一種抵抗物理攻擊和系統(tǒng)攻擊的密鑰保護方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計算機安全領(lǐng)域，特別涉及一種抵抗物理攻擊和系統(tǒng)攻擊的密鑰保護方法。
【背景技術(shù)】
[0002]計算機技術(shù)隨著信息技術(shù)的高速發(fā)展，在人類生產(chǎn)和生活中的應(yīng)用越來越普及，人們已經(jīng)變的離不開計算機；但同時，計算機系統(tǒng)存儲著個人的各種隱私數(shù)據(jù)，如果得不到有效的保護，用戶的隱私安全將面臨嚴(yán)重威脅。
[0003]個人隱私數(shù)據(jù)可以通過密碼學(xué)的方法進行保護，而一個密碼系統(tǒng)的強度，除了和所用的密碼算法直接相關(guān)外，密鑰的存儲也是尤其重要的。一旦密鑰泄露，任何加密信息將不再機密。
[0004]密碼算法一般分對稱密碼算法和公鑰密碼算法兩種。對稱密碼算法的加密方和解密方使用的是同一密鑰，通信雙方必須事先協(xié)商并保管好他們共享的密鑰，主要用于會話數(shù)據(jù)的加解密。公鑰密碼算法的密鑰是成對出現(xiàn)的，包含一個秘密的私鑰和一個公開的公鑰，私鑰由密鑰擁有者獨享。在簽名系統(tǒng)中，用私鑰對消息進行加密，得到數(shù)字簽名；用公鑰對數(shù)字簽名進行解密，以驗證數(shù)字簽名。在加密系統(tǒng)中，用公鑰對數(shù)據(jù)進行加密，得到密文數(shù)據(jù)；用私鑰對密文進行解密，得到明文數(shù)據(jù)。
[0005]和對稱密碼算法相比，公鑰密碼算法除了可以提供傳統(tǒng)的機密性和完整性保護，還具有可追究性、不可抵賴性，因此在電子交易活動與電子事務(wù)處理領(lǐng)用起著至關(guān)重要的作用。
[0006]為了保證電子交易等網(wǎng)絡(luò)應(yīng)用的真實性、保密性、完整性以及可追究性等安全特性，以數(shù)字證書為核心的密碼技術(shù)廣泛應(yīng)用于網(wǎng)絡(luò)信息系統(tǒng)。數(shù)字證書采用了公鑰密碼算法，將公鑰與持有者的真實身份進行綁定，從而實現(xiàn)了網(wǎng)絡(luò)用戶身份信息的標(biāo)識，為網(wǎng)絡(luò)安全通信提供了電子認(rèn)證。
[0007]但是，這些安全特性的前提是保證數(shù)字證書所對應(yīng)的私鑰信息的機密性。一旦私鑰泄露，私鑰擁有者的身份將可能被冒充，并且，在SSL (Secure Sockets Layer，安全套接層)、PGP (Pretty Good Privacy)等應(yīng)用中，歷史的加密數(shù)據(jù)也將被解密。
[0008]一般情況下，在計算機系統(tǒng)中，私鑰是放在內(nèi)存中進行存儲和運算的，對私鑰的保護依賴于操作系統(tǒng)的各種安全機制，包括訪問控制、進程隔離、虛擬內(nèi)存、運行級隔離等。這些機制大大增強了對內(nèi)存的保護，但是現(xiàn)代操作系統(tǒng)仍然經(jīng)常出現(xiàn)各種漏洞，利用這些漏洞，內(nèi)存中的秘密信息就會很容易被間諜軟件獲取，我們稱這一類攻擊為系統(tǒng)攻擊。
[0009]對內(nèi)存中秘密信息的保護還需要考慮另一方面:冷啟動攻擊(Cold boot attack)可以完全繞過在系統(tǒng)層，包括操作系統(tǒng)，所施加的保護機制。冷啟動攻擊是一種物理攻擊，利用了動態(tài)隨機訪問內(nèi)存(DRAM)的剩余特性(remanence effect),即停止供電之后存儲內(nèi)容隨時間慢慢消失，整個過程持續(xù)好幾秒，如果利用制冷劑可以將時間延長到幾小時。攻擊者需要物理接觸運行中或掛起的目標(biāo)主機，然后用冷卻劑冷卻目標(biāo)主機的內(nèi)存，接著把其插入一臺沒有內(nèi)存清除機制的惡意主機中，最后利用惡意引導(dǎo)程序，把完整的內(nèi)存映像復(fù)制的惡意主機的磁盤中，這樣，攻擊者就可以通過各種密鑰恢復(fù)算法推測使用的密鑰。
[0010]可以看出，冷啟動攻擊代價極小、門檻極低，且具有很強的普遍適用性，對計算機系統(tǒng)的密鑰存儲安全帶來了嚴(yán)重的威脅。為了防止冷啟動攻擊可以使用如下機制:
[0011]1、使用智能卡、USB Key等硬件設(shè)備存儲密鑰和進行運算，這類方案安全性高，但是由于需要特殊的硬件設(shè)備，在密鑰管理、密鑰更新、便攜型、成本等方面有諸多不便。
[0012]2、使用密碼變換算法，比如白盒密碼，這類方案中，密鑰和算法是捆綁的，通過查找表混淆，即使攻擊者擁有全部內(nèi)存映像，也無法推測出密鑰。這類方案的局限性在于目前只支持對稱加密，不能支持公鑰密碼算法，計算效率很低，而且，也難以支持密鑰更新。
[0013]3、使用無內(nèi)存的密碼實現(xiàn)，即把密鑰以及中間的過程變量全部放在CPU的寄存器中。但是，由于寄存器的容量一般較小，只適合于存儲短的對稱密鑰。但是，隨著支持高級矢量擴展指令集(AVX)的寄存器，如YMM的CPU，開始廣泛部署，利用YMM寄存器的無內(nèi)存密碼實現(xiàn)開始出現(xiàn)，現(xiàn)有技術(shù)最多可以支持2048比特的RSA運算；但是這種方案也有很多不足:(I)可擴展性差，僅僅可以完成基本的運算，如果要支持更多安全功能，比如抗側(cè)信道攻擊，或者支持運算加速，比如中國剩余定理，將很困難；(2)如果要支持更長的密鑰，只能依賴CPU廠商來提供；(3)平臺依賴性大，由于直接操作寄存器，高級語言比如C語言將不能支持；(4)需要禁用AVX或者SSE (Streaming SIMD Extens1n)功能，這將對CPU處理數(shù)據(jù)密集型程序和圖形處理程序的性能產(chǎn)生非常大的影響，因為這些程序需要這些寄存器進行運算加速。
[0014]無內(nèi)存密碼實現(xiàn)的另一分支是利用CPU的片上高速緩沖存儲器(cache)做密鑰存儲和中間過程變量存儲。在計算機存儲系統(tǒng)的層次結(jié)構(gòu)中，高速緩沖存儲器是介于CPU和主存儲器之間的高速小容量存儲器。CPU核以及它們獨占的cache可以構(gòu)成一個相對獨立的環(huán)境。比起CPU寄存器，cache的存儲容量要大得多，足夠存放公鑰密碼算法的密鑰，并且可以提供各種安全增強和運算加速的算法。已有文獻用此方法可以實現(xiàn)4096位的支持CRT的RSA運算，但是在該方案中，同時可以進行密碼運算的核的數(shù)量受到cache層次結(jié)構(gòu)的影響，由于現(xiàn)代CPU架構(gòu)都有一個共享的L3高速緩沖寄存器，該方案同時只能支持一個核進行密碼運算，并需要設(shè)置附加的軟件保護機制，如通過軟件將其他核設(shè)置為no-fill模式。然而，針對現(xiàn)有的此種設(shè)置，若操作系統(tǒng)存在漏洞，惡意進程仍可以通過漏洞導(dǎo)致保護機制失效，使惡意進程可以隨便讀取密鑰，從而受到系統(tǒng)攻擊；并且，由于現(xiàn)有技術(shù)的此種方式需要將其他核設(shè)置為no-fill模式，因此，只有一個核可以進行密碼運算，效率較低。
[0015]系統(tǒng)攻擊和物理攻擊對計算機系統(tǒng)的密鑰安全帶來嚴(yán)重的威脅。系統(tǒng)攻擊從操作系統(tǒng)層面，利用系統(tǒng)的軟件漏洞，可以直接通過內(nèi)存訪問指令獲取密鑰。物理攻擊則可以在對目標(biāo)計算機有物理接觸的情況下，獲取整個內(nèi)存的映像。對這兩種攻擊的防范，現(xiàn)有機制都有各種不足。

【發(fā)明內(nèi)容】

[0016]針對現(xiàn)有技術(shù)中的問題，本發(fā)明提供了一種抵抗物理攻擊和系統(tǒng)攻擊的密鑰保護方法，可以同時抵抗針對內(nèi)存的系統(tǒng)攻擊和物理攻擊，以保障公鑰密碼算法在計算機系統(tǒng)環(huán)境下實現(xiàn)安全性，并提高處理器的工作效率。
[0017]為實現(xiàn)上述目的，本發(fā)明提供了一種抵抗物理攻擊和系統(tǒng)攻擊的密鑰保護方法，包括:
[0018]步驟A:設(shè)置多核處理器的每個核使其包含對稱主密鑰；
[0019]步驟B:利用其中任意一個核作為運算核執(zhí)行公鑰密碼運算，且私鑰明文以及運算過程中使用的中間數(shù)據(jù)變量存儲于運算核獨占的高速緩沖存儲器中；
[0020]步驟C:清空所述運算核獨占的高速緩沖存儲器中的私鑰明文以及運算過程中使用的中間數(shù)據(jù)變量；
[0021 ] 其中，當(dāng)執(zhí)行步驟B和步驟C時，多核處理器動態(tài)記錄所述步驟B和步驟C執(zhí)行過程中的所有內(nèi)存訪問；
[0022]當(dāng)所述多核處理器其他核線程試圖和運算核同時訪問同一內(nèi)存地址，且至少有一個寫操作時，或者運算核獨占的高速緩沖存儲器空間不夠，發(fā)生高速緩沖存儲器替換時，運算核放棄已執(zhí)行的步驟B和步驟C的所有操作，重新執(zhí)行步驟B和步驟C。
[0023]進一步,通過事務(wù)內(nèi)存(Transact1nal Memo