[发明专利]一种用于移动端密钥存储的实现方法和系统

权利要求书

1.一种用于移动端密钥存储的实现方法，其特征在于，包括：移动端在CPU特权模式下运行轻量级软件模块；所述轻量级软件模块利用白盒密码算法从指定内存位置读取外部程序传递的参数，执行所述白盒密码算法后，将运算结果存储在内存指定区域；利用白盒密码算法抗侧信道攻击的特性隐藏移动端运行中密钥，并提供外部接口返回外部程序传递的参数。

2.根据权利要求1所述的一种用于移动端密钥存储的实现方法，其特征在于，所述白盒密码算法采用AES、SM2或SM4实现抗白盒攻击。

3.根据权利要求1所述的一种用于移动端密钥存储的实现方法，其特征在于，所述外部程序传递的参数包括要加密的明文或要解密的密文。

4.根据权利要求1所述的一种用于移动端密钥存储的实现方法，其特征在于，所述在移动端CPU特权模式下运行轻量级软件模块之前，还包括：

将轻量级软件模块加载到内存并运行所述轻量级软件模块；

接收用户的身份认证，在所述身份认证通过后，移动端外部应用程序通过外部接口向所述轻量级软件模块传送要加密的明文或要解密的密文。

5.根据权利要求2所述的一种用于移动端密钥存储的实现方法，其特征在于，如果身份认证不通过，所述轻量级软件模块终止运行，在超过阈值时间内不被调用，则所述轻量级软件模块从内存中卸载。

6.根据权利要求3所述的一种用于移动端密钥存储的实现方法，其特征在于，所述将运算结果存储在内存指定区域后，终止CPU特权模式，外部接口从所述内存指定区域读取要加密的明文或要解密的密文后并返回给外部程序。

7.一种用于移动端密钥存储的实现系统，其特征在于，包括加载模块、认证模块、传送模块、算法运行模块和输出模块；

所述加载模块用于将轻量级软件模块加载到内存并运行所述轻量级软件模块；

所述认证模块用于接收用户的身份认证；

所述传送模块用于在所述身份认证通过后，移动端外部应用程序通过外部接口向所述轻量级软件模块传送要加密的明文或要解密的密文；

所述算法运行模块用于在CPU特权模式下运行轻量级软件模块，从指定内存位置读取外部程序传递的参数，执行所述白盒密码算法后，将运算结果存储在内存指定区域；

所述输出模块用于将运算结果存储在内存指定区域后，终止CPU特权模式，外部接口从所述内存指定区域读取要加密的明文或要解密的密文后并返回给外部程序。

8.根据权利要求7所述的一种用于移动端密钥存储的实现系统，其特征在于，所述系统还包括卸载模块；

所述卸载模块用于如果身份认证不通过，所述轻量级软件模块终止运行，在超过阈值时间内不被调用，则所述轻量级软件模块从内存中卸载；或者轻量级软件模块将运算结果返回给外部程序后，终止运行，从内存卸载。

9.根据权利要求8所述的一种用于移动端密钥存储的实现系统，其特征在于，所述轻量级软件模块将运算结果返回给外部程序后，若未接到卸载信号，则启动定时器，在定时时间内，未进行操作，自动卸载所述轻量级软件模块。