[发明专利]一种加密工控协议测试方法及装置

说明书

本发明提供了一种加密工控协议测试方法及装置，可以构建协议测试用例集中一个目标协议测试用例的基础数据类型和至少一个协议封装类；在获取到各个协议封装类的至少一个字段特征时按照相应的协议封装类进行协议封装，并按照指定顺序将封装得到的至少一个第一封装类实例组合为源数据包；构建源数据包对应的第一明文字节流，并加密为第一密文字节流；将第一密文字节流发送至安装有待测加密工控协议的目标设备，并将目标设备反馈的第二密文字节流解密为第二明文字节流，解构第二明文字节流对应的数据包；根据源数据包和反馈数据包中的封装类实例的对比结果确定待测加密工控协议的测试结果。

技术领域

本发明涉及加密工控协议测试的技术领域，更具体地说，涉及一种加密工控协议测试方法及装置。

背景技术

工业控制系统是由计算机设备和工业过程控制设备组成的智能控制系统，是工业系统的大脑和中枢。工控系统中，设备间通信采用各类工控协议实现。传统的工控系统由于运行环境封闭、专业性强，较少关注通信过程的安全性，这些工控协议在传输过程中通常不加密、不做数据完整性校验，往往通过协议逆向分析就可以识别出来。随着工业信息化的发展，工控系统由相对封闭的运行环境向信息化转变，传统的不加密、无校验、易篡改破坏的通信方式，使得生产安全面临着巨大的威胁。为解决上述问题，对工控协议增加应用协议头部(包含加密相关信息)、将原始数据加密、加校验的通信方式应运而生。

在工控设备投入应用之前，需要对通信协议和过程进行测试。对于协议的测试包括一致性测试、互操作性测试、健壮性测试和性能测试。传统的不加密协议测试，都是在明文数据包的基础上进行操作：截取通信设备之间的通信数据，进行分析和信息提取，判断被测设备和协议标准规定的预期输出是否相同；截取通信设备之间的通信数据，进行改包和重放操作，实现以上各协议测试。

应用以上现有协议测试软件对加密工控协议进行测试存在以下缺陷：

(1)由于截取的数据包是密文，需要测试人员对每个包进行解密操作，才能提取到数据包信息并校验，导致测试效率低。

(2)改包后的数据包，数据和校验不匹配，会被协议实体视为无效报文，无法触发漏洞。

(3)传统的不加密工控协议测试，也有通过构造数据包进行测试。但是由于明文数据包结构单一(应用层只有应用协议数据)，故而其构造过程也较简单，部分简单协议甚至可以直接操作纯字节流就可完成测试。不能满足加密工控协议应用层包含多层数据、数据构造/解析包含多个步骤的要求。

为此，如何克服现有协议测试软件对加密工控协议不适用的问题，是本领域技术人员亟需解决的技术问题。

发明内容

有鉴于此，为解决上述问题，本发明提供一种加密工控协议测试方法及装置。技术方案如下：

一种加密工控协议测试方法，所述方法包括：

构建协议测试用例集，所述协议测试用例集包括至少一个协议测试用例；

针对所述至少一个协议测试用例中的目标协议测试用例来说，构建所述目标协议测试用例的基础数据类型和至少一个协议封装类；

获取每个所述协议封装类对应的至少一个字段特征，所述字段特征包括一个控制字段的描述数据和所述控制字段的数值，所述控制字段的数值的类型由所述基础数据类型确定；

对每个所述协议封装类对应的所述至少一个字段特征分别进行协议封装，并按照指定顺序将封装得到的至少一个第一封装类实例组合为源数据包；

构建所述源数据包对应的第一明文字节流，并将所述第一明文字节流加密为第一密文字节流；

将所述第一密文字节流发送至安装有待测加密工控协议的目标设备，并接收所述目标设备基于所述第一密文字节流反馈的第二密文字节流；