本發明涉及密碼協議測試，具體涉及一種針對xfrm框架的密碼協議測試方法及裝置。

背景技術：

1、網絡密碼機一般通過ipsec協議在公共網絡上建立安全的通信通道，確保數據傳輸的機密性、完整性和認證性。xfrm框架是linux2.6內核為安全處理引入的一個可擴展功能框架，網絡密碼機可基于xfrm框架實現ipsec協議，通過xfrm進行安全聯盟的下發，安全策略的配置，實現網絡密碼機的業務功能。

2、目前，為保證安全性和提高通信速率，網絡密碼機設備廠商往往會使用算法芯片或者算法卡代替linux內核提供的軟算法，但仍然使用xfrm框架去完成ipsec協議的實現。在這種方式下實現的密碼協議往往會存在如下的一些問題：一是密碼協議實現與技術規范一致性問題；二是密碼協議功能實現不正確的問題；三是密碼協議實現的安全性問題，ipsec協議理論上的安全性并不能代表工程實現上的安全性。現有針對密碼協議的測試手段比較匱乏，且往往因為密碼協議本身的復雜性導致測試不夠充分、不具有針對性，還存在測試過程及結果可觀測性差、測試效率低的缺陷。

3、因此，如何發明一種針對xfrm框架的密碼協議測試方法，提高測試效率，成為亟需解決的問題。

技術實現思路

1、為此，本發明提供一種針對xfrm框架的密碼協議測試方法及裝置，通過在xfrm框架中部署內核插樁模塊，根據xfrm框架不同功能模塊進行不同方式的插樁，在網絡設備使用xfrm接口時，捕獲插樁結果，以達到測試密碼協議功能和安全性的目的。

2、為了實現上述目的，本發明提供如下技術方案：一種針對xfrm框架的密碼協議測試方法，包括：

3、根據xfrm框架的特點，確定插樁點位；

4、通過靜態插樁模塊對xfrm驅動模塊進行插樁，生成靜態插樁驅動；

5、通過內核探測模塊對xfrm內核模塊進行插樁，生成內核插樁驅動；

6、將所述靜態插樁驅動、所述內核插樁驅動以及插樁后的新xfrm驅動進行加載；

7、通過用戶態手動配置下發sa、sp策略，網絡安全設備進行協商和配置通信策略；

8、調用xfrm驅動模塊插樁的接口函數，捕獲驅動插樁結果；通過netlink通信機制將所述驅動插樁結果從內核層傳輸到用戶層，并存儲到數據庫中；

9、網絡安全設備完成配置通信策略后，進行加密通信，發送、接收ipsec報文；

10、調用xfrm內核模塊插樁的接口函數，捕獲內核插樁結果；通過所述netlink通信機制將所述內核插樁結果從所述內核層傳輸到所述用戶層，并存儲到所述數據庫中；

11、對xfrm框架的密碼協議測試結果進行查看分析，獲得分析結果；根據所述分析結果、測試需求及測試現象，對插樁位置進行調整，并對配置策略進行修改，進行迭代測試。

12、作為一種針對xfrm框架的密碼協議測試方法的優選方案，所述內核探測模塊對xfrm內核模塊進行插樁的步驟為：

13、通過設定條件判斷，確認收發ipsec報文進入xfrm框架的入口函數；

14、根據xfrm框架的所述入口函數，分析獲得xfrm框架在ipsec報文處理過程中的關鍵節點；通過linux內核符號表，確認所述關鍵節點對應接口的定義；通過kretprobe技術獲取xfrm框架在處理ipsec報文時所述關鍵節點函數的返回值并記錄；

15、對入參進行判斷，獲得判斷結果；根據所述判斷結果，確定后續處理流程；

16、通過kretprobe技術獲取xfrm框架在處理ipsec報文時所述關鍵節點函數的執行結果；根據所述執行結果，確認所述關鍵節點函數是否被調用執行及執行狀態；

17、將內核探測固定在xfrm框架內，生成所述內核插樁驅動。

18、作為一種針對xfrm框架的密碼協議測試方法的優選方案，所述靜態插樁模塊對xfrm驅動模塊進行插樁的步驟為：

19、找到xfrm框架開放的源代碼文件，并在所述源代碼文件中插入程序語句；

20、對所述源代碼文件的代碼架構及接口的功能參數進行分析；從所述源代碼文件中找取sa、sp處理函數；

21、通過靜態插樁驅動對插樁結果進行捕獲；

22、從所述源代碼文件中調用插樁接口；

23、對插樁后的所述源代碼文件進行編譯，生成新xfrm驅動，并進行加載。

24、作為一種針對xfrm框架的密碼協議測試方法的優選方案，在通過所述設定條件判斷，確認收發ipsec報文進入xfrm框架的入口函數的過程中，在報文發送時，xfrm在報文路由查找是否有滿足條件的sa，若沒有，則走ip_output()；若有，則進入xfrm處理過程；

25、在報文接收時，對內核網絡協議棧進行判斷，若判斷協議為esp或ah，則進入xfrm框架進行接收。

26、作為一種針對xfrm框架的密碼協議測試方法的優選方案，在通過所述靜態插樁驅動對所述插樁結果進行捕獲的過程中，所述靜態插樁驅動中封裝有可被調用的插樁接口，通過配置管控技術將所述插樁結果進行捕獲。

27、本發明還提供一種針對xfrm框架的密碼協議測試裝置，基于以上一種針對xfrm框架的密碼協議測試方法，包括：

28、插樁點位確認單元，用于根據xfrm框架的特點，確定插樁點位；

29、xfrm驅動模塊插樁處理單元，用于通過靜態插樁模塊對xfrm驅動模塊進行插樁，生成靜態插樁驅動；

30、xfrm內核模塊插樁處理單元，通過內核探測模塊對xfrm內核模塊進行插樁，生成內核插樁驅動；

31、驅動加載單元，用于將所述靜態插樁驅動、所述內核插樁驅動以及插樁后的新xfrm驅動進行加載；

32、網絡安全設備配置單元，用于通過用戶態手動配置下發sa、sp策略，網絡安全設備進行協商和配置通信策略；

33、驅動插樁結果捕獲單元，用于調用xfrm驅動模塊插樁的接口函數，捕獲驅動插樁結果；通過netlink通信機制將所述驅動插樁結果從內核層傳輸到用戶層，并存儲到數據庫中；

34、加密通信處理單元，用于網絡安全設備完成配置通信策略后，進行加密通信，發送、接收ipsec報文；

35、內核插樁結果捕獲單元，用于調用xfrm內核模塊插樁的接口函數，捕獲內核插樁結果；通過所述netlink通信機制將所述內核插樁結果從所述內核層傳輸到所述用戶層，并存儲到所述數據庫中；

36、密碼協議測試分析及優化單元，用于對xfrm框架的密碼協議測試結果進行查看分析，獲得分析結果；根據所述分析結果、測試需求及測試現象，對插樁位置進行調整，并對配置策略進行修改，進行迭代測試。

37、作為一種針對xfrm框架的密碼協議測試裝置的優選方案，所述xfrm內核模塊插樁處理單元中，內核插樁處理子單元包括：

38、入口函數確認子單元，用于通過設定條件判斷，確認收發ipsec報文進入xfrm框架的入口函數；

39、關鍵節點分析處理子單元，用于根據xfrm框架的所述入口函數，分析獲得xfrm框架在ipsec報文處理過程中的關鍵節點；通過linux內核符號表，確認所述關鍵節點對應接口的定義；通過kretprobe技術獲取xfrm框架在處理ipsec報文時所述關鍵節點函數的返回值并記錄；

40、入參判斷處理子單元，用于對入參進行判斷，獲得判斷結果；根據所述判斷結果，確定后續處理流程；

41、函數執行結果處理子單元，用于通過kretprobe技術獲取xfrm框架在處理ipsec報文時所述關鍵節點函數的執行結果；根據所述執行結果，確認所述關鍵節點函數是否被調用執行及執行狀態；

42、內核插樁驅動生成子單元，用于將內核探測固定在xfrm框架內，生成所述內核插樁驅動。

43、作為一種針對xfrm框架的密碼協議測試裝置的優選方案，所述xfrm驅動模塊插樁處理單元中，驅動插樁處理子單元包括：

44、源代碼文件查找子單元，用于找到xfrm框架開放的源代碼文件，并在所述源代碼文件中插入程序語句；

45、源代碼文件處理子單元，用于對所述源代碼文件的代碼架構及接口的功能參數進行分析；從所述源代碼文件中找取sa、sp處理函數；

46、插樁結果捕獲子單元，用于通過靜態插樁驅動對插樁結果進行捕獲；

47、插樁接口調用子單元，用于從所述源代碼文件中調用插樁接口；

48、新xfrm驅動生成及加載子單元，用于對插樁后的所述源代碼文件進行編譯，生成新xfrm驅動，并進行加載。

49、作為一種針對xfrm框架的密碼協議測試裝置的優選方案，所述xfrm內核模塊插樁處理單元中，在通過所述設定條件判斷，確認收發ipsec報文進入xfrm框架的入口函數的過程中，在報文發送時，xfrm在報文路由查找是否有滿足條件的sa，若沒有，則走ip_output()；若有，則進入xfrm處理過程；

50、在報文接收時，對內核網絡協議棧進行判斷，若判斷協議為esp或ah，則進入xfrm框架進行接收。

51、作為一種針對xfrm框架的密碼協議測試裝置的優選方案，所述xfrm驅動模塊插樁處理單元中，在通過所述靜態插樁驅動對所述插樁結果進行捕獲的過程中，所述靜態插樁驅動中封裝有可被調用的插樁接口，通過配置管控技術將所述插樁結果進行捕獲。

52、本發明具有如下優點：根據xfrm框架的特點，確定插樁點位；通過靜態插樁模塊對xfrm驅動模塊進行插樁，生成靜態插樁驅動；通過內核探測模塊對xfrm內核模塊進行插樁，生成內核插樁驅動；將所述靜態插樁驅動、所述內核插樁驅動以及插樁后的新xfrm驅動進行加載；通過用戶態手動配置下發sa、sp策略，網絡安全設備進行協商和配置通信策略；調用xfrm驅動模塊插樁的接口函數，捕獲驅動插樁結果；通過netlink通信機制將所述驅動插樁結果從內核層傳輸到用戶層，并存儲到數據庫中；網絡安全設備完成配置通信策略后，進行加密通信，發送、接收ipsec報文；調用xfrm內核模塊插樁的接口函數，捕獲內核插樁結果；通過所述netlink通信機制將所述內核插樁結果從所述內核層傳輸到所述用戶層，并存儲到所述數據庫中；對xfrm框架的密碼協議測試結果進行查看分析，獲得分析結果；根據所述分析結果、測試需求及測試現象，對插樁位置進行調整，并對配置策略進行修改，進行迭代測試。本發明補充了基于xfrm框架實現ipsec功能的網絡加密設備在對密碼協議方面測試的不足，通過內核探測模塊、靜態插樁模塊以及配置管控模塊在密碼協議運行過程中的各個關鍵節點、分支流程等方面進行監控，對xfrm框架下密碼協議實現的功能性、正確性以及安全性等進行了全方位的測試。同時，內核插樁的測試方法在傳統方式下往往會忽略程序代碼本身的功能性或者邏輯性，導致大量無效的測試點位以及無意義的測試結果，使得測試效率相當低下。本發明的密碼協議測試方法借助于插樁的概念，但又具有針對性，分析xfrm框架的構成，區分出嵌入內核的部分以及可獨立加載/卸載的模塊，并針對這兩部分采取不同的插樁測試方式，靈活性高。本發明針對xfrm的密碼協議測試方法實施過程極為便捷，測試驅動模塊代碼量極小，編寫容易，測試人員可隨時根據階段測試結果調整測試策略，且“內核探測模塊”和“靜態插樁模塊”都以驅動方式實現，可做到“隨測隨加載”，迭代升級速度快，測試效率高，可以做到針對密碼協議的充分測試。