WO2019062577A1

WO2019062577A1 - 一种基于Trustzone技术的微码签名安全管理***及方法

Info

Publication number: WO2019062577A1
Application number: PCT/CN2018/105980
Authority: WO
Inventors: 陈艳红; 周智; 姚挺; 蒋培福; 朱朋光; 曹锜
Original assignee: 晶晨半导体(上海)股份有限公司
Priority date: 2017-09-27
Filing date: 2018-09-17
Publication date: 2019-04-04
Also published as: CN107707981B; US11296891B2; US20210359861A1; CN107707981A

Abstract

本发明提供一种基于Trustzone技术的微码签名安全管理***，属于数据安全存储领域，硬件设备开启后启动普通操作***，普通操作***获取经过签名加密的微码文件并输出经过签名加密后的微码文件和切换信号，微处理器接收切换信号并开启监控模式以启动安全操作***，安全操作***接收签名加密后的微码文件并对签名加密后的微码文件进行签名验证，并在签名验证通过时加载文件以及在签名验证未通过时输出微码错误信息。本发明的有益效果：基于***层访问不到的安全操作***(secure os)安全环境，确保微码的安全性；采用密码学工具手段，确保被加载微码的安全性、完整性及正确性，解决现存微码管理机制存在的被破坏修改替代的风险。

Description

一种基于Trustzone技术的微码签名安全管理***及方法

技术领域

本发明涉及数据安全存储技术领域，尤其涉及一种基于Trustzone技术的微码签名安全管理***及方法。

背景技术

目前嵌入式多媒体产品大都基于芯片厂家的硬件解码功能的支持。硬件解码的关键是视频播放过程中能否成功加载相应的微码进行视频的正确解码。微码是视频解码的核心技术，微码本身的正确性至关重要。目前厂家微码加载管理机制是将微码以代码数据段的形式编译进平台固件***，或者以二进制文件的形式存放于平台固件***某一目录，而在视频播放过程中根据预设的固件存放路径，查找微码，加载运行。

现存的微码管理机制一般情况下虽然可以满足播放时被成功加载使用的功能。但是上述两种形式都存在被破坏修改的风险，以二进制文件形式存放于***目录的微码还有被替换的风险。无论破坏修改或者替换，管理机制中都没有加入任何的检测保护手段。

发明内容

针对现有技术中存在的问题，本发明提供了一种基于Trustzone技术的微码签名安全管理***及方法。本发明采用如下技术方案：

一种基于Trustzone技术的微码签名安全管理***，适用于包括基于Trustzone技术的微处理器的硬件设备，所述硬件设备中预先存储有经过签名加密的微码文件，所述微处理器物理的内核划分为虚拟的安全核和普通核，所述微处理器提供安全执行环境和普通执行环境，所述安全执行环境提供基于所述安全核的安全操作***，所述普通执行环境提供基于所述普通核的普通操作环境，所述微处理器基于自身的监控模式在所述安全操作***和所述普通操作***之间切换；

所述硬件设备开启后启动所述普通操作***，所述普通操作***获取经过签名加密的所述微码文件并输出经过签名加密后的所述微码文件和切换信号，所述微处理器接收所述切换信号并开启所述监控模式以启动所述安全操作***，所述安全操作***接收签名加密后的所述微码文件并对签名加密后的所述微码文件进行签名验证，并在签名验证通过时加载所述文件以及在签名验证未通过时输出微码错误信息。

优选的，所述硬件设备包括：

存储模块，所述存储模块用于存储经过签名加密的所述微码文件；

签名加密模块，所述签名加密模块连接所述存储模块，所述签名加密模块用于获取所述微码文件并对所述微码文件进行签名加密，以及用于输出经过签名加密的所述微码文件。

优选的，所述普通操作***包括：

客户端应用模块，所述客户端应用模块连接所述签名加密模块，所述客户端应用模块用于接收经过签名加密的所述微码文件，以及用于输出所述微码文件和所述切换信号。

优选的，所述硬件设备还包括：

监控模式模块，所述监控模式模块连接所述客户端应用模块，所述监控模式模块用于接收所述切换信号并将所述微处理器切换至所述安全操作***。

优选的，所述安全操作***包括：

应用端模块，所述应用端模块连接所述客户端应用模块，所述应用端模块用于接收经过签名加密的所述微码文件并对经过签名加密的所述微码文件进行签名验证，以及用于在签名验证通过时加载所述微码文件，在签名验证未通过时输出微码错误信息。

一种基于Trustzone技术的微码签名安全管理方法，基于上述微码签名安全管理***，包括：

步骤S1、所述硬件设备开启后启动所述普通操作***；

步骤S2、所述普通操作***获取经过签名加密的所述微码文件并输出经过签名加密后的所述微码文件和所述切换信号；

步骤S3、所述微处理器接收所述切换信号并开启所述监控模式以启动所述安全操作***；

步骤S4、所述安全操作***接收签名加密后的所述微码文件并对签名加密后的所述微码文件进行签名验证并判断签名验证是否通过：

若判断结果为是，则所述安全操作***加载所述文件；

若判断结果为否，则所述安全操作***输出所述微码错误信息。

优选的，所述步骤S2中，所述普通操作***通过所述客户端应用模块获取经过签名加密的所述微码文件并输出经过签名加密后的所述微码文件和所述切换信号。

优选的，所述步骤S3中，所述微处理器通过所述监控模式模块接收所述切换信号并开启所述监控模式以启动所述安全操作***。

优选的，所述步骤S4中，所述安全操作***通过所述应用端模块接收签名加密后的所述微码文件并对签名加密后的所述微码文件进行签名验证并判断签名验证是否通过。

本发明的有益效果：基于***层访问不到的安全操作***(secure os)安全环境，确保微码的安全性；采用密码学工具手段，确保被加载微码的安全性、完整性及正确性，解决现存微码管理机制存在的被破坏修改替代的风险。

附图说明

图1为本发明一种较佳的实施例中，基于Trustzone技术的微码签名安全管理***的功能模块示意图；

图2为本发明一种较佳的实施例中，基于Trustzone技术的微码签名安全管理方法的流程图。

具体实施方式

需要说明的是，在不冲突的情况下，下述技术方案，技术特征之间可以相互组合。

下面结合附图对本发明的具体实施方式作进一步的说明：

如图1所示，一种基于Trustzone技术的微码签名安全管理***，适用于包括基于Trustzone技术的微处理器的硬件设备，上述硬件设备1中预先存储有经过签名加密的微码文件，上述微处理器5物理的内核划分为虚拟的安全核和普通核，上述微处理器5提供安全执行环境和普通执行环境，上述安全执行环境提供基于上述安全核的安全操作***，上述普通执行环境提供基于上述普通核的普通操作环境，上述微处理器5基于自身的监控模式在上述安全操作 ***和上述普通操作***之间切换；上述硬件设备1开启后启动上述普通操作***，上述普通操作***获取经过签名加密的上述微码文件并输出经过签名加密后的上述微码文件和切换信号，上述微处理器5接收上述切换信号并开启上述监控模式以启动上述安全操作***，上述安全操作***接收签名加密后的上述微码文件并对签名加密后的上述微码文件进行签名验证，并在签名验证通过时加载上述文件以及在签名验证未通过时输出微码错误信息。

较佳的实施例中，上述硬件设备1包括：

存储模块2，上述存储模块2用于存储经过签名加密的上述微码文件；

签名加密模块3，上述签名加密模块3连接上述存储模块2，上述签名加密模块3用于获取上述微码文件并对上述微码文件进行签名加密，以及用于输出经过签名加密的上述微码文件。

较佳的实施例中，上述普通操作***包括：

客户端应用模块6，上述客户端应用模块6连接上述签名加密模块3，上述客户端应用模块6用于接收经过签名加密的上述微码文件，以及用于输出上述微码文件和上述切换信号。

较佳的实施例中，上述硬件设备1还包括：

监控模式模块4，上述监控模式模块4连接上述客户端应用模块6，上述监控模式模块4用于接收上述切换信号并将上述微处理器5切换至上述安全操作***。

较佳的实施例中，上述安全操作***包括：

应用端模块7，上述应用端模块7连接上述客户端应用模块6，上述应用端模块7用于接收经过签名加密的上述微码文件并对经过签名加密的上述微码文件进行签名验证，以及用于在签名验证通过时加载上述文件，在签名验证未通过时输出微码错误信息。

在本实施例中，本发明提出的安全管理机制硬件上需要trustzone技术的微处理器5，trustzone技术将每个物理的处理器内核虚化成安全核和普通核，将***划分为普通域(对应普通操作***)和安全域(对应安全操作***)。普通操作***不可以访问获取安全操作***的资源数据。

上述普通操作***切换到上述安全操作***时，需使用到ARM TrustZone提供的监控模式(Minitor Mode)，用户通过上述普通操作***发送快速中断(FIQ)进入上述监控模式，在上述监控模式下修改ARM处理器(微处理器5)的安全配置寄存器(SCR)的NS位，将其置为0，使得ARM处理器状态切换到上述安全操作***。

基于安全操作***的安全环境，包括PC工具(硬件设备1)对微码文件进行签名加密，签名加密后的微码文件存放于硬件设备1某一固定路径，微码签名安全管理***开机启动客户端应用模块6，简称CA，客户端进程将签名加密后的微码文件发送至可信任的应用端模块7，简称TA。

应用端模块7对经过签名加密的微码文件进行签名验证，验证通过则加载该微码文件；验证失败则反馈微码错误信息，不预加载。

该***对微码文件进行数字签名加密，并在安全操作***进行签名验证，有效保证了要加载的微码文件的安全性、完整性和正确性。

该***的微码加载管理机制中基于***层访问不到的安全操作***(secure os)安全环境，确保微码的安全性；采用密码学工具手段，确保被加载微码的正确性，一方面利用密码学数字签名算法，确保微码的完整性；另一方面基于secure os trustzone安全***，确保微码签名验证的安全性。这种机制的引入可以大大避免因为微码被破坏修改替代引起的视频播放解码问题，给视频解码支持人员带来了的方便。

如图2所示，一种基于Trustzone技术的微码签名安全管理方法，基于上述的微码签名安全管理***，包括：

步骤S1、上述硬件设备1开启后启动上述普通操作***；

步骤S2、上述普通操作***获取经过签名加密的上述微码文件并输出经过签名加密后的上述微码文件和上述切换信号；

步骤S3、上述微处理器5接收上述切换信号并开启上述监控模式以启动上述安全操作***；

步骤S4、上述安全操作***接收签名加密后的上述微码文件并对签名加密后的上述微码文件进行签名验证并判断签名验证是否通过：

若判断结果为是，则上述安全操作***加载上述微码文件；

若判断结果为否，则上述安全操作***输出上述微码错误信息。

较佳的实施例中，上述步骤S2中，上述普通操作***通过上述客户端应用模块6获取经过签名加密的上述微码文件并输出经过签名加密后的上述微码文件和上述切换信号。

较佳的实施例中，上述步骤S3中，上述微处理器5通过上述监控模式模块4接收上述切换信号并开启上述监控模式以启动上述安全操作***。

较佳的实施例中，上述步骤S4中，上述安全操作***通过上述应用端模块7接收签名加密后的上述微码文件并对签名加密后的上述微码文件进行签名验证并判断签名验证是否通过。

在本实施例中，硬件设备1预先对微码二进制文件进行数字签名加密，硬件设备1启动运行CA模块，TA模块接收验证微码的完整性及正确性。

通过说明和附图，给出了具体实施方式的特定结构的典型实施例，基于本发明精神，还可作其他的转换。尽管上述发明提出了现有的较佳实施例，然而，这些内容并不作为局限。

对于本领域的技术人员而言，阅读上述说明后，各种变化和修正无疑将显而易见。因此，所附的权利要求书应看作是涵盖本发明的真实意图和范围的全部变化和修正。在权利要求书范围内任何和所有等价的范围与内容，都应认为仍属本发明的意图和范围内。

Claims

一种基于Trustzone技术的微码签名安全管理***，适用于包括基于Trustzone技术的微处理器的硬件设备，所述硬件设备中预先存储有经过签名加密的微码文件，所述微处理器物理的内核划分为虚拟的安全核和普通核，所述微处理器提供安全执行环境和普通执行环境，所述安全执行环境提供基于所述安全核的安全操作***，所述普通执行环境提供基于所述普通核的普通操作环境，所述微处理器基于自身的监控模式在所述安全操作***和所述普通操作***之间切换；其特征在于，

所述硬件设备开启后启动所述普通操作***，所述普通操作***获取经过签名加密的所述微码文件并输出经过签名加密后的所述微码文件和切换信号，所述微处理器接收所述切换信号并开启所述监控模式以启动所述安全操作***，所述安全操作***接收签名加密后的所述微码文件并对签名加密后的所述微码文件进行签名验证，并在签名验证通过时加载所述文件以及在签名验证未通过时输出微码错误信息。
根据权利要求1的微码签名安全管理***，其特征在于，所述硬件设备包括：

存储模块，所述存储模块用于存储经过签名加密的所述微码文件；

签名加密模块，所述签名加密模块连接所述存储模块，所述签名加密模块用于获取所述微码文件并对所述微码文件进行签名加密，以及用于输出经过签名加密的所述微码文件。
根据权利要求2的微码签名安全管理***，其特征在于，所述普通操作***包括：

客户端应用模块，所述客户端应用模块连接所述签名加密模块，所述客户端应用模块用于接收经过签名加密的所述微码文件，以及用于输出经过签名加密的所述微码文件和所述切换信号。
根据权利要求3的微码签名安全管理***，其特征在于，所述硬件设备还包括：

监控模式模块，所述监控模式模块连接所述客户端应用模块，所述监控模式模块用于接收所述切换信号并将所述微处理器切换至所述安全操作***。
根据权利要求4的微码签名安全管理***，其特征在于，所述安全操作***包括：

应用端模块，所述应用端模块连接所述客户端应用模块，所述应用端模块用于接收经过签名加密的所述微码文件并对经过签名加密的所述微码文件进行签名验证，以及用于在签名验证通过时加载所述微码文件，在签名验证未通过时输出微码错误信息。
一种基于Trustzone技术的微码签名安全管理方法，采用如权利要求1-5中任意一项所述的基于Trustzone技术的微码签名安全管理***，其特征在于，包括：

步骤S1、所述硬件设备开启后启动所述普通操作***；

步骤S2、所述普通操作***获取经过签名加密的所述微码文件并输出经过签名加密后的所述微码文件和所述切换信号；

步骤S3、所述微处理器接收所述切换信号并开启所述监控模式以启动所述安全操作***；

步骤S4、所述安全操作***接收签名加密后的所述微码文件并对签名加密后的所述微码文件进行签名验证并判断签名验证是否通过：

若判断结果为是，则所述安全操作***加载所述微码文件；

若判断结果为否，则所述安全操作***输出所述微码错误信息。
根据权利要求6的微码签名安全管理***，其特征在于，所述步骤S2中，所述普通操作***通过所述客户端应用模块获取经过签名加密的所述微码文件并输出经过签名加密后的所述微码文件和所述切换信号。
根据权利要求6的微码签名安全管理***，其特征在于，所述步骤S3中，所述微处理器通过所述监控模式模块接收所述切换信号并开启所述监控模式以启动所述安全操作***。
根据权利要求6的微码签名安全管理***，其特征在于，所述步骤S4中，所述安全操作***通过所述应用端模块接收签名加密后的所述微码文件并对签名加密后的所述微码文件进行签名验证并判断签名验证是否通过。