CN111353150A

CN111353150A - 一种可信启动方法、装置、电子设备及可读存储介质

Info

Publication number: CN111353150A
Application number: CN202010116411.2A
Authority: CN
Inventors: 张兆义
Original assignee: Suzhou Inspur Intelligent Technology Co Ltd
Current assignee: Suzhou Inspur Intelligent Technology Co Ltd
Priority date: 2020-02-25
Filing date: 2020-02-25
Publication date: 2020-06-30
Anticipated expiration: 2040-02-25
Also published as: CN111353150B; US20230359741A1; WO2021169106A1

Abstract

本申请公开了一种可信启动方法，通过设计仅支持一次数据写入的IE FUSE和支持多次数据写入的IE FW，使得写入IE FUSE中的第一密钥无法被篡改，若从当前的IE FW中提取到的第一签名生成的第二密钥与第一密钥不同，则说明当前的IE FW中存储的IE启动参数已经与最初存进IE FW中的IE启动参数不同，即遭到了篡改。绝大多数情况下，IE FW中存储的IE启动参数不应遭到篡改，因此一旦发现被篡改有理由认为存在被恶意攻击的安全隐患。本申请还同时公开了一种可信启动装置、电子设备及可读存储介质，具有上述有益效果。

Description

一种可信启动方法、装置、电子设备及可读存储介质

技术领域

本申请涉及轻便类网络设备安全启动技术领域，特别涉及一种可信启动方法、装置、电子设备及可读存储介质。

背景技术

IE(Innovation Engine，革新引擎)是一种PCH(Platform Controller Hub，是Intel公司的集成南桥)或者SOC(System On Chip，芯片级系统)的嵌入式核心系统，基于非常小的32位内核库，与Intel的管理系统很类似，但是具有自身的一些特权和输入输出接口差异。IE是精简的BMC(Baseboard Management Controller，基板管理控制器)监控管理系统，仅具有部分IPMI(Intelligent Platform Management Interface智能平台管理接口)、Redfish(一种HTTPs服务的管理标准)、LAN(网口)等功能。

随着5G时代的到来，物联网通信正在引领全球，各种中小型设备如网络终端、外挂式交换机和路由器设备、远程监控系统不断被催生出来。这些设备较之服务器，不需要x86系列CPU很高的性能，只需要一些低功耗CPU支持其正常进入OS(操作系统)来加载相关的模块运行即可，无需加入类似BMC这种大型管理系统，因此精简监控管理系统的IE便是该类设备首选。IE只需进行简单监控和Sensor获取，控制相关输入和输出引脚操作，保证系统正常稳定的运行，并且能够带内升级相应的外设固件版本。

在此类设备上，IE往往与实际负责启动OS的BIOS集成在一个Flash上，这种轻便类设备对于监控管理要求少，但是对于系统的可靠性、稳定性、以及安全可信性要求极高，要求系统在启动过程中针对每一块镜像文件区域进行安全验证，才能正常启动。

目前并没有满足此类设备在安全可信性上要求的实现方案。

发明内容

本申请提供了一种可信启动方法、装置、电子设备及可读存储介质，旨在针对轻便类设备提供一种通过IE实现可信启动的方案。

为实现上述目的，本申请提供一种可信启动方法，包括：

从IE FUSE中提取得到第一密钥；其中，所述IE FUSE仅支持一次数据写入，所述第一密钥基于最初的IE FW中存储的IE启动参数生成，所述IE FW支持多次数据写入；

从所述IE FW中提取得到第一签名，并根据所述第一签名生成第二密钥；其中，所述第二密钥基于当前的IE FW中存储的IE启动参数生成；

判断所述第一密钥与所述第二密钥是否相同；

若第一密钥与所述第二密钥相同，则判定所述IE FW中存储的IE启动参数未遭到篡改，并通过IBB控制BIOS启动操作系统；

若第一密钥与所述第二密钥不同，则判定所述IE FW中存储的IE启动参数遭到篡改，并终止本次启动。

可选的，在通过IBB控制BIOS启动操作系统之前，还包括：

验证当前的BIOS启动参数是否可信；

若当前的BIOS启动参数不可信，则终止执行所述通过IBB控制BIOS启动操作系统的步骤；

若当前的BIOS的启动参数可信，则执行所述通过IBB控制BIOS启动操作系统的步骤。

可选的，验证当前的BIOS启动参数是否可信，包括：

从所述IE FUSE中提取得到第三密钥；其中，所述第三密钥基于最初的BIOS启动参数存储块中存储的BIOS启动参数生成，所述BIOS启动参数存储块支持多次数据写入；

从所述BIOS启动参数存储块中提取得到第二签名，并根据所述第二签名生成第四密钥；其中，所述第四密钥基于当前的BIOS启动参数存储块中存储的BIOS启动参数生成；

判断所述第三密钥与所述第四密钥是否相同；

若所述第三密钥与所述第四密钥相同，则判定当前的BIOS启动参数可信；

若所述第三密钥与所述第四密钥不同，则判定当前的BIOS启动参数不可信。

可选的，当所述BIOS启动参数被分开存储在KM和BPM两个存储块时，验证当前的BIOS启动参数是否可信，包括：

从所述IE FUSE中提取得到第五密钥；其中，所述第五密钥基于最初的KM中存储的BIOS启动参数生成，所述KM支持多次数据写入；

从所述KM中提取得到第三签名，并根据所述第三签名生成第六密钥；其中，所述第六密钥基于当前的KM中存储的BIOS启动参数生成；

判断所述第五密钥与所述第六密钥是否相同；

若所述第五密钥与所述第六密钥相同，则从所述KM中提取得到第七密钥；从所述BPM中提取得到第四签名，并根据所述第四签名生成第八密钥；判断所述第七密钥与所述第八密钥是否相同；若所述第七密钥与所述第八密钥相同，则判定当前的BIOS启动参数可信；其中，所述第七密钥基于最初的BPM中存储的BIOS启动参数生成，所述BPM支持多次数据写入，所述第八密钥基于当前的BPM中存储的BIOS启动参数生成；

若所述第五密钥与所述第六密钥不同或所述第七密钥与所述第八密钥不同，则判定当前的BIOS启动参数不可信。

可选的，在终止本次启动之前，还包括：

查询预设的特殊启动规则，确定是否存在与当前的IE启动参数相对应的允许启动命令；

若存在，则根据当前的IE启动参数通过所述IBB控制BIOS启动操作系统，同时将本次启动以特殊启动的方式记录在启动日志中。

可选的，该可信启动方法还包括：

根据所述启动日志统计得到预设时长内的特殊启动的启动次数；

若所述启动次数超过预设次数，通过预设路径发出更换提醒，以根据所述更换提醒将当前的芯片设备更换为新芯片设备；其中，所述新芯片设备的IE FUSE中存储有基于当前的IE启动参数生成的新第一密钥。

为实现上述目的，本申请还提供了一种可信启动装置，包括：

第一密钥获取单元，用于从IE FUSE中提取得到第一密钥；其中，所述IE FUSE仅支持一次数据写入，所述第一密钥基于最初的IE FW中存储的IE启动参数生成，所述IE FW支持多次数据写入；

第二密钥获取单元，用于从所述IE FW中提取得到第一签名，并根据所述第一签名生成第二密钥；其中，所述第二密钥基于当前的IE FW中存储的IE启动参数生成；

第一相同判断单元，用于判断所述第一密钥与所述第二密钥是否相同；

可信启动单元，用于当第一密钥与所述第二密钥相同时，判定所述IE FW中存储的IE启动参数未遭到篡改，并通过IBB控制BIOS启动操作系统；

不可信终止启动单元，用于当第一密钥与所述第二密钥不同时，判定所述IE FW中存储的IE启动参数遭到篡改，并终止本次启动。

可选的，该可信启动装置还包括：

BIOS启动参数可信验证单元，用于在通过IBB控制BIOS启动操作系统之前，验证当前的BIOS启动参数是否可信；

启动操作终止执行单元，用于当当前的BIOS启动参数不可信时，终止执行所述通过IBB控制BIOS启动操作系统的步骤；

启动操作继续执行单元，用于当当前的BIOS的启动参数可信时，执行所述通过IBB控制BIOS启动操作系统的步骤。

可选的，所述BIOS启动参数可信验证单元包括：

第三密钥获取子单元，用于从所述IE FUSE中提取得到第三密钥；其中，所述第三密钥基于最初的BIOS启动参数存储块中存储的BIOS启动参数生成，所述BIOS启动参数存储块支持多次数据写入；

第四密钥获取子单元，用于从所述BIOS启动参数存储块中提取得到第二签名，并根据所述第二签名生成第四密钥；其中，所述第四密钥基于当前的BIOS启动参数存储块中存储的BIOS启动参数生成；

第二相同判断子单元，用于判断所述第三密钥与所述第四密钥是否相同；

BIOS启动参数第一可信判定子单元，用于当所述第三密钥与所述第四密钥相同时，判定当前的BIOS启动参数可信；

BIOS启动参数第一不可信判定子单元，用于当所述第三密钥与所述第四密钥不同时，判定当前的BIOS启动参数不可信。

可选的，当所述BIOS启动参数被分开存储在KM和BPM两个存储块时，所述BIOS启动参数可信验证单元包括：

第五密钥获取子单元，用于从所述IE FUSE中提取得到第五密钥；其中，所述第五密钥基于最初的KM中存储的BIOS启动参数生成，所述KM支持多次数据写入；

第六密钥获取子单元，用于从所述KM中提取得到第三签名，并根据所述第三签名生成第六密钥；其中，所述第六密钥基于当前的KM中存储的BIOS启动参数生成；

第三相同判断子单元，用于判断所述第五密钥与所述第六密钥是否相同；

第七密钥获取子单元，用于当所述第五密钥与所述第六密钥相同时，从所述KM中提取得到第七密钥；

第八密钥获取子单元，用于从所述BPM中提取得到第四签名，并根据所述第四签名生成第八密钥；

第四相同判断子单元，用于判断所述第七密钥与所述第八密钥是否相同；

BIOS启动参数第二可信判定子单元，用于当所述第七密钥与所述第八密钥相同时，判定当前的BIOS启动参数可信；其中，所述第七密钥基于最初的BPM中存储的BIOS启动参数生成，所述BPM支持多次数据写入，所述第八密钥基于当前的BPM中存储的BIOS启动参数生成；

BIOS启动参数第二不可信判定子单元，用于当所述第五密钥与所述第六密钥不同或所述第七密钥与所述第八密钥不同时，判定当前的BIOS启动参数不可信。

可选的，该可信启动装置还包括：

特殊允许启动确认单元，用于在终止本次启动之前，查询预设的特殊启动规则，确定是否存在与当前的IE启动参数相对应的允许启动命令；

特殊启动及记录单元，用于当所述特殊启动规则中存在与当前的IE启动参数相对应的允许启动命令时，根据当前的IE启动参数通过所述IBB控制BIOS启动操作系统，同时将本次启动以特殊启动的方式记录在启动日志中。

可选的，该可信启动装置还包括：

特殊启动次数统计单元，用于根据所述启动日志统计得到预设时长内的特殊启动的启动次数；

更换提醒发出单元，用于当所述启动次数超过预设次数时，通过预设路径发出更换提醒，以根据所述更换提醒将当前的芯片设备更换为新芯片设备；其中，所述新芯片设备的IE FUSE中存储有基于当前的IE启动参数生成的新第一密钥。

为实现上述目的，本申请还提供了一种电子设备，包括：

存储器，用于存储计算机程序；

处理器，用于在执行所述计算机程序时实现如上述内容所描述的可信启动方法中的各步骤。

为实现上述目的，本申请还提供了一种可读存储介质，所述可读存储介质上存储有计算机程序，所述计算机程序在被处理器执行后实现如上述内容所描述的可信启动方法中的各步骤。

本申请提供的一种可信启动方法包括：从IE FUSE中提取得到第一密钥；其中，所述IE FUSE仅支持一次数据写入，所述第一密钥基于最初的IE FW中存储的IE启动参数生成，所述IE FW支持多次数据写入；从所述IE FW中提取得到第一签名，并根据所述第一签名生成第二密钥；其中，所述第二密钥基于当前的IE FW中存储的IE启动参数生成；判断所述第一密钥与所述第二密钥是否相同；若第一密钥与所述第二密钥相同，则判定所述IE FW中存储的IE启动参数未遭到篡改，并通过IBB控制BIOS启动操作系统；若第一密钥与所述第二密钥不同，则判定所述IE FW中存储的IE启动参数遭到篡改，并终止本次启动。

根据本申请提供的可信启动方法可以看出，通过设计仅支持一次数据写入的IEFUSE和支持多次数据写入的IE FW，使得写入IE FUSE中的第一密钥无法被篡改，而一旦基于从当前的IE FW中提取到的第一签名生成的第二密钥与第一密钥不同，则说明当前的IEFW中存储的IE启动参数已经与最初存进IEFW中的IE启动参数不同，即遭到了篡改。绝大多数情况下，IE FW中存储的IE启动参数不应遭到篡改，因此一旦发现被篡改有理由认为存在被恶意攻击的安全隐患。应用本申请提供的可信启动方法，可有效通过密钥之间是否具有一致性来准确判断IE启动参数是否可信，从而保证轻便类设备的启动是安全的、可信的。本申请同时还提供了一种可信启动装置、电子设备及可读存储介质，具有上述有益效果，在此不再赘述。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为本申请实施例提供的一种可信启动方法的流程图；

图2为对应于图1所示方法的一种可信启动流程示意图；

图3为本申请实施例提供的另一种可信启动方法的流程图；

图4为本申请实施例提供的可信启动方法中一种验证当前的BIOS启动参数是否可信的方法的流程图；

图5为本申请实施例提供的可信启动方法中另一种验证当前的BIOS启动参数是否可信的方法的流程图；

图6为对应于图5所示方法的又一种可信启动流程示意图；

图7为本申请实施例提供的一种基于特殊启动规则确定是否允许特殊启动的方法的流程图；

图8为本申请实施例提供的一种可信启动装置的结构框图。

具体实施方式

为使本申请实施例的目的、技术方案和优点更加清楚，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本申请保护的范围。

实施例一

请参见图1，图1为本申请实施例提供的一种可信启动方法的流程图，其包括以下步骤：

S101：从IE FUSE中提取得到第一密钥；

其中，IE FUSE仅支持一次数据写入，第一密钥基于最初的IE FW中存储的IE启动参数生成，IE FW支持多次数据写入，IE FUSE和IE FW分别为同一个Flash上的不同数据存储块。

由于IE FUSE仅支持一次数据写入，因此当第一密钥被写入IE FUSE之后就无法被更改，本申请借助这一特定用于与实际存储IE启动参数的IE FW中的第二密钥进行一致性比较，从而判断出IE FW中存储的数据是否遭到了篡改。

S102：从IE FW中提取得到第一签名，并根据第一签名生成第二密钥；

其中，第二密钥基于当前的IE FW中存储的IE启动参数生成，第一签名是通过特定手段对第二密钥进行封装后得到的产物。

当第一密钥具体为使用非对称加密算法对IE启动参数计算得到的公钥(PublicKey)时，第一签名则对应为使用与公钥对应的私钥对公钥进行加密后得到的产物；当第一密钥具体为对公钥进行Hash运算后得到的Hash指(也可称为摘要)时，第一签名则对应为使用私钥对摘要进行加密后得到产物。

S103：判断第一密钥与第二密钥是否相同，若相同，则执行S104，否则执行S105；

在S101和S102的基础上，本步骤旨在判断第一密钥与第二密钥是否相同，以通过判断结果确定支持多次数据写入的IE FW中存储的IE启动参数是否遭到篡改，从而确定出本次当前的IE启动参数是否可信。

S104：判定IE FW中存储的IE启动参数未遭到篡改，并通过IBB控制BIOS启动操作系统；

本步骤建立在S103的判断结果为第一密钥与第二密钥相同的基础上，说明当前的IE FW中存储的IE启动参数仍保持为最初写入其中的IE启动参数，因此可以判定IE FW中存储的IE启动参数未遭到篡改，在IE启动参数未遭到篡改的情况下，应当认为当前的IE启动参数是可信的，所以后续将通过IBB(Initial Boot Block，初始启动块，包括SEC file(Security file，安全文件)、PEI core(Pre EFI Initialization core，预初始化核心),and PEI modules(Driver Execution Environment，驱动程序执行环境组件))将控制权移交给BIOS(Basic Input Output System，基本输入输出系统)，来由BIOS通过UEFI(UnifiedExtensible Firmware Interface，统一可扩展固件接口)四阶段实现启动OS(操作系统)。

S105：判定IE FW中存储的IE启动参数遭到篡改，并终止本次启动。

本步骤建立在S103的判断结果为第一密钥与第二密钥不同的基础上，说明当前的IE FW中存储的IE启动参数已经不是最初写入其中的IE启动参数，因此可以判定IE FW中存储的IE启动参数遭到过篡改，如果是官方人员或在获得官方授权的管理人员进行的篡改往往会提前获知。因此，在IE启动参数遭到篡改的情况下，有理由认为当前的IE启动参数是不可信的，并终止本次启动。

以智能网络摄像头为例，若此类轻便类网络设备采用了基于IE的处理器作为中央处理器，若其IE启动参数遭到恶意篡改，很有可能导致该设备被远程控制，并在控制下窥探用户个人隐私。因此，为了避免此类问题发生，将在通过上述方案的判定下发现当前的IE启动参数不可信，并终止本次启动。

根据本申请提供的可信启动方法可以看出，通过设计仅支持一次数据写入的IEFUSE和支持多次数据写入的IE FW，使得写入IE FUSE中的第一密钥无法被篡改，而一旦基于从当前的IE FW中提取到的第一签名生成的第二密钥与第一密钥不同，则说明当前的IEFW中存储的IE启动参数已经与最初存进IEFW中的IE启动参数不同，即遭到了篡改。绝大多数情况下，IE FW中存储的IE启动参数不应遭到篡改，因此一旦发现被篡改有理由认为存在被恶意攻击的安全隐患。应用本申请提供的可信启动方法，可有效通过密钥之间是否具有一致性来准确判断IE启动参数是否可信，从而保证轻便类设备的启动是安全的、可信的。

为便于理解，本申请还通过图2提供了一种与图1所示流程图对应的启动流程示意图，从图2示出的某种具体应用场景下，第一密钥可被命名为OEM(Original EquipmentManufacturer，原始设备制造商)Key，即对应的Hash(IE_0)表示基于最初写入IE FW中的IE启动参数计算得到的公钥的Hash运算结果，即通过比对Hash(IE_0)与Hash(IE_1)是否相同，即可判断出IE FW中存储的IE启动参数是否遭到了篡改，并在相同是由IBB控制BIOS完成操作系统的启动。

实施例二

上述实施例提供了如何验证当前的IE启动参数是否可信的方案，根据本申请背景技术对IE应用方式的说明可见：IE作为精简的BMC，其与BIOS整合在一块Flash，基于IE的特性，在设备的完整启动流程中，IE将先于BIOS启动，即IE启动完成后会再将控制转交为BIOS，由BIOS控制完成操作系统的启动。因此，虽然在IE启动参数可信的情况下，BIOS启动参数遭到篡改的可能性不大，为考虑到确实存在可能性和先例，本实施例在实施例一的基础上还增加了对BIOS启动参数的可信验证，以尽可能的确保本次启动是安全的、可靠的。

请参见图3，图3为本申请实施例提供的另一种可信启动方法的流程图，包括以下步骤：

S201：从IE FUSE中提取得到第一密钥；

S202：从IE FW中提取得到第一签名，并根据第一签名生成第二密钥；

S203：判断第一密钥与第二密钥是否相同，若相同，执行S204，否则执行S206；

S204：验证当前的BIOS启动参数是否可信，若可信，执行S205，否则执行S206；

相较于实施例一，本实施例在判断出第一密钥与第二密钥相同的情况下，还进行了验证当前的BIOS启动参数是否可信的操作，以确保在IE启动参数可信的情况，BIOS启动参数也是可信的。

具体的，验证当前的BIOS启动参数的方式也可以套用本申请提供的完成对当前的IE启动参数是否可信的方式，即借助类似于仅支持一次数据写入的IEFUSE来存储另外的一些密钥，与代表当前的BIOS启动参数的实际密钥进行一致性比对。具体的实现方式多种多样，可具体参见本申请在实施例三提供了两种不同的具体实现方案。

S205：判定当前的IE启动参数可信、BIOS启动参数可信，并通过IBB控制BIOS启动操作系统；

S206：判定当前的IE启动参数不可信或当前的BIOS启动参数不可信，并终止本次启动。

实施例三

本实施例分别通过如图4所示流程图和如图5所示流程图，提供了两种不同的验证当前的BIOS启动参数是否可信的实现方式，以BIOS启动参数如何存储在Flash中进行区分，一下将分别进行介绍：

请参见图4，图4为本申请实施例提供的可信启动方法中一种验证当前的BIOS启动参数是否可信的方法的流程图，包括如下步骤：

S301：从IE FUSE中提取得到第三密钥；

其中，第三密钥基于最初的BIOS启动参数存储块中存储的BIOS启动参数生成，BIOS启动参数存储块支持多次数据写入。

S302：从BIOS启动参数存储块中提取得到第二签名，并根据第二签名生成第四密钥；

其中，第四密钥基于当前的BIOS启动参数存储块中存储的BIOS启动参数生成。

第三密钥、第二签名以及第四密钥可通过类似于第一密钥、第一签名和第二密钥的所有可能生成方式得到，区别为所基于的启动参数不同，后者为IE启动参数，前者为BIOS启动参数，以及存储位置略有不同，此处不再赘述。

S303：判断第三密钥与第四密钥是否相同，若相同，执行S304，否则执行S305；

S304：判定当前的BIOS启动参数可信；

S305：判定当前的BIOS启动参数不可信。

根据图4所示各步骤可见，上述方案是通过将完整的BIOS启动参数存储在单一的BIOS启动参数存储块中，并通过将最初的版本也预先写入仅支持一次数据写入的IE FUSE中，在当前的IE启动参数验证为可信的情况下，采用类似的方式实现对当前的BIOS启动参数是否可信的验证。

区别于图4所示方案，图5所示的另一种方案以某种实际场景下对BIOS启动参数存在的特殊要求为限制条件，将完整的BIOS启动参数分成两部分分别存储在Flash中的KM(Key Manifest，密钥清单)存储块和BPM(Boot Policy Manifest，启动策略清单)，并给出了一种相应的实现方式，包括如下步骤：

S401：从IE FUSE中提取得到第五密钥；

其中，第五密钥基于最初的KM中存储的BIOS启动参数生成，KM支持多次数据写入。

S402：从KM中提取得到第三签名，并根据第三签名生成第六密钥；

其中，第六密钥基于当前的KM中存储的BIOS启动参数生成。

S403：判断第五密钥与第六密钥是否相同，若相同，执行S404，否则执行S408；

S404：从KM中提取得到第七密钥；

其中，第七密钥基于最初的BPM中存储的BIOS启动参数生成，BPM支持多次数据写入。

S405：从BPM中提取得到第四签名，并根据第四签名生成第八密钥；

其中，第八密钥基于当前的BPM中存储的BIOS启动参数生成。

S406：判断第七密钥与第八密钥是否相同，若相同，执行S407，否则执行S408；

S407：判定当前的BIOS启动参数可信；

S408：判定当前的BIOS启动参数不可信。

区别于图4所示的方案，由于KM和BPM中均存储有部分BIOS启动参数，为实现类似的验证效果，此处采用了依次进行的基于密钥一致性的验证方案，仅有在两部分BIOS启动参数均通过了一致性验证、确定没有被篡改后，才判定出当前的BIOS启动参数可信。

相比于单一的BIOS启动参数存储块，拆分为两个不同存储块的方案，可进一步提升篡改的难度，进一步提升安全性和可靠性。

为便于理解，本申请还通过图6提供了一种对应于图5实现方案的启动流程示意图，总体原理与图2类似，可相互对照，区别于图2的部分为通过增加的KM和BPM如何实现对BIOS启动参数的可信验证。其中，KM中存储的为部分BIOS参数示为BIOS启动参数_1，BPM中存储的为部分BIOS参数示为BIOS启动参数_2，相应的，数字签名和密钥也相对应不同。

在上述任意实施例的基础上，有时确实存在由官方进行或在官方授权下进行的IE启动参数和/或BIOS启动参数的修改，此种情况往往发生在处理器在出厂前即存在未发现的重大缺陷或存在临时变动的需求，但最终应使设备在最新的IE启动参数和/或BIOS启动参数的控制下实现启动。

为了防止在上述方案下被判定为终止启动使得设备无法正常使用，本申请还还通过预设特殊启动规则作为临时手段来帮助设备正常启动，请参见如图7所示的以IE启动参数为例的流程图，包括如下步骤：

S501：查询预设的特殊启动规则，确定是否存在与当前的IE启动参数相对应的允许启动命令；

其中，IE启动参数与允许启动命令之间的对应关系，可通过多种方式建立，例如绑定、键值对、列表等方式。

S502：若存在，则根据当前的IE启动参数通过IBB控制BIOS启动操作系统，同时将本次启动以特殊启动的方式记录在启动日志中。

本步骤针对存在与当前的IE启动参数相对应的允许启动命令的情况，说明当前的IE启动参数虽然遭到篡改，但是基于存在的允许启动命令，说明篡改是官方或在官方授权下进行的，存在安全性和可靠性的保障。因此将根据当前的IE启动参数通过IBB控制BIOS启动操作系统，同时将本次启动以特殊启动的方式记录在启动日志中，以便于后期追溯使用。

进一步的，还可以根据启动日志统计得到预设时长内的特殊启动的启动次数，并在启动次数超过预设次数时，通过预设路径发出更换提醒，以根据更换提醒将当前的芯片设备更换为新芯片设备。其中，新芯片设备的IE FUSE中存储有基于当前的IE启动参数生成的新第一密钥。

若在预设时长内的特殊启动参数超过预设次数，说明篡改后的最新IE启动参数的可用性得到了验证，为了防止基于特殊启动规则这一临时手段造成的漏洞增加，还应当技术更换新芯片设备，使其在正常的判定流程下也能够正常启动。因为作为轻便类网络设备，其运算能力本身就不是强项，基于特殊启动规则的临时手段在使用时不免对为使用体验造成影响。

基于上述内容提供的对IE启动参数和BIOS启动参数进行的可信验证方案，结合实际处理器在启动过程还存在的各种其他类型的数据或参数，本领域技术人员也可以基于该思想将可信验证应用在它们身上，此处不再一一赘述。

因为情况复杂，无法一一列举进行阐述，本领域技术人员应能意识到根据本申请提供的基本方法原理结合实际情况可以存在很多的例子，在不付出足够的创造性劳动下，应均在本申请的保护范围内。

下面请参见图8，图8为本申请实施例所提供的一种可信启动装置的结构框图，该装置可以包括：

第一密钥获取单元100，用于从IE FUSE中提取得到第一密钥；其中，IEFUSE仅支持一次数据写入，第一密钥基于最初的IE FW中存储的IE启动参数生成，IE FW支持多次数据写入；

第二密钥获取单元200，用于从IE FW中提取得到第一签名，并根据第一签名生成第二密钥；其中，第二密钥基于当前的IE FW中存储的IE启动参数生成；

第一相同判断单元300，用于判断第一密钥与第二密钥是否相同；

可信启动单元400，用于当第一密钥与第二密钥相同时，判定IE FW中存储的IE启动参数未遭到篡改，并通过IBB控制BIOS启动操作系统；

不可信终止启动单元500，用于当第一密钥与第二密钥不同时，判定IEFW中存储的IE启动参数遭到篡改，并终止本次启动。

进一步的，该可信启动装置还可以包括：

启动操作终止执行单元，用于当当前的BIOS启动参数不可信时，终止执行通过IBB控制BIOS启动操作系统的步骤；

启动操作继续执行单元，用于当当前的BIOS的启动参数可信时，执行通过IBB控制BIOS启动操作系统的步骤。

其中，BIOS启动参数可信验证单元可以包括：

第三密钥获取子单元，用于从IE FUSE中提取得到第三密钥；其中，第三密钥基于最初的BIOS启动参数存储块中存储的BIOS启动参数生成，BIOS启动参数存储块支持多次数据写入；

第四密钥获取子单元，用于从BIOS启动参数存储块中提取得到第二签名，并根据第二签名生成第四密钥；其中，第四密钥基于当前的BIOS启动参数存储块中存储的BIOS启动参数生成；

第二相同判断子单元，用于判断第三密钥与第四密钥是否相同；

BIOS启动参数第一可信判定子单元，用于当第三密钥与第四密钥相同时，判定当前的BIOS启动参数可信；

BIOS启动参数第一不可信判定子单元，用于当第三密钥与第四密钥不同时，判定当前的BIOS启动参数不可信。

其中，当BIOS启动参数被分开存储在KM和BPM两个存储块时，BIOS启动参数可信验证单元可以包括：

第五密钥获取子单元，用于从IE FUSE中提取得到第五密钥；其中，第五密钥基于最初的KM中存储的BIOS启动参数生成，KM支持多次数据写入；

第六密钥获取子单元，用于从KM中提取得到第三签名，并根据第三签名生成第六密钥；其中，第六密钥基于当前的KM中存储的BIOS启动参数生成；

第三相同判断子单元，用于判断第五密钥与第六密钥是否相同；

第七密钥获取子单元，用于当第五密钥与第六密钥相同时，从KM中提取得到第七密钥；

第八密钥获取子单元，用于从BPM中提取得到第四签名，并根据第四签名生成第八密钥；

第四相同判断子单元，用于判断第七密钥与第八密钥是否相同；

BIOS启动参数第二可信判定子单元，用于当第七密钥与第八密钥相同时，判定当前的BIOS启动参数可信；其中，第七密钥基于最初的BPM中存储的BIOS启动参数生成，BPM支持多次数据写入，第八密钥基于当前的BPM中存储的BIOS启动参数生成；

BIOS启动参数第二不可信判定子单元，用于当第五密钥与第六密钥不同或第七密钥与第八密钥不同时，判定当前的BIOS启动参数不可信。

进一步的，该可信启动装置还可以包括：

特殊启动及记录单元，用于当特殊启动规则中存在与当前的IE启动参数相对应的允许启动命令时，根据当前的IE启动参数通过IBB控制BIOS启动操作系统，同时将本次启动以特殊启动的方式记录在启动日志中。

更进一步的，该可信启动装置还可以包括：

特殊启动次数统计单元，用于根据启动日志统计得到预设时长内的特殊启动的启动次数；

更换提醒发出单元，用于当启动次数超过预设次数时，通过预设路径发出更换提醒，以根据更换提醒将当前的芯片设备更换为新芯片设备；其中，新芯片设备的IE FUSE中存储有基于当前的IE启动参数生成的新第一密钥。

基于上述实施例，本申请还提供了一种电子设备，该电子设备可以包括存储器和处理器，其中，该存储器中存有计算机程序，该处理器调用该存储器中的计算机程序时，可以实现上述实施例所提供的步骤。当然，该电子设备还可以包括各种必要的网络接口、电源以及其它零部件等。

本申请还提供了一种可读存储介质，其上存有计算机程序，该计算机程序被执行终端或处理器执行时可以实现上述实施例所提供的步骤。该存储介质可以包括：U盘、移动硬盘、只读存储器(Read-Only Memory，ROM)、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

专业人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请的范围。

本文中应用了具体个例对本申请的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本申请的方法及其核心思想。对于本技术领域的普通技术人员来说，在不脱离本申请原理的前提下，还可以对本申请进行若干改进和修饰，这些改进和修饰也落入本申请权利要求的保护范围内。

还需要说明的是，在本说明书中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其它变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其它要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括要素的过程、方法、物品或者设备中还存在另外的相同要素。

Claims

1.一种可信启动方法，其特征在于，包括：

判断所述第一密钥与所述第二密钥是否相同；

2.根据权利要求1所述的可信启动方法，其特征在于，在通过IBB控制BIOS启动操作系统之前，还包括：

验证当前的BIOS启动参数是否可信；

3.根据权利要求2所述的可信启动方法，其特征在于，验证当前的BIOS启动参数是否可信，包括：

判断所述第三密钥与所述第四密钥是否相同；

4.根据权利要求2所述的可信启动方法，其特征在于，当所述BIOS启动参数被分开存储在KM和BPM两个存储块时，验证当前的BIOS启动参数是否可信，包括：

判断所述第五密钥与所述第六密钥是否相同；

5.根据权利要求1至4任一项所述的可信启动方法，其特征在于，在终止本次启动之前，还包括：

6.根据权利要求5所述的可信启动方法，其特征在于，还包括：

7.一种可信启动装置，其特征在于，包括：

8.根据权利要求7所述的可信启动装置，其特征在于，还包括：

9.一种电子设备，其特征在于，包括：

存储器，用于存储计算机程序；

处理器，用于在执行所述计算机程序时实现如权利要求1至6任一项所述的可信启动方法中的各步骤。

10.一种可读存储介质，其特征在于，所述可读存储介质上存储有计算机程序，所述计算机程序在被处理器执行后实现如权利要求1至6任一项所述的可信启动方法中的各步骤。