工业互联网安全
测试仪
Industrial Internet
security tester
中国信息通信研究院
1
中国信息通信研究院(简称“中国信通院”)始终秉持“国家高端专业智库 产业创新发展平台”的发展定位和“厚德实学 兴业致远”的核心文化价值理念,在行业发展的重大战略、规划、政策、标准和测试认证等方面发挥了有力支撑作用,为我国通信业跨越式发展和信息技术产业创新壮大起到了重要推动作用。
近年来,适应经济社会发展的新形势新要求,围绕国家“网络强国”和“制造强国”新战略,中国信息通信研究院着力加强研究创新,在强化电信业和互联网研究优势的同时,不断扩展研究领域、提升研究深度,在4G/5G、工业互联网、智能制造、移动互联网、物联网、车联网、云计算、大数据、区块链、人工智能、未来网络、虚拟现实/增强现实(VR/AR)、智能硬件、网络与信息安全等方面进行了深入研究与前瞻布局,在国家信息通信及信息化与工业化融合领域的战略和政策研究、技术创新、产业发展、安全保障等方面发挥了重要作用,有力支撑了互联网+、中国制造2025、宽带中国等重大战略与政策出台和各领域重要任务的实施。
中国信息通信研究院现有新一代移动通信测试验证国家工程实验室,并且作为联合共建单位,建有深度学习技术及应用国家工程实验室、互联网医疗系统与应用国家工程实验室、物流信息互通共享技术及应用工程实验室、大数据协同安全技术国家工程实验室、大数据流通与交易技术国家工程实验室等5个国家工程实验室。同时,我院建有互联网与工业融合创新工信部重点实验室、工业互联网安全技术试验与测评工信部重点实验室、智能终端硬件测试验证北京市工程实验室、云计算标准与测试验证北京市重点实验室等4个省部级实验室, 为加快产业发展和技术进步、建设创新型国家提供了重要的技术支撑。
国家高端专业智库
产业创新发展平台
前言
2
一、产品介绍
二、产品构架
三、硬件组成
四、产品功能
五、应用场景
3
3
5
8
18
目录
3
按照工信部相关政策标准,工业互联网安全技术试验与测评工业和信息化部重点实验室(简称“实验室”)结合多年在工业互联网安全领域的研究成果和安全检查评估经验,自主研制并正式推出国内首款“工业互联网安全测试仪”(简称“测试仪”),可为面向工业互联网的网络产品和应用提供专业的工具集与自动化的测试服务。此测试仪实现了 L2-7 全栈测试,集性能测试、协议仿真和安全认证服务于一体,是真正意义上的综合性工业互联网网络安全测试仪。测试仪适用对象广泛,不仅可用于工业互联网相关企业(工业企业、工业互联网平台企业及其它)的内部安全自查、常规性安全评估等,同时可作为监管机构开展的检查评估以及第三方测评单位对外提供安全评估服务的主要工具。
产品简介
产品简介
产品构架
产品构架
工业互联网安全测试仪采用软硬件结合的方案:FPGA 网卡 + DPDK + 用户态协议栈 + 应用程序状态机缔造出超高性能的产品。
FPGA 芯片:控制线速收发报文、匀速收发报文,硬件计算时延,使精度 10纳秒以内;
DPDKIntel 的数据平面研发套件:不经过内核,用户态收发报文,性能得到很大提升;
自主创新用户态协议栈:支持 IPv4/IPv6 双栈运行,支持 TCP/IP 网络协议栈,包括 TCP 层确认应答、超时重传、拥塞控制、连接保持,能够保证协议的正确性和完整性,使测试数据真实有效,以适合各种网络设备测试和各种网络模式部署;
应用程序状态机:支持实现各种协议仿真。
4
用户态空间
Linux内核
硬件
Intel DPDK framework
用户态无锁协议栈
高性能嵌入式Linux操作系统
10G/40G/100G网卡+FPGA芯片
Http/Https
SMTP/POP3/IMAP
FIP
...
纳秒级定时器
内存文件系统
多核多网卡绑定
对象型数据库
令牌桶
配置管理
状态报告
高效的HASH容器
DNS
UDP PPS
RFC 2544
DDOS
硬件架构
市面上主流测试仪都使用现有的 Linux 系统和网络协议栈,Linux 协议栈虽然功能强大,运行稳定,但也因其过于通用而性能很低,所以需要耗资研发专门的硬件平台来提高性能,这样造成产品价格昂贵,升级缓慢。此测试仪采用通用的 X86 硬件架构,无硬件研发成本,升级快速,可以保证测试仪的稳定高速运行,加上 FPGA 芯片控制报文间隙和时延,精度在 10 纳秒以内,性能达到国际一流水准。
软件架构
传统的应用程序,都运行在用户态空间,要获取系统资源或传输网络信息,都要调用 Linux 系统调用进入内核态,内核访问硬件设备,再把结果拷贝到用户态应用程序。比如用户态发送一段网络信息,需要进行一次用户态和内核态状态切换,经历两次内存拷贝,跨过文件系统、路由、访问策略等几把大锁,才能从网卡上发出;而用户态程序接收一段网络信息,也要经历跟发送相反的过程,并且中断一次 CPU 处理,这样在测试过程中效率低下。
5
6
硬件组成
硬件组成
工业互联网安全测试仪分为便携式和机架式两种,便携式设备,集成度高,外观类似笔记本,双密码锁设计,安全牢固,箱体采用钢琴喷漆设计,美观实用,结实耐用,有效应对工业现场震动、冲击、电磁干扰等环境;机架式在便携式的基础之上发包性能有所提升。测试仪内部具有极致性能和超高精度,是高标准的2 到 7 层全栈便携网络测试仪,在功能、性能及安全性方面提供全面测试解决方案,满足研发、实验和质量控制等过程中的测试需求。测试仪有多个网络接口,包括 1 个管理端口 mgmt1 用于管理,其他端口用于连接测试设备进行测试。
工业互联网测试仪的软件架构使用数据平面开发套件(DPDK, Data PlaneDevelopment Kit),基于 Linux 系统运行,用于快速数据包处理的函数库与驱动集合,可以不经过内核,直接在用户态收发报文,极大提高数据处理性能和吞吐量,提高数据平面应用程序的工作效率,采用自主创新的用户态协议栈,效果是颠覆性的,所有的程序都在用户态,接收和发送网络数据时,无 CPU 中断,无共享数据锁,无内存拷贝,获取系统资源和传输网络信息效率高,所以性能远高于市面上主流测试仪。同时该协议栈实现了 IP 层路由,以及 TCP 层确认应答、超时重传、拥塞控制、连接保持,支持多种应用程序库
硬件规格 |
管理接口 |
管理方式 |
测试网口 |
硬盘容量 |
产品尺寸 |
产品规格 |
产品重量 |
参数 |
1 个 10/100/1000M 自适应接口、1 个 WIFI 接口 |
HTTP/HTTPS/Telnet/SSH |
2 个 10GbE SFP+接口兼容 1/10G 速率模式 |
1TB |
长 30.5cm 宽 40.5cm 高 12.5cm |
便携式 2U 设备 |
7.5KG |
显示尺寸 |
工作电压 |
测量时间 |
操作温度/湿度范围 |
储存温度/湿度范围 |
长 34.3cm 宽 19.5cm |
100-240V |
最小 1 秒,最大 1000 小时 |
5℃~35℃,相对湿度 80%以下,无凝露 |
0℃~35℃,相对湿度 80%以下,无凝露 |
7
8
硬件规格参数 |
管理网口 |
管理串口 |
管理方式 |
测试网口 |
硬盘容量 |
产品尺寸 |
产品规格 |
产品重量 |
显示屏尺寸 |
显示屏信息 |
产品型号 |
26E | 46E |
2 个 10/100/1000M 自适应接口 | |
接口类型 DB9,波特率 115200,数据位 8,停止位 1,奇偶校验无 | |
HTTP/HTTPS/Telnet/SSH/DB9 串口 | |
2 个 10GbE SFP+接口 兼容 1/10G 速率模式 | 4 个 10GbE SFP+接口 兼容 1/10G 速率模式 |
2TB | 4TB |
深 35.6cm×宽 42.6cm×高4.3cm | 深 58cm×宽 48.5cm×高13.5cm |
无 | 开机时间,内存占用率, 硬盘使用率,管理接口 IP |
标准 19 英寸上架式 1U 设 备 | 标准 19 英寸上架式 3U 设 备 |
6.2KG | 20KG |
无 | 长 6cm×宽 2.5cm |
产品功能
产品功能
工业互联网安全测试仪基于 X86 服务器架构、高性能网络模块,与高效的DPDK 报文处理框架完美切合和深度优化,加上自主创新的用户态协议栈和丰富的应用程序库,实现 2-7 层全栈性能测试、协议仿真、安全分析,能够高效地标定网络吞吐量、安全产品的性能、关键业务服务器的处理能力,能够模拟大量并发虚拟用户/秒蜂拥访问的场景,支持模拟多 IP 的高并发请求;百万级的新建会话创建能力,能同时对多个系统进行并行压测;支持通用协议新建、并发、吞吐,DDOS 攻击模拟等仿真测试;能够自动化生成专业的性能测试报告,包括事务并发、吞吐量、响应时延等多维度的统计,以非常简单易用的方式对工业互联网网络环境内的网络设备进行功能、性能、安全性测试。
测试仪功能列表
工业互联网安全测试仪功能清单 |
网络功能 |
IP版本 |
◆IPv4;◆IPv6;◆IPv4、IPv6双栈运行 |
部署模式 |
◆透明模式◆路由模式◆代理模式等 |
测试对象 |
◆网关设备◆代理设备◆应用服务器◆服务系统◆服务集群等 |
其他 |
支持多 IP模拟、MAC 伪装、虚拟路由等功能 |
9
10
性能测试 |
HTTP性能测试 |
◆HTTP新建访问能力测试◆HTTP并发访问能力测试◆HTTP吞吐率测则试◆HTTP请求性能测则试 |
HTTPS 性能测试 |
◆ 支持 HTTPS 新建、并发、吞吐、请求测试 ◆ SSL 版本:SSLv3、TLSv1.0、TLSv1.1、TLSv1.2、TLSv1.3、国密 v1.1 ◆ RSA 国际通用算法套件:包括AES256-GCM-SHA384、AES256-SHA256、DES-CBC3-SHA、DHE-RSAAES128-GCM-SHA256、DHE-RSA-AES128-SHA 等SSL 加密套件,支持 SSL 加速卡 ◆ 国密算法套件 ECC-SM4-SM3、ECDHE-SM4-SM3、RSA-SM4-SM3 和 RSA-SM4-SHA1 |
通用协议性能测试 |
◆ 支持通用协议(数据库协议、工控协议、文件传输协议等)新建、吞吐、并发测试 ◆ 支持根据被测单位定制工控协议模板及调用方式,能够对常用的协议进行自动识别和解析; ◆ 支持自定义配置工控协议报文载荷字段变化类型; ◆ 支持字符串进行 16 进制转换; ◆ 支持本地字节序、网络字节序 10 进制和 16 进制转换; ◆ 支持 IP 地址格式转换; ◆ 支持工控协议数据包 28 种的构建、捕获与解析: |
安全测试 |
DDoS 攻击模拟 |
共支持 84 种 DDoS 攻击类型 ◆ 单包 DDoS 攻击 77 种:包括 IPv4 报文分片攻击、ICMPv4 单包攻击、ICMPv6 单包攻击、IGMPv4 单包攻击、ARPv4 单包攻击、TCPv4单包攻击、TCPv6 单包攻击、UDPv4 单包攻击、UDPv6单包攻击、未知 IP 协议报文攻击等 ◆ 会话攻击 7 种:TCP 伪装会话攻击、TCP 新建会话攻击、HTTP 快速请求攻击、HTTP 变体请求攻击、HTTP 递归请求攻击、HTTP 并发慢确认攻击、HTTP 并发慢请求攻击 ◆ 支持对单包和会话攻击方式的参数进行配置 ◆ 支持在同一端口上混合多种攻击方式 ◆ 具备攻击计数器功能,并能够统计攻击率、攻击吞吐量等参数 |
包括:ECHONET_Lite,FF_HSE,MQTT,BACnet,Omron,OPC_UA,OPC_DA,Profinet,Siemens S7,ModbusTCP,Melsec,IEC61850_MMS,IEC61850_GOOSE,IEC60870- 5-104,CIP,DNP3,C37.118,Beckoff,EIP,HARTIP,Ethersbus,Ethersio,Gryphon,Lontalk,CoAP,openSAFETY,KNXnet/IP,EtherNet/IP |
11
12
流量重放 |
◆ 测试仪系统提供主流攻击流库,攻击库目前有 10248 攻击包,包括攻击类型:CGI 脚本注入、DNS 攻击、IIS 攻 击、IP 分片攻击、NETBIOS 攻击、P2P 下载、RPC 类、SQL 注入攻击、Shellcode 变形、TCP 流重组、URL 字符变形、木马后门攻击、跨站脚本攻击、代码注入、网络行为攻击、扫描探测攻击、缓冲区溢出攻击、蠕虫攻击、弱口令、拒绝服务攻击、间谍软件、躲避类、端口重定位、系统漏洞类、暴力猜测攻击、Adobe、Apache、Apple、 CA、Computer_Associates、GNU、HP、IBM、Mozilla、MultipleMySQL、Norton、Novell、Nullsoft、OpenLDAP、OpenOffice、OpenSSL、Oracle、PHP、Symantec、AttackScript ◆ 支持快速流量重放、攻击流量重放、工控协议重放,对受测设备进行攻击,并提供详细的攻击结果统计 ◆ 支持攻击流库离线更新 |
安全检测评估 |
◆ 漏洞检测:漏洞包含主流漏洞库中的漏洞及部分针对工业互联网业务、物联网业务等的漏洞,支持漏洞库的离线更 新,漏洞总数超过 7 万多个 ◆ Web 应用检测:支持扫描指定主机的 web 类型、主机名、特定目录、xss 漏洞、sql 注入漏洞、cookie、特定cgi 漏洞、返回主机允许的 http 模式等 14 种扫描类型,支持 10 种编码技术 ◆ 网络服务检测:支持主机发现,检测主机上开放的端口,检测相应端口提供的服务,检测操作系统,硬件地址,以 及软件版本等 |
检测报告 |
报告生成 |
◆ 报告结束后自动生成 ◆ 报告结束后手动生成 |
报告统计 |
◆ 图形化统计 ◆ 数表统计 |
统计参数 |
◆ Web 业务压力测试统计参数包括:事务并发、TPS、吞吐量、响应时延等 ◆ RFC2544 时延统计参数包括:帧长、流量数据方向、发送接收包数、发送接收速率、发送线速百分比、接收线速百分比、包转发率、丢包率、抖动统计、时延统计等 ◆ DDoS 攻击统计参数包括:每秒发送攻击报文数量、吞吐量等 ◆ 流量重放统计参数包括:重放 Pcap 数量总数、发送报文数量总数、超时报文数量总数等 |
报告导出 |
◆ 支持导出报告 ◆ 报告支持 HTML、Word、PDF、Excel 格式 |
2-3层测试
RFC2544标准测试:吞吐、时延、丢包率、背靠背
L2-3协议仿真:ARP/NSNA/PING/IGMPv1/IGMPv2/IGMPv3
RIP/OSPFv2/OSPFv3/BGP/IS-IS/PPPoE/VXLAN/MPLS L2-3协议正在研发,计划一年内完成
13
14
线速:1/10/25/40/100G全双向线速
基于FPGA芯片和开发接口,实现FPGA网卡在用户态收发报文,实现1/10/25/40/100G全双向线速收发报文。
匀速:发包速率稳定,能够匀速发包
FPGA芯片和开发接口控制匀速发包,使受测设备压力均衡,测试结果精准稳定。
精准:时间精度在10纳秒以内
采用FPGA芯片打时间戳,在发送的时候注入时间戳,接收到之后读取时间戳,有效地避免发送和接收队列排序的问题,时延精度达到国际一流水准。
技术要点
4-7层测试
RFC3511标准测试:TCP/HTTP/HTTPS新建、并发、吞吐测试
L4-7
协议仿真:HTTP、HTTPS、HTTP2.0、RTSP/RTP/RTCP、TCP、UDP、SMTP、POP3、IMAP、FTP、LDAP、PostgreSql、MySQL、NTP、DNS、TFTP、RADIUS、DHCPv4、DHCPv6、IPoE、Modbus、Dnp3等27种常用协议模拟
工控协议测试:ECHONET_Lite,FF_HSE,MQTT等26种工控协议,140个流模板,任何字段都可以设置可跳变域
HTTPS测试支持RSA&国密算法套件
基于自主创新的TCP/IP网络协议栈,实现IP层路由,以及TCP层确认应答、超时重传、拥塞控制、连接保持,有针对性的对2-7层任何协议进行模拟仿真和性能测试。
基于DPDK在用户态处理报文,无CPU中断,无共享数据锁,无内存拷贝,无状态切换,性能是普通Linux协议的30倍。
支持IPv4和IPv6双栈同时运行。
网络安全测试
基于自主创新的TCP/IP网络协议栈,实现不依赖Linux套接口进行2-7层全协议栈网络和会话攻击,支持随机变换报文的任何部位和顺序,进行DDoS攻击探测和模糊测试。
DDoS攻击模拟:包括31种DDoS攻击类型
包括IGMP攻击、ICMP攻击、IP协议攻击、UDP攻击、TCP协议攻击、ARP攻击等攻击类型其中单包DDoS攻击24种
包括TCP伪装会话攻击、TCP新建会话攻击、HTTP快速请求攻击、HTTP变体请求攻击、HTTP递归请求攻击、HTTP并发慢确认攻击、HTTP并发慢请求攻击基于会话攻击类型7种
攻击流量测试:
目前攻击库中攻击流有1万多个
支持离线更新
15
16
主机和网络漏洞扫描
基于FPGA芯片的Linux驱动程序,集成漏洞扫描的功能,可对网络和主机进行漏洞探测、评估与分析。
漏洞扫描测试:
目前系统包含漏洞库总数超过6万个,包含主流漏洞库中的漏洞及部分针对工业互联网业务、物联网业务等的漏洞
支持离线更新
漏洞探测方式:
扫描主机或者端口,发现系统或服务的漏洞信息。
通过系统或者服务的Banner信息,获取软件版本,做版本匹配,查询漏洞。
跟据不同服务的具体协议内容,比如TCP/SSH/HTTP/Modbus等,发送正常的协议交互流量,检测响应的报文内容,获取并匹配漏洞信息。
利用多种DBMS的密码生成技术,提供口令爆破库,实现快速的弱口令检测方法。
使用攻击脚本,模拟网络攻击,发现系统或者服务漏洞。
web业务测试
基于自主创新的TCP/IP网络协议栈,实现基于HTTP的业务流程性能测试,与Jmeter和LoadRunner的HTTP测试功能类似,支持HTTPS测试。
模拟测试HTTP/HTTPS业务流程
测试Web应用系统
17
18
5G核心网测试解决方案
5G
核
心
网
架
构
5G
核
心
网
测
试
方
案
虚拟机 | 信令仿真: Simulator | 媒体仿真: 獬豸测试仪 Simulator | ||
Simulator (N1/N2/N4) | 獬豸 (UE/N6) | Simulator (N3) | ||
操作系统 | VMware ESXi | |||
通用服务器硬件 | CPU | 内存 | 存储资源 | 网络资源 |
应用场景
应用场景
网络设备测试
交换机 路由器 防火墙 负载均衡
IPS Web防火墙 流量控制
防御DDoS设备
.......
19
20
服务器测试
网络环境测试
测试网络环境的性能
网络吞吐量
网络延时 TCP吞吐量
HTTP吞吐量 HTTP新建会话
TCP新建会话
.......
01
测试仪同时模拟客户端和服务端,测试流量穿过受测网络环境,得到受测设备的性能和安全参数。
02
测试仪部署受测链路两端,分别模拟客户端和服务端,测试时流量通过受测链路得到受测链路的性能参数。
测试链路性能
链路转发性能
链路延时
......
测试仪模拟客户端,向受测的应用服务器发送流量,获得响应并进行统计。
Web应用服务器
HTTP/HTTPS新建、并发、吞吐
文件服务器
FTP/TFTP
邮件服务器
SMTP/POP3/IMAP邮件接收和发送速率
认证服务器
LDAP/Radius认证性能
视频服务器
RTSP/RTP/RTCP播放新建、吞吐、并发、质量
.......
web应用测试
可以测试任何以 HTTP 协议为基础,开发部署的 Web 应用和网站,既可以测试其性能,也可以模拟其业务处理的过程,测试业务逻辑,支持HTTPS测试,并能记录明文传输内容。
测试对象如下:
> 电子政务网站:如政府官网、政务之窗、12306 购票系统等。
> 电子商务网站:如淘宝、京东、苏宁、网票网等。
银行网银系统,如各大银行的网银系统,信用卡系统等。
> 各类企业官网:如顺丰、邮政、中石油、中石化、移动、电信、联通等。
> 各种 Web 应用:如 Mantis、Jenkins、客户管理系统、进销存系统等。
> 基于 HTTP 的手机 APP:现在手机应用很多都是依靠 HTTP 协议与服务器通信,所以可以模拟手机 APP,测试与服务器的通信。
21
22
使用獬豸测试仪的虚拟主机,可以部署在云端对云内设施、虚拟设备、虚拟主机、虚拟网络,进行性能和安全测试。
虚拟测试
云测试仪支持透明、网关、代理等多种网络模式;
云测试仪既可以同时模拟客户端和服务器,测试虚拟网络设备,如虚拟交换机、路由器等;也可以只模拟客户端,测试应用服务器;
云测试仪可以做安全方面的测试,比如扫描虚拟主机、设备、服务的漏洞,重放攻击报文、发起各种各样的DDoS攻击等。
5G核心网测试
使用獬豸测试仪的虚拟主机,可以部署在5G核心网内,进行从核心到边缘所有的设备和网络测试。
信令面仿真:使用Simulator仪表仿真SMF(会话管理功能)与被测设备UPF(用户面功能)交互。
仿真的SMF通过N4接口向UPF下发各种数据转发控制命令和数据转发策略规则,UPF依次进行不同业务等级的数据转发。
媒体面仿真:使用獬豸测试仪和Simulator仪表协同仿真UE(用户设备)和RAN(无线接入网络)、DN(数据网络)与被测设备中的UPF(用户面功能)交互。
獬豸负责仿真UE和DN侧,模拟各种业务类型的数据包,并负责统计丢包率、时延等衡量UPF数据转发质量的关键参数。
Simulator负责仿真RAN侧,通过N3接口,将UE侧发出的上行数据包加上GTPU封装并转发到UPF侧,同时将从UPF侧接收到的下行数据包解除GTPU封装并转发到UE侧。
边缘UPF测试
01
边缘UPF测试组网
23
24
信令面仿真:使用Simulator仪表仿真UE(用户设备)和RAN(无线接入网络)与被测设备中的AMF(接入及移动性管理功能)交互。
仿真的UE通过N1接口与AMF交互注册管理、连接管理(RM/CM)和会话管理(SM)相关的信令。
仿真的RAN通过N2接口与AMF(接入及移动性管理功能)交互UE上下文管理、PDU会话/资源管理相关的信令。
媒体面仿真:使用獬豸测试仪和Simulator仪表协同仿真UE(用户设备)和RAN(无线接入网络)、DN(数据网络)与被测设备中的UPF(用户面功能)交互。
獬豸负责仿真UE和DN侧,模拟各种业务类型的数据包,并负责统计丢包率、时延等衡量UPF数据转发质量的关键参数。
Simulator负责仿真RAN侧,通过N3接口,将UE侧发出的上行数据包加上GTPU封装并转发到UPF侧,同时将从UPF侧接收到的下行数据包解除GTPU封装并转发到UE侧。
轻量化SA架构5G核心网测试组网
轻量化SA架构5G核心网测试
02
25
26
27
28
合作伙伴
合作伙伴
地 址:北京市海淀区花园北路 52 号
邮 编 :100191
电 话 :86-10-62305593
传 真 :86-10-62305540
网 址 :www.caict.ac.cn