[发明专利]一种嵌入式系统的启动方法及嵌入式装置

说明书

技术领域

本发明涉及嵌入式系统的安全启动的问题，特别涉及一种嵌入式系统的启动方法及嵌入式装置。

背景技术

随着嵌入式设备的大量采用，以手机为代表的设备逐渐接管了人们日常使用的各种敏感信息，比如支付宝程序，网银程序等大量的应用程序在手机上面被使用。应用程序提供商比如阿里巴巴本身花了极大的努力来提升自己程序和流程的安全性，但是这一切的努力有一个前提，就是操作系统本身没有被植入病毒，假设黑客在操作系统核心层面已经控制了系统，那么无论这个应用程序自身逻辑有多健全，它都是不安全的。

因此对终端用户来说，需要手机提供商保证一点：手机一旦出厂之后，任何情况下都无法自动更新操作系统到一个未经过验证的版本。只有手机提供商官方验证过的版本才可以在用户手机上面升级。由此，嵌入式系统的安全启动很重要。

发明内容

本发明的目的是解决嵌入式系统在启动的过程中被恶意代码破坏的启动程序和操作系统的问题。

为实现上述目的，一方面，本发明提供了一种嵌入式系统的启动方法包括以下步骤：

在嵌入式系统上电之后，进入安全模式；

在安全模式下，嵌入式系统执行存储于存储器中的初始化指令，以初始化嵌入式系统；

存储器加载启动程序文件，并用第一证书验证启动程序文件的有效性；当启动程序文件有效时，执行启动程序文件；

启动程序文件加载操作系统，并用第二证书验证操作系统的有效性；当操作系统有效时，执行操作系统。

具体地，存储器加载启动程序文件，并利用证书验证启动程序文件的有效性步骤包括：

读取启动程序文件的第一签名，启动程序的第一签名是由第一证书的私钥产生，并存放在启动程序文件的结尾处；

用公钥对第一签名进行计算，得到启动程序文件的第一哈希值；

将所述启动程序文件的第一哈希值与通过哈希算法计算出的所述启动程序文件的第二哈希值进行比对，如果比对成功，则启动程序文件有效。

具体地，存储器加载启动程序文件，并利用证书验证启动程序文件的有效性步骤之前还包括：验证第一证书的有效性；第一证书有效时，验证启动程序文件；反之，终止验证启动程序文件。

具体地，验证证书的有效性的步骤包括：

计算第一证书的第一哈希值；读取保险丝(FUSE)里面预先烧录的正确的第一证书的第二哈希值；比对第一证书的第一哈希值和第一证书的第二哈希值，若两者相等则执行验证启动程序文件的有效性；反之，终止执行验证启动程序文件的有效性。

具体地，启动程序文件加载操作系统，并用第二证书验证操作系统的有效性步骤包括：

读取操作系统的第二签名，操作系统的第二签名是由第二证书的私钥产生；

用公钥对第二签名进行计算，得到操作系统的第一哈希值；

将所述操作系统的第一哈希值与通过哈希算法计算出的所述操作系统的第二哈希值进行比对，如果比对成功，则操作系统有效，执行操作系统。

具体地，启动程序文件加载操作系统，并用第二证书验证操作系统的有效性步骤之前还包括：验证第二证书的有效性；第二证书有效时，验证操作系统；反之，终止验证操作系统。

具体地，验证第二证书的有效性的步骤包括：

计算第二证书的第一哈希值；读取保险丝(FUSE)里面预先烧录的正确的第二证书的第二哈希值；比对第二证书的第一哈希值和第二证书的第二哈希值，若两者相等则执行验证操作系统的有效性；反之，终止执行验证操作系统的有效性。

另一方面，本发明提供了一种嵌入式装置，该装置包括：

安全模式模块，用于在嵌入式系统上电之后进入安全模式；

初始化模块，用于在安全模式下，嵌入式系统执行存储于存储器中的初始化指令，以初始化嵌入式系统；

第一验证模块，用于存储器加载启动程序文件，并用第一证书验证启动程序文件的有效性；当启动程序文件有效时，执行启动程序文件；

第二验证模块，用于启动程序文件加载操作系统，并用第二证书验证操作系统的有效性；

执行模块，验证通过后执行操作系统。

优选地，第一验证模块包括加载单元、第一签名单元和第一验证单元；

第一加载单元，用于加载启动程序文件；第一签名单元，用于第一证书对启动程序文件进行第一签名；第一验证单元，用于验证第一签名的有效性，若第一签名有效，则执行启动程序文件；反之，终止执行启动程序文件。

优选地，第二验证模块包括第二加载单元、第二签名单元和第二验证单元；