SSD固件数字签名的方法、装置、计算机设备及存储介质

技术领域

本发明涉及SSD固件数字签名技术领域，尤其是指SSD固件数字签名的方法、装置、计算机设备及存储介质。

背景技术

RSA加密算法一种非对称加密算法，它使用生成的一对密钥(公钥和私钥)进行加解密，公钥和私钥是一一对应的；随着科技的发展，人们对技术安全提出了越来越高的要求，而现有的固件数字签名版本迭代，操作复杂，成本高。

发明内容

本发明的目的在于克服现有技术的不足，提供SSD固件数字签名的方法、装置、计算机设备及存储介质。

为了解决上述技术问题，本发明采用如下技术方案：

SSD固件数字签名的方法，包括以下步骤：

加载命令行参数；

识别参数类型，以得到命令行参数类型集合；

对命令行参数类型集合进行依次解析，以得到解析后的命令行参数；

对解析后的命令行参数进行校验；

若校验通过，则对校验后的命令行参数进行计算，以得到数字签名；

对数字签名进行验证；

若验证通过，则生成带数字签名的固件。

其进一步技术方案为：所述命令行参数包括：输入文件路径及名称、输出文件路径及名称、RSA算法位数选择、哈希算法位数选择、签名算法公钥模数、签名算法私钥、签名算法公钥指数或是否将数字签名放置于固件头部验证信息中。

其进一步技术方案为：所述若校验通过，则对校验后的命令行参数进行计算，以得到数字签名步骤中，数字签名的计算包括以下步骤：

输入固件的原文；

对固件的原文进行哈希值计算，得到标准哈希值；

对标准哈希值进行私钥加密计算，以得到数字签名。

其进一步技术方案为：所述对数字签名进行验证步骤中，数字签名的验证包括以下步骤：

对数字签名进行公钥加密计算，得到解密哈希值；

将解密哈希值与标准哈希值比对；若一致，则验证成功。

SSD固件数字签名的装置，包括：加载单元，识别单元，解析单元，校验单元，计算单元，验证单元及生成单元；

所述加载单元，用于加载命令行参数；

所述识别单元，用于识别参数类型，以得到命令行参数类型集合；

所述解析单元，用于对命令行参数类型集合进行依次解析，以得到解析后的命令行参数；

所述校验单元，用于对解析后的命令行参数进行校验；

所述计算单元，用于对校验后的命令行参数进行计算，以得到数字签名；

所述验证单元，用于对数字签名进行验证；

所述生成单元，用于生成带数字签名的固件。

其进一步技术方案为：所述命令行参数包括：输入文件路径及名称、输出文件路径及名称、RSA算法位数选择、哈希算法位数选择、签名算法公钥模数、签名算法私钥、签名算法公钥指数或是否将数字签名放置于固件头部验证信息中。

其进一步技术方案为：所述计算单元包括：输入模块，第一计算模块及第二计算模块；

所述输入模块，用于输入固件的原文；

所述第一计算模块，用于对固件的原文进行哈希值计算，得到标准哈希值；

所述第二计算模块，用于对标准哈希值进行私钥加密计算，以得到数字签名。

其进一步技术方案为：所述验证单元包括：第三计算模块和比对模块；

所述第三计算模块，用于对数字签名进行公钥加密计算，得到解密哈希值；

所述比对模块，用于将解密哈希值与标准哈希值比对。

一种计算机设备，所述计算机设备包括存储器及处理器，所述存储器上存储有计算机程序，所述处理器执行所述计算机程序时实现如上述所述的SSD固件数字签名的方法。

一种存储介质，所述存储介质存储有计算机程序，所述计算机程序包括程序指令，所述程序指令当被处理器执行时可实现如上述所述的SSD固件数字签名的方法。

本发明与现有技术相比的有益效果是：可以生成SSD固件数字签名，且可以定制化，满足不同需求的生产场景，成本低廉，便于维护。

下面结合附图和具体实施例对本发明作进一步描述。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的SSD固件数字签名的方法的流程示意图一；

图2为本发明实施例提供的SSD固件数字签名的方法的流程示意图二；

图3为本发明实施例提供的SSD固件数字签名的方法的流程示意图三；

图4为本发明实施例提供的固件数字签名的示意图；

图5为本发明实施例提供的SSD固件数字签名的装置的示意性框图一；

图6为本发明实施例提供的SSD固件数字签名的装置的示意性框图二；

图7为本发明实施例提供的SSD固件数字签名的装置的示意性框图三；

图8为本发明实施例提供的计算机设备的示意性框图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

应当理解，当在本说明书和所附权利要求书中使用时，术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在，但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。

还应当理解，在此本发明说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本发明。如在本发明说明书和所附权利要求书中所使用的那样，除非上下文清楚地指明其它情况，否则单数形式的“一”、“一个”及“该”意在包括复数形式。

还应当进一步理解，在本发明说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合，并且包括这些组合。

请参阅图1到图8所示的具体实施例，其中，请参阅图1至图4所示，本发明公开了一种SSD固件数字签名的方法，包括以下步骤：

S1，加载命令行参数；

其中，在本实施例中，数字签名是由哈希算法和RSA算法组合算出来的一个具体特定长度的数字串，这个数字串目前主流可选值：1024、2048、3072、4096...单位是bit(位)，换算成字节数为128、256、384、512，位数越多的，安全等级越高，一般至少要1024以上。哈希算法也有多种长度，分别为SHA1、224、256、384、512，单位是bit(位)。

其中，在本实施例中，基于命令行开发一种软件，可满足不同的参数输入，将可能需要修改的参数做成命令行参数的形式，方便后续修改维护。该软件是基于QT开发的，QT是一款基于C++的跨平台集成开发环境，具有开发周期短，效率高的特点。

具体地，命令行参数包括以下8项：输入文件路径及名称、输出文件路径及名称、RSA算法位数选择、哈希算法位数选择、签名算法公钥模数、签名算法私钥、签名算法公钥指数或是否将数字签名放置于固件头部验证信息中。

S2，识别参数类型，以得到命令行参数类型集合；

其中，根据上述8项的内容来识别参数类型，以得到命令行参数类型集合。

S3，对命令行参数类型集合进行依次解析，以得到解析后的命令行参数；

S4，对解析后的命令行参数进行校验；

其中，根据参数不同的类型对解析后的命令行参数进行校验，校验该参数是否合法，比如：RSA算法需是1024、2048、3072或4096其中的一种，哈希算法需要是SHA1、224、256、384或512其中的一种。

S5，若校验通过，则对校验后的命令行参数进行计算，以得到数字签名；若校验未通过，则结束。

其中，通过调用RSA函数使用一组私钥(即签名算法私钥)对校验后的命令行参数进行计算，以得到数字签名。

其中，如图2所示，在S5步骤中，数字签名的计算包括以下步骤：

S51，输入固件的原文；

S52，对固件的原文进行哈希值计算，得到标准哈希值；

S53，对标准哈希值进行私钥加密计算，以得到数字签名。

其中，对输入的固件原文，首先检测哈希类型是否合法，哈希算法包括SHA1、224、256、384、512，如果合法则进行哈希值计算，计算得到标准哈希值，然后进行RSA计算，此步骤需要用私钥机密，得到数字签名，长度为256字节。

S6，对数字签名进行验证；

其中，通过使用公钥(即签名算法公钥模数或签名算法公钥指数)进行验签，确保公钥与私钥匹配，进行数字签名验证。

其中，如图3所示，在S6步骤中，数字签名的验证包括以下步骤：

S61，对数字签名进行公钥加密计算，得到解密哈希值；

S62，将解密哈希值与标准哈希值比对；若一致，则验证成功；若不一致，则验证失败，结束。

其中，进行签名的验证，用公钥解密进行RSA计算，得到解密哈希值，然后比较上面步骤中的标准哈希值与解密哈希值是否相等，如果相等，则表示校验成功，这组签名可以信任，由于存在加签与验证过程，充分证明了这组公钥和私钥是匹配的，可以用于固件的签名中。另外，在实际应用中，由于涉及的命令行参数较多，可以使用批处理脚本运行该软件，使用时只需双击批处理文件即可，省去了诸多人工配置填写信息的步骤，给用户的使用和开发者的维护带来了很大的便利。

S7，若验证通过，则生成带数字签名的固件。

其中，如图4所示，固件数字签名示意图，固件头部验证信息总长度为1024字节，其中从偏移量640开始，长度为256字节的为数字签名部分，本申请采用的是256位哈希算法，2048位的RSA算法，因此生成的数字签名为256字节。在S7步骤中，将固件的原文按图4的设定格式生成带数字签名的固件。

其中，通过将软件所需要的各个配置项信息通过命令行参数的形式提供出来，然后一一解析命令行参数，涉及到的命令行参数有多种，不同的参数代表着不同的含义，通过关键字来识别，通过预先定义好的接口规范来操作，详细说明如下：

-i<输入二进制文件>:指定输入的二进制文件，包括文件路径及文件名称，为必选项；

-o<输出二进制文件>：最终生成的二进制文件，包括文件路径及文件名称，为必选项；

-k<1024or 2048>RSA算法的位数，默认为2048，为可选项；

-hSHA算法的位数，默认为256，为可选项；

-m<公钥模数的二级制数据>提供默认路径下的一组256字节数据，为可选项；

-d<私钥的二级制数据>提供默认路径下的一组256字节数据，为可选项；

-e<公钥指数的二级制数据>提供默认路径下的一组256字节数据，为可选项；

-signInheader<是否将签名于放置头部信息中>默认1，为可选项；

其中，需要检查命令行参数的合法性，输入文件和输出文件路径及名称是必选项，同时需要验证两者的路径是否存在，输入文件是否存在，接下来验证RSA的位数和SHA的位数是否合法，然后验证公钥和私钥的三组二进制数据是否合法，最后有个定制化的选项，即签名的放置位置。

其中，上述软件运行批处理脚本，该脚本将需要配置的参数、需要用到的输入文件、输出文件、软件程序等放置在相应的位置，然后运行批处理文件即可生成带签名的固件，并且支持多文件同时加签，只要将需要签名的固件都放置在“fw_bin”文件夹下即可，软件会一键生成这些固件签名版本。

本发明可以生成SSD固件数字签名，且可以定制化，满足不同需求的生产场景，成本低廉，便于维护。

请参阅图5至图7所示，本发明还公开了一种SSD固件数字签名的装置，包括：加载单元10，识别单元20，解析单元30，校验单元40，计算单元50，验证单元60及生成单元70；

所述加载单元10，用于加载命令行参数；

所述识别单元20，用于识别参数类型，以得到命令行参数类型集合；

所述解析单元30，用于对命令行参数类型集合进行依次解析，以得到解析后的命令行参数；

所述校验单元40，用于对解析后的命令行参数进行校验；

所述计算单元50，用于对校验后的命令行参数进行计算，以得到数字签名；

所述验证单元60，用于对数字签名进行验证；

所述生成单元70，用于生成带数字签名的固件。

其中，所述命令行参数包括：输入文件路径及名称、输出文件路径及名称、RSA算法位数选择、哈希算法位数选择、签名算法公钥模数、签名算法私钥、签名算法公钥指数或是否将数字签名放置于固件头部验证信息中。

其中，如图6所示，所述计算单元50包括：输入模块51，第一计算模块52及第二计算模块53；

所述输入模块51，用于输入固件的原文；

所述第一计算模块52，用于对固件的原文进行哈希值计算，得到标准哈希值；

所述第二计算模块53，用于对标准哈希值进行私钥加密计算，以得到数字签名。

其中，如图7所示，所述验证单元60包括：第三计算模块61和比对模块62；

所述第三计算模块61，用于对数字签名进行公钥加密计算，得到解密哈希值；

所述比对模块62，用于将解密哈希值与标准哈希值比对。

需要说明的是，所属领域的技术人员可以清楚地了解到，上述SSD固件数字签名的装置和各单元的具体实现过程，可以参考前述方法实施例中的相应描述，为了描述的方便和简洁，在此不再赘述。

上述SSD固件数字签名的装置可以实现为一种计算机程序的形式，该计算机程序可以在如图8所示的计算机设备上运行。

请参阅图8，图8是本申请实施例提供的一种计算机设备的示意性框图；该计算机设备500可以是终端，也可以是服务器，其中，终端可以是智能手机、平板电脑、笔记本电脑、台式电脑、个人数字助理和穿戴式设备等具有通信功能的电子设备。服务器可以是独立的服务器，也可以是多个服务器组成的服务器集群。

参阅图8，该计算机设备500包括通过系统总线501连接的处理器502、存储器和网络接口505，其中，存储器可以包括非易失性存储介质503和内存储器504。

该非易失性存储介质503可存储操作系统5031和计算机程序5032。该计算机程序5032包括程序指令，该程序指令被执行时，可使得处理器502执行一种SSD固件数字签名的方法。

该处理器502用于提供计算和控制能力，以支撑整个计算机设备500的运行。

该内存储器504为非易失性存储介质503中的计算机程序5032的运行提供环境，该计算机程序5032被处理器502执行时，可使得处理器502执行一种SSD固件数字签名的方法。

该网络接口505用于与其它设备进行网络通信。本领域技术人员可以理解，图8中示出的结构，仅仅是与本申请方案相关的部分结构的框图，并不构成对本申请方案所应用于其上的计算机设备500的限定，具体的计算机设备500可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。

应当理解，在本申请实施例中，处理器502可以是中央处理单元(CentralProcessing Unit，CPU)，该处理器502还可以是其他通用处理器、数字信号处理器(DigitalSignal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现成可编程门阵列(Field-Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。其中，通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

本领域普通技术人员可以理解的是实现上述实施例的方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成。该计算机程序包括程序指令，计算机程序可存储于一存储介质中，该存储介质为计算机可读存储介质。该程序指令被该计算机系统中的至少一个处理器执行，以实现上述方法的实施例的流程步骤。

因此，本发明还提供一种存储介质。该存储介质可以为计算机可读存储介质。该存储介质存储有计算机程序，其中计算机程序包括程序指令，所述程序指令当被处理器执行时可实现上述的SSD固件数字签名的方法。

所述存储介质可以是U盘、移动硬盘、只读存储器(Read-Only Memory，ROM)、磁碟或者光盘等各种可以存储程序代码的计算机可读存储介质。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

在本发明所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的。例如，各个单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。

本发明实施例方法中的步骤可以根据实际需要进行顺序调整、合并和删减。本发明实施例装置中的单元可以根据实际需要进行合并、划分和删减。另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以是两个或两个以上单元集成在一个单元中。

该集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分，或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，终端，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。

上述实施例为本发明较佳的实现方案，除此之外，本发明还可以其它方式实现，在不脱离本技术方案构思的前提下任何显而易见的替换均在本发明的保护范围之内。