2023年高性能信息安全ＳＯＣ芯片的研制范文.docx

天道酬勤 高性能信息平安ＳＯＣ芯片的研制 ：为构建平安、高效的信息平安支撑体系，经国家主管部门批准，上海安创信息科技研制成功了高性能信息平安SOC芯片——SSX17。本文介绍了该芯片的研制方案，关键技术，及其主要功能特点和芯片性能。 1、 引言 图1芯片结构框图 信息平安系统必须建立在自主、平安、可靠、完善的根底设施之上才能有根本的保障。平安芯片作为信息平安产品的根底，为平安保密系统提供标准的通用平安保密模块，可以配置在单机或网络环境中，应用于不同类型的密码设备，算法可以灵活配置；平安芯片作为信息平安的核心和心脏，较之用软件实现密码技术，它不仅速度快、面积小、功耗低，还个具有物理保护的好处。 本文介绍的SSX17芯片采用信息平安系统集成芯片SOC设计技术开发，具有自主知识产权。该芯片面向高端应用，数据吞吐量大，处理速度高，能适合多种密码运算，且能提供芯片级的密钥管理，以满足对系统平安性的要求。在体系结构设计中采用了基于ARM的SOC体系结构，并采用AMBA(Advanced Microcontroller BUS Architecture)总线，使片上不同宏单元的连接实现标准化。 2、 设计方案 2.1结构框图 芯片内嵌32位CPU,提供最高至2048位的大数模运算, 片内具有随机数发生器模块,能产生高质量的随机数。数据接口灵活,具有完善的密钥产生及存储功能。结构框图如图1。 2.2内部组成 芯片内嵌32位ARM7TDMI RISC处理器，包括大数运算单元〔LNAU：Large Number Arithmetic Unit〕、真随机数发生器 (TRNG：True Random Number Generator)以及分组密码和HASH运算单元〔BCHU：Block Cipher and Hash Unit〕等密码模块及RAM、ROM等相关辅助单元。 大数运算单元也称之为大数模幂运算器〔Large Number Modular Exponentiator〕，主要完成快速模幂及模乘运算，提供最大2048位RSA的增强功能。快速RSA解密可通过CTR〔剩余定理〕来实现。在芯片内实现了3个这样的运算模块，通过分配算术运算给这三个LNAU，可以并行执行三个大数算术运算。ARM微处理器的任务就是调度三个LNAU的运算操作。用CRT求幂在内的大数运算都由LNAU的硬件来执行。ARM微处理器仅仅调度运算操作。 真随机数发生器采用硬件电路产生真随机数，TRNG产生的随机数是新密钥产生的根底，它通过了FIPS 140-1测试；分组密码和HASH运算单元，具有功能可扩展性，可以完成对称密码算法及 SHA-1、MD5等HASH运算。 芯片内含32K 字节 ROM，用来存储启动程序，使得可以下载根本功能固件或其他用户程序如SSL、IPSec等到NSRAM中；64KB 非易失性平安NSRAM〔Non-volatile, Secure RAM〕，用来存储应用程序、密钥及密钥管理程序等，这个内部RAM带后备电池，并且不能从外部访问。 2.3外部接口 芯片具有ARM 命令接口、通用I/O接口〔I-interface〕及外部存储器接口〔XM-interface〕等相关外部接口功能。 ARM 命令接口包括一个可配置的16/32位数据总线，一个5位地址总线和相关控制信号线。命令接口连接了芯片的控制和状态存放器，以及命令输入队列和响应输出队列。命令接口用来在应用程序和芯片之间进行通讯。 通用I/O接口〔I-interface〕包括一个4位输入总线Iin，一个4位输出总线Iout。 外部存储器接口〔XM-interface〕是芯片与外部存储器连接的接口，最大可扩展至2G字节。 2.4平安保护电路 芯片具有完善的硬件电路保护功能。嵌入式ARM微处理器负责密钥的产生和平安数据库的平安管理，专用的平安模式禁止访问片内所有的保密数据；触发片上的保护引脚后片内NSRAM数据清零；掉电或复位后擦除片内所有状态信息；禁止ARM JTAG扫描保密数据；禁止SCAN扫描保密数据。在密码算法的软硬件设计中，采用了多种抗时间攻击、功耗攻击等旁路攻击的防范技术。 3、 功能特点 芯片具有以下功能特点： 〔1〕硬件执行并加速密钥的产生、私钥和公钥密码运算、大数模幂和模乘运算、数字签名和认证等功能； 〔2〕ARM7TDMI微处理器用来控制芯片的运行。ROM内的软件可以引导ARM7TDMI，在启动时执行诊断测试，还可以访问控制与ARM总线相连的所有模块。片上静态电池备用存储器(32k字节)允许保密信息的平安存储，这些信息只要篡改输入一被激活就会被破坏。输入的激活取决于创芯1120系统平安特性的执行。 〔3〕可以下载一个用户自定义的应用程序到后备的芯片嵌入存储器。加电检验完成后，开始执行应用程序，从而使得芯片完全可以满足系统的要求。 〔4〕ARM7TDMI可用的存储器可以通过外存储器进行扩展。访问外存储器等待状态的数目是可编程的，因此，可以连接不同类型的存储器。 〔5〕片内实现硬件随机数发生器。 〔6〕具有后备电池的实时时钟，片内嵌入定时器，并具有通用输入/输出端口。 〔7〕外部主机通过命令接口访问创芯1120模块，从ARM7TDMI微处理器固件得到的那些高级命令可以使创芯1120程序变的易读并且减少主机任务，当用户定义的程序下载到创芯1120时，允许定义新的命令以更好的满足用户的使用要求。 〔8〕支持主要的平安协议如SSL、TLS、IPSec等，并且通过多个芯片并行，能够线性提高VPN和SSL的处理性能。 4、 主要性能 经测试，芯片的主要运算性能如表1。 表1芯片性能 注： 1) 模数是奇数 2) 公钥是216+1 3) 私钥1024bits，其中"0"和"1"的个数大致相等 4) 私钥2048bits，其中"0"和"1"的个数大致相等 5) 对于CRT性能测试来说，公钥和私钥的长度相等 6) CRT算法仅用于公钥和私钥的情况 芯片具有低功耗特点。在基于引擎最高时钟最高点压全速运行的情况下，功耗仅为1W。 5、 小结 该芯片主要应用于网络效劳器端，应用领域包括金融及电子商务平安认证及加密效劳器、路由器、交换机、VPN效劳器、大容量的email效劳器和嵌入式平安模块。 基于该芯片开发高性能可信效劳器及可信平台模块，并与数字电视版权保护、互联网上文件版权保护、防信息泄露、防病毒等数字内容保护应用相结合，将极大地推动信息平安核心芯片技术及产品的产业化，为实现我国信息平安技术和产业的跨越式开展起到核心支撑作用。