针对可编程片上系统(SoPC)在启动过程中面临的固件被篡改、植入恶意代码等安全威胁,提出一种安全启动模型。该模型由Boot ROM作为信任根,利用公钥算法和对称密码算法对启动过程中各固件镜像进行数字签名,在SoPC上电启动后依次对各固件镜像的签名值进行验证,从而建立起完整的信任链。在实现阶段,利用Intel现场可编程门阵列(FPGA)开发平台对模型进行了设计和验证,实现了两种模式的安全启动功能。结果表明,该模型能够应用于实际的芯片开发,满足启动过程安全保护的需求。