[发明专利]一种芯片的安全boot方法、装置、安全芯片和计算机设备

权利要求书

1.一种芯片的安全boot方法，其特征在于，由boot处理器执行，所述方法，包括：

在安全芯片上电之后，对加密后的安全固件进行验签和解密，并将解密后的安全固件存储到所述安全芯片中的安全随机存取存储器RAM中，所述boot处理器设置于所述安全芯片内，用于对所述安全芯片进行安全boot；

所述安全芯片内设置安全保密模块，所述安全保密模块用于进行通信处理器和应用处理器之间的数据交互；

在安全RAM中运行解密后的安全固件，对加密后的通信处理器固件和应用处理器固件进行验签和解密；

将解密后的通信处理器固件和应用处理器固件存储到通信处理器RAM和应用处理器RAM中，以使通信处理器和应用处理器分别在通信处理器RAM和应用处理器RAM中执行解密后的通信处理器固件和应用处理器固件，并获取应用程序代码进行执行。

2.根据权利要求1所述的方法，其特征在于，在对加密后的安全固件进行验签和解密之前，还包括：

在外部闪存中获取加密后的安全固件；

在安全RAM中运行解密后的安全固件之后，还包括：

在外部闪存中获取加密后的通信处理器固件和应用处理器固件；

所述应用程序代码为通信处理器和应用处理器分别在通信处理器RAM和应用处理器RAM中执行解密后的通信处理器固件和应用处理器固件之后，在外部闪存中获取得到。

3.根据权利要求2所述的方法，其特征在于，在安全芯片上电之前，还包括：

对固件进行签名和加密后，保存到外部闪存中；

其中，所述固件包括安全固件、通信处理器固件和应用处理器固件。

4.根据权利要求3所述的方法，其特征在于，对固件进行签名和加密后，保存到外部闪存中，包括：

根据制造者私钥对用户公钥进行签名，获得用户证书；

根据用户私钥对固件进行签名，获得固件签名；

根据固件根钥获得推导密钥，根据推导密钥对随机密钥和固件进行加密，获得加密随机密钥和加密固件，根据用户证书、固件签名、加密随机密钥和加密固件生成固件证书，作为加密后的固件保存在外部闪存中。

5.根据权利要求4所述的方法，其特征在于，对加密后的安全固件进行验签和解密，包括：

根据制造者公钥对安全固件证书中的用户证书进行验签，获得用户公钥，根据用户公钥验证用户合法性；

根据用户公钥对安全固件签名进行验签，验证安全固件合法性；

根据推导密钥对加密随机密钥进行解密，获得随机密钥，根据随机密钥对加密安全固件进行解密，获得解密后的安全固件。

6.根据权利要求4所述的方法，其特征在于，对加密后的通信处理器固件和应用处理器固件进行验签和解密，包括：

根据制造者公钥对通信处理器固件证书和应用处理器固件证书中的用户证书进行验签，获得用户公钥，根据用户公钥验证用户合法性；

根据用户公钥对通信处理器固件签名和应用处理器固件签名进行验签，验证通信处理器固件和应用处理器固件的合法性；

根据推导密钥对加密随机密钥进行解密，获得随机密钥，根据随机密钥对加密通信处理器固件和加密应用处理器固件进行解密，获得解密后的通信处理器固件和应用处理器固件。

7.根据权利要求1所述的方法，其特征在于，在安全芯片上电之后，对加密后的安全固件进行验签和解密，包括：

在安全芯片上电之后，如果确定安全芯片为可用状态，则对加密后的安全固件进行验签和解密。

8.根据权利要求1所述的方法，其特征在于，所述应用程序代码为通信处理器和应用处理器分别在通信处理器RAM和应用处理器RAM中执行解密后的通信处理器固件和应用处理器固件之后，获取加密后的应用程序代码，并调用安全芯片的安全保密模块对加密后的应用程序代码进行解密后获得的。