[发明专利]基于安全芯片的嵌入式操作系统可信启动方法及主控系统

说明书

本发明实施方式涉及芯片安全技术领域，特别涉及一种基于安全芯片的嵌入式操作系统可信启动方法一种MCU、一种安全芯片及一种主控系统。所述方法包括：响应于启动指令，与所述安全芯片交换认证参数；确定交换的所述认证参数均正确，开始所述嵌入式操作系统的启动文件加载；确定启动过程中加载的启动文件被所述安全芯片成功度量，执行所述启动文件；在所述嵌入式操作系统初始化之后，再次确定所述启动文件被所述安全芯片成功度量，则启动完成。同时还提供了对应的MCU、安全芯片和主控系统。本发明提供的实施方式能够提升嵌入式操作系统的启动可信性。

技术领域

本发明涉及芯片安全技术领域，特别涉及一种基于安全芯片的嵌入式操作系统可信启动方法、一种MCU、一种安全芯片及一种主控系统。

背景技术

电力行业用电采集系统里用到了大量主控设备，很多主控设备的主控芯片都用到了嵌入式操作系统。为了保证这些操作系统的安全启动，现有技术是部分已经采用安全芯片对系统的各个启动部分的镜像进行度量。这些措施虽然能够提升一定的安全性，但主控设备的可信启动完全依赖安全芯片的安全，缺少进一步的安全措施。

发明内容

有鉴于此，本发明旨在提出一种基于安全芯片的嵌入式操作系统可信启动方法、一种MCU、一种安全芯片及一种主控系统，以至少部分地解决以上问题。

为达到上述目的，本发明的第一方面提供了一种基于安全芯片的嵌入式操作系统可信启动方法，所述启动方法包括：响应于启动指令，与所述安全芯片交换认证参数；确定交换的所述认证参数均正确，开始所述嵌入式操作系统的启动过程，所述启动过程中包括加载启动文件；确定所述启动过程中加载的启动文件被所述安全芯片成功度量，执行所述启动文件的功能，直至启动完成；在所述启动完成之后，再次确定所述启动文件被所述安全芯片成功度量。

优选的，根据从所述安全芯片交换获得的认证参数和所述嵌入式操作系统的所在侧自己存储的认证参数，生成第一加密数据，并将所述第一加密数据发送给所述安全芯片；接收来自所述安全芯片的第二加密数据，所述第二加密数据是所述安全芯片根据所述安全芯片自己存储的认证参数和与所述嵌入式操作系统的所在侧交换获得的认证参数所生成的；若所述第一加密数据与所述第二加密数据一致，则确定所述认证参数正确。

优选的，所述第一加密数据和所述第二加密数据均通过以下步骤得到：根据自己存储的认证参数和交换获得的认证参数生成密钥；采用所述密钥加密自己存储的认证参数和交换获得的认证参数，得到加密数据。

优选的，所述安全芯片生成并发送所述第二加密数据的条件为：通过生成的所述密钥对接收到的所述第一加密数据验证通过。

优选的，所述确定启动过程中加载的启动文件被所述安全芯片成功度量，包括：当所述启动文件被加载到ROM时，对所述启动文件进行度量得到度量结果，并将所述度量结果发送至所述安全芯片；获取所述安全芯片对于所述度量结果的验签结果，若所述验签结果为通过，则所述启动文件被所述安全芯片成功度量。

优选的，所述启动文件为多个启动文件，分别为所述启动过程中的不同启动阶段所需加载的启动文件。

优选的，所述启动方法还包括：仅当当前启动阶段的启动文件加载完成且所述启动文件被成功度量之后，才开始所述当前启动阶段的下一启动阶段。

优选的，所述再次确定所述启动文件被所述安全芯片成功度量，包括：从所述多个启动文件中选择部分或全部启动文件进行度量得到度量结果，且所述度量结果经所述安全芯片的验签结果均为通过。

优选的，从所述多个启动文件中选择的启动文件包括BOOT文件。