对称硬件加密引擎

概述

对称硬件加密引擎是 SoC 内置的硬件加速模块,用于执行 AES 加密和 HMAC 哈希运算。相比软件实现,硬件加密引擎具有以下优势:

  • 高性能:硬件并行运算,大幅提升加解密速度

  • 低功耗:专用电路减少 CPU 参与度,降低整体功耗

  • 高安全性:密钥存储在 OTP 区域,软件无法直接读取;支持 TrustZone 隔离

  • 减少 CPU 占用:DMA 模式下自主完成数据搬运和运算,释放 CPU 资源

该引擎的 AES 和 HMAC 算法已通过 NIST CAVP 认证,支持多种加密算法和操作模式,广泛应用于数据加密、安全启动、固件保护等安全场景。

工作原理

加密引擎采用硬件总线架构,通过 DMA 控制器或 APB 总线与系统交互:

  • DMA 模式:引擎内部 DMA 控制器直接访问内存,自主完成数据读取、运算和结果写回,适合大数据量加解密

  • Slave 模式:CPU 通过 APB 总线将数据写入引擎 FIFO,适合小数据量运算

引擎支持 TrustZone 技术,自动识别 CPU 的安全状态(Secure/Non-Secure),并通过硬件互斥锁机制防止安全域和非安全域同时访问引发冲突。每次释放锁时,引擎自动清除寄存器中的敏感信息,防止侧信道攻击。

AES 引擎

AES 引擎根据由 NIST 定义的高级加密标准(AES)对数据进行加密或解密,支持消息自动填充。可以使用软件寄存器密钥和硬件 OTP 密钥。

AES 算法支持

支持的密钥大小:AES-128,AES-192,AES-256

  • 支持的加解密模式:

    • ECB (Electronic Codebook)

    • CBC (Cipher Block Chaining)

    • OFB (Output Feedback)

    • CFB (Cipher Feedback)

    • CTR (Counter)

    • GCM (Galois/Counter)

AES 密钥

AES 引擎配备独立的密钥管理单元,支持软件密钥和 OTP 硬件密钥。

硬件加密引擎提供两种密钥加载方式:

  • 软件传递:密钥由应用程序动态传入,软件可访问

  • OTP 自动加载:密钥预烧录至 OTP 物理存储区,软件无法访问,仅加密引擎可访问,防止被篡改或读取

OTP 物理存储区支持存储 6 组密钥,需通过串口命令烧录。

引擎类型

安全性

密钥索引

OTP 密钥

AES

安全

0

S_IPSEC_Key1

AES

安全

1

S_IPSEC_Key2

AES

安全

2

RSIP_AES_Key1

AES

安全

3

RSIP_AES_Key2

AES

非安全

0

NS_IPSEC_Key1

AES

非安全

1

NS_IPSEC_Key2

AES

非安全

2

RSIP_AES_Key1

AES

非安全

3

RSIP_AES_Key2

OTP 密钥的详细功能如下所示:

OTP 密钥名称

地址

比特数

默认值

描述

S_IPSEC_Key1 (RDP)

逻辑地址 0x200

256

0xFF

启用 OTPKey_init 功能时,安全加密引擎将自动加载此密钥

用于 HMAC 或 AES 算法

S_IPSEC_Key2

(安全启动 HMAC)

逻辑地址 0x220

256

0xFF

RSIP_AES_Key1

逻辑地址 0x2c0

256

0xFF

启用 OTPKey_init 功能时,非安全 AES 引擎和安全 AES 引擎

将自动加载此密钥用于 AES 算法

RSIP_AES_Key2

逻辑地址 0x2e0

256

0xFF

S_IPSEC_Key1_Read_Protection

物理地址 0x365[3]

1

1

0:启用 S_IPSEC_Key1 读保护,禁止密钥被读出

1:禁用 S_IPSEC_Key1 读保护

S_IPSEC_Key1_Write_Protection

物理地址 0x365[4]

1

1

0:启用 S_IPSEC_Key1 写保护,禁止密钥被攻击者篡改为全 0

1:禁用 S_IPSEC_Key1 写保护

S_IPSEC_Key2_Read_Protection

物理地址 0x365[5]

1

1

0:启用 S_IPSEC_Key2 读保护,禁止密钥被读出

1:禁用 S_IPSEC_Key2 读保护

S_IPSEC_Key2_Write_Protection

物理地址 0x365[6]

1

1

0:启用 S_IPSEC_Key2 写保护,禁止密钥被攻击者篡改为全 0

1:禁用 S_IPSEC_Key2 写保护

RSIP_AES_Key1_Read_Protection

物理地址 0x366[7]

1

1

0:启用 RSIP_AES_Key1 读保护,禁止密钥被读出

1:禁用 RSIP_AES_Key1 读保护

RSIP_AES_Key1_Write_Protection

物理地址 0x367[0]

1

1

0:启用 RSIP_AES_Key1 写保护,禁止密钥被攻击者篡改为全 0

1:禁用 RSIP_AES_Key1 写保护

RSIP_AES_Key2_Read_Protection

物理地址 0x367[1]

1

1

0:启用 RSIP_AES_Key2 读保护,禁止密钥被读出

1:禁用 RSIP_AES_Key2 读保护

RSIP_AES_Key2_Write_Protection

物理地址 0x367[2]

1

1

0:启用 RSIP_AES_Key2 写保护,禁止密钥被攻击者篡改为全 0

1:禁用 RSIP_AES_Key2 写保护

AES 引擎安全

AES 架构通过硬件级隔离和智能仲裁,在保证安全性的同时实现高效加密处理:

  • 两套独立寄存器组:

    • 安全地址空间:0x5XXX_XXXX,映射到安全专用寄存器

    • 非安全地址空间:0x4XXX_XXXX,映射到非安全专用寄存器

  • 当安全域与非安全域同时请求加密引擎时的仲裁机制:

    • 基础策略:轮询调度+FIFO 状态优先(满者优先)

    • 原子性保障:必须完成整轮加密操作(LS=1)才切换引擎控制权

  • 中断机制:

    • 物理隔离设计:安全与非安全中断连接至不同的中断号

    • 错误隔离上报:总线错误同时触发双中断,但需独立清除

    • 特殊设定:中断安全属性仅支持硬件自动切换

AES 引擎使用模式

DMA 模式

../../_images/crypto_legacy_block_diag_aes.svg

DMA 模式下,AES 引擎使用 DMA 在内存和 FIFO 之间搬运数据,并在传输过程中完成加密或解密。

该模式适用于大数据量的加解密场景,具有较高的运算效率。但数据地址和长度必须按 32 字节(cache line 长度)对齐,否则可能导致 cache 数据不一致。驱动已自动处理源地址的 cache clean 和目的地址的 cache invalidate 操作,用户无需额外处理。

如果地址或长度未对齐,系统会在串口日志中打印警告信息。

AES API

Realtek 提供了 ROM API,用户无需关注具体的寄存器操作。为提升易用性,AES 硬件加速引擎已集成到 MbedTLS 中。

受软硬件限制,MbedTLS 的 CMAC 和 AES-GCM 算法未实现硬件加速,用户执行这两种运算时可直接调用 ROM API 以获得更好的性能。

MbedTLS API 仅支持软件密钥,使用 OTP 密钥时需调用 ROM API。

HMAC 引擎

HMAC 引擎是一款用于计算 HMAC、SHA2 的硬件加速器,支持消息自动填充。HMAC 算法支持软件寄存器密钥和硬件 OTP 密钥。

HMAC 算法支持

支持的密钥大小:AES-128,AES-192,AES-256

  • 支持的加解密模式:

    • ECB (Electronic Codebook)

    • CBC (Cipher Block Chaining)

    • OFB (Output Feedback)

    • CFB (Cipher Feedback)

    • CTR (Counter)

    • GCM (Galois/Counter)

HMAC 密钥

HMAC 引擎配备独立的密钥管理单元,支持软件密钥和 OTP 硬件密钥。

硬件加密引擎提供两种密钥加载方式:

  • 软件传递:密钥由应用程序动态传入,软件可访问

  • OTP 自动加载:密钥预烧录至 OTP 物理存储区,软件无法访问,仅加密引擎可访问,防止被篡改或读取

OTP 物理存储区支持存储多组密钥,需通过串口命令烧录。

引擎类型

安全性

密钥索引

OTP 密钥

SHA HMAC

安全

0

S_IPSEC_Key1

SHA HMAC

安全

1

S_IPSEC_Key2

SHA HMAC

非安全

0

NS_IPSEC_Key1

SHA HMAC

非安全

1

NS_IPSEC_Key2

OTP 密钥的详细功能如下所示:

OTP 密钥名称

地址

比特数

默认值

描述

S_IPSEC_Key1 (RDP)

逻辑地址 0x200

256

0xFF

启用 OTPKey_init 功能时,安全加密引擎将自动加载此密钥

用于 HMAC 或 AES 算法

S_IPSEC_Key2

(安全启动 HMAC)

逻辑地址 0x220

256

0xFF

NS_IPSEC_Key1

逻辑地址 0x240

256

0xFF

启用 OTPKey_init 功能时,非安全加密引擎将自动加载此密钥

用于 HMAC 算法

NS_IPSEC_Key2

逻辑地址 0x260

256

0xFF

S_IPSEC_Key1_Read_Protection

物理地址 0x365[3]

1

1

0:启用 S_IPSEC_Key1 读保护,禁止密钥被读出

1:禁用 S_IPSEC_Key1 读保护

S_IPSEC_Key1_Write_Protection

物理地址 0x365[4]

1

1

0:启用 S_IPSEC_Key1 写保护,禁止密钥被攻击者篡改为全 0

1:禁用 S_IPSEC_Key1 写保护

S_IPSEC_Key2_Read_Protection

物理地址 0x365[5]

1

1

0:启用 S_IPSEC_Key2 读保护,禁止密钥被读出

1:禁用 S_IPSEC_Key2 读保护

S_IPSEC_Key2_Write_Protection

物理地址 0x365[6]

1

1

0:启用 S_IPSEC_Key2 写保护,禁止密钥被攻击者篡改为全 0

1:禁用 S_IPSEC_Key2 写保护

NS_IPSEC_Key1_Read_Protection

物理地址 0x365[7]

1

1

0:启用 NS_IPSEC_Key1 读保护,禁止密钥被读出

1:禁用 NS_IPSEC_Key1 读保护

NS_IPSEC_Key1_Write_Protection

物理地址 0x366[0]

1

1

0:启用 NS_IPSEC_Key1 写保护,禁止密钥被攻击者篡改为全 0

1:禁用 NS_IPSEC_Key1 写保护

NS_IPSEC_Key2_Read_Protection

物理地址 0x366[1]

1

1

0:启用 NS_IPSEC_Key2 读保护,禁止密钥被读出

1:禁用 NS_IPSEC_Key2 读保护

NS_IPSEC_Key2_Write_Protection

物理地址 0x366[2]

1

1

0:启用 NS_IPSEC_Key2 写保护,禁止密钥被攻击者篡改为全 0

1:禁用 NS_IPSEC_Key2 写保护

HMAC 引擎安全

HASH 架构通过硬件级隔离和智能仲裁,在保证安全性的同时实现高效加密处理:

  • 两套独立寄存器组:

    • 安全地址空间:0x5XXX_XXXX,映射到安全专用寄存器

    • 非安全地址空间:0x4XXX_XXXX,映射到非安全专用寄存器

  • 当安全域与非安全域同时请求加密引擎时的仲裁机制:

    • 基础策略:轮询调度+FIFO 状态优先(满者优先)

    • 原子性保障:必须完成整轮加密操作(LS=1)才切换引擎控制权

  • 中断机制:

    • 物理隔离设计:安全与非安全中断连接至不同的中断号

    • 错误隔离上报:总线错误同时触发双中断,但需独立清除

    • 特殊设定:中断安全属性仅支持硬件自动切换

HMAC 引擎使用模式

DMA 模式

../../_images/crypto_legacy_block_diag_hmac.svg

DMA 模式下,HASH 引擎使用 DMA 在内存和 FIFO 之间搬运数据,并在传输过程中计算 HMAC。

该模式适用于大数据量的运算场景,具有较高的运算效率。但数据地址和长度必须按 32 字节(cache line 长度)对齐,否则可能导致 cache 数据不一致。驱动已自动处理源地址的 cache clean 和目的地址的 cache invalidate 操作,用户无需额外处理。

如果地址或长度未对齐,系统会在串口日志中打印警告信息。

HMAC API

与 AES 引擎类似,Realtek 提供了 HMAC 底层 API,用户无需关注具体的寄存器操作。为提升易用性,SHA2 硬件加速引擎已集成到 MbedTLS 的 SHA2-Hash 和 HMAC API 中。SHA1、MD5 等其他哈希算法未实现硬件加速。

MbedTLS API 仅支持软件密钥。使用 OTP 密钥或 DMA 拷贝模式时,需调用底层 API。

密钥字节序

Crypto Engine 的密钥字节序与 MbedTLS 的数据结构相同,均采用小端序(little-endian)。 以下以 256-bit 密钥为例,说明从可读的十六进制字符串转换为数组并烧录至 OTP 的正确字节顺序。

开发阶段:密钥数组写法

在开发阶段,应用程序以字节数组形式将密钥传递给硬件 API,数组需按小端序排列。示例数组为 32 字节:

/* 256-bit key, little-endian byte order */
uint8_t key1[32] = {
   0xff, 0xee, 0xdd, 0xcc, 0xbb, 0xaa, 0x99, 0x88, 0x77, 0x66, 0x55, 0x44, 0x33, 0x22, 0x11, 0x00,
   0xef, 0xcd, 0xab, 0x89, 0x67, 0x45, 0x23, 0x01, 0xef, 0xcd, 0xab, 0x89, 0x67, 0x45, 0x23, 0x01
};

生产阶段:OTP 密钥烧录

生产阶段需将密钥烧录至 OTP 物理存储区。以下以 NS_SHA_key2 为例,使用 AT+OTP=RRAW 串口烧录命令 写入 OTP 0x260 物理地址(长度 0x20,32 字节):

AT+OTP=WRAW,0x260,0x20,ffeeddccbbaa99887766554433221100efcdab8967452301efcdab8967452301

量产阶段在密钥写入后,必须按照上述 OTP 表格的说明启用密钥读取保护和写入保护,防止 OTP 密钥被篡改或泄露。

备注

  • 上述示例以 32 字节 NS_SHA_key2 密钥为例,实际地址与长度需根据实际需要调整。

  • 注意 OTP 烧录并重启系统后,OTP 密钥才能加载到引擎中。

  • 此字节序规则适用于所有 IC 型号。

OTP 密钥内容对应

上述指令写入后,OTP 物理地址区段中的实际内容:

OTP 内容(0x260 ~ 0x27F)

Address

b0

b1

b2

b3

b4

b5

b6

b7

b8

b9

b10

b11

b12

b13

b14

b15

0x260

ff

ee

dd

cc

bb

aa

99

88

77

66

55

44

33

22

11

00

0x270

ef

cd

ab

89

67

45

23

01

ef

cd

ab

89

67

45

23

01