WO2009129687A1

WO2009129687A1 - Wimax终端及其启动方法

Info

Publication number: WO2009129687A1
Application number: PCT/CN2008/073833
Authority: WO
Inventors: 郭军平
Original assignee: 中兴通讯股份有限公司
Priority date: 2008-04-25
Filing date: 2008-12-29
Publication date: 2009-10-29
Also published as: CN101299849A; CN101299849B; EP2293189A4; US8627055B2; EP2293189A1; US20110055543A1

Description

WiMAX终端及其启动方法

技术领域本发明涉及通信领域，并且特别地，涉及一种 ^啟波接入全球互通（ World Interoperability for Microwave Access , 简称为 WiMAX ) 终端及其启动方法。背景技术

WiMAX是针对微波和毫米波频段提出的一种新的空中接口标准，其能够支持时分双工（Time Division Duplex ,简称为 TDD )和频分双工（ Frequency Division Duplex , 简称为 FDD ) , 支持逐步选择信道带宽，其中，带宽频率可以是从 20MHz到 10、 5、 2.5或 1.25MHz , 这样，运营商就可以为客户定制服务和价格。借助于 20MHz的信道和优化调制（即， 256正交振幅调制 ( Quadrature Amplitude Modulation , 简称为 QAM ) ) , WiMAX的数据传输速率可以达到 70到 100MB/S , 并且， WiMAX技术加入了自适应调制方法，该方法允许无线电设备才艮据链路范围、噪音和其他条件自动选择最佳调制；此外， WiMAX 技术还力口入了正交频分复用 ( Orthogonal Frequency Division Multiplexing , 简称为 OFDM ) , 这是一种通过宽带传播信号的调制 /复用 /接入技术，并且与 CDMA类似， OFDM也能够最大程度地降低以下因素的影响，例如，多路信号、 †射、衰减、以及与波信号传播有关的其他现象。 iHl外， WiMAX技术还加入了 Reed Solomon正向纠错（ FEC )、卷积编码、和交叉存取算法，以确定和纠正比特差错。对于 FEC捕捉不到的差错，自动重复请求（ Automatic Repeat Equipment , 简称为 ARQ ) 功能只需再次传送有差错的数据包，即，可进行修正。另夕卜，为进一步提升链路的可靠性， WiMAX技术中还加入了传送和接收差异，以及自适应天线。在安全方面，该技术包括广泛使用的三重数字加密标准（ 3DES ) , 该 3DES是 168位的密钥，具备高度安全的加密性。对于开发具有移动性能的 WiMAX 终端而言， WiMAX 终端固件 ( Firmware ) 不是存储在 Flash里面，而是存放在宿主（Host ) 的某个位置，这里的 Host—般指 PC或者其它应用 WiMAX终端的宿主。每当设备被插入

1 P23560 Host , 系统启动时，就会自动将固件下载到设备的 RAM ( Random-access memory , 随机存取存储器）中，固件映像（ image ) 下载完成后，固件的真正代码就会运行在内嵌芯片的 CPU上。因为下载的固件能够访问所有芯片上的硬件单元，所以，如果任意代码都可以被下载，就有可能运行一些违反 WiMAX协议的恶意代码，破坏相关约定，访问非授权网络，甚至降低附近基站（Base Station, 简称为 BS ) 或者移动设备（ Mobile Station , 简称为 MS ) 的性能，而且固件会访问芯片上带有 X.509 证书和设备密钥的代码识别非易失性存储器（ Non- Volatile Memory , 简称为 NVM )₀ 因此，只 4曼权可信赖的代码在芯片上运行是非常重要的。然而，目前尚未提出能够避免恶意代码运行、保证终端启动的正确性和安全性的技术方案。发明内容考虑到上述相关技术中无法保证终端启动的安全性和正确性的问题而提出本发明，为此，本发明的主要目的在于提供一种 WiMAX终端的启动方法以及具有启动保护功能的微波接入全球互通终端，以解决上述问题至少之

为了实现上述目的，才艮据本发明一方面，提供了一种波接入全球互通终端的启动方法。根据本发明的微波接入全球互通终端的启动方法包括：步骤 S202 , 预先对终端启动所需加载的固件以及加载命令进行计算，得到第一固件 Hash 和第一加载命令 Hash,并将第一固件 Hash和第一加载命令 Hash存储至终端的预定存储器；步骤 S204, 在终端启动时，终端进行启动处理，并启动导入器；步骤 S206 , 导入器执行终端的驱动发送的加载命令将固件下载至终端；步骤 S208 , 导入器计算下载的固件的第二固件 Hash以及驱动发送的加载命令的第二加载命令 Hash; 步骤 S210, 导入器判断第一固件 Hash与第二固件 Hash是否匹配，以及判断第一加载命令 Hash与第二加载命令 Hash是否匹配，并在判断为是的情况下允许启动终端。其中，在步骤 S202中，在得到第一固件 Hash和第一加载命令 Hash之后，可进一步包括：利用公钥对第一固件 Hash和第一加载命令 Hash进行力口密，将加密的第一固件 Hash和第一加载命令 Hash存储至预定存储器；将与

2 P23560 公钥对应的私钥存储至终端。并且，在步骤 S210中，在进行判断时，可进一步包括：导入器利用存储的私钥对加密的第一固件 Hash和第一加载命令 Hash进行解密，并判断解密的第一固件 Hash与第二固件 Hash是否匹配，以及判断解密的第一力口载命令 Hash与第二加载命令 Hash是否匹配。另夕卜，在步骤 S204中，启动处理可包括：在终端上电后，重置终端的芯片；终端的 CPU运行芯片中的特定代码以启动终端的只读存储器，初始化启动只读存储器所需的硬件单元并进行相应的管 P配置； CPU读取终端的非易失性存储器中保存的接口配置信息。此外，在步骤 S210之前，可以进一步包括：驱动将第一固件 Hash和第一加载命令 Hash通过特定命令发送至终端的芯片，导入器获取特定命令中的第一固件 Hash和第一加载命令 Hash, 其中特定命令用于启动终端。并且，在判断第一固件 Hash与第二固件 Hash 匹配，且第一加载命令 Hash与第二加载命令 Hash 匹配的情况下，导入器执行特定命令。其中，特定命令为跳跃命令。此外，在步骤 S210中，在判断为否的情况下，进一步包括：重置终端的芯片。根据本发明的另一方面，提供了一种微波接入全球互通终端。该终端包括：存储模块，用于存储通过预先对终端启动所需加载的固件以及加载命令进行计算所得到的第一固件 Hash和第一加载命令 Hash; 第一启动模块，响应于终端的启动操作，进行启动处理，并启动导入器；执行模块，用于执行终端的驱动模块发送的加载命令；下载模块，用于将固件下载至终端；计算模块，用于计算下载的固件的第二固件 Hash 以及驱动模块发送的加载命令的第二加载命令 Hash; 匹配模块，用于判断存储模块存储的第一固件 Hash与计算模块计算得到的第二固件 Hash是否匹配，以及判断存储模块存储的第一加载命令 Hash与计算模块计算得到的第二加载命令 Hash是否匹配；第二启动模块，用于并在匹配模块的判断结果为：第一固件 Hash 与第二固件 Hash 匹配，且第一加载命令 Hash与第二加载命令 Hash匹配的 'It况下，允许终端被启动。

3 P23560 借助于上述技术方案至少之一，本发明通过预先对终端启动所需加载的固件以及加载命令进行计算，得到固件 Hash和加载命令 Hash, 并计算终端下载的固件以及加载命令的固件 Hash和加载命令 Hash , 然后，分别将两个固件 Hash和两个加载命令 Hash进行匹配，在匹配结果为是的情况下启动终端，能够对终端的启动实现完备的安全保护，提高终端的启动效率，并且保护的处理不易侦测和截获具有艮高的安全性。本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。附图说明附图用来提供对本发明的进一步理解，并且构成说明书的一部分，与本发明的实施例一起用于解释本发明，并不构成对本发明的限制。在附图中：图 1 是 #居本发明方法实施例的 WiMAX 终端的启动方法所应用的 WiMAX终端的结构示意图。图 2是才艮据本发明方法实施例的 WiMAX终端的启动方法的流程图；图 3是才艮据本发明方法实施例的 WiMAX终端的启动方法的处理示意图；图 4是才艮据本发明方法实施例的 WiMAX终端的启动方法的中在终端上电后的详细处理流程图；以及图 5是根据本发明装置实施例的 WiMAX终端的框图。具体实施方式功能相无述在本发明实施例提供的技术方案中，通过预先对终端启动所需加载的固件以及加载命令进行计算，并分别与终端下载的固件及加载命令的计算结果相比较，如果比较结果为相匹配，则表示下载的固件安全，此时终端正常工作；如果比较结果为不匹配，则表示下载的固件为非法，此时芯片重置，终

4 P23560 端不能工作。以下结合附图对本发明的优选实施例进行说明，应当理解，此处所描述的优选实施例仅用于说明和解释本发明，并不用于限定本发明。需要说明的是，如果不冲突，本申请中的实施例以及实施例中的特征可以相互组合。图 1是 WiMAX终端的结构示意图，如图 1所示，包括 WiMAX RF (射频模块）、 WiMAX BB (基带模块）、 EEPROM (电可擦写可编程只读存储器）、 Mobile DDR RAM (移动双倍速率同步动态随机接入存储器）、 Express Interface (快速接口；)。 WiMAX终端不同于其他类型终端，其固件（ Firmware ) 不是存储在 Flash里面，而是存放在 Host (宿主）上，每当设备被插入 Host, 系统上电时，对应的固件才会下载到设备中，开始运行。下面将基于这种工作机制详细描述本发明实施例。方法实施例在本实施例中，提供了一种 WiMAX终端的启动方法。图 2是才艮据本实施例的 WiMAX终端的启动方法的流程图，如图 2所示，艮据本实施例的 WiMAX终端的启动方法包括：步骤 S202, 预先对终端启动所需加载的固件以及加载命令进行计算，得到第一固件 Hash和第一加载命令 Hash,并将第一固件 Hash和第一加载命令 Hash存储至终端的预定存储器，其中，在得到第一固件 Hash和第一加载命令 Hash之后，可以利用公钥对第一固件 Hash和第一加载命令 Hash进行加密，将加密的第一固件 Hash和第一加载命令 Hash存储至预定存储器，并将与公钥对应的私钥存储至终端。步骤 S204, 在终端启动时，进行启动处理，并启动导入器。这里的启动处理可以如下进行：在终端上电后，重置终端的芯片；终端的 CPU运行芯片中的特定代码以启动终端的只读存储器，初始化启动只读存储器所需的硬件单元并进行相应的管脚配置； CPU读取终端的非易失性存储器中保存的接口配置信息。步骤 S206, 导入器执行终端的驱动发送的加载命令，将固件下载至终端；步骤 S208 ,导入器计算下载的固件的第二固件 Hash以及驱动发送的力口

5 P23560 载命令的第二加载命令 Hash; 步骤 S210, 导入器判断第一固件 Hash与第二固件 Hash是否匹配，以及判断第一加载命令 Hash与第二加载命令 Hash是否匹配，并且只有在判断二者均匹配的情况下才允许启动终端。具体地，驱动将第一固件 Hash 和第一加载命令 Hash通过用于启动终端的特定命令发送至终端的芯片，导入器获取特定命令中的第一固件 Hash和第一加载命令 Hash; 导入器利用存储的私钥对力口密的第一固件 Hash和第一加载命令 Hash进行解密，并判断解密的第一固件 Hash 与第二固件 Hash是否匹配，以及判断解密的第一力口载命令 Hash与第二力口载命令 Hash是否匹配。如果判断第一固件 Hash与第二固件 Hash匹配，且第一加载命令 Hash 与第二加载命令 Hash 匹配，则导入器执行特定命令，例如，这里的特定命令可以是跳跃命令。另一方面，在具体实施过程中，如果在步骤 S210 中判断有一方不匹配，则重置终端的芯片。通过以上描述可以看出 ,本发明实施例的终端启动方法可以包括生产预置和实际使用两个环节。其中，生产预置环节主要完成固件和加载命令的 Hash (即，上述第一固件 Hash和第一加载命令 Hash ) 的计算与加密，而实际使用环节则涉及终端实现安全 Boot的处理，最终通过个体设备工作时计算的 Hash结果（即，上述第二固件 Hash和第二加载命令 Hash )与生产环节预置的 Hash 结果进行比较；如果比较结果为相同，则表示固件安全，设备正常工作；如果比较结果为不同，则表示固件非法，芯片重置，设备不能工作。基于以上描述，以下进一步描述本发明实施例的具体实现过程。步骤一：在 WiMAX终端的生产预置单元计算固件和加载命令的 Hash, 然后对其 Hash结果进行加密；该步骤完成了生产预备环节的内容。图 3是才艮据本发明方法实施例的 WiMAX终端的启动方法的处理示意图，如图 3所示，在 WiMAX终端的生产预置单元，通过某种算法（例如， SHA256 )计算固件和加载命令的 Hash (即，上述第一固件 Hash和第一加载命令 Hash ), 在获得 Hash之后，进一步应用加密算法（例如， RSA加密私钥）进行加密，获得并保存加密的 Hash结果，以便在之后设备上电工作时，进行 Hash消息的还原（即，解密），通过 Hash消息的比对（即，将上述第一固件 Hash与第二固件 Hash进行比对，以及将上述第一加载命令 Hash与

6 P23560 第二加载命令 Hash进行比对）来判断固件和加载命令的正确与否。可选地, 除了生产配置单元之外，可以选择研发单元或者其它单元完成该步骤。步骤二：终端开始工作上电。图 4是才艮据本发明方法实施例的 WiMAX终端的启动方法中终端上电后的详细处理流程图，如图 4所示，终端上电之后，芯片重置，嵌入的 CPU开始运行芯片内部本身的只读存储器（Read Only Memory, 简称为 ROM ) 代码，以启动 ROM , 终端的启动流程开始，这是 WiMAX终端安全 Boot流程的第一步。步骤三：启动 ROM 代码，对需要使用的硬件单元进行初始化，根据 GPIO管 p设置各种配置选项，如图 4所示，这样可以为后续调用各种软硬件资源奠定基础。步骤四：启动 ROM 4弋码，识别 NVM是否连接成功，并从 NVM中读取接口配置信息，这里的 NVM可以是 WiMAX终端上的 EEPROM或者其它存储器，主要用来存储一些关键信息，例如，终端启动过程中所需要的接口配置信息。步骤五：从 NVM获得接口配置信息后，启动 ROM , 启动 B oot loader (可以是将安全的 Boot loader (即，上述导入器 )从 NVM复制到内部的静态随机接入存储器（ Static Random Access Memory, 简称为 SRAM ) 中），接着， Bootloader开始在 CPU上运行。这里的 Bootloader可以定义为一种安全导入器，是完成安全启动的重要单元，其可以是具有以下功能和特征的单独装置：

( 1 ) 防止 Boot loader的堆栈和代码被下载命令覆盖；

( 2 ) 在固件下载到纯净的静态存储器中时予以检验，保护特殊的注册和存储器映射的 I/O口信息； ( 3 )在映像下载过程中，防止緩存溢出，整数溢出（或者其他的用途）；

( 4 ) 下载命令的所有参数都是有效的；

( 5 ) 只有必要的下载命令才会被执行;

7 P23560 ( 6 ) 包含有用于检 3 下载的 Image签名的公有密钥；

( 7 ) 在命令过程中，计算下载固件 Hash (第一固件 Hash ) (以及数据被复制到静态存储器中时）；

( 8 )检险下载的固件映像签名 (包括每个下载的数据块的地址；)； ( 9 ) 通过安全设备中的 SHA-256和 RSA 2048算法进行 Image签名，私有签名密钥不离开安全月艮务器。步骤六：才艮据从 NVM读取的配置信息， Boot loader开始初始化相关的硬件和被选择的加载接口，执行该初始化，可以为软件方面的资源调用提供基础，并^好安全识别的准备；步骤七：如图 4 所示，驱动开始向芯片发送下载命令，这个命令是由

Boot loader来执行的，下载命令包括写入到内部 SRAM的地址和数据信息，芯片接收到下载命令后就开始下载固件，如图 3所示，在接收到固件后， Boot loader 计算固件和下载命令（地址和数据）的 Hash 结果。例如，可以釆用 SHA-256算法，并将计算出的结果将与步骤八提供的签名计算后的结果（如图 3所示）进行比较，如果二者相同，则表示正确，否则，表示异常；步骤八：驱动发送的最后一个下载命令是 "跳跃命令 "，跳跃命令详细地指出了固件代码开始的位置。固件代码从不同的地方开始，就决定了此次启动是正常启动还是异常情况，如果是异常情况，则芯片将重置。跳跃命令也包含了下载固件的签名，也就是，在生产环节预置的加密的 Hash消息（即，第一固件 Hash和第一加载命令 Hash )₀ 步骤九： Boot loader验证这个签名信息，如果签名有效，则开始执行"跳跃命令 "，设备正常工作；否则，芯片重置。这里， Boot loader按照和生产预置环节一致的加密算法进行签名信息的验证，例如，可釆用 RSA ( 2048Key )进行加密 Hash消息的解密 3 证。将解密的结果与步骤七所计算出的结果进行对比，以确定固件及加载命令是否匹配、是否正常。在固件和加载命令正常的情况下， "跳跃命令" 开始执行跳跃动作，设备正常工作；在固件和加载命令被验证异常的情况下，芯片重置，直至固件和加载命令无异常。通过上述的 Boot loader以及各个环节的关键启动流程，确保了设备的

8 P23560 正常安全启动，即，只有在固件和加载命令都正常的情况下才启动；在固件或者加载命令出现异常时，芯片重置，设备将不断地重启，这样就能阻止异常命令的运作或异常固件的加载。装置实施例在本实施例中，提供了一种具有启动保护功能的 WiMAX终端，优选地应用于实现上述方法实施例中的方法。图 5是根据本发明装置实施例的 WiMAX终端的框图，如图 5所示，根据本实施例的具有启动保护功能的 WiMAX终端包括：存储模块 2、启动模块 4、执行模块 6、下载模块 8、计算模块 10、匹配模块 12、第二启动模块 14, 以下对各模块进行详细描述。存储模块 2, 用于存储通过预先对终端启动所需加载的固件以及加载命令进行计算所得到的第一固件 Hash和第一加载命令 Hash。这里的存储模块 2可以表示用于存储数据的一种或多种装置，包括只读存储器（ROM )、机存取存储器（RAM )、磁 RAM、磁心存储器、磁盘存储介质、光存储介质、闪存装置和 /或用于存储信息的其他机器可读介质。第一启动模块 4, 响应于终端的启动请求或启动操作，启动导入器。执行模块 6 , 连接至第一启动模块 4 , 用于执行终端的驱动模块发送的加载命令；下载模块 8 , 用于将固件下载至终端；计算模块 10,连接至下载模块 8 ,用于计算下载的固件的第二固件 Hash 以及驱动模块发送的加载命令的第二加载命令 Hash; 匹配模块 12, 连接至存储模块 2和计算模块 10, 用于对存储模块 2存储的第一固件 Hash和计算模块 10计算得到的第二固件 Hash进行匹配操作 , 以及对存储模块 2存储的第一加载命令 Hash和计算模块 10计算得到的第二加载命令 Hash进行匹配操作，并且优选地输出匹配结果；第二启动模块 14, 连接至匹配模块 12, 用于根据匹配模块 12的匹配结果为第一固件 Hash与第二固件 Hash匹配，且第一加载命令 Hash与第二加

9 P23560 载命令 Hash匹配的情况下，启动终端。上述执行模块 6、下载模块 8、计算模块 10、匹配模块 12、第二启动模块 14可以集成在一导入模块中。综上所述，本发明实施例能够实现完备的安全性，即，双重验证固件和加载命令，且验证过程在终端设备内部执行并且执行时间较短，不易被侦测或截获到，安全性较高；同时，本发明实施例将安全验证功能很好地融入到设备的 Boot流程中，在确保安全性的前提下提高了设备的启动效率。针对基于主 v u WiMAX终端芯片所设计的 WiM AX终端产品，均可以应用本发明实施例提供的技术方案进行设备的安全 Boot, 因而具有较大的通用性。该安全 Boot流程可以给运营商、设备商和用户带来共同的安全和利益保护，能够填补 WiMAX终端芯片厂商在商业运营领域的安全漏洞，进而降低运营商的运营风险和设备商的售后风险。借助于本发明实施例的技术方案，能够对终端的启动实现完备的安全保护，提高终端的启动效率，并且保护的处理不易侦测和截获具有艮高的安全性，从而给运营商、设备商、和用户带来共同的安全和利益，能够填补 WiMAX 终端芯片厂商在商业运营领域的安全漏洞，进而降低运营商的运营风险和设备商的售后风险。显然，本领域的技术人员应该明白，上述的本发明的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变^^ 凡在本发明的^^申和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

10 P23560

Claims

权利要求书

1. 一种 ^啟波接入全球互通终端的启动方法，其特征在于，包括：

步骤 S202 , 预先对所述终端启动所需加载的固件以及加载命令进行计算，得到第一固件 Hash和第一加载命令 Hash, 并将所述第一固件 Hash和所述第一加载命令 Hash存储至所述终端的预定存储器；

步骤 S204 , 响应于所述终端的启动操作，进行启动处理，启动导入器；

步骤 S206 , 所述导入器执行由所述终端的驱动发送的加载命令，将所述固件下载至所述终端；

步骤 S208 , 所述导入器计算下载的所述固件的第二固件 Hash以及所述驱动发送的所述加载命令的第二加载命令 Hash;

步骤 S210, 所述导入器判断所述第一固件 Hash 与所述第二固件 Hash是否匹配，以及所述第一加载命令 Hash与所述第二加载命令 Hash 是否匹配，在所述第一固件 Hash与所述第二固件 Hash匹配，且所述第一加载命令 Hash与所述第二加载命令 Hash匹配的情况下，允许启动所述终端。

2. 才艮据权利要求 1所述的方法，其特征在于，在所述步骤 S202中，将所述第一固件 Hash和所述第一加载命令 Hash存储至所述终端的预定存储器包括：

利用公钥对所述第一固件 Hash和所述第一加载命令 Hash进行加密，将加密的所述第一固件 Hash和所述第一加载命令 Hash存储至所述预定存储器；

在进行存储后，还包括：

将与所述公钥对应的私钥存储至所述终端。

11 P23560

3. 根据权利要求 2所述的方法，其特征在于，在所述步骤 S210中，在判断是否匹配前，还包括：

所述导入器利用存储的所述私钥对加密的所述第一固件 Hash和所述第一加载命令 Hash进行解密，得到解密的所述第一固件 Hash和解密的所述第一加载命令 Hash;

判断是否匹配的操作包括：判断解密后的所述第一固件 Hash与所述第二固件 Hash是否匹配，以及判断解密后的所述第一加载命令 Hash 与所述第二加载命令 Hash是否匹配。

4. 根据权利要求 1所述的方法，其特征在于，在所述步骤 S204中，所述启动处理包括：

在所述终端上电后，重置所述终端的芯片；

所述终端的 CPU运行所述芯片中的特定 4 码以启动所述终端的只读存储器，初始化启动所述只读存储器所需的硬件单元并进行相应的管 p配置；

所述 CPU 读取所述终端的非易失性存储器中保存的接口配置信息。

5. 根据权利要求 1所述的方法，其特征在于，在所述步骤 S210之前，所述方法还包括：

所述驱动将所述第一固件 Hash和所述第一加载命令 Hash通过特定命令发送至所述终端的芯片，所述导入器获取所述特定命令中的所述第一固件 Hash和所述第一加载命令 Hash , 其中，所述特定命令用于启动所述终端。

6. 根据权利要求 5 所述的方法，其特征在于，在判断所述第一固件 Hash 与所述第二固件 Hash匹配，且所述第一加载命令 Hash与所述第二加载命令 Hash匹配的情况下，所述导入器执行所述特定命令。

7. 根据权利要求 5所述的方法，其特征在于，所述特定命令为跳跃命令。

8. 根据权利要求 1至 7中任一项所述的方法，其特征在于，在所述步骤 S210 中，在判断所述第一固件 Hash与所述第二固件 Hash不匹配和 /或所述第

12 P23560 一加载命令 Hash与所述第二加载命令 Hash不匹配的情况下，重置所述终端的芯片。

9. 一种 ^啟波接入全球互通终端，其特征在于，包括：

存储模块，用于存储通过预先对所述终端启动所需加载的固件以及加载命令进行计算所得到的第一固件 Hash和第一加载命令 Hash; 第一启动模块，响应于所述终端的启动操作，进行启动处理，并启动导入器；

执行模块，用于执行所述终端的驱动模块发送的加载命令；下载模块，用于将所述固件下载至所述终端；

计算模块，用于计算下载的所述固件的第二固件 Hash以及所述驱动模块发送的所述加载命令的第二加载命令 Hash;

匹配模块，用于判断所述存储模块存储的所述第一固件 Hash与所述计算模块计算得到的所述第二固件 Hash是否匹配，以及判断所述存储模块存储的第一加载命令 Hash 与所述计算模块计算得到的所述第二加载命令 Hash是否匹配；

第二启动模块，用于在所述匹配模块的判断结果为：所述第一固件 Hash与所述第二固件 Hash匹配，且所述第一力口载命令 Hash与所述第二加载命令 Hash匹配的情况下，允许所述终端被启动。

13 P23560