固件更新方法与能够执行固件更新的装置制造方法及图纸

一种固件更新方法是由一装置与一认证服务器来执行，该装置执行多个步骤如下：经由一计算机服务器输出一测试码至该认证服务器；经由该计算机服务器取得该认证服务器的一测试回复；使用一第一公钥来判断该测试回复是否可靠；经由该计算机服务器取得一已签署固件；若该测试回复可靠，使用一第二公钥来判断该已签署固件是否可靠；以及若该已签署固件可靠，使用该已签署固件进行一固件更新操作。该认证服务器执行多个步骤如下：藉由一硬件安全模块使用一第一私钥处理该测试码以产生该测试回复；以及藉由该硬件安全模块使用一第二私钥处理一原始固件以产生该已签署固件，其中该第一私钥与该第一公钥是一对密钥，该第二私钥与该第二公钥是另一对密钥。

【技术实现步骤摘要】
固件更新方法与能够执行固件更新的装置
本专利技术是关于固件更新方法与能够执行固件更新的装置，尤其是关于能够判断更新环境与更新固件是否可靠的固件更新方法与能够执行固件更新的装置。
技术介绍
传统的固件更新方案各有侧重，有针对通信协议的研究，也有针对通信手段的研究，但是针对固件更新环境安全性的研究较少，这容易成为骇客攻击的突破口。
技术实现思路
本专利技术的一目的在于提供一种固件更新方法与能够执行固件更新的装置，以加强固件更新的安全性。本专利技术的固件更新方法的一实施例是由一固件更新系统来执行，该固件更新系统包含一装置、一计算机服务器与一认证服务器，该方法包含多个第一步骤由该装置来执行，以及包含多个第三步骤由该认证服务器来执行。该多个第一步骤包含：经由该计算机服务器输出一测试码至该认证服务器；经由该计算机服务器取得该认证服务器的一测试回复；使用一第一公钥来判断该测试回复是否可靠；经由该计算机服务器取得一已签署固件；于判断该测试回复可靠后，使用一第二公钥来判断该已签署固件是否可靠；以及于判断该已签署固件可靠后，使用该已签署固件进行一固件更新操作。该多个第三步骤包含：藉由一硬件安全模块使用一第一私钥处理该测试码以产生该测试回复；以及藉由该硬件安全模块使用一第二私钥处理一原始固件以产生该已签署固件，其中该第一私钥与该第一公钥是一对非对称密钥，该第二私钥与该第二公钥是另一对非对称密钥。本专利技术的固件更新方法的另一实施例是由一装置来执行，该固件更新方法包含：接收一固件更新通知；收到该固件更新通知后，传送一测试码至一计算机服务器，以接收对应该测试码的一测试回复，并使用一第一公钥来验证该测试回复是否为依据该测试码及一第一私钥所产生，该第一公钥与该第一私钥为一对非对称性密钥；从该计算机服务器接收一已签署固件；在收到该已签署固件后，使用一第二公钥来验证该已签署固件是否被一第二私钥签署，该第二公钥与该第二私钥为另一对非对称性密钥；以及使用该已签署固件执行一固件更新操作。本专利技术中能够执行固件更新的装置的一实施例用来执行多个步骤以执行固件更新，该多个步骤包含：判断是否收到一固件更新通知；在收到该固件更新通知后，传送一测试码至一计算机服务器，以接收对应该测试码的一测试回复，并使用一第一公钥来验证该测试回复；从该计算机服务器接收一已签署固件；在收到该已签署固件后，若已成功验证该测试回复，使用一第二公钥来验证该已签署固件；以及在成功验证该已签署固件后，使用该已签署固件执行一固件更新操作。以下结合附图和具体实施例对本专利技术进行详细描述，但不作为对本专利技术的限定。附图说明图1为本专利技术的固件更新系统的一实施例；图2为图1的装置所执行的步骤的一实施例；图3a为图1的计算机服务器所执行的步骤的一实施例；图3b为图1的计算机服务器所执行的步骤的另一实施例；图4a为图1的认证服务器所执行的步骤的一实施例；以及图4b为图1的认证服务器所执行的步骤的另一实施例。其中，附图标记：100固件更新系统110装置120计算机服务器130认证服务器140硬件安全模块S210～S250步骤S310～S330步骤S410～S430步骤具体实施方式下面结合附图对本专利技术的结构原理和工作原理作具体的描述：本专利技术的固件(firmware)更新系统、能够执行固件更新的装置与固件更新方法可先判断更新环境是否可靠，再判断更新固件是否可靠，从而确保固件更新的安全性。图1为本专利技术的固件更新系统的一实施例。图1的固件更新系统100包含一装置110、一计算机服务器120、一认证服务器130与一硬件安全模块(hardwaresecuritymodule,HSM)140。装置110例如是嵌入式网通装置、智能烟雾报警器、10G对称型/非对称型EPON(EthernetPassiveOpticalNetwork)家庭闸道、支持Z-Wave/蓝芽/WiFi6(IEEE802.11ax)的2.5G的GPON(GigabitPassiveOpticalNetwork)家庭闸道…，然本专利技术的实施不限于此。计算机服务器120、认证服务器130与硬件安全模块140的每一个单独而言为已知或自行开发的装置，其中硬件安全模块140视实施方式可包含于认证服务器130之中，或独立于认证服务器130之外。为加强安全性，计算机服务器120有访问认证服务器130的权限，但装置110没有；另外，认证服务器130与硬件安全模块140是设置于一隔离环境(例如：与互联网络隔离并与装置110及计算机服务器120实体隔离的环境)，从而能够实体接触计算机服务器120的一般使用者无法实体接触认证服务器130；上述加强安全性的作法是选择性的，非实施限制。请参阅图1。装置110经由计算机服务器120输出一测试码(例如：随机数)至认证服务器130；认证服务器130藉由硬件安全模块140使用一第一私钥处理该测试码(例如：依据该测试码产生数字签章)以得到一测试回复，并经由计算机服务器120输出该测试回复至装置110；装置110使用一第一公钥来判断该测试回复是否可靠(例如：判断该测试回复的内容是否为依据该测试码及该第一私钥所产生)，其中该第一私钥与该第一公钥为一对非对称性的密钥(例如：RSA(Rivest-Shamir-Adleman)密钥)；于判断该测试回复可靠后(亦即：目前的环境是可靠的)，装置110从计算机服务器120取得一已签署固件(例如：一原始固件的明文加上该原始固件的摘要(藉由杂凑函数所产生的摘要)的密文，该密文是藉由后述的第二私钥执行数字签署而产生；或该原始固件的全部数据的密文)，并使用一第二公钥来判断该已签署固件是否可靠，其中该已签署固件的一部分(例如：前述原始固件的摘要的密文)或全部(例如：前述原始固件的全部数据的密文)是硬件安全模块140使用一第二私钥进行加密的数据，该第二私钥与该第二公钥为另一对非对称性密钥(例如：RSA密钥)；装置110于判断该已签署固件可靠后，再使用该已签署固件执行一固件更新操作。值得注意的是，若该已签署固件包含压缩后的数据，为避免解压缩后的数据占用太多缓存(buffer)容量，该固件更新操作的一实施例选择性地包含：解压缩该已签署固件；以及在逐步解压缩该已签署固件的过程中，逐步将已解压缩的固件更新数据写入该装置的一存储器。于一实作范例中，装置110执行下列步骤如图2所示：步骤S210：判断是否收到一固件更新通知(例如：计算机服务器120的发出的升级广播封包)。于一实作范例中，步骤S210包含下列步骤的至少其中之一：于一启动引导(bootloader)期间判断是否收到该固件更新通知；以及周期性地或非周期性地判断是否收到该固件更新通知。值得注意的是，若于该启动引导期间收到该固件更新通知，装置110可选择性地于该启动引导期间执行该固件更新操作，而无需等待上层系统(例如：Linux核心)的载入，因此，即便上层系统的固件损坏，该固件更新本文档来自技高网...

【技术保护点】
1.一种固件更新方法，是由一固件更新系统来执行，该固件更新系统包含一装置、一计算机服务器与一认证服务器，其特征在于，该方法包含多个第一步骤由该装置来执行、以及多个第三步骤由该认证服务器来执行，该多个第一步骤包含：/n经由该计算机服务器输出一测试码至该认证服务器；/n经由该计算机服务器取得该认证服务器的一测试回复；/n使用一第一公钥来判断该测试回复是否可靠；/n经由该计算机服务器取得一已签署固件；/n于判断该测试回复可靠后，使用一第二公钥来判断该已签署固件是否可靠；以及/n于判断该已签署固件可靠后，使用该已签署固件进行一固件更新操作；以及/n该多个第三步骤包含：/n藉由一硬件安全模块使用一第一私钥处理该测试码以产生该测试回复；以及/n藉由该硬件安全模块使用一第二私钥处理一原始固件以产生该已签署固件，/n其中该第一私钥与该第一公钥是一对非对称密钥，该第二私钥与该第二公钥是另一对非对称密钥。/n

【技术特征摘要】
1.一种固件更新方法，是由一固件更新系统来执行，该固件更新系统包含一装置、一计算机服务器与一认证服务器，其特征在于，该方法包含多个第一步骤由该装置来执行、以及多个第三步骤由该认证服务器来执行，该多个第一步骤包含：
经由该计算机服务器输出一测试码至该认证服务器；
经由该计算机服务器取得该认证服务器的一测试回复；
使用一第一公钥来判断该测试回复是否可靠；
经由该计算机服务器取得一已签署固件；
于判断该测试回复可靠后，使用一第二公钥来判断该已签署固件是否可靠；以及
于判断该已签署固件可靠后，使用该已签署固件进行一固件更新操作；以及
该多个第三步骤包含：
藉由一硬件安全模块使用一第一私钥处理该测试码以产生该测试回复；以及
藉由该硬件安全模块使用一第二私钥处理一原始固件以产生该已签署固件，
其中该第一私钥与该第一公钥是一对非对称密钥，该第二私钥与该第二公钥是另一对非对称密钥。


2.如权利要求1所述的方法，其特征在于，该多个第一步骤包括：
判断是否收到一固件更新通知；
在收到该固件更新通知后，随机产生并传送该测试码至该计算机服务器，以接收对应该测试码的该测试回复，并使用该第一公钥来验证该测试回复；
在收到该已签署固件后，若已成功验证该测试回复，使用该第二公钥来验证该已签署固件；以及
在成功验证该已签署固件后，使用该已签署固件执行该固件更新操作。


3.如权利要求1或2所述的方法，其特征在于，该多个第三步骤包括：
从该计算机服务器接收该测试码，并藉由该硬件安全模块使用该第一私钥处理该测试码来产生该测试回复；
传送该测试回复给该计算机服务器；以及
藉由该硬件安全模块使用该第二私钥签署该原始固件以取得该已签署固件，再传送该已签署固件给该计算机服务器。


4.如权利要求3所述的方法，其特征在于，该多个第三步骤包括下列步骤的其中之一：
从该计算机服务器接收该原始固件或从该认证服务器的一储存装置取得该原始固件，压缩该原始固件以产生一压缩更新固件，并...

【专利技术属性】
技术研发人员：汤峥炎，顾剑波，
申请(专利权)人：中磊电子苏州有限公司，
类型：发明
国别省市：江苏;32