Nghiên cứu khoa học công nghệ

THIẾT KẾ LÕI PHẦN CỨNG MÃ HÓA XÁC THỰC AES-GCM
HIỆU NĂNG CAO TRÊN CÔNG NGHỆ CMOS 90nm
Nguyễn Anh Thái*, Nguyễn Văn Tình, Hoàng Văn Phúc, Phạm Tuấn Giáo
Tóm tắt: Bài báo trình bày về thiết kế phần cứng lõi mã hóa xác thực AESGCM trên ASIC có hiệu năng cao về sử dụng thông lượng. Lõi AES-GCM đề xuất
dùng kiến trúc AES đường ống hoàn toàn và thuật toán GCM nhiều nhánh song
song để tăng thông lượng. Đồng thời, để giảm thiểu tài nguyên phần cứng sử
dụng và mức công suất tiêu thụ, thiết kế đã sử dụng thuật toán nhân KaratsubaOfman trong trường Galois và kỹ thuật bật tắt tín hiệu đồng hồ. Kết quả hiện thực
hóa với thư viện chuẩn công nghệ CMOS 90nm cho thấy lõi mã hóa xác thực đề
xuất đạt hiệu năng cao hơn, tính theo tỉ lệ giữa thông lượng và mức sử dụng tài
nguyên phần cứng, nhưng vẫn đảm bảo được mức tiêu thụ công suất tương đương
so với các công trình khác.
Từ khóa: AES, GCM, ASIC, CMOS, lõi IP.

1. ĐẶT VẤN ĐỀ
Với xu thế phát triển theo hướng cuộc cách mạng công nghiệp 4.0 như hiện
nay, nhu cầu trao đổi thông tin ngày càng gia tăng trong tất cả các lĩnh vực khoa
học và đời sống. Theo khảo sát, nghiên cứu và ước tính đến năm 2020 sẽ có hơn 50
tỷ thiết bị kết nối Internet [1, 2]. Song song với đó, để đảm bảo an toàn cho các kết
nối thì vấn đề bảo mật trên phần cứng ngày càng trở nên cấp thiết hơn, với các tiêu
chí tối ưu khác nhau về kích thước, tốc độ hay mức tiêu thụ công suất tùy theo các
ứng dụng khác nhau.
Do có độ an toàn cao về bảo mật và khả năng thực thi nhanh trên phần cứng mà
chuẩn mã hóa AES (Advanced Encryption Standard) [3] đã được lựa chọn cho rất
nhiều ứng dụng quan trọng. Để đảm bảo cho việc bảo mật và an toàn kết nối, hệ
thống cần đáp ứng cả tính bảo mật dữ liệu và tính xác thực. Theo khuyến nghị
NIST 800-38D [4], mã hóa xác thực AES-GCM (Galois/Counter Mode), thực chất
là một chế độ hoạt động của mã hóa AES, cung cấp đồng thời cả tính bảo mật và
tính xác thực.
Nhiều kiến trúc GCM khác nhau đã được nghiên cứu và trình bày trong các

công trình trước đây của nhiều tác giả. Trong [5, 6], các tác giả đã thực thi hàm
GCM theo phương pháp tuần tự. Phương pháp này dù đạt được hiệu quả về mặt
lượng tài nguyên phần cứng nhưng tốc độ và thông lượng lại rất thấp. Cũng vì lí do
thông lượng thấp của phương pháp tuần tự mà các tác giả trong [7, 8] đã thực thi
GCM với các khối nhân song song (GF128). Trong công trình [9], các tác giả đã
trình bày về cách tính hàm GHASH (Galois Hash- hàm băm trong trường Galois)
hiệu năng cao cho các bản tin dài. Tuy nhiên, các kết quả cho thấy độ phức tạp
phần cứng thực thi đã tăng khá nhiều. Trong tài liệu [10, 11], đã đề xuất kiến trúc
hàm GHASH song song-pipeline và phương pháp thực thi mã xác thực AES-GCM
trên phần cứng đạt được kết quả tốt về thông lượng và độ trễ của lõi. Ngược lại,
nhược điểm của các kiến trúc này là chưa hiệu quả về mặt kích thước và mức tiêu
thụ công suất- một tiêu chí tối quan trọng cho các ứng dụng hiện nay.

Tạp chí Nghiên cứu KH&CN quân sự, Số 54 , 04 – 2018

75


Kỹ thuật điều khiển & Điện tử

Trong bài báo này, chúng tôi trình bày lõi mã hóa xác thực AES-GCM với kiến
trúc nhiều nhánh nhân-cộng song song và sử dụng AES với kỹ thuật đường ống
hoàn toàn để tăng tốc độ tính toán. Song song với đó, kiến trúc đề xuất cũng sử
dụng kỹ thuật bật tắt tín hiệu đồng bộ để đảm bảo tối ưu về kích thước và công
suất tiêu thụ của lõi.
2. KIẾN TRÚC LÕI MÃ HÓA XÁC THỰC AES-GCM
2.1. Kiến trúc AES đường ống hoàn toàn
Thuật toán AES được ứng dụng rất phổ biến như trong các thiết bị di động,
truyền thông vệ tinh, xử lí ảnh, IoT… Do tính đa dạng trong các lĩnh vực ứng dụng
nên đòi hỏi những yêu cầu, giới hạn khác nhau. Để đáp ứng những đòi hỏi này đã

có nhiều nghiên cứu, đề xuất về các loại kiến trúc thực thi thuật toán AES. Trong
các kiểu kiến trúc này, thiết kế hướng tới tốc độ cao, thông lượng cao có nhiều
hiệu quả hơn các thiết kế khác. Trong bài báo này, kỹ thuật đường ống (pipeline)
được sử dụng cùng với việc chia sẻ tài nguyên để tối ưu về kích thước và tốc độ
(cũng như thông lượng) của phần cứng mã hóa.

Hình 1. Kiến trúc lõi AES đường ống hoàn toàn.
Trong thuật toán AES, thao tác SubByte theo cách phổ biến nhất là sử dụng
bảng tra LUT (Look-up Table). Việc sử dụng LUT với các ứng dụng tốc độ cao có
hai vấn đề nảy sinh. Thứ nhất là đòi hỏi một lượng lớn các cổng cho phép biến đổi
này. Thứ hai là độ trễ nội tại và trễ không loại bỏ được trên chính kiến trúc LUT
này. Với phương pháp chỉ sử dụng mạch logic tổ hợp thì sẽ tránh được trễ của các
LUT. Tuy nhiên, theo cách này phải thực hiện thao tác nghịch đảo trong trường
Galois GF(28) có thể làm cho độ phức tạp phần cứng tăng lên. Để khắc phục điều
này, các phép toán trong trường được thực thi trong các trường có bậc thấp hơn
như GF(24) hay GF((22)2 và các phép toán trường thứ cấp có giá trị thấp hơn. Kiến

76

N. A. Thái, …, P. T. Giáo, “Thiết kế lõi phần cứng … trên công nghệ CMOS 90nm.”


Nghiên cứu khoa học công nghệ

trúc đường ống nhiều lớp có thể đạt được tốc độ tối đa nếu như mỗi khối vòng
được chia thành nhiều tầng với độ trễ tương đương nhau. Bằng cách tăng số lượng
các tầng trong mỗi vòng, đường trễ tới hạn và độ rộng xung đồng bộ của hệ thống
được giảm đi đồng thời làm tăng thông lượng. Hình 1 thể hiện kiến trúc AES
đường ống hoàn toàn. Trong kiến trúc này, phần kiến trúc đường ống bên trong
gồm các thanh ghi chèn giữa các khối chức năng SubByte, ShiftRows,

MixColumns và AddRoundKey. Đồng thời với kiến trúc đường ống bên ngoài, các
thanh ghi được đưa vào giữa các vòng tính toán của AES.
Kiến trúc AES này cho phép hoạt động với tốc độ rất cao, mỗi vòng hoạt động
với dữ liệu đầu vào 128-bit ở mỗi chu kỳ đồng hồ. Tuy nhiên, ở đây một khối vòng
chức năng với bốn tầng pipeline, trong đó ba tầng cho S-box [12] và một tầng cho
phần còn lại (Hình 1) được sử dụng với mục đích đạt được tốc độ cao hơn cho thao
tác nhân trong GCM.
2.2. Chế độ Galois/Counter
Theo định nghĩa, chế độ Galois/Counter (GCM) là chế độ hoạt động của mã
khối với việc sử dụng một hàm băm được định nghĩa qua trường nhị phân Galois
để cung cấp mã hóa xác thực. Mã hóa xác thực thực hiện hai nhiệm vụ: mã hóa bảo
mật dữ liệu và tính toán tạo ra thẻ xác thực. GCM có nhiều lợi ích như: đạt được
tốc độ cao với chi phí thấp khi thực thi trên phần cứng, nó cũng có thể đảm bảo
được độ bảo mật mà không cần các ràng buộc IP và đã được sử dụng như thuật
toán lõi cho giao thức theo chuẩn IEEE 802.1ae [13]. Mã hóa xác thực AES-GCM
có quy trình mã hóa thể hiện ở hình 2. Khối GCTR thực hiện chế độ Counter của
mã khối với các đầu vào là khối đếm khởi tạo ICB, các giá trị gia tăng của chúng
(ICB2-ICBi) của chúng và các khối bản rõ (P1-Pi).
GCTR

0

ICB

INC

ICB2

ICBi 1


AES

AES

INC

ICBi

AES
AES

H

Am

A1
X1
H

P1
Xm
H

P2

AES

Pi 1

X m 1


X m2

H

H

LA / C

Pi
X n2

X n 1

Xn

H

H

H

GHASH
J0

AES

T

MSB


Hình 2. Quy trình mã hóa xác thực AES-GCM.
2.3. Đề xuất kiến trúc GCM song song hiệu năng cao
A. Hàm GHASHH hiệu năng cao

Tạp chí Nghiên cứu KH&CN quân sự, Số 54 , 04 – 2018

77


Kỹ thuật điều khiển & Điện tử

Hàm GHASH sử dụng trong GCM nhằm cung cấp tính xác thực cho dữ liệu
bảo mật. Hàm GHASH được xây dựng bởi các phép nhân trong trường GF(2128)
với khóa con băm (H) theo công thức:
n

X

j

.H n  j 1  X 1.H n  X 2 .H n 1    X n .H

(1)

j 1

trong đó, X1 ÷ Xn là các khối đầu vào 128-bit.
Mặc dù việc lựa chọn tham số q (số nhánh nhân-cộng song song) không bị giới
hạn nhưng để đạt được số chu kỳ đồng hồ là nhỏ và thông lượng cao thì sử dụng

q  2 j , 1  j  log 2  n   . Đầu ra hàm GHASH(X,H) nhận được:
X 1. 
H q  ...  H q  X 2 . 
H q  ...  H q  H q 1  ...
n
laàn
q

n 
 1 laàn
q 

 X j . 
H q  ...  H q  H q  j 1  ...
n 
 1 laàn
q 
q

(2)
q

q

q

X q . 
H  ...  H  H  X q 1. 
H  ...  H
n 

 1 laàn
q 

n 
 1 laàn
q 

 X q  2 . 
H q  ...  H q H q 1  ...  X n H
n 
  2  laàn
q 

Trong đó, tất cả các toán hạng được thực hiện trong trường GF(2128), với đa
thức bất khả quy P  x   x128  x 7  x 2  1 . Với thuật toán hàm GHASH như ở (2),
n

n 
số chu kỳ đồng hồ cần thiết để thực hiện sẽ là   log 2  q   . Đối với   1 chu
q

q 
q
128
kỳ đầu, sẽ thực hiện các phép nhân H trong trường GF(2 ), với log2(q) chu kỳ
tiếp theo sẽ thực hiện các hàm mũ khác tương ứng và chu kỳ cuối cùng là thực
n

hiện XOR các kết quả (  X j H n  j 1 ).
j 1


X qj  2

X qj 1
Hq

X qj  2

X qj 1
q

H
H q /2

Hq
H q /2

X q j 11

Hq
H q /2

1

H2
H

H
1


2

H
1

X q j 1

Hq

Hq

H2
1

H
1

Hình 3. Kiến trúc phần cứng hàm GHASHH hiệu năng cao.
78

N. A. Thái, …, P. T. Giáo, “Thiết kế lõi phần cứng … trên công nghệ CMOS 90nm.”


Nghiên cứu khoa học công nghệ

Theo (2), ta xét các trường hợp:
 q=8 (8 nhánh nhân-cộng song song):
 X1.H 8  X 9  .H 8 11   X 2 H 8  X10  H 4  H 2  H 
i 


i 

i 

...   X i H 8  X i 8  H 4 a1  H 2 a2  H a3 

(3)

...   X 8 H 8  X 16  H 11
trong đó, (a1, a2, a3) là biểu diễn nhị phân của q – i +1, 1  i  8
 q=4 (4 nhánh nhân-cộng song song):
 X 1 .H 4  X 5  .H 4  X 9 .H 2






   X .H
   X .H



  X 2 .H 4  X 6  .H 4  X 10 .H
 X 7  .1  0 H 4

4

 X 8  .H 2  0 H


3

4





4

(4)



q=2 (2 nhánh nhân-cộng song song):

 X 1.H  X 3  .H 2   X 2 .H 2  X 4  .H

(5)

B. Kỹ thuật bật tắt tín hiệu đồng bộ
Trong bài báo này, với mục đích giảm công suất tiêu thụ của thiết kế, chúng tôi
đề xuất việc áp dụng kỹ thuật bật tắt tín hiệu đồng bộ (clock gating). Theo kỹ thuật
này, tín hiệu đồng bộ đưa đến các thanh ghi được chọn bằng các tín hiệu điều
khiển. Khi các giá trị trong các thanh ghi không thay đổi thì tín hiệu đồng bộ được
tắt đi làm cho công suất tiêu thụ của hệ thống được giảm đi rất đáng kể theo [14,
15]. Chúng tôi đề xuất kiến trúc lõi AES-GCM dùng kỹ thuật bật tắt tín hiệu đồng
bộ như ở hình 4. Tín hiệu điều khiển việc lựa chọn tín hiệu đồng bộ sel được tạo ra
từ máy trạng thái hữu hạn của khối điều khiển.


Hình 4. Kiến trúc clock gating đề xuất cho lõi AES-GCM.
3. KẾT QUẢ HIỆN THỰC HÓA
Thiết kế được tổng hợp trên ASIC với thư viện chuẩn công nghệ CMOS 90 nm
cho các kiến trúc khác nhau, sử dụng công cụ Synopsys Design Compiler, đạt được

Tạp chí Nghiên cứu KH&CN quân sự, Số 54 , 04 – 2018

79


Kỹ thuật điều khiển & Điện tử

kết quả như thể hiện ở bảng 1. Theo những kết quả đạt được, thiết kế đề xuất theo
các kiến trúc khác nhau đã cải thiện được hiệu năng thiết kế. Trong bài báo này,
hiệu năng được tính theo tỷ số giữa thông lượng và lượng tài nguyên (số cổng
tương đương). Trong đó, kiến trúc hai nhánh nhân-cộng có hiệu năng cao nhất đạt
104,8 (b/s/gate) cao hơn xấp xỉ 40 % so với kết quả tốt nhất tại công trình [7].
Đồng thời, thiết kế theo kiến trúc đề xuất vẫn đảm bảo công suất tiêu thụ ở mức
tương đương các thiết kế khác như đã thể hiện trong bảng 1.
Bảng 1. Kết quả tổng hợp lõi mã hóa AES-GCM trên ASIC công nghệ 90nm.
Kiến trúc
[7]
[8], [9]
[12]
Đề xuất với q = 2
Đề xuất với q = 4
Đề xuất với q = 8

Tài nguyên
phần cứng

(Kgate)
463
894
625
189
479
863

Tốc độ
(MHz)
271
568
595
193
193
193

Công
suất
(mW)
144
102
131
177
265

Thông
lượng
(Gb/s)
34,7

56
15,2
19,8
23,3
24,7

Thông
lượng/Tài
nguyên
74,9
62,6
24,3
104,8
48,6
28,6

4. KẾT LUẬN
Trong bài báo, này chúng tôi đã trình bày về thiết kế lõi phần cứng mã hóa xác
thực AES-GCM với các kiến trúc gồm các nhánh nhân-cộng song song nhằm mục
đích nâng cao hiệu năng mà vẫn đảm bảo được mức tiêu thụ công suất của lõi phần
cứng. Để tăng thông lượng, kiến trúc phần cứng AES đường ống hoàn toàn đã
được áp dụng và đồng thời thuật toán GCM được thực hiện theo phương thức song
song. Tuy nhiên, việc sử dụng kiến trúc song song sẽ dẫn đến kích thước lõi thiết
kế lớn. Để giải quyết vấn đề này, thiết kế đề xuất đã sử dụng các bộ nhân theo
thuật toán Karatsuba-Ofman thay cho thuật toán nhân truyền thống trong trường
Galois. Với mục đích giảm nhỏ mức công suất tiêu thụ, thiết kế đã đề xuất áp dụng
kỹ thuật bật tắt tín hiệu đồng bộ. Với các kết quả đã đạt được, lõi mã hóa xác thực
AES-GCM đề xuất cho thấy có thể đáp ứng tốt cho các ứng dụng đòi hỏi kích
thước nhỏ gọn, tốc độ cao và mức công suất tiêu thụ thấp.
Lời cảm ơn: Nghiên cứu này được tài trợ bởi Quỹ Phát triển khoa học và

công nghệ Quốc gia (NAFOSTED) trong đề tài mã số 102.02-2015.20. Nhóm tác
giả xin chân thành cảm ơn Viện Tích hợp hệ thống, Học viện Kỹ thuật quân sự đã
hỗ trợ về công cụ thiết kế cho nghiên cứu này.
TÀI LIỆU THAM KHẢO
[1]. W. Wang, G. He, and J. Wan, “Research on Zigbee wireless communication
technology,” Proc. 2011 International Conference on Electrical and Control
Engineering (ICECE), pp. 1245-1249, 2011.
80

N. A. Thái, …, P. T. Giáo, “Thiết kế lõi phần cứng … trên công nghệ CMOS 90nm.”


Nghiên cứu khoa học công nghệ

[2]. X. Du and H.-H. Chen, “Security in wireless sensor networks,” IEEE
Wireless Communications, vol. 15, 2008.
[3]. National Institute of Standards and Technology (NIST), “Advanced
Encryption Standard (AES),” FIPS Publication 197, 2001.
[4]. M. Dworkin, “Recommendation for Block Cipher Modes of Operation:
Galois/Counter Mode (GCM) and GMAC,” NIST SP, 800-38D, 2007.
[5]. S. Lemsitzer, J. Wolkerstorfer, N. Felber, and M. Braendli, “Multi-gigabit
GCM-AES architecture optimized for FPGAs,” in International Workshop on
Cryptographic Hardware and Embedded Systems, pp. 227-238, 2007.
[6]. B. Yang, S. Mishra, and R. Karri, “A High Speed Architecture for
Galois/Counter Mode of Operation (GCM),” IACR Cryptology ePrint
Archive, p. 146, 2005.
[7]. A. Satoh, “High-Speed Parallel Hardware Architecture for Galois Counter
Mode,” in IEEE International Symposium on Circuits and Systems, ISCAS
2007 , pp. 1863-1866, 2007.
[8]. A. Satoh, T. Sugawara, and T. Aoki, “High-performance hardware

architectures for Galois counter mode,” IEEE Transactions on Computers,
vol. 58, pp. 917-930, 2009.
[9]. N. Méloni, C. Négre, and M. A. Hasan, “High performance GHASH function
for long messages,” in International Conference on Applied Cryptography
and Network Security, pp. 154-167, 2010.
[10]. Abdellatif, K. M. Ali, Chotin-Avot, Roselyne, Mehrez, and Habib,
“Efficient Parallel-Pipelined GHASH for Message Authentication,”
International Conference on Reconfigurable Computing and FPGAs
(ReConFig), pp. 1-6, 2012.
[11]. M. Mozaffari-Kermani and A. Reyhani-Masoleh, “Efficient and HighPerformance Parallel Hardware Architectures for the AES-GCM,” IEEE
transactions on computers, vol. 61, pp. 1165-1178, 2012.
[12]. A. Satoh, S. Morioka, K. Takano, and S. Munetoh, “A compact Rijndael
hardware architecture with S-box optimization,” in International Conference
on the Theory and Application of Cryptology and Information Security, pp.
239-254, 2001.
[13]. I. S. W. Group, “IEEE standard for local and metropolitan area networks:
media access control (MAC) bridges,” IEEE Std, vol. 802, 2006.
[14]. L. Raja, K. Thanushkodi, and T. Hemalatha, “Comparitive analysis of various
low power Clock Gating design for ALU,” the 2014 International Conference
on Electronics and Communication Systems (ICECS), pp. 1-5, 2014.
[15]. N. Gupta, “Clock Power Analysis of Low Power Clock Gated Arithmetic
Logic Unit on Different FPGA,” 2014 International Conference on
Computational Intelligence and Communication Networks (CICN), pp. 913916, 2014.

Tạp chí Nghiên cứu KH&CN quân sự, Số 54 , 04 – 2018

81


Kỹ thuật điều khiển & Điện tử


ABSTRACT

A DESIGN OF HIGH PERFORMANCE AES-GCM AUTHENTICATED
ENCRYPTION HARDWARE CORE IN 90 NM CMOS PROCESS
In this paper, a high-performance ASIC design of the authenticated
encryption AES-GCM core was presented. The proposed AES-GCM core
is implemented with a fully pipelined AES architecture and parallel GCM
algorithm to increase the throughput. Moreover, the Karatsuba-Ofman
algorithm over Galois finite field and clock gating technical are employed
together to decrease the area and the power consumption. The
implementation results in 90nm process have clarified that the proposed
authenticated encryption core achieves higher performance in term of the
ratio between throughput and area, while requires the equivalent power
consumption compared with others designs.
Keywords: AES, GCM, ASIC, CMOS, IP core.

Nhận bài ngày 05 tháng 12 năm 2017
Hoàn thiện ngày 09 tháng 01 năm 2018
Chấp nhận đăng ngày 10 tháng 4 năm 2018

Địa chỉ:
*

82

Khoa Vô tuyến Điện tử, Trường đại học Kỹ thuật Lê Quý Đôn.
Email:

N. A. Thái, …, P. T. Giáo, “Thiết kế lõi phần cứng … trên công nghệ CMOS 90nm.”