[发明专利]密钥固定的对称白盒密码加密方法和装置及设备

说明书

技术领域

本公开一般涉及计算机技术领域，具体涉及信息处理安全领域，尤其涉及一种密钥固定的对称白盒密码加密方法和装置。

背景技术

在数据传输和存储中，为了信息安全考虑，通常需要对数据加密。目前的加密主要假定对数据的攻击者无法接触到加密运行的环境，也不能控制加密数据存储的环境，从而无法接触加密时的算法和密钥。即，加密的过程和加密数据的存储作为一个“黑盒”存在，无法被攻击者获知。

然而，实际上，在一些情况下，数据的攻击者是能够接触到加密运行的环境的，甚至能够取得对数据加密、加密数据存储环境的控制。这样，他们很容易通过数据加密、加密数据存储环境中的一些中间数据、环境数据等以反向工程的方式推知加密算法和密钥等，从而攻击数据。因此，提出了在攻击者能够取得对数据加密、加密数据存储环境的控制时如何实现信息安全的需求，即在把加密数据的运行和加密数据的存储看成“白盒”的情况下，如何实现信息安全。

发明内容

鉴于现有技术中的上述缺陷或不足，期望提供一种在攻击者能够取得对加密数据运行、存储环境的控制时实现信息安全的方案，即在把加密数据的运行和存储看成“白盒”的情况下，实现信息安全的方案。

第一方面，本申请实施例提供了一种非对称白盒密码加密方法，所述方法包括：接收来自消息发送终端的加密消息、加密流水号，其中，加密消息是认证中心将消息发送终端要发送的消息按照消息分组方案和与每个组对应的加密密钥，将消息分成组并针对每个组用与该组对应的加密密钥加密得到并伴随分配的加密流水号返回给消息发送终端、再由消息发送终端转发的；将接收的加密消息与加密流水号对应保存；响应于获取消息内容的请求，将对应保存的加密消息和加密流水号发送到认证中心，以便认证中心对消息接收终端的身份进行认证并认证通过后，根据认证中心对消息加密时采用的消息分组方案和与每个组对应的加密密钥，对加密消息解密；从认证中心接收解密得到的消息内容。

第二方面，本申请实施例提供了一种非对称白盒密码加密方法，所述方法包括：接收来自消息接收终端的加密消息、加密流水号，其中，加密消息是将消息发送终端要发送的消息按照消息分组方案和与每个组对应的加密密钥，将消息分成组并针对每个组用与该组对应的加密密钥加密得到并伴随分配的加密流水号返回给消息发送终端、由消息发送终端转发到消息接收终端、由消息接收终端响应于获取消息内容的请求转发的；对消息接收终端的身份进行认证；如果认证通过，根据对消息加密时采用的消息分组方案和与每个组对应的加密密钥，对加密消息解密；发送解密得到的消息内容到消息接收终端。

第三方面，本申请实施例提供了一种密钥固定的对称白盒密码加密方法，所述方法包括：向认证中心发送要加密的消息；如果认证中心对消息发送终端的身份认证通过，接收认证中心根据消息分组方案、与每个组对应的加密密钥加密所述要加密的消息得到的加密消息、以及认证中心分配的加密流水号；将加密消息连同加密流水号发送到消息接收终端。

第四方面，本申请实施例提供了一种密钥固定的对称白盒密码加密装置，所述装置包括：第一接收单元，配置用于接收来自消息发送终端的加密消息、加密流水号，其中，加密消息是认证中心将消息发送终端要发送的消息按照消息分组方案和与每个组对应的加密密钥，将消息分成组并针对每个组用与该组对应的加密密钥加密得到并伴随分配的加密流水号返回给消息发送终端、再由消息发送终端转发的；第一保存单元，配置用于将接收的加密消息与加密流水号对应保存；第一发送单元，配置用于响应于获取消息内容的请求，将对应保存的加密消息和加密流水号发送到认证中心，以便认证中心对消息接收终端的身份进行认证并认证通过后，根据认证中心对消息加密时采用的消息分组方案和与每个组对应的加密密钥，对加密消息解密；第二接收单元，配置用于从认证中心接收解密得到的消息内容。

第五方面，本申请实施例提供了一种密钥固定的对称白盒密码加密装置，所述装置包括：第三接收单元，配置用于接收来自消息接收终端的加密消息、加密流水号，其中，加密消息是将消息发送终端要发送的消息按照消息分组方案和与每个组对应的加密密钥，将消息分成组并针对每个组用与该组对应的加密密钥加密得到并伴随分配的加密流水号返回给消息发送终端、由消息发送终端转发到消息接收终端、由消息接收终端响应于获取消息内容的请求转发的；第一认证单元，配置用于对消息接收终端的身份进行认证；解密单元，配置用于如果认证通过，根据对消息加密时采用的消息分组方案和与每个组对应的加密密钥，对加密消息解密；第二发送单元，配置用于发送解密得到的消息内容到消息接收终端。