[发明专利]终端启动的处理方法和装置

权利要求书

1.一种终端启动的处理方法，其特征在于，所述终端中预置有认证中心CA颁发的根证书，所述方法包括：

终端上电复位后，采用解密算法对终端中的密文目标数据和密文数字签名进行解密处理，得到加密前的目标数据和加密前的数字签名；所述数字签名是采用私钥对所述目标数据进行数字签名得到的；所述目标数据包括引导程序、内核/操作系统数据以及应用数据；

利用所述解密算法对所述终端中密文签名证书进行解密处理，得到加密前的签名证书，采用所述根证书对所述签名证书进行验证，并在所述签名证书验证通过后，提取所述签名证书中的公钥；

采用所述签名证书中的公钥对所述数字签名进行验证，并在验证通过后运行所述目标数据，控制所述终端启动；

所述采用解密算法对终端中的密文目标数据和密文数字签名进行解密处理，得到加密前的目标数据和加密前的数字签名，包括：

采用第一解密算法对密文引导程序、所述引导程序的第一密文数字签名及所述引导程序的第一密文签名证书进行解密处理，得到所述引导程序、所述引导程序的第一数字签名及所述引导程序的第一签名证书；

采用第二解密算法对密文内核/操作系统数据、所述密文内核/操作系统数据的第二密文数字签名及所述密文内核/操作系统数据的第二密文签名证书进行解密处理，得到所述内核/操作系统数据、所述内核/操作系统数据的第二数字签名及所述内核/操作系统数据的第二签名证书；

采用第三解密算法对密文应用数据、所述密文应用数据的第三密文数字签名及所述密文应用数据的第三密文签名证书进行解密处理，得到所述应用数据、所述应用数据的第三数字签名及所述应用数据的第三签名证书；

其中，所述第一解密算法、所述第二解密算法以及所述第三解密算法为相同的白盒算法或者不同的白盒算法。

2.根据权利要求1所述的方法，其特征在于，所述终端中预置有所述解密算法的校验码和所述根证书的校验码，所述采用解密算法对终端中的密文目标数据和密文数字签名进行解密处理之前，还包括：

读取所述根证书的校验码，并根据所述根证书的校验码对所述根证书的完整性进行验证，其中，验证通过的根证书用于验证所述签名证书；

读取所述解密算法的校验码，并根据所述解密算法的校验码并对所述解密算法的完整性进行验证，其中，验证通过的解密算法用于解密所述密文目标数据和所述密文数字签名。

3.根据权利要求2所述的方法，其特征在于，

所述根证书的校验码和所述解密算法的校验码存储在所述终端的可信存储区。

4.根据权利要求1-3任一项所述的方法，其特征在于，在采用解密算法对终端中的密文目标数据和密文数字签名进行解密处理之前，所述方法还包括：

采用不同的签名证书中的公钥对应的私钥分别对所述引导程序、所述内核/操作系统数据以及所述应用数据进行分段数字签名，得到所述引导程序、所述内核/操作系统数据以及所述应用数据各自对应的数字签名。

5.根据权利要求1-3任一项所述的方法，其特征在于，在所述采用第一解密算法对密文引导程序、所述引导程序的第一密文数字签名及所述引导程序的第一密文签名证书进行解密处理，得到所述引导程序、所述引导程序的第一数字签名及所述引导程序的第一签名证书之前，所述方法还包括：

采用所述第一解密算法对应的第一加密算法对所述引导程序、所述引导程序的第一数字签名及所述引导程序的第一签名证书进行加密处理，得到所述密文引导程序、所述第一密文数字签名及所述第一密文签名证书。

6.根据权利要求5所述的方法，其特征在于，在所述采用第二解密算法对密文内核/操作系统数据、所述密文内核/操作系统数据的第二密文数字签名及所述密文内核/操作系统数据的第二密文签名证书进行解密处理，得到所述内核/操作系统数据、所述内核/操作系统数据的第二数字签名及所述内核/操作系统数据的第二签名证书之前，所述方法还包括：

采用所述第二解密算法对应的第二加密算法对所述内核/操作系统数据、所述内核/操作系统数据的第二数字签名及所述内核/操作系统数据的第二签名证书进行加密处理，得到所述密文内核/操作系统数据、所述第二密文数字签名及所述第二密文签名证书。