一种安全加密协处理器及无线传感器网络节点芯片

本发明公开了一种安全加密协处理器及无线传感器网络节点芯片。所述安全加密协处理器，包括：密钥提取模块，用于抽取所需的程序片段作为密钥元素，并与本地传感器网络节点的密钥元素联合组成会话密钥，将会话密钥通过数据线发送到密钥扩展模块；控制模块，用于控制所述数据加密模块和数据解密模块的工作模式、加密参数及工作状态；密钥扩展模块，用于将输入的会话密钥扩展为不易破译的密钥矩阵通过数据线送到数据加密模块及数据解密模块；数据加密模块，用于利用所述密钥矩阵为需要加密的明文数据加密；数据解密模块，用于利用所述密钥矩阵对密文数据进行数据解密。

1.一种安全加密协处理器，其特征在于，包括：密钥提取模块、控制模块、密钥扩展模块、数据加密模块、数据解密模块，其中：密钥提取模块，用于抽取所需的程序片段作为密钥元素，并与本地传感器网络节点的密钥元素联合组成会话密钥，将会话密钥通过数据线发送到密钥扩展模块；控制模块，用于控制所述数据加密模块和数据解密模块的工作模式、加密参数及工作状态；密钥扩展模块，用于将输入的会话密钥扩展为不易破译的密钥矩阵通过数据线送到数据加密模块及数据解密模块；数据加密模块，用于利用所述密钥矩阵为需要加密的明文数据加密；数据解密模块，用于利用所述密钥矩阵对密文数据进行数据解密。
2.根据权利要求1所述的安全加密协处理器，其特征在于，所述密钥提取模块包括：随机数生成模块、仲裁器、哈希变换模块以及密钥存储器，其中：所述随机数生成模块，用于产生随机选择密钥元素的标识符，并且与要通信的网络节点交换彼此选择密钥元素的标识符；所述仲裁器，根据所述密钥元素标识符指向的起始地址，读取相应的密钥元素；所述哈希变换模块，对选出的两个密钥元素进行哈希运算以得到会话密钥；所述密钥存储器，用于存储所述会话密钥。
3.根据权利要求2所述的安全加密协处理器，其特征在于，所述仲裁器，包括：初始化模块，用于对密钥元素长度、加密模式、中断处理、功能模块配置分别进行初始化；密钥元素判断子模块，用于判断提取的是本地密钥元素还是通信节点的密钥元素，如果是本地密钥元素，则触发随机数判断子模块，否则读入通信节点的标识符Addr0，触发执行模块；随机数判断子模块，用于判断随机数生成模块是否已生成随机数作为本地的密钥标识符Addr0，如果是则触发执行模块，否则触发密钥元素判断子模块。执行模块，用于将密钥提取地址初始化为Addr0，停止本地处理器时钟，设置key_en为高；等待周期，保证系统建立保持时间，以读到正确的相应输入地址的密钥元素；长度判断子模块，用于判断是否已经读取满足密钥元素长度的N字节密钥元素，如果已满足，则读取足够长度的密钥元素后，本地处理器时钟开始工作，设置key_en为低，密钥元素计数器和密钥提取地址清零；否则，从程序存储器中读取相应地址下的程序片段作为本地密钥元素，并将此密钥元素输入哈希变换模块供其建立会话密钥，密钥元素计数器i加一，密钥提取地址加一，等待周期，保证系统建立保持时间，以读到正确的相应输入地址的密钥元素；选通模块，用于根据key_en控制线对程序读取总线进行选通控制，如果key_en为高，程序存储器的输入地址线Rom_addr接密钥提取模块的key_addr，程序存储器的输出数据线Rom_dout接密钥提取模块的key_din；如果key_en为低，则程序存储器的输入地址线Rom_addr接本地处理器的cpu_addr，程序存储器的输出数据线Rom_dout接本地处理器的cpu_din。
4.根据权利要求2所述的安全加密协处理器，其特征在于，所述随机数生成模块采用线性反馈移位寄存器的独立IP。
5.根据权利要求2所述的安全加密协处理器，其特征在于，所述哈希变换模块，采用了基于RC5算法的独立IP。
6.根据权利要求2所述的安全加密协处理器，其特征在于，所述密钥存储器采用独立IP的RAM单元。
7.根据权利要求1所述的安全加密协处理器，其特征在于，所述控制模块，包括：输出控制多路复用器，设置译码器、信号译码器、仲裁控制多路复用器、命令寄存器、模式寄存器、密钥标识符寄存器，及连接线和逻辑与门，其中：所述输出控制多路复用器，完成对读取密文数据、控制状态、查询密钥的输出控制；所述设置译码器，完成对数据加密模块和数据解密模块的工作模式、命令的设置及对密钥提取模块的密钥参数的设置；信号译码器，完成对密钥提取模块、密钥扩展模块、数据加密模块和数据解密模块的写信号控制；仲裁控制多路复用器，完成对密钥存储器读地址线的仲裁控制；其中，当工作模式为输入密钥模式时，密钥存储器读地址线由地址总线addr控制，由本地处理器或密钥提取模块直接操作地址总线，写入密钥到密钥存储器的相应地址；当工作模式为加密或解密模式时，密钥存储器读地址线由密钥扩展模块控制，密钥扩展模块读取存放在密钥存储器的相应地址下的密钥进行密钥扩展。
8.根据权利要求1所述的安全加密协处理器，其特征在于，所述数据加密模块，包括：可复用运算单元和控制单元，其中：所述可复用运算单元中，包含一个加法器、一个32位异或门及一个32位移位寄存器。完成对输入32位数据的异或运算，后对其循环右移运算，然后与输入的扩展密钥进行相加，每轮加密都调用相同的逻辑单元；所述控制单元中，包含预处理器、模拟开关、计数器、选择器，其中预处理器完成对输入64位数据的预处理操作，并分成两个32位的子数据流；模拟开关根据输入状态的不同，选择可复用运算单元输出的计算结果做反馈，或输入的新数据，为可复用运算单元提供输入数据；计数器由输入指令控制其工作状态、模式及加密轮数，受输入时钟驱动计数，改变状态机的不同工作状态，输出控制信号来控制模拟开关和选择器；选择器根据输入状态的不同，选择由密钥扩展模块提供的扩展密钥，输出到可复用运算单元做加密运算。
9.根据权利要求1所述的安全加密协处理器，其特征在于，所述数据解密模块，包括可复用运算单元和控制单元，其中：所述可复用运算单元中，包含一个减法器、一个32位异或门及一个32位移位寄存器，完成对输入32位数据与输入的扩展密钥S进行相减，后对其循环左移运算，然后与前一运算结果异或运算，每轮加密都调用相同的逻辑单元；所述控制单元，包含预处理器、模拟开关、计数器、选择器，其中预处理器完成对输入64位数据的预处理操作，并分成两个32位的子数据流；模拟开关根据输入状态的不同，选择可复用运算单元输出的计算结果做反馈，或输入的新数据，为可复用运算单元提供输入数据；计数器由输入指令控制其工作状态、模式及解密轮数，受输入时钟驱动计数，改变状态机的不同工作状态，输出控制信号来控制模拟开关和选择器；选择器根据输入状态的不同，选择由密钥扩展模块提供的扩展密钥，输出到可复用运算单元做解密运算。
10.根据权利要求1所述的安全加密协处理器，其特征在于，所述安全加密协处理器，还包括：DMA控制器，用于接收本地处理器发送的需要加密的明文，并通过数据线向所述数据加密模块发送需要加密的明文数据，并将经过加密运算后的密文数据发送给本地处理器或是直接发射出去；以及将接收到的密文数据发送给本地处理器或者直接通过数据线发送给数据解密模块进行数据解密，并将经过解密运算后的明文数据发送给本地处理器，同时产生中断给所述本地处理器，供其读取接收的数据；DMA控制器的控制线与数据线通过总线与本地处理器相连，与本地处理器进行数据交互，受本地处理器控制并返回中断响应。
11.根据权利要求10所述的安全加密协处理器，其特征在于，所述DMA模块独立的IP单元。
12.一种安全加密协处理器的加解密方法，其特征在于，所述方法，包括下列步骤：步骤100.当无线传感器网络中任意两个网络节点需要进行通信时，它们会利用各自安全指纹中的密钥元素建立链路会话密钥；具体包括下列步骤：步骤110.密钥提取模块抽取所需的程序片段作为密钥元素，并与本地传感器网络节点的密钥元素联合组成会话密钥，将会话密钥通过数据线发送到密钥扩展模块；步骤120.密钥扩展模块将输入的会话密钥扩展为不易破译的密钥矩阵通过数据线送到数据加密模块及数据解密模块；步骤200.所述两个网络节点利用所述密钥矩阵对需要传输的数据进行加密或解密，实现安全传输。
13.根据权利要求12所述的安全加密协处理器的加解密方法，其特征在于，所述步骤110，包括下列步骤：步骤111.每个网络节点用随机数生成模块产生随机选择密钥元素的标识符，并且与要通信的节点交换彼此选择密钥元素的标识符；步骤112.两个网络节点通过各自的仲裁器获得对程序存储器的读取控制权，根据本地节点和交换得到的要通信的节点的密钥元素标识符指向的程序存储器的起始地址，分别读取相应程序片段作为密钥元素；步骤113.采用一个安全的有序单向哈希变换模块对选出的两个相同密钥元素进行运算以得到链路会话密钥，存储于密钥存储器。
14.根据权利要求13所述的安全加密协处理器的加解密方法，其特征在于，所述步骤112，包括下列步骤：步骤1121、对密钥元素长度、加密模式选择、中断处理、其他功能模块分别进行初始化，然后等待加密请求事件的触发；步骤1122、收到提取密钥请求：步骤1122a，判断提取的是本地密钥元素还是通信的网络节点的密钥元素，如果是本地密钥元素，则进行步骤1122b，否则进行步骤1122c。步骤1122b，判断随机数生成模块511是否已生成随机数作为本地的密钥标识符Addr0，如果是则进行步骤1122d，否则在步骤1122b继续等待。步骤1122c，如果要提取的为通信节点的密钥元素，则读入通信节点的标识符Addr0，进入步骤1122d。步骤1122d，将密钥提取地址初始化为Addr0，停止本地处理器1时钟，设置key_en为高，密钥提取模块51得到程序读取总线的控制权，本地处理器1失去程序读取总线的控制权，进行步骤1122e。步骤1122e，等待周期，保证系统建立保持时间，以读到正确的相应输入地址的密钥元素，进行步骤1122g。步骤1122f，从程序存储器中读取相应地址下的程序片段作为本地密钥元素，并将此密钥元素输入哈希变换模块513供其建立会话密钥，密钥元素计数器i加一，密钥提取地址加一，进入步骤1122f。步骤1122g，判断是否已经读取满足密钥元素长度的N字节密钥元素，如果已满足则进入步骤1122h，否则进入步骤1122f。步骤1122h，读取足够长度的密钥元素后，本地处理器1时钟开始工作，设置key_en为低，密钥元素计数器和密钥提取地址清零，密钥提取模块51失去程序读取总线的控制权，本地处理器1得到程序读取总线的控制权。开始等待新的密钥提取请求事件的触发。
15.根据权利要求12所述的安全加密协处理器的加解密方法，其特征在于，所述步骤200，包括下列步骤：步骤210.无线通信模块接收加密密文发送给本地处理器，再由本地处理器将接收的密文发送给解密模块进行解密，经过解密运算后的明文发送给处理器，供其读取接收的数据；步骤220.数据加密模块通过数据线从本地处理器中得到需要加密的明文数据，经过加密运算后通过数据线再发送给本地处理器，由其控制发送给无线通信模块发送出去。
16.根据权利要求12所述的安全加密协处理器的加解密方法，其特征在于，所述步骤200，包括下列步骤：步骤210’.无线通信模块接收加密密文发送给DMA控制器，DMA控制器转发给本地处理器或者数据解密模块进行数据解密，并将经过解密运算后的明文数据发送给DMA控制器，同时产生中断给所述本地处理器，供其读取接收的数据；步骤220’.数据加密模块通过数据线从DMA控制器中得到需要加密的明文数据，经过加密运算后通过数据线再发送给DMA控制器，由其控制发送给本地处理器或者无线通信模块发送出去。
17.一种包括权利要求1所述的安全加密协处理器的无线传感器网络节点芯片，其特征在于，所述芯片，还包括：本地处理器，是根据程序存储器中的程序代码完成相应操作的逻辑器件；程序存储器，用于存储本地处理器所要运行的程序；数据存储器，用于存储本地处理器所要使用的数据；无线通信模块，用于实现节点的无线通信功能；其他模块，用于实现包括供电控制、传感器控制、输入输出的功能；其中，所述本地处理器与数据存储器、安全加密协处理器及无线通信模块之间通过总线连接，而本地处理器通过程序读取线连接到程序存储器上；程序存储器与安全加密协处理器之间通过程序读取线连接，而安全加密协处理器与无线通信模块之间也通过数据线建立有数据收发通路，所述本地处理器通过总线控制安全加密协处理器的状态。