[发明专利]一种面向RISC-V架构的启动验证方法

说明书

本发明设计了一种面向RISC‑V架构的启动验证方法，所述启动验证方法对一阶段启动加载器进行验证成功后，进一步对二阶段启动加载器进行验证，本发明能够完成多级启动流程的逐级防护，并在各级验证机制的设计上，根据应用场景的不同，在安全性和灵活性上进行调整。提出的验证策略基于信息摘要和数字签名算法，能够在现场可编程门阵列芯片上实现高效运行，以提升系统启动阶段的安全防御能力。

技术领域

本发明涉及启动加载与启动验证流程，尤其涉及一种面向RISC-V架构的启动验证方法。

背景技术

RISC-V作为一种新型的精简指令集，具有开源、开放、模块化等优点，但目前的RISC-V也具有一些明确的问题，包括软硬件生态不完善、高质量开源处理器的比例和数量有限等等。尤其在信息安全领域，RISC-V现阶段尚未形成一套公认的系统安全规范，面向RISC-V的安全处理器也非常有限。而启动安全作为系统安全机制的一部分，保证主板上只能加载经过认证过的操作系统或者硬件驱动程序，从而防止恶意软件侵入。

在这一领域，较为经典启动安全方法是面向ARM指令集的TrustZone安全导引方式：通过实现一个信任链机制，从第一段上电程序开始开始，每个被加载的组件将验证后续一个或多个模块的可信任性和完整性，并在未检测到异常的情况下加载它们。但是，一方面，TrustZone的启动安全机制并不强调硬件级别的防护；另一方面针对RISC-V处理器，在实际信任链设计过程中还存在很多需要额外考虑的因素，因而并不能直接地进行相应的移植。

发明内容

本发明的目的在于针对现有技术的不足，提供了一种面向RISC-V架构的启动验证方法。

本发明的目的通过以下技术方案来具体实现的：一种面向RISC-V架构的启动验证方法，包括如下步骤：

步骤一：构建面向RISC-V指令集架构的片上系统SOC，所述片上系统SOC对一阶段启动加载器进行验证，验证成功则一阶段启动加载器被运行；

步骤二：当一阶段启动加载器被运行后，一阶段启动加载器对二阶段启动加载器和操作系统内核镜像进行验证，根据加载来源的不同，采取不同的验证方法，具体包括三种二阶段启动验证方法：本地信息摘要验证方法、远端传输信息摘要验证方法以及本地数字签名验证方法。

进一步地，所述步骤一和步骤二的具体动作均面向RISC-V指令集架构进行实现。

进一步地，所述片上系统SOC运行在独立于中央处理器(CPU)之外的专有硬件上，所述专有硬件能够利用信息摘要算法对一阶段启动加载器或二阶段启动加载器进行完整性验证，防止其被篡改。

进一步地，所述信息摘要算法包括MD5或SHA-1算法。

进一步地，所述步骤一具体为：设备上电启动后、中央处理器(CPU)运行前，所述片上系统SOC读取一阶段启动加载器的相应代码，利用信息摘要算法得到一阶段启动加载器的摘要值，将得到的摘要值与预先存储在摘要匹配库中的摘要值进行匹配，若匹配成功，则一阶段启动加载器被允许运行。

进一步地，步骤二中所述本地信息摘要验证方法针对高安全性场景或高生态封闭性场景使用，具体为一阶段启动加载器从本地存储介质中读取二阶段启动加载器及操作系统内核镜像，并利用信息摘要算法对被加载镜像进行验证，在摘要匹配库中匹配到相应的摘要值后，二阶段启动加载器才允许运行，进而启动操作系统内核镜像。

进一步地，步骤二中所述远端传输信息摘要验证方法针对存在远端统一启动和传输需求的应用场景使用，具体为一阶段启动加载器从网络中接收二阶段启动加载器及操作系统内核镜像，并利用信息摘要算法对被加载镜像进行验证，在摘要匹配库中匹配到相应的摘要值后，二阶段启动加载器以及后续的操作系统内核镜像才允许运行。

进一步地，步骤二中所述本地数字签名验证方法针对在保证安全性的前提下保证软硬件设计的解耦合以提升系统灵活性的情况使用，具体为：