本申請為申請日為2011年5月25日、申請號為201110136447.8的發明名稱為“微處理器以及相關的操作方法、以及加密、解密方法”的申請案的分案申請。?

技術領域

本發明涉及微處理器(microprocessor)領域，特別是涉及用于增加微處理器所執行的程序的安全性。?

背景技術

很多軟件程序在面臨破壞計算機系統安全的攻擊時，通常是脆弱不堪的。例如，黑客可藉由攻擊一運行中程序的緩沖溢位區漏洞(buffer?overflow?vulnerability)植入不當程序碼、并轉移主控權給該不當程序碼。如此一來，所植入的程序碼將主導被攻擊的程序。一種防范軟件程序遭攻擊的方案為指令集隨機化(instruction?set?randomization)。概略解釋之，指令集隨機化技術會先將程序加密(encrypt)為某些形式，再于處理器將該程序自存儲器提取后，于該處理器內解密(decrypt)該程序。如此一來，黑客便不易植入惡意指令，因為所植入的指令必須被適當地加密(例如，使用與所攻擊程序相同的加密密鑰或演算法)方會被正確地執行。例如，參閱文件「Counter?Code-Injection?Attacks?with?Instruction-Set?Randomization,by?Gaurav?S.Kc,Angelos?D.Keromytis,and?Vassilis?Prevelakis,CCS’03,October27-30,2003,Washington,DC,USA,ACM1-58113-738-9/03/0010」，其中敘述Bochs-x86Pentium模擬器(emulator)的改良版本。相關技術的缺點已被廣泛討論。例如，參閱數據「Where’s?the?FEEB?The?Effectiveness?of?Instruction?Set?Randomization,by?Ana?Nora?Sovarel,David?Evans,and?Nathanael?Paul,?http://www.cs.virginia.edu/feeb」。?

發明內容

本發明一種實施方式揭露一種解密密鑰產生裝置，所產生的解密密鑰用于解密一區塊的加密指令數據。該區塊的加密指令數據是取自一微處理器的一指令高速緩存的一提取地址。該解密密鑰產生裝置包括：一第一多工器、一第二多工器、一旋轉器以及一計算單元。該第一多工器是設置來基于該提取地址的一第一部份自多個密鑰值中選出一第一密鑰值。該第二多工器是設置來基于該提取地址的該第一部份自該多個密鑰值中選出一第二密鑰值。該旋轉器是設置來基于該提取地址的一第二部分循環移位該第一密鑰值。該計算單元是設置來基于該提取地址的一第三部分選擇將循環位移后的該第一密鑰值加入該第二密鑰值、或將該第二密鑰值減去循環位移后的該第一密鑰值，以產生該解密密鑰。?

在一種實施方式中，該解密密鑰自加密指令數據解密出的純文字數據(plain?text?data)自該微處理器外部不可見(unoberservable)。?

在另外一種實施方式中，所揭露的解密密鑰產生裝置更包括一控制位，設置來儲存一標示，反映該處理器處于一解密模式或一純文字模式。該微處理器處于該解密模式時，該解密密鑰是與提取出的該區塊的加密指令數據做布林異或運算，以于解密該區塊的加密指令數據。該微處理器處于該純文字模式時，提取出的該區塊的加密指令數據是與二進制零值(zeroes)做布林異或運算。?

在另外一種實施方式中，該第一以及該第二密鑰值所選自的該多個密鑰值是取決于一更新操作，該更新操作早于該第一以及該第二多工器的選擇操作。?

本發明一種實施方式揭露一種解密密鑰產生方法，所產生的解密密鑰用于解密一區塊的加密指令數據。該區塊的加密指令數據的取自一微處理器的一指令高速緩存的一提取地址。該解密密鑰產生方法包括：基于該提取地址的一第一部份，自多個密鑰值中選出一第一密鑰值；基于該提取地址的該第一部份，自該多個密鑰值中選出一第二密鑰值；基于該提取地址的一第二部分，循環移位該第一密鑰值；以及，基于該提取地址的一第三部分，選擇將循環位移后的該第一密鑰值加入該第二密鑰值、或將該第二密鑰值減去循環位移后的該第一密鑰值，以產生該解密密鑰。該第一以及該第二密鑰值所選自的該多個密鑰值的取決于一更新操作，該更新操作早于選擇該第一以及該第二密鑰值的操作。?

附圖說明

圖1為一方塊圖，圖解根據本發明技術實現的一微處理器；?