已入網(wǎng)終端置于隔離區(qū)，并啟動修復(fù)模塊，修復(fù)模塊引導(dǎo)被置于隔離區(qū)的已入網(wǎng)終端訪問信息服務(wù)系統(tǒng)的安全軟件&補(bǔ)丁部分，使該終端得到安全修復(fù)；

步驟506：修復(fù)完畢，修復(fù)模塊將該終端移出隔離區(qū)，并通知合規(guī)主機(jī)測試模塊，回到步驟503；

步驟507：測試代理單元的合規(guī)主機(jī)測試模塊向測試管理單元的測試數(shù)據(jù)收集模塊提交該測試策略及對應(yīng)測試用例的測試結(jié)果數(shù)據(jù)；

步驟508：該測試策略測試結(jié)束。

以上所述，僅為本發(fā)明的具體實(shí)施方式，但本發(fā)明的保護(hù)范圍并不局限于此，任何熟悉本技術(shù)領(lǐng)域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)，可輕易想到的變化或替換，都應(yīng)涵蓋在本發(fā)明的保護(hù)范圍內(nèi)。