论文部分内容阅读
摘要:本文阐述基于FPGA设计实现加密产品的优势,并以实际产品说明FPGA在信源全系统复合加密方面的应用。本文网络版地址:http://www.eepw.com.cn/article/146817.htm
关键词:加密技术;FPGA;硬件防克隆;整机加密
加密相关技术的简介
加密技术包括两个元素:算法和密钥。算法是将普通的文本与一串数字(密钥)的结合,产生不可理解的密文的步骤,密钥是用来对数据进行编码和解码的一种算法。在安全保密中,可通过适当的密钥加密技术和管理机制来保证网络的信息通讯安全。密钥加密技术的密码体制分为对称密钥体制和非对称密钥体制两种。相应地,对数据加密的技术分为两类,即对称加密(私人密钥加密)和非对称加密(公开密钥加密)。对称加密以数据加密标准(DES,Data Encryption Standard)算法为典型代表,非对称加密通常以RSA(Rivest Shamir AdI eman)算法为代表。对称加密的加密密钥和解密密钥相同,而非对称加密的加密密钥和解密密钥不同,加密密钥可以公开而解密密钥需要保密。
对称加密技术
对称加密技术又称私钥加密技术,就是加密密钥能够从解密密钥中推算出来,反过来也成立。大多数对称算法中,加、解密的密钥是相同的,这些算法也称秘密密钥算法或单密钥算法。用这种加密技术通信时,信息发送方用加密算法E把明文M加密,得到密文C后,然后把密文通过通信网络发送给接收方,接收方在接收到密文C后,通过解密算法D进行解密,重新得到原明文M,达到密码通信的目的。目前广泛采用的对称加密技术之一是数据加密标准DES。传统信息加密产品面临的问题
当前市场上存在的加密产品可分为几大类:
第一类是硬件加密产品。这类产品的大致原理是通过主要以ARM为核心,外接加密芯片构造而成的SOC系统。首先,由于加密芯片的实现的功能单一,不能够实现多种算法:其次,由于外接的加密芯片暴露在外,容易检测加密芯片的管脚信号,通过示波器容易知晓加解密的结构:而且这样的结构设计其处理速度远远不能满足批量或者大文件的数据处理需求:硬件容易被克隆。
另一类则是软件产品。通过以加密算法为核心,通过编程实现算法,然后对文件进行加密。由于在加密大数据的时候,加密速度很慢,而且使用软件处理的方式会占用很多电脑的资源,难以达到人们的预期,而且网上有着很多的破解软件,常用的加密算法都有对应的解密软件,使得加密后的数据容易被暴力破解。
基于FPGA实现信源加密的优点
FPGA简介
目前以硬件描述语言(Verilog或VHDL)所完成的电路设计,可以经过简单的综合与布局,快速的烧录至FPGA(Field Programmable Gate Array)上进行测试,是现代IC设计验证的技术主流。这些可编辑器件可以被用来实现一些基本的逻辑门电路(比如AND、OR、XOR、NOT)或者更复杂一些的组合功能比如解码器或数学方程式。在大多数的FPGA里面,这些可编辑的器件里也包含记忆元件例如触发器(Flip-flop)或者其他更加完整的记忆块。
系统设计师可以根据需要通过可编辑的连接把FPGA内部的逻辑块连接起来,就好像一个电路试验板被放在了一个芯片里。一个出厂后的成品FPGA的逻辑块和连接可以按照设计者而改变,所以FPGA可以完成所需要的逻辑功能。
基于FPGA设计的加密产品的优点
随着计算机网络的发展和电子商务的日趋频繁,对加密技术提出了更高的要求。从整体发展趋势来看,密码装置应该作为外接在主机串口或并口的一个硬件设备或是一块插卡,具有速度快、低时延的特点。基于FPGA实现的加密技术与以往的主流硬件实现方式(如DSP芯片、单片机等)相比,具有低成本、高速度、微功耗、微小封装尺寸以及保密性强等优点。美国国家标准与技术协会(NIST)在对高级加密标准AES的候选算法进行评判时,就将能否在智能卡上实现作为一个很重要的标准。另一个明显的优点在于:在对时间代价和空间代价的取舍上,基于FPGA实现的加密技术提供了多种实现方案,分别对时间代价和空间代价有不同的偏重,有利于在各种应用环境中进行优化,
由于FPGA的可配置性,FPGA能够实现大多数加密算法,同时使用全硬件加密处理,并行处理数据,加密速度也非常快,加密结构是被设计在FPGA内部,结构不易于被获取,再将密码与FPGA芯片DNA序列号绑定在一起,硬件不能被克隆,使其安全性能大大提高。
以深圳市振华微电子有限公司的加密产品为例,可体现基于FPGA实现的产品的处理速度,安全性能及其灵活性等等。
基于FPGA实现的5款加解密产品,根据其性能需求,选用不同的型号FPGA芯片:以带有PCIE接口的产品为例,其加/解密速度根据选用的算法不同,其处理速度范围达到300Mbps-7SOMbps。
其安全性能方面,在FPGA内部实现AES、3DES这算法,密码的组成由三部分组成,第一部分是电脑主板以及CPU的序列号,第二部分是FPGA的DNA序列号,第三部分是用户保存的密码,这样安排密码,可把产品、电脑、用户都绑定起来,三者缺一不可。对数据、密码的处理方面,利用FPGA的灵活性,把数据、密码的字节序混乱起来处理,更增加其安全性能。用户更是可以定制自己的加密算法,更灵活和安全。
用同一块FPGA芯片根据不同的应用场合,可以设计为不同的产品,如振华微电子的PCIE加密产品以及整机加密产品(硬盘),这些都是利用了FPGA设计灵活,处理速度快等等特点。在PCIE产品中,实现了PCIE接口总线控制器,整机加密产品在一块FPGA内实现了PCIE接口控制器,USB控制器,SATA控制器以及两种硬核加密算法。
振华微电子的产品适用于各种场合,如普通PC机、服务器(包括云服务器)等等。这些产品都针对信源进行加密,保护本地信息不被泄露,信源包括本地用户的任何存储在硬盘里面的数据、文档、可执行文件及程序等等。 基于FPGA实现信源加密技术的应用
由于FPGA加密技术有着上述诸多的优点,使得其应用面非常广泛,可以对一些重要的文件,例如license等进行加密,也可以对整个硬盘进行加密。在军事领域的应用中,不但对信息的保密性、一致性等方面要求高,更要求有很高的时效性,而FPGA加密技术能够满足这方面的要求。
FPGA即现场可编程逻辑器件,其特性已经决定了它的可扩展性和灵活性,适用于处理要求快速、安全的场合。尤其在信息安全领域,更是需要这样的实现器件。
为了方便叙述,以振华微电子的整机加密模组作为实例说明,图1是整机加密模组的功能原理图。
电脑的硬盘挂载在整机加密模组下,任何写进去硬盘的数据文档、系统文件、应用程序都是经过这个模组加密的,存在硬盘里面的数据都是密文(包括操作系统、程序等);当用户需要使用电脑时,需先把USB key插在整机加密模组的USB口(而不是电脑主板的USB,主板的USB口容易被监控、跟踪),然后开启电源,当整机加密模组检测到正确的USB key时,才会启用解密,并对从硬盘里面读出来的密文进行解密,电脑才能启用;当用户使用完毕电脑,关机,拔出USB key,即可放心离开。
如果整个加密模组、硬盘甚至整台电脑都丢失,只要USB key在用户手上,用户也不用担心,因为整机加密模组以及电脑主板是绑定在一起的,而且存硬盘里面的密文数据字节序更是被随机打乱,黑客获得被随机打乱字节序的密文,他能干什么呢?密文是经过256bit的AES加密的,在当前破解256bit的AES,还只是奢望。
用户也不用担心USB key被克隆,USB key也是基于FPGA实现的,这个FPGA的DNA序列也是全世界独一无二的,这里面的key有三重保护:①被加密,且字节序随机打乱:②跟唯一的FPGA DNA绑定:③DNA先经过加密后才跟key绑定,保证别人无法知道key到底是跟什么绑定在一起。以上三点做到USB key无法被克隆。用户只需要随身带着USB key,使用电脑时,插上USB key;不使用时把USB key带走。当然对于监管更严格的场所,可以把信源使用者跟usB key拥有者区分开。
基于FPGA的特性,实现信源的加密产品,具有:灵活、安全性能高、处理速度快等特点。这正是FPG牍现信源加密的优势所在。
关键词:加密技术;FPGA;硬件防克隆;整机加密
加密相关技术的简介
加密技术包括两个元素:算法和密钥。算法是将普通的文本与一串数字(密钥)的结合,产生不可理解的密文的步骤,密钥是用来对数据进行编码和解码的一种算法。在安全保密中,可通过适当的密钥加密技术和管理机制来保证网络的信息通讯安全。密钥加密技术的密码体制分为对称密钥体制和非对称密钥体制两种。相应地,对数据加密的技术分为两类,即对称加密(私人密钥加密)和非对称加密(公开密钥加密)。对称加密以数据加密标准(DES,Data Encryption Standard)算法为典型代表,非对称加密通常以RSA(Rivest Shamir AdI eman)算法为代表。对称加密的加密密钥和解密密钥相同,而非对称加密的加密密钥和解密密钥不同,加密密钥可以公开而解密密钥需要保密。
对称加密技术
对称加密技术又称私钥加密技术,就是加密密钥能够从解密密钥中推算出来,反过来也成立。大多数对称算法中,加、解密的密钥是相同的,这些算法也称秘密密钥算法或单密钥算法。用这种加密技术通信时,信息发送方用加密算法E把明文M加密,得到密文C后,然后把密文通过通信网络发送给接收方,接收方在接收到密文C后,通过解密算法D进行解密,重新得到原明文M,达到密码通信的目的。目前广泛采用的对称加密技术之一是数据加密标准DES。传统信息加密产品面临的问题
当前市场上存在的加密产品可分为几大类:
第一类是硬件加密产品。这类产品的大致原理是通过主要以ARM为核心,外接加密芯片构造而成的SOC系统。首先,由于加密芯片的实现的功能单一,不能够实现多种算法:其次,由于外接的加密芯片暴露在外,容易检测加密芯片的管脚信号,通过示波器容易知晓加解密的结构:而且这样的结构设计其处理速度远远不能满足批量或者大文件的数据处理需求:硬件容易被克隆。
另一类则是软件产品。通过以加密算法为核心,通过编程实现算法,然后对文件进行加密。由于在加密大数据的时候,加密速度很慢,而且使用软件处理的方式会占用很多电脑的资源,难以达到人们的预期,而且网上有着很多的破解软件,常用的加密算法都有对应的解密软件,使得加密后的数据容易被暴力破解。
基于FPGA实现信源加密的优点
FPGA简介
目前以硬件描述语言(Verilog或VHDL)所完成的电路设计,可以经过简单的综合与布局,快速的烧录至FPGA(Field Programmable Gate Array)上进行测试,是现代IC设计验证的技术主流。这些可编辑器件可以被用来实现一些基本的逻辑门电路(比如AND、OR、XOR、NOT)或者更复杂一些的组合功能比如解码器或数学方程式。在大多数的FPGA里面,这些可编辑的器件里也包含记忆元件例如触发器(Flip-flop)或者其他更加完整的记忆块。
系统设计师可以根据需要通过可编辑的连接把FPGA内部的逻辑块连接起来,就好像一个电路试验板被放在了一个芯片里。一个出厂后的成品FPGA的逻辑块和连接可以按照设计者而改变,所以FPGA可以完成所需要的逻辑功能。
基于FPGA设计的加密产品的优点
随着计算机网络的发展和电子商务的日趋频繁,对加密技术提出了更高的要求。从整体发展趋势来看,密码装置应该作为外接在主机串口或并口的一个硬件设备或是一块插卡,具有速度快、低时延的特点。基于FPGA实现的加密技术与以往的主流硬件实现方式(如DSP芯片、单片机等)相比,具有低成本、高速度、微功耗、微小封装尺寸以及保密性强等优点。美国国家标准与技术协会(NIST)在对高级加密标准AES的候选算法进行评判时,就将能否在智能卡上实现作为一个很重要的标准。另一个明显的优点在于:在对时间代价和空间代价的取舍上,基于FPGA实现的加密技术提供了多种实现方案,分别对时间代价和空间代价有不同的偏重,有利于在各种应用环境中进行优化,
由于FPGA的可配置性,FPGA能够实现大多数加密算法,同时使用全硬件加密处理,并行处理数据,加密速度也非常快,加密结构是被设计在FPGA内部,结构不易于被获取,再将密码与FPGA芯片DNA序列号绑定在一起,硬件不能被克隆,使其安全性能大大提高。
以深圳市振华微电子有限公司的加密产品为例,可体现基于FPGA实现的产品的处理速度,安全性能及其灵活性等等。
基于FPGA实现的5款加解密产品,根据其性能需求,选用不同的型号FPGA芯片:以带有PCIE接口的产品为例,其加/解密速度根据选用的算法不同,其处理速度范围达到300Mbps-7SOMbps。
其安全性能方面,在FPGA内部实现AES、3DES这算法,密码的组成由三部分组成,第一部分是电脑主板以及CPU的序列号,第二部分是FPGA的DNA序列号,第三部分是用户保存的密码,这样安排密码,可把产品、电脑、用户都绑定起来,三者缺一不可。对数据、密码的处理方面,利用FPGA的灵活性,把数据、密码的字节序混乱起来处理,更增加其安全性能。用户更是可以定制自己的加密算法,更灵活和安全。
用同一块FPGA芯片根据不同的应用场合,可以设计为不同的产品,如振华微电子的PCIE加密产品以及整机加密产品(硬盘),这些都是利用了FPGA设计灵活,处理速度快等等特点。在PCIE产品中,实现了PCIE接口总线控制器,整机加密产品在一块FPGA内实现了PCIE接口控制器,USB控制器,SATA控制器以及两种硬核加密算法。
振华微电子的产品适用于各种场合,如普通PC机、服务器(包括云服务器)等等。这些产品都针对信源进行加密,保护本地信息不被泄露,信源包括本地用户的任何存储在硬盘里面的数据、文档、可执行文件及程序等等。 基于FPGA实现信源加密技术的应用
由于FPGA加密技术有着上述诸多的优点,使得其应用面非常广泛,可以对一些重要的文件,例如license等进行加密,也可以对整个硬盘进行加密。在军事领域的应用中,不但对信息的保密性、一致性等方面要求高,更要求有很高的时效性,而FPGA加密技术能够满足这方面的要求。
FPGA即现场可编程逻辑器件,其特性已经决定了它的可扩展性和灵活性,适用于处理要求快速、安全的场合。尤其在信息安全领域,更是需要这样的实现器件。
为了方便叙述,以振华微电子的整机加密模组作为实例说明,图1是整机加密模组的功能原理图。
电脑的硬盘挂载在整机加密模组下,任何写进去硬盘的数据文档、系统文件、应用程序都是经过这个模组加密的,存在硬盘里面的数据都是密文(包括操作系统、程序等);当用户需要使用电脑时,需先把USB key插在整机加密模组的USB口(而不是电脑主板的USB,主板的USB口容易被监控、跟踪),然后开启电源,当整机加密模组检测到正确的USB key时,才会启用解密,并对从硬盘里面读出来的密文进行解密,电脑才能启用;当用户使用完毕电脑,关机,拔出USB key,即可放心离开。
如果整个加密模组、硬盘甚至整台电脑都丢失,只要USB key在用户手上,用户也不用担心,因为整机加密模组以及电脑主板是绑定在一起的,而且存硬盘里面的密文数据字节序更是被随机打乱,黑客获得被随机打乱字节序的密文,他能干什么呢?密文是经过256bit的AES加密的,在当前破解256bit的AES,还只是奢望。
用户也不用担心USB key被克隆,USB key也是基于FPGA实现的,这个FPGA的DNA序列也是全世界独一无二的,这里面的key有三重保护:①被加密,且字节序随机打乱:②跟唯一的FPGA DNA绑定:③DNA先经过加密后才跟key绑定,保证别人无法知道key到底是跟什么绑定在一起。以上三点做到USB key无法被克隆。用户只需要随身带着USB key,使用电脑时,插上USB key;不使用时把USB key带走。当然对于监管更严格的场所,可以把信源使用者跟usB key拥有者区分开。
基于FPGA的特性,实现信源的加密产品,具有:灵活、安全性能高、处理速度快等特点。这正是FPG牍现信源加密的优势所在。