[发明专利]一种嵌入式设备的安全启动方法、装置、设备及介质

说明书

本发明公开了一种嵌入式设备的安全启动方法、装置、设备及介质，用以解决现有嵌入式设备安全启动方法中数字证书除返厂外不可更新的问题。该安全启动方法中，处理器启动，获取最新版本的数字证书；将FLASH中数字证书和设备启动代码的存储区域作为FLASH写保护区，触发自锁电路锁定该FLASH写保护区；采用该FLASH写保护区中的数字证书，验证操作系统内核和应用是否完整；如均完整，则启动该嵌入式设备。由于本发明实施例中在处理器启动后获取最新版本的数字证书，解决了数字证书除返厂外不可更新的问题；利用自锁电路锁定FLASH写保护区，达到了数字证书可升级和防篡改兼顾的目的，提高了嵌入式设备启动的安全性。

技术领域

本发明涉及安全启动技术领域，特别涉及一种嵌入式设备的安全启动方法、装置、设备及介质。

背景技术

现有技术中，涉及到嵌入式设备的安全启动的方案包括：

方案一：如图1所示，处理器(System-on-a-chip，SOC)中包含处理器核心和安全子模块，外置FLASH芯片中存储有设备启动代码(Bootloader)、操作系统内核和根文件系统。其安全启动流程为：当处理器上电时，不直接由处理器核心执行FLASH芯片上的Bootloader，而是先运行安全子模块；由安全子模块作为可信根，通过数字签名算法验证根文件系统和操作系统内核；当验证通过后由处理器核心执行Bootloader启动嵌入式设备，否则拒绝启动嵌入式设备。

方案二：采用两个闪存FLASH，如图2所示，其中，非易失存储器用来存放主启动程序，外置启动只读存储器(ROM)用来存放只读的校验程序，即安全校验代码；现场可编程门阵列(Field－Programmable Gate Array，FPGA)作为地址译码器切换FLASH；通过本地总线完成存储器和处理器的数据连接。其安全启动流程为：嵌入式设备上电时，处理器通过FPGA译码，执行外置启动ROM中存放的安全校验代码；利用外置启动ROM中的安全代码验证非易失性存储器中的主启动程序；主启动程序验证通过后，处理器执行主启动程序，安全启动系统。

方案三：使用FLASH写保护功能实现对启动代码的保护，软件构架如图3所示，烧片将第一启动代码(First Boot)、嵌入式实时操作系统镜像(u/COS-IIImage)、第二启动代码(Second Boot)和数字签名1写入FLASH，并使能写保护区，写保护后这部分镜像不可更改；而写入的Linux内核、Linux应用系统以及它们的数字签名2没有进行写保护，以便后续对其进行固件更新操作。其安全启动流程为：嵌入式设备上电后，先从First Boot启动，利用数字签名技术依次验证并执行写保护区的u/COS-II Image、Second Boot镜像；写保护区镜像利用数字签名技术验证linux内核以及上层应用；完成验证后，linux内核获得控制权，并继续完成启动，实现安全启动。

对于上述方案一，由于市面上很多处理器没有集成该安全子模块，无法实现安全启动，故而存在局限性；集成安全子模块后烧录到处理器中的数字证书、公钥Public Key等参数无法更改，一旦出现签名私钥Private Key泄露，除返厂外不可更换，否则将会影响嵌入式设备的安全性。对于上述方案二，额外增加的FPGA地址译码器需要编写逻辑程序，增加了复杂度，增加系统不稳定因素。对于上述方案三，写保护区中包含的First Boot、u/COS-II、Second Boot以及数字签名1不可更改，一旦出现签名Private Key泄露，除返厂外不可更换，否则将会影响嵌入式设备的安全性。

因此，现有技术中存在嵌入式设备安全启动方法的适用范围存在局限性、嵌入式设备不稳定、并且当数字证书泄漏时，除返厂外不可更新的缺陷。

发明内容

本发明提供一种嵌入式设备的安全启动方法、装置及设备，用以解决现有技术中存在嵌入式设备安全启动方法的适用范围存在局限性、嵌入式设备不稳定、数字证书除返厂外不可更新的问题。

本发明实施例提供了一种嵌入式设备安全启动的方法，包括：