一種固件的保護(hù)方法和保護(hù)裝置制造方法
【專(zhuān)利摘要】本發(fā)明涉及網(wǎng)絡(luò)設(shè)備安全領(lǐng)域�,公開(kāi)了一種固件的保護(hù)方法和保護(hù)裝置。該方法包括:通過(guò)哈希算法��,對(duì)固件進(jìn)行哈希����,得到所述固件的哈希值;利用不對(duì)稱(chēng)加密算法的私鑰加密所述固件的哈希值���,得到所述固件的數(shù)字簽名�����;將所述固件和所述數(shù)字簽名發(fā)送到路由器的軟件中�����;通過(guò)哈希算法�����,對(duì)所述固件進(jìn)行哈希���,得到所述固件的哈希值��;利用不對(duì)稱(chēng)加密算法的公鑰解密所述數(shù)字簽名��,得到解密后的哈希值���;對(duì)比所述固件的哈希值和所述解密后的哈希值,若相等����,則可以完成路由器升級(jí)。通過(guò)本發(fā)明����,可以對(duì)固件進(jìn)行數(shù)字簽名��,確保固件來(lái)源的安全性和數(shù)據(jù)完整性����,同時(shí)保護(hù)數(shù)據(jù)��,防止偽造���。
【專(zhuān)利說(shuō)明】一種固件的保護(hù)方法和保護(hù)裝置
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)設(shè)備安全領(lǐng)域��,特別涉及一種固件保護(hù)方法�����。
【背景技術(shù)】
[0002]近年來(lái),計(jì)算機(jī)網(wǎng)絡(luò)快速普及����,網(wǎng)絡(luò)時(shí)代正式來(lái)臨,不僅一家一戶(hù)要安裝網(wǎng)絡(luò)�,甚至公共場(chǎng)合,包括電影院���、公交車(chē)和大型商場(chǎng)等都鋪設(shè)有無(wú)線網(wǎng)絡(luò)����。因此,用于網(wǎng)絡(luò)互連的路由器顯得尤為重要���。為防止本地升級(jí)或本地刷機(jī)的路由器軟件被他人構(gòu)建的軟件替代��,完成一些非法操作�����,例如�,攻擊服務(wù)器�、非法收集用戶(hù)信息和重定向用戶(hù)的URL等,路由器廠商采用數(shù)字簽名的方式加密固件��,防止固件被中途截獲偽造��。目前�,廠商用來(lái)進(jìn)行數(shù)字簽名的主流技術(shù)方案有:
[0003]1、采用特殊格式加密固件���;
[0004]2����、采用哈希或者其他校驗(yàn)算法���;
[0005]3����、采用對(duì)稱(chēng)加密算法��,例如�,AES算法,加密��,
[0006]使用這些方式加密固件�����,雖然在一定程度上保證了固件的安全����,但這些方式也都很容易被破解���,一旦被破解���,仍舊無(wú)法認(rèn)證固件的來(lái)源�����,并且無(wú)法核實(shí)固件是否發(fā)生變化����,被人篡改���,使用這樣的固件本地升級(jí)或本地刷機(jī)��,存在極大的網(wǎng)絡(luò)安全問(wèn)題��,甚至?xí)斐删W(wǎng)絡(luò)癱瘓���。
【發(fā)明內(nèi)容】
[0007]針對(duì)現(xiàn)有技術(shù)的缺陷,本發(fā)明所要解決的技術(shù)問(wèn)題是�,提供一種固件保護(hù)方法,以解決他人篡改固件�,路由器無(wú)法認(rèn)證并核實(shí)固件來(lái)源是否發(fā)生變化的問(wèn)題。
[0008]為解決上述問(wèn)題��,本發(fā)明提供了一種固件保護(hù)方法�����,所述的固件保護(hù)方法包括步驟:
[0009]S1、對(duì)固件進(jìn)行數(shù)字簽名���;
[0010]S2�����、驗(yàn)證數(shù)字簽名���。
[0011]優(yōu)選地,所述步驟SI包括步驟:
[0012]S101�����、通過(guò)哈希算法對(duì)所述固件進(jìn)行哈希����,得到所述固件的哈希值;
[0013]S102��、使用非對(duì)稱(chēng)加密算法的私鑰加密所述哈希值�����,得到所述數(shù)字簽名����;
[0014]S103、將所述數(shù)字簽名保存在所述固件中����。
[0015]優(yōu)選地,所述步驟S2包括步驟:
[0016]S201����、通過(guò)所述哈希算法對(duì)所述固件進(jìn)行哈希,得到所述固件的哈希值�;
[0017]S202、使用非對(duì)稱(chēng)加密算法的公鑰解密所述數(shù)字簽名���,得到解密后的哈希值�����;
[0018]S203�、對(duì)比所述固件的哈希值和所述解密后的哈希值�,并判斷所述固件的真實(shí)性。
[0019]優(yōu)選地��,所述步驟SI在服務(wù)器端完成,所述數(shù)字簽名和所述固件發(fā)送并保存到所述路由器軟件中�����;所述步驟S2在所述路由器軟件中完成����。
[0020]優(yōu)選地,在所述步驟S203中�����,若所述固件的哈希值和所述解密后的哈希值相等��,則數(shù)字簽名驗(yàn)證通過(guò)�,升級(jí)所述固件;若所述固件的哈希值和所述解密后的哈希值不相等��,則數(shù)字簽名驗(yàn)證不通過(guò)�,丟棄所述固件。
[0021]為了實(shí)現(xiàn)上述目的�����,根據(jù)本發(fā)明的另一方面�,提供了一種固件保護(hù)裝置����,所述的固件保護(hù)裝置包括:
[0022]數(shù)字簽名裝置�,用于對(duì)固件進(jìn)行數(shù)字簽名�;
[0023]驗(yàn)證裝置,用于驗(yàn)證所述固件的數(shù)字簽名���;
[0024]優(yōu)選地����,所述數(shù)字簽名裝置包括:
[0025]第一哈希模塊�,用于對(duì)所述固件進(jìn)行哈希,得到所述固件的哈希值�����;
[0026]加密模塊�,用于將所述哈希值用非對(duì)稱(chēng)加密算法的私鑰加密,得到所述數(shù)字簽名����;
[0027]存儲(chǔ)模塊,用于將所述數(shù)字簽名保存在所述固件中�����。
[0028]優(yōu)選地,所述驗(yàn)證裝置包括:
[0029]第二哈希模塊���,用于對(duì)所述固件進(jìn)行哈希���,得到所述固件的哈希值;
[0030]解密模塊���,用于將所述數(shù)字簽名用非對(duì)稱(chēng)加密算法的公鑰解密����,得到解密后的哈希值���;
[0031]判斷模塊���,用于對(duì)比所述固件的哈希值和所述解密后的哈希值,并判斷所述固件的真實(shí)性����。
[0032]優(yōu)選地,所述數(shù)字簽名裝置在服務(wù)器端運(yùn)行��,將所述數(shù)字簽名和所述固件發(fā)送并保存到所述路由器軟件中;所述驗(yàn)證裝置在所述路由器軟件端運(yùn)行��。
[0033]優(yōu)選地�,所述判斷模塊判斷固件的真實(shí)性,若所述固件的哈希值和所述解密后的哈希值相等�,則數(shù)字簽名驗(yàn)證通過(guò),升級(jí)所述固件��;若不相等��,則數(shù)字簽名驗(yàn)證不通過(guò)���,丟棄所述固件。
【專(zhuān)利附圖】
【附圖說(shuō)明】
[0034]圖1為本發(fā)明的一個(gè)優(yōu)選實(shí)施例中固件保護(hù)方法的流程示意圖����;
[0035]圖2為本發(fā)明的一個(gè)優(yōu)選實(shí)施例中對(duì)固件進(jìn)行數(shù)字簽名的流程示意圖;
[0036]圖3為本發(fā)明的一個(gè)優(yōu)選實(shí)施例中驗(yàn)證數(shù)字簽名的流程示意圖����;
[0037]圖4為本發(fā)明的一個(gè)優(yōu)選實(shí)施例中路由器固件升級(jí)的流程示意圖;
[0038]圖5為本發(fā)明的一個(gè)優(yōu)選實(shí)施例中固件保護(hù)裝置的框圖��。
【具體實(shí)施方式】
[0039]以下實(shí)施例僅用于更加清楚地說(shuō)明本發(fā)明的技術(shù)方案��,而不能以此來(lái)限制本發(fā)明的保護(hù)范圍。說(shuō)明書(shū)后續(xù)描述為實(shí)施本發(fā)明的較佳實(shí)施方式�����,然所述描述仍以說(shuō)明本發(fā)明的一般原則為目的�����,并非用以限定本發(fā)明的范圍�。本發(fā)明的保護(hù)范圍當(dāng)視所附權(quán)利要求所界定者為準(zhǔn)。
[0040]參見(jiàn)圖1�,本發(fā)明實(shí)施例提供了一種固件保護(hù)方法,該方法包括步驟:
[0041]S1����、對(duì)固件進(jìn)行數(shù)字簽名;
[0042]S2��、驗(yàn)證數(shù)字簽名���。
[0043]在本發(fā)明中����,通過(guò)哈希算法和非對(duì)稱(chēng)加密算法對(duì)固件進(jìn)行數(shù)字簽名����,使得路由器軟件在接收數(shù)字簽名后�����,可以驗(yàn)證數(shù)字簽名���,從而確定固件來(lái)源是否發(fā)生變化,保護(hù)固件數(shù)據(jù)����,以防止他人偽造固件刷掉路由器軟件���,保障了網(wǎng)絡(luò)的安全性�����。
[0044]在本實(shí)施例中��,哈希算法采用安全哈希算法SM, SHA是一種對(duì)輸入信息進(jìn)行摘要的算法����,這種算法可以保證不同的輸入信息產(chǎn)生的摘要一定不相同;非對(duì)稱(chēng)加密算法采用公鑰加密算法RSA����,RSA算法能夠保證只要密鑰足夠長(zhǎng)����,就無(wú)法破解使用RSA加密的信息�����,本實(shí)施例中�,RSA密鑰的長(zhǎng)度為2048位。
[0045]進(jìn)一步地�,參見(jiàn)圖2,步驟SI包括步驟:
[0046]S101����、通過(guò)SHAl對(duì)固件進(jìn)行哈希,得到固件的哈希值����;
[0047]S102、使用RSA私鑰加密固件的哈希值��,得到數(shù)字簽名�����;
[0048]S103、將數(shù)字簽名保存在固件中���;
[0049]步驟SI在服務(wù)器端完成���;將步驟S103得到的數(shù)字簽名和固件發(fā)送到路由器軟件中,并保存��。
[0050]更進(jìn)一步地����,參見(jiàn)圖3,步驟S2包括步驟:
[0051]S201����、通過(guò)SHAl對(duì)固件進(jìn)行哈希���,得到固件的哈希值�;
[0052]S202�、使用RSA的公鑰解密數(shù)字簽名,得到解密后的哈希值�����;
[0053]S203、對(duì)比固件的哈希值和解密后的哈希值���,并判斷固件的真實(shí)性����;
[0054]步驟S2在路由器中完成�����;步驟S203判斷固件真實(shí)性的方法包括:對(duì)比步驟S201和步驟S202得到的哈希值�����,如果相等����,則數(shù)字簽名驗(yàn)證通過(guò),升級(jí)路由器����;如果不相等,則數(shù)字簽名驗(yàn)證不通過(guò)����,固件來(lái)源錯(cuò)誤或數(shù)據(jù)不完整�����,丟棄保存在路由器軟件中的固件和數(shù)字簽名��,向服務(wù)器端發(fā)送消息����,請(qǐng)求重新發(fā)送固件���。
[0055]本發(fā)明中���,步驟SI和步驟S2實(shí)現(xiàn)了對(duì)固件進(jìn)行數(shù)字簽名并驗(yàn)證的要求,由于SHA的不可逆性和RSA算法的不可破解性����,可以核實(shí)固件來(lái)源的安全性和數(shù)據(jù)的完整性,完全杜絕固件被人為篡改或替代的可能����,保障了用戶(hù)網(wǎng)絡(luò)的安全性���。
[0056]進(jìn)一步地�,參見(jiàn)圖4,公開(kāi)了一種路由器升級(jí)的方法��,上電后�����,按下路由器reset鍵�����,從服務(wù)器端下載經(jīng)過(guò)數(shù)字簽名的固件�����,驗(yàn)證固件的數(shù)字簽名��,若數(shù)字簽名通過(guò)驗(yàn)證��,則刷機(jī)��,正常重新啟動(dòng)路由器完成升級(jí)�;若數(shù)字簽名未通過(guò)驗(yàn)證,丟棄已下載的固件�,按下reset鍵重新下載固件�。由此可知�����,經(jīng)過(guò)SHA哈希和RSA加密得到的數(shù)字簽名無(wú)法破解�����,在本地進(jìn)行路由器刷機(jī)和升級(jí)時(shí)�,通過(guò)驗(yàn)證數(shù)字簽名,可以很容易的驗(yàn)證固件來(lái)源和數(shù)據(jù)的真實(shí)性和完整性�,從而獲取到真實(shí)完整的固件,完成升級(jí)���。
[0057]圖5是本實(shí)施例中固件保護(hù)裝置的框圖���,如圖5所示,該裝置包括:數(shù)字簽名裝置110和驗(yàn)證裝置120 ;其中�,
[0058]數(shù)字簽名裝置110包括第一哈希模塊111、加密模塊112和存儲(chǔ)模塊113 ����;
[0059]驗(yàn)證裝置120包括第二哈希模塊121、解密模塊122和判斷模塊123 ����;
[0060]數(shù)字簽名裝置110在服務(wù)器端運(yùn)行,用于對(duì)固件進(jìn)行數(shù)字簽名����;驗(yàn)證裝置120在路由器端運(yùn)行,用于驗(yàn)證固件的數(shù)字簽名���。
[0061]第一哈希模塊111用SHA對(duì)固件進(jìn)行哈希�,得到固件的哈希值���,將哈希值傳入加密模塊112 ;加密模塊112使用RSA的私鑰對(duì)哈希值進(jìn)行加密�,得到數(shù)字簽名���,數(shù)字簽名傳入并儲(chǔ)存在存儲(chǔ)模塊113中�。
[0062]第二哈希模塊121用SHA固件進(jìn)行哈希����,得到固件的哈希值,將其傳入判斷模塊123 ;解密模塊122使用RSA的公鑰對(duì)數(shù)字簽名解密��,得到解密后的哈希值��,將其傳入判斷模塊 123。
[0063]判斷模塊123對(duì)比固件的哈希值和解密后的哈希值�,以此來(lái)判斷路由器端固件的真實(shí)性。若固件的哈希值和解密后的哈希值相等�,則數(shù)字簽名驗(yàn)證通過(guò),升級(jí)所述固件�����;若不相等���,則數(shù)字簽名驗(yàn)證不通過(guò)��,丟棄所述固件����。
[0064]在本實(shí)施例中�����,數(shù)字簽名裝置通過(guò)第一哈希模塊����、加密模塊和存儲(chǔ)模塊配合對(duì)固件進(jìn)行數(shù)字簽名并保存;將固件和其數(shù)字簽名發(fā)送到路由器端�����,第二哈希模塊和解密模塊分別對(duì)固件和數(shù)字簽名進(jìn)行處理,得到相應(yīng)哈希值���,并在判斷模塊中比對(duì),以確定固件來(lái)源的安全性和數(shù)據(jù)的完整性���,能夠起到防止惡意升級(jí)或惡意刷機(jī)�����,提高用戶(hù)上網(wǎng)安全��。
[0065]與現(xiàn)有技術(shù)相比��,本發(fā)明提供了一種固件保護(hù)方法���,在服務(wù)器端利用哈希算法和非對(duì)稱(chēng)加密算法加密固件得到數(shù)字簽名,確保了固件數(shù)據(jù)即使在中途被截獲�,也無(wú)法被他人破解,篡改固件信息�����;在路由器端驗(yàn)證數(shù)字簽名,確保了固件信息即使在中途被截獲篡改�����,也可以在路由器端驗(yàn)證其真實(shí)性���,完全杜絕了使用不安全的固件升級(jí)或刷新路由器的可能���,保證了固件來(lái)源的安全性和數(shù)據(jù)的完整性,防止本地升級(jí)或本地刷機(jī)的路由器被輕易破解���,從而使用戶(hù)上網(wǎng)更加安全��。
[0066]雖然以上結(jié)合優(yōu)選實(shí)施例對(duì)本發(fā)明進(jìn)行了描述����,但本領(lǐng)域的技術(shù)人員應(yīng)該理解��,本發(fā)明所述的方法和系統(tǒng)并不限于【具體實(shí)施方式】中所述的實(shí)施例�����,在不背離由所附權(quán)利要求書(shū)限定的本發(fā)明精神和范圍的情況下,可對(duì)本發(fā)明作出各種修改��、增加�、以及替換。
【權(quán)利要求】
1.一種固件保護(hù)方法�,其特征在于,所述的固件保護(hù)方法包括步驟: 51��、對(duì)固件進(jìn)行數(shù)字簽名���; 52、驗(yàn)證數(shù)字簽名����。
2.如權(quán)利要求1所述的固件保護(hù)方法,其特征在于����,所述步驟SI包括步驟: 5101、通過(guò)哈希算法對(duì)所述固件進(jìn)行哈希�����,得到所述固件的哈希值�; 5102、使用非對(duì)稱(chēng)加密算法的私鑰加密所述哈希值,得到所述數(shù)字簽名�����; 5103�����、將所述數(shù)字簽名保存在所述固件中���。
3.如權(quán)利要求1所述的固件保護(hù)方法�,其特征在于����,所述步驟S2包括步驟: 5201、通過(guò)所述哈希算法對(duì)所述固件進(jìn)行哈希�����,得到所述固件的哈希值�; 5202、使用非對(duì)稱(chēng)加密算法的公鑰解密所述數(shù)字簽名����,得到解密后的哈希值; 5203、對(duì)比所述固件的哈希值和所述解密后的哈希值��,并判斷所述固件的真實(shí)性�����。
4.如權(quán)利要求1所述的固件保護(hù)方法��,其特征在于��,所述步驟SI在服務(wù)器端完成���,所述數(shù)字簽名和所述固件發(fā)送并保存到所述路由器軟件中����;所述步驟S2在所述路由器軟件中完成�����。
5.如權(quán)利要求3所述的固件保護(hù)方法�,其特征在于��,在所述步驟S203中�����,若所述固件的哈希值和所述解密后的哈希值相等,則數(shù)字簽名驗(yàn)證通過(guò)�,升級(jí)所述固件;若所述固件的哈希值和所述解密后的哈希值不相等��,則數(shù)字簽名驗(yàn)證不通過(guò)�,丟棄所述固件。
6.一種固件保護(hù)裝置�,其特征在于,所述的固件保護(hù)裝置包括: 數(shù)字簽名裝置�����,用于對(duì)固件進(jìn)行數(shù)字簽名���; 驗(yàn)證裝置����,用于驗(yàn)證所述固件的數(shù)字簽名����。
7.如權(quán)利要求6所述的固件保護(hù)裝置,其特征在于�,所述數(shù)字簽名裝置包括: 第一哈希模塊���,用于對(duì)所述固件進(jìn)行哈希,得到所述固件的哈希值����; 加密模塊,用于將所述哈希值用非對(duì)稱(chēng)加密算法的私鑰加密����,得到所述數(shù)字簽名; 存儲(chǔ)模塊��,用于將所述數(shù)字簽名保存在所述固件中��。
8.如權(quán)利要求6所述的固件保護(hù)裝置�,其特征在于,所述驗(yàn)證裝置包括: 第二哈希模塊�����,用于對(duì)所述固件進(jìn)行哈希����,得到所述固件的哈希值����; 解密模塊���,用于將所述數(shù)字簽名用非對(duì)稱(chēng)加密算法的公鑰解密,得到解密后的哈希值��; 判斷模塊�����,用于對(duì)比所述固件的哈希值和所述解密后的哈希值�,并判斷所述固件的真實(shí)性。
9.如權(quán)利要求6所述的固件保護(hù)裝置�,其特征在于,所述數(shù)字簽名裝置在服務(wù)器端運(yùn)行����,將所述數(shù)字簽名和所述固件發(fā)送并保存到所述路由器軟件中;所述驗(yàn)證裝置在所述路由器軟件端運(yùn)行��。
10.如權(quán)利要求8所述的固件保護(hù)裝置����,其特征在于,所述判斷模塊判斷固件的真實(shí)性�����,若所述固件的哈希值和所述解密后的哈希值相等,則數(shù)字簽名驗(yàn)證通過(guò)�,升級(jí)所述固件;若不相等���,則數(shù)字簽名驗(yàn)證不通過(guò)�����,丟棄所述固件���。
【文檔編號(hào)】H04L29/06GK104506515SQ201410789754
【公開(kāi)日】2015年4月8日 申請(qǐng)日期:2014年12月17日 優(yōu)先權(quán)日:2014年12月17日
【發(fā)明者】冷優(yōu)軍 申請(qǐng)人:北京極科極客科技有限公司