[发明专利]一种内存数据加密解密方法及装置

说明书

本发明涉及一种内存数据加密解密方法及装置，所述内存数据加密方法包括：获取内存数据的明文，并得到所述数据的地址信息；利用加密算法对所述明文进行第一次加密，得到一级密文；根据所述数据的地址信息对所述一级密文进行变换，得到中间密文；利用所述加密算法，将所述中间密文进行第二次加密，得到最终的二级密文。本发明实施例利用在内存加密中对数据做两次加密，并在第一次产生的密文中做地址混淆来增加安全性的方法。

技术领域

本发明涉及计算机安全、软件加密领域，尤其涉及一种内存数据加密解密方法及装置。

背景技术

现有的处理器通常不对使用的内存数据进行加密，但是部分处理器可以使用AES(Advanced Encryption Standard，高级加密标准)等对称加密算法对内存数据进行加密。比如AMD的SEV方案中，通过对不同的虚拟机使用不同的加密密钥实现对不同虚拟机之间数据逻辑上的隔离以及虚拟机和主机之间数据隔离。但是使用了对称加密算法对内存数据加密，在存在使用相同密钥产生大量被加密数据的前提下，攻击者也可以通过检测密文数据的碰撞，从而找到明文数据之间的相关性。

AMD Zen处理器使用的加密机制，将地址与明文混淆，然后使用AES对称加密中的ECB(Electronic Codebook，电码本)模式加密，一定程度上增加了破解难度。但是攻击者仍然可以通过对相同密文在不同地址做解密，找到混淆规律，从而使混淆加密强度退化成和普通的AES-ECB对称加密相同的强度，最终可以使用类似针对普通AES-ECB对称加密的攻击手段进行攻击。

例如，假设物理内存地址0x8ea1a0处存放的为攻击者需要获取的用户数据，数据明文为16进制的01，23，45，67，89，ab，cd，ef，fe，dc，ba，98，76，54，32，10，攻击者可以读取用户物理内存地址存储的数据，并且可以读写物理内存地址0xdcfae0。

现有方案1如图1所示，相同明文时，不同地址下密文完全相同，换句话说，如果攻击者把密文搬运到自己的物理地址，那么直接就可以获取用户数据。

现有方案2如图2所示，相同明文时，不同地址下密文完全不同，但攻击者把密文搬运到自己的物理地址，他能够根据明文的差异反推出变换关系，从而修正地址不同造成的差异，使得加密效果退化为方案1。

发明内容

为了使得不同地址下的加密数据之间没有明显相关性，本发明提出了一种内存数据加密解密方法及装置。利用在内存加密中对数据做两次加密，并在第一次产生的密文中做地址变换来增加安全性的方法。

为实现上述目的，本发明第一实施例提供了一种内存数据加密方法，包括：获取内存数据的明文，并得到所述数据的地址信息；利用加密算法对所述明文进行第一次加密，得到一级密文；根据所述数据的地址信息对所述一级密文进行变换，得到中间密文；利用所述加密算法，将所述中间密文进行第二次加密，得到二级密文。

结合第一实施例，所述加密算法为SM4加密算法。

结合第一实施例，根据所述数据的地址信息对所述一级密文进行变换，其方法还包括：将所述一级密文与所述数据的地址信息进行异或运算。

本发明第二实施例提供了一种内存数据解密方法，包括：获取内存中加密的二级密文，并得到数据的地址信息；利用解密算法，将二级密文进行第一次解密，得到中间密文；将所述中间密文与数据的地址信息做反变换，得到一级密文；利用所述解密算法对所述一级密文进行第二次解密，得到明文。

结合第二实施例，所述解密算法为SM4解密算法。