技術(shù)領(lǐng)域

本發(fā)明提出一種如何將數(shù)據(jù)加密方法應(yīng)用于含有CPU的硬件系統(tǒng)中的裝置及方法，尤其涉及的是一種將分組數(shù)據(jù)加密方法(Block?cipherencryption)如何應(yīng)用于對片外CPU專用數(shù)據(jù)的保護(hù)和使用的裝置及方法，在保證系統(tǒng)安全的前提下，使系統(tǒng)的性能和工作效率不至于降得太低。同時，由于本發(fā)明裝置及方法是地址選擇性加密，它的地址選擇性部分實(shí)際上又是一個可自定義的加密方法，所以本發(fā)明又是一種雙重加密方法。

背景技術(shù)

隨著計算機(jī)技術(shù)的不斷發(fā)展，應(yīng)用越來越廣泛，功能也越來越多，相應(yīng)的軟件程序也變得越來越龐大，根本無法同CPU一起放在片內(nèi)，而只能存儲在芯片的外面，這就為軟件等技術(shù)的保護(hù)提出了更高的要求。如果不采取一些保護(hù)措施，那辛辛苦苦花費(fèi)巨資開發(fā)的軟件，可能轉(zhuǎn)瞬間就會被別人剽竊去。雖然在法律層面對知識產(chǎn)權(quán)的保護(hù)在不斷加強(qiáng)，但在技術(shù)層面進(jìn)行保護(hù)，提高剽竊的技術(shù)門檻仍然是必需的。

為了提高數(shù)據(jù)保密性，數(shù)據(jù)加密方法變得越來越復(fù)雜，例如，有線傳輸數(shù)據(jù)業(yè)務(wù)接口規(guī)范(DOCSIS)利用信息傳遞的完整性進(jìn)行加密，曾一度被認(rèn)為無懈可擊。但，2002年，TCNISO組織用一個很簡單的方法就完成了破解，詳見Hacking?the?Cable?Modem?ISBN?1-59327-101-8第83頁。

目前的數(shù)據(jù)加密技術(shù)分為兩大類，非對稱加密算法和對稱加密算法。非對稱加密算法中，現(xiàn)在使用比較普遍的是RSA公開密鑰加密方法，這種加密算法的優(yōu)點(diǎn)是使用起來方便靈活，傳輸方用公鑰加密文件，接收方用私鑰解密得到需要的數(shù)據(jù)，既方便又安全。但這種加密算法與對稱加密算法相比，在同等破解難度的情況下，需要幾倍長的密鑰和更加復(fù)雜繁瑣的加密計算，所以如果把這種加密算法應(yīng)用于CPU系統(tǒng)運(yùn)行軟件程序中，將會大大降低系統(tǒng)的運(yùn)轉(zhuǎn)速度和性能。

相比較而言，基于對稱分組數(shù)據(jù)加密技術(shù)的高級加密標(biāo)準(zhǔn)(AES)，從DES，經(jīng)3DES發(fā)展至今，已非常成熟，被公認(rèn)為目前最好的數(shù)據(jù)加密方法。這種AES加密方法，使用128-256位密鑰，每次加密解密都需要十幾輪次的計算，從理論上講，現(xiàn)今無法破解(利用現(xiàn)有技術(shù)手段和不太長的時間)，這就大大提高了軟件程序的安全性。但同時，CPU每次多耗費(fèi)十幾個機(jī)器時鐘進(jìn)行加密和解密，也使整個系統(tǒng)運(yùn)行的速度大大降低(但相比非對稱加密方法仍有優(yōu)勢)，當(dāng)然也可以減少一些解/加密的機(jī)器時鐘數(shù)，但那樣就必須增加芯片中晶體管的數(shù)量，會使得芯片的成本大量增加。

現(xiàn)有的其它對稱分組數(shù)據(jù)加密方法還有Lucifer、LOKI、IDEA、GOST、CAST、RC5、Blowfish、Madryga、FEAL、REDOC、Khufu、MMB、SAFER、3-WAY、Crab等，以及它們的變型和組合級聯(lián)等，這些加密算法同DES、3DES以及AES遇到的情況一樣，在提高了數(shù)據(jù)破譯難度的同時，也或多或少地降低了系統(tǒng)的性能和運(yùn)行效率。

從上面對現(xiàn)有技術(shù)的描述可以看出，在CPU系統(tǒng)的運(yùn)行和保護(hù)中，對稱分組數(shù)據(jù)加密技術(shù)具有很明顯的優(yōu)勢，但同時由于它大大降低了系統(tǒng)的性能和效率，仍然存在需要改進(jìn)的地方。針對這種情況，本發(fā)明本著優(yōu)上加優(yōu)的原則，將對稱分組數(shù)據(jù)加密技術(shù)進(jìn)行改進(jìn)，應(yīng)用于CPU專用數(shù)據(jù)的加密和保護(hù)中，在保證系統(tǒng)安全的前提下，盡可能地使系統(tǒng)性能和工作效率不至于為此降低太多。

發(fā)明內(nèi)容

本發(fā)明的目的在于提供一種CPU專用數(shù)據(jù)的加密裝置及方法，將對稱分組數(shù)據(jù)加密技術(shù)應(yīng)用于CPU專用數(shù)據(jù)的加密中，并采用部分加密的方式，確保軟件程序的安全性，和CPU工作的效率和速度。

本發(fā)明的技術(shù)方案包括：

一種CPU專用數(shù)據(jù)的加密裝置，其設(shè)置在含有CPU的芯片中，其中，包括：在CPU系統(tǒng)與外接數(shù)據(jù)傳輸之間設(shè)置的一加密單元，用于對所述CPU系統(tǒng)的讀/寫數(shù)據(jù)根據(jù)物理地址進(jìn)行部分?jǐn)?shù)據(jù)的解/加密；以及，一外存控制器，同時連接所述CPU系統(tǒng)和所述加密單元，用于將待解/加密數(shù)據(jù)經(jīng)過所述加密單元，并將未加密數(shù)據(jù)或不需加密數(shù)據(jù)直接與所述CPU系統(tǒng)進(jìn)行傳輸；所述加密單元還包括一寄存器，用于配置需要解/加密數(shù)據(jù)物理地址；一譯碼器，用于對寄存器中的數(shù)值和CPU系統(tǒng)發(fā)來的物理地址合在一起進(jìn)行譯碼，判斷該地址對應(yīng)的數(shù)據(jù)是否需要解/加密；一帶旁路的分組數(shù)據(jù)加密器，用于根據(jù)譯碼器的判斷結(jié)果對所述地址對應(yīng)的數(shù)據(jù)進(jìn)行解/加密后，再與所述外存控制器傳輸；所述含有CPU的芯片內(nèi)存儲一密鑰，用于所述分組數(shù)據(jù)加密器的解/加密處理。

所述的裝置，其中，加密算法是對稱分組數(shù)據(jù)加密方法。