浙江农信3G无线金融测试方案.docx
《浙江农信3G无线金融测试方案.docx》由会员分享,可在线阅读,更多相关《浙江农信3G无线金融测试方案.docx(23页珍藏版)》请在冰豆网上搜索。
浙江农信3G无线金融测试方案
浙江农信3G无线金融测试方案
浙江省农村信用社联合社
目录
1.测试概述3
1.1.测试目的3
1.2.测试相关单位3
1.3.测试方案4
1.3.1.拓扑图4
1.3.2.所需设备和资源提供5
1.3.3.测试环境搭建步骤5
2.组网接入逻辑流程6
3.组网安全保障说明8
3.1.1.第一级安全保证:
无线网络本身的安全性8
3.1.2.第二级安全保证:
CDMA网络侧的AAA认证8
3.1.3.第三级安全保证:
CDMA网络和用户网络之间的VPN链接8
3.1.4.第四级安全保证:
用户网络侧的安全防火墙(FW)9
3.1.5.第五级安全保证:
用户网络侧的AAA鉴权认证9
3.2.多层VPN嵌套加密保证安全传输9
4.测试项目10
4.1.L2TPVPDN功能10
4.2.IPSecVPN功能11
4.3.安全性测试12
4.3.1.非法用户名测试12
4.3.2.部分泄密的系统安全测试13
4.3.3.认证细节鲁棒性和兼容性测试14
4.4.远端设备固定IP的稳定性测试15
4.5.VPDN拨号成功率和上线时间测试16
4.6.IPSecVPN建立成功率和建立时间测试17
4.7.断线自动重拨测试18
4.8.可以根据需要增加其他测试项目18
5.结论18
1.测试概述
1.1.测试目的
1、神州数码无线解决方案在浙江农信的适用性,考察是否满足浙江农信自助终端对网络传输的要求。
2、神州数码无线解决方案的安全性。
1.2.测试相关单位
1、神州数码公司
2、电信公司
3、浙江农信
1.3.测试方案
1.3.1.拓扑图
说明:
实际生产环境中远程业务终端都有指定的IP地址范围,每个机具都存在一个使用的网段,和线路相联的路由网关设备会占用一个该网段的IP地址。
当使用无线接入时。
广域网口的IP地址由AAA服务器指定。
在实际生产环境中,其实只要随便拿一个没使用过的地址段给无线路由器做登陆IP就可以了。
例如192.168.100.0/24的网段。
在后端的路由网关设备里[一般都是中心防火墙]填加一个总的路由,将所有的无线ATM的路由指向L2TPLNS路由器,那么在L2TPLNS路由器里填加相应的分支路由表即可:
iproute168.31.36.12255.255.255.252192.168.100.14
iproute168.31.36.16255.255.255.252192.168.100.18
iproute168.31.36.20255.255.255.252192.168.100.22
iproute168.31.36.24255.255.255.252192.168.100.26
iproute168.31.36.28255.255.255.252192.168.100.30
iproute168.31.36.32255.255.255.252192.168.100.34
这样使到达机具的路由和无线路由器的登录IP关联,而登录IP与用户名,IMSI卡号绑定,从而间接做到终端机具、用户名和UIM卡的绑定。
实际的IP拓扑由于涉密关系另有附件,该附件和本文中的IP地址均为虚构与实际生产网无关。
1.3.2.所需设备和资源提供
序号
资源名称
规格和功能
数量
提供方
到位时间
1
待测无线路由器
(英汉通、cisco、神码…)
支持L2TP客户端和IPSecVPN功能
各1台
神州数码
2
L2TP接入路由器
提供高速串口和2个以太网接口,配串口电缆[CISCO2811以上型号]
1台
农信
3
IPSec防火墙
预共享密钥IPSec隧道功能
1台
农信
4
AAA服务器
通过GUI接口可以观察无线路由器上线情况,有详细日志
1台
神州数码
5
配置用PC机
普通配置PC机[xp系统即可]
1台
农信
6
专线
带宽不低于512K,用户端接口可以是串口和以太网接口
1条
电信
7
测试用UIM卡
开通VPDN功能和普通card/card业务,最好可漫游
2个
电信
8
VPDN用户名/密码
配合UIM,生成VPDN域名
2个
电信
9
ATM/业务查询机
以太网接口设备。
可以用模拟软件安装在PC机代替
1台
农信
10
ATM应用模拟P端
可以用模拟软件代替
1台
农信
1.3.3.测试环境搭建步骤
1、电信开通到省农信测试机房所在地点的专线,建议带宽512Kbps以上;
2、电信申请2张测试用UIM卡,开通VPDN帐号并与UIM卡进行绑定。
3、神州数码提供的设备到货。
4、与电信联调L2TPVPDN链路完成。
5、待测无线路由器和防火墙IPSecVPN隧道调试完成。
6、省农信提供的ATM机和后台P端调试完成。
2.
组网接入逻辑流程
VPDN技术是利用隧道技术,通过在专用或公用网络上建立逻辑隧道,对网络层进行加密以及采用口令保护、身份验证等措施而实现的。
CDMA1X分组网的VPDN业务是以高速分组数据网为承载,为金融机构建立VPDN虚拟专用内部网络,使金融业务网点无论布放到何处,均可采用无线路由器+金融终端方式进入机构内部专网。
金融业务网点通过CDMA1X分组域的接入认证,在PDSN和金融机构信息中心之间建立起专用隧道,然后通过3A软件认证平台的认证后,3A软件认证平台为拨入用户分配指定的内网IP地址,无线路由器经过分组网的PDSN与中心的LNS路由器间建立起PPP连接,在无线路由器和中心加密防火墙再建立一个基于3DES算法的IPSEC的加密隧道,用户传输的数据流通过隧道到达金融机构信息中心,业务网点就像直接通过专线连接到中心网络一样。
整个VPDN业务的接入流程如下图所示。
完整的处理过程如下:
a)无线路由器设备拨号;
b)基站和基站控制中心负责为此次连接分配各种资源,并建立用户和PDSN的连接;
c)PDSN和用户终端开始建立PPP协商,并选用认证方式PAP或CHAP;
d)分组网的AAA根据PDSN打包发送的用户信息,判断是否VPDN用户,如果是就返回相应的LNS地址以及建立隧道用的共享密钥;
e)PDSN根据收到的LNS信息,和中心LNS路由器建立L2TP隧道;
f)无线路由器设备和中心LNS路由器之间建立PPP协商;
g)中心AAA3A软件认证平台对用户名密码和IMSI串号进行验证PAP或CHAP;
h)通过后,用户终端会发送DHCP的广播包,向中心AAA3A软件认证平台请求IP地址;
i)DHCP的发现包通过L2TP的隧道进入LNS;
j)中心AAA3A软件认证平台收到后,验证本地是否有此用户,有就将和用户名匹配的IP;
k)地址发送给用户;
l)无线路由器设备收到中心AAA3A软件认证平台发送的offer包后,取得IP地址;
m)无线路由器设备向中心加密防火墙发起IPSEC隧道请求;
n)无线路由器设备与中心加密防火墙协商IPSEC隧道及加密算法;
o)IPSEC隧道建立;
p)无线路由器设备允许后端金融终端向中心传输数据。
3.组网安全保障说明
3.1.1.第一级安全保证:
无线网络本身的安全性
目前世界上使用的移动通信网络主要有两种:
GSM和CDMA。
与GSM相比,CDMA网络系统在安全保密方面具有很大优势。
CDMA本来就是起源军事保密技术,在战争期间广泛应用于军事领域,具有抗干扰、安全通信、保密性好的特性。
进行移动手机信号的窃听一般使用以下三种方法。
首先,需要捕捉到通信信号。
在空间中充满了各种各样的无线电波,用户手机信号就混杂在其中。
要想窃听某一个用户的通话,首先必须捕捉到这个用户手机发出的特定的电磁波。
由于CDMA系统采用扩频技术,经过扩频以后的有用信号的频谱被大大地展宽了,用户信号隐蔽在互不相关的信号中,要想捕捉到这一有用信号非常困难。
因此,窃听器捕捉不到,也无法识别出哪些是CDMA手机用户的通信信号,哪些是噪音。
其次,窃听器必须锁定手机用户通信的信号,继而才能分析和破解信息。
而CDMA采用快速切换功率控制技术,即便是窃听设备捕捉到了用户手机信号,也不能锁定快速功率切换下的有用信号,因此,快速功率切换让CDMA信号很难锁定。
第三,需要破解用户信息编码。
而CDMA采用伪随机码技术,用长达42位的伪随机码来标识区分用户,每次通话都有4.4万亿种可能的排列,窃听器很难破译出CDMA的编码。
所以CDMA技术本身就很安全。
3.1.2.第二级安全保证:
CDMA网络侧的AAA认证
AAA是指认证(Authentication)授权(Authorization)计费(Accounting)三个过程:
认证、授权和计费一起实现了网络系统对特定用户的网络资源使用情况的准确记录。
这样既在一定程度上有效地保障了合法用户的权益,又能有效地保障网络系统安全可靠地运行。
CDMA网络侧的AAA认证过程是对用户的域名进行鉴权认证,其中数据网的用户(VPDN成员)是以username@xxx.133vpdn.xx形式登录的。
CDMA网络侧的AAA服务器对登录用户的域名和该用户的IMSI进行核对验证。
验证通过后,方可接入联通CDMA网络。
3.1.3.第三级安全保证:
CDMA网络和用户网络之间的VPN链接
CDMA网络和用户网络之间可以采用专线链接,也可以使用Internet链接。
使用Internet链接必须考虑安全性,因此,可以使用VPN将二者利用Internet链接起来。
VPN技术非常复杂涉及到通信技术、密码技术和现代认证技术。
主要包含两种技术:
隧道技术与安全技术。
隧道技术的基本过程是在源局域网域公网接口处将数据封装在一种可以在公网上传输的数据格式中,在目的局域网与公网的接口处将数据解封装,被封装的数据包在互联网上传播时的所经过的路径被称为“隧道”。
常用的隧道协议有1.点到点隧道协议—PPTP(现已基本淘汰); 2.第二层隧道协议—L2TP,该协议是国际标准隧道协议,PPTP协议以及第二层转发L2F协议的优点,以隧道方式使PPP包通过各种网络协议,包括ATM、SONET、帧中继。
但没有任何加密措施;3.IPSec协议,该协议是一个范围广泛、开放的VPN安全协议,工作在网络层。
它提供所有在网络层上的数据保护和透明的安全通信。
可以在两种模式下运行:
一种是隧道模式,一种是传输模式。
在隧道模式下IPSec把IPv4数据包封装在安全的IP帧中;传输模式是为了保护端到端的安全性。
3.1.4.第四级安全保证:
用户网络侧的安全防火墙(FW)
防火墙技术是目前用来实现网络安全措施的一种主要手段,主要是用来拒绝XX用户的访问,阻止XX用户存取敏感数据,同时允许合法用户不受妨碍地访问网络资源。
防火墙实际上是一种访问控制技术,在某个机构的网络和不安全的网络之间设置障碍,阻止对信息资源的非法访问,也可以使用防火墙阻止保密信息从受保护网络上被非法输出。
3.1.5.第五级安全保证:
用户网络侧的AAA鉴权认证
用户网络侧的AAA鉴权认证可以实现对VPDN成员的身份认证。
与第二级的安全保证不同,本级的AAA服务器将鉴别VPDN成员的用户名和密码的正确性。
username@xxx.133vpdn.xx中的域名将是中国联通公司提供给专网接入用户的专有统一域名,用户名可以根据用户自身特点来命名。
VPDN中成员的用户名和密码等资料将保存在专网侧的AAA服务器,具有很好的安全性和灵活的管理性。
3.2.多层VPN嵌套加密保证安全传输
由上图可知,所有的生产数据都经过3层技术保护才能到达生产网;采用的都是国际公认的安全方法,即便是最外层的cdma传输网的安全性都是军用级别。
4.测试项目
4.1.L2TPVPDN功能
测试编号
4.1
测试项目
无线路由器、L2TP路由器和AAA服务器配合实现L2TPVPDN功能
测试目的
系统能否顺利建立L2TP隧道,分配得到IP地址
测试环境
参见1.3
电信专线IP/MASK/网关:
电信L2TP的指定LNS地址IP:
电信L2TP的指定握手密码:
测试用用户名/密码:
测试用户指定IP/IP地址池:
测试步骤
1.电信公司开通UIM的VPDN功能。
2.在神州数码AAA服务器增加用户名/密码和用户组,绑定下发IP地址池;L2TP路由器做为LNS配置正确。
3.无线路由器插入UIM卡,上电。
4.登录无线路由器进行VPDN设置。
5.重启无线路由器进行VPDN拨号,测试开始。
6.在本地管理PC,通过观察设备日志、GUI界面查看无线路由器拨号状态。
预期结果
1、L2TP路由器日志显示,L2TP隧道建立成功。
2、AAA服务器显示,用户已经登录。
3、无线路由器通过拨号认证,获取到AAA服务器下发的IP地址。
4、无线路由器能够Ping通L2TP路由器、防火墙和AAA服务器。
测试结果
结果分析
备注
测试工程师
测试日期
4.2.IPSecVPN功能
测试编号
4.2
测试项目
无线路由器、L2TP路由器和AAA服务器配合实现L2TPVPDN功能
测试目的
系统能否顺利建立L2TP隧道,分配得到IP地址
测试环境
参见1.3
无线路由器已分配IP地址:
CiscoIPSEC防火墙IP地址:
预共享密码:
测试用用户名/密码:
测试步骤
1.无线路由器与LNS建立PPP链接并获得指定IP地址。
2.触发IPSECVPN兴趣流量,测试开始。
3.无线路由器插入UIM卡,上电。
4.在本地管理PC,通过观察设备日志,查看IPSECVPN状态。
预期结果
1、无线路由器及ciscoIPSEC防火墙日志显示,IPSECVPN隧道建立成功。
2、无线路由器能够Ping通ATM应用模拟P端服务器。
测试结果
结果分析
备注
测试工程师
测试日期
4.3.
安全性测试
4.3.1.非法用户名测试
测试编号
4.3.1
测试项目
非法用户登录的测试
测试目的
伪造随机用户名,使用正常域名登录;以测试非法用户登录的可能性
测试环境
参见1.3
随机非法用户名/密码1:
随机非法用户名/密码2:
随机非法用户名/密码3:
测试步骤
1.电信公司开通UIM的VPDN功能。
2.在神州数码AAA服务器增加用户名/密码和用户组,绑定下发IP地址池;L2TP路由器做为LNS配置正确。
3.无线路由器插入UIM卡,上电。
4.登录无线路由器,进行VPDN设置。
5.输入随机非法用户名/密码
6.重启无线路由器进行VPDN拨号,测试开始。
7.在本地管理PC,通过观察设备日志、GUI界面查看无线路由器拨号状态。
预期结果
1、L2TP路由器日志显示,L2TP隧道建立成功。
2、AAA服务器显示,用户已经登录。
3、无线路由器通过拨号在认证阶段遭到AAA服务器拒绝。
4、无线路由器不能上线。
测试结果
结果分析
备注
测试工程师
测试日期
4.3.2.
部分泄密的系统安全测试
测试编号
4.3.2
测试项目
正常用户名等认证字段的交换测试,考验部分泄密的系统安全性
测试目的
伪造随机用户名,使用正常域名登录;以测试非法用户登录的可能性
测试环境
参见1.3
UIM卡1:
UIM卡2:
用户名A:
用户名B:
ATM设备a:
ATM设备b:
测试步骤
1.互换用户名测试;
2.互换UIM卡测试;
3.互换后级终端测试;
预期结果
1、见表“无线接入安全性测试一”
测试结果
结果分析
备注
测试工程师
测试日期
测试预期:
无线接入安全性测试
用户名A+UIM卡1
用户名A+UIM卡2
用户名B+UIM卡1
用户名B+UIM卡2
ATM设备a
通过
3A认证失败/不能上线
3A认证失败/不能上线
通过认证无法通讯
ATM设备b
通过认证无法通讯
3A认证失败/不能上线
3A认证失败/不能上线
通过
4.3.3.
认证细节鲁棒性和兼容性测试
测试编号
4.3.3
测试项目
认证细节鲁棒性和兼容性测试
测试目的
利用各种非正常登录手段,考验整个系统的鲁棒性和兼容性
测试环境
参见1.3
非法用户名/密码:
无银行测试域名的用户名/密码:
非法UIM卡:
非法后端设备:
测试步骤
1.用非法用户名/密码登录测试。
2.使用无银行测试域名的用户名/密码登录测试。
3.使用非法UIM卡登录测试。
4.在本地管理PC,通过观察设备日志、GUI界面查看无线路由器拨号状态。
预期结果
1、见表“单项细节测试”
测试结果
结果分析
备注
测试工程师
测试日期
单项细节测试
测试项目
测试结果
非法用户名
3A认证失败/不能上线
无CIB域名用户名
3A认证失败/不能上线
非法UIM
3A认证失败/不能上线
非法后端设备
3A认证通过/不能通讯
4.4.
远端设备固定IP的稳定性测试
测试编号
4.4
测试项目
固定IP的稳定性测试
测试目的
UIM卡IMSI号与IP地址绑定测试,测试设备是否在各种状态下每次登录后都能获得指定的IP地址
测试环境
参见1.3
正常UIM卡:
UIM卡IMSI串号:
指定IP地址:
测试重启次数:
N
测试步骤
1.电信公司开通UIM的VPDN功能。
2.在神州数码AAA服务器增加用户名/密码和用户组,绑定下发IP地址池;L2TP路由器做为LNS配置正确。
3.无线路由器插入UIM卡,上电。
4.登录无线路由器,软重启N次。
5.通过观察设备日志、查看每次无线路由器拨号获得的IP状态值。
6.手动强行断电重启N次
7.通过观察设备日志、GUI界面查看每次无线路由器拨号获得的IP状态值。
预期结果
1、正常重启每次获得指定IP。
2、手动强行断电重启每次获得指定IP,没有意外情况。
测试结果
结果分析
备注
测试工程师
测试日期
4.5.
VPDN拨号成功率和上线时间测试
测试编号
4.5
测试项目
VPDN拨号成功率和上线时间测试
测试目的
测试多次拨号上线率和正常上线的平均时长
测试环境
参见1.3
正常UIM卡:
UIM卡IMSI串号:
指定IP地址:
测试重启次数:
N
测试步骤
1.电信公司开通UIM的VPDN功能。
2.在神州数码AAA服务器增加用户名/密码和用户组,绑定下发IP地址池;L2TP路由器做为LNS配置正确。
3.无线路由器插入UIM卡,上电。
4.登录无线路由器,软重启N次。
5.通过观察设备日志、查看每次无线路由器拨号能正常通讯的时间间隔。
6.记录拨号失败的原因和次数
7.计算平均拨号成功时间。
预期结果
1、拨号成功率:
N次100%
2、平均拨号时长:
无
测试结果
拨号成功率:
N次xx%
平均拨号时长:
结果分析
备注
测试工程师
测试日期
4.6.
IPSecVPN建立成功率和建立时间测试
测试编号
4.6
测试项目
IPSecVPN建立成功率和建立时间测试
测试目的
测试多次IPSecVPN建立成功率和平均建立时间测试
测试环境
参见1.3
正常UIM卡:
UIM卡IMSI串号:
指定IP地址:
测试重启次数:
N
测试步骤
1.电信公司开通UIM的VPDN功能。
2.在神州数码AAA服务器增加用户名/密码和用户组,绑定下发IP地址池;L2TP路由器做为LNS配置正确。
3.无线路由器插入UIM卡,上电。
4.登录无线路由器,软重启N次。
5.通过观察设备日志、查看每次无线路由器拨号一直到IPSecVPN建立能正常通讯的时间间隔。
6.记录IPSecVP建立失败的原因和次数。
7.计算平均IPSecVP建立成功时间。
预期结果
3、拨号成功率:
N次100%
4、平均拨号时长:
无
测试结果
拨号成功率:
N次xx%
平均拨号时长:
结果分析
备注
测试工程师
测试日期
4.7.
断线自动重拨测试
测试编号
4.7
测试项目
断线自动重拨测试
测试目的
测试线路异常断线后设备是否能自动重拨;
测试环境
参见1.3
正常UIM卡:
UIM卡IMSI串号:
指定IP地址:
测试重启次数:
N
测试步骤
1.模拟断线的环节需要多方商榷。
2.如何模拟断线需要电信配合。
3.直接在PDSN上剔除用户会导致一段时间用户无法登录。
预期结果
设备在断线后指定时间内发生重拨动作。
测试结果
结果分析
备注
测试工程师
测试日期
4.8.
应用测试项目
4.8.1.哑终端业务测试
测试编号
4.8.1
测试项目
哑终端测试
测试目的
测试原有的纯DOS终端上的业务是否能在本环境内顺利运行;
测试环境
参见1.3
测试步骤
1.终端连入测试网络;
2.测试登陆业务主机
3.主观测试业务流畅度
4.模拟10笔相同的常规业务并计时。
预期结果
业务能顺利操作完成,单笔业务与正常网络操作时间平均延迟不超过10%[即原有业务平均60秒完成的,在本测试环境不超过66秒或(60+10)秒内也顺利完成]
测试结果
结果分析
备注
测试工程师
测试日期
4.8.2.基于WINDOWS系统的业务测试
测试编号
4.8.2
测试项目
基于WINDOWS系统业务测试
测试目的
测试原有业务本身是基于WINDOWS操作系统的是否能在本环境内顺利运行;
测试环境
参见1.3
测试步骤
1.测试用PC或笔记本连入测试网络;
2.测试登陆业务主机
3.主观测试业务流畅度
4.模拟10笔相同的常规业务并计时。
预期结果
业务能顺利操作完成,单笔业务与正常网络操作时间平均延迟不超过10%[即原有业务平均60秒完成的,在本测试环境不超过66秒或(60+10)秒内也顺利完成]
测试结果
结果分析
备注
测试工程师
测试日期
4.8.3.自助机具的业务测试
测试编号
4.8.3
测试项目
自助机具的业务测试
测试目的
测试ATM、自助查询终端等无人职守设备是否能在本环境内顺利运行;
测试环境
参见1.3
测试步骤
1.测试用PC或笔记本连入测试网络;
2.测试登陆业务主机
3.主观测试业务流畅度
4.模拟10笔相同的常规业务并计时;
5.测试自助机具的监控平台在上
升级会员 