CN104268165B - 一种在线查询方法及设备 - Google Patents
一种在线查询方法及设备 Download PDFInfo
- Publication number
- CN104268165B CN104268165B CN201410456401.8A CN201410456401A CN104268165B CN 104268165 B CN104268165 B CN 104268165B CN 201410456401 A CN201410456401 A CN 201410456401A CN 104268165 B CN104268165 B CN 104268165B
- Authority
- CN
- China
- Prior art keywords
- result
- network equipment
- data message
- reference result
- operation result
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Data Mining & Analysis (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种在线查询方法及设备,该方法可包括:网络设备获取查询设备发送的对网络设备的安全性进行查询的查询请求,查询请求携带有查询设备随机生成的第一数据信息;网络设备响应查询请求,以生成网络设备的安全性的校验结果;网络设备将第一数据信息、校验结果和预先存储的机密信息进行特定运算得到运算结果,向查询设备发送运算结果,运算结果用于与参考结果进行比较,且比较结果用于识别网络设备的安全性,其中,参考结果为将第一数据信息、机密信息和校验参考结果进行特定运算得到的参考结果,校验参考结果用于表示网络设备的安全性。本发明可以实现查询设备正确地识别网络设备的安全性。
Description
技术领域
本发明涉及通信领域,尤其涉及一种在线查询方法及设备。
背景技术
随着通信技术的发展和应用,目前通信领域中越来越重视网络设备的安全,如可以通过校验网络设备上的程序的完整性,来确定该网络设备是否安全。例如:当校验结果表示该网络设备上的程序完整,即程序没有被篡改时,则可以确定该网络设备安全,当校验结果表示该网络设备上的程序不完整,即程序有被篡改时,则可以确定该网络设备不安全。然而,目前通信领域中主要通过如下技术校验网络设备上的程序的完整性:
设备管理者通过查询设备向网络设备发送查询请求;
网络设备响应上述查询请求,以生成该网络设备上的程序的完整性校验结果,并向查询设备发送该校验结果。
这样设备管理者就可以通过查询设备获取的上述校验结果,从而确定该网络设备上的程序的完整性。
但目前通信领域中存在攻击者针对网络设备开发的攻击技术,该技术可以将木马后门植入网络设备,从而可以篡改网络设备上的程序,例如:篡改固件。同时,攻击者还可以控制该网络设备或者在线劫持上述查询请求,从而实现向查询设备返回一个错误的校验结果。例如:网络设备被植入木马后,网络设备接收到查询设备发送的查询请求后,网络设备生成该网络设备上的程序不完整的校验结果。但攻击者可以通过木马拦劫该校验结果,并向查询设备返回一个网络设备上的程序完整的错误校验结果。这样查询设备就只会接收到这个错误校验结果,而无法得到正确的校验结果。
可见,上述技术中查询设备可能无法正确地识别网络设备的安全性。
发明内容
本发明提供了一种在线查询方法及设备,可以实现查询设备正确地识别网络设备的安全性。
第一方面,本发明提供一种在线查询方法,包括:
网络设备获取查询设备发送的对所述网络设备的安全性进行查询的查询请求,所述查询请求携带有所述查询设备随机生成的第一数据信息;
所述网络设备响应所述查询请求,以生成所述网络设备的安全性的校验结果;
所述网络设备将所述第一数据信息、所述校验结果和预先存储的机密信息进行特定运算得到运算结果,向所述查询设备发送所述运算结果,所述运算结果用于与参考结果进行比较,且所述比较结果用于识别所述网络设备的安全性,其中,所述参考结果为将所述第一数据信息、所述机密信息和校验参考结果进行所述特定运算得到的参考结果,所述校验参考结果用于表示所述网络设备的安全性。
在第一方面的第一种可能的实现方式中,所述网络设备获取查询设备发送的对所述网络设备的安全性进行查询的查询请求,包括:
所述网络设备获取查询设备发送的对所述网络设备上的目标程序的完整性进行查询的查询请求;
所述网络设备响应所述查询请求,以生成所述网络设备的安全性的校验结果,包括:
所述网络设备响应所述查询请求,以生成所述目标程序的完整性的校验结果。
结合第一方面或者第一方面的第一种可能的实现方式,在第二种可能的实现方式中,所述机密信息存储在所述网络设备上的特定芯片的存储单元内,且所述特定芯片内包含用于进行所述特定运算的运算电路,所述运算电路与所述存储单元连接;
所述网络设备将所述校验结果和预先存储的机密信息进行特定运算得到运算结果,包括:
所述运算电路获取所述第一数据信息、所述校验结果和所述机密信息,并输出所述第一数据信息、所述校验结果和预先存储的机密信息进行所述特定运算的运算结果。
结合第一方面或者第一方面的第一种可能的实现方式,在第二种可能的实现方式中,所述方法还包括:
所述网络设备随机生成所述第二数据信息;
所述网络设备将所述第一数据信息、所述校验结果和预先存储的机密信息进行特定运算得到运算结果,向所述查询设备发送所述运算结果,包括:
所述网络设备将所述第一数据信息、第二数据信息、校验结果和预先存储的机密信息进行特定运算得到运算结果,并向所述查询设备发送所述运算结果和所述第二数据信息,以使所述查询设备将参考结果与所述运算结果进行比较,并根据所述比较结果识别所述网络设备的安全性,其中,所述参考结果根据所述第二数据信息得到。
第二方面,本发明提供一种在线性校验方法,包括:
向网络设备发送对安全性进行查询的查询请求,所述查询请求携带有随机生成的第一数据信息,以使所述网络设备响应所述查询请求,以生成所述网络设备的安全性的校验结果;
接收所述网络设备发送的运算结果,所述运算结果是所述网络设备将所述第一数据信息、所述校验结果和所述网络设备预先存储的机密信息进行特定运算得到的结果;
将参考结果与所述运算结果进行比较,并根据所述比较结果识别所述网络设备的安全性,其中,所述参考结果为将所述第一数据信息、所述机密信息和校验参考结果进行所述特定运算得到的参考结果,所述校验参考结果用于表示所述网络设备的安全性。
在第二方面的第一种可能的实现方式中,所述向网络设备发送对安全性进行查询的查询请求,包括:
向网络设备发送对目标程序的完整性进行查询的查询请求;
所述将参考结果与所述运算结果进行比较,并根据所述比较结果识别所述网络设备的安全性,包括:
将参考结果与所述运算结果进行比较,并根据所述比较的结果识别所述目标程序的完整性。
结合第二方面的第一种可能的实现方式,在第二种可能的实现方式中,所述校验参考结果包括第一验证参考结果,所述方法还包括:
将所述第一数据信息、所述机密信息和所述第一校验参考结果进行所述特定运算得到所述参考结果,其中,所述第一校验参考结果表示所述目标程序完整;
所述将参考结果与所述运算结果进行比较,并根据所述比较的结果识别所述目标程序的完整性,包括:
将所述参考结果与所述运算结果进行比较,当所述参考结果与所述运算结果相同时,则确认所述目标程序完整,当所述参考结果与所述运算结果不相同时,则确认所述目标程序不完整。
结合第二方面的第一种可能的实现方式,所述校验参考结果包括第二验证参考结果,在第三种可能的实现方式中,所述方法还包括:
将所述第一数据信息、所述机密信息和所述第二校验参考结果进行所述特定运算得到所述参考结果,其中,所述第二校验参考结果表示所述目标程序不完整;
所述将参考结果与所述运算结果进行比较,并根据所述比较的结果识别所述目标程序的完整性,包括:
将所述参考结果与所述运算结果进行比较,当所述参考结果与所述运算结果相同时,则确认所述目标程序不完整。
结合第二方面或者第二方面的第一种可能的实现方式,在第四种可能的实现方式中,所述方法还包括:
接收所述网络设备发送的第二数据信息,所述第二数据信息为所述网络设备随机生成的;
所述参考结果为将所述第一数据信息、所述第二数据信息、所述机密信息和校验参考结果进行所述特定运算得到的参考结果。
第三方面,本发明提供一种网络设备,包括:获取单元、响应单元和运算单元,其中:
所述获取单元,用于获取查询设备发送的对所述网络设备的安全性进行查询的查询请求,所述查询请求携带有所述查询设备随机生成的第一数据信息;
所述响应单元,用于响应所述查询请求,以生成所述网络设备的安全性的校验结果;
所述运算单元,用于将所述第一数据信息、所述校验结果和预先存储的机密信息进行特定运算得到运算结果,向所述查询设备发送所述运算结果,所述运算结果用于与参考结果进行比较,且所述比较结果用于识别所述网络设备的安全性,其中,所述参考结果为将所述第一数据信息、所述机密信息和校验参考结果进行所述特定运算得到的参考结果,所述校验参考结果用于表示所述网络设备的安全性。
在第三方面的第一种可能的实现方式中,所述获取单元用于获取查询设备发送的对所述网络设备上的目标程序的完整性进行查询的查询请求;
所述响应单元用于响应所述查询请求,以生成所述目标程序的完整性的校验结果。
结合第三方面或者第三方面的第一种可能的实现方式中,在第二种可能的实现方式中,所述机密信息存储在所述网络设备上的特定芯片的存储单元内,且所述特定芯片内包含用于进行所述特定运算的运算电路,所述运算电路与所述存储单元连接;
所述运算单元通过所述运算电路获取所述第一数据信息、所述校验结果和所述机密信息,并输出所述第一数据信息、所述校验结果和预先存储的机密信息进行所述特定运算的运算结果。
结合第三方面或者第三方面的第一种可能的实现方式中,在第三种可能的实现方式中,所述设备还包括:
生成单元,用于随机生成所述第二数据信息;
所述运算单元用于将所述第一数据信息、第二数据信息、校验结果和预先存储的机密信息进行特定运算得到运算结果,并向所述查询设备发送所述运算结果和所述第二数据信息,以使所述查询设备将参考结果与所述运算结果进行比较,并根据所述比较结果识别所述网络设备的安全性,其中,所述参考结果根据所述第二数据信息得到。
第四方面,本发明提供一种查询设备,包括:发送单元、接收单元和识别单元,其中:
所述发送单元,用于向网络设备发送对安全性进行查询的查询请求,所述查询请求携带有随机生成的第一数据信息,以使所述网络设备响应所述查询请求,以生成所述网络设备的安全性的校验结果;
所述接收单元,用于接收所述网络设备发送的运算结果,所述运算结果是所述网络设备将所述第一数据信息、所述校验结果和所述网络设备预先存储的机密信息进行特定运算得到的结果;
所述识别单元,用于将参考结果与所述运算结果进行比较,并根据所述比较结果识别所述网络设备的安全性,其中,所述参考结果为将所述第一数据信息、所述机密信息和校验参考结果进行所述特定运算得到的参考结果,所述校验参考结果用于表示所述网络设备的安全性。
在第四方面的第一种可能的实现方式中,所述发送单元用于向网络设备发送对目标程序的完整性进行查询的查询请求;
所述识别单元用于将参考结果与所述运算结果进行比较,并根据所述比较的结果识别所述目标程序的完整性。
结合第四方面的第一种可能的实现方式,在第二种可能的实现方式中,所述校验参考结果包括第一验证参考结果,所述设备还包括:
第一运算单元,用于将所述第一数据信息、所述机密信息和所述第一校验参考结果进行所述特定运算得到所述参考结果,其中,所述第一校验参考结果表示所述目标程序完整;
所述识别单元用于将所述参考结果与所述运算结果进行比较,当所述参考结果与所述运算结果相同时,则确认所述目标程序完整,当所述参考结果与所述运算结果不相同时,则确认所述目标程序不完整。
结合第四方面的第一种可能的实现方式,在第三种可能的实现方式中,所述校验参考结果包括第二验证参考结果,所述设备还包括:
第二运算单元,用于将所述第一数据信息、所述机密信息和所述第二校验参考结果进行所述特定运算得到所述参考结果,其中,所述第二校验参考结果表示所述目标程序不完整;
所述识别单元用于将所述参考结果与所述运算结果进行比较,当所述参考结果与所述运算结果相同时,则确认所述目标程序不完整。
结合第四方面或者第四方面的第一种可能的实现方式,在第四种可能的实现方式中,所述接收单元还用于接收所述网络设备发送的第二数据信息,所述第二数据信息为所述网络设备随机生成的;
所述参考结果为将所述第一数据信息、所述第二数据信息、所述机密信息和校验参考结果进行所述特定运算得到的参考结果。
上述技术方案中,当获取到查询请求后,就可以生成网络设备的安全性的校验结果,再将所述第一数据信息、所述校验结果和预先存储的机密信息进行特定运算得到运算结果,向所述查询设备发送所述运算结果。从而查询设备可以将参考结果与所述运算结果进行比较,并根据所述比较结果识别所述网络设备的安全性。这样木马只能拦劫到结算结果,当木马向查询设备返回一个错误的运算结果时,查询设备就会发现,且上述运算结果的运算中的第一数据信息为随机生成的,这样木马也无法将之前拦劫的运算结果在下次查询中使用。从而本发明中查询设备可以正确地识别网络设备的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种在线查询方法的流程示意图;
图2是本发明实施例提供的另一种在线查询方法的流程示意图;
图3和图4是本发明实施例提供的可选的特定芯片的结构示意图;
图5是本发明实施例提供的另一种在线查询方法的流程示意图;
图6是本发明实施例提供的另一种在线查询方法的流程示意图;
图7是本发明实施例提供的一种网络设备的结构示意图;
图8是本发明实施例提供的另一种网络设备的结构示意图;
图9是本发明实施例提供的一种查询设备的结构示意图;
图10是本发明实施例提供的另一种查询设备的结构示意图;
图11是本发明实施例提供的另一种网络设备的结构示意图;
图12是本发明实施例提供的另一种网络设备的结构示意图;
图13是本发明实施例提供的另一种查询设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1,图1是本发明实施例提供的一种在线查询方法的流程示意图,如图1所示,包括以下步骤:
101、网络设备获取查询设备发送的对所述网络设备的安全性进行查询的查询请求,所述查询请求携带有所述查询设备随机生成的第一数据信息。
上述对网络设备的安全性进行查询可以是,查询网络设备是否有入侵木马,或者可以是查询网络设备内的程序是否有被篡改等等。另外,上述查询请求可以是查询设备主动发送,例如,当设备管理者需要对网络设备进行查询时,该设备管理者就可以通过上述查询设备向网络设备发送查询请求。
102、网络设备响应所述查询请求,以生成所述网络设备的安全性的校验结果。
可选的,步骤102可以是通过安全校验算法校验网络设备的安全性,例如:通过可信计算校验网络设备的安全性,或者通过木马检测算法校验网络设备的安全性等等。
另外,上述校验结果可以是表示上述网络设备当前处于安全状态,例如:表示网络设备当前没有被木马入侵;或者上述校验结果可以是表示上述网络设备当前处于不安全状态,例如:表示网络设备当前被木马入侵。
103、网络设备将所述第一数据信息、所述校验结果和预先存储的机密信息进行特定运算得到运算结果,向所述查询设备发送所述运算结果,所述运算结果用于与参考结果进行比较,且所述比较结果用于识别所述网络设备的安全性,其中,所述参考结果为将所述第一数据信息、所述机密信息和校验参考结果进行所述特定运算得到的参考结果,所述校验参考结果用于表示所述网络设备的安全性。
例如:所述查询设备将参考结果与所述运算结果进行比较,并根据所述比较结果识别所述网络设备的安全性。
上述特定运算可以与查询设备预先协商好的,例如:上述特定运算可以是哈希运算。
可选的,上述校验参考结果的内容可以是查询设备与网络设备预先协商好的,例如:当表示网络设备不安全时,则校验参考结果为第一字符信息,当表示网络设备安全时,则校验结果为第二字符信息。这样就可以将第一数据信息、机密信息和表示网络设备安全的校验参考结果进行上述特定运算得到参考结果。这样当运算结果与该参考结果一致时,就可以确认网络设备安全,若不一致时,则可以确认网络设备不安全。同理,将第一数据信息、机密信息和表示网络设备不安全的校验参考结果进行上述特定运算得到参考结果,这样当运算结果与该参考结果一致时,就可以确认网络设备不安全。
当查询设备接收到上述运算结果后,就可以将上述运算结果与上述参考结果进行比较,当比较一致,且上述参考结果表示被测设备安全时,那么查询设备就可以确定上述网络设备安全,当比较不一致时,查询设备可以确定上述网络设备不安全。其中,上述参考结果可以是预先获取的,或者接收到上述运算结果之后再生成的参考结果。
通过上述步骤可以实现向查询设备返回的一个运算结果,这样攻击者通过木马只能拦劫该运算结果,当攻击者通过木马向查询设备返回一个被篡改的运算结果时,查询设备就会发现,从而确定该网络设备不安全。另外,上述运算结果是通过对第一数据信息进行运算得到的,即上述运算结果是随机的,这样攻击都也无法将该校验结果在下次查询中使用,因为下次校验结果在运算时第一数据信息是不同的。从而可以实现查询设备正确地识别网络设备的安全性。
可选的,上述查询设备可以是任何具备网络和计算功能的设备,例如:服务器、基站设备、安全校验设备等。另外,上述网络设备也可以是任何具备网络和计算功能的设备,例如:路由设备、平板电脑、手机、电子阅读器、遥控器、个人计算机(Personal Computer,PC)、笔记本电脑、车载设备、网络电视、可穿戴设备等。另外,上述方法可以应用于上述网络设备,即上述网络设备可以实现上述方法。
本实施例中,当获取到查询请求后,就可以生成网络设备的安全性的校验结果,再将所述第一数据信息、所述校验结果和预先存储的机密信息进行特定运算得到运算结果,向所述查询设备发送所述运算结果。从而查询设备可以将参考结果与所述运算结果进行比较,并根据所述比较结果识别所述网络设备的安全性。这样木马只能拦劫到结算结果,当木马向查询设备返回一个错误的运算结果时,查询设备就会发现,且上述运算结果的运算中的第一数据信息为随机生成的,这样木马也无法将之前拦劫的运算结果在下次查询中使用。从而本实施例中查询设备可以正确地识别网络设备的安全性。
请参阅图2,图2是本发明实施例提供的另一种在线查询方法的流程示意图,如图2所示,包括以下步骤:
201、网络设备获取查询设备发送的对所述网络设备上的目标程序的完整性进行查询的查询请求,所述查询请求携带有所述查询设备随机生成的第一数据信息。
可选的,上述目标程序可以是网络设备上的可以通过安全校验算法校验完整性的一个或者多个程序,例如,上述目标程序可以是网络设备上的可以通过可信计算校验完整性的一个或者多个程序,如网络设备上的一个或者多个固件。
202、网络设备响应所述查询请求,以生成所述目标程序的完整性的校验结果。
步骤202可以通过可信计算校验目标程序的完整性。
203、网络设备将所述第一数据信息、所述校验结果和预先存储的机密信息进行特定运算得到运算结果,向所述查询设备发送所述运算结果,所述运算结果用于与参考结果进行比较,且所述比较结果用于识别所述目标程序的完整性,其中,所述参考结果为将所述第一数据信息、所述机密信息和校验参考结果进行所述特定运算得到的参考结果,所述校验参考结果用于表示所述网络设备的安全性。
可选的,上述所述机密信息可以存储在所述网络设备上的特定芯片的存储单元内,且所述特定芯片内包含用于进行所述特定运算的运算电路,所述运算电路与所述存储单元连接。这样上述将所述校验结果和预先存储的机密信息进行特定运算得到运算结果的步骤,可以包括:
运算电路获取所述第一数据信息、所述校验结果和所述机密信息,并输出所述第一数据信息、所述校验结果和预先存储的机密信息进行所述特定运算的运算结果。
具体可以是存储单元的输出端与运算电路的某一输入端连接,这样该机密信息只能是被该运算电路获取,且由于该运算电路为硬件电路,这样该运算电路只能是对第一数据信息、所述校验结果和所述机密信息进行特定运算,再输出运算结果。这样整个运算过程中机密信息的具体内容是无法被得知的,从而有效保证该机密信息不会泄露。这样由于木马无法获取机密信息的具体内容,从而再厉害的木马也伪造不出上述运算结果。从而该实施方式中可以更加地提高查询设备对网络设备查询的安全性。
可选的,上述芯片的结构可以如图3所示,芯片300内包括存储单元301、运算电路302、输入接口303和输出接口304,其中:存储单元301内存储上述机密信息,且存储单元301输出端3011与运算电路302的第一输入端3021连接,输入接口303与运算电路302的第二输入端3022连接,或者输入接口303可以为运算电路302的第二输入端,运算电路302的输出端作为输出接口304。这样当输入接口303获取到上述第一数据信息和校验结果时,运算电路302就可以将第一数据信息、所述校验结果和所述机密信息进行特定运算,再输出运算结果。另外,上述存储单元301可以是只读存储记忆体(Read-Only Memory,ROM)或者闪存(Flash Memory)等,上述运算电路302可以是哈希硬件运算电路。
可选的,为了进一步提供安全性,还可以将步骤202执行的响应所述查询请求,以生成所述目标程序的完整性的校验结果的步骤,在上述芯片中实现,即该芯片执行响应所述查询请求,以生成所述目标程序的完整性的校验结果的步骤。例如:如图4所示:芯片300进一步还可以包括响应单元305,其中,响应单元305的输出端3051与运算电路302的第三输入端3023连接,响应单元305用于响应响应所述查询请求,以生成所述目标程序的完整性的校验结果。这样可以实现校验结果和运算结果都在芯片内部完全,从而进一步提供查询的安全性。
可选的,上述方法还可以包括如下步骤:
网络设备随机生成所述第二数据信息;
所述网络设备上述将所述第一数据信息、所述校验结果和预先存储的机密信息进行特定运算得到运算结果,向所述查询设备发送所述运算结果的步骤,可以包括:
网络设备将所述第一数据信息、第二数据信息、校验结果和预先存储的机密信息进行特定运算得到运算结果,并向所述查询设备发送所述运算结果和所述第二数据信息,以使所述查询设备将参考结果与所述运算结果进行比较,并根据所述比较结果识别所述网络设备的安全性,其中,所述参考结果根据所述第二数据信息得到。
该实施方式中,在上述描述的多种实施方式的基础使运算结果更加地复杂,从而进一步提供了运算结果的安全性。
需要说明的是,上述描述的多种可选的实施方式都可以应用于图1所示的实施例中,此处不作重复说明。
本实施例中,在图1所示的实施例的基础上介绍了查询目标程序的完整性的多种查询方案,以通过查询目标程序的完整性实现对网络设备的安全性的查询。且可以实现查询设备可以正确地识别网络设备的安全性。
请参阅图5,图5是本发明实施例提供的另一种在线查询方法的流程示意图,如图5所示,包括以下步骤:
501、向网络设备发送对安全性进行查询的查询请求,所述查询请求携带有随机生成的第一数据信息,以使所述网络设备响应所述查询请求,以生成所述网络设备的安全性的校验结果。
上述对网络设备的安全性进行查询可以是,查询网络设备是否有入侵木马,或者可以是查询网络设备内的程序是否有被篡改等安全性的查询。
502、接收所述网络设备发送的运算结果,所述运算结果是所述网络设备将所述第一数据信息、所述校验结果和所述网络设备预先存储的机密信息进行特定运算得到的结果。
当上述网络设备接收到上述查询请求后,就可以响应该查询请求,以生成上述校验结果,并将第一数据信息、所述校验结果和所述网络设备预先存储的机密信息进行特定运算得到上述运算结果,并上报。
503、将参考结果与所述运算结果进行比较,并根据所述比较结果识别所述网络设备的安全性,其中,所述参考结果为将所述第一数据信息、所述机密信息和校验参考结果进行所述特定运算得到的参考结果,所述校验参考结果用于表示所述网络设备的安全性。
可选的,上述校验参考结果的内容可以是查询设备与网络设备预先协商好的,例如:当网络设备不安全时,则校验参考结果为第一字符信息,当网络设备安全时,则校验结果为第二字符信息。另外,上述机密信息是预先获取的,这样就可以将第一数据信息、机密信息和表示网络设备安全的校验参考结果进行上述特定运算得到参考结果。其中,该运算过程可以是预先计算的,或者预先接收其他设备发送的,或者在接收到上述运算结果之后,再运算得到校验参考结果。另外,运算时采用的第一数据信息可以是使用之前生成时保存的,还可以是临时再生成的第一数据信息。这样当步骤502获取的运算结果与该参考结果一致时,就可以确认网络设备安全,若不一致时,则可以确认网络设备不安全。同理,将第一数据信息、机密信息和表示网络设备不安全的校验参考结果进行上述特定运算得到参考结果,这样当步骤502获取的运算结果与该参考结果一致时,就可以确认网络设备不安全。
可选的,上述方法可以应用于查询设备,即查询设备可以实现上述方法。
本实施例中,接收网络设备发送的校验结果,再将参考结果与所述运算结果进行比较,并根据所述比较结果识别所述网络设备的安全性。这样木马只能拦劫到结算结果,当木马向查询设备返回一个错误的运算结果时,查询设备就会发现,且上述运算结果的运算中的第一数据信息为随机生成的,这样木马也无法将之前拦劫的运算结果在下次查询中使用。从而本实施例中查询设备可以正确地识别网络设备的安全性。
请参阅图6,图6是本发明实施例提供的另一种在线查询方法的流程示意图,如图6所示,包括以下步骤:
601、向网络设备发送对目标程序的完整性进行查询的查询请求,所述查询请求携带有随机生成的第一数据信息,以使所述网络设备响应所述查询请求,以生成所述目标程序的完整性的校验结果。
602、接收所述网络设备发送的运算结果,所述运算结果是所述网络设备将所述第一数据信息、所述校验结果和所述网络设备预先存储的机密信息进行特定运算得到的结果。
603、将参考结果与所述运算结果进行比较,并根据所述比较的结果识别所述目标程序的完整性,其中,所述参考结果为将所述第一数据信息、所述机密信息和校验参考结果进行所述特定运算得到的参考结果。
可选的,所述校验参考结果可以包括第一验证参考结果。例如:所述方法还可以包括:
将所述第一数据信息、所述机密信息和第一校验参考结果进行所述特定运算得到所述参考结果,其中,所述第一校验参考结果表示所述目标程序完整;
步骤603可以包括:
将所述参考结果与所述运算结果进行比较,当所述参考结果与所述运算结果相同时,则确认所述目标程序完整,当所述参考结果与所述运算结果不相同时,则确认所述目标程序不完整。
其中,上述第一校验参考结果可以是预先获取的,或者临时生成的。
可选的,所述校验参考结可以果包括第二验证参考结果。例如:所述方法还可以包括:
将所述第一数据信息、所述机密信息和预先获取的第二校验参考结果进行所述特定运算得到所述参考结果,其中,所述第二校验参考结果表示所述目标程序不完整;
步骤603可以包括:
将所述参考结果与所述运算结果进行比较,当所述参考结果与所述运算结果相同时,则确认所述目标程序不完整。
其中,上述第一校验参考结果可以是预先获取的,或者临时生成的。
上述两种实施方式可以实现采用多种不同的参考结果对目标程序的完整性进行识别。
可选的,所述方法还可以包括:
接收所述网络设备发送的第二数据信息,所述第二数据信息为所述网络设备随机生成的;
所述参考结果为将所述第一数据信息、所述第二数据信息、所述机密信息和校验参考结果进行所述特定运算得到的参考结果。
步骤603可以包括:
将所述第一数据信息、所述第二数据信息、所述机密信息和校验参考结果进行所述特定运算得到的参考结果,并将该参考结果与所述运算结果进行比较,并根据所述比较的结果识别所述目标程序的完整性。
该实施方式中,在上述描述的多种实施方式的基础使运算结果更加地复杂,从而进一步提供了运算结果的安全性。
需要说明的是,上述描述的多种可选的实施方式都可以应用于图5所示的实施例中,此处不作重复说明。
本实施例中,在图5所示的实施例的基础上介绍了查询目标程序的完整性的多种查询方案,以通过查询目标程序的完整性实现对网络设备的安全性的查询。且可以实现正确地识别网络设备的安全性。
下面为本发明装置实施例,本发明装置实施例用于执行本发明方法实施例一至四实现的方法,为了便于说明,仅示出了与本发明实施例相关的部分,具体技术细节未揭示的,请参照本发明实施例一、实施例二、实施例三和实施例四。
请参阅图7,图7是本发明实施例提供的一种网络设备的结构示意图,如图7所示,包括:获取单元71、响应单元72和运算单元73,其中:
获取单元71,用于获取查询设备发送的对网络设备的安全性进行查询的查询请求,所述查询请求携带有所述查询设备随机生成的第一数据信息。
上述对网络设备的安全性进行查询可以是,查询网络设备是否有入侵木马,或者可以是查询网络设备内的程序是否有被篡改等等。另外,上述查询请求可以是查询设备主动发送,例如,当设备管理者需要对网络设备进行查询时,该设备管理者就可以通过上述查询设备向网络设备发送查询请求。
响应单元72,用于响应所述查询请求,以生成所述网络设备的安全性的校验结果。
可选的,响应单元72可以是通过安全校验算法校验网络设备的安全性,例如:通过可信计算校验网络设备的安全性,或者通过木马检测算法校验网络设备的安全性等等。
另外,上述校验结果可以是表示上述网络设备当前处于安全状态,例如:表示网络设备当前没有被木马入侵;或者上述校验结果可以是表示上述网络设备当前处于不安全状态,例如:表示网络设备当前被木马入侵。
运算单元73,用于将所述第一数据信息、所述校验结果和预先存储的机密信息进行特定运算得到运算结果,向所述查询设备发送所述运算结果,所述运算结果用于与参考结果进行比较,且所述比较结果用于识别所述网络设备的安全性,其中,所述参考结果为将所述第一数据信息、所述机密信息和校验参考结果进行所述特定运算得到的参考结果,所述校验参考结果用于表示所述网络设备的安全性。
上述特定运算可以与查询设备预先协商好的,例如:上述特定运算可以是哈希运算。
当查询设备接收到上述运算结果后,就可以将上述运算结果与上述参考结果进行比较,当比较一致,且上述参考结果表示被测设备安全时,那么查询设备就可以确定上述网络设备安全,当比较不一致时,查询设备可以确定上述网络设备不安全。
本实施例中,当获取到查询请求后,就可以生成网络设备的安全性的校验结果,再将所述第一数据信息、所述校验结果和预先存储的机密信息进行特定运算得到运算结果,向所述查询设备发送所述运算结果。从而查询设备可以将参考结果与所述运算结果进行比较,并根据所述比较结果识别所述网络设备的安全性。这样木马只能拦劫到结算结果,当木马向查询设备返回一个错误的运算结果时,查询设备就会发现,且上述运算结果的运算中的第一数据信息为随机生成的,这样木马也无法将之前拦劫的运算结果在下次查询中使用。从而本实施例中查询设备可以正确地识别网络设备的安全性。
请参阅图8,图8是本发明实施例提供的另一种网络设备的结构示意图,如图8所示,包括:获取单元81、响应单元82和运算单元83,其中:
获取单元用于获取查询设备发送的对所述网络设备上的目标程序的完整性进行查询的查询请求,所述查询请求携带有所述查询设备随机生成的第一数据信息。
可选的,上述目标程序可以是网络设备上的可以通过安全校验算法校验完整性的一个或者多个程序,例如,上述目标程序可以是网络设备上的可以通过可信计算校验完整性的一个或者多个程序,如网络设备上的一个或者多个固件。
响应单元82,用于响应所述查询请求,以生成所述目标程序的完整性的校验结果。
响应单元82可以通过可信计算校验目标程序的完整性。
运算单元83,用于将所述第一数据信息、所述校验结果和预先存储的机密信息进行特定运算得到运算结果,向所述查询设备发送所述运算结果,所述运算结果用于与参考结果进行比较,且所述比较结果用于识别所述目标程序的完整性,其中,所述参考结果为将所述第一数据信息、所述机密信息和校验参考结果进行所述特定运算得到的参考结果,所述校验参考结果用于表示所述网络设备的安全性。
可选的,上述所述机密信息可以存储在所述网络设备上的特定芯片的存储单元内,且所述特定芯片内包含用于进行所述特定运算的运算电路,所述运算电路与所述存储单元连接。这样所述运算单元83可以通过所述运算电路获取所述第一数据信息、所述校验结果和所述机密信息,并输出所述第一数据信息、所述校验结果和预先存储的机密信息进行所述特定运算的运算结果。
具体可以是存储单元的输出端与运算电路的某一输入端连接,这样该机密信息只能是被该运算电路获取,且由于该运算电路为硬件电路,这样该运算电路只能是对第一数据信息、所述校验结果和所述机密信息进行特定运算,再输出运算结果。这样整个运算过程中机密信息的具体内容是无法被得知的,从而有效保证该机密信息不会泄露。这样由于木马无法获取机密信息的具体内容,从而再厉害的木马也伪造不出上述运算结果。从而该实施方式中可以更加地提高查询设备对网络设备查询的安全性。
需要说明的是,本实施例中上述各单元都可以部署于上述芯片内,即该芯片可以包括上述各单元。该芯片的结构可以是图3和图4所示的芯片。
可选的,所述设备还可以包括:
生成单元84,用于随机生成所述第二数据信息;
运算单元83可以用于将所述第一数据信息、第二数据信息、校验结果和预先存储的机密信息进行特定运算得到运算结果,并向所述查询设备发送所述运算结果和所述第二数据信息,以使所述查询设备将参考结果与所述运算结果进行比较,并根据所述比较结果识别所述网络设备的安全性,其中,所述参考结果根据所述第二数据信息得到。
该实施方式中,在上述描述的多种实施方式的基础使运算结果更加地复杂,从而进一步提供了运算结果的安全性。
本实施例中,在图7所示的实施例的基础上介绍了查询目标程序的完整性的多种查询方案,以通过查询目标程序的完整性实现对网络设备的安全性的查询。且可以实现查询设备可以正确地识别网络设备的安全性。
请参阅图9,图9是本发明实施例提供的一种查询设备的结构示意图,如图9所示,包括:发送单元91、接收单元92和识别单元93,其中:
发送单元91,用于向网络设备发送对安全性进行查询的查询请求,所述查询请求携带有随机生成的第一数据信息,以使所述网络设备响应所述查询请求,以生成所述网络设备的安全性的校验结果。
上述对网络设备的安全性进行查询可以是,查询网络设备是否有入侵木马,或者可以是查询网络设备内的程序是否有被篡改等安全性的查询。
接收单元92,用于接收所述网络设备发送的运算结果,所述运算结果是所述网络设备将所述第一数据信息、所述校验结果和所述网络设备预先存储的机密信息进行特定运算得到的结果。
识别单元93,用于将参考结果与所述运算结果进行比较,并根据所述比较结果识别所述网络设备的安全性,其中,所述参考结果为将所述第一数据信息、所述机密信息和校验参考结果进行所述特定运算得到的参考结果,所述校验参考结果用于表示所述网络设备的安全性。
本实施例中,接收网络设备发送的校验结果,再将参考结果与所述运算结果进行比较,并根据所述比较结果识别所述网络设备的安全性。这样木马只能拦劫到结算结果,当木马向查询设备返回一个错误的运算结果时,查询设备就会发现,且上述运算结果的运算中的第一数据信息为随机生成的,这样木马也无法将之前拦劫的运算结果在下次查询中使用。从而本实施例中查询设备可以正确地识别网络设备的安全性。
请参阅图10,图10是本发明实施例提供的另一种查询设备的结构示意图,如图10所示,包括:发送单元101、接收单元102和识别单元103,其中:
发送单元101,用于向网络设备发送对目标程序的完整性进行查询的查询请求,所述查询请求携带有随机生成的第一数据信息,以使所述网络设备响应所述查询请求,以生成所述目标程序的完整性的校验结果。
接收单元102,用于接收所述网络设备发送的运算结果,所述运算结果是所述网络设备将所述第一数据信息、所述校验结果和所述网络设备预先存储的机密信息进行特定运算得到的结果。
识别单元103,用于将参考结果与所述运算结果进行比较,并根据所述比较的结果识别所述目标程序的完整性,其中,所述参考结果为将所述第一数据信息、所述机密信息和校验参考结果进行所述特定运算得到的参考结果,所述校验参考结果用于表示所述网络设备的安全性。
可选的,所述校验参考结果包括第一验证参考结果。所述设备还可以包括:
第一运算单元104,用于将所述第一数据信息、所述机密信息和预先获取的第一校验参考结果进行所述特定运算得到所述参考结果,其中,所述第一校验参考结果表示所述目标程序完整;
识别单元103可以用于将所述参考结果与所述运算结果进行比较,当所述参考结果与所述运算结果相同时,则确认所述目标程序完整,当所述参考结果与所述运算结果不相同时,则确认所述目标程序不完整。
可选的,所述校验参考结果包括第二验证参考结果。例如:如图11所示,所述设备还可以包括:
第二运算单元105,用于将所述第一数据信息、所述机密信息和第二校验参考结果进行所述特定运算得到所述参考结果,其中,所述第二校验参考结果表示所述目标程序不完整;
识别单元103可以用于将所述参考结果与所述运算结果进行比较,当所述参考结果与所述运算结果相同时,则确认所述目标程序不完整。
上述两种实施方式可以实现采用多种不同的参考结果对目标程序的完整性进行识别。
可选的,接收单元102还可以用于接收所述网络设备发送的第二数据信息,所述第二数据信息为所述网络设备随机生成的;
所述参考结果为将所述第一数据信息、所述第二数据信息、所述机密信息和校验参考结果进行所述特定运算得到的参考结果。
识别单元103可以用于将所述第一数据信息、所述第二数据信息、所述机密信息和校验参考结果进行所述特定运算得到的参考结果,并将该参考结果与所述运算结果进行比较,并根据所述比较的结果识别所述目标程序的完整性。
该实施方式中,在上述描述的多种实施方式的基础使运算结果更加地复杂,从而进一步提供了运算结果的安全性。
需要说明的是,上述描述的多种可选的实施方式都可以应用于图9所示的实施例中,此处不作重复说明。
本实施例中,在图9所示的实施例的基础上介绍了查询目标程序的完整性的多种查询方案,以通过查询目标程序的完整性实现对网络设备的安全性的查询。且可以实现正确地识别网络设备的安全性。
请参阅图12,图12是本发明实施例提供的另一种网络设备的结构示意图,如图12所示,包括至少一个运算芯片1201,至少一个网络接口1202或者其他通信接口,和至少一个通信总线1203,用于实现这些装置之间的连接通信。通过至少一个网络接口1202可以是有线或者无线实现该网络设备与至少一个查询设备之间的通信连接,可以使用互联网,广域网,本地网,城域网等。
在一些实施方式中,运算芯片1201可以用于执行如下操作:
获取查询设备发送的对网络设备的安全性进行查询的查询请求,所述查询请求携带有所述查询设备随机生成的第一数据信息;
响应所述查询请求,以生成所述网络设备的安全性的校验结果;
将所述第一数据信息、所述校验结果和预先存储的机密信息进行特定运算得到运算结果,向所述查询设备发送所述运算结果,所述运算结果用于与参考结果进行比较,且所述比较结果用于识别所述网络设备的安全性,其中,所述参考结果为将所述第一数据信息、所述机密信息和校验参考结果进行所述特定运算得到的参考结果,所述校验参考结果用于表示所述网络设备的安全性。
可选的,运算芯片1201执行的获取查询设备发送的对安全性进行查询的查询请求的操作,可以包括:
获取查询设备发送的对所述网络设备上的目标程序的完整性进行查询的查询请求;
运算芯片1201执行的响应所述查询请求,以生成所述网络设备的安全性的校验结果的操作,可以包括:
响应所述查询请求,以生成所述目标程序的完整性的校验结果。
可选的,运算芯片1201可以包括至少一个存储单元,上述机密信息存储在一个存储单元内,且运算芯片1201内包含用于进行所述特定运算的运算电路,所述运算电路与所述存储单元连接;
运算芯片1201执行的将所述校验结果和预先存储的机密信息进行特定运算得到运算结果的操作,可以包括:
运算电路获取所述第一数据信息、所述校验结果和所述机密信息,并输出所述第一数据信息、所述校验结果和预先存储的机密信息进行所述特定运算的运算结果。
可选的,运算芯片1201内部结构可以参考图3或者图4所示的结构。
可选的,所述网络设备还用于随机生成所述第二数据信息;
运算芯片1201执行的将所述第一数据信息、所述校验结果和预先存储的机密信息进行特定运算得到运算结果,向所述查询设备发送所述运算结果的操作,可以包括:
将所述第一数据信息、第二数据信息、校验结果和预先存储的机密信息进行特定运算得到运算结果,并向所述查询设备发送所述运算结果和所述第二数据信息,以使所述查询设备将参考结果与所述运算结果进行比较,并根据所述比较结果识别所述网络设备的安全性,其中,所述参考结果根据所述第二数据信息得到。
本实施例中,当获取到查询请求后,就可以生成网络设备的安全性的校验结果,再将所述第一数据信息、所述校验结果和预先存储的机密信息进行特定运算得到运算结果,向所述查询设备发送所述运算结果。从而查询设备可以将参考结果与所述运算结果进行比较,并根据所述比较结果识别所述网络设备的安全性。这样木马只能拦劫到结算结果,当木马向查询设备返回一个错误的运算结果时,查询设备就会发现,且上述运算结果的运算中的第一数据信息为随机生成的,这样木马也无法将之前拦劫的运算结果在下次查询中使用。从而本实施例中查询设备可以正确地识别网络设备的安全性。
请参阅图13,图13是本发明实施例提供的另一种查询设备的结构示意图,如图13所示,包括至少一个处理器1301(例如CPU),至少一个网络接口1302或者其他通信接口,存储器1303,和至少一个通信总线1304,用于实现这些装置之间的连接通信。处理器1301用于执行存储器1303中存储的可执行模块,例如计算机程序。存储器1303可能包含高速随机存取存储器(RAM:Random Access Memory),也可能还包括非不稳定的存储器(non-volatilememory),例如至少一个磁盘存储器。通过至少一个网络接口1302(可以是有线或者无线)实现该系统网关与至少一个其他网元之间的通信连接,可以使用互联网,广域网,本地网,城域网等。
在一些实施方式中,存储器1303存储了程序13031,程序13031可以被处理器1301执行,这个程序可以包括:
向网络设备发送对安全性进行查询的查询请求,所述查询请求携带有随机生成的第一数据信息,以使所述网络设备响应所述查询请求,以生成所述网络设备的安全性的校验结果;
接收所述网络设备发送的运算结果,所述运算结果是所述网络设备将所述第一数据信息、所述校验结果和所述网络设备预先存储的机密信息进行特定运算得到的结果;
将参考结果与所述运算结果进行比较,并根据所述比较结果识别所述网络设备的安全性,其中,所述参考结果为将所述第一数据信息、所述机密信息、校验参考结果进行所述特定运算得到的参考结果,所述校验参考结果用于表示所述网络设备的安全性。
可选的,处理1301执行的向网络设备发送对安全性进行查询的查询请求程序,可以包括:
向网络设备发送对目标程序的完整性进行查询的查询请求;
处理1301执行的将参考结果与所述运算结果进行比较,并根据所述比较结果识别所述网络设备的安全性的程序,可以包括:
将参考结果与所述运算结果进行比较,并根据所述比较的结果识别所述目标程序的完整性。
可选的,所述校验参考结果包括第一验证参考结果,处理1301执行的还可以用于执行如下程序:
将所述第一数据信息、所述机密信息和第一校验参考结果进行所述特定运算得到所述参考结果,其中,所述第一校验参考结果表示所述目标程序完整;
处理1301执行的将参考结果与所述运算结果进行比较,并根据所述比较的结果识别所述目标程序的完整性的程序,可以包括:
将所述参考结果与所述运算结果进行比较,当所述参考结果与所述运算结果相同时,则确认所述目标程序完整,当所述参考结果与所述运算结果不相同时,则确认所述目标程序不完整。
可选的,所述校验参考结果包括第二验证参考结果,处理1301执行的还可以用于执行如下程序:
将所述第一数据信息、所述机密信息和第二校验参考结果进行所述特定运算得到所述参考结果,其中,所述第二校验参考结果表示所述目标程序不完整;
处理1301执行的将参考结果与所述运算结果进行比较,并根据所述比较的结果识别所述目标程序的完整性的程序,可以包括:
将所述参考结果与所述运算结果进行比较,当所述参考结果与所述运算结果相同时,则确认所述目标程序不完整。
可选的,处理1301执行的还可以用于执行如下程序:
接收所述网络设备发送的第二数据信息,所述第二数据信息为所述网络设备随机生成的;
所述参考结果为将所述第一数据信息、所述第二数据信息、所述机密信息和校验参考结果进行所述特定运算得到的参考结果。
本实施例中,接收网络设备发送的校验结果,再将参考结果与所述运算结果进行比较,并根据所述比较结果识别所述网络设备的安全性。这样木马只能拦劫到结算结果,当木马向查询设备返回一个错误的运算结果时,查询设备就会发现,且上述运算结果的运算中的第一数据信息为随机生成的,这样木马也无法将之前拦劫的运算结果在下次查询中使用。从而本实施例中查询设备可以正确地识别网络设备的安全性。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存取存储器(Random AccessMemory,简称RAM)等。
以上所揭露的仅为本发明较佳实施例而已,当然不能以此来限定本发明之权利范围,因此依本发明权利要求所作的等同变化,仍属本发明所涵盖的范围。
Claims (16)
1.一种在线查询方法,其特征在于,包括:
网络设备获取查询设备发送的对所述网络设备的安全性进行查询的查询请求,所述查询请求携带有所述查询设备随机生成的第一数据信息;
所述网络设备响应所述查询请求,以生成所述网络设备的安全性的校验结果;
所述网络设备将所述第一数据信息、所述校验结果和预先存储的机密信息进行特定运算得到,向运算结果所述查询设备发送所述运算结果,所述运算结果用于与参考结果进行比较,且所述比较结果用于识别所述网络设备的安全性,其中,所述参考结果为将所述第一数据信息、所述机密信息和校验参考结果进行所述特定运算得到的参考结果,所述校验参考结果用于表示所述网络设备的安全性;
其中,所述网络设备获取查询设备发送的对所述网络设备的安全性进行查询的查询请求,包括:
所述网络设备获取查询设备发送的对所述网络设备上的目标程序的完整性进行查询的查询请求;
所述网络设备响应所述查询请求,以生成所述网络设备的安全性的校验结果,包括:
所述网络设备响应所述查询请求,以生成所述目标程序的完整性的校验结果。
2.如权利要求1所述的方法,其特征在于,所述机密信息存储在所述网络设备上的特定芯片的存储单元内,且所述特定芯片内包含用于进行所述特定运算的运算电路,所述运算电路与所述存储单元连接;
所述网络设备将所述校验结果和预先存储的机密信息进行特定运算得到运算结果,包括:
所述运算电路获取所述第一数据信息、所述校验结果和所述机密信息,并输出所述第一数据信息、所述校验结果和预先存储的机密信息进行所述特定运算的运算结果。
3.如权利要求1所述的方法,其特征在于,所述方法还包括:
所述网络设备随机生成第二数据信息;
所述网络设备将所述第一数据信息、所述校验结果和预先存储的机密信息进行特定运算得到运算结果,向所述查询设备发送所述运算结果,包括:
所述网络设备将所述第一数据信息、第二数据信息、校验结果和预先存储的机密信息进行特定运算得到运算结果,并向所述查询设备发送所述运算结果和所述第二数据信息,以使所述查询设备将参考结果与所述运算结果进行比较,并根据所述比较结果识别所述网络设备的安全性,其中,所述参考结果根据所述第二数据信息得到。
4.一种在线性校验方法,其特征在于,包括:
向网络设备发送对安全性进行查询的查询请求,所述查询请求携带有随机生成的第一数据信息,以使所述网络设备响应所述查询请求,以生成所述网络设备的安全性的校验结果;
接收所述网络设备发送的运算结果,所述运算结果是所述网络设备将所述第一数据信息、所述校验结果和所述网络设备预先存储的机密信息进行特定运算得到的结果;
将参考结果与所述运算结果进行比较,并根据所述比较结果识别所述网络设备的安全性,其中,所述参考结果为将所述第一数据信息、所述机密信息和校验参考结果进行所述特定运算得到的参考结果,所述校验参考结果用于表示所述网络设备的安全性。
5.如权利要求4所述的方法,其特征在于,所述向网络设备发送对安全性进行查询的查询请求,包括:
向网络设备发送对目标程序的完整性进行查询的查询请求;
所述将参考结果与所述运算结果进行比较,并根据所述比较结果识别所述网络设备的安全性,包括:
将参考结果与所述运算结果进行比较,并根据所述比较的结果识别所述目标程序的完整性。
6.如权利要求5所述的方法,其特征在于,所述校验参考结果包括第一校验参考结果,所述方法还包括:
将所述第一数据信息、所述机密信息和所述第一校验参考结果进行所述特定运算得到所述参考结果,其中,所述第一校验参考结果表示所述目标程序完整;
所述将参考结果与所述运算结果进行比较,并根据所述比较的结果识别所述目标程序的完整性,包括:
将所述参考结果与所述运算结果进行比较,当所述参考结果与所述运算结果相同时,则确认所述目标程序完整,当所述参考结果与所述运算结果不相同时,则确认所述目标程序不完整。
7.如权利要求5所述的方法,其特征在于,所述校验参考结果包括第二校验参考结果,所述方法还包括:
将所述第一数据信息、所述机密信息和所述第二校验参考结果进行所述特定运算得到所述参考结果,其中,所述第二校验参考结果表示所述目标程序不完整;
所述将参考结果与所述运算结果进行比较,并根据所述比较的结果识别所述目标程序的完整性,包括:
将所述参考结果与所述运算结果进行比较,当所述参考结果与所述运算结果相同时,则确认所述目标程序不完整。
8.如权利要求4或5所述的方法,其特征在于,所述方法还包括:
接收所述网络设备发送的第二数据信息,所述第二数据信息为所述网络设备随机生成的;
所述参考结果为将所述第一数据信息、所述第二数据信息、所述机密信息和校验参考结果进行所述特定运算得到的参考结果。
9.一种网络设备,其特征在于,包括:获取单元、响应单元和运算单元,其中:
所述获取单元,用于获取查询设备发送的对所述网络设备的安全性进行查询的查询请求,所述查询请求携带有所述查询设备随机生成的第一数据信息;
所述响应单元,用于响应所述查询请求,以生成所述网络设备的安全性的校验结果;
所述运算单元,用于将所述第一数据信息、所述校验结果和预先存储的机密信息进行特定运算得到运算结果,向所述查询设备发送所述运算结果,所述运算结果用于与参考结果进行比较,且所述比较结果用于识别所述网络设备的安全性,其中,所述参考结果为将所述第一数据信息、所述机密信息和校验参考结果进行所述特定运算得到的参考结果,所述校验参考结果用于表示所述网络设备的安全性;
其中,所述获取单元用于获取查询设备发送的对所述网络设备上的目标程序的完整性进行查询的查询请求;
所述响应单元用于响应所述查询请求,以生成所述目标程序的完整性的校验结果。
10.如权利要求9所述的设备,其特征在于,所述机密信息存储在所述网络设备上的特定芯片的存储单元内,且所述特定芯片内包含用于进行所述特定运算的运算电路,所述运算电路与所述存储单元连接;
所述运算单元通过所述运算电路获取所述第一数据信息、所述校验结果和所述机密信息,并输出所述第一数据信息、所述校验结果和预先存储的机密信息进行所述特定运算的运算结果。
11.如权利要求9所述的设备,其特征在于,所述设备还包括:
生成单元,用于随机生成第二数据信息;
所述运算单元用于将所述第一数据信息、第二数据信息、校验结果和预先存储的机密信息进行特定运算得到运算结果,并向所述查询设备发送所述运算结果和所述第二数据信息,以使所述查询设备将参考结果与所述运算结果进行比较,并根据所述比较结果识别所述网络设备的安全性,其中,所述参考结果根据所述第二数据信息得到。
12.一种查询设备,其特征在于,包括:发送单元、接收单元和识别单元,其中:
所述发送单元,用于向网络设备发送对安全性进行查询的查询请求,所述查询请求携带有随机生成的第一数据信息,以使所述网络设备响应所述查询请求,以生成所述网络设备的安全性的校验结果;
所述接收单元,用于接收所述网络设备发送的运算结果,所述运算结果是所述网络设备将所述第一数据信息、所述校验结果和所述网络设备预先存储的机密信息进行特定运算得到的结果;
所述识别单元,用于将参考结果与所述运算结果进行比较,并根据所述比较结果识别所述网络设备的安全性,其中,所述参考结果为将所述第一数据信息、所述机密信息和校验参考结果进行所述特定运算得到的参考结果,所述校验参考结果用于表示所述网络设备的安全性。
13.如权利要求12所述的设备,其特征在于,所述发送单元用于向网络设备发送对目标程序的完整性进行查询的查询请求;
所述识别单元用于将参考结果与所述运算结果进行比较,并根据所述比较的结果识别所述目标程序的完整性。
14.如权利要求13所述的设备,其特征在于,所述校验参考结果包括第一校验参考结果,所述设备还包括:
第一运算单元,用于将所述第一数据信息、所述机密信息和所述第一校验参考结果进行所述特定运算得到所述参考结果,其中,所述第一校验参考结果表示所述目标程序完整;
所述识别单元用于将所述参考结果与所述运算结果进行比较,当所述参考结果与所述运算结果相同时,则确认所述目标程序完整,当所述参考结果与所述运算结果不相同时,则确认所述目标程序不完整。
15.如权利要求13所述的设备,其特征在于,所述校验参考结果包括第二校验参考结果,所述设备还包括:
第二运算单元,用于将所述第一数据信息、所述机密信息和所述第二校验参考结果进行所述特定运算得到所述参考结果,其中,所述第二校验参考结果表示所述目标程序不完整;
所述识别单元用于将所述参考结果与所述运算结果进行比较,当所述参考结果与所述运算结果相同时,则确认所述目标程序不完整。
16.如权利要求12或13所述的设备,其特征在于,所述接收单元还用于接收所述网络设备发送的第二数据信息,所述第二数据信息为所述网络设备随机生成的;
所述参考结果为将所述第一数据信息、所述第二数据信息、所述机密信息和校验参考结果进行所述特定运算得到的参考结果。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410456401.8A CN104268165B (zh) | 2014-09-09 | 2014-09-09 | 一种在线查询方法及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410456401.8A CN104268165B (zh) | 2014-09-09 | 2014-09-09 | 一种在线查询方法及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104268165A CN104268165A (zh) | 2015-01-07 |
| CN104268165B true CN104268165B (zh) | 2017-12-29 |
Family
ID=52159687
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410456401.8A Active CN104268165B (zh) | 2014-09-09 | 2014-09-09 | 一种在线查询方法及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104268165B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107203613A (zh) * | 2017-05-23 | 2017-09-26 | 北京微影时代科技有限公司 | 一种高并发请求处理的方法及装置 |
| US11860997B2 (en) | 2018-06-26 | 2024-01-02 | Nokia Technologies Oy | Method and apparatus for attestation |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101711471A (zh) * | 2007-05-24 | 2010-05-19 | Iti苏格兰有限公司 | 安全管理设备及提供网络认证信息的方法 |
| CN102469459A (zh) * | 2010-11-05 | 2012-05-23 | 中国移动通信集团公司 | 一种中继节点的设备完整性检测方法、系统和装置 |
| CN102523221A (zh) * | 2011-12-20 | 2012-06-27 | 国家计算机网络与信息安全管理中心 | 数据报文的检测方法及网络安全检测设备 |
| CN102546523A (zh) * | 2010-12-08 | 2012-07-04 | 中国电信股份有限公司 | 一种互联网接入的安全认证方法、系统和设备 |
| CN103095461A (zh) * | 2013-01-23 | 2013-05-08 | 山东量子科学技术研究院有限公司 | 一种量子安全网络设备间网络信令的认证方法 |
| CN103875214A (zh) * | 2011-08-10 | 2014-06-18 | 马维尔国际贸易有限公司 | 用于以太网网络的具有安全检测的智能phy |
| US8806645B2 (en) * | 2011-04-01 | 2014-08-12 | Mcafee, Inc. | Identifying relationships between security metrics |
-
2014
- 2014-09-09 CN CN201410456401.8A patent/CN104268165B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101711471A (zh) * | 2007-05-24 | 2010-05-19 | Iti苏格兰有限公司 | 安全管理设备及提供网络认证信息的方法 |
| CN102469459A (zh) * | 2010-11-05 | 2012-05-23 | 中国移动通信集团公司 | 一种中继节点的设备完整性检测方法、系统和装置 |
| CN102546523A (zh) * | 2010-12-08 | 2012-07-04 | 中国电信股份有限公司 | 一种互联网接入的安全认证方法、系统和设备 |
| US8806645B2 (en) * | 2011-04-01 | 2014-08-12 | Mcafee, Inc. | Identifying relationships between security metrics |
| CN103875214A (zh) * | 2011-08-10 | 2014-06-18 | 马维尔国际贸易有限公司 | 用于以太网网络的具有安全检测的智能phy |
| CN102523221A (zh) * | 2011-12-20 | 2012-06-27 | 国家计算机网络与信息安全管理中心 | 数据报文的检测方法及网络安全检测设备 |
| CN103095461A (zh) * | 2013-01-23 | 2013-05-08 | 山东量子科学技术研究院有限公司 | 一种量子安全网络设备间网络信令的认证方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104268165A (zh) | 2015-01-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104144419B (zh) | 一种身份验证的方法、装置及系统 | |
| CN104169952B (zh) | 一种网络支付方法、装置及系统 | |
| CN109257342A (zh) | 区块链跨链的认证方法、系统、服务器及可读存储介质 | |
| CN106506146A (zh) | 基于区块链技术的交易信息校验方法、装置及系统 | |
| CN106790194A (zh) | 一种基于ssl协议的访问控制方法及装置 | |
| CN106657152A (zh) | 一种鉴权方法及服务器、访问控制装置 | |
| CN106779716A (zh) | 基于区块链账户地址的认证方法、装置及系统 | |
| CN107872447A (zh) | 电子装置、服务器、通信系统及通信方法 | |
| CN106341233A (zh) | 客户端登录服务器端的鉴权方法、装置、系统及电子设备 | |
| CN107148019A (zh) | 一种用于连接无线接入点的方法与设备 | |
| CN107426235A (zh) | 基于设备指纹的权限认证方法、装置及系统 | |
| CN108429638A (zh) | 一种服务器运维方法、装置、系统及电子设备 | |
| CN105323253A (zh) | 一种身份验证方法及装置 | |
| CN108985569A (zh) | 一种车辆风险评估方法、服务器 | |
| CN104038490B (zh) | 一种通信安全校验方法及其装置 | |
| CN105099983B (zh) | 授权方法、权限设置方法及装置 | |
| CN107277017A (zh) | 基于加密密钥和设备指纹的权限认证方法、装置及系统 | |
| CN108024243A (zh) | 一种eSIM卡入网通信方法及其系统 | |
| CN104580112A (zh) | 一种业务认证方法、系统及服务器 | |
| CN107204985A (zh) | 基于加密密钥的权限认证方法、装置及系统 | |
| CN104219626B (zh) | 一种身份认证的方法和装置 | |
| CN105791246A (zh) | 验证信息的验证方法、装置及系统 | |
| CN113569263A (zh) | 跨私域数据的安全处理方法、装置及电子设备 | |
| CN108650236A (zh) | 一种用于检测ssl中间人攻击的方法与设备 | |
| CN106549760A (zh) | 基于cookie的身份验证方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |