[发明专利]安全启动系统及方法、终端设备及其核心系统

说明书

本发明涉及安全启动系统及方法、终端设备及其核心系统。所述安全启动系统包括：安全加密芯片以及核心系统；安全加密芯片包括被配置成存储用于认证安全加密芯片的认证凭据的第一存储单元；核心系统包括被配置成存储用于验证应用引导程序的验证凭据和用于验证应用程序的签名证书的第二存储单元以及控制单元，控制单元包括：第一验证模块，其被配置成通过固化引导程序使用验证凭据来验证应用引导程序的完整性和合法性；第二验证模块，其被配置成通过应用引导程序使用来自安全加密芯片的认证凭据来验证安全加密芯片的合法性和其运行环境的安全性、验证签名证书的合法性和有效性、以及使用签名证书来验证应用程序的完整性和合法性。

技术领域

本发明涉及计算机技术领域，更具体地，涉及安全启动系统、包括该安全启动系统的终端设备、终端设备的核心系统、以及终端设备的安全启动方法。

背景技术

随着网络安全问题日益严重，带有联网功能的嵌入式设备（诸如，消费类电子、医疗设备等）由于应用普遍、安全级别低而成为最易受黑客劫持和攻击的目标之一，而且，其应用程序极容易被植入恶意程序甚至遭到篡改，轻则不能正常运行，重则被黑客利用，称为僵尸设备，甚至威胁用户的生命财产安全。

在嵌入式设备如此复杂多变的应用环境下，针对所面临的各种安全问题，严谨可靠的安全启动检查程序尤为重要，在每次系统重启时，Bootloader将使用一系列的安全检查机制来对自身进行检查与验证（包括软件环境和硬件环境），只有全部验证通过才会正常启动，从而有效避免了设备内部软件被非法篡改、劫持。

现有的安全启动技术主要有两类：第一类是使用签名技术来验证应用程序的可信性与完整性，第二类是设计只读设备来存储和启动镜像应用程序。

在第一类安全启动技术中，对每一个需要加载的应用程序进行镜像处理以得到镜像应用程序，进而利用非对称加密技术对镜像应用程序分配签名，通过使用密钥验证该签名来保障应用程序的可信性与完整性。可是，这一类安全启动技术存在以下缺点：1）密钥被写在嵌入式设备中，一旦失效无法更新；2）密钥没有被验证有效性与合法性；3）无运行环境检验，一旦内外部软件被拷贝，将无法控制。

在第二类安全启动技术中，将需要加载的镜像应用程序在出厂时一次性地烧写在只读设备中，在启动时从只读设备读取未受更改的镜像应用程序。对于这一类安全启动技术，虽然在后续的启动中镜像应用程序都无法被篡改，但是也无法实现正常的系统更新及镜像更新，灵活性差。

发明内容

本发明是为了克服上述缺点的一个或多个、或其它缺点而完成的，所采用的技术方案如下。

按照本发明的一个方面，提供一种终端设备的安全启动系统，包括：安全加密芯片以及核心系统；所述安全加密芯片包括：第一存储单元，其被配置成存储用于认证安全加密芯片的认证凭据；所述核心系统包括：第二存储单元，其被配置成存储用于验证应用引导程序的验证凭据和用于验证应用程序的签名证书；以及控制单元，其被配置成包括：第一验证模块，其被配置成通过固化引导程序使用所述验证凭据来验证应用引导程序的完整性和合法性；第二验证模块，其被配置成通过所述应用引导程序使用来自所述安全加密芯片的认证凭据来验证所述安全加密芯片的合法性和其运行环境的安全性、验证所述签名证书的合法性和有效性、以及使用所述签名证书来验证应用程序的完整性和合法性。

进一步地，在根据本发明的一个方面中，所述安全加密芯片还包括：第一通信单元，其被配置成向所述核心系统传送所述认证凭据，所述核心系统还包括：第二通信单元，其被配置成从所述安全加密芯片接收所述认证凭据。

进一步地，在根据本发明的一个方面中，所述应用程序被存储于所述第二存储单元。

进一步地，在根据本发明的一个方面中，所述控制单元还被配置成在所述应用引导程序、所述安全加密芯片、所述签名证书、所述应用程序中的任一个被验证失败的情况下，对其重新进行验证，在预设次数的重新验证仍失败的情况下，停止安全启动。