对网络设备进行鉴权的方法及系统.pdf

本发明提供了一种对网络设备进行鉴权的方法及系统，在对网络设备进行鉴权时，加入记录在网络设备的可信环境中的完整性检测结果进行联合判断，来最终确定是否发起鉴权请求或者是否响应鉴权成功。只有在收到的接入鉴权请求信息，以及记录在网络设备的可信环境中的完整性检测结果均正确时，网络设备才响应鉴权成功。只有在网络设备的可信环境中的完整性检测结果正确时，网络设备才能够主动发起有效的接入鉴权请求。这样，只有在网络设备完整性正确的情况下，网络设备的鉴权才能得到通过，因而保证了对网络设备的安全鉴权，消除了非法设备或者篡改后的设备鉴权通过的可能性。

1、  一种对网络设备进行鉴权的方法，其特征在于，该方法包括以下步骤：
对网络设备进行完整性检测，网络设备的可信环境记录完整性检测结果；
网络设备在收到接入鉴权请求时，网络设备的可信环境判断接收到的接入鉴权请求信息和记录的完整性检测结果是否均正确，如果均正确，网络设备发送鉴权成功响应；否则，网络设备发送鉴权失败响应。

2、  根据权利要求1所述的方法，其特征在于，所述判断接收到接入鉴权请求信息和记录的完整性检测结果是否均正确具体包括：
如果验证所述接入鉴权请求信息正确，且所述记录的完整性检测结果为正确，则网络设备发送鉴权成功响应；
如果验证所述接入鉴权请求信息正确但所述记录的完整性检测结果为错误，或者验证所述接入鉴权请求信息错误，或者不需要验证接入鉴权请求信息，则网络设备发送鉴权失败响应。

3、  根据权利要求1所述的方法，其特征在于，所述完整性检测包括网络设备软件的完整性检测和/或网络设备硬件的完整性检测。

4、  一种对网络设备进行鉴权的方法，其特征在于，该方法包括以下步骤：
对网络设备进行完整性检测，网络设备的可信环境记录完整性检测结果；
在由网络设备发起接入鉴权请求的情况，网络设备的可信环境判断出记录的完整性检测结果错误时，网络设备的可信环境通知网络设备不发起接入鉴权请求。

5、  根据权利要求4所述的方法，其特征在于，所述完整性检测包括网络设备软件的完整性检测和/或网络设备硬件的完整性检测。

6、  一种对网络设备进行鉴权的系统，其特征在于，该系统包括完整性检测装置、设置有可信环境的网络设备及其归属鉴权服务器，其中，
完整性检测装置，用于对网络设备进行完整性检测；
网络设备，记录完整性检测结果在可信环境中，接收来自网络设备归属鉴权服务器的接入鉴权请求，网络设备的可信环境判断接收到的接入鉴权请求信息和记录的完整性检测结果是否均正确，在判定均正确时，向网络设备归属鉴权服务器返回鉴权成功响应；否则，向网络设备归属鉴权服务器返回鉴权失败响应；
网络设备归属鉴权服务器，用于向网络设备发起接入鉴权请求，接收网络设备返回的鉴权成功/失败响应，并且对网络设备返回的鉴权响应消息进行分析，确定网络设备鉴权是否通过。

7、  根据权利要求6所述的系统，其特征在于，所述网络设备包括设置在可信环境中的记录单元和判断单元，其中，
记录单元，用于与完整性检测装置进行完整性检测，记录完整性检测结果；
判断单元，用于接收来自网络设备归属鉴权服务器的接入鉴权请求，在判断出接收到的接入鉴权请求信息和记录的完整性检测结果均正确时，向网络设备归属鉴权服务器返回鉴权成功响应；在判断出接收到的接入鉴权请求信息正确但所述记录的完整性检测结果为错误，或者判断出接收到的接入鉴权请求信息错误，或者不需要验证接收到的接入鉴权请求信息，则向网络设备归属鉴权服务器返回鉴权失败响应。

8、  一种对网络设备进行鉴权的系统，其特征在于，该系统包括完整性检测装置、设置有可信环境的网络设备及其归属鉴权服务器，其中，
完整性检测装置，用于对网络设备进行完整性检测；
在由网络设备发起接入鉴权请求的情况，所述网络设备的可信环境判断出记录的完整性检测结果错误时，网络设备的可信环境通知网络设备不发送接入鉴权请求；
网络设备归属鉴权服务器，用于接收网络设备的接入鉴权请求，对网络设备的接入鉴权请求进行分析，确定接入鉴权请求的有效性，并且决定网络设备鉴权是否通过。

对网络设备进行鉴权的方法及系统
技术领域
本发明涉及电信通讯系统中的网络安全技术，尤指一种对网络设备进行鉴权的方法及系统。
背景技术
在电信通讯行业中，为了向用户提供安全可靠的通讯环境，要求能够存取用户安全上下文的网络设备的软硬件信息是安全的。通常，网络设备的软硬件安全性都是用物理安全来保证的，比如在通用移动通信系统(UMTS，UniversalMobile Telecommunications System)中，归属位置寄存器(HLR，Home LocationRegister)、拜访位置寄存器(VLR，Visiting Location Register)、无线网络控制器(RNC，Radio Network Controller)是安全相关的网络设备，它们是安置在运营商的机房内，保证了其设备物理安全，因而保证了其上软硬件设备的安全性。
但是，在某些通讯环境中，存在能够存取用户安全上下文的网络设备是不具备物理安全的环境的情况，比如：长期演进/系统架构演进(LTE/SAE，LongTerm Evolution/System Architecture Evolution)中的演进型节点B(eNB)、家庭基站(HNB，Home NodeB)等，由于其灵活的部署场景，大多数时候都不会安装在运营商的机房内部，因而，它们很难具备物理安全的环境。在这种情况下，如何保证这些网络设备的软硬件完整性是相当重要的，因为在非物理安全的环境中，网络设备随时存在软硬件设备被替换的可能，这样就会破坏系统中该环节的安全性，严重时会危及整个系统的安全性。
为保证这种很难具备物理安全的环境的网络设备的安全性，现在通行的做法是，对网络设备进行接入鉴权管理，比如可扩展的身份认证协议-鉴权与密钥协商机制(EAP-AKA)、基于公钥的鉴权、AKA鉴权等，通常，鉴权管理包括：
首先，在网络设备中设置安全证书或者安全卡，作为网络设备的安全根；
然后，在网络设备初始接入核心网时，通过相应的鉴权协议对安全证书或者安全卡中的安全信息进行验证；
最后，核心网根据验证结果决定是否允许网络设备的接入。
目前的这种鉴权方法，在一定程度上能够保证网络设备的安全性，但是，这种方法具有一定的局限性，就是只能对安全证书或者安全卡中的安全信息进行鉴权，只要安全证书的信息或者安全卡的信息是正确的，那么网络就认为网络设备是安全的。
但是，事实并非如此，如果一个已经被篡改后的网络设备获得了一个合法的安全卡或者安全证书，那么，核心网也会认为该网络设备是安全的，显然，这时该网络设备不一定安全。也就是说，应用目前的对网络设备进行鉴权的方法，不能保证对网络设备的安全鉴权，存在危及整个系统的安全性的可能。
发明内容
有鉴于此，本发明的主要目的在于提供一种对网络设备进行鉴权的方法，能够保证对网络设备的安全鉴权，消除危及整个系统的安全性的可能。
本发明的另一目的在于提供一种对网络设备进行鉴权的系统，能够对保证网络设备的安全鉴权，消除危及整个系统的安全性的可能。
为达到上述目的，本发明的技术方案是这样实现的：
一种对网络设备进行鉴权的方法，该方法包括以下步骤：
对网络设备进行完整性检测，网络设备的可信环境记录完整性检测结果；
网络设备在收到接入鉴权请求时，网络设备的可信环境判断接收到的接入鉴权请求信息和记录的完整性检测结果是否均正确，如果均正确，网络设备发送鉴权成功响应；否则，网络设备发送鉴权失败响应。
所述判断接收到接入鉴权请求信息和记录的完整性检测结果是否均正确具体包括：
如果验证所述接入鉴权请求信息正确，且所述记录的完整性检测结果为正确，则网络设备发送鉴权成功响应；
如果验证所述接入鉴权请求信息正确但所述记录的完整性检测结果为错误，或者验证所述接入鉴权请求信息错误，或者不需要验证接入鉴权请求信息，则网络设备发送鉴权失败响应。
所述完整性检测包括网络设备软件的完整性检测和/或网络设备硬件的完整性检测。
一种对网络设备进行鉴权的方法，该方法包括以下步骤：
对网络设备进行完整性检测，网络设备的可信环境记录完整性检测结果；
在由网络设备发起接入鉴权请求的情况，网络设备的可信环境判断出记录的完整性检测结果错误时，网络设备的可信环境通知网络设备不发起接入鉴权请求。
所述完整性检测包括网络设备软件的完整性检测和/或网络设备硬件的完整性检测。
一种对网络设备进行鉴权的系统，该系统包括完整性检测装置、设置有可信环境的网络设备及其归属鉴权服务器，其中，
完整性检测装置，用于对网络设备进行完整性检测；
网络设备，记录完整性检测结果在可信环境中，接收来自网络设备归属鉴权服务器的接入鉴权请求，网络设备的可信环境判断接收到的接入鉴权请求信息和记录的完整性检测结果是否均正确，在判定均正确时，向网络设备归属鉴权服务器返回鉴权成功响应；否则，向网络设备归属鉴权服务器返回鉴权失败响应；
网络设备归属鉴权服务器，用于向网络设备发起接入鉴权请求，接收网络设备返回的鉴权成功/失败响应，并且对网络设备返回的鉴权响应消息进行分析，确定网络设备鉴权是否通过。
所述网络设备包括设置在可信环境中的记录单元和判断单元，其中，
记录单元，用于与完整性检测装置进行完整性检测，记录完整性检测结果；
判断单元，用于接收来自网络设备归属鉴权服务器的接入鉴权请求，在判断出接收到的接入鉴权请求信息和记录的完整性检测结果均正确时，向网络设备归属鉴权服务器返回鉴权成功响应；在判断出接收到的接入鉴权请求信息正确但所述记录的完整性检测结果为错误，或者判断出接收到的接入鉴权请求信息错误，或者不需要验证接收到的接入鉴权请求信息，则向网络设备归属鉴权服务器返回鉴权失败响应。
一种对网络设备进行鉴权的系统，该系统包括完整性检测装置、设置有可信环境的网络设备及其归属鉴权服务器，其中，
完整性检测装置，用于对网络设备进行完整性检测；
在由网络设备发起接入鉴权请求的情况，所述网络设备的可信环境判断出记录的完整性检测结果错误时，网络设备的可信环境通知网络设备不发送接入鉴权请求；
网络设备归属鉴权服务器，用于接收网络设备的接入鉴权请求，对网络设备的接入鉴权请求进行分析，确定接入鉴权请求的有效性，并且决定网络设备鉴权是否通过。
从上述本发明提供的技术方案可以看出，在对网络设备进行鉴权时，加入记录在网络设备的可信环境中的完整性检测结果进行联合判断，确定是否响应鉴权成功或者是否发送有效的接入鉴权请求。只有在接入鉴权请求信息，以及记录在网络设备的可信环境中的完整性检测结果均正确时，才向鉴权服务器响应鉴权成功，鉴权服务器根据收到的鉴权成功响应进行判断，确定网络设备鉴权是否通过。只有记录在网络设备的可信环境中的完整性检测结果均正确时，才向鉴权服务器发送接入鉴权请求，鉴权服务器根据收到的接入鉴权请求进行判断，确定网络设备鉴权是否通过。这样，只有在网络设备完整性正确的情况下，网络设备的鉴权才能得到通过，因而保证了对网络设备的安全鉴权，消除了非法设备或者篡改后的设备得以鉴权通过的可能性。
附图说明
图1为本发明一种对网络设备进行鉴权的方法的流程图；
图2为本发明网络设备软件的完整性检测的实施例的流程示意图；
图3为本发明网络设备硬件的完整性检测的实施例的流程示意图；
图4为本发明EAP-AKA正常流程的实施例的流程示意图；
图5为本发明EAP-AKA异常流程的实施例的流程示意图；
图6为本发明一种对网络设备进行鉴权的系统的组成结构示意图。
具体实施方式
图1为本发明对网络设备进行鉴权的方法的流程图，如图1所示，本发明方法包括：
步骤100：对网络设备进行完整性检测，网络设备的可信环境记录完整性检测结果。
可信环境(TRE，Trust Environment)是网络设备中一可进行安全存储和安全计算的模块，TRE可以是固化在网络设备中的电路，也可以是可插拔的卡。比如TRE可以是一块专门用于安全存储和安全计算的芯片等。可信环境能够根据不同的需要提供不同的功能，比如：可信环境能够保存鉴权参数，能够对收到的鉴权参数进行计算，能够根据计算结果判断收到的鉴权信息是否正确，能够对接入鉴权请求或者接入鉴权响应进行有效的保护等。
本步骤的完整性检测包括网络设备软件的完整性检测和/或网络设备硬件的完整性检测。当网络设备软件的完整性检测和网络设备硬件的完整性检测结果均正确时，记录的完整性检测结果为正确；当网络设备软件的完整性检测和/或网络设备硬件的完整性检测结果错误时，记录的完整性检测结果为错误。
步骤101：网络设备在收到接入鉴权请求时，网络设备的可信环境判断接收到的接入鉴权请求信息和记录的完整性检测结果是否均正确，如果均正确，进入步骤102；否则，进入步骤103。
当网络设备的可信环境接收到接入鉴权请求时，对接入鉴权请求信息的正确性判断属于现有技术，可参见RFC相关协议。本步骤强调的是，将记录在网络设备的可信环境中的完整性检测结果也作为判断鉴权是否成功的依据之一，保证了对网络设备的安全鉴权。
步骤102：网络设备发送鉴权成功响应。此时网络设备是安全的。结束本流程。
步骤103：网络设备发送鉴权失败响应。此时，网络设备可能是不安全的。
网络设备归属鉴权服务器，会对网络设备返回的鉴权响应消息进行分析，确定网络设备鉴权是否通过。
本步发明方法强调的是，只有在接入鉴权请求信息，以及记录在网络设备的可信环境中的完整性检测结果均正确时，才认为对网络设备的鉴权是成功的，网络设备是安全的，这样，保证了对网络设备的安全鉴权，消除了非法设备或者篡改后的设备得以鉴权通过的可能性。
需要说明的是，在由网络设备发起接入鉴权请求的情况，在由网络设备发起接入鉴权请求的情况，当网络设备向网络设备的可信环境请求对接入鉴权请求进行安全保护时，网络设备的可信环境判断出记录的完整性检测结果错误时，网络设备的可信环境不返回接入鉴权请求进行安全保护结果给网络设备，并且通知网络设备不发起接入鉴权请求。其中，接入鉴权请求的安全保护包括但不限于对消息的完整性保护，或者对消息的数字签名等。这种情况下，如果网络设备已被篡改或者是非法设备，即使网络设备收到其可信环境发来的不发起接入鉴权请求的通知，网络设备也会向其归属鉴权服务器发起接入鉴权请求，此时，网络设备归属鉴权服务器，对网络设备的接入鉴权请求进行分析，确定接入鉴权请求的有效性，并且决定网络设备鉴权是否通过。
下面结合实施例，分别详细描述步骤101和步骤102的具体实现。
图2为本发明网络设备软件的完整性检测的实施例的流程示意图，图2所示实施例中，假设网络设备从网管中心下载软件(也就是说将该软件作为待检测的软硬件信息)，如图2所示，在软件下载后对该软件的完整性进行检测包括如下步骤：
步骤200：在需要管理的网络设备(NE)上设置TRE，TRE中的安全信息包括：TRE标识(IDc)、与网络设备归属服务器(HLR/HSS)共享的根密钥K、与HLR/HSS共享的密钥导出算法F1、与设备完整性管理中心(EIMC)共享的数字签名算法S1、与网管中心(OMC)共享的HASH算法H1。
其中，数字签名算法S1可以是散列信息认证码(HMAC，Hashed MessageAuthentication Code)算法，比如HMAC-SHA1、HMAC-SHA256等。
此外，OMC中设置有该NE的身份标识IDi，以及IDi与IDc的对应关系。
步骤201：网络设备向OMC请求下载软件(记作file)时，OMC使用HASH算法H1对该软件file进行HASH计算，生成安全特征信息H＝H1(file)；
需要说明的是，如果OMC已经有该软件的安全特征信息H，OMC可以直接使用该值，无需再次进行HASH计算。
步骤202～步骤203：OMC将散列值H及该网络设备的IDi对应的IDc发送给EIMC，EIMC将接收到的IDc发送给HLR/HSS。
步骤204：HLR/HSS生成随机数R；根据IDc获取对应的TRE的根密钥K，利用F1、K和R导出数字签名密钥Ks＝F1(K，R)。这里，数字签名密钥Ks也可以称为根密钥K的子密钥。
步骤205：HLR/HSS将IDc、数字签名密钥Ks和随机数R发送给EIMC。
步骤206：EIMC使用数字签名算法S1和数字签名密钥Ks对散列值H进行数字签名，得到数字签名结果Sr＝S1(Ks，H)。
步骤207：EIMC将IDc、随机数R、散列值H和数字签名结果Sr发送给OMC。
步骤208：OMC将网络设备请求下载的软件file、接收到的随机数R、散列值H和数字签名结果Sr发送给网络设备，网络设备再将上述信息发送给TRE。
步骤209：网络设备的TRE使用H1对软件file进行HASH计算，生成安全特征信息H′＝H1(file)，利用密钥导出算法F1、根密钥K和随机数R生成数字签名密钥Ks′＝F1(K，R)，利用数字签名算法S1、数字签名密钥Ks′对安全特征信息H′进行数字签名，得到数字签名结果Sr′＝S1(Ks′，H′)。
步骤210：网络设备的TRE根据两个数字签名密钥Sr和Sr′的值判断接收到的软件file是否完整：如果Sr和Sr′的值相等，则认为file是完整的，否则认为file不完整。
进一步地，网络设备的TRE还可以H和H′的值判断接收到的软件file是否完整：如果Sr和Sr′的值相等且H和H′的值相等，则认为软件file是完整的，否则认为软件file不完整。
至此，网络设备从OMC下载了软件file，并且对该软件file的完整性进行了检测，确认该软件没有在传输过程中被篡改和替换。
此后，网络设备可以保存接收到的文件file、以及R、Sr和H值，以便在需要时(比如重新启动后、或需要使用该文件前)，再次按照步骤209的方法，使用R值生成Ks′，并生成该文件的H′和Sr′，然后按照步骤210的方法对该文件的完整性进行检测。
图3为本发明网络设备硬件的完整性检测的实施例的流程示意图，图3所示实施例中，假设网络设备需要对硬件的完整性进行检测，判断网络设备中的硬件是否被替换，也就是说将硬件配置信息作为待检测的软硬件信息；如图3所示，该方法包括如下步骤：
步骤300：在需要管理的网络设备上设置TRE，TRE中的安全信息包括：IDc、与HLR/HSS共享的根密钥K、与HLR/HSS共享的密钥导出算法F1、与EIMC共享的完整性保护算法I1、与OMC共享的HASH算法H1(不带密钥的HASH算法)。
其中，完整性保护算法I1可以是HMAC算法，比如HMAC-SHA1、HMAC-SHA256等。
此外，OMC中设置有该网络设备的身份标识IDi，以及IDi与IDc的对应关系。
步骤301：网络设备向OMC请求硬件完整性保护信息时，OMC使用HASH算法H1对该网络设备中需要进行完整性保护的硬件配置信息Hinfo进行HASH计算，生成安全特征信息H＝H1(Hinfo)；
OMC还需要生成硬件配置信息Hinfo的硬件信息顺序表(或称为设备硬件HASH信息表)，硬件信息顺序表中包括了硬件的名称及各硬件在生成安全特征信息时的顺序信息。例如，硬件信息顺序表中包含以下字符串：“处理器标识，内存容量”；该字符串表示硬件配置信息Hinfo中包含处理器标识以及内存容量，并且按照处理器标识在前，内存容量在后的顺序进行HASH计算，生成安全特征信息H。硬件信息顺序表将在后续步骤中发送给网络设备，以便网络设备提取相同类型的硬件的信息，并按照相同的顺序进行HASH计算。
需要说明的是，如果网络设备和OMC预先设置了硬件配置信息Hinfo中包含的硬件类型以及顺序，则OMC无需生成上述硬件信息顺序表发送给网络设备。
步骤302～步骤303：OMC将安全特征信息H及该网络设备的IDi对应的IDc发送给EIMC，EIMC将接收到的IDc发送给HLR/HSS。
步骤304：HLR/HSS生成随机数R；根据IDc获取对应的TRE的根密钥K，利用F1、K和R导出完整性保护密钥Ki＝F1(K，R)。这里完整性密钥Ki也可以称为根密钥K的子密钥。
步骤305：HLR/HSS将IDc、完整性保护密钥Ki和随机数R发送给EIMC。
步骤306：EIMC使用完整性保护算法I1、完整性保护密钥Ki对安全特征信息H进行完整性保护，得到完整性保护结果Ir＝I1(Ki，H)。
步骤307：EIMC将IDc、随机数R、安全特征信息H和完整性保护结果Ir发送给OMC。
步骤308：OMC将硬件配置信息Hinfo所对应的硬件信息顺序表、以及随机数R、安全特征信息H、完整性保护结果Ir发送给网络设备，网络设备再将上述信息发送给TRE.
步骤309：网络设备根据硬件信息顺序表在本地收集并依序生成硬件配置信息Hinfo′，并指示TRE利用HASH算法H1对Hinfo′进行HASH计算，生成安全特征信息H′＝H1(Hinfo′)，利用密钥导出算法F1、根密钥K和随机数R生成完整性保护密钥Ki′＝F1(K，R)，使用完整性保护算法I1、完整性保护密钥Ki′对H′进行加密，得到完整性保护结果Ir′＝S1(Ki′，H′)。
步骤310：网络设备的TRE根据Ir和Ir′的值判断网络设备的硬件是否完整：如果Ir和Ir′的值相等，则认为硬件是完整的，否则认为硬件不完整.
进一步地，网络设备的TRE还可以根据H和H′的值判断硬件是否完整：如果Ir和Ir′的值相等且H和H′的值相等，则认为硬件是完整的，否则认为硬件不完整。需要说明的是，硬件不完整可能是由于网络设备的硬件被替换，或硬件信息顺序表、R、H、Sr在传输过程中被篡改导致。
此后，网络设备可以保存接收到的硬件信息顺序表、R、H、Ir，以便后续需要时(比如重新启动后、使用特定硬件前)，再次按照步骤309的方法，根据硬件信息顺序表生成硬件配置信息Hinfo′，使用R值生成Ki′，并生成H′和Ir′，然后按照步骤310的方法对硬件的完整性进行检测。
根据本发明图2和图3的基本原理，上述实施例还可以有多种变换方式，
(一)OMC可以只存储设备标识IDi，而在EIMC中设置IDi和IDc之间的对应关系；
在这种情况下，在步骤202/302中，OMC将H及该网络设备的标识IDi发送给设备完整性管理中心(EIMC)；在步骤203/303中，EIMC根据IDi与IDc的对应关系获取对应的IDc，并将对应的IDc发送给HLR/HSS；在步骤207/307中，EIMC再次根据IDi与IDc的对应关系获取对应的IDi，并将IDi、R、H、Sr/Ir发送给网管中心OMC。
(二)如果EIMC存储有IDc对应的数字签名密钥以及密钥导出参数(即随机数R)，则无需从HLR中获取，即步骤203～205/303～305可省略。
同样，网络设备的TRE也可以存储先前生成的数字签名密钥，而无需每次都重新导出；在这种情况下，OMC也无需将R值发送给网络设备。
此外，在上述实施例中HLR/HSS通过将生成数字签名密钥的密钥导出参数R发送给网络设备来实现数字签名密钥的协商；在本发明的其他实施例中，数字签名密钥的协商也可以作为一个独立的流程，采用更安全的机制进行。例如，在步骤201/301之前，网络设备可以与HLR/HSS采用Diffie-Hellman密钥交换算法进行密钥的秘密协商，协商出当前的数字签名密钥。如果采用Diffie-Hellman密钥交换算法，网络设备和HLR/HSS中都无需存储根密钥K。
(三)在步骤209/309中，由于HASH算法H1无需使用密钥，因此使用H1对file/Hinfo’进行HASH计算的操作，可以不在TRE中进行，而在网络设备中的其他模块中进行。当然，在TRE中进行HASH计算可以极大地提高安全性。
(四)可以用加密算法，比如高级加密标准(AES，Advanced EncryptionStandard)算法等取代上述实施例中的数字签名算法S1/完整性保护算法I1；在这种情况下，步骤208/308中可以不将H发送给网络设备。
数字签名算法和加密算法可以统称为密码算法，数字签名和加密操作可以统称为密码运算。
(五)OMC可以将待检测的软件信息(例如网络设备的配置信息、和/或第一实施例中的软件file)和硬件配置信息(例如第二实施例中的Hinfo)一起进行提取安全特征信息的操作(例如进行HASH计算)，并将安全特征信息发送给EIMC进行数字签名生成数字签名结果，然后将包含软件信息和硬件配置信息的数字签名结果发送给网络设备进行完整性检测。
(六)OMC除了将待检测的软硬件信息直接发送给网络设备(如第一实施例中的软件file)、或将生成待检测的软硬件信息的辅助信息(或称为摘要信息，如第二实施例中的硬件信息顺序表)发送给网络设备，以便网络设备在本地提取待检测的软硬件信息的安全特征信息H′外，OMC还可以将待检测的软硬件信息的标识信息发送给网络设备，以便网络设备根据该标识信息在本地获取待检测的软硬件信息。
例如，上述待检测的软硬件信息的标识信息可以是软件名称。
(七)在步骤209/309中，网络设备的TRE也可以在计算得到H′后，使用密钥K1和数字签名算法S1/完整性保护算法I1的逆运算S1^-1/I1^-1对Sr/Ir进行密码运算，得到密码运算结果H″＝S1^-1(K1，Sr)或H″＝I1^-1(K1，Ir)，并在步骤210/310中，根据H′与H″是否相同来检测网络设备的软硬件是否完整。
需要说明的事，图2和图3提供的完整性检测方法仅仅是一种实施方式，还可以采用其它完整性检测方法。本发明并不限制完整性检测方法的实现，而强调的是对存储的完整性检测结果的应用。
图4为本发明EAP-AKA正常流程的实施例的流程示意图，本实施例中假设网络设备的TRE记录的完整性检测结果为正确，如图4所示，包括以下步骤：
步骤400～步骤401：网络设备的TRE向鉴权服务器发送EAP用户身份请求，并收到鉴权服务器的EAP用户身份响应。具体实现可参见相关协议，这里不再赘述。
步骤402～步骤403：鉴权服务器运行AKA算法，生成RAND和AUTN，并将得到的RAND、AUTN和MAC携带在EAP-AKA接入鉴权请求/EAP鉴权挑战请求(EAP-Request/AKA-Challenge)中发送给网络设备。具体实现可参见相关协议，这里不再赘述。
步骤404～步骤405：网络设备的TRE进行AKA算法，验证AUTN和MAC为正确，且记录的网络设备完整性检测结果为正确，导出RES和会话密钥，并通过EAP鉴权挑战响应(EAP-Response/AKA-Challenge)返回给鉴权服务器。其中，AKA算法、验证AUTN和MAC的正确性、导出RES和会话密钥，并通过EAP鉴权挑战响应(EAP-Response/AKA-Challenge)返回给鉴权服务器的具体实现可参见相关协议，这里不再赘述。
步骤406～步骤407：鉴权服务器检查RES和MAC正确，向网络设备返回EAP成功消息。具体实现可参见相关协议，这里不再赘述。
图4所示的流程中，在步骤404～步骤405中，加入对记录的网络设备完整性检测结果的联合判断，来最终确定鉴权是否成功，在图4所述的EAP-AKA正常流程中，只有当网络设备的TRE验证来自鉴权服务器的AUTN和MAC为正确，同时记录的网络设备完整性检测结果为正确时，才认为鉴权成功，网络设备是安全的，这样，保证了对网络设备的安全鉴权，消除了危及整个系统的安全性的可能。
图5为本发明EAP-AKA异常流程的实施例的流程示意图，如图5所示，包括以下步骤：
步骤500～步骤501：网络设备的TRE向鉴权服务器发送EAP用户身份请求，并收到鉴权服务器的EAP用户身份响应。具体实现可参见相关协议，这里不再赘述。
步骤502～步骤503：鉴权服务器运行AKA算法，生成RAND和AUTN，并将得到的RAND、AUTN和MAC携带在EAP-AKA接入鉴权请求/EAP鉴权挑战请求(EAP-Request/AKA-Challenge)中发送给网络设备。具体实现可参见相关协议，这里不再赘述。
步骤504～步骤505：网络设备的TRE进行AKA计算，验证AUTN和MAC为正确但记录的网络设备完整性检测结果为错误，或者验证AUTN或MAC为错误，或者不需要验证RUTN，向鉴权服务器返回EAP鉴权挑战拒绝响应(EAP-Response/AKA-AKA-Authentication-Reject)。其中，AKA算法、验证AUTN和MAC的正确性、返回EAP鉴权挑战拒绝响应以及不需要验证RUTN的具体实现可参见相关协议，这里不再赘述。
步骤506：鉴权服务器检查RES和MAC为错误，具体实现可参见相关协议，这里不再赘述。
步骤507～步骤509：鉴权服务器向网络设备发送EAP通知请求，网络设备回复EAP通知响应，接着鉴权服务器向网络设备回应EAP失败消息。具体实现可参见相关协议，这里不再赘述。
图5所示的流程中，在步骤504～步骤505中，加入对记录的网络设备完整性检测结果的联合判断，来最终确定鉴权是否成功，在图5所述的EAP-AKA异常流程中，包括三种情况，其中验证AUTN或MAC为错误，或者不验证RUTN时认为鉴权失败，向鉴权服务器返回EAP鉴权挑战拒绝响应是协议中EAP-AKA异常流程中规定的；第三种情况是，当网络设备的TRE验证来自鉴权服务器的AUTN和MAC为正确，但是记录的网络设备完整性检测结果为错误时，认为鉴权失败，向鉴权服务器返回EAP鉴权挑战拒绝响应。
针对本发明方法，还提供一种对网络设备进行鉴权的系统，图6是本发明对网络设备进行鉴权的系统的组成结构示意图，如图6所示，该系统包括完整性检测装置、设置有可信环境的网络设备及其归属鉴权服务器，其中，
完整性检测装置，用于对网络设备进行完整性检测；
网络设备，记录完整性检测结果在可信环境中，接收来自网络设备归属鉴权服务器的接入鉴权请求，网络设备的可信环境判断接收到的接入鉴权请求信息和记录的完整性检测结果是否均正确，在判定均正确时，向网络设备归属鉴权服务器返回鉴权成功响应；否则，向网络设备归属鉴权服务器返回鉴权失败响应；
网络设备归属鉴权服务器，用于向网络设备发起接入鉴权请求，接收网络设备返回的返回鉴权成功/失败响应，确定网络设备安全/不安全。
所述网络设备包括设置在可信环境中的记录单元和判断单元，其中，
记录单元，用于与完整性检测装置进行完整性检测，记录完整性检测结果；
判断单元，用于接收来自网络设备归属鉴权服务器的接入鉴权请求，在判断出接收到的接入鉴权请求信息和记录的完整性检测结果均正确时，向网络设备归属鉴权服务器返回鉴权成功响应；在判断出接收到的接入鉴权请求信息正确但所述记录的完整性检测结果为错误，或者判断出接收到的接入鉴权请求信息错误，或者不需要验证接收到的接入鉴权请求信息，则向网络设备归属鉴权服务器返回鉴权失败响应。
所述完整性检测装置包括网络设备、网管中心，该系统还包含设备完整性管理中心；其中：
所述网管中心，用于在本地提取待检测的软/硬件信息的安全特征信息H，并将H发送给设备完整性管理中心；
所述设备完整性管理中心，用于使用密钥Ks/Ki和密码算法S1/I1对H进行密码运算，得到密码运算结果Sr/Ir，并将Sr/Ir通过网管中心发送给网络设备；
所述网络设备中的可信环境，用于在在网络设备中提取待检测的软/硬件信息的安全特征信息H′后，使用密钥Ks/Ki和密码算法S1/I1对H′进行密码运算，得到密码运算结果Sr′/Ir′，并根据Sr′/Ir′与Sr/Ir是否相同来检测网络设备的软/硬件是否完整；或者，使用密钥Ks/Ki和密码算法S1/I1的逆运算S1^-1/I1^-1对Sr/I1进行密码运算，得到密码运算结果H″，并根据H′与H″是否相同来检测网络设备的软/硬件是否完整。
所述系统还包括设备归属服务器；所述可信环境和设备归属服务器中分别存储有可信环境对应的根密钥K；
所述设备归属服务器，用于采用所述根密钥K、密钥导出参数R和密钥导出算法F1导出所述密钥Ks/Ki，并将所述密钥导出参数R通过所述设备完整性管理中心和网管中心发送给所述网络设备的可信环境；
所述网络设备的可信环境，还用于采用所述根密钥K、密钥导出算法F1以及接收到的密钥导出参数R导出所述密钥Ks/Ki。
以上所述，仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。