[发明专利]一种在线查询方法及设备

说明书

技术领域

本发明涉及通信领域，尤其涉及一种在线查询方法及设备。

背景技术

随着通信技术的发展和应用，目前通信领域中越来越重视网络设备的安全，如可以通过校验网络设备上的程序的完整性，来确定该网络设备是否安全。例如：当校验结果表示该网络设备上的程序完整，即程序没有被篡改时，则可以确定该网络设备安全，当校验结果表示该网络设备上的程序不完整，即程序有被篡改时，则可以确定该网络设备不安全。然而，目前通信领域中主要通过如下技术校验网络设备上的程序的完整性：

设备管理者通过查询设备向网络设备发送查询请求；

网络设备响应上述查询请求，以生成该网络设备上的程序的完整性校验结果，并向查询设备发送该校验结果。

这样设备管理者就可以通过查询设备获取的上述校验结果，从而确定该网络设备上的程序的完整性。

但目前通信领域中存在攻击者针对网络设备开发的攻击技术，该技术可以将木马后门植入网络设备，从而可以篡改网络设备上的程序，例如：篡改固件。同时，攻击者还可以控制该网络设备或者在线劫持上述查询请求，从而实现向查询设备返回一个错误的校验结果。例如：网络设备被植入木马后，网络设备接收到查询设备发送的查询请求后，网络设备生成该网络设备上的程序不完整的校验结果。但攻击者可以通过木马拦劫该校验结果，并向查询设备返回一个网络设备上的程序完整的错误校验结果。这样查询设备就只会接收到这个错误校验结果，而无法得到正确的校验结果。

可见，上述技术中查询设备可能无法正确地识别网络设备的安全性。

发明内容

本发明提供了一种在线查询方法及设备，可以实现查询设备正确地识别网络设备的安全性。

第一方面，本发明提供一种在线查询方法，包括：

网络设备获取查询设备发送的对所述网络设备的安全性进行查询的查询请求，所述查询请求携带有所述查询设备随机生成的第一数据信息；

所述网络设备响应所述查询请求，以生成所述网络设备的安全性的校验结果；

所述网络设备将所述第一数据信息、所述校验结果和预先存储的机密信息进行特定运算得到运算结果，向所述查询设备发送所述运算结果，所述运算结果用于与参考结果进行比较，且所述比较结果用于识别所述网络设备的安全性，其中，所述参考结果为将所述第一数据信息、所述机密信息和校验参考结果进行所述特定运算得到的参考结果，所述校验参考结果用于表示所述网络设备的安全性。

在第一方面的第一种可能的实现方式中，所述网络设备获取查询设备发送的对所述网络设备的安全性进行查询的查询请求，包括：

所述网络设备获取查询设备发送的对所述网络设备上的目标程序的完整性进行查询的查询请求；

所述网络设备响应所述查询请求，以生成所述网络设备的安全性的校验结果，包括：

所述网络设备响应所述查询请求，以生成所述目标程序的完整性的校验结果。

结合第一方面或者第一方面的第一种可能的实现方式，在第二种可能的实现方式中，所述机密信息存储在所述网络设备上的特定芯片的存储单元内，且所述特定芯片内包含用于进行所述特定运算的运算电路，所述运算电路与所述存储单元连接；

所述网络设备将所述校验结果和预先存储的机密信息进行特定运算得到运算结果，包括：

所述运算电路获取所述第一数据信息、所述校验结果和所述机密信息，并输出所述第一数据信息、所述校验结果和预先存储的机密信息进行所述特定运算的运算结果。

结合第一方面或者第一方面的第一种可能的实现方式，在第二种可能的实现方式中，所述方法还包括：

所述网络设备随机生成所述第二数据信息；

所述网络设备将所述第一数据信息、所述校验结果和预先存储的机密信息进行特定运算得到运算结果，向所述查询设备发送所述运算结果，包括：

所述网络设备将所述第一数据信息、第二数据信息、校验结果和预先存储的机密信息进行特定运算得到运算结果，并向所述查询设备发送所述运算结果和所述第二数据信息，以使所述查询设备将参考结果与所述运算结果进行比较，并根据所述比较结果识别所述网络设备的安全性，其中，所述参考结果根据所述第二数据信息得到。

第二方面，本发明提供一种在线性校验方法，包括：

向网络设备发送对安全性进行查询的查询请求，所述查询请求携带有随机生成的第一数据信息，以使所述网络设备响应所述查询请求，以生成所述网络设备的安全性的校验结果；