CN101784051B - 一种平台完整性验证的方法、网络设备和网络系统 - Google Patents
一种平台完整性验证的方法、网络设备和网络系统 Download PDFInfo
- Publication number
- CN101784051B CN101784051B CN2009100042944A CN200910004294A CN101784051B CN 101784051 B CN101784051 B CN 101784051B CN 2009100042944 A CN2009100042944 A CN 2009100042944A CN 200910004294 A CN200910004294 A CN 200910004294A CN 101784051 B CN101784051 B CN 101784051B
- Authority
- CN
- China
- Prior art keywords
- access device
- integrity verification
- integrity
- measurement value
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/108—Source integrity
Abstract
本发明实施例公开一种平台完整性验证的方法、设备和系统,该方法包括:接收来自接入设备的信息,所述信息包括所述接入设备根据完整性验证策略获取到的完整性度量值信息和部分完整性验证结果;对所述接收到的信息进行分析判断,根据判断结果,对所述接入设备进行接入控制或业务访问控制。通过本发明实施例,可以使得设备平台完整性验证在本地和远程进行合理分工,提高了完整性验证的效率。
Description
技术领域
本发明实施例涉及通信技术领域,特别是涉及一种平台完整性验证的方法、接入设备、网络设备和网络系统。
背景技术
在某些通信系统中,无线接入设备暴露在运营商可控网络之外,通过开放的不安全的承载网络接入运营商的核心网。例如,LTE(Long TermEvolution)网络中的eNB,或者通用移动通信系统(Universal MobileTelecommunications System,UMTS)中的毫微微蜂窝式基站(home NodeB),LTE中的毫微微蜂窝式基站(home e NodeB),或者无线局域网WLAN中的Access Point等。在接入运营商核心网时,核心网(或代表核心网的接入网关)除了对H(e)NB的身份进行认证外,还需要对设备的平台完整性进行验证,以确保接入后设备以预期可信的状态运行,没有遭受攻击,不会对网络的安全性构成威胁,不会影响终端用户的正常使用。攻击的发起可能是来自Internet网络的黑客、使用该接入设备的恶意终端用户,或接入设备的持有者有意的私下更改设备以达到逃避计费、获取额外服务等目的。对设备平台的完整性确认包括,确认设备的硬件平台的没有被改变、软件没有被篡改。
发明人在实现本发明的过程中,发现现有技术至少存在以下缺点:
在现有技术中,对平台完整性的验证只由接入设备单方面执行,在这种情况下,网络侧无法及时获知对接入设备的异常或故障,从而无法及时进行修复;或者对平台完整性的验证只由网络侧单方面执行,时延长,效率低。
发明内容
本发明实施例提供一种平台完整性验证的方法、接入设备、网络设备和网络系统,以使得设备平台完整性验证在本地和远程进行合理分工,给予网络侧更多的控制权限和主动应对措施,提高接入设备的安全性和可维护性。
本发明实施例提供一种平台完整性验证的方法,包括:
接收来自接入设备的信息,所述信息包括所述接入设备根据完整性验证策略获取到的完整性度量值信息和部分完整性验证结果;
对所述接收到的信息进行分析判断,根据判断结果,对所述接入设备进行接入控制或业务访问控制。
本发明实施例还提供一种网络设备,包括:
第一接收单元,用于接收来自接入设备的信息,所述信息包括所述接入设备根据完整性验证策略获取到的完整性度量值信息和部分完整性验证结果;
判断控制单元,用于对所述第一接收单元接收到的完整性度量值信息和部分完整性验证结果进行分析判断,根据判断结果,对所述接入设备进行接入控制或业务访问控制。
本发明实施例还提供一种接入设备,包括:
收集单元,用于根据完整性验证策略,收集本地组件的完整性度量值信息;
安全单元,用于存储本地组件的平台完整性度量参考值,根据完整性验证策略和所述平台完整性度量参考值,对所述收集单元收集到的本地部分组件的完整性度量值信息进行完整性验证,获得部分组件的完整性验证结果;
第一发送单元,用于向网络侧发送所述获取到的本地组件的完整性度量值信息或部分完整性验证结果。
本发明实施例还提供一种接入设备完整性验证的方法,包括:
根据完整性验证策略,收集本地组件的完整性度量值信息;
根据完整性验证策略和平台完整性度量参考值,对本地的部分组件进行完整性验证,获得部分完整性验证结果;
向网络侧发送获取到的完整性度量值信息或部分完整性验证结果。
本发明实施例还提供一种网络系统,包括:
网络侧设备,用于接收来自接入设备的信息,所述信息包括所述接入设备根据完整性验证策略获取到的完整性度量值信息或部分完整性验证结果;对所述接收到的信息进行分析判断,根据判断结果,对所述接入设备进行接入控制或业务访问控制;
接入设备,用于根据完整性验证策略,收集本地的完整性度量值信息;根据完整性验证策略,对本地的部分组件进行完整性验证,获得部分完整性验证结果;向网络侧发送收集到的完整性度量值信息或部分完整性验证结果。
与现有技术相比,通过本发明实施例至少可以产生以下有益效果:
使得设备平台完整性验证在本地和远程进行合理分工,提高了完整性验证的效率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例一的平台完整性验证的方法流程图;
图2为本发明实施例二的平台完整性验证的方法流程图;
图3为本发明实施例三的平台完整性验证的方法流程图;
图4为本发明实施例三的网络设备的组成示意图;
图5为本发明实施例三的接入设备的组成示意图;
图6为本发明实施例三的网络系统的组成示意图;
图7为本发明实施例七的平台完整性验证的方法流程图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例可以适用于移动网络、固定网络和固定移动融合网络。
本发明实施例适用的无线接入制式可以包括:全球移动通信系统(GlobalSystem for Mobile Communications,GSM)、宽带码分多址(Wideband-CodeDivision Multiple Access,WCDMA)、时分同步码分多址接入(Time Division-Synchronized Code Division Multiple Access,TD-SCDMA)、码分多址(Code-Division Multiple Access,CDMA)、全球微波互联接入(WorldwideInteroperability for Microwave Access,WIMAX)、无线局域网(Wireless LocalArea Network,WLAN)、长期演进(Long Term Evolution,LTE)等。
平台完整性度量发生的时间点可以是在软/硬件加载前,或软件运行前的初始化准备时,需要对软件或硬件进行度量(measurement)。度量值的获得可以是指通过安全芯片(如:信任环境模块(Trusted Environment,TrE))或受TrE保护的度量代理,对一个目标对象或组件进行可执行代码以及关联的配置数据计算哈希值(或称散列值、摘要);由于哈希计算具有当输入发生改变时,哪怕非常微小的改变,输出结果都会不同的性质,因此通过对代码和配置数据计算其哈希值,并将其哈希值与完整性参考值比较,可以检测出代码或配置是否被篡改,以此验证平台的完整性。
平台完整性度量参考值可以包括:用来验证实际度量结果的期望参考(参照)值等;对一个对象或组件可执行代码以及关联的配置数据预先计算出的哈希值;平台完整性度量参考值可以由设备生产商或设备中组件生产商提供,在接入设备的TrE内部安全存储;或者也可以由设备商提供给运营商,在网络侧存储。
本发明实施例的家庭基站可以包括H(e)NB,即通用移动通信系统(Universal Mobile Telecommunications System,UMTS)中的毫微微蜂窝式基站(home NodeB,HNB)或LTE中的毫微微蜂窝式基站(home e NodeB,HeNB)等,其应用场景包括企业、住宅区、或其他热点区域,如车站、机场、咖啡厅、商场等。
实施例一:
如图1所示,本发明实施例提供一种平台完整性验证的方法,可以包括:
步骤S102,接收来自接入设备的信息,该信息包括所述接入设备根据完整性验证策略获取到的完整性度量值信息和部分完整性验证结果;
本步骤的执行主体可以是网络侧设备,具体可以是SeGW(安全网关),或者独立的验证实体网元,比如AAAserver(AAA服务器)、HLR(归属位置寄存器)、HSS(归属用户服务器)、OAM server、AHR(Access Point homeregister),MME(mobility management entity移动性管理实体)等,其存储完整性参考值、执行远程验证、下发策略等,根据判断结果执行接入控制或业务访问控制。接入设备可以是:家庭基站、或LTE(Long Term Evolution)网络中的演进基站eNB、或路由器、或交换机、或网关等。所述完整性度量值信息可以是接入设备部分组件或全部组件的完整性度量值;部分完整性验证结果可以是接入设备的部分组件的完整性度量值在接入设备上经过验证的结果;所述接收到的信息也可以只包括需要在网络侧验证的接入设备组件的完整性度量值信息。
完整性验证策略可以是用于指示接入设备的哪些组件需要由接入设备在本地执行完整性验证,哪些组件需要由接入设备向网络侧呈现原始度量值以便远程验证的信息。所述组件可以是软件代码,例如基本输入输出系统BIOS、系统引导程序OS Loader等必需的关键代码(模块),也可以是硬件。
步骤S104,对所述接收到的信息进行分析判断,根据判断结果,对所述接入设备进行接入控制或业务访问控制;
本步骤的执行主体可以是网络侧设备,具体可以是SeGW(安全网关),或者独立的验证实体网元,比如AAAserver(AAA服务器)、HLR(归属位置寄存器)、HSS(归属用户服务器)、OAM server、AHR(Access Point homeregister),MME(mobility management entity移动性管理实体)等
对所述接收到的信息进行分析判断具体可以是:将接入设备完整性度量值信息与网络侧存储的相应的完整性度量值参考值进行匹配,如果两者匹配则验证通过。根据判断结果,对所述接入设备进行接入控制或业务访问控制具体可以是:当接入设备的完整性度量值信息验证通过时,则允许接入设备接入或访问某种业务,当接入设备组件的完整性度量值信息验证不通过时,拒绝接入设备接入或访问某种业务,或者对接入设备进行修复等。其中,接入控制可以是针对接入设备启动并请求接入网络时进行的;业务访问请求可以是对某种安全信任等级较高的应用层服务的请求等,比如网上交易、电子银行等。
在步骤S102之前还可以包括:
S100,接收来自接入设备的接入请求或业务访问请求。业务访问请求可以是对某种安全信任等级较高的应用层服务的请求等,比如网上交易、电子银行等。
完整性验证策略可以由网络侧设备下发给接入设备,也可以是存储在接入设备上,由网络侧设备周期性更新时或事件触发更新时下发给接入设备。因此,可选地,本实施例在S102之前还可以包括:
步骤S101,向接入设备发送验证策略,由所述接入设备根据完整性验证策略收集所述接入设备的完整性度量值信息,根据完整性验证策略对所述接入设备的部分组件进行完整性验证,获得部分完整性验证结果;
在本步骤中,接入设备执行验证动作的主体可以是安全单元,具体可以是信任环境模块(Trusted Environment,TrE)或可信平台模块(Trusted PlatformModule,TPM)等。
本发明实施例方法可以根据实际需要对各个步骤的顺序进行调整。本发明实施例的网络侧设备可以是:SeGW(安全网关),或者独立的验证实体网元,比如AAAserver(AAA服务器)、HLR(归属位置寄存器)、HSS(归属用户服务器)、OAM server、AHR(Access Point home register),MME(mobilitymanagement entity移动性管理实体)等。本发明实施例的接入设备可以是:家庭基站、或LTE(Long Term Evolution)网络中的演进基站eNB、或路由器、或交换机、或网关、或终端等。
通过本发明实施例,可以使得设备平台完整性验证在本地和远程进行合理分工,提高了验证效率。
实施例二:
如图2所示,本发明实施例提供一种平台完整性验证的方法,可以包括:
步骤S202,根据完整性验证策略,收集本地的完整性度量值信息;
本步骤的执行主体可以是接入设备,更具体地,可以是安全单元,比如TrE或TPM等。
完整性验证策略可以由网络侧设备下发给接入设备,也可以是存储在接入设备上,由网络侧设备周期性更新时或事件触发更新时下发给接入设备。
步骤S204,根据完整性验证策略,对本地的部分组件进行完整性验证,获得部分完整性验证结果;
本步骤的执行主体可以是接入设备,如接入设备的安全单元,总的来讲可以是逻辑上独立于宿主设备,能够为软件执行和敏感数据存储提供安全可靠的环境的安全单元或安全芯片,比如TrE或TPM等。
完整性验证策略可以是用于指示哪些组件需要由接入设备在本地执行完整性验证(第一类),哪些组件需要由接入设备向网络侧呈现原始度量值以便远程验证(第二类)的信息。接入设备根据完整性验证策略,收集组件加载过程中的度量值,对第一类组件,将其完整性度量值与TrE中预置的参考值匹配,得出部分完整性验证结果;对第二类组件收集其完整性度量值,但在本地不执行完整性验证;至于其他没有在策略中定义的组件,可以默认按照第二类处理,以防止在网络侧不知情的情况下安装了非法软件。本步骤可以包括:根据完整性验证策略,确定需要在本地进行完整性验证的部分组件,即第一类组件;将所述需要在本地进行完整性验证的部分组件,即第一类组件的完整性度量值与其对应的存储在安全单元中的平台完整性度量参考值进行匹配,获得第一类组件的完整性验证结果。
如果是在接入设备启动时,当所述第一类组件的完整性验证结果为验证通过时,则对第一类组件进行加载,启动该接入设备。
步骤S206,向网络侧发送获取到的完整性度量值信息或部分完整性验证结果。
本步骤的执行主体可以是接入设备。
可选地,也可以只向网络侧发送除第一类组件以外的组件的完整性度量值信息,包括第二类组件和策略中未定义组件的完整性度量值。
可选地,当完整性验证策略以由网络侧设备下发给接入设备时,在S202之前还可以包括:
步骤S200,接收来自网络侧的完整性验证策略。
可选地,在S202之前还可以包括:
步骤S201,向网络侧发送接入请求或业务访问请求。业务访问请求可以是对某种安全信任等级较高的应用层服务的请求等,比如网上交易等。
本发明实施例方法可以根据实际需要对各个步骤的顺序进行调整。
本发明实施例的接入设备可以是:家庭基站、或LTE(Long TermEvolution)网络中的演进基站eNB、或路由器、或交换机、或网关、或终端等。
通过本发明实施例,可以使得设备平台完整性验证在本地和远程进行合理分工,提高了完整性验证的效率。
实施例三:
如图3所示,本发明实施例提供平台完整性验证的方法,以接入设备为H(e)NB(家庭基站)的移动通信网络作为具体场景进行说明,H(e)NB安装有逻辑上独立于宿主设备即该H(e)NB的、能够为软件执行和敏感数据存储提供安全可靠的环境的安全芯片,比如TrE或TPM等。该方法可以包括:
S302、H(e)NB向网络侧请求接入网络;
在本步骤中,除了接入请求,还可以是业务访问请求,比如是对某种安全信任等级较高的应用层服务的请求等,比如网上交易、电子银行等。
S304、网络侧的安全网关向H(e)NB下发完整性验证策略,指示哪些组件需要在H(e)NB本地执行完整性验证(第一类),哪些组件需要由接入设备向网络侧呈现原始度量值以便远程验证(第二类)。
S306、H(e)NB的TrE根据接收到的完整性验证策略,收集组件加载过程中的度量值,对第一类组件,将其完整性度量值与TrE中存储预置的参考值匹配,得到部分完整性验证结果;对第二类组件收集其完整性度量值,但在H(e)NB本地不执行完整性验证;至于其他没有在策略中定义的,比如在启动加载中产生的其他组件度量值,可以默认按照第二类处理,以防止在网络侧不知情的情况下安装了非法软件。可以将第一类组件的验证结果和第二类组件的度量值用TrE的签名私钥进行签名,得到签名数据。也可以只对第二类组件的度量值用TrE的签名私钥进行签名,得到签名数据。如果完整性验证策略指示中,有接入设备尚未加载运行的程序,那么需要在这个时候度量、加载,使TrE获得度量值。
S308、H(e)NB将签名数据发送到网络侧。
在本步骤中,该签名数据包括第一类组件的验证结果和第二类组件的度量值,也可以只包括第二类组件签名后的度量值。
S310、网络侧的安全网关接收来自H(e)NB的签名数据,对接收到的数据进行分析处理,具体可以包括:
将第二类组件的度量值与网络侧预置的完整性度量参考值匹配,得到第二类组件的验证结果;对完整性验证策略中没有定义的组件度量值单独分析,确认其合法性。
S312、网络侧综合H(e)NB发来的第一类组件的验证结果、网络侧的安全网关验证得到的第二类组件的验证结果和完整性验证策略中未定义的组件的分析结果,进行接入控制,可以包括如下:
(1)如果所有验证结果都符合预先设定的安全等级,包括:第一类组件的验证结果为通过,第二类组件验证一致,没有发现不受控的非法软件,则继续正常流程;该正常流程可以是:允许向接入设备提供接入服务等。
(2)如果验证结果部分符合预先设定的最低安全等级,比如可修复软件的度量值不一致,则对接入设备进行网络隔离,可以是仅允许连接并修复接入设备;修复接入设备可以包括:升级软件版本、为软件漏洞打补丁、清除病毒等;进一步的,还可以在成功修复接入设备之后,触发接入设备再次重新发起完整性验证。
(3)如果验证结果不符合预先设定的最低安全等级,比如不可修复组件的度量值不一致,则触发网管报警,或者拒绝接入控制,拒绝业务访问控制等。
通过本发明实施例,可以使得设备平台完整性验证在本地和远程进行合理分工,提高了完整性验证的效率
实施例四:
如图4所示,本发明实施例提供一种网络设备,包括:
第一接收单元402,用于接收来自接入设备的信息,所述信息包括所述接入设备根据完整性验证策略获取到的完整性度量值信息和部分完整性验证结果;所述接收到的信息也可以只包括需要在网络侧验证的接入设备组件的完整性度量值信息。
判断控制单元404,用于对所述第一接收单元接收到的完整性度量值信息和部分完整性验证结果进行分析判断,根据判断结果,对所述接入设备进行接入控制或业务访问控制。
该单元具体可以执行:将接入设备完整性度量值信息与网络侧存储的相应的完整性度量值参考值进行匹配,如果两者匹配则验证通过;当接入设备的完整性度量值信息验证通过时,则允许接入设备接入或访问某种业务,当接入设备组件的完整性度量值信息验证不通过时,拒绝接入设备接入或访问某种业务,或者对接入设备进行修复等;接入控制可以是针对接入设备启动并请求接入网络时进行的;业务访问请求可以是对某种安全信任等级较高的应用层服务的请求等,比如网上交易、电子银行等。
判断控制单元404可以包括:
分析单元404-1,用于对所述接收单元接收到的信息进行分析判断;
包括:将接入设备完整性度量值信息与网络侧存储的相应的完整性度量值参考值进行匹配,如果两者匹配则验证通过;
控制单元404-2,用于当所述分析判断单元判断接收到的信息为合法时,允许所述接入设备接入或业务访问。
包括:当接入设备的完整性度量值信息验证通过时,则允许接入设备接入或访问某种业务,当接入设备组件的完整性度量值信息验证不通过时,拒绝接入设备接入或访问某种业务,或者对接入设备进行修复等。
可选地,还可以包括:
验证策略发送单元406,用于向接入设备发送完整性验证策略。
可选地,还可以包括:
第二接收单元408,用于接收来自接入设备的接入请求或业务访问请求。
本发明实施例设备的各个单元可以集成于一体,也可以分离部署。上述单元可以合并为一个单元,也可以进一步拆分成多个子单元。
本发明实施例的网络设备可以是:SeGW(安全网关),或者独立的验证实体网元,比如AAAserver(AAA服务器)、HLR(归属位置寄存器)、HSS(归属用户服务器)、OAM server、AHR(Access Point home register),MME(mobility management entity移动性管理实体)等。接入设备可以是:家庭基站、或LTE(Long Term Evolution)网络中的演进基站eNB、或路由器、或交换机、或网关、或终端等。
通过本发明实施例,可以使得设备平台完整性验证在本地和远程进行合理分工,提高了完整性验证的效率。
实施例五:
如图5所示,本发明实施例提供一种接入设备,可以包括:
收集单元502,用于根据完整性验证策略,收集本地的完整性度量值信息;
安全单元504,用于根据完整性验证策略,对本地的部分组件进行完整性验证,获得部分完整性验证结果;
第一发送单元506,用于向网络侧发送获取到的完整性度量值信息或部分完整性验证结果;也可以只向网络侧发送需要在网络侧验证的接入设备组件的完整性度量值信息。
可选地,还可以包括:
验证策略接收单元508,用于接收来自网络侧的完整性验证策略;
可选地,还可以包括:
第二发送单元510,用于向网络侧发送接入请求或业务访问请求。
其中,安全单元504可以是逻辑上独立于宿主设备,能够为软件执行和敏感数据存储提供安全可靠的环境的安全芯片,比如TrE或TPM等,其可以包括:
存储单元504-1,用于存储本地组件的平台完整性度量参考值;
验证单元504-2,根据完整性验证策略和所述平台完整性度量参考值,对所述收集单元收集到的本地部分组件的完整性度量值信息进行完整性验证,获得部分完整性验证结果。
可选地,还可以包括:
启动单元512,用于当所述安全单元获得的部分组件的完整性验证结果为验证通过时,对所述部分组件进行加载,启动该接入设备;触发所述第一发送单元506向网络侧发送除所述的部分组件以外的组件的完整性度量值信息;
进一步地,第一发送单元506,还可以用于向网络侧发送除所述的部分组件以外的组件的完整性度量值信息,包括第二类组件和策略中未定义组件的完整性度量值。
本实施例的接入设备可以是:家庭基站、或LTE(Long Term Evolution)网络中的演进基站eNB、或路由器、或交换机、或网关、或终端等。本发明实施例的网络侧可以是:SeGW(安全网关),或者独立的验证实体网元,比如AAAserver(AAA服务器)、HLR(归属位置寄存器)、HSS(归属用户服务器)、OAM server、AHR(Access Point home register),MME(mobilitymanagement entity移动性管理实体)等。
本发明实施例接入设备的各个单元可以集成于一体,也可以分离部署。上述单元可以合并为一个单元,也可以进一步拆分成多个子单元。
通过本发明实施例,可以使得设备平台完整性验证在本地和远程进行合理分工,提高了完整性验证的效率。
实施例六:
如图6所示,本发明实施例提供一种网络系统,可以包括网络侧设备602和接入设备604,其中:
网络侧设备602,用于接收来自接入设备的信息,所述信息包括所述接入设备根据完整性验证策略获取到的完整性度量值信息和部分完整性验证结果;对所述接收到的信息进行分析判断,根据判断结果,对所述接入设备进行接入控制或业务访问控制;
接入设备604,用于根据完整性验证策略,收集本地的完整性度量值信息;根据完整性验证策略,对本地的部分组件进行完整性验证,获得部分完整性验证结果;向网络侧发送收集到的完整性度量值信息或部分完整性验证结果。本发明实施例的接入设备可以是:家庭基站、或LTE(Long Term Evolution)网络中的演进基站eNB、或路由器、或交换机、或网关、或终端等。本发明实施例的网络侧设备可以是:SeGW(安全网关),或者独立的验证实体网元,比如AAAserver(AAA服务器)、HLR(归属位置寄存器)、HSS(归属用户服务器)、OAM server、AHR(Access Point home register),MME(mobilitymanagement entity移动性管理实体)等。
本发明实施例系统的各个单元可以集成于一个装置,也可以分布于多个装置。上述单元可以合并为一个单元,也可以进一步拆分成多个子单元。
通过本发明实施例,可以使得设备平台完整性验证在本地和远程进行合理分工,提高了验证效率。
实施例七:
如图7所示,本发明实施例的平台完整性验证的方法以接入设备在启动时为应用场景进行说明,可以包括:
步骤S702,当接入设备启动时,根据完整性验证策略,对本地的部分组件进行完整性验证,获得部分完整性验证结果;根据部分完整性验证结果,加载相应的组件;
在本步骤中,可以是按照完整性验证策略,逐步执行设备安全启动(secureboot),即逐步加载组件,组件可以包括基本输入输出系统BIOS、系统引导程序OS loader等必需的关键代码(模块),或者硬件等。根据完整性验证策略,组件至少可以分为两类:第一类组件——其完整性度量值与TrE中存储预置的参考值匹配,得到部分完整性验证结果;第二类组件——其完整性度量值不在本地验证;至于其他没有在策略中定义的组件,比如在启动加载中产生的其他组件,可以默认按照第二类组件处理,以防止网络侧在不知情的情况下安装了非法软件。
对于第一类的组件在被加载之前,可以先对组件代码的完整性进行度量,获取组件的完整性度量值,再将组件的完整性度量值与在本地TrE内预置完整性参考值匹配,如果匹配一致则验证通过,然后再加载运行。具体可以是:度量第一个模块A,如果匹配不一致,则不加载A,可以终止启动,启动失败;如匹配一致,则加载A,然后度量下一个模块B,匹配一致,加载B......
依次序进行,以至完成设备的启动。中间如果任何一个组件的完整性参考值匹配不一致,则启动失败。在本步骤中,也可以不是逐个组件得进行验证和加载,而是按照完整性验证策略,对第一类的组件进行批量地完整性度量和验证,然后对其中验证通过的组件再进行加载。
步骤S704,接入设备根据完整性验证策略,收集本地的完整性度量值信息;
对于第二类的组件,可以在组件加载时,对组件代码的完整性进行度量,将得到的完整性度量值存储在接入设备的TrE芯片中。具体可以是:组件在被加载前,先对其代码的完整性进行度量,记录存储实际的度量值后,加载运行,然后度量下一个组件,记录存储实际的度量值,......依次完成第二类的组件加载。TrE收集到第二类组件的完整性度量值,可以做好网络侧进一步验证的准备,例如,TrE可以对要发送的数据进行签名。签名数据包括两部分:第一类组件本地完整性验证结果(向网络侧报告本地验证成功的结果或失败的原因)和第二类组件的完整性度量值。签名数据也可以只包括第二类组件的度量值。可选的,还可以发送接入设备的安全状态信息,包括:开启的端口、补丁版本、防火墙过滤条件等。
步骤S706,网络侧执行完整性验证,以使接入设备完成可信启动。
网络侧接收来自接入设备的签名数据,包括第一类组件本地完整性验证结果和第二类组件的完整性度量值;也可以只包括第二类组件的完整性度量值。可选的,还可以接收来自接入设备的安全状态信息,包括开启的端口、补丁版本、防火墙过滤条件等。
网络侧综合接入设备发来的第一类组件的验证结果、网络侧的安全网关验证得到的第二类组件的验证结果和完整性验证策略中未定义的组件的分析结果,进行接入控制,可以包括如下:
(1)如果所有验证结果都符合预先设定的安全等级,包括:第一类组件的验证结果为通过,第二类组件验证一致,没有发现不受控的非法软件,则继续正常流程;该正常流程可以:允许向接入设备提供接入服务等。
(2)如果验证结果部分符合预先设定的最低安全等级,比如可修复软件的度量值不一致,则对接入设备进行网络隔离,可以是仅允许连接并修复接入设备;修复接入设备可以包括:升级软件版本、为软件漏洞打补丁、清除病毒等;进一步的,还可以在成功修复接入设备之后,触发接入设备再次重新发起完整性验证。
(3)如果验证结果不符合预先设定的最低安全等级,比如不可修复组件的度量值不一致,则触发网管报警,或者拒绝接入控制,拒绝业务访问控制等。
本发明实施例的接入设备可以是:家庭基站、或LTE(Long TermEvolution)网络中的演进基站eNB、或路由器、或交换机、或网关、或终端等。本发明实施例的网络侧设备可以是:SeGW(安全网关),或者独立的验证实体网元,比如AAAserver(AAA服务器)、HLR(归属位置寄存器)、HSS(归属用户服务器)、OAM server、AHR(Access Point home register),MME(mobility management entity移动性管理实体)等。
通过本发明实施例,可以使得设备平台完整性验证在本地和远程进行合理分工,提高了完整性验证的效率。
本发明实施例提供一种平台完整性验证的方法、接入设备、网络设备和网络系统,以使得设备平台完整性验证在本地和远程进行合理分工,给予网络侧更多的控制权限和主动应对措施,提高接入设备的安全性和可维护性。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或任意其它形式的存储介质中。
以上所述仅是本发明的具体实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (18)
1.一种平台完整性验证的方法,其特征在于,包括:
接收来自接入设备的信息,所述信息包括所述接入设备根据完整性验证策略获取到的完整性度量值信息和部分完整性验证结果;
对所述接收到的信息进行分析判断,根据判断结果,对所述接入设备进行接入控制或业务访问控制。
2.如权利要求1所述的平台完整性验证的方法,其特征在于,所述在接收来自接入设备的信息之前还包括:
向接入设备发送所述完整性验证策略,由所述接入设备根据所述完整性验证策略收集所述接入设备的完整性度量值信息,根据完整性验证策略对所述接入设备的部分组件进行完整性验证,获得部分完整性验证结果。
3.如权利要求2所述的平台完整性验证的方法,其特征在于,所述接入设备根据完整性验证策略收集所述接入设备的完整性度量值信息,根据所述完整性验证策略对所述接入设备的部分组件进行完整性验证,获得部分完整性验证结果包括:
所述接入设备的安全单元根据完整性验证策略收集所述接入设备的完整性度量值信息,根据所述验证策略对所述接入设备的部分组件进行完整性验证,获得部分完整性验证结果;所述安全单元的类型包括:信任环境模块TrE或可信平台模块TPM。
4.如权利要求1所述的平台完整性验证的方法,其特征在于,所述接入设备的类型包括:家庭基站、或演进基站eNB、或路由器、或交换机、或网关、或终端。
5.一种网络设备,其特征在于,包括:
第一接收单元,用于接收来自接入设备的信息,所述信息包括所述接入设备根据完整性验证策略获取到的完整性度量值信息和部分完整性验证结果;
判断控制单元,用于对所述第一接收单元接收到的完整性度量值信息和部分完整性验证结果进行分析判断,根据判断结果,对所述接入设备进行接入控制或业务访问控制。
6.如权利要求5所述的网络设备,其特征在于,还包括:
验证策略发送单元,用于向接入设备发送完整性验证策略。
7.如权利要求5所述的网络设备,其特征在于,还包括:
第二接收单元,用于接收来自接入设备的接入请求或业务访问请求。
8.如权利要求5所述的网络设备,其特征在于,判断控制单元包括:
分析单元,用于对所述接收单元接收到的信息进行分析判断;
控制单元,用于当所述分析判断单元判断接收到的信息为合法时,允许所述接入设备接入或业务访问。
9.一种接入设备,其特征在于,包括:
收集单元,用于根据完整性验证策略,收集本地组件的完整性度量值信息;
安全单元,用于存储本地组件的平台完整性度量参考值,根据完整性验证策略和所述平台完整性度量参考值,对所述收集单元收集到的本地部分组件的完整性度量值信息进行完整性验证,获得部分组件的完整性验证结果;
第一发送单元,用于向网络侧发送所述获取到的本地组件的完整性度量值信息和部分完整性验证结果。
10.如权利要求9所述的接入设备,其特征在于,还包括:
验证策略接收单元,用于接收来自网络侧的完整性验证策略。
11.如权利要求9所述的接入设备,其特征在于,还包括:
第二发送单元,用于向网络侧发送接入请求或业务访问请求。
12.如权利要求9所述的接入设备,其特征在于,所述安全单元包括:
存储单元,用于存储本地组件的平台完整性度量参考值;
验证单元,用于根据完整性验证策略和所述平台完整性度量参考值,对所述收集单元收集到的本地部分组件的完整性度量值信息进行完整性验证,获得部分完整性验证结果。
13.如权利要求9所述的接入设备,其特征在于,还包括启动单元,用于当所述安全单元获得的部分组件的完整性验证结果为验证通过时,对所述部分组件进行加载,启动该接入设备;触发所述第一发送单元向网络侧发送除所述的部分组件以外的组件的完整性度量值信息;
所述第一发送单元,还用于向网络侧发送除所述的部分组件以外的组件的完整性度量值信息。
14.如权利要求9所述的接入设备,其特征在于,所述接入设备的类型包括:
家庭基站、或演进基站eNB、或路由器、或交换机、或网关、或终端。
15.一种接入设备完整性验证的方法,其特征在于,包括:
根据完整性验证策略,收集本地组件的完整性度量值信息;
根据完整性验证策略和平台完整性度量参考值,对本地的部分组件进行完整性验证,获得部分完整性验证结果;
向网络侧发送获取到的完整性度量值信息和部分完整性验证结果。
16.如权利要求15所述的接入设备完整性验证方法,其特征在于,所述根据完整性验证策略和平台完整性度量参考值,对本地的部分组件进行完整性验证,获得部分完整性验证结果包括:
根据完整性验证策略,确定需要在本地进行完整性验证的部分组件;
将所述需要在本地进行完整性验证的部分组件的完整性度量值与其对应的平台完整性度量参考值进行匹配,获得所述部分组件的完整性验证结果。
17.如权利要求15或16所述接入设备完整性验证方法,其特征在于,还包括:
当所述部分组件的完整性验证结果为验证通过时,对所述部分组件进行加载,启动该接入设备;
向网络侧发送除所述的部分组件以外的组件的完整性度量值信息。
18.一种网络系统,其特征在于,包括:
网络侧设备,用于接收来自接入设备的信息,所述信息包括所述接入设备根据完整性验证策略获取到的完整性度量值信息或部分完整性验证结果;对所述接收到的信息进行分析判断,根据判断结果,对所述接入设备进行接入控制或业务访问控制;
接入设备,用于根据完整性验证策略,收集本地的完整性度量值信息;根据完整性验证策略,对本地的部分组件进行完整性验证,获得部分完整性验证结果;向网络侧发送收集到的完整性度量值信息和部分完整性验证结果。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2009100042944A CN101784051B (zh) | 2009-01-21 | 2009-02-24 | 一种平台完整性验证的方法、网络设备和网络系统 |
| PCT/CN2009/073356 WO2010083680A1 (zh) | 2009-01-21 | 2009-08-19 | 平台完整性验证的方法、接入设备、网络设备和网络系统 |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910105199 | 2009-01-21 | ||
| CN200910105199.3 | 2009-01-21 | ||
| CN2009100042944A CN101784051B (zh) | 2009-01-21 | 2009-02-24 | 一种平台完整性验证的方法、网络设备和网络系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101784051A CN101784051A (zh) | 2010-07-21 |
| CN101784051B true CN101784051B (zh) | 2012-11-21 |
Family
ID=42355505
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009100042944A Active CN101784051B (zh) | 2009-01-21 | 2009-02-24 | 一种平台完整性验证的方法、网络设备和网络系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN101784051B (zh) |
| WO (1) | WO2010083680A1 (zh) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103096311B (zh) * | 2011-10-31 | 2018-11-09 | 中兴通讯股份有限公司 | 家庭基站安全接入的方法及系统 |
| CN102750471B (zh) * | 2012-05-22 | 2015-02-11 | 中国科学院计算技术研究所 | 基于tpm 的本地验证式启动方法 |
| CN103354496A (zh) * | 2013-06-24 | 2013-10-16 | 华为技术有限公司 | 一种公钥密码的处理方法、装置及系统 |
| JP6395992B2 (ja) * | 2016-08-24 | 2018-09-26 | 三菱電機株式会社 | 通信制御装置、通信システム及び通信制御方法 |
| CN107396352B (zh) * | 2017-09-19 | 2020-03-03 | 清华大学 | 一种基站控制系统及方法 |
| CN108259471B (zh) * | 2017-12-27 | 2021-10-08 | 新华三技术有限公司 | 专有信息的加密方法、解密方法、装置及处理设备 |
| CN109542518B (zh) * | 2018-10-09 | 2020-12-22 | 华为技术有限公司 | 芯片和启动芯片的方法 |
| CN112787817A (zh) * | 2019-11-11 | 2021-05-11 | 华为技术有限公司 | 一种远程证明方法、装置,系统及计算机存储介质 |
| CN112787988B (zh) * | 2019-11-11 | 2023-06-02 | 华为技术有限公司 | 远程证明方法、装置,系统及计算机存储介质 |
| CN114125846B (zh) * | 2020-08-11 | 2023-09-12 | 维沃移动通信有限公司 | 完好性保护方法和系统 |
| CN112188529B (zh) * | 2020-10-22 | 2023-05-16 | 中国联合网络通信集团有限公司 | 微基站运行的方法、微基站 |
| CN114201761B (zh) * | 2022-02-17 | 2022-06-28 | 支付宝(杭州)信息技术有限公司 | 在可信计算系统中增强度量代理安全性 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE19748265A1 (de) * | 1996-10-31 | 1998-05-07 | Solaic Sa | Verfahren zur Sicherung eines Authentifizierungsverfahrens |
| CN1703004A (zh) * | 2005-02-28 | 2005-11-30 | 联想(北京)有限公司 | 一种实现网络接入认证的方法 |
| CN101136928A (zh) * | 2007-10-19 | 2008-03-05 | 北京工业大学 | 一种可信网络接入框架 |
| CN101241528A (zh) * | 2008-01-31 | 2008-08-13 | 武汉大学 | 终端接入可信pda的方法和接入系统 |
-
2009
- 2009-02-24 CN CN2009100042944A patent/CN101784051B/zh active Active
- 2009-08-19 WO PCT/CN2009/073356 patent/WO2010083680A1/zh active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE19748265A1 (de) * | 1996-10-31 | 1998-05-07 | Solaic Sa | Verfahren zur Sicherung eines Authentifizierungsverfahrens |
| CN1703004A (zh) * | 2005-02-28 | 2005-11-30 | 联想(北京)有限公司 | 一种实现网络接入认证的方法 |
| CN101136928A (zh) * | 2007-10-19 | 2008-03-05 | 北京工业大学 | 一种可信网络接入框架 |
| CN101241528A (zh) * | 2008-01-31 | 2008-08-13 | 武汉大学 | 终端接入可信pda的方法和接入系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2010083680A1 (zh) | 2010-07-29 |
| CN101784051A (zh) | 2010-07-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101784051B (zh) | 一种平台完整性验证的方法、网络设备和网络系统 | |
| EP3906652B1 (en) | Protecting a telecommunications network using network components as blockchain nodes | |
| KR101681136B1 (ko) | 무선 장치들의 플랫폼 검증 및 관리 | |
| CN103202045B (zh) | 设备检验、遇险指示和补救 | |
| CN104604290B (zh) | 用于执行移动终端的切换的方法和系统、以及意图用在无线蜂窝通信网络中的移动终端 | |
| CN102740296A (zh) | 一种移动终端可信网络接入方法和系统 | |
| Bitsikas et al. | Don’t hand it over: Vulnerabilities in the handover procedure of cellular telecommunications | |
| CN101023647A (zh) | 返回路由的优化 | |
| CN101557590A (zh) | 一种移动终端接入网络的安全验证方法、系统和装置 | |
| KR102215706B1 (ko) | 제어 평면의 동적 보안 분석 방법 및 그 시스템 | |
| Vondráček et al. | Automated Man-in-the-Middle Attack Against Wi‑Fi Networks | |
| CN101729289B (zh) | 平台完整性认证方法及系统、无线接入设备和网络设备 | |
| CN111527731A (zh) | 用于限制iot设备中的存储器写入访问的方法 | |
| CN106888447A (zh) | 副usim应用信息的处理方法及系统 | |
| CN117544960B (zh) | 一种基于生成的自动化Wi-Fi协议模糊测试方法 | |
| CN106888449B (zh) | 基于usim应用信息处理方法及系统 | |
| CN117956450A (zh) | 一种通信公网与通信专网的协作通信方法和系统 | |
| Brawerman et al. | Towards a fraud-prevention framework for software defined radio mobile devices | |
| Cámara et al. | A TELCO ODYSSEY 5G SUCI-CRACKER AND SCTP-HIJACKER |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |