原创 可重配置的嵌入式安全协处理器IP核及其应用

网络业务的普及，给人们生活带来了方便，但同时也给人们生活带来了更多的安全隐患。今天，网络信息交互中产生的信息安全问题已经成为要进一步推进信息化，加速网络应用中急需解决的关键问题之一。信息盗取与伪造、黑客攻击、非法内容传播等等的网络信息安全问题侵扰损害着网络用户的安全与利益。只有基于更加安全可信的网络，人们才可能更安全地、放心地在高速网络上畅通行驶，否则，必将导致互联网络及其增值业务发展的瓶颈。

网络的迅速发展，对信息安全技术要求也越来越高。当前，信息安全防护已经从传统的单点信息加密发展到了构建以芯片级硬件防护为基础，覆盖全网络系统的信息保障体系。基于芯片级的硬件解决方案已经成为保证信息安全的最可靠的途径。

解决应用多样性和开发通用性的IP

在快速发展的网络社会中，信息安全系统将无处不在，在PC的芯片组、CPU外设、网卡乃至路由器、交换机、以及个人设备中的手机、PDA、智能IC卡中，都将实现内置安全控制模块。所以，未来信息安全芯片技术的开发必须很好地解决应用多样性和开发通用性的问题，因为未来的信息安全模块产品将呈现出一种智能化、模块化、可裁减、可重配置的特征。通过整合各种面向信息安全的专用算法IP、网络处理IP、软硬件接口IP、操作系统IP等，并针对具体应用进行裁减和重配置，在较短的开发周期内构建出高性能、高可靠性、低成本的满足信息安全设计要求的SoC芯片。

图1：可重配置的嵌入式安全协处理器IP核架构。

作为信息安全内置模块的关键IP核，嵌入式安全协处理器为了适用SoC芯片的上述发展特性，也必须具备相应的特征。因此，开发具有可重配置的嵌入式安全协处理器IP核已经成为业内设计人员追求的重要目标之一，因为它可以提高设计的重用性，降低开发时间和成本。

所谓可重配置特性，主要体现在以下几个方面：

1. 密钥长度的可配置性：在不同的应用场合下，人们对对于安全系统的安全性期望值的高低不同。而决定SoC芯片系统安全性设计指标的主要因素是嵌入式安全协处理器IP核的密钥长度以及相应的其它参数。通过选择合适的数域算法和运算单元VLSI结构，使得密钥长度和数域参数的相应变化不会影响到整个嵌入式安全协处理器系统的架构，从而可以体现密钥长度的可配置性。

图2：可重配置的协处理器IP核的数据通路。

2. 调度方案的可配置性：目前，人们一般采用有限状态机的方式来实现对安全协处理器IP中密码算法的调度控制。这种解决方案使得控制逻辑复杂、不便于VLSI设计及验证，且可配置和可扩展性差。一种新的解决方案就是采用协处理器扩展指令和微代码指令相结合的形式，使得译码控制相对简单，且对于不同的上层调度算法，可以通过进行指令来重编程实现，而无需重新设计协处理器架构，从而增加了灵活性。

3. 嵌入式安全协处理器性能的可配置性：对于不同的应用，如服务器端和用户端，各种SoC芯片系统对嵌入式安全协处理器IP的面积-速度、性能-成本会提出不同的要求。因此，应用可伸缩的数据通路设计技术，对协处理器IP的核心运算单元进行一种可伸缩分组并行的VLSI结构设计，通过调节分组并行系数来改变模乘器的处理能力，从而达到性能的可重配置。此外，也可以采用运算单元与相应的微代码指令对协处理器的数据通路进行重新配置，从而达到上述目的。

可重配置的嵌入式安全协处理器IP核架构

图3：嵌入式安全协处理器IP核的系统集成。

针对实现不同功能，上海微科集成电路有限公司已经成功开发了可重配置的嵌入式安全协处理IP核系列产品。以其中一款RSA/ECC二合一IP产品为例，该IP核具备上述的密钥长度、密码算法调度和IP核性能可重配置的特征。

该可重配置的嵌入式安全协处理器IP核的VLSI架构如图1所示，共分为三部分：总线流水线状态跟随器、两级译码控制电路和数据通路模块。

其中，指令总线跟随器主要是对主处理器的状态进行跟踪，根据主处理器指令决定是否进行协处理器操作，并负责向主处理器发送和接收相应的握手信号；两级译码控制电路主要负责将协处理器扩展指令转换成相应的微代码指令，再将微代码指令译成相应的控制信号，从而控制数据通路工作；数据通路模块则主要完成有限域基本运算层的运算实现，包括RSA的模乘和ECC的点乘运算。

两级译码指令集包括主处理器扩展指令和微代码指令。其中，主处理器扩展指令包括协处理器数据处理指令和协处理器数据传送指令，共计12条指令；微代码指令集包括基本数域的数据运算指令和基本数域的数据传送指令，共计10条指令。

可重配置协处理器IP核的数据通路VLSI结构如图2所示。整个数据通路主要包括：两组可以独立工作也可以统一工作的256位双域加法器DFA，一个适用于GF(2^m)域的加法器GFXOR，一个适用于GF(P)的加法器GFADD，以及一个比较器comp。

图4：OMA2.0硬件加速数字版权保护模块。

图2所示的数据通路具有数域宽度可变的特点，也就是说在设计的最大域宽范围内，用户可以根据不同的安全性能要求，选择不同的工作域和工作曲线，而不需要对数据通路作任何修改。例如对ECC系统而言，目前应用较多的GF(2¹⁵⁵)、GF(2¹⁶³)、GF(2¹⁹³)、GF(2²³³)等域都可以在该数据通路中完成；对于RSA而言，目前至少可以实现512位、1,024位、2,048位等数域的运算。

上海微科集成电路有限公司开发的上述IP核具有以下的技术指标：

1. 基于PKI体制，集成了目前主流的公钥制密码算法；

2. 支持RSA密钥长度有：512位、1,024位、2,048位；支持ECC密钥长度有：155位、163位、193位、233位等；

3. 可以实现目前各种数字签名与认证、数据的解密与解密等协议；

4. RSA的签名、加密速度20次/秒(@100MHz)；

5. ECC的签名、加密速度50次/秒(@100MHz)；

6. 接口符合AMBA2.0规范；

7. 采用两级译码方式，具有很好的扩展性能；

8. RSA、ECC两种密码算法采用统一的数据通路；

9. 具备防御功耗、故障与时间攻击与分析的能力。

图5：该可重配置嵌入式安全协处理器IP核的芯片照片及演示系统。

典型应用

该IP核采用符合AMBA2.0规范的接口，便于系统集成。将可重配置的嵌入式安全协处理器IP核与主处理器等模块集成，方便地构成特定应用的满足信息安全设计需求的SoC芯片。一个典型的SoC系统集成的例子如图3所示。

可重配置的嵌入式安全协处理器IP核可以实现数据加密与解密、数字签名与身份认证等功能。典型应用在：

1. 高端智能卡芯片：满足电子商务、政务等应用的安全性要求。

2. PC芯片组：提供计算机本身的安全防护能力，实现可信计算TPM。

3. 多媒体终端SoC芯片：满足数字版权保护DRM的要求。

4. 通信SoC芯片：例如WLAN、VPN等应用需求芯片以满足网络系统安全需求。

图4和图5是一个基于嵌入式安全协处理器IP核的DRM数字版权芯片级硬件保护解决方案。

作者：曾晓洋

上海微科集成电路有限公司技术总监

复旦大学信息安全芯片实验室主任