D0I:10.13374/j.issnl00I63.2006.12.044 第28卷第12期 北京科技大学学报 Vol.28 No.12 2006年12月 Journal of University of Science and Technology Beijing Dec.2006 可重组多功能大数运算器的小规模硬件实现 李蓬勃张晓彤王沁 北京科技大学信息工程学院，北京100083 摘要提出了一种面积优先的多功能、可重组的大数值运算器设计方法·基于简单的加法操作， 采用扫描链控制、迭代调用等方法对设计进行优化，实现了14种基本的大数运算功能。每种功能 支持的规格从8位至2048位，给安全芯片用户提供了极大的灵活性，显著减小了代码的开发周期 和成本.由于多种功能尽量复用相同的逻辑资源，本设计在满足体系运算速度的前提下，规模只有 13887门，完全满足安全芯片面积优先的设计约束. 关键词运算器：运算功能；安全芯片：硬件设计 分类号TP309.7;TP332.2 随着各种加解密算法密钥长度的逐步增加， 对规模要求严格的设计需求，提出了一种小规模 在一些具有安全性需求的芯片设计中，大规格数 的大数值运算器设计方法，基于加法操作，在扫 据运算的硬件实现已成为硬件设计的主要考虑因 描链的配合下，全部用逻辑电路实现了包括加减 素和设计难点，比如RSA等基于大数分解的公 乘除及模乘、模幂乘等多种运算功能，各功能支持 钥密码算法，虽然目前密钥长度已达1024位，但 的运算规格从8位一直扩展到2048位.经综合 是仍然不能避免将被破解的厄运，致使密钥还需 验证，在20Mz的主频下，设计规模只有13887 进一步增加.这种运算规格的增长不仅使加解密 门，完全适用于CSTU安全体系的面积优先的设 运算速度降低，而且增加了硬件实现的难度 计要求 目前国内外对大数值运算器的研究，主要集 中在大数模幂乘运算的实现上，其数学表达式为 1CSTU安全芯片体系结构简介 S=Amod N.大数模幂乘一般用模平方和模乘 随着人们对安全需求的不断增加，采用固定 来实现：对于一个指数B,模平方的次数是固定 或单一加解密算法的产品已经无法满足人们的需 的，而模乘的次数是可以优化的，因此可在以下 求，目前的安全产品需要经常更换加解密算法甚 两方面考虑运算加速：(1)减少模乘次数；(2)提 至改变整个安全策略，适应这种需求常用的方法 高大数模乘速度、针对第一种方案提出的加速算 是在基本运算器之上，使用软件编程的方式灵活 法有m进制方法、加法链法、Yacobi法：针对第二 的实现算法的转换.但是面对不断升级的软件破 种方案有估商型系列算法山和Montgomery系列 解技术的挑战，以及软件方式的低速率性，各种加 算法[.以上各种方案或者需要预计算，占用较 解密算法也由软件实现向硬件电路实现过渡，为 大的存储空间，或者需要设置专门的乘法单元，都 解决这一矛盾，可支持多种加解密算法的硬件安 是在牺牲规模的前提下提高运算速度，在对规模 全产品就应运而生，其中基于可重组方式设计的 要求严格的安全芯片中，以上方法不再适用.而 安全芯片无疑又具有领先优势 且，它们也并未涉及其他运算（如加、减、乘、除等 CSTU保密终端安全芯片采用了可重组设计 四则运算)的大规格实现方法 思想，综合分析了当前大量使用的DES,AES, 根据保密终端安全芯片CSTU(China secure IDEA,RSA,MD5等十余种加解密算法的实现过 terminal unit,国家密码委员会审批项目，产品型 程，支持对称、公钥、摘要密码算法及用户隐秘算 号SSX11)对运算速度要求不高（主频20Mz)、 法，提供这些算法实现所需的IP平台，不同的用 收稿日期：2005-12-06修回日期：2006-04-14 户可以根据自己的需要在平台上进行二次开发， 作者简介：李蓬勃(1980一)，男，硕士研究生；张晓彤(1968一)， 形成自己定义的安全算法及策略 男，副教授，博士 CSTU安全芯片可用于保密电话、安全卡证可重组多功能大数运算器的小规模硬件实现 李蓬勃 张晓彤 王 沁 北京科技大学信息工程学院‚北京100083 摘 要 提出了一种面积优先的多功能、可重组的大数值运算器设计方法．基于简单的加法操作‚ 采用扫描链控制、迭代调用等方法对设计进行优化‚实现了14种基本的大数运算功能．每种功能 支持的规格从8位至2048位‚给安全芯片用户提供了极大的灵活性‚显著减小了代码的开发周期 和成本．由于多种功能尽量复用相同的逻辑资源‚本设计在满足体系运算速度的前提下‚规模只有 13887门‚完全满足安全芯片面积优先的设计约束． 关键词 运算器；运算功能；安全芯片；硬件设计 分类号 TP309∙7；TP332∙2 收稿日期：20051206 修回日期：20060414 作者简介：李蓬勃（1980—）‚男‚硕士研究生；张晓彤（1968—）‚ 男‚副教授‚博士 随着各种加解密算法密钥长度的逐步增加‚ 在一些具有安全性需求的芯片设计中‚大规格数 据运算的硬件实现已成为硬件设计的主要考虑因 素和设计难点．比如 RSA 等基于大数分解的公 钥密码算法‚虽然目前密钥长度已达1024位‚但 是仍然不能避免将被破解的厄运‚致使密钥还需 进一步增加．这种运算规格的增长不仅使加解密 运算速度降低‚而且增加了硬件实现的难度． 目前国内外对大数值运算器的研究‚主要集 中在大数模幂乘运算的实现上‚其数学表达式为 S＝ A Bmod N．大数模幂乘一般用模平方和模乘 来实现；对于一个指数 B‚模平方的次数是固定 的‚而模乘的次数是可以优化的．因此可在以下 两方面考虑运算加速：（1） 减少模乘次数；（2） 提 高大数模乘速度．针对第一种方案提出的加速算 法有 m 进制方法、加法链法、Yacobi 法；针对第二 种方案有估商型系列算法［1］和 Montgomery 系列 算法［2］．以上各种方案或者需要预计算‚占用较 大的存储空间‚或者需要设置专门的乘法单元‚都 是在牺牲规模的前提下提高运算速度．在对规模 要求严格的安全芯片中‚以上方法不再适用．而 且‚它们也并未涉及其他运算（如加、减、乘、除等 四则运算）的大规格实现方法． 根据保密终端安全芯片 CSTU （China secure terminal unit‚国家密码委员会审批项目‚产品型 号 SSX11） 对运算速度要求不高（主频20MHz）、 对规模要求严格的设计需求‚提出了一种小规模 的大数值运算器设计方法．基于加法操作‚在扫 描链的配合下‚全部用逻辑电路实现了包括加减 乘除及模乘、模幂乘等多种运算功能‚各功能支持 的运算规格从8位一直扩展到2048位．经综合 验证‚在20MHz 的主频下‚设计规模只有13887 门‚完全适用于 CSTU 安全体系的面积优先的设 计要求． 1 CSTU 安全芯片体系结构简介 随着人们对安全需求的不断增加‚采用固定 或单一加解密算法的产品已经无法满足人们的需 求‚目前的安全产品需要经常更换加解密算法甚 至改变整个安全策略．适应这种需求常用的方法 是在基本运算器之上‚使用软件编程的方式灵活 的实现算法的转换．但是面对不断升级的软件破 解技术的挑战‚以及软件方式的低速率性‚各种加 解密算法也由软件实现向硬件电路实现过渡．为 解决这一矛盾‚可支持多种加解密算法的硬件安 全产品就应运而生‚其中基于可重组方式设计的 安全芯片无疑又具有领先优势． CSTU 保密终端安全芯片采用了可重组设计 思想‚综合分析了当前大量使用的 DES‚AES‚ IDEA‚RSA‚MD5等十余种加解密算法的实现过 程‚支持对称、公钥、摘要密码算法及用户隐秘算 法‚提供这些算法实现所需的 IP 平台‚不同的用 户可以根据自己的需要在平台上进行二次开发‚ 形成自己定义的安全算法及策略． CSTU 安全芯片可用于保密电话、安全卡证 第28卷 第12期 2006年 12月 北 京 科 技 大 学 学 报 Journal of University of Science and Technology Beijing Vol．28No．12 Dec．2006 DOI:10．13374／j．issn1001－053x．2006．12．044