数字广播接收器和数字广播接收器的启动方法.pdf

这里公开了一种数字广播接收器和数字广播接收器的启动方法。数字广播接收器中的系统的安全启动的方法包括：使用于生成数字签名的多个交织部分分别与整个固件图像对准；生成每个交织部分的数字签名；选择特定交织部分；生成第一消息摘要和第二消息摘要，该第一消息摘要用于读取整个固件图像中的所选择的交织部分的区域，所述第二消息摘要来自所选择的交织部分的数字签名；以及基于第一消息摘要和第二消息摘要来验证固件图像，并且启动数字广播接收器中的系统。

权利要求书1.  一种数字广播接收器中的系统的安全启动的方法，所述方法包括：使用于生成数字签名的多个交织部分分别与整个固件图像对准；生成每个交织部分的数字签名；选择特定交织部分；生成第一消息摘要和第二消息摘要，所述第一消息摘要用于读取所述整个固件图像中的选择的交织部分的区域，所述第二消息摘要来自所述选择的交织部分的数字签名；以及基于所述第一消息摘要和所述第二消息摘要来验证所述固件图像，并且启动所述数字广播接收器中的系统。2.  根据权利要求1所述的方法，其中，每次启动所述系统，根据等概率方法随机地选择所述选择的交织部分，并且其中使用散列算法来生成所述第一消息摘要。3.  根据权利要求1所述的方法，进一步包括：验证引导加载程序以在具有公钥的芯片处认证所述固件图像。4.  一种数字广播接收器中的系统的安全启动的方法，所述方法包括：基于文件系统在整个固件图像中划分为报头部分、主体部分以及尾部部分，其中所述主体部分分别与用于生成数字签名的多个交织部分对准，并且所述报头部分和所述尾部部分作为整个区域包括所述主体部分的所有交织部分；生成每个交织部分的数字签名；选择特定交织部分；生成第一消息摘要和第二消息摘要，所述第一消息摘要用于读取所述整个固件图像中的所述报头部分和所述尾部部分中的任何一个，所述第二消息摘要来自选择的交织部分的数字签名；以及基于所述第一消息摘要和所述第二消息摘要来验证所述固件图像，并且启动所述数字广播接收器中的系统。5.  根据权利要求4所述的方法，其中，所述文件系统包括压缩文件系统，并且其中，如果修改了所述主体部分的任何交织部分，则更新所述报头部分和所述尾部部分。6.  根据权利要求4所述的方法，其中，每次启动所述系统，根据等概率方法来随机地选择所述选择的交织部分，并且其中，使用散列算法来生成所述第一消息摘要。7.  根据权利要求4所述的方法，进一步包括：验证引导加载程序以在具有公钥的芯片处认证所述固件图像。8.  一种系统的安全启动的数字广播接收器，所述数字广播接收器包括：控制器，所述控制器被配置成进行控制以基于文件系统在整个固件图像中划分为报头部分、主体部分以及尾部部分，并且生成每个交织部分的数字签名，其中，所述主体部分分别与用于生成数字签名的多个交织部分对准，并且所述报头部分和所述尾部部分作为整个区域包括所述主体部分的所有交织部分，所述控制器进一步被配置成选择特定交织部分，生成第一消息摘要和第二消息摘要，基于所述第一消息摘要和所述第二消息摘要来验证所述固件图像，并且启动所述数字广播接收器中的系统，所述第一消息摘要用于读取所述整个固件图像中的所述报头部分和所述尾部部分中的任何一个，所述第二消息摘要来自选择的交织部分的数字签名。9.  根据权利要求8所述的数字广播接收器，其中，所述文件系统包括压缩文件系统。10.  根据权利要求8所述的数字广播接收器，其中，如果修改了所述主体部分的任何交织部分，则更新所述报头部分和所述尾部部分。11.  根据权利要求8所述的数字广播接收器，其中，所述控制器进行控制以每次启动所述系统，根据等概率方法来随机地选择所述特定交织部分。12.  根据权利要求8所述的数字广播接收器，其中，所述控制器进一步进行控制：验证引导加载程序以在具有公钥的芯片处认证所述固件图像。13.  根据权利要求8所述的数字广播接收器，其中，所述控制器进一步进行控制以使用散列算法来生成所述第一消息摘要。

说明书数字广播接收器和数字广播接收器的启动方法
技术领域
[0001]本发明涉及一种数字广播接收器和数字广播接收器的启动方法，并且更加具体地，涉及一种能够在确保最大系统安全性的同时执行快速启动的数字广播接收器和数字广播接收器的方法。
背景技术
[0002]随着数字技术中的显著演进，数字化不仅在普通家庭而且在整个工业中加速发展。然而，数字技术中的这样的演进已经带来大范围的优点和缺点（或者副作用）。例如，黑客行为可能与主要副作用中的一个相对应。与模拟时代不同，由于数字时代中的时间和空间的无限供应，黑客攻击的数目正在增加，并且这样的攻击造成大量的损害和损失。随着智能电话和智能TV的最近的引入以及越来越多的供应，在工业工作领域以及普通家庭或者个人数字装置中黑客攻击变得越来越频繁并且是不变的。
[0003]当数字装置的电源被接通时，执行装置的启动过程。启动过程还包括系统安全检查过程，该系统安全检查过程验证在相应的数字装置中是否已经出现安全漏洞（或者损害
（compromise））或者黑客攻击。最近的数字装置中的主要问题包括上述安全问题，并且还包括与如何减少启动时间相关的问题。
发明内容
[0004]技术问题
[0005]因此，需要确保数字装置具有最小启动时间和最大安全性。然而，在通过简单地增强被包括在数字装置中的CPU（中央处理单元）的性能来解决这样的问题并且满足关联的需求中存在限制。此外，如果安全问题和启动问题中的任何一个被加强并且增强，那么存在必须放弃改进其它问题的问题。
[0006]技术方案
[0007]因此，本发明针对提供一种基本上消除了由于现有技术的限制和缺点而导致的一个或多个问题的数字广播接收器和数字广播接收器的启动方法。
[0008]本发明的另一目的在于提供一种能够在确保系统安全性的同时减少启动时间的方法和装置。
[0009]本发明的又一目的在于提供一种能够在保持与传统系统的向后兼容的同时增强整个系统的效率的方法和装置。
[0010]本发明的其它优点、目的和特征将在后面的描述中在某种程度上进行阐述，并且在检查下述内容之后对本领域的普通技术人员来说在某种程度上将会是明显的，或者可以从本发明的实践习得。可以通过在书面的描述及其权利要求以及附图中具体指出的结构来实现和获得本发明的目的和其它优点。
[0011]为了根据本发明的目的实现这些目的和其它优点，如在此实施和广泛描述的，根据本发明的实施例，一种数字广播接收器中的系统的安全启动的方法包括：使用于生成数
字签名的多个交织（interleave）部分分别与整个固件图像对准；生成每个交织部分的数字签名；选择特定的交织部分；生成第一消息摘要以及第二消息摘要，该第一消息摘要用于读取整个固件图像中的所选择的交织部分的区域，该第二消息摘要来自所选择的交织部分的数字签名；以及基于第一消息摘要和第二消息摘要来验证固件图像，并且启动数字广播接收器中的系统。
[0012] 根据本发明的另一实施例，一种数字广播接收器中的系统的安全启动的方法包括：基于文件系统在整个固件图像中划分成报头部分、主体部分以及尾部部分，其中使主体部分与用于生成数字签名的多个交织部分分别对准，并且报头部分和尾部部分作为整个区域包括主体部分的所有交织部分；生成每个交织部分的数字签名；选择特定的交织部分；生成第一消息摘要和第二消息摘要，该第一消息摘要用于读取整个固件图像中的报头部分和尾部部分中的任何一个，该第二消息摘要来自所选择的交织部分的数字签名；以及基于第一消息摘要和第二消息摘要来验证固件图像，并且启动数字广播接收器中的系统。
[0013] 根据本发明的又一实施例，一种系统的安全启动的数字广播接收器包括：控制器，该控制器被配置成进行控制以使用于生成数字签名的多个交织部分分别与整个固件图像对准，以及生成每个交织部分的数字签名，该控制器进一步被配置成进行控制以选择特定的交织部分，生成第一消息摘要和第二消息摘要，该第一消息摘要用于读取整个固件图像中的所选择的交织部分的一个或者多个区域，该第二消息摘要来自所选择的交织部分的数字签名，以及基于第一消息摘要和第二消息摘要来验证固件图像，并且启动数字广播接收器中的系统。
[0014] 根据本发明的又一实施例，一种系统的安全启动的数字广播接收器包括：控制器，该控制器被配置成进行控制以基于文件系统来在整个固件图像中划分成报头部分、主体部分以及尾部部分，其中主体部分分别与用于生成数字签名的多个交织部分对准，以及报头部分和尾部部分作为整个区域包括主体部分的所有交织部分，以及生成每个交织部分的数字签名，该控制器进一步被配置成选择特定的交织部分，生成第一消息摘要和第二消息摘要，该第一消息摘要用于读取整个固件图像中的报头部分和尾部部分中的任何一个，该第二消息摘要来自所选择的交织部分的数字签名，以及基于第一消息摘要和第二消息摘要来验证固件图像，并且启动数字广播接收器中的系统。
[0015] 应当理解，本发明的前述的一般描述和下面的详细描述二者是示例性和解释性的，并且意在提供对于要求保护的本发明的进一步解释。
[0016] 有益效果
[0017] 根据本发明的数字广播接收器和数字广播接收器的启动方法具有下述优点。
[0018] 首先，本发明可以在确保最大系统安全性的同时最小化启动时间。
[0019] 其次，本发明能够减少启动时间以便于增强用户便利性，从而能够快速地对用户的请求进行响应。
[0020] 而且，最后，本发明能够在保持与传统系统的向后兼容的同时提高整个系统的效率。
附图说明
[0021] 附图被包括进来以提供本发明的进一步理解，并且附图并入本申请中并且组成本
申请的一部分，附图示出了本发明的实施例并且与描述一起用作解释本发明的原理。在附图中：
[0022]图1示出了根据本发明的数字电视接收器的示例性结构的框图；
[0023]图2示出了根据本发明的第一实施例的安全启动方法；
[0024]图3和图4示出了根据本发明的第二实施例的安全启动方法；
[0025] 图5示出了根据本发明的第三实施例的安全启动方法；[0026] 图6示出了图5中所示的安全启动过程的流程图；[0027] 图7示出了根据本发明的示例性文件系统；
[0028]图8示出了使用图7中所示的文件系统的特性的安全启动方法；
[0029]图9示出了根据本发明的示出安全启动方法的示例性操作流程的流程图；
[0030] 图10示出了根据本发明的作为二进制图像被存储在存储单元中的整个固件图像的示例；
[0031] 图11示出了根据本发明的被分类为多个分区（多个二进制）并且被存储在存储单元中的、存储在装置中的多个应用的示例；
[0032]图12示出了根据本发明的仅用于每个分区的使用区的划分分段的示例；
[0033] 图13示出了根据本发明的第五实施例的安全启动方法；[0034] 图14示出了根据本发明的第六实施例的安全启动方法；[0035] 图15示出了根据本发明的第七实施例的安全启动方法；[0036] 图16示出了根据本发明的第八实施例的安全启动方法；以及
[0037]图17示出了根据本发明的安全启动方法的另一示例性操作流程的流程图。
具体实施方式
[0038] 现在将详细参考本发明的优选实施例，其示例在附图中示出。只要有可能，在附图中将使用相同的附图标记来指示相同或者相似的部分。
[0039]在下文中，将参考附图来详细地描述本发明的各种实施例。
[0040]本发明涉及一种数字广播接收器和数字广播接收器的启动方法，并且，更加具体地，涉及一种能够在确保最大系统安全性的同时执行快速启动的数字广播接收器和数字广播接收器的启动方法。
[0041]在本发明的下面的描述中，为了促进并且简化对本发明的理解，安全启动方法将作为启动方法的示例被给出。另外，能够处理通过不同的媒体传送的数字电视信号的数字电视接收器将作为数字广播接收器的示例被给出。然而，本发明将不仅限于上述示例。而且，因此，根据本发明的数字广播接收器的示例可以包括能够执行安全启动的所有类型的系统，包括嵌入式系统，诸如智能电话、卫星直播TV、智能TV、IPTV、提供VOD服务的机顶盒等。应当理解，本发明的范围和精神将不仅限于在下文中详细描述的本发明的实施例。还明显的是，通过使用在此引入的相同或者类似的方法，用于解决本发明的问题的原理可以适用于所有的可应用领域。
[0042]在本发明的下面的描述中，“安全启动”将不用作在现有技术的嵌入式系统中应用的启动处理，而是用作根据本发明的下述实施例中的每一个的用于在确保最大系统安全性的同时实现快速启动的启动处理的统称。
[0043] 数字广播接收器
[0044] 图1示出了根据本发明的数字电视接收器的示例性结构的框图。
[0045] 图1示出了作为系统的示例的数字电视接收器，其中，能够应用根据本发明的下述实施例的安全启动方法。
[0046]在通过使用根据本发明的实施例中的任何一个的安全启动方法来执行系统的安全检查和启动之后，根据本发明的数字电视接收器通过天线和电缆来接收数字电视信号和包括该数字电视信号的IP分组并且然后，处理接收到的数字电视信号和IP分组。而且，作为用于保护传送的内容的手段，数字电视接收器可以采用条件接入、内容保护等。为此，数字电视接收器可以使用有线卡、DCAS（可下载的条件接入系统）等作为条件接入、内容保护等的示例。有线卡或者DCAS的使用是通过提供所请求的服务的服务提供商可以选择的选项。而且，在接收器中使用有线卡或者DCAS的情况下，与接收器进行通信的服务提供商还应当使用相同的系统。
[0047] 在下文中，将详细地描述配置数字电视接收器的每个元件。因为在后面的过程中将描述安全启动方法，所以在该部分的描述中将省略其详细描述。
[0048] 图1示出了配置成接收基于IP的IPTV服务、有线广播、陆地（或者地面波）广播、卫星广播等的数字电视接收器。然而，根据图1中所示的接收器的实施例，数字电视接收器可以仅接收和处理IPTV服务或者接收和处理有线广播。此外，根据数字广播接收器的实施例，参考图1的每个元件可以通过使用不同的术语来指代。
[0049] 图1的接收器广泛地由主机和有线卡组成。主机包括网络调制解调器100、第一宽带接口单元102、第二宽带接口单元104、解调器106、复用器108、解复用器110、解码器
112、以太网NIC（网络接口卡）（IP物理接口单元）114、TCP/IP网络单元（路由引擎）116、IP到TS解封装器118、控制器122、DCAS（可下载CAS）单元124、DVR（数字视频记录器）控制器126、内容加密单元128、存储接口单元130、以及存储单元132。有线卡120可以与仅能够处理一个流的单流卡相对应，或者可以与能够同时处理多个流的多流卡相对应。
[0050]接收器与开放式电缆类型相对应，其中从主体拆卸（分离）包括有条件接入（CA）系统的有线卡。有线卡也被称为POD（部署点）模块。而且，在此，有线卡被可拆卸地固定到接收器的主体槽。另外，其中插入有线卡的主体被称为主机。换言之，有线卡和主机被统称为接收器。网络连接器140执行将外部网络与接收器连接的作用。例如，网络连接器140可以将外部IP网络与接收器连接。例如，当使用MoCA（同轴电缆多媒体联盟）时，基于IP的网络可以被内置在同轴电缆网络内以便于执行连接。替代地，可以通过使用DOCSIS调制解调器来与外部网络进行连接，或者可以通过使用执行与无线因特网网络的连接的无线（或者无线电）中继站、或者通过使用执行与有线因特网网络的连接的诸如有线ADSL中继站的有线中继站，来与外部网络进行连接。然而，与外部网络的连接仅仅是示例性的。而且，因此，网络连接器的类型可以根据与外部网络的连接的方法而变化。
[0051] 第一广播接口单元102仅对通过天线传输的地面波（或者陆地）A/V（音频/视频）广播信号当中的特定信道频率、或者通过连接到网络连接器100的电缆经由带内传输的电缆A/V广播信号进行调谐。然后，第一宽带接口单元102将被调谐的信号输出到解调器106。[0052] 此时，因为地面波广播的传输方法不同于有线广播的传输方法，所以通过解调器
106执行的解调方法也可以相应地变化。例如，地面波A/V广播通过VSB（残留边带）进行
调制并且然后进行传送，并且有线广播通过QAM（正交幅度调制）来进行调制并且然后进行传输。因此，如果由第一宽带接口单元102调谐的信道频率与地面波广播相对应，那么解调器106使用VSB方法来执行解调。而且，如果由第一宽带接口单元102调谐的信道频率与有线广播相对应，那么解调器106使用QAM方法来执行解调。
[0053] 第二宽带接口单元104仅对通过连接到网络连接器100的电缆经由带内传送的有线A/V广播信号当中的特定频率进行调谐，并且然后，将调谐的信号输出到解调器106。[0054] 第一宽带接口单元102和第二宽带接口单元104可以用于对不同信道的信号进行调谐，从而将调谐的信号传送到解调器106。替代地，第二宽带接口单元104可以对与第一宽带接口单元102的相同信道的不同A/V流进行调谐，从而将调谐的流（或者信号）传送到解调器106。例如，第一宽带接口单元102可以调谐主画面的流，并且第二宽带接口单元104可以调谐PIP（画中画）的流。而且，在通过使用DVR（数字视频记录器）存储数字图像（或者视频）信号的情况下，可以通过使用第一宽带接口单元102和第二宽带接口单元104来在观看（或看）图像的同时存储图像（或者视频）（即，看&记录）。
[0055]解调器106对接收到的信号进行解调，并且将解调的信号传送到复用器108。复用器108可以对输入到解调器106以及IP至TS解封装器118的信号执行复用，并且然后输出复用的信号。例如，由第一宽带接口单元102调谐并且解调的主图像可以与由第二宽带接口单元104调谐并且解调的PIP图像进行复用，从而将其输出。此外，根据本发明的实施例，不同信道的图像可以被复用和输出，或者使图像与从IP至TS解封装器118输出的信号进行复用，从而将其输出。
[0056] 如果从复用器108输出的信号与地面波广播信号相对应，那么输入的信号可以被输出到解复用器110。而且，如果从复用器108输出的信号与有线广播信号或者IPTV广播信号相对应，那么通过固定在槽中的有线卡120将输入的信号输出到解复用器110。在此，为了防止高增加值广播内容的复制并且允许高增加值广播内容的受限（或者有条件）接入，有线卡120包括还可以被称为POD（部署点）模块的有条件接入（CA）系统。更具体地，如果对接收到的广播信号进行加扰，那么有线卡120对相对应的广播信号进行去加扰，并且然后将去加扰的信号输出到解复用器110。如果没有安装有线卡120，那么将从复用器108输出的A/V广播信号直接地输出到解复用器110。在该情况下，因为加扰的A/V广播信号不能够被解扰，所以不能提供对图像的正常观看。
[0057]解复用器110分离输入的视频信号和输入的音频信号，从而将分离的信号输出到解码器112。解码器112将通过使用视频解码算法和音频解码算法来将分别压缩的A/V信号中的每一个恢复到初始状态，从而输出恢复的信号以进行显示。
[0058]DVR（数字视频记录器）控制器126、内容加密单元128、存储接口单元130以及存储单元132中的每一个都执行存储接收到的数字信号或者回放（或者再生）存储的数据的作用。根据控制器122的控制，DVR控制器126被控制为存储从解复用器110输出的数据中选择的图像数据（或者视频数据）或者回放（或者再生）从存储的数据中选择的图像数据（或者视频数据）。内容加密单元128加密和输出要存储的数据，或者恢复加密的和存储的数据并且输出恢复的数据。根据本发明的实施例，可以不使用内容加密单元128。
[0059]存储接口单元130执行与存储单元132的输入和输出对接，并且存储单元132存储输入的数据。
[0060] DCAS单元124可以下载并且存储来自传送端的服务器的有条件接入系统（CAS）。此后，DCAS单元124可以根据存储的有条件接入系统当中的最适当的有条件接入系统来执行有条件接入功能。控制器120控制在主机和有线卡之间的接口，并且还控制主机的数据处理。
[0061]在通过网络控制器100接收到的信号当中，以太网NIC114接收传送到特定IP地址的以太网帧分组，并且然后将接收到的以太网分组传送到路由引擎116。替代地，以太网NIC114可以传输来自路由引擎116的双向通信各自的数据（例如，收费的节目订阅、接收器的状态信息、用户输入等），并且可以通过网络连接器100将接收到的数据传送到外部网络。特定的地址可以与主机本身的IP地址或者有线卡的IP地址相对应。
[0062] 在图1中示出的接收器的情况下，可以通过以太网NIC114来接收IP协议各自的IPTV广播信号、或者VOD（视频点播）信号、或者OOB（带外）消息信号。在传统的有线广播的情况下，可以使用DSG（DOCSIS机顶盒网关）方法或者OOB（带外）方法来接收OOB消息，诸如SI（系统信息）、EAS（紧急报警系统）、XAIT（扩展应用信息表）、有条件接入系统信息、各种有线卡控制信息等。
[0063] 在图1中示出的接收器的情况下，DOCSIS调制解调器或者OOB调谐器可以被装备在主机内，使得接收器能够接收OOB消息。例如，IP方法和OOB方法中的一个可以用于接收OOB消息、或者IP方法、DSG方法中的一个，并且OOB方法可以用于接收OOB消息。[0064] 在通过使用IP方法和OOB方法中的一个接收OOB消息的情况下，图1中示出的接收器进一步需要OOB调制解调器、解调器等。而且，在通过使用IP地址、DSG方法和OOB方法中的一个接收OOB消息，图1中示出的接收器进一步需要DOCSIS调制解调器、OOB调制解调器、用于选择DSG方法和OOB方法中的一个的切换单元、用于根据每个方法将数据传送到头端部分的解调器等。
[0065] 而且，如上所述，在使用所有的IP方法、传统的DSG方法以及OOB方法的情况下，或者在使用IP方法和OOB方法的情况下，当排除了DSG方法时，传送端决定要使用哪一种方法，并且将相应的信息传送到有线卡。
[0066] 有线卡根据由传送端决定的信息来向主机通知操作方法。在该情况下，还可以解决向后兼容的问题。
[0067]在图1的接收器的描述中，作为使用DOCSIS调制解调器的DSG的方法或者使用OOB调谐器的OOB方法的替代，为了简化将主要描述使用IP通过以太网NIC114来接收OOB消息的情况。在该情况下，传送端应当对OOB消息进行分组化，并且通过使用IP来传送分组的OOB消息。在VOD广播或者IPTV广播的情况下，可以以与VOD分组或者IPTV分组相同的分组格式接收诸如有条件接入系统信息的消息。
[0068] 然而，OOB消息仅仅是在本发明的描述中给出的示例。因此，根据本发明的实施例，可以添加除了上述示例性信息之外的其他需要的信息。替代地，在上述示例性信息当中，可以排除不必要的信息。
[0069]TCP（传输控制协议）/IP（因特网协议）网络单元116使用基于TCP/IP的网络栈来将接收到的分组路由到分组的目的地。路由引擎116支持TCP/IP和UDP（用户数据报协议）。
[0070] 路由引擎116将接收到的VOD信号或者IPTV信号路由到IP至TS解封装器118。
IP至TS解封装器118解析接收到的基于MPEG（运动图像专家组）的IP分组，并且将解析的IP分组输出到复用器108。在上面已经详细地描述了在复用器108之后的操作过程。因为在上述示例中假定广播信号是基于MPEG的，所以接收并且分组化TP分组。然而，在接收到使用不同的标准的广播信号的情况下，可以使用除了TP分组单元之外的单元。因此，本发明的精神和范围将不仅限于根据本发明的实施例的这里使用的术语。
[0071]通过路由引擎116来路由与使有线卡作为其目的地的分组中的一个相对应的OOB
（带外）消息，以将其传送到有线卡120。在将OOB消息路由到有线卡120的情况下，可以经由第二层路由或者第三层路由将数据传送到有线卡120。在使用第二层路由的情况下，可以通过使用包括在接收到的以太网帧的报头中的目的地的MAC（媒体访问控制）地址系统来执行路由处理。第二层路由或者第三层路由的使用可以根据本发明的实施例而变化。更具体地，根据本发明的实施例，可以使用第二层路由，或者可以使用第三层路由。
[0072]数据信道和扩展信道存在于有线卡和主机之间。数据信道被设置为使得能够传送并且接收在主机和有线卡之间的控制信号，并且扩展信道与设置为接收和传送实际数据的信道相对应。扩展信道与定义为在主机和有线卡之间进行传送和接收的控制信号的CPU接口相对应。更具体地，有线卡在与传送端进行通信之后，执行解释从传送端接收到的命令的作用，并且执行在通过数据信道和扩展信道与主机进行通信的同时，由传输端执行所针对的细节的作用。替代地，有线卡执行将用户输入的细节传递到传送端的作用。
[0073]此时，为了通过扩展信道传送数据，首先应当确定与在有线卡和主机之间定义的数据类型相对应的传输路径。这被称为流。例如，为了传送MPEG部分（section）数据，应当首先确定在有线卡和主机之间的MPEG部分流。此后，可以通过相对应的流来传送实际的MPEG部分数据。扩展信道内的流可以包括IP单播（IP_U）流、IP组播（IP_M）流、DSG流、最多6个MPEG部分流等。然而，在主机内部没有使用诸如DOCSIS调制解调器的eCM（嵌入式有线调制解调器）的情况下，在列出的流当中，不使用DSG流。
[0074]如上所述，在设置主机的通信操作模式之前，或者在传送和接收主机和有线卡之间的OOB消息之前，主机应当向有线卡通知主机的网络操作模式支持信息。因此，当在主机和有线卡之间的接口被初始化时，就如在启动主机或者使卡插入到主机的情况下，主机向有线卡传送主机的网络操作模式支持信息。
[0075]在下文中，将详细描述能够适用于上述数字电视接收器的根据本发明的不同实施例的安全启动方法。
[0076]根据本发明的每个实施例，安全启动过程，即，芯片210支持的安全启动过程包括：
[0077]1)第一认证步骤，其中通过OTP（一次性密码）（例如，公钥）来对引导加载程序的数字签名230执行认证或者验证，
[0078] 2）第二认证步骤，其中，一旦通过了第一认证步骤，就在引导加载程序220中对固件（或者固件图像）的数字签名执行认证或者验证。该安全启动过程还可以被称为可信链。[0079] 在此，如果在上述第一认证步骤和第二认证步骤中的任何一个发生故障，那么系统启动被中断。另一方面，如果上述第一认证步骤和第二认证步骤二者是成功的，那么在系统启动之后，发起系统的主要功能。
[0080]更具体地，本发明涉及第二认证步骤，其被设计为在第二认证步骤期间，在确保设
备或系统的最大安全性的同时，使用最小的启动时间来实现快速启动。
[0081]在下文中，本发明的每个实施例可以适用于固件240，其被存储在相对应的系统的存储单元200中。存储单元200可以包括所有类型的存储装置，诸如闪速存储器、HDD（硬盘驱动）等。
[0082]第一实施例
[0083]图2示出了根据本发明的第一实施例的安全启动方法。
[0084]根据本发明的第一实施例，为了执行安全启动，私人密钥用于生成与存储单元200
内的固件240的所有区域有关的单个数字签名。此后，生成的数字签名被存储在存储单元
200内的特定区域250中。
[0085]接下来，具有与私人密钥相应的公共密钥的引导加载程序220通过读取用于每个启动过程的固件240的整体区域并且通过将读取的区域与生成的数字签名进行比较来执行针对相应的固件的安全的认证程序。
[0086]根据本发明的第一实施例，每当通过读取固件240的整个区域来启动系统时引导加载程序220执行认证程序，从而能够对抗黑客进行的任何入侵攻击的良好并且完整的系统安全检查。然而，根据本发明的第一实施例，当执行认证程序时，因为需要引导加载程序
220读取固件240的整个区域以执行认证，所以认证过程是耗时的（即，认证时间长）。这最终指示了整个系统的启动时间也变长。因此，在固件的尺寸大的情况下，如果根据本发明的第一实施例执行认证程序，那么认证时间增加，从而延长整个系统的启动时间。
[0087]第二实施例
[0088]图3和图4示出了根据本发明的第二实施例的安全启动方法。
[0089]参考图3和图4，根据本发明的第二实施例，与本发明的第一实施例不同，其中当每次启动系统执行认证程序时，引导加载程序220读取固件240的整个区域，仅固件内的一个或者多个特定区域（在下文中被称为一个或者多个交织部分）被读取，以执行生成与整个固件有关的或者生成与特定区域有关的单个数字签名的认证。
[0090]图3示出了其中仅一个交织部分存在于固件内的示例，并且图4示出了其中三个交织部分存在于固件内的示例。
[0091]参考图3，例如，一个交织部分310被配置成在固件240的最上面的部分处的15MB
大小的偏移位置的区域中具有5MB的大小。
[0092]因此，每次启动系统时，引导加载程序220通过读取其中仅交织部分310位于固件
240内的区域来执行认证程序，从而覆盖整个固件240的认证。
[0093]在图4中，第一至第三交织部分410、420和430分别被配置成在相对于固件240
的最上面部分的0MB、10MB和20MB大小的偏移位置的区域中具有1MB的大小。
[0094]因此，每次启动系统时，引导加载程序220通过仅读取固件240内的第一至第三交织部分410、420和430来执行认证程序，从而覆盖整个固件240的认证。
[0095]根据参考图3和图4在上面描述的本发明的第二实施例，固件内的每个交织部分的大小、偏移位置以及数目都被在总体地考虑所有装置的系统性能、目标认证时间和/或目标安全级别等来决定。而且，因此，本发明将不仅限于在附图中示出的示例。
[0096]因此，根据本发明的第二实施例，与根据本发明的第一实施例的方法相比，可以显著地减少启动时间。然而，因为没有对其提供固件240内的交织部分的其它区域更加易于
受到黑客的入侵攻击，所以与根据本发明的第一实施例的认证方法相比，确保安全对抗黑客入侵的各方面是不太可靠的并且不是安全的。
[0097]第三实施例
[0098]图5示出了根据本发明的第三实施例的安全启动方法，并且图6示出了图5中所示的安全启动过程的流程图。
[0099] 根据本发明的实施例，数字广播接收器中的系统的安全启动的方法包括：使用于生成数字签名的多个交织部分分别与整个固件图像对准；生成每个交织部分的数字签名；选择特定的交织部分；生成第一消息摘要和第二消息摘要，该第一消息摘要用于读取整个固件图像中的所选择的交织部分的区域，该第二消息摘要来自所选择的交织部分的数字签
名；以及基于第一消息摘要和第二消息摘要来验证固件图像，并且启动数字广播接收器中的系统。
[0100]如上所述，在本发明的第一实施例中更加强调确保对抗黑客攻击的安全性的方面，并且在本发明的第二实施例中更加强调认证时间的方面。然而，本发明的第一实施例和第二实施例可以被认为不足以在执行快速启动的同时确保安全。因此，在下文中，将会详细地描述能够满足这两个方面的本发明的实施例。
[0101]在下文中，将顺序地并且参考图6来详细地描述图5中示出的本发明的第三实施例。
[0102]首先，整个固件240被划分为N个区域（或者区）。然后，生成多个交织部分（图5中示作交织部分A510、交织部分B520以及交织部分C530），然后在N个划分的区域中充分对准（S601）。更具体地，根据系统决定的对准顺序，交织部分A至C在划分整个固件
240的N个区域中的每一个中充分对准。例如，在图5中示出了针对N个区域交织部分以A-C-B-A-C-A-B-C-B-C-B-A顺序对准。然而，该对准顺序仅是示例性的，并且因此，本发明将不仅限于在此提出的示例性对准顺序。
[0103]在上述过程中，为了通过将系统设置为使得能够覆盖在当前固件240中使用的所有区域并且通过相应地检查和认证固件安全来实现快速启动，可以在考虑到相应系统的特性的同时决定值N。此外，值N随后可以根据在固件的使用中的进度、固件更新等而变化。[0104]另外，例如，划分为N个区域的固件240内的每个区域的大小可以与交织部分的大小相同。
[0105]而且，参考图5，虽然示出了交织部分存在于固件内的N个区域当中的每个其它的区域中，但是这仅是给予有助于本发明的理解的示例。因此，交织部分中的每一个可以存在于划分为覆盖整个固件的N个区域的每一个中。此外，在固件被划分为N个区域同时包括未使用的区域的情况下，交织部分之间的间隙（或者空间）可以被理解为固件内的未使用的区域。
[0106] 随后，针对在N个区域中充分对准的多个交织部分中的每一个生成数字签名，并且所生成的数字签名540、550、560分别被存储在预定的区域中（S602）。在此，生成的数字签名的数目与多个交织部分的数目相对应，其与根据本发明的第一实施例和第二实施例的方法不同。参考图5，交织部分A至C在覆盖整个固件240的N个区域中充分对准。在此，能够知道与交织部分A至C中的每一个相应的总共3个数字签名540、550、560（用于具有位于其中的交织部分A的固件内的区域的数字签名、用于具有位于其中的交织部分B的固
件内的区域的数字签名、以及用于具有位于其中的交织部分C的固件内的区域的数字签名）被生成和存储。
[0107]在步骤S602之后，每次启动系统时，系统就在多个交织部分当中选择交织部分
（S603）。在此，例如，可以通过使用等概率的选择方法作为用于实现真正的随机选择的选择方法来执行交织部分的选择。然而，与上述选择相关地，本发明将不仅限于等概率的选择方法。而且，尽管可以使用能够防止选择根据一致模式来进行的实现真正的随机选择的其它的方法以最小化由于黑客入侵而引起的损坏和丢失，但是因为这样的方法使用公开的技术，所以为了简单起见将省略其详细描述。
[0108]在步骤S602中，针对所选择的交织部分的区域来生成散列，并且将生成的散列与用于所选择的交织部分的数字签名作比较（S604）。在此，散列是用于消息摘要的算法和示例。
[0109]基于步骤S604的比较结果，如果检测到安全性损害，则系统被黑客入侵，或者系统不适用于启动。因此，启动代码被校正，或者用于启动代码的数字签名被校正，使得系统启动程序不再继续（S605）。然而，在相反的情况下（如果没有检测到安全性损害），则系统完成安全启动程序。
[0110]参考图5和图6，根据本发明的第三实施例，可以验证对抗黑客入侵的整个固件的安全状态。因此，因为没有要求读取整个固件，所以还可以实现快速启动。
[0111] 此外，当将本发明应用于实际系统时，可以根据应用本发明的系统的计算能力来采用大范围的应用方案。例如，在多核或者多处理器的系统中，作为一个交织部分的替代，选择多个交织部分，以便于针对交织部分中的每一个并行地执行认证，从而在不增加认证时间的情况下，增加调制码的检测速率。替代地，即使选择了一个交织部分（例如，如果交织部分A被选择），可以针对在交织部分A（3个部分被包括在图5中示出的交织部分A中）中对准的每个区域并行地执行认证程序，从而减少认证时间。
[0112]第四实施例
[0113]图7示出了根据本发明的示例性文件系统，并且图8示出了使用图7中示出的文件系统的特性的安全启动方法。
[0114]根据本发明的实施例，数字广播接收器中的系统的安全启动的方法包括：基于文件系统来在整个固件图像中划分成报头部分、主体部分以及尾部部分，其中使主体部分分别与用于生成数字签名的多个交织部分对准，并且报头部分和尾部部分作为整个区域包括主体部分的所有交织部分；生成每个交织部分的数字签名；选择特定的交织部分；生成第一消息摘要和第二消息摘要，该第一消息摘要用于读取整个固件图像中的报头部分和尾部部分中的任何一个，该第二消息摘要来自所选择的交织部分的数字签名；以及基于第一消息摘要和第二消息摘要来验证固件图像并且启动数字广播接收器中的系统。此时，如果主体部分的任何交织部分被修改，则更新报头部分和尾部部分。
[0115]根据本发明，装置被装备在独特的文件系统内。为了简单起见，图7示出了作为独特的文件系统的示例的压缩（squash）文件系统的示例性布局。
[0116]参考图7，通过包括称为超级块的报头部分710、包括数据块和片段的主体部分
720以及包括索引节点表、目录表、片段表、导出表、uid/gid表的尾部部分730来构造压缩文件系统。
[0117]在此，本质上在图7中示出的压缩文件系统中，如果在数据块或者片段中出现任何变化，那么报头部分710的数据被修改或者更新。更具体地，可以通过使用报头部分710来知道数据块或者片段中的任何改变。
[0118] 图8尝试指示图7中示出的压缩文件系统的特性并且在安全启动方法中使用这样的特性。
[0119] 参考图8，如图7的压缩文件系统中所示，能够知道固件240的整个区域被划分为超级块区域（在下文中称为报头部分）810、数据块区域（在下文中称为主体部分）820以及索引节点表、目录表、片段表、导出表、uid/gid表区域（在下文中被称为尾部部分）830。[0120] 这里，例如，如在上述本发明的第三实施例中所示，整个主体部分820可以被划分为N个区域，并且可以使多个交织部分（例如，图8中的交织部分A、B和C）相对于被划分为N个区域的整个主体部分820充分对准。图8示出了其中交织部分A、B、以及C以C-B-A-C-A-B-C-B-C-B的顺序在主体部分820中顺序对准的示例。
[0121] 相反，多个交织部分都被包括在报头部分810和尾部部分830中。在图8中，能够知道交织部分A、B、以及C都被包括在报头部分810和尾部部分830中。
[0122]因此，当使用上述压缩文件系统的特性时，即使根据本发明的第三实施例通过真正的随机选择来选择至少一个交织部分，也总是包括报头部分810或者尾部部分830。而且，即使仅报头部分810或者尾部部分830中的一个区域被认证，因为与主体部分820中的任何修改或者改变相关的信息被更新到报头部分810或者尾部部分830，所以可以在实现快速启动的同时确保系统安全。因此，在黑客直接地入侵并且调制报头部分810或者尾部部分830的情况下，可以立即检测到这样的入侵和调制。而且，即使黑客入侵并且调制主体部分820的一部分，因为此信息被反映到报头部分810和尾部部分830中的至少一个，所以也可以检测到该入侵和调制。
[0123] 因此，根据本发明的第四实施例，可以有效地防止在装置的文件系统中可能出现的任何安全性损害。
[0124] 图9示出了示出根据本发明的安全启动方法的示例性操作流程的流程图。
[0125] 图9使用基于PKI（公钥基础设施）的算法作为电子签名方法，并且在嵌入式环境中，为了减少PKI算法的计算量（时间），另外使用消息摘要算法。
[0126] 当启动系统时，图1的CPU122执行图9中示出的操作流程。更具体地，每当启动系统时，CPU122在多个交织部分当中随机地选择任意交织部分（S901），并且然后，从由选择的交织部分指定的存储单元132内的每个位置读取预定大小的选择的交织部分（S902），以便于将读取的交织部分加载到存储器，从而执行消息摘要（S903）。
[0127]另外，CPU122从存储单元132读取与所选择的交织部分（S904）相对应的数字签名信息（S905），以便于将读取的数字签名信息加载到存储器，并且还从存储单元读取引导加载程序220的公钥信息，以便于将读取的公钥信息加载到存储器。此后，通过使用读取的引导加载程序220的公钥信息来解密读取的数字签名信息（S906）。
[0128] CPU122将从解密过程输出的值与从消息摘要过程输出的值作比较（S907）。而且，如果两个值彼此相等，那么启动程序被恢复（S908（）即，启动是成功的）。而且，如果两个值彼此不同，那么启动程序被停止（S909）。此外，通过使用删除或者修改启动代码的方法，或者通过使用删除或者修改用于启动代码的数字签名的方法，系统的启动可能被永久地禁
用（即，系统可能是永久地无法启动的）。
[0129]在下文中，将详细地描述被划分为多个分区的用于应用的安全启动方法。
[0130]第五实施例和第六实施例
[0131]图10示出了根据本发明的作为二进制图像存储在存储单元中的整个固件图像的示例，图11示出了根据本发明的被分类为多个分区（多个二进制）并且存储在存储单元中的、存储在装置中的多个应用的示例，并且图12示出了根据本发明的对仅用于每个分区的使用区的片段进行划分的示例。
[0132]根据本发明，数字广播接收器中的系统的安全启动方法包括：使得用于生成数字签名的多个片段分别与整个固件图像中的每个分区对准，其中，分区用于应用并且由不同的二进制图像组成；分别生成每个片段的数字签名；选择特定片段；生成第一消息摘要和第二消息摘要，该第一消息摘要用于读取每个分区中所选择的片段的区域，该第二消息摘要来自所选择的分段的数字签名；以及基于第一消息摘要和第二消息摘要来验证固件图像，并且启动数字广播接收器中的系统。
[0133]存储在存储单元中的应用可以被配置为单个分区并进行使用，并且需要时，应用还可以被划分为多个分区并进行使用。
[0134]在该情况下，可以共同地使用图10和图11。
[0135]在图10中，例如，当二进制图像被存储在存储单元中时，整个应用被配置为单个二进制图像，其可以与用于连续地存储相应的二进制图像而不受未使用的区域妨碍的有效结构相对应。而且，例如，与图5中的交织部分相对应的多个片段（片段#A1022、片段#B
1024、片段#C1026）与存储单元对准。因此，与图2类似地处理验证。
[0136]例如，图11对于下述情况是有效的，在该情况中，多个应用被配置为均彼此不同的二进制图像，从而被划分为多个分区并且被存储在存储单元中。
[0137]相反，图12对应于使用图11中所示的结构中的图10的方法的方法，其中仅每个分区的使用区域（或者区）被划分为多个片段。
[0138]因此，如图12中所示，在应用被划分为多个分区1120、1140、1160的情况下，仅针对每个分区的使用区域应用图5的方法。因此，读取整个固件，使得可以在不必将所读取的信息加载到存储器的情况下对整个固件进行认证。
[0139] 参考图12，例如，存在通过整个固件区域内的应用使用的K个区（或者区域），即，分区。而且，可以通过使用N个片段1210、1220以及1230或者1240、1250和1260来标识各个分区。
[0140]在此，系统能够知道在系统的运行时间期间的每个分区的使用的大小和开始偏移，并且N是预定值。此时，要读取的片段使用开始偏移和N值信息，以便于能够读取所需要的（或者必要的）部分。
[0141]因此，不需要读取图11和图12中示出的未使用的区域并且将其加载到存储器，并且不需要计算用于未使用的区域的数字签名。更具体地，用于未使用的区域的认证过程可以被省略。因此，用于整个固件的认证时间可以被减少，并且通过防止值N过度增加，可以设置最佳N值，从而进一步提高认证过程的效率。
[0142]图13示出了根据本发明的第五实施例的安全启动方法。
[0143]图13示出了具有图12的方法所适用于的固件的示例。
[0144]参考图13，M个未使用的区域1320、1340和由应用使用的k个使用的区域1310、
1330的分区存在于整个固件内。这里，在每个分区中，例如，N个片段被对准使得覆盖相应分区的整个区域。此时，在每个分区中片段的数目可以相同，或者可以根据每个分区的大小而彼此不同。而且，在所有的分区中片段1312、1314以及1316或1332、1334和1336可以具有相同的对准顺序，或者片段可以具有用于每个分区的不同的对准顺序。
[0145]此外，在图13中，生成与n个片段中的每一个相关的数字签名1352、1354以及
1356并且然后将其存储。
[0146]换言之，当从N个片段中选择至少一个或多个片段时，作为读取固件内的每个分区的所有片段的替代，通过仅读取其中多个选择的片段中的至少一个被对准的区（或者区域），根据本发明的第五实施例的安全启动方法可以在减少大量认证时间的同时确保安全启动。
[0147]图14示出了根据本发明的第六实施例的安全启动方法。
[0148] 本发明的第六实施例与上述本发明的第五实施例类似。因此，将对相同的部分进行参考，或者将对公共部分进行直接引用。因此，在下面的描述中将仅描述不同的部分。[0149] 例如，不需要将由固件内的应用使用的所有分区划分为N个片段。参考图14，在由应用使用的分区3和5（小分区）1410、1420的情况下，因为每个分区的大小很小，所以可以读取和认证相应的分区的整个部分。此外，在小分区的情况下，可以针对每个小分区单独地生成数字签名1432、1434，或者可以针对多个小分区生成单个数字签名。在这样的小分区的情况下，基于系统预先决定的标准来决定小分区的大小以及用于小分区的认证过程。而且，可以对如上所述决定的小分区进行默认设置，使得读取和认证相应的小分区的整个区域（或者区）。
[0150]第七实施例和第八实施例
[0151]图15示出了根据本发明的第七实施例的安全启动方法，并且图16示出了根据本发明的第八实施例的安全启动方法。
[0152]根据本发明，数字广播接收器中的系统的安全启动方法包括：使用于生成数字签名的多个片段分别与要验证整个固件图像中的整个区域的第一分区和第二分区对准，其中，每个第一分区分别用于应用并且分别由不同的二进制图像组成；生成每个片段的数字签名和第二分区；选择特定片段；生成第一消息摘要和第二消息摘要，该第一消息摘要用于读取第一分区和第二分区中的选择的片段的区域，该第二消息摘要来自选择的片段和第二分区的数字签名；以及基于第一消息摘要和第二消息摘要来验证固件图像，并且启动数字广播接收器中的系统。
[0153]这里，图15中示出的根据本发明的第七实施例的安全启动方法与本发明的第四实施例和第五实施例的组合的概念相对应，并且图16中示出的根据本发明的第八实施例的安全启动方法与本发明的第四实施例和第六实施例的组合的概念相对应。
[0154]现在将参考图15来描述本发明的第七实施例。在本发明的第七实施例中，固件被划分为多个分区1510和1520，如在本发明的第五实施例中所述。而且，与本发明的第五实施例不同，当每个分区使用多个片段1512、1514和1516时，使用压缩文件系统的概念，如本发明的第四实施例中所示。
[0155]现在将参考图16来描述本发明的第八实施例。在本发明的第八实施例中，固件被
划分为多个分区，包括小分区1610和1620，如在本发明的第六实施例中所示。这里，读取和认证每个小分区的整个区域，并且在其余的分区中使用压缩文件系统的概念，如在本发明的第四实施例中所示。
[0156]例如，当在特定分区中使用多个片段时，与本发明的上述第五实施例和第六实施例不同，压缩文件系统被划分为报头部分、主体部分、以及尾部部分，并且压缩文件系统可以被配置成使得所有的片段被包括在报头部分和尾部部分中。因此，通过仅读取报头部分和尾部部分并且通过将读取的报头部分和尾部部分加载到存储器，可以确保相应分区的整个区域的认证的安全，并且可以显著地减少认证时间。
[0157]此外，尽管未示出，考虑每个分区的大小，在特定分区中应用压缩文件系统的概念，如在本发明的第四实施例中所述，并且可以通过使用相应的分区的整个区域上的多个分区来执行安全启动，如在本发明的第三实施例中所述。这可以在基于用于相应系统的安全问题和认证时间来决定系统的有效结构之后在系统中应用。此外，在图7的压缩文件系统的情况下，当对每个数据块进行黑客攻击时，黑客攻击可能影响相应的块。然而，因为在压缩文件系统中在本质上压缩固件图像，所以在通过黑客攻击影响相应的块的情况下，可以修改压缩的文件，即，数据块的大小和偏移。因此，这样的修改被明显地反映到报头部分或者尾部部分，从而使得系统能够检测对各个固件图像检测任何调制。
[0158]图17示出了根据本发明的安全启动方法的另一示例性操作流程的流程图。
[0159]图17与图9中示出的上述操作流程几乎相同。
[0160]当启动系统时，图1的CPU122执行图17中示出的操作流程。更具体地，每次启动系统时，CPU122从多个片段中随机地选择至少一个片段（S1710），并且然后，从每个分区读取所选择的片段（S1702），以便于将读取的片段加载到存储器，从而执行消息摘要
（S1703）。
[0161]另外，CPU122从存储单元中读取与所选择的片段相对应的数字签名信息
（S1704），以便于将读取的数字签名信息加载到存储器，并且还从存储单元中读取引导加载程序220的公钥信息，以便于将读取的公钥信息加载到存储器。此后，通过使用引导加载程序220的读取的公钥信息来解密读取的数字签名信息（S1705）。
[0162]CPU122将从解密过程输出的值与从消息摘要过程输出的值作比较（S1706）。而且，如果两个值彼此相等，那么驱动程序被恢复（S1707）（即，启动是成功的）。而且，如果两个值彼此不同，那么启动程序被停止（S1708）。此外，通过使用删除或者修改启动代码的方法，或者通过使用删除或者修改用于启动代码的数字签名的方法，系统的启动可能被永久地禁用（即，系统可能是永久地无法启动的）。
[0163]图6或者图9或者图17中示出的上述操作流程可以仅被执行一次，或者，当根据安全级别来要求比较严密的安全性时，可以重复地执行相同的操作流程，或者可以对其它的交织部分或者片段重复地执行上述操作流程，从而确保较高级别的安全性。
[0164]在图1中示出的系统中应用本发明的上述实施例中的每一个。在包括CPU122
（这里，CPU包括所有的安全处理器、微处理器、以及通过HW实现安全功能的安全特定的芯片210）、存储器和存储单元（存储单元包括HDD或闪速存储器）的装置当中，本发明的每个实施例可以适用于任何类型的系统，该系统为了保护存储单元内的数据免受对存储单元内的数据的任何外部黑客入侵而尝试采用安全启动方法，其中黑客入侵包括对存储单元内的
数据的数据调制。更具体地，安全启动方法在系统中应用时是有效的，这需要对于固件的安全启动过程的快速验证。
[0165]如上所述，根据本发明的每个实施例，在启动过程期间，在确保系统的最大安全级别的同时最小化认证时间。而且，通过减少启动时间，可以提高用户便利性，并且系统能够更加快速地对用户的请求进行响应。另外，可以在保持与传统系统的向后兼容的同时提高整个系统的效率。此外，除了安全启动之外，在要求确保安全和减少的认证时间的各种领域中，可以应用根据本发明的方法。
[0166] 对本领域的技术人员来说明显的是，在不脱离本发明的精神或者范围的情况下，可以在本发明中进行各种修改和变化。因此，希望本发明涵盖本发明的修改和变化，只要落入所附权利要求及其等效物的范围内。
[0167] 本发明的模式
[0168] 各种实施例已经在本发明的具体实施方式部分中进行了描述。
[0169] 工业实用性
[0170] 本发明的实施例可以适用于包括嵌入式系统的数字装置。