密码SoC中嵌入式链式DMA的研究与设计

为了提高密码SoC中密码运算模块与其他功能部件之间数据传输的效率,提出了一种适合密码运算的嵌入式链式DMA传输方式。分析了CPU传输、Block DMA传输和链式DMA传输3种数据传输方式的特点;设计了嵌入式链式DMA的硬件架构,给出了其工作流程;为嵌入式链式DMA设计了主从复合接口,使其具有控制总线、发起总线传输的功能;使用65 nm CMOS工艺标准单元库对嵌入式链式DMA模块进行了ASIC实现;搭建了仿真验证平台。实验结果表明,嵌入式链式DMA可以明显提升密码SoC数据传输效率,满足了功能和性能的需求。     

一种高性能低功耗的密码SoC平台

针对密码片上系统(SoC)平台适用性不高的问题,设计实现一种高性能低功耗的密码SoC平台。集成自主设计的密码协处理器单元,支持多种密码算法,设计自适应门控单元,实时调整时钟状态,提供多种高低速通信接口,以完成对外数据交换。实验结果表明,该平台能完成多种密码操作,具有较低的功耗和较高的数据吞吐率。     

并行结构的椭圆曲线密码算法实现

介绍了椭圆曲线密码算法中的基本运算--点加、点倍算法的选取及用点加点倍并行实现点乘的方法,提出了在一个CPU两个公钥运算核的SoC系统中点加、点倍并行计算完成点乘的思想,并给出了一种在椭圆曲线密码系统(ECC)中的高效点乘运算的具体实现.该设计使得ECC运算比普通算法在效率上提高60%以上.     

素数域椭圆曲线密码加速器的VLSI实现

分析了素数域椭圆曲线密码（ECC）算法的软件效率,针对软件效率较低的问题,对密码系统进行软硬件划分,提出了一种适用于椭圆曲线密码SoC的硬件加速器设计,并设计了密码SoC的结构。硬件加速器实现了素数域的点乘和素数检测,以少量的面积为代价提升了系统性能。密码芯片实现了SM2商用密码标准规定的6种算法。加速器基于HJTC [0.11 μm] eFlash单元库,面积约为[0.6 mm2]。在50 MHz的频率下,192 bit非固定点乘运算性能为167次/s,256 bit非固定点乘运算性能为94次/s。实验结果表明,该加速器的单位面积性能高于其他同类设计。     

一种基于体系结构模板的粗粒度可重构SoC设计方法

针对传统的面向应用领域的多核SoC体系结构设计方法存在系统结构探索空间大、设计复杂度高等问题,提出了一种基于体系结构模板的粗粒度可重构SoC系统架构设计方法。该设计方法以体系结构设计为中心,体系结构模板可重用、参数可配置,从而缩小了体系结构设计探索空间,提高了体系结构设计效率,降低了应用程序编译器开发复杂性。最后,以密码处理领域为例,将模板参数实例化,构建了一个面向密码处理领域的多核可重构指令集处理器SoC系统(Multi-RISP SoC)。实验结果表明,MultiRISP SoC系统与几个典型可重构平台在性能上相当,但系统构建更为快速高效。     

面向移动安全存储的密码SoC设计与实现

针对目前移动存储设备大量的失泄密事件,提出了一种适用于移动安全存储设备的密码SoC设计方案,并在FPGA开发板上进行了验证。该SoC集成自主设计的安全协处理器,能够支持多种密码算法。介绍了NAND Flash控制器的设计方案,并在此基础上提出了高速存取技术。基于FPGA的测试结果表明,该SoC能够有效完成多种密码操作,具有较高的数据吞吐率。基于SMIC 0.18μm工艺综合后的结果显示,工作频率能够达到100 MHz,面积约为250万门。     

基于文件操作阻断的系统安全加固技术

根据监狱信息系统功能模块多、用户数量大、人员调动频繁、信息机密性高的特点,提出了一种综合访问控制模型,给出了模型的形式化描述.该模型把MAC, RBAC, TRBAC有机地结合在一起,有可控性强和授权管理方便的特点.利用该模型,设计了权限管理子系统,给出了系统中权限管理的具体实现,解决了监狱系统中复杂的访问控制问题.     

汽车电子操作系统存储保护机制的设计

存储保护在保证实时嵌入式操作系统的安全性中起到了重要的作用。针对AUTOSAROS标准中关于存储保护的要求,基于PowerPC的一款硬件平台MPC5634设计并实现了一种汽车电子操作系统存储保护的机制。通过对系统进行域的划分,并根据域的配置信息来规定域之间的相互访问的约束关系。底层基于存储管理单元(MMU)的支持,设计TLB的管理,任务切换以及系统调来支持域之间访问的约束和隔离从而达到保护作用。通过分析和测试基于硬件的存储保护机制,表明该设计能有效地达到存储保护的要求,并且系统有较好的性能。     

操作系统可配置智能卡SoC设计

在普通智能卡SoC系统结构基础上,通过引入存储器管理机制,提出了一种可通过总线接口实现操作系统再配置的智能卡SoC设计.在所给出的智能卡SoC系统中,通过存储器管理机制可根据实际需要调节代码区与数据区存储器容量,继而对系统中的存储器资源进行有效整合,充分利用存储器资源.针对操作系统的下载配置,设计了一种用于模拟总线接口通信的仿真测试方法,很好的模拟了操作系统配置全过程,给出了仿真波形.     

一种面向密码SoC的高性能全双工DMA设计

在密码SoC等数据密集型应用中,数据传输速度成为制约密码处理性能提升的瓶颈。结合密码SoC的数据流处理特点,提出一种面向密码SoC的高性能DMA优化设计方法。对特定模块的DMA传输开辟专用通道,利用并行读写数据提高特定模块DMA传输的总线带宽利用率。添加特殊工作模式用于自主控制重复任务传输以提升传输的带宽利用率。在此基础上,采用多通道优先级动态调整技术实现多任务下效率较高的自适应传输。仿真结果表明,该DMA在55 nm工艺下的最高频率达910 MHz,总线利用率和协处理器利用率的平均值分别高达91%和54%,相对通用DMA,其对密码SoC的ZUC、SNOW、SM3、SM4和AES算法的性能分别提升216%、222%、123%、69%和221%。     

智能卡文件系统的安全访问机制

在对智能卡操作系统中的文件存储和安全访问控制机制深入分析的基础上，基于DES和3DES对称密钥加密算法，设计了采用Key和Secret Code对文件进行双重保护的安全校验算法，并给出了相应的文件存储格式，文中给出的应用示例表明这一方案有效地提高了整个文件系统的安全性。     

The Design of a Cryptography Based Secure File System

The design of a secure file system based on user controlled cryptographic (UCC) transformations is investigated. With UCC transformations, cryptography not only complements other protection mechanisms, but can also enforce protection specifications. Files with different access permissions are enciphered by different cryptographic keys supplied by authorized users at access time. Several classes of protection policies such as: compartmentalized, hierarchical, and data dependent are discussed. Several protection implementation schemes are suggested and analyzed according to criteria such as: security, efficiency, and user convenience. These schemes provide a versatile and powerful set of design alternatives.     

基于区块链的链下个人数据保护方案

现有结合区块链保护个人数据的方案在授权第三方服务时多将用户的个人数据地址分享给第三方服务,在用户撤销对第三方服务的访问权限后,第三方服务仍然拥有个人数据地址.为避免用户数据泄露,通过采用链下存储的方式,提出一种基于区块链的匿名地址管理方案.利用资源服务处理个人数据的加密地址,并限制第三方服务只能获得用户个人数据地址的加...     

基于可信密码模块的SoC可信启动框架模型

为满足嵌入式终端对信息安全的要求,设计了基于可信密码模块的SoC可信启动框架。该框架的特点在于对引导程序U-boot做功能上的分割,且存储在不同的非易失性存储器中,并增设了通信模块,使之在操作系统启动之前就具有发送和接收文件的功能。将引导程序的各部分与操作系统核心文件均作为可信实体,发送至可信密码模块进行完整性度量,若度量成功则可信密码模块返回下一阶段的启动信号并在其本地存储器中保存可信实体;若度量失败则禁止启动。实验结果表明,该框架是可行、有效的,可以满足现今嵌入式终端在信息安全方面的需要。     

面向UMPC的北大众志-SK系统芯片设计

如何更好地满足3C融合的需求,是超便携个人计算机(UMPC)普及的关键.北大众志-SK系统芯片,将传统个人计算机中分布在主板上的中央处理器、北桥与南桥芯片组、显示控制器和其它输入输出控制设备等众多芯片的功能集成到单一芯片中.该系统芯片采用2D/3D扩展指令、软硬协同视频解码加速部件、硬件视频编解码等方式,在高效完成多媒体处理的前提下,有效降低了对中央处理器性能的需求.通过在单芯片内部实现多层次的存储架构,简化了数据的传输路径,提高了数据传输的效率,从而提高系统性能.此外,在该系统芯片中还实现了众多主流的输入输出接口控制部件,以满足个人计算机的日常应用需求.该设计达到了高集成度、高性能、低功耗的设计目标,提供了面向教育、电子政务和个人信息处理等领域的低成本、低功耗、易使用、便于维护的UMPC解决方案.     

基于高速安全存储SoC芯片的PCIe与SATA通路验证

针对传统SATA控制器存储系统性能受限、安全性不足问题,提出并设计了一款可实现PCIe（peripheral component interconnect express）与SATA（serial advanced technology attachment）协议传输数据互转,基于SM4算法实现本地数据安全存储的高速安全存储SoC（system of chip）芯片。通过构建合理的片内PCIe与SATA互转数据传输通路,利用PCIe VIP（verification intellectual property）及UVM（universal verification methodology）技术搭建系统应用级仿真验证平台,设计基于SystemVerilog语言的源激励用例和C固件,利用脚本自动化控制实现仿真验证。仿真结果表明,该SoC芯片通路上各设备链路建立正确,实现PCIe与SATA互转通路数据正确传输,测试带宽472 MBps,基于SM4算法的本地安全存储加解密无误,SM4算法加解密带宽1.33 Gbps。根据仿真实验结果可知,该PCIe与SATA桥接转换SoC芯片架构设计是可行的,实现了本地数据的安全存储,为进一步进行数据高速转换访问、安全传输存储研究奠定了重要基础。     

Secure administration of cryptographic role-based access control for large-scale cloud storage systems

Cloud systems provide significant benefits by allowing users to store massive amount of data on demand in a cost-effective manner. Role-based access control (RBAC) is a well-known access control model which can be used to protect the security of cloud data storage. Although cryptographic RBAC schemes have been developed recently to secure data outsourcing, these schemes assume the existence of a trusted administrator managing all the users and roles, which is not realistic in large-scale systems. In this paper, we introduce a cryptographic administrative model AdC-RBAC for managing and enforcing access policies for cryptographic RBAC schemes. The AdC-RBAC model uses cryptographic techniques to ensure that the administrative tasks are performed only by authorised administrative roles. Then we propose a role-based encryption (RBE) scheme and show how the AdC-RBAC model decentralises the administrative tasks in the RBE scheme thereby making it practical for security policy management in large-scale cloud systems.