[发明专利]一种基于冗余密码算法进行安全启动的方法及设备

说明书

本申请公开了一种基于冗余密码算法进行安全启动的方法及设备，该方法包括：获取第一指示信息和第二指示信息，根据第一指示信息和第二指示信息对第一基线信息进行更新。其中，第一指示信息用于唯一标识第一密码算法，该第二指示信息用于指示网络设备对安全存储实体中存储的第一密码资源的基线信息进行更新，第一密码资源的基线信息用于对所述网络设备在安全启动过程中所使用的第一密码资源进行完整性验证。这样，网络设备能够通过更新密码算法对应的基线信息，实现基于不同的需求在线调整用于安全启动的密码算法的目的，从而使得按照不同的安全需求适应性的进行安全启动成为可能，提高了网络设备的安全性。

本申请要求于2020年05月22日提交的申请号为202010442242.1、发明名称为“一种更新密码资源的方法和设备”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及安全技术领域，特别是涉及一种基于冗余密码算法进行安全启动的方法及设备，还特别涉及一种对网络设备在安全启动过程中所使用的密码资源进行管理的方法及设备。

背景技术

为了确保网络设备在启动过程中的安全性，通常采用安全启动技术进行启动。安全启动技术是通过密码学的方法保护网络设备启动中软件完整性的有效措施。安全启动过程中，先对待加载的应用程序的镜像文件进行验证，验证通过后才加载该应用程序的镜像文件，这样，确保启动过程中所加载的应用程序的镜像文件的完整性和合法性。

目前，网络设备内通常仅保存一种用于安全启动的密码算法，基于该密码算法对待加载的应用程序的镜像文件进行验证，该密码算法通常保存在该网络设备的安全存储实体中，无法进行修改和更新。这样，当网络设备内仅有一种密码算法无法满足更高的安全需求时，或者，该密码算法不符合部分用户的安全要求时，该网络设备无法再借助安全启动技术对启动中软件完整性进行安全保护，从而威胁网络设备的安全。

发明内容

基于此，本申请实施例提供了一种基于冗余密码算法进行安全启动的方法及设备，能够安全的更新密码资源的基线信息，使得网络设备能够基于不同的安全需求灵活的使用不同的密码算法进行安全启动，从而确保网络设备的安全性。

第一方面，本申请实施例提供了对安全启动所使用的密码资源进行管理的方法，该方法由网络设备实施，该方法例如可以包括：获取第一指示信息和第二指示信息，并且，根据所述第一指示信息和所述第二指示信息，对所述第一密码资源的基线信息进行更新。其中，该第一指示信息用于唯一标识第一密码算法，该第二指示信息用于指示所述网络设备对安全存储实体中存储的第一密码资源的基线信息进行更新，其中，所述第一密码资源的基线信息用于对所述网络设备在安全启动过程中所使用的第一密码资源进行完整性验证，所述第一密码资源对应于所述网络设备在进行所述安全启动所使用的第一密码算法和第一公钥，所述第一密码资源的基线信息包括所述第一密码算法的状态信息，所述第一密码算法的状态信息用于指示所述第一密码算法的使用状态。其中，第一密码算法可以为以下任一种算法：非对称加密算法RSA、椭圆曲线密码学(英文：Elliptic CurveCryptography，简称：ECC)算法、国密非对称加密算法SM2、安全散列算法(英文：SecureHash Algorithm，简称：SHA)或密码杂凑算法SM3。这样，通过在网络设备的安全存储实体中预置与多种密码算法对应的多种密码资源的基线信息，在网络设备现网运行的过程中，当需要更新密码算法时，能够通过更新密码算法对应的密码资源的基线信息，使得密码算法的状态信息发生改变以指示该密码算法进入不同的使用状态，实现基于不同的需求在线调整用于安全启动的密码算法的目的，从而使得按照不同的安全需求适应性的进行安全启动成为可能，提高了网络设备的安全性。

需要说明的是，一种情况下，安全存储实体可以为处理器中的一次性可编程存储空间；或者，另一种情况下，安全存储实体也可以为独立于处理器的安全芯片。