一種嵌入式系統(tǒng)的啟動(dòng)方法及嵌入式裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及嵌入式系統(tǒng)的安全啟動(dòng)的問題,特別涉及一種嵌入式系統(tǒng)的啟動(dòng)方法及嵌入式裝置��。
【背景技術(shù)】
[0002]隨著嵌入式設(shè)備的大量采用�,以手機(jī)為代表的設(shè)備逐漸接管了人們?nèi)粘J褂玫母鞣N敏感信息��,比如支付寶程序�����,網(wǎng)銀程序等大量的應(yīng)用程序在手機(jī)上面被使用���。應(yīng)用程序提供商比如阿里巴巴本身花了極大的努力來提升自己程序和流程的安全性���,但是這一切的努力有一個(gè)前提,就是操作系統(tǒng)本身沒有被植入病毒�����,假設(shè)黑客在操作系統(tǒng)核心層面已經(jīng)控制了系統(tǒng)����,那么無論這個(gè)應(yīng)用程序自身邏輯有多健全���,它都是不安全的。
[0003]因此對(duì)終端用戶來說�����,需要手機(jī)提供商保證一點(diǎn):手機(jī)一旦出廠之后����,任何情況下都無法自動(dòng)更新操作系統(tǒng)到一個(gè)未經(jīng)過驗(yàn)證的版本。只有手機(jī)提供商官方驗(yàn)證過的版本才可以在用戶手機(jī)上面升級(jí)����。由此,嵌入式系統(tǒng)的安全啟動(dòng)很重要����。
【發(fā)明內(nèi)容】
[0004]本發(fā)明的目的是解決嵌入式系統(tǒng)在啟動(dòng)的過程中被惡意代碼破壞的啟動(dòng)程序和操作系統(tǒng)的問題。
[0005]為實(shí)現(xiàn)上述目的�,一方面,本發(fā)明提供了一種嵌入式系統(tǒng)的啟動(dòng)方法包括以下步驟:
[0006]在嵌入式系統(tǒng)上電之后��,進(jìn)入安全模式����;
[0007]在安全模式下��,嵌入式系統(tǒng)執(zhí)行存儲(chǔ)于存儲(chǔ)器中的初始化指令����,以初始化嵌入式系統(tǒng)���;
[0008]存儲(chǔ)器加載啟動(dòng)程序文件�����,并用第一證書驗(yàn)證啟動(dòng)程序文件的有效性;當(dāng)啟動(dòng)程序文件有效時(shí)��,執(zhí)行啟動(dòng)程序文件��;
[0009]啟動(dòng)程序文件加載操作系統(tǒng)�,并用第二證書驗(yàn)證操作系統(tǒng)的有效性;當(dāng)操作系統(tǒng)有效時(shí)���,執(zhí)行操作系統(tǒng)��。
[0010]具體地���,存儲(chǔ)器加載啟動(dòng)程序文件�����,并利用證書驗(yàn)證啟動(dòng)程序文件的有效性步驟包括:
[0011]讀取啟動(dòng)程序文件的第一簽名��,啟動(dòng)程序的第一簽名是由第一證書的私鑰產(chǎn)生��,并存放在啟動(dòng)程序文件的結(jié)尾處��;
[0012]用公鑰對(duì)第一簽名進(jìn)行計(jì)算��,得到啟動(dòng)程序文件的第一哈希值����;
[0013]將所述啟動(dòng)程序文件的第一哈希值與通過哈希算法計(jì)算出的所述啟動(dòng)程序文件的第二哈希值進(jìn)行比對(duì)���,如果比對(duì)成功��,則啟動(dòng)程序文件有效�����。
[0014]具體地�,存儲(chǔ)器加載啟動(dòng)程序文件�,并利用證書驗(yàn)證啟動(dòng)程序文件的有效性步驟之前還包括:驗(yàn)證第一證書的有效性��;第一證書有效時(shí)����,驗(yàn)證啟動(dòng)程序文件����;反之,終止驗(yàn)證啟動(dòng)程序文件��。
[0015]具體地�,驗(yàn)證證書的有效性的步驟包括:
[0016]計(jì)算第一證書的第一哈希值���;讀取保險(xiǎn)絲(FUSE)里面預(yù)先燒錄的正確的第一證書的第二哈希值���;比對(duì)第一證書的第一哈希值和第一證書的第二哈希值,若兩者相等則執(zhí)行驗(yàn)證啟動(dòng)程序文件的有效性�;反之,終止執(zhí)行驗(yàn)證啟動(dòng)程序文件的有效性��。
[0017]具體地����,啟動(dòng)程序文件加載操作系統(tǒng)�����,并用第二證書驗(yàn)證操作系統(tǒng)的有效性步驟包括:
[0018]讀取操作系統(tǒng)的第二簽名��,操作系統(tǒng)的第二簽名是由第二證書的私鑰產(chǎn)生�;
[0019]用公鑰對(duì)第二簽名進(jìn)行計(jì)算����,得到操作系統(tǒng)的第一哈希值;
[0020]將所述操作系統(tǒng)的第一哈希值與通過哈希算法計(jì)算出的所述操作系統(tǒng)的第二哈希值進(jìn)行比對(duì)��,如果比對(duì)成功���,則操作系統(tǒng)有效��,執(zhí)行操作系統(tǒng)����。
[0021]具體地�����,啟動(dòng)程序文件加載操作系統(tǒng),并用第二證書驗(yàn)證操作系統(tǒng)的有效性步驟之前還包括:驗(yàn)證第二證書的有效性����;第二證書有效時(shí),驗(yàn)證操作系統(tǒng)����;反之,終止驗(yàn)證操作系統(tǒng)�����。
[0022]具體地����,驗(yàn)證第二證書的有效性的步驟包括:
[0023]計(jì)算第二證書的第一哈希值;讀取保險(xiǎn)絲(FUSE)里面預(yù)先燒錄的正確的第二證書的第二哈希值�;比對(duì)第二證書的第一哈希值和第二證書的第二哈希值����,若兩者相等則執(zhí)行驗(yàn)證操作系統(tǒng)的有效性;反之����,終止執(zhí)行驗(yàn)證操作系統(tǒng)的有效性。
[0024]另一方面,本發(fā)明提供了一種嵌入式裝置���,該裝置包括:
[0025]安全模式模塊���,用于在嵌入式系統(tǒng)上電之后進(jìn)入安全模式;
[0026]初始化模塊�����,用于在安全模式下��,嵌入式系統(tǒng)執(zhí)行存儲(chǔ)于存儲(chǔ)器中的初始化指令���,以初始化嵌入式系統(tǒng)��;
[0027]第一驗(yàn)證模塊�,用于存儲(chǔ)器加載啟動(dòng)程序文件���,并用第一證書驗(yàn)證啟動(dòng)程序文件的有效性���;當(dāng)啟動(dòng)程序文件有效時(shí),執(zhí)行啟動(dòng)程序文件����;
[0028]第二驗(yàn)證模塊���,用于啟動(dòng)程序文件加載操作系統(tǒng),并用第二證書驗(yàn)證操作系統(tǒng)的有效性���;
[0029]執(zhí)行模塊���,驗(yàn)證通過后執(zhí)行操作系統(tǒng)。
[0030]優(yōu)選地��,第一驗(yàn)證模塊包括加載單元����、第一簽名單元和第一驗(yàn)證單元;
[0031]第一加載單元�,用于加載啟動(dòng)程序文件;第一簽名單元��,用于第一證書對(duì)啟動(dòng)程序文件進(jìn)行第一簽名���;第一驗(yàn)證單元,用于驗(yàn)證第一簽名的有效性�,若第一簽名有效,則執(zhí)行啟動(dòng)程序文件;反之�����,終止執(zhí)行啟動(dòng)程序文件����。
[0032]優(yōu)選地,第二驗(yàn)證模塊包括第二加載單元�����、第二簽名單元和第二驗(yàn)證單元�����;
[0033]第二加載單元����,用于啟動(dòng)程序文件加載操作系統(tǒng);第二簽名單元����,用于通過第二證書對(duì)操作系統(tǒng)進(jìn)行第二簽名;第二驗(yàn)證單元���,用于驗(yàn)證第二簽名的有效���,若第二簽名有效��,則執(zhí)行操作系統(tǒng)�;反之���,終止執(zhí)行操作系統(tǒng)����。
[0034]本發(fā)明通過幾項(xiàng)硬件級(jí)別的安全措施存儲(chǔ)器���、保險(xiǎn)絲(FUSE)和芯片安全模式����,以及幾項(xiàng)軟件級(jí)別的安全措施哈希值和數(shù)字簽名��,可以保證嵌入式系統(tǒng)從上電的瞬間開始�����,直到嵌入式操作系統(tǒng)完全運(yùn)行���,全程運(yùn)行的代碼都是經(jīng)過驗(yàn)證的合法代碼����;從而從源頭上保證了沒有惡意代碼可以替換或者篡改啟動(dòng)程序文件和操作系統(tǒng)���。
【附圖說明】
[0035]為了更清楚地說明本發(fā)明實(shí)施例中的技術(shù)方案���,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹,顯而易見地����,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例,對(duì)于本領(lǐng)域普通技術(shù)人員來講���,在不付出創(chuàng)造性勞動(dòng)性的前提下��,還可以根據(jù)這些附圖獲得其他的附圖����。
[0036]圖1為本發(fā)明實(shí)施例提供的一種嵌入式系統(tǒng)啟動(dòng)方法及嵌入式裝置的結(jié)構(gòu)流程圖���;
[0037]圖2為本發(fā)明實(shí)施例提供的一種嵌入式系統(tǒng)啟動(dòng)方法及嵌入式裝置的結(jié)構(gòu)示意圖��;
[0038]圖3為圖2中第一驗(yàn)證模塊的內(nèi)部結(jié)構(gòu)示意圖���;
[0039]圖4為圖2中第二驗(yàn)證模塊的內(nèi)部結(jié)構(gòu)示意圖�����;
[0040]圖5為圖1所示系統(tǒng)提供的一種驗(yàn)證啟動(dòng)程序文件有效性的方法流程圖�;
[0041]圖6為圖1所示系統(tǒng)提供的一種驗(yàn)證操作系統(tǒng)有效性的方法流程圖�。
【具體實(shí)施方式】
[0042]為了使本技術(shù)領(lǐng)域的人員更好地理解本申請(qǐng)中的技術(shù)方案,下面將結(jié)合附圖��,對(duì)本申請(qǐng)的技術(shù)方案進(jìn)行清楚���、完整地描述�,顯然�����,所描述的實(shí)施例僅僅是本申請(qǐng)一部分實(shí)施例���,而不是全部實(shí)施例��?��;诒旧暾?qǐng)中的實(shí)施例���,本領(lǐng)域普通技術(shù)人員在沒有做出任何創(chuàng)造性勞動(dòng)前提下所獲得的其他實(shí)施例��,都應(yīng)當(dāng)屬于本申請(qǐng)保護(hù)的范圍�。
[0043]圖1了本發(fā)明實(shí)施例提供的嵌入式系統(tǒng)的啟動(dòng)方法及嵌入式設(shè)備的結(jié)構(gòu)流程圖。如圖1所示��,嵌入式系統(tǒng)啟動(dòng)方法步驟:
[0044]步驟10:在嵌入式系統(tǒng)上電之后����,進(jìn)入安全模式(ARM secure mode);
[0045]在本發(fā)明實(shí)施例中���,安全模式(ARM secure mode)需要滿足的軟硬件條件為:
[0046]首先���,整個(gè)操作系統(tǒng)必須擁有一個(gè)可信賴的源頭,這個(gè)源頭由芯片廠商來保證安全�;可以選擇系統(tǒng)內(nèi)部的ROM (Read-Only Memory)作為可信賴的源頭,在芯片設(shè)計(jì)的過程中���,把ROM (Read-0n 1 y Memory)放