本申请公开了一种控制器启动方法、装置、电子设备及储存介质,涉及控制器技术领域。方法包括:首先,按照加载运行顺序,对安全启动信任链上各级固件的启动镜像文件逐级进行安全校验,然后,在逐级安全校验通过的情况下,逐级加载运行各级固件的启动镜像文件,以引导控制器完成启动,或者在逐级安全校验未通过的情况下,禁止加载运行不安全固件的启动镜像文件,并终止启动控制器。在本申请中,通过构建信任链,每个固件在加载运行前都经过验证,只有当前阶段对后续待启动的固件进行验证通过后,才会加载和执行后续的模块,从而确保固件是可信的,并且保证了再控制器启动过程中的安全性。并且保证了再控制器启动过程中的安全性。并且保证了再控制器启动过程中的安全性。
【技术实现步骤摘要】
一种控制器启动方法、装置、电子设备及储存介质
[0001]本申请涉及控制器
,具体涉及一种控制器启动方法、装置、电子设备及储存介质。
技术介绍
[0002]目前,主流的嵌入式设备都采用SOC(System on a Chip,可编程片上系统)作为其嵌入式系统。在SOC启动过程中存在一定的安全风险,恶意软件有可能会修改引导加载程序等固件。比如,使SOC受到木马攻击。木马等恶意软件通过修改系统的启动过程,安装到系统内以达到持久驻留系统的目的,SOC一旦受到木马等恶意代码感染,即使重新安装系统也无法清除。因此有必要对SOC进行安全保护,防止在启动过程中固件被恶意篡改。
[0003]相关技术中,通过采用TPM(Trusted Platform Module,外接可信平台模块)实现可信启动,但是采用TPM增加了硬件成本且系统集成度低,并且对控制器启动过程无法进行校验,因此安全性较低。
技术实现思路
[0004]本申请针对现有的问题,提出了一种控制器启动方法、装置、电子设备及储存介质,具体技术方案如下:
[0005]在本申请实施例的第一方面,提供一种控制器启动方法,所述方法包括:
[0006]按照加载运行顺序,对安全启动信任链上各级固件的启动镜像文件逐级进行安全校验;
[0007]在所述逐级安全校验通过的情况下,逐级加载运行所述各级固件的启动镜像文件,以引导所述控制器完成启动;
[0008]在所述逐级安全校验未通过的情况下,禁止加载运行不安全固件的启动镜像文件,并终止启动所述控制器。
[0009]可选地,对安全启动信任链上各级固件的启动镜像文件逐级进行安全校验的步骤包括:
[0010]对所述安全启动信任链上第一等级固件的启动镜像文件进行合法性校验和完整性校验;
[0011]在所述第一等级固件的启动镜像文件通过所述合法性校验和完整性校验的情况下,再对所述安全启动信任链上的多个第二等级固件的启动镜像文件进行合法性校验和完整性校验;其中,所述第一等级固件的执行权限高于所述第二等级固件的执行权限。
[0012]可选地,对所述安全启动信任链上第一等级固件的启动镜像文件进行合法性校验和完整性校验的步骤包括:
[0013]读取所述第一等级固件的启动镜像文件、所述启动镜像文件对应的目标签名文件和启动校验公钥;
[0014]根据所述启动校验公钥对所述目标签名文件进行解密,获得第一哈希值,并对所
述启动镜像文件进行哈希运算,获得第二哈希值:
[0015]比较所述第一哈希值和所述第二哈希值;
[0016]在所述第一哈希值和所述第二哈希值相同的情况下,确定所述第一等级固件的启动镜像文件通过合法性校验;
[0017]在所述第一哈希值和所述第二哈希值不同的情况下,确定所述第一等级固件的启动镜像文件未通过合法性校验;
[0018]读取公钥摘要,并根据所述公钥摘要对所述第一等级固件的启动镜像文件进行完整性校验。
[0019]可选地,所述第一等级固件的启动镜像文件对应的目标签名文件和启动校验公钥是通过以下步骤获得的;
[0020]对所述第一等级固件的启动镜像文件,采用非对称加密算法和启动校验私钥进行加密,生成所述第一等级固件的启动镜像文件对应的目标签名文件;
[0021]在所述非对称加密算法中输入的所述启动校验私钥,生成所述启动校验公钥。
[0022]可选地,所述启动校验私钥是通过以下步骤获得的:
[0023]生成工厂安全密钥配置私钥;
[0024]输入所述工厂安全密钥配置私钥的二进制数据和纯文本熔断机制数据,并进行整理和排列,获得目标密钥数据;
[0025]对所述目标密钥数据进行加密,生成所述启动校验私钥。
[0026]可选地,在对所述目标密钥数据进行加密,生成所述启动校验私钥的步骤之后,所述方法还包括:
[0027]将所述启动校验私钥、所述第一等级固件的启动镜像文件对应的目标签名文件以及所述启动校验公钥写入熔断保护区域中进行储存,并同时向所述熔断保护区域写入熔断指令,其中,所述熔断保护区域位于所述第一等级固件的一次性可编程区域中。
[0028]可选地,所述方法还包括:
[0029]所述熔断保护区域在接收到所述熔断指令之后,变更其标志位的状态,并且只响应数据读取请求,不响应数据写入请求。
[0030]在本申请实施例的第二方面,提供一种操作系统启动装置,所述装置包括:
[0031]校验模块,用于按照加载运行顺序,对安全启动信任链上各级固件的启动镜像文件逐级进行安全校验;
[0032]第一执行模块,用于在所述逐级安全校验通过的情况下,逐级加载运行所述各级固件的启动镜像文件,以引导所述控制器完成启动;
[0033]第二执行模块,用于在所述逐级安全校验未通过的情况下,禁止加载运行不安全固件的启动镜像文件,并终止启动所述控制器。
[0034]可选地,校验模块包括:
[0035]第一校验子模块,用于对所述安全启动信任链上第一等级固件的启动镜像文件进行合法性校验和完整性校验;
[0036]第二校验子模块,用于在所述第一等级固件的启动镜像文件通过所述合法性校验和完整性校验的情况下,再对所述安全启动信任链上的多个第二等级固件的启动镜像文件进行合法性校验和完整性校验;其中,所述第一等级固件的执行权限高于所述第二等级固
件的执行权限。
[0037]可选地,第一校验子模块包括:
[0038]读取单元,用于读取所述第一等级固件的启动镜像文件、所述启动镜像文件对应的目标签名文件和启动校验公钥;
[0039]计算单元,用于根据所述启动校验公钥对所述目标签名文件进行解密,获得第一哈希值,并对所述启动镜像文件进行哈希运算,获得第二哈希值:
[0040]比较单元,用于比较所述第一哈希值和所述第二哈希值;
[0041]第一判断单元,用于在所述第一哈希值和所述第二哈希值相同的情况下,确定所述第一等级固件的启动镜像文件通过合法性校验;
[0042]第二判断单元,用于在所述第一哈希值和所述第二哈希值不同的情况下,确定所述第一等级固件的启动镜像文件未通过合法性校验;
[0043]第三判断单元,用于读取公钥摘要,并根据所述公钥摘要对所述第一等级固件的启动镜像文件进行完整性校验。
[0044]可选地,第一校验子模块还包括第一加密单元,第一加密单元包括:
[0045]第一加密子单元,用于对所述第一等级固件的启动镜像文件,采用非对称加密算法和启动校验私钥进行加密,生成所述第一等级固件的启动镜像文件对应的目标签名文件;
[0046]第二加密子单元,用于在所述非对称加密算法中输入的所述启动校验私钥,生成所述启动校验公钥。
[0047]可选地,第一校验子模块还包括第二加密单元,第二加密单元包括:
[0048]私钥生成子单元,用于生成工厂安全密钥配置私钥;...
【技术保护点】
【技术特征摘要】
1.一种控制器启动方法,其特征在于,所述方法包括:按照加载运行顺序,对安全启动信任链上各级固件的启动镜像文件逐级进行安全校验;在所述逐级安全校验通过的情况下,逐级加载运行所述各级固件的启动镜像文件,以引导所述控制器完成启动;在所述逐级安全校验未通过的情况下,禁止加载运行不安全固件的启动镜像文件,并终止启动所述控制器。2.根据权利要求1所述的控制器启动方法,其特征在于,对安全启动信任链上各级固件的启动镜像文件逐级进行安全校验的步骤包括:对所述安全启动信任链上第一等级固件的启动镜像文件进行合法性校验和完整性校验;在所述第一等级固件的启动镜像文件通过所述合法性校验和完整性校验的情况下,再对所述安全启动信任链上的多个第二等级固件的启动镜像文件进行合法性校验和完整性校验;其中,所述第一等级固件的执行权限高于所述第二等级固件的执行权限。3.根据权利要求2所述的控制器启动方法,其特征在于,对所述安全启动信任链上第一等级固件的启动镜像文件进行合法性校验和完整性校验的步骤包括:读取所述第一等级固件的启动镜像文件、所述启动镜像文件对应的目标签名文件和启动校验公钥;根据所述启动校验公钥对所述目标签名文件进行解密,获得第一哈希值,并对所述启动镜像文件进行哈希运算,获得第二哈希值:比较所述第一哈希值和所述第二哈希值;在所述第一哈希值和所述第二哈希值相同的情况下,确定所述第一等级固件的启动镜像文件通过合法性校验;在所述第一哈希值和所述第二哈希值不同的情况下,确定所述第一等级固件的启动镜像文件未通过合法性校验;读取公钥摘要,并根据所述公钥摘要对所述第一等级固件的启动镜像文件进行完整性校验。4.根据权利要求3所述的控制器启动方法,其特征在于,所述第一等级固件的启动镜像文件对应的目标签名文件和启动校验公钥是通过以下步骤获得的;对所述第一等级固件的启动镜像文件,采用非对称加密算法和启动校验私钥进行加密,生成所述第一等级固件的启动镜像文件对应的目标签名文件;在所述非对称加密算法中...
【专利技术属性】
技术研发人员:李嘉乾,陈重,陶丽静,张宇,
申请(专利权)人:苏州挚途科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。