包括只能由所有者记录的引导区的存储器的制作方法

本发明涉及设备安全，更具体来讲涉及一种能够提高可容易暴露于任意操作或外部攻击的设备的安全的包括设备的引导区的存储器。

背景技术：

随着电子设备逐渐复杂而包括各种信息，以及由于物联网(internetofthings)等的发展，一个设备与其他设备或用户进行通信时进行的个人信息交换、远程操作等可能会成为安全缺陷。

通常，很多设备包括固件(firmware)等硬件化的软件。固件相当于软件与硬件的中间体，可视为将软件硬件化。即，可以说固件是固定度高且为了提高系统的效率而存储于只读内存(rom)的基本的程序或数据，微电脑的几乎所有程序都存储在只读内存(rom)中，因此有时指包括程序的只读内存。

固件由于可用软件代替硬件的部分功能，能够非常简单且用少量的费用控制或改善设备的功能，因此适用于多种电子设备。

但是固件具有软件特性，因此成为入侵或伪变造对象，为此正在开发验证固件完整性的方法。

与此相关，wo2014/134389号公开了“对平台引导固件的持续信任(continuationoftrustforplatformbootfirmware)”相关技术。根据亚当斯的发明，设备包括处理模块及存储器模块，存储器模块包括用于存储平台引导固件的rom，当设备被激活时，处理模块可以加载平台引导固件。

平台引导固件使处理模块加载及验证从平台引导固件加载的散列表签名，并首先加载可信的程序文件。之后，处理模块从平台引导固件加载其他文件，对各文件计算散列，验证散列表中是否存在对应于各程序文件的散列。可允许具有散列表中的散列的程序文件的运行。散列表中不存在对应于加载的程序文件的任何散列的情况下，处理模块通过执行平台特定安全操作，从而能够防止设备受损。

但是上述方法也必需rom，大部分的商用货架产品(commercial,off-the-shelf，cots)硬件由于费用或便利性，有时不支持引导用rom。因此，一些电子设备可能无法保证安全的启动，以现存的硬件可能无法支持基于硬件的安全。

技术实现要素：

技术问题

本发明提供即使没有以硬件方式结合的安全模块也仍实现安全功能，从而能够保护引导区及启动过程的存储器。

本发明提供包括只能由所有者记录的引导区且只有所有者能够管理引导文件的存储器。

提供通过仅允许所有者管理引导区，使得在支持微sd卡等作为引导用存储器的cots硬件中也能够实现以硬件方式结合的安全模块的存储器。

技术方案

根据用于达成上述本发明的目的的本发明的例示性的一个实施例，包括只能由所有者记录的引导区的存储器包括控制读写的控制器、用于存储引导用文件的第一闪存及用于存储引导用文件以外的数据的第二闪存，所述控制器包括用于存储所有者的公钥的安全部、用于读取记录于第一闪存及第二闪存的数据的读取部、只把通过存储于安全部的公钥得到验证的引导用文件记录到第一闪存的第一记录部及用于在第二闪存记录的第二记录部。

第一闪存是用于存储引导用文件的部分，可以包括启动电子设备所需的文件或数据。本发明中的引导用文件可以是一般的引导用数据、引导用固件等，根据情况可存储为加密的映像形态。

因此，一般的引导用文件或固件的情况下，一旦存储后可省略签名验证或译码过程，但是加密的映像的情况下，每次启动时可能需要经过利用生产商或通信公司、或设备管理者选择的公钥或对称钥进行译码的过程。

第二闪存一般是可读写的内存，可通过控制器的第二记录部记录运行文件、系统文件、文档文件、媒体文件等。

本发明中单独说明第一闪存及第二闪存，但是第一闪存及第二闪存除了物理分离的情况以外，仅软件分离的情况也可以适用上述说明。并且，第一记录部及第二记录部可必须分离存在，但并不限于此，本发明还可以包括一个记录部单独管理第一闪存与第二闪存的情况。

并且，控制器的安全部只能存储一个公钥，有已存储的公钥的情况下限制添加新的公钥及删除已存储的公钥，从而能够使得只能存储一个公钥。当然，也可以通过控制器的编程使用两个以上的固有钥。

使得只存储一个公钥的情况下，还可以限制使得只能利用对应的密钥删除存储的公钥。

本发明的存储器能够用作可在cots硬件中使用的存储器，可以是emmc(embeddedmultimediacard)、微sd、usb存储器、ssd(solidstatedrive)或hdd(harddiskdrive)。

本说明书中的所有者(owner)拥有能够驱动使用存储器的设备或更新固件的合法权限的人，可以是设备制造厂商或被该制造厂商委托管理固件等的人，此外还可以是从制造厂商购买或供应得到设备并使用的人。

存储器的控制器中的安全部可以以空的状态提供，所有者可通过预定的读取器在安全部存储对应于自己的密钥的公钥。

技术效果

本发明的存储器即使没有以硬件方式结合于电子设备的安全模块，也能够通过在存储器的控制器附加相当于安全模块的功能以保护设备的引导区及启动过程。

本发明的存储器提供只能由所有者记录的引导区，因此只有所有者能够管理引导文件，能够起到针对第三者的任意操作或入侵保护设备的功能。

并且通过仅允许所有者管理引导区，使得在支持微sd卡等作为引导用存储器的cots硬件中也能够实现以硬件方式结合的安全模块，并且由于利用与硬件类似地安装于设备的安全模块，因此能够针对外部入侵确保安全。

附图说明

图1是用于说明本发明的一个实施例的存储器的示意图；

图2是用于具体说明图1的控制器的示意图。

具体实施方式

以下参见附图详细说明本发明的优选实施例，但本发明并非局限或限定于实施例。作为参考，本说明中相同的附图标记实质上表示相同的要素，基于上述规则可以引用说明其他附图中记载的内容，并且可以省略认为对本领域技术人员来说是显而易见的或重复的内容。

图1是用于说明本发明的一个实施例的存储器的示意图，图2是用于具体说明图1的控制器的示意图。

参见图1及图2，说明的存储器100可包括emmc(embeddedmultimediacard)、微sd、usb存储器、ssd(solidstatedrive)或hdd(harddiskdrive)等能够赋予引导功能的存储器。本实施例以微sd卡为基准进行说明，但是本领域技术人员可基于以下内容在其他实施例中适用类似功能的存储器的构成。

本实施例的存储器100包括控制器110、第一闪存120及第二闪存130，所述控制器110可包括读取部112、安全部114、第一记录部116及第二记录部118。

控制器110用于以同一存储器的闪存为对象控制读写，可以从安装的设备(未示出)接收数据或发送必要的数据。控制器110可原原本本地收发存储于闪存的数据，也可以经预定变换或处理后收发数据。

控制器110的安全部114可存储所有者的公钥。制造时安全部114可以以未存储任何固有钥的状态提供，所有者可通过另外的读卡器存储所希望的对应于自己拥有的密钥的公钥。

根据本实施例，安全部114可以仅存储一个公钥，若公钥已被存储，则可以限制非所有者的第三者删除或替换公钥。具体地，优选的是只能利用所有者的密钥删除公钥，并且可以使得已记录的公钥被删除的状态下重新添加。

第一记录部116与第二记录部118可以单独提供，可以在向第一闪存120存储引导用文件之前利用存储的公钥验证签名，并使得在第一闪存120中只存储得到验证的引导用文件。

因此，不允许在引导区即第一闪存120中记录无法验证的文件，从而可以使得在引导区只记录所有者要记录的文件。当然，第二闪存130也可以根据设置允许或限制记录。

读取部112可读取记录在第一闪存120及第二闪存130的数据，该情况下有可能不需要利用公钥验证签名。但为了存储，第一闪存120只能存储通过安全部114验证的文件，不同于第一闪存120，第二闪存130可以不经验证而直接存储。

存储于第一闪存120的引导用文件可以是通常的引导用数据、引导用固件等，根据情况还可以存储为加密的映像形态。因此，通常的引导用文件或固件的情况下，一旦存储后可以省略签名验证或译码过程，但是加密的映像的情况下，可在每次启动时利用生产商或通信公司或设备管理者选择的公钥或对称钥进行译码过程。

通常第二闪存130为可读写存储器，可通过控制器的第二记录部记录运行文件、系统文件、文档文件、媒体文件等。

如上所述，参见本发明的优选实施例进行了说明，但应理解所属技术领域的技术人员在不超出以下权利要求中记载的本发明的思想及领域的范围内对本发明进行多种修改及变更。