[发明专利]一种安全的固件更新方法

说明书

本发明公开了一种安全的固件更新方法，首先利用对称密码算法对固件Image文件进行加密，然后利用非对称密码算法对加密过的固件Image文件进行签名，之后发送给客户。在客户处利用固件更新工具对加密、签名后的固件Image文件进行验签，以防止固件Image文件被篡改，并将验签后的固件Image文件下载到设备中，通过设备端bootrom对加密后的固件Image文件进行解密，得到固件Image文件，最后通过设备端bootrom完成固件更新。本发明因为能保证固件Image是密文传输的，无法被逆向，可以有效防止固件Image被逆向分析，还能防止固件Image被篡改，防止设备受到攻击，能防止攻击者利用利用旧版本固件的漏洞来对设备进行攻击，防止固件版本回退。

技术领域

本发明属于程序控制装置技术领域，涉及用于执行专门程序的装载和更新，具体涉及一种安全的固件更新方法。

背景技术

固件(firmware)是一种存储于设备中的EEPROM或FLASH芯片中，可由用户通过特定的刷新程序进行升级的程序，固件通常担任着一个数码产品最基础、最底层工作。一般来说，这些硬件内所保存的程序是无法被用户直接读出或修改的。因为通常情况下是没有必要对固件进行升级操作，即使在固件内发现了严重的Bug，也必须由专业人员进行更换。早期的固件芯片一般采用了ROM设计，Firmware代码是在生产过程中固化的，用任何手段都无法修改。随着技术的不断发展，为适应用户对于不断更新的硬件环境的需求，开始出现利用EEPROM和flash的可以重复刷写特点让固件得以修改和升级的技术，使得更多的厂商把升级固件提供更多更新的功能做为附加值来提供给用户。

固件的更新或升级是指把新的固件写入芯片中，以代替原有的固件的过程。一些嵌入式设备一旦部署后，若要进行固件的更新，只能进行现场更新，而不是将设备回收到生产厂商处再更新，所以厂商就需要将新版本的固件发送到客户处，由客户来进行更新。即一般的固件更新流程为：厂商生成固件Image文件，然后将此Image文件发送给客户，客户再利用更新工具将固件Image文件烧录到设备中，在这个过程中，Image文件一般是明文传输，也不存在对Image文件的验证过程。这个过程中，就会存在很多安全问题，比如固件被逆向、被篡改，或将固件运行于未经授权的设备中等风险。

针对这些安全问题，现有技术中已经披露了一些应对的方法，比如申请号为CN201610554448.7、名称为“一种安全的固件验证更新方法”的专利文献。通过对此专利文献的详细解读发现其虽然应用了签名算法，能够规避固件被篡改的风险，但是其固件依然为明文状态，无法规避被逆向和被被烧录到未经授权设备中的风险，而且其只通过ID来进行固件与主板的匹配，并未进行版本控制，也存在固件版本回退的风险。

发明内容

本发明目的在于针对传统的固件的更新或升级过程中存在的固件Image文件被逆向、被篡改，或运行于未经授权的设备中等风险，利用对称密码算法对固件Image进行加密，再利用非对称密码算法对加密过的固件Image进行签名，随后经过验签和解密，实现有效防止固件Image被逆向分析，防止固件Image被篡改，防止设备受到攻击的危险。

为实现上述目的，本发明采用的技术方案为一种安全的固件更新方法，具体包含以下步骤：

S1：利用对称密码算法对固件Image文件进行加密；

S2：利用非对称密码算法对加密过的固件Image文件进行签名；

S3：发送给客户；

S4：利用固件更新工具对加密、签名后的固件Image文件进行验签，以防止固件Image文件被篡改；

S5：客户将验签后的固件Image文件下载到设备中；

S6：通过设备端bootrom对加密后的固件Image文件进行解密，得到固件Image文件；

S7：通过设备端bootrom完成固件更新。