本發(fā)明公開了一種鏡像校驗(yàn)的加密方法，包括以下步驟：對(duì)鏡像文件進(jìn)行分區(qū)，并在第一分區(qū)預(yù)留第一空間；按照分區(qū)將鏡像內(nèi)容寫入鏡像文件中，并將鏡像識(shí)別碼寫入第一空間以生成鏡像頭部自簽名；基于鏡像文件生成對(duì)應(yīng)的描述文件；使用預(yù)設(shè)的私鑰對(duì)描述文件進(jìn)行加密，以生成描述文件對(duì)應(yīng)的簽名文件；以及將鏡像文件、描述文件和簽名文件進(jìn)行壓縮打包，并通過私鑰對(duì)壓縮包進(jìn)行非對(duì)稱加密。本發(fā)明還公開了一種鏡像校驗(yàn)的解密方法、計(jì)算機(jī)設(shè)備和可讀存儲(chǔ)介質(zhì)。本發(fā)明提出的鏡像校驗(yàn)的加解密方法、設(shè)備及介質(zhì)通過在鏡像分區(qū)寫入鏡像識(shí)別碼，避免加密私鑰等信息被泄漏后，任意文件都可以冒充升級(jí)鏡像文件的情況，大大增強(qiáng)了鏡像文件的安全性。

技術(shù)領(lǐng)域

本發(fā)明涉及鏡像安全領(lǐng)域，更具體地，特別是指一種鏡像校驗(yàn)的加解密方法、設(shè)備及可讀介質(zhì)。

背景技術(shù)

隨著白盒交換機(jī)生態(tài)系統(tǒng)的發(fā)展，硬件、網(wǎng)絡(luò)操作系統(tǒng)、控制、管理以及數(shù)據(jù)平面協(xié)議軟件等逐步成熟，白盒交換機(jī)迎來了較大的發(fā)展，越來越多的客戶投入到白盒交換機(jī)的研發(fā)和使用中，尤其在互聯(lián)網(wǎng)行業(yè)，隨著業(yè)務(wù)的精細(xì)化發(fā)展，對(duì)網(wǎng)絡(luò)的特制化的需求越來越多，自主可控的白盒交換機(jī)顯得愈發(fā)重要。

白盒交換機(jī)通過BMC(BaseBoard Management Controller，基板管理控制器)進(jìn)行板級(jí)信息監(jiān)控，通過散熱策略調(diào)控、傳感器監(jiān)控等服務(wù)和sonic對(duì)業(yè)務(wù)級(jí)別的定制化設(shè)計(jì)，實(shí)現(xiàn)交換機(jī)的智能轉(zhuǎn)發(fā)；通過BIOS(Basic Input Output System，基本輸入輸出系統(tǒng))進(jìn)行啟動(dòng)引導(dǎo)、自檢及初始化程序、硬件中斷處理和程序服務(wù)請(qǐng)求。通過CPLD(ComplexProgrammable Logic Device，復(fù)雜可編程邏輯器件)實(shí)現(xiàn)控制上電順序和管理電源等功能。不同的客戶對(duì)于不同模塊的功能有著不同的需求，這就需要白盒交換機(jī)提供更新鏡像功能，可以在線升級(jí)BIOS、BMC以及CPLD芯片鏡像內(nèi)容，以保障軟件系統(tǒng)的及時(shí)更新。

在更新鏡像的過程中，就會(huì)存在鏡像安全性問題；白盒交換機(jī)出貨后，像BMC、BIOS、CPLD芯片都已經(jīng)集成到主板之上，無法將芯片取出使用燒錄器升級(jí)，這就需要升級(jí)鏡像時(shí)確保鏡像的穩(wěn)定性和安全性，不能不加校驗(yàn)升級(jí)任意鏡像文件。目前在白盒交換機(jī)的鏡像升級(jí)加密校驗(yàn)方法中，大多數(shù)只是采用RSA非對(duì)稱加密的方式，完全依靠私鑰文件的絕對(duì)私有化，但是一旦私鑰文件泄漏，該加密方式便會(huì)失效，任意文件采用泄漏的私鑰進(jìn)行加密，都會(huì)通過校驗(yàn)而進(jìn)行升級(jí)動(dòng)作，這種后果非常嚴(yán)重，會(huì)造成大量的人力財(cái)力損失。

發(fā)明內(nèi)容

有鑒于此，本發(fā)明實(shí)施例的目的在于提出一種鏡像校驗(yàn)的加解密方法、設(shè)備及介質(zhì)，通過預(yù)留鏡像文件前128字節(jié)內(nèi)容，添加鏡像標(biāo)識(shí)字段，確保鏡像功能類型；通過生成鏡像描述文件，確保鏡像內(nèi)容不被篡改；通過鏡像文件、描述文件數(shù)字簽名，確保描述信息內(nèi)容不被篡改；通過RAS非對(duì)稱加密方法，確保鏡像傳輸過程中內(nèi)容完整性。

基于上述目的，本發(fā)明實(shí)施例的一方面提供了一種鏡像校驗(yàn)的加密方法，包括如下步驟：對(duì)鏡像文件進(jìn)行分區(qū)，并在第一分區(qū)預(yù)留第一空間；按照分區(qū)將鏡像內(nèi)容寫入所述鏡像文件中，并將鏡像識(shí)別碼寫入所述第一空間以生成鏡像頭部自簽名；基于所述鏡像文件生成對(duì)應(yīng)的描述文件；使用預(yù)設(shè)的私鑰對(duì)所述描述文件進(jìn)行加密，以生成所述描述文件對(duì)應(yīng)的簽名文件；以及將所述鏡像文件、所述描述文件和所述簽名文件進(jìn)行壓縮打包，并通過所述私鑰對(duì)壓縮包進(jìn)行非對(duì)稱加密。

在一些實(shí)施方式中，還包括：對(duì)所述鏡像頭部自簽名進(jìn)行檢測(cè)，以識(shí)別鏡像類別并更新該類別對(duì)應(yīng)的芯片的鏡像。

在一些實(shí)施方式中，還包括：對(duì)版本信息進(jìn)行轉(zhuǎn)換以進(jìn)行加密，并將加密后的版本信息寫入所述鏡像識(shí)別碼。

在一些實(shí)施方式中，基于所述鏡像文件生成對(duì)應(yīng)的描述文件包括：基于所述鏡像類別和版本信息生成所述鏡像文件對(duì)應(yīng)的描述文件。