WO2022105703A1

WO2022105703A1 - 一种完整性校验方法及相关设备

Info

Publication number: WO2022105703A1
Application number: PCT/CN2021/130551
Authority: WO
Inventors: 吴迪; 曹斌; 潘伟
Original assignee: Huawei Technologies Co Ltd
Current assignee: Huawei Technologies Co Ltd
Priority date: 2020-11-20
Filing date: 2021-11-15
Publication date: 2022-05-27
Anticipated expiration: 2023-05-20
Also published as: CN114598483A; EP4239948A1; US20230297722A1; US12530503B2; EP4239948A4

Abstract

本申请实施例公开了一种完整性校验方法及相关设备，包括：第一设备向第二设备发送第一数据，第一设备向验证服务器发送该第一数据对应的完整性度量基线值，第二设备向验证服务器发送第一数据对应的完整性度量值；验证服务器即可根据完整性度量值和完整性度量基线值对第一数据进行完整性校验。如此，需要交互的仅是第一数据对应的完整性度量值和完整性度量基线值，无需交互全量的第一数据，减少了校验所需交互的数据量，节约了校验过程所占用的资源，而且，由可信的验证服务器进行完整性校验，而不是由第一设备直接对第一数据进行比对，确保该校验过程更加安全和可靠，从而为第二设备上业务的正常运行提供了保障。

Description

一种完整性校验方法及相关设备

本申请要求于2020年11月20日提交中国国家知识产权局、申请号为202011313900.3、申请名称为“一种完整性校验方法及相关设备”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及通信技术领域，尤其涉及一种完整性校验方法及相关设备。

背景技术

通常，设备之间会交互一些数据，指导接收端对待传输数据的处理，为了保证业务的正常运行，要求设备之间交互的数据在发送端和接收端保持一致，这就需要对发送端和接收端上保存的数据进行校验，例如，控制管理设备会向终端设备发送一些数据，这些数据指导该终端设备完成对报文的处理，要求终端设备上指导报文处理的数据来自控制管理设备且与控制管理设备下发的数据保持一致，一旦不一致，说明该终端设备上指导报文处理所依据的数据可能是不可靠的，基于此，需要对终端设备上用于指导报文处理的数据和控制管理设备上对应的数据进行校验。

目前，以控制管理设备向终端设备发送的数据的校验为例，终端设备会将从控制管理设备接收的数据全量上报给控制管理设备，由控制管理设备对所接收的数据和本地保存的数据进行比对，如果一致，则表示该终端设备中用于指导报文处理的数据准确，如果不一致，则表示该终端设备中用于指导报文处理的数据不准确。但是，该实现方式中，对终端设备和控制管理设备上数据的校验，需要两者之间交互的信息量较大，需要占用的网络资源较多，而且，通过全量数据的交互和对比进行校验，校验结果也不够安全和准确。

发明内容

本申请实施例提供了一种完整性校验方法及相关设备，数据的发送端和接收端分别将数据的完整性度量值和完整性度量基线值发送给可信的验证服务器，由该验证服务器对该数据的完整性进行校验，确保高效、可靠的完成对发送端和接收端上数据的完整性校验，从而为业务的正常运行提供了保障。

第一方面，本申请实施例提供了一种完整性校验方法，该方法可以包括：第一设备向第二设备发送第一数据之后，第一设备向验证服务器发送该第一数据对应的完整性度量基线值，第二设备向验证服务器发送第一数据对应的完整性度量值；这样，验证服务器即可根据完整性度量值和完整性度量基线值对第一数据进行完整性校验。如此，由可信的验证服务器对第一设备和第二设备分别发送的相同的第一数据对应的完整性度量值和完整性度量基线值进行完整性校验，需要交互的仅是第一数据对应的完整性度量值和完整性度量基线值，无需交互全量的第一数据，有效的减少了校验所需交互的数据量，大大的节约了校验过程所占用的资源，而且，通过引入可信的验证服务器，由验证服务器对完整性度量值和完整性度量基线值进行完整性校验，而不是由第一设备直接对第一数据进行比对，能够确保该校验过程更加安全和可靠，从而为第二设备上业务的正常运行提供了保障。

其中，第一设备可以是控制管理设备，第二设备可以是终端设备。或者，第一设备可以是终端设备，第二设备可以是控制管理设备。又或者，第一设备和第二设备均可以是终端设备。

作为一个示例，第一数据可以包括下述至少一个：分段路由流量工程(英文：Segment Routing Traffic Engineering，简称：SR TE)配置信息、分段路由流量工程的策略(英文：Segment Routing Traffic Engineering policy，简称：SR TE-policy)配置信息、访问控制列表(英文：Access Control Lists，简称：ACL)配置信息或流规则(英文：Flow Specification，简称：FlowSpec)配置信息。

其中，完整性度量基线值可以为经过哈希计算得到的哈希值，那么，完整性度量值为经过哈希计算得到的哈希值。或者，完整性度量基线值也可以为数字签名，那么，完整性度量值为数字签名。又或者，完整性度量基线值还可以为经过加密处理得到的加密值，那么，完整性度量值为经过加密处理得到的加密值。

需要说明的是，为了确保第一设备和第二设备对相同的对象进行完整性校验，第一设备和第二设备可以保持时钟同步，或者，在第一数据携带发送时间戳，这样，可以保障进行完整性校验的第一数据是相同的数据，例如，第一设备待校验的数据为数据a和数据b，第二设备待检验的数据也为数据a和数据b。

在一种可能的实现方式中，在第一设备向验证服务器发送第一数据的完整性度量基线值之前，第一设备还可以计算第一数据对应的完整性度量基线值；在第二设备向验证服务器发送第一数据的完整性度量值之前，第二设备还可以计算第一数据对应的完整性度量值。作为一个示例，第一设备计算第一数据对应的完整性度量基线值，可以包括：第一设备根据第一数据的全部内容确定所述完整性度量基线值；那么，第二设备计算第一数据对应的完整性度量值，可以包括：第二设备根据所述第一数据的全部内容确定完整性度量值。其中，第一设备和第二设备上对第一数据按照相同的顺序保存，可以确保根据第一数据的全部内容计算的校验值是对应的，为完整性校验的准确执行提供了保障。作为另一个示例，第一设备计算第一数据对应的完整性度量基线值，可以包括：第一设备根据第一数据的部分内容确定所述完整性度量基线值；那么，第二设备计算第一数据对应的完整性度量值，可以包括：第二设备根据所述第一数据的部分内容确定完整性度量值。其中，第一设备和第二设备上获取该第一数据的部分内容的规则相同，可以确保根据第一数据的部分内容计算的校验值是对应的，为完整性校验的准确执行提供了保障。作为又一个示例，第一设备计算第一数据对应的完整性度量基线值，可以包括：第一设备根据发送第一数据对应的第一操作日志确定所述完整性度量基线值；那么，第二设备计算第一数据对应的完整性度量值，可以包括：第二设备根据接收所述第一数据对应的第二操作日志确定所述完整性度量值。其中，第一设备和第二设备上对接收和发送数据生成操作日志的规则可以相同，可以确保根据第一数据对应的第一操作日志和第二操作日志得到的校验值是对应的，为完整性校验的准确执行提供了保障。

在一种可能的实现方式中，第二设备向验证服务器发送第一数据对应的完整性度量值，可以是基于所接收的第一指示触发的，也可以是满足本地预设条件后触发的。作为一个示例，在第二设备向验证服务器发送第一数据对应的完整性度量值之前，第二设备还可以接收第一指示，该第一指示用于指示第二设备对第一数据进行完整性校验。其中，第一指示可以由第一设备发送给第二设备，或者，该第一指示也可以由验证服务器发送给第二设备。作为另一个示例，第二设备向验证服务器发送第一数据对应的完整性度量值之前，第二设备还可以在确定满足预设条件时，生成所述完整性度量值。其中，预设条件包括下述至少一种：条件一、接收到的第一数据的总长度达到预设长度阈值；条件二、接收到的第一数据包含的表项的数量达到预设数量阈值；条件三、接收第一数据的累计时长达到预设时长；或者，条件四、第一数据为增量数据。如此，第二设备可以被触发计算第一数据对应的完整性度量值并向验证服务器发送该完整性度量值，以便验证服务器对第一数据的完整性进行校验。

第二方面，本申请实施例还提供了一种完整性校验方法，该方法应用于第一设备，该方法例如可以包括：第一设备向第二设备发送第一数据后，第一设备向验证服务器发送第一数据对应的完整性度量基线值，该完整性度量基线值用于对第一数据的进行完整性校验。

作为一个示例，第一数据可以包括下述至少一个：SR TE配置信息、SR TE-policy配置信息、ACL配置信息或FlowSpec配置信息。

其中，完整性度量基线值可以为经过哈希计算得到的哈希值，或者，完整性度量基线值也可以为数字签名，又或者，完整性度量基线值还可以为经过加密处理得到的加密值。

需要说明的是，为了确保第一设备和第二设备对相同的对象进行完整性校验，第一设备和第二设备可以保持时钟同步，或者，在第一数据携带发送时间戳，这样，可以保障进行完整性校验的第一数据是相同的数据。

在一种可能的实现方式中，在第一设备向验证服务器发送第一数据的完整性度量基线值之前，第一设备还可以计算第一数据对应的完整性度量基线值。作为一个示例，第一设备计算第一数据对应的完整性度量基线值，可以包括：第一设备根据第一数据的全部内容确定所述完整性度量基线值。作为另一个示例，第一设备计算第一数据对应的完整性度量基线值，可以包括：第一设备根据第一数据的部分内容确定所述完整性度量基线值。作为又一个示例，第一设备计算第一数据对应的完整性度量基线值，可以包括：第一设备根据发送第一数据对应的第一操作日志确定所述完整性度量基线值。

在一种可能的实现方式中，第一设备可以向第二设备发送第一指示，该第一指示用于指示第二设备对第一数据进行完整性校验。其中，第一指示可以是第一设备直接发送给第二设备的，或者，该第一指示也可以是第一设备经过验证服务器发送给第二设备的。

需要说明的是，第二方面提供的方法中，第一设备可以是第一方面提供的方法中的第一设备，所以，第二方面提供的方法的具体实现方式以及达到的效果，可以参见第一方面的相关说明。

第三方面，本申请实施例还提供了一种完整性校验方法，该方法应用于第二设备，该方法例如可以包括：第二设备接收第一设备发送的第一数据后，该第二设备向验证服务器发送所述第一数据对应的完整性度量值，该完整性度量值用于对第一数据的进行完整性校验。

其中，完整性度量值可以为经过哈希计算得到的哈希值，或者，完整性度量值也可以为数字签名，又或者，完整性度量值还可以为经过加密处理得到的加密值。

在一种可能的实现方式中，在第二设备向验证服务器发送第一数据的完整性度量值之前，第二设备还可以计算第一数据对应的完整性度量值。作为一个示例，第二设备计算第一数据对应的完整性度量值，可以包括：第二设备根据所述第一数据的全部内容确定完整性度量值。作为另一个示例，第二设备计算第一数据对应的完整性度量值，可以包括：第二设备根据所述第一数据的部分内容确定完整性度量值。作为又一个示例，第二设备计算第一数据对应的完整性度量值，可以包括：第二设备根据接收所述第一数据对应的第二操作日志确定所述完整性度量值。

需要说明的是，第三方面提供的方法中，第二设备可以是第一方面提供的方法中的第二设备，所以，第三方面提供的方法的具体实现方式以及达到的效果，可以参见第一方面的相关说明。

第四方面，本申请实施例还提供了一种完整性校验方法，该方法应用于验证服务器，该方法例如可以包括：验证服务器接收第一设备发送的第一数据对应的完整性度量基线值和第二设备发送的第一数据对应的完整性度量值，该第一数据由第一设备发送给第二设备，那么，验证服务器根据完整性度量基线值和完整性度量值，对该第一数据的进行完整性校验。

在一种可能的实现方式中，第二设备向验证服务器发送第一数据对应的完整性度量值，可以是基于所接收的指示触发的。作为一个示例，验证服务器可以接收第一设备发送的第一指示，该第一指示用于指示验证服务器对第一数据进行完整性校验。那么，响应于所述第一指示，验证服务器还可以向第二设备发送第二指示，该第二指示用于指示对第一数据进行完整性验证。这样，第二设备即可基于第二指示计算并向验证服务器发送第一数据对应的完整性度量值。

在一些可能的实现方式中，验证服务器根据完整性度量基线值和完整性度量值对第一数据的进行完整性校验，可以包括：验证服务器确定完整性度量值和完整性度量基线值匹配，从而，验证服务器确定对第一数据的完整性校验通过。

作为一个示例，第一数据的完整性度量基线值为第一数据的全部内容(或部分内容，又或者发送第一数据对应的第一操作日志)经过第一哈希算法计算得到的第一哈希值，第一数据的完整性度量值为第一数据的全部内容(或部分内容，又或者接收第一数据对应的第二操作日志)经过第一哈希算法计算得到的第二哈希值，那么，验证服务器可以判断第一哈希值和第二哈希值是否一致，如果一致，则，确定对第一数据的完整性校验通过，否则，确定对第一数据的完整性校验未通过。

作为又一个示例，第一数据的完整性度量基线值为第一数据的全部内容(或部分内容，又或者发送第一数据对应的第一操作日志)经过第一私钥对第一哈希值进行签名操作得到的第一签名，第一数据的完整性度量值为第一数据的全部内容(或部分内容，又或者接收第一数据对应的第二操作日志)经过第二私钥对第二哈希值进行签名操作得到的第二签名，那么，一种情况下，验证服务器可以先判断第一私钥对应的第一公钥和第二私钥对应的第二公钥是否相同，如果相同，再判断第一签名和第二签名是否一致，如果一致，则，确定对第一数据的完整性校验通过，否则，确定对第一数据的完整性校验未通过；另一种情况下，验证服务器可以先采用第一私钥对应的第一公钥对第一签名进行处理得到第一还哈希值，采用第二私钥对应的第二公钥对第二签名进行处理得到第二哈希值，再判断第一哈希值和第二哈希值是否一致，如果一致，则，确定对第一数据的完整性校验通过，否则，确定对第一数据的完整性校验未通过。其中，第一公钥可以是控制管理设备对应的第一私钥对应的公钥，该公钥可以预先保存在验证服务器本地，也可以是控制管理设备向验证服务器发送第一数据的完整性度量基线值时发送给验证服务器的。同理，第二公钥可以是终端设备对应的第二私钥对应的公钥，该公钥可以预先保存在验证服务器本地，也可以是终端设备向验证服务器发送第一数据的完整性度量值时发送给验证服务器的。

作为再一个示例，第一数据的完整性度量基线值为第一数据的全部内容(或部分内容，又或者发送第一数据对应的第一操作日志)经过第一加密算法计算得到的第一加密值，第一数据的完整性度量值为第一数据的全部内容(或部分内容，又或者接收第一数据对应的第二操作日志)经过第一加密算法计算得到的第二加密值，那么，一种情况下，验证服务器可以判断第一加密值和第二加密值是否一致，如果一致，则，确定对第一数据的完整性校验通过，否则，确定对第一数据的完整性校验未通过；另一种情况下，验证服务器也可以先采用第一加密算法对应的第一解密算法对第一加密值进行解密得到第一解密值，采用第一加密算法对应的第一解密算法对第二加密值进行解密得到第二解密值再判断第一解密值和第二解密值是否一致，如果一致，则，确定对第一数据的完整性校验通过，否则，确定对第一数据的完整性校验未通过。

当对第一数据的完整性校验未通过时，为了让控制管理设备感知到该控制管理设备和终端设备之间关于第一数据的一致性问题，验证服务器可以向控制管理设备发送告警消息，用于告知该终端设备上的第一数据存在异常。当控制管理设备接收到告警消息后，为了确保终端设备能够继续正常运行，还可以重新向终端设备发送第一数据，指示终端设备用新接收的第一数据替换本地保存的第一数据，或者，指示终端设备保存新接收的第一数据并将之前保存的第一数据添加老化标记，添加老化标记的第一数据不能再指导该终端设备对报文的处理，而是以新接收的第一数据指导该终端设备对报文进行处理。

需要说明的是，第四方面提供的方法中，验证服务器可以是第一方面提供的方法中的验证服务器，所以，第四方面提供的方法的具体实现方式以及达到的效果，可以参见第一方面的相关说明。

需要说明的是，对于批量发送的数据，为了确保安全和准确的校验，可以是周期性执行完整性校验；对于增量发送的数据，可以即时对增量数据进行完整性校验。

第五方面，本申请还提供了网络系统，包括第一设备、第二设备和验证服务器。其中，第一设备用于执行上述第二方面或第二方面任意一种可能的实现方式提供的方法，或者，执行第一方面、第一方面任意一种可能的实现方式提供的方法中第一设备所执行的操作；第二设备用于执行上述第三方面或第三方面任意一种可能的实现方式提供的方法，或者，执行第一方面、第一方面任意一种可能的实现方式提供的方法中第二设备所执行的操作；验证服务器用于执行上述第四方面或第四方面任意一种可能的实现方式提供的方法，或者，执行第一方面、第一方面任意一种可能的实现方式提供的方法中验证服务器所执行的操作。

第六方面，本申请实施例还提供了一种第一设备，包括收发单元和处理单元。其中，收发单元用于执行上述第一方面、第一方面任意一种可能的实现方式、第二方面或第二方面任意一种可能的实现方式提供的方法中所述第一设备所执行的收发操作；处理单元用于执行上述第一方面、第一方面任意一种可能的实现方式、第二方面或第二方面任意一种可能的实现方式提供的方法中所述第一设备所执行的除了收发操作以外的其他操作。例如：当所述第一设备执行所述第二方面所述的方法时，所述收发单元用于向第二设备发送第一数据，以及向验证服务器发送所述第一数据对应的完整性度量基线值；所述处理单元用于根据所述第一数据的全部内容确定所述完整性度量基线值。

第七方面，本申请实施例还提供了一种第二设备，包括收发单元和处理单元。其中，收发单元用于执行上述第一方面、第一方面任意一种可能的实现方式、第三方面或第三方面任意一种可能的实现方式提供的方法中所述第二设备所执行的收发操作；处理单元用于执行上述第一方面、第一方面任意一种可能的实现方式、第三方面或第三方面任意一种可能的实现方式提供的方法中所述第二设备所执行的除了收发操作以外的其他操作。例如：当所述第二设备执行所述第三方面所述的方法时，所述收发单元用于接收第一设备发送的第一数据，以及向验证服务器发送所述第一数据对应的完整性度量值；所述处理单元用于根据所述第一数据的全部内容确定所述完整性度量值。

第八方面，本申请实施例还提供了一种验证服务器，包括收发单元和处理单元。其中，收发单元用于执行上述第一方面、第一方面任意一种可能的实现方式、第四方面或第四方面任意一种可能的实现方式提供的方法中所述验证服务器所执行的收发操作；处理单元用于执行上述第一方面、第一方面任意一种可能的实现方式、第四方面或第四方面任意一种可能的实现方式提供的方法中所述验证服务器所执行的除了收发操作以外的其他操作。例如：当所述验证服务器执行所述第四方面所述的方法时，所述收发单元用于接收第一设备发送的第一数据对应的完整性度量基线值，以及接收所述第二设备发送的所述第一数据对应的完整性度量值；所述处理单元用于根据所述完整性度量基线值和所述完整性度量值，对所述第一数据的进行完整性校验。

第九方面，本申请实施例还提供了一种第一设备，包括第一通信接口和处理器。其中，第一通信接口用于执行前述第一方面、第一方面任意一种可能的实现方式、第二方面或第二方面任意一种可能的实现方式提供的方法中所述第一设备所执行的发送操作；处理器，用于执行前述第一方面、第一方面任意一种可能的实现方式、第二方面或第二方面任意一种可能的实现方式提供的方法中所述第一设备所执行的除所述接收和发送操作以外的其他操作。该第一设备还可以包括第二通信接口，第二通信接口用于执行前述第一设备的接收操作。

第十方面，本申请实施例还提供了一种第二设备，包括第一通信接口和第二通信接口。其中，第一通信接口用于执行前述第一方面、第一方面任意一种可能的实现方式、第三方面或第三方面任意一种可能的实现方式提供的方法中所述第二设备所执行的发送操作，第二通信接口用于执行前述第一方面、第一方面任意一种可能的实现方式、第三方面或第三方面任意一种可能的实现方式提供的方法中所述第二设备所执行的接收操作。此外，该第二设备还可以包括处理器，用于执行前述第一方面、第一方面任意一种可能的实现方式、第三方面或第三方面任意一种可能的实现方式提供的方法中所述第二设备所执行的除所述接收和发送操作以外的其他操作。

第十一方面，本申请实施例还提供了一种验证服务器，包括第一通信接口和处理器。其中，第一通信接口用于执行前述第一方面、第一方面任意一种可能的实现方式、第四方面或第四方面任意一种可能的实现方式提供的方法中所述验证服务器所执行的接收操作；处理器，用于执行前述第一方面、第一方面任意一种可能的实现方式、第四方面或第四方面任意一种可能的实现方式提供的方法中所述验证服务器所执行的除所述接收和发送操作以外的其他操作。该验证服务器还可以包括第二通信接口，第二通信接口用于执行前述第一设备的发送操作。

第十二方面，本申请实施例还提供了一种第一设备，该第一设备包括存储器和处理器。其中，该存储器包括计算机可读指令；与该存储器通信的处理器用于执行所述计算机可读指令，使得所述第一设备用于执行以上第一方面、第一方面任意一种可能的实现方式、第二方面或第二方面任意一种可能的实现方式提供的方法中所述第一设备对应的部分。

第十三方面，本申请实施例还提供了一种第二设备，该第二设备包括存储器和处理器。其中，该存储器包括计算机可读指令；与该存储器通信的处理器用于执行所述计算机可读指令，使得所述第二设备用于执行以上第一方面、第一方面任意一种可能的实现方式、第三方面或第三方面任意一种可能的实现方式提供的方法中所述第二设备对应的部分。

第十四方面，本申请实施例还提供了一种验证服务器，该验证服务器包括存储器和处理器。其中，该存储器包括计算机可读指令；与该存储器通信的处理器用于执行所述计算机可读指令，使得所述验证服务器用于执行以上第一方面、第一方面任意一种可能的实现方式、第四方面或第四方面任意一种可能的实现方式提供的方法中所述验证服务器对应的部分。

第十五方面，本申请实施例还提供了一种通信系统，该通信系统包括：第六方面、第九方面或第十二方面提供的所述第一设备，第七方面、第十方面或第十三方面提供的所述第二设备，以及第八方面、第十一方面或第十四方面提供的验证服务器。

第十六方面，本申请实施例还提供了一种计算机可读存储介质，该计算机可读存储介质中存储有指令，当其在计算机上运行时，使得所述计算机执行以上第一方面、第一方面任意一种可能的实现方式、第二方面、第二方面任意一种可能的实现方式、第三方面、第三方面任意一种可能的实现方式、第四方面或第四方面任意一种可能的实现方式提供的方法。

第十七方面，本申请实施例还提供了计算机程序产品，包括计算机程序或计算机可读指令，当所述计算机程序或所述计算机可读指令在计算机上运行时，使得计算机执行前述第一方面、第一方面任意一种可能的实现方式、第二方面、第二方面任意一种可能的实现方式、第三方面、第三方面任意一种可能的实现方式、第四方面或第四方面任意一种可能的实现方式提供的方法。

需要说明的是，上述实施例中的第一设备、第二设备以及验证服务器，可以是用于执行上述方法的网络设备，也可以是指用于执行上述方法的单板、线卡、芯片等。

附图说明

图1为本申请实施例所适用的网络10的结构示意图；

图2为本申请实施例中一种完整性校验方法100的流程示意图；

图3为本申请实施例中一种完整性校验方法200的流程示意图；

图4为本申请实施例中一种完整性校验方法300的流程示意图；

图5为本申请实施例中一种完整性校验方法400的流程示意图；

图6为本申请实施例中一种完整性校验方法500的流程示意图；

图7为本申请实施例中一种第一设备300的结构示意图；

图8为本申请实施例中一种第二设备400的结构示意图；

图9为本申请实施例中一种验证服务器500的结构示意图；

图10为本申请实施例中一种第一设备600的结构示意图；

图11为本申请实施例中一种第二设备700的结构示意图；

图12为本申请实施例中一种验证服务器800的结构示意图；

图13为本申请实施例中一种第一设备900的结构示意图；

图14为本申请实施例中一种第二设备1000的结构示意图；

图15为本申请实施例中一种验证服务器1100的结构示意图；

图16为本申请实施例中一种通信系统1200的结构示意图。

具体实施方式

下面将结合附图，对本申请实施例中的技术方案进行描述。本申请实施例描述的网络架构以及业务场景是为了更加清楚的说明本申请实施例的技术方案，并不构成对于本申请实施例提供的技术方案的限定，本领域普通技术人员可知，随着网络架构的演变和新业务场景的出现，本申请实施例提供的技术方案对于类似的技术问题，同样适用。

本申请中的“1”、“2”、“3”、“第一”、“第二”以及“第三”等序数词用于对多个对象进行区分，不用于限定多个对象的顺序。

本申请中提及的“A和/或B”，应该理解为包括以下情形：仅包括A，仅包括B，或者同时包括A和B。

第一设备可以向第二设备发送数据，这些数据可以作为第二设备对报文等待传输数据的处理依据。为了确保第二设备上业务的正常运行，需要保证第二设备从第一设备接收到的数据和第一设备发送给第二设备的数据，即，需要对第二设备和第一设备上保存的数据进行校验。第一设备和第二设备可以是任意需要保持数据一致的设备，例如，第一设备可以是控制管理设备，第二设备可以是终端设备；又例如，第一设备可以是终端设备，第二设备可以是控制管理设备；再例如，第一设备和第二设备均可以是终端设备。本申请实施例中以第一设备为控制管理设备，第二设备为终端设备为例进行说明。

终端设备对待传输数据的处理，可以以控制管理设备发送的一些数据作为依据，这些数据例如可以包括分段路由流量工程(英文：Segment Routing Traffic Engineering，简称：SR TE)配置信息、分段路由流量工程的策略(英文：Segment Routing Traffic Engineering policy，简称：SR TE-policy)配置信息、访问控制列表(英文：Access Control Lists，简称：ACL)配置信息或流规则(英文：Flow Specification，简称：FlowSpec)配置信息等。终端设备接收控制管理设备发送的数据之后，如果这些数据在存储、使用等过程中发生错误或被篡改，会使得指导报文处理的数据与控制管理设备发送的数据不一致，导致终端设备对报文的处理不够可靠，影响业务的正常运行。基于此，为了保证业务的正常运行，需要确保终端设备从控制管理设备上接收的、指导报文处理的数据与控制管理设备向该终端设备发送的数据是一致的。

目前，通常由控制管理设备对账的方式对终端设备上的数据和控制管理设备上的数据的一致性进行校验。对账方式，可以是指终端设备定期将指导报文处理的数据发送给控制管理设备，由控制管理设备对所接收的数据和自身发送给该终端设备的对应数据进行比对，以确定该周期内终端设备上指导报文处理的数据是否还是可靠的。

举例来说，以图1所示的网络10为例，假设该网络10中至少可以包括：控制管理设备100和终端设备200和终端设备300。其中，各终端设备至少具有报文的处理能力；控制管理设备100可以能够和各个终端设备进行数据交互，例如，向终端设备200和终端设备300分别发送用于指导报文处理的数据，实现对终端设备200和终端设备300的管控。需要说明的是，该网络10中包括的终端设备的数量在本申请实施例中不作具体限定，例如终端设备可以多于2个，即，除了上述终端设备200和终端设备300以外，还包括其他的终端设备；或者，网络10中包括的终端设备数量也可以小于2。

作为一个示例，控制管理设备100向终端设备200发送数据1，终端设备200可以保存该数据1，并基于本地保存的数据1指导对报文的处理。假设预设的对账周期为1小时，那么，每隔1小时，终端设备200将本地保存的数据1’(如果终端设备200上的数据未被篡改或未发生错误，则数据1’与数据1相同)发送给控制管理设备100，由控制管理设备100对本地保存的数据1和数据1’进行比对，如果比对结果表示数据1和数据1’一致，则，确定该周期内终端设备200对从控制管理设备100接收的数据1没有进行篡改也没有发生错误，终端设备200在该周期内可靠，即，终端设备200在该周期内基于数据1’进行报文的处理能够确保业务的正常运行；反之，如果比对结果表示数据1和数据1’不一致，则，确定该周期内终端设备200对从控制管理设备100接收的数据1进行了篡改或发生了错误，此时，终端设备200在该周期内基于数据1’进行报文的处理无法保证业务的正常运行。

但是，上述由控制管理设备对账的方式实现终端设备上的数据和控制管理设备上的数据的校验，一方面，终端设备需要每个周期均将本地保存的、来自控制管理设备的全量数据上报给控制管理设备，每次交互的数据量大且交互频繁，占用了较多的资源；另一方面，通过全量数据的对比进行校验，校验结果不够安全和可靠。

基于此，本申请实施例提供了一种完整性校验方法，引入可信的验证服务器对控制管理设备向终端设备发送的数据进行远程完整性校验，过程例如可以包括：控制管理设备向终端设备发送第一数据后，该控制管理设备生成并向验证服务器发送该第一数据对应的完整性度量基线值；接收第一数据的终端设备也可以生成并向该验证服务器发送第一数据对应的完整性度量值；该可信的验证服务器即可对来自终端设备的完整性度量值和来自控制管理设备的完整性度量基线值，对该第一数据进行完整性校验。当对第一数据的完整性校验通过时，表明该终端设备上保存的第一数据和控制管理设备上保存的第一数据一致；否则，当对第一数据的完整性校验不通过时，表明该终端设备上保存的第一数据和控制管理设备上保存的第一数据不一致。如此，由可信的验证服务器对终端设备和控制管理设备分别发送的相同的第一数据对应的完整性度量值和完整性度量基线值进行完整性校验，需要交互的仅是第一数据对应的完整性度量值和完整性度量基线值，无需交互全量的第一数据，有效的减少了校验所需交互的数据量，大大的节约了校验过程所占用的资源，而且，通过引入可信的验证服务器，由验证服务器对完整性度量值和完整性度量基线值进行完整性校验，而不是由控制管理设备直接对第一数据进行比对，能够确保该校验过程更加安全和可靠，从而为终端设备上业务的正常运行提供了保障。

仍然以图1所示的网络10为例，该网络10还可以包括验证服务器400，该验证服务器400能够和控制管理设备100以及各终端设备进行数据交互，且用于对控制管理设备100和各终端设备进行本申请实施例提供的完整性校验的过程例如可以包括：S11，控制管理设备100向终端设备200发送数据a；S12，控制管理设备100根据私钥1生成数据a对应的签名1，并将作为数据a对应的完整性度量基线值的签名1向验证服务器400发送；S13，终端设备200根据私钥2生成数据a对应的签名2，并将作为数据a对应的完整性度量值的签名2向验证服务器400发送；S14，验证服务器400根据公钥1对接收的签名1进行处理，得到摘要1，根据公钥2对接收的签名2进行处理，得到摘要2，其中，公钥1与私钥1对应，公钥2与私钥2对应；S15，验证服务器400判断摘要1和摘要2是否一致，如果一致，则表示对该数据a的完整性校验通过；如果不一致，则表示对该数据a的完整性校验未通过。如果验证服务器400确定该数据a的完整性校验未通过，则，还可以向控制管理设备100发送告警消息，用于告知终端设备200上的数据a存在异常，以便控制管理设备100可以基于稿告警消息的指示，重新向终端设备200发送该数据a；从而，终端设备200可以用新接收到的数据a替换本地保存的数据a，以提供更加可靠的报文处理功能。

可以理解的是，上述场景仅是本申请实施例提供的一个场景示例，本申请实施例并不限于此场景。

本申请实施例中，终端设备，是指能够实现对待传输数据处理功能的任意设备，例如，可以是交换机、路由器等网络设备，又例如，也可以手机、电脑等用户设备。控制管理设备，是指对终端设备具有管理和/或控制功能的任意设备，例如，可以是网络云化引擎(英文：Network Cloud Engine，简称：NCE)、服务器、网管或者路由器等；或者，控制管理实体也可以是任意一个设备内集成的功能实体，该功能实体可以通过硬件形式体现也可以通过软件形式体现，例如，也可以是设备内的Telnet(一种应用层协议)控制台或安全外壳协议(英文：Secure Shell Protocol，简称：SSH)控制台，其中，Telnet控制台可以使用于互联网及局域网中，使用虚拟终端的形式提供双向、以文字字符串为主的命令行接口交互功能；SSH控制台是一种建立在应用层和传输层基于上的安全协议。验证服务器可以是可信的远程证明服务器，该验证服务器可以和控制管理设备合设于同一实体设备，作为该实体设备中两个功能单元；或者，该验证服务器也可以是一个独立的、可信的第三方实体设备，例如可以是证书授权(英文：Certificate Authority，简称：CA)服务器。需要说明的是，本申请实施例中的各种设备，在本申请实施例中不作具体限定。

下面结合附图，通过实施例来详细说明本申请实施例中一种完整性校验方法的具体实现方式。

图2为本申请实施例中一种完整性校验方法100的流程示意图。该方法100以终端设备、控制管理设备和验证服务器三者之间的交互进行说明，其中，终端设备可以是图1中的终端设备200或终端设备300，控制管理设备可以是图1中的控制管理设备100，验证服务器可以是图1中的验证服务器400。参见图2，该方法100例如可以包括下述S101～S106：

S101，控制管理设备向终端设备发送第一数据。

第一数据可以为控制管理设备向终端设备发送的任何数据。该第一数据可以被终端设备直接或间接的用于指导报文的处理。例如，第一数据可以包括下述类型的数据中至少一种：SR TE配置信息、SR TE-policy配置信息、ACL配置信息或FlowSpec配置信息。

如果第一数据包括SR TE配置信息，一种情况下，S101例如可以是：控制管理设备向终端设备发送路径计算单元通信协议(英文：Path Computation Element Communication Protocol，简称：PCEP)报文，该PCEP报文中携带SR TE配置信息可以包括对应的SR标签。另一种情况下，S101例如可以是：控制管理设备向终端设备发送网络配置协议(英文：Network Configuration Protocol，简称：NETCONF)报文或YANG模型报文，该NETCONF报文或YANG模型报文中携带的SR TE配置信息可以包括对应的SR标签。该场景中，第一数据中对应的SR标签，与多协议标签交换(英文：Multi-Protocol Label Switching，简称：MPLS)TE场景中的MPLS标签类似，本申请实施例不再赘述。

如果第一数据包括SR TE-policy配置信息，一种情况下，S101例如可以是：控制管理设备向终端设备静态下发命令行，命令行中携带SR TE-policy配置信息；另一种情况下，S101例如可以是：控制管理设备向终端设备发送边界网关协议(英文：Border Gateway Protocol，简称：BGP)报文，该BGP报文中可以携带SR TE-policy配置信息。其中，SR TE-policy配置信息可以包括：三元组标识、至少一条候选路径(英文：Candidate Path)、各候选路径的优先级(英文：Preference)属性、各候选路径下至少一个权重(英文：Weight)和该权重对应的段标识列表(英文：Segment Identification List，简称：SID List)，三元组标识用于唯一标识SR TE-policy配置信息，例如，三元组标识可以包括：头端(英文：Headend)，用于指示SR TE-policy生成或实现的节点；颜色(英文：Color)，用于区分同一头端和尾端之间的多条SR TE-policy；尾端(英文：Endpoint)，用于指示SR Policy的尾端，可以是一个第四版互联网协议(英文：Internet Protocol version 4，简称：IPv4)地址或第六版互联网协议(英文：Internet Protocol version 6，简称：IPv6)地址。候选路径(英文：Candidate Path)可以由发起协议(英文：protocol-origin)，发起者标识(originator)以及鉴别器(英文：discriminator)唯一标识。例如，SR TE-policy配置信息具体形式可以如下：

SR policy POL1<headend,color,endpoint>//POL1的SR policy的名称和标识

Candidate-path CP1<protocol-origin,originator,discriminator>//该SR policy的候选路径CP1

Preference 200//CP 1对应的候选路径的优先级属性为200

weight W1,SID-List1<SID11...SID1i>//权重为W1的SID List

weight W2,SID-List2<SID21...SID2j>//权重为W2的SID List

Candidate-path CP2<protocol-origin,originator,discriminator>//该SR policy的候选路径CP2

Preference 100//CP 2对应的候选路径的优先级属性为100

weight W3,SID-List3<SID31...SID3i>//权重为W3的SID List

weight W4,SID-List4<SID41...SID4j>//权重为W4的SID List

其中，每个SID List中均可以包括对应的多个SID，每个SID可以为一个节点对应的SR标签。

如果第一数据包括ACL配置信息，一种情况下，S101例如可以是：S101例如可以是：控制管理设备向终端设备静态下发命令行，命令行中携带ACL配置信息。另一种情况下，S101例如可以是：控制管理设备向终端设备发送NETCONF报文或YANG模型报文，该NETCONF报文或YANG模型报文中携带ACL配置信息。

如果第一数据包括FlowSpec配置信息，那么，S101例如可以是：控制管理设备向终端设备发送BGP报文，该BGP报文中可以携带FlowSpec配置信息。

需要说明的是，上述四种可能的数据类型仅是举例说明，本申请实施例中的第一数据还可以是其他的表项或配置信息，不作具体限定。

对于控制管理设备，S101之后可以保存该第一数据。对于终端设备，S101之后不仅可以基于第一数据生成用于指导报文处理的表项，而且可以保存该第一数据。终端设备上用于指导报文处理的表项可以和本地保存的第一数据匹配。而且，控制管理设备上保存的第一数据的顺序可以和终端设备上保存的第一数据的顺序一致，以保证对第一数据的完整性进行校验时不会因为保存数据的顺序而影响校验结果，例如，可以均按照字典序排序和保存，又例如，也可以均按照数据对应的时间戳排序和保存。

需要说明的是，在完整性校验时，要求终端设备和控制管理设备上的校验对象是相同的，即，终端设备上参与校验的数据和控制管理设备上参与校验的数据是相同的。作为一个示例，如果终端设备和控制管理设备保持时钟同步，则可以满足校验对象一致的要求。作为另一个示例，如果终端设备和控制管理设备未设置时钟同步的功能，那么，S101中的第一数据还可以携带发送时间戳，这样，可以将发送时间戳相同的数据作为参与校验的数据，按照本申请实施例提供的完整性校验方法进行校验，也可以满足校验对象一致的要求。

S102，控制管理设备生成第一数据对应的完整性度量基线值，该完整性度量基线值用于对第一数据的进行完整性校验。

S103，控制管理设备向验证服务器发送该第一数据对应的完整性度量基线值。

其中，第一数据对应的完整性度量基线值，可以作为验证服务器对该第一数据的完整性验证的基准值，将第一数据对应的完整性度量值与该完整性度量基线值进行匹配，如果与该完整性度量基线值匹配，则，确定该第一数据的完整性校验通过，否则，确定该第一数据的完整性校验不通过。该第一数据对应的完整性度量基线值例如可以为：经过哈希计算得到的哈希值、数字签名或经过加密处理得到的加密值。

在一些可能的实现方式中，S102可以是控制管理设备根据第一数据生成该第一数据对应的完整性度量基线值。

作为一个示例，控制管理设备可以根据第一数据的全部内容确定第一数据对应的完整性度量基线值。例如，控制管理设备可以将本地保存的第一数据的全部内容经过哈希计算得到的哈希值，并将所得的该哈希值作为第一数据对应的完整性度量基线值；又例如，控制管理设备也可以将本地保存的第一数据的全部内容进行数字签名操作得到签名，并将所得的该签名作为第一数据对应的完整性度量基线值；再例如，控制管理设备可以将本地保存的第一数据的全部内容经过加密处理得到的加密值，并将所得的该加密值作为第一数据对应的完整性度量基线值。

作为另一个示例，控制管理设备可以根据第一数据的部分内容确定该第一数据对应的完整性度量基线值。其中，所述第一数据的部分内容可以是第一数据中参与校验的数据，S102例如可以包括：控制管理设备基于预设规则从第一数据中确定所述第一数据的部分内容，从而，根据所确定的所述第一数据的部分内容确定该第一数据对应的完整性度量基线值，预设规则可以根据实际需求进行灵活设置，例如，可以为第一数据中的每个内容设置对应的权重并设置权重阈值，那么，预设规则可以包括：选择权重不小于所述权重阈值的内容，并将选中内容按照本地保存的顺序(或权重的大小顺序)排序后得到所述第一数据的部分内容；又例如，预设规则可以包括：选择某些预设位置的内容，并将选中内容按照本地保存的顺序(或权重的大小顺序)排序后得到所述第一数据的部分内容。该示例下，S102的实现方式可以包括但不限于：方式一，控制管理设备可以将本地保存的第一数据的部分内容经过哈希计算得到的哈希值，并将所得的该哈希值作为第一数据对应的完整性度量基线值；方式二，控制管理设备也可以将本地保存的第一数据的部分内容进行数字签名操作得到签名，并将所得的该签名作为第一数据对应的完整性度量基线值；再例如，控制管理设备可以将本地保存的第一数据的部分内容经过加密处理得到的加密值，并将所得的该加密值作为第一数据对应的完整性度量基线值。

在一些可能的实现方式中，S102可以是控制管理设备根据发送第一数据对应的第一操作日志生成该第一数据对应的完整性度量基线值。需要说明的是，控制管理设备为了记录自身执行的操作，控制管理设备可以将每次向终端设备发送数据的行为记录在第一操作日志中，作为该第一操作日志的一条内容。如果第一数据仅是控制管理设备向终端设备执行的一次发送数据的行为，则，控制管理设备可以根据第一操作日志中与发送该第一数据对应的一条内容确定第一数据对应的完整性度量基线值。如果第一数据包括控制管理设备向终端设备执行的多次发送数据的行为，则，控制管理设备可以根据第一操作日志中发送该第一数据对应的多条内容的全部确定第一数据对应的完整性度量基线值；或者，控制管理设备也可以根据第一操作日志中发送该第一数据对应的多条内容的部分确定第一数据对应的完整性度量基线值，其中，多条内容中的部分例如可以是所述多条内容中某种操作类型对应的内容，操作类型可以包括增加、删除和修改等，或者，多条内容中的部分例如也可以是所述多条内容中生成时间相隔预设时长对应的内容。其中，该完整性度量基线值，例如可以是经过哈希计算得到的哈希值、经过数字签名操作得到签名或者经过加密处理得到的加密值。

具体实现时，对于S102执行的时机，一种情况下，可以是在网络部署初期，控制管理设备批量向终端设备发送数据时，控制管理设备执行该方法100对批量发送的第一数据进行完整性校验；另一种情况下，可以终端设备运行的过程中，控制管理设备在有需求时向终端设备发送数据时，控制管理设备执行该方法100对增量发送的第一数据进行完整性校验。其中，批量发送的数据也可以称为基本数据，是终端设备运行必备的数据；增量发送的数据，可以是指在批量发送的数据发送完成之后，超过预设时长(如1分钟)又发送的数据。需要说明的是，控制管理设备向终端设备发送增量数据，例如可以是该终端设备的远端设备的路由信息发生变化。

该实现方式中，第一操作日志中可以保存操作类型和操作数据。如果第一数据是批量发送的数据，则，既可以根据第一数据的全部或部分内容生成第一数据对应的完整性度量基线值，也可以根据发送第一数据对应的第一操作日志生成第一数据对应的完整性度量基线值。如果第一数据是增量数据，则，可以优选根据发送第一数据对应的第一操作日志生成第一数据对应的完整性度量基线值。

在S102之后或S102执行的同时，控制管理设备还可以直接或间接的向终端设备发送第一指示，该第一指示用于指示终端设备对第一数据进行完整性校验，该第一指示可以作为下述S104执行的一种可能的触发条件。其中，控制管理设备可以间接的向终端设备发送第一指示，例如可以是：控制管理设备通过验证服务器向终端设备发送所述第一指示。控制管理设备可以将第一指示携带在任何报文中向终端设备发送，只要该报文为终端设备可以识别并处理的报文类型即可。

对于S103，控制管理设备可以将第一数据对应的完整性度量基线值携带在任何报文中向验证服务器发送，例如，控制管理设备可以将第一数据对应的完整性度量基线值携带在BGP报文中发送给验证服务器，又例如，控制管理设备可以将第一数据对应的完整性度量基线值携带在PCEP报文中发送给验证服务器。本申请实施例对携带第一数据的完整性度量基线值的报文类型不作具体限定，只要是验证服务器能够识别并处理的报文即可。

作为一个示例，为了更加安全和可信的完成该完整性校验，控制管理设备还可以将该第一数据的完整性度量基线值携带在证书中，并将该证书发送给验证服务器。

需要说明的是，经过上述S102～S103，为后续验证服务器对第一数据的完整性校验提供了校验的标准，使得完成可靠、安全和准确的完整性校验成为了可能。

需要说明的是，上述S101～S103，可以单独作为控制管理设备执行的一个完整的实施例，该方法100只是为了方便描述，从终端设备、控制管理设备和验证服务器三者的交互作为一个整体进行说明。

S104，终端设备生成第一数据对应的完整性度量值，该完整性度量值用于对第一数据的进行完整性校验。

S105，终端设备向验证服务器发送第一数据对应的完整性度量值。

其中，第一数据对应的完整性度量值，可以作为参与完整性校验的一个待校验值，将该第一数据对应的完整性度量值与该第一数据对应的完整性度量基线值进行匹配，如果与完整性度量基线值匹配，则，确定该第一数据的完整性度量值通过了完整性校验，即，第一数据的完整性校验通过，否则，确定该第一数据的完整性度量值未通过完整性校验，即，第一数据的完整性校验未通过。该第一数据对应的完整性度量值例如可以为：经过哈希计算得到的哈希值、数字签名或经过加密处理得到的加密值。

在一些可能的实现方式中，如果S102中是控制管理设备根据第一数据生成第一数据对应的完整性度量基线值，那么，S104可以是终端设备根据第一数据生成该第一数据对应的完整性度量值。

作为一个示例，如果S102是控制管理设备根据第一数据的全部内容确定第一数据对应的完整性度量基线值，那么，S104也可以是终端设备根据第一数据的全部内容确定第一数据对应的完整性度量值。例如，终端设备可以将本地保存的第一数据的全部内容经过哈希计算得到的哈希值，并将所得的该哈希值作为第一数据对应的完整性度量值；又例如，终端设备也可以将本地保存的第一数据的全部内容进行数字签名操作得到签名，并将所得的该签名作为第一数据对应的完整性度量值；再例如，终端设备可以将本地保存的第一数据的全部内容经过加密处理得到的加密值，并将所得的该加密值作为第一数据对应的完整性度量值。

作为另一个示例，如果S102是控制管理设备根据第一数据的部分内容确定该第一数据对应的完整性度量基线值，那么，S104也可以是终端设备根据第一数据的部分内容确定第一数据对应的完整性度量值。其中，所述第一数据的部分内容可以是第一数据中参与校验的数据，S104例如可以包括：终端设备基于预设规则从第一数据中确定所述第一数据的部分内容，从而，根据所确定的所述第一数据的部分内容确定该第一数据对应的完整性度量值，该预设规则可以与S102中选择第一数据的部分内容所遵循的预设规则一致。该示例下，S104的实现方式可以包括但不限于：方式一，终端设备可以将本地保存的第一数据的部分内容经过哈希计算得到的哈希值，并将所得的该哈希值作为第一数据对应的完整性度量值；方式二，终端设备也可以将本地保存的第一数据的部分内容进行数字签名操作得到签名，并将所得的该签名作为第一数据对应的完整性度量值；再例如，终端设备可以将本地保存的第一数据的部分内容经过加密处理得到的加密值，并将所得的该加密值作为第一数据对应的完整性度量值。

在一些可能的实现方式中，如果S102中是控制管理设备根据发送第一数据对应的第一操作日志生成该第一数据对应的完整性度量基线值，那么，S104中可以是终端设备根据接收第一数据对应的第二操作日志生成该第一数据对应的完整性度量值。需要说明的是，终端设备为了记录自身执行的操作，可以将每次从控制管理设备接收数据的行为记录在第二操作日志中，作为该第二操作日志的一条内容。如果第一数据仅是终端设备从控制管理设备执行的一次接收数据的行为，则，终端设备可以根据第二操作日志中与接收该第一数据对应的一条内容确定第一数据对应的完整性度量值。如果第一数据包括终端设备从控制管理设备执行的多次接收数据的行为，则，终端设备可以根据第二操作日志中发送该第一数据对应的多条内容的全部确定第一数据对应的完整性度量值；或者，终端设备也可以根据第二操作日志中发送该第一数据对应的多条内容的部分确定第一数据对应的完整性度量值，其中，多条内容中的部分的选择规则可以与控制管理设备从第一操作日志的多条内容中选择部分的选择规则一致。其中，该完整性度量值，例如可以是经过哈希计算得到的哈希值、经过数字签名操作得到签名或者经过加密处理得到的加密值。

该实现方式中，第二操作日志中可以保存操作类型和操作数据。如果第一数据是批量发送的数据，则，既可以根据第一数据的全部或部分内容生成第一数据对应的完整性度量值，也可以根据接收第一数据对应的第二操作日志生成第一数据对应的完整性度量值。如果第一数据是增量数据，则，可以优选根据接收第一数据对应的第二操作日志生成第一数据对应的完整性度量值。

需要说明的是，S104生成完整性度量值的方式需要与S102生成完整性度量基线值的方式对应，例如，S102中控制管理设备将本地保存的第一数据的全部内容经过哈希计算得到的哈希值，并将所得的该哈希值作为第一数据对应的完整性度量基线值，那么，S104中终端设备将本地保存的第一数据的全部内容经过哈希计算得到的哈希值，并将所得的该哈希值作为第一数据对应的完整性度量值，这样，为后续验证服务器基于该对应的方式，准确的完成完整性校验提供了可能，如果终端设备生成完整性度量值的方式和控制管理设备生成完整性度量基线值的方式不对应，例如，S102中控制管理设备将本地保存的第一数据的全部内容经过哈希计算得到的哈希值，并将所得的该哈希值作为第一数据对应的完整性度量基线值，而S104中终端设备将接收第一数据对应的第二操作日志经过数字签名操作得到签名，并将所得的该签名作为第一数据对应的完整性度量值，则，验证服务器很可能无法完成对第一数据的完整性校验。

具体实现时，对于S104执行的时机，一种情况下，可以在终端设备接收到用于指示对第一数据进行完整性校验的第一指示时，触发终端设备执行S104，其中，第一指示可以是控制管理设备直接向终端设备发送的，或者，第一指示也可以是控制管理设备通过验证服务器间接的向终端设备发送的，或者，第一指示也可以是验证服务器接收到控制管理设备发送的校验请求或第一数据对应的完整性度量基线值时，生成并向终端设备发送的。另一种情况下，也可以在终端设备确定满足预设条件时，触发终端设备执行S104，其中，预设条件可以是控制管理设备和终端设备约定好的执行该方法100以进行完整性校验的条件。

其中，预设条件例如可以是：接收到的所述第一数据的总长度达到预设长度阈值，如，终端设备从接收控制管理设备发送的第一个数据开始(或从某个时刻开始)，记录从控制管理设备接收的数据的总长度，如果该总长度等于预设长度阈值，则，确定满足预设条件，触发执行S104；同理，对于控制管理设备，从向终端设备发送的第一个数据开始(或从某个时刻开始)，记录向终端设备发送的数据的总长度，如果该总长度等于预设长度阈值，则，确定满足预设条件，触发执行S102；该情况下，第一数据的总长度可以为预设长度阈值。或者，预设条件例如也可以是：接收到的所述第一数据包含的表项的数量达到预设数量阈值，如，终端设备从接收控制管理设备发送的第一个数据开始(或从某个时刻开始)，记录从控制管理设备接收的数据包含表项的总数量，如果该总数量等于预设数量阈值，则，确定满足预设条件，触发执行S104；同理，对于控制管理设备，从向终端设备发送的第一个数据开始(或从某个时刻开始)，记录向终端设备发送的数据包含表项的总数量，如果该总数量等于预设数量阈值，则，确定满足预设条件，触发执行S102；该情况下，第一数据包含的表项的总数量可以为预设数量阈值。又或者，预设条件例如也可以是：接收到的所述第一数据的累计时长达到预设时长，如，终端设备从接收控制管理设备发送的第一个数据开始(或从某个时刻开始)，记录从控制管理设备接收的数据的累计时长，如果该累计时长等于预设时长，则，确定满足预设条件，触发执行S104；同理，对于控制管理设备，从向终端设备发送的第一个数据开始(或从某个时刻开始)，记录向终端设备发送的数据的累计时长，如果该累计时长等于预设时长，则，确定满足预设条件，触发执行S102；该情况下，第一数据可以为预设时长内控制管理设备向终端设备发送的所有数据。再或者，预设条件例如也可以是：接收到的属性为增量数据的第一数据，如，在开始接收所述第一数据之前的预设时长内没有接收到控制管理设备发送的数据，那么，认为该第一数据为增量数据，则，确定满足预设条件，触发执行S104；同理，对于控制管理设备，发送属性为增量数据的第一数据，如，在开始发送所述第一数据之前的预设时长内没有向终端设备发送数据，那么，认为该第一数据为增量数据，则，确定满足预设条件，触发执行S102。

对于S105，终端设备可以将第一数据对应的完整性度量值携带在任何报文中向验证服务器发送，例如，终端设备可以将第一数据对应的完整性度量值携带在BGP报文中发送给验证服务器，又例如，终端设备可以将第一数据对应的完整性度量值携带在PCEP报文中发送给验证服务器。本申请实施例对携带第一数据的完整性度量值的报文类型不作具体限定，只要是验证服务器能够识别并处理的报文即可。

作为一个示例，为了更加安全和可信的完成该完整性校验，终端设备还可以将该第一数据的完整性度量值携带在证书中，并将该证书发送给验证服务器。

需要说明的是，经过上述S104～S105，为后续验证服务器对第一数据的完整性校验提供了校验的对象，使得完成可靠、安全和准确的完整性校验成为了可能。

需要说明的是，上述S101、S104～S105，可以单独作为终端设备执行的一个完整的实施例，该方法100只是为了方便描述，从终端设备、控制管理设备和验证服务器三者的交互作为一个整体进行说明。

S106，验证服务器根据完整性度量值和完整性度量基线值，对第一数据进行完整性校验。

具体实现时，S106例如可以包括：验证服务器确定完整性度量值和完整性度量基线值匹配，那么，该验证服务器确定对第一数据的完整性校验通过；反之，验证服务器确定完整性度量值和完整性度量基线值不匹配；那么，该验证服务器确定对第一数据的完整性校验未通过。

例如，第一数据的完整性度量基线值为第一数据的全部内容(或部分内容，又或者发送第一数据对应的第一操作日志)经过第一哈希算法计算得到的第一哈希值，第一数据的完整性度量值为第一数据的全部内容(或部分内容，又或者接收第一数据对应的第二操作日志)经过第一哈希算法计算得到的第二哈希值，那么，S106例如可以是验证服务器判断第一哈希值和第二哈希值是否一致，如果一致，则，确定对第一数据的完整性校验通过，否则，确定对第一数据的完整性校验未通过。

又例如，第一数据的完整性度量基线值为第一数据的全部内容(或部分内容，又或者发送第一数据对应的第一操作日志)经过第一私钥对第一哈希值进行签名操作得到的第一签名，第一数据的完整性度量值为第一数据的全部内容(或部分内容，又或者接收第一数据对应的第二操作日志)经过第二私钥对第二哈希值进行签名操作得到的第二签名，那么，一种情况下，S106中验证服务器可以先判断第一私钥对应的第一公钥和第二私钥对应的第二公钥是否相同，如果相同，再判断第一签名和第二签名是否一致，如果一致，则，确定对第一数据的完整性校验通过，否则，确定对第一数据的完整性校验未通过；另一种情况下，S106中验证服务器可以先采用第一私钥对应的第一公钥对第一签名进行处理得到第一还哈希值，采用第二私钥对应的第二公钥对第二签名进行处理得到第二哈希值，再判断第一哈希值和第二哈希值是否一致，如果一致，则，确定对第一数据的完整性校验通过，否则，确定对第一数据的完整性校验未通过。其中，第一公钥可以是控制管理设备对应的第一私钥对应的公钥，该公钥可以预先保存在验证服务器本地，也可以是控制管理设备向验证服务器发送第一数据的完整性度量基线值时发送给验证服务器的。同理，第二公钥可以是终端设备对应的第二私钥对应的公钥，该公钥可以预先保存在验证服务器本地，也可以是终端设备向验证服务器发送第一数据的完整性度量值时发送给验证服务器的。

再例如，第一数据的完整性度量基线值为第一数据的全部内容(或部分内容，又或者发送第一数据对应的第一操作日志)经过第一加密算法计算得到的第一加密值，第一数据的完整性度量值为第一数据的全部内容(或部分内容，又或者接收第一数据对应的第二操作日志)经过第一加密算法计算得到的第二加密值，那么，一种情况下，S106例如可以是验证服务器判断第一加密值和第二加密值是否一致，如果一致，则，确定对第一数据的完整性校验通过，否则，确定对第一数据的完整性校验未通过；另一种情况下，S106例如可以是验证服务器先采用第一加密算法对应的第一解密算法对第一加密值进行解密得到第一解密值，采用第一加密算法对应的第一解密算法对第二加密值进行解密得到第二解密值再判断第一解密值和第二解密值是否一致，如果一致，则，确定对第一数据的完整性校验通过，否则，确定对第一数据的完整性校验未通过。

需要说明的是，上述S103对应的验证服务器接收控制管理设备发送的第一数据的完整性度量基线值、S105对应的验证服务器接收终端设备发送的第一数据的完整性度量值以及该S106，可以单独作为验证服务器执行的一个完整的实施例，该方法100只是为了方便描述，从终端设备、控制管理设备和验证服务器三者的交互作为一个整体进行说明。

可见，通过本申请实施例提供的方法100，由可信的验证服务器对终端设备和控制管理设备分别发送的第一数据对应的完整性度量值和完整性度量基线值进行完整性校验，需要交互的仅是第一数据对应的完整性度量值和完整性度量基线值，无需交互全量的第一数据，有效的减少了校验所需交互的数据量，大大的节约了校验过程所占用的资源，而且，通过引入可信的验证服务器，由验证服务器根据第一数据对应的完整性度量值和完整性度量基线值即可完成对第一数据的完整性校验，而不是由控制管理设备直接对第一数据的全量数据进行比对，能够确保该校验过程更加安全和可靠，从而为终端设备上业务的正常运行提供了保障。

上述方法100以可信的验证服务器对控制管理设备向终端设备发送的第一数据的完整性校验为例进行说明，本申请实施例提供的方法还可以用于对终端设备向控制管理设备发送的第二数据的完整性校验，或者，用于对终端设备之间交互的第三数据的完整性校验，完整性校验的流程可以参见上述方法100中的相关描述。

本申请实施例提供了一种完整性校验方法200，如图3所示，该方法200以交互的方式描述对第一数据的完整性校验。该方法200例如可以包括：

S201，第一设备向第二设备发送第一数据。

S202，第一设备向验证服务器发送该第一数据对应的完整性度量基线值。

S203，第二设备向验证服务器发送第一数据对应的完整性度量值。

S204，验证服务器根据完整性度量值和完整性度量基线值对第一数据进行完整性校验。

该方法200中，第一设备可以是控制管理设备，第二设备可以是终端设备。或者，第一设备可以是终端设备，第二设备可以是控制管理设备。又或者，第一设备和第二设备均可以是终端设备。

以该方法200中的第一设备是控制管理设备且第二设备是终端设备为例，那么，该方法200中的第一设备可以是上述方法100中的控制管理设备，相关操作具体可以参见方法100中控制管理设备执行的操作；该方法200中的第二设备可以是上述方法100中的终端设备，相关操作具体可以参见方法100中终端设备执行的操作；该方法200中的验证服务器可以是上述方法100中的验证服务器，相关操作具体可以参见方法100中验证服务器执行的操作。具体而言，S201的相关描述可以参见方法100中的S101，S202的相关描述可以参见方法100中的S103，S203的相关描述可以参见方法100中的S105，S204的相关描述可以参见方法100中的S106。其中，第一数据可以是方法100中的第一数据，第一数据对应的完整性度量值可以是方法100中的第一数据对应的完整性度量值，第一数据对应的完整性度量基线值可以是方法100中的第一数据对应的完整性度量基线值。

在一种可能的实现方式中，在第一设备向验证服务器发送第一数据的完整性度量基线值之前，第一设备还可以计算第一数据对应的完整性度量基线值；在第二设备向验证服务器发送第一数据的完整性度量值之前，第二设备还可以计算第一数据对应的完整性度量值。

其中，以该方法200中的第一设备是控制管理设备且第二设备是终端设备为例，第一设备计算第一数据对应的完整性度量基线值可以参见方法100中的S102的相关说明，第二设备计算第一数据对应的完整性度量值可以参见方法100中的S104的相关说明。

作为一个示例，第一设备计算第一数据对应的完整性度量基线值，可以包括：第一设备根据第一数据的全部内容确定所述完整性度量基线值；那么，第二设备计算第一数据对应的完整性度量值，可以包括：第二设备根据所述第一数据的全部内容确定完整性度量值。其中，第一设备和第二设备上对第一数据按照相同的顺序保存，可以确保根据第一数据的全部内容计算的校验值是对应的，为完整性校验的准确执行提供了保障。

作为另一个示例，第一设备计算第一数据对应的完整性度量基线值，可以包括：第一设备根据第一数据的部分内容确定所述完整性度量基线值；那么，第二设备计算第一数据对应的完整性度量值，可以包括：第二设备根据所述第一数据的部分内容确定完整性度量值。其中，第一设备和第二设备上获取该第一数据的部分内容的规则相同，可以确保根据第一数据的部分内容计算的校验值是对应的，为完整性校验的准确执行提供了保障。

作为又一个示例，第一设备计算第一数据对应的完整性度量基线值，可以包括：第一设备根据发送第一数据对应的第一操作日志确定所述完整性度量基线值；那么，第二设备计算第一数据对应的完整性度量值，可以包括：第二设备根据接收所述第一数据对应的第二操作日志确定所述完整性度量值。其中，第一设备和第二设备上对接收和发送数据生成操作日志的规则可以相同，可以确保根据第一数据对应的第一操作日志和第二操作日志得到的校验值是对应的，为完整性校验的准确执行提供了保障。

在一种可能的实现方式中，第二设备向验证服务器发送第一数据对应的完整性度量值，可以是基于所接收的第一指示触发的，也可以是满足本地预设条件后触发的。

作为一个示例，在第二设备向验证服务器发送第一数据对应的完整性度量值之前，第二设备还可以接收第一指示，该第一指示用于指示第二设备对第一数据进行完整性校验。其中，第一指示可以由第一设备发送给第二设备，或者，该第一指示也可以由验证服务器发送给第二设备。

作为另一个示例，第二设备向验证服务器发送第一数据对应的完整性度量值之前，第二设备还可以在确定满足预设条件时，生成所述完整性度量值。其中，预设条件包括下述至少一种：条件一、接收到的第一数据的总长度达到预设长度阈值；条件二、接收到的第一数据包含的表项的数量达到预设数量阈值；条件三、接收第一数据的累计时长达到预设时长；或者，条件四、第一数据为增量数据。如此，第二设备可以被触发计算第一数据对应的完整性度量值并向验证服务器发送该完整性度量值，以便验证服务器对第一数据的完整性进行校验。

需要说明的是，该方法200中，第一设备的相关描述以及达到的效果可以参见方法100中控制管理设备执行的相关操作和对应的效果描述，第二设备的相关描述以及达到的效果可以参见方法100中终端设备执行的相关操作和对应的效果描述，验证服务器的相关描述以及达到的效果可以参见方法100中验证服务器执行的相关操作和对应的效果描述。

本申请实施例还提供了一种完整性校验方法300，参见图4，该方法300应用于第一设备，该方法300例如可以包括：

S301，第一设备向第二设备发送第一数据。

S302，第一设备向验证服务器发送第一数据对应的完整性度量基线值，该完整性度量基线值用于对第一数据的进行完整性校验。

该方法300中，第一设备可以是控制管理设备，第二设备可以是终端设备。或者，第一设备可以是终端设备，第二设备可以是控制管理设备。又或者，第一设备和第二设备均可以是终端设备。

以该方法300中的第一设备是控制管理设备且第二设备是终端设备为例，那么，该方法300中的第一设备可以是上述方法100中的控制管理设备，相关操作具体可以参见方法100中控制管理设备执行的操作。具体而言，S301的相关描述可以参见方法100中的S101，S302的相关描述可以参见方法100中的S103。其中，第一数据可以是方法100中的第一数据，第一数据对应的完整性度量基线值可以是方法100中的第一数据对应的完整性度量基线值。

在一种可能的实现方式中，在第一设备向验证服务器发送第一数据的完整性度量基线值之前，第一设备还可以计算第一数据对应的完整性度量基线值。

其中，以该方法300中的第一设备是控制管理设备且第二设备是终端设备为例，第一设备计算第一数据对应的完整性度量基线值可以参见方法100中的S102的相关说明。

作为一个示例，第一设备计算第一数据对应的完整性度量基线值，可以包括：第一设备根据第一数据的全部内容确定所述完整性度量基线值。

作为另一个示例，第一设备计算第一数据对应的完整性度量基线值，可以包括：第一设备根据第一数据的部分内容确定所述完整性度量基线值。

作为又一个示例，第一设备计算第一数据对应的完整性度量基线值，可以包括：第一设备根据发送第一数据对应的第一操作日志确定所述完整性度量基线值。

需要说明的是，该方法300中，第一设备的相关描述以及达到的效果可以参见方法100中控制管理设备执行的相关操作和对应的效果描述。

本申请实施例还提供了一种完整性校验方法400，参见图5，该方法400应用于第二设备，该方法400例如可以包括：

S401，第二设备接收第一设备发送的第一数据。

S402，第二设备向验证服务器发送所述第一数据对应的完整性度量值，该完整性度量值用于对第一数据的进行完整性校验。

该方法400中，第一设备可以是控制管理设备，第二设备可以是终端设备。或者，第一设备可以是终端设备，第二设备可以是控制管理设备。又或者，第一设备和第二设备均可以是终端设备。

以该方法400中的第一设备是控制管理设备且第二设备是终端设备为例，那么，该方法400中的第二设备可以是上述方法100中的终端设备，相关操作具体可以参见方法100中终端设备执行的操作。具体而言，S401的相关描述可以参见方法100中的S101，S402的相关描述可以参见方法100中的S105。其中，第一数据可以是方法100中的第一数据，第一数据对应的完整性度量值可以是方法100中的第一数据对应的完整性度量值，第一数据对应的完整性度量基线值可以是方法100中的第一数据对应的完整性度量基线值。

在一种可能的实现方式中，在第二设备向验证服务器发送第一数据的完整性度量值之前，第二设备还可以计算第一数据对应的完整性度量值。

其中，以该方法400中的第一设备是控制管理设备且第二设备是终端设备为例，第二设备计算第一数据对应的完整性度量值可以参见方法100中的S104的相关说明。

作为一个示例，第二设备计算第一数据对应的完整性度量值，可以包括：第二设备根据所述第一数据的全部内容确定完整性度量值。

作为另一个示例，第二设备计算第一数据对应的完整性度量值，可以包括：第二设备根据所述第一数据的部分内容确定完整性度量值。

作为又一个示例，第二设备计算第一数据对应的完整性度量值，可以包括：第二设备根据接收所述第一数据对应的第二操作日志确定所述完整性度量值。

需要说明的是，该方法400中，第二设备的相关描述以及达到的效果可以参见方法100中终端设备执行的相关操作和对应的效果描述。

本申请实施例还提供了一种完整性校验方法500，参见图6，该方法500应用于验证服务器，该方法500例如可以包括：

S501，验证服务器接收第一设备发送的第一数据对应的完整性度量基线值，该第一数据由第一设备发送给第二设备。

S502，验证服务器接收第二设备发送的第一数据对应的完整性度量值。

S503，验证服务器根据完整性度量基线值和完整性度量值，对该第一数据的进行完整性校验。

该方法500中，第一设备可以是控制管理设备，第二设备可以是终端设备。或者，第一设备可以是终端设备，第二设备可以是控制管理设备。又或者，第一设备和第二设备均可以是终端设备。

以该方法500中的第一设备是控制管理设备且第二设备是终端设备为例，那么，该方法500中的验证服务器可以是上述方法100中的验证服务器，相关操作具体可以参见方法100中验证服务器执行的操作。具体而言，S501的相关描述可以参见方法100中的S103，S502的相关描述可以参见方法100中的S105，S503的相关描述可以参见方法100中的S106。其中，第一数据可以是方法100中的第一数据，第一数据对应的完整性度量值可以是方法100中的第一数据对应的完整性度量值，第一数据对应的完整性度量基线值可以是方法100中的第一数据对应的完整性度量基线值。

需要说明的是，该方法500中，验证服务器的相关描述以及达到的效果可以参见方法100中验证服务器执行的相关操作和对应的效果描述。

此外，本申请实施例还提供了一种第一设备300，参见图7所示。该第一设备300包括处理单元301和发送单元302。其中，处理单元301用于执行上述图2所示实施例中控制管理设备执行的处理操作、以及图1所示实施例中控制管理设备100执行的处理操作；发送单元302用于执行上述图2所示实施例中控制管理设备执行的发送操作、以及图1所示实施例中控制管理设备100执行的发送操作。例如：处理单元301可以执行图2中实施例中的操作：生成第一数据对应的完整性度量基线值。例如：发送单元302可以执行图2中实施例中的操作：向终端设备发送第一数据，以及向验证服务器发送所述完整性度量基线值。

此外，本申请实施例还提供了一种第二设备400，参见图8所示。该第二设备400包括接收单元401、发送单元402和处理单元403。其中，接收单元401用于执行上述图2所示实施例中终端设备执行的接收操作、以及图1所示实施例中终端设备200执行的接收操作；发送单元402用于执行上述图2所示实施例中终端设备执行的发送操作、以及图1所示实施例中终端设备200执行的发送操作；处理单元403用于执行上述图2所示实施例中终端设备执行的处理操作、以及图1所示实施例中终端设备200执行的处理操作。例如：接收单元401可以执行图2中实施例中的操作：接收控制管理设备发送的第一数据；发送单元402可以执行图2中实施例中的操作：向验证服务器发送第一数据对应的完整性度量值；处理单元403可以执行图2中实施例中的操作：生成第一数据对应的完整性度量值。

此外，本申请实施例还提供了一种验证服务器500，参见图9所示。该验证服务器500包括接收单元501和处理单元502。其中，接收单元501用于执行上述图2所示实施例中验证服务器执行的接收操作、以及图1所示实施例中验证服务器400执行的接收操作；处理单元502用于执行上述图2所示实施例中验证服务器执行的处理操作、以及图1所示实施例中验证服务器400执行的处理操作。例如：接收单元501可以执行图2中实施例中的操作：接收控制管理设备发送的第一数据对应的完整性度量基线值，以及接收终端设备发送的第一数据对应的完整性度量值；处理单元502可以执行图2中实施例中的操作：根据所述完整性度量基线值和所述完整性度量值，对所述第一数据的进行完整性校验。

此外，本申请实施例还提供了一种第一设备600，参见图10所示。该第一设备600包括第一通信接口601和处理器603。其中，第一通信接口601用于执行前述用于执行上述图2所示实施例中控制管理设备、以及图1所示实施例中控制管理设备100执行的发送操作；处理器603用于执行上述图2所示实施例中控制管理设备、以及图1所示实施例中控制管理设备100执行的除了接收操作和发送操作之外的其他操作。例如：第一通信接口601可以执行图2中实施例中的操作：向终端设备发送第一数据，以及向验证服务器发送所述第一数据对应的完整性度量基线值；处理器603可以执行图2中实施例中的操作：根据所述第一数据的全部内容确定所述完整性度量基线值。此外，该第一设备600还可以包括第二通信接口602。其中，第二通信接口602用于执行前述用于执行上述图2所示实施例中控制管理设备、以及图1所示实施例中控制管理设备100执行的接收操作。

此外，本申请实施例还提供了一种第二设备700，参见图11所示。该第二设备700包括第一通信接口701和第二通信接口702。其中，第一通信接口701用于执行前述用于执行上述图2所示实施例中终端设备、以及图1所示实施例中终端设备200执行的发送操作；第二通信接口702用于执行前述用于执行上述图2所示实施例中终端设备、以及图1所示实施例中终端设备200执行的接收操作。例如：第一通信接口701可以执行图2中实施例中的操作：向验证服务器发送第一数据对应的完整性度量值；第二通信接口702可以执行图2中实施例中的操作：接收控制管理设备发送的第一数据。此外，该第二设备700还可以包括处理器703。其中，处理器703用于执行前述用于执行上述图2所示实施例中终端设备、以及图1所示实施例中终端设备200执行的除了接收操作和发送操作之外的其他操作。

此外，本申请实施例还提供了一种验证服务器800，参见图12所示。该验证服务器800包括第一通信接口801和处理器803。其中，第一通信接口801用于执行前述用于执行上述图2所示实施例中验证服务器、以及图1所示实施例中验证服务器400执行的接收操作；处理器803用于执行上述图2所示实施例中验证服务器、以及图1所示实施例中验证服务器400执行的除了接收操作和发送操作之外的其他操作。例如：第一通信接口801可以执行图2中实施例中的操作：接收第一设备发送的第一数据对应的完整性度量基线值，以及接收所述第二设备发送的所述第一数据对应的完整性度量值；处理器803可以执行图2中实施例中的操作：根据所述完整性度量基线值和所述完整性度量值，对所述第一数据的进行完整性校验。此外，该验证服务器800还可以包括第二通信接口802。其中，第二通信接口802用于执行前述用于执行上述图2所示实施例中验证服务器、以及图1所示实施例中验证服务器400执行的发送操作。

此外，本申请实施例还提供了一种第一设备900，参见图13所示。该第一设备900包括存储器901和与存储器901通信的处理器902。其中，存储器901包括计算机可读指令；处理器902用于执行所述计算机可读指令，使得该第一设备900执行以上图2所示实施例中控制管理设备侧执行的方法，以及图1所示实施例中控制管理设备100执行的方法。

此外，本申请实施例还提供了一种第二设备1000，参见图14所示。该第二设备1000包括存储器1001和与存储器1001通信的处理器1002。其中，存储器1001包括计算机可读指令；处理器1002用于执行所述计算机可读指令，使得该第二设备1000执行以上图2所示实施例中终端设备侧执行的方法，以及图1所示实施例中终端设备200执行的方法。

此外，本申请实施例还提供了一种验证服务器1100，参见图15所示。该验证服务器1100包括存储器1101和与存储器1101通信的处理器1102。其中，存储器1101包括计算机可读指令；处理器1102用于执行所述计算机可读指令，使得该验证服务器1100执行以上图2所示实施例中验证服务器侧执行的方法，以及图1所示实施例中验证服务器400执行的方法。

可以理解的是，上述实施例中，处理器可以是中央处理器(英文：central processing unit，缩写：CPU)，网络处理器(英文：network processor，缩写：NP)或者CPU和NP的组合。处理器还可以是专用集成电路(英文：application-specific integrated circuit，缩写：ASIC)，可编程逻辑器件(英文：programmable logic device，缩写：PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(英文：complex programmable logic device，缩写：CPLD)，现场可编程逻辑门阵列(英文：field-programmable gate array，缩写：FPGA)，通用阵列逻辑(英文：generic array logic,缩写：GAL)或其任意组合。处理器可以是指一个处理器，也可以包括多个处理器。存储器可以包括易失性存储器(英文：volatile memory)，例如随机存取存储器(英文：random-access memory，缩写：RAM)；存储器也可以包括非易失性存储器(英文：non-volatile memory)，例如只读存储器(英文：read-only memory，缩写：ROM)，快闪存储器(英文：flash memory)，硬盘(英文：hard disk drive，缩写：HDD)或固态硬盘(英文：solid-state drive，缩写：SSD)；存储器还可以包括上述种类的存储器的组合。存储器可以是指一个存储器，也可以包括多个存储器。在一个具体实施方式中，存储器中存储有计算机可读指令，所述计算机可读指令包括多个软件模块，例如发送模块，处理模块和接收模块。处理器执行各个软件模块后可以按照各个软件模块的指示进行相应的操作。在本实施例中，一个软件模块所执行的操作实际上是指处理器根据所述软件模块的指示而执行的操作。处理器执行存储器中的计算机可读指令后，可以按照所述计算机可读指令的指示，执行完整性校验中各设备或服务器可以执行的全部操作。

可以理解的是，上述实施例中，第一设备600的第一通信接口601，具体可以被用作第一设备300中的发送单元302，实现第一设备到第二设备或验证服务器之间的数据通信；第一设备600的处理器603，具体可以被用作第一设备300中的处理单元301，例如可以用于根据所述第一数据的全部内容确定所述完整性度量基线值。同理，第二设备700的第一通信接口701，具体可以被用作第二设备400中的发送单元402，实现第二设备到验证服务器的数据通信；第二设备700的第二通信接口702，具体可以被用作第二设备400中的接收单元401，实现第一设备到第二设备的数据通信。同理，验证服务器800的第一通信接口801，具体可以被用作验证服务器500中的接收单元501，实现第一设备或第二设备到验证服务器的数据通信；验证服务器800的处理器803，具体可以被用作验证服务器500中的处理单元502，例如可以用于根据所述完整性度量基线值和所述完整性度量值，对所述第一数据的进行完整性校验。

此外，本申请实施例还提供了一种通信系统1200，参见图16所示。该通信系统1200包括第一设备1201、第二设备1202以及验证服务器1203，其中，第一设备1201具体可以是上述第一设备300、第一设备600或第一设备900，第二设备1202具体可以是上述第二设备400、第二设备700或第二设备1000，验证服务器1203具体可以是上述验证服务器500、验证服务器800或验证服务器1100。

需要说明的是，上述实施例中的各个设备或服务器，可以是用于执行上述方法的网络设备，也可以是指用于执行上述方法的单板、线卡、芯片等。

此外，本申请实施例还提供了一种计算机可读存储介质，该计算机可读存储介质中存储有指令，当其在计算机上运行时，使得所述计算机执行以上图1或图2所示实施例中的所述完整性校验方法。

此外，本申请实施例还提供了计算机程序产品，包括计算机程序或计算机可读指令，当所述计算机程序或所述计算机可读指令在计算机上运行时，使得计算机执行前述图1或图2所示实施例中的所述完整性校验方法。

通过以上的实施方式的描述可知，本领域的技术人员可以清楚地了解到上述实施例方法中的全部或部分步骤可借助软件加通用硬件平台的方式来实现。基于这样的理解，本申请的技术方案可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如只读存储器(英文：read-only memory，ROM)/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者诸如路由器等网络通信设备)执行本申请各个实施例或者实施例的某些部分所述的方法。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统实施例和设备实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。以上所描述的设备及系统实施例仅仅是示意性的，其中作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理模块，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

以上所述仅是本申请的优选实施方式，并非用于限定本申请的保护范围。应当指出，对于本技术领域的普通技术人员来说，在不脱离本申请的前提下，还可以作出若干改进和润饰，这些改进和润饰也应视为本申请的保护范围。

Claims

一种完整性校验方法，其特征在于，包括：

第一设备向第二设备发送第一数据；

所述第一设备向验证服务器发送所述第一数据对应的完整性度量基线值，所述第二设备向所述验证服务器发送所述第一数据对应的完整性度量值；

所述验证服务器根据所述完整性度量值和所述完整性度量基线值，对所述第一数据进行完整性校验。
根据权利要求1所述的方法，其特征在于，所述方法还包括：

所述第一设备根据所述第一数据的全部内容确定所述完整性度量基线值；

所述第二设备根据所述第一数据的全部内容确定所述完整性度量值。
根据权利要求1所述的方法，其特征在于，所述方法还包括：

所述第一设备根据所述第一数据的部分内容确定所述完整性度量基线值；

所述第二设备根据所述第一数据的所述部分内容确定所述完整性度量值。
根据权利要求1所述的方法，其特征在于，所述方法还包括：

所述第一设备根据发送所述第一数据对应的第一操作日志，获得所述完整性度量基线值；

所述第二设备根据接收所述第一数据对应的第二操作日志，获得所述完整性度量值。
根据权利要求1-4任一项所述的方法，其特征在于，所述第二设备向所述验证服务器发送所述第一数据对应的完整性度量值之前，所述方法还包括：

所述第二设备接收第一指示，所述第一指示用于指示所述第二设备对所述第一数据进行完整性校验。
根据权利要求5所述的方法，其特征在于，所述第一指示由所述第一设备发送。
根据权利要求5所述的方法，其特征在于，所述第一指示由所述验证服务器发送。
根据权利要求1-4任一项所述的方法，其特征在于，所述第二设备向所述验证服务器发送所述第一数据对应的完整性度量值之前，所述方法包括：

在满足预设条件时，所述第二设备生成所述完整性度量值。
根据权利要求8所述的方法，其特征在于，所述预设条件包括下述至少一种：

接收到的所述第一数据的总长度达到预设长度阈值；

接收到的所述第一数据包含的表项的数量达到预设数量阈值；

接收所述第一数据的累计时长达到预设时长；或者

所述第一数据为增量数据。
一种完整性校验方法，其特征在于，包括：

第一设备向第二设备发送第一数据；

所述第一设备向验证服务器发送所述第一数据对应的完整性度量基线值，所述完整性度量基线值用于对所述第一数据的进行完整性校验。
根据权利要求10所述的方法，其特征在于，所述方法还包括：

所述第一设备根据所述第一数据的全部内容确定所述完整性度量基线值。
根据权利要求10所述的方法，其特征在于，所述方法还包括：

所述第一设备根据所述第一数据的部分内容确定所述完整性度量基线值。
根据权利要求10所述的方法，其特征在于，所述方法还包括：

所述第一设备根据发送所述第一数据对应的第一操作日志，确定所述完整性度量基线值。
根据权利要求10-13任一项所述的方法，其特征在于，所述方法还包括：

所述第一设备向所述第二设备发送第一指示，所述第一指示用于指示所述第二设备对所述第一数据进行完整性校验。
根据权利要求14所述的方法，其特征在于，所述第一设备通过所述验证服务器向所述第二设备发送所述第一指示。
一种完整性校验方法，其特征在于，包括：

第二设备接收第一设备发送的第一数据；

所述第二设备向验证服务器发送所述第一数据对应的完整性度量值，所述完整性度量值用于对所述第一数据的进行完整性校验。
根据权利要求16所述的方法，其特征在于，所述方法还包括：

所述第二设备根据所述第一数据的全部内容确定所述完整性度量值。
根据权利要求16所述的方法，其特征在于，所述方法还包括：

所述第二设备根据所述第一数据的所述部分内容确定所述完整性度量值。
根据权利要求16所述的方法，其特征在于，所述方法还包括：

所述第二设备根据接收所述第一数据对应的第二操作日志，获得所述完整性度量值。
根据权利要求16-19任一项所述的方法，其特征在于，所述第二设备向验证服务器发送所述第一数据对应的完整性度量值之前，所述方法还包括：

所述第二设备接收第一指示，所述第一指示用于指示所述第二设备对所述第一数据进行完整性校验。
根据权利要求20所述的方法，其特征在于，所述第一指示由所述第一设备发送。
根据权利要求20所述的方法，其特征在于，所述第一指示由所述验证服务器发送。
根据权利要求16-19任一项所述的方法，其特征在于，所述第二设备向验证服务器发送所述第一数据对应的完整性度量值之前，所述方法包括：

在满足预设条件时，所述第二设备生成所述完整性度量值。
根据权利要求23所述的方法，其特征在于，所述预设条件包括下述至少一种：

接收到的所述第一数据的总长度达到预设长度阈值；

接收到的所述第一数据包含的表项的数量达到预设数量阈值；

接收所述第一数据的累计时长达到预设时长；或者

所述第一数据为增量数据。
一种完整性校验方法，其特征在于，包括：

验证服务器接收第一设备发送的第一数据对应的完整性度量基线值，所述第一数据由所述第一设备发送给第二设备；

所述验证服务器接收所述第二设备发送的所述第一数据对应的完整性度量值；

所述验证服务器根据所述完整性度量基线值和所述完整性度量值，对所述第一数据的进行完整性校验。
根据权利要求25所述的方法，其特征在于，所述方法还包括：

所述验证服务器接收所述第一设备发送的第一指示，所述第一指示用于指示所述验证服务器对所述第一数据进行完整性校验。
根据权利要求26所述的方法，其特征在于，所述方法还包括：

响应于所述第一指示，所述验证服务器向所述第二设备发送第二指示，所述第二指示用于指示对所述第一数据进行完整性验证。
根据权利要求25-27任一项所述的方法，其特征在于，所述验证服务器根据所述完整性度量基线值和所述完整性度量值，对所述第一数据的进行完整性校验，包括：

所述验证服务器确定所述完整性度量值和所述完整性度量基线值匹配；

所述验证服务器确定对所述第一数据的完整性校验通过。
根据权利要求1-28任一项所述的方法，其特征在于，所述第一数据包括下述至少一个：

分段路由流量工程SR TE配置信息、分段路由流量工程的策略SR TE-policy配置信息、访问控制列表ACL配置信息或流规则FlowSpec配置信息。
根据权利要求1-15、25-29任意一项所述的方法，其特征在于，所述完整性度量基线值为：经过哈希计算得到的哈希值、数字签名或经过加密处理得到的加密值。
根据权利要求1-9、16-29任意一项所述的方法，其特征在于，所述完整性度量值为：经过哈希计算得到的哈希值、数字签名或经过加密处理得到的加密值。
据权利要求1-31任意一项所述的方法，其特征在于，所述第一设备和所述第二设备保持时钟同步。
根据权利要求1-31任意一项所述的方法，其特征在于，所述第一数据携带发送时间戳。
根据权利要求1-33任一项所述的方法，其特征在于，所述第一设备是控制管理设备，所述第二设备是终端设备。
一种网络系统，其特征在于，包括：第一设备，第二设备和验证服务器，所述网络系统用于执行权利要求1-9以及29-34任一项所述的方法。
一种第一设备，其特征在于，包括：

收发单元，用于向第二设备发送第一数据；

所述收发单元，还用于向验证服务器发送所述第一数据对应的完整性度量基线值，所述完整性度量基线值用于对所述第一数据的进行完整性校验。
根据权利要求36所述的第一设备，其特征在于，所述第一设备还包括：

处理单元，用于根据所述第一数据的全部内容确定所述完整性度量基线值。
根据权利要求36所述的第一设备，其特征在于，所述第一设备还包括：

处理单元，用于根据所述第一数据的部分内容确定所述完整性度量基线值。
根据权利要求36所述的第一设备，其特征在于，所述第一设备还包括：

处理单元，用于根据发送所述第一数据对应的第一操作日志，确定所述完整性度量基线值。
根据权利要求36-39任一项所述的第一设备，其特征在于，

所述收发单元，还用于向所述第二设备发送第一指示，所述第一指示用于指示所述第二设备对所述第一数据进行完整性校验。
根据权利要求40所述的第一设备，其特征在于，所述收发单元，具体用于：

通过所述验证服务器向所述第二设备发送所述第一指示。
一种第二设备，其特征在于，包括：

收发单元，用于接收第一设备发送的第一数据；

所述收发单元，还用于向验证服务器发送所述第一数据对应的完整性度量值，所述完整性度量值用于对所述第一数据的进行完整性校验。
根据权利要求42所述的第二设备，其特征在于，所述第二设备还包括：

处理单元，用于根据所述第一数据的全部内容确定所述完整性度量值。
根据权利要求42所述的第二设备，其特征在于，所述第二设备还包括：

处理单元，用于根据所述第一数据的所述部分内容确定所述完整性度量值。
根据权利要求42所述的第二设备，其特征在于，所述第二设备还包括：

处理单元，用于根据接收所述第一数据对应的第二操作日志，获得所述完整性度量值。
根据权利要求42-45任一项所述的第二设备，其特征在于，

所述收发单元，还用于在向所述验证服务器发送所述第一数据对应的完整性度量值之前，接收第一指示，所述第一指示用于指示所述第二设备对所述第一数据进行完整性校验。
根据权利要求46所述的第二设备，其特征在于，所述第一指示由所述第一设备发送。
根据权利要求46所述的第二设备，其特征在于，所述第一指示由所述验证服务器发送。
根据权利要求42-45任一项所述的第二设备，其特征在于，

所述处理单元，还用于在向所述验证服务器发送所述第一数据对应的完整性度量值之前，在满足预设条件时，生成所述完整性度量值。
根据权利要求49所述的第二设备，其特征在于，所述预设条件包括下述至少一种：

接收到的所述第一数据的总长度达到预设长度阈值；

接收到的所述第一数据包含的表项的数量达到预设数量阈值；

接收所述第一数据的累计时长达到预设时长；或者

所述第一数据为增量数据。
一种验证服务器，其特征在于，包括：

收发单元，用于接收第一设备发送的第一数据对应的完整性度量基线值，所述第一数据由所述第一设备发送给第二设备；

所述收发单元，还用于接收所述第二设备发送的所述第一数据对应的完整性度量值；

处理单元，用于根据所述完整性度量基线值和所述完整性度量值，对所述第一数据的进行完整性校验。
根据权利要求51所述的验证服务器，其特征在于，

所述收发单元，还用于接收所述第一设备发送的第一指示，所述第一指示用于指示所述验证服务器对所述第一数据进行完整性校验。
根据权利要求52所述的验证服务器，其特征在于，

所述收发单元，还用于响应于所述第一指示，所述验证服务器向所述第二设备发送第二指示，所述第二指示用于指示对所述第一数据进行完整性验证。
根据权利要求51-53任一项所述的验证服务器，其特征在于，所述处理单元，具体用于：

确定所述完整性度量值和所述完整性度量基线值匹配；

确定对所述第一数据的完整性校验通过。
一种第一设备，包括：

存储器，所述存储器包括计算机可读指令；

与所述存储器通信的处理器，所述处理器用于执行所述计算机可读指令，使得所述第一设备执行权利要求10-15以及29-34任一项所述的方法。
一种第二设备，其特征在于，包括：

存储器，所述存储器包括计算机可读指令；

与所述存储器通信的处理器，所述处理器用于执行所述计算机可读指令，使得所述第二设备执行权利要求16-24以及29-34任一项所述的方法。
一种验证服务器，其特征在于，包括：

存储器，所述存储器包括计算机可读指令；

与所述存储器通信的处理器，所述处理器用于执行所述计算机可读指令，使得所述验证服务器执行权利要求25-34任一项所述的方法。
一种通信系统，其特征在于，所述通信系统包括：权利要求55对应的所述第一设备、权利要求56对应的所述第二设备、以及权利要求57对应的所述验证服务器；

或者，所述通信系统包括：权利要求36-41任一项对应的所述第一设备、权利要求42-50任一项对应的所述第二设备、以及权利要求51-54任一项对应的所述验证服务器。
一种计算机可读存储介质，其特征在于，包括程序或指令，当其被处理器执行时实现如权利要求1-34任一项所述的方法。
一种计算机程序产品，其特征在于，包括计算机程序，所述计算机程序被处理器执行时实现权利要求1-34任一项所述的方法。