第14章安全引擎mpc8阳条3xx中文手册.docVIP

第14章 安全引擎（Security Engine） 本章对MPC8349E集成安全引擎（SEC 2.4）的功能进行了描述。分为如下主题： 14.1节，“概述” 14.2节，“体系结构概述” 14.3节，“内存空间的配置“ 14.4节，“描述符概述” 14.5节，“执行单元“ 14.6节，“加密通道” 14.7节，“控制器“ 14.8节，“总线接口” 14.9节，“省电模式“ 14.1 概述 SEC 2.4的设计目的是将计算密集型的安全功能从MPC8349E的处理器核心中转移出去，这些功能包括：密钥的生成和交换、认证、批量加密等。它经过优化，可以处理与 IPsec、IKE、SSL/TLS、iSCSI、SRTP和802.11i相关的算法。SEC 2.4（应用于MPC8349E）源自基于PowerQUICC 家族中其他成员的集成安全核心，这些成员包括应用于MPC8272/MPC8248的SEC 1.0版本。 该安全引擎的执行单元和主要特性如下： PKEU——公共密钥执行单元，支持： RSA和Diffie-Hellman算法 可编程字段最大为2048位 椭圆曲线加密算法（Elliptic curve cryptography） F2m和F(p)模式 可编程字段最大为511位 DEU——数据加密标准执行单元 DES，3DES算法 在3DES算法中使用双密钥（K1，K2，K1）或者三密钥（K1,K2,K3） 在DES和3DES中使用ECB和CBC模式 AESU——高级加密标准单元 实现Rijndael对称密钥加密算法 ECB，CBC，CCM和计数器模式 128位，192位，256位密钥长度 AFEU——ARC四执行单元 实现了一个流加密，兼容RC4算法 40位到128位可编程密钥 MDEU——报文摘要执行单元 SHA模式，报文摘要为160位、224位、或256位 MD5模式，报文摘要可为128位 HMAC，可以使用上面两种算法 RNG——随机数发生器 XOR奇偶生成加速器，应用于RAID应用 主/从逻辑，拥有DMA能力 32位地址/64位数据 高达200MHz的操作 主接口允许多个流水式请求 DMA数据块可为任意字节边界 四个通道，每个通道都支持命令队列（描述符指针） 通过集成控制器动态分配加密执行单元 在每个执行单元的输入和输出路径上都有256位的先进先出（FIFO）缓冲区，并对大长度数据进行流量控制 分散/聚集(Scatter/Gather）能力 聚集能力使SEC 2.4在读取输入数据时能将存储器中的多个段连接起来 相似的，分散能力使SEC 2.4在写输出数据时能可以将数据写到多个段中 14.2 体系结构概述 SEC 2.4（以后简称SEC）可以在内部总线上充当主设备的角色。这使得SEC能减轻与仅从(模式？)（slave-only）核相关的数据转移的瓶颈问题。主处理器通过它的设备驱动访问SEC，在这个过程中使用系统存储器存储数据。SEC驻留在处理器的外部存贮器映射中，因此，当有应用需要加密功能时，它仅需要为SEC创建描述符，描述符定义要执行的加密方法和数据的地址。SEC的总线主控能力使得主处理器使用几个短小的寄存器写操作建立加密通道,而让SEC在系统存储器上进行读和写操作，完成所请求的任务。 图14-1显示了SEC通过内部总线与其他单元的通信 图14-1 连接到MPC8349E内部总线的SEC 图14-2显示了SEC内部体系结构的结构图。总线和SEC的内部寄存器通过总线接口模块进行64位的数据传输。 图14-2 SEC功能模块 当主机在SEC的四个通道中的任何一个的取FIFO队列中写入一个描述符指针时，就开始一个操作。从这一点开始，通道将控制操作的顺序。通道使用描述符指针来读取描述符，读取之后，对描述符的第一个字进行解码，以决定要选择执行的操作和执行该操作的加密执行单元。通道请求控制器分配所需要的加密执行单元。接下来，通道请求控制器取出密钥和数据，它们的位置在描述符的剩余部分确定。控制器为了满足通道的请求，按照可编程优先级方案向主接口发出请求。数据通过执行单元的寄存器和输入FIFO送入相应的执行单元。这些单元从各自的输入FIFO中读取数据，把处理过的数据写入输出FIFO中。通道向控制器发出请求，控制器通过主/从接口将输出FIFO和寄存器中的数据写回到系统存储器。 对于大多数分组来说，全部有效载荷太长,无法匹配执行单元的输入和输出FIFO,因此，SEC采用了一种流量控制方案对数据进行读写。通道指示控制器读取必要数量的输入以填充输入FIFO，直到全部的有效负载都被取出。同样，当执行单元的输出FIFO累积了足够长的空间时，通道指示控制器将几块输出写入执行单元的输出FIFO. 14.2.1 数据分组描述符 作为一个加密加速部件