具有类比组件的数据安全装置的制作方法

本发明主张于2017年6月9日提出的美国临时专利申请案no.62/517,533的优先权，在此以参考文献方式全部合并入本文中。

附图说明

附图包括以提供下列论述的较佳理解，且经整合于并组成本说明书的一部分。附图描绘本发明的例示实施例，并搭配论述阐述本发明的精神。

图1a描绘类比组件100的第一次组件105的一例示实施例，其描绘第一层体。

图1b、1c、1d、1e及1f描绘图1a所示例示的截面图。

图2a描绘例示实施例的第二层体。

图2b、2c、2d、2e及2f描绘图2a所示例示的截面图。

图3a描绘例示实施例的第三层体。

图3b、3c、3d、3e及3f描绘图3a所示例示的截面图。

图4a描绘例示实施例的第四层体。

图4b、4c、4d、4e及4f描绘图4a所示例示的截面图。

图5a描绘例示实施例的第四层体。

图5b、5c、5d、5e及5f描绘图5a所示例示的截面图。

图6a描绘例示实施例的第四层体。

图6b、6c、6d、6e及6f描绘图6a所示例示的截面图。

图7a描绘例示实施例的第四层体。

图7b、7c、7d、7e及7f描绘图7a所示例示的截面图。

图8a描绘例示实施例的第四层体。

图8b、8c、8d、8e及8f描绘图8a所示例示的截面图。

图9a描绘例示实施例的第四层体。

图9b、9c、9d、9e及9f描绘图9a所示例示的截面图。

图10a描绘例示实施例的第四层体。

图10b、10c、10d、10e及10f描绘图10a所示例示的截面图。

图11a描绘例示实施例的第四层体。

图11b、11c、11d、11e及11f描绘图11a所示例示的截面图。

图12a描绘类比组件100中第二次组件107的仰视图。

图12b描绘图12a所示例示的剖面图。

图13a描绘经组合类比组件100的例示实施例的俯视图，其包括第一次组件105及第二次组件107。

图13b及图13c描绘图13a所示例示的剖面图。

图14a描绘近似于图11f的例示实施例，其作为经组合的类比组件100。

图14b描绘近似于图11e的例示实施例，其作为经组合的类比组件100。

图15描绘第一电极讯号线120以阐述其一例示运算。

图16描绘第一电极讯号线120及第一电极320以阐述其一例示运算。

图17根据其一例示运算描绘液晶单元1600的内部俯视图。

图18根据另一例示运算描绘液晶单元1600的内部俯视图。

图19a描绘数据安全装置2000，其用于执行加密运算。

图19b描绘数据安全装置2000，其用于执行解密运算。

图20描绘在数据安全装置2000内，控制电路系统2100与类比组件100之间的关系。

图21根据其一例示实施例描绘在控制电路系统2100内的运算流程，其用于加密运算。

图22根据其一例示实施例描绘在控制电路系统2100内的运算流程，其用于解密运算。

图23描绘例示区块加密e1及变体区块加密e2的整体结构，其作为16回合置换排列网路。

图24描绘经认证加密(ae)架构的运算。

图25根据其一例示实施例描绘使用区块加密的函数ek架构。

图26根据其一例示实施例描绘用于加密的运算的计数器模式。

图27根据其一例示实施例描绘运算的讯息认证码模式。

图28根据其一例示实施例描绘整体aea加密模式。

技术实现要素：

数据安全装置包括类比组件。类比组件内部运算一高度的熵。此高度的熵存在其内部组件之间的交互作用，这些内部组件响应于外部驱动讯号。类比组件之间的交互作用具有熵水平，其使类比组件的数位模拟为不可行。因下列论述的类比组件在数位模拟为不可行，其为数位不可复制。

下列论述的类比组件接收输入，并基于该输入产生输出。若两类比组件以相同方式经制造，其将响应于相同输入产生相同的输出。类比组件自输入产生输出的方式可视为类比组件的签章。

数据安全装置通过将明文数据加密为密文及/或将数据自密文解密至明文的方式处理数据。明文与密文之间的部分转换使用类比组件。因类比组件为数位不可复制(即，在数位模拟不可行)，使用类比组件的部分转换程序需要具有该类比组件或具有相同签章的其他类比组件。

在不同例示实施例，给定类比组件或给定类比组件组的签章在制造过程中通过调整来修改。调整为容易且不昂贵的应用，如下所述。于其他例示实施例中，签章是在类比组件工艺之外修改。

下列论述的数据安全装置为通量加密及解密系统，其相同地可应用于传输中的数据及静止数据。

本发明人通过模拟研究确认仅解密数据的单一循环将需要以高效能数位丛集处理两年。数据的下一循环需要另外两年。此为上述及下列详述高水平的熵的功用。此外，量子运算不预期降低类比组件不可行的数位模拟功能。

数据安全装置普遍具有类比组件及驱动组件。先论述类比组件，随后论述驱动组件。

类比组件

图1a至图18为类比组件100的其一例示实施例，其使用于数据安全装置内。此例示实施例是教示性实施例，经提供以教示发明概念的原则。可实施近似于本领域的修改、替代、改变、改进及替换，其等皆视为本文论述发明概念的范围内。发明概念的界线于权利要求中阐述。此外，除非文中另有所述，根据特定可用装置或材料的选择，建构图1a至图13c所示结构的任意现有制造技术皆可使用。

图1a至图1f描绘装置的部分，其于下列指称为类比组件100。于这些附图中，第一次组件105经描绘建构于第一基板110上。在此例示实施例，第一基板110为绝缘层上覆硅基板。在其他例示实施例，介电层经提供在加上其他建构性材料的结构之前。第一基板110包括多个格板130，其等为导电性。部分格板130与第一电极讯号线120整合，其等也为导电性。这些附图描绘十六个第一电极讯号线120。在其他例示实施例，第一电极讯号线120的数目为六十四或一百二十八。在此使用的术语“第一”并不是指称制造的任意顺序，其仅用于与后述的其他讯号线区隔。

图2a至图2f描绘位于图1a至图1f所示配置之上的第一介电层210部分。讯号线通孔220经导电性材料充填，以延伸至第一电极讯号线120。格板130相似地通过格板延伸230延伸。例示实施例具有十六个讯号线通孔220，其各自用于各第一电极讯号线120。图2c描绘讯号线通孔220，其直接接触第一电极讯号线120。此配置不严格必要，且其他中间组件可插入。

图3a至图3f描绘类比组件100中第一次组件105的第三层体部分。第三层体包括以电导性材料形成的接地面350、以电导性材料形成的第一电极320，及以绝缘性材料形成的第二介电层310。通过隔板延伸230的方式经延伸的部分格板130为接地格板330，其电性连接至接地面350。

在图3a所示的例示实施例，接地面350界定第一电极320形成于其内的一内部区域。在图3a所示的例示实施例，第一电极320皆形成于内部区域的一侧边上，内部区域的其他侧边不具电极。

图3a也描绘形成于行列形式的第一电极320。第一电极320的长度尺寸于各列相异，如图3e的剖面图所示。第一电极的宽度及深度各行相同，如图3d的剖面图所示。参照图3a，不同列的任意两给定电极，可以说这些电极的第一者在第一方向具有第一尺寸数值，及第二者在该相同第一方向(例如，沿图3e所示剖面的方向)具有第二尺寸数值，且第一尺寸数值异于第二尺寸数值。换言之，第一电极320的长度或宽度或深度可变动。

如图3a至图3f所示的例示实施例，自附图中最接近底部的列开始，第一电极320的长度逐列加倍。其他尺寸变动也为可行，其组成发明概念内的替代例示实施例。

在图3c，第一电极320电性连接至各第一电极讯号线120。在此的术语“电性连接”指电荷可沿导体的路径移动。在图3c的例示实施例，导体的路径包括形成于讯号线通孔220的电导性材料。在各例示实施例，讯号线通孔220的存在非严格必要。在其他例示实施例，第一电极320形成与第一电极讯号线120整合。在另一其他例示实施例，第一电极320及第一电极讯号线120依据给定实施的工程需求，通过其他层体、线及通孔电性连接。

在图3c，格板延伸230形成于先前形成的格板延伸230之上。读者应理解，在此例示实施例，格板130经建构于各层，以便于所需的连接及测试。当非所需时，格板延伸230可自特定格板130省略。

图4a至图4f描绘类比组件100中第一次组件105的第四层体部分。在此层体，第一包覆层410及多个接地面杆450形成于第三层体上。图4d的剖面图描绘接地面杆450电性连接至接地面350。

图4c及图4e描绘第一电极320紧接于第一包覆层410下。

图5a至图5f描绘类比组件100中第一次组件105的第五层体部分，其中，多个元件通过包括输入波导561、输出波导564及波导间隔器560的波导材料形成。在其他例示实施例，输出波导564的数目为十六或更多。在图5a至图5f的例示实施例，输出波导564的数目对应于第一电极320的行数。在本文中，第一电极320形成于四行，且输出波导564形成于四行。

在图5a，输入波导561沿一区域的一端点设置，该区域容纳后述液晶单元的区域。输出波导564设置于输入波导561的相反侧，其在容纳液晶单元区域的另一端点。区域经设置输入波导561的端点为输入端，区域经设置输出波导654的端点为输出端。图5e的通过输入波导561描绘第一次组件105的剖面，其中，输入波导561位于附图左侧。图5f通过位于附图右侧的至少一输出波导564描绘第一次组件105的剖面。

虽然图5e描绘其一第一电极320的部分位于输入波导561下，其他例示实施例中不具位于任何波导下的第一电极320。

波导间隔器560的数目、位置及尺寸可变动。在此例示实施例，沿着容纳液晶单元区域的左侧或右侧的间隔器，有助于后续单元侧壁的形成。

图6a至图6f描绘类比组件100中第一次组件105的第六层体部分，其中，第三介电层610形成在第一次组件105的特定零件上，但移除或不形成在其他零件上，且其中，接地面杆延伸650形成。如图6a、图6b及图6f所示，感测器空腔660形成于第三介电层610内。

图6f描绘其一经描绘的感测器空腔660，其设置以接收穿透其一经描绘的输出波导564的光输入。

图7a至图7b描绘第一次组件105的第七层体部分，感测器讯号线720形成于其中。感测器讯号线720通过格板延伸230电性连接至各格板130。此外，各接地面杆延伸650经建构于接地面杆其他延伸750。图7b描绘接地面杆其他延伸750，其将特定接地面杆提高至高于图7d所示的其他接地面杆延伸650。此实施细节便于后述感测器配件的接地。其他实施方式在发明概念的范围内。

图8a至图8f描绘类比组件100中第一次组件105的第八层体部分，第四介电层810及感测器讯号线通孔820形成于其中。感测器讯号线通孔820以导电性材料填充，且延伸感测器讯号线720。第四介电层810移除或不形成于第一次组件105的其他零件内。

图9a至图9f描绘类比组件100中第一次组件105的第九层体部分，其中，第一聚酰亚胺层910形成于容纳液晶单元的至少一区域内。第一聚酰亚胺层910移除或不形成于至少感测器空腔660内。

图10a至图10f描绘类比组件100中第一次组件105的第十层体部分，其中，导电性环氧树脂1050提供于接地面杆延伸650上，且其中，垫料1070提供邻近于波导间隔器560、输入波导561及输出波导564。

图11a至图11f描绘类比组件100中第一次组件105的第十一层体部分，其中，感测器配件1160提供于感测器空腔660上。感测器配件1160包括感测器罩1161及至少一感测器1164。通过图11b所示的其他导体，感测器罩1161通过感测器配件接地线1150接地至接地面350。

在图11a至图11f，各输出波导564具有相应的各感测器空腔660及位于感测器空腔660上的各感测器1164。用于感测器1164的输出电性连接至感测器讯号线720。

举例而言，图11f所示的输出波导564以剖面描绘。输出波导经设置用以接收来自液晶单元的光学输出。输出波导也经设置以传输光学输出至相应的各感测器空腔660。相应的各感测器1164设置在各感测器空腔660，且执行感测程序，其结果通过感测器讯号线720输出。输出波导将液晶单元的光学输出连通至感测器。

图12a及图12b描绘第一基板110的第二次组件107。图12b描绘将三层体建构于第二基板1510上以达成图12a所描绘的第二次组件107。于第一层体，第二电极1420形成于第二基板1510上。在此例示实施例，第二电极1420仅以单一电极形成，且实质覆盖所有第二基板1510。

于第二层体，第二包覆层1310形成于第二电极接地杆延伸1250以外的第二电极1420上。第二电极接地杆延伸1250实质连接于第二电极1420。

于第三层体，第二聚酰亚胺层1210形成在第二包覆层1310上，除了第二电极接地杆延伸1250延伸通过的第二包覆层1310。

图13a至图13c描绘第一次组件105及第二次组件107结合以形成类比组件100。

将第一次组件105与第二次组件107组装之前，聚酰亚胺层进行准备，其为摩擦。在例示实施例，聚酰亚胺层通过手摩擦，但其他摩擦方式也为发明概念之内。摩擦将分子排列导入至聚酰亚胺层。在其一替代例示实施例，至少一聚酰亚胺层经摩擦使分子排列为不规则分子排列。换言之，第一聚酰亚胺层910及第二聚酰亚胺层1210的其一者或两者在至少一方向摩擦，借此增加预测或建模类比组件100功能的困难性。

如图13b所示，接地面杆延伸650通过导电性环氧树脂1050经结合至第二电极接地杆延伸1250。因第二次组件107已配适于第一次组件105，第二聚酰亚胺层1210压缩且使垫料1070变形。垫料1070在输入波导561的侧边、输出波导564的侧边及波导间隔器560的侧边经压缩及形变，借此提供侧壁，其封闭为一空腔以用于液晶单元。

图14a及图14b所示的空腔用于充填液晶材料，以形成液晶单元1600。在图14a，经描绘的其一感测器空腔660以如光学油充填，以助于将光由其一输出波导564传递至其一感测器1164。

液晶材料可通过任意现有方式植入至空腔内，举例而言，使用真空引导方式，其通过为此目的持续打开的气口(图中未示)，并随后永远关闭。

稍早前指出第一电极320电性连接至其一第一电极讯号线120。图14b描绘液晶单元1600在第一电极320上。虽液晶单元1600仅部分于最左边及最右边的第一电极320上，其仍在第一电极320上。

图14b亦描绘于液晶单元1600上的第二电极1420。图14b所示例示包括位于整体液晶单元1600上的单一第二电极。在其他例示实施例提供至少一第二电极。无论提供单一或至少一第二电极，第二电极应位于第一电极320的相反侧，如图14b所示的方式。换言之，第一及第二电极位于液晶单元1600的相反侧，借此电荷可形成于第一电极320及第二电极1420之间，使液晶材料内结晶于液晶单元1600内改变方向。

类比组件100以第一次组件105及第二次组件107教示。在其他例示实施例，类比组件100形成在各次组件的相异层体上。在其他实施例，层体经组合及/或重新排列。

类比组件的运作

在操作时，光学输入导入至输入波导561，其中，在例示实施例，光学输入为同调光学输入。输入波导561将光学输入连通至液晶单元1600。当第一电极讯号线120通电，在第一电极320与第二电极1420之间的电荷造成液晶单元1600内的结晶改变方向。光学输入经过液晶单元1600的通道因结晶方向而受影响。结晶以不可预期的方式导致漫射、建设性干扰及破坏性干扰。

输出波导564接收液晶单元1600的光学输出，无论其为何，并将其连通至感测器空腔660。输出将根据不同输出波导相异。液晶单元1600的光学输出通过输出波导564传递，进入感测器空腔内的光学油，并通过此媒介连通至感测器1164。

感测器1164借此感测液晶单元1600的光学输出。

图14a及图14b所描绘的例示实施例可根据特定感测器配件1160通过不同方式替代。图14a及图14b例示实施例教示其一实施方式，其中，于或接近类比组件100工艺的末端，感测器配件1160以独立装置方式安装。此实施方式的结果为输出波导564的输出与感测器1164的输入之间的角度。光学油经使用以协助输出到达感测器1164。替代方式，例如使用感测器空腔660内的斜角反射表面也可达到此领域的相似效果。

在其他例示实施例，感测器1164可制造为类比组件100的整体结构，且其配置以使液晶单元1600的光学输出通过输出波导564并不改变方向直接进入感测器1164。

在其他例示实施例，液晶单元1600的光学输出通过输出波导564经传递至对接耦合的光学滤波器，其反过来提供输出至感测器1164。

在其他例示实施例，感测配件1160在晶片外。感测器1164在晶片上具有益处，其类比组件100较能抵抗反向工程。如前所述，于普遍术语，装置为其第一电极电性连接至第一电极讯号线、液晶单元位于第一电极上、至少一第二电极位于液晶单元且相对于第一电极、输入波导经设置以将光学输入导通至液晶单元，及感测器经设置以感测液晶单元的光学输出。装置也具有输出波导，其经设置以将液晶单元的光学输出导通至感测器。

如图14b所示，各所示第一电极320在第一方向(在此例示为附图中由左至右)具有相异尺寸数值(在此例示为长度)。第一电极320的这些尺寸差异具有益处，其使提供在第一电极320与第二电极1420之间的电荷，及液晶单元1600内结晶方向的相应效果更加混乱，因此更能抵抗反向工程及分析。

回到图3a，第一电极320的配置可视为给定类比组件100特定签章的其一方式。具有相同签章的两类比组件100例示，其将相同地运作或足够近似以达到明文及密文之间转换的互通性，如后所述。签章无法相配的两类比组件100例示将无不具互通性。

上述类比组件100以简化的例示论述，其可具有可经轻易替代以达相异签章的不同方式。如上所述，第一电极320的配置为其一方式。为了改变给定装置的签章方式，在生产时仅需要改变提供至第一电极320的遮罩。给定第一电极320的位置、长度、宽度及形状易于通过改变遮罩而变动。可经变动以获得这些类比组件相异签章的方式包括改变第一聚酰亚胺层910及/或第二聚酰亚胺层1210的聚酰亚胺摩擦、改变使用于填充液晶单元1600的材料配方、改变使用于建构输入波导561及输出波导564的特定材料。

在不同例示实施例，温度控制器(图中未示)调节液晶单元1600内材料的温度，以达到不同环境下的持续运转。可经变动以获得类比组件100相异签章的方式为液晶单元1600经调节的温度。

上述方式的结合可变动以达到适用于交互操作的至少一类比组件的组合，或达到彼此无法交互操作的类比组件。

操作时，持续的光学输入导入输入波导561。液晶单元1600输出于感测器1164感测。类比组件输入ai可通过第一电极讯号线120提供至类比组件100。类比组件输入ai为二进位数值或位元的序列。

在图15经部分描绘的例示实施例，类比组件100具有十六个第一电极讯号线120，其各由120-0至120-f编号。因第一电极讯号线120电性连接至第一电极320，来自第一电极讯号线120的讯号流至第一电极。在图16经部分描绘的例示实施例，类比组件100具有十六个第一电极320。各第一电极320由320-0至320-f编号。第一电极讯号线120-0电性连接至第一电极320-0，依此类推。

在此例示实施例，类比组件输入ai一次输入十六位元至类比组件100。举例而言，在计时器的控制下，位流中接续的十六位元的相对数值经使用以驱动第一电极讯号线120的相对的一者。举例而言，若第0位元具有数值1，则第一电极讯号线120-0驱动。举例而言，若第1位元具有数值0，则第一电极讯号线120-1不驱动，依此类推至第f位元。驱动第一电极讯号线120的特定一者，使电荷导入相应的各第一电极320。因此，于任意特定循环，根据使用至类比组件输入ai位流中给定十六位元的数值，特定第一电极320导电，且其他特定第一电极320未导电。

第一电极皆为至少一第二电极1420的相反极性，借此，当电荷出现于第一电极320的给定一个，液晶单元1600内液晶材料的结晶受影响。

图17描绘应用“0110000010010000”的其一模拟结果的例示，其为类比组件输入ai的十六位元，并输入至第一电极讯号线120。于此，最显著的位元(左侧)经使用以驱动线120-0，且最不显著的位元(右侧)经使用以驱动120-f。于此例示，线120-1、120-2、120-8及120-b经驱动。相应的电极320-1、320-2、320-8及320-b导通，影响液晶单元1600内的结晶方向。于图17，液晶单元1600的结晶以正方棱柱表示，当未经任何电荷干扰时，其自附图的顶部至底部呈纵向方向排列。于附图中，当完全受电荷移动时，结晶重新排列为凸出纸面的方向，且当电荷存在但不足以完全重新排列结晶时，其采取中间型位置。

图18近似于图17，但类比组件输入ai的十六位元为“1011110111100111”。电极320-0、320-2至320-5、320-7至320-a及320-d至320-f导电。于此模拟结果，经椭圆型虚线围绕的区域包括受到邻近电极320-0、320-2、320-d及320-f的电荷影响结晶，尽管这些结晶并未直接受任何第一电极320影响。这些经模拟的结晶近乎完全重排列。对比电极320-5与320-6之间的区域，于这两个电极间的结晶受邻近电荷影响，但并未到达足以使其等完全重新排列的程度。

于图17及图18，导入至输入波导561的光将相异地传递至输出波导564，其结果使感测器1164的感测数值将异于彼此。

第一电极320的相异长度增加通过输入波导561导入的光与液晶单元1600内多个结晶之间内部交互作用的熵。

形成少于所有液晶单元1600(如图17及图18所示的右侧半边)的第一电极320也增加熵，且有助于类比组件100的数位不可复制性。

于上述例示实施例，类比组件输入ai以一次十六位元撷取。四个感测器1164分别足够灵敏以感测光的十六种变异，换言之，各感测器可输出经编码于四位元内的数值。自四个感测器1164编码的各输出经编码至四位元，其总共为十六位元。此四组四位元串接以形成十六位元类比组件输出ao。

于上述例示，位流经使用以驱动类比组件100的第一电极讯号线120。更普遍地，经一次撷取十六位元的位流为类比组件输入ai。

于上述例示，十六位元类比组件输出ao取决于感测器1164在液晶单元1600内的结晶受类比组件输入ai影响之后的感测结果。换言之，类比组件输出ao基于结晶类比组件输入ai。如下列所述，使用合适的控制电路系统，基于结晶类比组件输入ai反复自类比组件100获取类比组件输出ao为可行，借此可于十六位元分量处理任意长度的位流。

然而，上述例示实施例使用十六个第一电极讯号线120、十六个第一电极320、四个输出波导564及四个感测器1164，其数目用于教示读者发明概念的用途。

于另一例示实施例，用于类比组件100的设计通过采用二百五十六位元的第一电极讯号线120而可处理二百五十六位元分量的位流。以下称此例示为256位元晶片。各第一电极讯号线120连接至二百五十六个第一电极320的相应一个。这些第一电极320设置四列，如图18，但每列具有六十四个输出波导564。256位元晶片例示实施例具有六十四个输出波导564，且这些输出波导564将液晶单元1600的光学输出连通至六十四个感测器1164中的相应一个。这些感测器1164输出四位元数值，其经串接以提供二百五十六位元类比组件输出ao。

于另一例示实施例，近似于上述段落论述的256位元晶片，仅形成三十二个输出波导564，并仅提供三十二个感测器1164。然而，于此例示，各感测器足够灵敏以输出八位元数值。三十二个八位元数值经串连以提供二百五十六位元类比组件输出ao。于近似于256位元晶片的另一例示实施例，第一电极设置于更多或更少的行或列。于其他例示实施例，输出波导564的位置经设定以使熵最大化。在不脱离本文论述的发明概念，读者可进行其他修改。

上文论述阐述当第一电极讯号线120驱动时，第一电极讯号线120与第一电极320之间的交互作用如何决定这些第一电极320的何者通电。改变第一电极讯号线120及第一电极320的连接模式导致类比组件100的不同签章。因此，除了类比组件100的形成可经不同方式改变，第一电极讯号线120与第一电极320之间的连接方式也可改变。于其一例示实施例，其他交互作用层经提供，借此第一电极讯号线120及第一电极320之间的连接可方便地改变。

驱动组件

举例而言，类比组件100作为图19a及图19b所示的数据安全装置2000的一部分为有益。于图19a，数据安全装置2000接收明文讯息m，其亦可称为数位数据m。于此使用的术语“明文”并不指称明文讯息m必须代表人可读取的讯息。明文讯息m代表于加密前的任意位元组。于不同实施例，明文讯息m先通过其他程序加密，而于其他实施例，明文讯息m先不通过其他程序加密。

数据安全装置2000通过加密程序将明文讯息m转换至密文c。于图19b，数据安全装置2000接收密文c。数据安全装置2000通过解密程序将密文c转换回明文讯息m，其匹配于原本图19a输入的明文讯息m。

图19a及图19b经高度简化，但其提供类比组件100经使用环境的普遍概念。于其一例示，图19a及图19b所示的数据安全装置2000为相同的数据安全装置2000，但使用至少一类比组件100执行加密或解密。于其他例示，图19a的数据安全装置2000是通过通讯线路独立于图19b的数据安全装置2000，且于实施例，其远离图19b的数据安全装置2000。于后者的例示，图19a及图19b中各数据安全装置2000的签章必须匹配，否则其一者输入的明文讯息m将无法匹配于另一者输出的明文讯息m。

图20描绘图19a数据安全装置的较详细实施例。数据安全装置2000包括控制电路系统2100及类比组件100。控制电路系统2100自数据安全装置2000之外接收明文讯息m，并输出密文c至数据安全装置2000之外。将明文讯息m转换至密文c之部分程序使用类比组件100。

于其一实施例，控制电路系统2100以特殊应用积体电路(asic)经应用。

于其他实施例，控制电路系统2100以现场可程式化逻辑闸阵列(fpga)经应用。然而，asic的设定先于制造，fpga为可结构化的积体电路，其在制造后使用近似于asic中使用的硬体描述语言(hdl)。

hdl界定fpga的表现，且编程fpga以具有执行先前界定功能的结构。换言之，fpga的结构由hdl界定，使经编程的fpga为asic形式中独特结构的电子电路。

fpga结构与用于编程其的hdl之间的关系(同样地，及asic结构与用于编程其的hdl之间的关系)于本文重申为经设置(或改装)以执行不同预设运算的电路。“预设运算”为概括于hdl(或其他定义语言如verilog或vhdl)的运算。

于其一实施例，控制电路系统2100为安全fpga。

图21描绘预设运算的其一实施例，其用于控制电路系统2100的加密。此实施例假设明文讯息m以适用于特定类比组件100的分量依序经处理。举例而言，图1a至图42所示的类比组件100，其合适的分量为十六位元。于256位元的例示实施例，其分量为二百五十六位元。以下将适用尺寸分量称为区块。

以下论述经使用于图21的元件符号。

于图21，明文讯息m具有长度|m|，其分为m个mi区块，其中，i＝1，k，m。符号mi表示明文讯息m第i个区块。

图21包括密钥流s的概念，其也称为数位密钥流s。密钥流以m个si区块产生，其中i＝1，k，m。si经产生用于各mi。

密文c以m个ci区块产生，其中i＝1，k，m，且ci＝mixorsi。

n为随机数。k1及k2为256位元金钥。e1k1(n+i-1)为使用k1且随机数n与i加总减一的加密。e2k2(n+i-1)为使用k2且随机数n与i加总减一的加密。

无论于16位元版本、256位元版本或其他实施例，类比组件以a表示。类比组件输入为ai，且类比组件输出为ao。

根据上述说明，函数ek为其中，x为位元组。于上述表现，术语a(e1k1(x))用以表示使用e1k1(x)作为类比组件输入ai以驱动类比组件a的结果。此结果也称为ao。

以ek(x)定义，密钥流s可简单地由给定，其中，两垂直线条为串连运算。相似地，对第一|m|位元的m，密文c可由导出。

图21的处理始于当部分明文讯息m将用于加密。计数器于s2110经启动。第一区块mi位元于s2120获取。若区块过短，其经扩充以具有足够用于区块的数值。若区块经扩充，该扩充后续经抛弃且并不包括密文c。

处理续行s2130，其中，随机数n与i减一的总和以e1k1加密。于2140，其结果经使用以驱动类比组件100的第一电极讯号线120，使某些第一电极320导电，借此改变液晶单元1600中液晶的方向。感测器1164的输出以数位形式表示，且经取得作为ao，其也可写为ao＝a(e1k1(n+i-1))。换言之，术语a(e1k1(n+i-1))基于表示类比组件输出的数位表示。

于s2150，该结果使用k1再次加密，其为e1k1(a(e1k1(n+i-1)))。

于s2130至s2150的处理使用第一加密及金钥k1。事实上，其使用两次第一加密：一次以n+i-1产生类比组件输出，另一次对类比组件输出加密。于其一例示实施例，第一加密为分组加密。于s2160的处理使用第二加密及异于金钥k1的金钥k2。于其一例示实施例，第二加密为分组加密。于s2160，第二加密以k2执行，其为e2k2(n+i-1)。

于s2170，xor运算经执行以获取si。

于s2180，xor运算以mi及si经执行以获取ci。

于s2190，若m的过多mi仍需处理，则处理于s2120之后进行s2195。于s2195增加计数器用以将处理推进至下一区块。另一方面，若无区块需处理，除了抛弃引入的任意扩充，加密为结束。

图22描绘解密事件中用于控制电路系统2100的预设运算。

图22相同于图21，除了两处例外。于s2220，获得密文c的区块ci，而非明文讯息m的区块。于s2280，xor运算以ci及si经执行以获取mi。

图21所示加密处理与图22所示解密处理之间的相似性为部分可行，因使用于加密处理，于解密处理使用可改写为其以m取代c。因此，执行加密的相同控制电路系统2100也可使用于执行解密，取决于不论明文讯息m或密文c经使用作为输入。用于密文与明文之间转换程序的控制在不丧失功能下，可实际相同实施于软体模组或逻辑，其通过通用微处理器实施。

控制电路系统2000的其他样态可经提供以提升数据安全装置2000的安全性。

具体实施方式

控制电路系统2100预设运算的详细实施方式以例示实施例的叙述论述。于此例示实施例，详细运算实行具有类比组件的认证加密(aea)，其为认证加密(ae)的特殊类型。

于图23的其一例示实施例，区块加密e1为置换排列网路。区块加密e1具有256位元的区块长度，及256位元的金钥尺寸。其接受256位元明文x的输入及256位元的金钥k，并产生相应的256位元密文y＝e1k(x)。

区块明文e2经使用以建立安全性的基础水平，其仅取决于数位组件。于此例示，区块明文e2经设计作为e1的变体，其整体结构也图示于图23。其为具有256位元区块长度及256位元金钥尺寸的置换排列网路。其接受256位元明文x的输入及256位元的金钥k，并产生相应的256位元密文y＝e2k(x)。

于其一例示实施例，e2与e1共用相同的整体spn结构、回合转换结构，及金钥排程。然而，置换层、扩散层及回合金钥衍生的组件异于e1的这些组件。

置换层：使用相异非线性8位元s盒。

扩散层：使用相异32x32mds矩阵。

金钥加法：使用异于256位元的常数，以由主钥衍生子钥。

于其一例示实施例，e1及e2具有完整mds扩散层的置换排列网路，近似于区块加密shark(参照：vincentrijmen，joandaemen，bartpreneelantoonbosselaerserikdewin：theciphershark.fse1996，lncs1039，pp.99-111)。不同于aes，其应用mds矩阵至各回合的整体状态，并非仅至单一行。尽管实行效率某种程度上提升，其导致极快速的扩散(仅一回合后即达到完整扩散)，且显著地在多回合内快速降低密码分析特性。下表提供e1/e2与shark及aes的比较。

aea

根据本发明概念，aea为用于认证加密(ae)的模式，其使用区块加密e1及e2，及类比组件a，将256位元输入匹配于256位元输出。aea模式并不假设类比组件a为严格双射，其可容忍某些不完美双射。组件a为确定性函数，此指相等的输入将产出相等的输出。

ae

经认证加密(ae)方案的其一目标同时提供机密性及鉴别/完整性。此可通过结合加密演算法，如具有鉴别性及完整性机制如讯息鉴别码(mac)的区块加密达成。

当讯息及金钥输入时，ae演算法输出相应的密文及鉴别标志。在解密时，此鉴别标志经验证。当成功验证时，回复为明文，当指出错误时，无法显示明文。金钥的概念只有金钥的拥有者可以生产有效的鉴别标志，密文或标志(或两者)在传输中的任意修改将导致高机率的失败验证。

如同区块加密的运算模式，许多ae方案额外采用随机数作为输入(经使用一次的数字，其为公开但于相同金钥不重复)。随机数输入于特定讯息的加密及解密必须相同。

运算经描绘于图24，其描绘基于随机数的验证加密。传送器传输随机数n、密文c及标志t。于相同的金钥，随机数n应仅用于单一讯息。

介面

用于经验证加密的aea模式运算采用的输入是

1.512位元密钥k，其包括256位元密钥k1及256位元密钥k2，即，k＝(k1，k2)；

i)密钥k1可紧密整合于类比组件a，例如，在其一asic晶片上；

ii)密钥k2可设置于包括类比组件a的硬体模组外，例如，在fpga上或在使用的软件内，其目的是建立用于验证加密安全性的基础水平；

2.256位元随机数n(使用一次的数字)；

3.讯息输入m，其长度是0≤|m|＜2¹²⁸位元。

当使用于加密及鉴别时，其输出与讯息输入相等长度的密文，及长度256位元的鉴别标志t：

aea-encrypt：(k，n，m)→(c，t)。

当使用于解密及鉴别时，其输出经回复的明文及标志“s”表示成功验证；或无任何讯息输出及标志“f”表示验证失败：

aea-verify：(k，n，c，t)→(m，{s，f})。

随机数输入假设为公开，但其需为唯一，使任意(k，n)的组合应仅使用一次。短于256位元的随机数以零扩充至256位元串。普遍而言，若单一金钥需要处理大至2^t的讯息区块，则，因为生日悖论，随机数应为2t位元长。

下列界定不同建构区块，与aea加密及解密/验证运算法。

ctr模式

建构区块ctr(n，k，m)采用256位元随机数n、512位元金钥k，及讯息输入m(长度0≤|m|＜2¹²⁸位元)，且产出相等长度的密文c，其通过：

s：＝ek(n)||ek(n+1)||…||ek(n+m-1)

[第一|m|位元]

回传c

函数ek(m)定义为函数ek(m)的运算及使用此函数的ctr模式加密分别描绘于图33及图32。

cbc-mac

建构区块cbc(k，m)采用512位元金钥k，及讯息输入m(长度0≤|m|＜2¹²⁸位元，且256位元的倍数)，并回复cbc模式内讯息最后区块的加密：

(m1，…，mm)：＝m

c0：＝0²⁵⁶

回传cm

于本文，函数ek(m)如上述用于ctr加密的定义。此基于函数ek之mac演算法描绘于图34。

扩充

扩充演算法pad(m，l1，l2)采用长度0≤|m|＜2¹²⁸位元的讯息输入m及两个256位元金钥l1及l2。其回传长度t·256，t≥1的位元串，如下列所述：

若|m|为256的倍数：

回传xorpad(m，l1)

否则：

回传xorpad(m||10^{255-(|m|mod256)}，l2)

于本文，xorpad(m，l)将两位元串m及l中较短者异或(xor)为较长位元串，并回传结果。

讯息鉴别码(mac)演算法

mac演算法mac(t，k，m)采用256位元整数t、512位元金钥k，及长度0≤|m|＜2¹²⁸位元的讯息输入m作为输入。其以下列方式回传鉴别标志：

l：＝ek(0²⁵⁶)

l1：＝e1l(0²⁵⁵||1)

l2：＝e1l(1||0²⁵⁵)

回传cbc(k，pad([t]256|m，l1，l2))

其中，[t]256表示256位元整数t的二进位表示。

aea-encrypt：加密及产生标志

aea认证加密演算法aea-encrypt：(k，n，m)采用512位元金钥k、256位元随机数n，及长度0≤|m|＜2¹²⁸位元的讯息输入m。其以下列方式回传密文c及256位元标志t：

n′：＝mac(0，k，n)

c：＝ctr(n′，k，m)

c′：＝mac(1，k，c)

回传c，t

于两mac呼叫使用相异常数(整数t)确保随机数的处理与加密区块之间合适的域分离。

应注意密文皆具有与明文相等的长度。aea的整体运算描绘于图35。

aea-verify：解密及标志验证

aea解密及验证演算法aea-verify：(k，n，c，t)→(m，{s，f})采用512位元金钥k、256位元随机数n、密文c，及256位元标志t作为输入。其验证鉴别标志，当成功验证时，回传经解密的讯息及标志“s”表示成功验证(不与上述密钥流s混淆)。当验证失败时，其回传空讯息输出及标志“f”：

若|t|＜256则回传′f′

n′：＝mac(0，k，n)

c′：＝mac(1，k，c)

若t≠t′则回传f′

m：＝ctr(n′，k，c)

回传m，′s′

设计的理论基础及安全性分析

将计数器模式加密常式ek(m)定义为的目的是通过区块加密呼叫遮蔽类比组件a的输入及输出。通过另外同时以e2加密m并异或其结果，计数器密钥流的重建需要解密分析经混合的e1类比部分及e2，其中，e1及e2皆为经强烈保守设计的区块加密。

aea经验证模式运算的总架构相异于eax设计(参照m.bellare，p.rogawayandd.wagner，″aconventionalauthenticated-encryptionmode″，2003)。eax将常规区块加密呼叫用于其计数器模式加密，而非aea的e1/a/e2设计。并且，aea的mac设计异于omac。其差异是，两金钥l1及l2并非通过于有限场gf(2²⁵⁶)重复加倍而衍生自l，其通过使用l作为金钥并以区块加密e1加密不同常数而经衍生。其理由为在有限场加倍需要大量实施资源，然而其他区块加密呼叫可使用现成实施的密文。

aea使用正向实施的区块加密e1及e2，而非其反向。其进一步改善实施特性，尤其是在硬体上。

aea模式运算得益于eax的可验证安全性特性。于经认证加密模式的运算，其关心两个安全重点：隐私性及鉴别性。隐私性指明文的机密性，而鉴别性指对抗伪造攻击的安全性。

eax的作者证实，对于该等两安全重点，查询不超过σn位元讯息区块(可能跨越许多查询)的任意对手优势如下列界限：

且

其中，τ代表标志长度。两界限实质上为生日界限，因此，当σ²≈2ⁿ，优势接近1。于aea，n＝τ＝256，因此，若不以相同金钥加密大于2¹²⁸区块，则模式可视为安全。aea的mac运算法满足omac安全认证的需求，即，只要l为随机，l1及l2为独立的随机数值。

aea及eax的另一差异是关于类比组件a的使用，其不必为双射。然而，eax的安全性分析实际上是抽取具体区块加密，并以假定随机n位元至n位元函数。上述安全界限是利用随机函数假设取得，此即，若a的非双射近似等同于随机256位元至256位元函数的碰撞机率(即，1/2²⁵⁶)，且区块加密e1为安全的伪随机排列；或区块加密为安全的伪随机排列，这些界限同样适用于aea。

因e1及e2设计为安全伪随机排列，eax的安全界限也适用于aea。

最后，适用于aea的eax可验证安全性分析，其假设唯一随机数(nonce-respecting)的对手，因此，并不保证于随机数重复的情况。因此，唯一随机数使用于aea。

部分破解的分析

上述安全性分析适用于标准模型，其假设解密分析金钥无法经破解，且对手目标是解密新密文或以有效鉴别标志成功地伪造新讯息。该后者可为下列两设定的其一者：

存在性伪造：演绎有效新讯息/标志，不控制讯息的内容。

普遍性伪造：演绎任意有效新讯息/标志，并完全控制讯息的内容。

在无金钥经破解的情况，其等皆因上方概述的验证安全界限而为不可行。

现在论述ek密文之一或二组件经破解的影响。回顾其定义为

于第一脚本(s1)，仅数位部分e2k2破解，于某种程度而言，对手可计算任意查询，即，已成功撷取或模拟其功能性，且不必然知道金钥k2。于第二脚本(s2)，所有经数位实施的功能性由对手重建，即，可计算对手对e1k1及e2k2的任意查询。此可牵涉是否回复k1及k2。应注意此第二脚本等效于整体主钥k＝(k1，k2)的破解。

对抗s1对手的安全性

于此脚本，对手可用任意输入x计算e2k2(x)。对于安全性目标，其具有下列影响：

机密性：为了解密加密区块ci，对手必须计算计时器密钥流si＝ek(n+i-1)，其需要e1k1(a(e1k1(n+i-1)))及e2k2(n+i-1)的资讯。因e1k1及a无法破解，其不具si的资讯，因此不具有明文mi的资讯。

伪造：如上方概述，对手无法仅以给定的e2k2资讯计算计时器密钥流。对手无法产生相应于其选择明文的正确密文，避免普遍性伪造。对于存在性伪造，对手可尝试计算用于随机密文(或以相同金钥从自其他查询获取的密文)的正确标志。然而，为了生产正确的cbc-mac加密，此需要计算e1k1(a(e1k1(x)))，但其不具有此资讯。

总结上述，e2k2(x)的破解并不直接影响aea的安全性。然而，可验证的安全界限依赖e1k1(a(e1k1(·)))以作为随机函数。

对抗s2对手的安全性

于此脚本，对手可用任意输入x计算e1k1(x)及e2k2(x)。对于安全性目标，其具有下列影响：

机密性：为了解密加密区块ci，对手必须计算计时器密钥流si＝ek(n+i-1)，其需要e1k1(a(e1k1(n+i-1)))及e2k2(n+i-1)的资讯。因为e1k1(x)及e2k2(x)破解，其安全性完全取决于未经破解的组件a。若其碰撞机率高于随机，相应的机密性界限降低至

其中，a的碰撞机率等于1/2^t，且t＜256。

伪造：如同于s1脚本，对抗存在性及普遍性伪造的安全性完全取决于唯一未经破解的组件a。若其碰撞机率高于随机，其相应的鉴别性界限降低至

其中，a的碰撞机率等于1/2^t，且t＜256。

总结上述，e1k1(x)及e2k2(x)的破解并不立即影响aea的安全性。然而，其安全性取决于无法复制类比组件的功能性及其碰撞机率。

后量子安全性

使用量子电脑，尤其是grover演算法，可通过搜寻空间的平方根加速用于加密演算法如e1及e2的穷举金钥搜寻问题：使用grover演算法，k位元金钥可于时间o(2^k/²)而非o(2^k)内暴力破解。因e1及e2经建议使用256位元金钥，其仍提供128位元的后量子安全性。第二考量是量子电路的尺寸(量子位元的数目)，其必须实际实施grover演算法以用于具体区块加密的穷举金钥搜寻。近期研究(m.grassletal：applyinggrover′salgorithmtoaes：quantumresourceestimates，pqcrypto2016)估计，为了攻击aes-256，总共需要6681量子位元的量子电路。其时间复杂性经估计于1.44×2¹⁵¹运算。因e1及e2经设计以具较大状态尺寸，其等应需要至少上述资源以进行成功的量子攻击。

第二顾虑是运算模式(aea)的后量子安全性。作为经合成的模式，其安全性是基于基本cbc及ctr模式运算的安全性。众所皆知，cbc及ctr皆提供对抗量子攻击的ind-cpa(选择明文攻击下的不可区分性)，其于标准prf假设下，且无论加密演算法是经传统方式实施。此即，量子攻击者可仅使用量子演算法处理常规的加密查询，且尤其不要求量子加密查询。当加密演算法亦于量子电脑实施时，此情况为之改变，对手经允许对重叠讯息要求量子查询。近期研究(m.anandetal：post-quantumsecurityofthecbc，cfb，ofb，ctr，andxtsmodesofoperation，pqcrypto2016)公开，于此案例，于基础区块加密的标准非量子prf假设仅足够获取用于ctr的ind-qcpa，但不足以用于cbc。为了具有用于cbc的ind-qcpa安全性，基础区块加密需为qprf(量子安全prf)。

基于aes的变体

于替代性实施例，经使用于aea内的专属区块加密e2及/或e1可由基于aes的区块加密架构取代。因aes为128位元区块加密，其使用平衡费斯妥网路(balancedfeistelnetwork)并使用aes-256(以256位元金钥)作为f函数，经转换至256位元。于256位元金钥k将256位元输入x加密至密文y为下列所述：

l0||r0：＝x

li+1：＝ri

y：＝l10||r10

函数f定义为

且回合金钥为

假设aes-256为安全区块加密，则dai及steinberger之结果(yuanxidai，johnsteinberger：indifferentiabilityof8-roundfeistelnetworks，crypto2016)指出，为了额外的安全边际加入8回合及2回合之后，于随机排列的不可区分性。

应注意不可区分性为极强烈的安全概念：举例而言，对抗所有高于生日界限(2¹²⁸)适应性选择明文攻击的安全性于仅4回合后达成(m.luby，c.rackoff，howtoconstructpseudorandompermutationsfrompseudo-randomfunctions，siamjournaloncomputing，vol.17，n.2，pp.373-386，april1988.)。

应用程式介面的样本

加密：

voidaea_encrypt(constuint8_t*msg，intlen，uint8_t*c，

uint8_ttag[32]，uint8_tnonce[32]，uint8_tkey[64])；

根据aea演算法实施经认证的加密。输入如下列：

msg：讯息输入，长度“len”位元组的位元组串。

len：“msg”的位元组长度，其可为0与maxint之间。

nonce：256位元(32位元组)随机数。于金钥的生命周期内，此数字必需为唯一。其不需为机密，且可经相异金钥重复使用。小于256位元的随机数以零扩充。

key：512位元主钥，其包括用于e1及e2区块加密的k1及k2。

函数输出：

c：密文。其具有与输入“msg”相同的长度。

tag：鉴别标志，其相应于msg、key及nonce。

解密及验证：

boolaea_decrypt{constuint8_t*c，intlen，uint8_t*msg，

uint8_ttag[32]，uint8_tnonce[32]，uint8_tkey[64])；

根据aea演算法实施解密及验证。输入如下列：

c：密文，其是长度“len”位元组的位元组串。

len：“c”的长度，其可为0与maxint之间。

tag：鉴别标志，其相应于c。

nonce：256位元随机数，其经使用于产生密文。

key：512位元主钥，其包括用于e1及e2区块加密的k1及k2。

函数输出：

msg：明文，在成功验证时产生。其具有与输入“msg”相同的长度。若验证失败时，此输出为空输出。

其回传布林值指示成功验证。

此技术领域的技术人员可想出其他特征及其他功能，且可预期这些变化根据上述提供的完整且详细的例示。然而，该等变体应在权利要求的范围与精神之内。