本公開公開了一種基于國密算法的系統安全啟動方法、裝置和系統，該方法包括：驗證由兩級以上的證書組成的證書鏈；響應于證書鏈的驗證成功，使用證書鏈中的最后一級證書，基于系統啟動文件簽名值、系統啟動文件哈希值和讀取的與國密算法相關的Z值通過國密算法來驗簽系統啟動文件簽名值；響應于系統啟動文件簽名值的驗簽成功，使用國密算法來計算系統啟動文件的哈希值，并將所計算的哈希值與系統啟動文件哈希值進行比較；響應于所計算的哈希值與系統啟動文件哈希值匹配，基于系統啟動文件啟動系統。本公開通過將國密算法應用到安全啟動系統過程，提高了簽名速度的同時，提高了系統啟動安全性。

技術領域

本公開涉及系統安全啟動的方法、裝置和系統，更具體地，本公開涉及一種基于國密算法的系統安全啟動方法、裝置和系統。

背景技術

隨著密碼技術和計算的發展，RSA公鑰密碼算法正面臨日益嚴重的安全威脅，國密SM2算法相比RSA具有如下優勢：同等安全級別下，SM2算法簽名速度快。為保障重要經濟系統密碼應用安全，防止出現非自主密碼算法受到攻擊導致重要經濟系統敏感數據泄露，國密局推薦使用國產密碼算法。

隨著信息技術的發展，信息安全的形勢日益嚴峻。保障信息安全的前提是信息系統本身是安全的，如果系統自身在啟動時被惡意程序篡改，那么系統將進入一種不可信的狀態，從而導致基于此系統的應用程序和上層安全機制都是不可信的。因此，系統的安全啟動技術已逐步被引起重視。

為了確保系統啟動安全，安全領域中采取了相應的保障機制，目前系統安全啟動過程中，通過使用RSA或ECDSA算法來驗簽系統啟動鏡像。然而使用RSA或ECDSA算法，簽名速度慢，且不符合國內自主可控的特點。

發明內容

有鑒于上述情況，本公開提供了一種用于生成用于系統安全啟動的文件的方法、裝置和計算機系統，以及用于安全啟動系統的方法、裝置和計算機系統。

根據本公開的一方面，提供了一種用于生成用于系統安全啟動的文件的方法，該方法包括：使用國密算法對系統啟動文件進行哈希計算以生成系統啟動文件哈希值；生成證書鏈，該證書鏈由兩級以上的證書組成；基于用戶標識、證書鏈中的最后一級證書和國密算法參數，通過國密算法生成與國密算法相關的Z值；基于系統啟動文件哈希值和Z值，通過國密算法生成用于對系統啟動文件進行簽名的哈希值；以及使用證書鏈中的最后一級證書的私鑰通過國密算法來對用于對系統啟動文件進行簽名的哈希值進行簽名以生成系統啟動文件簽名值；基于系統啟動文件、系統啟動文件哈希值、系統啟動文件簽名值和證書鏈，生成用于系統安全啟動的文件。

根據本公開的另一方面，提供了一種用于生成用于系統安全啟動的文件的裝置，該裝置包括：證書鏈生成模塊，被配置為生成證書鏈，該證書鏈由兩級以上的證書組成；文件簽名模塊，被配置為：使用國密算法對系統啟動文件進行哈希計算以生成系統啟動文件哈希值；基于用戶標識、證書鏈中的最后一級證書和國密算法參數，通過國密算法生成與國密算法相關的Z值；基于系統啟動文件哈希值和與國密算法相關的Z值，通過國密算法生成用于對系統啟動文件進行簽名的哈希值；以及使用證書鏈中的最后一級證書的私鑰通過國密算法來對用于對系統啟動文件進行簽名的哈希值進行簽名以生成系統啟動文件簽名值；和文件生成模塊，被配置為基于系統啟動文件、系統啟動文件哈希值、系統啟動文件簽名值、和證書鏈，生成用于系統安全啟動的文件。

根據本公開的又一方面，提供了一種用于安全啟動系統的方法，該包括：讀取用于系統安全啟動的文件，其中系統啟動文件、系統啟動文件哈希值、系統啟動文件簽名值和證書鏈被包括在用于系統安全啟動的文件中；驗證證書鏈，該證書鏈由兩級以上的證書組成；響應于證書鏈的驗證成功，使用證書鏈中的最后一級證書，基于系統啟動文件簽名值、系統啟動文件哈希值和存儲的與國密算法相關的Z值通過國密算法來驗簽系統啟動文件簽名值；響應于系統啟動文件簽名值的驗簽成功，使用國密算法來計算系統啟動文件的哈希值，并將所計算的哈希值與系統啟動文件哈希值進行比較；以及響應于所計算的哈希值與系統啟動文件哈希值匹配，基于系統啟動文件啟動系統。