[发明专利]软件定义网络的网络安全性测试方法

摘要

本发明提出一种面向软件定义网络的网络安全性测试方法，包括针对目标软件定义网络的安全性测试框架、安全性测试策略、分类安全性测试方法、项目安全性测试方法和安全性测试步骤。其中，测试框架包括将目标软件定义网络划分为数据、控制、应用和管理四个网络平面，分别对各个网络平面的各个网元、链路以及各个网络平面之间的接口展开安全性测试；测试策略包括对安全性测试框架中的各个单元进行测试的选择和流程编制方法；分类安全性测试方法依据各个单元的类别特点开展不同类型的安全性测试；项目安全性测试方法实现具体的针对目标网元、链路或接口的安全性测试，测试流程定义了完整的针对目标软件定义网络的安全性测试过程和步骤。

主权项

软件定义网络的网络安全性测试方法，其特征在于：依据目标软件定义网络系统实际部署及测试需求，开展针对目标软件定义网络的网络安全性测试；包括所述软件定义网络的安全性测试框架、所述目标软件定义网络的安全性测试策略、所述目标软件定义网络的分类安全性测试方法、所述目标软件定义网络的项目安全性测试方法、所述目标软件定义网络的安全性测试步骤；所述安全性测试框架至少包括：将所述目标软件定义网络划分为数据平面、控制平面、应用平面和管理平面，针对所述软件定义网络的各个平面以及平面之间的平面接口进行网络的安全性测试；数据平面的安全性测试包括：测试由多个交换机、主机、数据平面链路构成的所述数据平面的安全性，具体包括测试所述主机或所述交换机的安全性、测试所述数据平面链路的安全性；控制平面的安全性测试包括：测试由多个控制器、控制器间链路构成的所述控制平面的安全性，具体包括测试所述控制器的安全性、测试所述控制器间链路的安全性；应用平面的安全性测试包括：测试由软件定义网络的多个应用程序构成的所述应用平面安全性，具体包括测试所述应用程序及承载所述应用程序的应用服务器的安全性；管理平面的安全性测试包括：测试由软件定义网络的管理系统构成的所述管理平面安全性，具体包括测试所述管理系统及承载所述管理系统的管理服务器的安全性；所述数据平面与所述控制平面的平面控制接口的安全性测试包括：测试连接所述数据平面的所述交换机与所述控制平面的所述控制器之间的控制接口及承载所述控制接口的信息通道即控制通道的安全性；所述应用平面与所述控制平面的平面应用程序接口的安全性测试包括：测试连接所述应用平面的所述应用程序与所述控制平面的所述控制器之间的应用程序接口及承载所述应用程序接口的信息通道即应用程序通道的安全性；所述管理平面与所述数据平面的平面数据管理接口的安全性测试包括：测试连接所述管理平面的所述管理系统与所述数据平面的所述交换机的数据管理接口以及承载所述数据管理接口的信息通道即数据管理通道的安全性；所述管理平面与所述控制平面的平面控制管理接口的安全性测试包括：测试连接所述管理平面的所述管理系统与所述控制平面的所述控制器的控制管理接口以及承载所述控制管理接口的信息通道即控制管理通道的安全性；所述管理平面与所述应用平面的平面应用管理接口的安全性测试包括：测试连接所述管理平面的所述管理系统与所述应用平面的所述应用程序的应用管理接口以及承载所述应用管理接口的信息通道即应用管理通道的安全性；所述安全性测试策略至少包括：单个的、部分的、或者全部的，顺序的、并行的、或者顺序与并行结合的，测试所述目标软件定义网络的所述数据平面、所述控制平面、所述应用平面、所述管理平面、所述平面控制接口、所述平面应用程序接口、所述平面数据管理接口、所述平面控制管理接口和所述平面应用管理接口的安全性；单个的、部分的、或者全部的，顺序的、并行的、或者顺序与并行结合的，测试所述目标软件定义网络的所述交换机、所述主机、所述数据平面链路、所述控制器、所述控制器间链路、所述应用程序及所述应用服务器、所述管理系统及所述管理服务器、所述控制接口及所述控制通道、所述应用程序接口及所述应用程序通道、所述数据管理接口及所述数据管理通道、所述控制管理接口及所述控制管理通道、所述应用管理接口及所述应用管理通道的安全性；所述分类安全性测试方法至少包括：依据所述目标软件定义网络不同的具体测试目标的分类，采用不同的分类安全性测试方法；采用网元安全性测试方法测试所述目标软件定义网络的目标网元的安全性，所述目标网元包括所述交换机、所述主机、所述控制器、所述应用程序及所述应用服务器、所述管理系统及所述管理服务器；采用链路安全性测试方法测试所述目标软件定义网络的目标链路的安全性，所述目标链路包括所述数据平面链路和所述控制器间链路，以及多条所述目标链路和交换设备组成的用于信息传递的通道或子网；采用接口安全性测试方法测试所述目标软件定义网络的目标接口及承载所述目标接口的数据通道的安全性，所述目标接口包括所述控制接口、所述应用程序接口、所述数据管理接口、所述控制管理接口和所述应用管理接口，承载所述目标接口的所述数据通道包括所述控制通道、所述应用程序通道、所述数据管理通道、所述控制管理通道和所述应用管理通道；所述链路安全性测试方法也可以作为所述接口安全性测试中的组成部分，针对承载各个目标接口的数据通道，即所述控制通道、所述应用程序通道、所述数据管理通道、所述控制管理通道和所述应用管理通道开展链路安全性测试；所述安全性测试步骤包括：（1）依据所述目标软件定义网络的部署情况和安全测试需求，确定所述安全性测试框架，划分网络平面，明确各个平面之间接口；（2）依据所述安全测试需求，细化安全性测试框架，筛选需要测试的目标网元、链路、接口，确定目标网元、链路、接口的详细的测试项目；（3）编制测试流程，划分测试阶段，所述测试阶段是在一个测试阶段内，可以采用顺序的、并行的或者顺序与并行相结合的所述安全性测试策略并进行一组所述测试项目的所述项目安全性测试方法；所述测试流程包括不同的测试阶段，不同测试阶段需要按照次序进行；（4）按照所述测试流程，依次开展各个所述测试阶段的所述测试项目，在各个测试阶段内，顺序的、并行的或者顺序与并行相结合的开展各所述测试项目，开展各所述测试项目采用各自的所述分类安全性测试方法中的所述项目安全性测试方法；（5）统计、分析各个所述测试项目的测试结果，汇总整理所述测试结果，形成整体的所述目标软件定义网络的网络安全性测试报告及测试结论；（6）依据所述网络安全性测试报告及所述测试结论，评估是否满足所述安全测试需求，如果不满足所述安全测试需求，则回到步骤（2）进行补充或者重复性的安全性测试；如果满足所述安全测试需求，则结束测试。