[发明专利]一种Linux嵌入式系统的启动方法、装置和存储介质

说明书

本申请公开了一种Linux嵌入式系统的启动方法，包括：对嵌入式设备的flash分区中的二进制镜像文件进行加密，生成二进制加密镜像文件，并将加密的秘钥写入嵌入式设备内目标部件的可信硬件逻辑区域；当Linux嵌入式系统的uboot启动时，利用目标部件的可信硬件逻辑区域的秘钥对二进制加密镜像文件进行解密，并将解密后的二进制镜像文件存储于嵌入式设备的内存中；从内存中挂载解密后的二进制镜像文件，启动Linux嵌入式系统。该方法通过对二进制镜像文件加密再解密的方式，能够加固嵌入式设备系统的安全特性。本申请同时还提供了一种Linux嵌入式系统的启动装置、一种电子设备和计算机可读存储介质，具有上述有益效果。

技术领域

本申请涉及Linux嵌入式系统技术领域，特别涉及一种Linux嵌入式系统的启动方法、装置、电子设备和计算机可读存储介质。

背景技术

在Linux嵌入式系统下，二进制镜像文件可直接用系统工具轻易查看二进制镜像文件的APP和配置文件等内容，不法分子利用这些信息恶意攻击嵌入式设备。例如，服务器管理单元BMC系统的二进制镜像文件可从官网等途径下载，然后利用Linux OS系统下的工具比如binwalk，就可以将二进制镜像文件的文件系统挂载到PC的文件系统中，能够轻易地查看镜像文件系统中的APP和配置文件内容，这是一种破解行为，不法分子可寻找可用的接口、端口或者方法，或者利用默认用户名和默认密码对嵌入式设备发起攻击，对嵌入式设备的安全带来挑战。

发明内容

本申请的目的是提供一种Linux嵌入式系统的启动方法，能够加固嵌入式设备系统的安全特性。其具体方案如下：

第一方面，本申请公开了一种Linux嵌入式系统的启动方法，包括：

对嵌入式设备的flash分区中的二进制镜像文件进行加密，生成二进制加密镜像文件，并将加密的秘钥写入所述嵌入式设备内目标部件的可信硬件逻辑区域；

当Linux嵌入式系统的uboot启动时，利用所述目标部件的可信硬件逻辑区域的秘钥对所述二进制加密镜像文件进行解密，并将解密后的二进制镜像文件存储于所述嵌入式设备的内存中；

从所述内存中挂载解密后的二进制镜像文件，启动所述Linux嵌入式系统。

优选地，所述对嵌入式设备的flash分区中的二进制镜像文件进行加密，生成二进制加密镜像文件，包括：

利用所述Linux嵌入式系统下的加密工具对所述flash分区中的二进制镜像文件进行加密，生成所述二进制加密镜像文件。

优选地，在将解密后的二进制镜像文件存储于所述嵌入式设备的内存中之后，还包括：

当识别到所述内存中的二进制镜像文件存在数据更新时，利用所述加密工具对更新后的二进制镜像文件进行加密，并回写至所述flash分区。

优选地，在将加密的秘钥写入所述嵌入式设备内目标部件的可信硬件逻辑区域之后，还包括：

当接收到更新所述秘钥的请求时，利用所述可信硬件逻辑区域的接口更新所述秘钥，并设置秘钥的读取属性为不可读。

优选地，所述将解密后的二进制镜像文件存储于所述嵌入式设备的内存中，包括：

将解密后的二进制镜像文件存储于所述内存的内存分区中，并设置二进制镜像文件的名称在所述内存分区与在所述flash分区中不一致。

优选地，所述对嵌入式设备的flash分区中的二进制镜像文件进行加密之前，还包括：

按照预设加密配置从所述嵌入式设备的flash中选择需要加密的flash分区；所述预设加密配置包括：所述flash包括的各个flash分区是否需要加密的标识信息。

优选地，每个需要加密的flash分区对应的秘钥不同。

第二方面，本申请公开了一种Linux嵌入式系统的启动装置，包括：