安全固件部署方法技术

本申请提供了一种安全固件部署方法，所述方法用于部署安全固件；所述方法包括：在确定需要进行安全固件部署时，将存储于第一存储器中的经过加密和签名的第一安全固件发送给安全模块，以通过所述安全模块进行验签和解密而得到第二安全固件；对所述第二安全固件进行加密而得到第三安全固件；以及将所述第三安全固件加载至第二存储器中，以完成安全固件的部署，其中，所述第二存储器为内部存储器，所述第一存储器为外部存储器

【技术实现步骤摘要】
安全固件部署方法、系统及电子设备


[0001]本申请涉及固件管理领域，尤其涉及一种安全固件部署方法，安全固件部署系统及电子设备
。

技术介绍

[0002]手机
、
平板电脑等电子设备已经应用越来越普遍
。
而电子设备的功能也越来越强大，而手机支付
、
各种功能软件的账号登录
、
转账等等功能，通常需要进行安全管理，确保信息安全
。
现有中，一般都是先通过
SE(Secure Element
，安全模块
)
或
ISE(Integrated Secure Element
，集成安全模块
)
进行安全固件的部署，即，将安全固件加载至电子设备的内存，然后在后续再调用
/
运行安全固件进行安全管理
。
然而，如何确保该安全固件的完整性
、
真实性
、
防篡改性，是一个需要重视的问题，现有技术中，往往不能有效地确保该安全固件的完整性
、
真实性
、
以及不被防篡
。
特别的，对于
ISE(Integrated Secure Element
，集成安全模块
)
而言，由于
ISE
是安全
(tamper proof)
的子系统
(
非独立
IC(
集成电路芯片
))<br/>，数据存储和程序执行依赖部分
AP(
应用
)
环境，因此，
ISE
系统还不同于传统
SE(Secure Element
，安全模块
)
子系统的设计，具有自己独立的执行环境和安全存储，如何确保
ISE
系统的安全固件的防篡改等问题，更是需要解决的问题
。

技术实现思路

[0003]本申请实施例提供一种安全固件部署方法，安全固件部署系统及电子设备，能够有效保障安全固件部署的安全性和防篡改性
。
[0004]第一方面，本申请实施例提供一种安全固件部署方法，所述方法用于部署安全固件；所述方法包括：在确定需要进行安全固件部署时，将存储于第一存储器中的经过加密和签名的第一安全固件发送给安全模块，以通过所述安全模块进行验签和解密而得到第二安全固件；对所述第二安全固件进行加密而得到第三安全固件；以及将所述第三安全固件加载至第二存储器中，以完成安全固件的部署，其中，所述第二存储器为内部存储器，所述第一存储器为外部存储器
。
[0005]第二方面，本申请实施例提供一种安全固件部署系统，所述安全固件部署系统包括传输控制模块
、
加密模块以及加载模块
。
所述传输控制模块用于在确定需要进行安全固件部署时，将存储于第一存储器中的经过加密和签名的第一安全固件发送给安全模块，以通过所述安全模块进行验签和解密而得到第二安全固件
。
所述加密模块用于对所述第二安全固件进行加密而得到第三安全固件
。
所述加载模块用于将所述第三安全固件加载至第二存储器中，以完成安全固件的部署，其中，所述第二存储器为内部存储器，所述第一存储器为外部存储器
。
[0006]第三方面，本申请实施例提供一种电子设备，所述电子设备包括处理器以及存储器，所述存储器存储有程序，所述程序用于供处理器调用后执行安全固件部署方法，所述方法包括：在确定需要进行安全固件部署时，将存储于第一存储器中的经过加密和签名的第
一安全固件发送给安全模块，以通过所述安全模块进行验签和解密而得到第二安全固件；对所述第二安全固件进行加密而得到第三安全固件；以及将所述第三安全固件加载至第二存储器中，以完成安全固件的部署，其中，所述第二存储器为内部存储器，所述第一存储器为外部存储器
。
[0007]第四方面，本申请实施例提供一种计算机可读存储介质，所述计算机可读存储介质存储有程序，所述程序用于供计算机调用后执行安全固件部署方法，所述方法包括：在确定需要进行安全固件部署时，将存储于第一存储器中的经过加密和签名的第一安全固件发送给安全模块，以通过所述安全模块进行验签和解密而得到第二安全固件；对所述第二安全固件进行加密而得到第三安全固件；以及将所述第三安全固件加载至第二存储器中，以完成安全固件的部署，其中，所述第二存储器为内部存储器，所述第一存储器为外部存储器
。
[0008]可以看出，在本申请实施例中，通过所述安全模块对第一安全固件进行验签和解密这双重验证而得到第二安全固件，提高了安全固件的安全性，另外，还进一步对所述第二安全固件进行加密而得到第三安全固件，从而加载在第二存储器中以在后续运行的安全固件是经过加密后的安全固件，能够有效确保加载在第二存储器中的安全固件不被篡改，保证了安全固件的完整性
、
安全性以及防篡改性
。
附图说明
[0009]为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图
。
[0010]图1为本申请一实施例中的安全固件部署方法的流程图
[0011]图2为本申请另一实施例中的安全固件部署方法的流程图
[0012]图3为安全固件部署方法所应用于的电子设备在一实施例中的部分内部模块示意图
。
[0013]图4为本申请另一实施例中的安全固件部署方法中的第一部署操作包括的步骤的流程示意图
。
[0014]图5为本申请另一实施例中的安全固件部署方法中的第二部署操作包括的步骤的流程示意图
。
[0015]图6为本申请一实施例中的安全固件部署系统的模块示意图
。
[0016]图7为本申请一实施例中的电子设备的更具体的部分内部模块示意图
。
[0017]图8为本申请另一实施例中的电子设备的更具体的部分内部模块示意图
。
[0018]图9为本申请一些实施例中的电子设备的另一部分模块示意图
。
具体实施方式
[0019]本申请的实施方式部分使用的术语仅用于对本申请的具体实施例进行解释，而非旨在限定本申请
。
本申请的说明书和权利要求书及所述附图中的术语“第一”、“第二”、“第三”和“第四”等是用于区别不同对象，而不是用于描述特定顺序
。
此外，术语“包括”和“具
有”以及它们任何变形，意图在于覆盖不排他的包含
。
表达形式“A/B”包括“A
和
B”以及“A
或
B”这两种情况本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种安全固件部署方法，其特征在于，所述方法用于一电子设备中的安全固件部署；所述方法包括：在确定需要进行安全固件部署时，将存储于第一存储器中的经过加密和签名的第一安全固件发送给安全模块，以通过所述安全模块进行验签和解密而得到第二安全固件；对所述第二安全固件进行加密而得到第三安全固件；以及将所述第三安全固件加载至第二存储器中，以完成安全固件的部署，其中，所述第二存储器为内部存储器，所述第一存储器为外部存储器
。2.
根据权利要求1所述的方法，其特征在于，所述方法还包括：将所述第三安全固件存储至所述第一存储器的备份分区中
。3.
根据权利要求2所述的方法，其特征在于，在所述将存储于第一存储器中的经过加密和签名的第一安全固件发送给安全模块，以通过所述安全模块进行验签和解密而得到第二安全固件之前，所述方法还包括：判断当前进行的安全固件部署是否为首次部署；所述将存储于第一存储器中的经过加密和签名的第一安全固件发送给安全模块，以通过所述安全模块进行验签和解密而得到第二安全固件，包括：在当前进行的安全固件部署为首次部署时，则将存储于第一存储器中的经过加密和签名的第一安全固件发送给安全模块，以通过所述安全模块进行验签和解密而得到第二安全固件
。4.
根据权利要求3所述的方法，其特征在于，所述方法还包括：在当前进行的安全固件部署为非首次部署时，获取存储于第一存储器中的经过加密和签名的第一安全固件的版本；将第一安全固件的版本与存储至所述第一存储器的备份分区中的第三安全固件的版本进行比较；在所述第一安全固件的版本等于或者低于第三安全固件的版本时，直接将所述第一存储器的备份分区中的第三安全固件加载至所述第二存储器中，以完成所述安全固件的部署
。5.
根据权利要求4所述的方法，其特征在于，在将第一安全固件的版本与存储至所述第一存储器的备份分区中的第三安全固件的版本进行比较后，所述方法还包括：在所述第一安全固件的版本高于第三安全固件的版本时，将存储于第一存储器中的经过加密和签名的第一安全固件发送给安全模块，以通过所述安全模块进行验签和解密而得到第二安全固件；对所述第二安全固件进行加密而得到第三安全固件；将所述第三安全固件加载至第二存储器中，以完成安全固件的部署；以及将当前得到的第三安全固件存储至所述第一存储器的备份分区中，并替换所述第一存储器的备份分区中之前存储的第三安全固件
。6.
根据权利要求1‑5任一项所述的方法，其特征在于，所述确定需要进行安全固件部署，包括：在所述电子设备开机时，确定需要进行安全固件部署
。7.
一种安全固件部署系统，其特征在于，所述系统包括：传输控制模块，用于在确定需要进行安全固件部署时，将存储于第一存储器中的经过
加密和签名的第一安全固件发送给安全模块...

【专利技术属性】
技术研发人员：郝敏，廖佳伟，夏博，
申请(专利权)人：北京紫光展锐通信技术有限公司，
类型：发明
国别省市：