定义
Firmware Signature(固件签名)对 OTA 固件包进行数字签名,设备升级前校验签名,确保固件来源可信、未被篡改。常与 X.509 Certificate 配合使用。
签名流程
构建阶段对固件包计算哈希(如 SHA-256),使用私钥对哈希签名,将签名附加至固件包或单独存储。设备端预置公钥或证书,下载固件后重新计算哈希、验证签名,通过后方可写入存储并重启。采用非对称加密(如 RSA、ECDSA),私钥由构建系统保管,公钥预置设备,防止固件被伪造或篡改。
与 CI/CD 集成
在 CI/CD 流水线中,构建完成后自动执行签名步骤,私钥由密钥管理系统(如 HSM、Vault)托管,避免泄露。平台上传固件时可校验签名有效性,拒绝未签名或签名无效的包。设备端 Bootloader 或 OTA 客户端需实现签名校验逻辑,确保升级安全。
安全最佳实践
私钥严格隔离,仅构建环境可访问;定期轮换签名密钥,设备需支持多证书验证;对 Full Package 与 Delta Package 均需签名;考虑供应链安全,防止产线固件被替换。固件签名是 FOTA 安全的基础保障,不可或缺。