[发明专利]固件签名方法及装置、存储介质

说明书

本公开涉及一种固件签名方法及装置、存储介质，所述方法包括：获取第一固件，以及所述第一固件的关联信息，所述第一固件为待执行签名的固件，所述关联信息包括所述第一固件的运行平台；根据所述第一固件的运行平台，确定所述第一固件中待签名的固件内容的第一位置，以及签名值被保存的第二位置；对所述第一位置的固件内容进行签名，得到签名值；将所述签名值以及为所述签名值分配的索引保存在所述第一固件的第二位置。本公开实施例可以减少设备成本、面积、提高通用化程度。

技术领域

本公开涉及固件安全技术领域，尤其涉及一种固件签名方法及装置、存储介质。

背景技术

随着嵌入式设备在物联网应用上越来越多，嵌入式设备的安全要求也越来越高，尤其是嵌入式设备的本地固件安全。当嵌入式设备本地固件被非法修改并导致安全风险后，我们需要有公开可信任的渠道来证明嵌入式设备内部的固件被恶意修改过、是非法固件，这就需要固件签名和验证技术。

目前业界现有的固件签名技术分为2种，一种是使用外置的安全芯片保存固件签名，这种方法的问题在于需要外置安全芯片，会提高设备成本，增大设备面积。另一种是使用嵌入式设备芯片自带的固件签名功能，这种方法的缺陷在于由于芯片设计差异，不是每一款芯片都有固件签名功能，而且不同芯片对于固件签名的实际做法不同，依赖芯片自带的固件签名功能对于芯片选型和适配都带来了很高的要求，难以做到通用化。

发明内容

本公开提出了一种固件签名方法及装置、存储介质，本公开实施例能够解决现有技术中固件签名成本高、设备面积大以及通用化程度低的技术问题，可以减少设备成本、面积、提高通用化程度。

根据本公开的一方面，提供的一种固件签名方法，其包括：

获取第一固件，以及所述第一固件的关联信息，所述第一固件为待执行签名的固件，所述关联信息包括所述第一固件的运行平台；

根据所述第一固件的运行平台，确定所述第一固件中待签名的固件内容的第一位置，以及签名值被保存的第二位置；

对所述第一位置的固件内容进行签名，得到签名值；

将所述签名值以及为所述签名值分配的索引保存在所述第一固件的第二位置。

在一些可能的实施方式中，所述关联信息还包括所述第一固件的开发者信息，所述根据所述第一固件的运行平台，确定所述第一固件中待签名的固件内容的第一位置，以及签名被保存的第二位置，包括：

确定所述开发者信息是否为授权的开发者信息；

响应于所述开发者信息为授权的开发者信息，执行所述根据所述第一固件的运行平台，确定所述第一固件中待签名的固件内容的第一位置，以及签名被保存的第二位置。

在一些可能的实施方式中，所述对所述第一位置的固件内容进行签名，得到签名值，包括：

利用摘要算法对所述第一位置的固件内容进行摘要运算，得到摘要数据；

利用私钥对所述摘要数据进行签名得到所述签名值。

在一些可能的实施方式中，所述方法还包括：在得到所述签名值的情况下，将所述签名值、所述摘要数据存储到所述数据库中，并为所述签名值和所述摘要数据分配所述索引。

在一些可能的实施方式中，所述方法还包括：

基于固件签名验证请求，执行第二固件的签名值的验证操作，所述固件签名验证请求包括待执行签名验证的所述第二固件，以及所述第二固件的关联信息；

基于所述验证操作的结果，确定所述第二固件的签名值是否合法。

在一些可能的实施方式中，所述基于固件签名验证请求，执行第二固件的签名值的验证操作，包括：