專利名稱：一種可動(dòng)態(tài)重構(gòu)的可信密碼模塊的制作方法
技術(shù)領(lǐng)域：
本發(fā)明涉及一種使用在計(jì)算機(jī)中的可信密碼模塊，特別是一種密碼算法可動(dòng)態(tài)重構(gòu)的可信密碼模塊。
背景技術(shù)：
可信密碼模塊是一個(gè)嵌入式安全可信模塊，由CPU、存儲(chǔ)器、I/O、密碼運(yùn)算器和嵌入式操作系統(tǒng)等組成，主要負(fù)責(zé)系統(tǒng)的完整性度量、存儲(chǔ)和報(bào)告，密碼學(xué)服務(wù)以及身份認(rèn)證寸?，F(xiàn)有的可信密碼模塊主要采用SoC技術(shù)實(shí)現(xiàn)，從應(yīng)用的角度看，雖然較好的滿足了一些低端的應(yīng)用，但仍存在以下不足適應(yīng)性差當(dāng)前的可信密碼模塊中采用的算法一旦確定，就無法進(jìn)行修改，無法滿足一些特定場(chǎng)合的需求；資源利用率低可信密碼模塊中密碼運(yùn)算模塊的實(shí)現(xiàn)較為復(fù)雜，需要的硬件資源較多，但其內(nèi)部各個(gè)功能模塊并非實(shí)時(shí)并行工作，根據(jù)系統(tǒng)邏輯功能的要求輪流串行工作。 實(shí)際上，在這類系統(tǒng)中的硬件資源沒有得到充分利用，而且系統(tǒng)規(guī)模越大，資源利用率越低；擴(kuò)展性差基于傳統(tǒng)ASIC的SoC工藝的可信密碼模塊的功能模塊等是根據(jù)目標(biāo)系統(tǒng)性能選擇的，選定的模塊不能修改，使得目標(biāo)系統(tǒng)的性能優(yōu)化空間相對(duì)狹窄；系統(tǒng)性能低普遍采用LPC總線，總線頻率較低，難以滿足硬件級(jí)高速加解密運(yùn)算需求。

發(fā)明內(nèi)容
本發(fā)明的目的在于，通過提供一種可動(dòng)態(tài)重構(gòu)的可信密碼模塊，在可信密碼模塊的運(yùn)行過程中根據(jù)需要?jiǎng)討B(tài)重構(gòu)功能模塊，實(shí)現(xiàn)硬件資源的合理利用。本發(fā)明是采用以下技術(shù)手段實(shí)現(xiàn)的一種可動(dòng)態(tài)重構(gòu)的可信密碼模塊，包括固定模塊和重構(gòu)模塊；固定模塊在系統(tǒng)的運(yùn)行過程中保持不變，而重構(gòu)模塊部分根據(jù)實(shí)際的需要在系統(tǒng)的工作中進(jìn)行替換；固定模塊包括處理器單元、Flash存儲(chǔ)器控制單元、SDRAM存儲(chǔ)器控制單元和I/O接口單元。重構(gòu)模塊包括根據(jù)需要?jiǎng)討B(tài)的對(duì)可編程邏輯器件上的資源進(jìn)行重新配置進(jìn)行替換的雜湊引擎單元、對(duì)稱加密引擎單元、非對(duì)稱加密引擎單元。在上述重新配置過程中，固定模塊仍然正常工作；I/O接口單元通過雙向數(shù)據(jù)總線總線和處理器相連，當(dāng)I/O單元有數(shù)據(jù)寫入處理器時(shí)通過irq中斷信號(hào)向處理器發(fā)起請(qǐng)求，處理器響應(yīng)中斷請(qǐng)求并讀取數(shù)據(jù)。Flash存儲(chǔ)器控制單元作為可信密碼模塊內(nèi)部總線和非易失性存儲(chǔ)器的橋接設(shè)備，為可信密碼模塊實(shí)現(xiàn)非易失性數(shù)據(jù)的存儲(chǔ)，處理器通過R/W信號(hào)控制存儲(chǔ)數(shù)據(jù)的寫入和讀出。
SDRAM存儲(chǔ)器控制單元作為可信密碼模塊內(nèi)部總線和外部存儲(chǔ)的橋接設(shè)備，為可信密碼模塊提供臨時(shí)的數(shù)據(jù)存儲(chǔ)和程序存儲(chǔ)空間，處理器通過R/W信號(hào)控制存儲(chǔ)數(shù)據(jù)的寫入和讀出。重構(gòu)模塊通過總線宏連接至可信密碼模塊的內(nèi)部總線，通過內(nèi)部總線和處理器交換數(shù)據(jù)；當(dāng)處理器通過數(shù)據(jù)總線將數(shù)據(jù)準(zhǔn)備好，通過ready信號(hào)啟動(dòng)運(yùn)算引擎，運(yùn)算引擎計(jì)算完畢后通過done信號(hào)告知處理器，處理器將計(jì)算結(jié)果取走。前述的雜湊引擎單元提供雜湊運(yùn)算服務(wù)。前述的對(duì)稱加密引擎單元提供對(duì)稱加解密服務(wù)。前述的非對(duì)稱加解密引擎單元提供高速非對(duì)稱加解密服務(wù)。本發(fā)明一種可動(dòng)態(tài)重構(gòu)的可信密碼模塊，與現(xiàn)有技術(shù)相比，具有以下明顯的優(yōu)勢(shì)和有益效果本發(fā)明將可信密碼模塊的工作從一個(gè)純空間的數(shù)字邏輯系統(tǒng)變成在時(shí)間空間上混合構(gòu)建的數(shù)字邏輯系統(tǒng)。從時(shí)間軸和外部看和傳統(tǒng)的可信密碼模塊整體功能一樣，但從資源利用來看，由于可以動(dòng)態(tài)地重復(fù)利用資源，資源的利用率將成倍地提高，實(shí)現(xiàn)的數(shù)字邏輯系統(tǒng)規(guī)模受硬件資源的限制相對(duì)要小得多，適用于算法多樣、硬件資源受限的情況，尤其是在硬件資源無法滿足實(shí)現(xiàn)全部密碼學(xué)服務(wù)的情況下，本發(fā)明能很好的解決該問題。


圖1為可動(dòng)態(tài)重構(gòu)的可信密碼模塊結(jié)構(gòu)示意圖。
具體實(shí)施例方式以下結(jié)合說明書附圖對(duì)本發(fā)明的具體實(shí)施例加以說明。一種可動(dòng)態(tài)重構(gòu)的可信密碼模塊，由固定模塊和重構(gòu)模塊構(gòu)成，如圖1所示。其中，固定模塊分為執(zhí)行部件、I/O單元、存儲(chǔ)器控制單元、通信總線幾部分；重構(gòu)模塊分為雜湊引擎單元、對(duì)稱加密引擎單元和非對(duì)稱加密引擎單元等。I/O模塊通過雙向數(shù)據(jù)總線總線和處理器相連，當(dāng)I/O模塊有數(shù)據(jù)寫入處理器時(shí)通過irq中斷信號(hào)向處理器發(fā)起請(qǐng)求，處理器響應(yīng)中斷請(qǐng)求并讀取數(shù)據(jù)。Flash存儲(chǔ)器控制單元作為可信密碼模塊內(nèi)部總線和非易失性存儲(chǔ)器的橋接設(shè)備，負(fù)責(zé)為可信密碼模塊實(shí)現(xiàn)非易失性數(shù)據(jù)的存儲(chǔ)。處理器通過R/W信號(hào)控制存儲(chǔ)數(shù)據(jù)的寫入和讀出。SDRAM存儲(chǔ)器控制單元作為可信密碼模塊內(nèi)部總線和外部存儲(chǔ)的橋接設(shè)備，負(fù)責(zé)為可信密碼模塊提供臨時(shí)的數(shù)據(jù)存儲(chǔ)和程序存儲(chǔ)空間。處理器通過R/W信號(hào)控制存儲(chǔ)數(shù)據(jù)的寫入和讀出。構(gòu)成重構(gòu)模塊的雜湊引擎單元、對(duì)稱加密引擎單元和非對(duì)稱加密引擎單元通過總線宏連接至可信密碼模塊的內(nèi)部總線，通過內(nèi)部總線和處理器交換數(shù)據(jù)。雜湊引擎單元負(fù)責(zé)提供雜湊運(yùn)算服務(wù)，對(duì)稱加密引擎單元負(fù)責(zé)提供對(duì)稱加解密服務(wù)，非對(duì)稱加解密引擎單元負(fù)責(zé)提供高速非對(duì)稱加解密服務(wù)。當(dāng)處理器通過數(shù)據(jù)總線將數(shù)據(jù)準(zhǔn)備好，通過ready信號(hào)啟動(dòng)運(yùn)算引擎，運(yùn)算引擎計(jì)算完畢后通過done信號(hào)告知處理器，處理器將計(jì)算結(jié)果取走。
在實(shí)際的運(yùn)行過程中，可信密碼模塊的處理器、I/O、存儲(chǔ)其等部件保持不變，重構(gòu)模塊在進(jìn)行重構(gòu)時(shí)，根據(jù)需要對(duì)可編程邏輯器件上的部分資源進(jìn)行重新配置，從而替換雜湊引擎單元、對(duì)稱解密引擎單元和非對(duì)稱加密引擎單元。當(dāng)可信密碼模塊對(duì)外提供雜湊運(yùn)算服務(wù)時(shí)，將重構(gòu)模塊配置為雜湊引擎，配合處理器進(jìn)行雜湊處理；當(dāng)可信密碼模塊對(duì)外提供對(duì)稱加密服務(wù)時(shí)，將重構(gòu)模塊配置為對(duì)稱加密引擎單元，配合處理器進(jìn)行對(duì)稱加解密運(yùn)算；當(dāng)可信密碼模塊對(duì)外提供簽名驗(yàn)證等非對(duì)稱加解密服務(wù)時(shí)，將重構(gòu)模塊配置為非對(duì)稱加密引擎單元，配合處理器進(jìn)行非對(duì)稱加解密服務(wù)；在重構(gòu)模塊重新配置的過程中，器件上的其它資源不受影響，固定模塊仍然正常工作。最后應(yīng)說明的是以上實(shí)施例僅用以說明本發(fā)明而并非限制本發(fā)明所描述的技術(shù)方案；因此，盡管本說明書參照上述的各個(gè)實(shí)施例對(duì)本發(fā)明已進(jìn)行了詳細(xì)的說明，但是，本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解，仍然可以對(duì)本發(fā)明進(jìn)行修改或等同替換；而一切不脫離發(fā)明的精神和范圍的技術(shù)方案及其改進(jìn)，其均應(yīng)涵蓋在本發(fā)明的權(quán)利要求范圍當(dāng)中。
權(quán)利要求
1.一種可動(dòng)態(tài)重構(gòu)的可信密碼模塊，其特征在于包括固定模塊和重構(gòu)模塊；固定模塊在系統(tǒng)的運(yùn)行過程中保持不變，而重構(gòu)模塊部分根據(jù)實(shí)際的需要在系統(tǒng)的工作中進(jìn)行替換；所述的固定模塊包括處理器單元、Flash存儲(chǔ)器控制單元、SDRAM存儲(chǔ)器控制單元和 I/O接口單元；所述的重構(gòu)模塊包括根據(jù)需要?jiǎng)討B(tài)的對(duì)可編程邏輯器件上的資源進(jìn)行重新配置進(jìn)行替換的雜湊引擎單元、對(duì)稱加密引擎單元、非對(duì)稱加密引擎單元；在上述重新配置過程中，固定模塊仍然正常工作；I/O接口單元通過雙向數(shù)據(jù)總線總線和處理器相連，當(dāng)I/O單元有數(shù)據(jù)寫入處理器時(shí)通過irq中斷信號(hào)向處理器發(fā)起請(qǐng)求，處理器響應(yīng)中斷請(qǐng)求并讀取數(shù)據(jù)；Flash存儲(chǔ)器控制單元作為可信密碼模塊內(nèi)部總線和非易失性存儲(chǔ)器的橋接設(shè)備，為可信密碼模塊實(shí)現(xiàn)非易失性數(shù)據(jù)的存儲(chǔ)，處理器通過R/W信號(hào)控制存儲(chǔ)數(shù)據(jù)的寫入和讀出；SDRAM存儲(chǔ)器控制單元作為可信密碼模塊內(nèi)部總線和外部存儲(chǔ)的橋接設(shè)備，為可信密碼模塊提供臨時(shí)的數(shù)據(jù)存儲(chǔ)和程序存儲(chǔ)空間，處理器通過R/W信號(hào)控制存儲(chǔ)數(shù)據(jù)的寫入和讀出；重構(gòu)模塊通過總線宏連接至可信密碼模塊的內(nèi)部總線，通過內(nèi)部總線和處理器交換數(shù)據(jù)；當(dāng)處理器通過數(shù)據(jù)總線將數(shù)據(jù)準(zhǔn)備好，通過ready信號(hào)啟動(dòng)運(yùn)算引擎，運(yùn)算引擎計(jì)算完畢后通過done信號(hào)告知處理器，處理器將計(jì)算結(jié)果取走。
2.根據(jù)權(quán)利要求1所述的一種可動(dòng)態(tài)重構(gòu)的可信密碼模塊，其特征在于所述的雜湊引擎單元提供雜湊運(yùn)算服務(wù)。
3.根據(jù)權(quán)利要求1所述的一種可動(dòng)態(tài)重構(gòu)的可信密碼模塊，其特征在于所述的對(duì)稱加密引擎單元提供對(duì)稱加解密服務(wù)。
4.根據(jù)權(quán)利要求1所述的一種可動(dòng)態(tài)重構(gòu)的可信密碼模塊，其特征在于所述的非對(duì)稱加解密引擎單元提供高速非對(duì)稱加解密服務(wù)。
全文摘要
一種可動(dòng)態(tài)重構(gòu)的可信密碼模塊，包括固定模塊和重構(gòu)模塊；固定模塊在系統(tǒng)的運(yùn)行過程中保持不變，而重構(gòu)模塊部分根據(jù)實(shí)際的需要在系統(tǒng)的工作中進(jìn)行替換；固定模塊包括處理器單元、Flash存儲(chǔ)器控制器單元、I/O接口單元。重構(gòu)模塊包括根據(jù)需要?jiǎng)討B(tài)的對(duì)可編程邏輯器件上的資源進(jìn)行重新配置進(jìn)行替換的雜湊引擎單元、對(duì)稱加密引擎單元、非對(duì)稱加密引擎單元。在上述重新配置過程中，固定模塊仍然正常工作；重構(gòu)模塊通過總線宏連接至可信密碼模塊的內(nèi)部總線，通過內(nèi)部總線和處理器交換數(shù)據(jù)；由于可以動(dòng)態(tài)地重復(fù)利用資源，資源的利用率將成倍地提高，適用于算法多樣、硬件資源受限的情況，尤其是在硬件資源無法滿足實(shí)現(xiàn)全部密碼學(xué)服務(wù)的情況下。
文檔編號(hào)G06F21/00GK102495980SQ20111038057
公開日2012年6月13日 申請(qǐng)日期2011年11月25日 優(yōu)先權(quán)日2011年11月25日
發(fā)明者姚金利, 曾穎明, 李紅, 王宏濤, 王斌, 王曉程, 趙政耀, 陳志浩 申請(qǐng)人:中國(guó)航天科工集團(tuán)第二研究院七〇六所