[发明专利]一种嵌入式可信系统的启动方法

权利要求书

1.一种嵌入式可信系统的启动方法，其特征在于：所述方法包括以下步骤：

步骤1：建立核心可信度量根；

步骤2：启动代码度量；

步骤3：启动操作系统度量；

步骤4：启动可信协议库度量；

步骤5：嵌入式可信芯片启动；

步骤6：度量嵌入式可信芯片启动数据；

步骤7：嵌入式可信系统功能模块度量。

2.根据权利要求1所述的嵌入式可信系统的启动方法，其特征在于：所述步骤1包括以下步骤：

步骤1-1：通过启动控制过程BCP检查内存映射，获得内存的边界地址和内容特征值，并且放至扩展程序暂存控制器PCR的内存区；

步骤1-2：锁定微程序控制器MCU的Root内存区，完成核心可信度量根的建立。

3.根据权利要求1所述的嵌入式可信系统的启动方法，其特征在于：所述步骤2包括以下步骤：

步骤2-1：对嵌入式系统的Bootloader进行审核和修改，审核和修改后在信任中心进行签名，Bootloader度量过程以保证使用信任中心签名的Bootloader；

步骤2-2：Bootloader度量内存映射和软件下载器的应用，Bootloader包括对所述嵌入式可信系统启动和内存映射的限制，保证载入的操作系统为可信的；

步骤2-3：收集Bootloader使用的地址和数据，将收集的地址和数据分别放到数据块DATA1和配对密钥区中，并把数据块DATA1和配对密钥区的特征值放至扩展程序暂存控制器PCR的内存区。

4.根据权利要求1所述的嵌入式可信系统的启动方法，其特征在于：所述步骤3包括以下步骤：

步骤3-1：对操作系统的内核进行整体度量，载入操作系统并收集操作系统内核的特征值，将特征值放入数据块DATA2中，并将数据块DATA2放至扩展程序暂存控制器的内存区；

步骤3-2：操作系统和嵌入式可信芯片进行定时间隔通讯，以使操作系统中使用的可信协议库为信任中心签名。

5.根据权利要求1所述的嵌入式可信系统的启动方法，其特征在于：所述步骤4中，收集可信协议栈使用的地址和数据，并将收集的信息放到数据块DATA3中，并将数据块DATA3放至扩展程序暂存控制器的内存区。

6.根据权利要求1所述的嵌入式可信系统的启动方法，其特征在于：所述步骤5包括以下步骤：

步骤5-1：拷贝嵌入式可信芯片检测区到其内部，引导入口点；

步骤5-2：初始化需要使用的通讯端口，禁止不可信的所有底层调用，保证运行内存空间可信；

步骤5-3：跳转到启动代码链接到可信启动度量库，执行对度量校验程序、数据块DATA2、数据块DATA3的最小集合初始化。

7.根据权利要求1所述的嵌入式可信系统的启动方法，其特征在于：所述步骤6包括以下步骤：

步骤6-1：对嵌入式可信芯片启动区域中数据进行度量；

步骤6-2：度量通过将签名内包含的密钥返回嵌入式可信芯片检测区消除重启机制，嵌入式可信芯片上电后未能获得相应的密钥在一定时间内会触发对嵌入式可信系统功能主模块的控制机制；

步骤6-3：度量失败触发对嵌入式可信系统功能主模块的控制机制，系统停止工作；

步骤6-4：度量地址集合数据块DATA1、数据块DATA2和数据块DATA3是否被破坏，若被破坏，则重新执行最小集合初始化，恢复数据和地址集合，重新执行步骤6-1。

8.根据权利要求1所述的嵌入式可信系统的启动方法，其特征在于：所述嵌入式可信系统功能模块包括嵌入式可信系统功能主模块和实际应用功能模块。

9.根据权利要求1所述的嵌入式可信系统的启动方法，其特征在于：所述步骤7包括以下步骤：

步骤7-1：入口函数选择实际应用功能模块，嵌入式可信系统功能模块通过通讯端口下载可信根证书进行度量；

步骤7-2：度量通过启动跳转代码唤醒/激活相应的嵌入式可信系统功能模块，完成嵌入式可信系统启动；

步骤7-3：度量失败触发对嵌入式可信系统功能主模块的控制重启机制，嵌入式可信系统停止工作重启；

步骤7-4：度量数据/证书是否被破坏，若被破坏，则重新执行步骤7-1。

10.根据权利要求1所述的嵌入式可信系统的启动方法，其特征在于：嵌入式可信系统受到攻击或者某些预定义事件时，触发对嵌入式可信系统功能主模块的控制机制。