肖 毅

（中國(guó)電子科技集團(tuán)公司第三十研究所，四川 成都 610041）

0 引言

通信網(wǎng)絡(luò)作為一個(gè)復(fù)雜系統(tǒng)，其安全性嚴(yán)重影響了通信網(wǎng)絡(luò)以及信息系統(tǒng)的應(yīng)用，為了提高通信網(wǎng)絡(luò)的安全性，大量學(xué)者對(duì)通信網(wǎng)絡(luò)的安全性測(cè)試技術(shù)進(jìn)行了研究。在軟件安全測(cè)試方面，蔣廷耀[1]提出了一種基于 EAI 模型( Environment Application Interaction Model)的軟件錯(cuò)誤注入測(cè)試方法；張德平[2]基于馬爾可夫鏈?zhǔn)褂媚Ｐ吞岢隽艘环N針對(duì)安全關(guān)鍵軟件測(cè)試資源受約束的啟發(fā)式加速測(cè)試方法；杜經(jīng)農(nóng)[3]提出環(huán)境與狀態(tài)錯(cuò)誤模型( EAS模型),并設(shè)計(jì)了基于EAS模型的Web應(yīng)用軟件安全性測(cè)試方法；陳錦富[4]提出了一種構(gòu)件安全測(cè)試錯(cuò)誤注入模型 FIM (Fault Injection Model of Component Security Testing),并基于 FIM 模型給出了一種錯(cuò)誤注入測(cè)試用例生成算法TGSM(Test2case Generating based on Solution Matrix)；賀紅[5]提出將安全性測(cè)試增加到軟件功能性測(cè)試之中，并給出對(duì)應(yīng)用軟件進(jìn)行安全測(cè)試的對(duì)手模式。在網(wǎng)絡(luò)安全測(cè)試方面，落紅衛(wèi)[6]給出了網(wǎng)絡(luò)安全測(cè)試的原則、內(nèi)容以及進(jìn)行協(xié)議測(cè)試、功能測(cè)試、性能測(cè)試和物理測(cè)試的方法；念其鋒[7]提出 BGP 攻擊樹(shù)(Attack2Tree)模型,并應(yīng)用該模型構(gòu)造域間路由系統(tǒng)的安全性測(cè)試套件。在攻擊測(cè)試方面，龔雷[8]針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中存在的漏洞和脆弱點(diǎn)研究了安全測(cè)試攻擊工具庫(kù)與攻擊工具箱, 提出了多屬性攻擊工具分類(lèi)法。在協(xié)議安全性測(cè)試方面，李謝華[9]提出一種基于改進(jìn)認(rèn)證測(cè)試?yán)碚摰母咝О踩珔f(xié)議驗(yàn)證算法— —AAAP (Automatic Analyzer for Authentication Protocols)算法，利用認(rèn)證測(cè)試?yán)碚撝邢㈤g的偏序關(guān)系避免狀態(tài)空間爆炸的問(wèn)題；陳偉琳[10]針對(duì)協(xié)議安全測(cè)試中數(shù)據(jù)流的描述問(wèn)題,在構(gòu)造類(lèi)別代數(shù)的基礎(chǔ)上引入變異分析,提出了一種協(xié)議安全測(cè)試方法；李弋強(qiáng)[11]給出了安全因子的定義,并通過(guò)建立帶安全因子的安全EFSM模型,設(shè)計(jì)了一種新的基于最小安全因子的協(xié)議安全性測(cè)試序列生成算法。在安全產(chǎn)品測(cè)評(píng)方面，張敏[12]提出在信息安全產(chǎn)品測(cè)評(píng)中基于安全策略模型的安全功能測(cè)試用例自動(dòng)生成方法，包括基于語(yǔ)法、規(guī)則、類(lèi)型的劃分等步驟,依據(jù)形式化安全模型生成正確描述系統(tǒng)行為的操作測(cè)試用例集；黃亮[13]采用了基于安全產(chǎn)品安全策略模型的測(cè)試用例自動(dòng)生成方法,設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)測(cè)試用例自動(dòng)化生成工具— —CaseBuilder；劉瑩[14]基于 ServerScope 測(cè)試儀的軟硬件結(jié)構(gòu)，提出了一種新的測(cè)試網(wǎng)絡(luò)信息安全產(chǎn)品的方法，在系統(tǒng)中同時(shí)模擬客戶(hù)端和服務(wù)端，生成網(wǎng)絡(luò)信息安全系統(tǒng)所特有的交互式負(fù)載。

這些研究成果，從軟件、網(wǎng)絡(luò)、協(xié)議以及安全產(chǎn)品測(cè)評(píng)方面均對(duì)安全測(cè)試進(jìn)行了研究，并在某些方面推動(dòng)了安全測(cè)試技術(shù)的發(fā)展，能夠從測(cè)試方面提高通信網(wǎng)絡(luò)的安全性，但是在信息對(duì)抗時(shí)代，通信網(wǎng)絡(luò)需要進(jìn)行全面的安全測(cè)試，根據(jù)漏桶原理彌補(bǔ)安全的短板。為此，提出了基于有限條件的攻擊測(cè)試方法，建立了攻擊測(cè)試模型，并基于該模型給出了攻擊測(cè)試算法，最后設(shè)計(jì)了利用該算法的攻擊測(cè)試系統(tǒng)。通過(guò)實(shí)現(xiàn)該攻擊測(cè)試系統(tǒng)，對(duì)GSM等無(wú)線(xiàn)通信網(wǎng)絡(luò)進(jìn)行了安全性測(cè)試，表明該方法能夠發(fā)現(xiàn)這些網(wǎng)絡(luò)存在的安全漏洞。

1 安全性分析

目前，大部分通信協(xié)議在安全機(jī)制方面均存在先天不足，易于遭受攻擊。通信網(wǎng)絡(luò)的大部分應(yīng)用協(xié)議也都缺乏認(rèn)證、保密等措施，也使攻擊者比較容易得手。通信網(wǎng)絡(luò)常遭受的攻擊有如下幾類(lèi)：

（1）假冒。假冒是一個(gè)實(shí)體假裝成另一個(gè)不同的實(shí)體。假冒常與其它一些主動(dòng)攻擊一起使用，如消息的重放與篡改，有限權(quán)限的實(shí)體假冒有額外特權(quán)的實(shí)體。

（2）重放。一個(gè)過(guò)去的消息或部分消息被重新在網(wǎng)絡(luò)中重復(fù)傳輸被稱(chēng)為重放。例如，一個(gè)含有鑒別信息的有效消息可能被另一個(gè)實(shí)體所重放，目的是鑒別它自己（把它當(dāng)作其他實(shí)體）。

（3）篡改。在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)被非授權(quán)改變后繼續(xù)傳輸過(guò)程。例如，消息“允許甲讀機(jī)密文卷‘賬目’”被篡改為“允許乙讀機(jī)密文卷‘賬目’”。

（4）拒絕服務(wù)。當(dāng)一個(gè)實(shí)體不能執(zhí)行它的正常功能，或它的動(dòng)作妨礙了別的實(shí)體執(zhí)行它們的正常功能的時(shí)候便發(fā)生拒絕服務(wù)。這種攻擊可能是一般性的，比如一個(gè)實(shí)體抑制所有的消息，也可能是有具體目的性。例如，一個(gè)實(shí)體抑制所有流向某一特定目的端的消息，如安全審計(jì)服務(wù)信息。這種攻擊可以是對(duì)通信業(yè)務(wù)流的抑制，也可能制造出試圖破壞網(wǎng)絡(luò)操作的消息，特別是如果網(wǎng)絡(luò)具有中繼實(shí)體，這些中繼實(shí)體根據(jù)從別的中繼實(shí)體那里接收到的狀態(tài)報(bào)告來(lái)做出路由選擇的決定。

Forecast of heavy rain caused by the northeast cold vortex using “ingredients method”

（5）內(nèi)部攻擊。當(dāng)系統(tǒng)的合法用戶(hù)以非故意或非授權(quán)方式進(jìn)行動(dòng)作時(shí)便出現(xiàn)內(nèi)部攻擊。多數(shù)已知的計(jì)算機(jī)犯罪都和使系統(tǒng)安全遭受泄露的內(nèi)部攻擊有密切的關(guān)系。

（6）外部攻擊。外部攻擊可以使用的方法有：搭線(xiàn)（主動(dòng)的與被動(dòng)的）、截獲輻射、假冒授權(quán)用戶(hù)系統(tǒng)組成部分、旁路鑒別或訪問(wèn)控制機(jī)制。

（7）陷井門(mén)。當(dāng)系統(tǒng)的實(shí)體受到改變致使一個(gè)攻擊者能對(duì)命令，或者對(duì)預(yù)定的事件或事件序列產(chǎn)生非授權(quán)的影響時(shí)，其結(jié)果就稱(chēng)為陷井門(mén)。例如，口令的有效性可能被修改，使得除了其正常效力之外也使攻擊者的口令生效(基于有限條件的攻擊測(cè)試方法)。

為了測(cè)試通信網(wǎng)絡(luò)的安全性，可利用這些攻擊原理對(duì)通信網(wǎng)絡(luò)進(jìn)行測(cè)試，因此研究并提出了有限條件攻擊測(cè)試模型（Attack Test Model based on Limited Condition－ATMLC）和算法（Attack Test Algorithm based on Limited Condition－ATALC）。

2 有限條件攻擊測(cè)試模型

通信網(wǎng)絡(luò)的安全性主要體現(xiàn)在機(jī)密性、完整性、可用性、真實(shí)性和抗否認(rèn)性，可分別用集合j、w、k、z和r表示，那么通信網(wǎng)絡(luò)的安全性可用函數(shù)F（j，w，k，z，r）表示。為了測(cè)得通信網(wǎng)絡(luò)的安全性，需要確定其中的變量j、w、k、z和 r。為了確定這些變量，通過(guò)攻擊的測(cè)試方法進(jìn)行獲取，為此設(shè)計(jì)如圖1所示的有限條件攻擊測(cè)試模型。

圖1 有限條件攻擊測(cè)試模型

該攻擊測(cè)試模型由攻擊、目標(biāo)、響應(yīng)和條件構(gòu)成，相互之間形成一定的輸入和輸出關(guān)系。

（1）攻擊

攻擊是基于有限條件的攻擊方法的集合，用Gg表示：

（2）目標(biāo)

目標(biāo)就是測(cè)試對(duì)象，即通信網(wǎng)絡(luò)，其安全性為F（j，w，k，z，r）。

（3）響應(yīng)

響應(yīng)攻擊方法作用到目標(biāo)通信網(wǎng)絡(luò)后得到的反應(yīng)或結(jié)果，用集合Rr表示：

其中，jr、wr、kr、zr、rr分別是攻擊方法 j’、w’、k’、z’、r’產(chǎn)生的響應(yīng)，可用函數(shù)Rr=f（Gg）表示。目標(biāo)的安全性F（j，w，k，z，r）是攻擊預(yù)期結(jié)果Rr’和響應(yīng)Rr函數(shù)，可用F（j，w，k，z，r）=f’（Rr’，Rr）表示。

（4）條件

條件是通信網(wǎng)絡(luò)某些安全屬性的集合可用CF表示：

其中，J=｛Ja｝，W=｛Wb｝，K=｛Kc｝，Z=｛Zd｝，R=｛Re｝，而 a、b、c、d、e=1，2,…，是相對(duì)獨(dú)立的安全防護(hù)屬性，是在攻擊測(cè)試方法無(wú)法進(jìn)行時(shí)作為攻擊方法的輸入條件，并認(rèn)為該項(xiàng)安全屬性可靠。如果輸入條件 JA、WB、KC、ZD、RE，表明測(cè)試目標(biāo)的安全性：

這樣重復(fù)進(jìn)行攻擊測(cè)試，通過(guò)不斷的遞代，直到所有攻擊測(cè)試項(xiàng)目完全成功為止，從而可最終獲取目標(biāo)通信網(wǎng)絡(luò)的安全性。

3 有限條件攻擊測(cè)試算法

有限條件攻擊測(cè)試算法（ATALC）就是從無(wú)任何條件到獲取一定條件，甚至到所有條件進(jìn)行攻擊測(cè)試，直到所有攻擊測(cè)試項(xiàng)目完全成功為止，從而得到目標(biāo)通信網(wǎng)絡(luò)的安全性，具體測(cè)試算法流程如下:

4 攻擊測(cè)試系統(tǒng)設(shè)計(jì)

根據(jù)通信網(wǎng)絡(luò)的有限條件攻擊測(cè)試模型及算法設(shè)計(jì)有限攻擊測(cè)試系統(tǒng)如圖2所示。

圖2 有限條件攻擊測(cè)試系統(tǒng)

有限條件攻擊測(cè)試系統(tǒng)由五部分構(gòu)成，攻擊測(cè)試控制臺(tái)、攻擊測(cè)試激勵(lì)模塊、攻擊測(cè)試響應(yīng)模塊、攻擊序列測(cè)試庫(kù)、攻擊測(cè)試輸入點(diǎn)和攻擊測(cè)試輸出點(diǎn)構(gòu)成。

攻擊測(cè)試控制臺(tái)屬于系統(tǒng)總控設(shè)施，負(fù)責(zé)根據(jù)通信網(wǎng)絡(luò)的特性，配置攻擊測(cè)試輸入點(diǎn)和輸出點(diǎn)的參數(shù)。

攻擊序列測(cè)試庫(kù)由各種攻擊序列構(gòu)成，這些序列包括身份假冒序列、越權(quán)訪問(wèn)序列、消息篡改序列、重放攻擊序列、拒絕服務(wù)攻擊虛擬、木馬病毒序列等，負(fù)責(zé)對(duì)通信網(wǎng)絡(luò)的五大安全屬性進(jìn)行攻擊測(cè)試。

攻擊測(cè)試輸入點(diǎn)接受攻擊測(cè)試控制臺(tái)的控制，并將攻擊序列通過(guò)該點(diǎn)輸入到被測(cè)試的網(wǎng)絡(luò)，同時(shí)需要解決攻擊序列與被測(cè)網(wǎng)絡(luò)之間的接口（包括物理接口和信息接口）。

攻擊測(cè)試響應(yīng)根據(jù)攻擊序列測(cè)試庫(kù)的測(cè)試方法，調(diào)動(dòng)攻擊測(cè)試輸出點(diǎn)，獲取攻擊序列作用后的通信網(wǎng)絡(luò)響應(yīng)。

攻擊測(cè)試輸出點(diǎn)通過(guò)采集攻擊測(cè)試序列輸入前后以及輸入時(shí)的相關(guān)信息，并解決輸出點(diǎn)與被測(cè)試網(wǎng)絡(luò)之間的接口適配問(wèn)題，同時(shí)將獲取的信息傳輸給攻擊測(cè)試響應(yīng)。

5 測(cè)試方法應(yīng)用

基于設(shè)計(jì)的攻擊測(cè)試系統(tǒng)，研制了原型系統(tǒng)，并搭建了小型GSM網(wǎng)絡(luò)等，對(duì)該方法進(jìn)行了應(yīng)用，如圖3所示。

圖3 攻擊測(cè)試試驗(yàn)環(huán)境

為了完成GSM的測(cè)試，部署了一臺(tái)攻擊測(cè)試控制臺(tái)、一個(gè)輸入點(diǎn)和兩個(gè)輸出點(diǎn)。測(cè)試項(xiàng)目情況如表1所示，采用加密攻擊對(duì)GSM網(wǎng)絡(luò)進(jìn)行了測(cè)試。

表1 GSM網(wǎng)絡(luò)安全性測(cè)試表

通過(guò)這些攻擊測(cè)試過(guò)程，說(shuō)明GSM網(wǎng)絡(luò)在知道認(rèn)證算法和密鑰的情況下，能夠被假冒攻擊，其安全性存在一定的問(wèn)題，而在任何信息均不知道的情況下，無(wú)法被身份假冒攻擊。

6 結(jié)語(yǔ)

針對(duì)目前通信網(wǎng)絡(luò)面臨的安全威脅，研究并設(shè)計(jì)了有限條件攻擊測(cè)試方法，包括有限條件攻擊測(cè)試模型（ATMLC）和算法（ATALC），將各種攻擊方法按照無(wú)條件輸入和逐漸輸入條件的方式進(jìn)行組織，并對(duì)目標(biāo)通信網(wǎng)絡(luò)進(jìn)行安全性測(cè)試，從而獲取目標(biāo)通信網(wǎng)絡(luò)的安全性?；谠摲椒ㄔO(shè)計(jì)攻擊測(cè)試系統(tǒng)，對(duì)GSM等無(wú)線(xiàn)網(wǎng)絡(luò)進(jìn)行了安全性測(cè)試，表明該測(cè)試方法有效、可行。

[1]蔣廷耀，王訓(xùn)宇，馬凱，等. 基于EAI 和AOP 的軟件安全測(cè)試及應(yīng)用研究[J]. 計(jì)算機(jī)科學(xué)，2009,36（04）：169-171.

[2]張德平,聶長(zhǎng)海,徐寶文. 測(cè)試資源受約束的安全關(guān)鍵軟件加速測(cè)試方法[J]. 計(jì)算機(jī)科學(xué)，2009,36(05):138-141.

[3]杜經(jīng)農(nóng)，盧炎生. 一種Web應(yīng)用軟件安全脆弱性測(cè)試模型[J]. 小型微型計(jì)算機(jī)系統(tǒng)，2009，30（20）：2398-2403.

[4]陳錦富，盧炎生，謝曉東. 一種構(gòu)件安全測(cè)試錯(cuò)誤注入模型[J]. 計(jì)算機(jī)研究與發(fā)展，2009，46(07)：1127-1135.

[5]賀紅，徐寶文，袁勝忠.對(duì)應(yīng)用軟件進(jìn)行安全測(cè)試的對(duì)手模式及其應(yīng)用[J].計(jì)算機(jī)科學(xué)，2006,33（09）：266-269.

[6]落紅衛(wèi). IP 網(wǎng)絡(luò)安全測(cè)試研究[J].電信網(wǎng)技術(shù)，2009(03)：18-21.

[7]念其鋒,蔡開(kāi)裕,杜秀春. 基于攻擊樹(shù)的邊界網(wǎng)關(guān)協(xié)議安全測(cè)試[J].計(jì)算機(jī)工程與科學(xué)，2006,28（08）：14-16，29.

[8]龔雷，陳性元，唐慧林，等. 面向安全測(cè)試攻擊工具庫(kù)設(shè)計(jì)[J].微計(jì)算機(jī)信息，2008，24(03)：75-77.

[9]李謝華,高春鳴. 基于改進(jìn)認(rèn)證測(cè)試?yán)碚摰母咝О踩珔f(xié)議驗(yàn)證算法[J]. 計(jì)算機(jī)科學(xué),2009,36(04):73-76,128.

[10]陳偉琳,周顥,趙保華. 利用構(gòu)造類(lèi)別代數(shù)的協(xié)議安全測(cè)試方法[J].西安交通大學(xué)學(xué)報(bào)，2008,42（12）：1481-1485.

[11]李弋強(qiáng),徐中偉,喻鋼,等. 面向安全需求的安全通信協(xié)議測(cè)試序列生成算法[J]. 計(jì)算機(jī)應(yīng)用，2009，29(07):1828-1831,1848.

[12]張敏，馮登國(guó)，陳馳. 基于安全策略模型的安全功能測(cè)試用例生成方法[J]. 計(jì)算機(jī)研究與發(fā)展，2009，46 (10): 1686-1692.

[13]黃亮,馮登國(guó),張敏. 一個(gè)基于安全模型的測(cè)試用例生成工具[J].中國(guó)科學(xué)院研究生院學(xué)報(bào)，2007,24(03):300-306.

[14]劉瑩，田野. 一種針對(duì)網(wǎng)絡(luò)信息安全系統(tǒng)的測(cè)試方法[J]. 計(jì)算機(jī)工程，2006，32（20）：140-142.