[发明专利]一种可抵御计时攻击的数据安全实现方法及设备

说明书

技术领域

本发明涉及现代密码技术,特别是一种可抵御计时攻击的数据安全实现方法和设备。

背景技术

现代密码技术可以为数据提供机密性保护和完整性保护。机密性保护可以保证数据的内容不会被未经授权的人员知道。完整性保护可以保证数据的读者读到的内容与数据的写者写入的内容完全一致（即未经篡改）。采用现代密码技术的安全协议通常会使用加密算法（例如高级加密标准AES，三重数据加密算法3DES等）来完成机密性保护，使用消息认证码（MAC，Message Authentication Code）算法（例如密钥相关的哈希运算消息认证码-消息摘要算法第五版HMAC-MD5，密钥相关的哈希运算消息认证码-安全哈希算法HMAC-SHA1等）来完成完整性保护。安全传输层协议(TLS,Transport Layer Security)是一种常见的安全协议，TLS中定义的算法套件大多是先做MAC、再做加密的MEE（MAC-Encode-Encrypt）类型的，即封装时，先对原始消息计算MAC值，然后把原始消息和MAC值串接在一起，加密，得到密文形式的TLS报文；解封装时，先对密文解密，得到原始消息和MAC值，然后重新计算MAC值，并与解密后得到的MAC值比较，如果这两个MAC值一致，则认为完整性验证通过，否则认为验证不通过。

密码块链接（CBC，Cipher Block Chaining）是分组加密算法的一种工作模式，工作于这种模式下时，输入加密算法的待加密数据的长度必须是该加密算法分组长度的整数倍，例如DES/3DES的分组长度为8字节，AES的分组长度为16字节。待加密的有效数据的长度是随机的，可能不满足分组长度整数倍这个条件，这种情况下需要给有效数据增加填充部分，使其总长度达到分组长度的整数倍。

TLS中定义的算法套件大部分是MEE类型的，更进一步说，大部分是MEE-CBC类型的。这里的CBC，表示加密算法工作在CBC模式。

TLS协议对数据加密的处理如图1所示：

先对原始消息计算MAC，然后把MAC值串接于原始消息后面，把原始消息+MAC值作为加密算法的有效输入数据，如果采用的是CBC模式的对称加密算法，则根据该加密算法的分组长度，计算所需的填充长度。举例来说，如果原始消息长度为100字节，MAC算法为HMAC-SHA（输出的MAC值长度为20字节），加密算法为CBC模式的AES（分组长度为16字节），则加密算法的有效输入数据长度为120字节，最接近加密算法分组长度整数倍的值是128字节，因此填充部分长度是8个字节，TLS协议中定义填充后的数据的最后一个字节叫padding_length，其记录的值为填充部分长度减1，且其它填充字节的值也记为与padding_length相同的值，因此，上述情况下，图1中填充数据部分的总长度是8个字节，每个字节都取值为7。

现有技术中采用MEE-CBC类型的算法套件会招致计时攻击。由于加密报文中填充部分未受到MAC保护，攻击者可以修改不受MAC保护的部分的填充数据，因此解封装者对加密报文进行解密验证时就会发现报文错误，从而向加封装者返回相应的信息，攻击者通过观察解封装者对被修改过的加密报文的反应及反应时间，从而降低对加密报文实施攻击的时间复杂度，这就称为计时攻击。

发明内容

有鉴于此，本发明提出了一种可抵御计时攻击的数据安全实现方法及设备，当使用MEE-CBC类型的算法套件时，本发明将填充数据串接于原始信息之后，使填充数据全部作为有效输入数据，计算原始消息与填充数据的MAC值，并将MAC值串接于填充数据之后，这样原始消息与填充数据全部受到完整性保护，攻击者无法对加密报文进行修改，从而确保解封装者对加密报文的处理总消耗相同的时间，有效抵御计时攻击。本发明提出的技术方案是：

一种可抵御计时攻击的数据安全实现方法，该方法适用于对原始消息先计算消息认证码MAC值再做加密，且加密算法采用密码分组链接模式的MEE-CBC类型的算法套件，包括以下步骤：

加封装者根据使用的MAC算法与对称加密算法计算原始消息的填充数据长度，所述原始消息、填充数据与MAC值三者的长度之和为对称加密算法分组长度的整数倍；

对原始消息进行数据填充，填充数据串接于原始消息后面，其长度为计算得到的填充长度；

把原始消息与填充数据共同作为有效输入数据，计算有效输入数据的MAC值，并将MAC值串接于填充数据后面；

加封装者对原始消息、填充数据与MAC值进行加密，并将其发送给解封装者。