高速低功耗的AES ASIC設(shè)計(jì)如何實(shí)現(xiàn)

1 引言

從1976年美國(guó)數(shù)據(jù)加密標(biāo)準(zhǔn)算法（DES）公布以來(lái)，到20世紀(jì)末，DES算法或其某些變形基本上主宰了對(duì)稱算法的研究與開發(fā)進(jìn)程。隨著密碼分析水平、芯片處理能力和計(jì)算技術(shù)的不斷進(jìn)步，DES的安全強(qiáng)度已經(jīng)難以適應(yīng)新的安全需要，其實(shí)現(xiàn)速度、代碼大小和跨平臺(tái)性均難以繼續(xù)滿足性的應(yīng)用需求。因此，AES（高級(jí)加密標(biāo)準(zhǔn)）應(yīng)運(yùn)而生。作為DES的繼承者，AES自從被接納為標(biāo)準(zhǔn)之日起就已經(jīng)被工業(yè)界、銀行業(yè)和行政部門作為事實(shí)上的密碼標(biāo)準(zhǔn)。在網(wǎng)絡(luò)通信和某些工業(yè)控制應(yīng)用場(chǎng)合，對(duì)加密速度的需求成為對(duì)AES算法的最關(guān)鍵要求，同時(shí)功耗成為日漸突出的問(wèn)題，必須進(jìn)行低功耗設(shè)計(jì)。

2 AES加密算法簡(jiǎn)介

AES是一個(gè)密鑰迭代分組密碼，對(duì)加密來(lái)說(shuō)，輸入是一個(gè)明文分組和一個(gè)密鑰，輸出是一個(gè)密文分組。它將分組長(zhǎng)度固定為128比特，而且僅支持128、196或256比特的密鑰長(zhǎng)度，本文僅對(duì)密鑰長(zhǎng)度為128比特的情況進(jìn)行討論。

加密過(guò)程包括一個(gè)初始密鑰加法，記作AddRoundKey，接著進(jìn)行9次輪變換（Round），最后再使用一個(gè)輪變換（FinalRound）。輪變換由SubBytes、ShiftRows、MixColumns 和AddRoundKey 共4個(gè)步驟構(gòu)成。輪變換及其每一步均作用在中間結(jié)果上，將該中間結(jié)果稱為狀態(tài)，可以形象地表示為一個(gè)4*4字節(jié)的矩陣。

3 AES的改進(jìn)算法（T盒算法）

假設(shè)加密過(guò)程中輪變化的輸入為a，輸出為d，則：

上式中SRD（S盒）由有限域GF（28）中的乘法逆變換和GF（2）中的仿射變換復(fù)合而成，符號(hào) 代表有限域GF（28）中的加法運(yùn)算，符號(hào) 代表有限域GF（28）中的乘法運(yùn)算。

這樣我們可以定義4個(gè)表：T0，T1，T2以及T3：

則d簡(jiǎn)化為：

該實(shí)現(xiàn)方案中T0~T3，每個(gè)表都包含了256個(gè)雙字，一共占用4KByte的空間。在每次循環(huán)迭代中，只要通過(guò)4次表查詢和4次異或運(yùn)算，就能快速地得到一次輪操作中一列的運(yùn)算結(jié)果。改進(jìn)算法有效降低了關(guān)鍵時(shí)序路徑的傳輸延遲，能夠明顯的提高ASIC工作頻率。

4 CMOS功耗

對(duì)于一個(gè)CMOS邏輯門，其功耗主要由靜態(tài)功耗和動(dòng)態(tài)功耗兩部分組成。靜態(tài)功耗是指門處于非活動(dòng)狀態(tài)時(shí)的功耗，大部分是由擴(kuò)散層到襯底，源極到漏極存在的反偏二極管造成的泄露電流產(chǎn)生的。一般來(lái)說(shuō)，泄漏電流功耗在總功耗中所占的比重不到1%。動(dòng)態(tài)功耗是門處于活動(dòng)狀態(tài)下產(chǎn)生的，它又包含兩部分：開關(guān)功耗和內(nèi)部功耗。內(nèi)部功耗包括對(duì)門內(nèi)部的寄生電容充放電的翻轉(zhuǎn)電流功耗，以及PMOS管和NMOS管瞬間同時(shí)導(dǎo)通所形成的短路電流功耗。對(duì)于信號(hào)上升（下降）快的電路，短路電流功耗很小，但對(duì)信號(hào)上升（下降）較慢的電路，短路電流功耗可能要占總功耗的30%以上。開關(guān)功耗是對(duì)輸出端負(fù)載電容充放電的翻轉(zhuǎn)電流引起的。

5 低功耗設(shè)計(jì)

該實(shí)現(xiàn)方案中主要采用了以下兩種低功耗設(shè)計(jì)方法。

1） 動(dòng)態(tài)功耗管理

動(dòng)態(tài)功耗管理是一種系統(tǒng)級(jí)低功耗設(shè)計(jì)方法，降低功耗的主要思路是根據(jù)芯片工作狀態(tài)改變功耗管理模式，從而在保證性能的基礎(chǔ)上降低功耗。在不同模式下，時(shí)鐘的頻率可以進(jìn)行調(diào)整，一些空閑模塊甚至整個(gè)芯片的時(shí)鐘也可能會(huì)被停止。還可以通過(guò)調(diào)整芯片的電壓，進(jìn)一步降低功耗。由于工作庫(kù)的限制，本文沒(méi)有對(duì)動(dòng)態(tài)電壓管理作進(jìn)一步的研究。

本文采用動(dòng)態(tài)功耗管理，分為normal和idle兩種功耗模式。有開始（START）信號(hào)時(shí)，芯片由idle模式進(jìn)入normal模式，開始對(duì)明文分組加密。經(jīng)過(guò)初始密鑰加法和10次輪變換，輸出密文分組，并產(chǎn)生結(jié)束（STOP）信號(hào)，使芯片返回idle模式。因此設(shè)計(jì)了一個(gè)鑒相器產(chǎn)生idle模式的控制信號(hào)（EN）。電路由與非門和基本RS觸發(fā)器組成（圖1），對(duì)輸入信號(hào)（開始和結(jié)束）的上升沿感應(yīng)，由D觸發(fā)器輸出EN。具有結(jié)構(gòu)簡(jiǎn)單的特點(diǎn)，并對(duì)噪聲的影響有很好的抑制作用，并能有效地去除毛刺。

2） 時(shí)鐘門控

EN有關(guān)閉和打開ASIC內(nèi)部模塊的作用，但這樣不是最佳的，因?yàn)镋N只是關(guān)閉了內(nèi)部模塊的功能操作，而并沒(méi)有把模塊內(nèi)的時(shí)鐘網(wǎng)絡(luò)關(guān)閉，也就是說(shuō)時(shí)鐘網(wǎng)絡(luò)依然處于激活狀態(tài)，而時(shí)鐘網(wǎng)絡(luò)造成的功耗占總功耗的很大部分，只有關(guān)閉時(shí)鐘網(wǎng)絡(luò)才能同時(shí)達(dá)到關(guān)閉模塊功能和降低功耗的目的。

采用時(shí)鐘門控技術(shù)可以達(dá)到關(guān)閉時(shí)鐘網(wǎng)絡(luò)的目的。以圖2（a）中所示電路為例，仿真生成的波形如圖2（b）所示?？梢钥吹街挥性贓N信號(hào)為1和時(shí)鐘信號(hào)CLK上跳同時(shí)發(fā)生，ENCLK才會(huì)從0變?yōu)?，激活時(shí)鐘網(wǎng)絡(luò)。在其他時(shí)刻，時(shí)鐘網(wǎng)絡(luò)是關(guān)閉的。插入的時(shí)鐘門控單元不僅能通過(guò)關(guān)閉時(shí)鐘網(wǎng)絡(luò)而明顯的降低功耗外，還有其他幾個(gè)重要的功能：

① D觸發(fā)器的時(shí)鐘輸入端口對(duì)毛刺敏感，門控單元能有效地濾除信號(hào)EN的毛刺，從而確保進(jìn)入D觸發(fā)器時(shí)鐘端口的ENCLK信號(hào)不會(huì)出現(xiàn)毛刺，避免因競(jìng)爭(zhēng)而導(dǎo)致觸發(fā)器發(fā)生錯(cuò)誤的狀態(tài)變化。

② 鎖存器的插入增加了ENL信號(hào)的延時(shí)。

③ 對(duì)于n位寄存器組，n條反饋連線和n個(gè)多路選擇器被一個(gè)門控單元所取代，不僅帶來(lái)面

積上的節(jié)省，降低后端布線的擁塞，同時(shí)又進(jìn)一步降低了功耗。

6 實(shí)現(xiàn)方案

該實(shí)現(xiàn)方案采用Synopsys公司的芯片設(shè)計(jì)流程和VeriSilicon公司0.18μm CMOS工藝。首先根據(jù)設(shè)計(jì)規(guī)范，使用Verilog硬件描述語(yǔ)言編寫可綜合的RTL代碼，并對(duì)RTL代碼進(jìn)行仿真。然后對(duì)RTL代碼進(jìn)行綜合。綜合后生成的門級(jí)網(wǎng)表和RTL代碼進(jìn)行等效性檢驗(yàn)并做靜態(tài)時(shí)序分析。接著進(jìn)行版圖設(shè)計(jì)，先是根據(jù)各邏輯單元間的時(shí)序采用時(shí)序驅(qū)動(dòng)布局策略來(lái)做物理布局和全局布線，之后在設(shè)計(jì)中插入時(shí)鐘樹。然后進(jìn)行詳細(xì)布線，并從詳細(xì)布線后的版圖中提取出真實(shí)的時(shí)延值并將其反標(biāo)給網(wǎng)表，再作等效性檢驗(yàn)、靜態(tài)時(shí)序分析和仿真驗(yàn)證保證滿足時(shí)序約束。最后對(duì)版圖做設(shè)計(jì)規(guī)則檢查。

7 結(jié)論

本文針對(duì)AES的ASIC實(shí)現(xiàn)，使用改進(jìn)算法和低功耗設(shè)計(jì)方法，實(shí)現(xiàn)了高速低功耗的AES ASIC設(shè)計(jì)，其基本思想是：采用T盒算法，只要通過(guò)4次表查詢和4次異或運(yùn)算，就能快速地得到一次輪操作中一列的運(yùn)算結(jié)果，同時(shí)在滿足時(shí)序約束的前提下，通過(guò)動(dòng)態(tài)功耗管理和時(shí)鐘門控等方法，根據(jù)芯片的工作狀態(tài)關(guān)閉模塊的功能操作并關(guān)閉時(shí)鐘網(wǎng)絡(luò)，達(dá)到了降低功耗的目的。從表1可以清晰地看出，采用T盒算法后，設(shè)計(jì)的數(shù)據(jù)吞吐率提高了13.8%，同時(shí)采用功耗優(yōu)化方案后，normal模式下功耗下降了10.7%，在idle模式時(shí)更低。該實(shí)現(xiàn)方案適用于ECB，CBC等運(yùn)行模式。