WO2020259285A1 - 图像形成装置及图像形成装置用安全控制系统 - Google Patents

Abstract

本申请提供了一种图像形成装置及图像形成装置用安全控制系统，图像形成装置包括控制器，被配置为控制图像形成装置执行成像操作；安全芯片，与控制器连接，被配置为对控制器的运行活动进行监控；存储器，与安全芯片连接，被配置为存储待校验程序，待校验程序为图像形成装置运行所用的程序；安全芯片对待校验程序进行安全校验，当安全芯片对待校验程序的安全性检验的结果为不通过时，安全芯片控制控制器不执行所述待校验程序。上述能够很好的保证图像形成装置处理信息的安全性。

Description

图像形成装置及图像形成装置用安全控制系统

本申请要求于2019年06月28日提交中国专利局、申请号为201920996840.6、申请名称为“一种图像形成装置、图像形成装置用启动控制系统”的中国专利申请的优先权，其部分内容通过引用结合在本申请中；要求于2019年09月04日提交中国专利局、申请号为201921461567.3、申请名称为“一种图像形成装置及图像形成装置用安全控制系统”的中国专利申请的优先权，其部分内容通过引用结合在本申请中；及要求于2019年09月04日提交中国专利局、申请号为201910832398.8、申请名称为“一种图像形成装置及其控制方法、存储介质”的中国专利申请的优先权，其部分内容通过引用结合在本申请中。

技术领域

本申请涉及图像形成技术领域，具体涉及一种图像形成装置及图像形成装置用安全控制系统。

背景技术

随着电子科学技术的进步，图像形成装置(Image forming apparatus)的发展也越来越成熟，但是作为一种计算机周边设备，图像形成装置容易受到不法分子(例如黑客)的攻击，以带有扫描和/或传真功能的激光打印机(图像形成装置多种类型中的一种)为例，扫描或者传真的数据都可能携带有用户的机密数据，甚至连激光成像中核心零部件感光鼓上，也可能携带有用户待打印的机密数据；这些数据一旦泄露，就会给用户带来很多不必要的麻烦；如果涉及公司或者政府机密部门的办公场合，如果图像形成装置携带的机密数据被泄露，还可能危及公司或者政府安全。目前，现有技术通常设置安全芯片对图像形成装置的控制器(成像控制器)运行进行监控，但目前并未出现可靠的方案能够很好的保证图像形成装置处理信息的安全性。

申请内容

本申请实施例提供一种图像形成装置及图像形成装置用安全控制系统，能够解决当前未出现可靠的方案能够很好的保证图像形成装置处理信息的安全性的问题。

第一方面，本申请提供一种图像形成装置，包括：

控制器，被配置为控制所述图像形成装置执行成像操作；

安全芯片，与所述控制器连接，被配置为对所述控制器的运行活动进行监控；

存储器，与所述安全芯片连接，被配置为存储待校验程序，所述待校验程序为所述图像形成装置运行所用的程序；

所述安全芯片对所述待校验程序进行安全校验，当所述安全芯片对所述待校验程序的安全性检验的结果为不通过时，所述安全芯片控制所述控制器不执行所述待校验程序。

结合第一方面，在一种优选的实施方式中，所述待校验程序包括启动程序，所述存储器还存储有安全校验信息，所述安全芯片包括启动控制器，所述启动控制器与所述控制器连接，被配置为先控制所述安全芯片读取所述存储器中存储的启动程序和安全校验信息，并通过所述安全校验信息对所述启动程序进行安全性校验，当安全性检验通过后，再控制所述控制器读取所述启动程序完成所述控制器的启动。

结合第一方面，在一种优选的实施方式中，所述待校验程序包括启动程序，所述存储器还存储有安全校验信息，所述安全芯片包括启动控制器，所述启动控制器与所述控制器连接，被配置为先控制所述安全芯片读取所述存储器中存储的启动程序和安全校验信息，并通过所述安全校验信息对所述启动程序进行安全性校验，当安全性检验通过后，再控制所述控制器读取所述启动程序完成所述控制器的启动。

结合第一方面，在一种优选的实施方式中，所述启动控制器与所述控制器的复位引脚连接，所述启动控制器被配置为在所述启动程序通过安全性校验之前，向所述控制器的复位引脚输出复位使能信号，以及在所述启动程序通过安全性校验后，向所述控制器的复位引脚输出复位失效信号。

结合第一方面，在一种优选的实施方式中，所述图像形成装置还包括第一隔离电路及第二隔离电路，所述第一隔离电路连接于所述启动控制器与所述存储器之间，所述第二隔离电路连接于所述控制器与所述存储器之间，所述第一隔离电路及所述第二隔离电路共用一总线接口与所述存储器连接；

所述图像形成装置上电后，所述安全芯片优先启动，所述启动控制器先控制所述第一隔离电路导通及第二隔离电路断开，所述安全芯片读取所述存储器的启动程序和安全校验信息，并通过所述安全校验信息对所述启动程序进行安全性校验，当所述启动程序通过安全性校验后，所述启动控制器再控制所述第一隔离电路断开及第二隔离电路导通，所述控制器读取所述存储器的启动程序完成启动。

结合第一方面，在一种优选的实施方式中，所述第一隔离电路包括第一开关，所述第一开关的第一端、第二端及第三端分别与所述安全芯片、所述启动控制器及所述存储器连接，所述启动控制器通过发送预设电信号至所述第一开关的第二端控制所述第一开关的第一端与所述第三端之间的导通或断开；

所述第二隔离电路包括第二开关，所述第二开关的第一端、第二端及第三端分别与所述控制器、所述启动控制器及所述存储器连接；所述启动控制器通过发送预设电信号至所述第二开关的第二端控制所述第二开关的第一端与所述第三端之间的导通或断开。

结合第一方面，在一种优选的实施方式中，所述安全芯片通过第一通讯总线与所述存储器连接，所述安全芯片通过第二通讯总线与所述控制器的第二引脚连接，当所述图像形成装置上电后，所述安全芯片通过所述第一通讯总线读取所述存储器内存储的所述启动程序，对所述启动程序进行安全性校验以及将所述启动程序通过第二通讯总线发送给所述控制器，以使得所述控制器读取所述存储器的启动程序完成启动。

结合第一方面，在一种优选的实施方式中，所述图像形成装置还包括电源模块，所述电源模块与所述控制器连接，被配置为向所述控制器供电；

其中，所述安全芯片还被配置为当监控到所述控制器不符合预设安全条件时，断开所述电源模块与所述控制器之间的连接。

结合第一方面，在一种优选的实施方式中，所述图像形成装置还包括第四开关及第五开关，所述安全芯片及所述控制器分别与所述第四开关的第一端及使能端连接，所述第四开关的第二端与所述第五开关的使能端连接，所述第五开关的第一端及第二端分别与所述电源模块及所述控制器的电源引脚连接。

所述图像形成装置上电后，所述第四开关的使能端接收使能有效信号，所述第四开关的第一端与第二端导通，所述安全芯片生成使能无效信号至所述第五开关的使能端，所述第五开关的第一端及第二端之间的通路断开；

当所述启动程序通过安全性校验后，所述安全芯片生成使能有效信号，并通过所述第四开关发送所述使能有效信号至所述第五开关的使能端，所述第五开关的第一端与第二端导通，所述电源模块为所述控制器供电。

结合第一方面，在一种优选的实施方式中，所述图像形成装置还包括第六开关，所述安全芯片及所述控制器分别与所述第六开关的第一端及使能端连接，所述第六开关的第二端与所述电源模块的使能端连接；

所述图像形成装置上电后，所述第六开关的使能端接收使能有效信号，所述第六开关的第一端与第二端导通，所述安全芯片生成使能无效信号至所述电源模块的使能端；

当所述启动程序通过安全性校验后，所述安全芯片生成使能有效信号至所述电源模块的使能端，所述电源模块为所述控制器供电。

结合第一方面，在一种优选的实施方式中，所述安全芯片具体被配置为当所述图像形成装置上电后，读取所述存储器内存储的所述待校验程序，对所述待校验程序进行安全校验以及将所述待校验程序发送给所述控制器对应的待校验程序加载器，所述待校验程序加载器接收到所述待校验程序后开始执行所述待校验程序；

其中，在所述安全芯片对所述待校验程序进行安全校验的过程中，若所述安全芯片确定所述待校验程序不符合安全要求，且当前所述控制器正在执行所述待校验程序时，所述安全芯片控制所述控制器停止执行所述待校验程序。

结合第一方面，在一种优选的实施方式中，所述安全芯片在读取所述待校验程序的过程中或者读取所述待校验程序完毕后，对已读取的待校验程序进行安全校验，同时将已读取的待校验程序发送给所述待校验程序加载器。

结合第一方面，在一种优选的实施方式中，所述安全芯片在读取所述待校验程序的过程中或者读取所述待校验程序完毕后，先对已读取的待校验程序进行安全校验，当确定出所述已读取的待校验程序符合安全要求后，才将所述已读取的待校验程序发送给所述待校验程序加载器。

结合第一方面，在一种优选的实施方式中，所述待校验程序包括启动程序，若所述安全芯片确定所述启动程序不符合安全要求，且当前所述控制器正在执行所述启动程序时，所述安全芯片先控制所述控制器停止执行所述启动程序，再控制所述控制器复位，以使得所述控制器回到初始状态；或者，所述安全芯片先控制所述控制器停止执行所述启动程序，再控制所述控制器断电。

结合第一方面，在一种优选的实施方式中，，所述待校验程序包括至少一个应用程序，若所述安全芯片确定所述至少一个应用程序中的第一应用程序不符合安全要求，所述安全芯片禁止所述控制器执行所述第一应用程序。

第二方面，本申请提供一种图像形成装置用启动控制系统，述图像形成装置包括被配置为控制所述图像形成装置执行成像操作的控制器，包括：

安全芯片，与所述控制器连接，被配置为对所述控制器的运行活动进行监控；及

存储器，与所述安全芯片连接，被配置为存储所述控制器的待校验程序，所述待校验程序为所述图像形成装置运行所用的程序；

所述安全芯片对所述待校验程序进行安全校验，当所述安全芯片对所述待校验程序的安全性检验的结果为不通过时，所述安全芯片控制所述控制器不执行所述待校验程序。

可以理解，通过安全芯片对存储器中存储的待校验程序进行安全校验，当所述控制器正在执行所述待校验程序时，所述安全芯片控制所述控制器停止执行所述待校验程序，使得控制器的运行过程受到安全芯片的监控，保证了图像形成装置在运行过程中的安全性。

附图说明

为了更清楚地说明本申请实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其它的附图。

图1为本申请一实施例提供的一种图像形成装置的示意性框图；

图2为本申请又一实施例提供的一种图像形成装置的示意性框图；

图3为本申请一实施例提供的一种图像形成装置的部件之间的连接关系图。

图4为本申请又一实施例提供的一种图像形成装置的的示意性框图。

图5～图10分别为本申请多个不同实施例提供的图像形成装置的硬件框图；

图11为本申请又一实施例提供的图像形成装置的示意性框图。

具体实施方式

为了更好的理解本申请的技术方案，下面结合附图对本申请实施例进行详细描述。

请参阅附图1，本申请实施例提供一种图像形成装置，包括：

控制器1，被配置为控制图像形成装置执行成像操作；

安全芯片2，与控制器1连接，被配置为对控制器1的运行活动进行监控；

存储器3，与安全芯片2连接，被配置为存储控制器1的待校验程序，待校验程序为图像形成装置运行所用的程序；

其中，安全芯片2对待校验程序进行安全校验，当安全芯片2对待校验程序的安全性检验的结果为不通过时，安全芯片2控制控制器1不执行待校验程序。

可以理解，通过安全芯片2对存储器3中存储的待校验程序进行安全校验，当控制器正在执行待校验程序时，安全芯片控制控制器停止执行待校验程序，使得控制器1的运行过程受到安全芯片2的监控，保证了图像形成装置在运行过程中的安全性。

具体地，图像形成装置表示在例如打印纸的记录介质上打印例如由计算机产生的打印数据的装置。图像形成装置的例子包括但不限于复印机、打印机、传真机、扫描仪以及在单个设备中执行以上功能的多功能外设。

在本实施方式中，控制器1，例如SoC(System on Chip，片上系统)，被配置为控制图像形成装置的成像处理操作，SoC用于执行数据收发、命令收发、引擎控制相关的处理操作，例如，如何通过应用程序调用接口单元(包括但不限于USB端口、有线网络端口、无线网络端口等)来收发数据、命令、状态等，还可以通过应用程序获得接收的打印参数，并解析为控制引擎机构执行特定功能的命令，例如，LSU曝光参数、拾纸辊转动参数等；另外，对于有用户权限认证或者加密/解密处理功能的图像形成装置，SoC还设置成能够执行用户权限认证或者加密/解密处理功能，而图像形成装置中的接口单元还能够接收来自驱动装置的打印作业数据和打印、扫描、传真命令，或者发送扫描、传真数据、打印、扫描、传真状态信息等，以及安全芯片2与外部安全监控服务器交换预定安全规则、日志等信息。

安全芯片2，又称可信计算监管模块，用于监控图像形成装置中控制器1(SoC)对应的运行活动；安全芯片2中的可信计算(Trusted Computing)，是为行为安全而生，广泛使用在计算机和通信系统中，以提高系统整体的安全性。信息安全包含四个方面：设备安全、数据安全、内容安全与行为安全；为进一步提升图像形成装置的行为安全特性，本实施例引入了可信计算功能；本实施例提及的安全芯片2对应的功能模块包括四种功能：程序(或模块)启动/运行监控功能(例如白名单策略)、注册功能、审计功能、升级监控功能，具体地，安全芯片2负责监管图像形成装置操作系统(例如Linux系统)的驱动层模块以及负责监管图像形成装置的应用层程序，安全芯片2只允许运行白名单范围内的驱动和程序，非白名单范围内的驱动和程序不允许运行；安全芯片2会记录或上报图像形成装置上发生的安全事件行为，这样可以实现对图像形成装置的驱动层和应用层进行全面监管，可以有效阻止控制器1的应用程序和设备驱动的不安全行为。

存储器3，与控制器1及安全芯片2连接，或者单独与控制器1和安全芯片2中的安全芯片2连接，是一种非易失性存储器，例如NOR flash(闪存)、NAND flash(闪存)、EEPROM(可擦除的可编程只读存储器)、FRAM(铁电存储器)，MRAM(磁性RAM)和NVSRAM(非易失性静态存储器)等。

安全芯片2对待校验程序进行安全校验，当安全芯片2对待校验程序的安全性检验的结果为不通过时，安全芯片2控制控制器1不执行待校验程序。具体地，一种实施方式中：在安全芯片2对待校验程序执行检验过程中，安全芯片2控制控制器1不执行待校验程序；只有安全芯片2对待校验程序检验通过时，才允许控制器1执行待校验程序；校验过程中，如果出现检验不通过时，安全芯片2就控制控制器1继续不执行待校验程序。另一种实施方式中：安全芯片可以对待校验程序分段验证，在安全芯片2校验的过程中，允许控制器1加载部分待校验程序，但是这部分待校验程序不足以让控制器1完全启动或执行全部图像处理操作，当安全芯片2对应的安全性检验不通过时，安全芯片2控制控制器1停止执行待校验程序。这些不同的实施方式都属于本申请的保护范围。

如图2所示，在本申请一个或者多个实施例中，待校验程序包括启动程序，存储器还存储有安全校验信息，安全芯片2包括启动控制器21，启动控制器21与控制器1连接，被配置为先控制安全芯片2读取存储器3中存储的启动程序和安全校验信息，并通过安全校验信息对启动程序进行安全性校验，当安全性检验通过后，再控制控制器1读取启动程序完成控制器1的启动。

可以理解，本申请通过在安全芯片2中设置启动控制器21，当图像形成装置上电之后，安全芯片2先启动，启动控制器21先控制安全芯片2读取存储器3中存储的启动程序和安全校验信息，并通过安全校验信息对启动程序进行安全性校验，当安全性校验通过后，再控制控制器1读取启动程序完成控制器1的启动，使得控制器1的启动过程受到安全芯片2的监控，保证了图像形成装置在运行过程中的安全性。

需要知道的是，如图2所示，在本实施方式中，安全芯片2包括启动控制器21及其它器件，其它器件被配置为实现除启动控制器21以外的安全芯片的其它功能，其它器件可以包括但不限于用于对存储器3中的启动程序及安全校验信息进行读取的读取器件、根据安全校验信息对读取的启动程序进行校验的校验单元、用于实现对控制器1进行监控的各个电路/单元等及与通信相关的各个通信模块、接口单元等。

启动程序包括启动引导文件(例如boot文件、uboot文件)和操作系统信息(例如初始化DDR、初始化缓存、初始化串口、初始化网卡)等，安全校验信息包括但不限于一个预设的校验码。在其它实施方式中，安全校验信息也可以预先存储在安全芯片2内。

在本实施方式中，对启动程序进行安全性校验的过程可以为：启动控制器21读取启动程序，生成运算校验信息，通过比对运算校验信息和安全校验信息是否满足预定关系，输出启动程序的安全性校验是否通过的信息；例如启动控制器21通过自身的运算电路或者运算代码，对启动程序进行逻辑运算(下文也称预设规则)，得到运算校验信息，启动控制器21进一步通过逻辑比较电路或者逻辑比较代码，对运算校验信息和安全校验信息进行比较，判断运算校验信息和安全校验信息是否满足预定关系(例如相等)，如果满足，则输出启动程序的安全性校验通过的信息，如果不满足，输出启动程序的安全性校验不通过的信息。

请参阅附图3，可选地，启动控制器21与控制器1的复位引脚(Reset)连接，启动控制器21被配置为在启动程序通过安全性校验之前，向控制器1的复位引脚输出复位使能信号，以及在启动程序通过安全性校验后，向控制器1的复位引脚输出复位失效信号。

在本申请实施方式中，图像形成装置上电后，安全芯片2启动，安全芯片2的启动控制器21输出低电平信号至控制器1的复位引脚(Reset)，控制器1的复位引脚低电平使能，因此控制器1处于复位状态无法启动。在此过程中，安全芯片2通过读取存储器3的启动程序和安全校验信息，并通过安全校验信息对启动程序进行安全性校验，当对启动程序校验通过时，启动控制器21再发送高电平信号至控制器1的复位引脚，使得控制器1可以进行启动，以保证控制器1的安全性。

本申请中的安全校验信息中预设的校验码可以是直接提前存入的，也可以是预先(例如，在出厂之前)对完整的启动程序以预设规则进行校验并将得到的校验结果作为安全校验信息，并将该安全校验信息储存。当需要进行安全性校验时(例如，销售后的使用过程需要启动时)，启动控制器21按照上述要求，读取启动程序和安全校验信息，并对启动程序进行逻辑运算，得到运算校验信息，然后将运算校验信息和安全校验信息进行比对，若一致，说明启动程序是完整的未被修改过，若不一致，说明启动程序已被修改，此时若控制器1读取及执行该启动程序会有安全隐患，因此安全芯片2的启动控制器21不允许控制器1启动，以保证控制器1的安全运行。

以校验启动程序中的启动引导文件为例，校验启动引导文件的过程可以为：将启动引导文件进行累加处理，得到相应的累加校验和，将得到的累加校验和与保存的预设安全校验信息和进行对比，二者相同这说明启动引导文件是完整未被修改的，符合安全条件。

需要知道的是，图像形成装置上电之后，安全芯片2及控制器1均需要获取启动程序，其中，安全芯片2获取启动程序后对启动程序进行安全性校验，控制器1需要获取启动程序完成启动，因此，安全芯片2、控制器1及存储器3都需要挂接在同一条通讯总线上，而任意一条通讯总线最多只能挂接1个主设备。针对以上，本申请提供了以下两种实现方式，用以解决上述问题。

方式一：

请继续参阅附图3，图像形成装置还包括第一隔离电路4及第二隔离电路5，第一隔离电路4连接于启动控制器21与存储器3之间，第二隔离电路5连接于控制器1与存储器3之间，第一隔离电路4及第二隔离电路5共用一总线接口与存储器3连接；图像形成装置上电后，安全芯片2优先启动，启 动控制器21先控制第一隔离电路4导通及第二隔离电路5断开，安全芯片2读取存储器3的安全校验信息和启动程序，并使用安全校验信息对启动程序进行安全性校验，当启动程序通过安全性校验后，启动控制器21再控制第一隔离电路4断开及第二隔离电路5导通，控制器1读取存储器3的启动程序完成启动。

可以理解，由于一条通讯总线在任意时刻只能允许一个主设备接入，因此启动控制器21通过先控制第一隔离电路4导通及第二隔离电路5断开，当安全校验信息通过安全性校验后，启动控制器21再控制第一隔离电路4断开及第二隔离电路5导通，可以避免当安全芯片2读取存储器3的信息时，控制器1对通讯总线造成干扰，以及避免当控制器1读取存储器3的信息时，安全芯片2对通讯总线造成干扰，因此进一步提高图像形成装置的可靠性。

在本实施方式中，通讯总线具体为SPI(Serial Peripheral Interface，串行外设接口)总线，对应地，总线接口具体为SPI总线接口。SPI总线是一种全双工同步串行接口标准，传输效率高，SPI总线只允许一个主设备启动一个与从设备的同步通讯的协议，从而完成数据的交换。

进一步地，第一隔离电路4包括第一开关，第一开关的第一端(Y)、第二端(EN)及第三端(Z)分别与安全芯片2、启动控制器21及存储器3连接，启动控制器21通过发送预设电信号至第一开关的第二端(EN)控制第一开关的第一端(Y)与第三端(Z)之间的导通或断开。第二隔离电路5包括第二开关，第二开关的第一端(Y)、第二端(EN)及第三端(Z)分别与控制器1、启动控制器21及存储器3连接；启动控制器21通过发送预设电信号至第二开关的第二端控制第二开关的第一端(Y)与第三端(Z)之间的导通或断开。

可选地，第一开关可以为但不限于MOS(metal-oxide-semiconductor，金属-氧化物-半导体场效应晶体)管、三极管、IGBT(Insulated Gate Bipolar Transistor，绝缘栅双极型晶体管)等电子开关中的任意一种，第二开关可以为但不限于MOS三极管、IGBT等电子开关中的任意一种。

在本实施方式中，第一开关及第二开关为N型MOS管，预设电信号为高电平信号。

可选地，安全芯片2被配置为在引导状态才能接收固件升级包(用于被安全芯片所运行的固件升级包)来实现对其内的存储器3的运行固件进行升级，启动控制器21在引导状态时会向控制器1输出复位使能信号，在本实施方式中，安全芯片2进行固件升级的过程为：控制器1接收电子设备(例如个人计算机)下发的固件升级包并将固件升级包发送给安全芯片2，以实现对安全芯片2运行固件的升级。由于安全芯片2优先于控制器1启动，因此，当控制器1启动的时候安全芯片2已经由引导状态进入程序运行的状态，为了保证对安全芯片2固件进行升级时控制器1能正常工作，继续如附图2所示，优选的，图像形成装置还包括模拟开关电路6，模拟开关电路6包括第三开关，第三开关的第一端(Y)与启动控制器21连接，第三开关的第二端(EN)与控制器1的复位引脚(Reset)连接，第三开关的第三端(Z)与控制器1的控制引脚(GPIO49)连接，控制器1还被配置为在将固件升级包发送给安全芯片2之前，向第三开关的第三端发送预设电信号(为方便区分，下面称第一预设电信号)，使得第三开关的第一端(Y)及第三端(Z)断开，进而启动控制器21对控制器1复位使能信号失效。

可选地，第三开关可以为但不限于MOS管、三极管、IGBT等电子开关中的任意一种，在本实施方式中，第三开关为N型MOS管，第一预设电信号为低电平信号；

方式二：

安全芯片2与存储器3和控制器1分别通过通讯总线连接，通过安全芯片2将启动程序发送给控制器1；

请参阅附图4，安全芯片2的引脚(SPIM)通过第一通讯总线与存储器3连接，安全芯片2的引脚(SPIS)通过第二通讯总线与控制器1的引脚(FCSPI)连接，当图像形成装置上电后，安全芯片2通过第一通讯总线读取存储器3内存储的启动程序，对启动程序进行安全性校验以及将启动程序通过第二通讯总线发送给控制器1，以使得控制器1读取存储器3的启动程序完成启动。

可以理解，本申请通过先将安全芯片2读取启动程序，再通过安全芯片2将启动程序发送给控制器1，无需设置方式一中的第一隔离电路5及第二隔离电路6，同时可以避免安全芯片2与控制器1 相互之间的干扰问题，因此，可以进一步降低本申请提供的图像形成装置的硬件成本，同时保证图像形成装置的可靠性。

具体的，第一通讯总线及第二通讯总线具体为SPI总线，SPI总线上文已有说明，在此不再重复描述。

进一步地，安全芯片2读取启动程序后或者在读取启动程序的过程具体可以为：安全芯片2先对已读取的启动程序进行安全校验，确定出已读取的启动程序符合安全要求后，再将已读取的启动程序发送给控制器1执行。例如，安全芯片2先全部读取启动程序，然后对启动程序进行安全性校验，若启动程序通过校验，再将启动程序发送给控制器1执行。又例如，安全芯片2先读取部分启动程序(例如先读取boot文件)，先对读取的部分启动程序进行安全性校验，待该部分启动程序校验通过后，先将校验通过的该部分启动程序发送给控制器1执行，然后安全芯片2再依次进行启动程序其他部分的读取，直到全部的启动程序安全性校验完毕，若以上该过程中，若存在部分启动程序安全性校验未通过，则停止进行启动程序的读取及校验并生成启动程序未校验通过的信息，进而控制控制器1停止执行启动程序。又例如，安全芯片2先读取全部启动程序，待全部启动程序读取完毕后，将启动程序分割为多个分割体，依次对各个分割体进行安全性校验，每当其中一个分割体校验通过后，将校验通过的该分割体发送给控制器1执行，若以上该过程中，若存在分割体安全性校验未通过，则停止进行启动程序的读取及校验，并生成启动程序未校验通过的信息，控制控制器1停止执行启动程序。

更为优选地，在本申请一个或多个实施方式中，安全芯片2在读取启动程序的过程中或者读取启动程序完毕后，对已读取的启动程序进行安全性校验，同时将已读取的启动程序发送给控制器1，若安全芯片2在对启动程序进行安全性校验的过程中，发现启动程序不符合安全条件，则控制控制器1停止运行启动程序。

可以理解，通过在对启动程序进行安全性校验的同时，将启动程序发送给控制器1执行，若安全芯片2在对启动程序进行安全性校验的过程中，发现启动程序不符合安全条件，再控制控制器1停止运行启动程序，如此，可以大幅度的缩短控制器1的启动时间，解决安全性校验带来的控制器1启动慢的问题，因此，提高了图像形成装置的使用体验。

还需要知道的是，安全芯片2对启动程序进行安全性校验的过程为安全芯片2对控制器1进行静态度量的过程，当静态度量通过后，控制器1启动，安全芯片2开始对控制器1进行动态度量，动态度量具体为在控制器1的固件执行过程中设置密码确认环节，当控制器1的固件运行到密码确认环节的时候，控制器1会向安全芯片2索要密码并与控制器1的固件中的密码进行比对，二者相同控制器1才继续执行固件。

请继续参阅附图4，在本申请实施例中，图像形成装置还包括电源模块7，电源模块7与控制器1连接，被配置为向控制器1供电；

其中，安全芯片2还被配置为当监控到控制器1不符合预设安全条件时，断开电源模块7与控制器1之间的连接。

可以理解，本申请通过设置安全芯片2对控制器进行监控，当监控到控制器1不符合预设的安全条件时，断开电源模块7与控制器1之间的连接，使得图像形成装置全程受到安全芯片2的监控，保证了控制器1的安全性。

具体地，电源模块7用于输出直流电，在本申请一个或多个实施例中，电源模块7可以为单个电源单元，也可以是由多个独立的电源单元组合而成。电源模块7不仅可以为控制器1供电，还可以为安全芯片2供电以及图像形成装置中的其它硬件模块供电。

基于以上，本申请中需要设置对应的硬件控制电路，以满足安全芯片2在对控制器1进行静态度量及/或动态度量时，实现对控制器1的电源控制，以进一步保证图像形成装置处理信息的安全性。

进一步地，本申请针对安全芯片2对控制器1进行电源控制包括但不限于以下几种硬件实现方案：

方案一：请参阅附图5，图像形成装置还包括第四开关8及第五开关9，安全芯片2的引脚(GPI Ox)及控制器1的引脚(GPIOy)分别与第四开关8的第一端(Z)及使能端(EN)连接，第四开关8的第二端(Y)与第五开关9的使能端(EN)连接，第五开关9的第一端(Y)及第二端(Z)分别与电源模块7及控制器1的电源引脚(Power in)连接。

图像形成装置上电后(安全芯片2对启动程序进行安全性度量前)，第四开关8的使能端(EN)接收使能有效信号，第四开关8的第一端(Z)与第二端(Y)之间导通，安全芯片2的引脚(GPIOx)生成使能无效信号通过第四开关8至第五开关9的使能端(EN)，第五开关9的第一端(Y)及第二端(Z)之间的通路断开，使得电源模块7无法为控制器1供电。

当启动程序通过安全性校验后，安全芯片2的引脚(GPIOx)生成使能有效信号，并通过第四开关8发送使能有效信号至第五开关9的使能端(EN)，第五开关9的第一端(Y)及第二端(Z)导通，电源模块7为控制器1供电。

在本申请一个或者多个实施方式中，第四开关8及第五开关9被配置为使能端接高电平信号时导通。

方案二：请参阅附图6，图像形成装置包括第六开关10，安全芯片2的引脚(GPIOx)及控制器1的引脚(GPIOy)分别与第六开关10的第一端(Z)及使能端(EN)连接，第六开关10的第二端(Y)与电源模块7的使能端(EN)连接。

图像形成装置上电后，第六开关10的使能端(EN)接收使能有效信号，第六开关的第一端(Z)及第二端(Y)导通，安全芯片2的引脚(GPIOx)生成使能无效信号至电源模块7的使能端(EN)。

当启动程序通过安全性校验后，安全芯片2的引脚(GPIOx)生成使能有效信号至电源模块7的使能端(EN)，电源模块7为控制器1供电。

方案三：

请参阅附图7，方案三与方案一基本相同，不同之处在于：方案一中的安全芯片2及控制器1分别单独由第一电源单元及第二电源单元供电，在方案三中，安全芯片2及控制器1共用部分电源(如附图6中的AB1、AB2、AB3......ABn，为方便区分，下文称共用的电源为第三电源单元)供电，其中，第三电源单元的输出端既与安全芯片2的电源引脚连接，又通过第五开关9与控制器1的电源引脚连接。

方案四：

请参阅附图8，方案四与方案三基本相同，不同之处在于：本方案中既给安全芯片2供电又给控制器1供电的第三电源单元(如附图7中的AB1、AB2、AB3......ABn)的电能输出由开关电路(如附图7中的第五开关9)控制，而单独给控制器1供电的第二电源单元(如附图7中的B1、B2、B3......Bn)的电能输出由其自身的使能端(EN)控制。

方案五：

请参阅附图8，方案五与方案一与基本相同，不同之处在于：本方案中给控制器1供电的第二电源单元中的部分第二电源单元的电能输出由第二电源单元自身的使能端(EN)控制，另一部分第二电源单元由开关电路(如附图8中的第五开关9)控制。

方案六：

请参阅附图9，方案六与方案四与基本相同，不同之处在于：本方案中既给安全芯片2供电又给控制器1供电的第三电源单元(如附图9中的AB1、AB2、AB3......ABn)的电能输出由开关电路(如附图9中的第五开关9)控制，而单独给控制器1供电的第二电源单元(如附图9中的B1、B2、B3......Bn)中的一部分第二电源单元由其自身的使能端(EN)控制，另一部分第二电源单元由开关电路(如附图9中的第五开关9)控制。

需要说明的是，以上列举的方案仅为示例，本申请还包括其它多种实现方式，例如，安全芯片2及控制器1共用所有电源单元的方式等，还例如，不需要设置第一开关和第二开关，安全芯片2通过通讯总线分别存储器3和控制器1连接的方式，在此不一一赘述。

需要说明的是，第五开关9可以是一路开关电路，也可以是多路开关电路，当然，第五开关9可以是集成电路，也可以由分立元件搭建。在本实施方式中，第五开关9为多路开关电路，其包括多个第一开关单元a，每个第一开关单元a连接在一个电源单元与控制器1的电源引脚(Power in)之间，用于控制其对应的电源单元为控制器1供电，控制器1的电源引脚的数量为可以为1个或者多个。在本实施方式中，第一开关单元a被配置为使能端接高电平信号时有效，因此，第一开关单元a可以使用PNP三极管作为开关。

可选地，第一开关单元a还可以配置为低电平信号使能有效，若第一开关单元a为低电平信号使能有效，则第一开关单元a还可以使用PMOS管作为开关。多个第一开关单元a的导通与截止可以由安全芯片2的一路使能信号控制，多个第一开关单元a的导通与截止可以由安全芯片2的一路使能信号控制还可以由安全芯片2的多路使能信号中的每一路使能信号单独控制。

请参阅附图11，进一步地，安全芯片2具体被配置为：当图像形成装置上电后，读取存储器3内存储的待校验程序，对待校验程序进行安全校验以及将待校验程序发送给控制器1对应的待校验程序加载器，待校验程序加载器接收到待校验程序后开始执行待校验程序；

其中，在安全芯片2对待校验程序进行安全校验的过程中，若安全芯片2确定待校验程序不符合安全要求，且当前控制器1正在执行待校验程序时，安全芯片2控制控制器1停止执行待校验程序。

需要说明的是，安全芯片2对待校验程序进行安全校验可以是静态和/或动态的，例如，安全芯片2读取存储器3内存储的待校验程序，并准备发送给控制器1对应的待校验程序加载器；例如还可以是在待校验程序加载器接收到待校验程序后控制器1开始执行待校验程序。

可以理解，本申请通过安全芯片2对控制器1所要执行的程序进行安全校验，当待校验程序不符合安全要求时，安全芯片2控制控制器1停止执行待校验程序，使得控制器1在运行的过程中，全程受到安全芯片2的监控，能够很好的保证图像形成装置的安全性，可靠性好。同时，本申请通过安全芯片2将控制器1所要执行的程序发送给控制器1，无需额外配置对应的硬件电路来使得控制器1与安全芯片2能够同时从存储器3获取待校验程序，因此进一步简化了电路结构，节约了成本。

在本申请一个或多个实施方式中，待校验程序可以包括启动程序及应用程序，应用程序的数量为至少一个。在其它实施方式中，待校验程序还可以仅包括启动程序和应用程序中的应用程序。

请再次参阅附图4，在本申请实施例中，安全芯片2通过第一通讯总线与存储器3通讯连接，用于从存储器3内读取待校验程序，安全芯片2通过第二通讯总线与控制器1通讯连接，用于将读取的待校验程序发送给控制器1内置的待校验程序加载器。

进一步地，在本实施方式中，安全芯片2对待校验程序进行安全校验以及将待校验程序发送给控制器1对应的待校验程序加载器，具体可以包括：

安全芯片2在读取待校验程序的过程中或者读取待校验程序完毕后，对已读取的待校验程序进行安全校验，同时将已读取的待校验程序发送给待校验程序加载器。

可选地，安全芯片2可以是在读取全部待校验程序完毕后，再开始对待校验程序进行校验，且校验的同时将待校验程序发送给待校验程序加载器；或者，安全芯片2在读取待校验程序的过程中，对当前已读取的待校验程序进行安全校验，以及将当前读取的待校验程序发送给待校验程序加载器执行，或者，当安全芯片2每读取完待校验程序其中的部分程序(例如Boot程序)时，安全芯片2就对该部分程序进行安全性校验，同时将该部分程序发送给待校验程序加载器，接着再依次进行其它部分程序(Uboot程序、操作系统程序等)的校验及执行。

可选地，安全芯片2还可以是待校验程序的过程中，对已读取的待校验程序进行安全校验，同时将已读取的待校验程序发送给待校验程序加载器；进一步可选地，以Boot程序为例，将Boot程序分成很多小段，每小段分别进行校验，并且每小段同时发送给程序加载器，由于程序加载器接收到很多小段并不能直接完成当前Boot程序对应的功能，所以程序加载器还不能直接完成当前Boot程序对应的启动，也并不会直接威胁到整个系统的安全；在安全芯片2对每小段程序都完成校验后，这样程序加载器也几乎就接收完了整个Boot程序，其它的待校验程序也类似。

可以理解，本申请通过在读取或者校验控制器1需要执行的待校验程序时，采用执行与校验同步进行的方式，提高了控制器1运行的速度，当待校验程序为启动程序时，可以加快图像形成装置的启动速度，进而提高用户的使用体验。

其它实施方式中，在图像形成装置的运行速度或者启动速度要求不高的场景下，安全芯片2对待校验程序进行安全校验以及将待校验程序发送给控制器1对应的待校验程序加载器，可以包括：

安全芯片2在读取待校验程序的过程中或者读取待校验程序完毕后，先对已读取的待校验程序进行安全校验，当确定出已读取的待校验程序符合安全要求后，才将已读取的待校验程序发送给待校验程序加载器。

可选地，安全芯片2可以先读取全部待校验程序，待全部待校验程序校验通过后，再将全部待校验程序发送给待校验程序加载器，若待校验程序校验未通过，则不再将待校验程序发送给待校验程序加载器。或者，安全芯片2依次对待校验程序中的部分待校验程序(例如，依次对Boot程序、Uboot程序、操作系统程序及应用程序进行校验)进行校验，当该部分待校验程序校验通过后，再将该部分待校验程序发送给待校验程序加载器执行，然后再进行下个部分的待校验程序的读取、校验及执行。

针对于上文的安全芯片2对已读取的待校验程序进行安全校验，同时将已读取的待校验程序发送给待校验程序加载器的方式，进一步地，若安全芯片2在进行安全校验的过程中，确定待校验程序中的启动程序或者操作系统程序不符合安全要求时，考虑到控制器1的运行状态，可以包括以下情况：

若当前控制器1正在执行启动程序或者操作系统程序或应用程序，则安全芯片2先控制控制器1停止执行启动程序或者操作系统程序或应用程序，再控制控制器1复位，以使得控制器1回到初始状态；又或者是，安全芯片2先控制控制器1停止执行启动程序或者操作系统程序，再控制控制器1断电。

若当前控制器1未执行启动程序或者操作系统程序或应用程序，则直接控制控制器1复位，以使得控制器1回到初始状态；又或者是，安全芯片2直接控制控制器1断电。

可以理解，当检测到控制器1启动要执行的启动程序或者操作系统程序不符合安全要求时，控制控制器1复位或者断电，可以保证图像形成装置的安全性。

还需要说明的是，在本申请一个或多个实施例中，若安全芯片2确定至少一个应用程序中的第一应用程序不符合安全要求，且当前控制器1正在执行应用程序时，安全芯片2发送错误信号控制控制器1停止执行第一应用程序；若安全芯片2确定至少一个应用程序中的第一应用程序不符合安全要求，且当前控制器1未正在执行启动程序，安全芯片2不允许控制器1启动对第一应用程序的执行。

在一种实现方式中，安全芯片2与控制器1的复位端连接，安全芯片2通过向控制器1的复位端发送复位使能信号使得控制器1复位。

在另一种实现方式中，图像形成装置还包括电源开关(例如附图5、附图7-附图10中所示的第五开关9)，电源开关连接于电源模块7与控制器1之间，被设置于为控制器1供电，安全芯片2通过控制电源开关断开和/或生成使能无效信号至电源模块的使能端使得控制器1断电。

请参阅附图2，本实施例还提供一种图像形成装置用启动控制系统(图2中的虚线框所示)，该图像形成装置包括被配置为控制图像形成装置执行成像操作的控制器1，该启动控制系统包括：

安全芯片2，与控制器1连接，被配置为对控制器1的运行活动进行监控；及

存储器3，与安全芯片2连接，被配置为存储控制器1的待校验程序，待校验程序为图像形成装置运行所用的程序；

其中，安全芯片2对待校验程序进行安全校验，当安全芯片2对待校验程序的安全性检验的结果为不通过时，安全芯片2控制控制器1不执行待校验程序。

关于启动控制系统中各器件/模块与上述图像形成装置中的描述相同，而且也能实现相同的技术效果，在此不再赘述。

请参阅附图3，本实施例还提供一种图像形成装置用安全控制系统，图像形成装置包括被配置为控制图像形成装置执行成像操作的控制器1，安全控制系统包括：安全芯片2，与控制器1连接，被配置为对控制器1进行安全监控；及电源模块7，与控制器1连接，被配置为向控制器1供电；其中，安全芯片2还被配置为当监控到控制器1不符合预设安全条件时，断开电源模块7与控制器1之间的连接。

关于安全控制系统中各器件/模块与上述图像形成装置中的描述相同，而且也能实现相同的技术效果，在此不再赘述。

以上仅为本申请的较佳实施例而已，并不用以限制本申请，凡在本申请的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请保护的范围之内。

Claims (15)

1. 一种图像形成装置，其特征在于，包括：

   控制器，被配置为控制所述图像形成装置执行成像操作；

   安全芯片，与所述控制器连接，被配置为对所述控制器的运行活动进行监控；

   存储器，与所述安全芯片连接，被配置为存储待校验程序，所述待校验程序为所述图像形成装置运行所用的程序；

   当所述安全芯片对所述待校验程序的安全性检验的结果为不通过时，所述安全芯片控制所述控制器不执行所述待校验程序。
2. 根据权利要求1所述的图像形成装置，其特征在于，所述待校验程序包括启动程序，所述存储器还存储有安全校验信息，所述安全芯片包括启动控制器，所述启动控制器与所述控制器连接，被配置为先控制所述安全芯片读取所述存储器中存储的启动程序和安全校验信息，并通过所述安全校验信息对所述启动程序进行安全性校验，当安全性检验通过后，再控制所述控制器读取所述启动程序完成所述控制器的启动。
3. 根据权利要求2所述的图像形成装置，其特征在于，所述启动控制器与所述控制器的复位引脚连接，所述启动控制器被配置为在所述启动程序通过安全性校验之前，向所述控制器的复位引脚输出复位使能信号，以及在所述启动程序通过安全性校验后，向所述控制器的复位引脚输出复位失效信号。
4. 根据权利要求2所述的图像形成装置，其特征在于，所述图像形成装置还包括第一隔离电路及第二隔离电路，所述第一隔离电路连接于所述启动控制器与所述存储器之间，所述第二隔离电路连接于所述控制器与所述存储器之间，所述第一隔离电路及所述第二隔离电路共用一总线接口与所述存储器连接；

   所述图像形成装置上电后，所述安全芯片优先启动，所述启动控制器先控制所述第一隔离电路导通及第二隔离电路断开，所述安全芯片读取所述存储器的启动程序和安全校验信息，并通过所述安全校验信息对所述启动程序进行安全性校验，当所述启动程序通过安全性校验后，所述启动控制器再控制所述第一隔离电路断开及第二隔离电路导通，所述控制器读取所述存储器的启动程序完成启动。
5. 根据权利要求4所述的图像形成装置，其特征在于，所述第一隔离电路包括第一开关，所述第一开关的第一端、第二端及第三端分别与所述安全芯片、所述启动控制器及所述存储器连接，所述启动控制器通过发送预设电信号至所述第一开关的第二端控制所述第一开关的第一端与所述第三端之间的导通或断开；

   所述第二隔离电路包括第二开关，所述第二开关的第一端、第二端及第三端分别与所述控制器、所述启动控制器及所述存储器连接；所述启动控制器通过发送预设电信号至所述第二开关的第二端控制所述第二开关的第一端与所述第三端之间的导通或断开。
6. 如权利要求1或2所述的图像形成装置，其特征在于，所述安全芯片通过第一通讯总线与所述存储器连接，所述安全芯片通过第二通讯总线与所述控制器的第二引脚连接，当所述图像形成装置上电后，所述安全芯片通过所述第一通讯总线读取所述存储器内存储的所述启动程序，对所述启动程序进行安全性校验以及将所述启动程序通过第二通讯总线发送给所述控制器，以使得所述控制器读取所述存储器的启动程序完成启动。
7. 根据权利要求1或2所述的图像形成装置，其特征在于，所述图像形成装置还包括电源模块，所述电源模块与所述控制器连接，被配置为向所述控制器供电；

   其中，所述安全芯片还被配置为当监控到所述控制器不符合预设安全条件时，断开所述电源模块与所述控制器之间的连接。
8. 根据权利要求7所述的图像形成装置，其特征在于，所述图像形成装置还包括第四开关及第五开关，所述安全芯片及所述控制器分别与所述第四开关的第一端及使能端连接，所述第四 开关的第二端与所述第五开关的使能端连接，所述第五开关的第一端及第二端分别与所述电源模块及所述控制器的电源引脚连接。

   所述图像形成装置上电后，所述第四开关的使能端接收使能有效信号，所述第四开关的第一端与第二端导通，所述安全芯片生成使能无效信号至所述第五开关的使能端，所述第五开关的第一端及第二端之间的通路断开；

   当所述启动程序通过安全性校验后，所述安全芯片生成使能有效信号，并通过所述第四开关发送所述使能有效信号至所述第五开关的使能端，所述第五开关的第一端与第二端导通，所述电源模块为所述控制器供电。
9. 根据权利要求7所述的图像形成装置，其特征在于，所述图像形成装置还包括第六开关，所述安全芯片及所述控制器分别与所述第六开关的第一端及使能端连接，所述第六开关的第二端与所述电源模块的使能端连接；

   所述图像形成装置上电后，所述第六开关的使能端接收使能有效信号，所述第六开关的第一端与第二端导通，所述安全芯片生成使能无效信号至所述电源模块的使能端；

   当所述启动程序通过安全性校验后，所述安全芯片生成使能有效信号至所述电源模块的使能端，所述电源模块为所述控制器供电。
10. 根据权利要求1所述的图像形成装置，其特征在于，所述安全芯片具体被配置为当所述图像形成装置上电后，读取所述存储器内存储的所述待校验程序，对所述待校验程序进行安全校验以及将所述待校验程序发送给所述控制器对应的待校验程序加载器，所述待校验程序加载器接收到所述待校验程序后开始执行所述待校验程序；

    其中，在所述安全芯片对所述待校验程序进行安全校验的过程中，若所述安全芯片确定所述待校验程序不符合安全要求，且当前所述控制器正在执行所述待校验程序时，所述安全芯片控制所述控制器停止执行所述待校验程序。
11. 如权利要求10所述的图像形成装置，其特征在于，所述安全芯片在读取所述待校验程序的过程中或者读取所述待校验程序完毕后，对已读取的待校验程序进行安全校验，同时将已读取的待校验程序发送给所述待校验程序加载器。
12. 如权利要求10所述的图像形成装置，其特征在于，所述安全芯片在读取所述待校验程序的过程中或者读取所述待校验程序完毕后，先对已读取的待校验程序进行安全校验，当确定出所述已读取的待校验程序符合安全要求后，才将所述已读取的待校验程序发送给所述待校验程序加载器。
13. 根据权利要求10或11所述的图像形成装置，其特征在于，所述待校验程序包括启动程序，若所述安全芯片确定所述启动程序不符合安全要求，且当前所述控制器正在执行所述启动程序时，所述安全芯片先控制所述控制器停止执行所述启动程序，再控制所述控制器复位，以使得所述控制器回到初始状态；或者，所述安全芯片先控制所述控制器停止执行所述启动程序，再控制所述控制器断电。
14. 根据权利要求10或11所述的图像形成装置，所述待校验程序包括至少一个应用程序，若所述安全芯片确定所述至少一个应用程序中的第一应用程序不符合安全要求，所述安全芯片禁止所述控制器执行所述第一应用程序。
15. 一种图像形成装置用启动控制系统，所述图像形成装置包括被配置为控制所述图像形成装置执行成像操作的控制器，其特征在于，包括：

    安全芯片，与所述控制器连接，被配置为对所述控制器的运行活动进行监控；及

    存储器，与所述安全芯片连接，被配置为存储所述控制器的待校验程序，所述待校验程序为所述图像形成装置运行所用的程序；

    所述安全芯片对所述待校验程序进行安全校验，当所述控制器正在执行所述待校验程序时，所述安全芯片控制所述控制器停止执行所述待校验程序。

Images