阅读说明：本技术 图像形成装置及其启动控制方法、存储介质 (Image forming apparatus and its starting control method, storage medium ) 是由 余成柱 李海雄 彭继兵 于 2019-09-04 设计创作，主要内容包括：本发明涉及一种图像形成装置及其启动控制方法、存储介质,图像形成装置包括成像控制模块及安全管理模块,该启动控制方法包括：图像形成装置上电后,成像控制模块开始执行启动程序,同时安全管理模块开始对启动程序的进行可信度量；当安全管理模块确定启动程序的度量结果为不可信时,安全管理模块对成像控制模块进行不可信处理。上述方法能够解决对图像形成装置启动时需要对启动程序进行安全度量造成的启动慢的问题。(The present invention relates to a kind of image forming apparatus and its starting control methods, storage medium, image forming apparatus includes imaging control module and safety management module, the starting control method includes: after image forming apparatus powers on, imaging control module starts to execute startup program, while safety management module starts the credible measurement of carry out to startup program；When safety management module determines that the measurement results of startup program are insincere, safety management module carries out insincere processing to imaging control module.The above method needs to start slow problem caused by carrying out security measure startup program when being able to solve image forming apparatus starting.)

图像形成装置及其启动控制方法、存储介质

技术领域

本发明涉及图像形成技术领域，具体涉及一种图像形成装置及其启动控制方法、存储介质。

背景技术

随着成像技术的发展，图像形成装置越来越多应用在办公和日常生活中，常见的图像形成装置包括但不限于打印机、复印机、扫描仪、传真机或综合打印、复印、扫描、传真功能中一种或者多种的多功能事务机。现有技术中，图像形成装置为了使信息安全更加可控，会设置安全管理模块对图像形成装置的成像控制模块进行安全管理，当图像形成装置上电后，通常需要安全管理模块对图像形成装置的逐级对启动程序的各个部分进行安全性度量，只有当安全度量通过后才允许成像控制模块执行启动程序的对应部分，如此，会造成图像形成装置的启动时间较长，影响用户体验。

本发明实施例提供一种图像形成装置及其启动控制方法、存储介质，能够解决对图像形成装置启动时需要对启动程序进行安全度量造成的启动慢的问题。

第一方面，本发明实施例提供了一种图像形成装置的启动控制方法，所述图像形成装置包括成像控制模块及安全管理模块，所述方法包括：

所述图像形成装置上电后，所述成像控制模块开始执行启动程序，同时所述安全管理模块开始对所述启动程序的进行可信度量；

当所述安全管理模块确定所述启动程序的度量结果为不可信时，所述安全管理模块对所述成像控制模块进行不可信处理。

可选地，所述启动程序包括Boot程序、Uboot程序及操作系统程序，所述成像控制模块执行所述启动程序，包括：

所述成像控制模块先执行所述Boot程序，在执行完所述Boot程序前，若所述成像控制模块未被所述安全管理模块做不可信处理，则所述成像控制模块继续执行所述Boot程序，直到所述Boot程序执行完毕；

若所述成像控制模块执行所述Boot程序完毕，则开始执行所述Uboot程序，在执行完所述Uboot程序前，若所述成像控制模块未被所述安全管理模块做不可信处理，则继续执行所述Uboot程序，直到所述Uboot程序执行完毕；

若所述成像控制模块执行所述Uboot程序完毕，则开始执行所述操作系统程序，在执行完所述操作系统程序前，若所述成像控制模块未被所述安全管理模块做不可信处理，则继续执行所述操作系统程序，直到所述操作系统程序执行完毕。

可选地，所述安全管理模块对所述启动程序进行可信度量，包括：

所述安全管理模块先对所述Boot程序进行可信度量，若所述Boot程序的度量结果为可信，则进一步对所述Uboot程序进行可信度量，若所述Boot程序的度量结果为可信，则进一步对所述操作系统程序进行可信度量。

可选地，若所述成像控制模块执行所述操作系统程序完毕，所述方法还包括：所述成像控制模块执行所述操作系统所配置的至少一个应用程序；

若所述安全管理模块对所述操作系统程序的度量结果为可信，所述方法还包括：所述安全管理模块对所述至少一个应用程序进行可信度量。

可选地，所述成像控制模块执行所述Boot程序，包括：

所述成像控制模块执行所述Boot程序并加载与所述Boot程序对应的第一可信软件基，通过所述第一可信软件基获取所述Uboot程序，并对所述Uboot程序进行可信计算，得到第一可信校验信息，以及通过所述第一可信软件基将所述第一可信校验信息发送给所述安全管理模块；

所述成像控制模块执行Uboot程序，包括：

所述成像控制模块执行所述Uboot程序并加载与所述Uboot程序对应的第二可信软件基，通过所述第二可信软件基获取所述操作系统程序，并对所述操作系统程序进行可信计算，得到第二可信校验信息，以及通过所述第二可信软件基将所述第二可信校验信息发送给所述安全管理模块；

所述成像控制模块执行操作系统程序，包括：

所述成像控制模块执行所述操作系统程序并加载与所述操作系统程序对应的第三可信软件基，通过所述第三可信软件基获取所述至少一个应用程序并对所述至少一个应用程序中每个应用程序进行可信计算，得到第三可信校验信息，通过所述第三可信软件基将所述第三可信校验信息发送给所述安全管理模块。

可选地，所述安全管理模块对所述Boot程序进行可信度量，包括：

所述安全管理模块获取所述Boot程序，并对所述Boot程序进行可信计算，得到第四可信校验信息，并根据所述第四可信校验信息得到所述Boot程序的度量结果；

所述安全管理模块对所述Uboot程序进行可信度量，包括：

接收到所述第一可信软件基发送的所述第一可信校验信息，根据所述第一可信校验信息得到所述Uboot程序的度量结果；

所述安全管理模块对所述操作系统程序进行可信度量，包括：

接收到所述第二可信软件基发送的所述第二可信校验信息，根据所述第二可信校验信息得到所述操作系统程序的度量结果；

所述安全管理模块对所述应用程序进行可信度量，包括：

接收到所述第三可信软件基发送的所述第三可信校验信息，根据所述第三可信校验信息得到所述至少一个应用程序中每个应用程序的度量结果。

可选地，所述安全管理模块对所述Boot程序进行可信度量，包括：

所述安全管理模块获取所述Boot程序，并对所述Boot程序进行可信计算，得到第五可信校验信息，并根据所述第五可信校验信息得到所述Boot程序的度量结果；

所述安全管理模块对所述Uboot程序进行可信度量，包括：

所述安全管理模块获取所述Uboot程序，并对所述Uboot程序进行可信计算，得到第六可信校验信息，并根据所述第六可信校验信息得到所述Uboot程序的度量结果；

所述安全管理模块对所述操作系统程序进行可信度量，包括：

所述安全管理模块获取所述操作系统程序，并对所述操作系统程序进行可信计算，得到第七可信校验信息，并根据所述第七可信校验信息确定所述操作系统程序的度量结果；

所述安全管理模块对所述应用程序进行可信度量，包括：

所述安全管理模块获取所述至少一个应用程序，并对所述至少一个应用程序中每个应用程序进行可信计算，得到第八可信校验信息，并根据所述第八可信校验信息得到所述至少一个应用程序中每个应用程序的度量结果。

可选地，所述当所述安全管理模块确定所述启动程序的度量结果为不可信时，所述安全管理模块对所述成像控制模块进行不可信处理，包括：

当所述安全管理模块确定所述启动程序的度量结果为不可信时，控制所述成像控制模块复位，以使得所述成像控制模块回到初始状态，或者，控制所述成像控制模块断电。

可选地，所述方法还包括：若所述至少一个应用程序中存在可信度量结果为不可信的第一应用程序时，所述安全管理模块禁止所述成像控制模块执行所述第一应用程序。

第二方面，本发明实施例提供了一种图像形成装置，包括：

成像控制模块，被配置为当所述图像形成装置上电后，所述成像控制模块开始执行启动程序；

安全管理模块，被配置为在所述成像控制模块开始执行启动程序的同时开始对所述启动程序进行可信度量，以及当所述安全管理模块确定所述启动程序的度量结果为不可信时，对所述成像控制模块进行不可信处理。

可选地，所述启动程序包括Boot程序、Uboot程序及操作系统程序，所述成像控制模块具体被配置为：

先执行所述Boot程序，在执行完所述Boot程序前，若所述成像控制模块未被所述安全管理模块做不可信处理，则所述成像控制模块继续执行所述Boot程序，直到所述Boot程序执行完毕；

若执行所述Boot程序完毕，则开始执行所述Uboot程序，在执行完所述Uboot程序前，若所述成像控制模块未被所述安全管理模块做不可信处理，则继续执行所述Uboot程序，直到所述Uboot程序执行完毕；

若执行所述Uboot程序完毕，则开始执行所述操作系统程序，在执行完所述操作系统程序前，若所述成像控制模块未被所述安全管理模块做不可信处理，则继续执行所述操作系统程序，直到所述操作系统程序执行完毕。

可选地，所述安全管理模块具体被配置为：

先对所述Boot程序进行可信度量，若所述Boot程序的度量结果为可信，则进一步对所述Uboot程序进行可信度量，若所述Boot程序的度量结果为可信，则进一步对所述操作系统程序进行可信度量。

可选地，若所述成像控制模块执行所述操作系统程序完毕，则所述成像控制模块还被配置为：开始执行所述操作系统所配置的至少一个应用程序；

若所述安全管理模块对所述操作系统程序的度量结果为可信，则所述安全管理模块还被配置为对所述至少一个应用程序进行可信度量。

第三方面，本发明实施例提供了一种存储介质，所述存储介质包括存储的程序，其中，在所述程序运行时控制所述存储介质所在设备执行上述方法。

第四方面，本发明实施例提供了一种图像形成装置，包括存储器和处理器，所述存储器用于存储包括程序指令的信息，所述处理器用于控制程序指令的执行，所述程序指令被处理器加载并执行时实现上述方法的步骤。

可以理解，本发明实施例中的图像形成装置当其上电后，安全管理模块对所述启动程序的进行可信度量，同时成像控制模块也执行启动程序，采用上述同步进行的方式可以提高图像形成装置的启动速度，解决由于需要对启动程序的进行可信度量的导致的设备启动过程慢的问题，优化了用户体验。

附图说明

下面结合附图和实施例对本发明进一步说明。

图1为本发明实施例提供的一种图像形成装置的启动控制方法的示意性框图；

图2为本发明实施例提供的一种图像形成装置的启动控制方法流程图；

图3为本发明实施例提供的一种图像形成装置的硬件框图；

图4为本发明另一实施例提供的一种图像形成装置的硬件框图；

图5为本发明实施例提供的图像形成装置的示意性框图。

具体实施方式

为了更好的理解本发明的技术方案，下面结合附图对本发明实施例进行详细描述。

应当明确，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

在本发明实施例中使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本发明。在本发明实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其它含义。

应当理解，本文中使用的术语“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。

请参阅附图1，本发明实施例提供一种图像形成装置的启动控制方法，其中，图像形成装置包括成像控制模块及安全管理模块，方法包括：

图像形成装置上电后，成像控制模块开始执行启动程序，同时安全管理模块开始对启动程序的进行可信度量；

当安全管理模块确定启动程序的度量结果为不可信时，安全管理模块对成像控制模块进行不可信处理。

可以理解，本发明实施例中的图像形成装置当其上电后，安全管理模块对启动程序的进行可信度量且成像控制模块同时执行启动程序，采用上述启动程序的可信度量与执行同步进行的方式可以提高图像形成装置的启动速度，解决由于需要对启动程序的进行可信度量的导致的设备启动过程慢的问题，优化了用户体验。

具体地，图像形成装置表示在例如打印纸的记录介质上打印例如由计算机产生的打印数据的装置。图像形成装置的例子包括但不限于复印机、打印机、传真机、扫描仪以及在单个设备中执行以上功能的多功能外设。

具体地，成像控制模块为SoC(System on Chip，片上系统)，被配置为控制图像形成装置的成像处理操作，SoC用于执行数据收发、命令收发、引擎控制相关的处理操作，例如，如何通过应用程序调用接口单元(包括但不限于USB端口、有线网络端口、无线网络端口等)来收发数据、命令、状态等，还可以通过应用程序获得接收的打印参数，并解析为控制引擎机构执行特定功能的命令，例如，LSU曝光参数、拾纸辊转动参数等；另外，对于有用户权限认证或者加密/解密处理功能的图像形成装置，SoC还设置成能够执行用户权限认证或者加密/解密处理功能，而图像形成装置中的接口单元还能够接收来自驱动装置的打印作业数据和打印、扫描、传真命令，或者发送扫描、传真数据、打印、扫描、传真状态信息等，以及安全管理模块与安全监控服务器交换预定安全规则、日志等信息。

具体地，安全管理模块包括可信计算监管模块，用于监控图像形成装置中成像控制模块(SoC)对应的运行活动；安全管理模块中的可信计算(Trusted Computing)，是为行为安全而生，广泛使用在计算机和通信系统中，以提高系统整体的安全性。信息安全包含四个方面：设备安全、数据安全、内容安全与行为安全；为进一步提升图像形成装置的行为安全特性，本实施例引入了可信计算功能；本实施例提及的安全管理模块对应的功能模块包括四种功能：程序(或模块)启动/运行监控功能(例如白名单策略)、注册功能、审计功能、升级监控功能，具体地，安全管理模块负责监管图像形成装置操作系统(例如Linux系统)的驱动层模块以及负责监管图像形成装置的应用层程序，安全管理模块只允许运行白名单范围内的驱动和程序，非白名单范围内的驱动和程序不允许运行；安全管理模块会记录或上报图像形成装置上发生的安全事件行为，这样可以实现对图像形成装置的驱动层和应用层进行全面监管，可以有效阻止成像控制模块的应用程序和设备驱动的不安全行为。

进一步的，在本发明一个或者多个实施例中，启动程序包括Boot程序、Uboot程序及操作系统(Operating System，OS)程序，其中，Boot程序及Uboot程序为图像形成装置启动时成像控制模块需要加载的引导程序。

进一步地，成像控制模块执行启动程序，包括：

成像控制模块先执行Boot程序，在执行完Boot程序前，若成像控制模块未被安全管理模块做不可信处理，则成像控制模块继续执行Boot程序，直到Boot程序执行完毕；

若成像控制模块执行Boot程序完毕，则开始执行Uboot程序，在执行完Uboot程序前，若成像控制模块未被安全管理模块做不可信处理，则继续执行Uboot程序，直到Uboot程序执行完毕；

若成像控制模块执行Uboot程序完毕，则开始执行操作系统程序，在执行完操作系统程序前，若成像控制模块未被安全管理模块做不可信处理，则继续执行操作系统程序，直到操作系统程序执行完毕。

进一步地，在本发明一个或者多个实施例中，若成像控制模块执行操作系统程序完毕，方法还包括：成像控制模块执行操作系统所配置的至少一个应用程序。

在本发明一个或者多个实施例中，安全管理模块对启动程序进行可信度量，包括：

安全管理模块先对Boot程序进行可信度量，若Boot程序的度量结果为可信，则进一步对Uboot程序进行可信度量，若Boot程序的度量结果为可信，则进一步对操作系统程序进行可信度量。

进一步地，在本发明一个或者多个实施例中，若安全管理模块对操作系统程序的度量结果为可信，方法还包括：安全管理模块对至少一个应用程序进行可信度量。

进一步地，当安全管理模块确定启动程序的度量结果为不可信时，安全管理模块对成像控制模块进行不可信处理，具体可以包括：

当安全管理模块确定Boot程序或Uboot程序或操作系统程序的度量结果为不可信时，控制成像控制模块复位，以使得成像控制模块回到初始状态，或者，控制成像控制模块断电。

若至少一个应用程序中存在可信度量结果为不可信的第一应用程序时，安全管理模块禁止成像控制模块执行第一应用程序。其中，安全管理模块禁止成像控制模块执行第一应用程序具体为：若成像控制模块正在执行第一应用程序，安全管理模块发生控制信号控制成像控制模块停止执行第一应用程序，若成像控制模块未正在执行第一应用程序时，安全管理模块控制成像控制模块不允执行第一应用程序。

更具体地，当安全管理模块确定Boot程序或Uboot程序或操作系统程序的度量结果为不可信时，若当前成像控制模块正在执行Boot程序或Uboot程序或操作系统程序或应用程序，则安全管理模块先控制成像控制模块停止执行当前正在执行的Boot程序或Uboot程序或操作系统程序或应用程序，再控制成像控制模块复位或断电。

为了更进一步说明本发明实施例提供的图像形成装置的启动控制方法，下面对成像控制模块执行Boot程序、Uboot程序、操作系统程序及应用程序的过程以及安全管理模块对Boot程序、Uboot程序、操作系统程序及应用程序进行安全度量的具体过程进行进一步描述。

在本发明实施例中，安全管理模块对Boot程序、Uboot程序、操作系统程序及应用程序进行安全度量的实现方案包括但不限于以下两种：

方案一：Boot程序由安全管理模块自身进行可信计算，得到可信校验信息，然后根据可信校验信息确定度量结果，而Uboot程序、操作系统程序及应用程序均由上一级程序对应的可信软件基逐级进行可信计算，得到对应的可信校验信息后可信软件基再将得到的可信校验信息发送给安全管理模块，使得安全管理模块根据可信校验信息得到度量结果。

具体地，成像控制模块执行Boot程序，可以包括：成像控制模块执行Boot程序并加载与Boot程序对应的第一可信软件基，通过第一可信软件基获取Uboot程序，并对Uboot程序进行可信计算，得到第一可信校验信息，以及通过第一可信软件基将第一可信校验信息发送给安全管理模块。

对应地，成像控制模块执行Uboot程序，可以包括：成像控制模块执行Uboot程序并加载与Uboot程序对应的第二可信软件基，通过第二可信软件基获取操作系统程序，并对操作系统程序进行可信计算，得到第二可信校验信息，以及通过第二可信软件基将第二可信校验信息发送给安全管理模块。

对应地，成像控制模块执行操作系统程序，可以包括：成像控制模块执行操作系统程序并加载与操作系统程序对应的第三可信软件基，通过第三可信软件基获取至少一个应用程序并对至少一个应用程序中每个应用程序进行可信计算，得到第三可信校验信息，通过第三可信软件基将第三可信校验信息发送给安全管理模块。

对应地，安全管理模块对Boot程序进行可信度量，可以包括：安全管理模块获取Boot程序，并对Boot程序进行可信计算，得到第四可信校验信息，并根据第四可信校验信息得到Boot程序的度量结果。

对应地，安全管理模块对Uboot程序进行可信度量，可以包括：接收到第一可信软件基发送的第一可信校验信息，根据第一可信校验信息得到Uboot程序的度量结果。

对应地，安全管理模块对操作系统程序进行可信度量，可以包括：接收到第二可信软件基发送的第二可信校验信息，根据第二可信校验信息得到操作系统程序的度量结果；

对应地，安全管理模块对应用程序进行可信度量，可以包括：接收到第三可信软件基发送的第三可信校验信息，根据第三可信校验信息得到至少一个应用程序中每个应用程序的度量结果。

需要知道的是，可信软件基(Trusted Software Base，TSB)为可信计算平台的可信性提供支持的软件元素的集合。

请继续参阅附图1～附图4，在本发明实施例中，成像控制模块及安全管理模块均与外部存储器连接，当图像形成装置上电后，成像控制模块及安全管理模块分别从外部存储器读取Boot程序。安全管理模块读取Boot程序后，开始对Boot程序进行可信度量，然后利用可信软件基逐级对Uboot程序、操作系统程序及应用程序(如附图1中所示的APP)进行可信度量。需要说明的是，本实施例中提及的“可信软件基进行可信计算”可以包括通过可信软件基直接进行可信计算，或者通过可信软件基代理来进行可信计算，例如图1中所示的TSB代理逐级对Uboot程序、操作系统程序及应用程序进行可信计算。

成像控制模块读取Boot程序后，依次执行Boot程序、Uboot程序、操作系统程序及应用程序，在以上过程中，若Boot程序/Uboot程序/操作系统程序/应用程序度量失败(度量结果为不可信)，则安全管理模块停止进行度量并对成像控制模块进行不可信处理。

为方便区分，Boot程序、Uboot程序及操作系统程序对应的可信软件基分别命名为第一可信软件基、第二可信软件基及第三可信软件基，其中，第一可信软件基用于读取Boot程序的下一级程序——Uboot程序，对Uboot程序进行可信计算，并将可信计算结果(在本发明实施例中为第一校验信息)发送给安全管理模块，第二可信软件基用于读取Uboot程序的下一级程序——操作系统程序，对程序操作系统程序进行可信计算，并将可信计算结果(在本发明实施例中为第二校验信息)发送给安全管理模块，第三可信软件基用于读取操作系统程序的下一级程序——应用程序，对程序操作系统程序进行可信计算，并将可信计算结果(在本发明实施例中为第三校验信息)发送给安全管理模块。

请继续参阅附图1及附图2，在本实施方式中，若Boot程序/Uboot程序/操作系统程序度量失败时，安全管理模块对成像控制模块进行不可信处理具体可以为：安全管理模块给正在执行程序对应的可信软件基(TSB)发送度量失败信息，可信软件基终止正在执行的程序，则然后安全管理模块再控制成像控制模块复位，以使得成像控制模块回到初始状态，或者，安全管理模块控制成像控制模块断电。如附图2所示，若是应用程序(APP)度量失败时，安全管理模块禁止度量失败的应用程序启动。

安全管理模块或者可信软件基进行可信计算的过程可以为：通过自身的运算电路及/或运算代码对对应的程序(Boot程序或Uboot程序或操作系统程序或应用程序)进行逻辑运算得到校验信息，例如，安全管理模块通过将Boot程序进行累加处理，得到相应的累加校验和。

在本实施方式中，第一可信软件基、第二可信软件基及第三可信软件基与安全管理模块通讯连接，分别用于将得到的第一校验信息、第二校验信息及第三校验信息发送给安全管理模块，以使得安全管理模块可以根据第一校验信息得到对Uboot程序的度量结果，以及根据第二校验信息得到对操作系统程序的度量结果，以及根据第三校验信息得到对应用程序的度量结果。需要知道的是，当应用程序为多个时，需要对多个应用程序中的每个应用程序进行可信计算，然后根据每个应用程序进行可信计算得到的第三校验信息确定多个应用程序中每个应用程序的度量结果。

在本发明实施例中，安全管理模块存储有分别与Boot程序、Uboot程序、操作系统程序及应用程序对应的校验参考信息，校验参考信息包括但不限于一个预设的校验码。安全管理模块可以通过得到的校验信息与对应的校验参考信息进行比对来判断各个程序是否可信。例如，当第四校验信息与Boot程序对应的校验参考信息满足预定关系(例如相等)时，说明Boot程序未被修改过，进而确定Boot程序的度量结果为可信，反之，则确定Boot程序的度量结果为不可信，进而对成像控制模块进行不可信处理。同样的，Uboot程序、操作系统程序及应用程序的校验过程也可以是如此，在此不一一描述。

方案二：Boot程序、Uboot程序、操作系统程序及应用程序均由安全管理模块自身进行可信计算得到可信校验信息，然后根据可信校验信息确定对应的度量结果。

基于以上所述，安全管理模块对Boot程序进行可信度量，包括：安全管理模块获取Boot程序，并对Boot程序进行可信计算，得到第五可信校验信息，并根据第五可信校验信息得到Boot程序的度量结果。

对应地，安全管理模块对Uboot程序进行可信度量，可以包括：安全管理模块获取Uboot程序，并对Uboot程序进行可信计算，得到第六可信校验信息，并根据第六可信校验信息得到Uboot程序的度量结果。

对应地，安全管理模块对操作系统程序进行可信度量，可以包括：安全管理模块获取操作系统程序，并对操作系统程序进行可信计算，得到第七可信校验信息，并根据第七可信校验信息确定操作系统程序的度量结果。

对应地，安全管理模块对应用程序进行可信度量，可以包括：安全管理模块获取至少一个应用程序，并对至少一个应用程序中每个应用程序进行可信计算，得到第八可信校验信息，并根据第八可信校验信息得到至少一个应用程序中每个应用程序的度量结果。

需要知道的是，可信软件基(Trusted Software Base，TSB)为可信计算平台的可信性提供支持的软件元素的集合。

在本发明实施例中，成像控制模块及安全管理模块均与外部存储器连接，当图像形成装置上电后，成像控制模块及安全管理模块分别从外部存储器读取Boot程序。

需要说明的是，在方案二中，安全管理模块获取Uboot程序、操作系统程序及应用程序的方式可以是由自身从外部存储器中读取，也可以是通过可信软件基获取，具体来说，第一可信软件基、第二可信软件基及第三可信软件基与安全管理模块通讯连接，当成像控制模块在执行Boot程序并加载与Boot程序对应的第一可信软件基后，通过第一可信软件基从外部存储器中获取Uboot程序，然后通过第一可信软件基将Uboot程序发送给安全管理模块，以使得安全管理模块能够对Uboot程序进行可信度量；当成像控制模块执行完Boot程序后，执行Uboot程序并加载与Uboot程序对应的第二可信软件基，通过第二可信软件基从外部存储器中获取操作系统程序，然后通过第二可信软件基将操作系统程序发送给安全管理模块，以使得安全管理模块能够对操作系统程序进行可信度量；当成像控制模块执行完操作系统程序后，执行操作系统程序并加载与操作系统程序对应的第三可信软件基，通过第三可信软件基从外部存储器中获取应用程序，然后通过第三可信软件基将应用程序发送给安全管理模块，以使得安全管理模块能够对应用程序进行可信度量。

在本发明实施例中，安全管理模块存储有与Boot程序、Uboot程序、操作系统程序及应用程序分别对应的校验参考信息，校验参考信息包括但不限于一个预设的校验码，安全管理模块对Boot程序或者Uboot程序或者操作系统程序或者应用程序进行可信度量，具体可以为：

安全管理模块通过自身的运算电路或者运算代码对Boot程序或者Uboot程序或者操作系统程序进行逻辑运算，得到对应的校验信息(为方便区分，方案二将Boot程序、Uboot程序、操作系统程序及应用程序对应的校验信息分别命名为第五校验信息、第六校验信息、第七校验信息及第八校验信息)，例如，安全管理模块通过将Boot程序进行累加处理，得到相应的累加校验和，即第五校验信息。然后，安全管理模块可以通过将得到的校验信息与各个程序对应的校验参考信息进行比对来判断各个程序是否可信。

例如，当第五校验信息与Boot程序对应的校验参考信息满足预定关系(例如相等)时，说明Boot程序未被修改过，进而确定Boot程序的度量结果为可信，反之，则确定Boot程序的度量结果为不可信，进而对成像控制模块进行不可信处理。同样的，Uboot程序、操作系统程序及应用程序的校验过程也可以是如此，在此不一一描述。

请参阅附图3及附图4，更具体地，在本发明实施例中，安全管理模块可以通过一电源开关与成像控制模块的电源引脚连接，该电源开关连接于图像控制器与其电源之间，当启动程序不可信时，通过控制电源开关断开，使得成像控制模块断电；或者，安全管理模块可以通过一复位芯片与成像控制模块的复位引脚连接，当启动程序不可信时，通过控制复位芯片发送复位使能信号至成像控制模块的复位引脚，控制成像控制模块复位，进而使得成像控制模块回到初始状态。

可以理解，由于成像控制模块及其内存的主频和性能指标均有限，按传统可信计算的实现方式从系统的第一级启动开始先度量再启动逐级向后推进实现完整可信链会造成系统启动性能的大幅降低，而本发明通过对启动程序执行与度量同步进行的方式，保证可信计算的逐级度量实现完整可信链条的同时提高图像形成装置的启动速度。

请继续参阅附图3及附图4，本发明实施例还提供了一种图像形成装置，包括：

成像控制模块，被配置为当图像形成装置上电后，成像控制模块开始执行启动程序；

安全管理模块，被配置为在成像控制模块开始执行启动程序的同时开始对启动程序进行可信度量，以及当安全管理模块确定启动程序的度量结果为不可信时，对成像控制模块进行不可信处理。

进一步地，启动程序包括Boot程序、Uboot程序及操作系统程序，成像控制模块具体被配置为：

先执行Boot程序，在执行完Boot程序前，若成像控制模块未被安全管理模块做不可信处理，则成像控制模块继续执行Boot程序，直到Boot程序执行完毕；

若执行Boot程序完毕，则开始执行Uboot程序，在执行完Uboot程序前，若成像控制模块未被安全管理模块做不可信处理，则继续执行Uboot程序，直到Uboot程序执行完毕；

若执行Uboot程序完毕，则开始执行操作系统程序，在执行完操作系统程序前，若成像控制模块未被安全管理模块做不可信处理，则继续执行操作系统程序，直到操作系统程序执行完毕。

进一步地，安全管理模块具体被配置为：

先对Boot程序进行可信度量，若Boot程序的度量结果为可信，则进一步对Uboot程序进行可信度量，若Boot程序的度量结果为可信，则进一步对操作系统程序进行可信度量。

进一步的，若成像控制模块执行操作系统程序完毕，则成像控制模块还被配置为：开始执行操作系统所配置的至少一个应用程序；

若安全管理模块对操作系统程序的度量结果为可信，则安全管理模块还被配置为对至少一个应用程序进行可信度量。

进一步地，成像控制模块执行Boot程序，包括：

成像控制模块执行Boot程序并加载与Boot程序对应的第一可信软件基，通过第一可信软件基获取Uboot程序，并对Uboot程序进行可信计算，得到第一可信校验信息，以及通过第一可信软件基将第一可信校验信息发送给安全管理模块；

成像控制模块执行Uboot程序，包括：

成像控制模块执行Uboot程序并加载与Uboot程序对应的第二可信软件基，通过第二可信软件基获取操作系统程序，并对操作系统程序进行可信计算，得到第二可信校验信息，以及通过第二可信软件基将第二可信校验信息发送给安全管理模块；

成像控制模块执行操作系统程序，包括：

成像控制模块执行操作系统程序并加载与操作系统程序对应的第三可信软件基，通过第三可信软件基获取至少一个应用程序并对至少一个应用程序中每个应用程序进行可信计算，得到第三可信校验信息，通过第三可信软件基将第三可信校验信息发送给安全管理模块。

进一步地，安全管理模块对Boot程序进行可信度量，包括：

安全管理模块获取Boot程序，并对Boot程序进行可信计算，得到第四可信校验信息，并根据第四可信校验信息得到Boot程序的度量结果；

安全管理模块对Uboot程序进行可信度量，包括：

接收到第一可信软件基发送的第一可信校验信息，根据第一可信校验信息得到Uboot程序的度量结果；

安全管理模块对操作系统程序进行可信度量，包括：

接收到第二可信软件基发送的第二可信校验信息，根据第二可信校验信息得到操作系统程序的度量结果；

安全管理模块对应用程序进行可信度量，包括：

接收到第三可信软件基发送的第三可信校验信息，根据第三可信校验信息得到至少一个应用程序中每个应用程序的度量结果。

进一步地，安全管理模块对Boot程序进行可信度量，包括：

安全管理模块获取Boot程序，并对Boot程序进行可信计算，得到第五可信校验信息，并根据第五可信校验信息得到Boot程序的度量结果；

安全管理模块对Uboot程序进行可信度量，包括：

安全管理模块获取Uboot程序，并对Uboot程序进行可信计算，得到第六可信校验信息，并根据第六可信校验信息得到Uboot程序的度量结果；

安全管理模块对操作系统程序进行可信度量，包括：

安全管理模块获取操作系统程序，并对操作系统程序进行可信计算，得到第七可信校验信息，并根据第七可信校验信息确定操作系统程序的度量结果；

安全管理模块对应用程序进行可信度量，包括：

安全管理模块获取至少一个应用程序，并对至少一个应用程序中每个应用程序进行可信计算，得到第八可信校验信息，并根据第八可信校验信息得到至少一个应用程序中每个应用程序的度量结果。

进一步地，当安全管理模块确定启动程序的度量结果为不可信时，安全管理模块对成像控制模块进行不可信处理，包括：

当安全管理模块确定启动程序的度量结果为不可信时，控制成像控制模块复位，以使得成像控制模块回到初始状态，或者，控制成像控制模块断电。

需要说明的是，本发明实施例中提供的图像形成装置的更为具体的介绍可以参见本发明实施例提供的图像形成装置的启动控制方法的相应内容，为避免重复，在此不再一一描述。

本实施例提供一计算机可读存储介质，该计算机可读存储介质上存储有计算机程序，该计算机程序被处理器执行时实现实施例中图像形成装置的启动控制方法，为避免重复，此处不一一赘述。或者，该计算机程序被处理器执行时实现实施例中图像形成装置中各模块/单元的功能，为避免重复，此处不一一赘述。

请参阅附图5，本发明实施例还提供一种图像形成装置，该实施例的图像形成装置包括：处理器、存储器以及存储在存储器中并可在处理器上运行的程序，该程序被处理器执行时实现实施例中的图像形成装置的启动控制方法，为避免重复，此处不一一赘述。

图像形成装置可包括但不仅限于处理器、存储器。本领域技术人员可以理解，图5仅仅是图像形成装置的示例，并不构成对图像形成装置的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件，例如电子设备还可以包括输入输出设备、网络接入设备、总线等。

处理器可以是中央处理单元(Central Processing Unit，CPU)，还可以是其它通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程门阵列(Field-Programmable GateArray，FPGA)或者其它可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本发明所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

上述以软件功能单元的形式实现的集成的单元，可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中，包括若干指令用以使得一台计算机装置(可以是个人计算机，服务器，或者网络装置等)或处理器(Processor)执行本发明各个实施例方法的部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(Read-OnlyMemory，ROM)、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。