技术领域
[0001] 本
发明涉及安全加密领域,提出的一种用于SoC的数据安全加密模块,特别涉及安全加密系统的实现和大量数据的处理。
背景技术
[0002] 1、片上系统(SoC)指的是在单个芯片上面集成整个
电子系统。从整个系统的功能和性能的
角度出发,SoC系统利用软
硬件结合的设计和验证方法,使用知识产权(IP)模块复用及深亚微米技术,从而在单个芯片上实现复杂的功能。它是以应用需求为前提,利用成熟的IP模块和特定的功能模块,从系统的角度统筹规划,将精简的功能集成到单个芯片上。利用SoC技术生产的芯片具有面向应用,多功能,低功耗,低成本的等优点,适用于无线
传感器网络等多种领域。
[0003] 随着信息技术的发展,信息的安全保护也越来越收到重视。作为利用SoC技术生产的芯片,在处理着大量信息的同时,也面临着各种各样的数据安全隐患。特别是对于应用于安防领域,或是作为
无线传感器网络节点的芯片,信息的安全保护尤为突出。前者本身就需要相应的安全保护机制,后者由于自身的开放性,数据处在恶劣的安全环境中。 [0004] 用于SoC的数据安全加密模块是集成于SoC系统芯片内部,为芯片提供数据安全保护的模块。从信息安全的角度,它能够为数据提供机密性,真实性,新鲜性和可用性等保护。同时由于模块的可复用性,它可以应用于SoC芯片内,为数据提供安全保护。 [0005] 2、传统的信息安全技术与SoC技术相结合的应用还没有得到充分的发展。国内现有的
专利利用SoC技术设计了面向信息安全保护的整个加密芯片。这样的芯片在提供数据安全保护时,由于固定的设计,可应用的范围相对较小,灵活性较低,没有完成发挥SoC是将整个系统集成到单个芯片上的优势。设计基于Soc技术的安全加密模块,在保证了信息安全保护的同时,由于模块的可复用,它可以应用于其他的芯片中,拓宽了应用环境,更加具有灵活性。
[0006] 国外的一些专利技术,更多的关注于安全加密
算法的实现和优化,其研究主 要集中在两个方面,一是
修改了原有的加密算法模型,克服了加密本身的一些
缺陷,提高了加密算法的性能。二是从加密算法的结构出发,设计优化了原有算法
电路,提高了加密算法的吞吐量,节省了芯片的面积。
[0008] 现有的研究在安全保护和SoC技术两者相互融合利用的方面还有待进一步的发展。一方面,在芯片中加入安全保护的机制还不系统化和完善化,只单方面注重数据加密技术的改进并不全面,需要包含身份认证,密钥管理等功能的应用。在特定的应用场景中,可以进行功能性的裁剪。
[0009] 另一方面,关于数据加密算法在硬件电路中的实现,现有的研究技术大多只关注于加密算法的优化,对于算法的应用环境需要和数据的处理量方面考虑较少。加密算法在电路中数据的吞吐量受硬件条件的制约。当数据加密的时间受到约束,所需加密的数据量巨大时,领先的加密算法和落后的
数据处理设计并
不平衡,从而导致了整个安全加密模块性能的下降。
[0010] 缩略语和关键术语定义
[0011] SoC(System On Chip)片上系统
[0012] IP(Intellectual Property)知识产权
[0013] AMBA(Advanced Microcontroller Bus Architecture)高级微控制总线架构 [0014] AHB(Advanced High performance Bus)高级高性能总线
[0015] CPU(Central Processing Unit)
中央处理器发明内容
[0016] 本发明涉及安全加密领域,提出的一种用于SoC的数据安全加密模块实现方法,特别涉及安全加密系统的实现和大量数据的处理。在利用SoC技术的
基础上,本模块可应用于多种芯片,并且相应地为芯片提供系统性的安全数据保护,包括数据加解密,身份认证和密钥管理的功能。特别是对于大量数据的处理,本模块根据高级微控制总线结构(AMBA)协议,使用硬件的方式,实现对大量数据的搬运处理,从而大大缩短了数据处理所需的时间,在不影响加解密性能的前提下,提高了整体数据处理的吞吐量。本发明的具体技术方案如下:
[0017] 一种用于SoC的数据安全加密模块,包括
控制器单元、状态机单元、密钥管理单元、加密单元、解密单元和身份验证单元;
[0018] 所述控制器单元接收来自AHB总线的读写命令,读写配置寄存器,相应的触发状态机单元、密钥管理单元、加密单元、解密单元和身份认证单元的控制命令,并为这些单元提供所需的数据参数;
[0019] 所述状态机单元根据所接收的控制器单元
信号,完成对AHB总线信号的发送和接收,在根据总线协议所规定的时钟周期内,对数据进行读入或者写出,从而完成数据的搬运;
[0020] 所述密钥管理单元根据所接收的控制器单元信号,完成对加解密所需密钥的管理;
[0021] 所述加密单元和解密单元根据控制命令,完成对数据的加密或解密处理;所加密或解密的数据由状态机单元读入,加密或解密所得的数据也由状态机单元写出; [0022] 所述身份认证单元根据所接收的控制器单元的
控制信号和身份认证信息,进行计算并返回一个身份认证码,比对该身份认证码与用户所提供的身份认证码,从而确定用户身份的合法性;
[0023] 当加密、解密操作或者身份认证操作完成,控制器单元触发中断输出指令并通知外部的CPU。
[0024] 所述密钥管理单元对加解密所需密钥的管理具体包括密钥扩展、密钥更新和为加密解密单元提供密钥。
[0025] 在身份认证信息中包含用户身份信息和时间戳信息。
[0026] 本数据安全加密模块的功能实现包括:硬件部分和
软件代码;利用硬件编程语言编写模块硬件代码,实现模块的功能;利用软件编程语言编写软件程序,由控
制模块运行,来对功能和数据寄存器进行赋值,完成数据安全加密模块的初始化,实现
控制模块功能; [0027] 所述身份认证单元功能的实现,是通过软件方式将身份认证的相关信息写入身份认证信息寄存器,并使能身份认证使能寄存器;控制单元接收到使能信号,触发身份认证单元运行,将计算出的身份认证码返回身份认证寄存器;
[0028] 所述密钥管理单元的功能的实现,对于密钥的扩展,是通过软件方式将密钥写入密钥寄存器,并写命令寄存器达到扩展密钥的功能;对于密钥的管理,写密钥管理寄存器和密钥地址寄存器,从而使用该密钥地址的数据作为密钥。
[0029] 本数据安全加密模块采用了硬件方式完成了对数据流的读入与写出,步骤 是,根据
软件代码赋予的数据读取地址A和写入地址B,
硬件实现了读取数据,加密/解密数据和写加密/解密后数据这样的一个周期;在这个周期完成后,递增读取地址A和写入地址B,完成新数据的加解密处理;直到当读取地址A与结束地址C一致时,表明已经处理完该段地址内的数据,达到对设定数据流的加解密操作。
[0030] 本发明技术方案带来的有益效果:
[0031] 本发明结合了SoC和信息安全的技术,设计实现了用于SoC的数据安全加密模块的方法。一方面,该模块具备能在SoC芯片中复用的优势;另一方面,模块从信息安全保护的角度,从多个方面考虑了数据安全保护的机制,不再是以往单一的对数据进行加密,而是从系统化的角度为信息提供安全保障。此外,为了适应大量数据的处理,使用软硬件划分的方式,模块采用硬件方式对数据流进行处理,在保障了数据加解密正常进行的前提下,大大缩短了数据处理所需的时间。
[0032] 本发明的技术关键点包括:
[0033] 1、系统化的信息安全保护机制
[0034] 在用于SoC的数据安全加密模块中,本发明包括了身份认证,密钥管理,数据加解密等多种功能单元,从多个方面考虑对于数据信息的安全性保护。相较于以往功能单一的芯片设计而言,更着重于构建一个系统化的信息安全保护机制。将信息安全体制的思想与SoC的芯片设计相结合,改善了原有的安全芯片设计片面化的缺点。同时在本发明的体系架构下,无论是对于新的加密算法或是身份认证的方法,可以通过修改功能单元达到优化的目的,延长了数据安全加密模块的使用寿命,拓展了模块的功能,比一般的安全加密芯片具有更大的优势。
[0035] 2、硬件方式处理大量的数据信息
[0036] 本发明根据AMBA总线协议,编写硬件代码,完成了对大量的数据从读取,加解密,存储的过程。相较于常用的利用软件方式调用加解密模块的方式,硬件实现数据流调用的方式大大缩短了所需的工作周期。特别是数据量较大的时候,节省出来的时间更是尤为可观,最终硬件方式处理的数据吞吐量可以达到软件方式吞吐量的几倍甚至于十几倍,特别适用于当需要在给定时限内对大量数据进行加解密处理的情况。
附图说明:
[0037] 图1:安全加密模块架构示意图;
[0039] 附表说明:
[0041] 表2:模块寄存器功能描述。
[0042]
[0043] 表1
[0044]
[0045]
[0046] 表2
具体实施方式
[0048] 根据AMBA总线协议,本发明可以作为总线的主机挂载在AMBA总线协议的高级高性能总线(AHB)上面。对于要使用本发明模块的芯片,只要芯片内部的信息交互遵循AMBA总线协议,可以通过写命令寄存器完成对数据加解密等信息安全处理功能。 [0049] 1、数据安全加密模块组成单元和接口信号描述
[0050] 如图1所示,本例的用于SoC的数据安全加密模块,包括控制器单元、状态机单元、密钥管理单元、加密单元、解密单元和身份验证单元。本数据安全加密模块的总线接口如表1所示。其中AHB_clk_i,AHB_rst_i和AHB_int_o分别作为模块的
时钟信号,复位信号和中断信号。主机信号和从机信号是根据AMBA2.0总线协议编写的可以挂接在AHB总线上的接口信号。对于使用AMBA总线协议的芯片,其中央处理器(CPU)可以通过发送和响应这些接口信号,读写相应寄存器,完成对挂接的数据安全加密模块的管理。 [0051] 所述控制器单元接收来自AHB总线的读写命令,读写配置寄存器,相应的触发状态机单元,密钥管理单元,加密解密单元,身份认证单元的控制命令。并为这些单元提供所需的数据参数。这些操作的开始,运行和结束,都由控制器单元控制,同时状态机单元保证了这些操作的命令信号和数据的时序一致性。
[0052] 所述状态机单元根据所接收的控制器单元信号,完成对AHB总线信号的发送和接收。在根据总线协议所规定的时钟周期内,可以对数据进行读入或者写出,从而完成数据的搬运。
[0053] 所述密钥管理单元根据所接收的控制器单元信号,完成对加解密所需密钥的管理工作,包括密钥扩展,密钥跟新和为加密解密单元提供密钥。
[0054] 所述加密单元和解密单元是数据安全加密处理的主体,根据控制命令,可以 完成对数据的加密或解密处理。所加密或解密的数据由状态机单元读入,加密或解密所得的数据也由状态机单元写出。加密和解密所需的密钥由密钥管理单元提供。这里采用的加密算法可以使一些国际通用的分组密钥算法,如RC5算法,DES算法等。
[0055] 所述身份认证单元根据所接收的控制器单元的控制信号和身份认证信息,由约定的认证算法,计算并返回一个身份认证码,通过比对用户所提供的身份认证码,从而确定用户身份的合法性。在身份认证信息中可以包含时间戳信息,从而保证了信息的新鲜性。 [0056] 当加密解密操作或者身份认证操作完成,控制器单元触发AHB_int_o中断输出并通知CPU。CPU可以通过读状态寄存器区别加密,解密和身份认证操作。 [0057] 2、数据安全加密模块的实现
[0058] 数据安全加密模块的功能实现主要由两部分组成:硬件部分和软件代码。利用Verilog语言编写模块硬件代码,实现模块的功能。利用C语言编写软件程序,控制模块的运行,对功能和数据寄存器进行赋值,完成模块的初始化,控制模块的工作。 [0059] 本发明所述的数据安全加密模块的寄存器功能描述如表2所述。 [0060] 所述身份认证功能的实现,通过软件方式将身份认证的相关信息写入身份认证信息寄存器,并使能身份认证使能寄存器。控制器单元接收到使能信号,触发身份认证单元运行,将计算出的身份认证码返回身份认证寄存器。在软件程序可以通过读身份认证寄存器与预期的身份认证码比较,从而判断用户身份的合法性。
[0061] 所述密钥管理功能的实现,对于密钥的扩展,通过软件方式将密钥写入密钥寄存器,并写命令寄存器达到扩展密钥的功能。对于密钥的管理,写密钥管理寄存器和密钥地址寄存器,从而可以使用该地址的数据作为密钥。
[0062] 所述数据流加解密处理功能的实现,对于SoC技术而言,软硬件的划分是其中考虑的一个重要问题。在本发明中,对于数据的加解密处理,没有使用以往的硬件实现加解密功能,软件程序控制加密模块反复循环执行的方法。这是由于软件反复调用硬件模块的方式需要的时钟周期过长,特别是在大量数据需要处理的情况下,会使得调用硬件所需的时间占据了主要部分。
[0063] 本发明采用了硬件方式完成了对数据流的读入与写出。如图2所示,根据软 件代码赋予的数据读取地址A和写入地址B,硬件实现了读取数据,加密/解密数据和写加密/解密后数据这样的一个周期。并在这个周期完成后,自动递增读取地址A和写入地址B,完成新数据的加解密处理。直到当读取地址A与结束地址C一致时,表明已经处理完该段地址内的数据,达到对设定数据流的加解密操作。通过这种方式对数据流进行处理,避免了由于软件调用模块所需时间周期过长的缺点,所需的只是加解密处理的时间和硬件方式读写数据的时间。且硬件实现读写数据只需要几个时钟周期,这大大的缩短了加解密处理数据间的时间间隔,特别是对于大量数据进行的加解密操作,所能节省的时间尤为可观。
