[发明专利]一种嵌入式系统的安全启动和优化升级方法

权利要求书

1.一种嵌入式系统的安全启动和优化升级方法，其特征在于，该方法包括如下步骤：

S1：设置合法校验值；在引导程序中嵌入一段校验程序，在制作引导程序时指定合法校验值存放位置，用引导程序读取；

S2：对系统文件的合法性进行校验，系统文件包括内核镜像文件和根文件系统；首先，引导程序读取系统文件中头部信息中定制的校验码，并与合法校验值做比对；其次，验证系统文件的有效性与合法性；如果合法有效，再进行升级或者启动系统操作；如果校验不合法，认定此次操作者为非法使用人，则系统启动或升级失败；

S3、在引导程序的引导下采用轮询或人机交互的方式对系统文件进行升级或者启动系统操作。

2.如权利要求1所述的嵌入式系统的安全启动和优化升级方法，其特征在于，合法校验值嵌入引导程序代码中一起生成引导程序，或烧写至非易失性存储区的固定地址。

3.如权利要求2所述的嵌入式系统的安全启动和优化升级方法，其特征在于，非易失性存储区为FLASH或者EEPROM。

4.如权利要求1所述的嵌入式系统的安全启动和优化升级方法，其特征在于，所述步骤S2中，比对方法使用数字签名或可信平台模块。

5.如权利要求1-4任一项所述的嵌入式系统的安全启动和优化升级方法，其特征在于，在采用轮询方式时，需要用到升级配置文件，升级配置文件保存在本地磁盘的指定目录，保存的信息包括：内核升级标志信息、升级存储区的路径、根文件系统升级标志信息、升级方式及升级存储区的路径，引导程序通过读取升级配置文件中的信息，来确定下一步操作。

6.如权利要求5所述的嵌入式系统的安全启动和优化升级方法，其特征在于，升级存储区包括本地磁盘的备用分区、U盘、flash或者网络节点。

7.如权利要求5所述的嵌入式系统的安全启动和优化升级方法，其特征在于，升级方式包括完整升级或者自定义升级，自定义升级只有少量需要修改和添加的文件，比完整升级的数据量小得多。

8.如权利要求5所述的嵌入式系统的安全启动和优化升级方法，其特征在于，所述步骤S3中，采用轮询的方式对系统文件进行升级或者启动系统操作具体包括如下步骤：

S11：开机启动，在引导程序阶段，读取内核升级标志，判断内核是否有升级需求；如果内核需要升级，则从升级配置文件中指定的升级存储区读取待升级的内核镜像文件，并验证校验码的合法有效性，如果合法有效，则开始替代系统中的内核镜像文件；内核升级完成或者校验不通过，清除内核升级标志并进入下一步，没有内核升级需求，则直接进入下一步；

S12：读取升级配置文件的根文件系统升级标志，判断是否有根文件系统升级的需求，如果有升级需要，判定升级的类型，是全面升级还是自定义升级；如果为全面升级，则从升级存储区读取待升级的文件，合法检验通过后，覆盖当前相关的全部文件；如果为自定义升级，合法校验成功后，读取配置文件中的升级列表，开始相应的升级操作；升级完成或者校验失败，清除根文件系统升级标志并进入下一步，如果没有根文件系统升级需要，则直接进入下一步；

S13：升级工作完成，则启动嵌入式操作系统，并对本地存储内的内核镜像文件进行校验；如果合法，则启动系统；反之，则重启系统或返回至引导程序的人机交互状态。

9.如权利要求1-4任一项所述的嵌入式系统的安全启动和优化升级方法，其特征在于，如果使用者有交互式更新需求，使用人机交互的方式：在引导程序的人机交互状态下，收到命令，命令是内核镜像文件升级、根文件系统升级或者系统启动，进入每一个功能时，都从指定的存储区读取文件，如果合法校验通过，则继续操作，操作完成或者校验不通过，都会返回人机交互状态。

10.如权利要求9所述的嵌入式系统的安全启动和优化升级方法，其特征在于，所述步骤S3中，采用人机交互的方式对系统文件进行升级或者启动系统操作具体包括如下步骤：

S21：在引导程序的人机交互状态下，收到命令，命令是内核镜像升级、根文件系统升级或者操作系统启动，如果为内核镜像升级，则进入S22；如果为根文件系统升级，则进入S23；如果为操作系统启动，则进入S24；

S22：从升级存储区或者命令中指定的存储位置读取待升级的内核镜像文件，并检验有效性，如果合法有效，则开始替代系统中的内核镜像文件；内核升级完成或者校验不通过，则返回人机交互状态；

S23：从升级存储区或者命令中指定的存储位置读取待升级的根文件系统文件，并检验有效性，根据命令确定是完整升级还是自定义升级，启动升级，根文件系统升级完成或者文件校验不通过，则返回人机交互状态；

S24：启动系统命令，从本地磁盘或者命令行指定的存储位置读取内核镜像文件，并检验有效性，校验通过，启动系统，校验失败，返回人机交互状态。