[发明专利]用于保护密码散列函数的执行的方法和系统

权利要求书

1.一种在能够观察输入、输出和中间值的计算环境中保护密码散列函数的执行的计算机实现的方法，所述方法包括：

对输入消息进行编码以提供编码输入消息；

用一个或多个填充字节来填充所述编码输入消息以提供填充后的消息，其中所述一个或多个填充字节包括一个或多个未编码的填充字节以及其中所述编码输入消息被填充到由密码散列函数所确定的消息长度；

向所述填充后的消息应用变换后的密码散列函数以生成输出摘要，其中所述变换后的密码散列函数包括所述密码散列函数的受保护实现，使得通过向编码消息应用所述变换后的密码散列函数所生成的摘要等同于将通过向未编码的消息应用所述密码散列函数所生成的摘要。

2.权利要求1所述的方法，进一步包括：

对所述输出摘要进行编码以提供编码输出摘要。

3.权利要求1或权利要求2所述的方法，其中，以编码形式接收所述输入消息，以及对所述输入消息进行编码包括根据内部编码对所述输入消息进行重新编码。

4.权利要求1或权利要求2所述的方法，其中，所述密码散列函数是SHA-1、SHA-224、SHA-256、SHA-384或者SHA-512。

5.权利要求1或权利要求2所述的方法，其中用一个或多个填充字节来填充所述编码输入消息以生成填充后的消息进一步包括：

在用一个或多个未编码的填充字节填充所述编码输入消息之前，用一个或多个编码填充字节来填充所述编码输入消息，其中编码填充字节的数量是将消息长度上调至多个四字节所需的数量。

6.权利要求5所述的方法，进一步包括：

划分所述填充后的消息以提供编码字和未编码的填充字的至少一个阵列。

7.权利要求6所述的方法，其中，应用所述变换后的密码散列函数包括：

根据所述变换后的安全散列函数来处理所述至少一个阵列中的每个，使得包含所述输入消息的任何部分的中间值总被编码。

8.权利要求7所述的方法，其中，处理所述至少一个阵列中的每个包括：

对将用在散列函数迭代中的初始状态变量和常数进行初始化；

对所述至少一个阵列中的每个执行散列函数迭代以提供更新后的状态变量；

将输出编码应用于所述更新后的状态变量以提供编码状态变量；以及

将所述编码状态变量级联以提供所述输出摘要。

9.权利要求8所述的方法，其中，对所述至少一个阵列中的每个执行散列函数迭代包括：

在与所述变换后的密码散列函数相对应的变换后的域中确定用在所述散列函数中的组件函数的映射。

10.权利要求9所述的方法，其中，所述映射被存储在查找表中。

11.权利要求9或权利要求10所述的方法，其中，所述映射用来扩充在所述至少一个阵列中的字的数量。

12.权利要求9或权利要求10所述的方法，其中，所述映射用来提供所述状态变量的中间值。

13.一种用于在能够观察输入、输出和中间值的计算环境中保护密码散列函数的执行的设备，所述设备包括：

用于对输入消息进行编码以提供编码输入消息的装置；

用于用一个或多个填充字节来填充所述编码输入消息以提供填充后的消息的装置，其中所述一个或多个填充字节包括一个或多个未编码的填充字节以及其中所述编码输入消息被填充到由密码散列函数所确定的消息长度；

用于向所述填充后的消息应用变换后的密码散列函数以生成输出摘要的装置，其中所述变换后的密码散列函数包括所述密码散列函数的受保护实现，使得通过向编码消息应用所述变换后的密码散列函数所生成的摘要等同于将通过向未编码的消息应用所述密码散列函数所生成的摘要。

14.权利要求13所述的设备，进一步包括：

用于对所述输出摘要进行编码以提供编码输出摘要的装置。

15.权利要求13或权利要求14所述的设备，其中，以编码形式接收所述输入消息，以及用于对所述输入消息进行编码的装置包括用于根据内部编码对所述输入消息进行重新编码的装置。