[发明专利]一种软件安全升级的方法、通信设备和通信系统

说明书

技术领域

本发明涉及通信技术领域，具体涉及一种软件安全升级的方法、通信设备和通信系统。

背景技术

随着基站部署向人流涌动的地方发展，基站特别是小型基站受到了越来越多的安全威胁，为应对这种针对设备本身软硬件安全的威胁，许多设备都要求设计上具备一定的可信环境（Trusted Enviroment,TrE）模块，用于校验设备及其组件的合法性和有无被攻击的异常发生，TrE模块可以提供值得信赖的环境，保证敏感职能的可信执行和保障存储的敏感数据完整性、机密性。

可信平台模块（Trusted Platform Module，TPM）是TrE的核心模块，TPM通常以系统级芯片（System on Chip，SoC）的形式将几个密码功能模块封装在一个芯片里，外部未经授权无法访问。芯片在出厂时预先植入一对签名密钥对（Endorsement Key，EK），且EK随后被销毁并不保存在其它设备中。TPM的构成如图1所示，TPM包括持久性存储单元，EK以及由EK推演出的万能密钥（Master Key，MK）存储在其中，以及易失性存储单元，用来存储计算的中间数据。此外，还有随机数生成器、签名密钥生成器、散列函数、加解密/签名计算单元等。

3GPP国际标准中对家庭基站H（e）NB的可信环境功能做了如下要求，要求小基站从硬件上支持可信环境。当H（e）NB处于开机或者重启状态时，TrE必须由不可移除的、基于硬件的信任根构成的一个安全启动的过程建立。信任根必须物理上绑定到H（e）NB。安全启动过程应包括执行的TrE信任根的完整性检查。只有成功校验的组件才能被加载或启动。TrE已成功启动后，须继续校验H（e）NB中可信运行所需要的其他组件，如操作系统和程序。

目前对基站软件的升级，在基站和服务器的基础上，通常借助第三方设备对基站本身的状态进行检测，以此保证软件的准确、安全升级。在对此方法的研究和实践过程中，本发明的发明人发现，这种借助第三方设备进行升级的方法不仅软件升级流程复杂，而且组网的结构也较复杂。

发明内容

本发明实施例提供一种软件安全升级的方法、通信设备和通信系统。以期在可信环境下更加快捷地实现通信设备中软件的安全升级。

为了解决上述技术问题，本发明实施例提供以下技术方案实现。

一种软件安全升级的方法，所述方法包括以下步骤：

待升级设备从服务器获取升级包和所述升级包的签名；

获取所述待升级设备自身当前的第一特征值，并对获得的第一特征值进行签名得到第一状态值签名，其中，所述第一特征值包括用于校验升级包签名的第一升级包签名公钥；

对获得的第一状态值签名进行校验，若校验不通过，则停止升级，若校验通过，则利用第一升级包签名公钥对获取的升级包的签名进行校验，若对升级包的签名校验通过，则待升级设备运行所获取的升级包。

本发明实施例提供另一种软件安全升级的方法，所述方法包括以下步骤：

待升级设备从服务器获取升级包和所述升级包的签名；

获取待升级设备自身当前的第二特征值和用于校验升级包签名的第二升级包签名公钥，并对获得的第二特征值和第二升级包签名公钥分别进行签名，分别得到第二状态值签名和第二升级包签名公钥签名；

分别对获得的第二状态值签名和第二升级包签名公钥签名进行校验，若其中至少一个校验不通过，则停止升级，若校验都通过，则利用获得的第二升级包签名公钥对获取的升级包的签名进行校验，若对升级包的签名校验通过，则待升级设备运行所获取的升级包。

本发明实施例还提供一种通信设备，所述设备包括：

第一获取模块，用于从服务器获取升级包和所述升级包的签名；

第二获取模块，用于获取设备自身当前的第一特征值，其中，第一特征值包括用于校验升级包签名的第一升级包签名公钥；

签名模块，用于对获得的第一特征值进行签名得到第一状态值签名；

校验模块，用于对获得的第一状态值签名进行校验，若校验不通过，则不启动运行模块，若校验通过，则利用第一升级包签名公钥对获取的升级包的签名进行校验，若对升级包的签名校验通过，则启动运行模块；

运行模块，用于运行所获取的升级包。

本发明实施例还提供一种通信系统，所述系统包括：

服务器，用于根据软件升级请求将升级包和所述升级包的签名发送给待升级设备；