技術(shù)領(lǐng)域

本發(fā)明涉及用于保持加密密鑰完整性的方法、系統(tǒng)以及制造產(chǎn)品。

背景技術(shù)

基于密碼機(jī)制的硬件和軟件可用于加密和解密電子數(shù)據(jù)。對(duì)稱密鑰密碼技術(shù)是消息的發(fā)送者和接收者共享用于加密和解密消息的單個(gè)公共的密碼密鑰的密碼機(jī)制，其中消息可包括多個(gè)數(shù)據(jù)記錄。將單個(gè)公共密碼密鑰稱為對(duì)稱密碼密鑰。與對(duì)稱密鑰密碼技術(shù)相反，公共密鑰密碼技術(shù)使用兩個(gè)密碼密鑰--用于加密消息的公共密鑰和用于解密消息的私人密鑰。對(duì)稱密鑰密碼技術(shù)還可稱為秘密密鑰密碼技術(shù)，并且對(duì)稱加密的數(shù)據(jù)是已經(jīng)使用對(duì)稱密碼密鑰來加密的數(shù)據(jù)。

一種示例性的密碼機(jī)制是可用于保護(hù)電子數(shù)據(jù)的高級(jí)加密標(biāo)準(zhǔn)(AES)。AES使用一類能夠加密和解密數(shù)據(jù)、稱為對(duì)稱塊密碼(cipher)的對(duì)稱密碼密鑰。加密能夠?qū)?shù)據(jù)轉(zhuǎn)換為稱為加密數(shù)據(jù)的不可理解的形式，而解密加密數(shù)據(jù)將數(shù)據(jù)轉(zhuǎn)換回其原本形式。可在出版物“Specification?for?the?AdvancedEncryption?Standard(AES)”Federal?Information?Processing?StandardsPublication?197，2006年11月26日中找到AES的更多細(xì)節(jié)。

為了進(jìn)一步說明電子數(shù)據(jù)存儲(chǔ)保護(hù)的問題，“IEEE?Std?1619.1”標(biāo)準(zhǔn)通過為加密指定驗(yàn)證和長(zhǎng)度擴(kuò)展而提供用于數(shù)據(jù)保護(hù)的機(jī)制。IEEE?Std?1619.1標(biāo)準(zhǔn)提供適于確保在要求高等級(jí)保證的應(yīng)用內(nèi)所存儲(chǔ)的數(shù)據(jù)的保密性和完整性的方法。在此方面，IEEE?Std?1619.1標(biāo)準(zhǔn)指定AES密碼為在數(shù)據(jù)的驗(yàn)證和加密的伽羅瓦/計(jì)數(shù)器模式(GCM)下使用。可在出版物“IEEE?P1619.1^TM/D8Draft?Standard?Archi?tecture?for?Encrypted?Variable?Block?StorageMedia，”Institute?of?Electrical?and?Electronics?Engineers，Inc.，2006年6月中找到I?EEE?Std?1619.1標(biāo)準(zhǔn)的更多細(xì)節(jié)。可在出版物“TheGalois/Counter?Mode?of?Operation(GCM)”，by?David?A.McGrew?and?JohnViega，2005年5月31日中找到GCM的更多細(xì)節(jié)。支持GCM的密碼模塊可利用使用具有預(yù)定長(zhǎng)度的密鑰的AES的GCM算法，并且此算法可稱為“AES-GCM”。可以用硬件或軟件實(shí)現(xiàn)用于電子數(shù)據(jù)存儲(chǔ)保護(hù)的這種示例性密碼機(jī)制。

發(fā)明內(nèi)容

提供了一種方法、系統(tǒng)和制造產(chǎn)品，其中在密碼單元的加密引擎中保持第一只寫寄存器。在密碼單元的解密引擎中保持第二只寫寄存器。將密碼密鑰寫入第一只寫寄存器和第二只寫寄存器中，其中對(duì)于從密碼單元外部的任何實(shí)體的讀取，密碼密鑰不可存取。

在其他實(shí)施例中，響應(yīng)于寫入密碼密鑰，密碼單元中的錯(cuò)誤使得將不同的值存儲(chǔ)在加密引擎的第一只寫寄存器和解密引擎的第二只寫寄存器中。

在其他實(shí)施例中，在密碼單元中保持錯(cuò)誤標(biāo)記。通過包括在密碼單元中的微碼來確定第一只寫寄存器是否具有與第二只寫寄存器不同的值。響應(yīng)于確定第一只寫寄存器具有與第二只寫寄存器不同的值，將錯(cuò)誤標(biāo)記設(shè)置為指示密碼單元的錯(cuò)誤。響應(yīng)于確定第一只寫寄存器不具有與第二只寫寄存器不同的值，將錯(cuò)誤標(biāo)記設(shè)置為指示密碼單元的正確運(yùn)行。

在其他實(shí)施例中，在密碼單元處接收用于解密的加密數(shù)據(jù)。響應(yīng)于確定錯(cuò)誤標(biāo)記指示密碼單元的正確運(yùn)行，通過使用在解密引擎的第二只寫寄存器中寫入的密碼密鑰來在密碼單元中對(duì)加密數(shù)據(jù)解密。

在某些實(shí)施例中，由密碼單元中包括的微碼來寫入密碼密鑰，并且在寫入密碼密鑰后，銷毀指向密碼單元中的密碼密鑰的全部指針。

在其他實(shí)施例中，寫入密碼密鑰使得將第一值寫入到第一只寫寄存器并將第二值寫入到第二只寫寄存器，其中第一值和第二值可相同或不同。在密碼單元處接收用于加密的數(shù)據(jù)。通過使用被寫入到加密引擎的第一只寫寄存器的第一值來加密所接收的數(shù)據(jù)，以生成加密數(shù)據(jù)。通過使用被寫入到解密引擎的第二只寫寄存器的第二值來解密所述加密數(shù)據(jù)，以生成解密數(shù)據(jù)。確定解密數(shù)據(jù)是否與所接收的數(shù)據(jù)相同。響應(yīng)于確定解密數(shù)據(jù)與所接收的數(shù)據(jù)相同，發(fā)送所生成的加密數(shù)據(jù)以進(jìn)行存儲(chǔ)。響應(yīng)于解密數(shù)據(jù)與所接收的數(shù)據(jù)不相同，生成錯(cuò)誤。

在其他實(shí)施例中，密碼密鑰是先前加載的密碼密鑰，其中通過以新的密碼密鑰重寫第一和第二只寫寄存器來加載新的密碼密鑰。