[发明专利]一种用于V2X设备的软件安全启动方法及系统

权利要求书

1.一种用于V2X设备的软件安全启动方法，其特征在于，包括以下步骤：

S1：当V2X设备启动时，优先启动所述V2X设备中的安全处理器，并通过所述安全处理器控制应用处理器的复位信号；

S2：所述安全处理器读取所述应用处理器的加密后的Bootloader,解密所述加密后的Bootloader，并同时对所述加密后的Bootloader的签名数据进行验证，待验证通过后缓存明文的Bootloader，释放所述应用处理器的复位信号，当所述复位信号释放后，所述应用处理器开始启动并从所述安全处理器读取缓存的所述明文的Bootloader；

其中，所述应用处理器的所述加密后的Bootloader,具体包括密文Bootloader数据起始地址、密文Bootloader数据长度、Bootloader签名数据以及密文Bootloader数据在内的数据；

所述加密后的Bootloader的签名验证密钥以及解密密钥保存于所述安全处理器中；

所述安全处理器控制所述应用处理器的所述复位信号，并在验证通过后释放所述复位信号，具体为：

所述应用处理器（1）的所述复位信号（5）接到所述安全处理器（2）上，由所述安全处理器（2）控制；

包含所述应用处理器的执行代码的串行存储设备（4）通过第一数据线（10）经过模拟开关芯片（3）后分别由第二数据线（8）连接到所述安全处理器（2），由第三数据线（9）连接到所述应用处理器（1）；

所述模拟开关芯片（3）的控制信号（7）连接到所述安全处理器（2）上，同一时刻只有所述第二数据线（8）和所述第一数据线（10）导通，或者所述第三数据线（9）和所述第一数据线（10）导通；

当所述V2X设备上电后，所述安全处理器（2）控制所述应用处理器（1）的所述复位信号（5），使所述应用处理器（1）处于复位状态；

控制所述模拟开关芯片（3）的所述控制信号（7），使所述第二数据线（8）和所述第一数据线（10）导通，所述安全处理器（2）从所述串行存储设备（4）读取所述密文Bootloader数据起始地址以及所述密文Bootloader数据长度，根据起始地址和长度信息，读取所述密文Bootloader数据，对所述Bootloader数据进行解密、验证签名；

当Bootloader签名验证通过后，所述安全处理器（2）释放所述应用处理器（1）的所述复位信号（5），切换所述模拟开关芯片（3）的所述控制信号（7），使所述第三数据线（9）和所述第一数据线（10）导通，所述应用处理器（1）开始启动，通过串行总线（6）读取所述安全处理器中解密后缓存的明文的Bootloader，并运行Bootloader;

当Bootloader签名验证失败后，所述安全处理器（2）不释放所述应用处理器（1）的所述复位信号（5），并不切换所述模拟开关芯片（3）的所述控制信号（7），进行报警处理；

S3：在所述应用处理器的Bootloader中读取Linux内核镜像数据及其签名数据，并对所述Linux内核镜像的签名数据进行验证，待验证通过后启动Linux内核；

S4：在所述Linux内核的配置中配置CONFIG_DM_VERITY，当所述Linux内核启动后，验证dm-verity的hash_table签名，待验证通过后继续运行所述V2X设备。

2.根据权利要求1所述的用于V2X设备的软件安全启动方法，其特征在于，在步骤S4中，当验证通过后，所述V2X设备正常运行时，还包括：

当对所述V2X设备中的文件系统进行访问时，对访问的所述文件系统中各数据块进行Hash校验，当校验通过后允许正常访问。

3.根据权利要求1所述的用于V2X设备的软件安全启动方法，其特征在于，还包括：

当对所述应用处理器中的应用进行更新时，将新应用的Hash数据和新应用的签名数据发送到所述安全处理器中进行签名验证，当验证通过后进行更新，否则，删除新应用及其数据。