技術領域

本發明涉及通信領域，尤其涉及一種在線查詢方法及設備。

背景技術

隨著通信技術的發展和應用，目前通信領域中越來越重視網絡設備的安全，如可以通過校驗網絡設備上的程序的完整性，來確定該網絡設備是否安全。例如：當校驗結果表示該網絡設備上的程序完整，即程序沒有被篡改時，則可以確定該網絡設備安全，當校驗結果表示該網絡設備上的程序不完整，即程序有被篡改時，則可以確定該網絡設備不安全。然而，目前通信領域中主要通過如下技術校驗網絡設備上的程序的完整性：

設備管理者通過查詢設備向網絡設備發送查詢請求；

網絡設備響應上述查詢請求，以生成該網絡設備上的程序的完整性校驗結果，并向查詢設備發送該校驗結果。

這樣設備管理者就可以通過查詢設備獲取的上述校驗結果，從而確定該網絡設備上的程序的完整性。

但目前通信領域中存在攻擊者針對網絡設備開發的攻擊技術，該技術可以將木馬后門植入網絡設備，從而可以篡改網絡設備上的程序，例如：篡改固件。同時，攻擊者還可以控制該網絡設備或者在線劫持上述查詢請求，從而實現向查詢設備返回一個錯誤的校驗結果。例如：網絡設備被植入木馬后，網絡設備接收到查詢設備發送的查詢請求后，網絡設備生成該網絡設備上的程序不完整的校驗結果。但攻擊者可以通過木馬攔劫該校驗結果，并向查詢設備返回一個網絡設備上的程序完整的錯誤校驗結果。這樣查詢設備就只會接收到這個錯誤校驗結果，而無法得到正確的校驗結果。

可見，上述技術中查詢設備可能無法正確地識別網絡設備的安全性。

發明內容

本發明提供了一種在線查詢方法及設備，可以實現查詢設備正確地識別網絡設備的安全性。

第一方面，本發明提供一種在線查詢方法，包括：

網絡設備獲取查詢設備發送的對所述網絡設備的安全性進行查詢的查詢請求，所述查詢請求攜帶有所述查詢設備隨機生成的第一數據信息；

所述網絡設備響應所述查詢請求，以生成所述網絡設備的安全性的校驗結果；

所述網絡設備將所述第一數據信息、所述校驗結果和預先存儲的機密信息進行特定運算得到運算結果，向所述查詢設備發送所述運算結果，所述運算結果用于與參考結果進行比較，且所述比較結果用于識別所述網絡設備的安全性，其中，所述參考結果為將所述第一數據信息、所述機密信息和校驗參考結果進行所述特定運算得到的參考結果，所述校驗參考結果用于表示所述網絡設備的安全性。

在第一方面的第一種可能的實現方式中，所述網絡設備獲取查詢設備發送的對所述網絡設備的安全性進行查詢的查詢請求，包括：

所述網絡設備獲取查詢設備發送的對所述網絡設備上的目標程序的完整性進行查詢的查詢請求；

所述網絡設備響應所述查詢請求，以生成所述網絡設備的安全性的校驗結果，包括：

所述網絡設備響應所述查詢請求，以生成所述目標程序的完整性的校驗結果。

結合第一方面或者第一方面的第一種可能的實現方式，在第二種可能的實現方式中，所述機密信息存儲在所述網絡設備上的特定芯片的存儲單元內，且所述特定芯片內包含用于進行所述特定運算的運算電路，所述運算電路與所述存儲單元連接；

所述網絡設備將所述校驗結果和預先存儲的機密信息進行特定運算得到運算結果，包括：

所述運算電路獲取所述第一數據信息、所述校驗結果和所述機密信息，并輸出所述第一數據信息、所述校驗結果和預先存儲的機密信息進行所述特定運算的運算結果。

結合第一方面或者第一方面的第一種可能的實現方式，在第二種可能的實現方式中，所述方法還包括：

所述網絡設備隨機生成所述第二數據信息；

所述網絡設備將所述第一數據信息、所述校驗結果和預先存儲的機密信息進行特定運算得到運算結果，向所述查詢設備發送所述運算結果，包括：

所述網絡設備將所述第一數據信息、第二數據信息、校驗結果和預先存儲的機密信息進行特定運算得到運算結果，并向所述查詢設備發送所述運算結果和所述第二數據信息，以使所述查詢設備將參考結果與所述運算結果進行比較，并根據所述比較結果識別所述網絡設備的安全性，其中，所述參考結果根據所述第二數據信息得到。

第二方面，本發明提供一種在線性校驗方法，包括：

向網絡設備發送對安全性進行查詢的查詢請求，所述查詢請求攜帶有隨機生成的第一數據信息，以使所述網絡設備響應所述查詢請求，以生成所述網絡設備的安全性的校驗結果；