现代计算架构必须解决关于芯片外数据保密性的担忧。驱使这些担忧不断增长的主要因素是涉及物理访问内存的攻击,使用零信任的计算架构进行保密计算、监管框架和安全加密资源虚拟化(例如多租户支持等)相关的数据隐私问题。
内联内存加密 (IME) 对于保护芯片外内存(通常是 DDR 内存)中存储的数据至关重要。这也称为保护“使用中的数据”。低延迟加密和解密由一个 IME 引擎处理,该引擎在通过芯片上内存控制器连接到芯片外内存的数据路径中有必需的密码原型。
Rambus ICE-IP-339 内联密码引擎可以无缝集成到客户的芯片上系统 (SOC),以解决 DDR 内存中使用中的数据的安全和隐私担忧。
ICE-IP-339 围绕行业证明的 Rambus ICE-IP-338(内联密码引擎)提供了符合 AXI-4 标准的封装器。这允许 ICE-IP-339 充当读和写 AXI 数据通道上的透明数据处理管道。它在本质上是一个部署 AES/SM4-XTS 密码原型的加密/解密引擎。地址信息从读和写地址通道探听,用作 AES-XTS Tweak 生成的输入。加密处理是基于数据方向将预计算 Tweak 和相应密钥用于必需运行在传入数据上完成的。
ICE-IP-339 支持符合 FIPS-197、IEEE-P1619/D16 和 NIST-SP800-38E 标准,使用 128 和 256 位密钥支持 AES-XTS(以及可选的 SM4-XTS)。ICE-IP-339 交付时配备完全验证的参数化 RTL、定向测试台和 UVM 验证环境。
启动时,ICE-IP-339 引擎从 SoC 接收临时密钥,并自动将其转换为合适的密钥以用于加密和解密。
ICE-IP-339 引擎从 AXI4 地址通道探听信息,并以透明方式将其转换为加密引擎的 Tweak 计算输入。具体做法是在读和写地址通道上仲裁。
输入数据时,加密引擎会采用合适的加密运行。具体做法是在读和写 128 位数据通道上仲裁。来自 DDR 控制器的 SoC 读数据意味着解密,来自 AXI 主控的写数据意味着加密。ICE-IP-339 采用 64 字节(= 缓存行宽)和 16 字节数据访问粒度的 XTS 扇区大小。
ICE-IP-339 引擎充当 SoC AXI 总线结构与作为 AXI 从属运行的 DDR 内存控制器之间的 AXI 到 AXI 楔子。它支持标准 AMBA 接口(用于数据路径的 AXI4 和用于密钥管理的 AMBA (APB) 接口),因而支持与标准 SoC 组件无缝集成。IP 的内部构造(例如命令和数据缓冲)可以按 SoC 的需要配置。此外,调试支持信号可促进内部数据流的透明性,因而简化总体系统的总体集成和验证。
性能
加密处理
PPA1
1参考技术:TSMC 16nm,LVT
接口
合规性
包
完整文档
工具和脚本
集成支持