[发明专利]一种控制单板安全启动的方法、软件包升级的方法及装置

说明书

本发明公开了一种控制单板安全启动的方法，包括：在单板上电后，获取待加载到所述单板的软件包的重签名，所述软件包的重签名为使用所述单板的单板私钥对所述软件包进行重签名得到的，所述重签名是在使用所述软件包的软件包公钥对所述软件包的原签名验证通过后做出的，所述原签名为使用所述软件包的软件包私钥对所述软件包进行签名得到的；使用与所述单板私钥配对的单板公钥对所述软件包的重签名进行校验；在所述重签名通过校验后，启动所述单板。本发明实施例提供的控制单板安全启动的方法，可以保证在软件包的密钥对泄漏时，其他单板依然可以安全启动。

技术领域

本发明涉及通信技术领域，具体涉及一种控制单板安全启动的方法及装置。

背景技术

随着黑客威胁的增加，运营商提出了对电信设备可信环境的要求，例如，多模基站启动时必须通过密码学手段对软件进行校验。如果校验失败，则多模基站不能接入网络。

电信设备的设备商通常都会预先生成一个不对称密钥对，作为厂商密钥，设备商会妥善的保管密钥对中的私钥，并用该私钥对要发布的软件包进行签名，密钥对中的公钥随软件包一起发布。

电信设备中的单板安全启动时，需要对逐级加载的软件包进行校验，校验的过程就是使用随软件包发布的公钥对软件包的签名行校验，如果校验成功，则加载该软件包，并用该密钥对存储该软件包。如果校验失败，则不加载该软件包，这样，可以避免加载非法的或经篡改的软件包。

这样单板启动时，只要软件包能校验通过，就能确保软件包是厂商所发布的，只要用于单板启动的各软件包能逐级校验通过，构建起信任链，就能确保单板的初始软件运行环境是安全可靠的。

现有技术中，因为一个软件包可以用于多个同型号的单板，因此分别针对同型号的中不同单板发布使用不同私钥签名的软件包存在操作上的困难。由于不可能针对每个单板发布软件包，导致存储时也必须使用相同密钥对。因此，软件包发布的密钥对就是在单板上存储的密钥对。因此必然会出现多个单板使用相同的密钥对的情况，常是所有单板都使用相同的密钥对。

因此，一旦设备商用于软件包签名的密钥对泄露，那么现网的存量单板会批量(或者全部)的暴露在攻击者面前，无法保证启动安全。

发明内容

为了解决现有技术中因密钥对泄漏，导致批量单板无法安全启动的问题，本发明实施例提供一种控制单板安全启动的方法，可以保证在软件包的密钥对泄漏时，其他单板依然可以安全启动。本发明实施例还提供了相应的设备。

本发明第一方面提供一种控制单板安全启动的方法，包括：

在单板上电后，获取待加载到所述单板的软件包的重签名，所述软件包的重签名为使用所述单板的单板私钥对所述软件包进行重签名得到的，所述重签名是在使用所述软件包的软件包公钥对所述软件包的原签名验证通过后做出的，所述原签名为使用所述软件包的软件包私钥对所述软件包进行签名得到的；

使用与所述单板私钥配对的单板公钥对所述软件包的重签名进行校验；

在所述重签名通过校验后，启动所述单板。

结合第一方面，在第一种可能的实现方式中，所述获取待加载到所述单板的软件包的重签名之前，所述方法还包括：

获取待更新的软件包；

在安全世界中，使用所述待更新的软件包的软件包公钥对所述待更新的软件包的原签名进行校验；

在所述待更新的软件包的原签名通过校验后，在所述安全世界中使用所述单板私钥对所述待更新的软件包进行重签名。

结合第一方面第一种可能的实现方式，在第二种可能的实现方式中，所述方法还包括：