在公共视频监控领域的纵向多级网络中，存储有海量视频数据，根据数据的敏感程度，一部分数据需要加密存储，一部分数据是明文存储，但均存在跨级或跨域共享需求。对于加密数据，由于受限于密钥管理系统的跨域访问限制及解密密钥的安全传输问题，需要先解密成明文后，才能共享。为保证原有加密或非密数据的共享安全，需要采用密码算法对跨级跨域共享数据进行完整性、机密性保护。传统密码学中，密码算法的设计都是建立在黑盒模型基础上的：假设密码算法的运行环境是安全的，攻击者只能访问算法的输入和输出，不能观察代码执行及动态加解密的过程，保障数据安全的关键是保护好密钥。
密码算法的实现主要有硬件和软件2种方式。采用硬件方式需使用嵌入了密码芯片的专用存储介质，密钥经保护后存储在芯片中，安全性高，在《公共安全视频监控联网信息安全技术要求》(GB 35114—2017)^[1]中，对加密视频的导出及共享推荐使用这种方式，但该方法存在使用成本高、通用性较差等问题。采用软件方式共享快捷方便，但在软件加解密过程中，密钥将会出现在算法运行平台的内存中，由于不能确保密码算法软件运行环境的安全可信，攻击者可能使用静态分析工具、调试器、直接读取内存中的数据等方法找出密钥^[2]，数据安全性得不到保障，也无法抵御近年来提出的时间分析、功耗分析、插入错误分析等旁路攻击^[3-6]。
对于这种不可靠的密码算法运行环境，2002年，Chow等^[7]将其命名为白盒攻击环境(White-Box Attack Context，WBAC)，其描述如下：①在同一主机中，可以同时运行加密软件与拥有特殊权限的攻击软件，并且对密码算法在主机中的运行过程拥有完全的控制权；②主机中程序的动态执行过程可以被监视；③密码算法的实现原理及执行过程是可见的，并且可被任意修改。
白盒攻击环境也可理解为白盒攻击模型，与黑盒攻击模型相比，白盒攻击模型可以认为是最坏的模型，然而其也是现今信息技术迅速发展很适用的模型，用于分析在不可信环境下运行的密码算法。为了保证密码算法在不可信的终端运行而不受到威胁，科研人员设计了在白盒攻击环境下能够确保安全性的密码算法，该密码算法被称为白盒密码算法，其目的就是为了应对白盒攻击环境，将密钥信息隐藏在密码算法中，防止密钥被攻击者获取。因此，研究安全高效的白盒密码算法具有非常重要的意义。
目前，对白盒密码算法的研究分为2种技术路线：①基于已有白盒密码算法，利用混淆、扰乱等白盒密码技术进行设计，在不改变原算法功能的前提下，保障算法在白盒攻击环境下的安全性；②研究一种全新的白盒密码算法，直接可以抵抗白盒攻击^[8]。Chow等^[7]在提出白盒攻击环境的同时, 通过将若干步骤组合起来所构成的函数用查找表来表示(即遍历函数的输入, 存储函数的输出值构成查找表, 从而可隐藏该函数的内部信息), 将密钥嵌入到查找表并使用随机双射来保护查找表^[9], 开创性地构造了首个白盒AES方案及首个白盒DES方案^[10]。2009年, Xiao和Lai^[11]提出了SMS4白盒实现算法, 使用查找表和仿射变换相结合的方式，从白盒多样性和白盒含混度的角度来看, 该方案达到了应用所需的安全性, 也针对Billet等^[12]提出的攻击方法说明了该方案的安全性。
本文基于国家密码管理局颁布的SM4算法设计白盒密码算法。SM4 (原SMS4)密码算法于2006年由国家密码管理办公室正式发布, 是一种对称加密算法，2012年成为密码行业标准GM/T 0002—2012^[13]，并于2016年成为国家标准GB/T 32907—2016^[14]，在2017年颁布的《公共安全视频监控联网信息安全技术要求》(GB 35114—2017)^[1]中，也将其采纳为用于视频数据加密保护的算法标准。
本文在进行算法设计时，参考了Xiao和Lai^[11]提出的白盒算法实现思路，运用仿射变换与查找表来保护算法运行的内部信息，重新设计了编码解码流程，并引入播放口令、设备硬件因子等混淆参数增加算法分析难度。以此为基础进行工程化，研制开发视频数据跨级安全共享软件，并根据系统运行实际效率，对白盒密码算法及共享软件进行多次优化，实现跨级共享数据加解密速率大于1 Gbit/s的目标，减少视频数据共享的加密成本，实现使用软件加密方式的视频数据安全快捷跨域共享。
1 基于SM4算法的白盒密码算法实现 SM4算法为分组密码算法，算法的分组长度和密钥长度均为128 bit。加密后的密文分组也是128 bit，加密过程为32轮迭代操作及最后1轮输出的反序变换，每一轮的迭代操作称为轮函数^[15]。其解密过程类似于加密过程，但是轮密钥使用了与加密轮密钥相反的顺序。SM4算法的整体结构如图 1所示。图中：MK为加密密钥，FK为系统参数，CK为固定参数，dk为由MK扩展得到的轮密钥，F为轮函数，F′为密钥扩展函数。

图 1 SM4算法整体结构 Fig. 1 Overall structure of SM4 algorithm

图选项

设计基于SM4算法的白盒密码算法主要需要突破以下要点：
1) 可逆S盒变换。S盒变换指按字节进行的代替变换，是作用在状态中每个字节上的一种非线性字节变换。S盒变换又分为可逆S盒变换和不可逆S盒变换2种，本文设计的白盒密码算法的基本部件主要采用可逆S盒变换，以实现不同轮中间查表输出数据的隐藏。
2) 仿射变换。仿射变换是平面(空间)的一个可逆变化，由一个非奇异的线性变换和一个平移变换构成。在有限维的情况下，每个仿射变换可以由一个可逆矩阵D和一个向量b给出，对向量x的仿射变换为：y=Dx+b。
在本文的SM4白盒密码算法设计中，使用该方法结合可逆S盒变换实现相邻轮运算过程中的中间数据隐藏，防止攻击者直接获取加解密过程中的中间参数，继而分析破解获得相应的轮密钥，计算获得最终密钥。
根据SM4算法及加解密流程，本文基于查表运算设计了SM4白盒密码算法。该白盒密码算法将SM4算法的每一轮运算分成3个部分，通过将第2部分和第3部分的运算转换为查表运算，并引入混淆参数，从而将原始的轮密钥隐藏进表中，即使攻击者在掌握整个软件之后，使用白盒攻击方法，也无法获得视频数据的加密密钥，有效保护了密钥在算法执行过程中的安全。
算法主要由2个部分组成：白盒密钥表生成模块和基于白盒密钥表的数据加解密模块。
1.1 白盒密钥表生成模块 白盒密钥表生成模块由绑定信息生成算法、随机数生成算法、白盒密钥表构造算法3部分组成，如图 2所示。

图 2 白盒密钥表生成模块构成 Fig. 2 White-box key table generation module composition

图选项

绑定信息生成算法用于生成白盒密钥表构造算法的初始运行因子，该因子源于视频共享口令及播放设备硬件信息，目的是抵抗共享输出数据被非法浏览及拷贝风险，限制共享视频数据只能在指定播放设备上被知晓共享口令的人解密查看。输入因子必须为256 bit的数据，因此使用绑定信息生成算法将视频共享口令和指定视频播放设备的硬件信息进行融合。设共享口令为Password，设备硬件信息为Hi, 使用SM3杂凑算法^[16]作为绑定信息生成算法，算法的输入为Password和Hi，算法的输出结果为绑定信息即Password || Hi的哈希值。
随机数生成算法主要是生成白盒密钥表构造算法所需要的随机参数信息。需要共享的视频数据使用SM4白盒密码算法进行加密，而共享输出系统需要对视频密文进行解密，因此设计的白盒密码算法为SM4白盒解密算法，对应的白盒密钥表为SM4白盒解密表。随机数生成算法产生SM4白盒解密表所需要的有限域Z₂上的420个8×8的可逆矩阵。该算法的输入是随机数种子，输出为Z₂上的8×8的可逆矩阵M_i，i=1, 2, …, 420。
白盒密钥表构造算法根据实际的数据加密密钥生成解密所需的白盒密钥表，主要分为3个部分：①负责通过置换矩阵对输入数据进行混淆；②通过遍历输入，结合轮密钥、置换矩阵、S盒置换进行计算，将轮密钥嵌入表中；③对第②部分输出的结果进行解混淆，如果是最后一轮，则直接输出，否则加入新的混淆数据。
具体步骤如下：
步骤1??定义4类矩阵，分别为P、E_i、Q_j、R_k。令：P=diag(P₁, P₂, P₃, P₄)，E_i=diag(E_{i, 1}, E_{i, 2}, E_{i, 3}, E_{i, 4})，Q_j=diag(Q_{j, 1}, Q_{j, 2}, Q_{j, 3}, Q_{j, 4})，R_k=diag(R_{k, 1}, R_{k, 2}, R_{k, 3}, R_{k, 4})。
步骤2??产生复合线性变化A_{i, j}，i=1, 2, …, 36, j=1, 2, 3。A_{1, 1}=E₁P, A_{1, 2}=E₁P, A_{1, 3}=E₁P; A_{2, 1}=E₂P, A_{2, 2}=E₂P, A_{2, 3}=E₂R₁^-1; A_{3, 1}=E₃P, A_{3, 2}=E₃R₁^-1, A_{3, 3}=E₃R₂^-1; A_{4, 1}=E₄R₁^-1, A_{4, 2}=E₄R₂^-1, A_{4, 3}=E₄R₃^-1; A_{5, 1}=E₅R₂^-1, A_{5, 2}=E₅R₃^-1, A_{5, 3}=E₅R₄^-1；…; A_{i+1, 1}=E_i+1R_i-2^-1, A_{i+1, 2}=E_i+1R_i-1^-1, A_{i+1, 3}=E_i+1R_i^-1; …；A_{33, 1}= E₃₃R₂₆^-1, A_{33, 2}=E₃₃R₂₇^-1, A_{33, 3}=E₃₃R₂₈^-1; A_{34, 1}=E₃₄R₂₇^-1, A_{34, 2}=E₃₄R₂₈^-1，A_{34, 3}= E₃₄R₂₉^-1; A_{35, 1}=E₃₅R₂₈^-1, A_{35, 2}=E₃₅R₂₉^-1, A_{35, 3}=E₃₅R₃₀^-1; A_{36, 1}=E₃₆R₂₉^-1, A_{36, 2}=E₃₆R₃₀^-1, A_{36, 3}=E₃₆R₃₁^-1。
步骤3??产生第1类查找表SM4Dec-Table 1= {SM4Dec-Table_{i, j}¹|i=1, 2, …, 36;j=1, 2, 3, 4}。具体方法为：设绑定信息BI=(BI₁, BI₂, BI₃, BI₄)∈(Z₂³²)⁴, BI_j=(BI_{j, 1}, BI_{j, 2}, BI_{j, 3}, BI_{j, 4})∈(Z₂⁸)⁴，j=1, 2, 3, 4, BI_i=0, i>4，混淆参数r=(r₀, r₁, r₂, r₃)∈(Z₂³²)⁴。设在第i轮，第1类查找表SM4Dec-Table_i¹={SM4Dec-Table_{i, 1}¹，SM4Dec-Table_{i, 2}¹，SM4Dec-Table_{i, 3}¹，SM4Dec-Table_{i, 4}¹}的输入为y_i=(y_{i, 1}, y_{i, 2}, y_{i, 3}, y_{i, 4})^T和BI _i，SM4Dec-Table¹i, j的构建方法如下：
① y′_i=y_i⊕BI_i=(y_i,1⊕BI_i,1,y_i,2⊕BI_i,2,y_i,3⊕BI_i,3,y_i,4⊕BI_i,4)^T。
② y′_i经过线性变换P^-1E_i^-1作用，输出为

③ 将轮密钥rk_36-i隐藏在S盒中，设P^-1E_i^-1· (y′_i)经过S盒作用后的输出为

④ 计算Q_i·P·L·(z_{i, 1}, z_{i, 2}, z_{i, 3}, z_{i, 4})^T。
记H_i=Q_iPL=(H_{i, 1}H_{i, 2}H_{i, 3}H_{i, 4}), H_{i, j}为32×8的矩阵，则

据上，可获得4个8×32 bit的查找表SM4Dec-Table_{i, j}¹：y_{i, j}(→z_{i, j})→v_{i, j}, i=1, 2, …, 36，j=1, 2, 3, 4。该查找表主要用于隐藏解密密钥和绑定信息。
步骤4??产生第2类查找表SM4Dec-Table 2= {SM4Dec-Table_{i, j}²|i=1, 2, …, 36;j=1, 2, 3, 4}。具体方法为：设在第i轮中，第2类查找表SM4Dec-Table_i²={SM4Dec-Table_{i, 1}²，SM4Dec-Table_{i, 2}², SM4Dec-Table_{i, 3}²，SM4Dec-Table_{i, 4}²}的输入为s_i=(s_{i, 1}, s_{i, 2}, s_{i, 3}, s_{i, 4})和t_i=(t_{i, 1}, t_{i, 2}, t_{i, 3}, t_{i, 4})。
对于第1轮~第4轮，第2类查找表的构建方法如下：
① 计算R_iP(s_i)和_iQ_i^-1(t_i)。

② 计算R_iP(s_i)⊕R_iQ_i^-1(t_i)⊕r_i-1。

对于第5轮~第32轮，第2类查找表的构建方法如下：
③ 计算R_iR_i-4^-1(s_i)和R_iQ_i^-1(t_i)。

④ 计算R_iR_i-4^-1(s_i)⊕R_iQ_i^-1(t_i)。

对于第33轮~第36轮，第2类查找表的构建方法如下：

该查找表主要用于隐藏随机产生信息。
1.2 基于白盒密钥表的数据加解密模块 基于白盒密钥表的数据加解密模块中的绑定信息生成算法与白盒密钥表构造算法中的绑定信息生成算法相同。共享视频接收者输入共享口令后，绑定信息生成算法结合播放设备的硬件信息产生绑定信息BI, BI将作为SM4白盒解密算法的输入。白盒加解密算法框架如图 3所示。

图 3 白盒加解密算法框架 Fig. 3 White-box encryption and decryption algorithm framework

图选项

SM4白盒解密算法的输入为使用SM4算法加密的密文视频、白盒密钥表和绑定信息BI，输出为明文视频，其是一个36轮的分组迭代算法，每一轮的具体步骤如下：
设第i轮的输入为(x_i-1, x_i, x_i+1, x_i+2)，其中, x_i-1, x_i, x_i+1, x_i+2都为32 bit。
1) 利用复合线性变换A_{i, 1}, A_{i, 2}, A_{i, 3}分别左乘x_i, x_i+1, x_i+2，然后将结果进行异或，即

2) 计算y_i=(y_{i, 1}, y_{i, 2}, y_{i, 3}, y_{i, 4})^T经过第1类查找表SM4Dec-Table_{i, j}¹变换后的结果，即

3) 计算s_i=x_i-1=(s_{i, 1}, s_{i, 2}, s_{i, 3}, s_{i, 4})^T和t_i=(t_{i, 1}, t_{i, 2}, t_{i, 3}, t_{i, 4})^T经过第2类查找表SM4Dec-Table_{i, j}²变换后的结果，即

经过上述3步变换后，第i轮的输出为x_i+3=(x_{i+3, 1}, x_{i+3, 2}, x_{i+3, 3}, x_{i+4, 4})
1.3 SM4白盒密码算法安全性分析 本节主要分析SM4白盒密码算法面对BGE攻击的安全性。BGE是针对Chow等^[7]设计的AES白盒算法提出的一种攻击方法。Chow等^[7]设计的AES白盒算法每一轮的实现方式为：Out^r·AES^r·In^r，AES^r表示AES第r轮的变换，In^r表示第r轮的输入编码，Out^r表示第r轮的输出编码，且Out^r=(In^r+1)^-1。
BGE攻击的主要思想是：先根据AES白盒算法的查找表把输入编码和输出编码恢复为仿射变换，然后计算出仿射变换的输出编码。每一轮的输出编码和下一轮的输入编码是互逆的，即Out^r=(In^r+1)^-1，因此除了第1轮，其他输入编码也可以计算出来。此时，攻击者就可以得到AES^r，从而得到隐藏着的密钥。Michiels等^[17]将其改进为一种通用攻击方法, 可以对类似算法的白盒实现进行攻击。
在本文设计的SM4白盒解密算法中，如果将查找表与下一步的线性变换结合起来考虑，将得到如下所示的合成变换，其中Q_i与其逆正好相抵消，如图 4所示。

图 4 合成变换 Fig. 4 Synthetic transform

图选项

假设第1轮的查找表的输入为y=(y₁, y₂, y₃, y₄), t=(t₁, t₂, t₃, t₄)，经过合成变换后的输出为z=(z₁, z₂, z₃, z₄)。由于L可以看做是32×32的矩阵，所以可以将L分成16个8×8的子块：

合成变换的输入y=(y₁, y₂, y₃, y₄), t=(t₁, t₂, t₃, t₄), 输出z=(z₁, z₂, z₃, z₄)满足如下关系：

将输入y=(y₁, 0, 0, 0), t=(0, 0, 0, 0)代入上述关系：

式中：

则

事实上，A_{j, r}可以看做是8×8的矩阵，常数项c_{j, r}有8个未知项，共有72个未知项。对于一对(z_j, z_r)，将等式z_j(y₁, 0, 0, 0)=A_{j, r}z_r(y₁, 0, 0, 0)⊕c_{j, r}展开可获得8个线性方程，则任取9个不同的y₁值，可以组成8个含有9个未知数的方程组(每个方程组有9个方程)。因此，能以低于8×9³的时间复杂度求出A_{j, r}和c_{j, r}。
同理可得，z_r(0, y₂, 0, 0, 0, 0, 0, 0)=A′_{r, j}z_j(0, y₂, 0, 0, 0, 0, 0, 0)⊕c′_{r, j}，其中，A′_{r, j}=E_{i+1, r}P_rL_{r, 2}L_{j, 2}^-1·P_j^-1E_{i+1, j}^-1，c′_{r, j}=A′_{r, j}c′_j⊕c′_r。那么，A_{j, r}·A′_{r, j}=(P_j^-1E_{i+1, j}^-1)^-1L_{j, 1}L_{r, 1}^-1L_{r, 2}L_{j, 2}^-1(P_j^-1E_{i+1, j}^-1)。
因为A_{j, r}和A′_{r, j}可以求出，而各分块矩阵L_{i, j}均已知，因此可记为

式中：A=A_{j, r}·A′_{r, j}，B=L_{j, 1}L_{r, 1}^-1L_{r, 2}L_{j, 2}^-1，均为8×8的已知矩阵；X=P_j^-1E_{+1, j}^-1为8×8的未知矩阵。因此，方程可获得关于X的64个未知数的64个方程，X能以低于4×8^2.4+64³的时间复杂度求出, 其中4×8^2.4为4个8×8矩阵相乘的复杂度，64³为求解64阶方程组的复杂度。
经过4次相同的计算，可以得到P₁^-1E_{i+1, 1}^-1，P₂^-1E_{i+1, 2}^-1，P₃^-1E_{i+1, 3}^-1，P₄^-1E_{i+1, 4}^-1。
求出A_{j, r}和A′_{r, j}的时间复杂度低于2×8×9³, 因此能以低于4×(2×8×9³+4×8^2.4+64³) < 2²⁰的复杂度计算出P^-1E_i+1^-1=diag(P₁^-1E_{i+1, 1}^-1，P₂^-1E_{i+1, 2}^-1，P₃^-1E_{i+1, 3}^-1，P₄^-1E_{i+1, 4}^-1)。
同理，可计算出P^-1E_i+2^-1。又因为线性变换E_i+2R_i+1^-1已知，故P^-1R_i+1^-1可以求出。若能推算出R_i+1Q_i+1^-1，则P^-1Q_i+1^-1是可计算的。若S盒的输出混淆P^-1E_i+2^-1和输出混淆Q₁₊₁P已知，则密钥可推导出来。
然而，R_i+1Q_i+1^-1隐藏在第2张表中，是未知的，故SM4白盒加解密算法可以抵抗BGE攻击。
2 视频数据共享系统软件设计及实现 视频数据共享系统由基于B/S架构的服务端系统及白盒视频播放器组成，系统提供共享视频文件审批、白盒加密共享数据输出、加密视频解密播放功能。共享视频文件审批完成对视频文件共享业务的审批，并管理审批日志；白盒加密共享数据输出服务将共享的视频文件转换为经SM4白盒算法加密保护的文件，并提供下载功能，实现视频数据的安全输出。共享视频文件审批服务可支持多层组织机构进行协同审批；白盒加密共享数据输出系统的数据加密性能可达到1 Gbit/s。通过对原有视频文件播放器进行改造，集成SM4白盒算法解密模块形成白盒视频文件播放器。
2.1 模块设计 服务端系统由用户身份管理模块、关键参数管理模块、视频安全共享处理模块、输出视频管理模块、商用基本密码处理模块、SM4白盒密码处理模块组成。模块之间的关系如图 5所示。

图 5 软件模块关系 Fig. 5 Software module relationship

图选项

1) 用户身份管理模块：实现系统用户信息的管理，包括用户注册、用户登录、用户权限管理及用户信息修改。
2) 关键参数管理模块：对用户提交的视频数据的数据加密密钥、视频文件共享口令、硬件因子进行存储及管理。
3) 视频安全共享处理模块：对待共享的视频文件进行审批处理，并调用商用基本密码处理模块及SM4白盒密码处理模块提供的接口，实现对共享视频文件的白盒加密处理。
4) 商用基本密码处理模块：使用商用密码算法对待共享的加密敏感视频文件进行解密，得到明文视频文件，如待共享的视频文件已经是明文，则直接返回；同时提供SM3算法接口，可实现对口令及硬件设备因子的哈希计算。
5) SM4白盒密码处理模块：结合共享口令和设备硬件因子对明文视频数据使用SM4白盒密码算法加密，输出白盒密文视频文件。
6) 输出视频管理模块:对白盒密文视频文件进行存储和管理，并提供文件下载功能。
2.2 软件执行流程设计
2.2.1 视频共享 将待共享的视频文件名、共享者下载需要的口令密码、分享对象的设备硬件因子信息、分享原因等信息上传至服务器，保存至数据库。

2.2.2 视频审核及白盒加密处理 分享者提出视频分享请求后，后台审核数据库会新增一条审核信息，审核者根据分享者提供的信息决定是否通过分享请求，分享请求审核通过后，系统向视频存储服务器请求相应视频文件，如该文件已被加密，则同时向该加密共享文件所属的密钥管理服务器请求解密所需要的密钥数据，如果视频库中没有相应视频文件信息，共享终止。
视频安全共享输出模块获得共享视频文件及密钥数据后，先使用原密钥解密视频文件，再使用SM4白盒密码算法对明文视频数据进行加密处理, 生成白盒加密视频文件，以及对应的白盒加密信息表，最后将其打包存放于服务器并生成下载链接。具体流程如图 6所示。

图 6 视频审核流程 Fig. 6 Video audit flowchart

图选项

2.2.3 视频下载 用户提交正确的口令，从服务器下载已打包的白盒加密共享视频文件。如果用户提供的口令不正确，则不会下载文件。

2.2.4 白盒视频解密播放 用户将下载成功的白盒加密视频文件通过调用白盒解密库(需要输入口令)提供的接口输入，白盒解密库先计算播放端设备硬件因子及口令的哈希值，将其与白盒加密视频文件中保存的值对比，如正确则进行视频解密操作，解密成功后进行播放显示，否则返回口令或硬件因子不匹配的错误信息。
3 实验与性能评估 实验系统由一台视频共享输出服务器，两台访问客户端PC组成。服务器硬件配置CPU：Xeon(R) CPU E5-2630 V4@ 2.20 GHz；硬盘：2 TB；内存：32 GB。PC机硬件配置：CPU：Intel(R) Core(TM) i7-4710MQ CPU @2.50 GHz，内存：8 GB，硬盘：1 TB，硬件设备通过局域网连接。软件环境为：Windows Server 2008 R2 Standard操作系统，Windows 7 SP1操作系统，GoogleChrome浏览器。实验环境连接示意图如图 7所示。

图 7 实验设备部署图 Fig. 7 Experimental equipment deployment diagram

图选项

实验内容为：视频数据文件共享审核有效性；视频数据共享加密口令及硬件设备因子绑定效果；使用SM4白盒算法对共享视频数据文件加密；被共享者下载经白盒算法加密的共享视频文件；白盒算法加密的共享视频文件安全播放；视频白盒软件数据加密输出速率性能评估及与标准SM4算法加密输出速率的比较。
系统软件安装部署后，默认存在一个系统管理员用户，由管理员在系统内分别创建1个视频共享操作者，一个视频分享对象。视频共享操作者选择需要进行共享的加密视频文件，并填写共享对象的名字、共享文件播放设备的标识信息、共享密码等信息，信息填写完毕后，进行提交。提交成功后，由系统管理员用户进行审核，审核通过后，后台自动执行共享文件的解密及使用SM4白盒算法进行加密，白盒加密成功后的共享视频文件自动保存在视频共享服务器中。此时，视频分享对象可登录视频共享服务器，查看到共享白盒视频文件列表，输入正确的共享密码后，分享对象下载共享文件，并在指定的共享文件播放设备中使用白盒视频播放器正常进行解密播放。
实验操作流程如图 8所示。

图 8 视频数据共享系统功能实验操作流程 Fig. 8 Experimental operation process of video data sharing system function

图选项

上述操作流程表明，视频数据共享系统能够使用SM4白盒算法实现加密视频数据文件的共享，经白盒算法处理后的视频共享文件只能在指定硬件设备播放，同时需要输入正确的共享口令，功能符合系统设计。
SM4白盒算法的性能测试：编写脚本，在视频共享服务器端执行64个线程进行数据加密，每个线程加密数据量为16 Mbit，即每次传输数据量为64×16 Mbit=1 Gbit，执行3次。线程执行并输出加密所需的时间，如图 9所示。

图 9 白盒加密性能测试结果输出 Fig. 9 White-box encryption performance test result output

图选项

根据测试结果，白盒加密算法速率计算如表 1所示。
表 1 白盒加密算法速率实验值 Table 1 Experimental value of white-box encryption algorithm rate

编号	加密数据量/Gbit	加密时间/s	加密速率/(Gbit·s-1)
1	1	0.923	1.08
2	1	0.943	1.06
3	1	0.901	1.10

表选项






SM4算法的性能测试：编写程序，在视频共享服务器端执行64个线程对数据加密，每个线程加密数据量为16 Mbit，即每次传输数据量为64×16 Mbit=1 Gbit，执行3次，记录程序执行输出加密时间及加密速率，得到如表 2所示SM4加密算法速率实验值。
表 2 SM4加密算法速率实验值 Table 2 Experimental value of SM4 encryption algorithm rate

编号	加密数据量/Gbit	加密时间/s	加密速率/(Gbit·s-1)
1	1	0.840	1.190
2	1	0.825	1.212
3	1	0.836	1.196

表选项






根据表 1及表 2的性能实验结果可知：
1) 与标准SM4算法相比，SM4白盒加密算法的速率有10%左右的降低，主要是生成白盒密钥表增加了时间消耗。
2) 本文设计的SM4白盒加密算法速率平均在1 Gbit/s以上，性能满足设计要求。
4 结论 1) 本文提出了一种基于SM4的白盒密码算法，实现了对称加密算法执行过程中的密钥隐藏。解决了非信任硬件环境下，软件加解密算法的密钥安全问题，保障了数据的安全性。
2) 对本文算法的安全性进行了理论分析，分析结果表明，该算法能够抵御BGE攻击。
3) 在算法基础上，设计并实现了基于白盒密码算法的视频数据共享系统，该系统能够实现共享视频文件的上传、审核、白盒加密处理、下载、安全解密播放。
4) 通过实验验证了系统的功能及性能。

参考文献

[1]	中华人民共和国公安部.公共安全视频监控联网信息安全技术要求: GB 35114-2017[S].北京: 中国标准出版社, 2017: 4-5. Ministry of Public Security of the PRC.Technical requirements for information security of video surveillance network system for public security: GB 35114-2017[S].Beijing: China Standard Press, 2017: 4-5(in Chinese).
[2]	COLLBERG C, NAGRA J.软件加密与解密[M].崔孝晨, 译.北京: 人民邮电出版社, 2012: 5-6. COLLBERG C, NAGRA J.Surreptitious software:Obfuscation, watermarking, and tamperproofing for software protection[M].CUI X C, translated.Beijing:Posts & Telecom Press, 2012:5-6(in Chinese). https://www.ituring.com.cn/book/795
[3]	ANDERSON R, KUHN M.Low cost attacks on tamper resistant devices[C]//Security Protocols 1997.Berlin: Springer, 1997: 125-136. https://www.zhangqiaokeyan.com/open-access_resources_thesis/0100056189752.html
[4]	BIHAM E, SHAMIR A.Differential fault analysis of secret key cryptosystems[C]//17th Annual International Cryptology Conferenceon Advances in Cryptology.Berlin: Springer, 1997: 513-525. https://www.researchgate.net/publication/2269851_Differential_Fault_Analysis_of_Secret_Key_Cryptosystems
[5]	BIHAM E, SHAMIR A.Power analysis of the key scheduling of the AES candidates[C]//2nd AES Candidate Conference, 1999: 22-23. https://www.researchgate.net/publication/239666203_Power_Analysis_of_the_Key_Scheduling_of_the_AES_Canditates
[6]	BONEH D, DEMILLO R A, LIPTON R J. On the importance of eliminating errors in cryptographic computations[J]. Journal of Cryptology, 2001, 14(2): 101-119.
[7]	CHOW S, EISEN P, JOHNSON H, et al.White-box cryptography and an AES implementation[C]//Cryptography-SAC 2002.Berlin: Springer, 2002: 250-270. https://link.springer.com/chapter/10.1007/3-540-36492-7_17
[8]	周洁, 白健.基于余数系统的SM2签名算法的白盒实现[C]//中国密码学会2017年会, 2017: 71-73. ZHOU J, BAI J.White box implementation of the SM2 signature algorithm based on the remainder system[C]//Chinese Association for Cryptologic Research 2017 Annual Meeting, 2017: 71-73(in Chinese).
[9]	潘文伦, 秦体红, 贾音, 等. 对两个SM4白盒方案的分析[J]. 密码学报, 2018, 5(6): 651-670. PAN W L, QIN T H, JIA Y, et al. Analysis of two SM4 white box scenarios[J]. Journal of Cryptologic Research, 2018, 5(6): 651-670. (in Chinese)
[10]	CHOW S, EISEN P, JOHNSON H, et al.A white-box DES implementation for DRM applications[C]//Digital Rights Management-DRM 2002.Berlin: Springer, 2003: 1-15.
[11]	XIAO Y Y, LAI X J.White-box crytography and implementation of SMS4[C]//Proceedings of the 2009 CACR Annual Meeting.Beijing: Science Press, 2009: 24-34.
[12]	BILLET O, GILBERT H, ECH-CHATBI C.Cryptanalysis of a white box AES implementation[C]//Selected Areas in Cryptography-SAC 2004.Berlin: Springer, 2005: 227-240.
[13]	国家密码管理局.SM4分组密码算法: GM/T 0002-2012[S].北京: 中国标准出版社, 2012. State Cryptography Administration Office of Security Commercial Code Administration.SM4 block cipher algorithm: GM/T 0002-2012[S].Beijing: China Standard Press, 2012(in Chinese). http://www.doc88.com/p-5037490963262.html
[14]	国家密码管理局.信息安全技术SM4分组密码算法: GB/T 32907-2016[S].北京: 中国标准出版社, 2016. State Cryptography Administration Office of Security Commercial Code Administration.Information security technology-SM4 block cipher algorthm: GB/T 32907-2016[S].Beijing: China Standard Press, 2016(in Chinese). http://www.doc88.com/p-6406486835803.html
[15]	吕述望, 苏波展, 王鹏, 等. SM4分组密码算法综述[J]. 信息安全研究, 2016(11): 995-1007. LU S W, SU B Z, WANG P, et al. Overview on SM4 algorithm[J]. Journal of Information Security Research, 2016(11): 995-1007. (in Chinese)
[16]	国家密码管理局.SM3密码杂凑算法: GM/T 0004-2012[S].北京: 中国标准出版社, 2012. State Cryptography Administration Office of Security Commercial Code Administration.SM3 cryptographic hash algorithm: GM/T 0004-2012[S].Beijing: China Standard Press, 2012(in Chinese). http://www.doc88.com/p-9953839177988.html
[17]	MICHIELS W, GORISSEN P, HOLLMANN H D L.Cryptanalysis of a generic class of white-box implementations[C]//The Selected Areas in Cryptography.Berlin: Springer, 2009: 414-428.