[发明专利]基于AES-GCM的芯片数据处理方法及系统

说明书

本发明提供了一种基于AES‑GCM的芯片数据处理方法及系统，所述方法包括：S1、对芯片进行初始化；S2、用密钥k对二进制数“0”进行AES加密得到的变量H，并计算变量H整数次幂；S3、基于AES算法，对明文数据进行分组，并在有限域上对每组明文数据进行和对应变量H整数次幂的点乘，最终获取认证标签ICV值。本发明降低了数据处理的延迟，提高了芯片的运行速度，减少了触发器的数量，且减小了芯片面积。

技术领域

本发明涉及芯片信息安全技术领域，特别是涉及一种基于AES-GCM的芯片数据处理方法及系统。

背景技术

GCM算法(Galois/Counter Mode，采用Counter模式进行对称加密，并带有ICV消息认证码)可以提供对消息的加密和完整性校验，并可以提供附加鉴别数据的完整性校验，在实际应用场景中，有些信息不需要保密，但信息的接收者需要确认它的真实性，例如源端口、目的端口、IV等。因此这部分数据需要作为附加鉴别数据加入到ICV值(IntegrityCheck Value，认证标签)的计算中去。AES算法(Advanced Encryption Standard，高级数据加密标准)是一种对称分组密码算法，广泛用于信息安全处理领域，该算法将信息视为二进制数“0”和“1”组成的序列，将信息以128位(16字节)进行分组根据对数据进行加密或者解密。AES-GCM算法使用AES算法通过加密或者解密之后的数据计算ICV，其原理如图1所示。

在计算认证标签ICV时需要用到变量H，变量H是用输入密钥对128位的二进制数“0”进行AES加密得到的。根据ICV的计算公式，假设Cycle i(周期i)有效的密文数据分组个数为m，Cycle i-1得到的ICV中间值为X_i-1，在有限域GF(2¹²⁸)上点乘，则Cycle i的ICV X_i的计算公式为(((X_i-1^C₀)·H^C₁)·H^...^C_m-1)·H＝X_i-1·H^m^C₀·H^m^C₁·H^m-1^...^C_m-1·H，其中H的整数次幂H^m是由H通过通过与和异或逻辑电路生成出来，如图2所示，当数据被分成N个16字节时，每个16字节对应一个加密引擎，数据在参与计算ICV时要在有限域GF(2¹²⁸)上进行和变量H整数次幂的点乘，因此对每一个引擎而言都有一个H的整数次幂的输入。如图3所示，H的整数次幂都是通过H的各种组合得到的，在芯片中实现时是大量的组合逻辑，延迟很大，因此需要用触发器将组合逻辑隔开，这样的话就会增加模块的延迟，导致芯片完成一次数据处理的Cycle数增多。

传统的芯片设计方案如图4所示，芯片完成初始化之后，输入数据在送入加解密引擎之前必须等待相应的H次幂计算完成，在这个阶段需要花费数个时钟周期用于H次幂的产生。

现有技术是在芯片上电完成初始化之后才开始进行H次幂的运算，运算完成后送入加解密引擎进行加密或者解密运算，由于H次幂的预算需要大量的与和异或逻辑，这个阶段需要耗费许多级组合逻辑，会有时序问题存在。而解决时序问题又需要增加触发器，导致数据处理的的延迟增大并增加芯片面积。譬如数据位宽为200字节，每增加一级流水线，就需要增加1600个触发器，触发器增加的越多，芯片的面积开销和延迟也就越大。

因此，针对上述技术问题，有必要提供一种基于AES-GCM的芯片数据处理方法及系统。

发明内容

有鉴于此，本发明的目的在于提供一种基于AES-GCM的芯片数据处理方法及系统。

为了实现上述目的，本发明一实施例提供的技术方案如下：

一种基于AES-GCM的芯片数据处理方法，所述方法包括：

S1、对芯片进行初始化；