本發明提供一種基于“白盒密碼模塊”假設的純軟件形態的密碼算法私鑰保護方法。該方法，以業務數據使用者為中心，借助支援服務器私鑰安全性，實現軟件密碼模塊與其合法使用者之間的可否認認證關系。從而實現防范密碼應用中與移動用戶私鑰安全性相關的風險防范，包括但不限于：識別或阻斷對合法使用者記憶特征的枚舉攻擊；對抗標識俘獲、鑒別俘獲、數據俘獲；俘獲的某一用戶密碼模塊，不能提供針對其他用戶的有價值信息；邏輯俘獲、標識俘獲、鑒別俘獲、數據俘獲中的任三種同時發生時，具備安全防護能力。

技術領域

本發明屬于密碼應用技術中密鑰保護技術領域。

背景技術

密碼學認為密鑰是保護密碼算法安全的基礎，密鑰的保護基于安全存儲于密碼模塊的密鑰保護密鑰實現。根據其所處環境的不同，密碼模塊面臨著黑盒攻擊、灰盒攻擊和白盒攻擊威脅。其中：黑盒密碼攻擊和灰盒密碼攻擊兩種類型的攻擊者可以通過觀察獲取密碼模塊輸出、輸入的明文、密文和密碼算法等信息，但無法獲取密碼模塊內部的執行邏輯、過程和密鑰存儲記錄等信息。而白盒攻擊區別于上述兩種攻擊模式在于假設攻擊者完全控制了密碼實現和運行平臺；白盒防御者追求利用密碼技術，使攻擊者無法從密碼技術組成中提取密碼算法的密鑰信息。

解決白盒攻擊環境中的密鑰保護問題，現存的做法主要是通過混淆類方法將密鑰分散到多個查詢表或多項式系數矩陣中，修改指定算法的邏輯過程為密鑰分散過程形成的查詢表、多項式系數矩陣。具體應用時則區分情況，將查詢表、多項式矩陣在保障密碼體系內進行分發，部分方案還需要為查詢表在密鑰用戶的身份鑒別信息、運行設備特征間建立數學關聯。應用上述方案，特別是在金融領域開放代碼環境應用時，可能產生查詢表、多項式矩陣分發問題和開放代碼環境個性代碼審查問題兩類密碼體系問題：

查詢表、多項式矩陣分發問題。例如：在金融領域基于區塊鏈原理的數字貨幣場景中，因參與者眾多，利用公開密碼算法私鑰的主要任務之一，是需要為入網結點(如：分布式賬本節點、同識節點)建立有效身份認證與鑒別信息方式，這些私鑰及其他變形(例如：公鑰)可經密碼基礎設施的背書(SM2、SM9數字認證中心)，從而回避在密碼體系運行前的“密鑰分發難題”。但如果查詢表、多項式矩陣也需在相同的密碼體系內進行可靠分發，那么，其實質也就形成了密鑰分發難題。

開放代碼環境個性代碼審查問題。Z密碼算法設計方案改變了以往的共同算法加不同用戶密鑰的密碼體制，通過在用戶密鑰與個性代碼之間建立數學聯系，提高白盒環境下密碼體的整體安全性，從而使被攻擊者俘獲的用戶A密碼設備，不能提供針對用戶B密碼設備的有價值信息。但，當與用戶密鑰結合的個性算法需暴露于開放代碼環境時(例如：經國外第三方應用市場審計)，Z算法的配置數據也需要在共識節點、分布記帳節點間分發，除僅可保護分組密碼密鑰的形式外，還極可能在個性代碼/配置數據安全分發過程中，產生類似黑盒密碼模型和灰盒密碼模型較難抵抗的標識俘獲、挑戰問題、相當于密鑰的數據俘獲等問題，對公鑰密碼體系支援可能達不到《金融分布式帳本技術安全規范》的應用需求。(例如：通過俘獲分發過程中的通信獲得配置數據、通過俘獲單一共識節點對其他節點身份信息或身份鑒別信息進行分析；使得除授權用戶外的攻擊者，獲得并運行授權用戶個性代碼)。

概括而言，Chow等人提出白盒攻擊威脅假設，以及為克服白盒攻擊假設做出的已知探索，強調密碼模塊運行邏輯被俘獲、密碼實例運行被跟蹤等假設風險，并不符合多數開放代碼環境下移動應用場景需要。主要原因有三：

一是目前已知的白盒密碼方案，不能有效解決當密碼模塊邏輯、密碼模塊內剩余數據、密碼模塊使用者身份標識、密碼模塊使用者鑒別信息，同時被攻擊者俘獲，可能產生的應用安全性威脅。其中：密碼實例運行被跟蹤(調試)場景，等同于攻擊者“同時獲取了密碼模塊邏輯、密碼模塊內剩余數據、合法密碼模塊使用者身份標識以及相應鑒別信息”。

二是查詢表、多項式矩陣分發，雖然在一定程度上可以克服密碼模塊運行邏輯俘獲帶來的風險，但在大規模應用實例中，會將具體密鑰泄露風險轉嫁到了典型的體系性密鑰分發難題。