CN110909360B - 基于双系统的电子设备安全启动方法及装置 - Google Patents
基于双系统的电子设备安全启动方法及装置 Download PDFInfo
- Publication number
- CN110909360B CN110909360B CN201911039337.2A CN201911039337A CN110909360B CN 110909360 B CN110909360 B CN 110909360B CN 201911039337 A CN201911039337 A CN 201911039337A CN 110909360 B CN110909360 B CN 110909360B
- Authority
- CN
- China
- Prior art keywords
- processor
- public key
- file
- starting
- security check
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Stored Programmes (AREA)
Abstract
本发明适用于嵌入式系统技术领域,提供了一种基于双系统的电子设备安全启动方法及装置,该方法包括:获取SP处理器中的厂商公钥和厂商公钥签名,并对厂商公钥签名进行验签;当对厂商公钥签名验签成功后,根据厂商公钥对SP处理器中的固件进行验签;当对所述SP处理器中的固件验签成功时,控制AP处理器进行硬件复位,并将安全校验文件发送给所述AP处理器,根据所述安全校验文件启动所述AP处理器。通过SP处理器对AP处理器的安全校验,完成AP启动,从而可以解决当AP处理器自身的启动不能满足安全要求时,通过与SP处理器交互,实现AP处理器的安全启动,满足高标准的安全要求。
Description
技术领域
本发明属于嵌入式系统技术领域,尤其涉及一种基于双系统的电子设备安全启动方法及装置。
背景技术
随着智能操作系统的普及和发展,双系统的平台应用也越来越广泛,因此双系统架构的安全设计也显得十分重要。当设置双系统的电子设备尤其是pos机在启动时,必须符合支付卡行业(Payment Card Industry,PCI)等安全要求,以实现安全启动。因此,一些不具备安全启动的应用处理器(Application Processor,AP)需要受到具备安全启动的安全处理器(Secure Processor,SP)处理,以实现安全启动,其中AP处理器为高性能CPU,通常采用安卓系统,SP处理器为安全性高、性能比较简单的芯片,通常采用Linux或嵌入式操作系统。
现有技术中双系统的电子设备在启动时,SP处理器安全启动后,AP处理器将启动引导程序(Uboot文件)发送给SP处理器进行验签后AP处理器完成安全启动流程。然而现有技术中设置双系统的电子设备在启动时,由于AP处理器本身的启动方式无法满足PCI安全要求,采用SP处理器对AP中启动引导程序验签的方式启动AP处理器,导致AP处理器启动时间较长且安全性较低。
发明内容
有鉴于此,本发明实施例提供了一种基于双系统的电子设备安全启动方法及装置,以解决现有技术中启动双系统的电子设备时,AP处理器启动时间较长且安全性较低的问题。
本发明实施例的第一方面提供了一种基于双系统的电子设备安全启动方法,包括:
获取SP处理器中的厂商公钥和厂商公钥签名,并对所述厂商公钥签名进行验签;
当对所述厂商公钥签名验签成功后,根据所述厂商公钥对所述SP处理器中的固件进行验签;
当对所述SP处理器中的固件验签成功时,控制AP处理器进行硬件复位,并将包括所述厂商公钥的安全校验文件发送给所述AP处理器,根据所述安全校验文件启动所述AP处理器。
在一实施例中,所述对所述厂商公钥签名进行验签,包括:
根据所述厂商公钥,对所述厂商公钥签名进行解密得到所述厂商公钥的第一哈希值;
根据所述厂商公钥,计算得到所述厂商公钥的第二哈希值;
检测所述第一哈希值与所述第二哈希值是否一致;
当所述第一哈希值与所述第二哈希值一致时,确定对所述厂商公钥签名验签成功。
在一实施例中,所述根据所述厂商公钥对所述SP处理器中的固件进行验签,包括:
所述SP处理器采用所述厂商公钥对所述SP处理器中的Boot文件进行验签;
当对所述Boot文件验签成功时,则所述SP处理器启动所述SP处理器中的Boot文件;
所述SP处理器中的Boot文件采用所述厂商公钥对所述SP处理器中的OS文件进行验签;
当对所述SP处理器中的OS文件验签成功,则所述SP处理器中的Boot文件启动所述SP处理器中的操作系统。
本发明实施例的第二方面提供了一种基于双系统的电子设备安全启动方法,包括:
接收SP处理器发送的安全校验文件;
采用所述安全校验文件对AP处理器中的固件进行验签;
当对AP处理器中的固件验签成功时,启动所述AP处理器。
在一实施例中,所述采用所述安全校验文件对AP处理器中的固件进行验签,包括:
所述AP处理器启动所述安全校验文件,并采用所述安全校验文件中的厂商公钥对所述AP处理器中的Uboot文件进行验签;
当对所述AP处理器中的Uboot文件验签成功时,则所述SP处理器启动所述AP处理器中的Uboot文件;
所述AP处理器中的Uboot文件采用所述安全检验文件中的厂商公钥对所述AP处理器中的OS文件进行验签;
当对所述AP处理器的OS文件验签成功后,则所述AP处理器中的Uboot文件启动所述AP处理器中的操作系统;
所述AP处理器中的操作系统采用客户公钥对所述AP处理器中的应用程序进行验签;
当对所述应用程序验签成功后,则所述AP处理器的操作系统启动所述应用程序。
在一实施例中,在所述AP处理器端挂接显示屏;检测到异常时,通过所述显示屏进行错误提示。
本发明实施例的第三方面提供了一种基于双系统的电子设备安全启动装置,包括:
获取模块,用于获取SP处理器中的厂商公钥和厂商公钥签名;
第一验签模块,用于对所述厂商公钥签名进行验签;
所述第一验签模块,还用于当对所述厂商公钥签名验签成功后,根据所述厂商公钥对所述SP处理器中的固件进行验签;
发送模块,用于当对所述SP处理器中的固件进行验签成功时,控制AP处理器进行硬件复位,并将包括所述厂商公钥的安全校验文件发送给所述AP处理器,根据所述安全校验文件启动所述AP处理器。
本发明实施例的第四方面提供了一种基于双系统的电子设备安全启动装置,包括:
接收模块,用于接收SP处理器发送的安全校验文件;
第二验签模块,用于采用所述安全校验文件对AP处理器中的固件进行验签;
启动模块,用于当验签均成功后,启动所述AP处理器。
本发明实施例的第五方面提供了一种终端设备,包括:存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述任一方面中任一实施例基于双系统的电子设备安全启动方法所述的步骤。
本发明实施例的第五方面提供了一种计算机可读存储介质,包括:所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现上述任一方面中任一实施例基于双系统的电子设备安全启动方法所述的步骤。
本发明实施例与现有技术相比存在的有益效果是:通过对获取的厂商公钥签名进行验签;当验签成功后,根据厂商公钥对SP处理器中的固件进行验签;当验签均成功后,SP处理器控制AP处理器进行硬件复位,并将包括厂商公钥的安全校验文件发送给AP处理器,以所述AP处理器采用所述SP处理器发送的安全校验文件安全启动。通过SP处理器对AP处理器的安全校验,完成AP处理器启动,从而可以解决当AP处理器自身的启动不能满足安全要求时,通过与SP处理器交互,实现AP处理器的安全启动,满足高标准的安全要求。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的基于双系统的电子设备安全启动方法的实现流程示意图;
图2是本发明实施例提供的对厂商公钥签名进行验签方法的示意图;
图3是本发明另一实施例提供的基于双系统的电子设备安全启动方法的实现流程示意图;
图4是本发明实施例提供的基于双系统的电子设备安全启动装置的示例图;
图5是本发明另一实施例提供的基于双系统的电子设备安全启动装置的示例图;
图6是本发明实施例提供的终端设备的示意图。
具体实施方式
以下描述中,为了说明而不是为了限定,提出了诸如特定系统结构、技术之类的具体细节,以便透彻理解本发明实施例。然而,本领域的技术人员应当清楚,在没有这些具体细节的其它实施例中也可以实现本发明。在其它情况中,省略对众所周知的系统、装置、电路以及方法的详细说明,以免不必要的细节妨碍本发明的描述。
为了说明本发明所述的技术方案,下面通过具体实施例来进行说明。
图1为本发明实施例提供的一种基于双系统的电子设备安全启动方法的实现流程示意图,附图1所示的流程图中基于双系统的电子设备安全启动方法的执行主体为SP处理器,详述如下。
步骤101,获取SP处理器中的厂商公钥和厂商公钥签名,并对所述厂商公钥签名进行验签。
可选的,在SP处理器第一次上电时,使用SP处理器厂商提供的工具,下载厂商公钥,除SP处理器第一次上电外的其它情况,直接在SP处理器的存储器中读取厂商公钥。需要说明的是,当SP处理器第一次上电时,下载厂商公钥后,对所述厂商公钥签名进行验签,当对厂商公钥验签成功后,将厂商公钥写入SP处理器的存储器中,后续SP处理器启动时无需再重新下载厂商公钥,直接在SP处理器的存储器中读取厂商公钥。
可选的,厂商公钥签名的方法包括:根据获取的厂商公钥,使用哈希算法计算得到一个哈希值,将该哈希值和厂商公钥中包括的私钥,使用3DES算法进行加密,获得加密后的哈希值,将加密后的哈希值按一定格式填充到厂商公钥文件的指定位置,即完成对厂商公钥签名。
可选的,如图2所示,对所述厂商公钥签名进行验签包括以下步骤。
步骤201,根据所述厂商公钥,对所述厂商公钥签名进行解密得到所述厂商公钥的第一哈希值。
可选的,可以根据厂商公钥采用3DES算法对所述厂商公钥签名进行解密,得到所述厂商公钥的第一哈希值。
步骤202,根据所述厂商公钥,计算得到所述厂商公钥的第二哈希值。
可选的,本步骤为根据厂商公钥,使用HASH2算法直接计算厂商公钥原文的第二哈希值,即签名生成过程中计算的哈希值。
步骤203,检测所述第一哈希值与所述第二哈希值是否一致。
可选的,如图2所示,在本步骤之后还可以包括步骤204和步骤205。即所述第一哈希值与所述第二哈希值一致时,执行步骤204;所述第一哈希值与所述第二哈希值不一致时,执行步骤205。
步骤204,确定对所述厂商公钥签名验签成功。
可选的,当第一哈希值与第二哈希值一致时,SP处理器启动成功,将所述厂商公钥写入SP处理器的存储器中,后续SP处理器启动时无需再重新下载厂商公钥,直接在SP处理器的存储器中读取厂商公钥。
执行完本步骤之后继续执行步骤102。
步骤205,退出SP处理器启动。
当所述第一哈希值与所述第二哈希值不一致时,SP处理器启动失败,直接退出并进行错误提示。
步骤102,当对所述厂商公钥签名验签成功后,根据所述厂商公钥对所述SP处理器中的固件进行验签。
可选的,本步骤根据所述厂商公钥对所述SP处理器中的固件进行验签可以包括:所述SP处理器中的Bootrom文件采用所述厂商公钥对所述SP处理器中的Boot文件进行验签;当对所述Boot文件验签成功时,则所述SP处理器中的Bootrom文件启动所述SP处理器中的Boot文件;所述SP处理器中的Boot文件采用所述厂商公钥对所述SP处理器中的OS文件进行验签;当对所述SP处理器中的OS文件验签成功,则所述SP处理器中的Boot文件启动所述SP处理器中的操作系统。然后继续执行步骤103。可选的,Boot为启动引导程序。
可选的,采用所述厂商公钥对所述SP处理器中的Boot文件进行验签,可以包括:计算所述SP处理器中的Boot文件的第三哈希值;
读取所述SP处理器中的Boot文件的文件头,并从所述Boot文件的文件头中提取第四哈希值,采用所述厂商公钥对所述第四哈希值解密,得到第五哈希值;可选的,第五哈希值为厂商打包文件时提供的原始Boot文件的哈希值;
检测所述第三哈希值与所述第五哈希值是否一致;
当所述第三哈希值与所述第五哈希值一致时,验签成功,确定所述SP处理器中的Bootrom文件对所述SP处理器中的Boot文件验签成功。当所述第三哈希值与所述第五哈希值不一致时,验签失败,退出SP处理器的启动。
可选的,采用所述厂商公钥对所述SP处理器中的OS文件进行验签,可以包括:计算所述SP处理器中的OS文件的第六哈希值;
读取所述SP处理器中的OS文件的文件头,从所述OS文件的文件头中提取第七哈希值,并采用所述厂商公钥对所述第七哈希值解密,得到第八哈希值;
检测所述第六哈希值与所述第八哈希值是否一致;
当所述第六哈希值与所述第八哈希值一致时,确定所述SP处理器中的Boot文件对所述SP处理器中的OS文件验签成功。当所述第六哈希值与所述第八哈希值不一致时,验签失败,退出SP处理器的启动。
可选的,验签成功后SP处理器中的操作系统成功启动,继续执行后续流程,验签失败,则可以进行错误提示,然后退出SP处理器的启动。
步骤103,当对所述SP处理器中的固件验签成功时,控制AP处理器进行硬件复位,并将安全校验文件发送给所述AP处理器,根据所述安全校验文件启动所述AP处理器。
可选的,安全检验文件中包含SP处理器中的厂商公钥,用于校验AP处理器中的固件,以实现安全检验文件安全启动AP处理器。SP处理器与AP处理器进行硬件连接,当SP处理器成功启动操作系统后,则SP处理器的操作系统可以通过复位IO端口可以控制AP处理器的CPU进行硬件复位。
可选的,SP处理器复位IO端口对AP处理器进行硬件复位,可以避免AP处理器脱离SP处理器,独立启动和运行。另外,SP处理器还需要对AP处理器的异常复位进行处理。可选的,SP处理器可以配置成下降沿中断模式。当A P处理器异常复位时触发SP处理器中断。SP处理器在中断中进行软复位,重新启动SP处理器的操作系统。在SP处理器的操作系统启动后重新启动与AP处理器的交互流程,使AP处理器因异常复位后能正常启动。需要说明的是,SP处理器与AP处理器的交互线路需受到硬件保护,例如将相关链路和器件放在受保护的安全区中,确保AP处理器和SP处理器交互的数据不被篡改。
另外,在本实施例中,AP端只能将SP端发送的安全校验文件作为唯一的启动源,若存在其他的启动源时,必须禁掉。这里其它启动源可以包括AP处理器中FLASH内的安全校验文件。可选的,控制AP处理器进行硬件复位之后,SP操作系统与固化在AP处理器中的Ubootrom文件交互,即将包括所述厂商公钥的安全校验文件发送给所述AP处理器,然后SP处理器采用所述安全校验文件启动AP处理器。
上述基于双系统的电子设备安全启动方法,通过SP处理器中完成固件校验后,实现SP处理器的操作系统的安全启动,之后通过SP处理器对AP处理器进行硬件复位,SP处理器中的操作系统与AP处理器进行交互,实现从SP处理器端发送安全校验文件到AP处理器,以便AP处理器可以通过安全校验文件对AP处理器内原有的uboot文件进行安全校验,实现了SP处理器对AP处理器的安全校验,最终完成AP处理器的操作系统的启动。从而解决当AP处理器自身的启动不能满足安全要求时,通过与SP处理器交互,实现AP处理器的安全启动,满足高标准的安全要求。
如图3所示的基于双系统的电子设备安全启动方法的系统流程示意图,其中基于双系统的电子设备安全启动方法的执行主体可以为AP处理器,详述如下。
步骤301,接收SP处理器发送的安全校验文件。
步骤302,采用所述安全校验文件对AP处理器中的固件进行验签。
可选的,本步骤可以包括:所述AP处理器启动所述安全校验文件,并采用所述安全校验文件中的厂商公钥对所述AP处理器中的Uboot文件进行验签;
当对所述AP处理器中的Uboot文件验签成功时,则所述SP处理器启动所述AP处理器中的Uboot文件;
所述AP处理器中的Uboot文件采用所述安全校验文件中的厂商公钥对所述AP处理器中的OS文件进行验签;
当对所述AP处理器的OS文件验签成功后,则所述AP处理器中的Uboot文件启动所述AP处理器中的操作系统,即SP处理器成功启动AP处理器;
所述AP处理器中的操作系统采用客户公钥对所述AP处理器中的应用程序进行验签;
当对所述应用程序验签成功后,则所述AP处理器的操作系统启动所述应用程序。
可选的,采用所述安全校验文件中的所述厂商公钥对所述AP处理器中的Uboot文件进行验签,可以包括:
计算所述AP处理器中的Uboot文件的第九哈希值;
读取所述AP处理器中的Uboot文件的文件头,从所述Uboot文件的文件头中提取第十哈希值,并采用所述厂商公钥对所述第十哈希值解密,得到第十一哈希值;
检测所述第十哈希值与所述第十一哈希值是否一致;
当所述第十哈希值与所述第十一哈希值一致时,验签成功,确定所述SP处理器对所述AP处理器中的Uboot文件验签成功。当所述第十哈希值与所述第十一哈希值不一致时,验签失败,退出AP处理器的启动。
可选的,采用所述厂商公钥对所述AP处理器中的OS文件进行验签,包括:
计算所述AP处理器中的OS文件的第十二哈希值;
读取所述AP处理器中的OS文件的文件头,从所述OS文件的文件头中提取第十三哈希值,并采用所述厂商公钥对所述第十三哈希值解密,得到第十四哈希值;
检测所述第十二哈希值与所述第十四哈希值是否一致;
当所述第十二哈希值与所述第十四哈希值一致时,验签成功,确定所述AP处理器中的Uboot文件对所述AP处理器中的OS文件验签成功,即成功启动AP处理器的操作系。当所述第十二哈希值与所述第十四哈希值不一致时,验签失败,退出AP处理器的启动。
当成功启动AP处理器的操作系后,下载客户公钥,并根据客户公钥对AP处理器中的应用程序进行验签。
可选的,采用客户公钥对所述AP处理器中的应用程序进行验签,包括:
计算所述AP处理器中的应用程序文件的第十五哈希值;
读取所述AP处理器中的应用程序文件的签名信息字段,从所述签名信息字段中提取第十六哈希值,并采用客户公钥对所述第十六哈希值解密,得到第十七哈希值;
检测所述第十五哈希值与所述第十七哈希值是否一致;
当所述第十五哈希值与所述第十七哈希值一致时,验签成功,确定所述AP处理器的OS文件对所述应用程序文件验签成功。当所述第十五哈希值与所述第十七哈希值不一致时,验签失败,退出AP处理器的启动。
步骤303,当对AP处理器中的固件验签成功时,启动所述AP处理器。
,可选的,验签成功启动应用程序,验签失败,则可以进行错误提示,然后退出AP处理器的启动。可选的,在所述AP处理器端挂接显示屏;检测到异常时,通过所述显示屏进行错误提示。
可选的,受限于SP处理器的性能,若将显示屏挂接在AP处理器端,则只能在AP处理器的uboot文件启动后才能点亮显示屏进行数据显示。在AP处理器的uboot文件启动之前显示屏始终处于黑屏状态,如果在AP处理器的uboot文件启动之前发生了异常,不能通过显示屏进行错误提示。由于异常发生后,整个系统启动受阻,客户不能通过显示屏看到错误提示,无法获取排除故障的提示信息。只能充分利用挂接在SP处理器端的器件,因此,在SP处理器端上设置具有提示功能的外部设备,在AP处理器端上挂接显示屏。
当所述AP处理器的uboot文件启动前,检测到异常时,通过所述SP处理器端的外部设备进行错误提示,当所述AP处理器的uboot文件启动后,检测到异常时,通过所述AP处理器端的显示屏进行错误提示。提示方式可以与异常原因进行对应,例如下表所示:
系统启动后进行错误提示时,会根据当前机型的实际情况选择通过按键背光或蜂鸣器提示,对于蜂鸣器和按键背光都可用的情况,将同时采用闪按键背光和响蜂鸣器的方式进行错误提示。
可选的,通过上述安全启动方式,AP处理器的启动将受到SP处理器的安全控制。任何时候,AP处理器都可以被SP处理器通过复位IO端口对AP处理器进行硬件复位,然后完成AP处理器的安全启动。SP处理器可以每隔一段时间,对AP处理器进行硬件复位,完成新一轮的安全启动,以确保AP处理器的安全性。即使AP处理器出现敏感数据,也符合安全保护要求。因此,AP处理器将允许出现敏感数据和敏感服务,数据处理更加灵活,交易速度更快,有助于提升触屏产品的用户体验。
上述基于双系统的电子设备安全启动方法,通过SP处理器中完成固件校验后,实现SP处理器的操作系统的安全启动,之后通过SP处理器对AP处理器进行硬件复位,SP处理器中的操作系统与AP处理器进行交互,实现从SP处理器端发送安全校验文件到AP处理器,AP处理器启动安全校验文件,利用安全校验文件对AP处理器内原有的uboot文件进行安全校验,实现了SP处理器对AP处理器的安全校验,最终完成AP处理器的操作系统的启动。从而解决当AP处理器自身的启动不能满足安全要求时,通过与SP处理器交互,实现AP处理器的安全启动,满足高标准的安全要求。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
对应于上文实施例所述的基于双系统的电子设备安全启动方法,图4示出了本发明实施例提供的基于双系统的电子设备安全启动装置的示例图。如图4所示,该装置可以包括:获取模块401、第一验签模块402和处理模块403。
获取模块401,用于获取SP处理器中的厂商公钥和厂商公钥签名;
第一验签模块402,用于对所述厂商公钥的签名进行验签;
所述第一验签模块402,还用于当对所述厂商公钥签名验签成功后,根据所述厂商公钥对所述SP处理器中的固件进行验签;
处理模块403,用于当对所述SP处理器中的固件验签成功时,控制AP处理器进行硬件复位,并将包括所述厂商公钥的安全校验文件发送给所述AP处理器,根据所述安全校验文件启动所述AP处理器。
可选的,所述第一验签模块402对所述厂商公钥签名进行验签,可以用于:根据所述厂商公钥,对所述厂商公钥签名进行解密得到所述厂商公钥的第一哈希值;根据所述厂商公钥,计算得到所述厂商公钥的第二哈希值;检测所述第一哈希值与所述第二哈希值是否一致;当所述第一哈希值与所述第二哈希值一致时,确定对所述厂商公钥签名验签成功。
可选的,所述第一验签模块402根据所述厂商公钥对所述SP处理器中的固件进行验签,包括:采用所述厂商公钥对所述SP处理器中的Boot文件进行验签;当对所述Boot文件验签成功时,则启动所述SP处理器中的Boot文件;采用所述厂商公钥对所述SP处理器中的OS文件进行验签;当对所述SP处理器中的OS文件验签成功,则启动所述SP处理器中的操作系统。
可选的,所述验签模块402在所述当对所述厂商公钥的签名验签成功后,还可以用于:将所述厂商公钥写入SP的存储器中。
上述基于双系统的电子设备安全启动装置,通过第一验签模块完成SP处理器中固件校验后,实现SP处理器的操作系统的安全启动,之后通过处理模块对AP处理器进行硬件复位,并通过SP处理器中的操作系统与AP处理器进行交互,实现从SP处理器端发送安全校验文件到AP处理器,以便AP处理器可以通过安全校验文件对AP处理器内原有的uboot文件进行安全校验,实现了SP处理器对AP处理器的安全校验,最终完成AP处理器的操作系统的启动。从而解决当AP处理器自身的启动不能满足安全要求时,通过与SP处理器交互,实现AP处理器的安全启动,满足高标准的安全要求。
图5示出了本发明实施例提供的基于双系统的电子设备安全启动装置的示例图。如图5所示,该装置可以包括:接收模块501、第二验签模块502和启动模块503。
接收模块501,用于接收SP处理器发送的安全校验文件;
第二验签模块502,用于采用所述安全校验文件对AP处理器中的固件进行验签;
启动模块503,用于当对AP处理器中的固件验签成功时,启动所述AP处理器。
可选的,所述第二验签模块502采用所述安全校验文件对AP处理器中的固件进行验签时,可以用于:启动所述安全校验文件,并采用所述安全校验文件中的厂商公钥对所述AP处理器中的Uboot文件进行验签;当对所述AP处理器中的Uboot文件验签成功时,则启动所述AP处理器中的Uboot文件;采用所述安全校验文件中的厂商公钥对所述AP处理器中的OS文件进行验签;当对所述AP处理器的OS文件验签成功后,则启动所述AP处理器中的操作系统;采用客户公钥对所述AP处理器中的应用程序进行验签;当对所述应用程序验签成功后,则启动所述应用程序。
可选的,在所述AP处理器端挂接显示屏;检测到异常时,通过所述显示屏进行错误提示。
上述基于双系统的电子设备安全启动装置,通过接收模块接收SP处理器发送的安全校验文件;第二验签模块采用所述安全校验文件对AP处理器中的固件进行验签;当验签均成功后启动模块启动所述AP处理器,实现了SP处理器对AP处理器的安全校验,最终完成AP处理器的操作系统的启动。从而解决当AP处理器自身的启动不能满足安全要求时,通过与SP处理器交互,实现AP处理器的安全启动,满足高标准的安全要求。
图6是本发明一实施例提供的终端设备的示意图。如图6所示,该实施例的终端设备600包括:SP端和AP端,其中,SP端包括SP处理器601、存储器602以及存储在所述存储器602中并可在所述SP处理器601上运行的计算机程序603,例如基于双系统的电子设备安全启动程序;以及AP端包括AP处理器604、存储器605以及存储在所述存储器605中并可在所述AP处理器604上运行的计算机程序606,例如基于双系统的电子设备安全启动程序。所述SP处理器601执行所述计算机程序603时实现上述基于双系统的电子设备安全启动方法实施例中的步骤,例如图1所示的步骤101至103,或者图2所示的步骤201至步骤205,所述SP处理器601执行所述计算机程序603时实现上述各装置实施例中各模块的功能,例如图4所示模块401至403的功能。所述AP处理器604执行所述计算机程序606时实现上述基于双系统的电子设备安全启动方法实施例中的步骤,例如图3所示的步骤301至步骤303,所述AP处理器604执行所述计算机程序606时实现上述各装置实施例中各模块的功能,例如图5所示模块501至503的功能。
示例性的,所述计算机程序603以及计算机程序606可以被分割成一个或多个程序模块,所述一个或者多个程序模块被存储在所述存储器602以及存储器605中,并由所述SP处理器601或者AP处理器604执行,以完成本发明。所述一个或多个程序模块可以是能够完成特定功能的一系列计算机程序指令段,该指令段用于描述所述计算机程序603在所述基于双系统的电子设备安全启动装置或者终端设备600中的执行过程。例如,所述计算机程序603可以被分割成获取模块401、第一验签模块402和处理模块403,各模块具体功能如图4所示,该指令段用于描述所述计算机程序606在所述基于双系统的电子设备安全启动装置或者终端设备600中的执行过程。例如,所述计算机程序606可以被分割成接收模块501、第二验签模块502和启动模块503,各模块具体功能如图5所示,在此不再一一赘述。
所述终端设备600可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述终端设备可包括,但不仅限于,处理器、存储器。本领域技术人员可以理解,图6仅仅是终端设备600的示例,并不构成对终端设备600的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如所述终端设备还可以包括输入输出设备、网络接入设备、总线等。
所称SP处理器601或者AP处理器604可以是中央处理单元(Central ProcessingUnit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
所述存储器602或存储器605可以是所述终端设备600的内部存储单元,例如终端设备600的硬盘或内存。所述存储器602或存储器605也可以是所述终端设备600的外部存储设备,例如所述终端设备600上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。进一步地,所述存储器602或存储器605还可以既包括所述终端设备600的内部存储单元也包括外部存储设备。所述存储器602或存储器605用于存储所述计算机程序以及所述终端设备600所需的其他程序和数据。所述存储器602或存储器605还可以用于暂时地存储已经输出或者将要输出的数据。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,仅以上述各功能单元、模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能单元、模块完成,即将所述装置的内部结构划分成不同的功能单元或模块,以完成以上描述的全部或者部分功能。实施例中的各功能单元、模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中,上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。另外,各功能单元、模块的具体名称也只是为了便于相互区分,并不用于限制本申请的保护范围。上述系统中单元、模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述或记载的部分,可以参见其它实施例的相关描述。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
在本发明所提供的实施例中,应该理解到,所揭露的装置/终端设备和方法,可以通过其它的方式实现。例如,以上所描述的装置/终端设备实施例仅仅是示意性的,例如,所述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通讯连接可以是通过一些接口,装置或单元的间接耦合或通讯连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是,所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,计算机可读介质不包括电载波信号和电信信号。
以上所述实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围,均应包含在本发明的保护范围之内。
Claims (8)
1.一种基于双系统的电子设备安全启动方法,其特征在于,包括:
获取安全处理器SP处理器中的厂商公钥和厂商公钥签名,并对所述厂商公钥签名进行验签,包括:根据所述厂商公钥,对所述厂商公钥签名进行解密得到所述厂商公钥的第一哈希值;根据所述厂商公钥,计算得到所述厂商公钥的第二哈希值;检测所述第一哈希值与所述第二哈希值是否一致;当所述第一哈希值与所述第二哈希值一致时,确定对所述厂商公钥签名验签成功;
当对所述厂商公钥签名验签成功后,根据所述厂商公钥对所述SP处理器中的固件进行验签;
当对所述SP处理器中的固件验签成功时,控制应用处理器AP处理器进行硬件复位,并将安全校验文件发送给所述AP处理器,根据所述安全校验文件启动所述AP处理器;其中,安全检验文件中包含SP处理器中的厂商公钥,用于校验AP处理器中的固件,以实现安全检验文件安全启动AP处理器,所述SP处理器发送的安全校验文件为AP处理器的唯一的启动源;SP处理器配置为下降沿中断模式,当AP处理器异常复位时触发SP处理器中断,SP处理器在中断中进行软复位,重新启动SP处理器的操作系统。
2.如权利要求1所述的基于双系统的电子设备安全启动方法,其特征在于,所述根据所述厂商公钥对所述SP处理器中的固件进行验签,包括:
所述SP处理器采用所述厂商公钥对所述SP处理器中的启动引导程序Boot文件进行验签;
当对所述Boot文件验签成功时,则所述SP处理器启动所述SP处理器中的Boot文件;
所述SP处理器中的Boot文件采用所述厂商公钥对所述SP处理器中的操作系统OS文件进行验签;
当对所述SP处理器中的OS文件验签成功,则所述SP处理器中的Boot 文件启动所述SP处理器中的操作系统。
3.一种基于双系统的电子设备安全启动方法,其特征在于,包括:
接收SP处理器发送的安全校验文件;其中,安全检验文件中包含SP处理器中的厂商公钥,用于校验AP处理器中的固件,以实现安全检验文件安全启动AP处理器,所述SP处理器发送的安全校验文件为AP处理器的唯一的启动源;SP处理器配置为下降沿中断模式,当AP处理器异常复位时触发SP处理器中断,SP处理器在中断中进行软复位,重新启动SP处理器的操作系统;
采用所述安全校验文件对AP处理器中的固件进行验签,包括:所述AP处理器启动所述安全校验文件,并采用所述安全校验文件中的厂商公钥对所述AP处理器中的启动引导程序Uboot文件进行验签;当对所述AP处理器中的Uboot文件验签成功时,则所述SP处理器启动所述AP处理器中的Uboot文件;所述AP处理器中的Uboot文件采用所述安全检验文件中的厂商公钥对所述AP处理器中的OS文件进行验签;当对所述AP处理器的OS文件验签成功后,则所述AP处理器中的Uboot文件启动所述AP处理器中的操作系统;所述AP处理器中的操作系统采用客户公钥对所述AP处理器中的应用程序进行验签;当对所述应用程序验签成功后,则所述AP处理器的操作系统启动所述应用程序;
当对AP处理器中的固件验签成功时,启动所述AP处理器。
4.如权利要求3所述的基于双系统的电子设备安全启动方法,其特征在于,在所述AP处理器端挂接显示屏;
检测到异常时,通过所述显示屏进行错误提示。
5.一种基于双系统的电子设备安全启动装置,其特征在于,包括:
获取模块,用于获取SP处理器中的厂商公钥和厂商公钥签名;
第一验签模块,用于对所述厂商公钥签名进行验签;
所述第一验签模块,还用于当对所述厂商公钥签名验签成功后,根据所述厂商公钥对所述SP处理器中的固件进行验签;所述第一验签模块对所述厂商公钥签名进行验签,用于:根据所述厂商公钥,对所述厂商公钥签名进行解密得到所述厂商公钥的第一哈希值;根据所述厂商公钥,计算得到所述厂商公钥的第二哈希值;检测所述第一哈希值与所述第二哈希值是否一致;当所述第一哈希值与所述第二哈希值一致时,确定对所述厂商公钥签名验签成功;
发送模块,用于当对所述SP处理器中的固件验签成功时,控制AP处理器进行硬件复位,并将包括所述厂商公钥的安全校验文件发送给所述AP处理器,根据所述安全校验文件启动所述AP处理器;其中,安全检验文件中包含SP处理器中的厂商公钥,用于校验AP处理器中的固件,以实现安全检验文件安全启动AP处理器,所述SP处理器发送的安全校验文件为AP处理器的唯一的启动源;SP处理器配置为下降沿中断模式,当AP处理器异常复位时触发SP处理器中断,SP处理器在中断中进行软复位,重新启动SP处理器的操作系统。
6.一种基于双系统的电子设备安全启动装置,其特征在于,包括:
接收模块,用于接收SP处理器发送的安全校验文件;其中,安全检验文件中包含SP处理器中的厂商公钥,用于校验AP处理器中的固件,以实现安全检验文件安全启动AP处理器,所述SP处理器发送的安全校验文件为AP处理器的唯一的启动源;SP处理器配置为下降沿中断模式,当AP处理器异常复位时触发SP处理器中断,SP处理器在中断中进行软复位,重新启动SP处理器的操作系统;
第二验签模块,用于采用所述安全校验文件对AP处理器中的固件进行验签;所述第二验签模块采用所述安全校验文件对AP处理器中的固件进行验签时,用于:启动所述安全校验文件,并采用所述安全校验文件中的厂商公钥对所述AP处理器中的Uboot文件进行验签;当对所述AP处理器中的Uboot文件验签成功时,则启动所述AP处理器中的Uboot文件;采用所述安全校验文件中的厂商公钥对所述AP处理器中的OS文件进行验签;当对所述AP处理器的OS文件验签成功后,则启动所述AP处理器中的操作系统;采用客户公钥对所述AP处理器中的应用程序进行验签;当对所述应用程序验签成功后,则启动所述应用程序;
启动模块,用于当对AP处理器中的固件验签成功时,启动所述AP处理器。
7.一种终端设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1或2所述方法的步骤或者如权利要求3或4所述方法的步骤。
8.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1或2所述方法的步骤或者如权利要求3或4所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911039337.2A CN110909360B (zh) | 2019-10-29 | 2019-10-29 | 基于双系统的电子设备安全启动方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911039337.2A CN110909360B (zh) | 2019-10-29 | 2019-10-29 | 基于双系统的电子设备安全启动方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110909360A CN110909360A (zh) | 2020-03-24 |
| CN110909360B true CN110909360B (zh) | 2022-05-27 |
Family
ID=69814661
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911039337.2A Active CN110909360B (zh) | 2019-10-29 | 2019-10-29 | 基于双系统的电子设备安全启动方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110909360B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111736892B (zh) * | 2020-06-19 | 2022-06-17 | 浪潮(北京)电子信息产业有限公司 | 一种uboot启动方法、系统、设备及计算机存储介质 |
| CN112036861B (zh) * | 2020-08-31 | 2024-05-10 | 百富计算机技术(深圳)有限公司 | 一种安全设备 |
| CN112036860B (zh) * | 2020-08-31 | 2024-06-21 | 百富计算机技术(深圳)有限公司 | 一种安全设备 |
| CN112804054A (zh) * | 2021-01-27 | 2021-05-14 | 上海商米科技集团股份有限公司 | 金融pos密钥容量扩充系统及ap芯片与sp芯片之间密钥交互方法 |
| CN113626839B (zh) * | 2021-03-31 | 2024-09-10 | 中汽创智科技有限公司 | 一种基于多线程并发处理的加解密引擎系统、方法及汽车 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108134676A (zh) * | 2017-12-19 | 2018-06-08 | 上海闻泰电子科技有限公司 | Android系统安全启动方法及可读存储介质 |
| CN108573130A (zh) * | 2018-05-24 | 2018-09-25 | 深圳鼎智通讯股份有限公司 | 一种智能pos终端运行时切机防护系统 |
| CN108875382A (zh) * | 2018-05-24 | 2018-11-23 | 深圳鼎智通讯股份有限公司 | 一种智能pos终端永久性防切机的保护方法 |
| CN109508529A (zh) * | 2018-11-20 | 2019-03-22 | 艾体威尔电子技术(北京)有限公司 | 一种支付终端安全启动校验的实现方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102016009232A1 (de) * | 2016-07-28 | 2018-02-01 | Giesecke+Devrient Mobile Security Gmbh | Integriertes Teilnehmeridentitätsmodul mit Core-OS und Anwendungs-OS |
-
2019
- 2019-10-29 CN CN201911039337.2A patent/CN110909360B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108134676A (zh) * | 2017-12-19 | 2018-06-08 | 上海闻泰电子科技有限公司 | Android系统安全启动方法及可读存储介质 |
| CN108573130A (zh) * | 2018-05-24 | 2018-09-25 | 深圳鼎智通讯股份有限公司 | 一种智能pos终端运行时切机防护系统 |
| CN108875382A (zh) * | 2018-05-24 | 2018-11-23 | 深圳鼎智通讯股份有限公司 | 一种智能pos终端永久性防切机的保护方法 |
| CN109508529A (zh) * | 2018-11-20 | 2019-03-22 | 艾体威尔电子技术(北京)有限公司 | 一种支付终端安全启动校验的实现方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110909360A (zh) | 2020-03-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110909360B (zh) | 基于双系统的电子设备安全启动方法及装置 | |
| US9881162B2 (en) | System and method for auto-enrolling option ROMS in a UEFI secure boot database | |
| US20190073478A1 (en) | Hardware-enforced firmware security | |
| CN100511086C (zh) | 在预引导环境中提供安全执行模式 | |
| EP2069992B1 (en) | Protecting interfaces on processor architectures | |
| US8832457B2 (en) | Methods and apparatus for authenticating components of processing systems | |
| EP2831792B1 (en) | Providing an immutable antivirus payload for internet ready compute nodes | |
| KR101856284B1 (ko) | 장치의 초기화 동안 펌웨어의 백업 | |
| CN110795738B (zh) | 一种计算机的启动方法和控制器、存储介质以及系统 | |
| US20090307478A1 (en) | Platform boot with bridge support | |
| US20130227262A1 (en) | Authentication device and authentication method | |
| US9928367B2 (en) | Runtime verification | |
| US10902127B2 (en) | Method and apparatus for secure boot of embedded device | |
| WO2020037613A1 (zh) | 嵌入式程序的安全升级方法、装置、设备及存储介质 | |
| CN110874467B (zh) | 信息处理方法、装置、系统以及处理器、存储介质 | |
| CN112181513B (zh) | 一种基于硬件板卡的控制主机系统引导的可信度量方法 | |
| CN113420297A (zh) | 一种可信验证的系统、方法、主板、微型板卡及存储介质 | |
| CN112016092A (zh) | 一种基于tpm服务器资产信息多层保护的装置及方法 | |
| CN111176685A (zh) | 一种升级方法及装置 | |
| WO2022058459A1 (en) | Bootloaders | |
| CN106960138A (zh) | 虚拟机指令的校验方法及装置、系统 | |
| CN111597560A (zh) | 一种安全可信模组启动方法及系统 | |
| CN110990840A (zh) | 设备开机的方法及装置 | |
| CN114385248B (zh) | 处理信任链的计算系统及装置 | |
| CN118427147B (zh) | 基于eSPI的服务器主板的安全启动方法及相关设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |