本發明涉及一種帶遠程升級功能的系統安全設計方法，包括：生成兩個帶AES加密及RSA認證的鏡像文件；系統上電,進行硬復位；在系統運行系統正常工作鏡像前先進行RSA認證，若通過認證則系統正常運行，否則，系統進入安全鎖定狀態，啟動失敗，返回第二步等待重新上電復位；將待升級鏡像寫入Flash，待升級鏡像會將存儲在Flash低地址空間的原系統正常工作鏡像覆蓋掉,根據AES密鑰存儲方式，系統選擇相應的復位方式后返回步驟第三步，第三步至第五步如此循環往復形成雙鏡像循環切換。本發明采用遠程升級方式，能將系統的升級時間縮短至半分鐘左右，且省掉了設備拆卸及接線時間；本發明在保證了產品安全的同時，又能帶來產品系統升級維護的高效性。

技術領域

本發明涉及嵌入式系統技術領域，尤其是一種帶遠程升級功能的系統安全設計方法。

背景技術

傳統的嵌入式系統配置方式包括JTAG模式、SPI Flash模式等，這些方式受專用下載器和下載線纜的限制，只適用于短距離的“點對點”下載。隨著嵌入式系統使用領域和場景的復雜化，在諸如高山、輻射環境等人無法直接接近的地方，采用傳統的系統配置方式靈活性差。

在產品越來越網絡化、智能化的時代，產品安全的意義變得越來越重要，在產品投入市場后，面對激烈的市場競爭環境，設計師要著重考慮如何能提高產品自身的安全等級：產品的核心技術及系統架構不被競爭對手竊取，產品的功能不被網絡黑客惡意篡改。在產品中加入安全功能這一需求變得越來越大，越來越有價值。

當前，針對一款產品，常見的攻擊手段有：

1、產品克隆：競爭對手先從市場上購買樣機，通過復制PCB板、購買元器件、復制產品系統固件等手段搭建出一套能完成原產品所有預定功能的新產品。由于無研發成本，競爭對手可以通過低價銷售手段來損害產品設計者的利益。

2、增加惡意代碼：如果整體或部分替換掉Flash上的軟件，或者讓系統運行競爭對手/黑客自己開發的惡意代碼，有可能可以獲取到系統的關鍵信息，更甚者可以破壞產品的正常功能從而給產品設計者帶來多方面的重大損失。

發明內容

本發明的目的在于提供一種基于xilinx zynq SOC軟硬件協同平臺，對產品鏡像文件采用AES加密及RSA認證手段,對JTAG調試端口進行動態管理，采用雙鏡像循環切換機制，通過網絡實現加密鏡像的遠程安全升級功能的帶遠程升級功能的系統安全設計方法。

為實現上述目的，本發明采用了以下技術方案：一種帶遠程升級功能的系統安全設計方法，該方法包括下列順序的步驟：

(1a)用bootgen工具生成兩個帶AES加密及RSA認證的鏡像文件，其中一個為系統正常工作鏡像，另一個為系統遠程更新鏡像；

(1b)系統上電,進行硬復位；

(1c)系統正常工作鏡像存儲在Flash低地址空間，在系統運行系統正常工作鏡像前先進行RSA認證，若通過認證則系統正常運行，否則，系統進入安全鎖定狀態，啟動失敗，返回步驟(1b)等待重新上電復位；

(1d)系統工作于系統正常工作鏡像，在系統正常工作期間，根據調試需求對JTAG調試端口進行動態管理；當需要進行系統遠程升級時，由上位機控制中心通過網絡發出遠程升級指令，系統經更新multiboot寄存器并復位后，再次進行RSA認證，若通過認證則運行存儲于Flash高地址空間的系統遠程更新鏡像，否則，系統進入安全鎖定狀態，啟動失敗，回到步驟(1b)等待重新上電復位；

(1e)系統工作于系統遠程更新鏡像，將待升級鏡像寫入Flash，待升級鏡像會將存儲在Flash低地址空間的原系統正常工作鏡像覆蓋掉,根據AES密鑰存儲方式，系統選擇相應的復位方式后返回步驟(1c)，步驟(1c)至步驟(1e)如此循環往復形成雙鏡像循環切換。

在步驟(1a)中，所述帶AES加密及RSA認證的鏡像文件，其密鑰及鏡像文件的生成步驟為：