本申请提出一种双密钥安全启动方法、装置、存储介质及电子设备,在启动程序加载完成后,从外部存储器读取第一证书和第二证书;基于预设检验算法对第一证书进行校验;在第一证书通过校验的情况下,基于预设检验算法、第一类公钥以及第二证书的签名信息对第二证书进行校验;在第二证书未通过校验的情况下,则停止启动;在第二证书通过校验的情况下,则基于第二证书对其所管理固件进行校验。通过第一证书和第二证书进行双密钥交叉检验,避免第二证书厂家在没有得到第一证书厂家的允许的条件下直接对其管理的固件进行篡改,安全引导链更加完善,进一步确保启动文件的完整性和安全性。性。性。
【技术实现步骤摘要】
一种双密钥安全启动方法、装置、存储介质及电子设备
[0001]本申请涉及安全
,具体而言,涉及一种双密钥安全启动方法、装置、存储介质及电子设备。
技术介绍
[0002]系统安全启动(Secure Boot)是一种计算机系统的安全机制,用于确保系统启动过程中只有经过认证的软件被加载和执行。该技术最初由微软提出,现在已被广泛采用于各种计算机设备和操作系统中,例如Windows、Linux和macOS等。
[0003]在系统安全启动中,计算机系统在启动过程中会检查启动时加载的操作系统和其他软件的数字签名。只有那些经过数字签名的软件才能够被加载和执行,从而防止未经授权的软件和恶意代码被加载和运行。这有助于保护计算机系统免受恶意软件、病毒和其他安全威胁的攻击。
[0004]但是目前安全机制中,都是对的单个固件进行验证,缺乏对整个安全启动链的管理。
技术实现思路
[0005]本申请的目的在于提供一种双密钥安全启动方法、装置、存储介质及电子设备,以至少部分改善上述问题。
[0006]为了实现上述目的,本申请实施例采用的技术方案如下:第一方面,本申请实施例提供一种双密钥安全启动方法,所述方法包括:在启动程序加载完成后,从外部存储器读取第一证书和第二证书;其中,所述第一证书包括第一类公钥和所述第二证书的签名信息,所述第二证书包括第二类公钥和所述第二证书所管理固件的签名信息;基于预设检验算法对所述第一证书进行校验;在所述第一证书通过校验的情况下,基于所述预设检验算法、所述第一类公钥以及所述第二证书的签名信息对所述第二证书进行校验;在所述第二证书未通过校验的情况下,则停止启动;在所述第二证书通过校验的情况下,则基于所述第二证书对其所管理固件进行校验。
[0007]第二方面,本申请实施例提供一种双密钥安全启动装置,所述装置包括:信息读取单元,用于在启动程序加载完成后,从外部存储器读取第一证书和第二证书;其中,所述第一证书包括第一类公钥和所述第二证书的签名信息,所述第二证书包括第二类公钥和所述第二证书所管理固件的签名信息;处理单元,用于基于预设检验算法对所述第一证书进行校验;所述处理单元还用于在所述第一证书通过校验的情况下,基于所述预设检验算
法、所述第一类公钥以及所述第二证书的签名信息对所述第二证书进行校验;所述处理单元还用于在所述第二证书未通过校验的情况下,则停止启动;所述处理单元还用于在所述第二证书通过校验的情况下,则基于所述第二证书对其所管理固件进行校验。
[0008]第三方面,本申请实施例提供一种存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述的方法。
[0009]第四方面,本申请实施例提供一种电子设备,所述电子设备包括:处理器和存储器,所述存储器用于存储一个或多个程序;当所述一个或多个程序被所述处理器执行时,实现上述的方法。
[0010]相对于现有技术,本申请实施例所提供的一种双密钥安全启动方法、装置、存储介质及电子设备,包括:在启动程序加载完成后,从外部存储器读取第一证书和第二证书;其中,第一证书包括第一类公钥和第二证书的签名信息,第二证书包括第二类公钥和第二证书所管理固件的签名信息;基于预设检验算法对第一证书进行校验;在第一证书通过校验的情况下,基于预设检验算法、第一类公钥以及第二证书的签名信息对第二证书进行校验;在第二证书未通过校验的情况下,则停止启动;在第二证书通过校验的情况下,则基于第二证书对其所管理固件进行校验。通过第一证书和第二证书进行双密钥交叉检验,避免第二证书厂家在没有得到第一证书厂家的允许的条件下直接对其管理的固件进行篡改,安全引导链更加完善,进一步确保启动文件的完整性和安全性。
[0011]为使本申请的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
[0012]为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它相关的附图。
[0013]图1为本申请实施例提供的电子设备的结构示意图;图2为本申请实施例提供的双密钥安全启动方法的流程示意图之一;图3为本申请实施例提供的双密钥安全启动方法的流程示意图之二;图4为本申请实施例提供的双密钥安全启动装置的单元示意图。
[0014]图中:10
‑
处理器;11
‑
存储器;12
‑
总线;13
‑
通信接口;201
‑
信息读取单元;202
‑
处理单元。
具体实施方式
[0015]为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。
[0016]因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护
的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
[0017]应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
[0018]需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个
……”
限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
[0019]在本申请的描述中,需要说明的是,术语“上”、“下”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,或者是该申请产品使用时惯常摆放的方位或位置关系,仅是为了便于描述本申请和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本申请的限制。
[0020]在本申请的描述中,还需要说明的是,除非另有明确的规定和限定,术语“设置”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种双密钥安全启动方法,其特征在于,所述方法包括:在启动程序加载完成后,从外部存储器读取第一证书和第二证书;其中,所述第一证书包括第一类公钥和所述第二证书的签名信息,所述第二证书包括第二类公钥和所述第二证书所管理固件的签名信息;基于预设检验算法对所述第一证书进行校验;在所述第一证书通过校验的情况下,基于所述预设检验算法、所述第一类公钥以及所述第二证书的签名信息对所述第二证书进行校验;在所述第二证书未通过校验的情况下,则停止启动;在所述第二证书通过校验的情况下,则基于所述第二证书对其所管理固件进行校验。2.如权利要求1所述的双密钥安全启动方法,其特征在于,所述基于预设检验算法对所述第一证书进行校验的步骤,包括:基于所述预设检验算法对所述第一证书中的所述第一类公钥进行计算,获取第一检验值;从寄存器组中读取所述第一证书对应的第一标准值;确定所述第一检验值与所述第一标准值是否匹配;若所述第一检验值与所述第一标准值匹配,则确定所述第一证书通过校验;若所述第一检验值与所述第一标准值不匹配,则确定所述第一证书未通过校验。3.如权利要求1所述的双密钥安全启动方法,其特征在于,所述基于所述预设检验算法、所述第一类公钥以及所述第二证书的签名信息对所述第二证书进行校验的步骤,包括:通过所述第一类公钥对所述第二证书的签名信息进行解算,获取第二检验值;基于所述预设检验算法对所述第二证书进行计算,获取第三检验值;确定所述第二检验值与所述第三检验值是否匹配;若所述第二检验值与所述第三检验值匹配,则确定所述第二证书通过校验;若所述第二检验值与所述第三检验值不匹配,则确定所述第二证书未通过校验。4.如权利要求1所述的双密钥安全启动方法,其特征在于,所述基于所述预设检验算法、所述第一类公钥以及所述第二证书的签名信息对所述第二证书进行校验的步骤,包括:通过所述第一类公钥对所述第二证书的签名信息进行解算,获取第二检验值;基于所述预设检验算法对所述第二证书进行计算,获取第三检验值;确定所述第二检验值与所述第三检验值是否匹配;若所述第二检验值与所述第三检验值不匹配,则确定所述第二证书未通过校验;若所述第二检验值与所述第三检验值匹配,则基于所述预设检验算法对所述第二证书中的所述第二类公钥进行计算,获取第四检验值;从寄存器组中读取所述第二证书对应的第二标准值;确定所述第四检验值与所述第二标准值是否匹配;若所述第四检验值与所述第二标准值匹配,则确定所述第二证书通过校验;若所述第四检验值与所述第二标准值不匹配,则确定所述第...
【专利技术属性】
技术研发人员:秦世杰,陈国银,段富刚,唐海峰,
申请(专利权)人:此芯科技苏州有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。