具体实施方式

本申请的实施方式部分使用的术语仅用于对本申请的具体实施例进行解释，而非旨在限定本申请。

随着电子科学技术的进步，图像形成装置的发展也越来越成熟，但是作为一种计算机周边设备，图像形成装置容易受到不法分子例如黑客的攻击。以带有扫描和/或传真功能的激光打印机(图像形成装置多种类型中的一种)为例，其扫描或者传真的数据都可能携带有用户的机密数据，甚至连激光成像中核心零部件感光鼓上，也可能携带有用户待打印的机密数据，这些数据一旦泄露，就会给用户带来很多不必要的麻烦。一种攻击方式是借助图像形成装置的固件更新过程。

固件(Firmware)是写入可擦写可编程只读存储器(Erasable Programmable ROM，EPROM)或电可擦可编程只读存储器(Electrically Erasable Programmable read-onlymemory，EEPROM)中的程序。固件是设备内部保存的设备“驱动程序”，通过固件，操作系统才能按照标准的设备驱动实现特定机器的运行动作。

早期固件芯片一般采用了只读存储器(Read-Only Memory，ROM)设计，它的固件是在生产过程中固化的，用任何手段都无法修改。但是，随着技术的不断发展，修改固件以适应不断更新的硬件环境成了用户们的迫切要求。因此，目前的固件一般写入EPROM或者EEPROM，上述芯片是可以重复刷写的，让固件得以修改和升级。

在图像形成装置进行固件更新时，可能会出现非法的用于固件更新的固件文件，非法的固件文件没有经过合法性验证，可能会携带恶意程序、木马，使用该固件文件更新图像形成装置的固件后，固件文件中携带的恶意程序、木马会攻击图像形成装置，窃取图像形成装置的数据信息，导致图像形成装置存在数据泄密的风险。

为此，本申请提出一种固件更新方法、装置和系统，能够保证图像形成装置中更新的固件的合法性，降低图像形成装置数据泄密的风险。

图1是本申请固件更新方法一个实施例的流程图，该方法可以适用于第一服务器，第一服务器可以是图像形成装置的生产商提供的服务器。如图1所示，该方法可以包括：

步骤101：第一服务器获取第一证书，第一证书是用于固件更新的证书。

可选地，为了提高第一证书的公正性和可靠性，第一证书可以是根据可信机构例如认证中心(Certificate Authority，CA)颁发的根证书生成的二级证书，也可以称为根证书的子证书。

根证书是一种数字证书，由受信任的数字证书颁发机构(也即上述可信机构)在验证用户身份后为用户颁发，可以具有服务器身份验证和数据传输加密功能。根证书可以是加密套接字协议层(Secure Sockets Layer，SSL)证书。

上述根证书可以由图像形成装置的生产商向可信机构申请，由可信机构颁发给图像形成装置的生产商，由图像形成装置的生产商设置于第一服务器中。

步骤102：第一服务器根据第一证书生成私钥。

一般的，第一服务器使用第一证书可以生成一对公私钥的密钥对，为保证密钥对的唯一性，该密钥对可以只生成一次，用于进行一次或者若干次固件的更新。本步骤中第一服务器根据第一证书生成的私钥可以是上述密钥对中的私钥。

第一服务器根据第一证书生成密钥对的方法本申请实施例不作限定。

步骤103：第一服务器使用私钥对固件文件进行签名，得到签名文件。

步骤104：第一服务器根据签名文件和固件文件生成固件更新文件。

步骤105：第一服务器发布固件更新文件。

在一种可能的实现方式中，第一服务器可以将固件更新文件的下载链接设置于目标网站中，上述目标网站可以是图像形成装置的生产商的官方网站，以供使用图像形成装置的用户自主下载固件更新文件、更新固件。

在另一种可能的实现方式中，第一服务器可以将固件更新文件推送至需要进行固件更新的图像形成装置。例如，若干图像形成装置可以通过网络与第一服务器连接，第一服务器可以将固件更新文件发送至需要进行固件更新的图像形成装置。

在又一种可能的实现方式中，也可以将固件更新文件或者固件更新文件的下载链接推送至安装图像形成装置管理系统的电子设备，由用户自主决定是否进行固件更新。

图1所示的固件更新方法中，第一服务器使用私钥对固件文件进行签名，得到签名文件，根据固件文件和签名文件生成固件更新文件，从而使得固件更新需要进行签名验证，提高固件更新的合法性和可靠性。

图2是本申请固件更新方法另一个实施例的流程图，如图2所示，该方法可以包括：

步骤201：图像形成装置接收固件更新文件，固件更新文件包括：签名文件以及固件文件。

在一种可能的实现方式中，用户可以在电子设备例如个人计算机(personalcomputer，PC)上通过图像形成装置生产商提供的固件更新文件下载链接自主下载固件更新文件，自主触发图像形成装置的固件更新，相应的，电子设备接收到固件更新操作指令后，将固件更新文件发送给图像形成装置，图像形成装置接收到固件更新文件。

在另一种可能的实现方式中，如果电子设备中设置了自动更新固件更新文件，则如果电子设备接收到第一服务器推送的固件更新文件，可以基于上述自动更新设置触发固件更新操作指令，将固件更新文件发送至图像形成装置；或者，如果电子设备中设置了自动更新固件更新文件，则如果电子设备接收到第一服务器推送的固件更新文件的下载链接，可以基于上述自动更新设置触发固件更新操作指令，从固件更新文件的下载链接下载固件更新文件，将固件更新文件发送至图像形成装置，则图像形成装置接收到固件更新文件。

在又一种可能的实现方式中，图像形成装置可以接收第一服务器推送的固件更新文件；或者，图像形成装置可以接收第一服务器推送的固件更新文件的下载链接，从下载链接下载固件更新文件，则图像形成装置接收到固件更新文件。

步骤202：图像形成装置获取第一证书，第一证书是用于固件更新的证书。

在一种可能的实现方式中，第一证书可以设置于图像形成装置中。

在另一种可能的实现方式中，图像形成装置可以从外部的可信平台获取第一证书。上述可信平台可以是上述可信机构提供的可信平台，也可以是生产商提供的可信平台。该可信平台可以用于为图像形成装置颁发用于固件更新的第一证书。

步骤203：图像形成装置根据第一证书生成公钥。

本步骤中图像形成装置根据第一证书生成的公钥应是步骤102中第一服务器根据第一证书生成的密钥对中的公钥，也即是说，图像形成装置可以使用与步骤102中第一服务器相同的方法生成密钥对，密钥对中的公钥也即是本步骤中所需的公钥。

步骤204：图像形成装置根据公钥以及签名文件对固件文件进行签名验证。

其中，签名验证方法应与步骤103中第一服务器使用私钥对固件文件进行签名的方法对应，以便于本步骤中图像形成装置能够对固件文件的签名验证通过。

步骤205：如果签名验证通过，图像形成装置使用固件文件进行固件更新。

具体的，图像形成装置可以擦除目标存储器中的原有固件，将固件文件烧录至目标存储器中。

图2所示的固件更新方法中，固件更新文件包括签名文件和固件文件，需要使用第一证书的公钥和签名文件对固件文件的签名验证通过之后，才使用固件文件进行固件更新，从而保证固件更新的合法性和可靠性。

而且，上述第一证书可以是由可信机构颁发的根证书生成的子证书，从而进一步增加签名验证的公正性和可靠性，提高固件更新的可靠性。

以下，通过具体实例对本申请固件更新方法进行更为详细的说明。

本申请固件更新方法可以包括以下三个阶段，分别是用于固件更新的第一证书的获得阶段，固件更新文件的发布阶段，以及，图像形成装置中固件的更新阶段。以下分别举实例说明。

图3是本申请固件更新方法中第一证书获得阶段的场景示意图，如图3所示，包括：

第一服务器310，该服务器可以是图像形成装置的生产商提供的服务器，可以用于进行图像形成装置的固件更新文件的发布以及支持用户对于固件更新文件的下载。

第三服务器320，该服务器可以是可信机构提供的服务器，用于颁发根证书。

第一服务器310和第三服务器320之间具有通信连接，上述通信连接的具体实现方式本申请实施例不作限定，只要两个服务器之间可以进行数据交互即可。

第一证书获得阶段的处理过程例如图4所示，包括：

步骤401：第一服务器向第三服务器发送第一请求，第一请求用于请求根证书。

第一请求中可以包括生产商的信息。

步骤402：第三服务器响应于第一请求，生成根证书，将根证书发送给第一服务器。

其中，第三服务器可以根据第一请求中携带的生产商的信息等生成第一请求对应的根证书。

一般的，根证书可以包括以下3个部分：用户的信息，用户的公钥，可信机构对该证书里面的信息的签名。

步骤403：第一服务器接收根证书，使用根证书导出第一证书，第一证书是用于固件更新的证书。

基于同一根证书使用不同的计算方法和不同的计算参数可以导出若干个子证书，可以将其中一个子证书作为固件更新使用的证书，也即上述的第一证书。

使用根证书导出子证书的方法本申请实施例不作限定。

可选地，为了降低第一服务器的计算量，第一证书可以用于多次的固件更新，此时，第一服务器可以存储上述第一证书，在每次进行固件更新时使用该第一证书。

以上是固件更新方法中第一服务器获得第一证书的步骤流程。

以下说明固件更新方法中第一服务器发布固件更新文件的过程。如图5所示，可以包括：

步骤501：第一服务器获得固件文件。

固件文件是对程序编译后得到的文件，该固件文件是可以写入图像形成装置的存储器进行固件更新的文件。

第一服务器获得固件文件的具体方法本申请实施例不作限定，例如可以是第一服务器对程序编译得到上述固件文件，也可以是由其他电子设备将固件文件发送至第一服务器。

步骤502：第一服务器获取第一证书。

第一证书可以是上述步骤403中第一服务器导出并存储的第一证书，此时，本步骤中第一服务器可以从第一证书的存储位置读取到上述第一证书。

步骤503：第一服务器根据第一证书生成私钥。

本步骤的实现可以参考步骤102，这里不赘述。

步骤504：第一服务器使用私钥对固件文件进行签名，得到签名文件。

其中，使用私钥对固件文件进行签名的方法本申请实施例不作限定，例如可以是RSA、SM2等签名方法。

步骤505：第一服务器根据签名文件和固件文件生成固件更新文件。

步骤506：第一服务器发布固件更新文件。

在一种可能的实现方式中，图像形成装置可以与第一服务器之间具有通信连接，能够进行数据传输，具体的通信连接方式本申请实施例不作限定。则第一服务器可以将固件更新文件推送至需要进行固件更新的图像形成装置。此时，本步骤可以包括：第一服务器将固件更新文件发送至图像形成装置。

为了图像形成装置的安全性考虑，一般由图像形成装置的用户来决定是否对图像形成装置进行更新，并自主获取固件更新文件。此时，在另一种可能的实现方式中，第一服务器可以在提供的网页例如图像形成装置的生产商官网中发布固件更新文件的下载链接，例如图6所示，供使用图像形成装置的用户下载固件更新文件。相应的，用户可以使用自身的PC等电子设备访问该网页，下载固件更新文件至电子设备中。

假设用户使用第一电子设备访问上述网页，下载固件更新文件至第一电子设备；第一电子设备是安装有图像形成装置的管理软件的电子设备，例如用户的PC。则，本申请固件更新方法中固件更新过程如图7所示，包括：

步骤701：第一电子设备接收到固件更新操作指令后，将固件更新文件发送给图像形成装置。

例如参见图8所示，用户可以在第一电子设备安装的管理软件中打开固件更新界面，选中固件更新控件，相应的，第一电子设备接收到用户的固件更新操作指令。

或者，如果第一电子设备中设置了自动更新固件文件，则第一电子设备接收到第一服务器推送的固件更新文件或者固件更新文件链接，则根据自动更新固件文件的设置信息触发固件更新操作指令，也即第一电子设备接收到固件更新操作指令。

步骤702：图像形成装置接收固件更新文件。

步骤703：图像形成装置获取第一证书。

在第一种可能的实现方式中，根证书可以存储于图像形成装置中，为了证书的安全性，可以在图像形成装置中设置安全芯片，将根证书存储于安全芯片中。具体的，安全芯片可以设置于图像形成装置的数字电路板上，并且，图像形成装置中可以安装对应的可信平台软件用于对安全芯片中存储的根证书进行管理，并且，可以根据根证书生成用于固件更新的第一证书反馈给图像形成装置。

在另一种可能的实现方式中，第一证书可以存储于图像形成装置中。为了证书的安全性，也可以在图像形成装置中设置安全芯片，将第一证书存储于安全芯片中。

在第二种可能的实现方式中，图像形成装置可以从第二服务器获取第一证书，第二服务器可以是可信机构或者图像形成装置生产商等提供的可信平台，用以为图像形成装置提供固件更新的第一证书。

其中，图像形成装置可以与第二服务器之间具有通信连接，具体的通信连接方式本申请实施例不作限定，只要图像形成装置与第二服务器之间可以进行数据交互即可。

步骤704：图像形成装置根据第一证书生成公钥。

图像形成装置可以根据第一证书生成一对公私钥的密钥对。需要说明的是，图像形成装置根据第一证书生成密钥对的方法，应该与第一服务器根据第一证书生成密钥对的方法一致，从而保证图像形成装置生成的公钥与第一服务器对固件文件签名使用的私钥对应。

步骤705：图像形成装置根据公钥以及签名文件对固件文件进行签名验证。

签名验证的方法应与第一服务器对固件文件进行签名的方法对应。签名验证的方法可以包括但不限于上述的RSA、SM2等。

如果签名验证未通过，图像形成装置可以向第一电子设备反馈第一响应消息，用于向第一电子设备指示固件更新失败，可选地，还可以进一步指示固件更新失败的原因为签名验证失败。

可选地，如果签名验证未通过，图像形成装置还可以将该签名未通过的事件上报至远端的配置管理中心，配置管理中心用于对固件更新的操作进行状态收集，可以做到用户操作的不可抵赖性，保障整个体系内的设备安全。

如果签名验证通过，执行步骤706。

步骤706：图像形成装置使用固件文件进行固件更新。

具体的，图像形成装置可以擦除目标存储器中的原有固件，将固件文件烧录至目标存储器中。

参见图9所示，以图像形成装置内部设置安全芯片为例，示出了图像形成装置内部结构以及交互关系，包括：固件更新模块91，目标存储器92，可信平台模块93；其中，

固件更新模块91接收固件更新文件；固件更新模块91向可信平台模块93请求用于固件更新的第一证书；可信平台模块93根据安全芯片中预设的根证书生成第一证书，将第一证书发送至固件更新模块91；固件更新模块91根据第一证书生成公钥，使用公钥和签名文件对固件文件进行签名验证，如果签名验证通过，固件更新模块91擦除目标存储器92中的原有固件，将固件文件烧录至目标存储器中。

可选的，可信平台模块93还可以包括可信服务模块，可信服务模块可以监控固件更新模块91的签名验证过程，将签名验证结果上报至远端的配置管理中心。尤其是如果签名验证未通过，可以将该签名未通过的监听结果上报至远端的配置管理中心。

可选地，固件更新模块91对固件更新完成后，也可以将固件更新事件上报至可信平台模块93，进而上报至远端的配置管理中心。

可以理解的是，上述实施例中的部分或全部步骤或操作仅是示例，本申请实施例还可以执行其它操作或者各种操作的变形。此外，各个步骤可以按照上述实施例呈现的不同的顺序来执行，并且有可能并非要执行上述实施例中的全部操作。

图10为本申请一种固件更新装置的结构示意图，该装置可以设置于图像形成装置，该固件更新装置100可以包括：

接收单元110，用于接收固件更新文件，所述固件更新文件包括：签名文件以及固件文件；

获取单元120，用于获取第一证书，所述第一证书是用于固件更新的证书；

生成单元130，用于根据所述第一证书生成公钥；

验证单元140，用于根据所述公钥以及所述签名文件对所述固件文件进行签名验证；

更新单元150，用于如果所述签名验证通过，使用所述固件文件进行固件更新。

可选地，获取单元120具体可以用于：从安全芯片获取根证书，所述安全芯片中存储所述根证书，所述安全芯片内置于所述图像形成装置中；根据所述根证书导出第一证书。

可选地，获取单元120具体可以用于：向第二服务器发送证书获取请求，所述第二服务器是提供可信平台服务的服务器；接收所述第二服务器响应于所述请求发送的证书。

可选地，接收单元110具体可以用于：接收第一电子设备发送的固件更新消息，所述固件更新消息用于指示所述图像形成装置进行固件更新，所述固件更新消息包括所述固件更新文件；所述固件更新消息在所述第一电子设备接收到固件更新操作指令后发送。

可选地，验证单元140具体可以用于：根据所述公钥以及所述签名文件使用非对称算法对所述固件文件进行签名验证。

图11为本申请一种固件更新装置的结构示意图，该装置可以设置于第一服务器，该第一服务器1100可以包括：

获取单元111，用于获取第一证书，所述第一证书是用于固件更新的证书；

第一生成单元112，用于根据所述第一证书生成私钥；

签名单元113，用于使用所述私钥对固件文件进行签名，得到签名文件；

第二生成单元114，用于根据所述签名文件和所述固件文件生成固件更新文件；

发布单元115，用于发布所述固件更新文件。

可选地，发布单元115具体可以用于：在预设网站中展示所述固件更新文件的下载链接；或者，将所述固件更新文件的下载链接推送至第一电子设备或者图像形成装置；

第一服务器1100还可以包括：

第一接收单元，用于接收第一电子设备或者所述图像形成装置发送的下载请求；

发送单元，用于响应于所述下载请求，将所述固件更新文件发送给所述第一电子设备或者所述图像形成装置。

可选地，发布单元115具体可以用于：将所述固件更新文件推送至第一电子设备或者图像形成装置。

可选地，第一服务器1100还可以包括：

第二接收单元，用于接收第三服务器发送的根证书，所述第三服务器是可信机构的服务器；

第三生成单元，用于根据所述根证书导出所述第一证书。

图10～图11所示实施例提供的装置可用于执行本申请图1～图9所示方法实施例的技术方案，其实现原理和技术效果可以进一步参考方法实施例中的相关描述。

应理解以上图10～图11所示的装置的各个模块的划分仅仅是一种逻辑功能的划分，实际实现时可以全部或部分集成到一个物理实体上，也可以物理上分开。且这些模块可以全部以软件通过处理元件调用的形式实现；也可以全部以硬件的形式实现；还可以部分模块以软件通过处理元件调用的形式实现，部分模块通过硬件的形式实现。例如，接收单元可以为单独设立的处理元件，也可以集成在电子设备的某一个芯片中实现。其它模块的实现与之类似。此外这些模块全部或部分可以集成在一起，也可以独立实现。在实现过程中，上述方法的各步骤或以上各个模块可以通过处理器元件中的硬件的集成逻辑电路或者软件形式的指令完成。

例如，以上这些模块可以是被配置成实施以上方法的一个或多个集成电路，例如：一个或多个特定集成电路(Application Specific Integrated Circuit；以下简称：ASIC)，或，一个或多个微处理器(Digital Singnal Processor；以下简称：DSP)，或，一个或者多个现场可编程门阵列(Field Programmable Gate Array；以下简称：FPGA)等。再如，这些模块可以集成在一起，以片上系统(System-On-a-Chip；以下简称：SOC)的形式实现。

本申请实施例提供一种图像形成装置，包括：处理器和存储器；计算机程序被存储在所述存储器中，当计算机程序被所述设备执行时，使得所述图像形成装置执行图1～图9任一实施例的方法。

本申请实施例提供一种第一服务器，包括：处理器和存储器；计算机程序被存储在所述存储器中，当计算机程序被所述设备执行时，使得第一服务器执行图1～图9任一实施例的方法。

本申请实施例提供一种固件更新系统，包括：图像形成装置和第一服务器，上述图像形成装置和第一服务器可以用于执行图1～图9任一实施例的方法。

本申请实施例还提供一种计算机可读存储介质，该计算机可读存储介质中存储有计算机程序，当其在计算机上运行时，使得计算机执行本申请图1～图9所示实施例提供的方法。

本申请实施例还提供一种计算机程序产品，该计算机程序产品包括计算机程序，当其在计算机上运行时，使得计算机执行本申请图1～图9所示实施例提供的方法。

本申请实施例中，“至少一个”是指一个或者多个，“多个”是指两个或两个以上。“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示单独存在A、同时存在A和B、单独存在B的情况。其中A，B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项”及其类似表达，是指的这些项中的任意组合，包括单项或复数项的任意组合。例如，a，b和c中的至少一项可以表示：a，b，c，a和b，a和c，b和c或a和b和c，其中a，b，c可以是单个，也可以是多个。

本领域普通技术人员可以意识到，本文中公开的实施例中描述的各单元及算法步骤，能够以电子硬件、计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，任一功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(Read-Only Memory；以下简称：ROM)、随机存取存储器(Random Access Memory；以下简称：RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本申请的具体实施方式，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本申请的保护范围之内。本申请的保护范围应以所述权利要求的保护范围为准。