CN115859310B - 集成可信度量和业务安全的方法、装置及设备 - Google Patents
集成可信度量和业务安全的方法、装置及设备 Download PDFInfo
- Publication number
- CN115859310B CN115859310B CN202310059408.5A CN202310059408A CN115859310B CN 115859310 B CN115859310 B CN 115859310B CN 202310059408 A CN202310059408 A CN 202310059408A CN 115859310 B CN115859310 B CN 115859310B
- Authority
- CN
- China
- Prior art keywords
- kernel
- measurement
- trusted
- cpu
- chip
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Storage Device Security (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明涉及信息安全技术领域,其实施方式提供了一种集成可信度量和业务安全的方法、装置及设备。其中,一种集成可信度量和业务安全的方法,应用于包括安全芯片和CPU的系统,所述方法包括:对CPU待加载的引导程序进行可信度量,在可信度量通过后所述CPU启动并加载所述引导程序;采用所述引导程序对第一内核进行可信度量,可信度量未通过时对第二内核进行可信度量;加载可信度量通过后的第一内核或第二内核;采用加载的第一内核或第二内核对关键系统文件进行可信度量,在关键系统文件可信度量通过后加载所述关键系统文件。本发明提供的实施方式通过多级度量,验证系统的完整性,确保系统的安全性。
Description
技术领域
本发明涉及信息安全技术领域,具体地涉及一种集成可信度量和业务安全的方法、一种集成可信度量和业务安全的装置、一种集成可信度量和业务安全的设备以及一种计算机可读存储介质。
背景技术
目前工业领域的嵌入式终端设备总量非常大,对供电、交通等重大民生有重要的影响,其安全性非常重要,目前主要采用的安全方法都是采用独立的通信信道,通过验证终端是否持有认证的协议和密钥来决定是否允许接入,数据的加密也只是覆盖到应用层,一定程度上能保证接入和数据的安全;但是缺少对于终端设备自身是否安全可信的防护机制,即无法保证运行系统及硬件组件的可信环境,一旦硬件被伪造或数据被劫持,极易发生数据泄露,造成数据安全事故。
现有可信方案中,TPCM在CPU运行启动代码之前对启动程序进行完整性度量,确保固件未被篡改,TPCM模块结合TCM模块可以实现对可信软件基的密码支撑功能。
发明内容
本发明实施例的目的是提供一种集成可信度量和业务安全的方法、装置及设备,本申请提出的技术方案,提出了一套启动过程的控制和验证流程,基于可信根对系统引导程序、系统程序、重要配置参数和应用程序等进行度量验证,通过两级度量,验证系统的完整性,确保系统的安全性;同时具备主、备存储,能进行有限次的自恢复和再度量,进一步提高安全性;同时通过不同接口支持多种业务数据的加解密,实现系统的行为安全和数据安全,将数量庞大的工业嵌入式设备的安全性大幅提高。
为了实现上述目的,本发明的第一方面提供了一种集成可信度量和业务安全的方法,应用于包括安全芯片和CPU的系统,所述方法包括:
对CPU待加载的引导程序进行可信度量,在可信度量通过后所述CPU启动并加载所述引导程序;采用所述引导程序对第一内核进行可信度量,可信度量未通过时对第二内核进行可信度量;加载可信度量通过后的第一内核或第二内核;采用加载的第一内核或第二内核对关键系统文件进行可信度量,在关键系统文件可信度量通过后加载所述关键系统文件。
优选地,所述方法还包括:在启动基础APP或业务APP之前,采用加载的关键系统文件对基础APP或业务APP进行可信度量。
优选地,对CPU待加载的引导程序进行可信度量,在可信度量通过后所述CPU启动并加载所述引导程序,包括:采用所述安全芯片控制向所述CPU供电的电源管理芯片的使能引脚;响应于对安全芯片的上电指令,对CPU待加载的引导程序进行可信度量;在可信度量通过之后向所述使能引脚发送使能信号,对所述CPU进行上电启动;所述CPU进行上电启动后加载所述引导程序。
优选地,所述第一内核和所述第二内核为主备关系。
优选地,所述方法还包括:在所述第一内核可信度量未通过时读取第二内核之后,获取第二内核的可信度量的度量结果;在所述第二内核的可信度量的度量结果为通过时,将分区存储的出厂内核恢复至所述第一内核,并恢复第一内核的度量值为出厂内核度量值,修改环境变量并再次重启。
优选地,所述方法还包括:所述第二内核的可信度量的度量结果为未通过时,引导程序将第二内核的备份文件覆盖至第二内核的存储位置后,再次重启尝试进入恢复后的第二内核。
优选地,所述引导程序存储于第一闪存模块,所述第一内核和第二内核存储于第二闪存模块。
在本发明的第二方面,还提供了一种集成可信度量和业务安全的装置,应用于包括安全芯片和CPU的系统,所述装置包括:
上电控制模块,对CPU待加载的引导程序进行可信度量,在可信度量通过后所述CPU启动并加载所述引导程序;内核度量模块,用于采用所述引导程序对第一内核进行可信度量,可信度量未通过时对第二内核进行可信度量;内核启动模块,用于加载可信度量通过后的第一内核或第二内核;以及文件度量模块,用于采用加载的第一内核或第二内核对关键系统文件进行可信度量,在关键系统文件可信度量通过后加载所述关键系统文件。
优选地,所述方法还包括:在启动基础APP或业务APP之前,采用加载的关键系统文件对基础APP或业务APP进行可信度量。
优选地,对CPU待加载的引导程序进行可信度量,在可信度量通过后所述CPU启动并加载所述引导程序,包括:采用所述安全芯片控制向所述CPU供电的电源管理芯片的使能引脚;响应于对安全芯片的上电指令,对CPU待加载的引导程序进行可信度量;在可信度量通过之后向所述使能引脚发送使能信号,对所述CPU进行上电启动;所述CPU进行上电启动后加载所述引导程序。
优选地,所述第一内核和所述第二内核为主备关系。
优选地,所述装置还包括:在所述第一内核可信度量未通过时读取第二内核之后,获取第二内核的可信度量的度量结果;在所述第二内核的可信度量的度量结果为通过时,将分区存储的出厂内核恢复至所述第一内核,并恢复第一内核的度量值为出厂内核度量值,修改环境变量并再次重启。
优选地,所述装置还包括:所述第二内核的可信度量的度量结果为未通过时,引导程序将第二内核的备份文件覆盖至第二内核的存储位置后,再次重启尝试进入恢复后的第二内核。
优选地,所述引导程序存储于第一闪存模块,所述第一内核和第二内核存储于第二闪存模块。
在本发明的第三方面,还提供了一种集成可信度量和业务安全的设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现前述的集成可信度量和业务安全的方法的步骤。
在本发明的第四方面,还提供了一种计算机可读存储介质,所述存储介质中存储有指令,当其在计算机上运行时,使得计算机执行前述的集成可信度量和业务安全的方法的步骤。
本发明的第五方面提供一种计算机程序产品,包括计算机程序,该计算机程序在被处理器执行时实现前述的集成可信度量和业务安全的方法。
上述技术方案至少具有以下有益效果:
(1)与传统可信及安全加密的技术方案相比,本申请提案基于融合可信度量和业务加解密的芯片和系统,在启动阶段对CPU的启动引导程序、镜像文件等关键程序进行逐级度量,度量如果不成功可进行有限次的自动恢复和重新度量,只有在确保系统度量成功后,才能正常启动系统,形成一套具有高安全性的独特启动和控制流程;
(2)集成芯片能实现业务的安全加解密功能,形成一种更高安全性的方法和系统,同时确保系统及数据的高安全性。
附图说明
附图是用来提供对本发明实施例的进一步理解,并且构成说明书的一部分,与下面的具体实施方式一起用于解释本发明实施例,但并不构成对本发明实施例的限制。在附图中:
图1示意性示出了根据本发明实施方式的集成可信度量和业务安全的方法的步骤示意图;
图2示意性示出了根据本发明实施方式的包括安全芯片和CPU的系统的结构示意图;
图3示意性示出了根据本发明实施方式的电源控制逻辑框图;
图4示意性示出了根据本发明实施方式的可信系统启动流程图的步骤示意图;
图5示意性示出了根据本发明实施方式的集成可信度量和业务安全的装置的结构示意图。
具体实施方式
以下结合附图对本发明实施例的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本发明实施例,并不用于限制本发明实施例。
图1示意性示出了根据本发明实施方式的集成可信度量和业务安全的方法的步骤示意图。如图1所示。该方法包括:
S01、对CPU待加载的引导程序进行可信度量,在可信度量通过后所述CPU启动并加载所述引导程序;现有技术中的安全芯片和CPU的上电并不具有控制关系,在CPU启动后而安全芯片的可信度量未通过时,会对安全芯片进行复位,此时CPU会处于等待状态。而本步骤中的通过安全芯片控制系统电路的上电,确保在可信度量期间CPU不会上电。
S02、采用所述引导程序对第一内核进行可信度量,可信度量未通过时对第二内核进行可信度量;在本步骤中,引导程序包括boot0/SPL和UBoot,其首先会被度量。经可信度量通过后的引导程序读取存储中的第一内核(kernel)。现有大多数情况下,第一内核可被可信度量通过,但是在第一内核可信度量未通过时,CPU启动失败。但是在本步骤中,还提供了第二内核(kernel)以供在第一内核可信度量未通过时读取,从而提升系统可信启动的成功率。
S03、加载可信度量通过后的第一内核或第二内核;当第一内核可被可信度量通过后,第一内核被加载并启动。但是在第一内核可信度量未通过时,可以执行对第一内核的恢复流程后重新从第一内核启动,或者从第二内核启动,或者执行对第二内核的恢复流程后重新从第二内核启动。
S04、采用加载的第一内核或第二内核对关键系统文件进行可信度量,在关键系统文件可信度量通过后加载所述关键系统文件。内核度量关键系统文件,度量通过后拉起文件系统,度量不通过,若备份存在,则恢复关键系统文件;若备份不存在或备份度量不通过,则恢复出厂关键系统文件并恢复出厂关键系统文件度量值;恢复后再次进行度量,通过后文件系统启动,若仍度量不通过,操作系统不启动。
本发明实施方式是安全芯片和系统电路的电源控制处理以及建立可信根和信任链来保证系统的完整性和安全性。整个系统主要包括安全芯片和CPU,还包括用于存储CPU启动所需文件的存储装置,例如FLASH闪存单元。图2示意性示出了根据本发明实施方式的包括安全芯片和CPU的系统的结构示意图。如图2所示,整个系统由SPI Flash、安全芯片、CPU、EMMCFlash四部分组成,以上各个部件的连接关系也如图所示,SPI与ESAMSPI均表示对应的通信总线。
在本发明的一些可选实施方式中,关键系统文件分别度量基础APP和业务APP,度量通过后启动,此处的度量可以采用验签方式。度量不通过,则不启动。通过本实施方式,采用基于信任链的访问控制机制,用户终端只能安装和使用已授权的应用软件和程序,应用软件及其包含的可执行文件、动态链接库和控件的完整性,由安全芯片验证。
在本发明的一些可选实施方式中,对CPU待加载的引导程序进行可信度量,在可信度量通过后所述CPU启动并加载所述引导程序,包括:采用所述安全芯片控制向所述CPU供电的电源管理芯片的使能引脚;响应于对安全芯片的上电指令,对CPU待加载的引导程序进行可信度量;在可信度量通过之后向所述使能引脚发送使能信号,对所述CPU进行上电启动;所述CPU进行上电启动后加载所述引导程序。图3示意性示出了根据本发明实施方式的电源控制逻辑框图。如图3所示,通过安全芯片控制系统电路的上电,确保在可信度量期间CPU不会上电,通过CPU和外部复位芯片控制可信以及系统电源开关来实现整个系统复位,确保复位时安全芯片和系统可以同步完成重新启动,避免安全芯片和CPU互相复位造成的锁死。详细控制逻辑如下:第一步:电源上电后安全芯片的电源默认上电,进行可信度量;第二步:可信度量通过之后,安全芯片使能CPU的电源管理芯片(PMIC)完成CPU的上电,若度量未通过则无法给CPU进行上电;第三步:当系统需要复位时,CPU给复位芯片一个低电平信号,复位芯片输出一个200ms的低电平后再次拉高,通过MOS芯片完成电源的掉电和再次上电,再次进入到第一步的上电过程。
在本发明的一些可选实施方式中,所述第一内核和所述第二内核为主备关系。本实施方式通过设置不只一个内核,并设计为主备冗余机制,以提升可信启动的成功率。
在本发明的一些可选实施方式中,还对未通过可信度量的第一内核和第二内核提供了自动恢复的能力。所述方法还包括:在所述第一内核可信度量未通过时读取第二内核之后,获取第二内核的可信度量的度量结果;在所述第二内核的可信度量的度量结果为通过时,将分区存储的出厂内核恢复至所述第一内核,并恢复第一内核的度量值为出厂内核度量值,修改环境变量并再次重启。具体的,如果第一内核的可信度量未通过,则改写启动环境变量并重启,使系统进入第二内核,第二内核可信度量通过后,将EMMC Flash分区存储的出厂内核恢复至第一内核并恢复第一内核度量值为出厂内核度量值,修改环境变量并再次重启,重新进行可信度量启动。
在本发明的一些可选实施方式中,所述方法还包括:所述第二内核的可信度量的度量结果为未通过时,引导程序将第二内核的备份文件覆盖至第二内核的存储位置后,再次重启尝试进入恢复后的第二内核。如果第二内核可信度量未通过,则UBoot从SPI FLASH将第二内核的备份覆盖至EMMC Flash第二内核区域后,再次重启尝试进入恢复后的第二内核。若SPI FLASH恢复后的第二内核依然不能通过度量,则返回度量失败。
在本发明的一些可选实施方式中,提供了Uboot程序和系统镜像分离机制。所述引导程序存储于第一闪存模块,所述第一内核和第二内核存储于第二闪存模块。例如:Uboot程序和系统镜像分别放在SPI Flash和EMMC Flash中,方便系统升级,方便调试。并可以在Uboot内做前置验证,确保程序启动安全,设备加载镜像后,从DDR启动程序,进行第二级度量,度量通过后,系统才会正式启动。
图4示意性示出了根据本发明实施方式的可信系统启动流程图的步骤示意图。如图4所示,将安全芯片作为可信根,在安全芯片中存储启动实体初始的预期度量值,启动时将实体加载到内存中,通过比较初始预期度量值和当前计算值的一致性,确定启动过程是否可以安全继续。系统启动具体过程如下:
第一步,终端通电后优先启动安全芯片,安全芯片控制PMIC的使能引脚,确保在可信度量期间CPU不会上电;
第二步,安全芯片通过SPI从SPI Flash中读取引导程序(boot0/SPL+UBoot)并进行可信度量;
第三步,引导程序可信度量通过后,CPU通过可信度量单元从SPI Flash加载执行boot0/SPL和UBoot程序。
第四步,如果可信度量未通过,则将SPI Flash中的备份引导程序(boot0/SPL+UBoot)恢复,并进行可信度量启动。
第五步,UBoot读取系统环境变量,并依次读取EMMC Flash中的内核(主核或备核)并进行可信度量,度量通过后启动该内核。
第六步,如果主核可信度量未通过,则改写启动环境变量并重启,使系统进入备核,备核可信度量通过后,将EMMC Flash分区存储的出厂内核恢复至主核并恢复主核度量值为出厂内核度量值,修改环境变量并再次重启,重新进行可信度量启动。
第七步,如果备核可信度量未通过,则UBoot从SPI FLASH将备核备份覆盖至EMMCFlash备核区域后,再次重启尝试进入恢复后的备核。若SPI FLASH恢复后的备核依然不能通过度量,则返回度量失败。
第八步,内核度量关键系统文件,度量通过后拉起文件系统,度量不通过,若备份存在,则恢复关键系统文件;若备份不存在或备份度量不通过,则恢复出厂关键系统文件并恢复出厂关键系统文件度量值;恢复后再次进行度量,通过后文件系统启动,若仍度量不通过,操作系统不启动。
第九步,关键系统文件分别度量(采用验签方式)基础APP和业务APP,度量通过后启动。度量不通过,则不启动。
基于同一发明构思,本发明还提供了一种集成可信度量和业务安全的装置。图5示意性示出了根据本发明实施方式的集成可信度量和业务安全的装置的结构示意图。如图5所示,一种集成可信度量和业务安全的装置,包括:上电控制模块,对CPU待加载的引导程序进行可信度量,在可信度量通过后所述CPU启动并加载所述引导程序;内核度量模块,用于采用所述引导程序对第一内核进行可信度量,可信度量未通过时对第二内核进行可信度量;内核启动模块,用于加载可信度量通过后的第一内核或第二内核;以及文件度量模块,用于采用加载的第一内核或第二内核对关键系统文件进行可信度量,在关键系统文件可信度量通过后加载所述关键系统文件。
在一些可选实施方式中,所述装置还包括APP度量模块,所述APP度量模块用于在启动基础APP或业务APP之前,采用所述关键系统文件对待启动的基础APP或业务APP进行可信度量。
在一些可选实施方式中,对CPU待加载的引导程序进行可信度量,在可信度量通过后所述CPU启动并加载所述引导程序,包括:采用所述安全芯片控制向所述CPU供电的电源管理芯片的使能引脚;响应于对安全芯片的上电指令,对CPU待加载的引导程序进行可信度量;在可信度量通过之后向所述使能引脚发送使能信号,对所述CPU进行上电启动;所述CPU进行上电启动后加载所述引导程序。
在一些可选实施方式中,所述第一内核和所述第二内核为主备关系。
在一些可选实施方式中,所述装置还包括:在所述第一内核可信度量未通过时读取第二内核之后,获取第二内核的可信度量的度量结果;在所述第二内核的可信度量的度量结果为通过时,将分区存储的出厂内核恢复至所述第一内核,并恢复第一内核的度量值为出厂内核度量值,修改环境变量并再次重启。
在一些可选实施方式中,所述装置还包括:所述第二内核的可信度量的度量结果为未通过时,引导程序将第二内核的备份文件覆盖至第二内核的存储位置后,再次重启尝试进入恢复后的第二内核。
在一些可选实施方式中,所述引导程序存储于第一闪存模块,所述第一内核和第二内核存储于第二闪存模块。
上述的集成可信度量和业务安全的装置中的各个功能模块的具体限定可以参见上文中对于集成可信度量和业务安全的方法的限定,在此不再赘述。上述装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在本发明提供的一些实施方式中,还提供了一种集成可信度量和业务安全的设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现前述的集成可信度量和业务安全的方法的步骤。此处的处理器具有数值计算和逻辑运算的功能,其至少具有数据处理能力的中央处理器CPU、随机存储器RAM、只读存储器ROM、多种I/O口和中断系统等。处理器中包含内核,由内核去存储器中调取相应的程序单元。内核可以设置一个或以上,通过调整内核参数来实现前述的方法。存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM),存储器包括至少一个存储芯片。
在本发明的一种实施方式中,还提供了一种计算机可读存储介质,所述存储介质中存储有指令,当其在计算机上运行时,该指令在被处理器执行时使得处理器被配置成执行上述的集成可信度量和业务安全的方法。
在本发明提供的一种实施方式中,提供了一种计算机程序产品,包括计算机程序,该计算机程序在被处理器执行时实现上述的集成可信度量和业务安全的方法。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器 (CPU)、输入/输出接口、网络接口和内存。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。存储器是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存 (PRAM)、静态随机存取存储器 (SRAM)、动态随机存取存储器 (DRAM)、其他类型的随机存取存储器 (RAM)、只读存储器 (ROM)、电可擦除可编程只读存储器 (EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘 (DVD) 或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体 (transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
以上仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (12)
1.一种集成可信度量和业务安全的方法,应用于包括安全芯片和CPU的系统,其特征在于,所述系统还包括电源芯片、电源管理芯片、复位芯片和MOS芯片,所述电源管理芯片用于管理CPU供电,所述电源管理芯片的使能引脚由所述安全芯片控制,所述复位芯片同时与所述CPU和所述MOS芯片相连,所述MOS芯片控制所述电源芯片和所述电源管理芯片;所述方法包括:
对CPU待加载的引导程序进行可信度量,在可信度量通过后所述CPU启动并加载所述引导程序,包括:采用所述安全芯片控制向所述CPU供电的电源管理芯片的使能引脚;响应于对所述安全芯片的上电指令,对CPU待加载的引导程序进行可信度量;在可信度量通过之后向所述使能引脚发送使能信号,对所述CPU进行上电启动;在所述CPU进行上电启动后加载所述引导程序;
采用所述引导程序对第一内核进行可信度量,可信度量未通过时对第二内核进行可信度量;
加载可信度量通过后的第一内核或第二内核;
采用加载的第一内核或第二内核对关键系统文件进行可信度量,在关键系统文件可信度量通过后加载所述关键系统文件;
所述方法还包括:在所述第二内核的可信度量的度量结果为未通过时,经引导程序将第二内核的备份文件覆盖至第二内核的存储位置后重启。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:在启动基础APP或业务APP之前,采用加载的关键系统文件对基础APP或业务APP进行可信度量。
3.根据权利要求1所述的方法,其特征在于,所述第一内核和所述第二内核为主备关系。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
获取第二内核的可信度量的度量结果;
在所述第二内核的可信度量的度量结果为通过时,将分区存储的出厂内核恢复至所述第一内核,并恢复第一内核的度量值为出厂内核度量值,修改环境变量并重启。
5.根据权利要求1所述的方法,其特征在于,所述引导程序存储于第一闪存模块,所述第一内核和第二内核存储于第二闪存模块。
6.一种集成可信度量和业务安全的装置,应用于包括安全芯片和CPU的系统,其特征在于,所述系统还包括电源芯片、电源管理芯片、复位芯片和MOS芯片,所述电源管理芯片用于管理CPU供电,所述电源管理芯片的使能引脚由所述安全芯片控制,所述复位芯片同时与所述CPU和所述MOS芯片相连,所述MOS芯片控制所述电源芯片和所述电源管理芯片;所述装置包括:
上电控制模块,对CPU待加载的引导程序进行可信度量,在可信度量通过后所述CPU启动并加载所述引导程序,包括:采用所述安全芯片控制向所述CPU供电的电源管理芯片的使能引脚;响应于对所述安全芯片的上电指令,对CPU待加载的引导程序进行可信度量;在可信度量通过之后向所述使能引脚发送使能信号,对所述CPU进行上电启动;在所述CPU进行上电启动后加载所述引导程序;
内核度量模块,用于采用所述引导程序对第一内核进行可信度量,可信度量未通过时对第二内核进行可信度量;
内核启动模块,用于加载可信度量通过后的第一内核或第二内核;以及
文件度量模块,用于采用加载的第一内核或第二内核对关键系统文件进行可信度量,在关键系统文件可信度量通过后加载所述关键系统文件;
所述装置还用于:所述第二内核的可信度量的度量结果为未通过时,引导程序将第二内核的备份文件覆盖至第二内核的存储位置后,再次重启尝试进入恢复后的第二内核。
7.根据权利要求6所述的装置,其特征在于,所述装置还包括APP度量模块,所述APP度量模块用于在启动基础APP或业务APP之前,采用所述关键系统文件对待启动的基础APP或业务APP进行可信度量。
8.根据权利要求6所述的装置,其特征在于,所述第一内核和所述第二内核为主备关系。
9.根据权利要求6所述的装置,其特征在于,所述装置还包括:
在所述第一内核可信度量未通过时读取第二内核之后,获取第二内核的可信度量的度量结果;
在所述第二内核的可信度量的度量结果为通过时,将分区存储的出厂内核恢复至所述第一内核,并恢复第一内核的度量值为出厂内核度量值,修改环境变量并重启。
10.根据权利要求6所述的装置,其特征在于,所述引导程序存储于第一闪存模块,所述第一内核和第二内核存储于第二闪存模块。
11.一种集成可信度量和业务安全的设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至5中任一项所述的集成可信度量和业务安全的方法的步骤。
12.一种计算机可读存储介质,所述存储介质中存储有指令,当其在计算机上运行时,使得计算机执行权利要求1至5中任一项权利要求所述的集成可信度量和业务安全的方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310059408.5A CN115859310B (zh) | 2023-01-18 | 2023-01-18 | 集成可信度量和业务安全的方法、装置及设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310059408.5A CN115859310B (zh) | 2023-01-18 | 2023-01-18 | 集成可信度量和业务安全的方法、装置及设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115859310A CN115859310A (zh) | 2023-03-28 |
CN115859310B true CN115859310B (zh) | 2023-05-12 |
Family
ID=85657535
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310059408.5A Active CN115859310B (zh) | 2023-01-18 | 2023-01-18 | 集成可信度量和业务安全的方法、装置及设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115859310B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116226872B (zh) * | 2023-05-08 | 2023-08-08 | 海光信息技术股份有限公司 | 安全启动方法、装置及相关器件 |
CN117633906A (zh) * | 2023-11-14 | 2024-03-01 | 国网上海能源互联网研究院有限公司 | 一种台区智能融合终端有效性的可信验证方法 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107506663A (zh) * | 2017-08-02 | 2017-12-22 | 中电科技(北京)有限公司 | 基于可信bmc的服务器安全启动方法 |
CN110795774B (zh) * | 2018-08-02 | 2023-04-11 | 阿里巴巴集团控股有限公司 | 基于可信高速加密卡的度量方法、设备和系统 |
CN109241745B (zh) * | 2018-08-28 | 2021-08-13 | 全球能源互联网研究院有限公司 | 一种计算平台的可信启动方法及装置 |
CN110007971A (zh) * | 2019-03-25 | 2019-07-12 | 联想(北京)有限公司 | 一种信息处理方法及装置、设备、存储介质 |
-
2023
- 2023-01-18 CN CN202310059408.5A patent/CN115859310B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN115859310A (zh) | 2023-03-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN115859310B (zh) | 集成可信度量和业务安全的方法、装置及设备 | |
CN108399339B (zh) | 一种基于安全芯片的可信启动方法 | |
US9703635B2 (en) | Method, computer program, and computer for restoring set of variables | |
EP2831722B1 (en) | Method and system for verifying proper operation of a computing device after a system change | |
US8972591B2 (en) | Method for downloading software | |
CN109670319B (zh) | 一种服务器flash安全管理方法及其系统 | |
CN104981778A (zh) | 修补只读存储器的引导代码 | |
JP2021089726A (ja) | コンピュータシステム、および、その安全管理方法、および、コンピュータソフトウェア製品 | |
CN115048655A (zh) | 基本输入输出系统镜像校验方法、装置、设备和介质 | |
CN108345464A (zh) | 一种安卓系统的启动方法及安卓车机 | |
CN105786545B (zh) | 基于异构混合内存的断点恢复方法和系统 | |
US20120060215A1 (en) | Mobile terminal and method for protecting its system data | |
CN113553115A (zh) | 一种基于异构多核芯片的启动方法以及存储介质 | |
CN113901473B (zh) | 一种服务器安全启动的方法、装置、设备及可读介质 | |
CN113867807A (zh) | 一种缩短服务器上电时间的方法、装置、设备和存储介质 | |
WO2016184180A1 (zh) | 一种系统安全启动方法及装置 | |
CN110781527B (zh) | 一种控制寄存器保护方法与装置 | |
JP4728343B2 (ja) | 情報更新方法、プログラム、情報処理装置 | |
CN113760623A (zh) | 固态硬盘tcg协议功能测试方法、装置及计算机设备 | |
CN108228219B (zh) | 一种带外刷新bios时验证bios合法性的方法及装置 | |
US20230129942A1 (en) | Method for locking a rewritable non-volatile memory and electronic device implementing said method | |
CN113448682A (zh) | 一种虚拟机监控器加载方法、装置及电子设备 | |
CN112099855B (zh) | 一种信息处理方法、电子设备和计算机存储介质 | |
CN114731272B (zh) | 一种安全处理装置、安全处理方法及相关设备 | |
CN113157394B (zh) | 一种镜像备份方法、装置及电子设备和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |