概述

非对称加密引擎(Asymmetric Crypto Engine,简称 PKE)是 SoC 芯片内专门用于处理公钥密码学运算的硬件加速单元。相比软件实现,硬件加速引擎能够显著提升非对称加密算法的执行效率,同时通过物理隔离机制保护密钥安全,在物联网安全系统中具有重要作用。

应用背景

在物联网设备的安全场景中,非对称加密算法被广泛应用于数字签名、密钥交换和身份认证等关键安全流程。然而,这类算法涉及大量复杂数学运算(如大数模幂运算、椭圆曲线点乘运算等),若完全由软件实现,会消耗大量 CPU 资源且执行效率较低。非对称加密引擎通过专用硬件电路实现这些核心运算,可在保证安全性的前提下大幅提升运算速度。

工作原理

非对称加密引擎通过 APB 总线与 CPU 连接,内部包含专门的运算单元和存储单元。当应用层需要执行非对称加密运算时,CPU 将运算参数写入引擎的寄存器和存储区,配置控制寄存器启动运算,引擎硬件自动完成核心密码学运算并返回结果。整个过程对上层应用透明,用户通过 API 即可完成操作。

安全特性

非对称加密引擎在架构设计上充分考虑了安全防护需求:

  • 物理隔离:引擎内部存储单元与系统总线隔离,防止密钥被总线嗅探攻击窃取

  • OTP 密钥支持:支持将私钥预烧录到 OTP(One Time Programmable)区域,OTP 密钥与引擎直连,无法被外部读取或篡改

  • 侧信道攻击防护:部分芯片型号支持 DPA(差分功耗分析)、SPA(简单功耗分析)和 Timing Attack(时序攻击)防护

  • TrustZone 支持:部分芯片型号支持 ARM TrustZone 技术,可自动识别 CPU 的安全/非安全访问状态

方案优点

相比纯软件实现,非对称加密引擎具有以下优势:

  • 高性能:硬件加速可大幅缩短运算时间,减少 CPU 占用

  • 低功耗:专用硬件电路比通用 CPU 运行软件算法功耗更低

  • 高安全性:物理隔离机制和 OTP 密钥存储有效防止密钥泄露

  • 易用性:提供封装良好的 API 接口,用户无需关注底层硬件细节