技術(shù)領(lǐng)域

本發(fā)明涉及現(xiàn)代密碼技術(shù),特別是一種可抵御計(jì)時(shí)攻擊的數(shù)據(jù)安全實(shí)現(xiàn)方法和設(shè)備。

背景技術(shù)

現(xiàn)代密碼技術(shù)可以為數(shù)據(jù)提供機(jī)密性保護(hù)和完整性保護(hù)。機(jī)密性保護(hù)可以保證數(shù)據(jù)的內(nèi)容不會(huì)被未經(jīng)授權(quán)的人員知道。完整性保護(hù)可以保證數(shù)據(jù)的讀者讀到的內(nèi)容與數(shù)據(jù)的寫(xiě)者寫(xiě)入的內(nèi)容完全一致（即未經(jīng)篡改）。采用現(xiàn)代密碼技術(shù)的安全協(xié)議通常會(huì)使用加密算法（例如高級(jí)加密標(biāo)準(zhǔn)AES，三重?cái)?shù)據(jù)加密算法3DES等）來(lái)完成機(jī)密性保護(hù)，使用消息認(rèn)證碼（MAC，Message?Authentication?Code）算法（例如密鑰相關(guān)的哈希運(yùn)算消息認(rèn)證碼-消息摘要算法第五版HMAC-MD5，密鑰相關(guān)的哈希運(yùn)算消息認(rèn)證碼-安全哈希算法HMAC-SHA1等）來(lái)完成完整性保護(hù)。安全傳輸層協(xié)議(TLS,Transport?Layer?Security)是一種常見(jiàn)的安全協(xié)議，TLS中定義的算法套件大多是先做MAC、再做加密的MEE（MAC-Encode-Encrypt）類型的，即封裝時(shí)，先對(duì)原始消息計(jì)算MAC值，然后把原始消息和MAC值串接在一起，加密，得到密文形式的TLS報(bào)文；解封裝時(shí)，先對(duì)密文解密，得到原始消息和MAC值，然后重新計(jì)算MAC值，并與解密后得到的MAC值比較，如果這兩個(gè)MAC值一致，則認(rèn)為完整性驗(yàn)證通過(guò)，否則認(rèn)為驗(yàn)證不通過(guò)。

密碼塊鏈接（CBC，Cipher?Block?Chaining）是分組加密算法的一種工作模式，工作于這種模式下時(shí)，輸入加密算法的待加密數(shù)據(jù)的長(zhǎng)度必須是該加密算法分組長(zhǎng)度的整數(shù)倍，例如DES/3DES的分組長(zhǎng)度為8字節(jié)，AES的分組長(zhǎng)度為16字節(jié)。待加密的有效數(shù)據(jù)的長(zhǎng)度是隨機(jī)的，可能不滿足分組長(zhǎng)度整數(shù)倍這個(gè)條件，這種情況下需要給有效數(shù)據(jù)增加填充部分，使其總長(zhǎng)度達(dá)到分組長(zhǎng)度的整數(shù)倍。

TLS中定義的算法套件大部分是MEE類型的，更進(jìn)一步說(shuō)，大部分是MEE-CBC類型的。這里的CBC，表示加密算法工作在CBC模式。

TLS協(xié)議對(duì)數(shù)據(jù)加密的處理如圖1所示：

先對(duì)原始消息計(jì)算MAC，然后把MAC值串接于原始消息后面，把原始消息+MAC值作為加密算法的有效輸入數(shù)據(jù)，如果采用的是CBC模式的對(duì)稱加密算法，則根據(jù)該加密算法的分組長(zhǎng)度，計(jì)算所需的填充長(zhǎng)度。舉例來(lái)說(shuō)，如果原始消息長(zhǎng)度為100字節(jié)，MAC算法為HMAC-SHA（輸出的MAC值長(zhǎng)度為20字節(jié)），加密算法為CBC模式的AES（分組長(zhǎng)度為16字節(jié)），則加密算法的有效輸入數(shù)據(jù)長(zhǎng)度為120字節(jié)，最接近加密算法分組長(zhǎng)度整數(shù)倍的值是128字節(jié)，因此填充部分長(zhǎng)度是8個(gè)字節(jié)，TLS協(xié)議中定義填充后的數(shù)據(jù)的最后一個(gè)字節(jié)叫padding_length，其記錄的值為填充部分長(zhǎng)度減1，且其它填充字節(jié)的值也記為與padding_length相同的值，因此，上述情況下，圖1中填充數(shù)據(jù)部分的總長(zhǎng)度是8個(gè)字節(jié)，每個(gè)字節(jié)都取值為7。

現(xiàn)有技術(shù)中采用MEE-CBC類型的算法套件會(huì)招致計(jì)時(shí)攻擊。由于加密報(bào)文中填充部分未受到MAC保護(hù)，攻擊者可以修改不受MAC保護(hù)的部分的填充數(shù)據(jù)，因此解封裝者對(duì)加密報(bào)文進(jìn)行解密驗(yàn)證時(shí)就會(huì)發(fā)現(xiàn)報(bào)文錯(cuò)誤，從而向加封裝者返回相應(yīng)的信息，攻擊者通過(guò)觀察解封裝者對(duì)被修改過(guò)的加密報(bào)文的反應(yīng)及反應(yīng)時(shí)間，從而降低對(duì)加密報(bào)文實(shí)施攻擊的時(shí)間復(fù)雜度，這就稱為計(jì)時(shí)攻擊。

發(fā)明內(nèi)容

有鑒于此，本發(fā)明提出了一種可抵御計(jì)時(shí)攻擊的數(shù)據(jù)安全實(shí)現(xiàn)方法及設(shè)備，當(dāng)使用MEE-CBC類型的算法套件時(shí)，本發(fā)明將填充數(shù)據(jù)串接于原始信息之后，使填充數(shù)據(jù)全部作為有效輸入數(shù)據(jù)，計(jì)算原始消息與填充數(shù)據(jù)的MAC值，并將MAC值串接于填充數(shù)據(jù)之后，這樣原始消息與填充數(shù)據(jù)全部受到完整性保護(hù)，攻擊者無(wú)法對(duì)加密報(bào)文進(jìn)行修改，從而確保解封裝者對(duì)加密報(bào)文的處理總消耗相同的時(shí)間，有效抵御計(jì)時(shí)攻擊。本發(fā)明提出的技術(shù)方案是：

一種可抵御計(jì)時(shí)攻擊的數(shù)據(jù)安全實(shí)現(xiàn)方法，該方法適用于對(duì)原始消息先計(jì)算消息認(rèn)證碼MAC值再做加密，且加密算法采用密碼分組鏈接模式的MEE-CBC類型的算法套件，包括以下步驟：

加封裝者根據(jù)使用的MAC算法與對(duì)稱加密算法計(jì)算原始消息的填充數(shù)據(jù)長(zhǎng)度，所述原始消息、填充數(shù)據(jù)與MAC值三者的長(zhǎng)度之和為對(duì)稱加密算法分組長(zhǎng)度的整數(shù)倍；

對(duì)原始消息進(jìn)行數(shù)據(jù)填充，填充數(shù)據(jù)串接于原始消息后面，其長(zhǎng)度為計(jì)算得到的填充長(zhǎng)度；

把原始消息與填充數(shù)據(jù)共同作為有效輸入數(shù)據(jù)，計(jì)算有效輸入數(shù)據(jù)的MAC值，并將MAC值串接于填充數(shù)據(jù)后面；

加封裝者對(duì)原始消息、填充數(shù)據(jù)與MAC值進(jìn)行加密，并將其發(fā)送給解封裝者。