[发明专利]一种系统分区关键数据的保护方法及系统

权利要求书

1.一种系统分区关键数据的保护方法，其特征在于，其包括：

在Bootloader启动时，获取系统分区文件携带的关键数据对应的验证表，其中，所述验证表包括数字签名、块地址以及Hash值；

采用预设的公钥或私钥解密所述数字签名得到第一验证值；

根据所述块地址和Hash值生成第二验证值，将第一验证值和第二验证值进行比较；

若第一验证值与第二验证值一致，则启动系统；

当所述块地址对应的内容太大时，采用以4K为单位分段读取内容，并分别将每段内容输入到EVP函数中，最终输出一个SHA256哈希值；

所述在Bootloader启动时，获取系统分区文件携带的关键数据对应的验证表，其中，所述验证表包括数字签名信息、块地址以及Hash值之前包括：

在编译系统文件时，生成记录有系统分区所有文件及其对应的块地址的映射文件；

根据所述映射文件确定所述关键数据对应的块地址，并计算所述块地址的Hash值；

根据所述块地址和Hash值生成第一验证值，并采用预设的私钥或公钥加密所述第一验证值得到所述数字签名；

将所述数字签名、块地址以及Hash值存于所述验证表，并将所述验证表追加至系统文件后面。

2.根据权利要求1所述系统分区关键数据的保护方法，其特征在于，所述若第一验证值与第二验证值一致，则启动系统具体包括：

若第一验证值与第二验证值一致，则根据所述块地址计算所述关键数据的当前Hash值；

将所述当前Hash值与所述Hash值进行比较，当所述当前Hash值与所述Hash值一致时，启动系统。

3.根据权利要求1所述系统分区关键数据的保护方法，其特征在于，所述根据所述块地址和Hash值生成第一验证值，并采用预设的私钥或公钥加密所述第一验证值得到所述数字签名具体包括：

将所述Hash值放置于所述块地址后生成第一待验证值，并计算所述第一待验证值的Hash值以得到第一验证值；

采用预设的私钥或公钥加密所述第一验证值得到所述数字签名，其中，所述私钥为所述公钥对应的私钥。

4.根据权利要求1所述系统分区关键数据的保护方法，其特征在于，所述将所述数字签名信息、块地址以及Hash值存于所述验证表，并将所述验证表追加至系统文件后面之后还包括：

将所述私钥或公钥对应的公钥或私钥以数组的形式编译到Bootloader，以使得在Bootloader启动时采用所述公钥或私钥解密所述数字签名。

5.一种系统分区关键数据的保护系统，其特征在于，其包括：

获取模块，用于在Bootloader启动时，获取系统分区文件携带的关键数据对应的验证表，其中，所述验证表包括数字签名、块地址以及Hash值；

解密模块，用于采用预设的公钥或私钥解密所述数字签名得到第一验证值；

比较模块，用于根据所述块地址和Hash值生成第二验证值，将第一验证值和第二验证值进行比较；

执行模块，用于当第一验证值与第二验证值一致时，启动系统；

分段模块，用于当所述块地址对应的内容太大时，采用以4K为单位分段读取内容，并分别将每段内容输入到EVP函数中，最终输出一个SHA256哈希值；

生成模块，用于在编译系统文件时，生成记录有系统分区所有文件及其对应的块地址的映射文件；

计算模块，用于根据所述映射文件确定所述关键数据对应的块地址，并计算所述块地址的Hash值；

加密模块，用于根据所述块地址和Hash值生成第一验证值，并采用预设的私钥或公钥加密所述第一验证值得到所述数字签名；

存储模块，用于将所述数字签名、块地址以及Hash值存于所述验证表，并将所述验证表追加至系统文件后面。

6.根据权利要求5所述系统分区关键数据的保护系统，其特征在于，所述执行模块具体包括：

计算单元，用于当第一验证值与第二验证值一致时，根据所述块地址计算所述关键数据的当前Hash值；

执行单元，用于将所述当前Hash值与所述Hash值进行比较，当所述当前Hash值与所述Hash值一致时，启动系统。