[发明专利]基于安全芯片的嵌入式操作系统可信启动方法及主控系统

权利要求书

1.一种基于安全芯片的嵌入式操作系统可信启动方法，其特征在于，所述启动方法包括：

响应于启动指令，与所述安全芯片交换认证参数；

确定交换的所述认证参数均正确，开始所述嵌入式操作系统的启动过程，所述启动过程包括加载启动文件；

确定所述启动过程中加载的启动文件被所述安全芯片成功度量，执行所述启动文件的功能，直至启动完成；

在所述启动完成之后，再次确定所述启动文件被所述安全芯片成功度量。

2.根据权利要求1所述的启动方法，其特征在于，所述确定交换的所述认证参数均正确，包括：

根据从所述安全芯片交换获得的认证参数和所述嵌入式操作系统的所在侧自己存储的认证参数，生成第一加密数据，并将所述第一加密数据发送给所述安全芯片；

接收来自所述安全芯片的第二加密数据，所述第二加密数据是所述安全芯片根据所述安全芯片自己存储的认证参数和与所述嵌入式操作系统的所在侧交换获得的认证参数所生成的；

若所述第一加密数据与所述第二加密数据一致，则确定所述认证参数正确。

3.根据权利要求2所述的启动方法，其特征在于，所述第一加密数据和所述第二加密数据均通过以下步骤得到：

根据自己存储的认证参数和交换获得的认证参数生成密钥；

采用所述密钥加密自己存储的认证参数和交换获得的认证参数，得到加密数据；

所述嵌入式操作系统的所在侧通过以上步骤得到的加密数据为所述第一加密数据，所述安全芯片通过以上步骤得到的加密数据为所述第二加密数据。

4.根据权利要求3所述的启动方法，其特征在于，所述安全芯片生成并发送所述第二加密数据的条件为：通过生成的所述密钥对接收到的所述第一加密数据验证通过。

5.根据权利要求1所述的启动方法，其特征在于，所述确定所述启动过程中加载的启动文件被所述安全芯片成功度量，包括：

当所述启动文件被加载到ROM时，对所述启动文件进行度量得到度量结果，并将所述度量结果发送至所述安全芯片；

获取所述安全芯片对于所述度量结果的验签结果，若所述验签结果为通过，则所述启动文件被所述安全芯片成功度量。

6.根据权利要求5所述的启动方法，其特征在于，所述启动文件为多个，分别为所述启动过程中的不同启动阶段所需加载的启动文件。

7.根据权利要求6所述的启动方法，其特征在于，所述启动方法还包括：仅当当前启动阶段的启动文件加载完成且该加载的启动文件被成功度量之后，才进入当前启动阶段的下一启动阶段。

8.根据权利要求6所述的启动方法，其特征在于，所述再次确定所述启动文件被所述安全芯片成功度量，包括：

从多个所述启动文件中选择部分或全部启动文件进行度量，得到度量结果，若所述度量结果经所述安全芯片的验签结果均为通过，则确定所述启动文件被所述安全芯片成功度量。

9.根据权利要求8所述的启动方法，其特征在于，从多个所述启动文件中选择的启动文件包括BOOT文件。

10.一种MCU，所述MCU采用嵌入式操作系统，其特征在于，所述MCU被配置为：

响应于启动指令，与安全芯片交换认证参数；

确定交换的所述认证参数均正确，开始所述嵌入式操作系统的启动文件加载；

确定启动过程中加载的启动文件被所述安全芯片成功度量，执行所述启动文件；

在所述嵌入式操作系统初始化之后，再次确定所述启动文件被所述安全芯片成功度量，则启动完成。

11.一种主控系统，其特征在于，所述主控系统包括：

权利要求10所述的MCU，所述MCU和安全芯片通信连接。