本公開涉及一種固件簽名方法及裝置、存儲介質，所述方法包括：獲取第一固件，以及所述第一固件的關聯信息，所述第一固件為待執行簽名的固件，所述關聯信息包括所述第一固件的運行平臺；根據所述第一固件的運行平臺，確定所述第一固件中待簽名的固件內容的第一位置，以及簽名值被保存的第二位置；對所述第一位置的固件內容進行簽名，得到簽名值；將所述簽名值以及為所述簽名值分配的索引保存在所述第一固件的第二位置。本公開實施例可以減少設備成本、面積、提高通用化程度。

技術領域

本公開涉及固件安全技術領域，尤其涉及一種固件簽名方法及裝置、存儲介質。

背景技術

隨著嵌入式設備在物聯網應用上越來越多，嵌入式設備的安全要求也越來越高，尤其是嵌入式設備的本地固件安全。當嵌入式設備本地固件被非法修改并導致安全風險后，我們需要有公開可信任的渠道來證明嵌入式設備內部的固件被惡意修改過、是非法固件，這就需要固件簽名和驗證技術。

目前業界現有的固件簽名技術分為2種，一種是使用外置的安全芯片保存固件簽名，這種方法的問題在于需要外置安全芯片，會提高設備成本，增大設備面積。另一種是使用嵌入式設備芯片自帶的固件簽名功能，這種方法的缺陷在于由于芯片設計差異，不是每一款芯片都有固件簽名功能，而且不同芯片對于固件簽名的實際做法不同，依賴芯片自帶的固件簽名功能對于芯片選型和適配都帶來了很高的要求，難以做到通用化。

發明內容

本公開提出了一種固件簽名方法及裝置、存儲介質，本公開實施例能夠解決現有技術中固件簽名成本高、設備面積大以及通用化程度低的技術問題，可以減少設備成本、面積、提高通用化程度。

根據本公開的一方面，提供的一種固件簽名方法，其包括：

獲取第一固件，以及所述第一固件的關聯信息，所述第一固件為待執行簽名的固件，所述關聯信息包括所述第一固件的運行平臺；

根據所述第一固件的運行平臺，確定所述第一固件中待簽名的固件內容的第一位置，以及簽名值被保存的第二位置；

對所述第一位置的固件內容進行簽名，得到簽名值；

將所述簽名值以及為所述簽名值分配的索引保存在所述第一固件的第二位置。

在一些可能的實施方式中，所述關聯信息還包括所述第一固件的開發者信息，所述根據所述第一固件的運行平臺，確定所述第一固件中待簽名的固件內容的第一位置，以及簽名被保存的第二位置，包括：

確定所述開發者信息是否為授權的開發者信息；

響應于所述開發者信息為授權的開發者信息，執行所述根據所述第一固件的運行平臺，確定所述第一固件中待簽名的固件內容的第一位置，以及簽名被保存的第二位置。

在一些可能的實施方式中，所述對所述第一位置的固件內容進行簽名，得到簽名值，包括：

利用摘要算法對所述第一位置的固件內容進行摘要運算，得到摘要數據；

利用私鑰對所述摘要數據進行簽名得到所述簽名值。

在一些可能的實施方式中，所述方法還包括：在得到所述簽名值的情況下，將所述簽名值、所述摘要數據存儲到所述數據庫中，并為所述簽名值和所述摘要數據分配所述索引。

在一些可能的實施方式中，所述方法還包括：

基于固件簽名驗證請求，執行第二固件的簽名值的驗證操作，所述固件簽名驗證請求包括待執行簽名驗證的所述第二固件，以及所述第二固件的關聯信息；

基于所述驗證操作的結果，確定所述第二固件的簽名值是否合法。

在一些可能的實施方式中，所述基于固件簽名驗證請求，執行第二固件的簽名值的驗證操作，包括：