本发明涉及数据存储,更具体地说是基于ssd的固件安全启动方法、装置、设备及存储介质。
背景技术:
1、现有的ssd安全启动方案一般采用单级固件签名验证,一旦密钥被获取系统即会被破解,同时破解后没有办法进行恢复。
技术实现思路
1、本发明的目的在于克服现有技术的不足,提供基于ssd的固件安全启动方法、装置、设备及存储介质,旨在提升ssd应用场景下固件验证的安全等级,减少被破解的风险。
2、为实现上述目的,本发明采用以下技术方案:
3、第一方面,基于ssd的固件安全启动方法,包括:
4、验证一级密钥,所述一级密钥包括一级公钥和一级私钥;
5、若一级密钥验证成功,则验证二级密钥,所述二级密钥包括二级公钥和二级私钥;
6、若二级密钥验证成功,则判断二级公钥是否已经吊销;
7、若没有吊销,则生成固件摘要;
8、验证固件签名;
9、若固件签名验证成功,则执行固件启动操作。
10、其进一步技术方案为:所述验证一级密钥,所述一级密钥包括一级公钥和一级私钥,包括:
11、对一级公钥进行hash处理;
12、若hash处理得到的hash值与存储器中保存的hash值相同,则一级密钥验证成功。
13、其进一步技术方案为:所述若一级密钥验证成功,则验证二级密钥,所述二级密钥包括二级公钥和二级私钥,包括:
14、使用一级公钥对二级公钥证书的签名进行验签;
15、若验签成功,则判定二级密钥验证成功。
16、其进一步技术方案为:所述验证固件签名,包括:
17、使用二级公钥对固件签名进行解密;
18、将解密出来的摘要与生成的固件摘要相同,则固件签名验证成功。
19、第二方面,基于ssd的固件安全启动装置,包括第一验证单元、第二验证单元、判断单元、生成单元、第三验证单元以及执行单元;
20、所述第一验证单元,用于验证一级密钥,所述一级密钥包括一级公钥和一级私钥;
21、所述第二验证单元,用于若一级密钥验证成功,则验证二级密钥,所述二级密钥包括二级公钥和二级私钥;
22、所述判断单元,用于若二级密钥验证成功,则判断二级公钥是否已经吊销;
23、所述生成单元,用于若没有吊销,则生成固件摘要;
24、所述第三验证单元,用于验证固件签名;
25、所述执行单元,用于若固件签名验证成功,则执行固件启动操作。
26、其进一步技术方案为:所述第一验证单元包括hash处理模块以及第一对比模块;
27、所述hash处理模块,用于对一级公钥进行hash处理;
28、所述第一对比模块,用于若hash处理得到的hash值与存储器中保存的hash值相同,则一级密钥验证成功。
29、其进一步技术方案为:所述第二验证单元包括第一验签模块以及判定模块;
30、所述第一验签模块,用于使用一级公钥对二级公钥证书的签名进行验签;
31、所述判定模块,用于若验签成功,则判定二级密钥验证成功。
32、其进一步技术方案为:所述第三验证单元包括解密模块以及第二对比模块;
33、所述解密模块,用于使用二级公钥对固件签名进行解密;
34、所述第二对比模块,用于将解密出来的摘要与生成的固件摘要相同,则固件签名验证成功。
35、第三方面,一种计算机设备,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上述的基于ssd的固件安全启动方法。
36、第四方面,一种计算机可读存储介质,所述存储介质存储有计算机程序,所述计算机程序包括程序指令,所述程序指令被处理器执行时,使得所述处理器执行如上述的基于ssd的固件安全启动方法。
37、本发明与现有技术相比的有益效果是:本发明通过验证一级密钥,一级密钥包括一级公钥和一级私钥;若一级密钥验证成功,则验证二级密钥,二级密钥包括二级公钥和二级私钥;若二级密钥验证成功,则判断二级公钥是否已经吊销;若没有吊销,则生成固件摘要;验证固件签名;若固件签名验证成功,则执行固件启动操作。基于对称和非对称加密技术融合、多级加密验证的固件安全性验证和启动方法,从而大幅减小了被破解的概率,同时引入密钥吊销机制,在密钥被破解的情况下,通过及时的更新来解除风险。
38、上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明技术手段,可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征及优点能够更明显易懂,以下特举较佳实施例,详细说明如下。
1.基于ssd的固件安全启动方法,其特征在于,包括:
2.根据权利要求1所述的基于ssd的固件安全启动方法,其特征在于,所述验证一级密钥,所述一级密钥包括一级公钥和一级私钥,包括:
3.根据权利要求1所述的基于ssd的固件安全启动方法,其特征在于,所述若一级密钥验证成功,则验证二级密钥,所述二级密钥包括二级公钥和二级私钥,包括:
4.根据权利要求1所述的基于ssd的固件安全启动方法,其特征在于,所述验证固件签名,包括:
5.基于ssd的固件安全启动装置,其特征在于,包括第一验证单元、第二验证单元、判断单元、生成单元、第三验证单元以及执行单元;
6.根据权利要求5所述的基于ssd的固件安全启动装置,其特征在于,所述第一验证单元包括hash处理模块以及第一对比模块;
7.根据权利要求5所述的基于ssd的固件安全启动装置,其特征在于,所述第二验证单元包括第一验签模块以及判定模块;
8.根据权利要求5所述的基于ssd的固件安全启动装置,其特征在于,所述第三验证单元包括解密模块以及第二对比模块;
9.一种计算机设备,其特征在于,包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如权利要求1~4中任意一项所述的基于ssd的固件安全启动方法。
10.一种计算机可读存储介质,其特征在于,所述存储介质存储有计算机程序,所述计算机程序包括程序指令,所述程序指令被处理器执行时,使得所述处理器执行如权利要求1~4任意一项所述的基于ssd的固件安全启动方法。