光大积分卡连调测试功能测试报告
拟制
审核
批准
文件状态:[√] 草稿[ ] 正式发布[ ] 正在修改
文件标识:
当前版本:
作者:
完成日期:
上海伯乔信息科技有限公司
版本修改历史记录
类别:A-增加M-修改D-删除
所属项目光大积分卡项目传阅对象上海伯乔信息科技有限公司版本号日期类别描述作者批准
版权信息
本文件的版权属于上海伯乔信息科技有限公司
任何形式的散发都必须先得到上海伯乔信息科技有限公司的许可。
COPYRIGHT? 2011-2012 BEST CHOICE SHANGHAI
https://www.wendangku.net/doc/0e5547991.html,
目录
1产品概述 (4)
2测试环境 (4)
3测试内容和方法 (5)
3.1测试内容 (5)
3.2测试方法 (6)
4测试结果 (9)
5测试总结 (15)
5.1基本结论 (15)
5.2优化建议 (16)
1产品概述
光大积分卡项目是持卡人在指定商家消费光大积分的活动,它由BC Pay积分交易平台和积分运营平台来完成整个消费和对账的流程,其中积分交易平台是传输、中转和处理BC 客户端(BCPOS)、数据交易中心层以及银行层之间的交互数据;积分运营平台是处理积分交易后的数据,负责处理及显示光大、伯乔和商户的对账数据和结算数据。
本测试报告只针对BC Pay积分交易平台的各功能进行阐述。
2测试环境
测试主机IP地址硬件配置软件配置
服务器221.144.85.80 型号:PowerEdge
R710
CPU:Intel?Xeon?CPU
E5620
内存:32G
硬盘:898.9
OS:CentOS release 5.8
DB:Oracle 11G2R_64
其他:BCServerGW、
BCServerCEBPayment、Activemq、
Stunnel
客户端前置
机192.168.0.108
型号:DELL
CPU:
Pentium?Dual-Core
CPU E5800
内存:4G
硬盘:465G
OS:Windows Server 2008
DB:Oracle 11G2R_64
其他:BCClient
收银POS 192.168.0.173 型号:DELL
CPU:
Pentium?Dual-Core
CPU E5800
内存:4G
硬盘:465G
OS:Windows XP Professional SP3
其他:BC_POS_Client
3测试内容和方法
3.1测试内容
本次测试内容如表3-1所示。
编号测试
项目
测试
内容
功能模块测试细项
1
光大积分卡项目基本
功能
BCPay积分交易平台
登录
2 退出
3 卡查询
4 新交易
5 交易查询
6 交易撤销
7 退款
8 冲正
9 用户管理
10 重打印
11 快捷配置
12 网络配置
13 帮助
14
安全
功能标识和鉴别
用户属性定义
15 鉴别的时机
16 鉴别失败处理
17 受保护的鉴别反馈
18 用户-主体绑定
19
安全管理安全功能行为的管理
20 安全属性的管理
21 TSF数据的管理
22 安全角色
23 用户数据保户基本的数据交换保密性
24
TSF保护内部 TSF数据传送的基本保护
25 存储数据的保密性
26 可靠的时间戳
27 资源利用软件容错
表3-1测试内容
3.2测试方法
3.2.1基本功能
登录:在收银POS 上运行BC_POS_Client,输入用户名以及密码进行系统登录,验证登录功能是否正确实现;
退出:在收银POS 上退出BC_POS_Client,验证退出功能是否正确实现;
卡查询:输入卡号及卡密码进行卡片信息查询,验证卡查询功能是否正确实现;
新交易:输入待付金额、卡号及卡密码进行银行卡交易,验证积分交
易功能是否正确实现;
交易查询:输入序号进行交易查询,验证交易查询功能是否正确实现;交易撤销:对指定交易进行撤销操作,验证交易撤销功能是否正确实现;
退款:输入序号进行交易查询,输入退款金额对指定交易进行退款
操作,验证退款功能是否正确实现;
冲正:POS客户端发起新交易后断网,验证系统自动冲正功能是否正确实现;
用户管理:进行用户的添加、删除操作,尝试进行用户密码修改,验证用户管理功能是否正确实现;
重打印:验证票据重打印功能是否正确实现;
快捷配置:设置系统功能快捷键,通过键盘调用功能,验证快捷配置功能是否正确实现;
网络配置:进行服务器IP、端口以及数据接收超时时间设置,验证网络配置功能是否正确实现;
帮助:查看系统帮助信息,验证帮助功能是否正确实现;
3.2.2安全功能
用户属性定义:查看系统提供的授权角色安全属性列表,对用户安
全属性进行修改并验证有效性;
鉴别的时机:测试是否在请求执行的任何操作之前,系统安全功能
确保对每个授权管理员都进行身份鉴别;
鉴别失败处理:以错误的用户名-口令登录,在一定次数的鉴别失
败后,测试系统是否终止了进行登录尝试主机建立会
话的过程(例如:关闭身份鉴别的对话界面、锁定帐
户等);
受保护的鉴别反馈:检查在身份鉴别过程中系统是否能够防止鉴别
信息的泄漏;
用户-主体绑定:检查系统是否将用户安全属性与代表用户活动的主
体相关联;
安全功能行为的管理:检查系统安全功能是否明确规定仅限于指定
的授权角色对系统的功能具有禁止、修改的
能力;
安全属性的管理:对用户的安全属性进行查询、创建、修改和删除,
验证系统提供的安全属性管理功能;
TSF数据的管理:验证授权管理员用户对TSF数据的管理能力;
安全角色:查验系统是否提供角色管理功能,将用户与角色相关联进行验证;
基本的数据交换保密性:检查系统是否能提供对用户数据进行保密
传输的功能,使用网络协议分析工具进行截
包分析并加以验证;
内部 TSF数据传送的基本保护:检查系统是否能提供对TSF数据在
TOE不同部分间进行保密传输的功
能,使用网络协议分析工具进行截包分析并加
以验证;
存储数据的保密性:检查是否采用加密或其他保护措施实现鉴别信
息的存储保密性;
可靠的时间戳:检查系统时间戳来源,是否能为应用提供可靠的时
间戳;
软件容错:检查系统是否提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系
统设定要求。
4测试结果
4.1基本功能
本次测试结果如表4-1所示。
测试项
测试过程测试结果目
提供登录功能:输入用户名以及密码
登录
进行用户登录和鉴别。测试通过
提供退出功能:关闭并退出客户端程
退出
序。测试通过
提供积分余额查询功能:输入卡号及
卡查询
卡密码进行剩余积分查询。测试通过
新交易提供积分交易功能:刷卡后输入代付
金额及卡密码进行积分交易,交易成
功后显示在历史交易中,显示内容包
括状态、批次号、序号、交易金额、
支付银行以及交易时间。测试通过
交易查询提供交易查询功能:根据序列号进行
交易查询,查询结果包括状态、交易
批次号、序列号、交易额、授权号、
授权日期、授权时间、产品代码以及
订单号。测试通过
交易撤销提供交易撤销功能:根据序列号进行
交易查询,对指定的交易进行撤销操
作。测试通过
退款提供退款功能:根据序列号进行交易
查询,查询结果包括状态、产品代码、
序列号、支付银行、授权号、授权时
间以及交易额,输入退款
金额对指定的交易进行退款操作。测试通过
冲正提供系统自动冲正功能:刷卡后输入
代付金额及卡密码进行积分交易,在
收到交易成功的反馈码之前断开POS测试通过
客户端的网络,系统在设定的时间内发起冲正交易。
用户管理提供用户管理功能:添加、删除收银
POS 的用户帐号,修改帐号密码,进
行帐号权限的设置。测试通过
重打印
提供票据重打印功能:重新打印积分
小票。测试通过
快捷配置提供快捷键设置功能:对退出、新交
易、交易查询、用户管理、签退、快
速切换、退款、网络配置、重打印、
帮助、快捷配置以及卡查询
等功能操作设置快捷键。测试通过
网络配置提供网络配置维护功能:对服务器IP、
端口以及数据接收超时时间进行设
置;查看POS 商户号、POS 终端号、
数据文件路径以及日志文档路径。测试通过
帮助
提供信息查看:查看软件版本以及版
权信息。测试通过
表4-1 测试结果
4.2安全功能
本次测试结果如表4-2所示。测试项
目测试细目测试过程
测试结
果
标识与鉴别用户属性
定义
系统定义了用户名以及角色等用户属
性,仅允许授权用户对用户属性进行
维护。
测试通
过
鉴别的时
机
用户被鉴别前仅能够执行用户名以及
口令输入操作,在成功鉴别后才能够
对授权功能进行管理。
测试通
过
鉴别失败
处理
系统提供鉴别失败处理功能,连续输
入错误的身份鉴别口令5 次以后,弹
出提示信息:“由于您连续5 次登陆
失败,程序即将关闭”并退出程序。
测试通
过
受保护的
鉴别反馈
系统具有密码保护机制:在用户登录、
创建用户以及修改用户密码时密码均
以“*”显示。
测试通
过
用户-主体
绑定
系统将用户名、角色等用户安全属性
与代表用户活动的主体相关联。
测试通
过
安全管理安全功能
行为的管
系统仅允许授权管理员对用户管理、
网络配置等安全功能进行管理。
测试通
过
理
安全属性的管理系统仅允许授权管理员对用户的用户
名以及权限等安全属性进行维护。
测试通
过
TSF数据的
管理系统仅允许授权管理员对用户密码、
服务器IP 以及端口等TSF数据进行
管理。
测试通
过
安全角色系统通过用户管理模块进行用户创
建、删除,并把相应的角色(角色分
为普通用户以及管理员)赋予指定用
户,从而对用户进行权限的分配。普
通用户不具备交易查询、卡查询、用
户管理以及退款等管理类功能的操作
权限,管理员具备所有功能的操作权
限。
测试通
过
用户数据保护基本的数
据交换保
密
性
系统对卡号、交易金额以及交易序列
号等用户数据在网络中以非明文方式
进行传输以防止信息泄露,具体措施
如下:
1.在客户端前置机与收银POS 之间
采用3DES算法进行加密,在收银POS
签到时使用初始密钥进行加密;并从
服务器接收动态密钥;签到完成后到
退出前的通信过程均使用动态密钥进
行加密。
2.在客户端前置机与服务器之间通过
Stunnel工具采用SSL协议进行通信。
3.在服务器与银行(中信银行)之间
通过HTTPS协议进行通信。
测试通
过
TSF保护内部TSF
数据传送
的
基本保护
系统在客户端前置机与收银POS之间
采用3DE算
法进行加密,以保证用户密码以及动
态密钥等TSF
数据在网络中以非明文方式进行传
输。
系统在客户端前置机与服务器之间通
测试通
过
过Stunnel工
具采用SSL协议进行通信,以保证TSF 数据在网
络中以非明文方式进行传输。
存储数据的保密性收银 POS 用户的用户密码在数据库
中以非明文方
式存储。
测试通
过
可靠的时间戳系统在交易记录中记录交易时间,记
录的时间信息以银行端的系统时间为
准。
测试通
过
资源利
用软件容错
系统对输入的交易金额、数据接收超
时以及服务器端口等进行有效性校
验,拒绝无效输入。
测试通
过
表4-2测试结果
5测试总结
5.1基本结论
BCPay积分交易平台适用于销售服务行业,提供持卡人使用积分购买商品或者服务。系统采用C/S 架构,主要包括积分交易、交易查询、交易撤销、退款等业务功能以及用户管理、快捷配置、网络
配置等管理功能。
在安全功能方面,BCPay积分交易平台授权管理员能够有效为每个用户维护安全属性列表,并将用户安全属性与用户主体相关联。所有用户使用授权功能前必须先进行身份鉴别,产品提供鉴别失败处理功能,连续5 次鉴别失败则退出程序。在用户登录、创建用户以及修改用户密码时密码均以“*”显示。BCPay积分交易平台支持普通用户以及管理员两种角色,提供了对安全功能、安全属性以及安全功能数据的管理能力。对卡号、交易金额以及交易序列号等用户数据以及用户密码、服务器IP 以及端口等TSF数据在网络中以非明文方式进行传输以防止信息泄露,在数据库中以非明文方式存储收银POS 用户密码,提供可靠的时间戳。系统提供软件容错功能,对输入的交易金额、数据接收超时以及服务器端口等进行有效性校验。
对BCPay积分交易平台测试的测试用例已全部被执行,测试用例的执行结果已全部通过,测试中发现的问题已基本解决;本次测试达到测试方案中制定的测试完成标准。
5.2优化建议
序号优化需求详细描述
1
客户端显示字段值要明
确一致交易查询界面查询结果中授权号、授权日期及授权时间取值不明确;新交易界面历史交易中交易记录的状态与交易查询界面
交易记录的状态取值不同;
2
数据库表中交易记录的
状态控制优化数据库中交易记录的状态现有两个字段进行标识,一个是STATUS取值是数字,一个是COMMENTRES取值文字描述;要求COMMENTRE取值数字;