技術領域

本發明涉及通信技術領域，尤其是一種簽名校驗方法和終端設備。

背景技術

目前，高通平臺支持基于熔絲熔斷技術的安全啟動方案（secureboot）。安全啟動方案是根據不同應用需求而提供的一種安全啟動方案，用于保護啟動和一些通信使用的二進制數據。其原理是：先使用加密狗與數字證書，對安全啟動所需的原始數據和硬件信息進行簽名驗證處理，將生成的簽名信息與對應的原始數據綁定在一起；然后在終端設備啟動時，終端設備中芯片的內部程序對加載的原始數據以及簽名信息使用本終端設備的硬件信息進行校驗，以確保加載的原始數據的合法性，即確保加載的系統軟件包的合法性。

高通平臺現有的簽名校驗技術，終端設備在對加載的原始數據和簽名信息進行校驗時，需要使用該終端設備的硬件信息，當終端設備的硬件信息發生變化時，該硬件信息就可能與生成簽名信息所使用的硬件信息不一致，由此會出現校驗失敗，導致終端設備無法啟動。

發明內容

本發明要解決的問題是，現有簽名校驗技術在硬件信息發生變化時，影響設備的正常使用。

有鑒于此，為了解決上述問題，在第一方面，本發明提出了一種簽名校驗方法，包括：

在系統安全啟動的狀態下，獲取終端設備的硬件信息，所述終端設備的硬件信息包括所述終端設備的處理器型號、廠商信息和設備型號的至少一種或其任意組合；

所述終端設備根據系統軟件包中的N條簽名信息和所述終端設備的硬件信息，校驗所述系統軟件包是否合法，所述N條簽名信息為根據所述系統軟件包的原始數據和不同的硬件信息生成的；N≥2。

結合第一方面，在第一種可能的實施方式中，所述獲取終端設備的硬件信息之前，所述方法還包括：

將所述N條簽名信息中的一條作為默認簽名信息，將所述N條簽名信息除了所述默認簽名信息之外的其他簽名信息作為附加簽名信息；

其中，所述默認簽名信息為所述終端設備每次進行校驗時第一次使用的簽名信息；所述默認簽名信息保存在所述系統軟件包的鏡像數據之后，所述附加簽名信息保存在所述默認簽名信息之后；或，所述默認簽名信息保存在所述系統軟件包的鏡像頭與鏡像數據之間，所述附加簽名信息保存在所述鏡像數據之后。

結合第一方面的第一種可能的實施方式，在第二種可能的實施方式中，所述終端設備根據系統軟件包中的N條簽名信息和所述終端設備的硬件信息，校驗所述系統軟件包是否合法，包括：

所述終端設備根據所述系統軟件包中的所述默認簽名信息和所述終端設備的硬件信息，校驗所述系統軟件包是否合法；

若根據所述默認簽名信息和所述終端設備的硬件信息，校驗所述系統軟件包不合法，則依次根據所述附加簽名信息和所述終端設備的硬件信息，校驗所述系統軟件包是否合法，直至校驗出所述系統軟件包合法。

結合第一方面的第二種可能的實施方式，在第三種可能的實施方式中，所述依次根據所述附加簽名信息和所述終端設備的硬件信息，校驗所述系統軟件包是否合法，直至校驗出所述系統軟件包合法之后，所述方法還包括：

將校驗出所述系統軟件包合法時所使用的附件簽名信息，替換所述默認簽名信息。

結合第一方面或上述任一種可能的實施方式，在第四種可能的實施方式中，所述系統軟件包中包括需要更新的原始數據，

所述終端設備根據系統軟件包中的N條簽名信息和所述終端設備的硬件信息，校驗所述系統軟件包是否合法，包括：

在更新所述原始數據的過程中，所述終端設備根據所述N條簽名信息和所述終端設備的硬件信息，校驗所述系統軟件包是否合法；

所述方法還包括：

如果所述系統軟件包合法，則執行所述系統軟件包的原始數據的更新流程；

否則，停止所述系統軟件包的原始數據的更新并報錯。

結合第一方面或第一種可能的實施方式或第二種可能的實施方式或第三種可能的實施方式，在第五種可能的實施方式中，所述終端設備根據系統軟件包中的N條簽名信息和所述終端設備的硬件信息，校驗所述系統軟件包是否合法，包括：

在系統安全啟動的過程中，所述終端設備根據所述N條簽名信息和所述終端設備的硬件信息，校驗所述系統軟件包是否合法；

所述方法還包括：

如果所述系統軟件包合法，則執行系統啟動的流程；

否則，停止執行系統啟動的流程并報錯。

在第二方面，本發明提出了一種終端設備，包括：