WO2013086901A1 - 现场可更换单元的校验方法、装置和通信设备 - Google Patents

Abstract

本发明提供一种现场可更换单元的校验方法、装置和通信设备，所述现场可更换单元的校验方法包括：获取安全存储模块中保存的关键标识信息；根据所述安全存储模块中保存的关键标识信息与从所述现场可更换单元直接获得的关键标识信息，确定所述现场可更换单元的可信性。本发明可以实现对现场可更换单元的可信性进行校验，并且实现简单，成本低。

Description

现场可更换单元的校验方法、 装置和通信设备

本申请要求于 2011 年 12 月 16 日提交中国专利局、 申请号为 201110424365.3、 发明名称为 "现场可更换单元的校验方法、 装置和通信设 备" 的中国专利申请的优先权， 其全部内容通过引用结合在本申请中。 技术领域 本发明涉及通信技术领域， 尤其涉及一种现场可更换单元的校验方法、 装置和通信设备。 背景技术

现场可更换单元（ Field Replaceable Unit; 以下简称： FRU ) 的概念最 初就是从技术服务角度提出来的。 当硬件损坏导致设备运行出现故障的时 候， 只需要更换相应的故障现场可更换单元即可， 这样就避免了将整个设 备返回制造商进行维修， 而且还提高维修效率， 降低了维修成本。 举例来说， 涉及到现场可更换单元的硬件可以分为 2 大类， 一类是通 信设备， 包括程控交换机、 数据通信设备、 无线通信设备和光传输设备等， 另一类是服务器类设备， 包括小型机、 服务器和计算机。 对于通信设备而言， 大到设备整机， 小到电源模块、 单板上的某个可 更换的光器件等， 都是现场可更换单元； 对于小型机、 服务器或计算机终 端等， 典型的现场可更换单元包括板卡、 电源和机箱部件等。 在安全领域中， 可信性就是要求能防欺骗、 抗抵赖、 防修改和 /或防泄 漏的。 对于现场可更换单元来说， 可信性是指现场可更换单元在安装过程， 供应链过程， 以及返修过程中的端到端的安全， 确保现场可更换单元在出 厂、 运输、 安装和返修等环节不被非法的安装非法的硬件和软件。 现有技术中对 FRU的可信性进行校验的方案主要有两种， 一种是基于 电子标签的可更换管理， 另一种是应用于计算机系统的基于可信赖平台模 块（Trusted Platform Module; 以下简称： TPM ) 芯片的可信性方案。 其中，基于电子标签的可更换管理， 是在 FRU的非挥发（Non volatile ) 的存储器件中存入 FRU的类型等信息， 可以写入、 读出和更改， 借助电子 标签可以进行网络安装、 升级、 扩容、 客户问题处理、 备件管理和批量更 换等操作， 达到提升效率和完善信息化的功效。 非挥发的存储器件通常指 的是掉电不丟失的存储器件， 比如说闪存（Flash Memory ), 可擦除可编程 只读存储器（Erasable Programmable Read-Only Memory, EPROM ), 电可擦 除可编程只读存 器 ( Electrically Erasable Programmable Read-Only Memory ), 硬盘等。 所述对于该方案，在物流过程中或者在 FRU运行态，硬件容易被调包， 标识容易伪造， 但是， 基于电子标签的可更换管理无法对 FRU的可信性进 行检测。

基于 TPM芯片的可信性方案， 目前大多用于计算机系统。 TPM芯片实 际上是一个含有密码运算部件和存储部件的小型片上的系统， 可以协助计 算机系统完成随机数产生、 密钥、 加密和 /或认证等操作。 由于这些操作在 TPM芯片内部完成， 且对这些操作需要鉴权， 因此有着更高的安全性。

但是， 基于 TPM芯片的可信性方案需要增加一个小系统的硬件， 而且 还要配套开发相应的软件， 实现比较复杂， 成本比较高； 并且对现有方案 改动大， 不利于产品的平滑升级。 发明内容

本发明提供一种现场可更换单元的校验方法、 装置和通信设备， 以实 现对现场可更换单元的可信性进行校验。

一方面， 一种现场可更换单元的校验方法， 包括： 获取安全存储模块中保存的关键标识信息； 根据所述安全存储模块中保存的关键标识信息与从现场可更换单元直 接获得的关键标识信息， 确定所述现场可更换单元的可信性。

另一方面， 一种现场可更换单元的校验装置， 包括： 获取模块 , 用于获取安全存储模块中保存的关键标识信息； 确定模块， 用于根据所述获取模块获得的所述安全存储模块中保存的 关键标识信息与从现场可更换单元直接获得的关键标识信息， 确定所述现 场可更换单元的可信性。

再一方面， 一种通信设备， 包括： 至少一个现场可更换单元和至少一 个如上所述的现场可更换单元的校验装置。 通过本发明实施例， 在获取安全存储模块中保存的关键标识信息之后 , 可以根据该安全存储模块中保存的关键标识信息与从现场可更换单元直接 获得的关键标识信息， 确定现场可更换单元的可信性， 从而可以实现对现 场可更换单元的可信性进行校验， 并且实现简单， 成本低。 附图说明 为了更清楚地说明本发明实施例或现有技术中的技术方案， 下面将对 实施例或现有技术描述中所需要使用的附图作一简单地介绍， 显而易见地， 下面描述中的附图是本发明的一些实施例， 对于本领域普通技术人员来讲， 在不付出创造性劳动性的前提下， 还可以根据这些附图获得其他的附图。 图 1为本发明现场可更换单元的校验方法一个实施例的流程图； 图 2为本发明现场可更换单元的校验装置一个实施例的结构示意图； 图 3为本发明现场可更换单元的校验装置另一个实施例的结构示意图。 具体实施方式 为使本发明实施例的目的、 技术方案和优点更加清楚， 下面将结合本 发明实施例中的附图， 对本发明实施例中的技术方案进行详细地描述， 显 然， 所描述的实施例是本发明一部分实施例， 而不是全部的实施例。 基于 本发明中的实施例， 本领域普通技术人员在没有做出创造性劳动前提下所 获得的所有其他实施例， 都属于本发明保护的范围。

图 1为本发明现场可更换单元的校验方法一个实施例的流程图，如图 1 所示， 该现场可更换单元的校验方法可以包括：

101 , 获取安全存储模块中保存的关键标识信息。 所述安全存储模块可以是现场可更换单元中的模块， 一般来说可以是 硬件， 即某个非挥发存储器件或者某个非挥发存储器件的一部分。

102 , 根据所述安全存储模块中保存的关键标识信息与从所述现场可更 换单元直接获得的关键标识信息， 确定所述现场可更换单元的可信性。 具体地， 根据所述安全存储模块中保存的关键标识信息与从所述现场 可更换单元直接获得的关键标识信息， 确定所述现场可更换单元的可信性 可以为： 将所述安全存储模块中保存的关键标识信息与从所述现场可更换单元 直接获得的关键标识信息进行对比； 如果所述安全存储模块中保存的关键 标识信息与从所述现场可更换单元直接获得的关键标识信息一致， 则确定 所述现场可更换单元可信； 如果所述安全存储模块中保存的关键标识信息 与从所述现场可更换单元直接获得的关键标识信息不一致， 则确定所述现 场可更换单元不可信。 本实施例中， 如果所述安全存储模块中保存的关键标识信息包括： 加 密的关键标识信息； 则将所述安全存储模块中保存的关键标识信息与从所 述现场可更换单元直接获得的关键标识信息进行对比可以为： 对所述安全 存储模块中保存的加密的关键标识信息进行解密， 将解密后的关键标识信 息与从所述现场可更换单元直接获得的关键标识信息进行对比； 或者， 对 从所述现场可更换单元直接获得的关键标识信息进行加密， 将加密后的从 所述现场可更换单元直接获得的关键标识信息与所述安全存储模块中保存 的加密的关键标识信息进行对比； 对从所述现场可更换单元直接获得的关 键标识信息进行加密时釆用的加密算法与所述安全存储模块中保存的加密 的关键标识信息釆用的加密算法相同。 其中， 所述安全存储模块中保存的加密的关键标识信息可以包括以下 之一或任意组合： 用于唯一标识所述现场可更换单元的电子标识的密文、 所述现场可更换单元中关键芯片的标识和拓朴的摘要密文、 所述现场可更 换单元中只读存储器（ Read Only Memory; 以下简称： ROM )程序区的摘 要密文， 以及所述现场可更换单元中系统软件程序区或除所述系统软件之 外其他软件程序区的摘要密文。 具体地， 对所述安全存储模块中保存的加密的关键标识信息进行解密， 将解密后的关键标识信息与从所述现场可更换单元直接获得的关键标识信 息进行对比可以为： 对所述安全存储模块中保存的用于唯一标识所述现场可更换单元的电 子标识的密文进行解密， 将解密后的电子标识与从所述现场可更换单元直 接读取的电子标识进行对比； 和 /或， 对所述安全存储模块中保存的所述现场可更换单元中关键芯片的标识 和拓朴的摘要密文进行解密， 并根据从所述现场可更换单元直接读取的所 述现场可更换单元中关键芯片的标识和拓朴， 生成所述现场可更换单元中 关键芯片的标识和拓朴的摘要； 将解密获得的所述现场可更换单元中关键 芯片的标识和拓朴的摘要与生成的所述现场可更换单元中关键芯片的标识 和拓朴的摘要进行对比； 和 /或， 对所述安全存储模块中保存的所述现场可更换单元中 ROM程序区的 摘要密文进行解密， 并根据从所述现场可更换单元直接读取的该可更换单 元中 ROM程序区的信息， 生成所述现场可更换单元 ROM程序区的摘要； 将解密获得的所述现场可更换单元中 ROM程序区的摘要与生成的所述现 场可更换单元中该可更换单元 ROM程序区的摘要进行对比； 和 /或， 对所述安全存储模块中保存的所述现场可更换单元中系统软件程序区 或除所述系统软件之外其他软件程序区的摘要密文进行解密， 并根据从所 述现场可更换单元直接读取的该可更换单元中系统软件程序区或除所述系 统软件之外其他软件程序区的信息， 生成所述现场可更换单元中系统软件 程序区或除所述系统软件之外其他软件程序区的摘要； 将解密获得的所述 现场可更换单元中系统软件程序区或除所述系统软件之外其他软件程序区 的摘要与生成的所述现场可更换单元中系统软件程序区或除所述系统软件 之外其他软件程序区的摘要进行对比。 可选地， 102之后，还可以将所述现场可更换单元的可信性存储在系统 状态存储模块中， 其中， 该系统状态存储模块一般放置在主控板或网络管 理系统的可信性管理模块上。 该系统状态存储模块的实现在本发明实施例 中不作限制， 状态存储可以存在随机存取存储器（ Random Access Memory; 以下简称： RAM )里， 有些信息也可能需要存储在非挥发的存储器中。 当 然， 该系统状态存储模块也可以釆用软件实现。 具体地， 本实施例中， 101 , 获取安全存储模块中保存的关键标识信息 可以为： 收到所述现场可更换单元之后， 第一次使用所述现场可更换单元之前， 获得所述现场可更换单元的安全存储模块中保存的关键标识信息； 或者， 在所述现场可更换单元的启动过程中， 获得所述现场可更换单元的安 全存储模块中保存的关键标识信息； 或者， 在新插入现场可更换单元之后， 获得新插入的现场可更换单元的安全 存储模块中保存的关键标识信息； 或者， 在所述现场可更换单元的运行过程中， 定时或周期性获得所述现场可 更换单元的安全存储模块中保存的关键标识信息； 或者， 在所述现场可更换单元的运行过程中， 接收所述现场可更换单元在受 到命令触发后上报的该现场可更换单元的安全存储模块中保存的关键标识 信息。 本实施例中， 在所述现场可更换单元的启动过程中， 如果确定所述现 场可更换单元可信， 则允许该可更换单元注册， 并将用于唯一标识所述现 场可更换单元的电子标识保存在系统状态存储模块中， 并在所述现场可更 换单元注册成功之后， 将所述系统状态存储模块中所述现场可更换单元的 状态更新为上线状态； 如果确定所述现场可更换单元不可信， 则进行告警， 并将所述现场可更换单元不可信的事件记入曰志。 在新插入现场可更换单元之后， 如果确定新插入的现场可更换单元可 信， 则允许所述新插入的现场可更换单元注册， 并将系统状态存储模块中 与所述新插入的现场可更换单元所在槽位号对应的现场可更换单元的标识 更新为用于唯一标识所述新插入的现场可更换单元的电子标识， 并在所述 新插入的现场可更换单元注册成功之后， 将所述系统状态存储模块中所述 新插入的现场可更换单元的状态更新为上线状态； 在新插入现场可更换单元之后， 如果确定新插入的现场可更换单元不 可信， 则进行告警， 将所述新插入的现场可更换单元不可信的事件记入日 在所述现场可更换单元的运行过程中， 如果确定所述现场可更换单元 不可信， 则使所述现场可更换单元下线， 将所述系统状态存储模块中该现 场可更换单元的状态更新为离线状态， 并输出告警信息， 将所述现场可更 换单元不可信的事件记入日志。 上述实施例中， 在获得现场可更换单元的安全存储模块中保存的关键 标识信息之后， 可以根据所述安全存储模块中保存的关键标识信息与从所 述现场可更换单元直接获得的关键标识信息， 确定现场可更换单元的可信 性， 从而可以实现对现场可更换单元的可信性进行校验， 并且实现简单， 成本低。 本发明实施例的方法可以支持现场可更换单元收货的可信性校验， 即 在现场可更换单元发货或者现场可更换单元维修返回之后， 收货方对收到 的现场可更换单元的硬件和软件的可信性进行校验。 本发明实施例的方法还可以支持现场可更换单元的启动安全， 即当现 场可更换单元插入系统后， 本发明实施例的方法可以记录现场可更换单元 的必要信息， 并可以对该现场可更换单元进行可信性校验， 只有可信的现 场可更换单元， 才能被系统接受和启用。 本发明实施例的方法还可以在现场可更换单元的运行过程中对该现场 可更换单元进行可信性校验， 即在运行态， 可以主动发起、 定时或周期发 起对现场可更换单元的可信性校验， 实时保证该现场可更换单元的可信性。 本发明实施例在现场可更换单元（FRU )上新增一个写权限受限的非 挥发性存储模块， 这里称为安全存储模块（Security Memory; 以下简称： Security MEM )。 本发明实施例中， 对 Security MEM进行写操作需要严格 的身份认证或者釆用特定的工具， 并且对 Security MEM进行写操作的事件 和所述身份认证信息要记入安全日志。 身份认证可以是只有特定权限的用 户才能进行写 Security MEM。 特定的工具， 可以是硬件上保留特殊的接口， 例如： 电子工业协会 ( Electronic Industries Association; 以下简称： EIA )制 定的异步传输标准接口—— RS232 接口、 联合测试行动小组 （Joint Test Action Group; 以下简称： JTAG )接口或者是自定义的接口， 使用一些特定 的接口工具才能写这些特殊的接口。 本发明实施例中， Security MEM内置于 FRU中， Security MEM用于存 储 FRU加密的关键标识信息， 可划分为多个独立存储区域， 所述加密的关 键标识信息至少可以包括以下信息之一或任意组合：

1 )用于唯一标识 FRU 的电子标识的密文。 例如： 例如电子标签的加 密密文。

2 ) FRU中关键芯片的标识和拓朴的摘要密文。 其中， 所述关键芯片的 标识可以为关键芯片内置的标识（chip ID ) 、 版本或芯片类型， 所述关键 芯片的拓朴可以是如联合测试行为组织（ Joint Test Action Group;以下简称： JTAG )扫描链的连接信息等。 可以全部记录以上信息， 或者是用单向函数 进行摘要。

3 ) FRU中 ROM程序区 （正常运行不改变的部分） 的摘要密文。

4 ) FRU中系统软件程序区或者除所述系统软件之外其他软件程序区的 摘要密文。

Security MEM中保存的所述加密的关键标识信息均使用双方 （发货方 和收货方） 约定好的方式进行加密； 如果釆用非对称加密方式， 可以将公 钥存在系统状态存储模块 （ System Status Memory; 以下简称： SysStatus MEM ) 中。 所述 SysStatus MEM—般放置在设备主控板或者网管的可信性管理模 块上， SysStatus MEM主要用于记录系统中各个 FRU的可信性状态， 并且 存储一些用于校验的公共信息， 通过该 SysStatus MEM存储的信息可以方 便的看到整个系统中各个 FRU的可信性状态， 并了解系统进行可信性的操 作情况。 所述 SysStatus MEM存储的信息至少可以包括以下信息之一或任意组 合：

1 )用于唯一标识各 FRU的电子标识、 各 FRU的在位状态信息和可信 性校验信息；

2 )可信性告警信息；

3 )可信性日志。

4 )可选地， 还可以包括加密算法、 加密所使用的密钥， 或者非对称加 密的公钥等信息。

SysStatus MEM一般划分为多个权限状态， 例如： 状态区表示系统的运 行的状态信息， 用于程序更新控制； 而一些固定的信息放在信息区， 要有 更严格的权限控制。 下面对发送方的发送和接收方的接收校验方法进行介绍。 本发明实施例中， 发送方的发送校验方法可以包括：

1、 发送方获得 Security MEM的写入许可；

2、 发送方提取 FRU 的关键标识信息， 并使用约定好的加密方式对所 述关键标识信息进行加密后存储到 Security MEM中。 其中， 对 Security MEM进行写操作需要严格的身份认证或者釆用特定 的工具， 并且对 Security MEM进行写操作的事件和所述身份认证信息要记 入安全日志。 本发明实施例中， 接收方的接收校验方法可以包括：

1、 接收方获得 FRU的 Security MEM中保存的加密的关键标识信息， 然后对所述加密的关键标识信息进行解密， 与从 FRU直接获得的关键标识 信息进行对比；

2、 如果对所述 Security MEM中保存的加密的关键标识信息进行解密 后获得的关键标识信息， 与从 FRU直接获得的关键标识信息相同， 则可以 确定该 FRU是可信的。 下面对 FRU的动态校验进行介绍。 本发明实施例中， FRU的动态校验包括以下几种情形。

1、 在 FRU启动过程中， 对该 FRU进行可信性校验。

具体地， 在 FRU插入系统中之后， 设备的主控板或者网管的设备管理 系统可以获得该 FRU的 Security MEM中保存的关键标识信息， 然后根据 所述 Security MEM中保存的关键标识信息与从所述 FRU直接获得的关键 标识信息，确定所述 FRU的可信性。具体地，所述可信性校验可以是对 FRU 的全部或者部分关键标识信息进行校验， 并且在校验时依次对需要校验的 关键标识信息进行校验， 若发现关键标识信息中的任一信息校验错误， 则 进行告警， 并停止校验过程。 最后， 系统根据所述 FRU的可信性确定是否让该 FRU注册入系统，具 体地， 如果确定所述 FRU可信， 则允许该 FRU注册， 并将用于唯一标识该 FRU的电子标识保存在 SysStatus MEM中， 并在所述 FRU注册成功之后， 将 SysStatus MEM中所述 FRU的状态更新为上线状态；如果确定所述 FRU 不可信， 则不允许该 FRU注册， 并进行告警， 将所述 FRU不可信的事件记 入曰志。

2、 在 FRU运行过程中， 对该 FRU进行可信性校验。 具体地，在 FRU运行过程中，可以定时或周期性获得该 FRU的 Security MEM中保存的关键标识信息， 或者接收 FRU在受到命令触发后上报的该 FRU的 Security MEM中保存的关键标识信息；然后根据所述 Security MEM 中保存的关键标识信息与从该 FRU 直接获得的关键标识信息， 确定所述 FRU的可信性。 同样， 所述可信性校验可以是对 FRU的全部或者部分关键 标识信息进行校验， 并且在校验时依次对需要校验的关键标识信息进行校 验， 若发现关键标识信息中的任一信息校验错误， 则进行告警， 并停止校 验过程。 在 FRU运行过程中，如果确定该 FRU可信，则输出可信性校验的结果； 如果确定该 FRU不可信， 则使该 FRU下线， 将 SysStatus MEM中该 FRU 的状态更新为离线状态， 并输出告警信息， 将所述 FRU不可信的事件记入 曰志。

3、 FRU支持热插拔， 在系统运行过程中， 插入 FRU, 同样可以获得新 插入的 FRU的 Security MEM中保存的关键标识信息，然后根据所述 Security MEM中保存的关键标识信息与从所述新插入的 FRU直接获得的关键标识 信息， 确定所述 FRU的可信性。 同样， 所述可信性校验可以是对新插入的 FRU的全部或者部分关键标识信息进行校验， 并且在校验时依次对需要校 验的关键标识信息进行校验， 若发现关键标识信息中的任一信息校验错误， 则进行告警， 并停止校验过程。

如果确定所述新插入的 FRU可信，则允许所述新插入的 FRU注册，并 将 SysStatus MEM中与所述新插入的 FRU所在槽位号对应的 FRU的标识 更新为用于唯一标识所述新插入的 FRU 的电子标识， 并在所述新插入的 FRU注册成功之后，将所述 SysStatus MEM中所述新插入的 FRU的状态更 新为上线状态； 如果确定所述新插入的 FRU不可信， 则不允许所述新插入 的 FRU注册， 并进行告警， 将所述新插入的 FRU不可信的事件记入曰志。 本发明实施例中，在 FRU被拔出之后，可以将 SysStatus MEM中该 FRU 的状态更新为拔出。 特别地， 当由于业务调整， 更换 FRU之后， 同样可以按照所述方式对 更换后的 FRU进行可信性校验， 具体地， 可以获得所述更换后的 FRU的 Security MEM中保存的关键标识信息，根据 Security MEM中保存的关键标 识信息与从该更换后的 FRU中直接获得的关键标识信息， 确定所述更换后 的 FRU的可信性。 同样，所述可信性校验可以是对更换后的 FRU的全部或 者部分关键标识信息进行校验， 并且在校验时依次对需要校验的关键标识 信息进行校验， 若发现关键标识信息中的任一信息校验错误， 则进行告警， 并停止校验过程。 如果确定所述更换后的 FRU可信，则允许所述更换后的 FRU注册，并 将 SysStatus MEM中与所述更换后的 FRU所在槽位号对应的 FRU的标识 更新为用于唯一标识所述更换后的 FRU 的电子标识， 并在所述更换后的 FRU注册成功之后，将所述 SysStatus MEM中所述更换后的 FRU的状态更 新为上线状态； 如果确定所述更换后的 FRU不可信， 则不允许所述更换后 的 FRU注册， 并进行告警， 将所述更换后的 FRU不可信的事件记入曰志。 其中， 在所述 FRU的动态校验过程的描述中， 根据所述 Security MEM 中保存的关键标识信息与从所述 FRU直接获得的关键标识信息， 确定所述 FRU的可信性可以参照本发明图 1所示实施例中的描述， 在此不再赘述。 本发明实施例的现场可更换单元的校验方法可以实现现场可更换单元 的可信性校验， 并且实现简单， 实现成本低。 本领域普通技术人员可以理解： 实现所述方法实施例的全部或部分步 骤可以通过程序指令相关的硬件来完成， 前述的程序可以存储于一计算机 可读取存储介质中， 该程序在执行时， 执行包括所述方法实施例的步骤； 而前述的存储介质包括： ROM、 RAM, 磁碟或者光盘等各种可以存储程序 代码的介质。 图 2为本发明可更换单元的校验装置一个实施例的结构示意图， 本实 施例中的现场可更换单元的校验装置可以实现本发明图 1 所示实施例的流 程， 如图 2所示， 该现场可更换单元的校验装置可以包括： 获取模块 21和 确定模块 22; 其中， 获取模块 21 , 用于获取安全存储模块中保存的关键标识信息； 确定模块 22 ,用于根据获取模块 21获得的所述安全存储模块中保存的 关键标识信息与从现场可更换单元直接获得的关键标识信息， 确定所述现 场可更换单元的可信性。

本实施例中， 所述现场可更换单元的校验装置可以设置在包括现场可 更换单元的通信设备中， 该通信设备可以为程控交换机、 数据通信设备、 无线通信设备或光传输设备等， 还可以为服务器类设备， 包括小型机、 服 务器或计算机等。 上述实施例中， 在获取模块 21获得现场可更换单元的安全存储模块中 保存的关键标识信息之后， 确定模块 22可以根据所述安全存储模块中保存 的关键标识信息与从所述现场可更换单元直接获得的关键标识信息， 确定 现场可更换单元的可信性， 从而可以实现对现场可更换单元的可信性进行 校验， 并且实现简单， 成本低。 图 3 为本发明可更换单元的校验装置另一个实施例的结构示意图， 与 图 2所示的现场可更换单元的校验装置相比， 不同之处在于， 确定模块 22 可以包括： 对比子模块 221和可信性确定子模块 222; 其中，对比子模块 221 , 用于将所述安全存储模块中保存的关键标识信 息与从所述现场可更换单元直接获得的关键标识信息进行对比； 可信性确定子模块 222,用于当对比子模块 221确定所述安全存储模块 中保存的关键标识信息与从所述现场可更换单元直接获得的关键标识信息 一致时， 确定所述现场可更换单元可信； 当对比子模块 221 确定所述安全 存储模块中保存的关键标识信息与从所述现场可更换单元直接获得的关键 标识信息不一致时， 确定所述现场可更换单元不可信。 具体地， 对比子模块 221 可以对所述安全存储模块中保存的加密的关 键标识信息进行解密， 将解密后的关键标识信息与从所述现场可更换单元 直接获得的关键标识信息进行对比； 或者， 对从所述现场可更换单元直接 获得的关键标识信息进行加密， 将加密后的从所述现场可更换单元直接获 得的关键标识信息与所述安全存储模块中保存的加密的关键标识信息进行 对比； 对从所述现场可更换单元直接获得的关键标识信息进行加密时釆用 的加密算法与所述安全存储模块中保存的加密的关键标识信息釆用的加密 算法相同。

可选地， 所述现场可更换单元的校验装置还可以包括： 存储模块 23 , 用于将所述现场可更换单元的可信性存储在系统状态存 储模块中。 具体地， 获取模块 21可以在收到所述现场可更换单元之后， 第一次使 用所述现场可更换单元之前， 获得所述现场可更换单元的安全存储模块中 保存的关键标识信息； 或者， 在所述现场可更换单元的启动过程中， 获得 所述现场可更换单元的安全存储模块中保存的关键标识信息； 或者， 在新 插入现场可更换单元之后， 获得新插入的现场可更换单元的安全存储模块 中保存的关键标识信息； 或者， 在所述现场可更换单元的运行过程中， 定 时或周期性获得所述现场可更换单元的安全存储模块中保存的关键标识信 息； 或者， 在所述现场可更换单元的运行过程中， 接收所述现场可更换单 元在受到命令触发后上报的该现场可更换单元的安全存储模块中保存的关 键标识信息。 可选地， 所述现场可更换单元的校验装置还可以包括： 保存模块 24、 第一更新模块 25a和第一告警模块 26a; 其中 本实施例的一种实现方式中， 所述保存模块 24 , 用于在所述现场可更 换单元的启动过程中，如果所述确定模块 22确定所述现场可更换单元可信， 则允许现场可更换单元注册， 并将用于唯一标识所述现场可更换单元的电 子标识保存在系统状态存储模块中； 所述第一更新模块 25a, 用于在所述现场可更换单元注册成功之后， 将 系统状态存储模块中所述现场可更换单元的状态更新为上线状态； 所述第一告警模块 26a, 用于在所述现场可更换单元的启动过程中， 如 果所述确定模块 22确定所述现场可更换单元不可信， 则进行告警， 并将所 述现场可更换单元不可信的事件记入日志。 本实施例的另一种实现方式中， 所述现场可更换单元的校验装置还可 以包括： 第二更新模块 25b和第二告警模块 26b; 其中所述第二更新模块 25b, 用于在所述现场可更换单元的运行过程中， 如果确定模块 22确定所 述现场可更换单元不可信， 则使所述现场可更换单元下线， 将系统状态存 储模块中所述现场可更换单元的状态更新为离线状态； 所述第二告警模块 26b, 用于在所述现场可更换单元的运行过程中， 如 果确定模块 22确定所述现场可更换单元不可信， 则进行告警， 将所述现场 可更换单元不可信的事件记入日志。 可选地， 所述第一告警模块 26a和所述第二告警模块 26b可以在同一 个模块或设备中实现， 所述第一更新模块 25a和所述第二更新模块 25b也 可以在同一个模块或设备中实现。 上述现场可更换单元的校验装置可以实现对现场可更换单元的可信性 进行校验， 并且实现简单， 成本低。 本发明实施例还提供一种通信设备， 该通信设备包括至少一个现场可 更换单元和至少一个现场可更换单元的校验装置， 其中， 所述现场可更换 单元的校验装置可以通过本发明图 2或图 3所示的现场可更换单元的校验 装置实现。 所述通信设备可以为程控交换机、 数据通信设备、 无线通信设 备或光传输设备等， 还可以为服务器类设备， 包括小型机、 服务器或计算 机等。 本发明实施例中， 一个设备可以包括多个现场可更换单元。 本领域技术人员可以理解附图只是一个优选实施例的示意图， 附图中 的模块或流程并不一定是实施本发明所必需的。 本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描 述进行分布于实施例的装置中， 也可以进行相应变化位于不同于本实施例 的一个或多个装置中。 所述实施例的模块可以合并为一个模块， 也可以拆 分成多个子模块。

最后应说明的是： 以上实施例仅用以说明本发明的技术方案， 而非对 其限制； 尽管参照前述实施例对本发明进行了详细的说明， 本领域的普通 技术人员应当理解： 其依然可以对前述各实施例所记载的技术方案进行修 改， 或者对其中部分技术特征进行等同替换； 而这些修改或者替换， 并不 使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims

权利要求

1、 一种现场可更换单元的校验方法， 其特征在于， 包括：

获取安全存储模块中保存的关键标识信息；

根据所述安全存储模块中保存的关键标识信息与从现场可更换单元直 接获得的关键标识信息， 确定所述现场可更换单元的可信性。

2、 根据权利要求 1所述的方法， 其特征在于， 所述根据所述安全存储 模块中保存的关键标识信息与从现场可更换单元直接获得的关键标识信 息， 确定所述现场可更换单元的可信性包括：

将所述安全存储模块中保存的关键标识信息与从所述现场可更换单元 直接获得的关键标识信息进行对比；

如果所述安全存储模块中保存的关键标识信息与从所述现场可更换单 元直接获得的关键标识信息一致， 则确定所述现场可更换单元可信；

如果所述安全存储模块中保存的关键标识信息与从所述现场可更换单 元直接获得的关键标识信息不一致， 则确定所述现场可更换单元不可信。

3、 根据权利要求 2所述的方法， 其特征在于， 所述安全存储模块中保 存的关键标识信息包括： 加密的关键标识信息；

所述将所述安全存储模块中保存的关键标识信息与从所述现场可更换 单元直接获得的关键标识信息进行对比包括：

对所述安全存储模块中保存的加密的关键标识信息进行解密， 将解密 后的关键标识信息与从所述现场可更换单元直接获得的关键标识信息进行 对比； 或者，

对从所述现场可更换单元直接获得的关键标识信息进行加密， 将加密 后的从所述现场可更换单元直接获得的关键标识信息与所述安全存储模块 中保存的加密的关键标识信息进行对比； 对从所述现场可更换单元直接获 得的关键标识信息进行加密时釆用的加密算法与所述安全存储模块中保存 的加密的关键标识信息釆用的加密算法相同。

4、 根据权利要求 3所述的方法， 其特征在于， 所述安全存储模块中保 存的加密的关键标识信息包括以下之一或任意组合： 用于唯一标识所述现 场可更换单元的电子标识的密文， 所述现场可更换单元中关键芯片的标识 和拓朴的摘要密文， 所述现场可更换单元中只读存储器程序区的摘要密文， 以及所述现场可更换单元中系统软件程序区或除所述系统软件之外其他软 件程序区的摘要密文。

5、 根据权利要求 3或 4所述的方法， 其特征在于， 所述对所述安全存 储模块中保存的加密的关键标识信息进行解密， 将解密后的关键标识信息 与从所述现场可更换单元直接获得的关键标识信息进行对比包括：

对所述安全存储模块中保存的用于唯一标识所述现场可更换单元的电 子标识的密文进行解密， 将解密后的电子标识与从所述现场可更换单元直 接读取的电子标识进行对比； 和 /或，

对所述安全存储模块中保存的所述现场可更换单元中关键芯片的标识 和拓朴的摘要密文进行解密， 并根据从所述现场可更换单元直接读取的所 述现场可更换单元中关键芯片的标识和拓朴， 生成所述现场可更换单元中 关键芯片的标识和拓朴的摘要； 将解密获得的所述现场可更换单元中关键 芯片的标识和拓朴的摘要与生成的所述现场可更换单元中关键芯片的标识 和拓朴的摘要进行对比； 和 /或，

对所述安全存储模块中保存的所述现场可更换单元中只读存储器程序 区的摘要密文进行解密， 并根据从所述现场可更换单元直接读取的所述现 场可更换单元中只读存储器程序区的信息， 生成所述现场可更换单元只读 存储器程序区的摘要； 将解密获得的所述现场可更换单元中只读存储器程 序区的摘要与生成的所述现场可更换单元中所述现场可更换单元只读存储 器程序区的摘要进行对比； 和 /或，

对所述安全存储模块中保存的所述现场可更换单元中系统软件程序区 或除所述系统软件之外其他软件程序区的摘要密文进行解密， 并根据从所 述现场可更换单元直接读取的所述现场可更换单元中系统软件程序区或除 所述系统软件之外其他软件程序区的信息， 生成所述现场可更换单元中系 统软件程序区或除所述系统软件之外其他软件程序区的摘要； 将解密获得 的所述现场可更换单元中系统软件程序区或除所述系统软件之外其他软件 程序区的摘要与生成的所述现场可更换单元中系统软件程序区或除所述系 统软件之外其他软件程序区的摘要进行对比。

6、 根据权利要求 1-4任意一项所述的方法， 其特征在于， 所述根据所 述安全存储模块中保存的关键标识信息与从现场可更换单元直接获得的关 键标识信息， 确定所述现场可更换单元的可信性之后， 还包括： 将所述现场可更换单元的可信性存储在系统状态存储模块中。

7、 根据权利要求 1-4任意一项所述的方法， 其特征在于， 所述获取安 全存储模块中保存的关键标识信息包括：

收到所述现场可更换单元之后， 第一次使用所述现场可更换单元之前， 获得所述现场可更换单元的安全存储模块中保存的关键标识信息； 或者， 在所述现场可更换单元的启动过程中， 获得所述现场可更换单元的安 全存储模块中保存的关键标识信息； 或者，

在所述现场可更换单元的运行过程中， 定时或周期性获得所述现场可 更换单元的安全存储模块中保存的关键标识信息； 或者，

在所述现场可更换单元的运行过程中， 接收所述现场可更换单元在受 到命令触发后上报的所述现场可更换单元的安全存储模块中保存的关键标 识信息。

8、 根据权利要求 7所述的方法， 其特征在于， 还包括：

在所述现场可更换单元的启动过程中， 如果确定所述现场可更换单元 可信， 则允许所述现场可更换单元注册， 并将用于唯一标识所述现场可更 换单元的电子标识保存在系统状态存储模块中， 并在所述现场可更换单元 注册成功之后， 将所述系统状态存储模块中所述现场可更换单元的状态更 新为上线状态；

如果确定所述现场可更换单元不可信， 则进行告警， 并将所述现场可 更换单元不可信的事件记入日志。

9、 根据权利要求 7所述的方法， 其特征在于， 还包括：

在所述现场可更换单元的运行过程中， 如果确定所述现场可更换单元 不可信， 则使所述现场可更换单元下线， 将系统状态存储模块中所述现场 可更换单元的状态更新为离线状态， 并输出告警信息， 将所述现场可更换 单元不可信的事件记入日志。

10、 一种现场可更换单元的校验装置， 其特征在于， 包括：

获取模块 , 用于获取安全存储模块中保存的关键标识信息；

确定模块 , 用于根据所述获取模块获得的所述安全存储模块中保存的 关键标识信息与从现场可更换单元直接获得的关键标识信息， 确定所述现 场可更换单元的可信性。

11、 根据权利要求 10所述的装置， 其特征在于， 所述确定模块包括： 对比子模块， 用于将所述安全存储模块中保存的关键标识信息与从所 述现场可更换单元直接获得的关键标识信息进行对比；

可信性确定子模块， 用于当所述对比子模块确定所述安全存储模块中 保存的关键标识信息与从所述现场可更换单元直接获得的关键标识信息一 致时， 确定所述现场可更换单元可信； 当所述对比子模块确定所述安全存 储模块中保存的关键标识信息与从所述现场可更换单元直接获得的关键标 识信息不一致时， 确定所述现场可更换单元不可信。

12、 根据权利要求 11所述的装置， 其特征在于，

所述对比子模块， 具体用于：

对所述安全存储模块中保存的加密的关键标识信息进行解密， 将解密 后的关键标识信息与从所述现场可更换单元直接获得的关键标识信息进行 对比； 或者，

对从所述现场可更换单元直接获得的关键标识信息进行加密， 将加密 后的从所述现场可更换单元直接获得的关键标识信息与所述安全存储模块 中保存的加密的关键标识信息进行对比；

对从所述现场可更换单元直接获得的关键标识信息进行加密时釆用的 加密算法与所述安全存储模块中保存的加密的关键标识信息釆用的加密算 法相同。

13、 根据权利要求 10-12任意一项所述的装置， 其特征在于， 还包括： 存储模块， 用于将所述现场可更换单元的可信性存储在系统状态存储 模块中。

14、 根据权利要求 10-12任意一项所述的装置， 其特征在于， 所述获取模块， 具体用于：

在收到所述现场可更换单元之后， 第一次使用所述现场可更换单元之 前， 获得所述现场可更换单元的安全存储模块中保存的关键标识信息； 或 者，

在所述现场可更换单元的启动过程中， 获得所述现场可更换单元的安 全存储模块中保存的关键标识信息； 或者，

在新插入现场可更换单元之后， 获得新插入的现场可更换单元的安全 存储模块中保存的关键标识信息； 或者，

在所述现场可更换单元的运行过程中， 定时或周期性获得所述现场可 更换单元的安全存储模块中保存的关键标识信息； 或者，

在所述现场可更换单元的运行过程中， 接收所述现场可更换单元在受 到命令触发后上报的所述现场可更换单元的安全存储模块中保存的关键标 识信息。

15、 根据权利要求 14所述的装置， 其特征在于， 还包括： 保存模块、 第一更新模块和第一告警模块； 其中：

所述保存模块， 用于在所述现场可更换单元的启动过程中， 如果所述 确定模块确定所述现场可更换单元可信， 则允许所述现场可更换单元注册， 并将用于唯一标识所述现场可更换单元的电子标识保存在所述系统状态存 储模块中；

所述第一更新模块， 用于在所述现场可更换单元注册成功之后， 将所 述系统状态存储模块中所述现场可更换单元的状态更新为上线状态；

所述第一告警模块， 用于在所述现场可更换单元的启动过程中， 如果 所述确定模块确定所述现场可更换单元不可信， 则进行告警， 并将所述现 场可更换单元不可信的事件记入日志。

16、 根据权利要求 14所述的装置， 其特征在于， 还包括： 第二更新模 块和第二告警模块； 其中：

所述第二更新模块， 用于在所述现场可更换单元的运行过程中， 如果 所述确定模块确定所述现场可更换单元不可信， 则使所述现场可更换单元 下线， 将所述系统状态存储模块中所述现场可更换单元的状态更新为离线 状态；

所述第二告警模块， 用于在所述现场可更换单元的运行过程中， 如果 所述确定模块确定所述现场可更换单元不可信， 则进行告警， 将所述现场 可更换单元不可信的事件记入日志。

17、 一种通信设备， 其特征在于， 包括： 至少一个现场可更换单元和 至少一个如权利要求 10-16任意一项所述的现场可更换单元的校验装置。