IPSec協商性能測試方法研究

張一

(中國電子科技集團公司第三十研究所,四川成都 610041)

0 引言

隨著計算機網絡快速發展,互聯網已經成為企業用戶主要的通信網絡,如何保證通信信息的安全,免遭竊聽和篡改,通過IPSec VPN可以實現數據的完整性和機密性保護。IPSec要求在發送數據之前先在站點網絡安全設備之間建立隧道,網絡安全設備在大容量并發用戶數進行協商并協商成功所需要的時間,以及安全網絡設備在單位時間內所能協商建立的隧道數目,即建立隧道速率(Tunnel Setup Rate),是各生產廠家用以區別自己的產品與其他同類競爭產品的一個關鍵衡量標準,對于一款安全網絡設備來說,隧道容量和隧道建立速率尤其重要。

科技在發展,用戶需求也是日新月異,產品研發技術也一直在不斷的發展變化,測試技術也要同步發展,不僅要積累成熟經驗,還要引入更加先進的測試技術和方法,不斷研究創新,本文主要針對IPsec協議中隧道容量和隧道建立速率兩個方面內容,介紹了一種性能測試方法。

1 IPSec協議基本概念[1]

IPSec(IP Security)是一個集合了多種標準的體系結構。這些標準在網絡層為IPv4、IPv6[RFC4301]以及移動IPv6[RFC4877]提供數據源認證、完整性、機密性以及訪問控制。它還為兩個通信的實體提供一種交換密鑰的方法、一個加密套件以及一種標記使用壓縮的方法。

1.1 IPsec結構

IPsec的操作可分為建立階段與數據交換階段。建立階段負責交換密鑰材料并建立安全關聯(Security Association,SA),此階段主要通過因特網密鑰交換(Internet Key Exchange,IKE)協議實現。數據交換階段會使用不同類型的封裝架構,稱為認證頭(Authentication Heather,AH)與封裝安全負載(Encapsulating Security Payload,ESP),如圖1所示。

圖1 IPSec架構圖Fig.1 IPSec architecture diagram

認證頭協議AH是由RFC2402定義的,該協議可以提供無連接的數據源驗證、數據完整性和抗重放攻擊服務(通過其報文頭中的序列號進行抗重放判斷)。數據完整性主要是基于消息驗證碼MAC來實現的,通過共享密鑰對整個數據報計算散列值[2]。

封裝安全載荷ESP是由RFC2406定義,該協議不僅可以提供無連接的數據來源認證、數據的完整性和抗重放攻擊服務,還可以對數據包和數據流進行加密,提供機密性服務[2]。

密鑰交換協議IKE主要是用來實現安全協議的安全參數的協商,其中有加密及鑒別密鑰、加密及鑒別算法、密鑰的生存周期、通信的保護模式等,并將協商的結果保存在SA中,為后續數據交換使用[2]。

1.2 IKE協議

IKE是一種混合型協議,由RFC2409定義,使用了部分Internet安全關聯和密鑰管理協議(ISAKMP)、部分密鑰交換協議(Oakley)和安全密鑰交換機制(SKEME),基于UDP(User Datagram Protocol)500端口號用于動態驗證IPSec通信雙方之間協商安全服務和建立安全關聯,以及生成安全密鑰。

采用IKE協商安全聯盟主要分為兩個階段:第一階段通信雙方協商和建立IKE協議本身使用的安全通道,建立一個IKE SA;第二階段利用第一階段已通過認證和安全保護的安全通道,建立一對用于數據安全傳輸的IPSec安全聯盟。

IKE第一階段支持兩種協商模式,分別為主模式(Main Mode)和積極模式(Aggressive Mode)。

主模式主要進行三次交換,包含6條信息,其中消息1和消息2為策略協商,并交換雙方的cookie和SA載荷;消息3和消息4為Diffie-Hellman交換和偽隨機值nonce交換,交換后生成密鑰SKEYID;消息5和消息6為協商雙方交換標識載荷和散列載荷,進行身份驗證,如圖2所示。

圖2 主模式的協商過程Fig.2 Negotiation process of main mod

積極模式只有三條消息,消息1主要為發起方策略和密鑰生成信息,包括Diffie-Hellman、偽隨機值nonce和五元組,消息2為回應接收方的密鑰生成信息和身份驗證數據,消息3發送發起方身份驗證信息。積極模式安全性較低,但協商速度快,如圖3所示。

IKE第二階段可以由通信的雙方中的任一方發起,主要為協商IPSec SA使用的安全參數,創建IPSec SA,使用AH或ESP來對IP數據流加密,保護通信數據內容。

2 測試設計

2.1 環境搭建

在使用LoadRunner進行并發測試之前,使用兩臺安全網絡設備進行子網規劃建立網絡規則,進行密鑰協商建立隧道,生成協商包,通過修改網絡設備腳本,將協商包保存本地使用,通過對網絡安全設備的程序做一定的修改,對協商過程中進行抗重放判斷的代碼進行修改,關閉抗重放功能。測試原理為通過LoadRunner模擬其中一端網絡設備,按照已經生成的網絡規則進行IKE協商,模擬網絡設備調用已生成的協商包進行并發協商,對協商過程進行測試。

前期準備主要為協商文件和LoadRunner腳本,腳本主要分為三部分:分別為Vuser_init,Action,Data.ws三個腳本。

Vuser_init:主要為模擬用戶初始化腳本;此腳本主要模擬網絡設備加載協商包文件,從本地指定路徑讀取相應的數據文件。

Action:主要處理協商包發送、接收腳本;通過建立網絡連接,模擬網絡設備進行協商包發送和接收,并對接收到的協商包進行判斷處理,在處理過程中根據協議測試內容設置相關事務數,并對各個所要測試的指標按照事務數進行統計處理;代碼在建立網絡連接創建套接字時作為一個事務開始,設置函數lr_start_action(),在斷開網絡連接關閉套接字作為事務結束,設置函數lr_end_action(),通過開始事務和結束事務,方便對協商速率和協商時間等指標進行統計。此處主要實現兩種模式,一種為測試在大容量并發用戶數進行協商并協商成功所需要的時間,另一種為測試網絡設備單位時間內并發能力即建立隧道速率。

Data.ws:主要定義協商包大小,根據不同網絡設備定義協商包文件屬性。

圖4 測試環境拓撲圖Fig.4 Test environment topology diagram

2.2 測試執行

LoadRunner服務器配置網絡參數與模擬發包網絡設備端一致,配置LoadRunner用戶數,選擇相應腳本,配置場景。

2.2.1 隧道建立速率測試

測試網絡設備在單位時間內所能建立的隧道數量。

(1)配置LoadRunner腳本,根據每秒啟動用戶數和總并發用戶數設置協商結束等待時間;

(2)設置LoadRunner參數,設置每秒啟動用戶數和運行時間;

(3)配置網絡設備,將協商過程中SA的更新周期關閉,或設置更新周期大于測試時間,防止在測試過程中出現密鑰更新的情況;

(4)如果隧道發生故障,則降低每秒啟動用戶數和調整等待時間;

通過調整每秒啟動用戶數,得出不同啟動用戶數情況下的每秒事務數,進而得到網絡設備隧道建立速率最優值。

2.2.2 隧道容量測試

本測模式實際使用場景,測試大容量用戶同時向中心網絡設備發起協商并協商成功所需要的時間。

測試步驟:

(1)配置LoadRunner腳本,設置每次隧道協商建立以后即關閉;

(2)設置LoadRunner參數,根據隧道建立速率設置每秒啟動用戶數;

(3)配置網絡設備,將協商過程中SA的更新周期關閉,或設置更新周期大于測試時間,防止在測試過程中出現密鑰更新的情況;

(4)如果協商失敗或者隧道發生異常,可以通過增加協商建立隧道重試次數或者減少每秒啟動用戶數降低隧道建立速率來調整。

2.2.3 測試結果

通過調整每秒啟動用戶數和隧道重試次數,得到建立不同隧道容量所需要的協商時間。

3 總結

本文結合IPsec協議族的特點以及應用,通過對IPsec-IKE兩個階段協商的過程進行分析,利用性能測試工具LoadRunner模擬協商報文的構造方法,處理流程,設計了一種對IPsec協議中IKE協議進行并發性能測試的新方法,詳細描述了該測試方法和步驟,這種方法的優點是測試數據和腳本以及測試環境構造快速方便,可以代替人工測試,很大程度上提高了測試效率。