配网指令防篡改装置的测试系统的制作方法

1.本发明涉及信息安全技术领域，尤其涉及一种配网指令防篡改装置的测试系统。


背景技术：

2.配网自动化系统是使配电企业在远方以实时方式监视、协调和操作配电设备的自动化系统，通常包括配网主站和配网自动化终端。为了保证电网安全，配网终端一般通过安全接入区接入到配网主站。但是，当配网指令到达安全接入区经加密网关或加密模块解密后就失去保护，导致配网指令存在被篡改的风险。
3.目前，相关技术考虑在加密网关或加密模块后新增配网指令防篡改装置，以提高防篡改能力。然而，增加配网指令防篡改装置能够提高数据安全性，但是也给配网自动化系统增加新的风险点。因此，亟需一种有效验证配网指令防篡改装置对配网自动化系统性能影响的测试系统。


技术实现要素：

4.本发明提供了一种配网指令防篡改装置的测试系统，以解决当前技术缺乏一套验证配网指令防篡改装置对配网自动化系统性能影响的测试系统的技术问题。
5.为了解决上述技术问题，第一方面，本发明提供了一种配网指令防篡改装置的测试系统，包括与配网指令防篡改装置通信连接的单机测试装置和系统级测试装置，单机测试装置包括签名正确性验证模块和单机性能测试模块，系统级测试装置包括通信模拟测试模块；
6.签名正确性验证模块，用于对配网指令防篡改装置的签名功能和解签功能进行正确性验证；
7.单机性能测试模块，用于测试配网指令防篡改装置的最大并发连接数、签名速率和解签速率中的至少一种；
8.通信模拟测试模块，用于测试配网指令防篡改装置在通信模拟环境下的业务性能，通信模拟环境为通信模拟测试模块模拟的配网主站与配网终端之间的通信环境。
9.作为优选，单机测试装置与配置指令防篡改装置的通信连接方式包括透明接入方式或调用软件开发工具包sdk方式。
10.作为优选，签名正确性验证模块，包括：
11.签名功能验证子模块，用于将待签名的第一报文发送至配网指令防篡改装置，并接收配网指令防篡改装置对第一报文进行签名后得到的第二报文，以及基于预设互签证书，对第二报文进行解签，以验证配网指令防篡改装置的签名功能；
12.解签功能验证子模块，用于将基于预设互签证书对第三报文进行签名后的第四报文发送至配网指令防篡改装置，并接收配网指令防篡改装置对第四报文进行解签后得到的第五报文，以及对第五报文与第三报文进行对比，以验证配网指令防篡改装置的解签功能。
13.作为优选，单机性能测试模块，包括：
14.最大并发连接数测试子模块，用于基于第一预设并发连接数的报文会话，对配网指令防篡改装置进行报文验签，并对验签通过后的会话数进行测试，以记录最大测试会话数；
15.签名速率测试子模块，用于基于第二预设并发连接数的待签名报文，对配网指令防篡改装置进行签名速率测试，并变更第二预设并发连接数，以测试多种并发连接数时对应的签名速率；
16.解签速率测试子模块，用于基于第三预设并发连接数的已签名报文，对配网指令防篡改装置进行解签速率测试，并变更第三预设并发连接数，以测试多种并发连接数时对应的解签速率。
17.作为优选，最大并发连接数测试子模块，包括：
18.基于透明接入方式的最大并发连接数测试单元，用于模拟客户端和服务端，通过客户端封装报文，并与服务端建立第一预设并发连接数的报文会话，再基于报文会话，对配网指令防篡改装置进行报文验签，以及基于二叉树法，对验签通过后的会话数进行测试，以记录最大测试会话数；
19.基于调用sdk方式的最大并发连接数测试单元，用于封装报文，并与配网指令防篡改装置建立第一预设并发连接数的报文会话，再基于报文会话，对配网指令防篡改装置进行报文验签，以及基于二叉树法，对验签通过后的会话数进行测试，以记录最大测试会话数。
20.作为优选，签名速率测试子模块，包括：
21.基于透明接入方式的签名速率测试单元，用于模拟客户端和服务端，通过客户端初始化待签名报文，并与服务端建立第二预设并发连接数的报文会话，再基于待签名报文，对配网指令防篡改装置进行签名速率测试，以及变更第二预设并发连接数，以测试多种并发连接数时对应的签名速率；
22.基于调用sdk方式的签名速率测试单元，用于封装待签名报文，并与配网指令防篡改装置建立第二预设并发连接数的报文会话，再基于待签名报文，对配网指令防篡改装置进行签名速率测试，以及变更第二预设并发连接数，以测试多种并发连接数时对应的签名速率。
23.作为优选，解签速率测试子模块，包括：
24.基于透明接入方式的解签速率测试单元，用于模拟客户端和服务端，通过客户端初始化已签名报文，并与服务端建立第三预设并发连接数的报文会话，再基于已签名报文，对配网指令防篡改装置进行解签速率测试，以及变更第三预设并发连接数，以测试多种并发连接数时对应的解签速率；
25.基于调用sdk方式的解签速率测试单元，用于封装已签名报文，并与配网指令防篡改装置建立第三预设并发连接数的报文会话，再基于已签名报文，对配网指令防篡改装置进行解签速率测试，以及变更第三预设并发连接数，以测试多种并发连接数时对应的解签速率。
26.作为优选，通信模拟测试模块，包括：
27.通信环境模拟子模块，用于模拟配网主站和配网终端，以及模拟配网主站与配网终端之间的通信环境，通信环境用于传输配网主站与配网终端之间的通信数据；
28.系统性能测试子模块，用于基于配网主站、配网终端和通信环境，测试配网指令防篡改装置对配网业务的性能影响。
29.作为优选，系统性能测试子模块，包括：
30.终端测试子模块，用于通过dock技术，基于通信环境模拟子模块模拟的多个配网终端，将配网终端接入到配网指令防篡改装置，以测试配网指令防篡改装置对海量配网终端的接入性能；
31.雪崩测试子模块，用于通过配网终端模拟通信数据，并配置通信数据的数据变化速率，以及基于通信环境传输通信数据，测试配网指令防篡改装置对通信数据的传输性能，通信数据包括遥信数据或遥测数据。
32.作为优选，通信模拟测试模块，还包括：
33.算例编辑子模块，用于配置配网终端的数量、数据点数、数据变化速率和结果模板中的至少一种。
34.本发明与现有技术相比，具备以下有益效果：
35.本发明通过提供一种配网指令防篡改装置的测试系统，包括与配网指令防篡改装置通信连接的单机测试装置和系统级测试装置，单机测试装置包括签名正确性验证模块和单机性能测试模块，以支持对防篡改装置的单机测试，系统级测试装置包括通信模拟测试模块，以支持对防篡改装置的系统级测试；通过签名正确性验证模块对配网指令防篡改装置的签名功能和解签功能进行正确性验证，通过性能测试模块测试配网指令防篡改装置的最大并发连接数、签名速率和解签速率中的至少一种，以及通过通信模拟测试模块，用于测试配网指令防篡改装置在通信模拟环境下的业务性能，以从单机和系统级两方面实现对防篡改装置的有效验证，降低防篡改装置对配网自动化系统的安全风险。
36.同时，本发明使单机测试和系统级测试均实现闭环测试，在测试过程中，数据模拟和结果采集均自动执行，无需人工干预，测试过程不会产生人为事件误差，确保测试结果可靠性。
附图说明
37.图1为本发明一实施例示出的配网指令防篡改装置的测试系统的结构示意图；
38.图2为本发明实施例示出的透明接入方式的连接示意图；
39.图3为本发明实施例示出的调用sdk方式的连接示意图；
40.图4为本发明实施例示出的系统级测试装置与防篡改装置的连接示意图；
41.图5为本发明另一实施例示出的配网指令防篡改装置的测试系统的结构示意图。
具体实施方式
42.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
43.请参照图1，图1为本发明实施例提供的一种配网指令防篡改装置的测试系统的结构示意图。本发明实施例的配网指令防篡改装置的测试系统可搭载于计算机设备，该计算
机设备包括但不限于笔记本电脑、平板电脑、桌上型计算机、物理服务器和云服务器等设备。如图1所示，本实施例的配网指令防篡改装置的测试系统，包括与配网指令防篡改装置(下称防篡改装置)通信连接的单机测试装置11和系统级测试装置12，所述单机测试装置11包括签名正确性验证模块111和单机性能测试模块112，所述系统级测试装置12包括通信模拟测试模块121；
44.所述签名正确性验证模块111，用于对所述配网指令防篡改装置的签名功能和解签功能进行正确性验证；
45.所述单机性能测试模块112，用于测试所述配网指令防篡改装置的最大并发连接数、签名速率和解签速率中的至少一种；
46.所述通信模拟测试模块121，用于测试配网指令防篡改装置在通信模拟环境下的业务性能，所述通信模拟环境为所述通信模拟测试模块模拟的配网主站与配网终端之间的通信环境。
47.在本实施例中，单机测试装置提供有国密芯片接口，支持基于国密算法的签名功能和解签功能的正确性验证。可选地，所述单机测试装置与所述配置指令防篡改装置的通信连接方式包括透明接入方式或调用软件开发工具包sdk方式。
48.如图2所示的透明接入方式的连接示意图，单机测试装置a模拟客户端a1和服务端a2，并通过透明接入方式形成客户端a1－防篡改装置b－服务端a2的通信链路。如图3所示的调用sdk方式的连接示意图，单机测试装置a通过调用防篡改装置b的sdk，以实现与防篡改装置的通信连接。如图4所示的系统级测试装置与防篡改装置的连接示意图，系统级测试装置c模拟配网主站c1和配网终端c2，与一对防篡改装置(b1和b2)以及相关网络设备、数据转发设备和安全设备d通信连接。
49.需要说明的是，本发明的单机测试装置通过模拟客户端和服务端，系统级测试装置通过模拟配网主站和配网终端，均形成闭环测试，以能够模拟数据发送和结果采集，而无需人工干预，实现准确和有效地验证防篡改装置对配网自动化系统的性能影响。
50.在一些实施例中，图5示出了另一种配网指令防篡改装置的测试系统的结构示意图。如图5所示，所述签名正确性验证模块111，包括签名功能验证子模块1111和解签功能验证子模块1112。
51.签名功能验证子模块1111，用于将待签名的第一报文发送至所述配网指令防篡改装置，并接收所述配网指令防篡改装置对所述第一报文进行签名后得到的第二报文，以及基于预设互签证书，对所述第二报文进行解签，以验证所述配网指令防篡改装置的签名功能。
52.在本子模块中，测试系统与防篡改装置互签证书，测试系统将待签名报文发送到防篡改装置，由防篡改装置签名后返回至测试系统，测试系统对防篡改装置签名后的报文进行解签，实现对签名正确性的验证。支持透明接入方式与调用sdk方式。
53.解签功能验证子模块1112，用于将基于预设互签证书对第三报文进行签名后的第四报文发送至所述配网指令防篡改装置，并接收所述配网指令防篡改装置对所述第四报文进行解签后得到的第五报文，以及对所述第五报文与所述第三报文进行对比，以验证所述配网指令防篡改装置的解签功能。
54.在本子模块中，测试系统与防篡改装置互签证书，测试系统对报文进行签名，并将
签名后的报文发送到防篡改装置，由防篡改装置解签后返回至测试系统，测试系统对解签后的报文进行比对，实现对解签正确性的验证。支持透明接入方式与调用sdk方式。
55.在一些实施例中，如图5所示，所述单机性能测试模块112，包括最大并发连接数测试子模块1121、签名速率测试子模块1122和解签速率测试子模块1123。
56.最大并发连接数测试子模块1121，用于基于第一预设并发连接数的报文会话，对所述配网指令防篡改装置进行报文验签，并对验签通过后的会话数进行测试，以记录最大测试会话数。
57.在本子模块中，包括基于透明接入方式的最大并发连接数测试单元和基于调用sdk方式的最大并发连接数测试单元。
58.基于透明接入方式的最大并发连接数测试单元，用于模拟客户端和服务端，通过所述客户端封装报文，并与所述服务端建立所述第一预设并发连接数的报文会话，再基于所述报文会话，对所述配网指令防篡改装置进行报文验签，以及基于二叉树法，对验签通过后的会话数进行测试，以记录最大测试会话数。
59.示例性地，测试系统的两端分别模拟客户端与服务端，客户端封装待签名报文(报文字节可设，如128字节)，与服务器端建立2000条链接(报文会话)，通过防篡改装置进行报文验签，基于超时时间设置为5秒，测试时间10分钟，验证服务端报文异常情况，若服务端报文无异常，则表示测试通过。通过后增加会话数目，基于设定的递增跨度，通过二叉树法进行测试，记录最大测试会话数。
60.基于调用sdk方式的最大并发连接数测试单元，用于封装报文，并与所述配网指令防篡改装置建立所述第一预设并发连接数的报文会话，再基于所述报文会话，对所述配网指令防篡改装置进行报文验签，以及基于二叉树法，对验签通过后的会话数进行测试，以记录最大测试会话数。
61.示例性地，测试系统封装待签名报文，并与防篡改装置建立2000条报文会话(2000条session)，通过调用的防篡改装置sdk进行报文验签，基于超时时间设置为5秒，测试时间10分钟，检查sdk返回的报文正确性，判断测试是否通过。若通过后增加会话数目，基于设定的递增跨度，通过二叉树法进行测试，记录最大测试会话数。
62.签名速率测试子模块1122，用于基于第二预设并发连接数的待签名报文，对所述配网指令防篡改装置进行签名速率测试，并变更所述第二预设并发连接数，以测试多种并发连接数时对应的签名速率。
63.在本子模块中，包括基于透明接入方式的签名速率测试单元和基于调用sdk方式的签名速率测试单元。
64.基于透明接入方式的签名速率测试单元，用于模拟客户端和服务端，通过所述客户端初始化所述待签名报文，并与所述服务端建立所述第二预设并发连接数的报文会话，再基于所述待签名报文，对所述配网指令防篡改装置进行签名速率测试，以及变更所述第二预设并发连接数，以测试多种并发连接数时对应的签名速率。
65.示例性地，测试系统的两端分别模拟客户端与服务端，客户端初始化待签名测试报文(如256字节)，并与服务器端建立2000条报文会话，通过防篡改装置进行报文签名，基于超时时间设置为5秒，共签名8，000，000次，记录总用时，确定防篡改装置报文签名速率＝8，000，000次/总用时。改变并发连接数，测试不同并发数下的签名速率。
66.基于调用sdk方式的签名速率测试单元，用于封装所述待签名报文，并与所述配网指令防篡改装置建立所述第二预设并发连接数的报文会话，再基于所述待签名报文，对所述配网指令防篡改装置进行签名速率测试，以及变更所述第二预设并发连接数，以测试多种并发连接数时对应的签名速率。
67.示例性地，测试系统封装待签名报文，并与防篡改装置建立2000条会话(2000条session)，通过调用的防篡改装置sdk进行报文签名，基于超时时间设置为5秒，共签名8，000，000次，记录总用时，确定防篡改装置报文签名速率＝8，000，000次/总用时。改变并发连接数，测试不同并发数下的签名速率。
68.解签速率测试子模块1123，用于基于第三预设并发连接数的已签名报文，对所述配网指令防篡改装置进行解签速率测试，并变更所述第三预设并发连接数，以测试多种并发连接数时对应的解签速率。
69.在本子模块中，包括基于透明接入方式的解签速率测试单元和基于调用sdk方式的解签速率测试单元。
70.基于透明接入方式的解签速率测试单元，用于模拟客户端和服务端，通过所述客户端初始化所述已签名报文，并与所述服务端建立所述第三预设并发连接数的报文会话，再基于所述已签名报文，对所述配网指令防篡改装置进行解签速率测试，以及变更所述第三预设并发连接数，以测试多种并发连接数时对应的解签速率。
71.示例性地，测试系统的两端分别模拟客户端与服务端，客户端初始化已签名报文(如256字节)，并与服务端建立2000条链接，通过防篡改装置进行报文解签，基于超时时间设置为5秒，共签名8，000，000次，记录总用时，确定防篡改装置报文解签速率＝8，000，000次/总用时。改变并发连接数，测试不同并发数下的解签速率。
72.基于调用sdk方式的解签速率测试单元，用于封装所述已签名报文，并与所述配网指令防篡改装置建立所述第三预设并发连接数的报文会话，再基于所述已签名报文，对所述配网指令防篡改装置进行解签速率测试，以及变更所述第三预设并发连接数，以测试多种并发连接数时对应的解签速率。
73.示例性地，测试系统封装签名报文，并与防篡改装置建立2000条会话(2000条session)，通过调用的防篡改装置sdk进行报文解签，基于超时时间设置为5秒，共签名8，000，000次，记录总用时，确定防篡改装置报文解签速率＝8，000，000次/总用时。改变并发连接数，测试不同并发数下的解签速率。
74.在一些实施例中，如图5所示，所述通信模拟测试模块121，包括：
75.通信环境模拟子模块1211，用于模拟所述配网主站和所述配网终端，以及模拟所述配网主站与所述配网终端之间的通信环境，所述通信环境用于传输所述配网主站与所述配网终端之间的通信数据；
76.系统性能测试子模块1212，用于基于所述配网主站、所述配网终端和所述通信环境，测试所述配网指令防篡改装置对配网业务的性能影响。
77.算例编辑子模块1213，用于配置所述配网终端的数量、数据点数、数据变化速率和结果模板中的至少一种；
78.规约解析子模块1214，用于根据所述算例编辑子模块配置的参数，对报文进行模拟和规约解析。
79.在本实施例中，主要模拟配网主站和配网终端，支持配网防篡改闭环测试。配网模拟终端将遥测数据或遥信数据通过被测的一对防篡改装置及相关的网络设备和安全设备后，返回到模拟的配网主站；同样，模拟的配网主站可模拟遥控数据发送到配网终端。本实施例可测试防篡改装置对配网业务功能的支持情况和对业务数据性能的影响，支持防篡改装置主备切换功能测试。
80.在一些实施例中，所述系统性能测试子模块1212，包括终端测试子模块和雪崩测试子模块。
81.终端测试子模块，用于通过dock技术，基于所述通信环境模拟子模块模拟的多个配网终端，将所述配网终端接入到所述配网指令防篡改装置，以测试所述配网指令防篡改装置对海量配网终端的接入性能。
82.在本子模块中，通过dock技术，实现海量配网终端的模拟，验证防篡改装置对海量配网终端的接入能力。可选地，终端模拟数量可达15000台，每台终端数据点数可达500点。
83.雪崩测试子模块，用于通过所述配网终端模拟通信数据，并配置所述通信数据的数据变化速率，以及基于所述通信环境传输所述通信数据，测试所述配网指令防篡改装置对所述通信数据的传输性能，所述通信数据包括遥信数据或遥测数据。
84.在本子模块中，可对海量配网模拟终端进行数据模拟，支持分站点配置遥信、遥测、soe变化速率，可按比例模拟常规站点和雪崩站点。支持测试防篡改装置对极端条件下的数据加解签支撑能力。可对数据发送和接受情况进行统计，计算不同场景下的数据丢失情况。
85.在本发明所提供的几个实施例中，可以理解的是，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意的是，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。
86.所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台终端设备执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read－only memory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
87.以上所述的具体实施例，对本发明的目的、技术方案和有益效果进行了进一步的详细说明，应当理解，以上所述仅为本发明的具体实施例而已，并不用于限定本发明的保护范围。特别指出，对于本领域技术人员来说，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。