具体实施方式

下面将结合附图对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

在本发明的描述中，需要说明的是，术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一”、“第二”、“第三”仅用于描述目的，而不能理解为指示或暗示相对重要性。

在本发明的描述中，需要说明的是，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，还可以是两个元件内部的连通，可以是无线连接，也可以是有线连接。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。

此外，下面所描述的本发明不同实施方式中所涉及的技术特征只要彼此之间未构成冲突就可以相互结合。

以可信控制芯片为信任根的可信计算运用密码技术、信任根芯片、可信基础软件等组件搭建全新的可信计算体系结构框架，用逻辑上独立于传统系统之外的可信计算子系统形成可信免疫架构，将每个可信节点联系成为完整的可信体系。在计算机应用领域、工控系统、云计算、物联网、大数据、移动智能网等现代信息系统中奠定了网络安全自主可控的坚实基础。

相关技术中，可信控制芯片的存储容量有限，若将用于启动终端的启动程序数据及其备份数据、开关数据等全都存放在该可信控制芯片内部，显然，很容易导致数据遭受外部破坏现象，影响可信数据信息的安全性。

鉴于此，本发明实施例公开了一种终端可信控制模块，如图1所示，包括：分别设置在终端的控制面板11上的可信控制芯片110、切换模块111、第一存储芯片112和第二存储芯片113。

其中，可信控制芯片110，与控制面板11上设置的终端的中央处理芯片12连接，可信控制芯片110用于存储终端的启动程序的基准可信度值、数据大小值以及存储位置。例如：此处的控制面板11可以为PCB电路板，中央处理芯片12可以为CPU芯片。该可信控制芯片110用于通过切换模块111在终端的中央处理芯片12、第一存储芯片112和第二存储芯片113之间执行切换操作。

具体地，在图1中，中央处理芯片12可以通过第一通信接口114与可信控制芯片110连接，此处第一通信接口114可以为终端的flash通信接口，或，SPI通信接口。在可信控制芯片110内部主要通过片内Flash存储终端的启动程序的基准可信度值、数据大小值以及存储位置。当然，可信控制芯片110还可以存储一些可信开关信号。另外，可信控制芯片110可以根据其内部所存储的可信开关信号，控制切换模块111实现切换功能。即切换模块111由可信控制芯片110控制，通过切换模块111在中央处理芯片12、第一存储芯片112与第二存储芯片113之间切换，以实现终端可以访问第一存储芯片112或第二存储芯片113中的一个Flash。在图1中，第一通信接口114、第二通信接口115、第三通信接口116以及第四通信接口117均可以为SPI通信接口。例如：可信控制芯片110控制切换模块111通过第三通信接口116切换至第一存储芯片112时，第四通信接口117与第二存储芯片113之间是处于断开状态。例如：可信控制芯片110控制切换模块111通过第四通信接口117切换至第二存储芯片113时，第三通信接口116与第一存储芯片112之间是处于断开状态。上述中的切换模块111可以为切换开关。

第一存储芯片112，通过切换模块111与可信控制芯片110连接，用于存储用于启动终端的启动程序。具体地，在图1中，第一存储芯片112可以通过第三通信接口116与切换模块111连接。此处的启动程序主要包括：主板程序和内核程序。第一存储芯片112可以为SPINOR Flash芯片，用于存储终端的启动程序。

第二存储芯片113，通过切换模块111与可信控制芯片110连接，用于备份终端的启动程序。具体地，在图1中，第二存储芯片113可以通过第四通信接口117与切换模块111连接。备份启动程序以防第一存储芯片112中的启动程序发生更改的情况下，可以通过第四通信接口117切换至第二存储芯片113。第二存储芯片113可以为SPI NAND Flash，其存储容量较大，主要用于存储终端的启动程序的备份数据，还可以存储一些程序镜像数据以及可信度量值等。

本发明实施例中的终端可信控制模块，通过切换模块111使得终端可以访问第一存储芯片112或第二存储芯片113；并且可信控制芯片110通过切换模块111控制终端在访问第一存储芯片112时；控制终端无法访问第二存储芯片113，避免了第二存储芯片113所存储的可信数据被外部硬件修改，从而保障第二存储芯片113的可信数据安全。同时，如若将第一存储芯片112以及第二存储芯片113的数据存储信息全都存放在容量有限的可信控制芯片110内部，也很容易导致数据遭受外部破坏现象，影响可信数据信息的安全性的问题。

基于相同构思，本发明实施例还提供了一种终端可信控制模块控制方法，用于上述实施例中的终端可信控制模块，如图2所示，包括如下步骤：

步骤S21：响应于终端的中央处理芯片上电，控制中央处理芯片执行复位操作。

因为在图1中，终端通过第一通信接口与终端的中央处理芯片连接，可信控制芯片在终端上电触发响应时，可信控制芯片控制CPU执行复位操作。即此时CPU处于复位断开状态。

步骤S22：控制切换模块切换至第一存储芯片，读取其所存储的终端的启动程序。

在图1中，切换模块通过第三通信接口与第一存储芯片连接，可信控制芯片通过第三通信接口切换至第一存储芯片，读取该第一存储芯片所存储的启动程序。此时，依据切换模块的原理特性，当第一存储芯片与切换模块通过第三通信接口建立通信连通时，第四通信接口与第二存储芯片之间是处于断开状态，使得终端无法通过第一通信芯片访问第二存储芯片，可以确保第二存储芯片所存储数据信息的安全性。

步骤S23：根据终端的启动程序的基准可信度值，识别终端的启动程序的当前可信度值。

此处的基准可信度值相当于度量启动程序的当前可信度值的参考数值。若当前可信度值大于或等于基准可信度值，意味着终端的启动程序的当前可信度达到安全标准的，否则，若当前可信度值小于基准可信度值，意味着终端的启动程序的当前可信度未达到安全标准。

步骤S24：根据当前可信度值的识别结果，控制切换模块在终端的中央处理芯片、第一存储芯片和第二存储芯片之间执行切换操作。

在一种实施方式中，上述根据当前可信度值的识别结果，控制切换模块在终端的中央处理芯片、第一存储芯片和第二存储芯片之间执行切换操作的步骤S24还包括如下步骤：

首先：若当前可信度值大于或等于基准可信度值，控制切换模块切换至中央处理芯片和控制终端停止复位操作。

具体地，可信控制芯片可以控制切换模块从第一存储芯片切换至中央处理芯片，通过第一通信接口控制终端停止复位操作。在图1中，切换模块通过第一通信接口与终端的中央处理芯片连接，切换模块通过第三通信接口与第一存储芯片连接。即当终端的启动程序的当前可信度值达到安全标准时，可以断开第三通信接口以及第四通信接口，保证切换模块通过第一通信接口与中央控制芯片连接，能够实现可信控制芯片控制终端停止复位操作。

然后：利用从第一存储芯片所读取的启动程序，控制终端执行启动操作。

此时，第一存储芯片的启动程序达到了安全标准，意味其启动程序没有被外部环境修改，因此，可以利用从第一存储芯片所读取的启动程序，控制终端执行正常的启动操作。

在另一种实施方式中，根据当前可信度值的识别结果，控制切换模块在终端的中央处理芯片、第一存储芯片和第二存储芯片之间执行切换操作的步骤S24还包括如下步骤：

首先：若当前可信度小于基准可信度值，控制切换模块从第一存储芯片切换至第二存储芯片。

具体地，可信控制芯片可以控制切换模块从第一存储芯片切换至第二存储存储芯片，切换模块通过第四通信接口与第二存储芯片建立通信连接。此时，第三通信接口与第一存储芯片处于断开状态，以防终端访问第二存储芯片中所存储的数据信息。即当终端的启动程序的当前可信度值没有达到安全标准时，意味着第一存储芯片所存储的数据信息已发生了数据更改，此时，可以断开第三通信接口。

然后：读取第二存储芯片备份的启动程序，并控制终端停止复位操作。

在读取第二存储芯片所存储的启动程序时，也需要控制终端停止复位操作。

最后：利用从第二存储芯片所读取的启动程序，控制终端执行启动操作。

从第一存储芯片读取了终端备份的启动程序，被外部环境修改或破坏时，可以利用从第二存储芯片所读取的启动程序作为备份启动程序，确保终端可以避免终端因意外破坏时，仍旧可以确保终端能够执行正常启动操作。

本发明实施例中的终端可信控制模块控制方法，通过切换模块使得终端可以访问第一存储芯片或第二存储芯片；并且可信控制芯片通过切换模块控制终端在访问第一存储芯片时；控制终端无法访问第二存储芯片，避免了第二存储芯片所存储的可信数据被外部硬件修改，从而保障第二存储芯片的可信数据安全。同时，通过切换第一存储芯片以及第二存储芯片获取终端的启动程序，可以避免因启动程序数据遭受外部破坏现象，发生可信数据信息的不安全的问题。

基于相同构思，本发明实施例还提供了一种终端可信控制模块控制装置，用于上述实施例中终端可信控制模块，如图3所示，包括如下模块：

复位控制模块31，用于响应于终端的中央处理芯片上电，控制中央处理芯片执行复位操作。

控制读取模块32，用于控制切换模块切换至第一存储芯片，读取其所存储的终端的启动程序。

可信度识别模块33，用于根据终端的启动程序的基准可信度值，识别终端的启动程序的当前可信度值。

切换控制模块34，用于根据当前可信度值的识别结果，控制切换模块在终端的中央处理芯片、第一存储芯片和第二存储芯片之间执行切换操作。

本发明实施例中的终端可信控制模块控制装置，切换控制模块34还包括：

第一控制子模块，用于若当前可信度值大于或等于基准可信度值，控制切换模块切换至中央处理芯片和控制终端停止复位操作；

第二控制子模块，用于利用从第一存储芯片所读取的启动程序，控制终端执行启动操作。

本发明实施例中的终端可信控制模块控制装置，切换控制模块34还包括：

第三控制子模块，用于若当前可信度小于基准可信度值，控制切换模块从第一存储芯片切换至第二存储芯片；

读取控制模块，用于读取第二存储芯片备份的启动程序，并控制终端停止复位操作；

第四控制子模块，用于利用从第二存储芯片所读取的启动程序，控制终端执行启动操作。

本发明实施例中的终端可信控制模块控制装置，第一控制子模块还包括：

第一控制单元，用于若当前可信度值大于或等于基准可信度值，控制切换模块通过第三通信接口切换至第一存储芯片，通过第一通信接口控制终端停止复位操作。

本发明实施例中的终端可信控制模块控制装置，第二控制子模块还包括：

第二控制单元，用于控制切换模块断开第三通信接口，通过第四通信接口从第一存储芯片切换至第二存储芯片。

本发明实施例中的终端可信控制模块控制装置，通过切换模块使得终端可以访问第一存储芯片或第二存储芯片；并且可信控制芯片通过切换模块控制终端在访问第一存储芯片时；控制终端无法访问第二存储芯片，避免了第二存储芯片所存储的可信数据被外部硬件修改，从而保障第二存储芯片的可信数据安全。同时，通过切换第一存储芯片以及第二存储芯片获取终端的启动程序，可以避免因启动程序数据遭受外部破坏现象，发生可信数据信息的不安全的问题。

基于相同构思，本发明实施例还提供了一种电子设备，如图4所示，该电子设备可以包括处理器41、存储器42和终端可信控制模块43，其中处理器41、存储器42和终端可信控制模块43可以通过总线或者其他方式连接，图4中以通过总线连接为例。

处理器41可以为中央处理器(Central Processing Unit，CPU)。处理器41还可以为其他通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程门阵列(Field-Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等芯片，或者上述各类芯片的组合。

存储器42作为一种非暂态计算机可读存储介质，可用于存储非暂态软件程序、非暂态计算机可执行程序以及模块。处理器41通过运行存储在存储器42中的非暂态软件程序、指令以及模块，从而执行处理器的各种功能应用以及数据处理，即实现上述方法实施例中的终端可信控制模块控制方法。

存储器42可以包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需要的应用程序；存储数据区可存储处理器41所创建的数据等。此外，存储器42可以包括高速随机存取存储器，还可以包括非暂态存储器，例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施例中，存储器42可选包括相对于处理器41远程设置的存储器，这些远程存储器可以通过网络连接至处理器41。上述网络的实例包括但不限于电网、互联网、企业内部网、局域网、移动通信网及其组合。

所述一个或者多个模块存储在所述存储器42中，当被所述处理器41执行时，执行附图所示实施例中的终端可信控制模块控制方法。

上述电子设备具体细节可以对应参阅附图所示的实施例中对应的相关描述和效果进行理解，此处不再赘述。

本领域技术人员可以理解，实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory，ROM)、随机存储记忆体(Random AccessMemory，RAM)、快闪存储器(Flash Memory)、硬盘(Hard Disk Drive，缩写：HDD)或固态硬盘(Solid-State Drive，SSD)等；所述存储介质还可以包括上述种类的存储器的组合。

显然，上述实施例仅仅是为清楚地说明所作的举例，而并非对实施方式的限定。对于所属领域的普通技术人员来说，在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引伸出的显而易见的变化或变动仍处于本发明创造的保护范围之中。