一种WiMAX终端及其启动方法

专利名称：一种WiMAX终端及其启动方法
技术领域：
本发明涉及通信领域，并且特别地，涉及一种微波接入全球互
通(World Interoperability for Microwave Access,以下简称WiMAX ) 纟冬端的启动方法以及一种WiMAX终端。
背景技术：
移动通信是当今社会发展最为迅猛的产业之一，WiMAX是一 项无线宽带4支术，并且是一项无线城>戈网(WMAN)4支术，该:技术 是针对微波和毫米波频段提出的 一种新的空中接口标准。
WiMAX是在电信网络融合的大趋势下发展起来的城域网无线 才妄入才支术，在未来将实现与全IP网络的无缝融合。该技术能够支持 时分双工(Time Division Duplex, TDD)和步贞分双工(Frequency Division Duplex, FDD),支持逐步选择信道带宽，其中，带宽频率 可以为乂人20MHz到10、 5、 2.5或1.25MHz,这才羊，运营商t尤可以 为客户量身定制服务和价格。
并且，借助于20MHz的信道和优化调制(即，256正交振幅调 制或QAM),数据传输速率可以达到70到100MB/秒。至于调制， 该技术加入了自适应调制方法，该方法允许无线电设备根据链^各范 围、，噪音和其4也条件自动选择最4圭调制；此外，该神支术还加入了正 交步贞分复用(Orthogonal Frequency Division Multiplexing, OFDM )， 这是一种通过宽带传播信号的调制/复用/接入技术，并且与CDMA类似，OFDM也能够最大程度地降低以下影响的关键，即，多路信 号、衍射、衰减、以及与微波信号传播有关的其他现象。此外，WiMAX 才支术还加入了 Reed Solomon正向纠4普(FEC )、巻积编码、和交叉 存取算法，以确定和纠正比特差错。对于FEC捕捉不到的差错，自 动重复请求(ARQ)功能只需再次传送有差错的数据包即可进行修 正。
另外，为进一步提升链路的可靠性，WiMA利记体育中还加入了 传送和接收差异，以及自适应天线。在安全方面，该技术包括广泛 使用的三重数字加密标准(3DES)，这个168位的密钥具备高度安 全的加密性。
对于开发具有移动性能的WiMAX终端，其固件(Firmware) 不是存储在Flash里面，而是存》文在宿主(Host)的某个位置，这 里的Host—般指PC或者其它应用WiMAX终端的宿主。每当设备 被插入Host，系统启动时，就会自动将固件下载到设备的RAM中， 固件映^f象(image)下载完成后，固件的真正代码就会运行在内嵌芯 片的CPU上。
因为下载的固件能够访问所有芯片上的硬件单元，所以如果任 意代码都可以被下载的话，就有可能运行一些违反WiMAX协议的 恶意代码，破坏相关约定，访问非授权网络，甚至降低附近(Base Station, BS )或者禾多动^殳备(Mobile, Station, MS)的性能，而且 固件会访问芯片上带有X.509证书和设备秘钥的代码识别非易失性 存4诸器(Non-Volatile Memory, NVM )。
因此，只授权可信赖的代码在芯片上运行是非常重要的。然而， 目前尚未l是出能够避免恶意代码运4于、保i正终端启动的正确性和安 全性的技术方案。

发明内容
考虑到上述问题而做出本发明，为此，本发明的主要目的在于
的微波接入全球互通终端，以解决相关技术中无法保证终端启动的 安全性和正确性的问题。
根据本发明的实施例，提供了 一种微波接入全球互通终端的启 动方法。
该方法包4舌步骤S202，预先对终端启动所需加载的固件以及 加载命令进行计算，得到第一固件Hash和第一加载命令Hash，并 将固件Hash和加载命令Hash存储至终端的预定存4渚器；步骤S204 ， 在终端启动时，终端进4于启动处理，并启动导入器；步-骤S206，导 入器执行终端的驱动发送的加载命令将固件下载至终端；步骤 S208,导入器计算下载的固件的第二固件Hash以及驱动发送的加 载命令的第二加载命令Hash;步骤S210,导入器判断第一固件Hash 与第二固件Hash是否匹配，以及判断第 一加载命令Hash与第二力口 载命令Hash是否匹配，并在判断为是的情况下允许启动终端。
其中，在步骤S202中，在得到第一固件Hash和第一加载命令 Hash之后，可进一步包4舌利用7>钥对第一固件Hash和第一加载 命令Hash进行加密，将加密的第 一 固件Hash和第 一加载命令Hash 存储至预定存储器；将与公钥对应的私钥存储至终端。
并且，在步骤S208中，在进行判断时，可进一步包括导入 器利用存储的私钥对加密的第一固件Hash和第一加载命令Hash进 行解密，并判断解密的第 一 固件Hash与第二固件Hash是否匹配， 以及判断解密的第一加载命令Hash与第二加载命令Hash是否匹配。另夕卜，在步骤S204中，启动处理可包括在终端上电后，重 置终端的芯片；终端的CPU运4亍芯片中的特定^码以启动终端的只 读存储器，初始化启动只读存储器所需的硬件单元并进行相应的管 脚配置；CPU读取终端的非易失性存储器中保存的接口配置信息。
此外，在步骤S210之前，可以进一步包括驱动将第一固件 Hash和第一加载命令Hash通过特定命令发送至终端的芯片，导入 器获取特定命令中的第一固件Hash和第一加载命令Hash，其中特 定命令用于启动终端。
并且，在判断第一固件Hash与第二固件Hash匹配，且第一加 载命令Hash与第二加载命令Hash匹配的情况下，导入器执行特定 命令。其中，特定命令为跳跃命令。
此外，在步骤S210中，在判断为否的情况下，进一步包括 重置终端的芯片。
根据本发明的另 一实施例，提供了 一种微波接入全球互通终端。
该终端包括存储模块，用于存储通过预先对终端启动所需加 载的固件以及加载命令进行计算所得到的第 一 固件Hash和第 一加 载命令Hash;启动才莫块，用于在纟冬端启动时进4于启动处理，并启动 导入器；导入模块，用于执行终端的驱动模块发送的加载命令将固 件下载至终端，并计算下载的固件的第二固件Hash以及驱动模块发 送的加载命令的第二加载命令Hash,并判断第一固件Hash与第二 固件Hash是否匹配，以及判断第 一加载命令Hash与第二加载命令 Hash是否匹配，并在判断为是的情况下允许终端被启动。
通过本发明的上述技术方案，能够对终端的启动实现完备的安 全保护，才是高终端的启动效率，并且保护的处理不易侦测和截获具 有很高的安全性，从而给运营商、设备商、和用户带来共同的安全和利益，填补了 WiMAX终端芯片厂商在商业运营领域的安全漏洞， 降低了运营商的运营风险和设备商的售后风险。
本发明的其它特征和优点将在随后的说明书中阐述，并且，部 分地从说明书中变得显而易见，或者通过实施本发明而了解。本发 明的目的和其他优点可通过在所写的说明书、权利要求书、以及附 图中所特别指出的结构来实现和获得。


附图用来提供对本发明的进一步理解，并且构成i兌明书的一部 分，与本发明的实施例一起用于解释本发明，并不构成对本发明的 限制。在附图中
用的WiMAX终端的结构示意图。
程理示意在终端上电后的详细处理流禾呈图；以及
图5是根据本发明装置实施例的WiMAX终端的框图。
具体实施例方式
以下结合附图对本发明的优选实施例进行说明，应当理解，此 处所描述的优选实施例仅用于说明和解释本发明，并不用于限定本 发明。
如图1示出了 WiMAX终端的结构示意图。如图1所示，WiMAX 终端不同于其他类型终端，其固件(Firmware)不是存l诸在Flash 里面，而是存》文在Host (宿主)上，每当设备被插入Host，系统上 电时，对应的固件才会下载到设备中，开始运行。下面将基于这种 工作机制详细描述本发明。
方法实施例
在本实施例中，提供了一种WiMAX终端的启动方法。
如图2所示，才艮据本实施例的WiMAX终端的启动方法包4舌 步骤S202，预先对终端启动所需加载的固件以及加载命令进4亍计 算，得到第 一 固件Hash和第 一加载命令Hash,并将固件Hash和加 载命令Hash存储至终端的预定存储器；步骤S204，在终端启动时， 终端进行启动处理，并启动导入器；步骤S206,导入器执行终端的 驱动发送的加载命令将固件下载至终端；步骤S208,导入器计算下 载的固件的第二固件Hash以及驱动发送的加载命令的第二加载命 令Hash;步骤S210,导入器判断第一固件Hash与第二固件Hash 是否匹配，以及判断第一加载命令Hash与第二加载命令Hash是否 匹配，并在判断为是的情况下允许启动终端。
其中，在步骤S202中，在得到第一固件Hash和第一加载命令 Hash之后，可进一步包括利用公钥对第一固件Hash和第一加载 命令Hash进行加密，将加密的第 一 固件Hash和第 一加载命令Hash 存储至预定存储器；将与公钥对应的私钥存储至终端。并且，在步骤S208中，在进行判断时，可进一步包括导入 器利用存储的私钥对加密的第 一 固件Hash和第 一加载命令Hash进 4亍解密，并判断解密的第 一 固4牛Hash与第二固件Hash是否匹配， 以及判断解密的第一加载命令Hash与第二加载命令Hash是否匹 配。
另外，在步骤S204中，启动处理可包括在终端上电后，重 置终端的芯片；终端的CPU运4亍芯片中的特定^^码以启动终端的只 读存储器，初始化启动只读存储器所需的硬件单元并进行相应的管 脚配置；CPU读取终端的非易失性存储器中保存的接口配置信息。
此外，在步骤S210之前，可以进一步包括驱动将第一固件 Hash和第一加载命令Hash通过特定命令发送至终端的芯片，导入 器获取特定命令中的第一固件Hash和第一加载命令Hash,其中特 定命令用于启动终端。
并且，在判断第一固件Hash与第二固件Hash匹配，且第一加 载命令Hash与第二加载命令Hash匹配的情况下，导入器执行特定 命令。其中，特定命令为跳跃命令。
此外，在步骤S210中，在判断为否的情况下，进一步包4舌 重置终端的芯片。
总体来讲，该方法可以包括生产预置和实际-使用两个环节。生 产预置环节主要完成固件和加载命令的Hash(即，上述第一固件 Hash和第一加载命令Hash)的计算与加密，实际^吏用环节则涉及 终端实现安全Boot的处理，最终通过个体i殳备工作时计算的Hash 结果(即，上述第二固件Hash和第二加载命令Hash)与生产环节 预置的Hash结果进行比较；如果相同则表示固件安全，设备正常工 作；如果不同则表示固件非法，芯片重置，设备不能工作。在实际实J见上述方法时，具体可以包4舌以下处理
步骤一在WiMAX终端的生产预置单元计算固件和加载命令 的Hash,然后对其Hash结果进4于加密；该步-骤完成了生产预备环 节的内容。如图3所示，在WiMAX终端的生产预置单元，通过某 种算法(例如，SHA256)计算固件和加载命令的Hash (即，上述 第一固件Hash和第一加载命令Hash )，在获得Hash之后进一步应 用加密算法如采用RSA加密私钥进行加密，获得加密的Hash结果， 将其保存起来。以便在之后设备上电工作时，进行Hash消息的还原 (即，解密)，通过Hash消息的比对(即，将上述第一固件Hash 与第二固件Hash进行比对，以及将上述第一加载命令Hash与第二 加载命令Hash进行比对)来完成固件和加载命令的正确与否。可选 地，除了生产配置单元之外，可以选择研发单元或者其它单元完成 该步骤。
步骤二在完成设备的终端发货上市，开始工作上电，如图4 所示，上电之后，芯片重置，嵌入的CPU开始运行芯片内部本身的 只读存^f渚器(Read Only Memory, ROM )代码来启动ROM，终端 的启动流程开始，这是WiMAX终端安全Boot流程的第 一步。
步骤三同时，启动ROM代码初始化一些需要^f吏用的硬件单 元；根据GPIO管脚设置各种配置选项，如图4所示，这样可以为 后续调用各种软硬件资源奠定基础。
步骤四启动ROM代码识别NVM是否连上；并从NVM中读 取接口配置信息。这里的NVM可以是WiMAX终端上的EEPROM 或者其它存储器，该存储器主要用来存储一些关键的重要信息，其 中包含终端启动过程中所需要的4妄口配置信息。步艰《五/人NVM获4寻*接口配置信息后，启动ROM启动Boot loader (可以是将安全的Boot loader (即，上述导入器)从NVM复 制到内部的静态随积4妄入存4诸器(Static Random Access Memory, SRAM )中)，4妄着Bootloader开始运4亍在CPU上。这里的Bootloader 可以定义为一种安全导入器，是完成安全启动的重要单元，其可以 是具有以下功能和特征的单独装置
(1 )防止Bootloader的堆栈和代码被下载命令覆盖；
(2 )在固件下载到纯净的静态存储器中时予以检-验，特殊的注 册和存储器映射的I/O 口信息应该受到保护；
(3) 在映像下载过程中，防止緩存溢出，整数溢出(或者其他 的用途)；
(4) 下载命令的所有参数都是有效的；
(5) 只有必要的下载命令会被执行；
(6 )包含有用于检验下载的Image签名的公有秘钥；
(7 )在命令过程中，计算下载固件Hash (第一固件Hash )(以 及数据被复制到静态存储器中时)；
(8 )检验下载的固件映像签名(包括每个下载的数据块的地
址)；
(9 )通过安全设备中的SHA-256和RSA 2048算法进行Image 签名，私有签名秘钥从不离开安全服务器。步骤六才艮据乂人NVM读取的配置信息，Bootloader开始初始 ^f匕相关的硬/f牛和,皮选择的加载4妄口 ，批^f于该初始4b可以为專欠件方面 的资源调用提供基础，并做好安全识别的准备；
步骤七如图4所示，驱动开始向芯片发送下载命令，这个命 令是由Bootloader来才丸4亍的，下载命令包4舌写入到内部SRAM的i也 址和数据信息，芯片收到下载命令后就开始下载固件，如图3所示， 在收到固件后安全Bootloader计算固件和下载命令(;l也址和数据) 的Hash结果。例如，可以采用SHA-256算法，之后，计算出的结 果将与步骤八提供的签名计算后的结果(如图3所示)进行比较， 如果相同则正确，否则表示异常；
步骤八驱动发送的最后一个下载命令是"跳跃命令"，该命令 详细地指出了固件^码乂人哪里开始。固件代码乂人不同的i也方开始才尤 决定了此次启动是正常启动还是异常情况，异常情况芯片将重置。 这个命令也包含了下载固件的签名，也就是之前在生产环节预置的 加密的Hash消息(即，第一固件Hash和第一加载命令Hash )。
步骤九安全Boot loader验证这个签名信息，如果签名有效， "跳跃命令"就开始执行，设备正常工作；否则，芯片重置。
这里，安全Bootloader按照和生产预置环节一致的加密算法进 行签名信息的-验证，例如，可采用RSA (2048Key )进4亍加密Hash 消息的解密验证。将解密的结果与步骤七所计算出的结果进行对比， 以确定固件及加载命令是否匹配，是否正常。在固件和加载命令正 常的情况下，"跳跃命令"开始执行跳跃动作，设备正常工作；在固 件和加载命令^皮一验证异常的情况下，芯片重置，如此直至固件和加 载命令无异常。通过上述的Bootloader以及各个环节的关4建启动流程，确保了 i殳备的正常安全启动，即，只有在固4牛和加载命令都正常的情况下 启动；在固件或者加载命令出现异常时，芯片重置，设备将不断重 启，这样就能阻止异常命令的运作或异常固件的加载。
装置实施例
在本实施例中，提供了 一种具有启动保护功能的WiMAX终端。
如图5所示，4艮据本实施例的具有启动保护功能的WiMAX终 端包括存储模块502，用于存储通过预先对终端启动所需加载的 固件以及加载命令进行计算所得到的第一固件Hash和第一加载命 令Hash;启动才莫块504,用于在终端启动时进4亍启动处理，并启动 导入器；导入模块506，用于执行终端的驱动模块发送的加载命令 将固件下载至终端，并计算下载的固件的第二固件Hash以及驱动才莫 块发送的加载命令的第二加载命令Hash,并判断第一固件Hash与 第二固件Hash是否匹配，以及判断第 一加载命令Hash与第二加载 命令Hash是否匹配，并在判断为是的情况下允许终端^皮启动。
综上所述，本发明能够实现完备的安全性，即，双重验证固件 和加载命令，且一验i正的过程发生在瞬间和终端i殳备内部，不易^皮侦 测或截获到，安全性非常高；同时，将安全验证功能4艮好的融入了 设备的Boot流程中，在确保安全性的前提下提高了设备启动效率。 4十^j"基于主-危WiMAX乡冬端芯片所i殳i十的WiMAX乡冬端产品均可以 应用本发明进行设备的安全Boot，因而具有较大的通用性。该安全 Boot流程可以给运营商、设备商和用户带来共同的安全和利益保 护；填补了 WiMAX终端芯片厂商在商业运营领域的安全漏洞，降 低了运营商的运营风险和设备商的售后风险。借助于本发明的技术方案，能够对终端的启动实现完备的安全 保护，提高终端的启动效率，并且保护的处理不易侦测和截获具有 很高的安全性，从而给运营商、设备商、和用户带来共同的安全和
利益，填补了 WiMAX终端芯片厂商在商业运营领域的安全漏洞， 降低了运营商的运营风险和设备商的售后风险。
以上所述仅为本发明的优选实施例而已，并不用于限制本发明， 对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在 本发明的精神和原则之内，所作的任何修改、等同替换、改进等， 均应包含在本发明的保护范围之内。
权利要求
1. 一种微波接入全球互通终端的启动方法，其特征在于，包括步骤S202，预先对所述终端启动所需加载的固件以及加载命令进行计算，得到第一固件Hash和第一加载命令Hash，并将所述固件Hash和所述加载命令Hash存储至所述终端的预定存储器；步骤S204，在所述终端启动时，所述终端进行启动处理，并启动导入器；步骤S206，所述导入器执行所述终端的驱动发送的加载命令将所述固件下载至所述终端；步骤S208，所述导入器计算下载的所述固件的第二固件Hash以及所述驱动发送的所述加载命令的第二加载命令Hash；步骤S210，所述导入器判断所述第一固件Hash与所述第二固件Hash是否匹配，以及判断所述第一加载命令Hash与所述第二加载命令Hash是否匹配，并在判断为是的情况下允许启动所述终端。
2. 根据权利要求1所述的方法，其特征在于，在所述步骤S202 中，在4寻到所述第 一 固件Hash和所述第 一加载命令Hash之后， 进一步包括利用公钥对所述第 一 固件Hash和所述第 一加载命令Hash 进4亍加密，将加密的所述第一固件Hash和所述第一加载命令 Hash存4诸至所述预定存4诸器；将与所述^^钥对应的私钥存储至所述终端。
3. 才艮据权利要求2所述的方法，其特征在于，在所述步骤S208 中，在进行判断时，进一步包括所述导入器利用存储的所述私钥对加密的所述第 一 固件 Hash和所述第一加载命令Hash进行解密，并判断解密的所述 第 一 固件Hash与所述第二固件Hash是否匹配，以及判断解密 的所述第一加载命令Hash与所述第二加载命令Hash是否匹 酉己。
4. 根据权利要求1所述的方法，其特征在于，在所述步骤S204 中，所述启动处理包括在所述终端上电后，重置所述终端的芯片；所述终端的CPU运4亍所述芯片中的特定^码以启动所述 终端的只读存储器，初始化启动所述只读存4诸器所需的石更件单 元并进4于相应的管脚配置；所述CPU读取所述终端的非易失性存储器中保存的接口 配置信息。
5. 根据权利要求1所述的方法，其特征在于，在所述步骤S210 之前，进一步包括所述驱动将所述第 一 固件Hash和所述第 一加载命令Hash 通过特定命令发送至所述终端的芯片，所述导入器获取所述特 定命令中的所述第一固件Hash和所述第一加载命令Hash,其 中所述特定命令用于启动所述终端。
6. 根据权利要求5所述的方法，其特征在于，在判断所述第一固 件Hash与所述第二固件Hash匹配，且所述第 一加载命令Hash 与所述第二加载命令Hash匹配的情况下，所述导入器执行所 述特定命令。
7. 根据权利要求5所述的方法，其特征在于，所述特定命令为跳 跃命令。
8. 才艮据权利要求1至7中任一项所述的方法，其特征在于，在所 述步骤S210中，在判断为否的情况下，进一步包括重置所述乡冬端的芯片。
9. 一种微波接入全球互通终端，其特征在于，包括存储模块，用于存储通过预先对所述终端启动所需加载的 固件以及加载命令进4亍计算所得到的第一固件Hash和第一加 载命令Hash;启动才莫块，用于在所述终端启动时进4于启动处理，并启动 导入器；以及导入模块，用于执行所述终端的驱动模块发送的加载命令 将所述固件下载至所述终端，并计算下载的所述固件的第二固 件Hash以及所述驱动模块发送的所述加载命令的第二加载命 令Hash,并判断所述第一固件Hash与所述第二固件Hash是 否匹配，以及判断所述第一加载命令Hash与所述第二加载命 令Hash是否匹配，并在判断为是的情况下允许所述终端^皮启 动。
全文摘要
本发明公开了一种WiMAX终端的启动方法，包括步骤S202，预先对终端启动所需加载的固件以及加载命令进行计算，得到第一固件Hash和第一加载命令Hash，并将固件Hash和加载命令Hash存储至终端的预定存储器；步骤S204，在终端启动时，终端进行启动处理，并启动导入器；步骤S206，导入器执行终端的驱动发送的加载命令将固件下载至终端；步骤S208，导入器计算下载的固件的第二固件Hash以及驱动发送的加载命令的第二加载命令Hash；步骤S210，导入器判断第一固件Hash与第二固件Hash是否匹配，以及判断第一加载命令Hash与第二加载命令Hash是否匹配，并在判断为是的情况下允许启动终端。此外，本发明还公开了一种具有启动保护功能的WiMAX终端。
文档编号H04L9/30GK101299849SQ20081009406
公开日2008年11月5日 申请日期2008年4月25日 优先权日2008年4月25日
发明者郭军平 申请人:中兴通讯股份有限公司