设备软件可靠性测试

　　设备为达到连续可运行目标，除了在硬件设计中考虑器件可连续无故障运行外，很重要的方面是软件在各种条件下可经受考验，持续工作。这需要在实现基本功能前提下，在软件中设计一系列容错性逻辑去保证。

　　为全面评估软件容错性和故障恢复能力，测试需要制造或模拟一系列条件，包括内部硬件故障条件、外部恶意攻击条件、偶发过载条件、软件资源耗尽条件、周边环境故障条件以及长时间正常负荷持续运行模拟。为了在产品开发的不同阶段组织针对性测试，这些测试行为又被明确定义并归类。

　　测试分类

　　1、协议健壮性测试

　　协议健壮性测试是为了找出特定协议的具体实现代码的弱点。是一种以破坏性手段去尝试运行软件的行为，通过用户接口的异常输入，使用异常协议消息交互引导软件进入未定义或未保护的状态。

　　对软件系统而言，合法输入组合以外的输入往往超出正常输入的组合，软件运行中总会遇到一些预期之外的输入。因此，软件需要有严格的合法性检查才能避免进入未知状态。协议健壮行测试的目标就是尽可能找出软件保护不周的问题。

　　在软件测试的早期阶段进行的参数边界值测试就属于健壮性测试的一部分。比如一个用户接口接受1-100的整数输入，那么1和100就是合法边界，大于100和小于1的输入都是非法输入。其他非整数型的输入也属于非法值，包括故意破坏检查输入条件的代码的一些组合(如超长输入值，空输入，格式化字符等)。软件面对的接口除了最终用户可见的部分之外，还有大量的软件组件之间的不可见部分，以及设备之间的通信协议接口。

　　除了单一输入的简单合法性判断，软件在组合输入和特定状态下可接受输入的定义更为复杂。为确认软件在各种条件下的运行正常，测试需要尝试尽可能多的组合。复杂的通信协议除了定义有逻辑化结构的报文格式，还有一系列的内部状态，要测试人员完全手工方式遍历这些状态，并且构造所有可能的异常组合输入条件是无法想象的，因此需要专用的测试工具和仪器专门检测软件对各种协议变异报文的处理。目前，商用化的测试工具已经很多，比如IxDefend协议健壮性测试套件和Mu Dynamics的fuzzing测试套件是比较强大的。为了达成在特定状态下注入错误，测试套件需要先完成一些合法的交互过程，使被测目标达到预设状态，然后再注入异常。复杂的协议需要事先配置很多参数去达成这种交互，而变异输入的变化和组合数量非常庞大，一个复杂协议经常达到几十万甚至上百万的测试用例，尽管有自动化测试工具，这种测试运行也要耗费大量的时间。因此，对参数的调整是测试需要关注的一个重要方面。

　　从系统测试的角度，观测协议健壮性的测试结果是比较困难的，一般是从系统外部观察整机是否存在异常，正在被测试的协议功能有没有停止响应，正常用户请求是否得到及时处理，设备的性能有没有下降。最容易被观测到现象是系统死锁或重启，系统性能变化或主要功能异常也能被及时发现。而一些细微的功能异常或资源耗费，很容易被测试人员忽视，在这里，测试工具也无能为力。

　　以IxDefend测试TLS-Server举例。

　　Ÿ 完成测试仪器与被测试设备的物理连接，并且将端口配置IP地址，开启TLS-Server服务。

　　Ÿ 通过测试仪器的GUI控制界面装入TLS Server测试套件，如图1所示。

　　Ÿ 配置TLS Server测试所需要的参数，包括被测试设备IP、TLS服务端口、超时时间等，如图2所示。

　　Ÿ 点击开始按钮启动测试运行。

　　测试运行期间，仪器会发送事先定义好的各种异常组合，并检查设备对这些报文的响应。一旦被测试设备失去任何响应，就记录为一次失败，并持续尝试下面的测试用例。如图3所示的是一个真实的运行记录，设备在某项测试运行后发生异常，该项目被标记为红色。测试人员可以根据该记录重现问题，并将设备异常信息一并提交给开发定位具体原因。

　　图1 IxDefend选择测试套件

　　图2 IxDefend配置TLS-Server套件运行参数

　　图3 IxDefend运行结果统计