DE60020794T2 - Verschlüsselungsschaltungsarchitektur zur gleichzeitigen Ausführung mehrerer Verschlüsselungsalgorithmen ohne Leistungseinbusse - Google Patents
Verschlüsselungsschaltungsarchitektur zur gleichzeitigen Ausführung mehrerer Verschlüsselungsalgorithmen ohne Leistungseinbusse Download PDFInfo
- Publication number
- DE60020794T2 DE60020794T2 DE60020794T DE60020794T DE60020794T2 DE 60020794 T2 DE60020794 T2 DE 60020794T2 DE 60020794 T DE60020794 T DE 60020794T DE 60020794 T DE60020794 T DE 60020794T DE 60020794 T2 DE60020794 T2 DE 60020794T2
- Authority
- DE
- Germany
- Prior art keywords
- module
- encryption
- memory
- bus
- architecture according
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/72—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in cryptographic circuits
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Signal Processing (AREA)
- Mathematical Physics (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Storage Device Security (AREA)
- Information Transfer Systems (AREA)
Description
- Die vorliegende Erfindung liegt im Bereich der Chiffrierung und betrifft insbesondere eine Architektur einer Chiffrierungsschaltung, die gleichzeitig verschiedene Arten von Chiffrierungsalgorithmen ausführt.
- Diese Architektur ist durch eine Schaltung verwirklicht, die von einer PCI-Karte getragen wird, wobei PCI die angelsächsische Abkürzung für "Peripheral Component Interconnect" ist, und ermöglicht das parallele Ausführen von verschiedenen Chiffrierungsalgorithmen ohne Leistungsverlust auf einer Maschine (Server oder Station). Sie übt außerdem die Funktion eines Safes aus, in dem die geheimen Elemente (Schlüssel und Zertifikate), die für jede elektronische Chiffrierungsfunktion erforderlich sind, aufbewahrt sind.
- Der gestiegene Leistungsbedarf in der Kryptographie, der mit jenem der Unantastbarkeit verbunden ist, hat dazu geführt, dass die Lieferanten von Sicherheitssystemen Hardwarelösungen in Form einer Zusatzkarte bevorzugen.
- Eine solche Karte, gekoppelt mit einem Server, bildet das Sicherheits-Hardwareelement des Servers.
- Es sind Ausführungen von Sicherheitsarchitekturen auf der Grundlage von ASIC-Komponenten bekannt, wobei ASIC die angelsächsische Abkürzung für "Application Specific Integrated Circuit" ist, die hohe Entwicklungskosten für eine Lösung erfordern, die sowohl auf Seiten des Entwicklers als auch auf Seiten des Anwenders starr bleibt.
- Zum anderen gibt es heutzutage keine Architektur, die eine Gruppe von Algorithmen gleichzeitig mit einem für jeden unter diesen garantierten Durchsatz ausführen kann.
- Das Dokument US-A-5 682 027 beschreibt ein System zum Ausführen von Transaktionen zwischen einem (oder mehreren) Host und einer tragbaren intelligenten Vorrichtung.
- Die Erfindung hat insbesondere das Ziel, die oben genannten Nachteile zu beseitigen und den neuen Anforderungen des Marktes der Sicherheit zu begegnen.
- Dazu hat die Erfindung eine Architektur einer Chiffrierungsschaltung zum Gegenstand, die gleichzeitig verschiedene Chiffrierungsalgorithmen verarbeitet, wobei die Schaltung mit einem Host-System, das in einer Datenverarbeitungsmaschine aufgenommen ist, gekoppelt werden kann.
- Erfindungsgemäß umfasst die Schaltung:
- – ein Eingangs/Ausgangs-Modul, das Datenaustauschvorgängen zwischen dem Host-System und der Schaltung über einen PCI-Bus dient,
- – ein Chiffrierungsmodul, das mit dem Eingangs/Ausgangs-Modul gekoppelt ist und die Aufgabe hat, Chiffrierungs- und Dechiffrierungsoperationen sowie Operationen zum Speichern aller sensiblen Informationen der Schaltung auszuführen; und
- – Isolationsmittel zwischen dem Eingangs/Ausgangs-Modul und dem Chiffrierungsmodul, die die sensiblen Informationen, die in dem Chiffrierungsmodul gespeichert sind, für das Host-System unzugänglich machen und die Parallelität der von dem Eingangs/Ausgangs-Modul und dem Chiffrierungsmodul ausgeführten Verarbeitungen sicherstellen.
- Die Erfindung besitzt den ersten Vorteil, dass sie die schnelle Ausführung der Hauptchiffrierungsalgorithmen in zwei Parallelitätsebenen ermöglicht, einer ersten Parallelität auf der Ebene der durch das Eingangs/Ausgangs-Modul und das Chiffrierungsmodul ausgeführten Verarbeitungen und einer zweiten Parallelität in der Ausführung der verschiedenen Chiffrierungsalgorithmen.
- Die Erfindung besitzt den weiteren Vorteil, dass sie sämtliche Verschlüsselungsbetriebsmittel, die dem System zur Verfügung stehen, für das Host-System unsichtbar macht und die gesicherte Speicherung von Geheimnissen wie etwa der Schlüssel und der Zertifikate gewährleistet. Die sensiblen Funktionen der Karte (Algorithmen und Schlüssel) sind alle in dem Chiffrierungsmodul angeordnet und von Seiten des PCI-Busses nicht zugänglich.
- Die Erfindung besitzt außerdem den Vorteil, dass sie die Hardware- und Softwareimplementierungen von verschiedenen Chiffrierungsalgorithmen ohne Leistungsverlust nebeneinander bestehen lässt und dabei für jeden unter diesen die Durchsätze garantiert.
- Sie besitzt zudem den Vorteil, durch die Wahl von Technikstandards mit Mikroprozessoren und programmierbarer Logik im Gegensatz zu herkömmlicheren Implementierungen auf der Grundlage von spezifischen Schaltungen (ASIC) entwicklungsfähig zu sein. Die Erfindung ermöglicht insbesondere das Ausführen von proprietären Algorithmen durch einfache Modifikation des Codes der Chiffrierungsprozessoren oder durch Laden einer neuen Konfigurationsdatei für die Chiffrierungsautomaten des Chiffrierungsmoduls.
- Weitere Vorteile und Merkmale der vorliegenden Erfindung werden deutlich beim Lesen der folgenden Beschreibung, die unter Bezugnahme auf die beigefügte Figur, die den Blockschaltplan einer erfindungsgemäßen Architektur zeigt, erstellt worden ist.
- Aus Gründen der Bequemlichkeit wird im Zuge der Beschreibung das Chiffrierungs/Dechiffrierungs-Modul als Chiffrierungsmodul bezeichnet.
- Die Verbindungen zwischen Modulen, sofern sie nicht spezifiziert sind, sind sämtlich bidirektionale Verbindungsglieder.
- Die erfindungsgemäße Chiffrierungsschaltung
1 baut auf zwei Hauptmodulen auf: - – einem Eingangs/Ausgangs-Modul
2 , das Datenaustauschvorgängen zwischen den Chiffrierungsbetriebsmitteln und einem Host-System HS über einen PCI-Bus dient; und - – einem
Chiffrierungsmodul
3 , das die Aufgabe hat, Operationen zur Chiffrierung und Dechiffrierung sowie zur Speicherung von Geheimnissen auszuführen. - Diese beiden Module
2 und3 , die jeweils durch eine geschlossene strichpunktierte Linie abgegrenzt sind, führen über einen Dualport-Speicher DPR4 , der den Austausch von Daten und von Befehlen/Stati zwischen den beiden Modulen2 und3 ermöglicht, einen Dialog. - Eine durch das Chiffrierungsmodul
3 gesteuerte serielle Verbindung SL ermöglicht ferner das Eingeben von Basisschlüsseln über einen vom normalen Funktionspfad (PCI-Bus) unabhängigen gesicherten Pfad SP und erfüllt so die von der Norm FIPS140 aufgestellte Forderung. - Diese Verbindung SL ist mit der Karte
1 über ein EPLD-Modul5 verbunden, wobei EPLD die angelsächsische Abkürzung für "Erasable Programmable Logic Device" ist, das zwischen das Eingangs/Ausgangs-Modul2 und das Chiffrierungsmodul3 geschaltet ist und die logische Kohärenz zwischen den Modulen sicherstellt. - Das Eingangs/Ausgangs-Modul
2 umfasst die folgenden Elemente: - – einen
Mikrocontroller IOP
6 , der in der Hauptseite aus einem Prozessor61 und einer PCI-Schnittstelle62 gebildet ist, die DMA-Kanäle einbindet, wobei DMA die angelsächsische Abkürzung für "Direct Memory Access" ist. Dies sind spezifische oder dem Prozessor eigens zugeteilte Kanäle, über die die Daten, die zwischen den mit dem Prozessor gekoppelten Speichern ausgetauscht werden, ohne die Betriebsmittel des Prozessors zu benutzen, verkehren; - – einen
Flash-Speicher
7 , der ein Speicher ist, der die gespeicherten Daten ohne Spannungsquelle aufbewahrt und dessen Speicherkapazität beispielsweise 512 Kilobyte beträgt; und - – einen
SRAM-Speicher
8 , wobei SRAM die angelsächsische Abkürzung für "Static Random Access Memory" ist, der ein Speicher ist, der eine Spannungsquelle benötigt, um die im Speicher gespeicherten Daten aufzubewahren und dessen Speicherkapazität beispielsweise 2 Megabyte beträgt. - Die Datentransfers zwischen dem Chiffrierungsmodul
3 und dem Host-System HS finden simultan mit den durch das Chiffrierungsmodul3 ausgeführten Chiffrierungsoperationen statt und ermöglichen so das Optimieren der globalen Leistungen der Karte1 . - Der Flash-Speicher
7 enthält den Code des Prozessors des Mikrocontrollers IOP6 . - Beim Starten kopiert der Prozessor den Inhalt des Flash-Speichers
7 in den SRAM-Speicher8 ; wobei der Code in diesem Speicher zugunsten einer höheren Leistung ausgeführt wird. - Der SRAM-Speicher
8 kann auch durch einen SDRAM-Speicher ersetzt sein, der ein schneller dynamischer Speicher ist, wobei SDRAM die angelsächsische Abkürzung für "Synchronous Dynamic RAM" ist. - Der Mikrocontroller IOP
6 kann das Management dieses Speichertyps ohne Leistungsverlust ausführen. - Die Wahl des Mikrocontrollers hängt grundsätzlich von den gewünschten Leistungszielen sowie vom Gesamtverbrauch der die Schaltung tragenden Karte, der im Allgemeinen auf 25 W begrenzt ist (PCI-Spezifikation), ab.
- Der Dualport-Speicher DPR
4 verwirklicht die Isolation zwischen dem Eingangs/Ausgangs-Modul2 und dem Chiffrierungsmodul3 und macht so das Letztere für das Host-System HS unzugänglich. - Seine Speicherkapazität beträgt in dem beschriebenen Beispiel 64 Kilobyte. Er speichert die Daten, die dazu bestimmt sind, durch Chiffrierungsautomaten des Chiffrierungsmoduls
3 chiffriert oder dechiffriert zu werden, temporär. - Er ist in zwei Zonen unterteilt:
- – eine Befehlszone
von beispielsweise 4 Kilobyte, in die der Mikrocontroller IOP
6 die Befehlsblöcke für die Automaten schreibt; und - – eine Datenzone von beispielsweise 60 Kilobyte, die die zur Verarbeitung durch die Automaten bestimmten Daten enthält.
- Das Chiffrierungsmodul
3 umfasst ein erstes und ein zweites Chiffrierungsuntermodul31 und32 , die jeweils durch eine geschlossene gestrichelte Linie abgegrenzt sind. - Das erste Untermodul
31 umfasst eine SCE-Komponente9 , wobei SCE die angelsächsische Abkürzung für "Symmetric Cipher Engine" ist, die der Verarbeitung der symmetrischen Chiffrierungsalgorithmen eigens zugeteilt und mit dem Dualport-Speicher4 gekoppelt ist. - Das zweite Untermodul
32 ist der Verarbeitung der asymmetrischen Chiffrierungsalgorithmen eigens zugeteilt. - Es ist mit dem Bus des Dualport-Speichers
4 gekoppelt und umfasst einen internen Bus, der vom Bus des Dualport-Speichers4 verschieden und getrennt ist. - Es umfasst ferner:
- – einen oder zwei CIP-Prozessoren
101 ,102 , wobei CIP die angelsächsische Abkürzung für "Cipher Processor" ist; - – einen
ACE-Prozessor
102 , wobei ACE die angelsächsische Abkürzung für "Asymmetric Cipher Processor" ist, der in einer Ausführungsvariante einen der beiden CIP-Chiffrierungsprozessoren101 ,102 ersetzt; - – einen
CMOS-Speicher
11 mit einer Speicherkapazität von beispielsweise 256 Kilobyte, der batteriegepuffert ist; - – einen
Flash-PROM-Speicher
12 mit einer Speicherkapazität von beispielsweise 512 Kilobyte, wobei PROM die angelsächsische Abkürzung für "Programmable Read Only Memory" ist; und - – einen
SRAM-Speicher
13 mit einer Speicherkapazität von beispielsweise 256 Kilobyte. - Wie in dem Blockschaltplan der Figur gezeigt ist, sind die SCE-Komponente
9 und der CMOS-Speicher11 direkt mit dem Bus des Dualport-Speichers DPR4 gekoppelt, während die CIP-Prozessoren101 ,102 sowie der Flash-Speicher12 und der SRAM-Speicher13 mit einem Bus gekoppelt sind, der vom Bus des Dualport-Speichers DPR4 verschieden und mittels eines Bus-Isolators14 , der auch als "Bus-Transceiver" bezeichnet wird, getrennt ist und in der Figur durch einen Block mit zwei entgegengesetzte Pfeile wiedergegeben ist. - Der Flash-PROM-Speicher
12 , der am Bus der CIP-Prozessoren101 ,102 liegt, enthält die von dem Chiffrierungsmodul3 genutzte Softwaregruppe. - Die Funktion des SRAM-Speichers
13 ist eine doppelte: - – er
ermöglicht
zum einen die schnelle Ausführung
des Codes der CIP-Prozessoren
101 ,102 ; der Code aus dem Flash-PROM-Speicher12 wird beim Unterspannungsetzen in den Speicher kopiert; - – er ermöglicht zum anderen das temporäre Speichern der Daten während der Ausführung der Algorithmen.
- Diese Besonderheit der Architektur garantiert die Unabhängigkeit der verschiedenen Chiffrierungsautomaten voneinander.
- Der CIP-Prozessor
101 und der ACE-Prozessor102 greifen beide auf den Dualport-Speicher DPR4 zu, um die zu chiffrierenden Daten zu lesen oder zu schreiben, jedoch erfolgt die gesamte Verarbeitung der Algorithmen eigentlich in ihrem eigenen Speicherraum (dem internen Cache-Speicher und dem SRAM13 ), ohne sich mir der SCE-Komponente9 zu überlagern. - Die SCE-Komponente
9 bindet die verschiedenen symmetrischen Chiffrierungsautomaten (einen Automaten pro Algorithmus) des Typs DES, RC4 usw. sowie einen nicht gezeigten Zufallszahlengenerator ein. - Jeder Automat arbeitet unabhängig von den anderen und greift auf den Dualport-Speicher DPR
4 zu, um seinen Befehlsblock (der durch den Mikrocontroller IOP6 eingetragen worden ist) zu lesen und die entsprechenden Daten zu verarbeiten. - Durch die so verwirklichte Parallelität der Verarbeitung kann selbst im Fall der simultanen Verwendung der Automaten für jeden Algorithmus ein optimaler Durchsatz gewährleistet werden.
- Die einzige Beschränkung der Verarbeitung wird durch den Zugriff auf den Dualport-Speicher DPR
4 auferlegt, der für alle Automaten gemeinsam ist. - Der Durchlassbereich des Datenbusses zu diesem Speicher muss folglich größer als die Summe der Durchsätze aller Algorithmen sein, um deren Leistung nicht zu begrenzen.
- Die SCE-Komponente
9 ist in einer programmierbaren Technologie, die auch unter der Bezeichnung FPGA, der angelsächsischen Abkürzung für "Field Programmable Gate Array", bekannt ist, verwirklicht und eine programmierbare Schaltung oder ein programmierbarer Chip, die bzw. der eine große Dichte an Verknüpfungsgliedern aufweist, was die gesamte erforderliche Flexibilität, um nach Bedarf neue Algorithmen und insbesondere proprietäre Algorithmen zu implementieren, mit sich bringt. - Die Konfigurationsdaten dieser Komponente sind in dem Flash-PROM-Speicher
12 enthalten und werden unter der Steuerung durch den CIP-Prozessor101 beim Unterspannungsetzen in die SCE-Komponente9 geladen. - Der CIP-Prozessor
101 implementiert die nicht implementierten Algorithmen gemäß einer bestimmten Programmiersoftware in die SCE-Komponente9 . Er implementiert außerdem die asymmetrischen Algorithmen des Typs RSA mit oder ohne Unterstützung durch den durch den ACE-Prozessor102 implementierten Spezialautomaten. - Er trägt der Initialisierung von Sicherheitsparametern (Schlüsseln) über die serielle Verbindung SL Rechnung.
- Die Verwendung eines Prozessors, der auf dieser Ebene arbeitet, garantiert optimale Leistungen bei der Ausführung der Algorithmen sowie eine große Flexibilität bei der Implementierung von zusätzlichen Algorithmen.
- Dank dieses Prozessors können auch proprietäre Algorithmen über die serielle Verbindung SL ferngeladen werden.
- Gemäß einer ersten Ausführungsform sind zwei CIP-Prozessoren
101 und102 implementiert:
Der eine,101 , ist für die Ausführung des RSA-Algorithmus erforderlich, während der andere,102 , die noch nicht von der SCE-Komponente9 unterstützten Algorithmen implementiert. - Gemäß einer zweiten Ausführungsform gibt es nur einen einzigen CIP-Prozessor
101 , dem ein ACE-Prozessor102 , der einen der beiden CIP-Prozessoren101 und102 ersetzt, assistiert und die intensive Berechnung, die mit dem Protokoll des RSA-Algorithmus verknüpft ist, in programmierbarer Logik implementiert. - Alle erforderlichen Algorithmen sind in den Automaten der SCE-Komponente
9 in programmierbarer Logik implementiert. - Diese Komponente ist in der programmierbaren FPGA-Technologie ausgeführt.
- Der CMOS-Speicher
11 enthält die Schlüssel und andere Geheimnisse der Karte1 . Er ist durch eine Batterie gepuffert und durch verschiedene bekannte Sicherheitsmechanismen SM15 , die im Fall von Anomalien als versuchtes Eindringen gewertet werden und seinen Inhalt löschen, geschützt. - Diese Anomalien sind beispielsweise bedingt durch:
- – eine Erhöhung oder anormale Absenkung der Temperatur;
- – eine Erhöhung oder anormale Absenkung der Versorgungsspannung;
- – ein Herausnehmen der Karte;
- – ein versuchtes physisches Eindringen (seitens der Karte oder des Host-Systems);
- – usw.
- Jedes der oben genannten Ereignisse löst ein Alarmsignal aus, das auf das Rücksetzen des CMOS-Speichers
11 auf null einwirkt.
Claims (14)
- Architektur einer Chiffrierungsschaltung (
1 ), die gleichzeitig verschiedene Chiffrierungsalgorithmen verarbeitet, wobei die Schaltung mit einem Host-System (HS), das in einer Datenverarbeitungsmaschine aufgenommen ist, gekoppelt werden kann, dadurch gekennzeichnet, dass die Schaltung umfasst: – ein Eingangs/Ausgangs-Modul (2 ), das Datenaustauschvorgängen zwischen dem Host-System (HS) und der Schaltung (1 ) über einen dedizierten Bus (PCI) dient, – ein Chiffrierungsmodul (3 ), das mit dem Eingangs/Ausgangs-Modul (2 ) gekoppelt ist und die Aufgabe hat, Chiffrierungs- und Dechiffrierungsoperationen sowie Operationen zum Speichern aller sensiblen Informationen der Schaltung (1 ) auszuführen; und – Isolationsmittel (4 ) zwischen dem Eingangs/Ausgangs-Modul (2 ) und dem Chiffrierungsmodul (3 ), die die sensiblen Informationen, die in dem Chiffrierungsmodul (3 ) gespeichert sind, für das Host-System (HS) unzugänglich machen und die Parallelität der von dem Eingangs/Ausgangs-Modul (2 ) und dem Chiffrierungsmodul (3 ) ausgeführten Verarbeitungen sicherstellen. - Architektur nach Anspruch 1, dadurch gekennzeichnet, dass die Isolationsmittel der Schaltung (
1 ) einen Dualport-Speicher (4 ) umfasst, der zwischen das Eingangs/Ausgangs-Modul (2 ) und das Chiffrierungsmodul (3 ) gekoppelt ist, seinen eigenen Bus enthält und zugleich den Austausch von Daten, von Befehlen und des jeweiligen Status zwischen den zwei Modulen (2 und3 ) sowie die Isolation zwischen den zwei Modulen (2 und3 ) gewährleistet. - Architektur nach einem der Ansprüche 1 und 2, dadurch gekennzeichnet, dass das Chiffrierungsmodul (
3 ) umfasst: – ein erstes Chiffrierungsuntermodul (31 ), das für die Verarbeitung symmetrischer Chiffrierungsalgorithmen bestimmt ist und mit dem Bus des Dualport-Speichers (4 ) gekoppelt ist; – ein zweites Chiffrierungsuntermodul (32 ), das für die Verarbeitung asymmetrischer Chiffrierungsalgorithmen (4 ) bestimmt ist, mit dem Bus des Dualport-Speichers (4 ) gekoppelt ist und einen internen Bus aufweist, der von dem Bus des Dualport-Speichers (4 ) verschieden und hiervon getrennt ist; und – einen CMOS-Speicher (11 ), der über den Bus des Dualport-Speichers mit dem Dualport-Speicher (4 ) gekoppelt ist und die Chiffrierungsschlüssel enthält. - Architektur nach Anspruch 3, dadurch gekennzeichnet, dass das erste Chiffrierungsuntermodul (
31 ) eine Verschlüsselungskomponente (9 ), die über den Bus des Speichers (4 ) mit dem Dualport-Speicher (4 ) gekoppelt ist und verschiedene Chiffrierungsautomaten enthält, die jeweils für die Verarbeitung der symmetrischen Chiffrierungsalgorithmen bestimmt sind, und dass das zweite Chiffrierungsuntermodul (32 ) wenigstens zwei Chiffrierungsprozessoren (101 und102 ) enthält, die jeweils für die Verarbeitung der asymmetrischen Chiffrierungsalgorithmen bestimmt sind und über den internen Bus des zweiten Untermoduls (32 ), der von dem Bus des Dualport-Speichers durch einen Busisolator (14 ) getrennt ist, mit dem Verschlüsselungsmodul (9 ) gekoppelt sind. - Architektur nach Anspruch 4, dadurch gekennzeichnet, dass die zwei Prozessoren (
101 und102 ) des Chiffrierungsmoduls (3 ) vom Typ CIP sind. - Architektur nach Anspruch 4, dadurch gekennzeichnet, dass einer (
101 ) der Chiffrierungsprozessoren (101 und102 ) vom Typ CIP ist und dass der andere (102 ) vom Typ ACE ist. - Architektur nach Anspruch 6, dadurch gekennzeichnet, dass der Chiffrierungsprozessor (
102 ) des Typs ACE in der programmierbaren FPGA-Technologie verwirklicht ist. - Architektur nach einem der Ansprüche 4 bis 7, dadurch gekennzeichnet, dass das Verschlüsselungsmodul (
9 ) vom Typ SCE ist. - Architektur nach Anspruch 8, dadurch gekennzeichnet, dass das Verschlüsselungsmodul (
9 ) in der programmierbaren FPGA-Technologie verwirklicht ist. - Architektur nach einem der Ansprüche 3 bis 9, dadurch gekennzeichnet, dass das zweite Verschlüsselungsuntermodul (
32 ) außerdem einen Flash-PROM-Speicher (12 ) und einen SRAM-Speicher (13 ), die mit dem internen Bus des Untermoduls (32 ) gekoppelt sind, umfasst. - Architektur nach einem der Ansprüche 3 bis 10, dadurch gekennzeichnet, dass der CMOS-Speicher (
11 ) durch Sicherheitsmechanismen (15 ) geschützt ist, die im Alarmfall die Rücksetzung des CMOS-Speichers (11 ) auf null auslösen. - Architektur nach einem der Ansprüche 1 bis 11, dadurch gekennzeichnet, dass das Eingangs/Ausgangs-Modul (
2 ) umfasst: – einen Mikrocontroller (6 ), der einen Eingangs/Ausgangs-Prozessor (61 ) und eine PCI-Schnittstelle (62 ) enthält, die die DMA-Kanäle integriert, die die Aufgabe haben, die Datenübertragungen zwischen dem Host-System (HS) und der Schaltung (1 ) auszuführen; – einen Flash-Speicher (7 ), der den Code des Eingangs/Ausgangs-Prozessors (61 ) enthält; und – einen SRAM-Speicher (8 ), der beim Hochfahren des Eingangs/Ausgangs-Prozessors (61 ) eine Kopie des Inhalts des Flash-Speichers (7 ) empfängt. - Architektur nach einem der vorhergehenden Ansprüche, die eine serielle Verbindung (SL) umfasst, die ermöglicht, die Basisschlüssel durch einen gesicherten Weg vom PCI-Bus unabhängig zu machen, dadurch gekennzeichnet, dass die Verbindung durch das Chiffrierungsmodul (
3 ) gesteuert wird. - Architektur nach Anspruch 13, dadurch gekennzeichnet, dass die serielle Verbindung (SL) das Fernladen von proprietären Algorithmen in das erste Chiffrierungsuntermodul (
31 ) ermöglicht.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FR9914067A FR2800952B1 (fr) | 1999-11-09 | 1999-11-09 | Architecture d'un circuit de chiffrement mettant en oeuvre differents types d'algorithmes de chiffrement simultanement sans perte de performance |
FR9914067 | 1999-11-09 |
Publications (2)
Publication Number | Publication Date |
---|---|
DE60020794D1 DE60020794D1 (de) | 2005-07-21 |
DE60020794T2 true DE60020794T2 (de) | 2006-05-04 |
Family
ID=9551907
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE60020794T Expired - Lifetime DE60020794T2 (de) | 1999-11-09 | 2000-11-06 | Verschlüsselungsschaltungsarchitektur zur gleichzeitigen Ausführung mehrerer Verschlüsselungsalgorithmen ohne Leistungseinbusse |
Country Status (5)
Country | Link |
---|---|
US (2) | US7418598B1 (de) |
EP (1) | EP1100225B1 (de) |
JP (1) | JP4138225B2 (de) |
DE (1) | DE60020794T2 (de) |
FR (1) | FR2800952B1 (de) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102017213010A1 (de) * | 2017-07-28 | 2019-01-31 | Audi Ag | Gesamtvorrichtung mit einer Authentifizierungsanordnung und Verfahren zur Authentifizierung |
Families Citing this family (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20040042730A (ko) * | 2002-11-15 | 2004-05-20 | 엘지엔시스(주) | 네트워크 암호화 장치 및 방법 |
US7937595B1 (en) * | 2003-06-27 | 2011-05-03 | Zoran Corporation | Integrated encryption/decryption functionality in a digital TV/PVR system-on-chip |
US7636857B2 (en) * | 2004-05-24 | 2009-12-22 | Interdigital Technology Corporation | Data-mover controller with plural registers for supporting ciphering operations |
US20060117122A1 (en) * | 2004-11-04 | 2006-06-01 | Intel Corporation | Method and apparatus for conditionally obfuscating bus communications |
US20070016799A1 (en) * | 2005-07-14 | 2007-01-18 | Nokia Corporation | DRAM to mass memory interface with security processor |
US7995753B2 (en) * | 2005-08-29 | 2011-08-09 | Cisco Technology, Inc. | Parallel cipher operations using a single data pass |
JP5201716B2 (ja) * | 2007-09-28 | 2013-06-05 | 東芝ソリューション株式会社 | 暗号モジュール配信システム、暗号管理サーバ装置、暗号処理装置、クライアント装置、暗号管理プログラム、暗号処理プログラム、およびクライアントプログラム |
US8300825B2 (en) * | 2008-06-30 | 2012-10-30 | Intel Corporation | Data encryption and/or decryption by integrated circuit |
EP2544116A1 (de) * | 2011-07-06 | 2013-01-09 | Gemalto SA | Verfahren zur Verwaltung des Ladens von Daten in einer sicheren Vorrichtung |
JPWO2014049830A1 (ja) * | 2012-09-28 | 2016-08-22 | 富士通株式会社 | 情報処理装置および半導体装置 |
FR3003712B1 (fr) * | 2013-03-19 | 2016-08-05 | Altis Semiconductor Snc | Module de securite materiel |
KR102218715B1 (ko) * | 2014-06-19 | 2021-02-23 | 삼성전자주식회사 | 채널별로 데이터를 보호할 수 있는 반도체 장치 |
CN105790927B (zh) * | 2016-02-26 | 2019-02-01 | 华为技术有限公司 | 一种总线分级加密系统 |
CN116049910A (zh) * | 2023-02-01 | 2023-05-02 | 广东高云半导体科技股份有限公司 | 一种数据加密系统及方法 |
Family Cites Families (27)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4075691A (en) * | 1975-11-06 | 1978-02-21 | Bunker Ramo Corporation | Communication control unit |
US4488231A (en) * | 1980-09-29 | 1984-12-11 | Honeywell Information Systems Inc. | Communication multiplexer having dual microprocessors |
US4623990A (en) * | 1984-10-31 | 1986-11-18 | Advanced Micro Devices, Inc. | Dual-port read/write RAM with single array |
US4604683A (en) * | 1984-12-10 | 1986-08-05 | Advanced Computer Communications | Communication controller using multiported random access memory |
US4855905A (en) * | 1987-04-29 | 1989-08-08 | International Business Machines Corporation | Multiprotocol I/O communications controller unit including emulated I/O controllers and tables translation of common commands and device addresses |
US4888802A (en) * | 1988-06-17 | 1989-12-19 | Ncr Corporation | System and method for providing for secure encryptor key management |
US5063596A (en) * | 1989-02-24 | 1991-11-05 | Miu Automation Corporation | Encryption printed circuit board |
JP3103850B2 (ja) * | 1989-03-07 | 2000-10-30 | アイシン精機株式会社 | 秘匿通信制御装置 |
JPH077955B2 (ja) * | 1989-05-13 | 1995-01-30 | 株式会社東芝 | データ通信制御装置 |
EP0398523A3 (de) * | 1989-05-19 | 1991-08-21 | Hitachi, Ltd. | Dateneingabe-/-ausgabevorrichtung und Ausführungsunterstützung in digitalen Prozessoren |
USH1414H (en) * | 1991-02-12 | 1995-02-07 | The United States Of America As Represented By The Secretary Of The Navy | Nonvolatile memory system for storing a key word and sensing the presence of an external loader device and encryption circuit |
EP0706692B1 (de) * | 1992-10-26 | 2003-04-16 | Intellect Australia Pty. Ltd. | Host-benutzer-transaktionssystem |
US5333198A (en) * | 1993-05-27 | 1994-07-26 | Houlberg Christian L | Digital interface circuit |
US5539828A (en) * | 1994-05-31 | 1996-07-23 | Intel Corporation | Apparatus and method for providing secured communications |
US5621800A (en) * | 1994-11-01 | 1997-04-15 | Motorola, Inc. | Integrated circuit that performs multiple communication tasks |
US6067407A (en) * | 1995-06-30 | 2000-05-23 | Canon Information Systems, Inc. | Remote diagnosis of network device over a local area network |
US6021201A (en) * | 1997-01-07 | 2000-02-01 | Intel Corporation | Method and apparatus for integrated ciphering and hashing |
US5860021A (en) * | 1997-04-24 | 1999-01-12 | Klingman; Edwin E. | Single chip microcontroller having down-loadable memory organization supporting "shadow" personality, optimized for bi-directional data transfers over a communication channel |
US6357004B1 (en) * | 1997-09-30 | 2002-03-12 | Intel Corporation | System and method for ensuring integrity throughout post-processing |
US6088800A (en) * | 1998-02-27 | 2000-07-11 | Mosaid Technologies, Incorporated | Encryption processor with shared memory interconnect |
US6079008A (en) * | 1998-04-03 | 2000-06-20 | Patton Electronics Co. | Multiple thread multiple data predictive coded parallel processing system and method |
US6182104B1 (en) * | 1998-07-22 | 2001-01-30 | Motorola, Inc. | Circuit and method of modulo multiplication |
JP2000181898A (ja) * | 1998-12-14 | 2000-06-30 | Nec Corp | フラッシュメモリ搭載型シングルチップマイクロコンピュータ |
US6463537B1 (en) * | 1999-01-04 | 2002-10-08 | Codex Technologies, Inc. | Modified computer motherboard security and identification system |
US6169700B1 (en) * | 1999-02-04 | 2001-01-02 | Lucent Technologies, Inc. | Wait state generator circuit and method to allow asynchronous, simultaneous access by two processors |
US6772270B1 (en) * | 2000-02-10 | 2004-08-03 | Vicom Systems, Inc. | Multi-port fibre channel controller |
US6463637B1 (en) * | 2000-07-14 | 2002-10-15 | Safariland Ltd, Inc. | Movable belt buckle cover device and protector |
-
1999
- 1999-11-09 FR FR9914067A patent/FR2800952B1/fr not_active Expired - Fee Related
-
2000
- 2000-11-06 EP EP00403063A patent/EP1100225B1/de not_active Expired - Lifetime
- 2000-11-06 DE DE60020794T patent/DE60020794T2/de not_active Expired - Lifetime
- 2000-11-07 US US09/706,728 patent/US7418598B1/en not_active Expired - Lifetime
- 2000-11-08 JP JP2000340881A patent/JP4138225B2/ja not_active Expired - Lifetime
-
2007
- 2007-05-24 US US11/802,759 patent/US20070223688A1/en not_active Abandoned
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102017213010A1 (de) * | 2017-07-28 | 2019-01-31 | Audi Ag | Gesamtvorrichtung mit einer Authentifizierungsanordnung und Verfahren zur Authentifizierung |
US10949552B2 (en) | 2017-07-28 | 2021-03-16 | Audi Ag | Whole apparatus having an authentication arrangement, and method for authentication |
Also Published As
Publication number | Publication date |
---|---|
US20070223688A1 (en) | 2007-09-27 |
JP4138225B2 (ja) | 2008-08-27 |
EP1100225A1 (de) | 2001-05-16 |
US7418598B1 (en) | 2008-08-26 |
JP2001211163A (ja) | 2001-08-03 |
FR2800952B1 (fr) | 2001-12-07 |
EP1100225B1 (de) | 2005-06-15 |
DE60020794D1 (de) | 2005-07-21 |
FR2800952A1 (fr) | 2001-05-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE60020794T2 (de) | Verschlüsselungsschaltungsarchitektur zur gleichzeitigen Ausführung mehrerer Verschlüsselungsalgorithmen ohne Leistungseinbusse | |
DE102008006759B4 (de) | Prozessor-Anordnung und Verfahren zum Betreiben der Prozessor-Anordnung ohne Verringerung der Gesamtsicherheit | |
EP0355372B1 (de) | Datenträger-gesteuertes Endgerät in einem Datenaustauschsystem | |
DE69920880T2 (de) | Intelligente integrierte schaltung | |
EP1668516B1 (de) | Entschlüsselung und verschlüsselung bei schreibzugriffen auf einen speicher | |
EP0128362B1 (de) | Schaltungsanordnung mit einem Speicher und einer Zugriffskontrolleinheit | |
DE2916658C2 (de) | ||
EP1234239B1 (de) | Mikroprozessoranordnung mit verschlüsselung | |
DE102013104167A1 (de) | Ein-Chip-System, Verfahren zum Betreiben desselben und Vorrichtung mit dem Ein-Chip-System | |
DE112005003513B4 (de) | Sicherheitschip | |
DE112004002259B4 (de) | Zugriff auf private Daten zum Status einer datenverarbeitenden Maschine von einem öffentlich zugänglichen Speicher | |
DE10254396A1 (de) | Vorrichtung und Verfahren zum Verschlüsseln von Daten | |
DE19536169A1 (de) | Multifunktionale Chipkarte | |
DE112007003231B4 (de) | Programmierbare Anzeigevorrichtung und Steuersystem | |
EP1118941B1 (de) | Mikroprozessoranordnung und Verfahren zum Betreiben einer Mikroprozessoranordnung | |
DE112009002502T5 (de) | Multilayer inhalte-schützender Mikrocontoller | |
DE19803218A1 (de) | Informationsspeichermedium und zugehöriges Schutzverfahren | |
DE112009004491T5 (de) | System und Verfahren zum sicheren Speichern von Daten in einem elektronischen Gerät | |
EP0981115B1 (de) | Verfahren zur Ausführung eines Verschlüsselungsprogramms zur Verschlüsselung von Daten in einem mikroprozessorgestützten, tragbaren Datenträger | |
DE102014208855A1 (de) | Verfahren zum Durchführen einer Kommunikation zwischen Steuergeräten | |
WO2011054639A1 (de) | Kryptographisches Hardwaremodul bzw. Verfahren zur Aktualisierung eines kryptographischen Schlüssels | |
DE102012012509B4 (de) | Verfahren und Vorrichtung zum Austausch des Betriebssystems eines ressourcenbeschränkten tragbaren Datenträgers | |
DE102019110440A1 (de) | Replay-Schutz für Speicher auf der Basis eines Schlüsselauffrischens | |
DE10324337B4 (de) | Rechnersystem und zugehöriges Verfahren zum Durchführen eines Sicherheitsprogramms | |
DE3321910A1 (de) | Vorrichtung und verfahren zum schuetzen von software |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
8364 | No opposition during term of opposition |