（微电子学与固体电子学专业论文）ic卡aes协处理器的fpga设计.pdf

硕十学位论文 摘要 随着我国“金卡工程”的实旋，i c 卡已渗透到我们生活的各个方面，i c 卡作 为信息传输、存储和交换的中间媒介，对信息的安全起着举足轻重的作用，因此， 它所提供的安全保护手段必须足以保证信息的安全。但现在的i c 卡多用d e s 或 t - d e s 对信息进行加密和解密，这种加密算法早已被攻破。2 0 0 2 年美国公布了新 的加密标准一高级加密标准( a e s ) ，并多用于通信和网络，用高级加密标准保证 i c 卡的信息安全势在必行，针对i c 卡的a e s 协处理器的设计也非常重要。 本论文首先介绍了高级加密标准的整体结构和四个轮函数，并详细介绍了其 加密，解密原理和过程。高级加密标准的硬件实现的结构有多种，本论文主要对比 了流水线结构、内部流水线结构和循环展开结构的速度和特点，针对i c 卡中信息 处理的特点和对面积的要求，选择了内部流水线结构作为i c 卡a e s 协处理器的 结构，并对该结构进行了改进。在密钥扩展方面，采用了同步扩展的方法，即在 进行每一轮运算的同时产生下一轮轮密钥，使轮运算和密钥调度同步进行，大大 节省了轮密钥的存储空间。在此基础上又对高级加密标准的四个轮函数进行了算 法优化，使加密和解密共享硬件资源。经改进后的结构的突出特点是最大程度上 实现了资源共享，减少了硬件资源的占用率。 在硬件设计的基础上，本论文按照自顶向下的设计方法，采用可综合的代码 风格，在集成开发软件i s e 6 1 中完成了a e s 协处理器各个功能模块的v e f i l o gh d l 代码的编写，并在i s e 中调用第三方软件m o d e l s i m 进行了仿真，验证了设计的正 确性，并以x i l i n x 公司的v i r t e x 系列x c v p q 2 4 0 型f p g a 为载体顺利完成了从综 合到映射再到布局布线的全过程，该设计的最高时钟频率达到了2 0 0 3 2 m h z ，对 一个数据分组的加密速度为6 4 m b i t s s ，解密速度为4 3 m b i t s s 。结果表明，该设 计满足各项时序要求，满足i c 卡对加解密协处理器的要求。 关键词：高级加密标准；算法优化；资源共享；硬件描述语言；f p g a ； 兰土兰：尘兰翌兰兰：2 台璧墓 a b s t r a c t w i t ht h ec a r r i e do u to f g o l d e nc a r dp r o j e c t i no u rc o u n t r y ，i cc a r d sa r ew i l d l yu s e di n o u rd a i l yl i v e s i cc a r di saq u i t ei m p o r t a n tm e d i u mo ft r a n s m i s s i o n ，s t o r a g ea n de x c h a n g eo f i n f o r m a t i o n s ot h es e c u r i t ym e a s u r e so f f e r e db yi cc a r dm u s tg u a r a n t e et h es a f e t yo f i n f o r m a t i o nb u tn o w a d a y s ，m o s ti cc a r d ss t i l le n c r y p to rd e c r y p ti n f o r m a t i o nw i t hd e so r t - d e sw h i c hh a sb e e n p r o v e d t ob eo u t - o f - d a t e i n2 0 0 2 ，t h en e w e n c r y p f i o n s t a n d a r d - - a e s ( a d v a n c e de n c r y p t i o ns t a n d a r d ) w a sa n n o u n c e db yu s a i nt h e s es e v e r a l y e a r s ，i ti si m p l e m e n t e di nc o m m u n i c a t i o na n di n t e m e t s oi tb e c o m e su r g e n tn o wt op u ta e s i n t oe n e r y p t i n go rd e c r y p t i n gi n f o r m a t i o no ni cc a r d a n dt h ed e s i g no fa e sp r o c e s s o rb a s e d o ni cc a r da l s ob e c o m e sv e r yi m p o r t a n t t h i st h e s i si n t r o d u c e st h ew h o l ea r c h i t e c t u r ea n df o u ri n d i v i d u a lt r a n s f o r m a t i o n sf i r s t a n d e x p l a i n st h ep r i n c i p l e so fe n c r y p t i o na n dd e c r y p t i o na tl e n g t h f o rt h es e v e r a la r c h i t e c t u r e so f t h eh a r d w a r ei m p l e m e n to fa e s ，t h i st h e s i sm a i n l ya n a l y z e sa n dc o n t r a s t st h ec h a r a c t e r i s t i c so f p i p e f i n ea r c h i t e c t u r e ，s u b p i p e l i n e da r c h i t e c t u r ea n dl o o pu n r o l l i n ga r c h i t e c t u r e a c c o r d i n gt o t h ec h a r a c t e r i s t i c so fi n f o r m a t i o na n dt h er e q u i r e m e n tf o rc h i pa r e ai ni cc a r d ，t h et h e s i s c h o o s e st h es u b p i p e l i n e da r c h i t e c t u r ea st h ea r c h i t e c t u r eo fa e sp r o c e s s o ri ni cc a r d ，a n d f u r t h e rm o r e ，i m p r o v e st h es u b - p i p e l i n e da r c h i t e c t u r es ot h a ti tw i l lb ea d a p t e dt oi cc a r dm o r e i nt h ea s p e c to fk e ye x p a n s i o n ，s y n c h r o n o u se x p a n s i o ni sa d o p t e d ，w h i c hs a v e st h es t o r a g ea r e a o fr o u n dk e y s w h e nt h er o u n do p e r a t i o ni si np r o g r e s s ，t h ek e ye x p a n s i o nu n i tp r o d u c e st h e n e x tr o u n dk e yo nt h eb a s i so ft h e s em e a s u r e s ，t h et h e s i sa l s oo p t i m i z e st h ea l g o r i t h m i c ，s ot h a t t h ee n c r y p t i o na n dd e c r y p t i o nc a ns h a r et h eh a r d w a r ea n dt h ea r e ao fa e s p r o c e s s o rc a nb e s a v e d t h eo u t s t a n d i n gc h a r a c t e r i s t i co ft h ei m p r o v e dd e s i g ni sm a k i n gt h eh a r d w a r eb es h a r e d t ot h eg r e a t e s te x t e n t ，a n dt h eo c c u p i e da r e ao ft h eh a r d w a r ec a nb eg r e a t l ys a v e d a f t e rt h ea n a l y s i so ft h ea r c h i t e c t u r eo fa e sp r o c e s s o rb a s e do ni cc a r d ，t h et h e s i sa d o p t s a “t o p d o w n ”d e s i g nm e t h o da n dd e s c r i b e st h ew h o l ed e s i g nw i t hv e r i l o gh d la tt h ef u l l s y n t h e s i z a b l er t ll e v e lo nx i f i n x si s e 6 1 t h es i m u l a t i o no f a e sp r o c e s s o ri sp e r f o r m e dw i t h t h er e s u l t ss h o w i n gt h a tt h ed e s i g nc a nc o r r e c t l yc o m p l e t ee n c r y p t i o na n dd e c r y p t i o n a n dt h e n t h ei m p l e m e n to fa e sp r o c e s s o ri sa l s op e r f o r m e db a s e do nt h ex i l i n x sv i r t e xx c v p q 2 4 0 f p g aw i t ht h er e s u l t ss h o w i n gt h a tt h e 丘e q u e n c yi s2 0 0 3 2 m h za n dc a nm e e tt h er e a l t i m e r e q u i r e m e n t sf o ri cc a r da p p l i c a t i o n s k e yw o r d s ：a e s ；a l g o r i t h m i co p t i m i z a t i o n ；r e s o u r c es h a r i n g ；h a r d w a r ed e s c r i p t l a n g u a g e ；f p g a ； i i 湖南大学 学位论文原创性声明 本人郑重声明：所呈交的论文是本人在导师的指导下独立进行研究所取 得的研究成果。除了文中特别加以标注引用的内容外，本论文不包含任何其 他个人或集体已经发表或撰写的成果作品。对本文的研究做出重要贡献的个 人和集体，均已在文中以明确方式标明。本人完全意识到本声明的法律后果 由本人承担。 作者签名：峁烙日期：护歹年钼日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，同意学 校保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查 阅和借阅。本人授权湖南大学可以将本学位论文的全部或部分内容编入有关 数据库进行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位 论文。 本学位论文属于 1 、保密口，在年解密后适用本授权书。 2 、不保密团。 ( 请在以上相应方框内打“4 ”) 作者签名： 导师签名： 日期：汐r 年4 - 月日 日期：0 6 年4 月日 硕士学位论文 第1 章绪论 1 1 智能i c 卡及其系统概述 1 1 1 智能i c 卡 i c 卡( i n t e g r a t e dc i r c u i tc a r d ) ，又称集成电路卡，是智能卡( s m a r tc a r d ) 的一种， 它将一个集成电路芯片镶嵌于塑料基片中，封装成卡的形式。i c 卡的概念是2 0 世纪7 0 年代初提出来的，法国布尔( b 仉l ) 公司于1 9 7 6 年首先创造出i c 卡产品， 此后的时间里随着大规模集成电路技术、计算机技术以及信息安全技术等的发展， 尤其是e e p r o m 技术的成熟，i c 卡技术也日趋成熟，并应用到金融、交通、医 疗、身份证明等多个行业。现阶段的i c 卡已发展到将集成电路技术、微处理技术、 信息安全技术及无线通信技术相结合的智能卡阶段。它不只是简单的存储数据， 其内含的m c u 、数字逻辑电路、加解密协处理器等使其在数据的计算和处理能力、 安全技术体制及编程适应性上都育很大的提高。目前国际上已出现内含有5 1 2 位 的公共密钥算法的协处理器的i c 卡，可支持r s a 、d i f f e r - h e l l m a n 和d s a 等公共 密钥算法，有关的软件还提供了随机安全编码功能以及d e s 、访问控制协议、数 字签名和密钥管理方案等功能，特别适用于安全性要求高的应用场合。 根据卡中所镶嵌的集成电路的不同，i c 卡可以分为三类：存储器卡、逻辑加 密卡和c p u 卡。 存储器卡实质上是嵌在卡片中的串行存储器，所用芯片就是串行存储器芯片， 数据采用明文方式存储，可以根据其读写时序对内部的存储单元进行读出和改写。 逻辑加密卡是在存储器卡的基础上增加了保密逻辑，对卡内数据的读写进行控制， 以防止用户非法修改卡内数据或非授权用户使用i c 卡。c p u 卡内部含有m c u ， r o m ，r a m ，e e p r o m 等资源，是一个配有操作系统的单片机系统，它不仅能 管理各种输入输出的数据，校验来自接口设备的用户鉴别码( p i n ) ，并且能够进 行复杂的数据信息处理和加解密运算，主动识别与之相连的接口设备，实现对数 据信息存取的高可靠性和高安全性。内部的加解密协处理器对数据进行加密和解 密，严格防止非法访问卡内信息，使卡内信息绝对安全，系统绝对可靠，应用于 绝密系统之中， 按卡与外界数据传送的形式来分，有接触式i c 卡、非接触式i c 卡和双界面 卡三种嗍。 接触式i c 卡芯片有8 个触点与外部接口设备进行接触。非接触i c 卡不向外 引出触点，除了包含接触式i c 卡的电路外，还带有射频收发电路及相关电路，所 i c 卡a e s 协处理器的f p g a 设计 以又称为射频卡( r a d i of r e q u e n c yc a r d ) 。它成功地将射频识别技术和大规模集 成电路结合起来，通过无线方式传输能量和数据，解决了无源和免接触交易两大 难题0 1 。图1 1 所示为非接触c p u 卡的电路结构“1 ，其中射频接口电路完成对信息 的调制、解调，并提供工作时所需的能量和时钟。数字部分由控制单元、运算单 元、加解密单元等子模块组成，各模块在控制单元的有限状态机的控制下，通过 软硬件结合的手段确保信息的安全，并对读卡器的指令进行响应。e e p r o m 通过其 接口电路与数字部分进行通信，并存储关键数据。非接触i c 卡自从出现以来，就 成为i c 卡技术的重要发展方向，由于具有高可靠的数据传输和极强的防卫保密性， 其技术和应用发展十分迅速。双界面卡是既有触点，又有射频接口电路的智能卡， 如p h i l i p s 公司的m i f a r ep r o ，其接触式接口遵循i s 0 i e c 7 8 1 6 国际标准，非接 触式接口符合i s 0 i e c l 4 4 4 3 协议。 图1 1 非接触式c p u 卡内部结构图 i c 在应用中的技术优势在于其有良好的读写能力，强大的安全防范技术和较 大的数据存储能力，即： ( 1 ) 良好的机器读写性能，便于人机卡的多次会话，应用中更容易操作与相 互验证。非接触i c 卡更是极大地丰富了i c 卡的应用范围。 ( 2 ) i c 卡可以采用多种形式的加密方法，应用设备可离线的情况下对i c 卡 进行鉴别。 ( 3 ) 大容量的数据存储能力使i c 卡成为良好的数据载体。 1 1 2i c 卡系统 从逻辑上讲，一般的i c 卡应用系统通常由3 层组成“1 ，见图1 2 所示。其中 各模块有以下不同功能： ( 1 ) 管理主机负责有关应用信息的集中、处理、存储、显示、打印等，实 现某一具体应用的集中管理。 ( 2 ) 接口设备负责i c 卡和主机之间的信息传输。 ( 3 ) 智能终端除实现接口设备的所有功能外，还配有键盘、显示器等，可 以同持卡人进行人机交互。 从图1 1 中可以看出，在较为复杂的应用中，系统可由多个接口设备或智能终 硕士学位论文 端和主机联网组成。 管理主机 1 f 管理层 一 钞 一。， 击点击 l 一l 一 图1 2i c 卡系统” 1 2i c 卡及其系统的安全威胁 i c 卡自身的安全是i c 卡系统安全的基础，而i c 卡的核心是i c 卡芯片，因此， 其安全性在某种程度上可毗归结为i c 卡芯片的安全。i c 卡系统作为一个整体，其 面临的安全威胁主要来自以下几个方面：硬件攻击，软件攻击，分析攻击，应用 攻击，对i c 卡系统的攻击以及非技术方面的攻击。 目前对i c 卡的硬件攻击主要有以下几种： ( 1 ) 微探针攻击：攻击者首先用一些化学和物理方法从i c 卡中将芯片剥离 出来，然后用微探针对芯片进行物理探测，从而分析出i c 卡的有关设计信息和存 储结构，甚至直接读取出存储器的信息进行分析。 ( 2 ) 对i c 卡进行物理改造：攻击者利用精密仪器分析i c 卡，并对卡中执行 安全控制功能的硬件( 如专用的加密芯片，随机数发生芯片) 进行破坏，改造甚 至取代，使其失去作用或者不能执行预期的功能。 ( 3 ) 光学仪器读取数据攻击：攻击者将i c 卡中的芯片取出，然后将芯片放 在高倍显微镜下，可以直接得到有关的电路信息，通过重构芯片的逻辑电路图来 分析芯片的内部结构和存储方式。 软件攻击： ( 1 ) 对i c 卡i o 协议攻击：目前i c 卡和终端之间的通信协议一般采用的是 i s 0 7 8 1 6 - - 3 的t = 0 t = i 协议，在采用这种模式时，即使在处理保密通信模式下， 终端发给i c 卡的命令和i c 卡执行完命令后返回的过程字节仍是明文。虽然这不 会泄漏通信时的秘密信息，但是有利于攻击者进行“边频攻击”( 即计时攻击，能 i c a e s 协处理器的f p g a 设计 量攻击等) 。同时攻击者可以根据得到的命令消息再结合其它的攻击方式进行攻 击。 ( 2 ) 对c o s 的攻击：c o s 是智能卡上的操作系统，攻击者通过调试跟踪等 手段来获得c o s 的代码或执行方式，从而可以基本了解卡上的数据操作方式和存 储结构，再结合其它的攻击方式获取卡上的秘密数据。 ( 3 ) 对i c 卡加密算法和密钥攻击；目前i c 卡上一般使用的加密算法还是 d e s ，但d e s 早就被攻破了，随着时间的推移，攻击d e s 将变得越来越容易，攻 击成本也将越来越小。有些i c 卡虽然也使用r s a 算法，但其密钥长度多为5 1 2 比特，安全强度非常低。另外有些加密算法在编写成程序时可能存在漏洞，因此 会给攻击者以可乘之机。 ( 4 ) 干扰脉冲攻击：在卡和终端进行通信时，攻击者可以通过探测分析来得 到卡和终端之问通信时的脉冲，然后利用某些干扰脉冲在特定的时间对特定的信 号线进行干扰，使得终端无法将数据写到卡上或者使终端从卡上读到的数据是错 误的数据。 对i c 卡系统的攻击： ( 1 ) 对密钥管理系统实施攻击：对一个i c 卡系统而言，密钥管理系统是整 个系统的核心，攻击者可以通过直接在网络上或其它的方式攻击存储密钥的服务 器，从而导致整个系统的崩溃。 ( 2 ) 对密钥传输系统进行攻击：攻击者通过截获在密钥传输信道上的数据， 并对其上的数据进行添加、篡改等方式来攻击密钥传输系统。 ( 3 ) 接管i c 卡系统的管理控制权。 ( 4 ) 对i c 卡系统实施病毒攻击。 1 3i c 卡信息安全 1 3 1 信息安全 对于i c 卡的安全威胁，可以从两个方面确保i c 卡的安全”1 ：i c 卡的物理安 全和逻辑安全。i c 卡的物理安全实际上包括两个方面的内容：一是i c 卡本身物理 特性上的安全保证，二是指能够防止对i c 卡的外来的物理攻击，即制造时的安全 性。逻辑安全包括用户鉴别、存储区域保护和通信安全与保密。在i c 卡的逻辑安 全中，通信安全与保密是最为重要的一个方面，因为无论一张卡使用的目的是什 么，它都必须与别的设备进行通信。同时也由于i c 卡自身已具备了存储及计算的 能力，因此它也在卡类系统中第一次提供了端到端的安全控制。这些安全控制具 体而言，即是要保证该交换过程的完整性、真实性、有效性和保密性”3 。 完整性是指i c 卡及系统必须能检测出在它们之间交换的信息是否已经被修改 了，一般用于防止对信息的主动、恶意的篡改。为了保证所交换的信息内容不被 i c 卡a e s 协处理= l 的f p g a 设计 量攻击等) 。同时攻击者丌j 以根据得到的命令消息再结合其它的攻击方式进行攻 击。 ( 2 ) 对c o s 的攻击：c o s 是智能卡上的操作系统，攻击者通过调试跟踪等 手段来获得c o s 的代码或执行方式，从而可以基本了解卡上的数据操作方式和存 储结构，再结合其它的攻击方式获取卡上的秘密数据。 ( 3 ) 对i c 卡加密算法和密钥攻击；目前i c 卡上一般使用的加密算法还是 d e s ，但d e s 早就被攻破了，随着时间的推移，攻击d e s 将变得越来越容易，攻 击成本也将越来越小。有些i c 卡虽然也使用l i s a 算法，但其密钥长度多为5 1 2 比特，安全强度非常低。另外有些加密算法在编写成程序时可能存在漏洞，因此 会给攻击者咀可乘之机。 ( 4 ) 干扰脉冲攻击：在卡和终端进行通信时，攻击者可以通过探测分析来得 到卡和终端之间通信时的脉冲，然后利用某些干扰脉冲在特定的时间对特定的信 号线进行干扰，使得终端无法将数据写到卡上或者使终端从卡上读到的数据是错 误的数据。 对i c 系统的攻击： ( 1 ) 对密钥管理系统实施攻击：对一个i c 卡系统而言，密钥管理系统是整 个系统的核心，攻击者可以通过直接在网络上或其它的方式攻击存储密钥的服务 器，从而导致整个系统的崩溃。 ( 2 ) 对密钥传输系统进行攻击：攻击者通过截获在密钥传输信道上的数据， 并对其上的数据进行添加、篡改等方式柬攻击密钥传输系统。 ( 3 ) 接管i c 卡系统的管理控制权。 ( 4 ) 对i c 卡系统实施病毒攻击。 1 3i c 卡信息安全 1 3 1 信息安全 对于t c 卡的安全威胁，可以从两个方面确保i c 卡的安伞”：【c 卡的物理安 全和逻辑安全。i c 卡的物理安全实际上包括两个方面的内容：一是i c 卡本身物理 特性上的安全保证，二是指能够防止对i c 卡的外来的物理攻击，即制造时的安全 性。逻辑安全包括用户鉴别、存储区域保护和通信安全与保密。在i c 卡的逻辑安 令中，通信安全与保密是最为重要的一个方面，因为无论一张卡使用的目的是什 么，它都必须与别的设备进行通信。同时也由于1 c 卡自身已具备了存储，；6 乏计算的 能力，因此它也在卡类系统中第一次提供了端到端的安全控制。这些安全控制具 体而言，即是要保证该交换过程的完整性、真实性、有效性年保密性。、。 完整性是指i c 卡及系统必须能检测出在它们2 间交换的信息是否已经被修改 了，一般用于防止对信息的主动、恶意的篡改。为了保证所交换的信息内容不被 了，一般用于防止对信息的主动、恶意的篡改。为了保证所交换的信息内容不被 硕士学位论文 非法修改，需要对所交换的信息报文进行某种运算，运算的结果即为鉴别码。鉴 别码由报文发送方计算产生，并和报文一起经加密后提供给接收方，接收方在收 到报文后，首先对之解密得到明文，然后用约定的算法计算出解密报文( 明文) 的鉴别码，再与收到报文中的鉴别码相比较，如果相等，则认为报文是正确的， 否则就认为报文在传输过程中已被修改过。在鉴别过程中鉴别算法的设计是至关 重要的，目前在i c 卡领域最常用的是d e s 和t - d e s 算法产生鉴别码。有效性是 指卡和系统能把真正合法的信息与一个非法人员所发出的欺骗信息正确区分开 来，既能保证合法交易的进程，又能防止诈骗行为。真实性是指i c 卡都必须有一 种确证能力，能够确证它们各自所收到的信息都确实是真正由对方发出的信息， 而且自己所发出的信息也确实是被真正的对方所接受到了，这种确证被称为“双 向鉴别”。保密性则是指利用密码术对信息进行加密处理，从而防止非授权者窃取 所交换的信息，在这方面主要是利用密码技术对信息进行加密处理，以掩盖真实 信息，使之不理解，达到保密的目的。加密、解密是安全中最常用的密码技术， 也是通信安全的基础，其地位极其重要。 1 3 2 非接触i c 卡的认证过程 c p u 卡中数据存储单元e e p r o m 内的数据都是以密文的方式存储，并且不同 的分区有不同的密钥，要访问分区内的数据必须要通过认证。以p h i l i p s 公司的 m i f a r es t a n d a r d 非接触卡为例，其e e p r o m 分区如图1 3 所示”1 ，每个分区分成4 个分组，其中第0 区第0 分组存储制造商代码，其它所有区的第0 、1 、2 分组存 储数据，第3 分组存放本区使用的两个密钥k e ya 和k e yb 。只在有通过k e ya 或k e yb 的认证后，才能对该分区的数据执行读、写、加、减等命令。由于不同 的分区有不同的密钥，并且在对不同分区数据进行操作前必须逯过认证，这些安 全措施使一张卡用于不同的场合，达到了一卡多用的目的。 分 组 编 号 区 编 号 田圜 囡制b l o 造c k 商0 代码口数据分组图b 瞬l o 犀c k 韶3 图1 3e e p r o m 组织结构图” 在读写器选择了一张卡片后，在对卡片进行读写操作之前，必须对卡片上已 经设置的密码进行认证，如果匹配，则允许进一步的操作。图1 4 为非接触i c 卡 32 5 l 10 32 1 10 3 2 0 lo i c 卡a e s 协处理器的f p g a 设计 三遍认证的过程“，图中，r b 为i c 卡产生的随机数，r a 为读写器产生的随机数， 其中t o k c na b = e k m ( r a i i r b i i b i i t e x t 2 ) ，t o k e nb a = e k b a ( r b i i r a i i t e x t 4 ) ，e 瓯x ) 表示加密运算。其步骤如下： ( a ) 由i c 卡向读写器发送一个随机数据r b ； ( b ) 由读写器收到r b 后向i c 卡发送一个令牌数据t o k e n a b ，其中包含了读 写器发出的一个随机数据r a ； ( c ) i c 卡收到t o k e na b 后，对t o k e na b 的加密部分进行解密，并校验第 一次由( a ) 中i c 卡发出去的随机数r b 是否与( b ) 中接收到的t o k e na b 中 的r b 相一致； ( d ) 如果( c ) 中校验是正确的，则i c 卡向读写器发送令牌t o k e nb a ； ( e ) 读写器收到令牌t o k e n b a 后，读写器将对令牌t o k e n b a 中的r b ( 随 机数) 进行解密：并校验第一次由( b ) 中读写器发出去的随机数r a 是否与( d ) 中接收到的t o k e n b a 中的r a 相一致： 如果上述的每一个环都为“真”，都能正确通过验证，则整个的认证过程成功， 读写器将允许刚剐认证通过的卡片上的这个分区进入下一步的操作。在认证过程 中需要用随机数、卡的序列号和分区密钥进行加密，其中分区密钥用于保护该分 区内的数据，所以如果不知道分区密钥，是不能打开该分区的。 1 4 密码技术 图1 4 三遍认证过程 随着i c 卡技术的不断发展，智能i c 卡已经渗透到生活的方方面面，并逐渐 取代现金成为真正意义上的“电子钱包”，因此i c 卡的信息安全变得尤为重要， 特别是非接触i c 卡的出现，由于其采用无线方式进行数据的传输，这样在传输过 程中，数据易于被窃取与篡改，这就使得信息的保密措施必须而重要。信息的保 密是通过对智能1 c 卡的数据进行加解密来实现的。数据加密技术是对信息进行重 新编码，从而达到隐藏信息内容，使非法用户无法获得信息真实内容的一种技术 手段。i c 卡是存储重要信息的媒体，对其上数据进行加密传输十分重要。随着 i c 卡应用范围的扩大，对其数据的安全性提出了更高的要求，这就促使密码学和 i c 卡技术的紧密结合。 硕士学位论文 使用密码进行通信的一般模型如图1 4 所示：其中要被加密的原文称为明文， 加密过程的输出称为密文，密文通过传输信道传输到接收端，然后通过解密过程 将明文还原。可见，数据的加密和解密过程实际上就是通过一定的算法将信息加 以伪装和解除伪装的过程。 明文p 加密密钥k e 截获者 解密密钥k d 图1 5 密码通信的一般模型 1 4 1 密码体制的分类 p = d k d ( c ) 完成加密和解密算法称为密码体制。密码体制的分类有很多种。按照加密密 钥和解密密钥是否相同，分为对称密钥密码体制和非对称密钥密码体制；按照密 码算法对明文信息的加密方式，分为流密码体制和分组密码体制“。 对称密码体制又称为私钥加密体制，在这种密码体制中，加密密钥和解密密 钥是相同的，即使二都不同，也能够由其中的一个很容易地推导出另一个。一般 而言，采用对称密码体制可以达到很高的保密强度，但由于它的加密密钥和解密 密钥相同，因此它的密钥必须极为安全地传递和保护。常用的对称密码算法有d e s ( d a t a e n c r y p t i o ns t a n d a r d ) 、t - d e s ( t r i p l ed a t ae n c r y p t i o n s t a n d a r d l 、a e s ( a d v a n c e de n c r y p t i o ns t a n d a r d ) 。传统的加密方法一般都属于对称密码体制。目 前，在智能卡中应用较多的加密技术基本上也是对称密码体制，其中典型的加密 算法是d e s 算法。 非对称加密体制又称为公钥加密体制，是利用密钥对一一公开的公钥与保密 的私钥来进行通信，由其中的一个密钥推导出另一个密钥是很困难的。目前非对 称加密体制存在的一个重要问题是它的速度还远远达不到对称密码体制的水平。 非对称密码体制的计算时间长，影响了它的推广使用。常用的公钥加密算法有r s a ( 由三位设计者的名字命名) 。 公钥加密体制可以避免私钥加密体制所涉及到的密钥分配安全性与复杂性问 题，但明显的缺点是计算的复杂性高，硬件实现的速度慢，因而私钥加解密从速 度上讲具有优势“。实际上，通常把这两种方法混合使用：公钥体制用来建立对 话密钥，而对话的数据则用私钥体制来进行加密“。例如在电子商务中，通过d e s 算法和r s a 算法的结合使用，在一定程度上保证了数据的一致性和完整性。由 r s a 算法对公钥加密的密钥进行加解密，在建立联系后，由d e s 算法对大量传输 的数据进行加解密。 i c 卡a e s 协处理器的f p g a 设计 分组密码就是把信息数据分成等长的块，在密钥的作用下，经过复杂的变换 输出密文，完成加密运算。为了便于软件和硬件的实现，分组密码算法普遍采用 轮函数设计，轮函数在轮密钥的作用下，迭代n 次完成一次加密运算，n 的大小 由轮函数的复杂性确定。最著名的分组密码是美国的d e s ( 块长为6 4 比特) 和 a e s ( 块长为1 2 8 比特) 。分组密码算法的基本设计技巧是s h a n n o n 所建议的扩散 ( d i f f u s i o n ) 和混乱( c o n f u s i o n ) ”1 。所谓扩散，就是要将每一位明文的影响尽地 作用到较多的输出密文中，以隐蔽明文的统计特性。在这种算法的设计上，比较 成功的例子就是d e s 算法，它是i b m 公司于1 9 7 5 年研究成功并公开发表的，1 9 7 7 年，美国国家标准所( a n s d 批准d e s 用于非国家保密机关，称之为“数据加密 算法d e a ”，此后，d e s 算法得到了广泛的应用，并出现了专门处理d e s 加密算 法的硬件。 1 4 2 对称加密标准一一a e s 作为第一代加密标准，d e s 经过几十年的实践检验证明已经不是安全的密码 算法了“”“。早在1 9 9 7 年，由r s a 公司发起的d e s 挑战赛已经证明d e s 的5 6 位密钥太短，虽然三重d e s ( t - d e s ) 可以解决密钥长度的问题，但是它并不十 分有效，而且d e s 的设计主要针对硬件实现，而今，在许多领域，需要针对软件 实现相对有效的算法。鉴于此，1 9 9 7 年4 月1 5 日起，美国国家标准和技术研究所 ( n i s t ) 开始征集新一代数据加密标准即高级数据加密标准算法的活动，并成立 了a e s 工作组。其目的是确定一个非保密的、全球免费使用的加密算法，用于保 护2 1 世纪政府的敏感信息，也希望能够成为秘密和公开部门的数据加密标准。1 9 9 7 年9 月1 2 日，n i s t 在联邦登记局公布了征集a e s 侯选算法的通告，并提出了对 a e s 的基本要求：它必须是私钥分组加密算法，比三重d e s 快，且至少和三重 d e s 一样安全，分组长度是1 2 8 位，密钥长度为1 2 8 位( 3 4 1 0 3 8 个密钥) 、1 9 2 位( 6 2 ( 1 0 5 7 个密钥) 和2 5 6 位( 1 1 1 0 ”个密钥) 。1 9 9 8 年，n i s t 召开了第一 次a e s 侯选大会，并从2 1 个算法中公布了1 5 个满足基本要求的a e s 侯选算法。 n i s t 用了3 年的时间对这些侯选算法做了大量的分析和测试，收集了来自4 0 多 个国家对此次活动感兴趣的部门和个人提出的大量看法和意见。1 9 9 9 年6 月，n i s t 举行了第二次a e s 侯选会议，公开了5 个进行第二轮评估。2 0 0 0 年1 0 月2 日， n i s t 宣布选择来自比利时的r i j n d a e l 作为a e s 算法，并决议此标准于2 0 0 2 年5 月2 6 日生效n 5 1 。 r i j n d a e l 算法汇聚了高安全、高性能、高效率、易用和灵活等优点。它是一个 迭代分组密码算法，其分组长度和密钥长度都是可变的，但为了满足a e s 的要求， 分组长度为1 2 8 位，密钥长度为1 2 8 1 9 2 2 5 6 位，相应的轮数为1 0 1 2 1 4 。相比较 而言，a e s 的1 2 8 位密钥比d e s 的5 6 位密钥强1 0 2 1 倍。r i j n d a e l 算法采用的是 代替置换网络。每一轮由3 层组成：线性混合层，确保多层之上的高度扩散；非 硕士学位论文 线性混合层，由1 6 个s 盒( 替换盒) 并置而成，起到混淆的作用；密钥加层，子 密钥简单地异或到中间状态上去。s 盒选取的是有限域g f ( 2 8 ) 中的乘法逆运算， 它的差分均匀性和线性偏差都达到了最佳。 正如n i s t 所称，r i j n d a e l 汇聚了所有的优点，使它成为a e s 的最合适的选择， 尤其是它在无论有无反馈模式的计算环境下的软、硬件中都能显示出其非常好的 性能。它的密钥安装时间很短，具有好的灵敏度。它非常低的内存需求也使它很 适合用于受限环境。r i j n d a e l 算法的操作简单，并可防御强大和实时的攻击。 从历史来看，n i s t 的第一代数据加密标准d e s 作为一个美国政府标准，直 到被庞大的电脑并行网络攻击，和特定的“d e s c r a c k i n g ”硬件攻击时，它已连 续使用了2 0 年。a e s 比d e s 支持更长的密钥，能保持超过2 0 年之久的安全。 1 5 国内外研究现状 高级加密标准自2 0 0 2 年5 月产生以来，经历了从软件实现到硬件实现的发展 过程。在新的标准诞生初期，人们多是用软件实现，因此对软件实现的研究也比 较深入，而且实现起来也比较容易。在硬件实现方面，当时多处于实验性和测试 性的，其中性能最为优越的是g m u 大学提供的i p 核，设计师在硬件设计时，大 多将g m u 大学的口核作为参考，图1 6 是它的外部接口示意图“”，它具有以下 优点： ( 1 ) 支持n i s t 所要求的三种不同密钥长度 ( 2 ) 加密和解密功能采用了资源共享 ( 3 ) 密钥调度与加密，解密并行进行 ( 4 ) 在有限的电路面积下具有很高的速度 ( 5 ) 外部接口简单 除了一些大学和研究机构提供a e s 核外，一些公司也推出了各自的a e s 核， 如h e r l i o n 技术有限公司“”、d c r y p tp t e 技术有限公司。”等。这些公司提供的a e s 在性能上与各大学和研究机构所提供的相似，只是外部接口有所不同。现在高级 加密标准已被广泛使用，特别是在通信和网络方面，a e s 已开始取代d e s 甚至t d e s ，其速度最高也达到了几十吉比特每秒。虽然a e s 已在各个领域广泛使用， 但目前i c 卡上用的最多的仍然是d e s 和t - - d e s 协处理器，例如p h l i p s 公司的 s t a n d a r di cc a r d 。目前针对i c 卡的a e s 协处理器还不多。 i c 卡a e s 协处理器的f p g a 设计 c l o c k k s e t e n c r y p t i o n d e e r y p t i o n k e y s i z e s e s s i o ni d d a t ai n p u t d a t aw r i t e d a t af u l l k e yi n p u t ( 6 4 b i t s ) k e yw r i t e k e y f u l l k e ys i z e k e y i d o u t p u t a v a i l a b l e r e a d 图1 6g u m 大学a e s 核外部接口示意图“ 国内实施的“金卡工程”是我国金融电子化建设的重要组成，i c 卡逐渐渗透 到我们生活的各个方面，并广泛应用于金融、电信等各个领域。它作为信息传输、 存储、处理和交换的中间媒介，对信息的安全保护起着举足轻重的作用，它所提 供的安全保护手段必须足以保证信息的安全，特别是非接触i c 卡的广泛应用，数 据更易于被窃取与篡改。所以在国内的i c 卡芯片的开发中，采用高级加密标准取 代旧的d e s 将势在必行。 1 6 论文的组成 本论文首先在第二章详细介绍了高级加密标准的算法原理及其加密和解密的 过程。第三章介绍了a e s 硬件实现的三种结构，并对其速度进行了分析对比，确 定了针对i c 卡芯片的a e s 协处理器的结构。第四章以减少芯片面积为目标，对 其结构和算法进行了优化处理，并用v e f i l o gh d l 语言编写了具有可综合风格的设 计代码。第五章是在集成开发软件i s e 6 0 中，对设计进行能仿真、综合、实现、 布局布线和后仿真，并产生了映射报告、布局布线后静态时序报告，并对功能仿 真产生的波形图和后仿真波形图进行了对比，其结果表明该设计满足时序要求， 满足i c 卡对a e s 协处理器的要求。 硕士学位论文 第2 章a e s 算法原理 作为高级加密标准的r j j n d a e l 算法是一个迭代分组密码算法，其分组长度和 密钥长度都是可变的，但为了满足a e s 的要求，分组长度为1 2 8 位，密钥长度为 1 2 8 1 9 2 2 5 6 位，相应的轮数为1 0 1 2 1 4 。美国在2 0 0 1 年公布的a e s 标准中详细 地定义了a e s 算法的各种数学运算规则。这一章在介绍算法的规则的基础上详细 介绍了a e s 算法原理和加解密实现的过程。 2 1a e s 的设计原理 a e s 算法是当前密码算法设计最高水平的反映，设计者在进行算法设计时主 要考虑了以下三点啪1 ： ( 1 ) 要能抵抗现有已知的攻击方式。 ( 2 ) 在各平台上都具有良好的性能，如较快的速度、编码要紧凑等。 ( 3 ) 设计要简单。 第一点强调的安全性原则，而后一点强调的是实现性原则，这是a l e s 所遵循 的两个重要原则。a e s 在整体结构上采用的是替代，置换( s p ) 网络的迭代结构方 式，在安全性方面能抵抗各种攻击，下