RU2811751C2 - Устройство формирования изображения и система управления его безопасностью - Google Patents

Устройство формирования изображения и система управления его безопасностью Download PDF

Info

Publication number
RU2811751C2
RU2811751C2 RU2021138201A RU2021138201A RU2811751C2 RU 2811751 C2 RU2811751 C2 RU 2811751C2 RU 2021138201 A RU2021138201 A RU 2021138201A RU 2021138201 A RU2021138201 A RU 2021138201A RU 2811751 C2 RU2811751 C2 RU 2811751C2
Authority
RU
Russia
Prior art keywords
controller
programs
security
security chip
verified
Prior art date
Application number
RU2021138201A
Other languages
English (en)
Other versions
RU2021138201A (ru
Inventor
Айго ИНЬ
Цзуляо ЦИНЬ
Цзюнь ЧЖАН
Хайсюн ЛИ
Чжиминь ХУ
Original Assignee
Чжухай Пантум Электроникс Ко., Лтд.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Чжухай Пантум Электроникс Ко., Лтд. filed Critical Чжухай Пантум Электроникс Ко., Лтд.
Publication of RU2021138201A publication Critical patent/RU2021138201A/ru
Application granted granted Critical
Publication of RU2811751C2 publication Critical patent/RU2811751C2/ru

Links

Images

Abstract

Изобретение относится к области формирования изображения. Технический результат заключается в обеспечении безопасности информации, обрабатываемой устройством формирования изображения. Устройство формирования изображения включает в себя контроллер, конфигурированный для управления устройством формирования изображения для выполнения операций формирования изображения, чип безопасности, подключенный к контроллеру и конфигурированный для наблюдения за оперативными действиями контроллера и память, подключенную к чипу безопасности и конфигурированную для хранения подлежащих проверке программ, причем подлежащие проверке программы представляют собой программы, выполняемые для работы устройства формирования изображения. Чип безопасности выполняет проверку безопасности подлежащих проверке программ и, когда результат проверки безопасности подлежащих проверке программ от чипа безопасности является неудачным, чип безопасности управляет контроллером, чтобы последний не исполнял подлежащие проверке программы. 2 н. и 12 з.п. ф-лы, 11 ил.

Description

ПЕРЕКРЕСТНАЯ ССЫЛКА НА РОДСТВЕННЫЕ ЗАЯВКИ
[1] Настоящая заявка является переходом на национальную фазу международной заявки № PCT/CN 2020/095310, поданной 10 июня 2020 г., в которой испрашивается приоритет китайской патентной заявки №201920996840.6 под названием «Устройство формирования изображения и система управления его запуском», поданной 28 июня 2019 г. в Национальное управление интеллектуальной собственности Китая; №201921461567.3 под названием «Устройство формирования изображения и система управления его безопасностью», поданной 4 сентября 2019 г. в Национальное управление интеллектуальной собственности Китая; и №201910832398.8 под названием «Устройство формирования изображения и способ управления им, а также носитель информации», поданной 4 сентября 2019 г. в Национальное управление интеллектуальной собственности Китая, все из которых полностью включены в настоящий документ посредством ссылки.
ОБЛАСТЬ ТЕХНИКИ
[2] Настоящее изобретение в целом относится к области технологии формирования изображения и, более конкретно, относится к устройству формирования изображения и системе управления его безопасностью.
УРОВЕНЬ ТЕХНИКИ
[3] С развитием электронной науки и техники разработка устройства формирования изображения стала более продвинутой. Однако, как и периферийное устройство компьютера, устройство формирования изображения уязвимо для атак со стороны преступников (например, хакеров). В качестве примера в лазерном принтере (один из различных типов устройств формирования изображений) с функциями сканирования и/или факса, отсканированные или отправленные по факсу данные могут содержать конфиденциальные данные пользователя; и даже светочувствительный барабан, основной компонент формирования лазерного изображения, может также содержать конфиденциальные данные пользователя, подлежащие печати. Утечка данных может доставить пользователям множество ненужных неприятностей. Когда речь идет об офисном формате компании или правительственном секретном отделе, утечка конфиденциальных данных, переносимых устройством формирования изображения, может также поставить под угрозу безопасности компании или правительства. В настоящее время чип безопасности может быть конфигурирован для наблюдения за работой контроллера (контроллера формирования изображения) устройства формирования изображения в существующей технологии. Однако в настоящее время не существует надежного решения, которое могло бы гарантировать безопасность информации, обрабатываемой устройством формирования изображения.
РАСКРЫТИЕ СУЩНОСТИ ИЗОБРЕТЕНИЯ
[4] В различных вариантах осуществления настоящей заявки предложено устройство формирования изображения и система управления безопасностью для устройства формирования изображения, которые могут решить проблему отсутствия надежного решения для существенного обеспечения безопасности информации, обрабатываемой устройством формирования изображения.
[5] Первый аспект настоящего изобретения относится к устройству формирования изображения, содержащему:
[6] контроллер, конфигурированный для управления устройством формирования изображения для выполнения операций формирования изображения;
[7] чип безопасности, соединенный с контроллером и конфигурированный для наблюдения за оперативными действиями контроллера; и
[8] память, подключенную к чипу безопасности и конфигурированную для хранения подлежащих проверке программ, при этом подлежащие проверке программы представляют собой программы, выполняемые для работы устройства формирования изображения; и
[9] чип безопасности выполняет проверку безопасности подлежащих проверке программ, и, когда результат проверки безопасности подлежащих проверке программ от чипа безопасности является неудачным, чип безопасности управляет контроллером, чтобы последний не исполнял подлежащие проверке программы.
[10] Второй аспект настоящего изобретения относится к системе управления запуском для устройства формирования изображения, причем устройство формирования изображения содержит контроллер, конфигурированный для управления устройством формирования изображения для выполнения операций формирования изображения. Система содержит:
[11] чип безопасности, подключенный к контроллеру и конфигурированный для наблюдения за оперативными действиями контроллера; и
[12] память, подключенную к чипу безопасности и конфигурированную для хранения подлежащих проверке программ контроллера, при этом подлежащие проверке программы являются программами, используемыми для работы устройства формирования изображения; и
[13] чип безопасности выполняет проверку безопасности подлежащих проверке программ, и, когда результат проверки безопасности подлежащих проверке программ от чипа безопасности является неудачным, чип безопасности управляет контроллером, чтобы последний не исполнял подлежащие проверке программы.
[14] Следует понимать, что чип безопасности используется для выполнения проверки безопасности подлежащих проверке программ, хранящихся в памяти, и когда контроллер исполняет подлежащие проверке программы, чип безопасности управляет контроллером, чтобы последний не исполнял подлежащие проверке программы таким образом, чтобы рабочий процесс контроллера наблюдался чипом безопасности, который гарантирует безопасность устройства формирования изображения во время рабочего процесса.
КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙ
[15] Ниже кратко описаны чертежи, необходимые для четкой иллюстрации технических решений, предусмотренных примерными вариантами осуществления настоящего изобретения. Очевидно, что следующие чертежи могут быть просто некоторыми иллюстративными вариантами осуществления настоящего изобретения. Другие соответствующие чертежи могут быть получены по данным чертежам специалистами в данной области техники без приложения творческого труда.
[16] фиг. 1 иллюстрирует схематичную блок-схему устройства формирования изображения согласно различным примерам вариантов осуществления настоящего изобретения;
[17] фиг. 2 иллюстрирует схематическую блок-схему другого устройства формирования изображения согласно различным вариантам осуществления настоящего изобретения;
[18] фиг. 3 иллюстрирует схему связи между компонентами устройства формирования изображения согласно различным вариантам осуществления настоящего изобретения;
[19] фиг. 4 иллюстрирует схематическую блок-схему другого устройства формирования изображения согласно различным вариантам осуществления настоящего изобретения;
[20] фиг. 5-10 иллюстрируют блок-схемы аппаратных средств устройств формирования изображения согласно различным вариантам осуществления настоящего изобретения; и
[21] фиг. 11 иллюстрирует схематическую блок-схему другого устройства формирования изображения согласно различным вариантам осуществления настоящего изобретения.
ОСУЩЕСТВЛЕНИЕ ИЗОБРЕТЕНИЯ
[22] Чтобы лучше понять технические решения настоящего изобретения, варианты его осуществления подробно описаны со ссылкой на прилагаемые ниже чертежи.
[23] Как показано на фиг. 1, варианты осуществления настоящего изобретения обеспечивают устройство формирования изображения, содержащее:
[24] контроллер 1, конфигурированный для управления устройством формирования изображения для выполнения операций формирования изображения; чип 2 безопасности, соединенный с контроллером 1 и конфигурированный для наблюдения за оперативными действиями контроллера 1; и память 3, подключенную к чипу 2 безопасности и конфигурированную для хранения подлежащих проверке программ, при этом подлежащие проверке программы представляют собой программы, выполняемые для работы устройства формирования изображения. Чип 2 безопасности может выполнять проверку безопасности подлежащих проверке программ. Когда результат проверки безопасности подлежащих проверке программ от чипа 2 безопасности является неудачным, чип 2 безопасности управляет контроллером 1, чтобы последний не исполнял подлежащие проверке программы.
[25] Следует понимать, что чип 2 безопасности может быть конфигурирован для выполнения проверки безопасности подлежащих проверке программ, хранящихся в памяти 3. Когда контроллер исполняет подлежащие проверке программы, чип безопасности может управлять контроллером, чтобы остановить выполнение подлежащих проверке программ, так что рабочий процесс контроллера 1 может наблюдаться чипом 2 безопасности, который гарантирует безопасность устройства формирования изображения в процессе эксплуатации.
[26] Например, устройство формирования изображения может быть устройством, которое может печатать, например, данные печати, сгенерированные компьютером, на носителе записи, таком как бумага для печати. Примеры устройств формирования изображения могут включать в себя, без ограничения, копировальные аппараты, принтеры, факсимильные аппараты, сканеры и многофункциональные периферийные устройства, которые выполняют вышеуказанные функции в одном устройстве.
[27] В одном варианте осуществления контроллер 1, такой как система на кристалле (SoC), может быть конфигурирован для управления операцией обработки формирования изображения устройства формирования изображения. SoC может быть конфигурирован для выполнения операций обработки, связанных с отправкой и получением данных, отправкой и получением команд и управлением двигателем. Например, SoC может быть конфигурирован для вызова интерфейсных блоков (включая, помимо прочего, USB-порты, проводные сетевые порты, беспроводные сетевые порты и т.п.) через приложения для отправки и получения данных, команд, статуса и т.п. SoC может быть конфигурирован для получения принятых параметров печати через программы приложений, которые могут быть проанализированы в команды, которые управляют механизмом двигателя для выполнения конкретных функций, таких как параметры экспонирования LSU, параметры вращения ролика захвата и т.п. Кроме того, для устройства формирования изображения с функциями аутентификации полномочий пользователя или обработки шифрования/дешифрования SoC также может быть конфигурирован с возможностью выполнения функций аутентификации полномочий пользователя или обработки шифрования/дешифрования; и интерфейсный блок в устройстве формирования изображения может также принимать данные задания на печать и команды печати, сканирования и отправки факсов с приводного устройства или передавать данные сканирования, отправки факсов, информацию о состоянии печати, сканирования и отправки факсов и т.п., а также правила безопасности, журналы и другую информацию, которой обмениваются чип безопасности 2 и внешний сервер мониторинга безопасности.
[28] Чип 2 безопасности, также известный как модуль наблюдения доверенных вычислений, может быть конфигурирован для наблюдения операционных действий контроллера 1 (SoC) в устройстве формирования изображения. Доверенные вычисления в чипе 2 безопасности для обеспечения безопасности поведения широко используются в компьютерах и системах связи для повышения общей безопасности системы. Информационная безопасность включает четыре аспекта: безопасность оборудования, безопасность данных, безопасность контента и безопасность поведения. Чтобы дополнительно улучшить характеристики безопасности поведения устройства формирования изображения, в одном варианте осуществления может быть введена функция доверенных вычислений. Функциональные модули, соответствующие чипу 2 безопасности, упомянутому в одном варианте осуществления, могут включать в себя четыре функции: функцию мониторинга запуска/работы программы (или модуля) (например, стратегию белого списка), функцию регистрации, функцию аудита и функцию мониторинга обновления. Например, чип 2 безопасности может быть конфигурирован для наблюдения за модулями дискового уровня операционной системы (например, системы Linux) устройства формирования изображения и наблюдения за программами уровня приложения устройства формирования изображения. Чип 2 безопасности может разрешать запуск драйверов и программ только из диапазона белого списка и может не разрешать запуск драйверов и программ, не входящих в диапазон белого списка. Чип 2 безопасности может записывать или сообщать об инцидентах безопасности, произошедших в устройстве формирования изображения. Таким образом, можно полностью контролировать уровень привода и уровень приложений устройства формирования изображения, и можно эффективно предотвращать небезопасное поведение программ приложения и драйверов устройств контроллера 1.
[29] Память 3 может быть подключена к контроллеру 1 и чипу 2 безопасности или отдельно к контроллеру 1 и чипу 2 безопасности. Память 3 может быть энергонезависимой памятью, такой как NOR flash (флеш-память), NAND flash (флеш-память), EEPROM (стираемая программируемая постоянная память), FRAM (сегнетоэлектрическая память), MRAM (магнитная RAM) и NVSRAM. (энергонезависимая статическая память) и тому подобное.
[30] Чип 2 безопасности может выполнять проверку безопасности подлежащих проверке программ. Когда результат проверки безопасности проверяемой программы от чипа 2 безопасности является неудачным, чип 2 безопасности управляет контроллером 1, чтобы последний не исполнял подлежащие проверке программы. Например, в одном варианте осуществления, когда чип 2 безопасности выполняет процесс проверки подлежащих проверке программ, чип 2 безопасности может управлять контроллером 1, чтобы он не исполнял подлежащие проверке программы; только когда проверка подлежащих проверке программ с помощью чипа 2 безопасности прошла успешно, контроллеру 1 может быть разрешено выполнять подлежащие проверке программы; и во время процесса проверки, если проверка не удалась, чип 2 безопасности может управлять контроллером 1, чтобы он продолжал не исполнять подлежащие проверке программы. В другом варианте осуществления чип безопасности может проверять подлежащие проверке программы по сегментам, и во время процесса проверки чипа 2 безопасности контроллеру 1 может быть разрешено загружать части подлежащих проверке программ; однако таких частичных подлежащих проверке программ может быть недостаточно для того, чтобы контроллер 1 полностью запустил или выполнил все операции обработки изображения; когда проверка безопасности, соответствующая чипу 2 безопасности, не удалась, чип 2 безопасности может управлять контроллером 1, чтобы остановить выполнение подлежащих проверке программ. Все эти различные варианты осуществления могут относиться к объему защиты настоящего изобретения.
[31] Как показано на фиг. 2, в одном или нескольких вариантах осуществления настоящего изобретения подлежащие проверке программы могут включать в себя программу запуска, в памяти также может храниться информация проверки безопасности, и чип 2 безопасности может включать в себя контроллер 21 запуска. Контроллер 21 запуска может быть подключен к контроллеру 1 и конфигурирован так, чтобы сначала управлять чипом 2 безопасности для считывания программы запуска и информации проверки безопасности, хранящейся в памяти 3, и выполнять проверку безопасности программы запуска с использованием информации проверки безопасности; и после успешной проверки безопасности контроллером 1 можно управлять для считывания программы запуска для завершения запуска контроллера 1.
[32] Следует понимать, что в настоящем изобретении контроллер 21 запуска может быть конфигурирован в чипе 2 безопасности; после включения устройства формирования изображения сначала может быть запущен чип 2 безопасности; контроллер 21 запуска может сначала управлять чипом 2 безопасности для считывания программы запуска и информации проверки безопасности, хранящейся в памяти 3, и выполнять проверку безопасности программы запуска, используя информацию проверки безопасности; и после того, как проверка безопасности прошла успешно, контроллером 1 можно управлять для считывания программы запуска для завершения запуска контроллера 1, так что процесс запуска контроллера 1 может контролироваться чипом 2 безопасности, который обеспечивает безопасность устройства формирования изображения в процессе эксплуатации.
[33] Следует понимать, что, как показано на фиг. 2, в одном варианте осуществления чип 2 безопасности может включать в себя контроллер 21 запуска и другие устройства; и другие устройства могут быть конфигурированы для реализации других функций чипа безопасности, отличных от контроллера 21 запуска. Другие устройства могут включать в себя, без ограничения, считывающее устройство для считывания программы запуска и информации проверки безопасности в памяти 3, блок проверки для проверки считанной программы запуска в соответствии с информацией проверки безопасности, различные схемы/блоки и т.п. для наблюдения контроллера 1 и различных модулей связи, интерфейсных блоков и т.п., связанных со связью.
[34] Программа запуска может включать в себя загрузочные файлы запуска (например, загрузочные файлы и файлы uboot), информацию об операционной системе (например, инициализацию DDR, инициализацию кэша, инициализацию последовательного порта и инициализацию сетевой карты) и т.п. Информация проверки безопасности может включать в себя, без ограничения, предварительно установленный код проверки. В других вариантах осуществления информация о проверке безопасности также может быть предварительно сохранена в чипе 2 безопасности.
[35] В одном варианте осуществления процесс выполнения проверки безопасности в программе запуска может быть следующим: контроллер 21 запуска может считывать программу запуска, чтобы генерировать информацию проверки операции, и информация о том, была ли проверка безопасности программы запуска успешной, может выводиться путем сравнения того, удовлетворяют ли информация проверки операции и информация проверки безопасности предварительно установленному соотношению. Например, контроллер 21 запуска может использовать свою собственную операционную схему или операционный код для выполнения логических операций (далее также называемых заранее заданным правилом) в программе запуска для получения информации проверки операции; контроллер 21 запуска может дополнительно сравнивать информацию проверки операции и информацию проверки безопасности посредством схемы логического сравнения или кода логического сравнения и определять, удовлетворяют ли информация проверки операции и информация проверки безопасности заданному соотношению (например, равенству); если он удовлетворен, то может быть выведена информация о том, что проверка безопасности запускаемой программы прошла успешно; и если он не удовлетворен, может быть выведена информация о том, что проверка безопасности программы запуска не удалась.
[36] Как показано на фиг. 3, опционально, контроллер 21 запуска может быть подключен к контакту сброса контроллера 1, и контроллер 21 запуска может быть конфигурирован для вывода сигнала разрешения сброса на контакт сброса контроллера 1 до того, как программа запуска пройдет проверку безопасности, и выводить недействительный сигнал сброса на контакт сброса контроллера 1 после того, как программа запуска пройдет проверку безопасности.
[37] В одном варианте осуществления настоящего изобретения после включения питания устройства формирования изображения может быть запущен чип 2 безопасности, контроллер 21 запуска чипа 2 безопасности может выводить сигнал низкого уровня на контакт сброса контроллера 1, и может быть включен низкий уровень контакта сброса контроллера 1, так что контроллер 1 может находиться в состоянии сброса и не может быть запущен. В таком процессе чип 2 безопасности может считывать программу запуска и информацию проверки безопасности из памяти 3 и выполнять проверку безопасности программы запуска с помощью информации проверки безопасности. Когда проверка программы запуска прошла успешно, контроллер 21 запуска может передать сигнал высокого уровня на контакт сброса контроллера 1, чтобы контроллер 1 мог быть запущен для обеспечения безопасности контроллера 1.
[38] В настоящем изобретении код проверки, предварительно установленный в информации о проверке безопасности, может быть сохранен непосредственно заранее, или полная программа запуска может быть проверена заранее (например, перед отправкой) в соответствии с предварительно заданным правилом, полученный результат проверки может использоваться как информация проверки безопасности, и информация проверки безопасности может быть сохранена. Когда требуется проверка безопасности (например, контроллер должен быть запущен в рабочем процессе после отгрузки), контроллер 21 запуска может считывать программу запуска и информацию проверки безопасности в соответствии с вышеуказанными требованиями; выполнить логические операции с программой запуска, чтобы получить информацию о проверке операции, а затем сравнить информацию о проверке операции с информацией о проверке безопасности. Если они согласуются друг с другом, это может означать, что процедура запуска может быть завершена без изменений. Если они несовместимы друг с другом, возможно, программа запуска была изменена. В этот момент, если контроллер 1 считывает и выполняет программу запуска, может возникнуть угроза безопасности. Следовательно, контроллер 21 запуска чипа 2 безопасности может не разрешать запуск контроллера 1 для обеспечения безопасной работы контроллера 1.
[39] Взяв в качестве примера проверку файлов начальной загрузки в программе загрузки, процесс проверки файлов начальной загрузки может быть следующим: выполнение обработки накопления файлов начальной загрузки для получения соответствующей накопленной контрольной суммы и сравнение полученной накопленной контрольной суммы с сохраненной предварительно установленной суммой информации для проверки безопасности. Если они совпадают, это может указывать на то, что загрузочные файлы запуска завершены без изменений, что удовлетворяет условию безопасности.
[40] Следует отметить, что после включения устройства формирования изображения и чип 2 безопасности и контроллер 1 должны получить программу запуска, где после того, как чип 2 безопасности получит программу запуска, безопасность программы запуска может быть проверена; и контроллеру 1 может потребоваться получить программу запуска для завершения запуска. Следовательно, чип 2 безопасности, контроллер 1 и память 3 могут быть подключены к одной и той же коммуникационной шине, но любая коммуникационная шина может быть подключена не более чем к одному ведущему устройству. Как указано, настоящее изобретение обеспечивает два следующих варианта реализации для решения вышеупомянутых проблем.
[41] Вариант реализации 1
[42] Также со ссылкой на фиг. 3, устройство формирования изображения может дополнительно включать в себя первую схему 4 развязки и вторую схему 5 развязки. Первая схема 4 развязки может быть подключена между контроллером 21 запуска и памятью 3; вторая схема 5 развязки может быть подключена между контроллером 1 и памятью 3; и первая схема 4 развязки и вторая схема 5 развязки могут совместно использовать шинный интерфейс и быть подключены к памяти 3. После включения устройства формирования изображения чип 2 безопасности может иметь приоритет запуска первым; контроллер 21 запуска может сначала управлять первой схемой 4 развязки, чтобы она находилась в состоянии проводимости, и второй схемой 5 развязки, чтобы она была отключена; чип 2 безопасности может считывать информацию проверки безопасности и программу запуска из памяти 3 и использовать информацию проверки безопасности для выполнения проверки безопасности программы запуска; и после того, как программа запуска пройдет проверку безопасности, контроллер 21 запуска может затем управлять отключением первой схемы 4 развязки и включением второй схемы 5 развязки, а контроллер 1 может считывать программу запуска из памяти 3, чтобы завершить запуск.
[43] Можно понять, что, поскольку одна коммуникационная шина может разрешить доступ только одному ведущему устройству в любой момент времени, контроллер 21 запуска может сначала управлять первой схемой 4 развязки, чтобы она находилась в состоянии проводимости, и второй схемой 5 развязки, чтобы она была отключена; когда информация проверки безопасности проходит проверку безопасности, контроллер 21 запуска может затем управлять отключением первой схемы 4 развязки и переводом второй схемы 5 развязки в состояние проводимости. Таким образом, это может предотвратить создание помех контроллером 1 в коммуникационной шине, когда чип 2 безопасности считывает информацию в памяти 3, и предотвратить создание помех чипом 2 безопасности в коммуникационной шине, когда контроллер 1 считывает информацию в памяти 3, тем самым повышая надежность устройства формирования изображения.
[44] В одном варианте осуществления коммуникационная шина может конкретно представлять собой шину SPI (последовательный периферийный интерфейс), и, соответственно, интерфейс шины может конкретно представлять собой интерфейс шины SPI. Шина SPI является стандартом полнодуплексного синхронного последовательного интерфейса с высокой эффективностью передачи. Шина SPI может только позволить ведущему устройству запустить протокол для синхронной связи с ведомым устройством, тем самым завершая обмен данными.
[45] Кроме того, первая схема 4 развязки может включать в себя первый переключатель; и первый вывод (Y), второй вывод (EN) и третий вывод (Z) первого переключателя могут быть соответственно подключены к чипу 2 безопасности, контроллеру 21 запуска и памяти 3. Контроллер 21 запуска может управлять проводимостью или разъединением между первым выводом (Y) и третьим выводом (Z) первого переключателя путем передачи предварительно установленного электрического сигнала на второй вывод (EN) первого переключателя. Вторая схема 5 развязки может включать в себя второй переключатель; и первый вывод (Y), второй вывод (EN) и третий вывод (Z) второго переключателя могут быть соответственно подключены к контроллеру 1, контроллеру 21 запуска и памяти 3. Контроллер 21 запуска может управлять проводимостью или разъединением между первый выводом (Y) и третьим выводом (Z) второго переключателя путем передачи предварительно установленного электрического сигнала на второй вывод второго переключателя.
[46] Опционально, первый переключатель может быть, но без ограничения, любым одним из электронных переключателей, таких как МОП (металл-оксид-полупроводник) полевые транзисторы, триоды, БТИЗ (биполярные транзисторы с изолированным затвором) и т.п. Второй переключатель может быть, но без ограничения, любым из электронных переключателей, таких как МОП-транзисторы, триоды, БТИЗ и т.п.
[47] В одном варианте осуществления первый переключатель и второй переключатель могут быть МОП-транзисторами N-типа, а предварительно установленный электрический сигнал может быть сигналом высокого уровня.
[48] Опционально, чип 2 безопасности может быть конфигурирован для приема пакета обновления микропрограммы (пакета обновления микропрограммы для работы чипа безопасности) в состоянии загрузки для обновления рабочей микропрограммы памяти 3 в нем; и контроллер 21 запуска может выводить сигнал разрешения сброса на контроллер 1 в состоянии загрузки. В одном варианте осуществления процесс обновления микропрограммы чипа 2 безопасности может быть следующим: контроллер 1 может принимать пакет обновления микропрограммы, выданный электронным устройством (например, персональным компьютером), и передавать пакет обновления микропрограммы на чип 2 безопасности, тем самым осуществляя обновление операционной микропрограммы чипа 2 безопасности. Поскольку чип 2 безопасности запускается до контроллера 1, когда запускается контроллер 1, чип 2 безопасности уже входит в рабочее состояние программы из состояния загрузки. Чтобы гарантировать нормальную работу контроллера 1 при обновлении прошивки чипа 2 безопасности, как показано на фиг. 3, опционально, устройство формирования изображения может дополнительно включать в себя схему 6 аналогового переключателя. Схема 6 аналогового переключателя может включать в себя третий переключатель. Первый вывод (Y) третьего переключателя может быть подключен к контроллеру 21 запуска, второй вывод (EN) третьего переключателя может быть подключен к контакту сброса контроллера 1, а третий вывод (Z) третьего переключателя может быть подключен к управляющему контакту (GPIO49) контроллера 1. Контроллер 1 также может быть выполнен с возможностью передачи предварительно установленного электрического сигнала на третий вывод третьего переключателя (для удобства различения, именуемого в дальнейшем первым предварительно установленным электрическим сигналом) перед передачей пакета обновления микропрограммы на чип 2 безопасности, таким образом, что первый вывод (Y) и третий вывод (Z) третьего переключателя могут быть отсоединены друг от друга, и контроллер 21 запуска может заставить контроллер 1 аннулировать сигнал разрешения сброса.
[49] Опционально, третий переключатель может быть, но без ограничения, любым из электронных переключателей, таких как МОП-транзисторы, триоды, БТИЗ и т.п. В одном варианте осуществления третьим переключателем может быть МОП-транзистор N-типа, а первый предварительно заданный электрический сигнал может быть сигналом низкого уровня.
[50] Вариант реализации 2
[51] Чип 2 безопасности может быть подключен к памяти 3 и контроллеру 1 через коммуникационные шины, и программа запуска может быть передана в контроллер 1 через чип 2 безопасности.
[52] Как показано на фиг. 4, контакт (SPIM) чипа 2 безопасности может быть подключен к памяти 3 через первую коммуникационную шину, а вывод (SPIS) чипа 2 безопасности может быть подключен к выводу (FCSPI) контроллера 1 через вторую коммуникационную шину. После включения устройства формирования изображения чип 2 безопасности может считывать программу запуска, хранящуюся в памяти 3, через первую коммуникационную шину, выполнять проверку безопасности программы запуска и передавать программу запуска на контроллер 1 через вторую коммуникационную шину, так что контроллер 1 может считывать программу запуска из памяти 3 для завершения запуска.
[53] Следует понимать, что в настоящем изобретении чип 2 безопасности может сначала считывать программу запуска, а затем программа запуска может быть передана в контроллер 1 через чип 2 безопасности. Нет необходимости конфигурировать первую схему 5 развязки и вторую схему 6 развязки в первой реализации, и также можно избежать проблемы помех между чипом 2 безопасности и контроллером 1. Следовательно, стоимость аппаратного обеспечения устройства формирования изображения, предусмотренного настоящим изобретением, может быть дополнительно снижена с обеспечением при этом надежности устройства формирования изображения.
[54] Например, первая коммуникационная шина и вторая коммуникационная шина могут быть шиной SPI. Выше описана шина SPI, которая может не описываться здесь подробно.
[55] Кроме того, после считывания чипом 2 безопасности программы запуска или в процессе считывания программы запуска, в частности, чип безопасности 2 может сначала выполнить проверку безопасности считанной программы запуска, и после определения того, что считанная программа запуска удовлетворяет требованиям безопасности, передать считанную программу запуска на контроллер 1 для исполнения. Например, чип 2 безопасности может сначала прочитать всю программу запуска, а затем выполнить проверку безопасности программы запуска. Если программа запуска проходит проверку, то программа запуска может быть передана на контроллер 1 для исполнения. В другом примере чип 2 безопасности может сначала считать часть программы запуска (например, сначала прочитать загрузочные файлы) и сначала выполнить проверку безопасности считанной части программы запуска; после того как часть программы запуска проходит проверку, часть программы запуска, которая проходит проверку, может быть передана на контроллер 1 для исполнения; затем чип 2 безопасности может последовательно считывать другие части программы запуска до тех пор, пока проверка безопасности всей программы запуска не будет завершена; если в вышеупомянутом процессе есть часть программы запуска, которая не проходит проверку безопасности, чтение и проверка программы запуска могут быть остановлены, и может сгенерироваться сообщение о том, что программа запуска не прошла проверку, и контроллер 1 может затем управляться, чтобы остановить исполнение программы запуска. В другом примере чип 2 безопасности может сначала прочитать всю программу запуска, и после того, как будет прочитана вся программа запуска, чип 2 безопасности может разделить программу запуска на несколько разделов и последовательно выполнять проверку безопасности для каждого раздела; всякий раз, когда один из разделов проходит проверку, раздел, который прошел проверку, может быть передан на контроллер 1 для исполнения; если в вышеупомянутом процессе есть раздел, который не прошел проверку безопасности, чтение и проверка программы запуска могут быть остановлены, и может быть сгенерировано сообщение, указывающее, что программа запуска не прошла проверку, и контроллером 1 можно управлять так, чтобы он прекращал исполнение программы запуска.
[56] Кроме того, опционально, в одном или нескольких вариантах осуществления настоящего изобретения, в процессе считывания программы запуска или после считывания программы запуска чип 2 безопасности может проверять безопасность считанной программы запуска и передавать считанную программу запуска в контроллер 1. Если чип 2 безопасности определяет, что программа запуска не удовлетворяет условию безопасности во время проверки безопасности программы запуска, контроллер 1 управления может остановить выполнение программы запуска.
[57] Следует понимать, что программа запуска может быть передана на контроллер 1 для исполнения при проверке безопасности программы запуска; и если чип 2 безопасности определяет, что программа запуска не удовлетворяет условию безопасности во время проверки безопасности программы запуска, то чип 2 безопасности может управлять контроллером 1, чтобы остановить выполнение программы запуска. Таким образом, время запуска контроллера 1 может быть значительно сокращено, и проблема медленного запуска контроллера 1, вызванная проверкой безопасности, может быть решена, тем самым улучшая опыт использования устройства формирования изображения.
[58] Следует отметить, что процесс, в котором чип 2 безопасности выполняет проверку безопасности программы запуска, представляет собой процесс, в котором чип 2 безопасности выполняет статические измерения на контроллере 1. Когда статическая мера пройдена, контроллер 1 может запуститься, а чип 2 безопасности может начать выполнение динамической меры на контроллере 1. Динамической мерой может быть, в частности, конфигурация этапа подтверждения пароля во время выполнения микропрограммы контроллера 1. Когда микропрограмма контроллера 1 доходит до подтверждения пароля, контроллер 1 может запросить пароль у чипа 2 безопасности и сравнить полученный пароль с паролем в микропрограмме контроллера 1; и контроллер 1 может продолжать выполнять микропрограмму, если эти два пароля совпадают.
[59] Также со ссылкой на фиг. 4, в одном варианте осуществления настоящего изобретения устройство формирования изображения может дополнительно включать в себя модуль 7 источника питания. Модуль 7 источника питания, который подключен к контроллеру 1, может быть выполнен с возможностью подачи питания на контроллер 1.
[60] Чип 2 безопасности также может быть выполнен с возможностью разъединения соединения между модулем 7 источника питания и контроллером 1, когда контроллер 1 наблюдается на предмет неудовлетворения заданному условию безопасности.
[61] Следует понимать, что в настоящем изобретении чип 2 безопасности может быть конфигурирован для наблюдения за контроллером, и когда наблюдается, что контроллер 1 не удовлетворяет предварительно установленному условию безопасности, соединение между модулем 7 источника питания и контроллером 1 может быть разъединено. Таким образом, устройство формирования изображения может контролироваться чипом 2 безопасности на протяжении всего процесса, и может быть обеспечена безопасность контроллера 1.
[62] В частности, модуль 7 источника питания может быть конфигурирован для вывода постоянного тока. В одном или нескольких вариантах осуществления настоящего изобретения модуль 7 источника питания может быть одним блоком питания или комбинацией множества независимых блоков питания. Модуль 7 источника питания может не только подавать питание на контроллер 1, но также подавать питание на чип 2 безопасности и другие аппаратные модули в устройстве формирования изображения.
[63] На основании вышеизложенного в настоящем изобретении соответствующая аппаратная схема управления должна быть конфигурирована так, чтобы удовлетворять требованиям того, что чип 2 безопасности реализует управление мощностью контроллера 1 при выполнении статических и/или динамических измерений на контроллере 1, тем самым дополнительно обеспечивая безопасность информации, обрабатываемой устройством формирования изображения.
[64] Кроме того, управление питанием контроллера 1 чипом 2 безопасности в настоящем изобретении может включать в себя, но без ограничения, следующие решения аппаратной реализации.
[65] Решение 1
[66] Как показано на фиг. 5, устройство формирования изображения может дополнительно включать в себя четвертый переключатель 8 и пятый переключатель 9. Контакт (GPIOx) чипа 2 безопасности и контакт (GPIOy) контроллера 1 могут быть соответственно подключены к первому выводу (Z) и выводу разрешения (EN) четвертого переключателя 8; второй вывод (Y) четвертого переключателя 8 может быть соединен с выводом (EN) разрешения пятого переключателя 9; и первый вывод (Y) и второй вывод (Z) пятого переключателя 9 могут быть соответственно подключены к модулю 7 источника питания и контакту источника питания (вход питания) контроллера 1.
[67] После того, как устройство формирования изображения включено (до того, как чип 2 безопасности выполнит меры безопасности в программе запуска), вывод (EN) разрешения четвертого переключателя 8 может получить допустимый сигнал разрешения, и первый вывод (Z) и второй вывод (Y) четвертого переключателя 8 может находиться в состоянии проводимости; вывод (GPIOx) чипа 2 безопасности может генерировать сигнал недействительного разрешения, который передается на вывод (EN) разрешения пятого переключателя 9 через четвертый переключатель 8, и путь между первым выводом (Y) и вторым выводом (Z) пятого переключателя 9 может быть разъединен, так что модуль 7 источника питания не сможет подавать питание на контроллер 1.
[68] После того, как программа запуска проходит проверку безопасности, контакт (GPIOx) чипа 2 безопасности может генерировать допустимый сигнал включения, сигнал действительного разрешения может быть передан на контакт разрешения (EN) пятого переключателя 9 через четвертый переключатель 8, первый вывод (Y) и второй вывод (Z) пятого переключателя 9 могут находиться в состоянии проводимости, и модуль 7 источника питания может подавать питание на контроллер 1.
[69] В одном или нескольких вариантах осуществления настоящего изобретения четвертый переключатель 8 и пятый переключатель 9 могут быть конфигурированы так, чтобы они находились в состоянии проводимости, когда вывод разрешения подключен к сигналу высокого уровня.
[70] Решение 2
[71] Как показано на фиг. 6, устройство формирования изображения может включать в себя шестой переключатель 10. Контакт (GPIOx) чипа 2 безопасности и контакт (GPIOy) контроллера 1 могут быть соответственно соединены с первым выводом (Z) и выводом (EN) разрешения шестого переключателя 10; и второй вывод (Y) шестого переключателя 10 может быть соединен с выводом (EN) включения модуля 7 источника питания.
[72] После того, как устройство формирования изображения включено, вывод (EN) разрешения шестого переключателя 10 может принимать сигнал действительного разрешения; первый вывод (Z) и второй вывод (Y) шестого переключателя могут находиться в состоянии проводимости; и вывод (GPIOx) чипа 2 защиты может генерировать сигнал недействительного на вывод (EN) разрешения модуля 7 источника питания.
[73] После того, как программа запуска пройдет проверку безопасности, вывод (GPIOx) чипа 2 безопасности может генерировать сигнал разрешения на вывод (EN) разрешения модуля 7 источника питания, и модуль 7 источника питания может подавать питание на контроллер 1.
[74] Решение 3
[75] Как показано на фиг. 7, решение 3 может быть по существу таким же, как решение 1. Различие может заключаться в том, что чип 2 безопасности и контроллер 1 в , решении 1 могут питаться отдельно от первых блоков питания и вторых блоков питания; и чип 2 безопасности и контроллер 1 в третьем решении могут совместно использовать часть источников питания (например, AB1, AB2, AB3…ABn с фиг. 6, для удобства различия совместно используемые источники питания могут называться в дальнейшем третьими блоками питания), причем выходной вывод третьего блока питания может быть подключен не только к контакту источника питания чипа 2 безопасности, но и быть подключенным к контакту источника питания контроллера 1 через пятый переключатель 9.
[76] Решение 4
[77] Как показано на фиг. 8, решение 4 может быть по существу таким же, как решение 3. Разница может заключаться в том, что в решении 4 выходная мощность третьих блоков питания (например, AB1, AB2, AB3…ABn с фиг. 8), которые питают как чип 2 безопасности, так и контроллер 1, может управляться схемой переключателя (например, пятым переключателем 9 на фиг. 8); и выходная мощность вторых блоков питания (например, B1, B2, B3…Bn на фиг. 8), которые по отдельности подают питание на контроллер 1, может управляться своими собственными выводами (EN) разрешения.
[78] Решение 5
[79] Как показано на фиг. 8, решение 5 может быть по существу таким же, как решение 1. Отличие может заключаться в том, что в пятом решении выходная мощность части вторых блоков питания, которые подают питание на контроллер 1, может управляться их собственными выводами (EN) разрешения вторых блоков питания; и другая часть вторых блоков питания может управляться схемой переключателя (например, пятым переключателем 9 на фиг. 8).
[80] Решение 6
[81] Как показано на фиг. 9, решение 6 может быть по существу таким же, как решение 4. Разница может заключаться в том, что в решении 4 выходная мощность третьих блоков питания (например, AB1, AB2, AB3…ABn с фиг. 9), которые питают как чип 2 безопасности, так и контроллер 1, может управляться схемой переключателя (например, пятым переключателем 9 на фиг. 9); и выходная мощность вторых блоков питания (например, B1, B2, B3…Bn на фиг. 9) которые по отдельности подают питание на контроллер 1, могут управляться своими собственными выводами (EN) разрешения; и другая часть вторых блоков питания может управляться схемой переключателя (например, пятым переключателем 9 на фиг. 9).
[82] Следует отметить, что перечисленные выше решения могут быть только примерными, и настоящее изобретение может также включать множество других реализаций. Например, чип 2 безопасности и контроллер 1 могут совместно использовать все блоки питания и т.п. В другом примере первый переключатель и второй переключатель могут не нуждаться в конфигурировании, и чип 2 безопасности может быть подключен к памяти 3 и контроллеру 1 через коммуникационную шину, которая может здесь подробно не описываться.
[83] Следует отметить, что пятый переключатель 9 может быть схемой одностороннего переключения или схемой многостороннего переключения. Очевидно, что пятый переключатель 9 может быть интегральной схемой или может состоять из дискретных компонентов. В одном варианте осуществления пятый переключатель 9 может быть схемой многостороннего переключения, которая включает в себя множество первых переключателей а; каждый первый переключатель а может быть подключен между блоком питания и контактом источника питания (контактом питания) контроллера 1 для управления соответствующим ему блоком питания для подачи питания на контроллер 1; и количество контактов питания контроллера 1 может быть равно 1 или более. В одном варианте осуществления первый переключатель а может быть конфигурирован так, чтобы он действовал, когда вывод разрешения подключен к сигналу высокого уровня. Следовательно, в первом переключающем блоке в качестве переключателя может использоваться PNP-транзистор.
[84] Опционально, первый переключающий блок а также может быть конфигурирован так, чтобы иметь допустимый сигнал разрешения низкого уровня. Если первый переключатель а имеет допустимый сигнал разрешения низкого уровня, первый переключатель а также может использовать PMOS-транзистор в качестве переключателя. Проводимостью и отключением множества первых переключателей а можно управлять с помощью сигнала разрешения чипа 2 безопасности. Проводимость и отключение множества первых блоков переключателей а могут управляться сигналом разрешения чипа 2 безопасности, а также могут индивидуально управляться каждым из множества сигналов разрешения чипа 2 безопасности.
[85] Как показано на фиг. 11, кроме того, чип 2 безопасности может быть специально конфигурирован для считывания подлежащих проверке программ, хранящихся в памяти 3, после включения устройства формирования изображения, выполнения проверки безопасности подлежащих проверке программ, и передачи подлежащих проверке программ в соответствующий загрузчик подлежащих проверке программ в контроллере 1, где после приема подлежащих проверке программ загрузчик подлежащих проверке программ может приступить к исполнению подлежащих проверке программ.
[86] В процессе проверки подлежащих проверке программ с помощью чипа 2 безопасности, если чип 2 безопасности определяет, что подлежащие проверке программы не удовлетворяют требованиям безопасности, и когда контроллер 1 в настоящее время исполняет подлежащие проверке программы, чип 2 безопасности может управлять контроллером 1, чтобы остановить исполнение подлежащих проверке программ.
[87] Следует отметить, что проверка безопасности подлежащих проверке программ чипом 2 безопасности может быть статической и/или динамической. Например, чип 2 безопасности может считывать подлежащие проверке программы, хранящиеся в памяти 3, и готовиться к передаче подлежащих проверке программ загрузчику подлежащих проверке программ, соответствующему контроллеру 1. Например, контроллер 1 может начать исполнение подлежащих проверке программ после того, как загрузчик подлежащих проверке программ получит подлежащие проверке программы.
[88] Понятно, что в настоящем изобретении чип 2 безопасности может быть конфигурирован для выполнения проверки безопасности программ, подлежащих исполнению контроллером 1; и когда подлежащие проверке программы не удовлетворяют требованиям безопасности, чип 2 безопасности может управлять контроллером 1, чтобы остановить исполнение подлежащих проверке программ. Таким образом, контроллер 1 может наблюдаться чипом 2 безопасности в течение всего рабочего процесса, что может обеспечить безопасность и надежность устройства формирования изображения. Между тем, в настоящем изобретении программы, подлежащие исполнению контроллером 1, могут быть переданы на контроллер 1 через чип 2 безопасности без дополнительной настройки соответствующих аппаратных схем, что может позволить контроллеру 1 и чипу 2 безопасности одновременно получать подлежащие проверке программы из памяти 3, тем самым дополнительно упрощая структуру схемы и снижая стоимость.
[89] В одном или нескольких вариантах осуществления настоящего изобретения подлежащие проверке программы могут включать в себя программу запуска и программу приложения, и количество программ приложения может быть по меньшей мере одним. В других вариантах осуществления подлежащие проверке программы также могут включать в себя только программу запуска.
[90] Все еще со ссылкой на фиг. 4, в одном варианте осуществления настоящего изобретения чип 2 безопасности может быть связан с памятью 3 через первую коммуникационную шину, конфигурированную для считывания подлежащих проверке программ из памяти 3; и чип 2 безопасности может быть связан с контроллером 1 через вторую коммуникационную шину, конфигурированную для передачи считанных подлежащих проверке программ на встроенный загрузчик подлежащих проверке программ контроллера 1.
[91] Кроме того, в одном варианте осуществления чип 2 безопасности может выполнять проверку безопасности подлежащих проверке программ, и передавать подлежащие проверке программы загрузчику подлежащих проверке программ, соответствующему контроллеру 1, что может специально включать в себя:
[92] во время процесса считывания подлежащих проверке программ или после считывания подлежащих проверке программ чип 2 безопасности выполняет проверку безопасности считанных подлежащих проверке программ, и передает считанные подлежащие проверке программы в загрузчик подлежащих проверке программ.
[93] При необходимости чип 2 безопасности может после считывания всех подлежащих проверке программ начать проверку подлежащих проверке программ и передать подлежащие проверке программы загрузчику подлежащих проверке программ во время проверки; или в процессе считывания подлежащих проверке программ чип 2 безопасности может выполнять проверку безопасности считываемых в настоящее время подлежащих проверке программ и передавать считанные в данный момент подлежащие проверке программы загрузчику подлежащих проверке программ на исполнение; или когда чип 2 безопасности считывает часть (например, загрузочную программу) подлежащих проверке программ, чип 2 безопасности может выполнять проверку безопасности части программ и передавать часть программ загрузчику подлежащих проверке программ, и другие части программ (программа Uboot, программа операционной системы и т.п.) могут быть проверены и выполнены.
[94] Опционально, чип 2 безопасности может в процессе выполнения проверки подлежащих проверке программ выполнять проверку безопасности считываемых подлежащих проверке программ, а также передавать считанные подлежащие проверке программы загрузчику подлежащих проверке программ. Кроме того, опционально, на примере программы загрузки, программа загрузки может быть разделена на различные небольшие сегменты, каждый сегмент может быть проверен отдельно, и каждый сегмент может быть одновременно передан загрузчику программы. Поскольку загрузчик программы получает различные небольшие сегменты и не может напрямую завершить функцию, соответствующую текущей программе загрузки, загрузчик программы не может напрямую завершить запуск, соответствующий текущей программе загрузки, и не может напрямую угрожать безопасности всей системы. После того, как чип 2 безопасности завершит проверку каждого маленького сегмента, загрузчик программы может получить почти всю программу загрузки. Процесс проверки других подлежащих проверке программ может быть аналогичен процессу проверки программы загрузки.
[95] Понятно, что при считывании или проверке подлежащих проверке программ, которые должны выполняться контроллером 1, способ синхронного выполнения и проверки может использоваться в настоящем изобретении, тем самым повышая скорость работы контроллера 1. Когда подлежащая проверке программа представляет собой программу запуска, скорость запуска устройства формирования изображения может быть увеличена, тем самым улучшая взаимодействие с пользователем.
[96] В других вариантах осуществления, в сценарии, где рабочая скорость или начальная скорость устройства формирования изображения невелика, чип 2 безопасности может выполнять проверку безопасности подлежащих проверке программ и передавать подлежащие проверке программы на загрузчик подлежащей проверке программы, соответствующий контроллеру 1, который может включать в себя:
[97] во время процесса считывания подлежащих проверке программ или после считывания подлежащих проверке программ чипом 2 безопасности, сначала выполняют проверку безопасности считанных подлежащих проверке программ; и после того, как определено, что считанные подлежащие проверке программы удовлетворяют требованию безопасности, передают считанные подлежащие проверке программы загрузчику подлежащих проверке программ.
[98] При необходимости чип 2 безопасности может сначала считать все подлежащие проверке программы и после того, как все подлежащие проверке программы пройдут проверку, затем передать все подлежащие проверке программы загрузчику подлежащих проверке программ; и если подлежащие проверке программы не проходят проверку, подлежащие проверке программы могут больше не передаваться загрузчику подлежащих проверке программ. Или чип 2 безопасности может последовательно проверять часть подлежащих проверке программ в подлежащих проверке программах (например, последовательно проверять программу загрузки, программу Uboot, программу операционной системы и программу приложения); после того, как часть подлежащих проверке программ пройдет проверку, передавать часть подлежащих проверке программ загрузчику подлежащих проверке программ на исполнение; затем считывать, проверять и исполнять следующую часть подлежащих проверке программ.
[99] Упомянутым выше образом чип 2 безопасности может выполнять проверку безопасности считываемых подлежащих проверке программ и передавать считанные подлежащие проверке программы загрузчику подлежащих проверке программ. Кроме того, если чип 2 безопасности определяет, что программа запуска или программа операционной системы в подлежащих проверке программах не удовлетворяет требованиям безопасности во время процесса проверки безопасности, учитывая рабочее состояние контроллера 1, вышеупомянутый способ может включать следующие случаи.
[100] Если контроллер 1 в настоящее время выполняет программу запуска, программу операционной системы или программу приложения, чип 2 безопасности может сначала управлять контроллером 1, чтобы остановить выполнение программы запуска, программы операционной системы или программы приложения, а затем управлять контроллером 1 для его сброса, чтобы контроллер 1 мог вернуться в исходное состояние; или чип 2 безопасности может сначала управлять контроллером 1, чтобы остановить выполнение программы запуска или программы операционной системы, а затем управлять выключением питания контроллера 1.
[101] Если текущий контроллер 1 не выполняет программу запуска, программу операционной системы или программу приложения, чип 2 безопасности может напрямую управлять сбросом контроллера 1, так что контроллер 1 может вернуться в исходное состояние; или чип 2 безопасности может напрямую управлять отключением питания контроллера 1.
[102] Понятно, что когда обнаруживается, что программа запуска, которая должна быть выполнена контроллером 1, или программа операционной системы не удовлетворяет требованиям безопасности, контроллер 1 может быть сброшен или выключен, что может обеспечить безопасность устройства формирования изображения.
[103] Следует также отметить, что в одном или нескольких вариантах осуществления настоящего изобретения, если чип 2 безопасности определяет, что первая программа приложения по меньшей мере в одной программе приложения не удовлетворяет требованию безопасности, и когда контроллер 1 в данный момент выполняет приложение, чип 2 безопасности может передать сигнал ошибки и управлять контроллером 1, чтобы остановить выполнение первой программы приложения. Если чип 2 безопасности определяет, что первая программа приложения по меньшей мере в одной программе приложения не удовлетворяет требованиям безопасности, а контроллер 1 в настоящее время не выполняет программу запуска, чип 2 безопасности может не разрешить контроллеру 1 начать выполнение первой программы приложения.
[104] В одном варианте осуществления чип 2 безопасности может быть подключен к выводу сброса контроллера 1, и чип 2 безопасности может сбрасывать контроллер 1 путем передачи сигнала разрешения сброса на вывод сброса контроллера 1.
[105] В другом варианте осуществления устройство формирования изображения может дополнительно включать в себя переключатель питания (например, пятый переключатель 9, показанный на фиг. 5 и фиг. 7-10). Выключатель питания может быть подключен между модулем 7 источника питания и контроллером 1 и настроен на подачу питания на контроллер 1. Чип 2 безопасности может выключать питание контроллера 1, управляя выключателем питания в выключенном состоянии и/или генерируя сигнал недействительного включения на вывод разрешения модуля источника питания.
[106] Как показано на фиг. 2, система управления запуском для устройства формирования изображения (показана пунктирной рамкой на фиг. 2) также предусмотрена в одном варианте осуществления. Устройство формирования изображения может включать в себя контроллер 1, конфигурированный для управления устройством формирования изображения для выполнения операций формирования изображения. Система управления запуском может содержать:
[107] чип 2 безопасности, подключенный к контроллеру 1 и конфигурированный для наблюдения за оперативными действиями контроллера; и
[108] память 3, подключенную к чипу 2 безопасности и конфигурированную для хранения подлежащих проверке программ контроллера 1, при этом подлежащие проверке программы являются программами, используемыми для работы устройства формирования изображения.
[109] Чип 2 безопасности может выполнять проверку безопасности подлежащих проверке программ. Когда результат проверки безопасности подлежащих проверке программ от чипа 2 безопасности является неудачным, чип 2 безопасности управляет контроллером 1, чтобы последний не исполнял подлежащие проверке программы.
[110] Компоненты/модули в системе управления запуском могут быть такими же, как те, что описаны в вышеупомянутом устройстве формирования изображения, и могут также достигать тех же технических результатов, которые не описаны здесь подробно.
[111] Как показано на фиг. 3, система управления безопасностью для устройства формирования изображения также предусмотрена в одном варианте осуществления. Устройство формирования изображения может включать в себя контроллер 1, конфигурированный для управления устройством формирования изображения для выполнения операций формирования изображения. Система управления безопасностью может включать в себя чип 2 безопасности, который подключен к контроллеру 1 и конфигурирован для осуществления контроля безопасности на контроллере 1; и модуль 7 источника питания, который подключен к контроллеру 1 и конфигурирован для подачи питания на контроллер 1, причем чип 2 безопасности также может быть конфигурирован, когда наблюдается, что контроллер 1 не удовлетворяет предварительно установленному условию безопасности, отключать соединение между модулем 7 источника питания и контроллером 1.
[112] Компоненты/модули в системе управления безопасности могут быть такими же, как те, что описаны в вышеупомянутом устройстве формирования изображения, и могут также достигать тех же технических результатов, которые не описаны здесь подробно.
[113] Вышеупомянутое может быть просто опциональными вариантами осуществления настоящего изобретения и может не предназначаться для ограничения настоящего изобретения. Любая модификация, эквивалентная замена, улучшение и т.п., выполненные в рамках сущности и принципов настоящего изобретения, должны включаться в объем правовой охраны настоящего изобретения.

Claims (40)

1. Устройство формирования изображения, содержащее:
контроллер, конфигурированный для управления устройством формирования изображения для выполнения операций формирования изображения;
чип безопасности, соединенный с контроллером и конфигурированный для наблюдения за оперативными действиями контроллера; и
память, подключенную к чипу безопасности и конфигурированную для хранения подлежащих проверке программ, при этом подлежащие проверке программы представляют собой программы, выполняемые для работы устройства формирования изображения; и, когда результат проверки безопасности подлежащих проверке программ от чипа безопасности является неудачным, чип безопасности управляет контроллером, чтобы последний не исполнял подлежащие проверке программы;
причем чип безопасности конфигурирован для считывания подлежащих проверке программ, хранящихся в памяти, после включения устройства формирования изображения, выполнения проверки безопасности подлежащих проверке программ и передачи подлежащих проверке программ на загрузчик подлежащих проверке программ, соответствующий контроллеру, при этом после приема подлежащих проверке программ загрузчик подлежащих проверке программ начинает исполнение подлежащих проверке программ; и во время процесса проверки безопасности подлежащих проверке программ с помощью чипа безопасности, если чип безопасности определяет, что подлежащие проверке программы не удовлетворяют требованиям безопасности, и когда контроллер в текущий момент исполняет подлежащие проверке программы, чип безопасности управляет контроллером, чтобы остановить исполнение подлежащих проверке программ.
2. Устройство формирования изображения по п.1, причем:
подлежащие проверке программы содержат программу запуска, память дополнительно хранит информацию проверки безопасности, и чип безопасности содержит контроллер запуска; и контроллер запуска соединен с контроллером и конфигурирован так, чтобы сначала управлять чипом безопасности для считывания программы запуска и информации проверки безопасности, хранящейся в памяти, выполнять проверку безопасности на программе запуска с использованием информации проверки безопасности, и затем управлять контроллером для считывания программы запуска для завершения запуска контроллера после прохождения проверки безопасности.
3. Устройство формирования изображения по п.2, причем:
контроллер запуска соединен с контактом сброса контроллера; и контроллер запуска конфигурирован для вывода сигнала разрешения сброса контакту сброса контроллера до того, как программа запуска пройдет проверку безопасности, и вывода сигнала недействительного сброса контакту сброса контроллера после того, как программа запуска пройдет проверку безопасности.
4. Устройство формирования изображения по п.2, причем:
устройство формирования изображения дополнительно содержит первую схему развязки и вторую схему развязки; причем первая схема развязки подключена между контроллером запуска и памятью; вторая схема развязки подключена между контроллером и памятью; и первая схема развязки и вторая схема развязки совместно используют шинный интерфейс для подключения к памяти; и
после включения устройства формирования изображения чип безопасности имеет приоритет запуска первым; контроллер запуска сначала управляет первой схемой развязки, чтобы она была в состоянии проводимости, и второй схемой развязки, чтобы она была отключена; чип безопасности считывает программу запуска и информацию проверки безопасности из памяти и выполняет проверку безопасности программы запуска с использованием информации проверки безопасности; и после того, как программа запуска проходит проверку безопасности, контроллер запуска затем управляет первой схемой развязки, чтобы она была отключена, второй схемой развязки, чтобы она была в состоянии проводимости, и контроллер считывает программу запуска для завершения запуска контроллера.
5. Устройство формирования изображения по п.4, причем:
первая схема развязки содержит первый переключатель; первый вывод, второй вывод и третий вывод первого переключателя соответственно подключены к чипу безопасности, контроллеру запуска и памяти; и контроллер запуска управляет проводимостью или разъединением между первым выводом и третьим выводом первого переключателя путем передачи предварительно установленного электрического сигнала ко второму выводу первого переключателя; и
вторая схема развязки содержит второй переключатель; первый вывод, второй вывод и третий вывод второго переключателя соответственно подключены к контроллеру, контроллеру запуска и памяти; и контроллер запуска управляет проводимостью или разъединением между первым выводом и третьим выводом второго переключателя путем передачи предварительно установленного электрического сигнала ко второму выводу второго переключателя.
6. Устройство формирования изображения по п.1, причем:
чип безопасности подключен к памяти через первую коммуникационную шину; чип безопасности подключен ко второму контакту контроллера через вторую коммуникационную шину; и после включения устройства формирования изображения чип безопасности считывает программу запуска, хранящуюся в памяти, через первую коммуникационную шину, выполняет проверку безопасности программы запуска и передает программу запуска в контроллер через вторую коммуникационную шину, чтобы разрешить контроллеру считать программу запуска памяти для завершения запуска контроллера.
7. Устройство формирования изображения по п.1, дополнительно содержащее:
модуль источника питания, при этом модуль источника питания подключен к контроллеру и конфигурирован для подачи питания к контроллеру; причем чип безопасности также конфигурирован для отключения модуля источника питания от контроллера, когда наблюдается контроллер, не удовлетворяющий предварительно установленному условию безопасности.
8. Устройство формирования изображения по п.7, дополнительно содержащее:
четвертый переключатель и пятый переключатель, при этом:
чип безопасности и контроллер соответственно подключены к первому выводу и выводу разрешения четвертого переключателя; причем второй вывод четвертого переключателя подключен к выводу разрешения пятого переключателя; и первый вывод и второй вывод пятого переключателя соответственно подключены к модулю источника питания и контакту источника питания контроллера;
после включения устройства формирования изображения вывод разрешения четвертого переключателя принимает сигнал действительного разрешения, и первый вывод и второй вывод четвертого переключателя находятся в состоянии проводимости; и чип безопасности генерирует сигнал недействительного разрешения на вывод разрешения пятого переключателя, причем путь между первым выводом и вторым выводом пятого переключателя отключается, и модуль источника питания не подает питание на контроллер; и
после того, как программа запуска проходит проверку безопасности, чип безопасности генерирует сигнал действительного разрешения, причем сигнал действительного разрешения передается на вывод разрешения пятого переключателя через четвертый переключатель, причем первый вывод и второй вывод пятого переключателя находятся в состоянии проводимости, и модуль источника питания подает питание к контроллеру.
9. Устройство формирования изображения по п.7, дополнительно содержащее:
шестой переключатель, причем:
чип безопасности и контроллер соответственно соединены с первым выводом и выводом разрешения шестого переключателя; и второй вывод шестого переключателя подключен к выводу разрешения модуля источника питания;
после включения устройства формирования изображения вывод разрешения шестого переключателя принимает сигнал действительного разрешения; причем первый вывод и второй вывод шестого переключателя находятся в состоянии проводимости; и чип безопасности генерирует сигнал недействительного разрешения на вывод разрешения модуля источника питания; и
после того, как программа запуска проходит проверку безопасности, чип безопасности генерирует сигнал действительного разрешения на вывод разрешения модуля источника питания, и модуль источника питания подает питание к контроллеру.
10. Устройство формирования изображения по п.1, причем:
во время процесса считывания подлежащих проверке программ или после считывания подлежащих проверке программ чип безопасности выполняет проверку безопасности считанных подлежащих проверке программ и передает считанные подлежащие проверке программы в загрузчик подлежащих проверке программ.
11. Устройство формирования изображения по п.1, причем:
во время процесса считывания подлежащих проверке программ или после считывания подлежащих проверке программ чип безопасности сначала выполняет проверку безопасности считанных подлежащих проверке программ; и после того, как определено, что считанные подлежащие проверке программы удовлетворяют требованию безопасности, передает считанные подлежащие проверке программы загрузчику подлежащих проверке программ.
12. Устройство формирования изображения по п.1, причем:
подлежащие проверке программы содержат программу запуска; если чип безопасности определяет, что программа запуска не удовлетворяет требованиям безопасности, и когда контроллер в текущий момент исполняет программу запуска, чип безопасности сначала управляет контроллером, чтобы остановить исполнение программы запуска, а затем управляет контроллером для сброса последнего, так что контроллер возвращается в исходное состояние; или чип безопасности сначала управляет контроллером, чтобы остановить исполнение программы запуска, и затем управляет контроллером для отключения последнего.
13. Устройство формирования изображения по п.1, причем:
подлежащие проверке программы содержат по меньшей мере одну программу приложения; и если чип безопасности определяет, что первая программа приложения по меньшей мере в одной программе приложения не удовлетворяет требованию безопасности, чип безопасности не позволяет контроллеру исполнить первую программу приложения.
14. Система управления запуском для устройства формирования изображения, при этом устройство формирования изображения содержит контроллер, конфигурированный для управления устройством формирования изображения для выполнения операций формирования изображения, при этом система содержит:
чип безопасности, подключенный к контроллеру и конфигурированный для наблюдения за оперативными действиями контроллера; и память, подключенную к чипу безопасности и конфигурированную для хранения подлежащих проверке программ контроллера, при этом подлежащие проверке программы являются программами, используемыми для работы устройства формирования изображения;
причем чип безопасности конфигурирован для считывания подлежащих проверке программ, хранящихся в памяти, после включения устройства формирования изображения, выполнения проверки безопасности подлежащих проверке программ, и передачи подлежащих проверке программ на загрузчик подлежащих проверке программ, соответствующий контроллеру, при этом после приема подлежащих проверке программ загрузчик подлежащих проверке программ начинает исполнение подлежащих проверке программ; и во время процесса проверки безопасности подлежащих проверке программ с помощью чипа безопасности, если чип безопасности определяет, что подлежащие проверке программы не удовлетворяют требованиям безопасности, и когда контроллер в текущий момент исполняет подлежащие проверке программы, чип безопасности управляет контроллером, чтобы остановить исполнение подлежащих проверке программ.
RU2021138201A 2019-06-28 2020-06-10 Устройство формирования изображения и система управления его безопасностью RU2811751C2 (ru)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201920996840.6 2019-06-28
CN201921461567.3 2019-09-04
CN201910832398.8 2019-09-04

Publications (2)

Publication Number Publication Date
RU2021138201A RU2021138201A (ru) 2023-07-28
RU2811751C2 true RU2811751C2 (ru) 2024-01-16

Family

ID=

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101247449A (zh) * 2007-02-14 2008-08-20 上海瑞达安全集成电路有限公司 一种具有信息安全系统的信息处理与转换设备
US20110085197A1 (en) * 2009-10-14 2011-04-14 Samsung Electronics Co., Ltd Image forming apparatus and network connection method thereof
CN108229132A (zh) * 2017-12-27 2018-06-29 北京和利时系统工程有限公司 一种安全启动方法和装置、终端
RU2665340C1 (ru) * 2014-07-31 2018-08-29 Рикох Компани, Лтд. Устройство формирования изображений
WO2019062993A1 (zh) * 2017-09-30 2019-04-04 华为技术有限公司 安全启动方法、装置及终端设备

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101247449A (zh) * 2007-02-14 2008-08-20 上海瑞达安全集成电路有限公司 一种具有信息安全系统的信息处理与转换设备
US20110085197A1 (en) * 2009-10-14 2011-04-14 Samsung Electronics Co., Ltd Image forming apparatus and network connection method thereof
RU2665340C1 (ru) * 2014-07-31 2018-08-29 Рикох Компани, Лтд. Устройство формирования изображений
WO2019062993A1 (zh) * 2017-09-30 2019-04-04 华为技术有限公司 安全启动方法、装置及终端设备
CN108229132A (zh) * 2017-12-27 2018-06-29 北京和利时系统工程有限公司 一种安全启动方法和装置、终端

Similar Documents

Publication Publication Date Title
CN110536042B (zh) 图像形成装置及其控制方法、存储介质
EP2741228B1 (en) System on chip to perform a secure boot, an image forming apparatus using the same, and method thereof
US10225426B2 (en) Image forming apparatus having firmware update function, method of controlling the same, program for executing the method, and storage medium
US9881161B2 (en) System on chip to perform a secure boot, an image forming apparatus using the same, and method thereof
US7610246B2 (en) Information processing apparatus, control method therefor and computer readable information recording medium
CN210007764U (zh) 一种图像形成装置、图像形成装置用启动控制系统
TW201719444A (zh) 用於在封閉商品設備上建立可信診斷/調試代理 的系統和方法
TWI582632B (zh) 使用多重鑑別碼模組以進入安全計算環境之方法及系統、以及處理器
CN114817105B (zh) 设备枚举的方法、装置、计算机设备以及存储介质
US20230121492A1 (en) Monitoring and control method, circuit, and device for on-board trusted platform
WO2023138693A1 (zh) 数据处理系统、方法和存储介质
US10419278B2 (en) Device management system, information processing apparatus, and information processing method
US20210334383A1 (en) Secure boot method for terminal device, terminal device and medium
CN111614859B (zh) 图像形成装置及其安全控制方法、存储介质
CN210804374U (zh) 一种图像形成装置及图像形成装置用安全控制系统
US20220021788A1 (en) Information processing apparatus, information processing method, and storage medium
WO2020259285A1 (zh) 图像形成装置及图像形成装置用安全控制系统
CN112445444A (zh) 图像形成装置及安全控制系统
RU2811751C2 (ru) Устройство формирования изображения и система управления его безопасностью
CN116881929B (zh) 安全防护方法、装置、电子设备以及基板控制器芯片
CN109547656B (zh) 图像形成装置、安全审计系统、图像形成系统和方法
CN115604315A (zh) 服务器的远程处理装置及方法、电子设备
CN113515414B (zh) 数据处理系统和非暂态机器可读介质
CN115904831A (zh) 一种服务器固件的启动方法及终端
TWI833653B (zh) 單晶片系統、用於其之方法、及運算器件