ICS35.020 L80 中华人民共和国国家标准 GB/T28456—2012 IPsec协 议应用测试规范 TestingspecificationforapplicationsofIPsecprotocol 2012-06-29发布 2012-10-01实施 中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会发布目 次 前言 Ⅲ ………………………………………………………………………………………………………… 引言 Ⅳ ………………………………………………………………………………………………………… 1 范围 1 ……………………………………………………………………………………………………… 2 规范性引用文件 1 ………………………………………………………………………………………… 3 术语和定义 1 ……………………………………………………………………………………………… 4 缩略语 4 …………………………………………………………………………………………………… 5 测试说明 4 ………………………………………………………………………………………………… 5.1 测试对象说明 4 ……………………………………………………………………………………… 5.2 测试内容说明 5 ……………………………………………………………………………………… 5.3 测试环境说明 5 ……………………………………………………………………………………… 6 测试内容 6 ………………………………………………………………………………………………… 6.1 AH传输模式测试内容 6 …………………………………………………………………………… 6.2 AH隧道模式测试内容 7 …………………………………………………………………………… 6.3 ESP传输模式测试内容 8 …………………………………………………………………………… 6.4 ESP隧道模式测试内容 9 …………………………………………………………………………… 6.5 传输邻接模式测试内容 10 …………………………………………………………………………… 6.6 迭代隧道模式测试内容 11 …………………………………………………………………………… 6.7 IKEv1主模式测试内容 12 ………………………………………………………………………… 6.8 IKEv1野蛮模式测试内容 14 ……………………………………………………………………… 6.9 IKEv1快速模式测试内容 16 ……………………………………………………………………… 6.10 IKEv2初始交换测试内容 17 ……………………………………………………………………… 6.11 IKEv2创建子SA交换测试内容 19 ……………………………………………………………… 6.12 IKEv2信息交换测试内容 20 ……………………………………………………………………… 7 测试步骤 21 ………………………………………………………………………………………………… 7.1 AH传输模式测试步骤 21 …………………………………………………………………………… 7.2 AH隧道模式测试步骤 25 …………………………………………………………………………… 7.3 ESP传输模式测试步骤 26 ………………………………………………………………………… 7.4 ESP隧道模式测试步骤 30 ………………………………………………………………………… 7.5 传输邻接模式测试步骤 31 …………………………………………………………………………… 7.6 迭代隧道模式测试步骤 33 …………………………………………………………………………… 7.7 IKEv1主模式测试步骤 36 ………………………………………………………………………… 7.8 IKEv1野蛮模式测试步骤 43 ……………………………………………………………………… 7.9 IKEv1快速模式测试步骤 47 ……………………………………………………………………… 7.10 IKEv2初始交换测试步骤 52 ……………………………………………………………………… 7.11 IKEv2创建子SA交换测试步骤 59 ……………………………………………………………… 7.12 IKEv2信息交换测试步骤 63 ……………………………………………………………………… ⅠGB/T28456—2012 附录A(资料性附录) IPsec协议规范说明 66 …………………………………………………………… 附录B(资料性附录) IKEv1密钥交换机制 69 …………………………………………………………… 附录C(资料性附录) IKEv2密钥交换机制 79 …………………………………………………………… 参考文献 84 …………………………………………………………………………………………………… 图1 IPsec协议应用测试的网络拓扑结构图 5 …………………………………………………………… 图A.1 传输邻接组合模式 67 ……………………………………………………………………………… 图A.2 隧道端点相同的迭代隧道组合模式 68 …………………………………………………………… 图A.3 一个隧道端点相同的迭代隧道组合模式 68 ……………………………………………………… 图A.4 隧道端点均不相同的迭代隧道组合模式 68 ……………………………………………………… 图B.1 IKEv1主模式交换发起方行为状态图 72 ………………………………………………………… 图B.2 IKEv1主模式交换响应方行为状态图 73 ………………………………………………………… 图B.3 IKEv1野蛮模式交换发起方行为状态图 75 ……………………………………………………… 图B.4 IKEv1野蛮模式交换响应方行为状态图 76 ……………………………………………………… 图B.5 IKEv1快速模式交换发起方行为状态图 77 ……………………………………………………… 图B.6 IKEv1快速模式交换响应方行为状态图 78 ……………………………………………………… 图C.1 IKEv2初始交换发起方行为状态图 80 …………………………………………………………… 图C.2 IKEv2初始交换响应方行为状态图 81 …………………………………………………………… 图C.3 IKEv2创建CHILDSA交换发起方行为状态图 82 ……………………………………………… 图C.4 IKEv2创建CHILDSA交换响应方行为状态图 83 ……………………………………………… ⅡGB/T28456—2012 前 言 本标准按照GB/T1.1—2009给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。 本标准起草单位:信息工程大学信息工程学院。 本标准主要起草人:曾勇军、王清贤、颜学雄、武东英、朱俊虎、尹美娟。 ⅢGB/T28456—2012 引 言 IPsec是目前广泛使用的网络安全协议,相关产品种类较多。尽管各厂家均声称支持IPsec协议, 但由于协议理解上的不同,造成产品在实现方式、完成的功能、提供的安全服务上存在差异。此外目前 缺少规范的评估和检测手段,难以确定IPsec协议应用与协议标准的符合程度,难以给出产品准确的评 价和分类,这不利于IPsec协议的推广和使用。为进一步规范IPsec协议的开发、评估和使用,有必要对 IPsec协议的测试标准进行研究和制定。 本标准为IPsec协议应用的测试标准,依据IPsec协议相关RFC标准制定。 本标准根据IPsec协议的工作模式,从功能、性能、健壮性和互操作性等方面组织测试内容并设计 测试步骤。本标准给出的测试步骤,旨在规范测试基本步骤和关键要点,测试人员可在此基础上选择相 关的辅助工具,产生具体的测试用例并进行测试。 ⅣGB/T28456—2012 IPsec协议应用测试规范 1 范围 本标准对IPsec协议应用的测试内容及测试步骤进行了规范。 本标准适用于IPsec协议应用的开发单位、第三方授权测试认证机构、用户等对IPsec协议应用测 试时参考使用。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T5271.8—2001 信息技术 词汇 第8部分:安全 GB/T17178.1—1997 信息技术 开放系统互连 一致性测试方法和框架 第1部分:基本概念 3 术语和定义 GB/T5271.8—2001界定的以及下列术语和定义适用于本文件。 3.1 IP安全协议 IPsecurity 一套用于保护IP通信的安全协议。它是IPv4的一个可选协议系列,也是IPv6的组成部分之一, 是一个网络层协议。它提供了认证和加密两种安全机制:认证机制使IP通信的数据接收方能够确认数 据发送方的真实身份以及数据在传输过程中是否遭到篡改;加密机制通过对数据进行编码来保证数据 的保密性,防止数据在传输过程中遭到截获而失密。 3.2 IPsec协议应用 appl