TWI736074B

TWI736074B - 周邊裝置及其驗證更新方法

Info

Publication number: TWI736074B
Application number: TW108147110A
Authority: TW
Inventors: 吳昊澄; 紀仕秦; 林能賢; 陳正昌
Original assignee: 瑞昱半導體股份有限公司
Priority date: 2019-12-20
Filing date: 2019-12-20
Publication date: 2021-08-11
Also published as: TW202125217A

Abstract

一種周邊裝置適於執行一驗證更新方法，該驗證更新方法包括接收一數據串及一公開金鑰、依據一預設參數及該數據串獲得多個重組數據塊、依據該公開金鑰驗證該些數據塊獲得一串驗證結果、依據該串驗證結果及該些重組數據塊選擇性地輸出一更新指令及一更新碼、以及依據該更新指令將該更新碼更新至該韌體。因此，該周邊裝置具先驗證再更新的能力。

Description

周邊裝置及其驗證更新方法

本發明是關於周邊裝置及其驗證更新方法。

周邊裝置適於連接主裝置，主裝置包括個人電腦、行動裝置、遊戲機等，而周邊裝置包括影音擴充基座(DisplayPort Hub)、通用序列匯流排集線器(USB Hub)、掃描器、及印表機等輸出/輸入裝置或儲存裝置，舉例來說影音擴充基座能夠連接個人電腦，並轉換影像訊號輸出至不同規格的螢幕。一般而言，周邊裝置的處理晶片有韌體更新需求時，可透過USB或是其他連接通訊介面(RS-232、RS-485序列線等)連接主裝置進行更新。

有鑑於當前駭客猖獗，若廠商發布之韌體更新檔遭到惡意篡改且周邊裝置在收到檔案後沒有相應的驗證機制，將使遭篡改之韌體被更新至周邊裝置的晶片中，造成無法預期的錯誤。

廠商應用許多數據校驗機制(Checksum)以保障韌體更新檔的完整性及正確性，包括奇偶校驗或循環冗於校驗(CRC, Cyclic redundancy check)等方式，然而這些校驗機制仍有較大的風險被破解。

鑒於上述，本發明提出具驗證更新方法的周邊裝置，依據一些實施例，周邊裝置包含一連接器、一待更新晶片、以及一控制電路。該連接器具有一通訊介面。該控制電路用以透過該連接器接收一數據串及一公開金鑰、依據一預設參數及該數據串，獲得多個重組數據塊、依據該公開金鑰，驗證該些重組數據塊，獲得一串驗證結果、及依據該串驗證結果及該些重組數據塊，選擇性地輸出一更新指令及一更新碼。該待更新晶片具有一韌體，該待更新晶片依據該更新指令，將該更新碼更新至該韌體。

依據一些實施例，該些重組數據塊個別包括一原始數據塊、一塊位址、及一簽章，該控制電路透過該公開金鑰驗證該簽章，以獲得該串驗證結果。

依據一些實施例，該控制電路依據該些原始數據塊及對應的該塊位址，獲得該更新碼。

依據一些實施例，該控制電路依據該串驗證結果，選擇性地輸出該更新指令及該更新碼，包括當該串驗證結果為正確，輸出該更新指令及該更新碼、以及當該串驗證結果為不正確，不輸出該更新指令及該更新碼。

依據一些實施例，其中該控制電路接收該數據串，包括接收多個重組數據塊，該些重組數據塊個別包括一原始數據塊、一塊位址、及一簽章，該些原始數據塊對應該些塊位址，該些重組數據塊的接收次序與該對應的該塊位址不相關。

本發明提出一種驗證更新方法，適於一周邊裝置，該周邊裝置包括一待更新晶片，該待更新晶片具有一韌體，依據一些實施例，該驗證更新方法包括接收一數據串及一公開金鑰、依據一預設參數及該數據串，獲得多個重組數據塊、依據該公開金鑰，驗證該些重組數據塊，獲得一串驗證結果、依據該串驗證結果及該些重組數據塊，選擇性地輸出一更新指令及一更新碼、以及依據該更新指令將該更新碼更新至該韌體。

依據一些實施例，該些重組數據塊個別包括一原始數據塊、一塊位址、及一簽章，該控制電路透過該公開金鑰驗證該簽章，並透過一雜湊函數驗證該數據段，以獲得該串驗證結果。

依據一些實施例，依據該串驗證結果，選擇性地輸出一更新指令及一更新碼包括當該串驗證結果為正確，輸出該更新指令及該更新碼，以及當該串驗證結果為不正確，不輸出該更新指令及該更新碼。

依據一些實施例，接收該數據串之步驟，包括接收多個重組數據塊，該些重組數據塊個別包括一原始數據塊、一塊位址、及一簽章，該些原始數據塊對應該些塊位址，該些重組數據塊的接收次序與該對應的該塊位址不相關。

綜上所述，依據一些實施例，具驗證更新方法之周邊裝置，有驗證數據再執行更新之功效。

首先，請參考圖1，圖1繪示依據一些實施例，周邊裝置及其應用之電路方塊示意圖。周邊裝置10包含一連接器12、一待更新晶片16、以及一控制電路14。該連接器12具有一通訊介面，如RS-232、RS-485或通用序列匯流排(Universal Serial Bus, USB)，但本案不限於此。該控制電路14用以透過該連接器12接收一數據串及一公開金鑰、依據一預設參數及該數據串，獲得多個重組數據塊、依據該公開金鑰，驗證該些重組數據塊，獲得一串驗證結果、及依據該串驗證結果及該些重組數據塊，選擇性地輸出一更新指令及一更新碼。該待更新晶片16具有一韌體，該待更新晶片16依據該更新指令，將該更新碼更新至該韌體。

前述周邊裝置10可以是但不限於影音裝置(Audio、Video)、USB通訊控制裝置(Communications and CDC Control，如網路卡、數據機、串列埠)、人機介面裝置(Human Interface Device，如鍵盤及滑鼠)、物理介面裝置(Physical Interface Device, 如控制桿)、靜止圖像捕捉裝置(Image，如影像掃描器)、列印裝置(Printer，印表機)、大容量存取裝置(Mass Storage，如隨身碟、移動硬碟、記憶卡、數位相機)、集線器(USB Hub)、通訊裝置(CDC-Date，如數據機及傳真)、智慧型卡裝置(Smart Card，如讀卡機)、影像裝置(Video，如網路攝影機)、或無線傳輸裝置(Wireless Controller，如藍牙)等。

周邊裝置10適於透過一連接器12連接一主裝置(Host) 90，該連接器12之連接介面可以是但不限於USB、RS-232及RS-485或其他通訊介面，其中主裝置90可以是但不限於個人電腦、行動裝置、遊戲機等。圖1應用例中，該周邊裝置10具影音處理輸出功能，待更新晶片16為一影音擴充晶片(DisplayPort Hub)，該待更新晶片16包括一韌體及三個影音接頭，該些影音接頭分別是DP(DisplayPort) 20、HDMI 26以及VGA 28。在此實施例中，待更新晶片(影音擴充晶片)16用以將來自連接器12的影音訊號轉換為三個不同影音格式：VGA, HDMI及DP，其中DP 20連接一螢幕。圖1應用例中，主裝置90為一個人電腦，該主裝置(個人電腦)90透過連接器12連接控制電路14，並輸出一數據串及一公開金鑰，該控制電路14接收該數據串及該公開金鑰。其中周邊裝置10以內部整合電路(I2C, Inter-Integrated Circuit)作為控制電路14與待更新晶片(影音擴充晶片)16之通訊匯流排。

請參閱圖1，主裝置(個人電腦)90透過該連接器12輸出一數據串50及一公開金鑰(Public Key)。依據一些實施例，該數據串50為主裝置(個人電腦)90經由網路94從周邊裝置10的原廠伺服器92下載，用以更新其待更新晶片16之韌體(Firmware)的更新檔。其中該數據串50之內容，請同時參閱圖1及圖5應用例，圖5繪示依據一些實施例，原始數據52與數據串50之示意圖。原始數據52為預計寫入待更新晶片16之韌體的原始更新碼(或簡稱更新碼)，數據串50則為原廠伺服器92經過防篡改處理後之更新包。

伺服器92依據一第一參數將原始數據52切分為多個原始數據塊，該原始數據52為原廠製作完成的更新碼，該更新碼對應該周邊裝置10的該待更新晶片16，該第一參數例如但不限於64K Bytes。在圖5的實施例中，原始數據52被切分為五個原始數據塊OB00, OB01, OB02, OB03, OB04，其中每一原始數據塊的大小即為前述第一參數(64K Bytes)，接著，伺服器92在每一該原始數據塊OB00, OB01, OB02, OB03, OB04之前、後各別添加一對應的塊位址AD00, AD01, AD02, AD03, AD04及一簽章S00, S01, S02, S03, S04，以形成多個重組數據塊RB，該些塊位址AD00- 04對應該些原始數據塊OB00- 04在該更新碼（原始數據52）的位置。接著，伺服器92以隨機方式重新排列該些重組數據塊RB，以形成數據串50。從圖5可以看出，數據串50包括五個重組數據塊RB00, RB01, RB02, RB03, RB04，由於伺服器92以隨機方式重新排列，因此，重組數據塊RB00- RB04之排列順序相異於原始數據52的原始數據塊OB00- OB04的排列順序。在一些實施例中，該塊位址AD00- AD04具有一第一尺寸及該簽章S00- S04具有一第二尺寸，因此，每一重組數據塊RB00- RB04之的大小即為單一原始數據塊OB00- OB04的大小(第一參數)、單一塊位址AD00- AD04大小(第一尺寸)、及單一簽章S00- S04大小(第二尺寸)的總和，此單一重組數據塊RB00- RB04之大小稱為一預設參數。因此，周邊裝置10將透過連接器12依序接收重組數據塊RB00、重組數據塊RB01、重組數據塊RB02、重組數據塊RB03及重組數據塊RB04等五個重組數據塊，其中圖5為本發明之一實施例，原始數據塊OB00- OB04的數量並不以此為限。

前述實施例五個重組數據塊RB00- RB04個別包括一原始數據塊、一塊位址及一簽章，其中該簽章為伺服器92使用一雜湊函數將該原始數據塊轉成一訊息摘要，再透過伺服器92的私鑰(Private Key)對該訊息摘要加密，得到該簽章，圖5應用例中，每一重組數據塊 RB00- RB04的大小為該預設參數，原始數據塊OB00- OB04的大小為第一參數，該預設參數大於該第一參數。

前述數據串50是伺服器92依據私鑰、第一參數、雜湊函數、原始更新檔(即原始數據52)及前述步驟製作而成的。在一些實施例中，前述數據串50亦可由主裝置(個人電腦)90依前述步驟完成，意即，主裝置(個人電腦)90未從原廠伺服器92下載該數據串，而是依據私鑰、第一參數、雜湊函數、原始更新檔(即原始數據52)及前述步驟完成該數據串50並傳送給該周邊裝置10的控制電路14。

請同時參閱圖1及圖4，圖4繪示依據一些實施例，驗證更新方法流程圖。依據一些實施例，控制電路14透過該連接器12接收該數據串50及該公開金鑰(圖4步驟S100)，控制電路14依據該預設參數及該數據串，獲得該些重組數據塊(圖4步驟S200)。具體來說，圖5應用例中，當控制電路14第一次接收完與預設參數相同大小的二位元碼，即獲得重組數據塊RB00，第二次接收完與預設參數相同大小的二位元碼，獲得重組數據塊RB01，以此類推，控制電路14依序獲得重組數據塊RB02, RB03, RB04。

控制電路14依據該公開金鑰，驗證該些重組數據塊，獲得一串驗證結果(圖4步驟S300)。具體而言，控制電路14依據該公開金鑰，依接收次序驗證重組數據塊RB00、重組數據塊RB01、重組數據塊RB02、重組數據塊RB03及重組數據塊RB04，以各別獲得塊驗證結果，其中只要任一重組數據塊之塊驗證結果不正確，該數據串之驗證結果(以下稱串驗證結果)為不正確。當每一該塊驗證結果均為正確，即串驗證結果為正確。

該控制電路14依據該串驗證結果及該些重組數據塊，選擇性地輸出一更新指令及一更新碼(圖4步驟S400)。具體而言，當該串驗證結果不正確時，控制電路14不動作，亦即，控制電路14不輸出更新指令，亦不輸出更新碼。反之，當該串驗證結果為正確時，控制電路14輸出該更新指令及該更新碼。具體而言，控制電路14依據該些重組數據塊RB00- 04，輸出該更新碼。以圖5的重組數據塊RB00- 04為例，控制電路14依據前述塊位址AD00- AD04及簽章S00- S04的預設尺寸，從每一重組數據塊RB00- 04，獲得(還原)對應每一原始數據塊OB00- 04的塊位址AD00- AD04、簽章S00- S04、及原始數據塊OB00- 04的內容。接著，控制電路14依據每一原始數據塊OB00- 04所對應的塊位址AD00- 04而還原該些原始數據塊OB00- 04的排列順序，而獲得如圖5所示的原始數據52（即前述更新碼），換句話說，原始數據塊OB00- 04在數據串50的排列順序為1, 3, 0, 4, 2，控制電路14依據原始數據塊OB00- 04的對應塊位址AD00- 04重新排列為0, 1, 2, 3, 4的順序，獲得原始數據52。在圖1的實施例中，控制電路14係輸出該更新指令及該更新碼予該待更新晶片16。

待更新晶片(影音擴充晶片)16依據該更新指令將該更新碼更新至待更新晶片16之韌體，完成更新作業。

在一些實施例中，前述控制電路14驗證該些重組數據塊之方式為：控制電路14於接收該數據串50時，將該數據串50儲存至一隨機存取記憶體RAM(圖未繪)，再依據該預設參數將該數據串50切割為五個重組數據塊(RB00- RB04)，接著個別對五個重組數據塊(RB00- RB04)使用該雜湊函數將個別重組數據塊中的原始數據塊OB00- OB04轉成個別對應的訊息摘要，再透過該公開金鑰驗證該原始數據塊OB00- OB04對應的簽章(S00- S04)，獲得個別對應的驗證後訊息摘要，並逐一比對該訊息摘要及該驗證後訊息摘要，若兩者相同，則該重組數據塊之塊驗證結果為正確，若兩者不相同，則該重組數據塊之塊驗證結果為不正確。當所有塊驗證結果為正確時，數據串50的串驗證結果為正確。反之，任一塊驗證結果不正確時，數據串50的串驗證結果即不正確。

若主裝置(個人電腦)90經由網路94所下載的數據串50並非原廠製作的數據串50，而為已遭人篡改之數據串（以下稱已篡改串），控制電路14對該已篡改串進行切割及驗證時，其串驗證結果即非為正確，控制電路14將不會輸出更新指令，待更新晶片16亦不致於使用遭篡改的更新碼進行更新。

請參閱圖2，圖2繪示依據一些實施例，周邊裝置及其應用之電路方塊示意圖。周邊裝置10包括一連接器12、一待更新晶片16、一揚聲器30及一控制電路14。圖2應用例中，該周邊裝置10具音源訊號處理輸出功能，待更新晶片16為一音訊晶片，該待更新晶片(音訊晶片)16包括一韌體及對應一揚聲器30。在此實施例中，待更新晶片(音訊晶片)16用以將來自主裝置90的數位音源訊號轉換成類比聲音訊號輸出。控制電路14接收數據串50、驗證據串及後續動作，與圖1實施例類似，不再贅述。

請參閱圖3，圖3繪示依據一些實施例，周邊裝置及其應用之電路方塊示意圖。周邊裝置10包括一連接器12、一待更新晶片16、一網路接頭(RJ45)40及一控制電路14。圖3應用例中，該周邊裝置10具網路封包交換功能，待更新晶片16為一網路通訊晶片，該待更新晶片(網路通訊晶片)16包括一韌體及對應一網路接頭(RJ45) 40。在此實施例中，待更新晶片(網路通訊晶片)16用以將來自連接器12的數據發送至網路。控制電路14接收數據串50、驗證據串及後續動作，與圖1實施例類似，不再贅述。

請參閱圖4，依據一些實施例，驗證更新方法適於周邊裝置，該周邊裝置包括待更新晶片，該待更新晶片具有韌體，驗證更新方法包括：步驟S100：接收數據串及公開金鑰；步驟S200：依據預設參數獲得多個重組數據塊；步驟S300：依據公開金鑰驗證多個重組數據塊，並獲得串驗證結果步驟S400：依據該串驗證結果及該些重組數據塊，選擇性地輸出一更新指令及一更新碼；以及步驟S500：依據更新指令將更新碼更新至韌體。

同時參閱圖4及圖5，步驟S100之數據串50由多個重組數據塊RB00- RB04排列而成，且每一該重組數據塊RB00- RB04個別包括一原始數據塊OB00- OB04、一塊位址AD00-AD04及一簽章S00- S04，其中塊位址(AD00- AD04)為原始數據塊OB00-OB04更新至韌體的參考依據，其中重組數據塊RB00- RB04的接收次序與該對應的該塊位址不相關，具體而言，第一接收次序的重組數據塊RB00，其包含原始數據塊OB01及對應的塊位址AD01，因此，第一接收次序的重組數據塊RB00與其對應的塊位址AD01不相關。

步驟S200之獲得多個重組數據塊是指在接收數據串50時，依據一預設參數，該預設參數為單一重組數據塊本身的位元長度值，意即該預設參數為單一原始數據塊OB00- OB04(第一參數)、單一塊位址AD00- AD04 (第一尺寸)及單一簽章S00- S04 (第二尺寸)位元長度的加總，該預設參數為一預設值，此預設值是原廠製造周邊裝置10時，即預寫入控制電路14之韌體內，此預設參數即為前述圖5實施例所述的預設參數。在此步驟中，控制電路14每接收一個與該預設參數相同大小二位元碼(Binary Code)，即獲得一重組數據塊，具體來說，圖5應用例中，第一次接收完與該預設參數相同大小的二位元碼，獲得重組數據塊RB00，第二次接收完與該預設參數相同大小的二位元碼，獲得重組數據塊RB01，以此類推，第五次接收完與該預設參數相同大小的二位元碼，獲得重組數據塊RB04。

步驟S300驗證多個重組數據塊RB00- RB04，係透過雜湊函數將個別重組數據塊中的原始數據塊OB00- OB04轉成個別對應的訊息摘要，再透過該公開金鑰驗證該原始數據塊OB00- OB04對應的簽章，獲得個別對應的驗證後訊息摘要，並逐一比對該訊息摘要及該驗證後訊息摘要，若兩者相同，則該重組數據塊之塊驗證結果為正確，若兩者不相同，則該重組數據塊之塊驗證結果為不正確。當所有塊驗證結果為正確時，串驗證結果為正確。反之，任一塊驗證結果不正確時，串驗證結果即不正確。

前述步驟S400「依據該串驗證結果及該些重組數據塊，選擇性地輸出一更新指令及一更新碼」包括：步驟S410：判斷串驗證結果是否正確；步驟S420：當串驗證結果不正確時，不輸出更新指令；以及步驟S430：當串驗證結果正確時，輸出更新指令及更新碼。

其中，步驟S430之當串驗證結果正確時，依據該些原始數據塊輸出更新指令，並輸出更新碼。在圖5應用例中，該更新碼即為依據原始數據塊OB00- OB04對應的塊位址AD00- AD04還原的原始數據52(即更新碼)。

步驟S500之將更新碼更新至韌體，係待更新晶片16依據更新指令，將更新碼(五個原始數據塊OB00- OB04)依據相應的塊位址(AD00-AD04)更新至該韌體，舉例來說，原始數據塊OB00對應的塊位址為AD00，則該待更新晶片16將該原始數據塊RB00更新至韌體相應塊位址AD00的位址，並以此類推。

藉由上述步驟S100至S500，周邊裝置10於接收數據串50後，透過公開金鑰對簽章執行驗證，通過驗證之更新碼才會被更新至待更新晶片16之韌體，確保周邊裝置10不會更新遭篡改的更新碼至該待更新晶片16之韌體。

10 周邊裝置 12 連接器 14 控制電路 16 待更新晶片 20 DP(Display Port) 26 HDMI 28 VGA 30 揚聲器 40 RJ45 50 數據串 52 原始數據 90 主裝置 92 伺服器 94 網路 S100-S500 步驟 OB00~ OB04 原始數據塊 AD00~ AD04 塊位址 S00~S04 簽章 RB00~RB04 重組數據塊

圖1繪示依據一些實施例，周邊裝置及其應用之電路方塊示意圖；圖2繪示依據一些實施例，周邊裝置及其應用之電路方塊示意圖；圖3繪示依據一些實施例，周邊裝置及其應用之電路方塊示意圖；圖4繪示依據一些實施例，驗證更新方法流程圖；以及圖5繪示依據一些實施例，原始數據與數據串之示意圖。

10 周邊裝置 12 連接器 14 控制電路 16 待更新晶片 20 DP(Display Port) 26 HDMI 28 VGA 90 主裝置 92 伺服器 94 網路

Claims

一種周邊裝置，包括：一連接器，具有一通訊介面；一待更新晶片，具有一韌體；以及一控制電路，用以透過該連接器接收一數據串及一公開金鑰，其中該數據串是以一第一排序方式排列多個重組數據塊而形成，每一該重組數據塊包含一更新碼的多個原始數據塊之一，該更新碼是以不同於該第一排序方式的一第二排序方式排列該些原始數據塊而形成；依據一預設參數及該數據串，獲得該些重組數據塊；依據該公開金鑰，驗證該些重組數據塊，獲得一串驗證結果；及依據該串驗證結果，選擇性地輸出一更新指令，並在輸出該更新指令時，以該第二排序方式重新排列該些重組數據塊的該些原始數據塊而還原出該更新碼；其中該待更新晶片依據該更新指令，將該更新碼更新至該韌體。
如請求項1所述之周邊裝置，其中該些重組數據塊個別更包括一塊位址及一簽章，該控制電路透過該公開金鑰驗證該簽章，以獲得該串驗證結果。
如請求項2所述之周邊裝置，其中，同一該重組數據塊的該原始數據塊對應該塊位址，該控制電路依據該些對應的塊位址，以該第二排序方式重新排列該些重組數據塊的該些原始數據塊而還原出該更新碼。
如請求項1至3中任一項所述之周邊裝置，其中該控制電路依據該串驗證結果，選擇性地輸出該更新指令及該更新碼，包括：當該串驗證結果為正確，輸出該更新指令及該更新碼；以及當該串驗證結果為不正確，不輸出該更新指令及該更新碼。
如請求項4所述之周邊裝置，其中該控制電路接收該數據串，包括接收該些重組數據塊，該些重組數據塊個別更包括一塊位址及一簽章，同一該重組數據塊的該原始數據塊對應該塊位址，該些重組數據塊的接收次序與該些對應的塊位址不相關。
一種驗證更新方法，適於一周邊裝置，該周邊裝置包括一待更新晶片，該待更新晶片具有一韌體，該驗證更新方法包括：接收一數據串及一公開金鑰，其中該數據串是以一第一排序方式排列多個重組數據塊而形成，每一該重組數據塊包含一更新碼的多個原始數據塊之一，該更新碼是以不同於該第一排序方式的一第二排序方式排列該些原始數據塊而形成；依據一預設參數及該數據串，獲得該些重組數據塊；依據該公開金鑰，驗證該些重組數據塊，獲得一串驗證結果；依據該串驗證結果，選擇性地輸出一更新指令，並在輸出該更新指令時，以該第二排序方式重新排列該些重組數據塊的該些原始數據塊而還原出該更新碼；以及依據該更新指令將該更新碼更新至該韌體。
如請求項6所述之驗證更新方法，其中該些重組數據塊個別更包括一塊位址及一簽章，該控制電路透過該公開金鑰驗證該簽章，並透過一雜湊函數驗證該數據段，以獲得該串驗證結果。
如請求項7所述之驗證更新方法，其中，同一該重組數據塊的該原始數據塊對應該塊位址，該控制電路依據該些對應的塊位址，以該第二排序方式重新排列該些重組數據塊的該些原始數據塊而還原出該更新碼。
如請求項6至8中任一項所述之驗證更新方法，其中依據該串驗證結果，選擇性地輸出一更新指令及一更新碼包括：當該串驗證結果為正確，輸出該更新指令及該更新碼；以及當該串驗證結果為不正確，不輸出該更新指令及該更新碼。
如請求項9所述之驗證更新方法，其中接收該數據串，包括接收該些重組數據塊，該些重組數據塊個別更包括一塊位址及一簽章，同一該重組數據塊的該原始數據塊對應該塊位址，該些重組數據塊的接收次序與該些對應的塊位址不相關。