[发明专利]基于可否认认证关系的密码算法私钥保护方法

说明书

本发明提供一种基于“白盒密码模块”假设的纯软件形态的密码算法私钥保护方法。该方法，以业务数据使用者为中心，借助支援服务器私钥安全性，实现软件密码模块与其合法使用者之间的可否认认证关系。从而实现防范密码应用中与移动用户私钥安全性相关的风险防范，包括但不限于：识别或阻断对合法使用者记忆特征的枚举攻击；对抗标识俘获、鉴别俘获、数据俘获；俘获的某一用户密码模块，不能提供针对其他用户的有价值信息；逻辑俘获、标识俘获、鉴别俘获、数据俘获中的任三种同时发生时，具备安全防护能力。

技术领域

本发明属于密码应用技术中密钥保护技术领域。

背景技术

密码学认为密钥是保护密码算法安全的基础，密钥的保护基于安全存储于密码模块的密钥保护密钥实现。根据其所处环境的不同，密码模块面临着黑盒攻击、灰盒攻击和白盒攻击威胁。其中：黑盒密码攻击和灰盒密码攻击两种类型的攻击者可以通过观察获取密码模块输出、输入的明文、密文和密码算法等信息，但无法获取密码模块内部的执行逻辑、过程和密钥存储记录等信息。而白盒攻击区别于上述两种攻击模式在于假设攻击者完全控制了密码实现和运行平台；白盒防御者追求利用密码技术，使攻击者无法从密码技术组成中提取密码算法的密钥信息。

解决白盒攻击环境中的密钥保护问题，现存的做法主要是通过混淆类方法将密钥分散到多个查询表或多项式系数矩阵中，修改指定算法的逻辑过程为密钥分散过程形成的查询表、多项式系数矩阵。具体应用时则区分情况，将查询表、多项式矩阵在保障密码体系内进行分发，部分方案还需要为查询表在密钥用户的身份鉴别信息、运行设备特征间建立数学关联。应用上述方案，特别是在金融领域开放代码环境应用时，可能产生查询表、多项式矩阵分发问题和开放代码环境个性代码审查问题两类密码体系问题：

查询表、多项式矩阵分发问题。例如：在金融领域基于区块链原理的数字货币场景中，因参与者众多，利用公开密码算法私钥的主要任务之一，是需要为入网结点(如：分布式账本节点、同识节点)建立有效身份认证与鉴别信息方式，这些私钥及其他变形(例如：公钥)可经密码基础设施的背书(SM2、SM9数字认证中心)，从而回避在密码体系运行前的“密钥分发难题”。但如果查询表、多项式矩阵也需在相同的密码体系内进行可靠分发，那么，其实质也就形成了密钥分发难题。

开放代码环境个性代码审查问题。Z密码算法设计方案改变了以往的共同算法加不同用户密钥的密码体制，通过在用户密钥与个性代码之间建立数学联系，提高白盒环境下密码体的整体安全性，从而使被攻击者俘获的用户A密码设备，不能提供针对用户B密码设备的有价值信息。但，当与用户密钥结合的个性算法需暴露于开放代码环境时(例如：经国外第三方应用市场审计)，Z算法的配置数据也需要在共识节点、分布记帐节点间分发，除仅可保护分组密码密钥的形式外，还极可能在个性代码/配置数据安全分发过程中，产生类似黑盒密码模型和灰盒密码模型较难抵抗的标识俘获、挑战问题、相当于密钥的数据俘获等问题，对公钥密码体系支援可能达不到《金融分布式帐本技术安全规范》的应用需求。(例如：通过俘获分发过程中的通信获得配置数据、通过俘获单一共识节点对其他节点身份信息或身份鉴别信息进行分析；使得除授权用户外的攻击者，获得并运行授权用户个性代码)。

概括而言，Chow等人提出白盒攻击威胁假设，以及为克服白盒攻击假设做出的已知探索，强调密码模块运行逻辑被俘获、密码实例运行被跟踪等假设风险，并不符合多数开放代码环境下移动应用场景需要。主要原因有三：

一是目前已知的白盒密码方案，不能有效解决当密码模块逻辑、密码模块内剩余数据、密码模块使用者身份标识、密码模块使用者鉴别信息，同时被攻击者俘获，可能产生的应用安全性威胁。其中：密码实例运行被跟踪(调试)场景，等同于攻击者“同时获取了密码模块逻辑、密码模块内剩余数据、合法密码模块使用者身份标识以及相应鉴别信息”。

二是查询表、多项式矩阵分发，虽然在一定程度上可以克服密码模块运行逻辑俘获带来的风险，但在大规模应用实例中，会将具体密钥泄露风险转嫁到了典型的体系性密钥分发难题。