CN114357468B - 一种固件的安全性保护方法、装置 - Google Patents
一种固件的安全性保护方法、装置 Download PDFInfo
- Publication number
- CN114357468B CN114357468B CN202210274656.7A CN202210274656A CN114357468B CN 114357468 B CN114357468 B CN 114357468B CN 202210274656 A CN202210274656 A CN 202210274656A CN 114357468 B CN114357468 B CN 114357468B
- Authority
- CN
- China
- Prior art keywords
- firmware
- application
- application program
- trusted
- register
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Stored Programmes (AREA)
Abstract
公开了一种固件的安全性保护方法,包括:运行于可信执行环境下的第一应用程序对用于固件启动的启动寄存器、以及用于固件加载的固件区域进行第一保护配置,以用于在第一保护配置下将固件加载于所述固件区域;其中,所述第一保护配置使得所述启动寄存器处于禁止启动状态,所述固件区域处于访问不受限状态;在所述固件加载于所述固件区域后,所述第一应用程序对所述固件区域进行第二保护配置,在所述第二保护配置下,所述第一应用程序对所述固件进行校验和解密,在校验通过且解密成功的情形下,所述第一应用程序对所述启动寄存器进行第三保护配置,在所述第三保护配置下,所述第一应用程序启动运行所述固件。本申请提高了运行状态的安全性。
Description
技术领域
本发明涉及计算机技术领域,特别地,涉及一种固件安全性的保护方法、装置。
背景技术
随着芯片技术的发展,芯片中集成了多种具有独立功能的电路模块的成熟设计(又称为IP核),这些IP核的固件以及处理的数据需要一定的安全保护。
现有对固件的安全性保护,一般通过加密方式,即,解密出加密的固件,便可加载运行解密后的固件。这种加密方式的固件安全性保护,容易导致运行的私密数据的泄漏以及被非法软件攻击等风险。
发明内容
本发明提供了一种固件的安全性保护方法,以保护固件的完整性和私密性。
本发明提供的一种固件的安全性保护方法,该方法包括:
运行于可信执行环境下的第一应用程序对用于固件启动的启动寄存器、以及用于固件加载的固件区域进行第一保护配置,以用于在第一保护配置下将固件加载于所述固件区域;其中,所述第一保护配置使得所述启动寄存器处于禁止启动状态,所述固件区域处于访问不受限状态;
在所述固件加载于所述固件区域后,所述第一应用程序对所述固件区域进行第二保护配置,使得所述固件区域处于只有运行于可信执行环境下的应用程序可访问的访问受限状态,
在所述第二保护配置下,所述第一应用程序对所述固件进行校验和解密,在校验通过且解密成功的情形下,所述第一应用程序对所述启动寄存器进行第三保护配置,使得所述启动寄存器处于使能启动状态,
在所述第三保护配置下,所述第一应用程序启动运行所述固件。
较佳地,所述第一应用程序包括:用于安全启动的安全启动受信任应用程序以及用于防火墙的防火墙受信任应用程序,
所述运行于可信执行环境下的第一应用程序对用于固件启动的启动寄存器、以及用于固件加载的固件区域进行第一保护配置,包括:
所述安全启动受信任应用程序响应于来自通用执行环境的复位命令,将所述启动寄存器配置为下电状态,使得所述启动寄存器处于禁止启动状态,并向所述防火墙受信任应用程序发送解锁固件区域命令,
所述防火墙受信任应用程序响应于所述解锁固件区域命令,对所述固件区域中的目标区域进行解锁,使得所述目标区域处于访问不受限状态。
较佳地,在所述固件加载于所述固件区域后,所述第一应用程序对所述固件区域进行第二保护配置,包括:
所述安全启动受信任应用程序响应于来自通用执行环境下的安全校验命令,向所述防火墙受信任应用程序发送安全启动受信任应用程序命令,
所述防火墙受信任应用程序响应于所述安全启动受信任应用程序命令,对所述目标区域进行加锁,使得所述目标区域处于只有运行于可信执行环境下的应用程序可访问的访问受限状态。
较佳地,所述在所述第二保护配置下,所述第一应用程序对所述固件进行校验和解密,在校验通过且解密成功的情形下,所述第一应用程序对所启动寄存器进行第三保护配置,包括:
所述安全启动受信任应用程序响应于来自通用执行环境下的安全校验命令,对所述固件进行校验和解密,
在校验通过且解密成功的情形下,所述安全启动受信任应用程序对所述固件进行校验和解密,
如果校验通过且解密成功,则将所述启动寄存器配置为上电状态,使得所述启动寄存器处于使能启动状态,
否则,则将所述启动寄存器配置为下电状态,使得所述启动寄存器处于禁止启动状态,以停止所述固件的启动。
较佳地,所述复位命令、以及安全校验命令由运行于所述通用执行环境下的第二应用程序发送给所述安全启动受信任应用程序;
所述以用于在第一保护配置下将固件加载于所述固件区域包括:
由所述第二应用程序将所述固件加载至所述固件区域中的所述目标区域。
较佳地,所述第二应用程序包括:
用于固件加载的固件加载应用程序、以及用于安全启动的安全启动客户端应用程序;
所述复位命令、以及安全校验命令由所述固件加载应用程序通过所述安全启动客户端应用程序发送给所述安全启动受信任应用程序。
较佳地,所述防火墙受信任应用程序响应于所述解锁固件区域命令,对所述固件区域进行解锁,进一步包括:
解锁成功后,由所述防火墙受信任应用程序依次通过所述安全启动受信任应用程序、所述安全启动客户端应用程序发送解锁结果给所述固件加载运行应用程序;
由所述固件加载运行应用程序响应于所述解锁结果,将所述固件加载至所述目标区域,并发送所述安全校验命令。
本发明提供一种固件的安全性保护装置,该装置包括:
第一保护模块,被配置为运行于可信执行环境下的第一应用程序对用于固件启动的启动寄存器以及用于固件加载的固件区域进行第一保护配置,以用于在第一保护配置下将固件加载于所述固件区域;其中,所述第一保护配置使得所述启动寄存器处于禁止启动状态,所述固件区域处于访问不受限状态;
第二保护模块,被配置为在所述固件加载于所述固件区域后,由所述第一应用程序对所述固件区域进行第二保护配置,使得所述固件区域处于只有运行于可信执行环境下的应用程序可访问的访问受限状态,
第三保护模块,被配置为用于在所述第二保护配置下,由所述第一应用程序对所述固件进行校验和解密,在校验通过且解密成功的情形下,由所述第一应用程序对所述启动寄存器进行第三保护配置,使得所述启动寄存器处于使能启动状态,
固件运行模块,被配置为在所述第三保护配置下,由所述第一应用程序启动运行所述固件。
较佳地,所述第一应用程序包括:用于安全启动的安全启动受信任应用程序以及用于防火墙的防火墙受信任应用程序,
所述第一保护模块被配置为:
由所述安全启动受信任应用程序响应于来自通用执行环境的复位命令,将所述启动寄存器配置为下电状态,使得所述启动寄存器处于禁止启动状态,并向所述防火墙受信任应用程序发送解锁固件区域命令,
由所述防火墙受信任应用程序响应于所述解锁固件区域命令,对所述固件区域中的目标区域进行解锁,使得所述目标区域处于访问不受限状态。
较佳地,所述第一保护模块被配置为:
由所述安全启动受信任应用程序响应于来自通用执行环境下的安全校验命令,向所述防火墙受信任应用程序发送安全启动受信任应用程序命令,
由所述防火墙受信任应用程序响应于所述安全启动受信任应用程序,对所述目标区域进行加锁,使得所述目标区域处于只有运行于可信执行环境下的应用程序可访问的访问受限状态。
较佳地,所述第二保护模块被配置为:
由所述安全启动受信任应用程序响应于来自通用执行环境下的安全校验命令,对所述固件进行校验和解密,
在校验通过且解密成功的情形下,由所述安全启动受信任应用程序对所述固件进行校验和解密,
如果校验通过且解密成功,则将所述启动寄存器配置为上电状态,使得所述启动寄存器处于使能启动状态,
否则,则将所述启动寄存器配置为下电状态,使得所述启动寄存器处于禁止启动状态,以停止所述固件的启动。
较佳地,所述复位命令、以及安全校验命令由运行于所述通用执行环境下的第二应用程序发送给所述安全启动受信任应用程序;
所述第一保护模块被配置为:
由所述第二应用程序将所述固件加载至所述固件区域中的所述目标区域。
较佳地,所述第二应用程序包括:
用于固件加载的固件加载应用程序、以及用于安全启动的安全启动客户端应用程序;
所述复位命令、以及安全校验命令由所述固件加载应用程序通过所述安全启动客户端应用程序发送给所述安全启动受信任应用程序。
较佳地,所述第一保护模块进一步被配置为:
解锁成功后,由所述防火墙受信任应用程序依次通过所述安全启动受信任应用程序、所述安全启动客户端应用程序发送解锁结果给所述固件加载运行应用程序;
由所述固件加载运行应用程序响应于所述解锁结果,将所述固件加载至所述目标区域,并发送所述安全校验命令。
本发明提供一种计算机可读存储介质,所述存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述任一固件的安全性保护方法的步骤。
本申请实施例基于可信执行环境下运行的第一应用程序对固件区域、启动寄存器进行保护配置,使得固件的安全校验、启动、运行均得以在可信执行环境下进行,既保证了固件的完整性和私密性,又保护了固件的运行状态的安全,从而保证了固件的加载和运行的安全,提高了抵御非法软件攻击的能力。
附图说明
图1为本申请实施例固件的安全性保护方法的一种流程示意图;
图2为以人工智能芯片为例的固件的安全性保护方法的一种流程示意图;
图3为结合MPU中的启动寄存器、固件区域来说明固件的安全性保护方法的一种示意图;
图4为本申请实施例固件的安全性保护装置的一种示意图;
图5为本申请实施例固件的安全性保护装置的另一种示意图。
具体实施方式
为了使本申请的目的、技术手段和优点更加清楚明白,以下结合附图对本申请做进一步详细说明。
本申请基于可信执行环境,利用安全启动技术和防火墙技术实现固件的安全性保障,其中:
可信执行环境 ( TEE,Trusted Execution Environment ) 是CPU内的一个安全区域,它运行在一个独立的环境中且与操作系统并行运行。CPU可确保TEE中代码和数据的机密性和完整性都得到保护,通过同时使用硬件和软件来保护数据和代码。从软件保护而言,在TEE中运行的受信任应用程序可以访问设备主处理器和内存的全部功能,从硬件保护而言,硬件隔离可保护主处理器和内存不受主操作系统中运行的用户安装应用程序的影响,从物理上保证数据和代码的安全,从而为固件提供安全的运行环境,以保证代码、数据的安全。可信执行环境下的安全启动技术用于保证固件的完整性,并实现对固件的加解密,从而保护私密性;防火墙技术用于保证固件运行状态的安全性。相对于可信执行环境,通用执行环境(REE,Rich Execution Environment)是所有通用的环境,运行通用的操作系统OS(Operating System),例如Android,IOS,Linux系统等,REE环境不是可信执行环境。
安全启动(Secure Boot)是一种对启动过程中各个固件(通常是固件的镜像)进行签名验证技术,用于保证固件(镜像)完整性,防止非法篡改,保护启动过程的安全。
防火墙(Firewall)是对内存(DDR/IRAM)和寄存器权限进行管控;在内存方面,对内存空间进行划分管理,不同的区域采用不同的访问权限,安全区域只有运行于TEE环境下的应用程序和允许主IP(master IP)才能访问;在寄存器方面,只有在TEE环境下才可以配置寄存器。
在本申请中,运行在REE环境下的应用称为客户端应用程序(CA,ClientApplication);运行在TEE环境下的应用称为受信任应用程序(TA,Trusted Application)。
参见图1所示,图1为本申请实施例固件的安全性保护方法的一种流程示意图。该方法包括:
步骤101,运行于可信执行环境下的第一应用程序对用于固件启动的启动寄存器、以及用于固件加载的固件区域进行第一保护配置,以用于在第一保护配置下将固件加载于所述固件区域;其中,所述第一保护配置使得所述启动寄存器处于禁止启动状态,所述固件区域处于访问不受限状态,以便于将固件加载至固件区域,从而提高固件的完整性和私密性;所述启动寄存器以及所述固件区域位于可信执行环境中;
步骤102,在所述固件加载于所述固件区域后,所述第一应用程序对所述固件区域进行第二保护配置,使得所述固件区域处于只有运行于可信执行环境下的应用程序可访问的访问受限状态,以提高抵御非法软件攻击的能力;
步骤103,在所述第二保护配置下,所述第一应用程序对所述固件进行校验和解密,在校验通过且解密成功的情形下,所述第一应用程序对所述启动寄存器进行第三保护配置,使得所述启动寄存器处于使能启动状态,从而有利于固件运行状态的安全性,
步骤104,在所述第三保护配置下,所述第一应用程序启动运行所述固件。
本申请实施例安全启动校验、启动寄存器和固件区域的配置都是在TEE环境下完成,其中,安全启动校验在TEE环境下完成,使得整个过程安全可信,保证了固件的完整性和私密性;启动寄存器和固件区域的配置在TEE环境下完成,保证了固件区域的运行状态和寄存器的安全,从而保证了固件的加载和运行安全。
为便于理解本申请,以下以人工智能芯片为例,以ARM的信任区域(TrustZone)作为REE环境,来说明本申请固件的安全性保护,所应理解的是,本申请不限于人工智能芯片和ARM的TrustZone,任何需要进行安全性保护的固件、REE环境均可适用。
在人工智能芯片中集成了神经网络处理单元(NPU,Neural network processingunit)IP核,NPU IP核中通常会包含用于运行NPU的固件的微处理器(MPU),NPU的固件功能包括NPU任务的调度/动态指令生成等。
在固件加载运行之前,预先在TEE环境下通过Firewall技术把MPU中用于固件启动的启动寄存器、用于固件加载的固件区域进行保护配置,例如,将启动寄存器预先配置为上电状态,将固件区域配置为加锁状态,这样,启动寄存器、固件区域只能在TEE环境才能配置。例如,将IRAM地址填写至Firewall寄存器,从而配置IRAM的上/下电。
预先创建在REE环境下运行的第二应用程序,该第二应用程序包括:用于固件加载的固件加载应用程序(Firmware_ctrl),以及用于安全启动的安全启动客户端应用程序(Secureboot CA);
预先创建在TEE环境下运行的第一应用程序,该第一应用程序包括:用于安全启动的安全启动受信任应用程序(Secureboot TA)、防火墙受信任应用程序(Firewall TA)。其中:
Firmware_ctrl把固件从Flash中加载到MPU中的启动寄存器、和固件区域中具的目标地址的目标区域(例如DDR或IRAM),并发起安全启动校验;
Secureboot CA把相关数据(例如地址信息、地址信息长度等)发送给SecurebootTA;
Secureboot TA调用Firewall TA,先进行固件区域、以及启动寄存器的保护配置,再对固件进行安全校验、解密,只有校验通过后,才能允许固件上电启动,否则停止固件启动运行;
Firewall TA对固件区域、以及启动寄存器进行保护配置。
参见图2所示,图2为以人工智能芯片为例的固件的安全性保护方法的一种流程示意图。假设Firewall TA预先对固件区域、以及启动寄存器进行了保护配置,例如,将启动寄存器预先配置为上电状态,将固件区域配置为加锁状态。在固件加载运行时,该方法包括:
步骤201,Firmware_ctrl发送复位(reset)命令给Secureboot CA,Secureboot CA将复位命令发送给Secureboot TA,Secureboot TA配置启动寄存器处于下电状态,该状态为禁止启动状态,以对启动寄存器进行第一保护配置。
步骤202,Secureboot TA发送解锁固件区域命令给Firewall TA,Firewall TA解锁预先处于加锁状态的固件区域,解锁后,固件区域处于访问不受限制状态,从而对固件区域进行第一保护配置,并把解锁结果依次通过Secureboot TA、Secureboot CA回传至Firmware_ctrl;
步骤203,Firmware_ctrl收到解锁结果后,在解锁成功的情形下调用Flash控制器驱动,从Flash中读取固件以获得固件的镜像,并将镜像加载到固件区域的目标地址,即目标区域;
在解锁不成功的情形下输出提示。
步骤204,在解锁成功的情形下,Firmware_ctrl发送安全校验命令给SecurebootCA,Secureboot CA把安全校验命令发送给Secureboot TA。
步骤205,Secureboot TA响应于安全校验命令,发送安全启动受信任应用程序命令给Firewall TA,Firewall TA对固件区域进行加锁,以对固件区域进行第二保护配置;这样,加锁后的固件区域处于只有在TEE环境下的 MPU和NPU可以访问的访问受限状态,并把加锁结果回传至Secureboot TA。
步骤206,在加锁成功的情况下,Secureboot TA对所加载的固件进行校验和解密,如果校验通过,并且解密成功,则配置启动寄存器处于上电状态,该状态为使能启动状态,以对启动寄存器进行第三保护配置,并在启动寄存器处于上电状态下启动固件运行;如果校验失败或者解密失败,则停止启动。
在该步骤中,校验包括了验签过程,解密是将已加密的固件解密为明文。
若固件启动成功,则Secureboot TA通过Secureboot CA向Firmware_ctrl回传固件启动成功消息;若启动失败,则Secureboot TA通过Secureboot CA向Firmware_ctrl回传固件启动失败消息。
参见图3所示,图3为结合MPU中的启动寄存器、固件区域来说明固件的安全性保护方法的一种示意图。Firewall TA位于MPU中的安全区域,以便运行于TEE环境下,假设预先对启动寄存器、固件区域进行了保护配置,这时,启动寄存器处于上电状态,固件区域处于加锁状态。
当有固件需要进行加载运行时,Firmware_ctrl运行于REE环境下,向同样运行于REE环境下的Secureboot CA发送复位命令,Secureboot CA将复位命令发送给位于MPU中安全区域的Secureboot TA;
Secureboot TA响应于复位命令,对启动寄存器、固件区域进行第一保护配置,即:
将启动寄存器配置为下电状态,向Firewall TA发送解锁固件区域命令,
Firewall TA响应于解锁固件区域命令,对固件区域进行解锁,以使得固件区域当前访问权限不受限制;然后依次通过Secureboot TA、Secureboot CA向Firmware_ctrl返回解锁结果;
Firmware_ctrl响应于所返回的解锁结果,在解锁成功的情形下,调用Flash控制器驱动,从Flash中读取固件并加载到固件区域中的目标地址;并将安全校验命令通过Secureboot CA发送给Secureboot TA,
Secureboot TA响应于安全校验命令,发送安全启动受信任应用程序命令给Firewall TA,
Firewall TA响应于安全启动受信任应用程序命令,对固件区域进行加锁,以使得加锁后的固件区域只有MPU中位于安全区域的应用程序可以访问,从而对固件区域进行第二保护配置,并将加锁结果返回给Secureboot TA,
Secureboot TA响应于加锁结果,在加锁成功的情形下对固件区域中当前固件进行校验和解密,在校验通过且解密成功的情形下,配置启动寄存器处于上电状态,从而对启动寄存器进行第三保护配置,如果校验不通过或解密不成功,则配置启动寄存器处于下电状态,以停止固件启动。
本实施例对NPU的启动寄存器进行了上下电保护,避免了NPU被非法软件下电等风险,通过Secureboot TA和Secureboot CA,实现了TEE环境与REE环境的信息交互,从而保证了固件的完整性,通过Firewall TA,保证了固件运行状态的安全性。
参见图4所示,图4为本申请实施例固件的安全性保护装置的一种示意图。该装置包括:
第一保护模块,被配置为运行于可信执行环境下的第一应用程序对用于固件启动的启动寄存器以及用于固件加载的固件区域进行第一保护配置,以用于在第一保护配置下将固件加载于所述固件区域;其中,第一保护配置使得所述启动寄存器处于禁止启动状态,固件区域处于访问不受限状态;启动寄存器以及固件区域位于可信执行环境中,
第二保护模块,被配置为在所述固件加载于所述固件区域后,由所述第一应用程序对所述固件区域进行第二保护配置,使得所述固件区域处于只有运行于可信执行环境下的应用程序可访问的访问受限状态,
第三保护模块,被配置为用于在所述第二保护配置下,由所述第一应用程序对所述固件进行校验和解密,在校验通过且解密成功的情形下,由所述第一应用程序对所述启动寄存器进行第三保护配置,使得所述启动寄存器处于使能启动状态,
固件运行模块,被配置为在所述第三保护配置下,由所述第一应用程序启动运行所述固件。
其中,
第一保护模块被配置为:
由安全启动受信任应用程序响应于来自通用执行环境的复位命令,将所述启动寄存器配置为下电状态,使得所述启动寄存器处于禁止启动状态,并向所述防火墙受信任应用程序发送解锁固件区域命令,
由所述防火墙受信任应用程序响应于所述解锁固件区域命令,对所述固件区域中的目标区域进行解锁,使得所述目标区域处于访问不受限状态。
由所述安全启动受信任应用程序响应于来自通用执行环境下的安全校验命令,向所述防火墙受信任应用程序发送安全启动受信任应用程序命令,
由所述防火墙受信任应用程序响应于所述安全启动受信任应用程序命令,对所述目标区域进行加锁,使得所述目标区域处于只有运行于可信执行环境下的应用程序可访问的访问受限状态。
第二保护模块被配置为:
由所述安全启动受信任应用程序响应于来自通用执行环境下的安全校验命令,对所述固件进行校验和解密,
在校验通过且解密成功的情形下,由所述安全启动受信任应用程序对所述固件进行校验和解密,
如果校验通过且解密成功,则将所述启动寄存器配置为上电状态,使得所述启动寄存器处于使能启动状态,
否则,则将所述启动寄存器配置为下电状态,使得所述启动寄存器处于禁止启动状态,以停止所述固件的启动。
所述复位命令、以及安全校验命令由运行于所述通用执行环境下的第二应用程序发送给所述安全启动受信任应用程序;
所述第一保护模块被配置为:
由所述第二应用程序将所述固件加载至所述固件区域中的所述目标区域。
所述第一保护模块进一步被配置为:
解锁成功后,由所述防火墙受信任应用程序依次通过所述安全启动受信任应用程序、所述安全启动客户端应用程序发送解锁结果给所述固件加载运行应用程序;
由所述固件加载运行应用程序响应于所述解锁结果,将所述固件加载至所述目标区域,并发送所述安全校验命令。
参见图5所示,图5为本申请实施例固件的安全性保护装置的另一种示意图。该装置包括存储器和处理器,所述存储器存储由计算机程序,所述处理器被配置为执行所述计算机程序以实现本申请实施例固件的安全性保护方法的步骤。
存储器可以包括随机存取存储器(Random Access Memory,RAM),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital SignalProcessing,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
本发明实施例还提供了一种计算机可读存储介质,所述存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述固件的安全性保护方法的步骤。
对于装置/网络侧设备/存储介质实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (15)
1.一种固件的安全性保护方法,其特征在于,该方法包括:
运行于可信执行环境下的第一应用程序对用于固件启动的启动寄存器、以及用于固件加载的固件区域进行第一保护配置,以用于在第一保护配置下将固件加载于所述固件区域;其中,所述第一保护配置使得所述启动寄存器处于禁止启动状态,所述固件区域处于访问不受限状态;
在所述固件加载于所述固件区域后,所述第一应用程序对所述固件区域进行第二保护配置,使得所述固件区域处于只有运行于可信执行环境下的应用程序可访问的访问受限状态,
在所述第二保护配置下,所述第一应用程序对所述固件进行校验和解密,在校验通过且解密成功的情形下,所述第一应用程序对所述启动寄存器进行第三保护配置,使得所述启动寄存器处于使能启动状态,
在所述第三保护配置下,所述第一应用程序启动运行所述固件;
其中,
所述第一应用程序包括:用于安全启动的安全启动受信任应用程序、以及用于防火墙的防火墙受信任应用程序;
所述安全启动受信任应用程序响应于来自通用执行环境的复位命令,对所述启动寄存器进行第一保护配置,
所述防火墙受信任应用程序响应于安全启动受信任应用程序发送的解锁固件区域命令,对所述固件区域进行第一保护配置。
2.如权利要求1所述的安全性保护方法,其特征在于,
所述对所述启动寄存器进行第一保护配置,包括:
所述安全启动受信任应用程序将所述启动寄存器配置为下电状态,使得所述启动寄存器处于禁止启动状态,并向所述防火墙受信任应用程序发送所述解锁固件区域命令,
所述对所述固件区域进行第一保护配置,包括:
所述防火墙受信任应用程序对所述固件区域中的目标区域进行解锁,使得所述目标区域处于访问不受限状态。
3.如权利要求2所述的安全性保护方法,其特征在于,在所述固件加载于所述固件区域后,所述第一应用程序对所述固件区域进行第二保护配置,包括:
所述安全启动受信任应用程序响应于来自通用执行环境下的安全校验命令,向所述防火墙受信任应用程序发送安全启动受信任应用程序命令,
所述防火墙受信任应用程序响应于所述安全启动受信任应用程序命令,对所述目标区域进行加锁,使得所述目标区域处于只有运行于可信执行环境下的应用程序可访问的访问受限状态。
4.如权利要求2所述的安全性保护方法,其特征在于,所述在所述第二保护配置下,所述第一应用程序对所述固件进行校验和解密,在校验通过且解密成功的情形下,所述第一应用程序对所启动寄存器进行第三保护配置,包括:
所述安全启动受信任应用程序响应于来自通用执行环境下的安全校验命令,对所述固件进行校验和解密,
在校验通过且解密成功的情形下,所述安全启动受信任应用程序对所述固件进行校验和解密,
如果校验通过且解密成功,则将所述启动寄存器配置为上电状态,使得所述启动寄存器处于使能启动状态,
否则,则将所述启动寄存器配置为下电状态,使得所述启动寄存器处于禁止启动状态,以停止所述固件的启动。
5.如权利要求3所述的安全性保护方法,其特征在于,所述复位命令、以及安全校验命令由运行于所述通用执行环境下的第二应用程序发送给所述安全启动受信任应用程序;
所述以用于在第一保护配置下将固件加载于所述固件区域包括:
由所述第二应用程序将所述固件加载至所述固件区域中的所述目标区域。
6.如权利要求5所述的安全性保护方法,其特征在于,所述第二应用程序包括:
用于固件加载的固件加载应用程序、以及用于安全启动的安全启动客户端应用程序;
所述复位命令、以及安全校验命令由所述固件加载应用程序通过所述安全启动客户端应用程序发送给所述安全启动受信任应用程序。
7.如权利要求6所述的安全性保护方法,其特征在于,所述防火墙受信任应用程序响应于所述解锁固件区域命令,对所述固件区域进行解锁,进一步包括:
解锁成功后,由所述防火墙受信任应用程序依次通过所述安全启动受信任应用程序、所述安全启动客户端应用程序发送解锁结果给所述固件加载运行应用程序;
由所述固件加载运行应用程序响应于所述解锁结果,将所述固件加载至所述目标区域,并发送所述安全校验命令。
8.一种固件的安全性保护装置,其特征在于,该装置包括:
第一保护模块,被配置为运行于可信执行环境下的第一应用程序对用于固件启动的启动寄存器以及用于固件加载的固件区域进行第一保护配置,以用于在第一保护配置下将固件加载于所述固件区域;其中,所述第一保护配置使得所述启动寄存器处于禁止启动状态,所述固件区域处于访问不受限状态;
第二保护模块,被配置为在所述固件加载于所述固件区域后,由所述第一应用程序对所述固件区域进行第二保护配置,使得所述固件区域处于只有运行于可信执行环境下的应用程序可访问的访问受限状态,
第三保护模块,被配置为用于在所述第二保护配置下,由所述第一应用程序对所述固件进行校验和解密,在校验通过且解密成功的情形下,由所述第一应用程序对所述启动寄存器进行第三保护配置,使得所述启动寄存器处于使能启动状态,
固件运行模块,被配置为在所述第三保护配置下,由所述第一应用程序启动运行所述固件;
其中,
所述第一应用程序包括:用于安全启动的安全启动受信任应用程序、以及用于防火墙的防火墙受信任应用程序;
所述安全启动受信任应用程序响应于来自通用执行环境的复位命令,对所述启动寄存器进行第一保护配置,
所述防火墙受信任应用程序响应于安全启动受信任应用程序发送的解锁固件区域命令,对所述固件区域进行第一保护配置。
9.如权利要求8所述的安全性保护装置,其特征在于,
所述第一保护模块被配置为:
由所述安全启动受信任应用程序将所述启动寄存器配置为下电状态,使得所述启动寄存器处于禁止启动状态,并向所述防火墙受信任应用程序发送解锁固件区域命令,
由所述防火墙受信任应用程序对所述固件区域中的目标区域进行解锁,使得所述目标区域处于访问不受限状态。
10.如权利要求9所述的安全性保护装置,其特征在于,所述第一保护模块被配置为:
由所述安全启动受信任应用程序响应于来自通用执行环境下的安全校验命令,向所述防火墙受信任应用程序发送安全启动受信任应用程序命令,
由所述防火墙受信任应用程序响应于所述安全启动受信任应用程序,对所述目标区域进行加锁,使得所述目标区域处于只有运行于可信执行环境下的应用程序可访问的访问受限状态。
11.如权利要求9所述的安全性保护装置,其特征在于,所述第二保护模块被配置为:
由所述安全启动受信任应用程序响应于来自通用执行环境下的安全校验命令,对所述固件进行校验和解密,
在校验通过且解密成功的情形下,由所述安全启动受信任应用程序对所述固件进行校验和解密,
如果校验通过且解密成功,则将所述启动寄存器配置为上电状态,使得所述启动寄存器处于使能启动状态,
否则,则将所述启动寄存器配置为下电状态,使得所述启动寄存器处于禁止启动状态,以停止所述固件的启动。
12.如权利要求11所述的安全性保护装置,其特征在于,所述复位命令、以及安全校验命令由运行于所述通用执行环境下的第二应用程序发送给所述安全启动受信任应用程序;
所述第一保护模块被配置为:
由所述第二应用程序将所述固件加载至所述固件区域中的所述目标区域。
13.如权利要求12所述的安全性保护装置,其特征在于,所述第二应用程序包括:
用于固件加载的固件加载应用程序、以及用于安全启动的安全启动客户端应用程序;
所述复位命令、以及安全校验命令由所述固件加载应用程序通过所述安全启动客户端应用程序发送给所述安全启动受信任应用程序。
14.如权利要求13所述的安全性保护装置,其特征在于,所述第一保护模块进一步被配置为:
解锁成功后,由所述防火墙受信任应用程序依次通过所述安全启动受信任应用程序、所述安全启动客户端应用程序发送解锁结果给所述固件加载运行应用程序;
由所述固件加载运行应用程序响应于所述解锁结果,将所述固件加载至所述目标区域,并发送所述安全校验命令。
15.一种计算机可读存储介质,其特征在于,所述存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一所述固件的安全性保护方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210274656.7A CN114357468B (zh) | 2022-03-21 | 2022-03-21 | 一种固件的安全性保护方法、装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210274656.7A CN114357468B (zh) | 2022-03-21 | 2022-03-21 | 一种固件的安全性保护方法、装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114357468A CN114357468A (zh) | 2022-04-15 |
| CN114357468B true CN114357468B (zh) | 2022-06-24 |
Family
ID=81094450
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210274656.7A Active CN114357468B (zh) | 2022-03-21 | 2022-03-21 | 一种固件的安全性保护方法、装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114357468B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116628767B (zh) * | 2023-07-20 | 2023-10-17 | 常州楠菲微电子有限公司 | 一种预防系统启动后flash系统固件攻击方法及flash控制器 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109446815A (zh) * | 2018-09-30 | 2019-03-08 | 华为技术有限公司 | 基本输入输出系统固件的管理方法、装置和服务器 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102385552B1 (ko) * | 2015-12-29 | 2022-04-12 | 삼성전자주식회사 | 시스템-온-칩 및 이를 포함하는 전자 장치 |
| US10592670B2 (en) * | 2016-06-28 | 2020-03-17 | Intel Corporation | Technologies for provisioning and managing secure launch enclave with platform firmware |
| US10528740B2 (en) * | 2017-06-15 | 2020-01-07 | International Business Machines Corporation | Securely booting a service processor and monitoring service processor integrity |
-
2022
- 2022-03-21 CN CN202210274656.7A patent/CN114357468B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109446815A (zh) * | 2018-09-30 | 2019-03-08 | 华为技术有限公司 | 基本输入输出系统固件的管理方法、装置和服务器 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114357468A (zh) | 2022-04-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11455397B2 (en) | Secure boot assist for devices, and related systems, methods and devices | |
| JP4288209B2 (ja) | システム・オン・チップのためのセキュリティ・アーキテクチャ | |
| US7313705B2 (en) | Implementation of a secure computing environment by using a secure bootloader, shadow memory, and protected memory | |
| JP6422059B2 (ja) | 処理装置、車載端末装置、処理装置の起動方法、及び処理装置の起動プログラム | |
| CN107438849B (zh) | 用于验证电子设备的完整性的系统和方法 | |
| JP5551057B2 (ja) | 復元方法、プラットフォーム及び記憶媒体 | |
| US7917741B2 (en) | Enhancing security of a system via access by an embedded controller to a secure storage device | |
| CA2507793C (en) | System and method for protected operating system boot using state validation | |
| US8443181B2 (en) | Processor boot security device and methods thereof | |
| US10678924B2 (en) | Hardware-based software-resilient user privacy exploiting ephemeral data retention of volatile memory | |
| WO2019104988A1 (zh) | Plc的安全处理单元及其总线仲裁方法 | |
| US20070237325A1 (en) | Method and apparatus to improve security of cryptographic systems | |
| TW201411405A (zh) | 保護多安全cpu之計算系統及其方法 | |
| US8738924B2 (en) | Electronic system and digital right management methods thereof | |
| EP3243158A1 (en) | Method for data protection using isolated environment in mobile device | |
| JP4754299B2 (ja) | 情報処理装置 | |
| CN114357468B (zh) | 一种固件的安全性保护方法、装置 | |
| CN115470477A (zh) | 智能终端及其处理器系统、可信执行方法 | |
| KR20190085387A (ko) | 반도체 장치 및 반도체 장치의 동작 방법 | |
| JP2023542099A (ja) | 無線端末、及び無線端末のUbootモードにおけるインタフェースアクセス認証方法 | |
| US20230041769A1 (en) | Management system for disk encryption | |
| TWI773146B (zh) | 計算裝置及包含有用於經授權應用程式所作bios動作請求之指令的非暫時性有形電腦可讀媒體 | |
| KR101711926B1 (ko) | 보안기능을 가지는 SoC 및 SoC의 보안방법 | |
| CN111357003A (zh) | 预操作系统环境中的数据保护 | |
| CN117874784A (zh) | 一种车辆加密系统和方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |