技術領域

本發明涉及計算機設備科學技術領域，尤其涉及一種存儲數據加解密裝置及方法。

背景技術

伴隨全球信息化步伐的加快，網絡和移動互聯網設備已經與人們的生活緊密相連，成為現代社會中信息交換不可或缺的載體。隨著移動智能設備性能的大幅提升以及高速移動互聯網的覆蓋范圍不斷擴大，移動辦公和移動金融交易隨之大規模展開。但是，辦公數據和金融交易數據也越來越面臨更多的威脅。

為了解決數據安全的問題，必須提高計算機技術、密碼學理論和網絡應用水平。目前，信息安全防護已經從傳統的單點信息加密，發展到構建以芯片級硬件防護為基礎，覆蓋全網絡系統的信息保障體系。并且，低成本、小體積、高性能、抗破解并且具備信息安全保護機制的芯片化設計已經成為必然趨勢，由此，片上系統(SoC,System on Chip)芯片設計逐漸成為嵌入式系統發展的新方向，芯片設計者通常在一個SoC芯片中集成加解密算法與信息安全協議，并且保證足夠的安全等級。但是，現有技術中的SoC芯片集成加解密算法對不同芯片或者同一芯片的不同存儲區域采用相同密鑰進行加解密，不能夠有效地進行數據保護。

因此，亟需設計一種存儲數據加解密裝置及方法，能夠對不同芯片以及同一芯片不同存儲區域中的數據采用不同密鑰進行加解密，并且更有效地完成數據存儲和讀寫操作。

發明內容

本發明提供的存儲數據加解密裝置和方法，能夠針對現有技術的不足，對不同芯片以及同一芯片不同存儲區域中的數據采用不同密鑰進行加解密，高效完成數據存儲和讀寫操作。

第一方面，本發明提供一種存儲數據加解密方法，其中包括：

步驟一、提供存儲器讀寫模塊，用于密鑰讀寫以及對經過所述存儲器讀寫模塊的數據進行加解密，所述存儲器讀寫模塊包括用于運行加解密算法的數據加解密模塊；

步驟二、提供片外數據存儲器，用于存放經所述存儲讀寫模塊加密后的數據；

步驟三、提供安全配套模塊，所述安全配套模塊包括用于生成密鑰的真隨機數發生器以及用于存儲所述密鑰的密鑰存儲器；

步驟四、從所述存儲器讀取模塊寫入所述數據加解密模塊的數據，由所述數據加解密模塊使用所述安全配套模塊提供的密鑰進行加密后，寫入到所述片外數據存儲器；

從所述片外數據存儲器讀出的加密數據，由所述數據加解密模塊使用所述安全配套模塊提供的密鑰進行解密后，讀出到所述存儲器讀取模塊。

可選地，上述步驟三還包括對是否分隔所述片外數據存儲器中的數據進行判斷：

如果判斷是，將所述片外數據存儲器劃分為邏輯多個數據存儲區域，對所述多個數據存儲區域的數據選擇性進行加解密操作，每個數據存儲區域的密鑰均不相同；

如果判斷否，對所述片外數據存儲器不劃分數據存儲區域，對整塊數據存儲區域的數據進行加解密操作，對所述整塊數據存儲區域的數據進行加解密操作使用統一密鑰。

可選地，對不同芯片或不同片外數據存儲器的上述多個數據存儲區域中的相同數據存儲區域進行加解密操作所使用的密鑰均不相同。

可選地，上述數據加解密模塊運行的加解密算法包括異或、序列重排、數據替換。

可選地，上述數據加解密模塊在系統芯片啟動后自動通過硬件獲取所述密鑰存儲器中的密鑰并對數據進行加解密，所述獲取和加解密過程對軟件透明。

可選地，上述存儲器讀寫模塊需在所述數據加解密模塊獲取密鑰之后被訪問，提前訪問的請求無法響應。

可選地，當上述片外數據存儲器被替換時，替換后的存儲器無法被所述密鑰存儲器中的密鑰解密。

可選地，當系統受到攻擊時，上述存儲器讀寫模塊清除密鑰存儲器中的密鑰，使所述片外數據存儲器中的數據無法解密。

可選地，上述片外數據存儲器和所述密鑰存儲器部署在同一物理存儲介質上。

再一方面，本發明還提供一種使用權利要求1所述方法的裝置，其中包括：

存儲器讀寫模塊，用于密鑰讀寫以及對經過所述存儲器讀寫模塊的數據進行加解密，所述存儲器讀寫模塊包括用于運行加解密算法的數據加解密模塊；

片外數據存儲器，用于存放經所述存儲讀寫模塊加密后的數據；

安全配套模塊，所述安全配套模塊包括用于生成密鑰的真隨機數發生器以及用于存儲所述密鑰的密鑰存儲器。

本發明實施例提供的存儲數據加解密裝置及方法，能夠通過將數據存儲器劃分為多個采用特定密鑰的存儲區域，保證數據安全性，并且當片外數據存儲器被替換或系統受到攻擊時，可以擦除密鑰存儲器中的密鑰使加密數據不能正確解密，具有較高的安全性。