CN108989016B

CN108989016B - 防止白盒实施方案中的中继攻击

Info

Publication number: CN108989016B
Application number: CN201810534666.3A
Authority: CN
Inventors: W·P·A·J·米歇尔斯; 简·胡格布鲁格
Original assignee: NXP BV
Current assignee: NXP BV
Priority date: 2017-05-30
Filing date: 2018-05-29
Publication date: 2023-05-30
Anticipated expiration: 2038-05-29
Also published as: EP3410632A1; US10547449B2; EP3410632B1; CN108989016A; US20180351743A1

Abstract

提供一种用于在白盒实施方案中对移动装置执行密码运算的方法。响应于来自移动装置读取器的质询而在所述移动装置中执行所述密码运算。所述移动装置读取器包括超时时段，在所述超时时段内，必须通过所述移动装置来完成所述密码运算。根据实施例，确定在所述移动装置上完成所述密码运算的第一时间段。将预定数目的虚拟计算添加到所述密码运算以将所述第一时间段增大为第二时间段。所述第二时间段仅比所述超时时段略小预定安全值，以使中继攻击不大可能成功。

Description

防止白盒实施方案中的中继攻击

技术领域

本公开大体上涉及电子装置安全，并且且更具体地说涉及防止白盒实施方案中的中继攻击。

背景技术

白盒实施方案是对攻击者隐藏密钥的加密算法的软件实施方案。不同于攻击者仅可访问输入和输出的黑盒实施方案，在白盒实施方案中，假设攻击者对所述实施方案具有完全访问权和控制权。白盒密码术是导出安全白盒实施方案的规范，并且其目标有时被称作“完全隐藏密钥”。

即使白盒实施方案达成了其完美隐藏密钥的目标，但这仍留给攻击者盗用密钥功能性的选择。这意味着想要对消息进行非法解密的攻击者并非通过首先提取密钥，而是通过使用密码实施方案来非法解密。为了示出这一情况，考虑移动支付应用程序上的以下中继攻击。受害者具有例如智能手机的移动装置，支付应用程序与其凭证一起安装在所述移动装置上。现在，攻击者可以使用他自己的智能手机来进行支付从而获利，其智能手机具有存储在受害者手机上的凭证。攻击者能够从受害者的手机提取凭证以用在攻击者的手机上。使用受害者的凭证的另一方式是经由受害者的手机中继攻击者的手机与读取器之间的通信。此被称作中继攻击。为了使中继攻击起作用，攻击者必须能够对读取器和受害者的手机隐藏中继攻击。受害者的支付应用程序在不知情的情况下使用其机密凭证来计算读取器所需要的输出，以便使攻击者通过受害者的手机完成交易。

使中继攻击更加困难的一种方式是谨慎地限制无线连接的范围，使得攻击者的手机必须极其接近受害者的手机。在白盒实施方案中，需要一种使攻击者更加难以进行中继攻击的方式。

发明内容

根据本发明的第一方面，提供一种在白盒实施方案中执行密码运算的方法，所述方法包括：

设置第一时间段以在移动装置上完成所述密码运算，其中所述第一时间段小于移动装置读取器中的超时时段；以及

在所述密码运算中执行预定数目的虚拟计算，所述预定数目的虚拟计算用于将所述第一时间段增大到第二时间段，其中所述第二时间段比所述超时时段小预定安全值。

在一个或多个实施例中，执行所述预定数目的虚拟计算包括：

执行线性编码；

执行所述线性编码的逆转；以及

多次重复应用线性编码和应用所述线性编码的逆转的步骤。

在一个或多个实施例中，所述方法进一步包括作为对来自所述移动装置读取器的质询的响应而在所述移动装置中执行所述密码运算。

在一个或多个实施例中，所述移动装置读取器中的所述超时时段是用于接收对来自所述移动装置的质询的响应的超时时段。

在一个或多个实施例中，所述密码运算是高级加密标准(AES)运算、数据加密标准(DES)运算或3DES运算中的一个。

在一个或多个实施例中，将所述预定数目的虚拟计算添加到所述密码运算进一步包括：

将高级加密标准(AES)轮的输出列的输入字节的贡献合并到单个表中；

在所述单个表的输出上添加随机挑选的线性编码；

从所述单个表的所述输出去除所述线性编码；以及

重复添加和去除预定次数的步骤。

在一个或多个实施例中，将预定数目的虚拟计算添加到所述密码运算进一步包括将计算添加到多个移动装置中的每一个的所述密码运算，使得大体上在所述第二时间段内在所有所述多个移动装置中完成所述密码运算。

在一个或多个实施例中，所述移动装置被表征为智能手机。

在一个或多个实施例中，添加预定数目的虚拟计算进一步包括针对预定数目的函数计算函数组合。

在一个或多个实施例中，所述移动装置与所述移动装置读取器无线通信。

在一个或多个实施例中，所述移动装置与所述移动装置读取器之间的无线通信被表征为近场通信(NFC)。

根据本发明的第二方面，提供一种用于在白盒实施方案中对移动装置执行密码运算的方法，所述方法包括：

在所述移动装置与移动装置读取器之间建立无线通信，所述移动装置读取器具有超时时段，所述密码运算在所述超时时段内完成；

响应于来自所述移动装置读取器的质询而对所述移动装置执行所述密码运算；

设置第一时间段以在所述移动装置上完成所述响应；

将编码应用于所述密码运算；

将所述编码的逆转应用于所述密码运算；以及

多次重复所述编码和所述编码的所述逆转以将所述第一时间段增大为第二时间段，其中所述第二时间段比所述超时时段小预定安全值。

在一个或多个实施例中，所述密码运算是所述移动装置上的支付应用程序的部分。

在一个或多个实施例中，建立无线通信进一步包括建立RFID通信。

在一个或多个实施例中，所述密码运算是高级加密标准(AES)运算、数据加密标准(DES)运算或3DES运算。

在一个或多个实施例中，应用编码进一步包括线性编码，并且其中应用所述编码的逆转进一步包括应用所述线性编码的逆转。

在一个或多个实施例中，应用所述线性编码和应用所述线性编码的逆转进一步包括：

在所述单个表的输出上添加随机挑选的线性编码；以及

从所述单个表的所述输出去除所述线性编码。

在一个或多个实施例中，所述方法进一步包括将所述线性编码和所述线性编码的所述逆转应用于多个移动装置中的每一个的所述密码运算，使得大体上在所述第二时间段内在所有所述多个移动装置中完成所述密码运算。

在一个或多个实施例中，所述线性编码进一步包括针对预定数目的函数应用函数组合。

在一个或多个实施例中，建立无线通信进一步包括在所述移动装置与所述移动装置读取器之间建立近场通信(NFC)。

本发明的这些和其它方面将根据下文中所描述的实施例显而易见，且参考这些实施例予以阐明。

附图说明

本发明借助于例子示出并且不受附图的限制，在附图中类似标记指示类似元件。图式中的元件为简单和清楚起见而示出并且不必按比例绘制。

图1示出AES的轮的主要步骤；

图2示出借助于查找表的网络进行的一个输出半字节的计算。

图3示出通过对输入和输出进行编码来模糊的图2的网络表的一部分。

图4示出到单个表中的输出列的输入字节的贡献。

图5示出将线性编码添加到图4的表。

图6示出用于从图5中所计算的表去除线性编码的网络。

图7示出根据另一实施例将线性编码添加到图5的表。

图8示出用于额外迭代的图7的网络。

图9和图10示出在添加线性编码之前及之后的响应执行时间的相对分布。

图11示出与移动装置读取器通信的移动装置的框图。

具体实施方式

一般来说，提供一种用于在白盒实施方案中对移动装置执行密码运算的方法，所述方法使得中继攻击更加困难。密码运算可以响应于来自移动装置读取器的安全质询。移动装置与移动装置读取器之间的通信是无线的，并且可通过NFC、RFID、蓝牙等等来进行。读取器包括根据质询-响应协议的超时特征。所述方法包括将虚拟或空操作计算添加到密码运算，使得在读取器超时之前，密码运算的执行时间需要可供用于响应的几乎所有时间。将空操作计算添加到密码运算，使得攻击者难以去除所述空操作计算。通过在超时时段结束之前及时完成密码运算，这使得中继攻击的成功次数更少。

在一个实施例中，提供一种用于在白盒实施方案中执行密码运算的方法，所述方法包括：设置第一时间段以在移动装置上完成密码运算，其中第一时间段小于移动装置读取器中的超时时段；以及在密码运算中执行预定数目的虚拟计算，所述预定数目的虚拟计算用于将第一时间段增大为第二时间段，其中第二时间段比超时时段小预定安全值。执行预定数目的虚拟计算可包括：执行线性编码；执行线性编码的逆转；以及多次重复应用线性编码和应用线性编码的逆转的步骤。所述方法可另外包括作为对来自移动装置读取器的质询的响应而在移动装置中执行密码运算。移动装置读取器中的超时时段可以是用于接收对来自移动装置的质询的响应的超时时段。密码运算可以是高级加密标准(advancedencryption standard；AES)运算、数据加密标准(data encryption standard；DES)运算或3DES运算中的一个。将预定数目的虚拟计算添加到密码运算可另外包括：将高级加密标准(advanced encryption standard；AES)轮的输出列的输入字节的贡献合并到单个表中；在单个表的输出上添加随机挑选的线性编码；从单个表的输出去除线性编码；以及重复添加和去除预定次数的步骤。将预定数目的虚拟计算添加到密码运算可另外包括将计算添加到多个移动装置中的每一个的密码运算，使得大体上在第二时间段内在所有多个移动装置中完成密码运算。移动装置可以被表征为智能手机。添加预定数目的虚拟计算可另外包括针对预定数目的函数计算函数组合。移动装置可与移动装置读取器无线通信。移动装置与移动装置读取器之间的无线通信可以被表征为近场通信(near field communication；NFC)。

在另一实施例中，提供一种在白盒实施方案中对移动装置执行密码运算的方法，所述方法包括：在移动装置与移动装置读取器之间建立无线通信，所述移动装置读取器具有超时时段，密码运算在所述超时时段内完成；响应于来自移动装置读取器的质询而对移动装置执行密码运算；设置第一时间段以在移动装置上完成响应；将编码应用于密码运算；将编码的逆转应用于密码运算；以及多次重复编码和编码的逆转以将第一时间段增大为第二时间段，其中第二时间段比超时时段小预定安全值。密码运算可以是移动装置上的支付应用程序的部分。建立无线通信可另外包括建立RFID通信。密码运算可以是高级加密标准(advanced encryption standard；AES)运算、数据加密标准(data encryption standard；DES)运算或3DES运算。应用编码可另外包括应用线性编码，并且其中应用编码的逆转另外包括应用线性编码的逆转。应用线性编码和应用线性编码的逆转可另外包括：将高级加密标准(advanced encryption standard；AES)轮的输出列的输入字节的贡献合并到单个表中；在单个表的输出上添加随机挑选的线性编码；以及从单个表的输出去除线性编码。所述方法可另外包括将线性编码和线性编码的逆转应用于多个移动装置中的每一个的密码运算，使得大体上在第二时间段内在所有多个移动装置中完成密码运算。线性编码可另外包括针对预定数目的函数应用函数组合。建立无线通信可另外包括在移动装置与移动装置读取器之间建立近场通信(near field communication；NFC)。

图1示出根据实施例的高级加密标准(advanced encryption standard；AES)的轮10中的主要步骤。AES通常在16字节的数据块上运算。这些通常被描述为4×4字节矩阵，其被称作状态，所述状态包括字节x_1，1、x_1，2、x_1，3、...、x_4，4(参见图2)。用于轮10的AES处理步骤包括：

AddRoundKey 12-状态的每个字节与轮密钥的字节进行异或运算；

SubBytes 14-使用查找表进行字节到字节排列；

ShiftRows 16-状态的每一行被旋转固定字节数；以及

MixColumns 18-使用GF(28)中的模乘来处理每一列。

步骤SubBytes 14、ShiftRows 16和MixColumns 18与所使用的特定密钥无关。在步骤AddRoundKey 12中应用所述密钥。除步骤ShiftRows 16以外，还可在不知晓其它列的情况下对4×4状态矩阵的每一列执行处理步骤。因此，所述处理步骤可视为32位运算，因为每一列由四个8位值构成。虚线20指示重复所述过程直到已执行所需次数的轮。

AES可实施为查找表的网络。上述步骤中的每一个或步骤的组合可由查找表或由查找表的网络表示。如果通过与轮密钥进行异或(XOR)运算来实施AddRoundKey 12步骤，那么在白盒攻击环境下，密钥对于攻击者可见。如果AddRoundKey 12步骤嵌入在查找表中，那么这使得确定密钥不太容易。有可能通过查找表的网络来替换AES的完整轮。举例来说，可使用查找表来实施SubBytes 14、ShiftRows 16和MixColumns 18步骤。

在图1的AES轮10的基于表的白盒实施方案和有限状态机实施方案两者中，均对实施方案中的所有中间值进行编码(相比于标准实施方案)。

基于表的白盒AES实施方案的以下描述分成两个步骤。在第一步骤中，AES的轮被描述为查找表的网络。在第二步骤中，通过对表的输入和输出进行编码来模糊所述表。

步骤1：将AES实施为查找表的网络。

如上所述，所描述的AES实施方案在16字节的数据块上运算。这些数据块通常被描述为4×4字节矩阵，其被称为状态并且包括字节x_1，1、x_1，2、x_1，3、...、x_4，4。作为图2中的例子示出数据块22。上文关于图1所描述的前两个运算AddRoundKey 12和SubBytes 14可合并成单个T盒运算。也就是说，可以针对输入字节x_i，j将字节到字节函数T_i，j定义为

其中k_i，j是基于AES密钥的16字节轮密钥。输出字节y_i，j是T_i，j的输出。ShiftRows 16运算仅仅是输出字节y_i，j的下标重新编号。为了易于陈述，在本说明书中省略此运算，但是其可并入到实施T_i，j的查找表中或可实施为状态矩阵的单独操控。在MixColumns(MC)18步骤中，经由针对一些常量MC_1，r的GF(2⁸)中的代数表达式

根据4个输出字节y_1，j、y_2，j、y_3，j和y_4，j来计算轮的输出字节z_i，j。

针对每个字节到字节函数Q_i，j，1(x_i，j)＝MC_1，i··T_i，j(x_i，j)限定查找表，其中i，j，1＝1、2、...、16。接着，可通过对这些查找表的结果进行异或运算来计算任何输出字节z_1，j，即，

应注意，Q盒的下标i、j、1可以被解释为“轮的输入字节i、j对轮的输出字节1、j的贡献”。可实施XOR以对作为查找表的两个半字节(即，4位值)中的每一个进行运算，从而减小XOR表的尺寸。因此，可实施Q盒以产生输出半字节，从而减少减小所述表的尺寸。因此，AES轮的每个输出字节z_1，j的计算已被描述为查找表的网络。图2中示出计算字节z_2，3的单个输出半字节的查找表的网络。

图2示出借助于查找表的网络进行的一个输出半字节的计算。Q盒中的下标(1)指示所述表仅提供Q盒的输出的第一半字节。将具有输入状态22的数据块中的一组输入字节x_1，3、x_2，3、x_3，3和x_4，3输入到Q盒24、26、28和30中。将查找表24和26的输出供应到XOR 32中，并且将查找表28和30的输出供应到XOR 34中。将XOR 32和34的输出供应到XOR 36中。XOR 36的输出是输出状态38的输出z_2，3的第一半字节。可使用额外的Q盒连同类似XOR网络以相同方式计算输出状态38的输出z_2，3的第二半字节。此外，通过接收来自输入状态的字节列并将其转换成输出状态的对应列的输出，可实施额外的表集合，以将输入状态22完全转换成输出状态38。

步骤2：模糊各表和中间值

图2中示出用于第一轮的白盒实施方案的一部分。在图2中所描绘的实施方案中，可从Q盒轻易地提取密钥。仅将逆MixColumns 18乘积和逆S盒应用于输出揭露了纯AddRoundKey 12运算。为了防止这点，用任意双射函数来对所有查找表的输入和输出进行编码。

图3示出通过对输入和输出进行编码来模糊的图2的网络表的一部分。分别用双射函数f₁、f₂、f₃和f₄合并Q盒40、42、44和46。用逆函数f₁ ^-1和f₂ ^-1将合并Q盒40和42的结果供应到XOR 48中。用逆函数f₃ ^-1和f₄ ^-1将合并Q盒44和46的结果供应到XOR 50中。合并结果和额外双射函数f₅和f₆并将其供应到XOR 52中，其中逆双射函数f₅ ^-1和f₆ ^-1与双射函数f₇合并。用双射函数进行编码意味着查找表与用解码输入的解码函数来编码输出的编码函数合并。挑选编码以使得一个表的输出编码匹配在下一个表中假设的输入编码。不对轮的输入进行编码以便与AES兼容，但对轮的输出进行编码。在下一轮中处理输出编码(参见图1)。也就是说，不同于第一轮10，第二轮(和后续的轮)假设输入被编码。替代地，第一轮可接收编码的输入。接着，此输入编码必须应用在包含白盒实施方案的软件程序中的其它地方。类似地，取决于输出是否与AES兼容，最末轮可包括或可不包括输出编码。应注意，在所获得的白盒实施方案中，查找表和中间值两者被模糊。

为了便于描述所示出的AES实施例，假设对于所选择的消息，S盒的输出针对第一轮的所有输入字节为0。如稍后描述，可改变这点以适应任何随机选择的消息。在直接接续图2中的Q表24、26、28和30的两个XOR表32和34中，8到4位XOR表32和34可扩展成另一实施例中的8到5位表。

图4示出到单个表中的输出列的输入字节的贡献。考虑所描述白盒实施方案的第一轮10。为了简化陈述，忽略ShiftRows运算16。示出了两个输出列59和67。输出列59包括Q盒60、62、64和66。输出列67包括Q盒68、70、72和74。将输入字节x_1，j提供到输出列59，并且将输入字节x_4，j提供到输出列67。每个输入字节对轮的输出列的所有4字节的值做出贡献。更确切地说，输入字节x_i，j通过添加值Q_i，j，1(x_i，j)来对输出列的字节I做出贡献。x_i，j的4个贡献与输出列合并到单字节到32位表中。将表示输出列的所得32字节表供应到XOR网络76中。XOR网络76的输出是具有输出状态78的数据块。

图5示出将线性编码添加到图4的表以将延迟添加到白盒密码运算。应注意，本领域的技术人员将认识到，用于添加延迟的所描述技术可应用于除AES以外的其它加密标准。如图5中所说明，线性编码80应用于组合Q盒60、62、64和66的输出，并且线性编码82应用于Q盒68、70、72和74。在一个实施例中，线性编码80和82中的每一个是随机挑选的M。也就是说，字节到32位表与随机挑选的线性32位双映射M合并。接着将输出供应到XOR网络84。XOR网络84的输出提供矩阵v₁...v₄。

图6示出用于从图5中所计算的表去除线性编码的网络。将表v₁...v₄输入到逆线性编码90、92、94和96。将逆线性编码应用于矩阵v₁...v₄，并且将结果供应到由XOR运算98、100和102组成的XOR网络中，并且恢复数据块104。更具体地说，图5中的运算结果是不再计算输出列(z₁、z₂、z₃和z₄)。替代地，计算值M·(z₁，z₂，z₃和z₄)^T。因此，为了计算输出列的实值，必须去除线性编码。也就是说，将M^-1施加到图5的输出列。通过使用类似于图5的描述的运算的表网络去除线性编码。为此，应注意

其中M₁、...、M₄被分割成8列4个子矩阵，即，M_i包含列8i、8i+1、...、8i+7。因此，可通过图6中所描绘的表网络去除线性编码M。添加线性编码和逆线性编码等效于将虚拟或空操作指令添加到密码运算。可在密码运算中的任何位置添加空操作指令。

图7示出根据另一实施例将线性编码添加到图5的表。图7的实施例不同于图5的实施例，因为线性双映射M被函数组合106和108替代。将函数组合

供应到XOR网络110中以产生表v₁...v₄。使用逆函数组合N₁ ^-1和N₂ ^-1。如上文针对图6所描述。

图8示出用于额外迭代的图7的网络。取决于需要添加到密码运算的延迟多少，可以任意次数应用上文在图5和图7中所描述的线性编码步骤。挑选额外编码步骤所应用于的输出字节的数目。在图8中，作为例子，应用线性编码步骤两次。将表v₁...v₄输入到逆编码112、114、116和118。将结果供应到XOR网络120中。将异或网络120的输出输入到逆编码122、124、126和128中。将结果供应到XOR网络130中，并且所述输出是恢复的数据块132。可堆叠额外编码步骤。编码的数目取决于所需要的延迟量。这意味着，并非通过M来编码图5中或图7中的4个表，而是可通过

来编码表，在这之后，以类似于图6中所描绘的方式引入t个网络，其中网络i计算N_i ^-1。图7和8针对t＝2而示出此，其中N_i，j以与M_j拆分M相同的方式拆分N_i。

可相对精确地计算添加到白盒实施方案的延迟量。AES算法包括10个轮，其中最末轮不包含MixColumns运算。对于前9个轮，执行字节计算16次，如图2所示。因此，存在144种此类计算。此外，此计算类似于如图6所示而添加的计算。因此，通过添加图6的计算，将小于1％的开销添加到密码运算。这意味着白盒实施方案的计算时间可增加到任意数目，同时准确度大于99％(忽略平台内的计算时间的固有变化)。

图9和图10示出在将线性编码添加到多个移动装置之前及之后的响应执行时间的相对分布。图9示出如何可在调整对移动装置读取器质询的响应的执行时间之前针对多个移动装置相对广泛地分布所述执行时间。图10示出根据所描述实施例的如何可通过将延迟施加到每个装置来压缩多个装置的执行时间以接近时间T_MAX。时间T_MAX是在施加延迟之后的所要完成执行时间。时间T_MAX+B是读取器的超时时间，其中时间B是允许小变化的松弛时间，是计算时间，并且在确定时间T_MAX时被考虑。

图11示出与移动装置读取器142无线通信150的移动装置140的简化框图。移动装置140包括用户接口144、处理器146和RFID/NFC电路148。读取器142和移动装置140可使用除NFC之外或并非NFC的各种其它无线协议中的一个或多个来进行通信。当移动装置140发起与读取器142的无线通信时，读取器142尝试认证移动装置140。读取器142可传输安全质询，并且需要移动装置140正确地响应质询。读取器142包括根据质询-响应协议的超时特征。为了帮助抵御中继攻击，在读取器142超时之前，使用于密码运算的执行时间占据读取器142用于响应所允许的大部分时间。这使得攻击者没有足够的时间来完成中继攻击。并且，如所描述，将空操作计算添加到密码运算，使得难以去除所述空操作计算。

由于实施本发明的设备大部分由本领域的技术人员已知的电子组件和电路组成，因此为了理解和了解本发明的基本概念并且为了不混淆或偏离本发明的教示，将不会以比上文所说明的认为必要的任何更大程度阐述电路细节。

如本文所使用，术语“非暂时性机器可读存储媒体”应理解为排除暂时传播信号但包括所有形式的易失性和非易失性存储器。当软件实施在处理器上时，软件和处理器的组合变成单个特定机器。尽管已详细描述了各种实施例，但应理解，本发明能够具有其它实施例，并且在各种显而易见的方面中能够修改其细节。

尽管本文中参考具体实施例描述了本发明，但是可以在不脱离如所附权利要求书中所阐述的本发明的范围的情况下进行各种修改和改变。因此，说明书和图式应视为说明性而不是限制性意义，并且预期所有这些修改都包括在本发明的范围内。并不意图将本文中关于具体实施例描述的任何优势、优点或针对问题的解决方案理解为任何或所有权利要求的关键、必需或必不可少的特征或要素。

如本文中所使用，术语“耦合”并不旨在局限于直接耦合或机械耦合。

此外，如本文中所使用，术语“一”被限定为一个或多于一个。并且，权利要求书中对例如“至少一个”和“一个或多个”等介绍性短语的使用不应被解释为暗示由不定冠词“一”引入的另一权利要求要素将包含此引入的权利要求要素的任何特定权利要求限制为仅包含一个此要素的发明，即使是在同一权利要求包括介绍性短语“一个或多个”或“至少一个”和例如“一”等不定冠词时也如此。定冠词的使用也是如此。

除非另有陈述，否则例如“第一”和“第二”等术语用于任意地区别此类术语所描述的元件。因此，这些术语未必意图指示这些元件的时间上的优先级或其它优先级。

Claims

1. 一种在白盒实施方案中对移动装置执行密码运算的方法，其特征在于，所述方法包括：

设置第一时间段以在所述移动装置上完成所述密码运算，其中所述第一时间段小于与所述移动装置进行无线通信的移动装置读取器中的超时时段；以及

2.根据权利要求1所述的方法，其特征在于，执行所述预定数目的虚拟计算包括：

执行线性编码；

执行所述线性编码的逆转；以及

多次重复应用线性编码和应用所述线性编码的逆转的步骤。

3.根据权利要求1所述的方法，其特征在于，进一步包括作为对来自所述移动装置读取器的质询的响应而在所述移动装置中执行所述密码运算。

4.根据权利要求1所述的方法，其特征在于，所述移动装置读取器中的所述超时时段是用于接收对来自所述移动装置的质询的响应的超时时段。

5.根据权利要求1所述的方法，其特征在于，所述密码运算是高级加密标准（AES）运算、数据加密标准（DES）运算或3DES运算中的一个。

6.根据权利要求1所述的方法，其特征在于，将所述预定数目的虚拟计算添加到所述密码运算进一步包括：

将高级加密标准（AES）轮的输出列的输入字节的贡献合并到单个表中；

在所述单个表的输出上添加随机挑选的线性编码；

从所述单个表的所述输出去除所述线性编码；以及

重复添加和去除预定次数的步骤。

7.根据权利要求1所述的方法，其特征在于，将预定数目的虚拟计算添加到所述密码运算进一步包括将计算添加到多个移动装置中的每一个的所述密码运算，使得在所述第二时间段内在所有所述多个移动装置中完成所述密码运算。

8.根据权利要求1所述的方法，其特征在于，所述移动装置被表征为智能手机。

9.根据权利要求1所述的方法，其特征在于，添加预定数目的虚拟计算进一步包括针对预定数目的函数计算函数组合。

10.一种用于在白盒实施方案中对移动装置执行密码运算的方法，其特征在于，所述方法包括：

设置第一时间段以在所述移动装置上完成所述响应；

将编码应用于所述密码运算；

将所述编码的逆转应用于所述密码运算；以及