一种用于将一中央处理单元(CPU)桥接到一系统中的其它组件的桥接器,其包含: 一安全引擎; 所述桥接器可操作以为经由所述桥接器执行的数据存取操作提供加密服务,借此将加密服务从所述CPU卸载到所述桥接器。
【技术实现步骤摘要】
本专利技术一般涉及提供数字内容保护的技术。更明确地说,本专利技术涉及用于从中央处理单元(CPU)进行的数字内容保护的卸载方面的技术。
技术介绍
大量消费产品中出现的问题是必须沿着可接进的信号路径传输数字内容。因此,数字内容提供者关注着黑客对数字内容进行未授权复制。举例来说,家庭娱乐系统可包括个人计算机(PC)、图形子系统、高清晰度电视、机顶盒、数字视频刻录机和播放器,以及数字多功能光盘(DVD)播放器。因此,存在一个风险,即黑客会使用(例如)一个或一个以上信号总线的输出来截取未经加密的数字内容(常被称作“明文”内容)。数字内容保护变得日趋重要来保护音频和视频内容免受未授权的复制。其中,数字内容保护包括用于加密将经由可接进的信号总线进行传输的内容的协议。由五个公司(5C)在1998年发起数字传输内容保护(DTCP)方案,并在由Hitachi,Ltd.、IntelCorporation、Matsushita Electric Industrial,Co.,、Sony Corporation和Toshiba Corporation在1998年7月公开的“5C Digital Transmission Content Protection”白皮书中具有描述,其内容以引用的方式并入本文中。DTCP方法的额外细节在由Hitachi,Ltd.、IntelCorporation、Matsushita Electric Industrial,Co.,、Sony Corporation和Toshiba Corporation在2004年1月公开的“Digital Transmission Content Protection Specification”修订版1.3中具有描述,其内容以引用的方式并入本文中。DTCP方法可与电子电气工程师协会(IEEE)1394多媒体总线一起使用,且包括针对源装置和接收装置(可接收内容流的装置)的协议来建立内容的安全传输。DTCP方法包括鉴定和密钥交换(AKE)协议、内容加密和使用加密模式指示符(EMI)的复制控制信息(CCI)。数字内容保护方案(例如DTCP)的一个缺陷在于,尽管在装置间的系统总线上对内容进行加密,但还是很容易在一个或一个以上内部数据总线处盗窃明文数据。举例来说,考虑基于PC的多媒体系统中的DVD回放。中央处理单元(CPU)从DVD播放器接收加密形式的DVD内容。CPU对其接收的数字内容进行解密。CPU接着在将数据写入到显示装置之前对DVD数据进行再加密。然而,CPU执行的解密和再加密通常必须将明文数据写入到系统存储器,在系统存储器中容易在存储器总线处盗窃所述内容。数字内容保护方案的另一个缺陷在于,其将大量负担强加给CPU来执行高清晰度视频的加密和解密。举例来说,高级加密标准(AES)强加约16个周期/字节(B)的加密成本。压缩格式的高清晰度电视(HDTV)对应于约50MB/s的加密带宽,使得每个高分辨率经压缩HDTV内容流对应于800MHz的可用CPU时钟周期。对于运行数兆赫兹时钟速率的CPU来说这是一个沉重的负担。另外,在某些多媒体系统中,需要具有同时处理若干视频流的能力,使得在最糟糕的情形下,强加于CPU的总的加密/解密负担可消耗大部分的CPU时钟周期。因此,需要一种用于提供数字内容保护的改进的设备、系统和方法。
技术实现思路
本专利技术揭示一种用于将中央处理单元桥接到系统中的其它组件的桥接器。桥接器中的安全引擎允许从中央处理单元将加密服务卸载到桥接器上。在一个实施例中,所述安全引擎允许在桥接器的不安全接口处将受保护数据加密为密文。附图说明结合以下结合附图进行的详细描述可更完全地理解本专利技术,附图中图1是根据本专利技术的一个实施例具有安置在桥接器中的安全引擎的数字内容保护系统的方框图;图2是根据本专利技术的一个实施例的安全引擎的方框图;图3是根据本专利技术的一个实施例的北桥实施方案的方框图;图4是根据本专利技术的一个实施例的南桥实施方案的方框图;图5说明根据本专利技术的一个实施例的PCI配置空间;图6说明根据本专利技术的一个实施例的上下文数据结构;图7说明根据本专利技术的一个实施例的用于数字内容保护的示范性操作序列;和图8是根据本专利技术的一个实施例的视频数据的数字内容保护系统的方框图; 贯穿于若干图式,相似参考数字表示对应的部分。具体实施例方式图1是根据本专利技术的一个实施例的数字内容系统100的方框图。数字内容系统100包括具有安全引擎112的桥接器110。根据本专利技术的一个实施例,使用安全引擎112从CPU 120将安全服务(例如对用于来自CPU 120的至少一个装置后处理程序的数据的加密)卸载到桥接器110。桥接器110可实施为单个芯片(例如,芯片群),或实施为其上形成有CPU 120的相同芯片的一部分。如下文更详细的描述,桥接器100可包括用作芯片组的一部分的任何桥接器来将中央处理单元(CPU)120桥接到其它装置(例如,北桥芯片、南桥芯片或北桥与南桥芯片的组合)。安全引擎112在桥接器110内执行加密服务。示范性加密服务包括加密、解密和转码(即,不同加密格式之间的转换)。可对(例如)需要受到保护的数据类应用加密服务。在某些应用中,通过桥接器110的所有数据将需要加密服务。然而,更一般的情况是,只有需要保护的数据(例如需要数字内容保护的数据)可能需要加密服务。可利用由安全引擎112提供的加密服务来沿着数字内容系统100的容易受到入侵的部分保护数据(例如,例如视频内容的数字内容)。可在数据存取操作(例如,数据写入操作)期间提供加密服务。加密/解密密钥114存储在安全引擎112中以支持加密服务。虽然可存储单个加密和/或解密密钥,但更一般的情况是,可存储额外的密钥以支持一种以上类型的加密、解密或转码。在一个实施例中,上下文指针116指向上下文数据(例如存储器130内的上下文数据118)的来源。上下文数据118包括数据结构以允许进行上下文交换来针对特定的源/目的地地址选择由安全引擎112执行的指定的加密服务(例如,加密、解密或转码)。每个上下文还可指示指定的加密/解密密钥。在一个实施例中,安全引擎112支持压缩或未压缩数据的标准加密和解密技术(例如,高级加密标准(AES)、三重数据加密标准(3DES)或公共/私人密钥远程服务器管理(RSM))。然而,安全引擎112也可经配置以支持其它加密协议。示范性转码应用包括从一个加密标准的格式转换成另一加密标准的格式,或在两个不同的加密密钥之间转换,例如执行使用第一密钥的AES至使用第二密钥的AES之间的转换。优选地至少部分地使用专用反篡改加密硬件来实施安全引擎112,与仅在软件中运行加密/解密算法相比,所述专用反篡改加密硬件提供改进的安全性方面的益处。另外,使用专用硬件实施安全引擎112还允许性能和功率消耗方面的改进。桥接器110耦合CPU 120、存储器130和其它装置,例如图形处理单元(GPU)140(图示耦合到显示器150)。桥接器110通过具有总线接口121(例如前端总线(FSB))的总线122耦合到CPU 120。将CPU耦合到桥接器的总线接口121通常是专用的高速接口,归因于使得难以入侵总线122的焊接连接、嵌入式电路路径和高数据速率,所述专用高速本文档来自技高网...
【技术保护点】
【技术特征摘要】
【专利技术属性】
技术研发人员:迈克尔·B·考克斯,亨利·帕卡德·莫尔顿,布赖恩·基思·朗根多夫,戴维·G·里德,
申请(专利权)人:辉达公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。