本發明提供一種用于數據加解密的金鑰管理裝置及處理器芯片，包括：一靜態隨機存取存儲器；一暫存器；以及一控制電路，用以在該靜態隨機存取存儲器或該暫存器設置一金鑰查找表，并管理一金鑰數據庫，其中該金鑰數據庫包括靜態隨機存取存儲器及在金鑰管理裝置外部的一一次性可編程存儲器，且金鑰數據儲存一或多把金鑰。金鑰查找表包括在金鑰數據庫的各金鑰的金鑰編號及元數據。控制電路依據來自一處理器的金鑰讀取指令或金鑰刪除指令中的特定金鑰編號以從金鑰數據庫中讀取或刪除對應于特定金鑰編號的一特定金鑰。

技術領域

本發明有關于數據傳輸，特別是有關于一種用于數據加解密的金鑰管理裝置及處理器芯片。

背景技術

在現今的電腦系統或控制系統中，往往會需要對數據進行數據加解密處理。然而，數據解密的過程往往需要金鑰或私鑰，當金鑰或私鑰的數量變多時，金鑰管理及保存亦會對使用者造成相當大的困擾。使用者在增加金鑰至傳統的金鑰管理裝置時，往往還需要知道金鑰的儲存位置(例如在特定存儲器中的特定位址)，且在讀取金鑰時亦需要到對應的儲存位置才能讀取所要的金鑰。上述金鑰管理方式對使用者來說相當不便。

因此，需要一種用于數據加解密的金鑰管理裝置及處理器芯片以解決上述問題。

發明內容

本發明提供一種用于數據加解密的金鑰管理裝置，包括：一靜態隨機存取存儲器；一暫存器；以及一控制電路，用以在該靜態隨機存取存儲器或該暫存器設置一金鑰查找表，并管理一金鑰數據庫，其中該金鑰數據庫包括靜態隨機存取存儲器及在金鑰管理裝置外部的一一次性可編程(OTP)存儲器，且金鑰數據庫儲存一或多把金鑰。金鑰查找表包括在金鑰數據庫的各金鑰的金鑰編號及元數據。控制電路依據來自一處理器的金鑰讀取指令或金鑰刪除指令中的特定金鑰編號以從金鑰數據庫中讀取或刪除對應于特定金鑰編號的一特定金鑰。

在一些實施例中，金鑰數據庫更包括在該金鑰管理裝置外部的一快閃存儲器。在一些實施例中，在金鑰查找表中的各金鑰的元數據的屬性包括：金鑰尺寸、擁有者、安全等級、特權等級、讀取屬性、廢除屬性、開機狀態及儲存位置。元數據中的擁有者的屬性對應于處理器或是一加解密裝置中多個加解密電路的其中一者。上述加解密電路包括：一進階加密標準(AES)加解密電路、一金鑰雜湊信息認證碼(HMAC)加解密電路、一橢圓曲線密碼學(ECC)加解密電路、一RSA加解密電路、一隨機數產生電路、或其組合。

在一些實施例中，控制電路由處理器接收一金鑰創建指令，其中金鑰創建指令包括一新金鑰及相應的元數據，其中該新金鑰相應的元數據不包括廢除屬性。當控制電路將新金鑰儲存至金鑰數據庫并且在該金鑰查找表中新增新金鑰相應的元數據后，該控制電路回報該新金鑰相應的該金鑰編號至處理器。當控制電路判斷金鑰數據庫的剩余儲存空間小于新金鑰的金鑰尺寸或是金鑰數據庫已達到金鑰儲存數量的上限，該控制電路回報一儲存失敗的信息至處理器。

在一些實施例中，當新金鑰的該元數據的安全等級或特權等級已被設定，控制電路將新金鑰儲存于該金鑰數據庫中的該OTP存儲器。因應于控制電路接收金鑰刪除指令以刪除儲存于OTP存儲器的特定金鑰，控制電路設定在金鑰查找表中的特定金鑰相應的元數據中的該廢除屬性以廢止特定金鑰。

在一些實施例中，當控制電路廢止特定金鑰后，控制電路重新計算金鑰數據庫的剩余儲存空間。當控制電路依據該特定金鑰的該元數據判斷無法讀取該金鑰讀取指令的該特定金鑰編號相應的該特定金鑰時，該控制電路回報一讀取失敗信息至處理器。