[发明专利]嵌入式终端及其可信安全模块的固件设计方法

权利要求书

1.一种嵌入式终端的可信安全模块的固件设计方法，其特征在于，包括：

所述嵌入式终端的芯片的安全存储区具有可信密码模块功能区和嵌入式安全模块功能区，且所述可信密码模块功能区用以存储可信密码模块的固件，所述嵌入式安全模块功能区用以存储嵌入式安全模块的固件；

所述可信安全模块在上电后工作在可信密码模块模式，运行所述可信密码模块功能区的代码；

当所述嵌入式终端的嵌入式操作系统启动后，所述可信安全模块工作在嵌入式安全模块模式，运行所述嵌入式安全模块功能区的代码；

其中，所述可信密码模块功能区的代码与所述嵌入式安全模块功能区的代码分别进行下载，且下载完成后执行芯片状态切换指令，使所述可信安全模块由下载状态切换为应用状态；

其中，所述可信密码模块功能区的代码与所述嵌入式安全模块功能区的代码下载完成后，进入模块发行阶段，所述模块发行阶段包括：

所述可信安全模块对所述可信密码模块功能区的可信密码模块进行初始化和出厂发行，并完成发行检验；

所述可信安全模块使用功能区切换指令从所述可信密码模块功能区切换到所述嵌入式安全模块功能区；

所述可信安全模块对所述嵌入式安全模块功能区进行出厂发行，并完成发行检验；以及

所述可信安全模块发行检验完成后，禁用功能区切换指令。

2.如权利要求1所述的嵌入式终端的可信安全模块的固件设计方法，其特征在于，所述可信安全模块在上电后工作在可信密码模块模式，运行所述可信密码模块功能区的代码包括：

所述可信安全模块上电后进入所述可信密码模块功能区的可信密码模块模式；

所述可信安全模块分别对嵌入式终端启动区及嵌入式操作系统内核关键部件进行完整性度量；以及

若完整性度量结果可信，所述嵌入式终端启动，所述可信安全模块切换到所述嵌入式安全模块功能区。

3.如权利要求2所述的嵌入式终端的可信安全模块的固件设计方法，其特征在于，当所述嵌入式终端的嵌入式操作系统启动后，所述可信安全模块工作在嵌入式安全模块模式，运行所述嵌入式安全模块功能区的代码包括：

所述可信安全模块工作在嵌入式安全模块模式，在所述嵌入式终端启动后，所述可信安全模块响应嵌入式终端MCU的认证和安全服务指令，为所述嵌入式终端提供安全认证和密码服务功能。

4.一种嵌入式终端，其特征在于，包括：

芯片，内置有安全存储区，且所述安全存储区具有可信密码模块功能区和嵌入式安全模块功能区；以及

可信安全模块；

其中，所述可信密码模块功能区用以存储可信密码模块的固件，所述嵌入式安全模块功能区用以存储嵌入式安全模块的固件；

其中，所述可信安全模块在上电后工作在可信密码模块模式，运行所述可信密码模块功能区的代码；

其中，当所述嵌入式终端的嵌入式操作系统启动后，所述可信安全模块工作在嵌入式安全模块模式，运行所述嵌入式安全模块功能区的代码；

其中，所述可信密码模块功能区的代码与所述嵌入式安全模块功能区的代码分别进行下载，且下载完成后执行芯片状态切换指令，使所述可信安全模块由下载状态切换为应用状态；

其中，所述可信密码模块功能区的代码与所述嵌入式安全模块功能区的代码下载完成后，进入模块发行阶段，所述模块发行阶段包括：

所述可信安全模块对所述可信密码模块功能区的可信密码模块进行初始化和出厂发行，并完成发行检验；

所述可信安全模块使用功能区切换指令从所述可信密码模块功能区切换到所述嵌入式安全模块功能区；

所述可信安全模块对所述嵌入式安全模块功能区进行出厂发行，并完成发行检验；以及

所述可信安全模块发行检验完成后，禁用功能区切换指令。

5.如权利要求4所述的嵌入式终端，其特征在于，所述可信安全模块在上电后工作在可信密码模块模式，运行所述可信密码模块功能区的代码包括：

所述可信安全模块上电后进入所述可信密码模块功能区的可信密码模块模式；

所述可信安全模块分别对嵌入式终端启动区及嵌入式操作系统内核关键部件进行完整性度量；以及

若完整性度量结果可信，所述嵌入式终端启动，所述可信安全模块切换到所述嵌入式安全模块功能区。

6.如权利要求5所述的嵌入式终端，其特征在于，当所述嵌入式终端的嵌入式操作系统启动后，所述可信安全模块工作在嵌入式安全模块模式，运行所述嵌入式安全模块功能区的代码包括：

所述可信安全模块工作在嵌入式安全模块模式，在所述嵌入式终端启动后，所述可信安全模块响应嵌入式终端MCU的认证和安全服务指令，为所述嵌入式终端提供安全认证和密码服务功能。