专利名称:用于SoC的数据安全加密模块的利记博彩app
技术领域:
本发明涉及安全加密领域,提出的一种用于SoC的数据安全加密模块,特别涉及安全加密系统的实现和大量数据的处理。
背景技术:
I、片上系统(SoC)指的是在单个芯片上面集成整个电子系统。从整个系统的功能 和性能的角度出发,SoC系统利用软硬件结合的设计和验证方法,使用知识产权(IP)模块复用及深亚微米技术,从而在单个芯片上实现复杂的功能。它是以应用需求为前提,利用成熟的IP模块和特定的功能模块,从系统的角度统筹规划,将精简的功能集成到单个芯片上。利用SoC技术生产的芯片具有面向应用,多功能,低功耗,低成本的等优点,适用于无线传感器网络等多种领域。随着信息技术的发展,信息的安全保护也越来越收到重视。作为利用SoC技术生产的芯片,在处理着大量信息的同时,也面临着各种各样的数据安全隐患。特别是对于应用于安防领域,或是作为无线传感器网络节点的芯片,信息的安全保护尤为突出。前者本身就需要相应的安全保护机制,后者由于自身的开放性,数据处在恶劣的安全环境中。用于SoC的数据安全加密模块是集成于SoC系统芯片内部,为芯片提供数据安全保护的模块。从信息安全的角度,它能够为数据提供机密性,真实性,新鮮性和可用性等保护。同时由于模块的可复用性,它可以应用于SoC芯片内,为数据提供安全保护。2、传统的信息安全技术与SoC技术相结合的应用还没有得到充分的发展。国内现有的专利利用SoC技术设计了面向信息安全保护的整个加密芯片。这样的芯片在提供数据安全保护时,由于固定的设计,可应用的范围相对较小,灵活性较低,没有完成发挥SoC是将整个系统集成到单个芯片上的优势。设计基于Soc技术的安全加密模块,在保证了信息安全保护的同时,由于模块的可复用,它可以应用于其他的芯片中,拓宽了应用环境,更加具有灵活性。国外的ー些专利技术,更多的关注于安全加密算法的实现和优化,其研究主要集中在两个方面,ー是修改了原有的加密算法模型,克服了加密本身的一些缺陷,提高了加密 算法的性能。ニ是从加密算法的结构出发,设计优化了原有算法电路,提高了加密算法的吞吐量,节省了芯片的面积。3、现有技术的缺点现有的研究在安全保护和SoC技术两者相互融合利用的方面还有待进ー步的发展。一方面,在芯片中加入安全保护的机制还不系统化和完善化,只单方面注重数据加密技术的改进并不全面,需要包含身份认证,密钥管理等功能的应用。在特定的应用场景中,可以进行功能性的裁剪。另ー方面,关于数据加密算法在硬件电路中的实现,现有的研究技术大多只关注于加密算法的优化,对于算法的应用环境需要和数据的处理量方面考虑较少。加密算法在电路中数据的吞吐量受硬件条件的制約。当数据加密的时间受到约束,所需加密的数据量巨大时,领先的加密算法和落后的数据处理设计并不平衡,从而导致了整个安全加密模块性能的下降。缩略语和关键术语定义SoC (System On Chip)片上系统IP (Intellectual Property)知识产权AMBA(Advanced Microcontroller Bus Architecture)高级微控制总线架构AHB (Advanced High performance Bus)高级高性能总线CPU (Central Processing Unit)中央处理器
发明内容
本发明涉及安全加密领域,提出的一种用于SoC的数据安全加密模块实现方法,特别涉及安全加密系统的实现和大量数据的处理。在利用SoC技术的基础上,本模块可应用于多种芯片,并且相应地为芯片提供系统性的安全数据保护,包括数据加解密,身份认证和密钥管理的功能。特别是对于大量数据的处理,本模块根据高级微控制总线结构(AMBA)协议,使用硬件的方式,实现对大量数据的搬运处理,从而大大缩短了数据处理所需的时间,在不影响加解密性能的前提下,提高了整体数据处理的呑吐量。本发明的具体技术方案如下一种用于SoC的数据安全加密模块,包括控制器单元、状态机单元、密钥管理单元、加密单元、解密单元和身份验证単元;所述控制器単元接收来自AHB总线的读写命令,读写配置寄存器,相应的触发状态机单元、密钥管理単元、加密单元、解密单元和身份认证単元的控制命令,并为这些单元提供所需的数据參数;所述状态机単元根据所接收的控制器単元信号,完成对AHB总线信号的发送和接收,在根据总线协议所规定的时钟周期内,对数据进行读入或者写出,从而完成数据的搬运;所述密钥管理単元根据所接收的控制器単元信号,完成对加解密所需密钥的管理;所述加密单元和解密单元根据控制命令,完成对数据的加密或解密处理;所加密或解密的数据由状态机单元读入,加密或解密所得的数据也由状态机单元写出;所述身份认证单元根据所接收的控制器単元的控制信号和身份认证信息,进行计算并返回一个身份认证码,比对该身份认证码与用户所提供的身份认证码,从而确定用户身份的合法性;当加密、解密操作或者身份认证操作完成,控制器单元触发中断输出指令并通知外部的CPU。所述密钥管理单元对加解密所需密钥的管理具体包括密钥扩展、密钥更新和为加密解密単元提供密钥。在身份认证信息中包含用户身份信息和时间戳信息。本数据安全加密模块的功能实现包括硬件部分和软件代码;利用硬件编程语言编写模块硬件代码,实现模块的功能;利用软件编程语言编写软件程序,由控制模块运行,、来对功能和数据寄存器进行赋值,完成数据安全加密模块的初始化,实现控制模块功能;所述身份认证单元功能的实现,是通过软件方式将身份认证的相关信息写入身份认证信息寄存器,并使能身份认证使能寄存器;控制单元接收到使能信号,触发身份认证单元运行,将计算出的身份认证码返回身份认证寄存器;所述密钥管理単元的功能的实现,对于密钥的扩展,是通过软件方式将密钥写入密钥寄存器,并写命令寄存器达到扩展密钥的功能;对于密钥的管理,写密钥管理寄存器和密钥地址寄存器,从而使用该密钥地址的数据作为密钥。本数据安全加密模块采用了硬件方式完成了对数据流的读入与写出,步骤是,根
据软件代码赋予的数据读取地址A和写入地址B,硬件实现了读取数据,加密/解密数据和写加密/解密后数据这样的ー个周期;在这个周期完成后,递增读取地址A和写入地址B,完成新数据的加解密处理;直到当读取地址A与结束地址C一致时,表明已经处理完该段地址内的数据,达到对设定数据流的加解密操作。本发明技术方案带来的有益效果本发明结合了 SoC和信息安全的技术,设计实现了用于SoC的数据安全加密模块的方法。一方面,该模块具备能在SoC芯片中复用的优势;另一方面,模块从信息安全保护的角度,从多个方面考虑了数据安全保护的机制,不再是以往単一的对数据进行加密,而是从系统化的角度为信息提供安全保障。此外,为了适应大量数据的处理,使用软硬件划分的方式,模块采用硬件方式对数据流进行处理,在保障了数据加解密正常进行的前提下,大大缩短了数据处理所需的时间。本发明的技术关键点包括I、系统化的信息安全保护机制在用于SoC的数据安全加密模块中,本发明包括了身份认证,密钥管理,数据加解密等多种功能単元,从多个方面考虑对于数据信息的安全性保护。相较于以往功能単一的芯片设计而言,更着重于构建一个系统化的信息安全保护机制。将信息安全体制的思想与SoC的芯片设计相结合,改善了原有的安全芯片设计片面化的缺点。同时在本发明的体系架构下,无论是对于新的加密算法或是身份认证的方法,可以通过修改功能単元达到优化的目的,延长了数据安全加密模块的使用寿命,拓展了模块的功能,比一般的安全加密芯片具有更大的优势。2、硬件方式处理大量的数据信息本发明根据AMBA总线协议,编写硬件代码,完成了对大量的数据从读取,加解密,存储的过程。相较于常用的利用软件方式调用加解密模块的方式,硬件实现数据流调用的方式大大缩短了所需的工作周期。特别是数据量较大的时候,节省出来的时间更是尤为可观,最終硬件方式处理的数据吞吐量可以达到软件方式呑吐量的几倍甚至于十几倍,特别适用于当需要在给定时限内对大量数据进行加解密处理的情況。
图I :安全加密模块架构示意图;图2 :硬件处理数据流流程图。附表说明
表I :模块接ロ信号描述;表2 :模块寄存器功能描述。
权利要求
1.一种用于SoC的数据安全加密模块,其特征是包括控制器単元、状态机单元、密钥管理单元、加密单元、解密单元和身份验证単元; 所述控制器単元接收来自AHB总线的读写命令,读写配置寄存器,相应的触发状态机単元、密钥管理単元、加密单元、解密单元和身份认证単元的控制命令,并为这些单元提供所需的数据參数; 所述状态机単元根据所接收的控制器単元信号,完成对AHB总线信号的发送和接收,在根据总线协议所规定的时钟周期内,对数据进行读入或者写出,从而完成数据的搬运; 所述密钥管理単元根据所接收的控制器単元信号,完成对加解密所需密钥的管理; 所述加密单元和解密单元根据控制命令,完成对数据的加密或解密处理;所加密或解密的数据由状态机单元读入,加密或解密所得的数据也由状态机单元写出; 所述身份认证单元根据所接收的控制器単元的控制信号和用户写入寄存器的身份认证信息,进行计算并返回一个身份认证码,比对该身份认证码与用户所提供的身份认证码,从而确定用户身份的合法性; 当加密、解密操作或者身份认证操作完成,控制器単元触发中断输出指令并通知外部的 CPU。
2.根据权利要求I所述的数据安全加密模块,其特征是所述密钥管理单元对加解密所需密钥的管理具体包括密钥扩展、密钥更新和为加密解密单元提供密钥。
3.根据权利要求I所述的数据安全加密模块,其特征是在身份认证信息中包含用户身份信息和时间戳信息。
4.根据权利要求I所述的数据安全加密模块,其特征是所述数据安全加密模块的功能实现包括硬件部分和软件代码;利用硬件编程语言编写模块硬件代码,实现模块的功能;利用软件编程语言编写软件程序,由控制模块运行,来对功能和数据寄存器进行赋值,完成数据安全加密模块的初始化,实现控制模块功能; 所述身份认证单元功能的实现,是通过软件方式将身份认证的相关信息写入身份认证信息寄存器,并使能身份认证使能寄存器;控制单元接收到使能信号,触发身份认证单元运行,将计算出的身份认证码返回身份认证寄存器; 所述密钥管理単元的功能的实现,对于密钥的扩展,是通过软件方式将密钥写入密钥寄存器,并写命令寄存器达到扩展密钥的功能;对于密钥的管理,写密钥管理寄存器和密钥地址寄存器,从而使用该密钥地址的数据作为密钥。
5.根据权利要求4所述的数据安全加密模块,其特征是数据安全加密模块采用了硬件方式完成了对数据流的读入与写出,步骤是,根据软件代码赋予的数据读取地址A和写入地址B,硬件实现了读取数据,加密/解密数据和写加密/解密后数据这样的ー个周期;在这个周期完成后,递增读取地址A和写入地址B,完成新数据的加解密处理;直到当读取地址A与结束地址C 一致吋,表明已经处理完该段地址内的数据,达到对设定数据流的加解密操作。
全文摘要
一种用于SoC的数据安全加密模块,包括控制器单元、状态机单元、密钥管理单元、加密单元、解密单元和身份验证单元;本数据安全加密模块的功能实现包括硬件部分和软件代码;利用硬件编程语言编写模块硬件代码,实现模块的功能;利用软件编程语言编写软件程序,由控制模块运行,来对功能和数据寄存器进行赋值,完成数据安全加密模块的初始化,实现控制模块功能。
文档编号H04L9/32GK102663326SQ20121006391
公开日2012年9月12日 申请日期2012年3月12日 优先权日2012年3月12日
发明者刘昊, 吴子辰, 徐平平, 黄成 申请人:东南大学