一种基于EMMC芯片的移动终端防回滚方法及系统与流程

本发明涉及移动终端技术领域，特别涉及一种基于EMMC芯片的移动终端防回滚方法及系统。

背景技术：

随着科技的发展，智能手机正在全世界范围内获得越来越广泛的应用。据统计，截止到2015年底，全球智能手机用户已经超过19亿，预计到2016年将达到22亿。随着智能手机的广泛使用，以及手机支付等应用的逐步推广，智能手机正逐步从通讯工具向个人信息终端转变，伴随而来的如何保障手机及用户个人信息的安全性等问题，正被越来越多的消费者及手机生产厂商所关注。

通常，当手机出厂后，如果厂商发现了一些重大的软件问题，可通过升级的方式（如OTA）对手机软件进行升级，从而使用修复了问题的新版本软件替代原来手机中的旧版本软件。然而，黑客或恶意软件有可能通过一些技术手段将有问题的旧版本软件重新刷回手机中，从而利用这些软件中的已知缺陷来盗取用户信息或从事其他一些非法活动。Anti-rollback（防回滚）技术通过比较软件的版本信息，只允许高版本软件升级并运行在手机中，而不允许低版本软件重新刷回到升级后的手机中运行，从而能有效的解决上述问题。

目前业界流行的Anti-rollback方案为采用efuse存储空间用于保存当前手机系统中核心模块/分区的版本信息，在启动过程中使用efuse中保存的版本信息与当前运行软件的版本信息进行比较。但是，这一方法有一些缺点，因为通常有固定的相对较低数量的电熔丝可用，并且一旦这些耗尽就无法再提供防回滚保护。因此，一旦无法用正确的版本信息更新e-Fuse，则有回滚攻击的潜在可能。同时，当手机芯片未提供efuse或类似的存储空间时，则无法使用efuse的Anti-rollback方案来提供防回滚保护，从而限制了Anti-rollback方案的适用范围。

因而现有技术还有待改进和提高。

技术实现要素：

本发明要解决的技术问题在于，针对现有技术的不足，提供一种基于EMMC芯片的移动终端防回滚方法及系统，通过采用RPMB物理分区对版本信息进行保存，提高了防回滚方法的适用范围。

为了解决上述技术问题，本发明所采用的技术方案如下：

一种基于EMMC芯片的移动终端防回滚方法，其包括：

当移动终端启动时，获取EMMC芯片的RPMB物理分区内保存的第一版本信息，其中，所述第一版本信息包括各分区的版本信息；

将所述第一版本信息与移动终端运行的第二版本信息进行比较，其中，所述第二版本信息包括各分区的当前版本信息；

当所述第一版本信息高于第二版本信息时，则控制移动终端停止启动。

所述基于EMMC芯片的移动终端防回滚方法，其中，所述将所述第一版本信息与移动终端运行的第二版本信息进行比较，其中，所述第二版本信息包括各分区的当前版本信息之前还包括：

读取所述RPMB物理分区中保存的其被写入的第一总次数，其中，所述第一总次数存储于RPMB物理分区内；

通过RPMB驱动读取RPMB物理分区被写入的第二总次数，并将所述第一总次数与第二总次数进行比较；

当所述第一总次数与第二总次数相同时，执行将所述第一版本信息与移动终端运行的第二版本信息进行比较的步骤。

所述基于EMMC芯片的移动终端防回滚方法，其中，所述方法还包括：

当所述第一版本信息不高于第二版本信息时，判断所述第一版本信息是否等于第二版本信息；

若所述第一版本信息不等于第二版本信息，将所述第二总次数加1得到新的第二总次数；

将新的第二总次数以及第二版本信息写入RPMB物理分区。

所述基于EMMC芯片的移动终端防回滚方法，其中，所述方法还包括：

若所述第一版本信息等于第二版本信息，则控制移动终端启动。

所述基于EMMC芯片的移动终端防回滚方法，其中，所述当移动终端启动时，获取EMMC芯片的RPMB物理分区内保存的第一版本信息，其中，所述第一版本信息包括各分区的版本信息具体包括：

当移动终端启动时，Bootloader进程采用预先烧录至EMMC芯片中的Key访问RPMB物理分区，读取RPMB物理分区中保存的版本信息；其中，所述key用于对移动终端EMMC芯片的RPMB物理分区进行读写操作的唯一标识。

一种基于EMMC芯片的移动终端防回滚系统，其包括：

获取模块，用于当移动终端启动时，获取EMMC芯片的RPMB物理分区内保存的第一版本信息，其中，所述第一版本信息包括各分区的版本信息；

比较模块，用于将所述第一版本信息与移动终端运行的第二版本信息进行比较，其中，所述第二版本信息包括各分区的当前版本信息；

执行模块，用当所述第一版本信息高于第二版本信息时，则控制移动终端停止启动。

所述基于EMMC芯片的移动终端防回滚系统，其还包括：

第一读取模块，用于读取所述RPMB物理分区中保存的其被写入的第一总次数，其中，所述第一总次数存储于RPMB物理分区内；

第二读取模块，用于通过RPMB驱动读取RPMB物理分区被写入的第二总次数，并将所述第一总次数与第二总次数进行比较；

控制模块，用于当所述第一总次数与第二总次数相同时，执行将所述第一版本信息与移动终端运行的第二版本信息进行比较的步骤。

所述基于EMMC芯片的移动终端防回滚系统，其还包括：

判断模块，用于当所述第一版本信息不高于第二版本信息时，判断所述第一版本信息是否等于第二版本信息；

计算模块，用于当所述第一版本信息不等于第二版本信息，将所述第二总次数加1得到新的第二总次数；

写入模块，用于将新的第二总次数以及第二版本信息写入RPMB物理分区。

所述基于EMMC芯片的移动终端防回滚系统，其还包括：

控制模块，用于若所述第一版本信息等于第二版本信息，则控制移动终端启动。

所述基于EMMC芯片的移动终端防回滚系统，其中，所述获取模块具体用于：

当移动终端启动时，通过Bootloader进程采用预先烧录至EMMC芯片中的Key访问RPMB物理分区，读取RPMB物理分区中保存的版本信息；其中，所述key用于对移动终端EMMC芯片的RPMB物理分区进行读写操作的唯一标识。

有益效果：与现有技术相比，本发明提供了一种基于EMMC芯片的移动终端防回滚方法及系统，所述方法包括：当移动终端启动时，获取EMMC芯片的RPMB物理分区内保存的第一版本信息，其中，所述第一版本信息包括各分区的版本信息；将所述第一版本信息与移动终端运行的第二版本信息进行比较，其中，所述第二版本信息包括各分区的当前版本信息；当所述第一版本信息高于第二版本信息时，则控制移动终端停止启动。本发明通过将各分区的版本信息存储于EMMC芯片的RPMB物理分区内，并将RPMB物理分区内的版本信息作为判断版本是否回滚的依据。这样，一方面防止了版本的回滚；另一方面，由于EMMC芯片为移动终端必不可以的硬件，从而提高了防回滚方法的适用范围。

附图说明

图1为本发明提供的基于EMMC芯片的移动终端防回滚方法较佳实施的流程图。

图2为本发明提供的基于EMMC芯片的移动终端防回滚方法的版本信息比较的一实施例的流程图。

图3为本发明提供的基于EMMC芯片的移动终端防回滚方法一实施的流程图。

图4为本发明提供的基于EMMC芯片的移动终端防回滚系统的结构原理图。

具体实施方式

本发明提供一种基于EMMC芯片的移动终端防回滚方法及系统，为使本发明的目的、技术方案及效果更加清楚、明确，以下参照附图并举实施例对本发明进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。

本发明中，使用用于表示元件的诸如“模块”、“部件”或“单元”的后缀仅为了有利于本发明的说明，其本身并没有特定的意义。因此，模块”、“部件”或“单元”可以混合地使用。

终端设备可以以各种形式来实施。例如，本发明中描述的终端可以包括诸如移动电话、智能电话、笔记本电脑、数字广播接收器、PDA(个人数字助理)、PAD(平板电脑)、PMP(便携式多媒体播放器)、导航装置等等的移动终端以及诸如数字TV、台式计算机等等的固定终端。然而，本领域技术人员将理解的是，除了特别用于移动目的的元件之外，根据本发明的实施方式的构造也能够应用于固定类型的终端。

下面结合附图，通过对实施例的描述，对发明内容作进一步说明。

请参照图1，图1为本发明提供的基于EMMC芯片的移动终端防回滚方法的较佳实施例的流程图。所述方法包括：

S100、当移动终端启动时，获取EMMC芯片的RPMB物理分区内保存的第一版本信息，其中，所述第一版本信息包括各分区的版本信息。

具体地，所述EMMC（Embedded MultiMedia Card）为指嵌入式多媒体文件存储设备，EMMC芯片为MMC协会所订立的内嵌式存储标准规格，EMMC芯片由4个块物理分区组成：USER DATA、BOOT1、BOOT2、RPMB（Replay Protected Memory Block）。其中，RPMB分区为系统的数据存储提供一块特殊的内存空间，该空间必须使用带鉴权及回播保护的方式进行访问。PRMB要求在进行数据存储之前，需要将用于数据包鉴权的Key烧录到EMMC中。所述Key为用于对移动终端EMMC芯片的RPMB物理分区进行读写操作的唯一标识。也就是说，当对RPMB物理分区进行读写时，将该key写入EMMC芯片的RPMB物理分区，从而使移动终端获得授权，并可读写所述RPMB物理分区中的相关安全信息文件，即RPMB信息。

在本实施例中，所述RPMB物理分区仅被bootloader用于保存版本信息，不被其他模块用于保存其他数据，即所述RPMB信息仅有各分区的版本信息。所述bootloader为系统启动前引导程序，在操作系统内核运行之前运行。在实际应用中，所述RPMB物理分区可以采用数据帧的形式保存版本信息，所述数据帧的结构可以如下所示：

其中，version for partition 1，version for partition 2，......，version for partition n为各分区的版本信息；write counter value为最近一次更新该数据帧时RPMB write counter（RPMB写入总次数）的值；HMAC则用于检验整个数据帧的完成性。

所述RPMB write counter保存的是对RPMB成功的写入操作的总次数，其初始值为0，每次成功的写操作后，所述数值加1，并且所述数值不能被复位。在实际应用中，所述RPMB Write counter的值可以通过RPMB驱动提供的接口读取出来。

进一步，由于所述RPMB物理分区仅被bootloader用于保存版本信息，那么在移动终端启动时，获取RPMB物理分区内的版本信息也仅能通过bootloader获取版本信息，从而所述当移动终端启动时，获取EMMC芯片的RPMB物理分区内保存的第一版本信息，其中，所述第一版本信息包括各分区的版本信息具体包括：

S101、当移动终端启动时，运行Bootloader进程；

S102所述Bootloader进程读取RPMB物理分区中保存的版本信息，其中，所述第一版本信息包括各分区的版本信息。

具体地来说，在对RPMB物理分区进行读写时，需要将该key写入EMMC芯片的RPMB物理分区，从而使移动终端获得授权，再可读写所述RPMB物理分区中的相关安全信息文件。所述步骤S102具体包括：

S1021、所述Bootloader进程通过预先烧录至EMMC芯片中的Key访问RPMB物理分区，其中，所述key用于对移动终端EMMC芯片的RPMB物理分区进行读写操作的唯一标识；

S1022、采用所述key验证所述RPMB内保存版本信息，并在验证成功后读取RPMB物理分区中保存的版本信息，其中，所述第一版本信息包括各分区的版本信息。

在本实施例中，所述Key为Bootloader第一次启动时，产生的用于移动终端的RPMB的访问鉴权的唯一标识，并将所述key烧录至EMMC中。所述key具有移动终端的唯一性，即不同移动终端的key不一样。并且，所述Key不能被bootloader之外的程序获取，从而保证key的安全性。

S200、将所述第一版本信息与移动终端运行的第二版本信息进行比较，其中，所述第二版本信息包括各分区的当前版本信息。

具体地，所述第一版本信息指的是版本号。所述第二版本信息指的是移动终端启动时各分区的当前运行的版本信息。所述移动终端的各固件对应的版本的信息不同，也就是说，移动终端每个分区版本信息不同，从而所述将所述第一版本信息与移动终端运行的第二版本信息进行比较，其中，所述第二版本信息包括各分区的当前版本信息具体为：将所述RPMB物理分区分别存储移动终端各分区的版本信息与移动终端各分区的第二版本信息进行比较，其中，所述第二版本信息包括各分区的当前版本信息。

在本实施例中，为了进一步提高比较的准确性，在Bootloader从RPMB中读取出各分区的版本信息的同时，还获取RPMB物理分区内存储的第一总次数write counter value1值，通过write counter value1值预先验证RPMB中保存的版本是否被篡改，并且在RPMB中保存的版本未被篡改，可用于后续的版本比较；否则设备停止启动。具体地，如图2所示，所述将所述第一版本信息与移动终端运行的第二版本信息进行比较，其中，所述第二版本信息包括各分区的当前版本信息之前还包括：

S201、读取RPMB物理分区中的数据帧，并根据所述数据帧确定所述RPMB物理分区中保存的其被写入的第一总次数write counter value1；

S202、通过RPMB驱动读取RPMB物理分区被写入的第二总次数write counter value2；

S203、并将所述第一总次数write counter value1与第二总次数write counter value2进行比较；

S204、当所述第一总次数write counter value1与第二总次数write counter value2相同时，将所述第一版本信息与移动终端运行的第二版本信息进行比较，其中，所述第二版本信息包括各分区的当前版本信息；

S205、当所述第一总次数write counter value1与第二总次数write counter value12不相同时，控制移动终端停止启动。

具体地，在将版本信息进行比较之前，先将RPMB物理分区存储的第一总次数write counter value1和RPMB物理分区自身维护的第二总次数write counter value2进行比较，只要在两者相同的时候才能说明RPMB物理分区存储的版本信息未被篡改，进行采用版本信息进行判断是否回滚，进一步提高了防回滚的准确行。

S300、当所述第一版本信息高于第二版本信息时，则控制移动终端停止启动。

具体地，所述第一版本信息高于第二版本信息说明移动终端运行的系统的版本被回滚，移动终端存在安全风险，此时控制移动终端停止启动，以保证移动终端的安全行。

在本发明的另一个实施例中，如图3所示，所述方法还包括：

S400、当所述第一版本信息不高于第二版本信息时，判断所述第一版本信息是否等于第二版本信息；

S500、若所述第一版本信息等于第二版本信息，则控制移动终端启动；

S600、若所述第一版本信息不等于第二版本信息，则若所述第一版本信息不等于第二版本信息，将所述第二总次数加1得到新的第二总次数；并将新的第二总次数以及第二版本信息写入RPMB物理分区。

具体地来说，在所述步骤S600中，所述第一版本信息不等于第二版本信息，说明手机刚经历过正常的升级，此时，bootloader通过key鉴权将所述第二版本信息保存到RPMB中，并将数据帧中的第一总次数write counter value1更新为RPMB目前最新的第二总次数write counter value2，之后手机继续启动。也就是，将数据帧中的第一总次数write counter value加1。

本发明还提供了一种基于EMMC芯片的移动终端防回滚系统，如图4所示，其包括：

获取模块100，用于当移动终端启动时，获取EMMC芯片的RPMB物理分区内保存的第一版本信息，其中，所述第一版本信息包括各分区的版本信息；

比较模块200，用于将所述第一版本信息与移动终端运行的第二版本信息进行比较，其中，所述第二版本信息包括各分区的当前版本信息；

执行模块300，用当所述第一版本信息高于第二版本信息时，则控制移动终端停止启动。

所述基于EMMC芯片的移动终端防回滚系统，其中，所述比较模块具体用于：

将所述RPMB物理分区分别存储移动终端各分区的版本信息与移动终端各分区的当前版本信息进行比较。

所述基于EMMC芯片的移动终端防回滚系统，其中，所述比较模块具体包括：

第一处理单元，用于读取所述RPMB物理分区中保存的其被写入的第一总次数，其中，所述第一总次数存储于RPMB物理分区内；

第二处理单元，用于通过RPMB驱动读取RPMB物理分区被写入的第二总次数，并将所述第一总次数与第二总次数进行比较；

比较单元，用于当所述第一总次数与第二总次数相同时，将所述第一版本信息与移动终端运行的第二版本信息进行比较，其中，所述第二版本信息包括各分区的当前版本信息。

所述基于EMMC芯片的移动终端防回滚方法，其中，所述获取模块具体包括：

运行单元，用于当移动终端启动时，运行Bootloader进程；

读取单元，用于控制所述Bootloader进程读取RPMB物理分区中保存的版本信息。

所述基于EMMC芯片的移动终端防回滚系统，其中，所述读取单元具体包括：

访问子单元，用于控制所述Bootloader进程通过预先烧录至EMMC芯片中的Key访问RPMB物理分区，其中，所述key用于对移动终端EMMC芯片的RPMB物理分区进行读写操作的唯一标识；

读取子单元，用于采用所述key验证所述RPMB内保存版本信息，并在验证成功后读取RPMB物理分区中保存的版本信息。

上述基于EMMC芯片的移动终端防回滚系统的各个模块在上述方法中已经详细说明，在这里就不再一一陈述。

在本发明所提供的实施例中，应该理解到，所揭露的系统和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述模块的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

上述以软件功能单元的形式实现的集成的单元，可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)或处理器(processor)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(Read-Only Memory，ROM)、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。