本發明實施例提供了一種固件的打包、安全啟動方法及裝置、存儲介質及電子設備。固件的安全啟動方法包括：獲取設備中待啟動的固件的固件包，其中，上述固件包包括上述固件的固件數據和多組校驗信息，每組校驗信息包括：公鑰或公鑰摘要，以及基于上述公鑰或公鑰摘要對應的私鑰對上述固件進行簽名得到的簽名信息；獲取上述設備內置的公鑰或公鑰摘要，并在上述多組校驗信息中確定與上述設備內置的公鑰或公鑰摘要相匹配的一組校驗信息；基于相匹配的一組校驗信息對上述固件進行校驗，并在校驗通過后啟動上述固件。

技術領域

本發明實施例涉及通信技術領域，具體而言，涉及一種固件的打包、安全啟動方法及裝置、存儲介質及電子設備。

背景技術

目前，根據不同的應用需求，提供了安全啟動方案(secureboot)，用于保護啟動和通信使用的數據。在安全啟動方案下，安全啟動密鑰對于實現固件完整性保護具有重要的作用。

假如安全啟動密鑰被泄露，則設備將失去固件完整性保護，解決辦法是更換安全啟動密鑰。然而。在相關技術中的安全啟動方案下，更換安全啟動密鑰會引入新老設備兼容性問題，無法實現打包一個固件同時運行在新老設備上。除了密鑰泄露的場景外，為了應對持續升級的安全威脅而增加安全啟動密鑰的密鑰強度(如增加密鑰位數、生命周期內KEY升級迭代)、不同產品原先合用一把KEY但現在需要采用不同KEY、客戶定制安全啟動密鑰等場景下，也同樣面臨將新的安全啟動密鑰替換老的安全啟動密鑰，此時由于涉及到安全啟動密鑰的更換，同樣存在新老設備兼容性的問題。

發明內容

本發明實施例提供了一種固件的打包、安全啟動方法及裝置、存儲介質及電子設備，以至少解決相關技術中對應的安全啟動密鑰不同的新老設備的兼容性的問題。

根據本發明的一個實施例，提供了一種固件的打包方法，包括：確定要運行所述固件的多組設備所對應的多個公鑰或公鑰摘要，其中，所述多組設備中，屬于相同組的設備所對應的公鑰或公鑰摘要相同，屬于不同組的設備所對應的公鑰或公鑰摘要不同；根據所述多個公鑰或公鑰摘要生成多組校驗信息，其中，每組校驗信息包括：所述公鑰或公鑰摘要，以及基于所述公鑰或公鑰摘要對應的私鑰對所述固件進行簽名得到的簽名信息；將所述多組校驗信息與所述固件的固件數據打包，生成所述固件的固件包。

在至少一個示例性實施例中，所述固件數據包括以下至少之一：所述固件的頭部數據、所述固件的原始數據，其中，所述固件的頭部數據包括以下至少之一：所述固件的類型、所述簽名信息的個數、所述簽名信息的長度。

在至少一個示例性實施例中，根據所述多個公鑰或公鑰摘要生成多組校驗信息包括對于所述多個公鑰或公鑰摘要中的每個公鑰或公鑰摘要，執行以下操作：確定所述公鑰或公鑰摘要對應的所述私鑰；采用簽名算法以及所述私鑰，對所述固件的所述固件數據進行計算得到所述簽名信息；根據所述公鑰或公鑰摘要、以及所述簽名信息生成一組校驗信息。

在至少一個示例性實施例中，所述設備所對應的所述公鑰或公鑰摘要被燒錄在所述設備的系統級芯片SoC的安全啟動存儲區域。

固件本發明的另一個實施例，提供了一種固件的安全啟動方法，包括：獲取設備中待啟動的固件的固件包，其中，所述固件包包括所述固件的固件數據和多組校驗信息，每組校驗信息包括：公鑰或公鑰摘要，以及基于所述公鑰或公鑰摘要對應的私鑰對所述固件進行簽名得到的簽名信息；獲取所述設備內置的公鑰或公鑰摘要，并在所述多組校驗信息中確定與所述設備內置的公鑰或公鑰摘要相匹配的一組校驗信息；基于相匹配的一組校驗信息對所述固件進行校驗，并在校驗通過后啟動所述固件。

在至少一個示例性實施例中，獲取所述設備內置的公鑰或公鑰摘要包括以下至少之一：在所述設備的系統級芯片SoC的安全啟動存儲區域中獲取所述設備內置的公鑰或公鑰摘要；在所述固件的前一級驗證通過的固件的固件代碼中獲取所述設備內置的公鑰或公鑰摘要。