[发明专利]用于联机加密处理的高性能自主硬件引擎

权利要求书

1.一种数据加密系统，其包括：

第一数据总线；

存储器，其包括存储器区段，其中所述存储器区段中的至少一子集是经加密的存储器区段，所述经加密的存储器区段共同形成所述存储器的经加密的部分；

加密引擎，其耦合到所述第一数据总线且包括数据加密核心，所述数据加密核心经配置以加密由所述第一数据总线提供的数据以产生经加密的数据、并且解密来自于所述存储器的先前经加密的数据以产生经解密的数据、并且将所述经解密的数据提供给所述第一数据总线，其中所述数据加密核心共同支持多个加密模式以及多个认证模式，且其中所述经加密的存储器区段中的每一者经配置以具有与所述多个加密模式中的相应一者相对应的加密模式并且具有与所述多个认证模式中的相应一者相对应的认证模式；

第二数据总线，其从所述加密引擎接收所述经加密的数据、并且向所述加密引擎提供所述先前经加密的数据；及

存储器接口，其耦合在所述第二数据总线和所述存储器之间，所述存储器接口经配置以：

从所述第二数据总线接收所述经加密的数据，并致使所述经加密的数据被存储在所述存储器的所述经加密的部分；及

从所述存储器的所述经加密的部分接收所述先前经加密的数据，并将所述先前经加密的数据提供给所述第二数据总线；

其中所述加密引擎包括调度器，所述调度器经配置以：

对于加密操作，确定对应于写入命令的写入地址是否是位于所述存储器的所述经加密的存储器区段中的任一者中的地址，在所述写入地址不位于所述存储器的所述经加密的存储器区段中的任一者中的情况下绕过所述数据加密核心，并且在所述写入地址位于所述存储器的所述经加密的存储器区段中的任一者中的情况下调度所述数据加密核心中的至少一者以执行加密操作，其中所述加密操作致使与所述写入命令相关联的写入数据根据所述写入地址所位于其中的所述经加密的存储器区段的所述加密模式及所述认证模式而被加密；及

对于解密操作，确定对应于读取命令的读取地址是否是位于所述存储器的所述经加密的存储器区段中的任一者中的地址，在所述读取地址不位于所述存储器的所述经加密的存储器区段中的任一者中的情况下绕过所述数据加密核心，并且在所述读取地址位于所述存储器的所述经加密的存储器区段中的任一者中的情况下调度所述数据加密核心中的至少一者以执行解密操作，其中所述解密操作致使与所述读取命令相关联并位于所述读取地址处的读取数据根据所述读取地址所位于其中的所述经加密的存储器区段的所述加密模式及所述认证模式而被解密。

2.根据权利要求1所述的数据加密系统，其中所述加密引擎进一步经配置以：

确定所述写入命令是否将致使所述存储器中的区域边界被跨越，并且，在所述写入命令将致使所述存储器中的区域边界被跨越的情况下，通过使写入字节启用无效来防止所述写入命令访问所述存储器的所述经加密的部分；及

确定所述读取命令是否将致使所述存储器中的区域边界被跨越，并且，在所述读取命令将致使所述存储器中的区域边界被跨越的情况下，通过使与所述读取命令相关联的所述读取数据置零来防止所述读取命令访问所述存储器的所述经加密的部分。

3.根据权利要求1所述的数据加密系统，其中所述加密引擎进一步经配置以：

在对应于所述写入命令的所述写入地址是所述存储器的第一经加密存储器区段中的地址的情况下，基于与所述写入命令相关联的所述写入数据来计算要被存储在所述存储器的所述第一经加密存储器区段中第一消息认证码MAC；及

在对应于所述读取命令的所述读取地址是所述存储器的所述第一经加密存储器区段中的地址的情况下：

基于与所述读取命令相关联的所述读取数据来计算第二MAC；

将所述第一MAC与所述第二MAC相比较；及

当所述第一MAC和所述第二MAC不匹配时用信号发送错误。

4.根据权利要求3所述的数据加密系统，其中所述加密引擎进一步经配置以，在与所述写入命令相关联的所述写入数据正被写入到所述第一经加密存储器区段的情况下，根据所述第一经加密存储器区段的所述认证模式来计算所述第一MAC。