YD/T 2874-2015
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YD/T 2874-2015.Testing methods for security gateway in LTE network.
1范围
YD/T 2874规定了LTE无线网络环境中安全网关设备或系统的接口测试、功能测试、协议测试、网管测试、可靠性测试和常规测试。
YD/T 2874适用于对LTB无线网络环境中的安全网关设备的测试。
2术语和定 义
下列术语和定义适用于本文件。
2.1安全网关 Security Gateway
部署在EPC及E-UTRAN之间的设备,负责对传输的信息进行加密、过滤等功能。
2.2包过滤 Packet Filtering
通过检查包头内容来控制访问的过程。
2.3拒绝服务攻击 Denial of Service
利用协议缺陷,发送大量伪造的连接请求,从而使得被攻击方资源耗尽的攻击方式。
3缩略语
下列缩略语适用于本文件。
AH Authentication Head 认证报头协议
Bps Bit per second 每秒比特率
CA Certification Authority 数字证书认证中心
CPE Customer Premise Equipment 用户端设备
CRL Certificate Revocation List 证书吊销列表
DoS Denial of Service 拒绝服务攻击
4测试基本要求
4.1测试环境
如果被测设备对测试环境有特殊要求,应在规定的测试环境下测试。如无特殊测试环境要求,则应在以下环境下测试。
4.1.1温度
被测SeGW应在23±5°C的温度下进行测试。
4.1.2 湿度
被测SeGW应在30%~75%RH的相对湿度下进行测试。
4.1.3大气压
被测设备应在86~106kPa的大气压下进行测试。
1范围
YD/T 2874规定了LTE无线网络环境中安全网关设备或系统的接口测试、功能测试、协议测试、网管测试、可靠性测试和常规测试。
YD/T 2874适用于对LTB无线网络环境中的安全网关设备的测试。
2术语和定 义
下列术语和定义适用于本文件。
2.1安全网关 Security Gateway
部署在EPC及E-UTRAN之间的设备,负责对传输的信息进行加密、过滤等功能。
2.2包过滤 Packet Filtering
通过检查包头内容来控制访问的过程。
2.3拒绝服务攻击 Denial of Service
利用协议缺陷,发送大量伪造的连接请求,从而使得被攻击方资源耗尽的攻击方式。
3缩略语
下列缩略语适用于本文件。
AH Authentication Head 认证报头协议
Bps Bit per second 每秒比特率
CA Certification Authority 数字证书认证中心
CPE Customer Premise Equipment 用户端设备
CRL Certificate Revocation List 证书吊销列表
DoS Denial of Service 拒绝服务攻击
4测试基本要求
4.1测试环境
如果被测设备对测试环境有特殊要求,应在规定的测试环境下测试。如无特殊测试环境要求,则应在以下环境下测试。
4.1.1温度
被测SeGW应在23±5°C的温度下进行测试。
4.1.2 湿度
被测SeGW应在30%~75%RH的相对湿度下进行测试。
4.1.3大气压
被测设备应在86~106kPa的大气压下进行测试。
标准图片预览
标准内容
ICS33.040
中华人民共和国通信行业标准
YD/T2874-2015
LTE无线网络安全网关测试方法
Testing methods for security gateway in LTE network2015-07-14发布
2015-10-01实施
中华人民共和国工业和信息化部发布前
范围·
术语和定义·
缩略语
测试基本要求
测试环境·
测量仪表·
供电电源
功能测试
测试拓扑图
PKI功能测试·
VPN功能测试
攻击防范功能测试·
路由支持功能测试·
IPv6功能测试
地址转换功能测试·
可靠性功能测试
配置管理功能测试·
日志告警测试
6性能测试
6.1IPSec并发连接数与新建连接数测试数测试:6.2IPSec吞吐量和时延测试
参考文献
YD/T2874-2015
YD/T2874-2015
本标准是LTE无线网络安全网关系列标准之一。该系列标准的名称如下:a)《LTE无线网络安全网关技术要求》:b)YD/T2874《LTE无线网络安全网关测试方法》。本标准按照GB/T1.1-2009给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由中国通信标准化协会提出并归口。本标准起草单位:北京交通大学、华为技术有限公司、中国联合网络通信集团有限公司。本标准主要起草人:吴昊、黄敏、张东、王光全、夏俊杰、马铮、白晓媛。I
1范围
LTE无线网络安全网关测试方法
YD/T2874-2015
本标准规定了LTE无线网络环境中安全网关设备或系统的接口测试、功能测试,协议测试、网管测试、可靠性测试和常规测试。
本标准适用于对LTE无线网络环境中的安全网关设备的测试。2术语和定义
下列术语和定义适用于本文件。2.1
安全网关SecurityGateway
部署在EPC及E-UTRAN之间的设备,负责对传输的信息进行加密、过滤等功能。2.2
包过滤PacketFiltering
通过检查包头内容来控制访问的过程。2.3
拒绝服务攻击Denialof Service利用协议缺陷,发送大量伪造的连接请求,从而使得被攻击方资源耗尽的攻击方式3缩略语
下列缩略语适用于本文件。
Authentication Head
Bit per second
Certification Authority
Customer Premise Equipment
Certificate Revocation List
Denial of Service
Device Under Test
Evolved Packet Core
EncapsulatingSecurityPayloadFile Transfer Protocol
GPRSTunnelingProtocol
Internet Key Exchange
IP SecurityProtocol
Mobility Management Entity
认证报头协议
每秒比特率
数字证书认证中心
用户端设备
证书吊销列表
拒绝服务攻击
被测设备
演进核心网
封装安全载荷
文件传输协议
GPRS隧道协议
因特网密钥交换协议
因特网安全协议
移动性管理实体
YD/T2874-2015
PublicKey Infrastructure
SimpleCertificateEnrollmentProtocolStreamControlTransmissionProtocolSecure Gateway
Serving Gateway
Simple Network Management ProtocolVirtual PrivateNetwork
4测试基本要求
4.1测试环境
公钥基础设施
简单证书注册协议
流控传输协议
安全网关
服务网关
简单网络管理协议
虚拟专用网
如果被测设备对测试环境有特殊要求,应在规定的测试环境下测试。如无特殊测试环境要求,则应在以下环境下测试。
4.1.1温度
被测SeGW应在23±5℃的温度下进行测试。4.1.2湿度
被测SeGW应在30%~75%RH的相对湿度下进行测试。4.1.3大气压
被测设备应在86~106kPa的大气压下进行测试。4.1.4电压
直流供电设备:对使用一48V的被测设备,应选择一54V±1V直流进行测试。对使用其他直流电压等级的被测设备,应选择额定输入电压进行测试,直流电压允许偏差±2%。交流供电设备:应在交流220V±1%,50Hz±1%条件下测试。4.2测量仪表
对测量仪表要求如下:
a)≥80kHz的输入带宽:
b)交流电压表准确度不低于1%:直流电压表准确度不低于±0.5%;c)峰值因数≥5。
4.3供电电源
1)直流电源:电压波动率≤2%,纹波电压≤3%。2)交流电源:电压和频率波动率≤1%,239次总谐波失真≤5%。5功能测试
5.1测试拓扑图
在CEI和PE之间布置安全网关SeGW,并通过CEI与Switch相连。CA服务器分别连接eNodeB和SeGW。测试结构拓扑如图1所示。
eNodeB
5.2PKI功能测试
CA服务器
Switch
5.2.1证书申请、更新功能测试
测试项目
测试内容
测试准备
测试步骤
预期结果
IPLink
图1测试拓扑
证书申请、更新功能测试
能够成功的进行证书的申请、更新等功能1.SeGW工作正常;
2.SeGw开启CRL验证
YD/T2874-2015
3.SeGW与CA、CRL服务器可正常通信:并且CA、CRL服务器支持SCEP协议1.首先配置PKI域:
2.使用SCEP协议在线申请CA/RA证书:3.安装CA/RA证书,安装本地证书:4.手动下载CRL;
5.验证证书有效性
1.命令查看证书配置文件是否存在;2.验证步骤5中证书是否有效
YD/T2874-2015
5.2.2PKI删除证书和吊销列表功能测试测试项目
测试内容
测试准备
测试步骤
预期结果
验证删除证书和吊销列表功能
SeGW删除证书和吊销列表功能可用1.SeGW工作正常:
2.SeGw开启CRL验证:
3.SeGW与CA、CRL服务器可正常通信,并且CA、CRL服务器支持SCEP协议1.将证书和CRL加载到SeGW;
2.在SeGW上执行PKI删除证书和证书吊销列表的命令:3.在SeGW上执行moreca_config.ini来检查是否已经删除1.加载证书和CRL成功:
2.删除命令下发成功:
3.证书已经被删除
5.2.3交叉证书管理功能测试
测试项目
测试内容
测试准备
测试步骤
预期结果
交叉证书管理功能测试
能够成功的进行交叉证书管理功能1.SeGW工作正常:
2.SeGw开启CRL验证:
3SeGW与CA、CRL服务器可正常通信,并且CA、CRL服务器支持SCEP协议1.首先配置PKI域:
2.使用SCEP协议在线申请CA/RA证书:3.安装CA/RA证书;
4.安装经过本地CA认证的交叉CA公钥证书:5.安装交叉CA认证的本地证书;6.验证证书有效性
1.命令查看证书配置文件是否存在:2.验证步骤6中证书是否有效。5.2.4PKI使用证书属性过滤功能测试测试项目
测试内容
测试准备
测试步骤
预期结果
验证证书属性过滤功能
证书控制策略可以验证协商中证书的有效性1.SeGW工作正常:
2.SeGw开启CRL验证:
YD/T2874-2015
3.SeGW与CA、CRL服务器可正常通信,并且CA、CRL服务器支持SCEP协议1.IPSEC基本功能,生成本地证书,将CA证书,本地证书和CRL导入到内存中:2.IPSEC基本功能,使Enodeb上线,SeGW配置证书策略为符合Enodebdn字段,检查IPSec隧道是否建立成功:
3.IPSEC基本功能,配置证书策略为不符合Enodebdn字段,检查IPSec隧道是否建立成功
1.证书和CRL导入到内存成功;
2.Enodeb可以正常建立隧道,业务转发正常:3.Enodeb隧道建立失败
5.2.5在线更新/增加证书业务不中断功能测试测试项目
测试内容
测试准备
测试步骤
预期结果
在线更新/增加证书业务不中断功能测试能够成功的进行在线更新/增加证书业务不中断功能1.SeGW工作正常;wwW.bzxz.Net
2.SeGw开启CRL验证;
3.SeGW与CA、CRL服务器可正常通信,并且CA、CRL服务器支持SCEP协议在线更新/增加证书过程中,检查业务是否受到影响检查业务正常,未受影响,SeGW下载证书正常5.2.6使用SCEP下载证书/CRL
测试项目
测试内容
测试准备
测试步骤
预期结果
测试SCEP下载证书/CRL功能
测试SCEP下载证书/CRL功能
1.SeGW工作正常:
2.SeGw开启CRL验证:
3.SeGW与CA、CRL服务器可正常通信,并且CA、CRL服务器支持SCEP协议1.配置PKI实体信息:
2.配置PKI域信息参数(含根证书指纹和url路径等):3.使用SCEP下载CA/RA证书:
4.使用SCEP分别使用带外挑战字和无挑战字两种情况下载本地证书:5.使用SCEP下载CRL测试
CA/RA证书,本地证书和CRL均正常下载5
YD/T2874-2015
5.2.7使用CMP颁发证书
测试项目
测试内容
测试准备
测试步骤
预期结果
使用CMP颁发证书
测试CMPIR,CRKUR申请证书的功能SeGW工作正常:
SeGw开启CRL验证:
SeGW与CA、CRL服务器可正常通信,并且CA服务器支持CMP协议。1.创建CMP会话信息
2.使用消息认证码的方式IR向CMP服务器申请本地证书3.使用下载的IR证书作为认证证书,进行CR证书申请4.配置密钥重生成长度,使用KUR方式更新证书三种方式下载证书功能正常
5.3IPSecVPN功能测试
5.3.1IPSec基本功能测试
测试项目
测试内容
测试准备
测试步骤
预期结果
IPSecVPN功能要求测试
SeGW支持IPSecVPN
1.SeGW、eNodeB和服务器工作正常:2.SeGW、eNodeB和服务器之间可正常通信1.eNodeB连上服务器,中间穿过SeGW:2.eGW上配置证书、保护的数据流等相关信息,观察是否建立IPSec隧道eNodeB与SeGW之间能根据配置建立起相应的IPSec隧道5.3.2IKEv1基本功能测试
测试项目
测试内容
测试准备
测试步骤
预期结果
IKEv1基本功能测试
SeGW支持IKEvl功能
1.SeGW、eNodeB和服务器工作正常;2.SeGW、eNodeB和服务器之间可正常通信I:eNodeB连接SeGW建立IKEvl的隧道:2.配置流量和时间重协商参数,观察重协商功能是否正常:3.配置DPD参数,观察隧道异常时,dpd功能是否生效:4.配置PFS参数,检查协商时是否受影响以上功能完全按照RFC标准实现,满足功能需求
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国通信行业标准
YD/T2874-2015
LTE无线网络安全网关测试方法
Testing methods for security gateway in LTE network2015-07-14发布
2015-10-01实施
中华人民共和国工业和信息化部发布前
范围·
术语和定义·
缩略语
测试基本要求
测试环境·
测量仪表·
供电电源
功能测试
测试拓扑图
PKI功能测试·
VPN功能测试
攻击防范功能测试·
路由支持功能测试·
IPv6功能测试
地址转换功能测试·
可靠性功能测试
配置管理功能测试·
日志告警测试
6性能测试
6.1IPSec并发连接数与新建连接数测试数测试:6.2IPSec吞吐量和时延测试
参考文献
YD/T2874-2015
YD/T2874-2015
本标准是LTE无线网络安全网关系列标准之一。该系列标准的名称如下:a)《LTE无线网络安全网关技术要求》:b)YD/T2874《LTE无线网络安全网关测试方法》。本标准按照GB/T1.1-2009给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由中国通信标准化协会提出并归口。本标准起草单位:北京交通大学、华为技术有限公司、中国联合网络通信集团有限公司。本标准主要起草人:吴昊、黄敏、张东、王光全、夏俊杰、马铮、白晓媛。I
1范围
LTE无线网络安全网关测试方法
YD/T2874-2015
本标准规定了LTE无线网络环境中安全网关设备或系统的接口测试、功能测试,协议测试、网管测试、可靠性测试和常规测试。
本标准适用于对LTE无线网络环境中的安全网关设备的测试。2术语和定义
下列术语和定义适用于本文件。2.1
安全网关SecurityGateway
部署在EPC及E-UTRAN之间的设备,负责对传输的信息进行加密、过滤等功能。2.2
包过滤PacketFiltering
通过检查包头内容来控制访问的过程。2.3
拒绝服务攻击Denialof Service利用协议缺陷,发送大量伪造的连接请求,从而使得被攻击方资源耗尽的攻击方式3缩略语
下列缩略语适用于本文件。
Authentication Head
Bit per second
Certification Authority
Customer Premise Equipment
Certificate Revocation List
Denial of Service
Device Under Test
Evolved Packet Core
EncapsulatingSecurityPayloadFile Transfer Protocol
GPRSTunnelingProtocol
Internet Key Exchange
IP SecurityProtocol
Mobility Management Entity
认证报头协议
每秒比特率
数字证书认证中心
用户端设备
证书吊销列表
拒绝服务攻击
被测设备
演进核心网
封装安全载荷
文件传输协议
GPRS隧道协议
因特网密钥交换协议
因特网安全协议
移动性管理实体
YD/T2874-2015
PublicKey Infrastructure
SimpleCertificateEnrollmentProtocolStreamControlTransmissionProtocolSecure Gateway
Serving Gateway
Simple Network Management ProtocolVirtual PrivateNetwork
4测试基本要求
4.1测试环境
公钥基础设施
简单证书注册协议
流控传输协议
安全网关
服务网关
简单网络管理协议
虚拟专用网
如果被测设备对测试环境有特殊要求,应在规定的测试环境下测试。如无特殊测试环境要求,则应在以下环境下测试。
4.1.1温度
被测SeGW应在23±5℃的温度下进行测试。4.1.2湿度
被测SeGW应在30%~75%RH的相对湿度下进行测试。4.1.3大气压
被测设备应在86~106kPa的大气压下进行测试。4.1.4电压
直流供电设备:对使用一48V的被测设备,应选择一54V±1V直流进行测试。对使用其他直流电压等级的被测设备,应选择额定输入电压进行测试,直流电压允许偏差±2%。交流供电设备:应在交流220V±1%,50Hz±1%条件下测试。4.2测量仪表
对测量仪表要求如下:
a)≥80kHz的输入带宽:
b)交流电压表准确度不低于1%:直流电压表准确度不低于±0.5%;c)峰值因数≥5。
4.3供电电源
1)直流电源:电压波动率≤2%,纹波电压≤3%。2)交流电源:电压和频率波动率≤1%,239次总谐波失真≤5%。5功能测试
5.1测试拓扑图
在CEI和PE之间布置安全网关SeGW,并通过CEI与Switch相连。CA服务器分别连接eNodeB和SeGW。测试结构拓扑如图1所示。
eNodeB
5.2PKI功能测试
CA服务器
Switch
5.2.1证书申请、更新功能测试
测试项目
测试内容
测试准备
测试步骤
预期结果
IPLink
图1测试拓扑
证书申请、更新功能测试
能够成功的进行证书的申请、更新等功能1.SeGW工作正常;
2.SeGw开启CRL验证
YD/T2874-2015
3.SeGW与CA、CRL服务器可正常通信:并且CA、CRL服务器支持SCEP协议1.首先配置PKI域:
2.使用SCEP协议在线申请CA/RA证书:3.安装CA/RA证书,安装本地证书:4.手动下载CRL;
5.验证证书有效性
1.命令查看证书配置文件是否存在;2.验证步骤5中证书是否有效
YD/T2874-2015
5.2.2PKI删除证书和吊销列表功能测试测试项目
测试内容
测试准备
测试步骤
预期结果
验证删除证书和吊销列表功能
SeGW删除证书和吊销列表功能可用1.SeGW工作正常:
2.SeGw开启CRL验证:
3.SeGW与CA、CRL服务器可正常通信,并且CA、CRL服务器支持SCEP协议1.将证书和CRL加载到SeGW;
2.在SeGW上执行PKI删除证书和证书吊销列表的命令:3.在SeGW上执行moreca_config.ini来检查是否已经删除1.加载证书和CRL成功:
2.删除命令下发成功:
3.证书已经被删除
5.2.3交叉证书管理功能测试
测试项目
测试内容
测试准备
测试步骤
预期结果
交叉证书管理功能测试
能够成功的进行交叉证书管理功能1.SeGW工作正常:
2.SeGw开启CRL验证:
3SeGW与CA、CRL服务器可正常通信,并且CA、CRL服务器支持SCEP协议1.首先配置PKI域:
2.使用SCEP协议在线申请CA/RA证书:3.安装CA/RA证书;
4.安装经过本地CA认证的交叉CA公钥证书:5.安装交叉CA认证的本地证书;6.验证证书有效性
1.命令查看证书配置文件是否存在:2.验证步骤6中证书是否有效。5.2.4PKI使用证书属性过滤功能测试测试项目
测试内容
测试准备
测试步骤
预期结果
验证证书属性过滤功能
证书控制策略可以验证协商中证书的有效性1.SeGW工作正常:
2.SeGw开启CRL验证:
YD/T2874-2015
3.SeGW与CA、CRL服务器可正常通信,并且CA、CRL服务器支持SCEP协议1.IPSEC基本功能,生成本地证书,将CA证书,本地证书和CRL导入到内存中:2.IPSEC基本功能,使Enodeb上线,SeGW配置证书策略为符合Enodebdn字段,检查IPSec隧道是否建立成功:
3.IPSEC基本功能,配置证书策略为不符合Enodebdn字段,检查IPSec隧道是否建立成功
1.证书和CRL导入到内存成功;
2.Enodeb可以正常建立隧道,业务转发正常:3.Enodeb隧道建立失败
5.2.5在线更新/增加证书业务不中断功能测试测试项目
测试内容
测试准备
测试步骤
预期结果
在线更新/增加证书业务不中断功能测试能够成功的进行在线更新/增加证书业务不中断功能1.SeGW工作正常;wwW.bzxz.Net
2.SeGw开启CRL验证;
3.SeGW与CA、CRL服务器可正常通信,并且CA、CRL服务器支持SCEP协议在线更新/增加证书过程中,检查业务是否受到影响检查业务正常,未受影响,SeGW下载证书正常5.2.6使用SCEP下载证书/CRL
测试项目
测试内容
测试准备
测试步骤
预期结果
测试SCEP下载证书/CRL功能
测试SCEP下载证书/CRL功能
1.SeGW工作正常:
2.SeGw开启CRL验证:
3.SeGW与CA、CRL服务器可正常通信,并且CA、CRL服务器支持SCEP协议1.配置PKI实体信息:
2.配置PKI域信息参数(含根证书指纹和url路径等):3.使用SCEP下载CA/RA证书:
4.使用SCEP分别使用带外挑战字和无挑战字两种情况下载本地证书:5.使用SCEP下载CRL测试
CA/RA证书,本地证书和CRL均正常下载5
YD/T2874-2015
5.2.7使用CMP颁发证书
测试项目
测试内容
测试准备
测试步骤
预期结果
使用CMP颁发证书
测试CMPIR,CRKUR申请证书的功能SeGW工作正常:
SeGw开启CRL验证:
SeGW与CA、CRL服务器可正常通信,并且CA服务器支持CMP协议。1.创建CMP会话信息
2.使用消息认证码的方式IR向CMP服务器申请本地证书3.使用下载的IR证书作为认证证书,进行CR证书申请4.配置密钥重生成长度,使用KUR方式更新证书三种方式下载证书功能正常
5.3IPSecVPN功能测试
5.3.1IPSec基本功能测试
测试项目
测试内容
测试准备
测试步骤
预期结果
IPSecVPN功能要求测试
SeGW支持IPSecVPN
1.SeGW、eNodeB和服务器工作正常:2.SeGW、eNodeB和服务器之间可正常通信1.eNodeB连上服务器,中间穿过SeGW:2.eGW上配置证书、保护的数据流等相关信息,观察是否建立IPSec隧道eNodeB与SeGW之间能根据配置建立起相应的IPSec隧道5.3.2IKEv1基本功能测试
测试项目
测试内容
测试准备
测试步骤
预期结果
IKEv1基本功能测试
SeGW支持IKEvl功能
1.SeGW、eNodeB和服务器工作正常;2.SeGW、eNodeB和服务器之间可正常通信I:eNodeB连接SeGW建立IKEvl的隧道:2.配置流量和时间重协商参数,观察重协商功能是否正常:3.配置DPD参数,观察隧道异常时,dpd功能是否生效:4.配置PFS参数,检查协商时是否受影响以上功能完全按照RFC标准实现,满足功能需求
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。