[发明专利]一种控制器启动方法、装置、电子设备及储存介质

权利要求书

1.一种控制器启动方法，其特征在于，所述方法包括：

按照加载运行顺序，对安全启动信任链上各级固件的启动镜像文件逐级进行安全校验；

在所述逐级安全校验通过的情况下，逐级加载运行所述各级固件的启动镜像文件，以引导所述控制器完成启动；

在所述逐级安全校验未通过的情况下，禁止加载运行不安全固件的启动镜像文件，并终止启动所述控制器。

2.根据权利要求1所述的控制器启动方法，其特征在于，对安全启动信任链上各级固件的启动镜像文件逐级进行安全校验的步骤包括：

对所述安全启动信任链上第一等级固件的启动镜像文件进行合法性校验和完整性校验；

在所述第一等级固件的启动镜像文件通过所述合法性校验和完整性校验的情况下，再对所述安全启动信任链上的多个第二等级固件的启动镜像文件进行合法性校验和完整性校验；其中，所述第一等级固件的执行权限高于所述第二等级固件的执行权限。

3.根据权利要求2所述的控制器启动方法，其特征在于，对所述安全启动信任链上第一等级固件的启动镜像文件进行合法性校验和完整性校验的步骤包括：

读取所述第一等级固件的启动镜像文件、所述启动镜像文件对应的目标签名文件和启动校验公钥；

根据所述启动校验公钥对所述目标签名文件进行解密，获得第一哈希值，并对所述启动镜像文件进行哈希运算，获得第二哈希值：

比较所述第一哈希值和所述第二哈希值；

在所述第一哈希值和所述第二哈希值相同的情况下，确定所述第一等级固件的启动镜像文件通过合法性校验；

在所述第一哈希值和所述第二哈希值不同的情况下，确定所述第一等级固件的启动镜像文件未通过合法性校验；

读取公钥摘要，并根据所述公钥摘要对所述第一等级固件的启动镜像文件进行完整性校验。

4.根据权利要求3所述的控制器启动方法，其特征在于，所述第一等级固件的启动镜像文件对应的目标签名文件和启动校验公钥是通过以下步骤获得的；

对所述第一等级固件的启动镜像文件，采用非对称加密算法和启动校验私钥进行加密，生成所述第一等级固件的启动镜像文件对应的目标签名文件；

在所述非对称加密算法中输入的所述启动校验私钥，生成所述启动校验公钥。

5.根据权利要求4所述的控制器启动方法，其特征在于，所述启动校验私钥是通过以下步骤获得的：

生成工厂安全密钥配置私钥；

输入所述工厂安全密钥配置私钥的二进制数据和纯文本熔断机制数据，并进行整理和排列，获得目标密钥数据；

对所述目标密钥数据进行加密，生成所述启动校验私钥。

6.根据权利要求5所述的控制器启动方法，其特征在于，在对所述目标密钥数据进行加密，生成所述启动校验私钥的步骤之后，所述方法还包括：

将所述启动校验私钥、所述第一等级固件的启动镜像文件对应的目标签名文件以及所述启动校验公钥写入熔断保护区域中进行储存，并同时向所述熔断保护区域写入熔断指令，其中，所述熔断保护区域位于所述第一等级固件的一次性可编程区域中。

7.根据权利要求6所述的控制器启动方法，其特征在于，所述方法还包括：

所述熔断保护区域在接收到所述熔断指令之后，变更其标志位的状态，并且只响应数据读取请求，不响应数据写入请求。

8.一种控制器启动装置，其特征在于，所述装置包括：

校验模块，用于按照加载运行顺序，对安全启动信任链上各级固件的启动镜像文件逐级进行安全校验；

第一执行模块，用于在所述逐级安全校验通过的情况下，逐级加载运行所述各级固件的启动镜像文件，以引导所述控制器完成启动；

第二执行模块，用于在所述逐级安全校验未通过的情况下，禁止加载运行不安全固件的启动镜像文件，并终止启动所述控制器。