一种双系统摄像头的安全启动的方法及其双系统摄像头设备与流程

本发明涉及摄像头，特别涉及一种双系统摄像头的安全启动的方法及其双系统摄像头设备。

背景技术：

1、近些年来，消费类的摄像头越来越普遍，有很多家庭用来记录美好生活。但目前市场上，消费类的摄像头在隐私安全方面却存在了很多的漏洞，这也给一些居心否侧的人有机会钻漏洞，远程窃取他人的隐私，从事违法犯罪的活动。

2、在现有的双系统摄像头设备中，安全性和数据完整性是关键的技术挑战。传统的摄像头设备通常依赖单一的操作系统镜像进行启动和运行，这使得它们容易受到恶意软件攻击和数据损坏的风险。此外，一旦系统发生故障，缺乏有效的冗余机制来保证服务的连续性。尽管一些设备采用了加密措施，但它们往往缺乏对启动过程的全面保护，导致潜在的安全漏洞。

3、此外，现有技术中的系统升级过程往往复杂且耗时，需要在升级当前运行的系统的同时，也升级备份系统。这一过程不仅效率低下，而且在升级过程中容易发生服务中断，影响用户体验。而且，一旦升级过程中断，如由于电源故障，系统可能无法恢复到稳定状态，导致设备无法使用。

技术实现思路

1、针对现有技术存在的问题，本发明提供一种双系统摄像头的安全启动的方法及其双系统摄像头设备。

2、本发明是根据linux系统的特点来定制的一套系统加密方法。首先，系统从uboot开始启动的。所以，我们采用了硬件加密，也就是将密钥烧录到主控芯片efuse区域，确保了只有特定的uboot才能够正常启动。一旦，uboot数据被修改，则无法通过签名验证，从而系统无法启动。通过这一举动，可以防止uboot被修改，这一项是整个加密系统的前提；

3、摄像头的系统分区大致如下：uboot、kernel＿a、rootfs＿a、appfs＿a、data＿a、kernel＿b、rootfs＿b、appfs＿b、data＿b。其中data分区记录了a系统和b系统各个分区的校验值。系统从uboot启动，从data分区中读取当前系统各个分区的校验值和系统版本号，并重新计算各个分区的校验值，判断版本更新的系统各个分区数据是否被修改过，如果正常则启动该系统；否则启动另外一个系统。当两个系统数据都被修改，则系统不再启动。这样，整个系统的数据就无法被黑客串改之后，还能够正常启动，确保了系统的安全性。

4、如果是启动a系统，则启动流程是uboot－－＞kernel＿a－－＞rootfs＿a－－＞appfs＿a。如果是启动b系统，则启动流程是uboot－－＞kernel＿b－－＞rootfs＿b－－＞appfs＿b。这样当任何一个系统出现坏块，另外一个系统无需升级也能正常使用。升级时，如果当前是a系统，则是升级b系统的分区数据，升级成功，重新计算kernel、rootfs、appfs的分区校验值并写入data分区，然后重新启动到b系统，升级不成功，则无需重启，继续使用当前a系统。升级时，如果当前是b系统，则升级的是a系统的分区数据，流程类似。这样，可以确保即使断电的情况下，也能保证摄像头系统正常使用。

5、为了上述目的，本发明提供一种双系统摄像头的安全启动的方法，包括：

6、步骤a.制作非加密和加密镜像；

7、步骤b.使用非加密镜像启动uboot；

8、步骤c.将密钥烧录到主芯片；

9、步骤d.加密uboot镜像，同时计算并加密写入flash data分区中的kernel、rootfs、appfs的crc校验值；

10、步骤e.加载并运行加密的uboot程序，与芯片内的密钥进行比对校验；若校验为非法，则阻止系统启动，若校验为合法，则继续执行以下步骤；

11、步骤f.从data分区读取当前系统各个分区的校验值和系统版本号，重新计算校验值，并与data分区中存储的校验值进行比较；

12、步骤g.若当前系统的校验值与重新计算的校验值匹配，则启动当前系统，若不匹配，则启动另一个系统；

13、步骤h.升级时，根据当前系统状态，升级另一系统的分区数据，并重新计算校验值，升级成功后切换到新系统。

14、优选地，所述步骤c中将密钥烧录到主芯片的具体过程为：在工厂制作的时候，在非加密的uboot中通过将密钥烧录到主芯片的方式进行加密，确保程序和主芯片一一对应；所述密钥烧录到主芯片的efuse区域。

15、优选地，所述步骤d中同时计算kernel＿a、rootfs＿a、appfs＿a和kernel＿b、rootfs＿b、appfs＿b的crc校验值，并通过des和aes加密写入到flash data分区中，其中crc、des、aes密钥采用混淆分散存储。

16、优选地，所述步骤e中的系统包括两个独立的操作系统镜像，分别为a系统和b系统。

17、优选地，所述步骤g中的a系统和b系统的校验值均不匹配，则两个系统均不启动。

18、优选地，所述步骤g中启动a系统，则启动流程是uboot－－＞kernel＿a－－＞rootfs＿a－－＞appfs＿a；所述步骤e中启动b系统，则启动流程是uboot－－＞kernel＿b－－＞rootfs＿b－－＞appfs＿b，从而使当任何一个系统出现坏块，另外一个系统无需升级也能正常使用。

19、优选地，在步骤h中若当前是a系统，则是升级b系统的分区数据，升级成功后，则重新启动到b系统，升级不成功，则无需重启，继续使用当前a系统；

20、若当前是b系统，则升级a系统的分区数据，待升级成功后，重新启动到a系统，升级不成功，则无需重启，继续使用当前b系统。

21、优选地，在当前是a系统或b系统时，升级步骤包括：下载对应的系统升级包、验证升级包签名。

22、在升级包验证不通过，则进行使用当前系统；

23、在升级包验证通过后，则进一步执行以下步骤：

24、写入分区数据至非活动系统的存储区域；

25、更新校验值和系统版本号至data分区；

26、在写入分区数据成功且校验值一致，则进一步执行以下步骤：

27、自动重新启动设备；

28、加载更新后的系统镜像；

29、在写入分区数据失败或校验值不一致，则执行以下步骤：

30、不重新启动设备；

31、继续使用当前激活的系统。

32、本发明还提供一种双系统摄像头设备，双系统摄像头的安全启动的方法，包括：

33、主芯片，用于存储密钥的efuse区域；

34、flash存储器，包括用于存储kernel、rootfs、appfs镜像的分区，以及用于存储校验值的data分区；

35、加密uboot程序，用于启动摄像头并执行安全校验流程；

36、两个独立的操作系统镜像，分别为a系统和b系统。

37、采用本发明的技术方案，具有以下有益效果：

38、本发明公开了摄像头双系统切换、升级方式、安全启动的一整套方法，通过对主芯片和flash芯片的加密，确保flash数据不被串改，可以有效的防止黑客往摄像头植入后门窃取用户的音视频隐私数据。

39、本发明从uboot、kernel、rootfs、appfs开始逐级加密，比市面上只加密kernel、rootfs、appfs的系统更加安全。其次，这套系统配备了双系统，可以解决由于flash自然损坏的坏块导致的校验失败，从而导致系统无法正常启动的异常状况。既解决了摄像头系统安全问题，又解决了增加安全性带来的用户体验问题。

40、本发明能提高安全性：通过在主芯片的efuse区域存储密钥，并使用加密的u-boot程序，本发明增强了系统的抗篡改能力，有效防止未授权的启动和恶意软件的攻击。

41、本发明能增强数据完整性：通过在flash存储器的data分区存储系统镜像的校验值，本发明确保了系统数据的完整性和一致性，减少了数据损坏的风险。

42、本发明能实现高可用性：本发明的双系统设计允许在一个系统升级或维护时，另一个系统可以继续提供服务，从而显著提高了服务的可用性。

43、本发明能简化系统升级：本发明的升级流程允许在当前系统运行的同时升级另一个系统，简化了升级过程，并减少了升级过程中的服务中断。

44、本发明能提升系统稳定性：通过在两个独立系统中交替升级，本发明避免了长时间运行导致的系统疲劳，提高了整体的系统稳定性。

45、本发明能快速灾难恢复：如果一个系统遭受攻击或损坏，本发明允许快速切换到另一个健康的系统，实现了快速的灾难恢复。

46、本发明能优化用户体验：本发明的设备和服务能够提供更加稳定和可靠的用户体验，减少了因系统问题导致的不便。

47、本发明能降低运营成本：通过减少系统停机时间和简化维护流程，本发明有助于降低长期运营成本。

48、本发明能支持远程管理：本发明的设备支持远程监控和管理，便于大规模部署和维护。

49、本发明能满足合规性要求：本发明的设计有助于满足特定行业对安全性和数据保护的合规性要求。