本發明涉及一種加解密內存及其存取控制方法，特別是一種在內存中建構一加密控制器，透過內存的讀寫使資料形成加密或解密的設計。

現今有越來越多的網絡及系統連接至網際網絡，任何人皆透過內部網絡(intranet)或是網際網絡(internet)存取所需的資料儲存在硬盤中，或者能自個人的硬盤中移動、存取任何資料，這使得網絡的連接日益危險。因為任何人均可輕易地擷取私人資料，包括個人資料、信用卡資料、往來的電子書信等，形成了一種無隱私的開放空間。情況還不止于此，對企業而言，對計算機系統保全的最大威脅往往來自所雇用的職員，不需要任何更多的專業知識，只要知道如何去使用螺絲刀，即可將計算機拆卸并取走硬盤，這對任何人來說是非常容易的。

計算機犯罪的目的往往是竊取儲存在硬盤中的資料，這種犯罪手段是幾乎無法終止的，因此最佳的解決方案就是對全部儲存在硬盤中的資料進行加密，藉以使外來入侵者自硬盤帶走的資料，除了密文(cipher?text)外無法讀出任何資料。當然不只是硬盤，相同的情況也可能發生在其它外圍設備上，如網絡適配卡、打印機等，因此這些裝置不論是任何形式的計算機犯罪，都是最難以防御的。

以硬盤資料存取來說，如圖1所示，假設CPU10(中央處理器)向硬盤21要求一資料，該資料不會從硬盤21直接到CPU10，而是先被寫至內存30(以下以DRAM說明)內(如路線A)，然后CPU10再從DRAM30將資料讀出(如路線B)。同樣的，如圖2所示，在CPU10處理資料之后，也是先將處理后的資料寫入DRAM30(如路線C)，然后硬盤21再自DRAM30讀回資料(如路線D)。因此由上述可知，DRAM30是任何資料流在外圍設備20(包括硬盤21等)與系統核心40之間的一個必徑之路，換言之，它可以是一個檢測點。

因此，可以想像DRAM30可以執行下列的技術點：

1、在資料從外圍設備20傳送至系統核心40之后，系統核心40讀取的資料將被解密。

2、在資料從系統核心40傳送至外圍設備20之前，為保護抵抗非法入侵者，資料將被加密。

本發明的主要目的，是提供一種加解密內存及其存取控制方法，主要是在內存(DRAM、SDRAM、SRAM等)中建構一加密控制器，并利用預設定的特殊加解密激活程序激活加密控制器，在未激活前，加解密內存的使用如同一般內存。激活后，資料將被加解密內存進行加解密，并且設定內存的任一段儲存地址變更為暫存區儲存加解密資料，透過內存的讀寫，使資料形成加密或解密資料，供系統或外圍設備進行存取，進而防止非法入侵者破解這些內存位置資料，甚至竊取走整個外圍設備，以提高計算機系統的安全性。

依據前述，本發明的DRAM架構中包括有閃存(flash)及加密控制器(encryptioncontroller)，該閃存系用以儲存加密鑰匙(key)及加密/解密區域設定后的尋址訊息。該加密控制器系由特殊的加解密激活程序激活，用以執行資料流加/解密的動作。

依據前述，該特殊的激活程序對內存任一個相同的地址持續地重復讀、寫動作一段時間，激活加/解密程序，且因僅是做字符流加密(Stream?Cipher)，加解密不影響時序造成延遲，可視為一實時運算(Real?Time?Operation)，寫入之后立刻便可以讀取。

為達到上述目的，本發明提供了一種加解密內存，其特征在于內存包含有一加密控制器及閃存，該加密控制器系統受操作系統或額外的軟件程序所設定，將內存劃分出加密區域，解密區域及控制加密/解密作業的激活與停止；該閃存系儲存獨一無二的加密鑰匙，及在設定加密/解密區域之后，系統產生的尋址訊息；前述的加密內存系由加密/解密激活程序所激活，使外圍設備所送出的加密資料，到達內存前會先完成解密并等待系統讀取使用，及系統寫入內存的未加密資料，在到達內存前已完成加密，送回外圍裝置儲存，以避免外圍設備被竊取、系統被侵入時泄露重要資料。

本發明還提供了一種該加解密內存存取的控制方法，該方法包括如下步驟：

a.操作系統或軟件程序決定內存地址區段，并將其轉變為加密緩存器；

b.設定選擇區域；

c.決定區域的起始地址及大小；

d.決定執行加密或解密作業；

e.將步驟a到d設定的結果儲存至加密緩存器，并選擇運算法則；

f.偵測特殊的加/解密功能程序是否激活；

g.步驟f激活后，即對資料進行加密或解密，并將資料儲存在前述設定的加密或解密區域內，供系統或外圍設備存取。

現結合附圖所示的實施例詳細說明本發明的結構及功能。其中：

圖1是中央處理器自硬盤讀取資料之動作示意圖；