基於PCI匯流排加密卡硬體設計

基於pci匯流排加密卡硬體設計

摘要：介紹基於pci匯流排加密卡的硬體組成部分。該加密卡汲取了現代先進的加密思想，實現了高強度加密功能。

加密是對軟體進行保護的一種有效手段。從加密技術的發展歷程及發展趨勢來看，加密可大體劃分為軟加密和硬加密兩種。硬加密的典型產品是使用並口的軟體狗，它的缺點是埠位址固定，容易被邏輯分析儀或**軟體跟蹤，並且還占用了有限的並口資源。筆者設計的基於ｐｃｉ匯流排的加密卡具有以下幾個優點：第一，ｐｃｉ匯流排是當今計算機使用的主流標準匯流排，具有豐富的硬體資源，因此不易受資源環境限制；第二，ｐｃｉ裝置配置空間採用自動配置方式，反跟蹤能力強；第三，在ｐｃｉ擴充套件卡上易於實現先進的加密演算法。

１總體設計方案

基於ｐｃｉ匯流排的加密卡插在計算機的ｐｃｉ匯流排插槽上（５ｖ３２ｂｉｔ聯結器），主處理器通過與加密**信，獲取金鑰及其它資料。加密卡的工作過程和工作原理是：系統動態分配給加密卡４位元組ｉ／ｏ空間，被加密軟體通過驅動程式訪問該ｉ／ｏ空間；加密卡收到訪問命令後，通過ｐｃｉ專用介面晶元，把ｐｃｉ匯流排訪問時序轉化為本地匯流排訪問時序；本地匯流排訊號經過轉換處理後，與微控制器相連，按約定的通訊協議與微控制器通訊。上述過程實現了主處理器對加密卡的訪問操作。

圖1 硬體總體設計方案

下面以主處理器對加密卡進行寫操作為例，闡述具體的實現方法。加密卡採用ｐｌｘ公司的ｐｃｉ９０５２作為ｐｃｉ匯流排週期與本地匯流排週期進行轉換的介面晶元。ｐｃｉ９０５２作為ｐｃｉ匯流排從裝置，又充當了本地匯流排主裝置，對其配置可通過ｅｅｐｒｏｍ９３ｌｃ４６ｂ實現。主處理器對加密卡進行寫操作，ｐｃｉ９０５２把ｐｃｉ匯流排時序轉化為８位本地資料匯流排寫操作。這８位本地資料匯流排通過ｌａｔｔｉｃｅ公司的ｉｓｐｌｓｉ２０６４與微控制器ａｔ８９ｃ５１的ｐ０口相連，２０６４完成ｐｃｉ９０５２本地匯流排與ａｔ８９ｃ５１之間的資料傳輸、握手訊號轉換控制等功能。２０６４對８位本地資料匯流排寫操作進行處理，產生中斷訊號。該中斷訊號與ａｔ８９ｃ５１的ｉｎｔ０＃相連，使ａｔ８９ｃ５１產生中斷。ａｔ８９ｃ５１產生中斷後，檢測與其ｐ２口相連的本地讀寫訊號ｗｒ＃、ｒｄ＃、ｌｗ／ｒ＃。當ｗｒ＃為低電平、ｌｗ／ｒ＃為高電平時，ａｔ８９ｃ５１判斷目前的操作是否為寫操作。確認是寫操作後，ａｔ８９ｃ５１把ｐ０口上的８位資料取下來，然後用ｒｄｙ５１＃（經２０６４轉換後）通知ｐｃｉ９０５２的ｌｒｄｙｉ＃，表明自己已經把當前的８位資料取走，可以繼續下面的工作。ｐｃｉ９０５２收到ｌｒｄｙｉ＃有效後，結束當前的８位資料寫操作。ｐｃｉ匯流排的一次３２位資料寫操作，ｐｃｉ９０５２本地匯流排需要四次８位資料寫操作，通過位元組使能ｌｂｅ１＃、ｌｂｅ０＃區分當前的８位資料是第幾個位元組有效。

加密卡硬體總體設計方案如圖１所示。

２硬體各組成部分說明

２．１ｐｃｉ９０５２部分

ｐｃｉ９０５２是ｐｃｉ匯流排專用介面晶元，採用ｃｍｏｓ工藝，１６０引腳ｐｑｆｐ封裝，符合ｐｃｉ匯流排標準２．１版。其匯流排介面訊號與ｐｃｉ匯流排訊號位置對應，因此可直接相連，易於ｐｃｂ實現。ｐｃｉ９０５２的最大資料傳輸速率可達１３２ｍｂ／ｓ；本地時鐘最高可至４０ｍｈｚ，且無需與ｐｃｉ時鐘同步；可通過兩個本地中斷輸入或軟體設定產生ｐｃｉ中斷。它支援三種本地匯流排工作模式，實際設計採用位址和資料線非復用、８位本地資料匯流排、非ｉｓａ模式。

ｐｃｉ９０５２內部有乙個６４位元組ｐｃｉ配置空間，乙個８４位元組本地配置暫存器組。對ｐｃｉ９０５２的配置可由主機或符合３線協議的序列ｅｅｐｒｏｍ完成（注：ｉｓａ模式必須由序列ｅｅｐｒｏｍ完成配置）。實際設計採用ｍｉｃｒｏｃｈｉｐ公司的９３ｌｃ４６ｂ存放配置資訊。系統初始化時，自動將配置資訊裝入ｐｃｉ９０５２，約需７８０μｓ。如果ｅｅｐｒｏｍ不存在或檢測到空裝置，則ｐｃｉ９０５２設定為預設值。

在設計中，ｅｅｐｒｏｍ用到的配置專案有：裝置ｉｄ：９０５０；廠商ｉｄ：１０ｂ５；分類**：０７８０；子系統ｉｄ：９０５０；子系統廠商ｉｄ：１０ｂ５；支援ｉｎｔａ＃中斷，ｐｃｉ３ｃ：０１００；分配４位元組本地ｉ／ｏ空間：（例ｌａｓ０ｒｒ）０ｆｆｆｆｆｆｄ；其它本地位址空間未使用：００００００００；４位元組本地ｉ／ｏ空間基位址（模４對齊）：（ｌａｓ０ｂａ）０１２００００１（僅為示例）；４位元組本地ｉ／ｏ空間描述符：（ｌａｓ０ｂｒｄ）００００００２２（非猝發、ｌｒｄｙｉ＃輸入使能、ｂｔｅｒｍ＃輸入不使能、不預取、各內部等待狀態數均為０、８位本地資料匯流排寬度、小ｅｎｄｉａｎ模式）；中斷控制／狀態，ｌｏｃａｌ４ｃ：０００００１４３（ｌｉｎｔｉ１使能、ｌｉｎｔｉ１邊沿觸發中斷選擇使能、ｌｉｎｔｉ２不使能、ｐｃｉ中斷使能、非軟體中斷、ｉｓａ介面模式不使能）；ｕｓｅｒｉ／ｏ、從裝置應答、序列ｅｅｐｒｏｍ、初始化控制，ｌｏｃａｌ５０：０００２４４９２。有兩點要注意：一是設計中採用ｐｌｘ公司推薦使用的序列ｅｅｐｒｏｍ９３ｌｃ４６ｂ按字（１６ｂｉｔ）為單位組織；二是ｅｅｐｒｏｍ開發器編輯輸入與手工書寫的順序對應關係，以廠商ｉｄ：１０ｂ５為例，在開發器編輯輸入的是ｂ５１０，而不是１０ｂ５。

ｐｃｉ９０５２本地訊號的含義是：ｌａｄ[７．．０]：本地８位資料匯流排；ｗｒ＃：寫有效；ｒｄ＃：讀有效；ｌｗ／ｒ＃：資料傳輸方向，高電平為寫操作，低電平為讀操作；ｌｂｅ１＃和ｌｂｅ０＃：位元組使能，表明當前ｌａｄ[７．．０]上的資料是第幾個位元組（０到３）；ｂｌａｓｔ＃：ｐｃｉ９０５２寫資料準備好或讀資料已取走；ｌｒｄｙｉ＃：外部裝置（此設計指微控制器）已把ｐｃｉ９０５２寫運算元據取走或讀運算元據準備好；ｌｉｎｔｉ１：外部裝置通過ｌｉｎｔｉ１向主機傳送ｉｎｔａ＃中斷，當微控制器驗證金鑰正確，向主處理器傳送請求，表明可以開始從中讀取相關資料。

需注意的是，ｐｃｉ９０５２在使用時，某些引腳要加阻值為１ｋω～１０ｋω的下拉或上拉電阻。因此在實現時，給ｍｏｄｅ、ｌｈｏｌｄ、ｌｉｎｔｉ１引腳加下拉電阻，ｃｈｒｄｙ、ｅｅｄｏ、ｌｒｄｙｉ＃引腳加上拉電阻。

圖2 pci9052本地寫時序

以主處理器向微控制器寫資料為例，圖２給出了ｐｃｉ９０５２的本地寫時序。

２．２ｉｓｐｌｓｉ２０６４部分

原理圖中用到的ｂｉ１８的功能描述為：當ｏｅ＝１時，ｘｂ為輸出，ａ為輸入，即ｘｂ＝ａ；當ｏｅ＝０時，ｘｂ為輸入，ｚ為輸出，即ｚ＝ｘｂ。ｆｄ２８的功能描述為：８位ｄ觸發器（帶非同步清除）。結合ｐｃｉ９０５２本地讀寫時序，可以分析得出，在進行讀寫操作時，圖３實現了ｌａｄ[７．．０]與ｄ[７．．０]之間正常的資料傳輸；在非讀寫時，雙方資料處於正常隔離狀態。

２．３微控制器ａｔ８９ｃ５１部分

微控制器採用ａｔｍｅｌ公司的ａｔ８９ｃ５１。這是乙個８位微處理器，採用ｃｍｏｓ工藝，４０引腳ｄｉｐ封裝。它含有４ｋ位元組ｆｌａｓｈ和１２８位元組ｒａｍ，且自身具有加密保護功能。微控制器不進行外部儲存器和ｒａｍ的擴充套件，程式儲存和執行均在片內完成，有效地保證了加密強度。

圖3 lad[7..0]與d[7..0]之間的資料傳輸

微控制器的ｐ０口接圖３的ｄ[７．．０]，並加１０ｋω的上拉排阻。ｗｒ＃、ｒｄ＃、ｗ／ｒ＃、ｂｅ１＃、ｂｅ０＃作為微控制器輸入訊號接ｐ２口。ｐｃｉ９０５２寫資料準備好或讀資料已取走訊號ｒｅｑ９０５２＃作為微控制器輸入訊號接ｐ３．２（ｉｎｔ０＃);寫資料微控制器已取走或讀資料微控制器準備好訊號ｒｄｙ５１＃作為微控制器輸出訊號接ｐ１．０;接ｐ１．１的ｏｖｅｒ５１＃作為微控制器輸出訊號，經２０６４接ｐｃｉ９０５２的ｌｉｎｔｉ１，通過ｌｉｎｔｉ１向主機傳送ｉｎｔａ＃中斷請求。

基於ｐｃｉ匯流排的加密卡，依照ｐｃｉ匯流排標準２．１版，通過動態分配４位元組ｉ／ｏ空間，實現主處理器與卡上微控制器之間的握手通訊。被加密軟體通過訪問加密卡，獲取軟體正常執行的相關許可權。在加密卡不存在的情況下，被加密軟體因得不到相關授權而無法執行，從而實現了加密功能。在微控制器的儲存器裡，除了存放金鑰之外，設計者還可以把被加密軟體的部分程式、演算法或常數寫入微控制器的儲存器，在加密卡不存在的情況下，被加密軟體的功能是不完整的，從根本上防止了軟體破解。

基於PCI匯流排加密卡硬體設計

一種硬體加密卡方案

基於硬體指紋的軟體加密和註冊技術

基於硬體指紋的軟體加密和註冊技術

基於PCI匯流排加密卡硬體設計

一種硬體加密卡方案

基於硬體指紋的軟體加密和註冊技術

基於硬體指紋的軟體加密和註冊技術

相關推薦