安全固件部署方法、系统及电子设备与流程

本申请涉及固件管理领域，尤其涉及一种安全固件部署方法，安全固件部署系统及电子设备。

背景技术：

1、手机、平板电脑等电子设备已经应用越来越普遍。而电子设备的功能也越来越强大，而手机支付、各种功能软件的账号登录、转账等等功能，通常需要进行安全管理，确保信息安全。现有中，一般都是先通过se(secure element，安全模块)或ise(integratedsecure element，集成安全模块)进行安全固件的部署，即，将安全固件加载至电子设备的内存，然后在后续再调用/运行安全固件进行安全管理。然而，如何确保该安全固件的完整性、真实性、防篡改性，是一个需要重视的问题，现有技术中，往往不能有效地确保该安全固件的完整性、真实性、以及不被防篡。特别的，对于ise(integrated secure element，集成安全模块)而言，由于ise是安全(tamper proof)的子系统(非独立ic(集成电路芯片))，数据存储和程序执行依赖部分ap(应用)环境，因此，ise系统还不同于传统se(secureelement，安全模块)子系统的设计，具有自己独立的执行环境和安全存储，如何确保ise系统的安全固件的防篡改等问题，更是需要解决的问题。

技术实现思路

1、本申请实施例提供一种安全固件部署方法，安全固件部署系统及电子设备，能够有效保障安全固件部署的安全性和防篡改性。

2、第一方面，本申请实施例提供一种安全固件部署方法，所述方法用于部署安全固件；所述方法包括：在确定需要进行安全固件部署时，将存储于第一存储器中的经过加密和签名的第一安全固件发送给安全模块，以通过所述安全模块进行验签和解密而得到第二安全固件；对所述第二安全固件进行加密而得到第三安全固件；以及将所述第三安全固件加载至第二存储器中，以完成安全固件的部署，其中，所述第二存储器为内部存储器，所述第一存储器为外部存储器。

3、第二方面，本申请实施例提供一种安全固件部署系统，所述安全固件部署系统包括传输控制模块、加密模块以及加载模块。所述传输控制模块用于在确定需要进行安全固件部署时，将存储于第一存储器中的经过加密和签名的第一安全固件发送给安全模块，以通过所述安全模块进行验签和解密而得到第二安全固件。所述加密模块用于对所述第二安全固件进行加密而得到第三安全固件。所述加载模块用于将所述第三安全固件加载至第二存储器中，以完成安全固件的部署，其中，所述第二存储器为内部存储器，所述第一存储器为外部存储器。

4、第三方面，本申请实施例提供一种电子设备，所述电子设备包括处理器以及存储器，所述存储器存储有程序，所述程序用于供处理器调用后执行安全固件部署方法，所述方法包括：在确定需要进行安全固件部署时，将存储于第一存储器中的经过加密和签名的第一安全固件发送给安全模块，以通过所述安全模块进行验签和解密而得到第二安全固件；对所述第二安全固件进行加密而得到第三安全固件；以及将所述第三安全固件加载至第二存储器中，以完成安全固件的部署，其中，所述第二存储器为内部存储器，所述第一存储器为外部存储器。

5、第四方面，本申请实施例提供一种计算机可读存储介质，所述计算机可读存储介质存储有程序，所述程序用于供计算机调用后执行安全固件部署方法，所述方法包括：在确定需要进行安全固件部署时，将存储于第一存储器中的经过加密和签名的第一安全固件发送给安全模块，以通过所述安全模块进行验签和解密而得到第二安全固件；对所述第二安全固件进行加密而得到第三安全固件；以及将所述第三安全固件加载至第二存储器中，以完成安全固件的部署，其中，所述第二存储器为内部存储器，所述第一存储器为外部存储器。

6、可以看出，在本申请实施例中，通过所述安全模块对第一安全固件进行验签和解密这双重验证而得到第二安全固件，提高了安全固件的安全性，另外，还进一步对所述第二安全固件进行加密而得到第三安全固件，从而加载在第二存储器中以在后续运行的安全固件是经过加密后的安全固件，能够有效确保加载在第二存储器中的安全固件不被篡改，保证了安全固件的完整性、安全性以及防篡改性。

技术特征：

1.一种安全固件部署方法，其特征在于，所述方法用于一电子设备中的安全固件部署；所述方法包括：

2.根据权利要求1所述的方法，其特征在于，所述方法还包括：

3.根据权利要求2所述的方法，其特征在于，在所述将存储于第一存储器中的经过加密和签名的第一安全固件发送给安全模块，以通过所述安全模块进行验签和解密而得到第二安全固件之前，所述方法还包括：

4.根据权利要求3所述的方法，其特征在于，所述方法还包括：

5.根据权利要求4所述的方法，其特征在于，在将第一安全固件的版本与存储至所述第一存储器的备份分区中的第三安全固件的版本进行比较后，所述方法还包括：

6.根据权利要求1-5任一项所述的方法，其特征在于，所述确定需要进行安全固件部署，包括：

7.一种安全固件部署系统，其特征在于，所述系统包括：

8.根据权利要求7所述的系统，其特征在于，所述系统还包括：

9.根据权利要求8所述的系统，其特征在于，还包括判断模块，用于判断当前进行的安全固件部署是否为首次部署；

10.根据权利要求9所述的系统，其特征在于，所述系统还包括版本比较模块，所述版本比较模块用于在所述判断模块判断出当前进行的安全固件部署为非首次部署时，获取存储于第一存储器中的经过加密和签名的第一安全固件的版本；以及将第一安全固件的版本与存储至所述第一存储器的备份分区中的第三安全固件的版本进行比较；

11.根据权利要求10所述的系统，其特征在于，所述传输控制模块还用于在所述版本比较模块比较出所述第一安全固件的版本高于第三安全固件的版本时，将存储于第一存储器中的经过加密和签名的第一安全固件发送给安全模块，以通过所述安全模块进行验签和解密而得到第二安全固件；所述加密模块相应地对所述第二安全固件进行加密而得到第三安全固件；所述加载模块相应地将所述第三安全固件加载至第二存储器中，以完成安全固件的部署；以及所述备份模块相应地将当前得到的第三安全固件存储至所述第一存储器的备份分区中，并替换所述第一存储器的备份分区中之前存储的第三安全固件。

12.根据权利要求7-11任一项所述的系统，其特征在于，所述安全固件部署系统应用于一电子设备中，所述系统还包括确定模块，所述确定模块用于在所述电子设备开机时，确定需要进行安全固件部署。

13.一种电子设备，其特征在于，所述电子设备包括处理器以及存储器，所述存储器存储有程序，所述程序用于供处理器调用后执行如权利要求1-6任一项所述的方法。

14.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有程序，所述程序用于供处理器调用后执行如权利要求1-6任一项所述的方法。

技术总结
本申请提供了一种安全固件部署方法，所述方法用于部署安全固件；所述方法包括：在确定需要进行安全固件部署时，将存储于第一存储器中的经过加密和签名的第一安全固件发送给安全模块，以通过所述安全模块进行验签和解密而得到第二安全固件；对所述第二安全固件进行加密而得到第三安全固件；以及将所述第三安全固件加载至第二存储器中，以完成安全固件的部署，其中，所述第二存储器为内部存储器，所述第一存储器为外部存储器。本申请还提供一种安全固件部署系统以及电子设备。本申请中，由于加载在第二存储器中以在后续运行的安全固件是经过加密后的安全固件，能够有效确保加载在第二存储器中的安全固件不被篡改，保证了安全性以及防篡改性。

技术研发人员：郝敏,廖佳伟,夏博
受保护的技术使用者：北京紫光展锐通信技术有限公司
技术研发日：
技术公布日：2024/1/16