一种双密钥安全启动方法、装置、存储介质及电子设备与流程

本申请涉及安全，具体而言，涉及一种双密钥安全启动方法、装置、存储介质及电子设备。

背景技术：

1、系统安全启动（secure boot）是一种计算机系统的安全机制，用于确保系统启动过程中只有经过认证的软件被加载和执行。该技术最初由微软提出，现在已被广泛采用于各种计算机设备和操作系统中，例如windows、linux和macos等。

2、在系统安全启动中，计算机系统在启动过程中会检查启动时加载的操作系统和其他软件的数字签名。只有那些经过数字签名的软件才能够被加载和执行，从而防止未经授权的软件和恶意代码被加载和运行。这有助于保护计算机系统免受恶意软件、病毒和其他安全威胁的攻击。

3、但是目前安全机制中，都是对的单个固件进行验证，缺乏对整个安全启动链的管理。

技术实现思路

1、本申请的目的在于提供一种双密钥安全启动方法、装置、存储介质及电子设备，以至少部分改善上述问题。

2、为了实现上述目的，本申请实施例采用的技术方案如下：

3、第一方面，本申请实施例提供一种双密钥安全启动方法，所述方法包括：

4、在启动程序加载完成后，从外部存储器读取第一证书和第二证书；

5、其中，所述第一证书包括第一类公钥和所述第二证书的签名信息，所述第二证书包括第二类公钥和所述第二证书所管理固件的签名信息；

6、基于预设检验算法对所述第一证书进行校验；

7、在所述第一证书通过校验的情况下，基于所述预设检验算法、所述第一类公钥以及所述第二证书的签名信息对所述第二证书进行校验；

8、在所述第二证书未通过校验的情况下，则停止启动；

9、在所述第二证书通过校验的情况下，则基于所述第二证书对其所管理固件进行校验。

10、第二方面，本申请实施例提供一种双密钥安全启动装置，所述装置包括：

11、信息读取单元，用于在启动程序加载完成后，从外部存储器读取第一证书和第二证书；

12、其中，所述第一证书包括第一类公钥和所述第二证书的签名信息，所述第二证书包括第二类公钥和所述第二证书所管理固件的签名信息；

13、处理单元，用于基于预设检验算法对所述第一证书进行校验；

14、所述处理单元还用于在所述第一证书通过校验的情况下，基于所述预设检验算法、所述第一类公钥以及所述第二证书的签名信息对所述第二证书进行校验；

15、所述处理单元还用于在所述第二证书未通过校验的情况下，则停止启动；

16、所述处理单元还用于在所述第二证书通过校验的情况下，则基于所述第二证书对其所管理固件进行校验。

17、第三方面，本申请实施例提供一种存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现上述的方法。

18、第四方面，本申请实施例提供一种电子设备，所述电子设备包括：处理器和存储器，所述存储器用于存储一个或多个程序；当所述一个或多个程序被所述处理器执行时，实现上述的方法。

19、相对于现有技术，本申请实施例所提供的一种双密钥安全启动方法、装置、存储介质及电子设备，包括：在启动程序加载完成后，从外部存储器读取第一证书和第二证书；其中，第一证书包括第一类公钥和第二证书的签名信息，第二证书包括第二类公钥和第二证书所管理固件的签名信息；基于预设检验算法对第一证书进行校验；在第一证书通过校验的情况下，基于预设检验算法、第一类公钥以及第二证书的签名信息对第二证书进行校验；在第二证书未通过校验的情况下，则停止启动；在第二证书通过校验的情况下，则基于第二证书对其所管理固件进行校验。通过第一证书和第二证书进行双密钥交叉检验，避免第二证书厂家在没有得到第一证书厂家的允许的条件下直接对其管理的固件进行篡改，安全引导链更加完善，进一步确保启动文件的完整性和安全性。

20、为使本申请的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。

技术特征：

1.一种双密钥安全启动方法，其特征在于，所述方法包括：

2.如权利要求1所述的双密钥安全启动方法，其特征在于，所述基于预设检验算法对所述第一证书进行校验的步骤，包括：

3.如权利要求1所述的双密钥安全启动方法，其特征在于，所述基于所述预设检验算法、所述第一类公钥以及所述第二证书的签名信息对所述第二证书进行校验的步骤，包括：

4.如权利要求1所述的双密钥安全启动方法，其特征在于，所述基于所述预设检验算法、所述第一类公钥以及所述第二证书的签名信息对所述第二证书进行校验的步骤，包括：

5.如权利要求1所述的双密钥安全启动方法，其特征在于，所述基于所述第二证书对其所管理固件进行校验的步骤，包括：

6.如权利要求1所述的双密钥安全启动方法，其特征在于，所述方法还包括：

7.如权利要求1-6中任意一项所述的双密钥安全启动方法，其特征在于，所述预设检验算法为哈希散列算法。

8.一种双密钥安全启动装置，其特征在于，所述装置包括：

9.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该计算机程序被处理器执行时实现如权利要求1-7中任一项所述的方法。

10.一种电子设备，其特征在于，包括：处理器和存储器，所述存储器用于存储一个或多个程序；当所述一个或多个程序被所述处理器执行时，实现如权利要求1-7中任一项所述的方法。

技术总结
本申请提出一种双密钥安全启动方法、装置、存储介质及电子设备，在启动程序加载完成后，从外部存储器读取第一证书和第二证书；基于预设检验算法对第一证书进行校验；在第一证书通过校验的情况下，基于预设检验算法、第一类公钥以及第二证书的签名信息对第二证书进行校验；在第二证书未通过校验的情况下，则停止启动；在第二证书通过校验的情况下，则基于第二证书对其所管理固件进行校验。通过第一证书和第二证书进行双密钥交叉检验，避免第二证书厂家在没有得到第一证书厂家的允许的条件下直接对其管理的固件进行篡改，安全引导链更加完善，进一步确保启动文件的完整性和安全性。

技术研发人员：秦世杰,陈国银,段富刚,唐海峰
受保护的技术使用者：此芯科技（苏州）有限公司
技术研发日：
技术公布日：2024/1/14