一种系统分区关键数据的保护方法及系统技术方案

本发明专利技术公开了一种系统分区关键数据的保护方法及系统，所述方法包括：在Bootloader启动时，获取系统分区文件携带的关键数据对应的验证表，其中，所述验证表包括数字签名、块地址以及Hash值；采用预设的公钥或私钥解密所述数字签名得到第一验证值；根据所述块地址和Hash值生成第二验证值，将第一验证值和第二验证值进行比较；若第一验证值与第二验证值一致，则启动系统。本发明专利技术通过对系统关键数据的验证，而不是先进行整个系统文件分区校验后，再加加载系统文件；从而节省了读取整个文件系统分区的时间，大大减少了系统启动时间，同时对系统进行了保护。

Method and system for protecting key data of system partition

The invention discloses a method and system for protecting the system partition key data, the method includes: when Bootloader starts, access to key data file system partition carry corresponding verification table, wherein, the authentication table including digital signature, block address and Hash value; the public or private key to decrypt the digital signature the preset first verification value; according to the block address and Hash value generated second verification value, first verify value and second validation values were compared; if the first verification value and second verification value, the system will start. Through the verification of the key data of the system, rather than to the whole system file partition check, add loading system files; so as to save the time to read the entire file system partition, greatly reducing the starting time of the system, and has carried on the system protection.

【技术实现步骤摘要】
一种系统分区关键数据的保护方法及系统
本专利技术涉及终端设备
，特别涉及一种系统分区关键数据的保护方法及系统。
技术介绍
近年来Android智能手机的普及率越来越高，用户体验也越来越好，不过系统安全问题一直是用户和运营商关注的重点，Google以及各手机方案提供商也在安全方面做了很多改善。如分区加密、安全版本号验证等方案。但是针对系统分区，由于分区文件太大，无法对其进行加密处理。目前Google只提供了DM-verity机制来保证系统分区的数据安全，而该机制是开源的项目，并且在某些特定条件下可以用adb命令关闭。这样，当系统分区里的某些数据文件被破解(如记录系统属性的文件)，那么就相当于破解了整个系统，使得系统的安全性受到影响。因而现有技术还有待改进和提高。
技术实现思路
本专利技术要解决的技术问题在于，针对现有技术的不足，提供一种系统分区关键数据的保护方法及系统，实现在无需对整个系统分区进行加密的情况下保护系统分区的关键数据。为了解决上述技术问题，本专利技术所采用的技术方案如下：一种系统分区关键数据的保护方法，其包括：在Bootloader启动时，获取系统分区文件携带的关键数据对应的验证表，其中，所述验证表包括数字签名、块地址以及Hash值；采用预设的公钥或私钥解密所述数字签名得到第一验证值；根据所述块地址和Hash值生成第二验证值，将第一验证值和第二验证值进行比较；若第一验证值与第二验证值一致，则启动系统。所述系统分区关键数据的保护方法，其中，所述若第一验证值与第二验证值一致，则启动系统具体包括：若第一验证值与第二验证值一致，则根据所述块地址计算所述关键数据的当前Hash值；将所述当前Hash值与所述Hash值进行比较，当所述当前Hash值与所述Hash值一致时，启动系统。所述系统分区关键数据的保护方法，其中，所述在Bootloader启动时，获取系统分区文件携带的关键数据对应的验证表，其中，所述验证表包括数字签名信息、块地址以及Hash值之前还包括：在编译系统文件时，生成记录有系统分区所有文件及其对应的块地址的映射文件；根据所述映射文件确定所述关键数据对应的块地址，并计算所述块地址的Hash值；根据所述块地址和Hash值生成第一验证值，并采用预设的私钥或公钥加密所述第一验证值得到所述数字签名；将所述数字签名、块地址以及Hash值存于所述验证表，并将所述验证表追加至系统文件后面。所述系统分区关键数据的保护方法，其中，所述根据所述块地址和Hash值生成第一验证值，并采用预设的私钥或公钥加密所述第一验证值得到所述数字签名具体包括：将所述Hash值放置于所述块地址后生成第一待验证值，并计算所述第一待验证值的Hash值以得到第一验证值；采用预设的私钥或公钥加密所述第一验证值得到所述数字签名，其中，所述私钥为所述公钥对应的私钥。所述系统分区关键数据的保护方法，其中，所述将所述数字签名信息、块地址以及Hash值存于所述验证表，并将所述验证表追加至系统文件后面之后还包括：将所述私钥或公钥对应的公钥或私钥以数组的形式编译到Bootloader，以使得在Bootloader启动时采用所述公钥或私钥解密所述数字签名。一种系统分区关键数据的保护系统，其包括：获取模块，用于在Bootloader启动时，获取系统分区文件携带的关键数据对应的验证表，其中，所述验证表包括数字签名、块地址以及Hash值；解密模块，用于采用预设的公钥或私钥解密所述数字签名得到第一验证值；比较模块，用于根据所述块地址和Hash值生成第二验证值，将第一验证值和第二验证值进行比较；执行模块，用于当第一验证值与第二验证值一致时，启动系统。所述系统分区关键数据的保护系统，其中，所述执行模块具体包括：计算单元，用于当第一验证值与第二验证值一致时，根据所述块地址计算所述关键数据的当前Hash值；执行单元，用于将所述当前Hash值与所述Hash值进行比较，当所述当前Hash值与所述Hash值一致时，启动系统。所述系统分区关键数据的保护系统，其还包括：生成模块，用于在编译系统文件时，生成记录有系统分区所有文件及其对应的块地址的映射文件；计算模块，用于根据所述映射文件确定所述关键数据对应的块地址，并计算所述块地址的Hash值；加密模块，用于根据所述块地址和Hash值生成第一验证值，并采用预设的私钥或公钥加密所述第一验证值得到所述数字签名；存储模块，用于将所述数字签名、块地址以及Hash值存于所述验证表，并将所述验证表追加至系统文件后面。所述系统分区关键数据的保护系统，其中，所述加密模块具体包括：生成单元，用于将所述Hash值放置于所述块地址后生成第一待验证值，并计算所述第一待验证值的Hash值以得到第一验证值；加密单元，用于采用预设的私钥或公钥加密所述第一验证值得到所述数字签名，其中，所述私钥为所述公钥对应的私钥。所述系统分区关键数据的保护系统，其还包括：编译模块，用于将所述私钥或公钥对应的公钥或私钥以数组的形式编译到Bootloader，以使得在Bootloader启动时采用所述公钥或私钥解密所述数字签名。有益效果：与现有技术相比，本专利技术提供了一种系统分区关键数据的保护方法及系统，所述方法包括：在Bootloader启动时，获取系统分区文件携带的关键数据对应的验证表，其中，所述验证表包括数字签名、块地址以及Hash值；采用预设的公钥或私钥解密所述数字签名得到第一验证值；根据所述块地址和Hash值生成第二验证值，将第一验证值和第二验证值进行比较；若第一验证值与第二验证值一致，则启动系统。本专利技术通过对系统关键数据的验证，而不是先进行整个系统文件分区校验后，再加加载系统文件；从而节省了读取整个文件系统分区的时间，大大减少了系统启动时间，同时对系统进行了保护。附图说明图1为本专利技术提供的系统分区关键数据的保护方法较佳实施的流程图。图2为本专利技术提供的系统分区关键数据的保护系统的结构原理图。具体实施方式本专利技术提供一种系统分区关键数据的保护方法及系统，为使本专利技术的目的、技术方案及效果更加清楚、明确，以下参照附图并举实施例对本专利技术进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本专利技术，并不用于限定本专利技术。本专利技术中，使用用于表示元件的诸如“模块”、“部件”或“单元”的后缀仅为了有利于本专利技术的说明，其本身并没有特定的意义。因此，模块”、“部件”或“单元”可以混合地使用。终端设备可以以各种形式来实施。例如，本专利技术中描述的终端可以包括诸如移动电话、智能电话、笔记本电脑、数字广播接收器、PDA(个人数字助理)、PAD(平板电脑)、PMP(便携式多媒体播放器)、导航装置等等的移动终端以及诸如数字TV、台式计算机等等的固定终端。然而，本领域技术人员将理解的是，除了特别用于移动目的的元件之外，根据本专利技术的实施方式的构造也能够应用于固定类型的终端。下面结合附图，通过对实施例的描述，对
技术实现思路
作进一步说明。请参照图1，图1为本专利技术提供的系统分区关键数据的保护方法的较佳实施例的流程图。所述方法包括：S101、在Bootloader启动时，获取系统分区文件携带的关键数据对应的验证表，其中，所述验证表包括数字签名、块地址以及Hash值；S102、采用预设的公钥或私钥解密所述数字签名得到第一验本文档来自技高网...

【技术保护点】
一种系统分区关键数据的保护方法，其特征在于，其包括：在Bootloader启动时，获取系统分区文件携带的关键数据对应的验证表，其中，所述验证表包括数字签名、块地址以及Hash值；采用预设的公钥或私钥解密所述数字签名得到第一验证值；根据所述块地址和Hash值生成第二验证值，将第一验证值和第二验证值进行比较；若第一验证值与第二验证值一致，则启动系统。

【技术特征摘要】
1.一种系统分区关键数据的保护方法，其特征在于，其包括：在Bootloader启动时，获取系统分区文件携带的关键数据对应的验证表，其中，所述验证表包括数字签名、块地址以及Hash值；采用预设的公钥或私钥解密所述数字签名得到第一验证值；根据所述块地址和Hash值生成第二验证值，将第一验证值和第二验证值进行比较；若第一验证值与第二验证值一致，则启动系统。2.根据权利要求1所述系统分区关键数据的保护方法，其特征在于，所述若第一验证值与第二验证值一致，则启动系统具体包括：若第一验证值与第二验证值一致，则根据所述块地址计算所述关键数据的当前Hash值；将所述当前Hash值与所述Hash值进行比较，当所述当前Hash值与所述Hash值一致时，启动系统。3.根据权利要求1所述系统分区关键数据的保护方法，其特征在于，所述在Bootloader启动时，获取系统分区文件携带的关键数据对应的验证表，其中，所述验证表包括数字签名信息、块地址以及Hash值之前包括：在编译系统文件时，生成记录有系统分区所有文件及其对应的块地址的映射文件；根据所述映射文件确定所述关键数据对应的块地址，并计算所述块地址的Hash值；根据所述块地址和Hash值生成第一验证值，并采用预设的私钥或公钥加密所述第一验证值得到所述数字签名；将所述数字签名、块地址以及Hash值存于所述验证表，并将所述验证表追加至系统文件后面。4.根据权利要求3所述系统分区关键数据的保护方法，其特征在于，所述根据所述块地址和Hash值生成第一验证值，并采用预设的私钥或公钥加密所述第一验证值得到所述数字签名具体包括：将所述Hash值放置于所述块地址后生成第一待验证值，并计算所述第一待验证值的Hash值以得到第一验证值；采用预设的私钥或公钥加密所述第一验证值得到所述数字签名，其中，所述私钥为所述公钥对应的私钥。5.根据权利要求3所述系统分区关键数据的保护方法，其特征在于，所述将所述数字签名信息、块地址以及Hash值存于所述验证表，并将所述验证表追加至系统文件后面之后还包括：将所述私钥或公钥对应的公钥或私钥以数组的形式编译到Bootl...

【专利技术属性】
技术研发人员：凌小荣，魏亚姣，黄允庆，郑金国，黄泽明，钟海波，
申请(专利权)人：惠州TCL移动通信有限公司，
类型：发明
国别省市：广东,44