基于IP核及可重构设计的信息安全SoC芯片的实现

　　当前，信息安全防护已经从传统的单点信息加密发展到了以芯片级硬件防护为基础，构建覆盖全网络系统的信息保障体系。基于芯片级的硬件解决方案已经成为保证信息安全的最可靠的途径。可重构信息安全SoC芯片是基于信息安全服务、面向安全应用、向微型信息安全设备提供密码服务的基础部件，可广泛应用在安全电子支付、身份识别、社会保障、安全电子载体高性能加解密、生物特征识别、金融智能卡、面向城市基础设施的智能IC卡、电子护照和可信计算等安全领域。由于信息安全SoC芯片有着如此众多的应用，因此其开发必须很好地解决应用多样性和开发通用性的问题，使所开发的产品具有智能化、模块化、可裁减、可重构等特征。正因为信息安全SoC芯片所处理的大都是敏感信息和秘密信息，所以在芯片开发时必须着重考虑系统的安全性。基于上述因素，在系统整体功能不变的前提下，笔者利用可重构的思想、相关优化技术、安全防护技术，有效地整合系统中的有限资源，设计实现了一款可重构信息安全SoC芯片。所制定的通用灵活的IP核接口，引入了较为完备的安全机制，使之具有快速的数据加密与解密、数字签名与身份认证等功能;所采用的优化技术提高了系统性能，降低了系统规模和功耗，能更好地满足智能IC卡及安全电子载体USB key等相关安全设备的安全需求、规模限制和功耗要求。

　　1 SoC芯片的系统结构设计

　　基于密码应用的信息安全SoC芯片系统结构由系统控制模块、密码服务模块、存储器控制模块、功能辅助模块、通信模块及系统总线模块组成，如图1所示。

　　(1)系统控制模块。该模块是整个安全SoC芯片的系统核心，在系统软件的控制下，用于协调系统中各个模块的运行。该模块采用具有自主知识产权的微控制器(MCU)，完全兼容8052指令集，并针对密码应用和密码服务进行了优化设计，设计出了专用的密码服务指令，从而大幅度提升了密码服务时数据处理的效率。

　　(2)密码服务模块。该模块用于向系统提供密码服务，由DES/TDES和RSA两个密码子模块构成。DES/TDES分组密码模块，提供分组密码算法服务，可用于高速数据处理;RSA公钥密码模块，提供公钥密码算法服务，可用于低速数据处理、数字签名及身份认证等服务。

　　(3)功能辅助模块。该模块向系统提供密码辅助功能，由真随机数发生器和16/8除法器两部分组成。真随机数发生器向系统提供真随机数服务;16/8除法器用于在进行随机数素性判定时实现快速的16位/8位除法。

　　(4)存储器控制模块。该模块用于控制各存储器地址分配、数据选择，由存储器切换模块和存储器动态配置模块两部分构成。利用存储器切换模块，通过装载工具配置相应的寄存器，对SoC芯片进行操作系统升级更新;存储器动态配置模块，对系统中各存储器进行整合，通过配置相应的控制寄存器，对指令存储器和数据存储器的容量进行动态配置。