中国移动网元OMC安全接入接口测试规范v1.0.2.doc

中国移动通信企业标准QB-中国移动网元OMC安全接入接口测试规范Test Specification for TD-OMC Security Interface for CMCC 版本号：1.0.0-实施-发布中国移动通信集团公司 发布目录1范围32规范性引用文件33术语、定义和缩略语44测试说明45帐号管理接口测试45.1帐号查询接口测试45.2帐号添加接口测试55.3帐号删除接口测试55.4帐号属性修改接口测试65.5帐号角色查询接口测试75.6口令信息加密测试86单点登录97审计测试97.1审计日志内容97.2日志采集接口97.3SYSLOG接口98运行性能要求测试98.1性能测试99编制历史10前 言本规范是依据中国移动集团TD网OMC安全接入接口技术规范对TD网OMC安全接入接口提出的技术要求，提出了TD网OMC安全接入接口的测试实验环境，对系统功能、性能等提出了具体的测试内容和测试方法，是中国移动进行OMC安全接入接口测试的依据。本方案起草单位：中国移动研究院、中国移动网络部本方案主要起草人： 李祥军、周智、陈敏时、刘利军、何申1 范围本规范依据中国移动集团TD网OMC安全接入接口技术规范规定了TD网OMC安全接入接口的测试方法以及测试内容，作为中国移动TD网OMC安全接入接口测试的参考性文件。2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。1中国移动帐号口令集中管理系统功能与技术规范中国移动通信有限公司2中国移动日志集中管理与审计系统功能与技术规范中国移动通信有限公司3中国移动综合维护接入平台功能与技术规范中国移动通信有限公司4中国移动支撑系统集中帐号管理、认证、授权与审计（4A）技术要求中国移动通信有限公司5中国移动集团TD网OMC安全接入接口技术规范中国移动通信有限公司6中国移动管理信息系统统一用户目录模式（LDAP Schema）技术规范 - 1.0.0.中国移动通信有限公司7中国移动网络安全管控平台统一用户目录模式（LDAP Schema）技术规范中国移动通信有限公司8中国移动南方基地应用资源与4A系统集成接口技术规范v1.0.0中国移动通信有限公司9RFC 4513 Lightweight Directory Access Protocol (LDAP): Authentication Methods and Security MechanismsRFC3 术语、定义和缩略语 参见中国移动集团TD网OMC安全接入接口技术规范。4 测试说明本规范主要涉及两类产品：一类是TD网OMC网元设备，做为安全接入的测试设备，符合中国移动集团TD网OMC安全接入接口技术规范中提到OMC侧各项要求；另一类是安全管控平台用于实现中国移动集团TD网OMC安全接入接口技术规范中所述的对OMC网元设备的管控。本规范针对上述两类产品规定了相应的测试环境。5 帐号管理接口测试5.1 帐号查询接口测试测试编号：5.1.1项 目：帐号管理接口测试分 项 目：帐号查询接口测试测试目的： 测试网络安全管控平台侧针对OMC侧帐号的同步接口，包括是否支持对OMC侧帐号的读取与查询功能；是否支持将读取到的帐号写入到OMC侧目录中测试项目包括：1. 支持对OMC侧帐号的读取；2. 支持对OMC侧帐号的查询；3. 支持对OMC侧帐号的同步；预置条件：1、 OMC侧资源工作正常；测试步骤：1、 检测OMC侧帐号信息；2、 在OMC侧对其帐号进行添加、修改、删除；3、 通过帐号管理接口进行帐号同步；预期结果：1、 通过帐号查询接口支持对OMC侧帐号的同步；2、 通过帐号查询接口支持对OMC侧帐号的查询；测试结果：测试项目测试结果帐号查询接口支持对OMC侧资源帐号的同步是/否 支持对OMC侧资源帐号的查询是/否备注：5.2 帐号添加接口测试测试编号：5.2.1项 目：帐号管理接口测试分 项 目：帐号添加接口测试测试目的： 测试网络安全管控平台侧针对OMC侧帐号的添加接口，包括是否支持对OMC侧帐号的添加功能；测试项目包括：1. 支持对OMC侧帐号的添加；预置条件：1、 OMC侧资源工作正常；测试步骤：1、 通过帐号添加接口添加OMC资源帐号；2、 帐号添加接口支持将此添加帐号送至OMC侧虚拟目录中；3、 通过OMC侧提供LDAP的接口查询帐号信息4、 检测OMC侧设备帐号库信息是否可添加此帐号；预期结果：1、 OMC侧提供LDAP的接口查询到的帐号信息与添加帐号信息一致；2、 OMC侧设备帐号库存在新添加帐号并且与添加信息一致；测试结果：测试项目测试结果帐号添加接口支持对OMC侧资源帐号的添加是/否 备注：5.3 帐号删除接口测试测试编号：5.3.1项 目：帐号管理接口测试分 项 目：帐号删除接口测试测试目的： 测试网络安全管控平台侧针对OMC侧帐号的删除接口，包括是否支持对OMC侧帐号的删除功能；测试项目包括：1. 支持对OMC侧帐号的删除；预置条件：1、 OMC侧资源工作正常；测试步骤：1、 通过帐号删除接口删除OMC资源帐号；2、 帐号删除接口支持将此删除帐号在OMC侧虚拟目录中删除；3、 通过OMC侧提供LDAP的接口查询帐号信息4、 检测OMC侧设备帐号库信息是否已删除此帐号；预期结果：1、 OMC侧提供LDAP的接口查询到的帐号信息不存在被删除帐号；2、 OMC侧设备帐号库不存在被删除帐号；测试结果：测试项目测试结果帐号删除接口支持对OMC侧资源帐号的删除是/否 备注：5.4 帐号属性修改接口测试测试编号：5.4.1项 目：帐号管理接口测试分 项 目：帐号属性修改接口测试测试目的： 测试网络安全管控平台侧针对OMC侧帐号的属性修改接口，包括是否支持对OMC侧帐号的密码修改功能测试项目包括：1. 支持对OMC侧帐号的密码修改；预置条件：1、 OMC侧资源工作正常；测试步骤：1、 通过帐号属性修改接口修改OMC侧资源帐号密码；2、 检测OMC侧提供的LDAP接口查询到帐号密码信息已改变；3、 检测OMC侧设备帐号库是否此帐号密码值改变；4、 以此帐号原密码登录OMC资源；5、 以此帐号修改后密码登录OMC资源；预期结果：1、 以帐号原密码登录OMC资源失败；2、 以帐号修改后密码登录OMC资源成功；测试结果：测试项目测试结果帐号属性修改接口支持对OMC侧资源帐号的密码的修改是/否 密码修改成功是/否备注：5.5 帐号角色查询接口测试测试编号：5.5.1项 目：帐号管理接口测试分 项 目：帐号角色查询修改接口测试测试目的： 测试网络安全管控平台侧针对OMC侧角色查询接口，包括是否支持OMC侧角色信息同步功能；测试项目包括：1. 支持对OMC侧帐号的角色信息同步；2. 支持对OMC侧帐号的角色发生变化后的信息同步；预置条件：1、 OMC侧资源工作正常；测试步骤：1、 通过帐号同步接口同步OMC侧虚拟目录角色信息；2、 查询同步的OMC帐号角色信息与OMC侧角色信息进行对比；预期结果：1、 同步的OMC侧角色信息与OMC侧帐号角色信息一致；测试结果：测试项目测试结果帐号角色查询接口支持对OMC侧资源帐号角色的查询是/否 备注：测试编号：5.5.2项 目：帐号管理接口测试分 项 目：帐号角色查询修改接口测试测试目的： 测试网络安全管控平台侧针对OMC侧角色查询接口，包括是否支持OMC侧角色信息同步功能；测试项目包括：1. 支持对OMC侧帐号的角色信息同步；2. 支持对OMC侧帐号的角色发生变化后的信息同步；预置条件：1、 OMC侧资源工作正常；测试步骤：1、 OMC侧修改帐号库角色信息；2、 OMC侧删除帐号库角色信息；3、 同步OMC侧虚拟目录角色信息并与OMC侧角色信息进行对比；预期结果：1、 同步的OMC侧帐号角色信息与OMC侧帐号角色信息一致；测试结果：测试项目测试结果帐号角色查询接口支持对OMC侧资源帐号角色修改后的查询是/否 支持对OMC侧资源帐号角色删除后的查询是/否备注：5.6 口令信息加密测试测试编号：5.6.1项 目：帐号管理接口测试分 项 目：帐号口令信息加密测试测试目的： 测试通过网络管控平台帐号修改接口修改的帐号密码在OMC侧帐号是否以密文形式保存测试项目包括：1. OMC侧帐号密码以密文形式保存；预置条件：1、 OMC侧资源工作正常；测试步骤：1、 通过帐号修改接口修改OMC侧资源帐号密码；2、 帐号以修改后的密码登录OMC侧资源；预期结果：1、 以帐号修改后密码登录成功；2、 OMC侧帐号库帐号密码以密文形式存储；测试结果：测试项目测试结果OMC侧帐号库帐号密码以密文形式存储是/否被修改密码帐号登录成功是/否备注：6 单点登录测试编号：6.1项 目：单点登录接口分 项 目：单点登录接口编号：测试目的：安全管控系统通过调用安装在桌面发布服务器上的OMC维护客户端，同时传递登录OMC维护客户端必须的参数，以这种方式打开OMC维护客户端软件，并实现单点登录以及多个用户同时调用。测试项目包括：1. 通过管控平台调用OMC维护客户端程序，通过参数传递ip、端口、用户名、密码，直接登入OMC维护客户端。2. 使用多个管控平台用户同时启动OMC维护客户端程序。预置条件： 创建可以登录系统的多个管控平台的用户；创建多个OMC上的用户，并授权给管控平台上的多个不同用户；测试步骤：1、在Citrix Delivery Services Console配置发布客户端应用程序2、从管控平台调用发布在Citrix上的客户端应用程序预期结果：1、 成功启动omc维护客户端应用程序2、 启动后即登录成功，显示客户端主界面3、 使用另外的管控平台用户登录管控平台并且通过另外的OMC用户启动OMC维护客户端测试结果：测试项目测试结果客户端单点登录成功启动客户端启动后即登录成功，显示客户端主界面多个用户可同时启动客户端是/否是/否是/否备注：7 审计测试7.1 SYSLOG接口测试编号：7.1项 目：审计类接口分 项 目：SYSLOG接口编号：测试目的： OMC应把日志通过SYSLOG协议，以UDP数据包发送到安全管控采集服务器的UDP514端口。SYSLOG消息包含PRI，MSG三部分。测试项目包括：1. MSG部分的检查预置条件：OMC将日志通过SYSLOG协议发送至安全管控系统采集服务器。Syslog服务器的编码格式应配置为UTF-8测试步骤：1、 检查MSG部分是否以key=“value”的形式顺序包含所有需要记录的变量预期结果：1、 MSG部分以key=“value”的形式顺序包含所有需要记录的变量测试结果：测试项目测试结果MSG部分是否以key=“value”的形式顺序包含所有需要记录的变量是/否备注：7.2 日志采集接口测试编号：7.2项 目：审计类接口分 项 目：日志采集接口测试目的：OMC将日志通过SYSLOG协议发送到安全管控系统，在OMC运行正常的情况下，日志应实时发送，最长延迟时间不超过5分钟。测试项目包括：安全管控系统5分钟之内收到OMC发送的实时日志。预置条件： 测试步骤：1、用户在OMC上做一系列的操作，在安全管控系统侧查看日志；2、对比OMC侧和安全管控系统侧日志。（此处只对比规范要求的审计日志的内容而不对比格式）预期结果：1、 5分钟内，在安全管控系统侧能收到OMC发送来的日志。2、 接收到的日志与OMC侧日志进行对比，规范要求的审计日志的内容同OMC日志内容一致。测试结果：测试项目测试结果日志采集接口是否5分钟之内收到日志日志内容是否一致是/否是/否 备注：7.3 审计日志内容测试编号：7.3项 目：审计类接口分 项 目：审计日志内容测试目的：对审计日志的内容进行测试，日志内应包含所有必选变量。测试项目包括：1. 日志中至少需包含但不限于如下变量：日志产生时间，从账号名称，OMC自身IP，用户端IP，用户操作类型，用户操作内容，操作结果。且变量的名称，取值格式，变量顺序都应正确。2. 不同的用户在不同的用户端进行各种操作，检查日志中能否正确记录。3. 登录操作OpType值必为“Login”，登出操作OpType值必为“Logout”。预置条件：测试步骤： 1、 在客户端1，输入一个正确的帐号密码，进行登录操作(或任何成功的操作)，查看审计日志2、 在客户端1，输入错误的帐号密码，进行登录操作(或任何失败的操作) ，查看审计日志3、 在客户端2，输入另外一个正确的帐号密码登录，进行能够成功的操作，查看审计日志4、 用户做登入操作。5、 用户做登出操作。预期结果：1、 审计日志中的log应为如下格式（后两项斜体为可选） LogTime=”; SubUser=”; IP=”; Sip=”; OpType=”; OpResult=”; OpText=”; DataCount=”; Duration=”“”中的变量值依据实际情况。2、 OpResult值为0，其它各值正确。3、 Sip为客户端2的IP，帐号名正确，OpResult值为1，其它各值正确。4、 OpType值为“Login”。5、 OpType值为“Logout”。测试结果：测试项目测试结果审计日志内容1. 各变量名称，格式，顺序，取值是否正确2. 各变量名称，格式，顺序，取值是否正确3. 各变量名称，格式，顺序，取值是否正确4. OpType值是否为”Login”5. OpType值是否为”Logout”是/否是/否 是/否是/否是/否备注： 8 运行性能要求测试8.1 性能测试测试编号：8.1.1项 目：运行性能要求测试分 项 目：性能测试测试目的： 测试在发布服务器上对OMC的客户端发布的支持情况，包括是否支持同时启动多个实例；是否支持并行运行的最小数量。测试项目包括：1. 支持并行运行的数量；预置条件： 创建可以登录系统的多个管控平台的用户；创建多个OMC上的用户，并授权给管控平台上的多个不同用户；测试步骤：1、 通过管控平台不同的用户同时调用12个以上OMC维护客户端；2、 检测系统支持并行运行的数量；预期结果：支持并发运行最小数量12个实例测试结果：测试项目测试结果支持并行运行的数量备注：9 编制历史版本号更新时间主要内容或重大修改1.0.02011-5-19征求意见稿1.0.12011-6-20修改了测试用例6.1和8.1.1，修改调用OMC维护客户端由citrix发布服务和远程桌面直接启动改为由安全管控平台调用1.0.22011-6-24修改了7.1案例，删除了syslog消息中pri和msg之间的header