[发明专利]验证固件的方法及装置

说明书

本发明实施例公开了验证固件的方法及装置，该方法包括：确定由可信第三方生成的第三方公钥；基于所述第三方公钥来验证数据结构文件的签名，以验证所述数据结构文件的可信性，其中，所述数据结构文件用于表示由所述可信第三方测试通过的安全固件的不可变区域，所述签名是由所述可信第三方利用与所述第三方公钥对应的第三方私钥而得到的；在确定所述数据结构文件可信之后，利用所述数据结构文件来验证待测固件的至少一个区域的完整性。通过采用本发明实施例，能够对固件进行更为完善的验证，从而能够提高固件的安全性。

技术领域

本发明实施例涉及计算机技术领域，尤其涉及验证固件的方法及装置。

背景技术

本部分旨在为权利要求书中陈述的本发明实施例提供背景或上下文。此处的描述不因为包括在本部分中就承认是现有技术。

固件介于软件和硬件之间，其可以嵌入在芯片上。芯片的安全性通常由芯片制造商来把控。为了确保芯片能够安全启动，芯片制造商通常会提供相关安全策略来验证固件的启动部分。然而，这种安全策略对于固件验证而言不仅存在局限性，而且对于安全性的验证也不足。

发明内容

为了更为完善地验证固件，提高固件的安全性，本发明实施例提供如下解决方案：

在本发明的实施例中，提供了一种验证固件的方法，包括：

确定由可信第三方生成的第三方公钥；

基于所述第三方公钥来验证数据结构文件的签名，以验证所述数据结构文件的可信性，其中，所述数据结构文件用于表示由所述可信第三方测试通过的安全固件的不可变区域，所述签名是由所述可信第三方利用与所述第三方公钥对应的第三方私钥而得到的；

在确定所述数据结构文件可信之后，利用所述数据结构文件来验证待测固件的至少一个区域的完整性。

在本发明的实施例中，还提供了一种验证固件的装置，包括：

确定模块，用于确定由可信第三方生成的第三方公钥；

签名验证模块，用于基于所述第三方公钥来验证数据结构文件的签名，以验证所述数据结构文件的可信性，其中，所述数据结构文件用于表示由所述可信第三方测试通过的安全固件的不可变区域，所述签名是由所述可信第三方利用与所述第三方公钥对应的第三方私钥而得到的；

完整性验证模块，用于在确定所述数据结构文件可信之后，利用所述数据结构文件来验证待测固件的至少一个区域的完整性。

在本发明的实施例中，还提供了一种计算机可读存储介质，所述计算机可读存储介质存储有可执行上述验证固件的方法的指令。

在本发明实施例中，通过可信的数据结构文件来表示由可信第三方测试通过的安全固件的不可变区域，利用该数据结构文件来验证待测固件的至少一个区域的完整性，能够对固件进行更为完善的验证，从而能够提高固件的安全性。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。在附图中：

图1为本发明实施例中验证固件的方法的示意图；

图2为本发明实施例中基板管理控制器的连接结构示例图；

图3为本发明实施例中处理器的示意图；

图4为本发明实施例中验证固件的装置的示意图；

图5为本发明实施例中验证固件的装置的具体实例图；

图6为本发明实施例中验证固件的方法的应用场景图。

具体实施方式