[发明专利]一种IPv6工业无线网络安全等级的测试方法

权利要求书

1.一种IPv6工业无线网络安全等级的测试方法，其特征在于，包括：

确定一IPv6工业无线网络的安全等级以确定安全要素集，其中，所述安全要素集包括多个安全要素；

确定每个所述的安全要素集中的各安全要素的排序影响因子及每个所述排序影响因子所占的权重；

根据所述排序影响因子及其所占的权重确定每个所述安全要素集中的各安全要素的优先级；

对所述IPv6工业无线网络的每一级的所有所述安全要素按照优先级从高到低的顺序执行测试，其中，安全等级测试第一级测试中各安全要素执行测试的顺序如下：

B1→E1→A1→I1→H1→J1→L1；

其中，所述安全要素包括数据完整性、数据保密性、数据新鲜性、数据备份与恢复、设备认证、访问控制、密钥管理、IPSec、边界隔离、边界访问控制、安全审计、安全网管策略、安全防火墙、端口安全或流量控制中的一种或多种；

其中，所述排序影响因子包括重要度、变更度及实现复杂度，则第j个安全要素的优先级的取值Y_j为：

Y_j＝Mp_j*W_Mp+V_j*W_V+Re_j*W_Re；

其中，Mp_j、V_j、Re_j分别为第j个安全要素的重要度、变更度及实现复杂度，W_Mp、W_V、W_Re分别为重要度Mp、变更度V及实现复杂度Re所占的权重；

其中，对所述IPv6工业无线网络的每一级的所有所述安全要素按照优先级从高到低的顺序执行测试，包括：

首先执行B1数据保密性测试：

测试步骤如下：

Step1:网关和节点中同时部署AES算法的CCM*操作模式，在安全管理端中集成的基于AES-CCM*标准的第三方测试软件Wireless HART CCM SecurityUtility软件；

Step2:安全管理端下发数据安全处理命令，被测节点设备收到安全处理命令后，将明文A经过AES-CCM*操作模式进行加密校验后生成的密文M发送至网关；

Step3:网关收到密文M后首先将密文M转发至安全管理端，安全管理端存储该密文M；

Step4:网关在转发该密文的同时，利用网关中集成的AES算法的CCM*操作模式，将该密文M进行校验，解密，并将计算出来的明文A1转发至安全管理端；

Step4:安全管理端收到A1后，将A1、密钥材料输入Wireless HART CCM SecurityUtility软件中，获取经过该软件加密校验的密文M1；

Step5:安全管理端对比生成的M1和收到的密文M，如果一致，则说明标准要求；否则，不符合，并将测试结果显示在安全管理端；

测试判决：若测试步骤中任意一步失败则认为不符合数据保密性要求；

接着执行E1设备认证测试：

测试步骤如下：

Step1:安全管理端预存储节点的IPv6地址，并向下发送认证测试命令；

Step2:节点收到测试命令后，向网关发送认证请求信息：

其中Re表示强度为一的认证标识，IPu标识节点U的IPv6地址；

Step3:网关接收到认证消息后转发给安全管理端；

Step4:安全管理端接收到认证消息之后将IPu与预先保存的IPu’进行对比，若IPu与IPu’完全一致，则认为节点合法，反之，认为节点不合法；

Step5：安全管理端向节点发送一个认证应答信息，若节点合法，则同意节点入网，反之，不同意节点入网；

测试判决：若测试步骤中任意一步失败则认为不符合入网认证要求；

接着执行A1数据完整性测试：

测试步骤如下：

Step1:安全管理端向下发送完整性测试命令；

Step2:节点设备收到测试命令后，运用hash运算利用明文数据信息生成MIC消息验证码，并向网关发送消息；

其中R1表示消息标识，M表示加密后的数据信息、MIC为完整性校验码；

Step3:网关收到消息后，将数据信息进行解密，然后用同样的方式生成MIC’，并比较收到的MIC与计算得到的MIC’是否一致，若一致，则表示消息完整性校验成功，反之，则失败；

测试判决：若测试步骤中任意一步失败则认为不符合数据完整性要求；

接着执行I1边界访问控制测试：

测试步骤如下：

Step1:用户在访问IPv6工业无线网络前，首先在安全管理端进行注册，用户User向安全管理端发送注册请求消息：

Message＝IDu||IDs||N1||Nonce1||Time1||MIC1；

其中MIC1＝H(IDu||IDs||N1||Nonce1||Time1)，Message为注册请求消息，IDu为用户身份，IDs为管理端身份，N1为认证请求消息标示号，Nonce1为随机数，Time1为时间戳，MIC1为完整性校验码；

Step2:安全管理端接收到Message后，计算MIC2＝H(IDu||IDs||N1||Nonce1||Time1)，判断MIC1与MIC2是否相等，若相等则产生随机数Nonce2，并利用收到的Nonce1生成用户与安全管理端的会话密钥Ku,s，回复响应消息并保存至信息库；

Step3:使用任意注册用户进行登录，安全管理端在信息库中查找该用户信息，若信息库中查找到该用户注册信息，则登陆成功，否则，登录失败，不能进行以下授权操作；

Step4:用户登录成功后，向安全管理端发送授权请求消息Message3＝IDu||IDs||N3||E1||Time3||MIC3，E1＝E(Ku,s，IDu||IDs||Rs)为授权请求消息，N3为授权请求标识号，E1为发送的授权请求消息，E1＝E(Ku,s，IDu||IDs||Rs)为，Rs为网络的资源集合；

Step5:安全管理端收到Message3后给用户分配相关资源信息，同时产生用户与网关之间的会话密钥Ku,n，回复授权响应信息Message4＝IDs||IDn||N4||E2||E3||Time4||MIC4，其中E2＝E(Ku,s，IDu||IDs||GAC||Ku,n||Time4)，E3＝E(Ks,n，IDu||IDs||GAC||Ku,n)，其中Ks,n为安全管理端与网关之间的预共享密钥，GAC是授权证书结构体；

Step6:用户收到安全管理端发送的访问响应后，解密E2存储授权证书消息GAC和Ku,n并保存E3；

Step7:用户向网关发起访问请求Message5＝IDu||IDn||N5||E4||E3||Time5||MIC5，其中E4访问请求消息，E4＝E(Ku,n，IDu||IDn||gac||Nonce3)；

Step8:网关收到Message5后，利用Ks,n解密E3从而认证用户IDu，得到与用户的共享密钥Ku,n以及授权证书GAC，根据Ku,n解密E4，得到Nonce3以及用户相关资源的属性证书gac；

Step9:根据授权证书GAC执行访问控制判定，查询授权证书，确认用户是否已被授权，若判断合法，则查询属性证书信息库，判断其访问操作是否可行，若可行，则网关回复访问请求响应消息并发送给消息至安全管理端，并在安全管理端显示访问控制测试结果；

判决准则：若测试步骤中任意一步失败则认为不符合边界访问控制要求；

接着执行H1边界隔离测试：

测试步骤如下：

Step1：在边界安全网关上进行配置，将工业无线网络根据IPv6地址划分成不同的安全区域；

Step2：用任意外网用户连接到网络，开启ping服务，判断是否能ping通；

判决准则：若步骤2中，外网用户可以通过Ping服务与安全域中的设备进行正常连接，则说明不符合边界隔离要求；

接着执行L1连接限制测试：

测试步骤如下：

Step1：在边界安全网关上进行配置，限定节点连接数量，例如限制连接数量为20；

Step2：开启19个节点，判断所有节点是否能同时正常连接；

Step3：开启20个节点，判断所有节点是否能同时正常连接；

Step4:开启21个节点，判断所有节点是否能同时正常连接；

判决准则：若步骤1，2中的所有节点均不能同时正常连接，则认为测试失败；若步骤3中所有节点能同时正常连接，则说明测试失败。