[发明专利]一种网络设备的软硬件完整性检测方法及系统

说明书

技术领域

本发明涉及通信领域，尤其涉及一种网络设备的软硬件完整性检测方法 及系统。

背景技术

在通信领域，为了向用户提供安全可靠的通信环境，要求能够存取用户 的安全上下文等信息的网络设备的软硬件是安全的。通常，这种网络设备的 软硬件安全都是靠其安放位置的安全性来保证的。例如在UMTS(Universal Mobile Telecommunications System，通用移动通信系统)中，HLR(Home Location Register，归属位置寄存器)、VLR(Visiting Location Register，拜 访位置寄存器)、RNC(Radio Network Controller，无线网络控制器)是安 全相关的网络设备，它们被安放在运营商的机房内，以保证其设备物理安全， 因而保证了其硬件设备的安全性。

然而，在某些通信环境中，有一些能够存取用户安全上下文的网络设备 不具备安全的安放环境，比如LTE/SAE(Long Term Evolution/System Architecture Evolution，长期演进/系统架构演进)中的eNB(演进型节点B)、 HNB(Home NodeB，家庭基站)等，由于其灵活的部署场景，大多数情况 下都不安放在运营商的机房内部，不具备安全的安放环境，因此很难保证其 设备的安全性。在这种情况下，如何有效地检测这些网络设备的软硬件完整 性是需要解决的问题，因为在不安全的安放环境中，网络设备随时存在软硬 件被替换的可能，这样就会破坏信息系统中该环节的安全性，甚至会危及整 个系统的安全性。

此外，对于某些网络设备，在其启动时、或者在其使用过程中往往需要 通过网络从网管中心下载软件或配置文件等信息，如何有效地检测通过网络 获取的信息的完整性也是需要解决的问题。

发明内容

本发明所要解决的技术问题是，克服现有技术的不足，提供一种可以有 效地检测网络设备的软硬件完整性的方法。

为了解决上述问题，本发明提供一种网络设备的软硬件完整性检测方 法，该方法包括：

网管中心在本地提取待检测的软硬件信息Info的安全特征信息H，并将 H发送给设备完整性管理中心；

设备完整性管理中心使用密钥CK和密码算法S1对H进行密码运算， 得到密码运算结果Sr＝S1(CK，H)，并将Sr和对CK使用公钥Kpub进行加密 得到的加密结果En(Kpub，CK)通过网管中心发送给网络设备；

网络设备的可信环境使用私钥Kpri对En(Kpub，CK)进行解密得到密钥 CK，并在网络设备中提取待检测的软硬件信息Info’的安全特征信息H’后， 进行如下处理：使用密钥CK和密码算法S1对H’进行密码运算，得到密码 运算结果Sr’＝S1(CK，H’)，并根据Sr’与Sr是否相同来检测网络设备的软硬 件是否完整；或使用密钥CK和密码算法S1的逆运算S1^-1对Sr进行密码运 算，得到密码运算结果H”＝S1^-1(CK，Sr)，并根据H’与H”是否相同来检测网 络设备的软硬件是否完整；

其中，En为公钥算法，Kpub为Kpri对应的公钥。

此外，所述密钥CK由所述设备完整性管理中心生成，生成所述密钥 CK后，所述设备完整性管理中心使用本地储存的或从设备归属服务器获取 的所述公钥Kpub生成所述En(Kpub，CK)；或

所述密钥CK由所述设备归属服务器生成，生成所述密钥CK后，所述 设备归属服务器使用本地储存的所述公钥Kpub生成所述En(Kpub，CK)，并 将所述密钥CK和所述En(Kpub，CK)发送给所述设备完整性管理中心。

此外，所述网管中心还将所述安全特征信息H发送给所述网络设备；

所述网络设备的可信环境还根据所述H’和H是否相同来检测所述网络 设备的软硬件是否完整。

此外，所述软硬件信息Info是：存储在网管中心且存储或即将存储在所 述网络设备中的软件信息、和/或存储在网管中心的所述网络设备的硬件配 置信息；

所述软硬件信息Info’是：存储在所述网络设备中的软件信息、和/或所 述网络设备的硬件配置信息。

此外，网管中心和所述可信环境采用相同的哈希算法分别从所述软硬件 信息Info和所述软硬件信息Info’中提取所述安全特征信息。