[发明专利]一种基于TPCM芯片的双向认证可信启动系统及方法

权利要求书

1.一种基于TPCM芯片的双向认证可信启动系统，其特征在于：包括：TPCM芯片、FLASH存储芯片和CPU芯片；

所述TPCM芯片包括：主SPI接口、从SPI接口，FLASH存储芯片包括：从SPI接口，CPU芯片包括：主SPI接口；TPCM芯片的主SPI接口与FLASH存储芯片的从SPI接口相连接，TPCM芯片的从SPI接口与CPU芯片的主SPI接口相连接，CPU芯片的主SPI接口又与FLASH存储芯片的从SPI接口相连；所述TPCM芯片的GPIO输出引脚与CPU芯片的RESET复位引脚相连接，用于实现对CPU芯片的启动控制；TPCM芯片的STATE引脚与CPU芯片的GPIO引脚相连接，用于通知CPU度量过程是否已结束、TPCM处于SPI主模式还是SPI从模式。

2.根据权利要求1所述的一种基于TPCM芯片的双向认证可信启动系统，其特征在于：所述TPCM芯片预存有正向度量基准值、正向验证公钥、反向度量基准值。

3.根据权利要求1所述的一种基于TPCM芯片的双向认证可信启动系统，其特征在于：所述FLASH存储芯片预存有反向验证公钥。

4.根据权利要求2所述的一种基于TPCM芯片的双向认证可信启动系统，其特征在于：所述TPCM芯片有唯一的正向验证公钥、反向验证私钥。

5.根据权利要求2所述的一种基于TPCM芯片的双向认证可信启动系统及方法，其特征在于：所述正向度量基准值是在干净的运行环境下对引导程序使用正向验证私钥实行数字签名得到的数字签名值；所述反向度量基准值是在干净的运行环境下对FLASH存储芯片唯一的FLASH ID使用反向验证私钥实行数字签名得到的数字签名值。

6.一种基于TPCM芯片的双向认证可信启动方法，其特征在于：包括如下步骤：

系统上电后，TPCM芯片获取系统的主控权，控制CPU芯片处于复位状态；

TPCM芯片对在FLASH存储芯片中的引导程序进行正向度量，若度量成功，则TPCM释放CPU芯片的复位信号，CPU芯片启动加载引导程序；

CPU芯片完成引导程序的加载之后，对TPCM芯片执行反向度量，若度量成功，则引导程序加载内核，启动操作系统。

7.根据权利要求6所述的一种基于TPCM芯片的双向认证可信启动方法，其特征在于：TPCM芯片对在FLASH存储芯片中的引导程序进行正向度量，若度量失败，则TPCM保持CPU芯片的复位信号，终止本次启动，并执行启动失败处理。

8.根据权利要求6所述的一种基于TPCM芯片的双向认证可信启动方法，其特征在于：CPU芯片完成引导程序的加载之后，对TPCM芯片执行反向度量，若度量失败，则停止加载内核，终止本次启动，并执行启动失败处理。

9.根据权利要求7所述的一种基于TPCM芯片的双向认证可信启动方法，其特征在于：所述TPCM芯片对在FLASH存储芯片中的引导程序进行正向度量的方法，包括如下步骤：

TPCM芯片使用SPI主设备接口与FLASH存储芯片的SPI从设备接口通信，TPCM芯片从FLASH存储芯片中读取引导程序数据和引导程序签名值，使用在TPCM芯片内的正向验证公钥对引导程序数据和引导程序签名值进行验签，若验签成功，TPCM芯片释放对FLASH存储芯片的控制权，TPCM芯片的工作模式由SPI主模式切换为SPI从模式，STATE状态线由高电平切换为低电平，TPCM芯片通过STATE状态线通知CPU芯片目前已完成度量且TPCM芯片已切换为SPI从模式，之后通过GPIO释放CPU芯片复位引脚，启动CPU芯片；

若验签失败，则停止加载过程，控制CPU芯片一直处在复位状态，由TPCM芯片记录审计日志，并对外报警，通知有关人员进行后续异常处理。

10.根据权利要求8所述的一种基于TPCM芯片的双向认证可信启动方法，其特征在于：所述CPU芯片完成引导程序的加载之后，对TPCM芯片执行反向度量的方法，包括如下步骤：

CPU芯片启动后，CPU芯片使用SPI主设备接口获得FLASH存储芯片的控制权，CPU芯片工作在SPI主模式，从FLASH存储芯片中加载引导程序数据；

引导程序启动后，CPU读取FLASH存储芯片的FLASH ID与反向验证公钥；

CPU读取成功后，若STATE状态线处于低电平，CPU使用SPI主设备接口获得TPCM芯片的控制权，读取TPCM芯片中的反向验证基准值，并用反向验证公钥进行验签，若验签成功，则度量内核文件并启动操作系统；若验签失败，则停止加载过程，记录审计日志，并发出告警，通知有关人员进行后续异常处理；若STATE状态线处于高电平，则等待TPCM芯片可用，并记录审计日志。