了解DSSHA1可合成SHA-1协处理器

质询和响应身份验证要求 MAC 发起方和 MAC 接收方根据隐藏的机密和公共数据计算消息认证代码。发起方通常是 SHA-1 身份验证器或具有 SHA-1 引擎的受保护内存。MAC 接收方是应用程序的主机处理器。本应用笔记介绍了DSSHA1可合成SHA-1协处理器，该协处理器可在专用集成电路（ASIC）或现场可编程门阵列（FPGA）中实现，作为DS2460 SHA-1协处理器或基于微处理器的替代方案。

介绍

质询和响应身份验证基于消息身份验证代码 （MAC） 的计算。该方法涉及两个实体，即 MAC 发起方和 MAC 接收方，它们共享一个隐藏的机密。为了证明 MAC 发起方的真实性，MAC 接收方会生成一个随机数，并将其作为质询发送给发起方。然后，MAC 发起方必须根据机密、消息和质询计算新的 MAC，并将其发送回接收方。如果发起方证明能够为任何质询生成有效的MAC，则非常确定它知道该机密，因此可以被认为是真实的。计算消息身份验证代码的彻底审查和国际认证的算法是SHA-1，它由美国国家标准与技术研究院（NIST）开发。

ADI公司生产一系列采用SHA-1算法的认证器件。教程3675“通过安全认证保护研发投资”以安全存储器和DS2460 SHA-1协处理器的形式解释了ADI公司的认证解决方案。DSSHA1存储器映射SHA-1协处理器允许DS2460的计算能力在专用集成电路（ASIC）或现场可编程门阵列（FPGA）中实现，无需开发软件即可执行复杂的SHA-1计算。DSSHA1或DS2460计算的MAC仅适用于ADI公司的SHA-1器件。

描述

DSSHA1 是一款可合成的内存映射 SHA-1 协处理器，包括一个存储 64 字节消息的 64 字节通用 RAM。输入消息用于计算 SHA-1 MAC。DSSHA1 输入和输出端口信号设计用于内部连接到 32 位总线。通过积极的比较结果，在主机系统和从属附件之间实现了身份验证安全性。

图 1 显示了 DSSHA1 框图。表 1 描述了将 DSSHA1 连接到主机系统的信号。使用数据总线输入、地址和控制信号，将 64 字节 SHA-1 消息插入 RAM。将输入信号RUN_SHA触发至逻辑高电平将启动SHA-1计算。输出 BUSY 信号指示正在发生的计算。完成 BUSY 信号后，结果寄存器包含 20 字节消息摘要以供读取。

图1.方框图。

详细寄存器说明

DSSHA1 存储器由 32 个 2 位字组成，从输入缓冲器开始，以寄存器结束，用于读取 MAC 结果（表 <>）。

输入缓冲器（00h 至 0Fh）

SHA-1 引擎通过 64 字节输入缓冲区接收要处理的数据。此缓冲区保存 SHA-512 引擎处理以生成 MAC 的 1 位消息。机密和其他消息数据包含在输入缓冲区中。密钥的安全性是留给设计人员的任务。数据的格式由每个ADI公司的SHA-1从器件定义。

MAC 结果（10 小时至 14 小时）

SHA-20 计算的 1 字节 MAC 驻留在 MAC 结果地址空间中。

设备操作

DSSHA1在应用中的典型用途包括写入、读取和运行SHA-1引擎，并使用MAC结果将该模块与1-Wire SHA-1器件的MAC进行外部比较。所有这些活动都通过具有独立数据输入和输出线的 32 位接口进行控制，以便轻松连接到 ASIC 或 FPGA 内部总线。下面的 SHA-1 引擎控制部分介绍了数据输入和输出格式以及如何指示 SHA-1 引擎执行 MAC 计算。

SHA-1 发动机控制

DSSHA1执行SHA-1发动机的工作。输入缓冲区接受消息。MAC 输出缓冲区接收生成的 SHA-1 计算。图 2 说明了流入和流出 SHA-1 引擎的数据流。

应用电源复位启动使用 SHA-1 引擎的第一步。接下来，以表 3 的格式将消息加载到输入缓冲区中。消息加载完成后，用户向RUN_SHA输入信号发送脉冲。在 SHA-1 计算期间，BUSY 信号变为并保持逻辑高电平。当SHA-1计算完成时，忙信号再次变为逻辑低电平。所有五个MRR寄存器（见表4）都包含用于读取的MAC结果。

图2.数据流图。

表 4 显示了保存 MAC 的五个 32 位变量 A 到 E 如何映射到各自的位置。

MAC 比较

主站需要针对 DSSHA1 MAC 测试从属 MAC。如果从属 MAC 和 DSSHA1 MAC 的值相等，则验证真实性。如果从属 MAC 和 DSSHA1 MAC 不同，则会验证欺诈行为。

功能验证

要测试 DSSHA1，测试消息“abc”可以验证功能。此具有适当填充的测试消息可以转换为以下输入块：

使用表 3 的格式，此测试消息的输入块将是表 5 中的值。

此块的计算输出为：

A[31：0] = 42541B35
B[31：0] = 5738D5E1
C[31：0] = 21834873
D[31：0] = 681E6DF6
E[31：0] = D8FDF6AD

ADI公司器件首先将这些字作为最高有效字，将独立字节作为最低有效字节（LSB）。因此，MAC 的字节级传输序列将是：

时序规格

图 3 和图 4 显示了写入和读取 DSSHA1 的时序图。表6显示了使用ARM TSMC CL50G（50.018μm通用工艺）0.18V SAGE-X标准电池库（版本1q8v2004）在+3°C下从1%电源到25%电源测量的延迟值。 输出信号未加载。输入信号以 0.200ns 的标准压摆驱动，电源的 10% 至 90%。

图3.写入周期。

图4.读取周期。

应用信息

FPGA 或 ASIC 集成了设计的 DSSHA1。使用多个模块，可实现的身份验证方法使设计安全。在图5中，带有微处理器的设计模块可以将SHA-1计算卸载到DSSHA1。在图5中，设计人员首先制作一个随机生成的质询，并将DSSHA1的结果与DS28E01-100的响应进行比较。如果结果和响应匹配，则设计已经过身份验证，可以启用产品的功能。通常需要在软件和硬件的身份验证过程中进行更改。这使得成功攻击的可能性降低。更多信息请参考应用笔记1098：“白皮书3：为什么1-Wire SHA-1器件安全？

图5.典型的 FPGA 或 ASIC 应用。

物理估计

门数 6，423（NAND 2x1 用于计算）。

面积为85，470μm²，无布线。

面积为102，256μm²，布线估计值。

用于估算的库：

ARM 台积电 CL018G （0.18μm 通用工艺） 1.8V SAGE-X 标准电池库，版本 2004Q3V1。ARM 部件号为 A0082。

验证

业界通常使用以下约定来表示 IP 块的验证级别：

黄金IP一直是针对硅的。

银牌IP一直是FPGA中的硅目标。

铜牌 IP 已在具有逻辑时序收敛功能的硅模型中得到验证。

开发中的 IP 尚未得到验证。

注意：DSSHA1已获得银牌地位。

交付

DSSHA1 软件包随附：

Verilog HDL

威瑞格测试台

有关安装程序和脚本的自述文件

总结

DSSHA1可合成SHA-1协处理器是DS2460或基于微处理器的替代方案。它可以嵌入到FPGA或ASIC中，在那里它显示为存储器映射器件。对于操作，首先在 16 字输入缓冲区中填充用于 MAC 计算的数据。激活RUN_SHA信号将启动计算过程，从而将 BUSY 信号从低电平更改为高电平。在 BUSY 信号恢复为低电平后，MAC 准备就绪，可以从 5 字结果寄存器读取。主机处理器将 DSSHA1 计算的 MAC 与安全内存提供的 MAC 进行比较。如果两个 MAC 值相同，则确认真实性。

审核编辑：郭婷