TW445402B

TW445402B - Secure processor with external memory using block chaining and block re-ordering

Info

Publication number: TW445402B
Application number: TW087116410A
Authority: TW
Inventors: Brant Candelore; Eric Sprunk
Original assignee: Gen Instrument Corp
Priority date: 1997-10-10
Filing date: 1998-10-02
Publication date: 2001-07-11
Also published as: CA2249554A1; CN1236132A; IL126448A0; EP0908810B1; DE69833594D1; EP1571523A1; KR19990037007A; DE69833594T2; EP0908810A2; US6061449A; EP0908810A3; IL126448A

Description

'^ 45 4〇g _案號S7116410_年月日_修正 _ 五、發明說明（1) - 發明背景本發明相關於一種在一安全電路及一外部儲存設備之間有效且安全傳送程式資訊區塊之裝置。該程式資訊以區塊鍊接方式傳輸以能有更好的加密、執行之隱藏、並減少辨認資料之多餘負擔。在一個具體實施例中，程式資訊被加密並可視需要於密碼（c i p h e r)區塊鍊接内進行辨認。在另一個具體實施例中，程式資訊被辨認並可視需要於區塊鍊接内加密。區塊鍊接大大地減少了辨認資料之多餘負擔。位址混雜亦可用於強化安全性。在各鍊接内重排如區塊或位元組等各欄位，如同在整個-鍊接之間，更可用來提供進一步之安全性。在另一個具體實施例中，程式資訊區塊提供給安全電路來產生一鍵值。該鍵值可用來解密一資料傳輸。此發明特別適於阻止軟體演算法之複製及反向工程，並加強如付費電視節目混雜回復（d e s c r a m b 1 i n g)密碼術之應用或其類似應用β 提供以下之定義：安全電路：一安全電路係一密碼積體電路（1C)，無人能在其中，甚至擁有者本身亦不能存取其内部匯流排、暫存器、及其它含於此1C内之線路。此1C可存有重要鍵值、身份識別、及其它責料1但該安全電路不必是一 I C之週圍 . (p e r i m e t e r )。它可以是一個人電腦（P C )，例如，於一網路電腦上執行一自網路上共用儲存裝置取得之程式。該網

O:\55\55149.ptc 第6頁，’4 45 4 02 _案號 87116410_年月日__ 五、發明說明（2) - 路電腦可以存取一伺服器以即時（r e a 1 - t i m e )執行應用程式。部份之該等應用程式與網路電腦一次通訊一些 (piece-meal)。該網路可允許多台電腦同時存取同一應用程式。在一 P C内，擁有者可取得接收到之加密及/或辨認及/或重排之程式資訊。此外，一安全電路可處理未加密而有辨認之資料。儲存裝置：一儲存裝置係一分開之各種不同樣式之記憶體組件，例如一 I C。然而，如上述之P C例，該儲存裝置可以是如同一位於本地或遠端之硬碟之大量儲存裝置。若·位於遠端，資料可在一如乙太網路（Ethernet-like)上之儲存裝置及安，全電路間傳輸，或是例如，依據I E E E 1 3 9 4標準傳輸。本區域之存取儲存裝置，例如，可經由PC之ISA、VESA、或 P C I資料匯流排或甚至可經由一S C S I、序列、或平行介面。該大量儲存裝置可經由其它網路電腦或安全電路來存取。該儲存裝置亦可以是一J a z z ( T Μ )磁碟機、磁帶機、光碟機、影音光碟機（DVD )、個人電腦記憶體介面卡 (P C MC I A )、智慧卡、或任何其它大量儲存裝置。其有可能，例如，在網路電腦例子中，該唯讀之程式資訊經由網路存取。在安全無虞可供外部儲存狀況下，可使用一區域儲存裝置，例如，有讀/寫能力之記憶體。因此，儲存裝置可以是各裝置種類之任意組合。並且，在網· 路儲存裝置之例中，該程式資訊可一次複製一些到一可與動態記憶體同步之較高速區域記憶體内。程式資訊：

O:\55\55149.ptc 第7頁 ί 4 4 5 4 Ο £號 87116410_年月日__ 五、發明說明¢3) - 程式資訊通常代表安全電路於執行一程式時所使用之任何資訊。此可包括指令，例如以機器碼表示之作業碼 (op-codes)，或虛擬碼或如Java(TM)之解譯碼。其亦可包括查核表、儲存鍵、及如同運算中值及安全電路狀態之各種暫存資料。其甚至亦可包含用來加密/解密或確認/辨認區塊鍊接内其餘程式資訊之部份或全部啟始向量及鍵值。這可讓相同之向量或鍵值資訊在不同之鍵值下加密，使得各不同之安全電路或選定之群組能存取到相同程式資訊，並導出或給予不同之鍵值。該資訊亦可包括鍵值資訊及資料，其與存在於儲存裝置内區塊位元組、鍊接區塊、及鍊接之本質有關。此亦可包含後續要細述之不同鍊接欄位或鍊接順序之排列次序資訊。散列（H a s h): 散列並不限定一單向功能。雖然一嚴格之單向功能係為可能，該功能可在一密秘鍵值下反向，或是一捕捉 (trap-door) 單向功能，或是一非常簡單如同一X0R作業之功能。資料傳輸及密碼處理： '資料傳輸用於各類文字、訊息、影片、及聲音訊號。這些包括但不限於來自於廣播及互動電視及收音機、程式指引、新聞服務、及通訊頻道上相互訊息交通之文字、訊息、影片、及聲音。該混雜資料傳輸可以不同方式送出，例如，經由一廣播、衛星、電纜、電話、或其它連結，或

O:\55\55149.ptc 第8頁 4 4 5 4 Q 2 案號 87U6410_年月日__ 五、發明說明（4) - 自一可移動大量儲存媒介如一數位影碟、磁帶、光碟 (C D )、軟碟、或其它安全電路，並經由一混雜回復接收器來接收，例如一視訊轉換器（s e t - 1; 〇 p b ο X )解碼器、播放機或一客戶家裡之個人電腦。該資料傳輸可以只是簡單地回應一要求。該要求使得安全電路傳送該要求資訊與一些密碼處理以產生一輸出，其確認該安全電路確實握有一些密秘或私密鍵（private keys)。安全電路内部暫存器可以增加或減少。這些數值可以與密秘或私密鍵一起運算出輸出值。該等要求及回應技術通常用於在給予服務前先辨認一有效安全電路之存在。密碼處理：這是由一安全電路執行之處理，其通常導至一鍵值之產生。該鍵值接著用於許多方面：一資料傳輸之混雜及回復，一用戶或主機執行之身份確認等。安全電路並不必都自行含有該鍵值。例如，其可為了確認之目的而自安全電路送出。現在討論先前技藝方案伴隨之不同問題。問題：不同專屬演算法會被偷取以大量經費經歷極大努力開發之軟體可輕易地自外部儲存裝置複製。此問題因I n t e r n e t等允許快速及盜取碼 (p i r a t e d c o d e )遠距散佈之開放網路而惡化β 以通用處理器晶片速度之增加，以往在硬體上執行之多工處理任務有著在軟體上執行之趨勢。該軟體經由使用分開之記憶體組件及/或包含大量儲存裝置之儲存裝置來通

O:\55\55l49.ru 第9頁 445402 _案號 87116410_年月日__ 五、發明說明（5) - 訊。這會允許不同應用程式只要執行不同的軟體便能快速重新規劃處理系統。但該趨勢受制於軟體能輕易被複製、反組譯、反向工程、及接著被散佈之事實而奪去了開發者及/或發明者此智慧財產之利益。同時，以網路之速度及可靠度之增加，例如，乙太網路從每秒1 0百萬位元（Μ B )到1 0 0百萬位元（Μ B )等，在網路上即時執行軟體已為實際可行。所謂之網路電腦總會執行載於網路伺服器.上最新一版之應用程式。任何存於該伺服器之應用程式可被快速存取。但該伺服器易被某人下載並儲存整個應用程式，因而奪去了服務提供者持續之收入□一旦被下載，該軟體極易被他人所分享。因此希望能使得軟體分析及反向工程，以及軟體被通用處理器複製及再次使用變得更為困難。問題：密碼鑰值產生器密碼應用程式通常牽涉了依據密秘或私密鍵（p r i ν a t e key)產生/導出一鍵值。 —典型密碼鑰值產生器在資料傳輸上執行密碼處理。由於需要阻礙非法人士（例如盜取者）取得資料之傳輸，混雜資料傳輸日益重要。不論資料如何傳輸或運送，都加入了密碼處理以確保資料提供者，例如混雜之送出者，獲得其所傳送智慧財產之給付。在網路通訊之情況下，訊息被混雜以確保訊息之私密性，並同時確認輸送者與接收者。其可允許不得拒付（non-repudiation)，以防止一接.收者之後宣稱其未訂購該資料。由於其有著較之給付率，不得拒付對於供應者很重要。沒有其他人有著與真正買者用來辨

O:\55\55149.ptc 第10頁 445402 _案號87116410_年月日__ 五、發明說明（6) - 認訊息所需之相同密碼鑰值。該資料傳輸經過密碼處理，例如，在傳輸前經由一個或多個安全混雜鍵值來混雜。該密碼處理資料傳輸被一密碼解碼器接收（混雜回復接收器），如如一視訊轉換器（set-top box)解碼器、播放機或一客戶家裡之個人電腦。通常，如混雜回復接收器之密碼處理是在一安全電路内完成。該安全電路在製造時或應用程式安裝及啟始時便提供所需鍵值，.並執行一種處理以允許取得資料傳輸。若允許其取得，則導出解密鍵值。當解密鍵值用於相關硬體或軟體解密模組時，該資料傳輸被回復，例如，可被觀看或可適用於該使用者。該混雜回復之硬體或軟體可包含於一例如一特定應用積體電路（ASIC)之安全電路内。― 同樣地，混雜資訊傳送者，例如，一於某人住家之P C混雜例如經由I n t e r n e t傳送給商家之信用卡號，使用該製造時或應用程式安裝及啟始時便提供之所需鍵值，以導出一混雜要傳輸之重要資料之鍵值。在P C例中，混雜可於軟體模組内完成，但該混雜可能不真正發生於所認為之安全電路内。二種情況下（混雜及混雜回復）導出之鍵值可自安全電路輸出到硬體或軟體混雜 /混雜回復模組，或者其可握有安全電路内部之鍵值·'-與解密模組一起内建於該安全電路内。最好是，該鍵值位於内部且混雜/混雜回復亦於該安全電路内執行。. 若自安全電路輸出該鍵值，它可極快被改變，甚至一秒數次，因此使其認知只被短暫使用。該硬體混雜/混雜回

O:\55\55149.pic 苐11頁 * '445402 _案號 87116410_年月日__ 五、發明說明（7) 復硬體或軟體模組可位於導出混雜/混雜回復資料傳輸鍵值之安全電路遠端。對於一在一網路上執行指令之PC，該安全電路可以是該 P C本身，且該回復單元可以只是一接收一長度及一於内部或外部儲存裝置指標之軟體模組，其有著該適當之鍵值，及密碼功能辨識身份。在安全電路内由密碼處理執行之功能可需求訊息散列 (Ha sh )、簽章.、及使用公知散列演算法之簽名辨識及公鑰密碼法。在以上AS 1C及PC例令，通常使用一微處理器來架構存取控制，執行散列，簽章確認，簽名及辨識功能。該處理確認該安全電路確實被授權來對資料傳輸解密。若有授權，該微處理器則導出資料傳輸之回復鍵。該安全電路通常有一内部儲存裝置，例如，記憶體，來儲存混雜程式資訊以供微處理器使用，供儲存回復鍵資料及解碼器狀態，及一拍紙薄（s c r a t c h - p a d )記憶趙以儲存計算中資料及暫存資料。回復接收器，例如解碼器，之狀態可指出，例如，該解碼器是否調到一特定頻道及頻道識別器。回復接收器之狀態亦可儲存其是否被授權來接收該頻道，及一調到之節目有否，例如，被訂購、依次付費、或選定觀看 (v.i deo-on-demand ) ° 因此想要使得對於與内部記憶體一起之密碼鑰產生器之盜用更為困難。 . 問題：使用内部R 0 Μ，及R A Μ容量之不可變動對於一 AS I C，該I C使用來儲存程式資訊之内部記憶體可

O:\55\55149.ptc 第12頁 445402 __案號87116410__年月日_iiA__ 五、發明說明（8) 由唯讀記憶體（ROM)、一可拭可程式唯讀記憶體（EPROM)、一電子式可拭可程式唯讀記憶體（E E P R 0 Μ )、快閃記憶體、或一電池備援式隨機記憶體來產生。通常，以最小形狀及最快線路製造ASICs之工廠程序最早是為了 ROM及RAM為基礎之技術。稱後則發展出E P R 0 Μ及E E P R 0 Μ之能力。因此，相較於其它技術之效率優點可由使用R 〇 Μ及R A Μ為基礎之技術設計而獲得。同時，由於其設計較簡單，VLS I工廠以 ROM及RAM為基礎來製造裝置較以EPROM及EEPRO Μ來製造為易。因此，設計者以ROM及RAM為基礎來設計可得到較低之製造費用。完全不使用電池備援式R AM來製造内部記憶體是不實際 Γ 的，因為一能讀寫資料之R A Μ儲存格，其包含不只一個閘極（gates)且通常有著比一只能.讀資料之R〇m大的多之結構。因此，該RAM記憶體比一相同實體大小之R〇M記憶體儲存少的多之程式資訊。然而，由於必需替換整個A S I C以改變程式資訊，儲存移式資訊於内部ROM有些障礙。這可能是必需的或是想要的’例如’更正一軟體問題（例如.，程式錯誤），或是提供新的或客戶所要之特性給予不同客戶。要達到此，需製造一有更動之程式資訊之新晶片。這可能會非常昂貴且費時。同時’不管在安全電路内建入多少任何形態之儲存體’ 例如’一 AS I C，對於任何給定之應用程式其可能貪太多或太少°若儲存體多於所需，安全電路之價格會大於所需。若儲存體小於所需，其或者不能適於完成任務，或是必需

O:\55\55149.ptc

第13頁 4 45 402 _案號87116410_年月曰__ 五、發明說明¢9) 省略掉一些功能來讓軟體能放入。儲存體大小很少能正好剛好的。因此，想要能夠提供一種能調整儲存體裝置容量的方案，例如，記憶體容量，以及能容易且花費不高地修改一例如一密碼晶片之安全電路之程式資訊。該系統應用儲存程式資訊於一安全電路外部之儲存裝置並提供儲存裝置與安全電路間有效率且安全之程式資訊傳輸。此程式資訊傳輸應夠快，甚至在一網路上，以達到程式執行要求。另外，内部儲存體之容量，例如安全電路運作所需之記憶體應受到限制。該系統可使用一限量之可啟動安全電路、監看錯誤情況、解譯虛擬碼、或處理即時處理事件之快速存" 取之内部程式資訊。不論如何，此内部程式資訊，若儲存於一不能改變格式，例如ROM或-唯讀CD-ROM内，其不能如外部儲存程式資訊般容易地改變。問題：保護外部儲存體-辨識之負擔在過去，不同加密技術已被用在位元組及區塊上。但盜取者已發展出許多''攻擊”來破解系统安全。一種攻擊嘗試取得安全電路以讀取加密記憶體並將其寫出到一可捉取程式資訊並分析之空曠區域。一該種型態之攻擊本身實際使用解密電路對程式資訊解密而排除更大量分析之需求。另一種攻擊嘗試破解應用系統本身之安全，經由改變應用程式之執行以造出安全電路，在此事例中，於回復接收器内，回復原來之服務而不必付出適當之訂購費用.。為完成這些及其它攻擊，盜取者嘗試修改外部儲存裝置，例如，記憶體，之内容。並且為了完成這些，一種使用之技 __ 1 11 1 11 O:\55\55149.ptc 第14頁 '4朽402 _案號87116410_年月日_ίΜ：_ 五、發明說明（10) 術為”試驗’'，其中位於外部儲存裝置内之程式資訊被依嘗試錯誤做法運作。該盜取者不知那一個或那些個密碼鑰值被用來加密程式資訊，但嘗試操控外部儲存裝置内之程式資訊直到獲得一有用之結果。為防止這些及其它攻擊之成功，可以使用或者辨識，加強加密，重排鍊接欄位，或以上之任何組合。辨識可以用來確認程式資訊來源。在一使用辨識之系統内，安全電路不會處理未伴隨正確辨識資料之程式資訊。先前技藝之強力辨識極昂貴。然而，辨識資料之多寡必需足以提供一恰當之安全層級。在傳統之記憶體加密方案使用位元組加密或區塊加密，晶片自外部儲存裝置取得之各個位元組或區塊會需要辨識資訊。對一單一程式資訊位元組，會需要許多辨識資訊以防止被嘗試（t r i a 1 i n g )。換句話說，需要加大該位元組來包括額外之辨識資訊。若一程式資訊之8位元位元組被加大來包括8個額外位元之辨識資訊，該辨識資訊可容易地經由嘗試而決定，以每位元組8 位元計，只有28 = 2 5 6個可能之嘗試組合。為了提供一合於資料加密標準（DES )之安全層級，可使用5 6位元（7位元組）可用來提供256 = 7. 2 X 1 016 個可能之辨識資訊组合。該辨識資訊會代表全部儲存體之（7/(1 + 7))或87%。這種數量之多餘負擔會非常沒效率。依區塊加密，許多資料位元組於區塊内聚集並辨識。例如，可使用一 8資料位元組大小之區塊。接著，以8位元組之辨識資訊，全部儲存體之（7/(7+8))或47%之負擔仍然極高。只為了處理辨識資訊而要求極大的儲存裝置，這些遞

O:\55\55149.rtc 第15頁 '44540^ 87116410 年月日修正五、發明說明（11) 度之負擔資料會嚴重的影響到系統之整體費用。這在例如手執遊戲機、行動電話、及電視解碼器等必需以最低可能費用來製造之消費者電子裝置上是不能被接受的。特別是，儲存裝置之價格通常是一重要之限制因素。所以，以目前資料辨識方案之辨識資訊負擔量是不能被接受的。所以，希望有一系統將保持通訊程式安全之辨識資訊 (例如，檢查位元）負擔量減到最低。問題：不當之.程式資訊加密嘗試攻擊一程式資訊單一加密位元之執行是瑣細的。再次假設一 8位元之位元組，這只需對程式資訊做28 = 2 5 6個可能之嘗試以得到正確之結果。然而對於一些盜取之攻擊，只要能對程式資訊做出更動便算達到其目的。在此例中，只要有能力去試單一位元組值而不影響其它位元組將會達到一成功之盜取攻擊° 嘗試攻擊一程式資訊單一密碼文字區塊則有些困難但仍是可做得到。大的通用精簡指令集計算（R I SC)處理器，例如，有6 4位元長度之指令。假設8位元組區塊且每位元組8 位元，對一盜取者言，更動一區塊程式資訊並只影響單一指令相對容易。就算對於一半長度大小的指令，例如，3 2位元，只影響到二個指令。所謂複雜指令集計算（C I S C )處理器有同樣被攻擊之危險。但是被稱為8位元處理器之C I SC 處理器並不真是8位元，這是由於其通常要求一個、二個、.或三個構成任何介於8到3 2位元間指令_之程式資訊之運算元，指令大小平均約2 0位元，但這依該程式所選用之指令而定。

O:\55\i5149.pic 第16頁 ^ 45 4 〇2 _案號 87116410_年月日_ί±^._ 五、發明說明（12) 因此，嘗試一所謂"8位元”之加密值8位元組區塊可能只影響3個指令。所以，希望能有一更好之加密演算法以保護通訊程式資訊。問題：執行，甚至加密，可被看到雖然程式資訊區塊可被加密或設定辨識，某些在通訊設備上，例如匯流排或網路上，觀看資料傳輸之人可學習到程式資訊之功.能及設計。盜取者學習到越多程式資訊，其便可有更多方法更動程式之執行。如快取（cache)之内部儲存電路可經由自内部儲存電路參考加密、加密及辨識、或只辨識之資料來隱藏部份功能及設計，而不必再一次自卩外部取得程式資訊。然而，由於原始之首先將程式資訊載入快取之通訊順序可能被查知，而浮現出問題。由於循環碼，例如，迴圈，可在外部介面上被查看，一個沒有快取之系統更易被分析。其易被看到一再傳輸之相同的加密、加密及辨識、或只辨識之資料程式資訊。利用到快取之内部通訊且不被通訊設備看見，一快取會混雜該作業。然而，一智慧型盜取者可能注意到沒有外部通訊發生而得到有某些内部作業發生。原則上，不想讓一盜取者得知任何與執行演算法相關資訊。此包括整體架構，例如位元組到區塊、區塊到鍊接或鍊接到程式資訊相關順序，例如在啟動時都會執行之特定程式之處理順序，及例如資料表組織之程式資m組織。因此想要有一技術來隱藏加密、加辨識、或任何程式資訊鍊接之執行。想要依一種方式來傳輸程式資訊，其經由

0:\55\55149.ptc 第17頁修正 87116410 年五、發明說明（13) 安全電路將真正執行順序打散。該順序可隱藏於一區塊、鍊接、或程式資訊順序。亦即，想要隱藏構成一區塊之位元組順序，該區塊構成一鍊接，且該鍊接構成一程式資訊順序。此順序之排列可被固定然而可依每一位元組接位元組、區塊接區塊、鍊接對鍊接、或程式資訊順序為單位來做排列。希望將順序分散到更大之深度，亦即，大於區塊，例如，二個區塊或一整個鍊接。對所有其它攔位亦同樣。問題：順序排列演算法會被發現任何實行於硬體上之順序排列演算法可被一盜取者以探測V L S I或其它分析法來發現。排列功能可有加密鍵且與位址及單元相關。然而，此並不能排除一有心之盜取者發現加密鍵及其相關性。 - 因而也希望能有一種方法來讓順序排列分析及反向工程更為困難。問題：基本順序不會改變-位址總是相同就算將順序排列，一盜取者可查看到儲存裝置間之所有通訊並知道那一個位元組屬於那一區塊，及那些區塊屬於那些鍊接。亦即，儲存裝置内之一特定位址位置與一特定位元組、區塊、或鍊接順序相關。該位址位置總是包括相同資訊。由於順序隱藏，盜取者可能不知道精確的位置資訊，但他知道其它相關固定之位元組、區塊或鍊接。盜取者不需知道存於一特定位置之程式資訊值。盜取者可嘗試一該位置之數值。就算儲存位置由於順序排列技術而在不同時間存取，盜取者可以有系統地測過所有值。

0: \55\55149.ptc 第18頁 445402 案號 87116410 修正五、發明說明（14) 因此希望能有一方置，其中資料代表一塊、或問題：一盜密、加為了資料相問題：儲存可以寫置有著現代碼術要行某些有介面 (Root Author 取控制由於網這些錄 2 0 4 8 -例如，關資訊對於鍊接順各通訊取者可入辨識額外之通訊。要求雙裝置可入。不不同之密碼應求較大型態之，其要 Author i t y ) 0 系統及路上之匙故意 4 0 9 6 位可能需以實行許多專序，以均相關查看所、順序隱藏，向之言買以是唯同之密需求。用通常之密鑰密碼應求儲存 i ty ) 1 同時， /或解互動，要其長元，或求大量 —可用屬應用案能動態改變儲存裝置内之位址位於儲存裝置内之特定位元組、防止某人有系統地測試程式碼。有儲存裝置程式資訊並知道其被排列或以上皆是。希望將程式資訊與"傀儡”或不必寫讀，但有許多原因使得·儲存裝置碼術及非加密而專屬應用對於儲位加要之採用公錄。資料混用，其與一些公鑰或證件授與付費電碼器製造可能會需久存在^ 是更大。之讀/寫之密碼應此點亦為密碼術，雜傳送者如同I n t e ，例如， # (Cert i 視解碼器商之公鐵要儲存更並且，例因此，一其一般會比密或回復接收者 r n e t之開放網來自一根授權亦應存裝錄密可執路可 f i c a t e 一起，有。經過一多公錄。如，若公大容量儲儲存鑰值著用以存段時間，一部份的鑰可以是存裝置，及其它相儲存體以用。相同。此趨勢為處理更多之

O:\55\55149.ptc 第19頁 445402 _案號87116410_年月日__ 五、發明說明（15) 資料。希望能有如同唯讀程式資訊般之大的彈性及種類及儲存數量供寫入及稍後取出程式資訊之用。因此，希望在外部儲存裝置及一安全電路間能有安全之雙向通訊，其中並能彈性地達到增加額外程式資訊儲存量而不必要求改變安全電路之設計。同時不能減少整體實行之安全性。問題：與不安全之外界通訊及替代安全模式安全電路可能需與顯示裝置、週邊或電腦等沒有解碼工具有著介面。這在牽涉到人為互動時有其重要性。例如，若一客戶輸入一錯誤之個人識別碼（P I N ) 1安全電路可能必需通知客戶此問題以能再次輸入P I N。這可能會要求與主機裝置相通訊此一錯誤狀況或訊息以能適當地顯示在螢幕上。用於外部通訊之p i n s，通訊璋，或匯流排可能會有短缺。執行某些程式資訊可能減少了延遲，需求一替代鍊接之通訊模式。同時，安全電路可能需要與其它有著不同安全方案之裝置交互作業。同時希望能提供一條件明碼模式（c 1 e a r ra 〇 d e )，其可用於未執行加密/解密，識別碼產生/確認，或程式資訊之順序排列中。該條件明碼模式不只允許可能之晶片偵錯設備、亦允許安全電路與外界整體，例如顯示裝置、其它電腦、及其它類似者相交接、傳送及接收明碼資料，因而允許該通訊工具不僅能用於程式資訊之傳輸。此會滅少用於外部通訊之分開之p i n s、通訊淳、及匯流排之數目。同時希望能開關該鍊接加密/解密，識別碼產生/確

0：\55\55149.pt c 第20頁 r4 45 4 0^ 號 87116410 年修正五、發明說明（16) 認，或程式資訊之順序排列，支持一不同種類不依據鍊接之加密/解密，識別碼產生/確認，或程式資訊之順序排列。例如，不使用鍊接，而可使用位元組或區塊處理。問題：鍊接長度之偵測一盜取者可能分析程式資訊之執行以決定那些程式資訊屬於一特定鍊接。該知識可允許一盜取者依一更有選擇性之方式來嘗試出程式資訊。原則上，防止一潛在盜取者知道該程式資訊.如何執行之任何資訊是一不錯之點子。因此希望能以隨機次序變動鍊接長度與程式資訊區塊自一鍊接到次一鍊接之方式相通訊，而不給予·執行中之程式資訊特別之考慮。問題：不同之延遲即時中斷副程式有著與背景程式或維護程式不同執行之延遲。一設計者對所有程式資訊會有用較短鍊接之自然傾向以簡單地處理即時中斷副程式所要之較快執行要求。但減少對所有程式資訊鍊接之長度可能不必要地增加了儲存裝置之儲存容量以配合識別資訊之增加量。因此希望能以區塊鍊接來連通裎式資訊區塊及其相關之識別資訊，其中可以使用不同長度之鍊接以連通有著不同延遲之不同類之程式資訊。置於較低位址區域之程式有較低之延遲，而那些位於一儲存裝置之較高位址區域者則有較高之延遲。問題：一般性通訊/儲存之延遲雖然某些程式有著特定執行之延遲考量，對某些應用來說，該延遲仍為太多。因此，必需開發工具來允許更有效

0:\55\55149.pt c 第21頁 445402 _案號 87116410_年月曰_ί±£-_ 五、發明說明（17) 率之通訊及程式資訊之儲存。希望將某些特性設計入通訊架構及安全電路内以減少程式資訊之延遲以有助於加速執行。問題：識別/確認之延遲雖然某些程式有著特定執行之延遲考量，對某些應用來說，由於識別/確認所產生之延遲仍為太多。因此，必需開發工具來允許更有效率之識別/確認。希望將某些特性設計入識別/確認功能内以助於減少程式資訊執行之延遲。問題：加密/解密之延遲雖然某些程式有著特定執行之延遲考量，對某些應用來說，由於加密/解密所產生之延遲仍為太多。因此，必需開發工具來允許更有效率之加密/解密° 希望將某些特性設計入加密/解密功能内以助於減少程式資訊執行之延遲。本發明提供一種有著以上及其它優點之系統。發明概述依據本發明，展示一種鞏固介於儲存裝置及一密碼區塊鍊接内安全處理電路間之程式資訊密碼文字區塊通訊安全之裝備。展示一種介於儲存裝置及一鍊接安全處理電路間，能與程式資訊識別區塊安全地通訊之裝備。展示一種介於儲存裝置及一鍊接安全處理電路間，能與程式資訊重排欄位安全地通訊之裝備。本發明並提供一種產生密碼鑰之裝備，其中該鑰可用來

O:\55\55U9.pic 第22頁 ^ 4b 402 _案號 87116410_年月日__ 五、發明說明（18) 取得存取傳送資料或其類似。於本發明之某一方面，一種在儲存裝置及安全電路間安全地傳輸程式資訊區塊之裝備包括了至少提供一個程式資訊區塊之工具，包括一含有第一個位元組順序之多個位元組之特定區塊。由於資料能依序一次處理一個區塊，一個足以儲存一個區塊大小之區塊緩衝器只是最低的使用需求。工具，例如.一位址產生器，被提供來儲存位於儲存裝置内之程式資訊區塊。由於一個區塊内之改變會引起其它區塊之改變而使得盜取者對程式資訊做出簡單的更動變得困難，密碼區塊鍊接是一個強化的加密演算法。密碼區塊鍊接可用於散列及加密以提供私密性。最後一個文字區塊可在加密識別區塊上做XOR運算（XORed)以提供識別區塊解密上對整個密碼區塊鍊接之相依性。例如，該程式資訊及識別資訊可載於二個或更多個8位元組區塊内。由於相對於識別資料，識別資訊有著相對低負載，區塊鍊接有其效率。該識別資訊與最後明碼資料 (例如，程式資訊）區塊做X 0 R運算並可視需要加密並產生一確認值。該值與一硬體已知值相比較以確認該識別資料為正確。對於不同之鍊接該值可能不同或者其可能對所有之鍊接皆為固定值。要在安全鑰間提供額外之分離，用以加密識別資訊之鑰可能不同於用以解密識別資訊冬鑰。同時，各解密作業可修改鑰之位址以提供各鍊接内區塊之位址相依性。

0: 55149. pic 第23頁 445402 _案號 87116410_年月曰__ 五、發明說明（19) 對於更強化之安全性，可將密碼文字區塊鍊接與其它散列演算法一起使用。由於各區塊必需依次處理，此會有額外延遲之不利。當第一個區塊解密時，其不只與第二個區塊之加密文字做XO R運算，其同時提出予識別電路。最後一個區塊為識別位元，且其不必提出予識別電路，其只要解密並與硬體中之值相比較。提供第一個通訊路徑，例如一匯流排，在外部儲存裝置及鍊接内之一個或多個區塊緩衝器之間傳輸程式資訊及識別資訊區塊。由於資料能依序一次處理一個區塊，一個足以儲存一個區塊大小資料之區塊缓衝器只是最低的使用需求。識別電路讀入識別資訊並確認之。若有需要，將程式資訊於一與識別電路相關連之解密電電路内解密。來自一相關儲存裝置之密碼鑰可用於此目的。若一盜取者改變鍊接内先前區塊之任何資料，與識別資訊比較之算出之散列資料會不正確，且比較之結果值會不合。該安全電路，例如一 ASIC或PC，會知道發生了霞改並可採取對策。有許多施行識別作業之方法。散列可加鑰，例如，與明碼（i η - t h e - c 1 e a r )之識別資料使用一密秘錄，或散列可不加’錄而對識別資料加密，或對更強化之安全，散列加鑰且對識別資料加密。不同鑰值可用於散列及解密。散列鑰可以是一密秘鑰，而識別資料可用一公鑰來加密。相同之鑰可對要識別之程式資訊用來辨識之識別資訊加密。此有著要處理之識別資訊與程式資訊形式相同之好處。然而，使

O:\55\55149.ptc 第24頁 4 4 5 4 QP 案號 87116410_年月日__ 五、發明說明（20) 用另一分開之鑰會增加另一安全層級。在另一替代之具體實施例中，使用區塊加密來達到私密性。當解密時，該區塊被辨識。所使用之辨識技術可以是一要求嚴格規定散列順序之散列，例如區塊# 1散列，接著以區塊# 1散列之輸出對區塊# 2散列，且如此接著下去。已知之如M D 5及S Η A演算法可用於此種嚴格規定散列。雖可使用該散列，此散列可引起由於其序列作業本性所致之延遲。可提供一對所有明碼區塊執行X 0 R運算之簡化散列功能。該散列值可被與識別資訊確認。事實上，該識別資訊可依區塊與程式資訊做X 0 R運算。此技術改進了程式資訊執行之延遲，其對即時作業系統極重要。在此，各資料區塊不能只如同所謂F I PS之電子碼薄内各自解碼，而在計算整個鍊接時亦得分別做X.0 R運算。此種技術，其稱為"簡單區塊鍊接"，強調減少執行之延遲。偵測非法作業碼或非法解譯碼指令可用為一種識別之形態。在接到一非法作業碼或指令時，該系統可決定要如何回應，例如，重設歸零、增加一計數、或其它動作。盜取者依靠一給定處理器之指令集來產生一非法作業碼。某些指令集已充分開發而有較少，而其它指令集則較精減而有較多未定義或非法作業碼。若一指令集，例如，有2 0 %未定義或非法作業碼，則表示一盜取者有8 Q %的機會隨機產生一合法作業碼。這並不是說該盜取者產生一特定作業碍而非一合法碼。但一個不是想要的隨機合译作業碼可導致一成功的盜取攻擊。例如，若其目的為要將原始作業碼全變為零（n u 1 I i f i c a t i ο η )，則就可能是這種情況。

0:\55\55149.ptc 第25頁 445402 _案號 87116410_年月日__ 五、發明說明（21) 對盜取者有著8 0%的優勢機會，這種簡單偵測非法作業碼之方法留下許多可改進的。由於隨著特定鍊接内之各後續區塊會被感染，一盜取者產生非法作業碼的機會亦增加，以密碼區塊鍊接之非法作業瑪彳貞測可做為一種更有效率之識別方式。例如，一鍊接内若有十六區塊之指令則若盜取者更動第一個鍊接區塊時其成功的機率為：（.8 )16 = 0 . 0 2 8。情況已改變了，現在盜取者約有9 7 %的失敗機會。針對此理由，密碼區塊鍊接為一更健全之加密方法--此經由偵測非法作業碼暗藏了識別作用。且由於其使得盜取者難以因為試出加密之程式資訊而增加其產生不要之有副作用之作業碼，密碼區塊鍊接· 為一更好之方法來隱藏任何單一區塊之改變。一個問題是外部儲存裝置不只儲存作業碼。只有作業碼能被中央處理單元之指令解碼電路確認。更良好之安全性需要直接之識別方式。識別可經由將識別資訊與明碼文字資料區塊之散列做 X 0 R運算以產生一後續用於與預存值相比較之確認值，或者可以只是將識別資訊與散列程式資訊相比較。該識別功能可視需要將要在明碼區通訊與加密識別資訊 X 0 R之程式資訊區塊做成散列分佈。為了避免盜取者使用一已知散列演算法來產生其自己之識別程式資訊，必須使用一密碼鑰。此可依兩種方式實施--對散列加鑰或對識別力σ錄，或都力σ錄。 . 簡單區塊鍊接，一種針對延遲之替代技術，程式資訊各區塊使用一單一區塊加密。因此，各區塊各別加密及解密

O:\55\55149.ptc 第26頁 4 4 5 4 02 案號 87116410_年月曰__ 五、發明說明（22) 以讓程序能並行發生。並且，整個區塊之鍊接、或群組被加上識別。一種散列之方法為將程式資訊區塊一起X 0 R並與識別資訊一起。此可一次執行完畢。對更良好的安全性可使用更複雜的散列，但這些方法可能引入一系列之相依性，其中一個區塊可能需要在另一區塊之前先行執行散列。簡單區塊鍊接，使用上述之加密及識別程序，如同使用密碼區塊鍊接般減少了識別位元之負擔，i可以避.免當使用平行解密電路時之密碼區塊鍊接之延遲。若只使用一單一區塊緩衝器，則該延遲大致與密碼區塊鍊接及簡單區塊鍊接一般，唯一的差別是一個區塊的解密輸出與下一個區塊的解密輸出（依簡單區塊鍊接）做 X 0 R輸出而不是輸入到下一解密區塊（依密碼區塊鍊接）。簡單區塊鍊接方式，使用明碼區塊之解密及識別，遭受到任何區塊可能重排脫序而仍然通過識別之問題。所以雖然解密及識別作業可並行完成，導出一延遲。加密，有著位址相依性，應與簡單區塊鍊接一起使用簡單 X 0 R散列功能。亦即，與鍊接内各區塊一起使用之鑰會和特定區塊位址功能之鑰不同。若使用DES加密，更改一區塊内之任何程式資訊來嘗試會導致解密輸出内大約一半的位元改變，導致識別確認不能通過。沒有鑰值，一可能會成為盜取者之人難以發現適當之識別資訊來改變之。在一嘗試減少程式資訊執行延遲之嘗試中，識別可以使用一鑰值散列或識別資訊加密方法來執行於密碼文字資料上。解密及識別可以同時作業，及加密後不加以識別。對

0: \55\55149.rtc 第27頁

_案號 87116410_年月日_ί±ί：_ 五、發明說明¢23) 於簡單區塊鍊接，有著位址相依解密不會執行於程式資訊上之問題，可能會使其易在送給解密器時脫序而有弱點。在外部儲存裝置及安全電路間通訊時，可在一鍊接内使用欄位隨機排列順序。工具，例如一資料匯流排或網路，提供來讓安全電路與程式資訊通訊。提供與安全電路相關之工具來重排鍊接之重排攔以回復第一個欄位次序内之攔位。一程式資訊之鍊接可重排入二個或多個攔位.，可以提供重排。亦即，該區塊可由安全電路在外部儲存裝置及區塊缓衝器間依隨機、非依序之非實際區塊執行順序來通訊。並且，可對於一個或多個區塊之位元組，或對整個鍊接重排。任何搁位可被重排。此種非依序傳輸可有效地阻礙一盜取者探查安全電路内之程式資訊架構、次序、及組織。依據一鍊接或多個鍊接、或在一個或多個程式資訊次序内相對於整個鍊接之位置1經由重排任何欄位，阻礙了一盜取者偵測到關於處理電路内程式資訊執行順序之資訊。隨著重排，可接著阻礙一盜取者輕易地得知正確的明碼文字或密碼文字程式資訊以讓某些密碼攻擊更難達成。最好是，加密該程式資訊以增加分析之困難度。 '此設備之另一替代具體實施例自儲存裝置傳輸程式資訊區塊到安全電路而大量地隨機重排一程式資訊次序之欄位。使用一新次序來自安全電路回傳攔位到儲存裝置’藉以改變儲存裝置内與一特定儲存位置相關之欄位。内部提供工具具給安全電路以儲存儲存裝置内新的"真實π程式資

0:\55\55149.ptc 第28頁 44S4〇2 _案號 87116410_年月日__ 五、發明說明（24) 訊次序。新的程式資訊次序攔位之基本次序接著被儲存於安全裝置内以使後來之傳輸到相同區塊，將會允許依安全電路内之新次序做出正禮的重排。工具，例如一資料匯流排或網路，提供來讓安全處理電路與程式資訊通訊。雖然當在使用上述重排次序技術來在儲存裝置及安全電路間通訊時可重排位元組，各程式資訊之位元組仍與一特定儲存位置相.關。例如，就算盜取也許因為重排而有困難探查到其事實上為第一個區塊之第一個位元組，一程式資訊序列之第一個鍊接之第一個區塊之第一個位元組總是位於一特定儲存位置。雖然如此，該盜取者可接著依—有系統及組織之方法來試出位於該特定儲存位置内之值（例如，位址）° · 改變儲存裝置内基本之儲存資料位置，防止一盜取者試出儲存於儲存裝置内特定位置之程式資訊。經由在每次使用後動態改變位於儲存裝置内之程式資訊，一嘗試位於儲存裝置内特定位置程式資訊之盜取者每次將不會碰到完全相同之程式資訊。因而使得攻擊變得困難。在本發明另一方面，資料次攔位、位元組、區塊、鍊接及程式資訊次序可以是固定而非隨機的。此次序對於存取之各位元組、區塊、鍊接及程式資訊次序可以不同。這是一種對於傳入之程式資訊之適當糊位上執行不同之排列。好處是，由於其不是隨機的，此種排列功能可以輊易地安裝於硬體上。在一特定的實施例中，安全電路使用程式資訊來產生一

O:\55\55i49.pu 第29頁 4454〇2 _案號 87116410_年月日_ί±£._ 五、發明說明（25) 密碼瑜。該程式資訊使用密碼區塊鍊接加密，且可選擇地識別及 /或重排。在另一具體實施例中，該程式資訊識別且可選擇地使用區塊鍊接加密及/或重排。該鑰可用於軟體内來解密或回復一資料傳輸，經由辨別指令，阻礙了一盜取者提供假程式資訊給回復資料傳輸之安全電路。在本發明另一方面，一安全電路使用程式資訊來產生一密碼鑰，該鑰可用於硬體内回復一資料傳輸。依安全電路之分割而定，回復可於内部或外部完成。可產生該鑰並送給一軟體模組來回復該資料傳輸。該軟體模組可位於安全電路内部或外部。在以上兩種情況下，安全電路，可包含一積體電路 (1C)、一識別電路、一中央處理單元、及一個或多個用於储存一個或多個程式資訊區塊之區塊緩衝器。該外部儲存裝置可以是一快閃記憶體、一可拭可程式唯讀記憶體（EPROM)、一電子式可拭可程式唯讀記憶體 (EEPR0M)、一電池備援式隨機存取記憶體（RAM)、RAM、或以上之組合。其亦可是一硬碟，或是C D - R 0 Μ或是任何形態之大量儲存裝置。該外部儲存裝置同時儲存識別資料（例如，檢查位元）以在安全電路接收到程式資訊時識別之。在某些實施例中，希望複製儲存裝置内容到一例如同步動態記憶體之快速儲存裝置内，以使安全電路能自蹿快速儲存裝置，例如動態記憶體，取得程式資訊，而不是自較慢之儲存裝置及其相關之延遲。例如，一網路電腦可在網路

O:\55\5M49.ptc 第30頁 '445402 _案號 8711M10_年月日_ί±ί-_ 五、發明說明（26) 上複製伺服器之程式資訊。該快速儲存裝置可以是區域性的，而該較慢之儲存裝置可以是遠方的，在網路電腦情況下，經由網路存取。要減少整體即時執行碼之延遲，第一個通訊路徑可有一充份之頻寬使得兩個或多個字串、一個或多個區塊、或一個或多個鍊接大量地同時傳送到區塊缓衝器。由於有著瓶頸問題，一程式資訊匯流排頻寬通常不會比指令來得寬。.中央處理單元只在特定速率執行。程式資訊須存在它處。然而，當其它處理--加密或識別--有著相關延遲時，此有助於減少整體之延遲。例如，在使用一個以上區塊緩衝器來儲存額外區塊時，例如每一區塊一個缓衝器時，安全電路基本上可同時讀取一個以上之程式資訊區塊。在安全電路内，該識別電路自一個或多個區塊缓衝器接收程式資訊及識別資訊以用來識別該程式實訊。在I C内之第二個通訊路徑内，提供來自識別電路之程式識別資訊給要執行之中央處理單元以藉此對散佈之資料解密。該程式資訊可包括許多指令字串，例如數行電腦碼，或相關資料序列，其將會被中央處理單元依序處理。可安排一快取於第二個通訊路徑内以在程式識別資訊被提供給中央處理單元之前暫時儲存之。該快取可至少儲存一個程式資訊字串，以基本上讓至少兩個程式資訊字串 (例如，該儲存字串及最後識別及解碼字串）同時揖供給中央處理單元。依此方式，程式資訊有效率地與中央處理單元通訊。快取的優點是中央處理單元可自快取捉得已識別

O:\55\55149.ptc 第31頁 4454〇2 _案號 87116410_年月日__ 五、發明說明（27) 過之程式資訊而不用使用牽涉到更多延遲之外部儲存裝置通訊工具，例如，匯流排或網路。當第一個鍊接及其後續第二個鍊接自外部儲存裝置傳輸到一個或多個區塊緩衝器時，識別電路辨別第一個及第二個密碼區塊鍊接以提供相對之識別之程式資訊。此外，該中央處理單元可在識別電路至少辨別一部份第二個鍊接之程式資訊時，至少處理一部份第一個鍊接之程式資訊。當需要解碼程式.資訊時，亦可以類似之重疊方式執行。一個本設備之.替代具體貫施例在通訊搁位沒被安全電路立即（例如現時或下一個）程式資訊序列處理時，在儲存裝置及安全電路間傳輸程式資訊欄位。此隱藏技術使用無用之假資料攔位，例如，從來不被安全電路於執行任何程式資訊時使用，或其目前不在安全電路及儲存裝置間處理之其它程式資訊序列之一部份。提供與安全電路相關之工具來消除特定區塊之假位元以回復第一個位元組序列内之位元組，及其餘區塊之後續位元組序列之位元組。在被安全電路接收到之後，假位元組在被消去前可被選擇地用於解密及/或識別上。此外，亦提供可依同樣方式消去之區塊，及鍊接。在此討論到之密碼區塊鍊接或簡單區塊鍊接皆可用於散列及加密以得到私密性。例如，程式資訊及識別資訊可載於二個或多個8位元組區塊内。由於其相對於要識別資料有較低負擔之識別資訊，區塊鍊接有其效率。識別資料與最後明碼資料（例如，程式資訊）區塊做X 0 R運算並視需要解密以產生一確認值。該值與一硬體已知值相比較以確認

O:\55\55149.ptc 第32頁 ^ 45 4〇2 _f"號 87116410 _年月日__ 五、發明說明（28) 該識別資料為正確。不同鍊接之該值可以不同，或者其對所有鍊接皆可為定值。同時對加密及散列使用密碼區塊為一種減少與安全功能相關硬體的方法。當所有需要之區塊依序執行時只需一個缓衝器。由於難以靠著改變另一個區塊來補償在一個區塊内所做出之改變，X 0 R功能比簡單區塊鍊接所做的更為完備。由於XOR在一解密步驟之前完成，其更難以操作一區塊來消除任何.做出之改變。然而，其要求串列性之處理。圖示簡單說明 V圖1為一與本發明相關之密碼鑰產生器/混雜回復接收器設備之概圖s 〆圖2為一與本發明相關之密碼區塊鍊接加密方案之略示 ° v/圖3為一與本發明相關之密碼區塊鍊接解密方案之略示。。圖4為一與本發明相關之簡單區塊鍊接加密方案之略示。 7圖5為一與本發明相關之簡單區塊鍊接解密方案之略示0 v''圖6為一與本發明相關之另一種密碼鑰產生器/混雜回復接收器設備之概圖。圖式元件符號說明 100 回復接收器 105 安全電路 . 110 外部儲存裝置 112 區塊重排電路多工器 1 1 3 通訊路徑 1 15 匯流排

O:\55\55149.ptc 第33頁五、發明說明（29) 445402 _!號87116410_年月曰_修正 120 加密 /解密電路 125 識別電路 130 區塊緩衝器 132 區塊缓衝哭 134 區塊缓衝器 136 檢查位元塊緩衝器 140 快取 1 50 啟始向量，解密鑰及識別鑰之儲存裝置 160 位址產生器 162 警告電路 164 位址混雜器 165 通訊路徑 166 隨機數產生器 170 中央處理 OCI 早元 172 指令解碼器 174 非法作業石馬偵測器 180 暫存器 200 加密電路 203 識別電路 204 散列功能 206 散列功能 208 散列功能 2 14 加法器 -.2 18 加密功能 222 加密功能 224 加密功能 226 加法器 228 加密功能 232 加密功能 234 加密功能 236 加法器 242 加密功能 244 加密功能 246 加密功能 248 加法器 252 加密功能 254 加密功能 256 加密功能 258 加法器 300 解密電路 303 識別電路 304 散列功能 306 散列功能 308 散列功能 3 10 力σ 法器 3 20 加法器 322 解密功能 324 解密功能

O:\55\55149.ptc 第34頁 4 2 4 巧號 87116410_± 、發明說明（30) 修正 326 解密功能 330 力σ 法器 332 解密功能 334 解密功能 336 解密功能 340 加法器 342 解密功能 344 解密功能 346 解密功能 350 加法器 352 解密功能 354 解密功能 356 解密功能 400 加密電路 402 加密功能 403 識別電路 404 加密功能 406 加密功能 408 加密功能 410 加密功能 412 加法器 500 解密電路 502 解密功能 503 識別電路 504 解密功能 .5 0 6 解密功能 508 解密功能 510 解密功能 512 加法器 5 14 加法器 600 接收器 620 加密 /解密雷 625 識別電路 630 區塊緩衝器 632 區塊緩衝器 6 34 區塊衝器縮寫名詞中、英對照1

DVD DIGITAL VERSITLE DISC 影音光碟片

PCMCIA PERSONAL COMPUTER MEMORY CARD

INTERFACE ADAPTER

個人電腦記憶體介_面卡 ASIC APPLICATION-SPECIFIC IC

O:\55\55149.ptc 第35頁 4454¾¾ 87116410_年月日_«；_ 五、發明說明（3丨）

特定應用積體電路 R〇M READ ONLY MEMORY 唯讀記憶體

RAM RANDOM ACCESS MEMORY 隨機存取記憶體

VLSI VERY LARGE SCALE IC 超大型積體電路

EPROM ERASABBLE PROGRAMMABLE READ ONLY

MEMORY 可拭可程式唯讀記憶體 EEPROM electrically erasable programmable read

ONLY MEMORY

電子式可栻可程式-唯讀記憶體 CD-ROM COMPACT DISC READ ONLY MEMORY 唯讀記憶體光碟

DES DATA ENCRYPTION STANDARD 資料加密標準

RISC REDUCED INSTRUCTION SET COMPUTING 精簡指令集計算

CISC COMPLEX INSTRUCTION SET COMPUTING 複雜指令集計算

PIN PERSONAL INDENTIFICATΪON NUMBER 個人識別碼 dffh double feed-forward hash 雙重前向加置散列

〇M55\55l49.ptL 第36頁 4 45 4 $7116410_年月日_修正五、發明說明（32) SHA SECURE HASHING ALGORITHM MD 安全散列演算法 MESSAGE DIGEST CSA 訊息摘要 COMMON SCRAMBLING ALGORITHM RSA 一般擾頻演算法 RAS SECURITY INC. FIPS RSA安全公司 FEDERAL INFORMATION PROCESSING STANDARD 發明細述聯邦訊息處理標準展示一種安全處理器裝備。該較佳具體實施例強調安全性。加β、加識別、及順序排列程式資訊區塊和假安全地在一外部儲存裝置及一密碼文字區塊鍊接内^加密Μ t c 間通訊。處理該程式資訊允許該AS I C導出一對你料罄带诏之影音數位封包解密之鑰。 :才費％為一與本發明相關之密碼鑰產生器/混雜回復接收器汉備之概圖》該回復接收器，通常示為丨〇〇，勺 — 全電路105，例如，ASIC或積體電路（Ic)，及女置，例如外部儲存裝置11〇 ,其在安全電路储存裝外部儲存裝置110不内置於安全電路封萝内之外由於裝置u 〇係外接於安全電路=ΛΓ如外部λ外部儲存及安全電路1 〇 5可以用分開封裝之方式提：存裝置1 1 0 板上。％抆供於一解碼器主

、45402 ^ 454no 案號 87116410_年月日__ 五、發明說明C33) 在此兩狀況之任一情況下，外部儲存裝置1 1 0可經由移去或置放記憶體I C來增加或減少，而不會干涉到或修改到安全電路1 0 5。此外，例如增補碼之新程式資訊可下載到外部儲存裝置1丨0，例如經由一電話線、衛星連線、或有線電視連線等。另一種方式，程式資訊可設於本區之回復接收器内，例如經由一智慧卡、或是經由一插槽或烊到同一主板上。或者，外部儲存裝置i 1 0，本身可以位於智慧卡内，此種狀況可以相對低價提供一新智慧卡來昇級一解碼器。優點是，由於允許存在於外部储存裝置1 10内之程式資訊（例如，軟體或軔體）能容易地昇級或修改以提供新功能或修改軟體問題*此種安排提供了極大利益。例如，外部儲存裝置1 1 0能容易地置換或修改以提供商家或個人定做之新功能，或者依攄例如人口統計描述、地理位置、時間區或其類似等因素，提供特定功能給群組。相反地，若外部儲存裝置1 1 0位於R 0 Μ内且在安全電路 1 0 5内部，該安全電路必須全部一置換，因而導致極高的費用與延遲。該安全電路可使用先進VLSI程序來製造，其使用RAM及ROM技術來得到高處理率及高位元率，其不僅在安全電路及外部儲存裝置間傳輸程式資訊，亦提供内部快取之執行及影音數位封包之回復。由R A Μ及R ◦ Μ技術製出之安全電路可比用其它技術製出之安全電路有更高的封包資料解密位元速率。該外部儲存裝置因而提供了安全電路更高的彈性。外部儲存裝置1 1 0可以是一快~閃記憶體、一可拭可程式唯讀記憶體（EPROM)、一電子式可拭PROM(EEPROM)、或一

O:\55\55149_ptc 第38頁 —5石.4.¾¾ 案號S7116410__年月日修正_ 五、發明說a月（34) 如隨機存取記憶體（RAM )之電池備援式揮發性記憶體。另一種選擇，可使用傳統唯讀記憶體（R 〇 M )。 E P R Ο Μ允許記憶體内之程式可曝露於紫外線下而被掉換。新程式碼可於E P R Ο Μ内稱為重新燒錄之程序中輕易地存入。一E E P R Ο Μ可使用一大電流重設内部記憶體單元來更動之。經由使用E E P R Ο Μ或電池備援式R A Μ，外部儲存裝置亦可用於儲存短期及長期資料。記憶體空間亦可分割以提供不同實體裝.置以讓不同記憶體種類可一起使用。當電源啟動時’非揮發性記憶體可被複製到更快的如同步動態記憶體之中。這可減低外部儲存裝置之讀/寫作業之延^。外部儲存裝置1 1 0可以使用密碼區塊鍊接，或使用簡單區塊鍊接來加密，可以加識別及，選擇性加密。程式資訊可以被安全電路1 0 5用來對一混-雜資料傳輸解碼。程式資訊可以包括數行（例如，字串）會被一安全電路1 〇 5内之中央處理單元（CPU)170執行之程式碼。各行代表一程式之可執行指令或資料。該程式碍可符合一精簡指令集電腦 (R I S C )架構，其中各行程式碼可於一單一晶片時脈循環内執行。該程式資訊使用密碼區塊鍊接處理。該區塊加密方法為三重DES。有三输可供使用。一錄與高順序位址線一起使用。另一鑰與低順序位址線一起使用。此提供了位址相關之解密。第三翰可為單元相關（unit-dependent)。散列演算法可使用雙前饋散列（D F F Η )，例如，却美國專利應用序號08/577, 922所述，+請日12月22日1995年。該散列加鑰。該鑰可以是位址之X 0 R及單元鑰以提供位址及

O:\55\55149.ptc 第39頁 ^ '445 402 _案號87116410_年月日__ 五、發明說明（35) 單元相依給識別作業。可以使用不同之散列演算法而將其錄附加在一起而不是做XOR運算。在此較佳具體實施例中，產生之作業碼由一指令解碼器 1 7 2處理。非法作業碼可被指令解碼器1 7 2内之非法作業碼偵測器1 7 4標記，做出適當之行動。例如，_央處理單元 1 7 0可送出一訊號到一警告電路1 6 2，其接著送一終止（消去）訊號給啟始向量、解密鑰、及識別鑰之儲存裝置150。有著密碼區塊鍊接，任何對程式資訊之嘗試，將導致所有後續區塊解出不同碼。並且，可混雜外部儲存裝置位址行以使後續程式資訊區塊非依序儲存。亦即，各包括8位元之位元組，例如，可儲存於儲存體之非依序位址位置。所以，外部儲存裝置 1 1 0被稱為一混雜記憶體。在此.亦可同樣使用一鑰。一鑰亦可依一群組或單元而不同。外部儲存裝置1 1 0亦經由一匯流排1 1 5儲存用於安全通訊之程式資訊到安全電路1 0 5之區塊緩衝器1 3 0、1 3 2及1 3 4。該識別資訊，亦稱為檢查位元，傳輸到安全電路1 0 5之檢查位元區塊缓衝器1 3 6。識別資訊為附到一訊息上，例如程式資訊之鍊接上，之資料，以允許一接收器來確認該訊息應被接受為識別。該識別資訊為一訊息（例如，鍊接）内容之一種功能，例如當使用一散列值或一密碼檢驗和（c h e c k s u m )時。一散列值為一定長度值，其經由映射一任何長度公用功能資料鍊而獲得。在此較佳具體實施例中，此散列加鑰，且識別資訊用另一不同來加密。

O:\55\55149.ptc 第40頁 445402 案號 87116410 年月曰五、發明說明（36)

外部儲f裝：1J0經由一匯流排115傳輸到一個或多個N 數目之區=雜缓-為，包括，例如，區塊緩衝器1 3 0、1 3 2及 i 34。雖然顯不了許多區塊緩衝器，至少一個是必須的。提供加密/解密電路120來加密或解密區塊。該加密電路亦可提供編譯’例如，當明瑪文解 ΐ衝Ϊ以Κί㈣’且其要將明碼文字資料加密時。該編澤-貝枓可實際上經由緩衝器傳送到外部儲存裝置。. （一識別電路1 25使用，例如上述DFFH功能，散列程訊之明碼文字區塊。該識別可在區塊解密時.同時依/ 式執行》當區塊1解密時，其可加以散列。當區塊2二方時，其可依第一個區塊散列之輪出來加以散列，如:= 去。將資料散列加鑰使得只有得知一密秘鑰或私密鈴I 產生正確散列。另一種替代方式，如上所述，解谭^ =此識別資訊上，例如，檢查位元，其在與識別資料（例如生於程式資訊）X0R時’導出一可被硬體確認之已知值。該° ’ 電路125及加密/解密電路120可相互通訊，且可分°此^ 電路。通編譯區塊鍊接可用於區塊鍊接，其自外部儲存裝置到安全電路1 05。編譯區塊鍊接討論於stal 1 ings，輸 Network and Internetwork Security, IEEE Press

Englewood Cliffs, New Jersey， u.S.A. ， PP. 59~61 1 9 9 5，併列於此供參考。編譯區塊鍊接可同樣用於加密及散列’但於一較佳具體實施例+，其只用於更健全之加密。使用了一分開之散列功能。與編譯區塊鍊接—起之區

O:\55\55149.pt 第41頁年月日修正 4 45 4 02^¾ 87H6410 五、發明說明（37) 塊加密演算法為三重D E S。鍊接長度可在1 6到3 2個區塊間變動。鍊接長度依據密鑰及位址參數而以鍊為基礎（chain basis)在一鍊上變動。區塊在記憶體及安全電路間通訊之序列順序為隨機決定。一與位址產生器相關之隨機數目產生器存取記憶體内適當之區塊儲存位置。識別資訊以一個1 6到3 2個區塊中之一個區塊方式通訊。其可以任何次.序通訊。當解密時，其與散列值相比較。例如，N = 1 6個區塊可用於編譯區塊鍊接，各區塊有8位元組之資料。以編譯區塊鍊接，各加密資料區塊係與目前區塊之明碼文字資料相關，所有先前之明碼文字資料亦相同。由於相同明碼文字輸入會依據其它明碼文字區塊產生不同加密資料，區塊鍊接加強了安全性。此外，大大地減低了配置給識別資訊之資料負擔。若1 6個區塊中之一專屬於識別資訊，則此只代表1 / 1 6 =. 0 6 2 5或6 . 2 5%之程式資訊。若N = 3 2，則此數字是1 / 3 2 =, 0 3 1 2 5或3 . 1 3 % 。在此較佳具體實施例中，鍊接之大小可在1 6到3 2間變動，所以平均起來，該數字會是1 / 2 4 =. 0 4 1 7或4 . 1 7 % 。亦即，只有 4 . 1 7% 的程式資訊為識別資訊。此可變動，例如，若是提供兩個區塊而不是一個區塊之識別資訊β有著許多的可能。但是，鍊接大大地降低了識別所需之儲存空間。鍊接同時允許使用較小之記憶體元件，其大大地減少了系統費用，且/或由於減少了自儲存裝置存取之識別資訊量而增加了系統流通量。編譯區塊鍊接亦與以下之圖2與

O:\55\55149.ptc 第42頁 4454〇2 案號 87116410 年月日修正五、發明說明（38) 圖3 —起討論。一個編譯區塊鍊接之缺點為當一新程式碼區段未被解密時之指令執行延遲，及識別，超前時間及，也許，存在快取内，需要存取。由於直到前一區塊已被解密前不能解密目前之區塊，該區塊需依序解密。更複雜之散列功能，例如訊息消化（M D ) 5、安全散列演算法（SHA) '甚至編譯區塊鍊接均可使用。由於其基於DES 而選用了 DF F Η .。可能使用同一個加密之硬體來做識別工作。可以控制給予D E S引擎之輸入來對硬體做最大之利用《雖然想要有單向功能但它們卻不是強迫性的，此是由於，若識別演算法使用一密秘鑰，則因為任一知道該密秘鑰者可算出適當之識別資訊以得到相關之任何程式資訊所以一單向功能不會比一如編譯區塊鍊接之反向演算法好多少。首先，由於知道安全電路之私密解密鑰並不能讓一盜取者知道如何對散列解密，使用公鑰編譯法之識別較好。解密公鑰必須先知道。對任一方案，匯流排1 1 5大小可為一次允許至少載送二行指令或群組程式資訊之頻寬。另一種選擇方案，匯流排 1 1 5大小可為載送一整個區塊（例如，8位元組）之鍊接，甚或兩個或多個區塊。該匯流排1 1 5大小亦可為一次載送一個或多個整個鍊接。一序列之區塊或者加入識別並，視需要，將指令加密，例如，區塊、Β2、. 、ΒΝ_[，或力σ密編譯區塊’奠視需要加入識別。密碼文字區塊與編譯區塊鍊接一起使用，但可視需要與簡單區塊鍊接一起使用。該識別資訊包括在檢

O:\55\55l49.ptc 第43頁 445402 _ 案號87116410_年月日__ 五、發明說明（39) 查位元區塊内之程式資訊通訊内，例如，區塊BN。使用編譯區塊鍊接與簡單區塊鍊接省掉了負擔資料而能維持所要的安全層級可見於以下。平均破解識別所需嘗試之數目為2n_l，其中識別資料長度為η個位元。為了提供足夠之安全層級，一識別應該反映到用以將指令解密之部份單鑰或多鑰之長度上。否則，盜取者會功擊系統最弱之部份，此可能是識別資訊本身。亦即，不用嘗試去發現程式資訊用以加密之鑰，一盜取者可嘗試識別資訊並使得中央處理單元處理綜合程式資訊。若使用一至少7位元組之D E S 加密，則最好應使用7或8位元組做為識別資訊。例如，以 7位元組長度（例如，η = 5 6位元長度）之識別資訊來說，平均需要嘗試255次，此與破解DES鑰有著一樣的困難度。當一 8位元組之識別資訊區塊·附加到一 8位元組訊息區塊時，識別資訊之負擔（ο ν e r h e a d )為5 0 % (例如， 8 / ( 8 + 8 ))。然而，當依據本發明使用區塊鍊接，且附加一 7位元組區塊到一 1 6至3 2個8 -位元組區塊時，例如，如我們上述所討論的負擔只約4 . 1 7 %，有著良好之安全性。因此，區塊鍊接提供了大量減少識別資訊之負擔且維持了所要之安全層級。在本發明尚有另一方面，提供了自外部儲存裝置到安全電_路1 0 5通訊之鍊接之重組。除了混雜儲存裝置内之區塊外尚使用該重組，如以下所討論，但其可能單獨使用重組本身。經由隨機重組鍊接内之區塊，阻止了一盜年者偵測到處理電路内程式資訊執行順Λ之資訊。如同依位元組及鍊接層級重組一般，區塊重排可隨機完成以使得每次於不

O:\55\55i49.ptc 第44頁 4^5402 案號 87Π6410 年月日修正五、發明說明（40) 同序列内重覆執行同一程式碼時，會自外部儲存裝置取得資料。例如，以位元組層級重組1若每區塊有8個位元組，會有8 != 4 0，3 2 0個不同位元組可以排列之順序。同樣地，以區塊重排來說，若每鍊接有1 6個區塊，會有1 6 ! =2 . 0 9 X 1 013個不同區塊可以排列之順序。對於鍊接重組，若每一程式資訊順序有4個鍊接，則可以有4 ! = 2 4個不同鍊接排列之順序。並且，此三者可以一起使用。全部可能之排列數目則會是 4 0, 3 2 0 x 2. 0 9xl 013 x2 4 = 2. 0 2 xl019。瞭解到任何攔位皆可做為重組之基本是重要的，且該位元组、區塊、及鍊接為任意位元單位。重組'之攔位可以是小量的。同時，位元組不必是8個位元，區塊亦不必是8個位元組，等等。將此僅記於心，重組作業可允許位元組在兩個或多個區塊上重组，區塊可在兩個或多個鍊接上，及鍊接可在兩個或多個程式資訊順序上重組。在此，我們得到一不同結果。例如，以位元組層級重組，若每一區塊有8位元組橫越兩區塊重排，則位元組有1 6 != 2 . 0 9 X 1 013個不同位元組可以排列之順序。若編譯區塊鍊接與重組一起使用，其中要求區塊之序列處理，需要多個區塊缓衝器來於解密前儲存所有相關欄位。此外，如與圖6 —起之討論，如重組發生橫跨於二個或以上個鍊接上，則會需要有二個或以上個鍊接大小之區塊緩衝器。跨越程式資訊序列之重組會需要更多冬區塊緩衝器。由於當内部重組時最後一個讀取之區塊可能是鍊接序列之第一個區塊，解密可能被延遲到與最後區塊序列相

O:\55\55149.ptc 第45頁 445 402 _案號 87116410_年月日__ 五、發明說明（41) 關之欄位讀取之後。與密碼區塊鍊接一起，加強了安全性。然而，如同在圖 3内與X 0 R散列功能一起描述之簡單區塊鍊接，避免了延遲問題且可與鍊接、區塊、位元組、或任何欄位重組一起使用。不論是鍊接、區塊、位元组、或任何欄位順序，所有區塊内之位元組可用以執行識別。此外，當需要解密時，各區塊各自獨之解密。提供給外部儲存裝置之位址資料可隨機選擇欄位、位元組、區塊、或鍊接來傳輸給安全電路1 0 5。一區塊重排電路多工器（multiplexer)112可提供來與匯流排115通訊以在需要時對加密/解密電路1 2 0及識別電路1 2 5重组做反向操作以執行其功能。區塊重排電路多工器1 1 2，位址產生器1 6 0，及位址混雜器1 6 4可相互通訊，及在有需要時與中央處理單元1 7 0通訊，以調整重整步驟。該位址產生器1 6 0 可對一隨機數目產生器1 6 6做出反應。該隨機數目產生器 1 6 6可提供隨機或虛擬隨機之順序排列給一個或多鍊接攔位，其不必符合任何内置於硬體内之演算法。鍊接、區塊、位元組、或任何攔位層級順序混雜通常實際上可運用到任何方案上，其中資料區塊自一記憶體傳輸到一安全電路以供處理。如上所述，由於所有位元組必須在識別及解密可以開始前先組合，混雜各區塊内之位元組或子欄位順序不會影響到解密延遲。然而，重整會讓一盜取者分不清那一密碼文字對應那些指令或其它資料區塊。同時其亦讓一盜取者分不清儲存裝置内程式資訊之架構、次序、及組織。

O:\55\55149.ptc 第46頁 45 4 0¾號 87116410_年月日__ 五、發明說明（42) 在此較佳具體實施例中，安全電路1 0 5讀入一整個8位元組區塊，第一個位元組相對於另一位元組之讀入次序會依不同區塊而改變，且可在每次存取儲存裝置時隨機改變。但當在安全電路内重排時，一必須解密之區塊只有一個適當之次序。對於編譯區塊鍊接，由於其有著要各別被重組之位元組，其有不需一個以上.區塊缓衝器之優點，但其將隱藏（〇 b ί u s c a t i ο η )縮到一更短之期間。外部儲存裝置可以在載入各別位元組到區塊缓衝器之前重排或排序。本發明另一方面，鍊接區塊依一新型式回寫入儲存裝置内。各儲存裝置之隨機讀取會尾隨著一相對應依不同隨機順序之資料回寫。與各鍊接相結合的為一儲存目前基礎鍊接順序之記憶體裝置。重排可以是隨機的。假資枓亦可以在外部儲存裝置11 0及安全電路1 0 5間傳輸。假資料可以是由外部儲存裝置1 1 0儲存之無用資料。此為從未被安全電路處理過之資料，但其可視需要被用為過濾器，且經由安全電路視需要解密及識別。要產生無用資料很簡單。只要立即在無用資料前執行一支路或跳躍作業。只要沒有對於該無用資料位置執行呼叫、分支、或跳躍，則該無用資料永遠不會被執行。該假資料可以是其它可能會在不同狀態下在稍後會被存取之鍊接及指令序列之實際程式資訊。和無用資料一樣，此資料可視需要被用為過濾器，且可被解密及視需要與其它程式資訊一起識別。但此資料不會被安全電路處理。此多餘資料困惑了嘗試分析識別程式資訊之盜取者。與假資料通訊之最好的方式之一是經由不同長度鍊接。

1

O:\55\55149.rrc 第47頁 4 45 402 案號 87Π6410 年月修正五、發明說明（43) 當假區塊數目有了區塊重排此較佳具體實料。可以加密外區塊被存於儲加密最好是包可設置於記憶可被用來除去明確地說，碼解譯能瞞住取者。可以防此可硬體存裝擊目壞，若用資混以提機，於恰適當別字以防止一盜取 —起之工具防置防止一盜取者確標。經由破知一盜取者可專位址混雜料重排，雜可利用供位址資可用於改當時機多之位元組串、位元那一改變時，實際通訊區塊之數目可維持不變。，一盜取者將難以決定那一區塊是假的。在施例中之假區塊會是實際上從不被執行之資部儲存裝置1 1 0而使得程式資訊及識別資訊存裝置内之非依序之位址位置。儲存裝置之括高次序位址位元以使得任何程式資訊區塊體空間内之任何位置上。代換表（S - t a b 1 e s ) 規律性並於位址加密内加上非線性特性。將識別區塊鍊接外接儲存裝置加密以使得密 —於通訊路徑113上查看存取儲存裝置之盜止一盜取者查知執行之專屬演算法。加密因者探查儲存裝置之内容，並經由其它與止有系統地攻擊安全電路1 0 5。加密儲知那一加密程式資訊為最適當之攻程式資訊可讓系統之安全最易被破注於破壞該程式資訊之處理。及資料加密及識別被單獨使用，亦即，未使一最低實施需求只須要一個區塊缓衝器。一與安全電路105相關之位址產生器來達成訊給外部儲存裝置。一數目，其可能為隨變程式資訊通訊之順序°該順序資訊可用以工傳輸適當之欄位、位元組或區塊緩衝器到或區塊上。來自於外部儲存裝置之次攔位各组或資料區塊接著依位址資訊所要之順序傳

O:\55\55149.tuc 第48頁 44S402 _案號87116410_年月日_iM,_ 五、發明說明（44) 輸到區塊緩衝器。該位址資訊提供給識別及解密電路以允許這些電路來回復資料以據此來工作。不同之區塊加密演算法，例如三重D E S，可被使用。並且，混雜演算法可使用如同D E S之代換盒（S - b ο X )表格但有著較少之次數（fewer rounds)。可依不同應用選擇不同之循環次數，例如安全需求較低之應用使用較少次數，而一安全需求較高之應用可能使用該DES全部之1 6次呼叫。減少次數即會減.少解密作業之延遲。位址相關之解密及程式資訊識別可防止一盜取者於儲存裝置内適當地移動加密及識別區塊鍊接，來讓解碼器不依順序處理程式資訊。此種不依順序之處理會導致回復接收器不當地給予存取權限及回復一資料傳輸。若是可以，用於加密和解密之鑰及/或識別資料都應為位址相關混雜且與單元鑰相關。該單元鑰對每一解碼器為一唯一之鑰且可能依據，例如，製造當時所提供之解碼次序數字而定。所以，希望該鑰能依各別單元而定’或依各別單元群組而定。否則，一盜取者可能自一個單元之外部儲存裝置内讀取混雜鑰資料，並將該混雜鑰置入另一單元之外部儲存裝置内。這可能是一盜取者用以複製單元間服務之識別資料之一種方法，且必需加以預防。位址相關混雜及單元鑰相關同時防止將一用於一個解碼器内已知之識別及/或混雜程式資訊之鑰使用於另一解碼器内。例如，不使用單元相關，例如此密秘錄若經；由V L S I 探得，則其它解碼器可正確地將其用於識別並將程式資訊解密。換言之，若一鑰或多鑰被用於一個以上之單元’一

O:\55\55149.ptc 第49頁 4454〇i號 87116410 年月日修正五、發明說明（45) 盜取者可用自一個單元獲得之鑰或多鑰來對其它單元加密或是加密並識別，或是識別程式資訊。為了達到單元相關混雜，一使用可選擇性晶片（ο η - c h i p )編碼電路之下載程序可在單元產生時用以載入外部快閃、EPROM、電池備援式RAM、或大量儲存裝置。可以使用讓安全電路與儲存裝置間具有雙向讀寫能力之同一編碼電路。另一種方式為在單元產生時使用已知之單元密秘鑰或私密鑰來讓配置系統（configuration system)載入這些外部儲存裝置。圖2為一依據本發明之密碼區塊鍊接加密方案概圖。明碼文字程式資訊區塊轉換成一鍊接包含加密程式資訊區塊，其包含識別資訊。在所示之例中，各加密程式資訊區塊依據當時之明碼文字程式資訊區塊及一先前區塊之明碼文字程式資訊而定。顯示一識別電路2 0 3及一加密電路2 0 0。特別是，識別電路203包括散列功能204、206及208及一加法器214。基本上，散列功能2 0 4、2 0 6及2 0 8可使用先前討論之DF F Η功能或任何散列功能。於散列功能2 0 4、2 0 6及2 0 8，將一鑰連續加以散列以畏供加法器2 1 4 —散列值。加法器2 1 4同時接收一零值或其它硬體已知值來提供一輸出給加密電路 200，其可包括一由加密功能218 '222及224代表之三重 D E S加密功能。加密功能2 1 8接收一密秘鑰，其為低順序位址位元及一 DkR鑰經過X0R運算產/生，而加密功能2 2 2接收一高增序位址位元及一 Dk5鑰經運算產生之密秘鑰，而加密功能224 接收一單元鑰及一經過X0R運算產生之密秘鑰。一加 \ι^Ζ-ν：Λ 職響

O:\55\55i49.rtc 第50頁 ί ^445402 '_案號87116410 年月日條正_ 五、發明說明（46) 法器2 2 6接收一來自加密功能2 2 4之輸出及明碼文字區Anm 並提供出密碼文字區塊Bn。加法器2 2 6基本上將明碼文字資料作散列分佈。明碼文字區塊Ai、_ . . 、ANq，可包括用以回復一資料傳輪之程式資訊’並經由各別之三重密鑰功能接收，且亦提供給後續密碼文字區塊做X〇r運算之用。例如，Αι由加密功能228 '232及234處理，其各自對如圖所示之鑰反應。一加法器2 3 6接收來自加密功能2 3 4之輸出及啟始向量（I V ) 以提供出密碼文字區塊&。 A?由加密功能2 4 2、2 4 4及2 4 6處理’其各自對如圖所示之鑰反應。一加法器2 4 8接收一來自加密功能2 4 6之輸出及明碼文字區A[以提供出密碼文字區塊β2。所以，B2是八1及八2 之共同功能。同樣地，ΑΝ_〗由加·密功能252、254及256處理，其各自對如圖所示之鑰反應。一加法器2 5 8接收一來自加密功能2 5 6之輸出及明碼文字區ΑΝ_2以提供出密碼文字區塊。該I V可以是零值’或是一位址資料之功能或是一提供給區塊重排電路多工器112之單元鍵或是其它隨機功能。此例假設一 8個位元組大小之區塊。此外，雖然例示之三重 DES對各DES作業使用了三個不同之鑰，可以使用較少或較多之鑰。經由分開各循環以使用不同之錄而非單一錄，可在一 DES作業中引入較多之鑰。可使用額外之錄於加密功能中，且可執行額外及/或選擇性加密步驟。雖然此並非是一定之需求，各密瑪文字區塊加密功能最好是使用相同之加密演算法。

O:\55\55149.ptc 第51頁 445402 案號 87116410 年月曰修正五、發明說明（47) 這些密碼文字區塊，B,到，可提供給進一步之加密功能，例如圖1之區塊重排電路多工器1 1 2，其依據一位址資料訊號對此N區塊執行全區塊混雜。例如，有N = 8個區塊，這些區塊依以下順序存於外部儲存裝置11 0内：Bt、 B3、B2、B5、B4、Bfi、B8、B7。由於其並非依連續位址存於該儲存裝置内，這些區塊被稱為依隨機或非依序方式儲存。依以上所討.論之暫時重排方案，區塊基本上可依任何次序傳送給區塊缓衝器，例如，B5、B3、B2、B6、B4、B7、 B8、，此與提供給區塊重排多工器電路1 1 2及儲存次序皆不相同。，識別及加密功能及相關元件不必與外部儲存裝置1 1 0位於同一區域。亦即，加密電路2.0 0可位於一有線電視系統起頭端，或一衛星連接起點，而該儲存裝置為位於一消費者家裡之回復接收器之一部份。識別及/或加密程式資訊可經由任何傳統式通道提供給外部儲存裝置1 1 0，例如，經由一電話、衛星、電纜電視連接、或電腦網路〇此識別及/或加密程式資訊亦可經由一智慧卡安裝於本地區域，或者外部儲存裝置11 0本身可以在安裝前就將加密程式資訊載入並在回復接收器内啟動之。再次參考圖1之回復接收器1 0 0，位址混雜器1 6 4使用之位址資料可存於安全電路1 0 5之位址產生器1 6 0内。該位址資料經由一位址產生器1 6 0提供予外部儲存裝置11 0以使加密指令混雜區塊可以依一想要之順序讀出（例如，Β,、 Β,、. . · 、ΒΝ)。特別是，組成一鍊接之區塊可不依序自外

O:\55\55149.ptc 第52頁 445402 _案號 87116410_年月日__ 五、發明說明（48) 部儲存裝置1 1 0讀出以經由線1 1 3依非混雜次序提供區塊。可依其需要，可將這些區塊自外部儲存裝置1 1 0傳送到安全電路1 0 5，依混雜或隨機時序並使用區塊重排電路多工器1 1 2於安全電路1 0 5上回復。位址資料亦可被外部儲存裝置1 1 0使用來依混雜方式（如非依序順序）傳送不同區塊鍊接。位址資料及連續密碼區塊鍊接之密碼文字區塊Bt到B、.被提供給一加密./解密電路120及安全電路105之識別電路 1 2 5。該加密/解密電路1 2 0使用位址資料來回復所要之密碼區塊鍊接次序。重排亦可發生於區塊重排電路多工器 112。該加密/解密電路120亦自一安全電路105之啟始向量，解密鑰以及識別鑰之儲存裝置1 5 0接收密秘解密鑰，並執行一與密碼文字區塊演算反向之解密演算法。該解密程序會在以下立即討論且亦與圖3連接。使用區塊鍊接方案，各鍵接之區塊h到βΝ必需依序解密。亦即，Β,為第一個解密，接著將結果用於解密Β2，並繼續下去。一旦區塊I到：^,都解密之後，識別區塊，ΒΝ，可被解密，且識別資訊（例如，檢驗和或散列）可由識別電路1 2 5算出並用於識別該鍊接。正確之識別資訊可預先存於識別電路1 2 5内並與算出之識別資訊相比較以提供必需之確認。最後，得到數行明碼文字（例如，解密）程式資訊並提供給快取1 4 0。為了在外部儲存裝置1 1 0及安全電路1 0 5間安全埠訊，自安全電路傳出之程式資訊亦需加以識別及/或加密。所以，為了更動外部儲存裝置11 0内之位元組或字串資料，

0:\55\55149.ptc 第53頁 χ ；4 45 4 02 , , _mt 87116410 _年月日__ 五、發明說明（49) 整個區塊及區塊鍊接必須讀入安全電路，做出更動*接著可計算出適當的識別資訊。在算出識別資訊後，新加密之區塊資訊及更動之識別資訊被寫出，例如，使用簡單區塊鍊接。該程式資訊可依與其被取出之次序不同之次序回寫到儲存裝置。除非其於儲存裝置内之位置改變不須寫出未更動之區塊。使用密碼區塊鍊接，改變一區塊資料可改變後續鍊接内之區塊。這些受到影響之區塊同樣亦需被寫出。有時候安全電路需要以明碼方式與外界通訊，例如，印表機、錯誤訊息、顯示作用、及其它類似者°因此，力口密/解密電路120及/或識別電路125應有一關掉模式，可-用來有條件地繞過及傳輸程式資訊。在該種模式内，由於不會有加密或識別之要求，程式資訊可能不會依區塊或鍊接方式通訊。該種模式亦可用於系統除錯及測試。不同鍊接長度可用於自儲存裝置傳輸不同種類程式資訊。需求較少延遲之程式資訊可有較小鍊接長度。可容忍較多延遲之程式資訊可有較長鍊接長度’因此省下相關識別資訊之儲存空間。所以，各鍊接長度可依相對應鍊接程式資訊之處理延遲而定。例如，鍊接内可能只有二個區塊之程式資訊’一個給資料而一個給識別資訊。就算只要改變一單一位元亦必須先取得一完整程式資訊鍊接並解密，一資料之改變並不需立即寫出到外部儲存裝置。資料可存於内部，例如’丨夬取1 4 0 内，直到需要更新外部儲存裝i時。此時，安全電路必須將整個鍊接及變動回寫到外部儲存裝置。

O:\55\55149.ptc 第54頁 ^45402 _案號 871丨6410_年月日__ 五、發明說明（50) 再次參考加密/解密電路1 2 0，解密程式資訊提供給快取140作為暫時儲存之用，並給一中央處理單元170作為執行之用。該程式資訊可使用額外之處理硬體或軟體來對一混雜資料傳輸解密及其它未示出但為本技藝所熟悉之步驟中。快取1 4 0為一 RAM，其提供一相對高速存取之缓衝器能力，大小並可調整到儲存大量資料。快取1 4 0可儲存數以千計個位元組，其對應到指令及許多區塊鍊接作業資料之大小。中央處理單元可自一第一編碼區塊鍊接執行程式資訊，而加密/解密電路1 2 0自一後續、第二個編碼區塊鍊接將區塊解密。第二個鍊接可直接接在第一個鍊接之後，或可與第一個鍊接之間相隔一或多個鍊接。所以，系統流通量可因識別電路、解密電路及中央處理單元之重疊作用而改善。通常，雖然程式資訊於中央處理單元内之執行時間會比在加密/解密電路1 2 0内解密之時間快，可經由協同解密及執行動作和最佳化用於加密/解密演算法之循環次數，來增進效率。額外之效率可經由寫入程式資訊，例如，指令，來實現，其被中央處理單元執行以符合區塊鍊接傳送方案。特別是，指令行内之程式資訊量可符合鍊接内之區塊大小及區塊數目。例如，指令行應整個被載入區塊鍊接内而不是分入兩鍊接内，以避免等候第二個鍊接解碼來回復一行内之其餘指令。一指令通常只有數位元組長（例如，丨-4位元組），所以一區塊鍊接通常會包括數個指令。快取1 4 0可視需要接收來自位址產生器i 6 0之訊息以協同

0:\55\55149.ptc 第55頁號 8711641η ^ 44540¾ 修正年月五、發明說明（51) 儲存及傳送程式資訊a 可通知快取140有額外糾中央處理單元I70。例如，該訊號路125、及加密/解衆支區塊鍊接要送到緩衝器、識別電之程式資吼。兑、電路1 2 0，以使快取1 4 0能接收額外可以提供一或多他仏 . 入—好與快取140及中央處理單元1 70相交 ’: 0 ^ 同時，一小的内部R Ο Μ可用來儲存安全電路105可能需^之啟動資訊或其它程式資訊圖3為依彳本發明之密碼區塊鍊接解密方案概示圖。該f示方案為f 2加密#案之對應。當需要照著所要順序，彳于搁位來解杜、％則執行重排。提供一識別電路3 〇 3及解岔電路300。於該解密電路上，對各密碼文字區塊 I ' · . . 、Bx 解密。首先’各別的密碼文字區塊與先前加密文字區塊或一啟始向量做XOR運算。明確說來，匕及用於加密時之^被一加法器3 2 0接收以提供一輸出到一三重D E s解密功能，包括解社功能3 2 2、3 2 4及3 2 6。明碍文字區塊A,自解密功能3 2 6 輸出並提供給一加法器3 3 〇及一散列功能3 〇 4 ^在散列功能 3 0 4上，A,及一鑰進行散列以提供一輸出給連續散列功能 306及308，及一加法器310。加法器3 3 0接收A!及B2以提供一輸出到解密功能3 3 2、3 34 及3 3 6以提供明碼文字區塊A2。同樣地，一加法器3 4 0接仗 Μ-2及Bn-i以提供一輸出到解密功能342、344及346以提供明碼文字區塊。一加法器350接收識別區塊βΝ及心-丨以提供一值給解密功能3 5 23 5 4及3 5 6。解密功能 356之輸出提供予一加法器310並與一來自散列功能308之

O:\55\55l49.pt 第56頁 445402, 87116410 年月曰修正五、發明說明（52) 散列值產生一壹或零值輸出。若輸出為零，則由於其與散列值相符，識別值為有效，且設定一致能訊號以允許繼續處理。然而，若加法器3 1 0之輸出為壹，則識別值無效，且可能於警告電路1 6 2上啟始一警告狀態以提供一殺掉（清除）訊號來清除部份或全部的啟始向量，解密鑰及識別鑰之儲存裝置丨5 0内容。當使用區塊重排時，一試圖試出程式資訊及認證資訊值之盜取者可能.會產生無效之作業碼。無效作業碼係無相對動作之十六位元資料指令。對於處理認證值或未被選出之作業碼存在著不同之選擇。一種可能性為執行一安全電路之重設，其會要求盜取者做另一攻擊時需重組並重新啟動安全電路。另一種可能性為使得安全電路内之處理器跳至一無窮" 不作業”（NO P )迴路。這是一種安全電路執行無價值作業之狀態，讓盜取者需先偵測此不作業迴路，再強迫其本身重新啟動、重設、並重新啟始安全電路以能執行另一次攻擊。或者，可以計數預存值及解密值間不符之次數，以在偵測到不符之次數超過門檻時清除一個或所有的儲存鑰。這些鑰可能是可用外界知識於重大安全破壞之重要鑰 (sensitive keys)。其清除會導致原本完好單元之永久性故障。另一種可能的對策為清除一暫時鑰，例如一個傳送之鑰，而非一在啟始或產生單元時載入之鑰。此強迫該盜取者接觸網路服務提供者以進行重新認證，因而可能將該盜取者曝光。在此強調安全性之較佳具體實施例中，所有鑰

0: \55\55l49.ptc 第57頁 445402 _案號87116410_年月曰__ 五、發明說明（53) 皆被清除。圖4為一依攄本發明之簡單區塊鍊接加密方案概示圖。如上所討論，此規劃可避免圖2及圖3之密碼區塊鍊接之延遲特性。對所有明碼文字區塊之加密可各自執行，且基本上平行執行。依據明碼文字區塊對識別資訊來加密及解密。簡單區塊加密技術可能易受到盜取者較多之嘗試性攻擊，然而，由於對一區塊之修改不會影響其它區塊，更不會影響到識別.資訊。提供一識別電路4 0 3及加密電路4 0 0。處理明碼文字程式資訊區塊A,、A2、. . . 、Ax以分別提供對應之密碼文字I、 B 2、 . 、B \。一個密碼文字區塊，通常示為B i，為一識別區塊，且可假設其位於任何其它密碼文字區塊間（例如，1 S i S N )。在加密電路4 0 0上，區塊A,於一加密功能4 0 2上加密以提供區塊B,，區塊於一加密功能4 0 4上加密以提供區塊B2，區塊Aj；」於一加密功能4 0 8上加密以提供區塊，而區塊An 於一加密功能4 1 0上加密以提供區塊Bn。另外，提供各明碼文字區塊給識別電路4 0 3内之一加法器4 1 2以供給一值給一加密功能4 0 6來產生一密碼文字識別區塊，。B,可以是第一個區塊B,，最後一個區塊BN，或是其中任一區塊。加法器412亦可接收一零值或其它硬體知曉之值。非識別區塊之各加密功能，例如，加密功能4 0 2、4 0 4、 408及410，可在同一 K,鑰下作業，其由XOR運算一早元錄、高順序位址位元、一密秘* Du及低順序位址位元來產生。識別區塊之加密功能，例如，加密功能4 0 6可於一不

O:\55\55149.ptc 第58頁 445402 _案號 87116410_年月日__ 五、發明說明（54) 同鑰，K2，之下作業，其係經由使用一密秘鑰Dk2來產生。該等密碼文字區塊可提供給如先前所討論之區塊重排電路。依據本發明，識別資訊提供明碼文字區塊給一加法器 4 1 2而產生，其將明碼文字區塊A,、、. . . 、AN.做X 0 R運算，並可視需要加入一預存值°加法器4 1 2之輸出接著於加密功能4 0 6上加密以提供加密識別區塊B;。除了使用加法器4 1 2，實際上可再加入任何散列功能或是用散列功能替代加法器4 1 2。此外，各明碼文字區塊不必輸入到加法器 412。圖5為一依據本發明之簡單區塊鍊接解密方案概示圖。該解密器為圖4加密器之對應。當要依所要之次序取得區塊來解密時進行重排。提供一解密電路500及識別電路503。解密功能502、 5 0 4、508及510如圖所示使用一1(|鑰各別對81、：62、6;^及1 加密文字區塊進行解密以提供明碼文字區塊、A2、Ay及 Ax。密碼文字識別區塊h於加密功能5 0 6上使用一不同鑰來解密。各解密功能之輸出提供給一加法器5i2以提供一散列值，其接著在一加法器5 1 4上與一預存硬體值進行運算。若加法器5 1 4之輸出為零，則該散列值與硬體值相同，且識別資料被確認，並允許後續之處理程序。然而，若加法器5 1 4之輸出為1 *則該散列值與硬體值不同，且識別資料未被確認，故設定一警告狀龜。圖6為一依據本發明之另一種密碼鑰產生器/回復接收

0:\55\55149.prc 第59頁 445402 _案號 87116410_年月曰__ 五、發明說明（55) 裝置之概示圖。與圖1相同號碼之元件對應到圖1之元件。該接收器，通常示於6 0 0，包括各別用於第一個鍊接之第一個、第二個及第N個區塊之鍊接區塊緩衝器1 3 0、1 3 2及 1 3 4，以及各別用於第二個鍊接之第一個、第二個及第Μ個區塊之鍊接區塊緩衝器630、632及634。依此方案，二個或多個區塊（各鍊接各一個）可同時在線1 1 3上通訊。此外，額外之區塊缓衝器可自兩個以上之鍊接提供來儲存資料。各鍊接可有相同或不同長度。加密/解密電路1 2 0及識別電路1 2 5處理鍊接1 ，而加密 /解密電路620及識別電路625處理鍊接2。來自鑰儲存裝置1 5 0之資料可依各鍊接之需求提供給電路1 2 0、1 2 5、6 2 0 及6 2 5。此外，雖然顯示如同分開之元件，識別電路1 2 5及加密/解密電路120可與識別電..路625及加密/解密電路 620共享相同之電路。圖6之具體實施例在使用密碼區塊鍊接時允許橫跨在兩個或多個鍊接之上重排。如同所討論的，當使用密码I區塊鍊接時，各鍊接内之區塊必須暫時儲存以回復識別區塊。接收器6 0 0可因此提供平行處理兩個或多個密碼區塊鍊接，鍊接範圍重排，或橫跨在兩個或多個鍊接之區塊範圍重排（block-wise re-ordering)。因此，可看出本發明提供一種裝置利用傳輸識別來回復一混雜資料傳輸，且可視需要，將來自一外部儲存裝置之程式資訊加密到一簡單區塊鍊接内之安全電路。加密及視需要識別之程式資訊亦自外部儲存裝置傳送到密碼區塊鍊接内之安全電路。此方案能較容易地允許對混雜之指令進

O:\55\55149.ptc 第60頁 445402 _87116410_年月日_«_ 五、發明說明¢56) 行修正及其它改變而不用更動安全電路。此外，經由減少識別資訊負擔，使用區塊鍊接改善了系統流通量及減少系統花費。更大之效率可經由提供一快取來於一單一時脈循環内傳送二行或多行解密或識別程式資訊給中央處理單元，及經由適當管理區塊解密與解密資料傳送給快取及中央處理單元之時間來獲得。本發明另一種具體實施例使用簡單區塊加密而不是密碼區塊鍊接。依_此方案，鍊接之區塊和密瑪區塊鍊接一樣使用一個大的認證欄位來認證。然而，區塊之鍊接基本上可平行解密並識別而非依次進行。除了在外部儲存裝置上混雜位址儲存資料外，同時提供了使用任何例如位元組、區塊、及/或鍊接層級之欄位來重排區塊鍊接。此外，可提供一雙向能力以允許程式資訊自安全電路傳送到外部儲存裝置。該程式資訊不需加密而只需加上安全識別。雖然本發明與不同特定具體實施例一起描述，那些熟知本技藝之人士會體認到可對此做不同之適用及修正而不脫離本發明申請專利範圍内提出之精神及範圍。例如，本發明特別適於防止專屬軟體演算法之複製及反向工程，及如同回復像付費電視節目資料傳輸之安全密碼應用以防止未經授權之使用者接收到電視廣播。本發明亦同樣適用於其它應用，包括終端機及電子資金交焉之智慧卡，交易事前存取控制，電子遊戲，用於交易之期貨及股票資料，經由網際網路（I n t e r n e t )或其它電腦網路傳送之

0:\55\55149.pic 第61頁 ^? 4 4 5 4 Ο 2 _案號87116410_年月日_Μ-_ 五、發明說明（57) 資料，等等。另外，本發明可與其它加密方案相容，例如一資料流密碼，或一資料流密碼及密碼區塊鍊接之組合，例如通用混雜演算法（C S A )。另一此種方案為公鑰加密。由於各區塊及鍊接尺寸相對於可有2048位元（256個8位元組）之RSA公鑰系統模組尺寸為小，其可以使用RSA來加密一個或多個程式資訊鍊接。若使用R S A公鑰系統，則其能想使用一不平衡指數對 (unbalanced exponent pair)，其中用於解密之私密指數較小，例如，等於3。此會降低程式資訊之延遲。解密後，識別資訊可如同上述之區塊加密技術來加以檢查，並解密及檢查，或只是檢查。此會讓解密之識別值變得困難。並且，如上所提，可混雜使用一密秘鑰及一公用鑰。

0:\55\55149.ptc 第62頁

Claims

445402 _案號87116410_年月日_iMi_ 六、申請專利範圍 1 . 一種處理程式資訊之裝置，包括：一安全電路，包括一中央處理單元一用以識別該程式資訊之識別電路，及至少一個用以至少儲存一個程式資訊區塊之區塊緩衝器；一外部儲存裝置，其適於儲存該安全電路外部之程式資訊；一第一通訊路徑，其適於自該外部儲存裝置傳輸一组程式資訊區塊到.至少一個第一區塊鍊接内之區塊緩衝器；及一第二通訊路徑，其適於自至少一個區塊緩衝器傳輸該程式資訊區塊到中央處理單元以於其中處理之。 2 ·如申請專利範圍第1項之裝置，其中該區塊鍊接為一簡單區塊使得該組於第一區塊鍊接内之區塊基本上被該識別電路平行處理。 3.如申請專利範圍第1項之裝置，其中：該程式資訊之第一區塊鍊接及一後續第二區塊鍊接在外部儲存裝置及該至少一個區塊缓衝器間通訊；且該識別電路適於識別至少一部份之該第一區塊鍊接之程式資訊，而至少一部份之該第二區塊鍊接經由該苐一通訊路徑傳輸。 4 ·如申請專利範圍第1項之裝置，其中：該第一通訊路徑適於自該儲存裝置傳輸程式資訊區塊到至少一個第二鍊接内之缓衝器；且該識別電路基本上適於同時識別來自於至少一部份之第一區塊鍊接及一部份之第二鍊接上之程式資·訊。 5.如申請專利範圍第丨項之裝置，並包括：

O:\55\55149.ptc 第63頁 1 " ^445402 _案號 87116410_年月曰_ίΜ：_ 六'申請專利蘇圍一安排於該第二通訊路徑上之快取，其適於在該程式資訊提供給中央處理單元之前先暫時儲存該識別程式資訊。 6. 如申請專利範圍第1項之裝置，並包括：用於偵測程式資訊内之非法作業碼之工具。 7. 如申請專利範圍第1項之裝置，其中：至少對部份之程式資訊加以散列以提供該區塊鍊接。 8. 如申請專利範圍第1項之裝置，並包括：用以提供位址資訊給外部儲存裝置之位址產生工具，以依所要之順序將程式資訊區塊自外部儲存裝置傳送給至少一個該等區塊缓衝器。 - 9. 如申請專利範圍第1項之裝置，其中該程式資訊包括許多將被該中央處理單元依序處理之字串。 1 0.如申請專利範圍第1項之裝置，其中：該程式資訊區塊儲存於外部儲存裝置之混雜儲存位置内。 1 1.如申請專利範圍第1項之裝置，其中：有著基本上隨機變動之長度之該程式資訊鍊接，自外部儲存裝置傳輸到該至少一個區塊緩衝器。 1 2.如申請專利範圍第1 1項之裝置，並包括：用以提供位址資訊給外部儲存裝置之位址產生工具，以依所要之順序將程式資訊區塊自外部儲存裝置傳送給至少一個該等區塊缓衝器；其t : 基本上隨機變動之長度係依該位址資訊而定。. 1 3.如申請專利範圍第1項之裝置，並包括：用以提供基本上第一區塊鍊接之隨機區塊範圍重排之工

O:\55\55149.ptc 第64頁 4 4 5 4 Q- 案號 87U6410 年月曰修正六、申請專利範圍具，及基本上隨機重排一個第一區塊鍊接之區塊以自外部儲存裝置傳送一重排鍊接給至少一個區塊緩衝器。 1 4.如申請專利範圍第1項之裝置，基本上使用隨機變動次序將該程式部儲存裝置傳送給至少一個區塊缓衝 1 5.如申請專利範圍第1 4項之裝置單元包括區塊鍊接。 1 6.如申請專利範圍第1項之裝置，許多程式資訊依變動長度單元自外安全電路；且各單元之長度係依該相對應單元之遲延而定。 1 7.如申請專利範圍第1項之裝置，該程式資訊包括不被中央處理單元 1 8.如申請專利範圍第1項之裝置，加密該儲存於外部儲存裝置内之程該安全電路包括一解密電路，其對資訊解密之區塊緩衝器做出反應；且該第二個通訊路徑適於自解密電路中央處理單元以於其中處理之。 1 9.如申請專利範圍第1 8項之裝置該程式資訊之第一個區塊鍊接及其在外部儲存裝置及至少一個區塊缓衝該解密電路適於解密至少一部份之式資訊，而至少一部份之該第二區塊其中：資訊之各個單元自外器。 ’其中該程式資訊之其中：部儲存裝置傳送給該相關程式資訊之處理其中：處理之無用資料。其中：式資訊；至少一個將加密程式傳輸解密程式資訊到其中：後續第二個區塊鍊接器之間通訊；且該第一區塊鍊接之程鍊接經由該第一通訊

C \55\55I49.ptc 第65頁 -U45402 案號87116410 年月曰修正六、申請專利範圍路徑傳輸。其中：傳輸程式資訊區塊到自於至少程式資並包括 .蠢V女記憶體，其δ!於在該前先暫時儲存該解密其中：〇 -並包括：傳輸一組程式資訊區存裝置。並包括：之加密電路。其中該加密電路有塊鍊接程式資訊之明 2 0.如申請專利範圍第ί 8項之裝置該第一通訊路徑適於自該儲存裝置至少一個第二鍊接内之緩衝器；且該解密電路基本上適於同時解密來一區塊鍊接及一部份之第二鍊接上之 2 1.如申請專利範圍第1 8項之裝置一配置於該.第二通訊路徑上之快取解密程式資訊提供給中央處理單元之程式資訊。 2 2.如申請專利範圍第1 8項之裝置：該第一區塊鍊接為一密瑪區塊鍊接 2 3.如申請專利範圍第i項之裝置，一通訊路徑，其適於自該安全電路塊到該於一第二區塊鍊接内之外部儲 2 4.如申請專利範圍第2 3項之裝置，一用以加密程式資訊給第二區塊鍊接 2 5.如申請專利範圍第24項之裝置，條件地回應位址資訊以允許一第二區碼模式》 2 6.如申請專利範圍第2 3項之裝置，並包括：一用以識別程式資訊給第二區塊鍊接之識別電路。 2 7.如申請專利範圍第2 6項之裝置，其中該識別電路有條件地回應位址資訊以允許一第二區塊鍊接程式資訊之明碼模式。

0:\55\55149.ptc 第66頁 ί- 4 45 4 02 _案號 8m6410_年月曰修正_ 六、申請專利範圍 2 8.如申請專利範圍第2 3項之裝置，並包括：一對第二個區塊鍊接隨機重排程式資訊之重新排序電 2 9.如申請專利範圍第2 3項之裝置，並包括：一為了第二個區塊鍊接以隨機變動程式資訊單元長度之長度決定電路。 3 0.如申請專利範圍第2 3項之裝置，並包括：一無用資料插入電路以用來對第二個區塊鍊接加入無用資料到程式資訊。 3 1.如申請專利範圍第1項之裝置，其中許多程式資訊鍊接基本上依變動次序自外部儲存裝置傳送給該安全電路。 3 2. —種處理程式資訊之裝置，包括：一提供該程式資訊之安全電路；一外部儲存裝置，其適於儲存該安全電路外部之程式資訊；且一第一通訊路徑，其適於自該安全電路傳輸一組程式資訊區塊到一第一區塊鍊接内之外部儲存裝置D 3 3.如申請專利範圍第32項之裝置，其中：該程式資訊包括識別資料；且該安全電路包括一識別電路以提供該識別資料.。 3 4.如申請專利範圍第3 3項之裝置，其中：該區塊鍊接為一簡單區塊鍊接使得於第一區塊鍊接内之區塊群組基本上被該識別電路平行處理以供應該識別資料。 3 5.如申請專利範圍第3 3項之裝置，其中：

0:\55\55149.ptc 第67頁 445 4 02 _案號 87116410_年月日__ 六、申請專利範圍該識別電路散列至少部份程式資訊以提供該識別資料。 3 6.如申請專利範圍第3 2項之裝置，並包括：用以提供位址資訊給外部儲存裝置之位址產生工具，用來自該安全電路依所要之次序傳輸該程式資訊區塊到外部儲存裝置。 3 7.如申請專利範圍第3 2項之裝置，其中：該程式資訊區塊儲存於外部儲存裝置内之混雜之儲存位置。 3 8.如申請專利範圍第3 2項之裝置，其中：該有著隨機變動長度之程式資訊單元自該安全電路傳輸到外部儲存裝置a 3 9.如申請專利範圍第3 2項之裝置，其中許多程式資訊鍊接基本上依變動次序自該安全電路傳送給外部儲存裝置。 4 0.如申請專利範圍第3 2項之裝置，並包括：工具用來提供至少一個（a)第一個區塊鍊接之基本上隨機區塊範圍重排，及（b )該第一個區塊鍊接之一基本上隨機重排之區塊，以自該安全電路傳輸一重排鍊接到該外部儲存裝置。 4 1.如申請專利範圍第3 2項之裝置，其中： _使用基本上隨機變動之次序將該程式資訊單元自該安全電路傳輸到外部儲存裝置。 4 2 .如申請專利範圍第3 2項之裝置，其中： . 使用基本上隨機變動之長度將該程式資訊單元自該安全電路傳輸到外部儲存裝置。

O:\55\55149.ptc 第68頁 «87116410 年月曰修正六、申請專利範圍 4 3,如申請專利範圍第3 2項之裝置，其中：該程式資訊包括不經由中央處理單元處理之無用資料。 4 4.如申請專利範圍第3 2項之裝置，其中該程式資訊於區塊鍊接内提供。 4 5.如申請專利範圍第3 2項之裝置，其中：該安全電路包括一用於加密該程式資訊之加密電路；且該第一通訊路徑適於自該加密電路傳輸加密程式資訊到外部儲存裝置。. 4 6.如申請專利範圍第4 5項之裝置，其中：該程式區塊鍊接為一密碼區塊鍊接。 4 7.如申請專利範圍第3 2項之裝置，並包括：一通訊路徑，其適於自該外部儲存裝置傳輸一組程式資訊區塊到該於一第二區塊鍊接內之安全電路。 4 8.如申請專利範圍第47項之裝置，其中儲存於該外部儲存裝置内之程式資訊被加密，該安全電路並包括： —用於對第二區塊鍊接内加密之程式資訊解密之安全電路。 4 9. 一種處理加密程式資訊之裝置，包括： .一安全電路包括至少一個加密及解密電路，一中央處理單元，及至少一個用以至少儲存一個以上程式資訊區塊之區塊緩衝器；一外部儲存裝置，其適於儲存該安全電路外部之程式資訊； . —第一通訊路徑，其適於自該外部儲存裝置及至少一個第一密碼區塊鍊接内之區塊緩衝器之間傳輸一組程式資訊

O:\55\55149.pu 第69頁 445 4〇2 _案號87116410_年月日__ 六、申請專利範圍區塊，該至少一個加密及解密電路對該一個以上區塊缓衝器作出反應以各別對該程式資訊加密或解密：且一第二通訊路徑，其適於在該一個以上之加密及解密電路及該中央處理單元之間傳輸程式資訊。

O:\55\55149.ptc 第70頁