本說明書實施例提供一種基于密碼模塊執行的調用方身份鑒別方法，該方法首先確定請求調用密碼模塊的目標調用方，其中密碼模塊中預置有若干合法調用方對應的若干驗證信息，任一合法調用方對應的驗證信息，與該合法調用方的程序代碼中攜帶的身份信息相匹配；之后，主動獲取目標調用方對應的目標程序代碼；基于若干驗證信息，驗證目標程序代碼中是否攜帶有對應的身份信息；根據驗證結果確定目標調用方是否為合法調用方。該方法能夠對調用方身份進行有效鑒別。

技術領域

本說明書一個或多個實施例涉及數據安全技術領域，尤其涉及基于密碼模塊執行的調用方身份鑒別方法及裝置。

背景技術

密碼模塊是數據安全體系建設的重要組成部分，承擔了諸多密鑰保護任務，在企業內網安全建設方面以及在金融、科研等諸多領域中，都起到了不可或缺的作用。密碼模塊可以分為硬件密碼模塊和軟件密碼模塊，硬件密碼模塊可以是密碼卡、密碼機等，例如恩尼格瑪密碼機；軟件密碼模塊即基于軟件實現的密碼模塊，可以是能夠對密鑰等秘密數據加以保護的動態庫或者進程。

密碼模塊的典型用途之一為保護應用程序等主體的密鑰安全，由于應用程序等主體的安全防護能力較弱，一般會將密鑰存儲于相應的密碼模塊中，使用時通過調用密碼模塊來完成密鑰計算。已有技術下，使用方(以下稱為調用方)調用密碼模塊的場景中，存在一個固有問題：以應用程序作為調用方為例，應用在調用密碼模塊時，為防止惡意應用的非法調用，密碼模塊需要對應用的身份進行鑒別，而鑒別所用的身份憑據是需要應用自己進行安全存儲的，例如口令或者密碼等身份憑據需要應用自行解決安全存儲問題，然而，應用一般是因為缺失安全存儲能力才使用密碼模塊的，也就是應用一般是不具備對口令等身份憑據進行安全存儲的能力。例如，一種已有方案中，在IoT(Internet of Things，物聯網)設備、服務器等無人機交互的環境下，將口令明文存儲在配置文件或者硬盤上，攻擊者獲取到口令后，就可以使用口令惡意訪問密碼模塊。

鑒于此，需要提出一種改進方案以解決上述固有問題。

發明內容

本說明書一個或多個實施例描述了一種基于密碼模塊執行的調用方身份鑒別方法及裝置，分別在密碼模塊和調用方的程序代碼中預置相互匹配的驗證信息和身份信息，實現了不依賴于口令或密碼，也能對調用方身份進行有效鑒別。

根據第一方面，提供了一種基于密碼模塊執行的調用方身份鑒別方法，所述密碼模塊至少用于保護供合法調用方使用的密鑰信息，所述方法包括：

確定請求調用所述密碼模塊的目標調用方；所述密碼模塊中預置有若干合法調用方對應的若干驗證信息，其中任一合法調用方對應的驗證信息，與該合法調用方的程序代碼中攜帶的身份信息相匹配；

主動獲取所述目標調用方對應的目標程序代碼；

基于所述若干驗證信息，驗證所述目標程序代碼中是否攜帶有對應的身份信息；

根據驗證結果確定所述目標調用方是否為合法調用方。

根據一種實施方式，主動獲取所述目標調用方對應的目標程序代碼，包括：主動獲取所述目標調用方對應的進程信息，基于所述進程信息獲取所述目標調用方對應的目標程序代碼。

進一步的，在一個實施例中，可以通過調用操作系統應用程序接口API中的目標函數，獲取所述目標調用方對應的進程ID作為上述進程信息；然后基于所述進程ID獲取所述目標調用方對應的目標程序代碼。

在一個具體例子中，操作系統為linux，在這樣的情況下，獲取目標程序代碼可以包括：根據所述進程ID，確定在proc文件系統目錄下相應進程對應的目標文件的文件路徑；從所述目標文件包含的命令行中獲取所述目標程序代碼的存儲路徑，進而讀取所述目標程序代碼。

在另一實施例中，根據進程信息獲取目標程序代碼可以包括：根據所述進程信息，獲取所述目標調用方對應的目標程序代碼在相應進程占用的內存空間中的地址信息，進而讀取所述目標程序代碼。