技術領域

本發明涉及通信領域，尤其涉及一種網絡設備的軟硬件完整性檢測方法 及系統。

背景技術

在通信領域，為了向用戶提供安全可靠的通信環境，要求能夠存取用戶 的安全上下文等信息的網絡設備的軟硬件是安全的。通常，這種網絡設備的 軟硬件安全都是靠其安放位置的安全性來保證的。例如在UMTS(Universal Mobile?Telecommunications?System，通用移動通信系統)中，HLR(Home Location?Register，歸屬位置寄存器)、VLR(Visiting?Location?Register，拜 訪位置寄存器)、RNC(Radio?Network?Controller，無線網絡控制器)是安 全相關的網絡設備，它們被安放在運營商的機房內，以保證其設備物理安全， 因而保證了其硬件設備的安全性。

然而，在某些通信環境中，有一些能夠存取用戶安全上下文的網絡設備 不具備安全的安放環境，比如LTE/SAE(Long?Term?Evolution/System Architecture?Evolution，長期演進/系統架構演進)中的eNB(演進型節點B)、 HNB(Home?NodeB，家庭基站)等，由于其靈活的部署場景，大多數情況 下都不安放在運營商的機房內部，不具備安全的安放環境，因此很難保證其 設備的安全性。在這種情況下，如何有效地檢測這些網絡設備的軟硬件完整 性是需要解決的問題，因為在不安全的安放環境中，網絡設備隨時存在軟硬 件被替換的可能，這樣就會破壞信息系統中該環節的安全性，甚至會危及整 個系統的安全性。

此外，對于某些網絡設備，在其啟動時、或者在其使用過程中往往需要 通過網絡從網管中心下載軟件或配置文件等信息，如何有效地檢測通過網絡 獲取的信息的完整性也是需要解決的問題。

發明內容

本發明所要解決的技術問題是，克服現有技術的不足，提供一種可以有 效地檢測網絡設備的軟硬件完整性的方法。

為了解決上述問題，本發明提供一種網絡設備的軟硬件完整性檢測方 法，該方法包括：

網管中心在本地提取待檢測的軟硬件信息Info的安全特征信息H，并將 H發送給設備完整性管理中心；

設備完整性管理中心使用密鑰CK和密碼算法S1對H進行密碼運算， 得到密碼運算結果Sr＝S1(CK，H)，并將Sr和對CK使用公鑰Kpub進行加密 得到的加密結果En(Kpub，CK)通過網管中心發送給網絡設備；

網絡設備的可信環境使用私鑰Kpri對En(Kpub，CK)進行解密得到密鑰 CK，并在網絡設備中提取待檢測的軟硬件信息Info’的安全特征信息H’后， 進行如下處理：使用密鑰CK和密碼算法S1對H’進行密碼運算，得到密碼 運算結果Sr’＝S1(CK，H’)，并根據Sr’與Sr是否相同來檢測網絡設備的軟硬 件是否完整；或使用密鑰CK和密碼算法S1的逆運算S1^-1對Sr進行密碼運 算，得到密碼運算結果H”＝S1^-1(CK，Sr)，并根據H’與H”是否相同來檢測網 絡設備的軟硬件是否完整；

其中，En為公鑰算法，Kpub為Kpri對應的公鑰。

此外，所述密鑰CK由所述設備完整性管理中心生成，生成所述密鑰 CK后，所述設備完整性管理中心使用本地儲存的或從設備歸屬服務器獲取 的所述公鑰Kpub生成所述En(Kpub，CK)；或

所述密鑰CK由所述設備歸屬服務器生成，生成所述密鑰CK后，所述 設備歸屬服務器使用本地儲存的所述公鑰Kpub生成所述En(Kpub，CK)，并 將所述密鑰CK和所述En(Kpub，CK)發送給所述設備完整性管理中心。

此外，所述網管中心還將所述安全特征信息H發送給所述網絡設備；

所述網絡設備的可信環境還根據所述H’和H是否相同來檢測所述網絡 設備的軟硬件是否完整。

此外，所述軟硬件信息Info是：存儲在網管中心且存儲或即將存儲在所 述網絡設備中的軟件信息、和/或存儲在網管中心的所述網絡設備的硬件配 置信息；

所述軟硬件信息Info’是：存儲在所述網絡設備中的軟件信息、和/或所 述網絡設備的硬件配置信息。

此外，網管中心和所述可信環境采用相同的哈希算法分別從所述軟硬件 信息Info和所述軟硬件信息Info’中提取所述安全特征信息。