网络业务的普及，给人们生活带来了方便，但同时也给人们生活带来了更多的安全隐患。今天，网络信息交互中产生的信息安全问题已经成为要进一步推进信息化，加速网络应用中急需解决的关键问题之一。信息盗取与伪造、黑客攻击、非法内容传播等等的网络信息安全问题侵扰损害着网络用户的安全与利益。只有基于更加安全可信的网络，人们才可能更安全地、放心地在高速网络上畅通行驶，否则，必将导致互联网络及其增值业务发展的瓶颈。
网络的迅速发展，对信息安全技术要求也越来越高。当前，信息安全防护已经从传统的单点信息加密发展到了构建以芯片级硬件防护为基础，覆盖全网络系统的信息保障体系。基于芯片级的硬件解决方案已经成为保证信息安全的最可靠的途径。
解决应用多样性和开发通用性的IP
在快速发展的网络社会中，信息安全系统将无处不在，在PC的芯片组、CPU外设、网卡乃至路由器、交换机、以及个人设备中的手机、PDA、智能IC卡中，都将实现内置安全控制模块。所以，未来信息安全芯片技术的开发必须很好地解决应用多样性和开发通用性的问题，因为未来的信息安全模块产品将呈现出一种智能化、模块化、可裁减、可重配置的特征。通过整合各种面向信息安全的专用算法IP、网络处理IP、软硬件接口IP、操作系统IP等，并针对具体应用进行裁减和重配置，在较短的开发周期内构建出高性能、高可靠性、低成本的满足信息安全设计要求的SoC芯片。

图1：可重配置的嵌入式安全协处理器IP核架构。
作为信息安全内置模块的关键IP核，嵌入式安全协处理器为了适用SoC芯片的上述发展特性，也必须具备相应的特征。因此，开发具有可重配置的嵌入式安全协处理器IP核已经成为业内设计人员追求的重要目标之一，因为它可以提高设计的重用性，降低开发时间和成本。 所谓可重配置特性，主要体现在以下几个方面：
1. 密钥长度的可配置性：在不同的应用场合下，人们对对于安全系统的安全性期望值的高低不同。而决定SoC芯片系统安全性设计指标的主要因素是嵌入式安全协处理器IP核的密钥长度以及相应的其它参数。通过选择合适的数域算法和运算单元VLSI结构，使得密钥长度和数域参数的相应变化不会影响到整个嵌入式安全协处理器系统的架构，从而可以体现密钥长度的可配置性。

图2：可重配置的协处理器IP核的数据通路。
2. 调度方案的可配置性：目前，人们一般采用有限状态机的方式来实现对安全协处理器IP中密码算法的调度控制。这种解决方案使得控制逻辑复杂、不便于VLSI设计及验证，且可配置和可扩展性差。一种新的解决方案就是采用协处理器扩展指令和微代码指令相结合的形式，使得译码控制相对简单，且对于不同的上层调度算法，可以通过进行指令来重编程实现，而无需重新设计协处理器架构，从而增加了灵活性。
3. 嵌入式安全协处理器性能的可配置性：对于不同的应用，如服务器端和用户端，各种SoC芯片系统对嵌入式安全协处理器IP的面积-速度、性能-成本会提出不同的要求。因此，应用可伸缩的数据通路设计技术，对协处理器IP的核心运算单元进行一种可伸缩分组并行的VLSI结构设计，通过调节分组并行系数来改变模乘器的处理能力，从而达到性能的可重配置。此外，也可以采用运算单元与相应的微代码指令对协处理器的数据通路进行重新配置，从而达到上述目的。
可重配置的嵌入式安全协处理器IP核架构

图3：嵌入式安全协处理器IP核的系统集成。
针对实现不同功能，上海微科集成电路有限公司已经成功开发了可重配置的嵌入式安全协处理IP核系列产品。以其中一款RSA/ECC二合一IP产品为例，该IP核具备上述的密钥长度、密码算法调度和IP核性能可重配置的特征。
该可重配置的嵌入式安全协处理器IP核的VLSI架构如图1所示，共分为三部分：总线流水线状态跟随器、两级译码控制电路和数据通路模块。
其中，指令总线跟随器主要是对主处理器的状态进行跟踪，根据主处理器指令决定是否进行协处理器操作，并负责向主处理器发送和接收相应的握手信号；两级译码控制电路主要负责将协处理器扩展指令转换成相应的微代码指令，再将微代码指令译成相应的控制信号，从而控制数据通路工作；数据通路模块则主要完成有限域基本运算层的运算实现，包括RSA的模乘和ECC的点乘运算。
两级译码指令集包括主处理器扩展指令和微代码指令。其中，主处理器扩展指令包括协处理器数据处理指令和协处理器数据传送指令，共计12条指令；微代码指令集包括基本数域的数据运算指令和基本数域的数据传送指令，共计10条指令。
可重配置协处理器IP核的数据通路VLSI结构如图2所示。整个数据通路主要包括：两组可以独立工作也可以统一工作的256位双域加法器DFA，一个适用于GF(2m)域的