方法和系统提供添加新密码协议的灵活性而又在与软件密码核架构相比时提供增加的性能。它们通过向微控制器中加载新固件或者软件来这样做,该微控制器与架构的各种部件交互以对部件的行为编程。这样的系统由于消除新芯片重新制造要求并且减少上市时间而提供与硬件密码核架构设计相比的节省。系统在与软件密码核架构相比时也提供改进的速度和吞吐量。可以在增强或者改变协议时对固件重新编程而又仍然实现性能益处。为此,方法和系统可以组合可由固件编程的微控制器以及灵活对准器、插入和去除控制器,这些控制器处理并且管理传入数据流。
【技术实现步骤摘要】
【国外来华专利技术】用于密码处理核的方法和系统
这一般地涉及密码并且更具体地涉及密码处理核。
技术介绍
因特网使用的迅速增长已经增加对企业和个人存储和传送的信息的依赖性。具体而言,消费者和企业对DSL和线缆调制解调器的使用的增长以及增加的企业到企业因特网活动对这一依赖有贡献。随着对保密性、真实性和完整性的期望增加,以安全或者加密形式发送这一信息的比例越来越大。比例越来越大的电子通信也将以越来越快的速度出现。安全通信是敏感活动所期望的,敏感活动比如在线金融交易或者个人医疗信息的传输,但是可能在通信会话的两端处需要显著增加的处理需求。这一处理需求随着通信带宽改进并且增加用于安全处理的数据量而进一步增加。随着对安全因特尔通信的需求增力口,安全性处理需要消耗通信网络服务器的比例不断增加的可用中央处理能力。例如在安全因特网通信中,因特网协议(IP)通信服务器加密、解密、签名并且认证入站和出站数据分组以实现典的型IP通信。密码处理器和其他设备实现或者分担一些密码处理负荷、诸如数据分组的加密、解密和认证。现代密码设备通常包含与(一个或多个)专用或者公用密钥组合运用密码算法的处理器。处理器(并且更具体为处理器核)可以形成于硬件中,诸如专用集成电路(ASIC)中,因而可以在制造时对密码算法和/或(一个或多个)密钥硬编码,或者形成于软件中,诸如现场可编程器件中,因而可以容易对密码算法和(一个或多个)密钥升级并且重新编程。在硬件密码核架构中,硬件直接存储器访问(DMA)引擎向和从加密和认证引擎移动数据。加密引擎将密码算法应用于数据,并且认证引擎认证数据报的一些或者全部,该数据报包含加密的数据。另外,加密和认证引擎也实施于硬件中。在硬件场景中,架构包括硬件协议(例如因特网协议安全性(IPSec)、安全实时传送协议(SRTP)、高保证因特网协议加密器(HAIPE?)、BULK)并且解析数据流而且计算用于对加密和认证引擎编程的加密和认证起点和终点。在硬件架构中,例如在IPSec协议中,在出站分组中插入并且从入站分组去除预处理和安全性特征、诸如初始矢量(IV)、消息认证代码(MAC)、填充和其他。当改变或者增强这些和其他加密协议要求时,硬件设计变成过时、必须被重新设计从而考虑改变和增强,并且必须作为新编程的硬件芯片来重新引入。这一过程是一种升级密码算法的昂贵和耗时方式。替代地,软件密码核架构包括加密和认证引擎,这些引擎包括软件。在该替代方案中,软件解析并且处理协议而且计算数据流中的加密和认证起点和终点。软件核架构通常遭受缓慢进行各种字节的插入和去除的问题(在此使用IPSEC协议作为示例),诸如向出站分组中插入并且从入站分组去除的IV、MAC、填充以及其他预处理和安全性特征。因此,硬件密码核结构是用于处理的更快选项、但是未灵活到足以更新协议或者添加新协议。在这一场景中,针对每个新协议更新的对新芯片的设计和制造的修改是昂贵的。软件密码核架构灵活,但是它的处理性能低并且未总是适合于高速安全性系统。另外,常规系统通常管理密码核外部的安全性协议信息。因而期望如下架构,该架构通过消除新芯片重新制造要求并且减少上市时间来给予添加新协议或者更新当前协议的灵活性而又提供提供与软件密码核架构相比的改进速度和吞吐星。
技术实现思路
根据与本专利技术一致的方法和系统,提供一种密码处理器,该处理器包括:输入,其接收输入数据流,以及可配置控制器,其用于对准接收的输入数据流、向输入数据流中插入数据或者从输入数据流去除数据。它也包括:可编程微控制器,其对可配置控制器编程以处理输入数据流,以及密码(Cipher)引擎,其用于加密输入数据流。根据与本专利技术一致的方法和系统,提供一种在具有密码处理器的数据处理系统中的方法。该方法接收指示密码协议的输入数据流,并且密码处理器中的微控制器接收密码协议的指示。它还基于指示的密码协议对密码处理器中的可配置控制器编程,可配置控制器执行以下之一:对准接收的输入数据流,向输入数据流中插入数据,或者从输入数据流去除数据。此外,该方法对接收的输入数据流加密或者解密。【附图说明】图1图示了示例性专用集成电路(ASIC),该ASIC包括根据权利要求与本专利技术一致的方法和系统的示例性密码核。图2描绘了根据与本专利技术一致的方法和系统的示例性密码核。图3描绘了根据与本专利技术一致的方法和系统的示例性对准、去除和插入控制器以及用于对控制器编程的可配置寄存器。图4a和4b描绘了根据与本专利技术一致的方法和系统的用于操作示例性密码核的方法中的示例性步骤。【具体实施方式】根据本专利技术的方法和系统提供添加新密码协议的灵活性而又提供与软件密码核架构相比时的增加性能。它们通过向微控制器中加载新固件或者软件来这样做,该微控制器与架构的各种部件交互以对部件的行为编程。这样的系统由于消除新芯片重新制造要求并且减少上市时间而提供与硬件密码核架构设计相比的节省。系统在与软件密码核架构相比时也提供改进的速度和吞吐量。可以在增强或者改变协议时对固件重新编程而又仍然实现性能益处。根据本专利技术的方法和系统保持灵活和动态并且有能力支持不同当前协议以及未来协议而又提供高速和性能。密码核在内部管理加密协议而又保持容易可变,由此提供新水平的编程性。灵活性比可以内部维护加密协议信息但是不可变的密码核引擎有改进。编程性例如允许数据的插入、去除和对准以及初始矢量的管理的附加灵活性。为此,根据本专利技术的方法和系统可以组合可由固件编程的微控制器以及灵活对准器、插入和去除控制器,这些控制器处理并且管理传入数据流。微控制器对密码核中的对准器、插入和去除控制器编程并且管理,并且这些部件在数据移向加密引擎、认证引擎和输出缓冲器时在内部处理数据流。对微控制器重新编程允许它控制对准器、插入和去除控制器以改变它们在数据流进入核的各种部件时操纵它的方式。在密码核以外或者甚至在芯片以外的常规微控制器未影响遍及密码核的内部编程。在一个实施中,密码核驻留于专用集成电路(ASIC)中并且加密、解密和/或认证接收的数据流。密码核包括各种控制的硬件部件、诸如输入和输出缓冲器、加密和解密(密码)引擎以及认证引擎。(加密和解密也可以称为密码,并且加密和解密引擎这里可以称为密码引擎)。它也包括对准器、去除和插入控制器,这些控制器包括微控制器及其固件可以编程的可配置寄存器。如以下描述的那样,在一个实施中,对准器、去除和插入控制器具有至少两个寄存器组,微控制器可以对这些寄存器组编程以流水线化分组,由此增加吞吐量和速度。图1图示了示例性ASIC,该ASIC容纳根据与本专利技术一致的方法和系统的示例性密码核。密码核104可以在例如执行网络处理的ASIC 100中。替代地,它可以是现场可编程门阵列(FPGA)或者可以用任何其他适当方式来实施。到密码核104的数据流输入可以例如来自从因特网接收数据的网络处理器102,并且密码核向处理器或者其他(一个或多个)部件返回它的输出数据流。图2描绘了根据与本专利技术一致的方法和系统的示例性密码核。在一个实施中,密码核104中的部件是硬件部件,但是微控制器208包括固件。然而,其中一个或者多个部件是软件部件的其他实施是可能的。密码核104接收输入数据流202并且产生加密的输出数据流238或者接收加密的数据流并且产生解密的数据流。输入本文档来自技高网...
【技术保护点】
一种密码处理器,包括:输入,用于接收输入数据流;可配置控制器,用于执行以下之一:????(1)对准接收的输入数据流;????(2)向所述输入数据流中插入数据;以及????(3)从所述输入数据流去除数据;可编程微控制器,对所述可配置控制器编程以处理所述输入数据流;以及密码引擎,用于加密所述输入数据流的至少部分。
【技术特征摘要】
【国外来华专利技术】2010.04.16 US 12/762,2461.一种密码处理器,包括: 输入,用于接收输入数据流; 可配置控制器,用于执行以下之一: (1)对准接收的输入数据流; (2)向所述输入数据流中插入数据;以及 (3)从所述输入数据流去除数据; 可编程微控制器,对所述可配置控制器编程以处理所述输入数据流;以及 密码引擎,用于加密所述输入数据流的至少部分。2.根据权利要求1所述的密码处理器,其中所述可配置控制器被配置成对准所述接收的输入数据流、向所述输入数据流中插入数据并且从所述输入数据流去除数据。3.根据权利要求1所述的密码处理器,其中所述微控制器基于在所述输入数据流中接收的信息对所述可配置控制器编程。4.根据权利要求1所述的密码处理器,其中所述密码引擎被配置成解密所述输入数据流的至少部分。5.根据权利要求1所述的密码处理器,还包括用于认证所述接收的输入数据流的认证引擎。6.根据权利要求5所述的密码处理器,其中所述可配置控制器处理将进入所述密码引擎的所述输入数据流,并且其中所述密码处理器还包括:第二可配置控制器,其处理将进入所述认证引擎的所述输入数据流;以及第三可配置控制器,其处理将从所述密码处理器输出的所述输入数据流。7.根据权利要求1所述的密码处理器,其中所述可编程微控制器包括可以被编程的固件。8.根据权利要求7所述的密码处理器,其中所述可编程固件指示所述微控制器对所述可配置控制器编程以处理所述输入数据流。9.根据权利要求1所述的密码处理器,还包括:可配置寄存器,其由所述微控制器编程并且由所述可配置控制器访问以从所述微控制器接收指令。10.根据权利要求9所述的密码处理器,还包括可由所述微控制器编程并且可由所述可配置控制器访问的两个寄存器组。11.一种在具有密码处理器的数据处理系统中的方法,包括: 接收指示密码协议的输入数据流; 所述密码处理器中的微控制器接收所述密码协议的指示; 基于指示的密码协议对所述密码处理器中的可配置控制器编程,所述可配置控制器执行以下之一:(I)对准接收的输入数据流;(2)向所述输入数据流中插入数据;以及(3)从所述输入...
【专利技术属性】
技术研发人员:凯文·奥苏吉,达伦·帕克,努哈·尤普,
申请(专利权)人:安立世公司,
类型:
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。