本申請涉及計算機，特別涉及一種自定義鏡像文件的簽名方法、驗簽方法和系統(tǒng)。

背景技術(shù)：

1、在linux系統(tǒng)通信產(chǎn)品研發(fā)過程中，需要保證用戶應(yīng)用程序能夠建立在一個可信平臺環(huán)境，對系統(tǒng)不同階段的鏡像在啟動過程中進(jìn)行安全校驗，只有經(jīng)過授權(quán)的鏡像才可以被系統(tǒng)加載執(zhí)行。安全校驗鏈在系統(tǒng)整體啟動的各個階段增加加密檢查，在這個過程中會智能判斷當(dāng)前系統(tǒng)被執(zhí)行的各程序鏡像的真實性。這個校驗鏈的功能可以預(yù)防任何沒有被授權(quán)或者被惡意修改的軟件在系統(tǒng)中運行。

2、當(dāng)前，針對用戶定制鏡像且不同客戶的鏡像簽名驗簽獨立進(jìn)行的場景，客戶新增自定義鏡像的獨立安全校驗方案無法與整個平臺的安全校驗鏈融合，容易造成自定義鏡像校驗失敗，給用戶使用自定義鏡像文件造成不便。

技術(shù)實現(xiàn)思路

1、本申請的目的是提供一種自定義鏡像文件的簽名方法、驗簽方法、簽名系統(tǒng)、驗簽系統(tǒng)、計算機可讀存儲介質(zhì)和電子設(shè)備，能夠?qū)崿F(xiàn)用戶自定義鏡像的簽名和驗簽。

2、為解決上述技術(shù)問題，本申請?zhí)峁┮环N自定義鏡像文件的簽名方法，具體技術(shù)方案如下：

3、獲取隨機密鑰和校驗平臺的平臺密鑰；

4、將所述隨機密鑰的公鑰存儲至自定義鏡像文件的校驗公鑰存儲區(qū)；

5、將所述隨機密鑰的私鑰輸入至摘要區(qū)構(gòu)建簽名信息；

6、將所述平臺密鑰中的私鑰輸入至所述摘要區(qū)構(gòu)建平臺簽名信息，并將所述平臺密鑰中的公鑰寫入所述自定義鏡像文件，得到含簽名自定義鏡像文件。

7、可選的，獲取隨機密鑰和校驗平臺的平臺密鑰之前，還包括：

8、利用軟件庫包生成采用設(shè)定加密算法的所述隨機密鑰。

9、可選的，所述將所述隨機密鑰的私鑰輸入至摘要區(qū)構(gòu)建簽名信息包括：

10、將所述隨機密鑰的私鑰輸入至摘要區(qū)；

11、在所述摘要區(qū)內(nèi)利用哈希樹對所述自定義鏡像文件進(jìn)行信息提取得到摘要信息；

12、利用所述私鑰對所述摘要信息進(jìn)行加密，得到簽名信息。

13、本申請還提供一種自定義鏡像文件的驗簽方法，所述驗簽方法包括：

14、獲取含簽名自定義鏡像文件包含的平臺密鑰中的公鑰；

15、計算所述公鑰的哈希值，并判斷所述哈希值與校驗平臺中電子保險絲燒錄的平臺公鑰哈希值是否一致；

16、若一致，利用所述平臺密鑰中的公鑰對所述自定義鏡像文件的簽名信息進(jìn)行解密，得到簽名信息；

17、提取所述含簽名自定義鏡像文件中的完整性元數(shù)據(jù)簽名，驗證所述簽名信息與所述完整性元數(shù)據(jù)簽名的一致性；

18、若一致，確認(rèn)所述含簽名自定義鏡像文件可信。

19、可選的，所述提取所述含簽名自定義鏡像文件中的完整性元數(shù)據(jù)簽名包括：

20、調(diào)用設(shè)備映射程序提取所述含簽名自定義鏡像文件中的完整性元數(shù)據(jù)簽名。

21、可選的，確認(rèn)所述自定義鏡像文件可信之后，還包括：

22、將所述含簽名自定義鏡像文件掛載至鏡像文件目錄。

23、本申請還提供一種自定義鏡像文件的簽名系統(tǒng)，包括：

24、密鑰獲取模塊，用于獲取隨機密鑰和校驗平臺的平臺密鑰；

25、公鑰存儲模塊，用于將所述隨機密鑰的公鑰存儲至自定義鏡像文件的校驗公鑰存儲區(qū)；

26、第一簽名生成模塊，用于將所述隨機密鑰的私鑰輸入至摘要區(qū)構(gòu)建簽名信息；

27、第二簽名生成模塊，用于將所述平臺密鑰中的私鑰輸入至所述摘要區(qū)構(gòu)建平臺簽名信息，并將所述平臺密鑰中的公鑰寫入所述自定義鏡像文件，得到含簽名自定義鏡像文件。

28、本申請還提供一種自定義鏡像文件的驗簽系統(tǒng)，包括：

29、公鑰提取模塊，用于獲取含簽名自定義鏡像文件包含的平臺密鑰中的公鑰；

30、公鑰驗證模塊，用于計算所述公鑰的哈希值，并判斷所述哈希值與校驗平臺中電子保險絲燒錄的平臺公鑰哈希值是否一致；

31、簽名提取模塊，用于所述公鑰驗證模塊確認(rèn)所述哈希值和所述平臺公鑰哈希值一致時，利用所述平臺密鑰中的公鑰對所述自定義鏡像文件的簽名信息進(jìn)行解密，得到簽名信息；

32、簽名驗證模塊，用于提取所述含簽名自定義鏡像文件中的完整性元數(shù)據(jù)簽名，驗證所述簽名信息與所述完整性元數(shù)據(jù)簽名的一致性；在所述簽名信息與所述完整性元數(shù)據(jù)簽名一致時，確認(rèn)所述含簽名自定義鏡像文件可信。

33、本申請還提供一種計算機可讀存儲介質(zhì)，其上存儲有計算機程序，所述計算機程序被處理器執(zhí)行時實現(xiàn)如上所述的方法的步驟。

34、本申請還提供一種電子設(shè)備，包括存儲器和處理器，所述存儲器中存有計算機程序，所述處理器調(diào)用所述存儲器中的計算機程序時實現(xiàn)如上所述的方法的步驟。

35、本申請?zhí)峁┮环N自定義鏡像文件的簽名方法，包括：獲取隨機密鑰和校驗平臺的平臺密鑰；將所述隨機密鑰的公鑰存儲至自定義鏡像文件的校驗公鑰存儲區(qū)；將所述隨機密鑰的私鑰輸入至摘要區(qū)構(gòu)建簽名信息；將所述平臺密鑰中的私鑰輸入至所述摘要區(qū)構(gòu)建平臺簽名信息，并將所述平臺密鑰中的公鑰寫入所述自定義鏡像文件，得到含簽名自定義鏡像文件。

36、本申請對自定義鏡像文件進(jìn)行簽名時，先利用隨機密鑰對文件內(nèi)容進(jìn)行加密并簽名，再利用平臺私鑰構(gòu)建平臺簽名信息，確保自定義鏡像的簽名流程能與校驗平臺的原生校驗鏈融合，以便實現(xiàn)對鏡像文件的逐級校驗。

37、本申請還提供一種自定義鏡像文件的驗簽方法、簽名系統(tǒng)、驗簽系統(tǒng)、計算機可讀存儲介質(zhì)和電子設(shè)備，具有上述有益效果，此處不再贅述。

技術(shù)特征：

1.一種自定義鏡像文件的簽名方法，其特征在于，包括：

2.根據(jù)權(quán)利要求1所述的校驗方法，其特征在于，獲取隨機密鑰和校驗平臺的平臺密鑰之前，還包括：

3.根據(jù)權(quán)利要求1所述的校驗方法，其特征在于，所述將所述隨機密鑰的私鑰輸入至摘要區(qū)構(gòu)建簽名信息包括：

4.一種自定義鏡像文件的驗簽方法，其特征在于，基于所述權(quán)利要求1-3任一項所述的自定義鏡像文件的簽名方法得到的含簽名自定義鏡像文件，所述驗簽方法包括：

5.根據(jù)權(quán)利要求4所述的自定義鏡像文件的驗簽方法，其特征在于，所述提取所述含簽名自定義鏡像文件中的完整性元數(shù)據(jù)簽名包括：

6.根據(jù)權(quán)利要求4所述的自定義鏡像文件的驗簽方法，其特征在于，確認(rèn)所述自定義鏡像文件可信之后，還包括：

7.一種自定義鏡像文件的簽名系統(tǒng)，其特征在于，包括：

8.一種自定義鏡像文件的驗簽系統(tǒng)，其特征在于，包括：

9.一種計算機可讀存儲介質(zhì)，其上存儲有計算機程序，其特征在于，所述計算機程序被處理器執(zhí)行時實現(xiàn)如權(quán)利要求1-3或4-5任一項所述的方法的步驟。

10.一種電子設(shè)備，其特征在于，包括存儲器和處理器，所述存儲器中存有計算機程序，所述處理器調(diào)用所述存儲器中的計算機程序時實現(xiàn)如權(quán)利要求1-3或4-5任一項所述的方法的步驟。

技術(shù)總結(jié)
本申請?zhí)峁┮环N自定義鏡像文件的簽名方法，包括：獲取隨機密鑰和校驗平臺的平臺密鑰；將所述隨機密鑰的公鑰存儲至自定義鏡像文件的校驗公鑰存儲區(qū)；將所述隨機密鑰的私鑰輸入至摘要區(qū)構(gòu)建簽名信息；將所述平臺密鑰中的私鑰輸入至所述摘要區(qū)構(gòu)建平臺簽名信息，并將所述平臺密鑰中的公鑰寫入所述自定義鏡像文件，得到含簽名自定義鏡像文件。本申請可確保自定義鏡像的簽名流程能與校驗平臺的原生校驗鏈融合，以便實現(xiàn)對鏡像文件的逐級校驗。本申請還提供一種自定義鏡像文件的驗簽方法、簽名系統(tǒng)、驗簽系統(tǒng)、計算機可讀存儲介質(zhì)和電子設(shè)備，具有上述有益效果。

技術(shù)研發(fā)人員：劉楊璽
受保護(hù)的技術(shù)使用者：深圳市廣通遠(yuǎn)馳科技有限公司
技術(shù)研發(fā)日：
技術(shù)公布日：2024/10/21