安全處理器探究論文

時間:2022-12-16 10:12:00

導(dǎo)語:安全處理器探究論文一文來源于網(wǎng)友上傳,不代表本站觀點(diǎn),若需要原創(chuàng)文章可咨詢客服老師,歡迎參考。

安全處理器探究論文

摘要通過對處理器技術(shù)的跟蹤,給出了基于密碼算法的32位安全處理器的結(jié)構(gòu),并對密碼算法核的結(jié)構(gòu)和軟件進(jìn)行設(shè)計與研究,最后結(jié)合安全處理器的應(yīng)用領(lǐng)域,充分肯定了研究安全處理器的重要性。

關(guān)鍵詞處理器、安全處理器、安全模塊、密碼模塊

1引言

現(xiàn)有的安全技術(shù)似乎始終存在著局限性,防火墻被動防御無法阻止主動入侵行為、應(yīng)用級過濾檢測與處理能力存在矛盾,背負(fù)眾望的IPv6技術(shù)也無法鑒別主機(jī)、用戶真實身份,無法阻止攻擊報文。當(dāng)系統(tǒng)的安全越來越岌岌可危,人們開始嘗試從芯片的角度去解決安全難題。要保證信息安全首先要保證擁有自有版權(quán)的安全芯片。目前,安全芯片設(shè)計在信息安全領(lǐng)域已取得了很大成績,在密碼學(xué)研究方面已經(jīng)接近國際先進(jìn)水平,嵌入式密碼專用芯片也已開發(fā)成功,但密碼芯片在功能與速度方面還滯后于系統(tǒng)和網(wǎng)絡(luò)的發(fā)展,特別在高速密碼芯片方面與國際先進(jìn)水平有很大差距。同時,在CPU方面,不管是通用處理器、嵌入式處理器還是專用微處理器技術(shù)已經(jīng)很成熟,國內(nèi)多個單位都把嵌入式處理器作為切入點(diǎn),如中科院計算所的“龍芯”、北大微處理器中心的“眾志”、中芯的"方舟"等,嵌入式CPU已作為SOC芯片的核心,但很少考慮安全方面,特別是針對國內(nèi)的專用密碼算法。具有自主版權(quán)的CPU才是安全的CPU,只有具有自主知識產(chǎn)權(quán)的CPU不斷取得新突破,對我國的信息安全才具有重大現(xiàn)實意義。隨著網(wǎng)絡(luò)速度的不斷提高,微電子技術(shù)的不斷發(fā)展,在芯片中加入安全功能成為一種趨勢,特別是在個人電腦的芯片設(shè)計中。研制安全處理器將是今后安全產(chǎn)品的發(fā)展趨勢。

2安全處理器的技術(shù)跟蹤2.1嵌入式處理器

目前處理器的劃分從應(yīng)用角度出發(fā),分三類:通用處理器、嵌入式處理器、專用處理器。這些分類都是相對的,只是在一定程度上反映CPU的特性。

根據(jù)CPU的特性,選擇嵌入式處理器[2]為主要的研究對象。它的有利方面表現(xiàn)在:

(1)芯片設(shè)計技術(shù),EDA工具已有很大發(fā)展,完全可將一個完整的系統(tǒng)集成在一個芯片上,即SOC(SystemOnChip)。這一技術(shù)使開發(fā)速度大大加快,可實現(xiàn)自主的知識產(chǎn)權(quán)。

(2)與嵌入式CPU配套的軟件,從嵌入式OS(包括Linux和其他自主OS)到在它上面運(yùn)行的應(yīng)用程序,不像PC的軟件那樣受到微軟壟斷的影響,完全可以自主開發(fā)。

(3)嵌入式CPU對半導(dǎo)體生產(chǎn)工藝的要求適合我國的國情。多數(shù)不必采用最先進(jìn)、昂貴的半導(dǎo)體工藝,能充分發(fā)揮國內(nèi)現(xiàn)有的半導(dǎo)體生產(chǎn)能力。

系統(tǒng)芯片技術(shù)使嵌入式應(yīng)用系統(tǒng)的開發(fā)越來越傾向于以32位CPU為核心,傳統(tǒng)的8位微處理器由于芯片面積小,開發(fā)方便,得到了廣泛的應(yīng)用。但由于其總線寬度僅為8比特,性能相對較低。而隨著應(yīng)用的不斷擴(kuò)展,系統(tǒng)控制部分越來越復(fù)雜,對微控制器的性能要求也日趨提高。32位CPU核是發(fā)展趨勢,掌握了自主32位CPU核的技術(shù),在安全應(yīng)用領(lǐng)域具有重大意義。縱上所述,我們研究的安全處理器采用的是32位嵌入式處理器。

2.2安全處理器

目前,市場大部分的安全產(chǎn)品采用傳統(tǒng)的應(yīng)用電子系統(tǒng)設(shè)計,其結(jié)構(gòu)都是通過CPU軟件運(yùn)算密碼算法或者將密碼算法用硬件FPGA實現(xiàn),然后用CPU控制。這樣的結(jié)構(gòu)使安全產(chǎn)品的速度受到約束,產(chǎn)品的集成度不高,不能降低產(chǎn)品的成本。

對于安全處理器來說,不是以功能電路為基礎(chǔ)的分布式系統(tǒng)綜合技術(shù),而是以功能IP為基礎(chǔ)的系統(tǒng)固件和電路綜合技術(shù)。因此,安全處理器是集處理器和安全技術(shù)于一體。其功能的實現(xiàn)不再針對功能電路進(jìn)行綜合,而是針對系統(tǒng)整體固件實現(xiàn)進(jìn)行電路綜合。電路設(shè)計的最終結(jié)果與IP功能模塊和固件特性有關(guān),而與PCB板上電路分塊的方式和連線技術(shù)基本無關(guān),從而使所設(shè)計的結(jié)果十分接近理想設(shè)計目標(biāo)。當(dāng)前,國外已經(jīng)有些公司研制生產(chǎn)出了安全協(xié)議處理器,如Hifn公司近日推出最具性價比的HIPPII8155安全協(xié)議處理器,適用于路由器、交換機(jī)及VPN網(wǎng)關(guān)等IPsec和SSL等應(yīng)用。但是這些產(chǎn)品使用的是標(biāo)準(zhǔn)的公開算法如AES,DES等,不能滿足國內(nèi)安全產(chǎn)品的需要。文章所設(shè)計的安全處理器是基于專用算法的32位處理器。

3安全處理器的設(shè)計

安全處理器的設(shè)計將包括嵌入式操作系統(tǒng)、嵌入式系統(tǒng)程序和應(yīng)用程序的開發(fā);軟件與硬件的劃分、協(xié)同設(shè)計、協(xié)同仿真;電路的綜合、布局布線等等。在完成對當(dāng)前微處理器、SOC設(shè)計技術(shù)和安全處理器等新技術(shù)的跟蹤后,結(jié)合對CPU和密碼芯片的實踐,設(shè)計了安全處理器的結(jié)構(gòu)、算法核的結(jié)構(gòu)和軟件。

3.1安全處理器結(jié)構(gòu)

安全處理器采用的基本體系結(jié)構(gòu)如下:

采用這種系統(tǒng)結(jié)構(gòu),CPU能通過內(nèi)部總線控制各個模塊部分,DMA控制器也能通過內(nèi)部總線控制各個模塊之間的數(shù)據(jù)傳輸。且CPU能響應(yīng)各個模塊的中斷,中斷控制器控制著優(yōu)先級和響應(yīng)模式;總線控制器控制著內(nèi)部總線的狀態(tài);安全模塊能產(chǎn)生中斷并具有狀態(tài)值可供查詢和使用。

安全處理器能獨(dú)立作為數(shù)字信號處理器DSP使用;也能通過PCI、存儲器擴(kuò)展等通用接口連接顯示器、硬盤等外設(shè)、存儲器可以組成微計算機(jī)環(huán)境。

作為專用芯片時,一般用來研制安全設(shè)備,對用戶的數(shù)據(jù)進(jìn)行保護(hù)。將密碼算法模塊掛在系統(tǒng)總線上,(系統(tǒng)總線采用ARM公司的AMBA2.0規(guī)范[1]),密碼算法模塊有主模式和從模式兩種工作模式,通過微處理器核來初始化、配置密碼模塊。這樣,單個的SOC[3]可以實現(xiàn)網(wǎng)絡(luò)加密,當(dāng)安全處理芯片接受一個從MAC發(fā)來的數(shù)據(jù)包后,由操作系統(tǒng)的TCP/IP應(yīng)用程序分析數(shù)據(jù)包,根據(jù)協(xié)議提取加/脫密操作有關(guān)的數(shù)據(jù),將密碼模塊設(shè)置為從設(shè)備,安全處理器按照密碼模塊的要求,送相關(guān)的地址、長度、或者密鑰等參數(shù),然后將密碼模塊置為主設(shè)備,由密碼主設(shè)備申請總線傳輸,從MAC或存儲器中讀入數(shù)據(jù),進(jìn)行加、脫密算法運(yùn)算,添加一些必要的信息,將結(jié)果數(shù)據(jù)送到MAC或者目的存儲器中。采用這種結(jié)構(gòu)不但實現(xiàn)了使用一個安全處理器就完成了網(wǎng)絡(luò)數(shù)據(jù)包的加脫密,而且由于密碼模塊直接掛在系統(tǒng)總線上,提高了加脫密速度。同時由于集成在一個芯片上,增加了密碼模塊的安全性。從而根據(jù)不同的用戶需求,研制開發(fā)成不同種類的安全保密設(shè)備。安全模塊分為專用密碼算法核、公開密碼算法核、運(yùn)算加速器和快速驅(qū)動引擎。安全模塊核心部件掛接在系統(tǒng)的高速總線上,為了提高其利用率,采用虛擬部件的結(jié)構(gòu)和算法部件驅(qū)動引擎。不同的算法操作對應(yīng)不同的指令,這些指令為專用指令,需要編譯器的支持或者通過微指令執(zhí)行。物理尋址范圍一般較窄,輸入/輸出支持DMA、I/O、Burst等總線結(jié)構(gòu)的所有操作。操作的策略實現(xiàn)預(yù)置/預(yù)測機(jī)制,采用4位指令執(zhí)行狀態(tài)標(biāo)記。密碼算法核預(yù)設(shè)兩組物理實體,實體間相互獨(dú)立。算法的邏輯位寬128bit,為部件級流水線的工作方式。數(shù)據(jù)處理按序進(jìn)行,操作結(jié)果按序?qū)懭耄貙懖僮魇苤噶畹膱?zhí)行狀態(tài)控制。算核中還嵌入部分微代碼,支持特定的應(yīng)用和專用算法的測試、密碼算法的自動配置和參數(shù)下載,從而確保密碼算法硬件的可靠性和安全性。

密碼算法部件的結(jié)構(gòu)如下:

Reset(復(fù)位)來自芯片的復(fù)位控制器模塊,中斷及響應(yīng)與芯片的中斷控制器相連,狀態(tài)反映在芯片的狀態(tài)寄存器中,CLK來自芯片的PLL模塊,最高頻率為160MHz,地址線、數(shù)據(jù)線等與芯片的內(nèi)部總線相連,擴(kuò)展控制可以連接已有的外部安全密碼模塊。

密碼算法核采用兩種工作方式主設(shè)備模式和從設(shè)備模式。當(dāng)工作在主設(shè)備模式時,寫完密鑰后,密碼模塊按AHB規(guī)范[1]申請總線,在請求總線成功后,密碼模塊將源地址發(fā)送到總線上,將源地址中的數(shù)據(jù)讀入SFIFO中,釋放數(shù)據(jù)總線,處理器可以并行完成其余任務(wù)。同時,模塊內(nèi)部從SFIFO中讀出數(shù)據(jù),進(jìn)行算法運(yùn)算,同時將加密結(jié)果寫入EFIFO中。通過這種工作方式,可以提高加脫密速度,并行完成任務(wù)。密碼模塊工作在從設(shè)備模式時,處理器以存儲器模式訪問專用算法核,適應(yīng)于低速產(chǎn)品的需要。

3.3安全處理器的軟件特征

安全處理器的軟件是實現(xiàn)嵌入式系統(tǒng)功能的關(guān)鍵,對安全處理器系統(tǒng)軟件和應(yīng)用軟件的要求也和通用計算機(jī)有所不同。

(1)軟件要求固態(tài)化存儲。為了提高執(zhí)行速度和系統(tǒng)可靠性,嵌入式系統(tǒng)中的軟件一般都固化在存儲器芯片或作為BIOS。

(2)軟件代碼高質(zhì)量、高可靠性。盡管半導(dǎo)體技術(shù)的發(fā)展使處理器速度不斷提高、片上存儲器容量不斷增加,但在大多數(shù)應(yīng)用中,存儲空間仍然是寶貴的,還存在實時性的要求。為此要求程序編寫和編譯工具的質(zhì)量要高,以減少程序二進(jìn)制代碼長度、提高執(zhí)行速度。

(3)系統(tǒng)軟件(OS)的高實時性是基本要求。

(4)在多任務(wù)嵌入式系統(tǒng)中,對重要性各不相同的任務(wù)進(jìn)行統(tǒng)籌兼顧的合理調(diào)度是保證每個任務(wù)及時執(zhí)行的關(guān)鍵,單純通過提高處理器速度是無法完成和沒有效率的,這種任務(wù)調(diào)度只能由優(yōu)化編寫的系統(tǒng)軟件來完成,因此系統(tǒng)軟件的高實時性是基本要求。

(5)多任務(wù)操作系統(tǒng)是知識集成的平臺和走向工業(yè)標(biāo)準(zhǔn)化道路的基礎(chǔ)。

4安全處理器的應(yīng)用

安全處理器的應(yīng)用很廣闊,既可以用來設(shè)計終端加密設(shè)備,又可以設(shè)計線路式加密設(shè)備,完成批信息加/脫密處理、數(shù)字簽名、認(rèn)證和密鑰管理等功能。安全處理器具有PCI、MAC、USB等接口,直接與接口器件相連。線路上的數(shù)據(jù)流通過接口芯片流入安全處理器芯片的相應(yīng)接口模塊,數(shù)據(jù)被接受。CPU對收到的一幀(包)數(shù)據(jù)進(jìn)行處理,支持SDLC/HDLC、PPP、DDN、FR等協(xié)議,需要加(脫)密的數(shù)據(jù)通過處理器芯片的內(nèi)部總線與密碼模塊進(jìn)行交換,由密碼模塊完成加(脫)密操作,處理完的數(shù)據(jù)最后由CPU控制通過相應(yīng)的接口發(fā)送出去。安全處理器將專用密碼算法核和處理器集成在一個芯片上,最大限度的減少了部件之間的連接,提高了系統(tǒng)的安全性和可靠性,充分保證了高性能和高性價比,優(yōu)越性會越來越明顯,必將會得到更廣泛的應(yīng)用。

參考文獻(xiàn)

〔1〕AMBASpecification(AdvancedMicrocontrollerBusArchitectureSpecification)

〔2〕北京大學(xué)“吉利久SoC的技術(shù)支持機(jī)嵌入式系統(tǒng)設(shè)計”

〔3〕“SOC技術(shù)及國內(nèi)發(fā)展現(xiàn)狀”《世界電子元器件》北京海爾集成電路設(shè)計有限公司賴祥寧