【YD通讯标准】 IP 存储网络安全测试方法

ICS35.110
中华人民共和国通信行业标准
YD/T2392-2011
IP存储网络安全测试方法
Test methods of IP storage network security2011-12-20发布
2011-12-20实施
中华人民共和国工业和信息化部发布前
规范性引用文件：
3术语和定义
缩略语
功能测试
6.1iSCSI安全功能测试
6.2FCIP安全功能测试
6.3iFCP安全功能测试
6.4iSNS安全功能测试
6.5其他功能测试…
7性能测试·
隧道数量测试
7.2单隧道下设备吞吐量测试
7.3多隧道下设备吞吐量测试
传输时延测试·
YD/T2392-2011
YD/T2392-2011
本标准是通信存储安全系列标准之一，该系列标准预计发布如下：《IP存储网络安全技术要求》
《IP存储网络安全测试方法》
《通信虚拟磁带库（VTL）安全技术要求》《通信虚拟磁带库（VTL）安全测试方法》《通信存储介质（SSD）加密安全技术要求》《通信存储介质（SSD）加密安全测试方法》随着灾备相关技术和业务的发展，还将制定后续相关标准。本标准按照GB/T1.1一2009给出的规则起草。本标准由中国通信标准化协会提出并归口。本标准起草单位：北京邮电大学、工业和信息化部电信研究院、华为技术有限公司。本标准起草人：姚文斌、杨义先、王枞、周丽风。1范围
IP存储网络安全测试方法
YD/T2392-2011
本标准规定了利用IPsec为IP存储协议（包括iSCSI、FCIP、iFCP）以及因特网存储名称服务（iSNS）提供安全机制的测试方法，包括iSCSI、FCIP、iFCP和iSNS功能测试和性能测试等。本标准适用于与IP存储网络有关设备。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。YD/T1467-2006IP安全协议（IPSec）测试方法YD/T2391-2011IP存储网络安全技术要求IETFRFC2401IP安全安全架构(SecurityArchitectureforIP)IETFRFC3720因特网小型计算机系统接口（iSCSI）（IntemetSmallComputerSystemsInterface（iSCSI）IETFRFC3821
IETFRFC4171
IETFRFC4172
基于IP的光纤信道协议（FCIP）（FibreChannelOverTCP/IP（FCIP))因特网存储名称服务（iSNS）（IntermetStorageNameService（iSNS)）因特网光纤信道协议（iFCP）（iFCP-AProtocolforIntemetFibreChannelStorageNetworking）IETFRFC4306E
因特网密钥交换协议（IKE）（IntermetKeyExchange（IKEv2)Protocol)3术语和定义
下列术语和定义适用于本文件。3.1
因特网小型计算机系统接口IntemetSmallComputerSystemsInterface（iscsI）一种在TCP/IP上传输数据块的标准，用来建立和管理IP存储设备、主机和客户机等之间的相互连接，并创建存储区域网络。
因特网安全协议InternetProtocolSecruity（IPSec）保护IP协议安全通信的标准，对传输途中的信息包进行加密或者防止遭到算改的一种协议。3.3
安全远程密码SecureRemotePassword（SRP）一种安全的新型密码鉴别和密钥交换协议，提供客户端和服务器间的强相互认证。3.4
基于IP的光纤信道协议FiberChannelOverIP（FCIP）一种在TCP/IP上用管道技术实现光纤信道协议的机制，能够通过IP网络将各个孤立的光纤信道存储区域网络连接起来，从而形成一个统一的存储区域网络。1
KicaOiaiKA
YD/T2392-2011
因特网光纤信道协议InternetFibreChannellProtocol（iFCP）一种网关到网关的协议，为TCP/IP网络上的光纤设备提供光纤信道通信服务，可以实现端到端的IP连接。
启动器Initiator
IP存储网络中的服务器或工作站，发起对目标存储设备的事务。3.7
目标器Target
IP存储网络中的存储设备。
因特网存储名称服务InternetStorageNameService（iSNS)一种在IP网络中智能搜索存储设备的协议和机制，有助于在TCP/IP网络上自动发现、管理和配置光纤通道设备。
4缩略语
下列缩略语适用于本文件。
5概述
Authentication Header
认证头
ChallengeHandshakeAuthenticationProtocol挑战握手认证协议Device Under Tester
EncapsulatingSecurityPayloadHASHMAC
Internet KeyExchange
IntermetProtocol
IPSecurity
Media Access Control
NetworkAddressPortTranslationNetwork Address Translation
Security Association
Secure Hash Algorithm-1
TransmissionControlProtocol
Virtual PrivateNetwork
被测设备
封装安全载荷
散列MAC
因特网密钥交换
互联网协议
IP安全
媒体接入控制
网络地址端口转换
网络地址转换
安全联盟
安全散列算法-1
传输控制协议
虚拟专用网络
本标准提供对IP存储协议（包括iSCSI、FCIP、iSNS）以及因特网存储名称服务（iSNS）的安全功能测试，以及同等条件下的性能测试，包括：隧道数量测试、单隧道下设备吞吐量测试、多隧道下设备吞吐量测试、传输时延测试、丢包率测试。表1给出了本标准具体测试项目的一览表。2
6功能测试
7性能测试
iSCSI安全功能测试
FCIP安全功能测试
6.3FCP安全功能测试
6.4iSNS安全功能测试
6.5其他功能测试
7.1隧道数量测试
表1本标准具体的测试项目
6.1.11iSCSI协议：CHAP认证
CHAP认证
SRP认证
6.1.1.2CHAP认证：目标器验证启动器YD/T2392-2011
6.1.1.3目标器、启动器使用相同CHAP认证密钥时的处理6.1.1.4CHAP认证：128bit的随机密钥加密方式6.1.1.5CHAP认证：不应重复使用相同的双向认证CHAP挑战6.1.2.1iSCSI协议：SRP认证
6.1.2.2SRP认证：常用SRP组，附加SRP组6.1.2.3SRP认证：启动器与目标器必须支持高达1536bit的SRP组6.1.3iSCSI安全：IPSec保护机制6.2.1FCIP：双向认证
6.2.2FCIP安全：IPSec安全机制iFCP：双向认证
6.3.2iFCP安全：IPSec安全机制iSNS安全：IPSec重放保护机制
6.4.2iSNS安全：服务器支持ESP隧道模式6.4.3iSNS安全：服务器支持ESP传输模式6.4.4ESP:AES-XCBC-MAC认证、隧道模式6.4.5ESP:AES-XCBC-MAC认证、传输模式6.4.6iSNS:IKE认证
6.4.7iSNS：预共享密钥认证
6.4.8iSNS：数字签名证书的端认证6.4.9iSNS:IKE主模式wwW.bzxz.Net
6.4.10iSNS:IKE野蜜模式
6.5.1IP存储网络安全机制：完整性检查测试6.5.2IP存储网络安全机制：SA功能测试6.5.3IP存储网络安全机制：兼容现有的安全机制7.2单隧道下设备吞吐量测试
7.3多隧道下设备吞吐量测试
7.4传输时延测试
7.5丢包率测试
YD/T2392-2011
6功能测试
6.1iSCSI安全功能测试
6.1.1CHAP认证
6.1.1.1iSCSI协议：CHAP认证
测试编号：1
测试项目：iSCSI协议：CHAP认证测试目的：验证iSCSI协议支持CHAP认证测试依据：LETFRFC3720
测试仪表：协议仿真设备
测试类型：必选
测试配置：
协议仿真器
测试过程：
协议仿真器
1）正确连接设备，DUT为支持被测实现iSCSI的设备，其中DUT1为启动器，DUT2为目标器，配置地址保持互通性
2）配置DUT和协议仿真器的iSCSI协议，采用：iSCSI协议，CHAP认证：3）配置DUT和协议仿真器采用源、目的地址作为选择符；4）分别由协议仿真器1向DUT1、协议仿真器2向DUT2发送Ping包预期结果：步骤4）后DUT1、DUT2分别正确回应判定原则：测试结果必须与预期结果相符，否则不符合要求测试说明：无
6.1.1.2CHAP认证：目标器验证启动器测试编号：2
测试项目：CHAP认证：目标器验证启动器测试目的：测试当启动器认证失败时，目标器所做的处理测试依据：IETFRFC3720
测试仪表：协议仿真设备
测试类型：必选
测试配置：
协议仿真器
测试过程：
手机2
协议仿真器
YD/T2392-2011
1）正确连接设备，DUT为支持被测实现iSCSI的设备，其中DUT1为启动器，DUT2为目标器，配置地址保持互通性：
2）配置DUT和协议仿真器的iSCSI协议，采用：iSCSI协议，CHAP认证；3）配置DUT和协议仿真器采用源、目的地址作为选择符；4）由启动器DUT1向目标器DUT2发起错误CHAP挑战，目标器DUT2计算散列值并做比较验证操作预期结果：步骤4）后启动器DUT1认证失败，目标器DUT2不回送CHAP回应，同时关闭iSCSI的TCP连接
判定原则：测试结果必须与预期结果相符，否则不符合要求测试说明：无
YD/T2392-2011
6.1.1.3目标器、启动器使用相同CHAP认证密钥时的处理测试编号：3
测试项目：启动器、目标器使用相同CHAP认证密钥时的处理测试目的：验证当启动器、目标器使用相同CHAP认证密钥时，启动器认证失败测试依据：IETFRFC3720
测试仪表：协议仿真设备
测试类型：必选
测试配置：
协议仿真器
测试过程：
协议仿真器
1）正确连接设备，DUT为支持被测实现iSCSI的设备，其中DUT1为启动器，DUT2为目标器，配置地址保持互通性；
2）配置DUT和协议仿真器的iSCSI协议，采用：iSCSI协议，CHAP认证，启动器与目标器使用相同的CHAP认证密钥：
3）配置DUT和协议仿真器采用源、目的地址作为选择符：4）由启动器DUT1向目标器DUT2发起CHAP挑战，目标器DUT2计算散列值并做比较验证操作预期结果：步骤4）后启动器DUT1认证失败，目标器DUT2不回送CHAP回应，同时关闭iSCSI的TCP连接
判定原则：测试结果必须与预期结果相符，否则不符合要求测试说明：无
6.1.1.4CHAP认证：128bit的随机密钥加密方式测试编号：4
测试项目：CHAP认证：128bit的随机密钥加密方式测试目的：验证CHAP认证支持128bit的随机密钥加密方式测试依据：IETFRFC3720
测试仪表：协议仿真设备
测试类型：必选
测试配置：
协议伤真器
测试过程：
主机2
协议仿真器
YD/T2392-2011
1）正确连接设备，DUT为支持被测实现iSCSI的设备，其中DUT1为启动器，DUT2为目标器，配置地址保持互通性：
2）配置DUT和协议仿真器的iSCSI协议，采用：iSCSI协议，CHAP认证，采用128bit的随机密钥加密方式：
3）配置DUT和协议仿真器采用源、目的地址作为选择符；4）分别由协议仿真器1向DUT1、协议仿真器2向DUT2发送Ping包预期结果：步骤4）后DUT1、DUT2分别正确回应判定原则：测试结果必须与预期结果相符，否则不符合要求测试说明：无
YD/T2392-2011
6.1.1.5CHAP认证：不应重复使用相同的双向认证CHAP挑战测试编号：5
测试项目：CHAP认证：不应重复使用相同的双向认证CHAP挑战测试目的：验证重复使用相同的双向认证CHAP挑战时所做的处理测试依据：IETFRFC3720
测试仪表：协议仿真设备
测试类型：必选
测试配置：
协议仿真器
测试过程：
协议仿真器
1）正确连接设备，DUT为支持被测实现iSCSI的设备，其中DUT丨为启动器，DUT2为目标器，配置地址保持互通性；
2）配置DUT和协议仿真器的iSCSI协议，采用：iSCSI协议，CHAP认证，双向认证：3）配置DUT和协议仿真器采用源、目的地址作为选择符：4）由启动器DUT1向目标器DUT2发起重复的CHAP挑战预期结果：步骤4）后iSCSI的TCP连接断开判定原则：测试结果必须与预期结果相符，否则不符合要求测试说明：无
6.1.2 SRP认证
6.1.2.1iSCSI协议：SRP认证
测试编号：6
测试项目：iSCSI协议：SRP认证测试目的：验证iSCSI协议支持SRP认证测试依据：IETFRFC3720
测试仪表：协议仿真设备
测试类型：可选
测试配置：
协议仿真器
测试过程：
协议仿真器
YD/T2392-2011
1）正确连接设备，DUT为支持被测实现iSCSI的设备，其中DUT1为启动器，DUT2为目标器，配置地址保持互通性：
2）配置DUT和协议仿真器的SCSI协议，采用：iSCSI协议，SRP认证：3）配置DUT和协议仿真器采用源、目的地址作为选择符；4）分别由协议仿真器1向DUT1、协议仿真器2向DUT2发Ping包测试结果：步骤4）后DUT1、DUT2分别正确回应判定原则：测试结果必须与预期结果相符，否则不符合要求测试说明：无
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。