(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210476867.9 (22)申请日 2022.04.30 (71)申请人 苏州浪潮智能科技有限公司 地址 215000 江苏省苏州市吴中经济开发 区郭巷街道官浦路1号9幢 (72)发明人 王瑾　麻付强　 (74)专利代理 机构 北京连和连知识产权代理有 限公司 1 1278 专利代理师 刘小峰　张元 (51)Int.Cl. G06F 21/64(2013.01) G06F 9/445(2018.01) (54)发明名称 一种基于可信根的安全启动方法、 装置、 设 备及可读介质 (57)摘要 本发明公开了一种基于可信根的安全启动 方法， 包括以下步骤： 通过环签名算法对所有镜 像包进行签名， 并将公钥摘要作为可信根， 以生 成发布镜像文件； 响应于服务器启动， 检查所述 发布镜像文件中的可信根是否与芯片内存储的 一致， 以验证所述可信根的完整性； 响应于所述 发布镜像文件中的可信根与芯片内存储的一致， 则进一步基于所述环签名算法和所述可信根对 所述发布镜像文件进行验证； 以及响应于基于所 述环签名算法和所述可信根对所述发布镜像文 件的验证通过， 则对所述发布镜像文件进行安全 启动流程。 本发 明还公开了一种基于可信根的安 全启动装置、 计算机设备和可读存储介质。 本发 明实现可信根泄露不需要返厂维修， 只需升级镜 像文件即可。 权利要求书2页 说明书9页 附图4页 CN 114896640 A 2022.08.12 CN 114896640 A 1.一种基于可信根的安全启动方法， 其特 征在于， 包括以下步骤： 通过环签名算法对所有镜像包进行签名， 并将公钥摘要作为可信根， 以生成发布镜像 文件； 响应于服务器启动， 检查所述发布镜像文件中的可信根是否与芯片内存储的一致， 以 验证所述可信根的完整性； 响应于所述发布镜像文件中的可信根与芯片内存储的一致， 则进一步基于所述环签名 算法和所述可信根对所述发布镜像文件进行验证； 以及 响应于基于所述环签名算法和所述可信根对所述发布镜像文件的验证通过， 则对所述 发布镜像文件进行安全启动流 程。 2.根据权利要求1所述的基于可信根的安全启动方法， 其特 征在于， 还 包括： 响应于基于所述环签名算法和所述可信根对所述发布镜像文件的验证不通过， 则 禁止 对所述发布镜像文件进行安全启动流 程， 并发送启动失败告警。 3.根据权利要求1所述的基于可信根的安全启动方法， 其特征在于， 通过环签名算法对 所有镜像包进行签名包括： 从多个公私钥对中选取预设数值个公私钥对， 并基于所述多个公私钥对生成一个签名 环； 选取所述多个公私钥对中的一个私钥， 并基于所述私钥和所述签名环对镜像文件进行 签名。 4.根据权利要求1所述的基于可信根的安全启动方法， 其特征在于， 通过环签名算法对 所有镜像包进行签名包括： 基于单向哈希算法对镜像包中镜像文件和参数进行摘要值计算， 并基于非对称加密算 法对所述镜像包中摘要值进行私钥签名。 5.根据权利要求1所述的基于可信根的安全启动方法， 其特 征在于， 还 包括： 建立用于运行验证 应用程序的可信平台的启动序列； 基于所述启动序列向启动过程的每 个阶段添加签名校验。 6.根据权利要求1所述的基于可信根的安全启动方法， 其特 征在于， 还 包括： 将可信根存放在固件芯片的OTP存储区， 所述OTP存储区只能通过OTP控制器访问以获 取所述可信根。 7.一种基于可信根的安全启动装置， 其特 征在于， 包括： 第一模块， 配置用于通过环签名算法对所有镜像包进行签名， 并将公钥摘要作为可信 根， 以生成发布镜像文件； 第二模块， 配置用于响应于服务器启动， 检查所述发布镜像文件中的可信根是否与芯 片内存储的一致， 以验证所述可信根的完整性； 第三模块， 配置用于响应于所述发布镜像文件中的可信根与芯片内存储的一致， 则进 一步基于所述环签名算法和所述可信根对所述发布镜像文件进行验证； 以及 第四模块， 配置用于响应于基于所述环签名算法和所述可信根对所述发布镜像文件的 验证通过， 则对所述发布镜像文件进行安全启动流 程。 8.根据权利要求7所述的基于可信根的安全启动装置， 其特征在于， 第四模块进一步配 置用于：权　利　要　求　书 1/2 页 2 CN 114896640 A 2响应于基于所述环签名算法和所述可信根对所述发布镜像文件的验证不通过， 则 禁止 对所述发布镜像文件进行安全启动流 程， 并发送启动失败告警。 9.一种计算机设备， 其特 征在于， 包括： 至少一个处 理器； 以及 存储器， 所述存储器存储有可在所述处理器上运行的计算机指令， 所述指令由所述处 理器执行时实现权利要求1 ‑6任意一项所述方法的步骤。 10.一种计算机可读存储介质， 所述计算机可读存储介质存储有计算机程序， 其特征在 于， 所述计算机程序被处 理器执行时实现权利要求1 ‑6任意一项所述方法的步骤。权　利　要　求　书 2/2 页 3 CN 114896640 A 3