|
|
| <!--插入廣告JS代碼--> |
網(wǎng)絡業(yè)務的普及,給人們生活帶來了方便,但同時也給人們生活帶來了更多的安全隱患。今天,網(wǎng)絡信息交互中產(chǎn)生的信息安全問題已經(jīng)成為要進一步推進信息化,加速網(wǎng)絡應用中急需解決的關鍵問題之一。信息盜取與偽造、黑客攻擊、非法內(nèi)容傳播等等的網(wǎng)絡信息安全問題侵擾損害著網(wǎng)絡用戶的安全與利益。只有基于更加安全可信的網(wǎng)絡,人們才可能更安全地、放心地在高速網(wǎng)絡上暢通行駛,否則,必將導致互聯(lián)網(wǎng)絡及其增值業(yè)務發(fā)展的瓶頸。
網(wǎng)絡的迅速發(fā)展,對信息安全技術要求也越來越高。當前,信息安全防護已經(jīng)從傳統(tǒng)的單點信息加密發(fā)展到了構建以芯片級硬件防護為基礎,覆蓋全網(wǎng)絡系統(tǒng)的信息保障體系。基于芯片級的硬件解決方案已經(jīng)成為保證信息安全的最可靠的途徑。
解決應用多樣性和開發(fā)通用性的IP
在快速發(fā)展的網(wǎng)絡社會中,信息安全系統(tǒng)將無處不在,在PC的芯片組、CPU外設、網(wǎng)卡乃至路由器、交換機、以及個人設備中的手機、PDA、智能IC卡中,都將實現(xiàn)內(nèi)置安全控制模塊。所以,未來信息安全芯片技術的開發(fā)必須很好地解決應用多樣性和開發(fā)通用性的問題,因為未來的信息安全模塊產(chǎn)品將呈現(xiàn)出一種智能化、模塊化、可裁減、可重配置的特征。通過整合各種面向信息安全的專用算法IP、網(wǎng)絡處理IP、軟硬件接口IP、操作系統(tǒng)IP等,并針對具體應用進行裁減和重配置,在較短的開發(fā)周期內(nèi)構建出高性能、高可靠性、低成本的滿足信息安全設計要求的SoC芯片。
圖1:可重配置的嵌入式安全協(xié)處理器IP核架構。
作為信息安全內(nèi)置模塊的關鍵IP核,嵌入式安全協(xié)處理器為了適用SoC芯片的上述發(fā)展特性,也必須具備相應的特征。因此,開發(fā)具有可重配置的嵌入式安全協(xié)處理器IP核已經(jīng)成為業(yè)內(nèi)設計人員追求的重要目標之一,因為它可以提高設計的重用性,降低開發(fā)時間和成本。 所謂可重配置特性,主要體現(xiàn)在以下幾個方面:
1. 密鑰長度的可配置性:在不同的應用場合下,人們對對于安全系統(tǒng)的安全性期望值的高低不同。而決定SoC芯片系統(tǒng)安全性設計指標的主要因素是嵌入式安全協(xié)處理器IP核的密鑰長度以及相應的其它參數(shù)。通過選擇合適的數(shù)域算法和運算單元VLSI結構,使得密鑰長度和數(shù)域參數(shù)的相應變化不會影響到整個嵌入式安全協(xié)處理器系統(tǒng)的架構,從而可以體現(xiàn)密鑰長度的可配置性。
處理器IP核及其應用--電子技術文章-技術資料-廣東電子商貿(mào)網(wǎng).files/20064219581813448.jpg)
圖2:可重配置的協(xié)處理器IP核的數(shù)據(jù)通路。
2. 調(diào)度方案的可配置性:目前,人們一般采用有限狀態(tài)機的方式來實現(xiàn)對安全協(xié)處理器IP中密碼算法的調(diào)度控制。這種解決方案使得控制邏輯復雜、不便于VLSI設計及驗證,且可配置和可擴展性差。一種新的解決方案就是采用協(xié)處理器擴展指令和微代碼指令相結合的形式,使得譯碼控制相對簡單,且對于不同的上層調(diào)度算法,可以通過進行指令來重編程實現(xiàn),而無需重新設計協(xié)處理器架構,從而增加了靈活性。
3. 嵌入式安全協(xié)處理器性能的可配置性:對于不同的應用,如服務器端和用戶端,各種SoC芯片系統(tǒng)對嵌入式安全協(xié)處理器IP的面積-速度、性能-成本會提出不同的要求。因此,應用可伸縮的數(shù)據(jù)通路設計技術,對協(xié)處理器IP的核心運算單元進行一種可伸縮分組并行的VLSI結構設計,通過調(diào)節(jié)分組并行系數(shù)來改變模乘器的處理能力,從而達到性能的可重配置。此外,也可以采用運算單元與相應的微代碼指令對協(xié)處理器的數(shù)據(jù)通路進行重新配置,從而達到上述目的。
可重配置的嵌入式安全協(xié)處理器IP核架構
圖3:嵌入式安全協(xié)處理器IP核的系統(tǒng)集成。
針對實現(xiàn)不同功能,上海微科集成電路有限公司已經(jīng)成功開發(fā)了可重配置的嵌入式安全協(xié)處理IP核系列產(chǎn)品。以其中一款RSA/ECC二合一IP產(chǎn)品為例,該IP核具備上述的密鑰長度、密碼算法調(diào)度和IP核性能可重配置的特征。
該可重配置的嵌入式安全協(xié)處理器IP核的VLSI架構如圖1所示,共分為三部分:總線流水線狀態(tài)跟隨器、兩級譯碼控制電路和數(shù)據(jù)通路模塊。
其中,指令總線跟隨器主要是對主處理器的狀態(tài)進行跟蹤,根據(jù)主處理器指令決定是否進行協(xié)處理器操作,并負責向主處理器發(fā)送和接收相應的握手信號;兩級譯碼控制電路主要負責將協(xié)處理器擴展指令轉(zhuǎn)換成相應的微代碼指令,再將微代碼指令譯成相應的控制信號,從而控制數(shù)據(jù)通路工作;數(shù)據(jù)通路模塊則主要完成有限域基本運算層的運算實現(xiàn),包括RSA的模乘和ECC的點乘運算。
兩級譯碼指令集包括主處理器擴展指令和微代碼指令。其中,主處理器擴展指令包括協(xié)處理器數(shù)據(jù)處理指令和協(xié)處理器數(shù)據(jù)傳送指令,共計12條指令;微代碼指令集包括基本數(shù)域的數(shù)據(jù)運算指令和基本數(shù)域的數(shù)據(jù)傳送指令,共計10條指令。
可重配置協(xié)處理器IP核的數(shù)據(jù)通路VLSI結構如圖2所示。整個數(shù)據(jù)通路主要包括:兩組可以獨立工作也可以統(tǒng)一工作的256位雙域加法器DFA,一個適用于GF(2m)域的加法器GFXOR,一個適用于GF(P)的加法器GFADD,以及一個比較器comp。
圖4:OMA2.0硬件加速數(shù)字版權保護模塊。
圖2所示的數(shù)據(jù)通路具有數(shù)域?qū)挾瓤勺兊奶攸c,也就是說在設計的最大域?qū)挿秶鷥?nèi),用戶可以根據(jù)不同的安全性能要求,選擇不同的工作域和工作曲線,而不需要對數(shù)據(jù)通路作任何修改。例如對ECC系統(tǒng)而言,目前應用較多的GF(2155)、GF(2163)、GF(2193)、GF(2233)等域都可以在該數(shù)據(jù)通路中完成;對于RSA而言,目前至少可以實現(xiàn)512位、1,024位、2,048位等數(shù)域的運算。
上海微科集成電路有限公司開發(fā)的上述IP核具有以下的技術指標:
1. 基于PKI體制,集成了目前主流的公鑰制密碼算法;
2. 支持RSA密鑰長度有:512位、1,024位、2,048位;支持ECC密鑰長度有:155位、163位、193位、233位等;
3. 可以實現(xiàn)目前各種數(shù)字簽名與認證、數(shù)據(jù)的解密與解密等協(xié)議;
4. RSA的簽名、加密速度20次/秒(@100MHz);
5. ECC的簽名、加密速度50次/秒(@100MHz);
6. 接口符合AMBA2.0規(guī)范;
7. 采用兩級譯碼方式,具有很好的擴展性能;
8. RSA、ECC兩種密碼算法采用統(tǒng)一的數(shù)據(jù)通路;
9. 具備防御功耗、故障與時間攻擊與分析的能力。
圖5:該可重配置嵌入式安全協(xié)處理器IP核的芯片照片及演示系統(tǒng)。
典型應用
該IP核采用符合AMBA2.0規(guī)范的接口,便于系統(tǒng)集成。將可重配置的嵌入式安全協(xié)處理器IP核與主處理器等模塊集成,方便地構成特定應用的滿足信息安全設計需求的SoC芯片。一個典型的SoC系統(tǒng)集成的例子如圖3所示。
可重配置的嵌入式安全協(xié)處理器IP核可以實現(xiàn)數(shù)據(jù)加密與解密、數(shù)字簽名與身份認證等功能。典型應用在:
1. 高端智能卡芯片:滿足電子商務、政務等應用的安全性要求。
2. PC芯片組:提供計算機本身的安全防護能力,實現(xiàn)可信計算TPM。
3. 多媒體終端SoC芯片:滿足數(shù)字版權保護DRM的要求。
4. 通信SoC芯片:例如WLAN、VPN等應用需求芯片以滿足網(wǎng)絡系統(tǒng)安全需求。 圖4和圖5是一個基于嵌入式安全協(xié)處理器IP核的DRM數(shù)字版權芯片級硬件保護解決方案。
作者:曾曉洋
上海微科集成電路有限公司技術總監(jiān)
復旦大學信息安全芯片實驗室主任
66821730(技術支持)
