1. 项目概述与背景在物联网和RFID这类资源受限的嵌入式系统中安全通信的实现一直是个棘手的难题。这些设备往往只有指甲盖大小的芯片面积、微安级别的功耗预算却要承担起保护数据机密性的重任。传统的加密算法比如我们熟知的AES虽然安全可靠但其硬件实现对于这些“小身板”的设备来说开销还是太大了。这就催生了一个专门的密码学分支——轻量级密码学。它的目标很明确在保证足够安全强度的前提下尽可能地降低算法在硬件实现时的面积、功耗和计算延迟。Simon Cipher正是这个领域里一颗耀眼的明星它由美国国家安全局在2013年发布与Speck算法一同构成了一个轻量级密码家族。其设计哲学就是为硬件而生整个算法核心仅由XOR异或、AND与和循环移位这三种最基本的位操作构成结构异常简洁。然而简洁并不意味着简单其背后的数学设计和密钥扩展机制确保了其能够抵御已知的密码分析攻击。我最初接触Simon Cipher是在为一个超低功耗的RFID标签项目选型加密模块。AES的硬件核心面积直接超出了我们的预算而一些更轻量的流密码在安全性上又让我们有所顾虑。Simon Cipher的出现像是一道曙光但当时能找到的资料大多是算法层面的数学描述和软件实现关于如何将其高效、可靠地“烧”进硅片里的硬件实现指南尤其是针对最省面积的位串行架构几乎是空白。直到遇到了Brian Degnan和Gregory D. Durgin发表的这篇论文及其配套的Simontool工具整个硬件验证的路径才清晰起来。这篇文章我就结合自己的实践深入聊聊Simon Cipher的位串行硬件实现精髓以及如何利用Simontool这个“神器”来加速你的芯片设计流程。2. Simon Cipher核心原理与硬件优势解析2.1 算法结构平衡Feistel网络Simon Cipher本质上是一个基于平衡Feistel网络的分组密码。你可以把它想象成一个精密的机械装置每次处理一个固定长度的数据块比如64位或128位。这个数据块被均匀地分成左半部分L和右半部分R。在每一轮加密中右半部分R原封不动地变成下一轮的左半部分L‘而新的右半部分R’则由当前的左半部分L经过一个轮函数F处理再与当前的右半部分R进行异或运算后得到。这个轮函数F就是Simon算法的灵魂所在它仅包含循环左移、按位与和按位异或操作。数学上对于两个n比特的字x和y其轮函数R_k可以表示为R_k(x, y) (y ⊕ (S^1(x) S^8(x)) ⊕ S^2(x) ⊕ k, x)。这里的S^j(x)表示将x循环左移j位是按位与⊕是按位异或k是当前轮的轮密钥。这个设计的巧妙之处在于它完全由比特位的逻辑运算构成没有查表操作S-Box这使得它在硬件实现时不需要昂贵的存储器资源所有操作都可以通过纯粹的组合逻辑电路完成。2.2 为何选择位串行架构硬件实现密码算法主要有两种思路并行架构和串行架构。并行架构一次性处理整个数据块例如64位吞吐量高但需要大量的硬件资源寄存器、布线、逻辑门面积和功耗都很大。而位串行架构顾名思义一次只处理1个比特。数据被存储在移位寄存器中每个时钟周期移出一位进行处理同时移入新的结果位。对于RFID和许多物联网节点而言它们对数据加密的实时性要求往往没有那么苛刻比如每秒几次读卡但对成本和功耗极其敏感。位串行架构的优势在这里就体现得淋漓尽致极致的面积优化核心数据处理单元轮函数F只需要一套针对1位数据的逻辑门几个XOR和AND门而不是64套或128套。这能节省90%以上的逻辑门数量。降低功耗每个时钟周期只有很少的逻辑单元在翻转动态功耗显著降低。规则的结构主要由移位寄存器和多路选择器构成布局布线简单有利于提高芯片的集成度和良率。当然代价是加密一个数据块所需的时间变长了。如果块大小为n比特加密需要T轮那么总时钟周期数就是n * T。例如SIMON64/128需要44轮加密一个64位块就需要64 * 44 2816个时钟周期。但在许多低速率应用中这个延迟是可以接受的。2.3 与AES的硬件开销对比论文中提到Simon Cipher的硬件实现所需晶体管数量大约是对等效位宽的AES实现的一半。这是一个非常可观的节省。AES作为字节导向的算法其核心的SubBytes操作S盒通常需要查找表或复杂的组合逻辑来实现这会在硬件上占据相当大的面积。而Simon完全避免了这类操作。在芯片面积直接等同于成本的半导体行业这一优势是决定性的。当然绝对比较需要谨慎因为AES经过多年优化也有非常紧凑的实现但Simon从设计之初就为硬件优化定下的基调使其在面积和功耗的竞赛中天生具有优势。3. Simontool工具详解从软件模拟到硬件验证桥梁3.1 工具定位与核心功能Simontool不是一个密码库而是一个硬件设计辅助工具。它的核心价值在于它用软件精确模拟了一个1位宽度的Simon Cipher硬件电路的行为。想象一下你正在用Verilog或VHDL设计这个位串行电路在投入漫长的综合、布局布线流程之前你如何快速验证自己设计的逻辑是否正确手工计算每一轮的每一个比特值吗这几乎是不可能的。Simontool解决了这个问题。它主要提供两大输出分段线性波形文件生成标准的PWL文件这些文件描述了电路中关键节点如多路选择器控制信号、内部寄存器值随时间时钟周期变化的电压值。这些文件可以直接被Cadence Spectre、Synopsys HSPICE等主流SPICE仿真器读取作为激励源或参考信号。详细日志文件以文本形式记录每一轮、每一个时钟周期下加密寄存器、密钥寄存器、LFSR等内部状态的值。这对于调试算法逻辑和理解数据流至关重要。3.2 使用流程与命令行实例Simontool是一个命令行程序参数直观。我们以论文中的SIMON128/128测试向量为例simontool -e -b 128 -k 128 -a \ -s 0f0e0d0c0b0a09080706050403020100 \ -t 63736564207372656c6c657661727420 \ -l log.e.128.128.txt让我拆解一下每个参数-e执行加密操作-d为解密。-b 128指定分组大小为128位即2n128n64。-k 128指定密钥长度为128位即m*n128m2表示2个64位密钥字。-a生成所有PWL波形文件。-s ...输入密钥以十六进制字符串表示。-t ...输入待加密的明文以十六进制字符串表示。-l ...指定输出的日志文件名。运行后工具会计算并输出密文49681b1e1e54fe3f65aa832af84e0bbc到终端并与标准测试向量比对从而在第一时间验证工具本身逻辑的正确性。同时它会生成一系列.pwl文件如kb.pwl,cm0.pwl,cm1.pwl等和详细的日志文件。实操心得初次使用时务必先用论文或标准文档如NIST的轻量级密码项目提供的测试向量验证你的Simontool编译版本是否正确。这能排除工具链问题确保后续硬件验证的基准是可靠的。3.3 输出文件解析与在仿真中的应用生成的PWL文件格式简单每行“时间 电”例如0 0 1e-6 1 2e-6 0 3e-6 1 ...时间步长通常固定为1µs电压1代表逻辑高‘1’0代表逻辑低‘0’。这些波形对应着硬件电路中的关键控制信号。如何在仿真中使用它们假设你已经用硬件描述语言HDL完成了一个Simon加密模块的RTL设计。在搭建测试平台时你可以用Simontool生成对应配置如SIMON64/72的PWL文件。在SPICE或混合信号仿真中使用vpwlf之类的电压源元件直接读取这些PWL文件将其作为你设计的加密模块的输入激励如密钥加载信号、明文输入流或预期输出如密文输出流。更强大的用法是作为参考模型进行自动比对。你可以将Simontool生成的、代表内部关键节点如多路选择器输出的波形与你设计的实际电路对应节点的输出波形分别接入一个XOR异或门的两端。在仿真中如果两个波形完全一致XOR门的输出将始终为0任何时间点出现差异即你的设计有错误XOR门就会输出一个脉冲glitch。通过监测这个XOR输出可以自动化地完成整个加密周期的逻辑验证。注意事项确保仿真环境的时钟周期与PWL文件的时间分辨率对齐。如果PWL是1µs一个点你的仿真时钟周期也应是1µs或其整数倍否则比对会错位。Simontool模拟的是理想的、无延时的逻辑行为而你的实际电路会有门延迟。在比对时可能需要将参考波形稍微延迟几个皮秒以匹配电路延迟或者更稳妥的方法是在时钟稳定后的某个采样点进行比对。4. 位串行硬件实现核心电路设计4.1 整体数据通路与状态机一个完整的位串行Simon加密器核心包含以下几个部分数据移位寄存器两个n位的移位寄存器分别存储Feistel网络中的左半部分L和右半部分R。每个时钟周期它们同步右移一位。密钥移位寄存器m个n位的移位寄存器存储扩展密钥。同样每个时钟周期右移。轮函数逻辑单元1位这是最核心的组合逻辑根据当前移出的L寄存器最高位MSB、R寄存器MSB以及当前轮密钥位计算出一位新的结果该结果会被移入R寄存器的最低位LSB。密钥扩展逻辑单元1位根据密钥寄存器的值、常数序列zx和toggle位计算出一位新的扩展密钥反馈到密钥寄存器中。控制逻辑与计数器一个模n的计数器用于跟踪当前处理的是数据块中的第几位。计数器的值决定了多路选择器MUX的选择信号从而正确选择循环移位所需的“抽头”位。LFSR与Toggle寄存器生成密钥扩展中所需的常数序列zx。整个加密过程是一个大的状态机初始化加载明文和密钥后进入“加密循环”状态。在此状态下每经过n个时钟周期完成一个完整数据块的移位处理完成一轮加密。计数器复位轮数加一直到完成T轮后输出密文。4.2 多路选择器实现循环移位的关键在并行实现中循环左移j位是一个简单的连线操作。但在位串行中数据是一位位流出的如何“看到”j位之前或之后的数据呢答案是通过多路选择器MUX和精心设计的抽头。以循环左移1位S^1为例对于当前正在移出的位假设是原数据字的第i位我们需要获取原数据字的第(i1)位模n来参与当前计算。在移位寄存器中第(i1)位在当前周期位于下一个寄存器的位置。因此电路需要在数据通路上设置一个“抽头”连接到下一个寄存器当前时刻的输出端并通过一个MUX在控制信号的控制下选择这个抽头信号作为S^1(x)的当前比特值。论文中的表IV和表VI清晰地列出了不同时钟周期counter mod n下各个MUX控制信号cm8, cm1, cm0用于数据路径km4, km3, km1用于密钥路径的真值表。例如对于SIMON128/128n64在计数器值为0时cm8选择的是当前L寄存器向后数第8个寄存器的输出即L[55]的当前值来代表S^8(L)的当前比特。这些MUX控制逻辑是位串行实现中最需要仔细设计和验证的部分。4.3 密钥扩展电路详解密钥扩展是Simon算法中相对复杂的一环其结构根据密钥字数量m2, 3, 4略有不同。它的核心也是一个反馈移位寄存器但反馈函数包含了右移、异或、与常数序列异或等操作。图4论文中展示了密钥扩展的通用结构。关键点在于常数序列zx由一个小型的5位LFSR生成其生成多项式根据不同的Simon变体z0, z1, z2, z3, z4而不同。这个LFSR每n个时钟周期即每轮更新一次。它的作用是破坏密钥扩展的对称性防止“滑动攻击”等密码分析手段。掩码操作在密钥扩展中最低两位会与一个固定的掩码二进制11即十进制的3进行异或这在公式中体现为常数c。在硬件上这可以通过一个简单的条件异或门实现当处理到密钥字的最低两位时额外异或一个‘1’。多路选择器的复用值得注意的是密钥扩展电路复用了一部分数据路径的多路选择器如cm1,cm0用于实现其内部的移位操作这体现了硬件设计中的面积优化思想。4.4 解密电路的设计考量解密过程是加密的逆过程。在Feistel网络中解密算法与加密算法结构相同只是轮密钥的使用顺序相反。在硬件实现上这意味着轮密钥顺序需要能够逆序生成或存储轮密钥。一种方法是在加密完成后将生成的所有轮密钥存入一个小的FIFO或RAM解密时反向读出。另一种更省面积的方法是实现一个可反向运行的密钥扩展电路这要求LFSR能够反向迭代论文中提到了解密时LFSR的初始条件不同。控制序列反转MUX的控制序列在解密时需要反向。这可以通过一个可逆的计数器或者预先计算好的反向控制逻辑来实现。对于资源极端受限的RFID标签有时只实现加密功能解密在后台更强大的读写器中进行这也是常见的折中方案。5. 从仿真到流片设计验证与实战经验5.1 利用Simontool进行分层验证在实际项目中我强烈建议采用分层验证的策略而Simontool可以贯穿始终算法级验证首先使用Simontool的日志输出功能或者用高级语言如Python/C编写一个行为级模型生成大量随机明文和密钥进行加密/解密测试确保算法逻辑理解无误。RTL功能验证用Verilog/VHDL编写位串行Simon模块。在仿真中将Simontool生成的PWL文件作为测试向量的来源驱动输入端和黄金参考与输出端比对。编写自动化的测试平台批量运行不同配置和测试向量通过比对错误率来验证RTL代码的正确性。门级网表仿真将RTL综合后的门级网表导入仿真器。同样使用Simontool的PWL文件作为激励。此时除了功能还可以初步评估时序是否满足建立/保持时间。后仿与混合信号仿真在完成布局布线后提取出包含实际布线延迟和寄生参数的网表进行后仿真。这一步最能反映真实芯片的行为。此时Simontool生成的理想波形可以作为清晰的参考帮助你区分是功能错误还是时序问题。5.2 常见设计陷阱与调试技巧陷阱一移位寄存器初始化与边界条件。位串行实现严重依赖移位寄存器的正确初始化。务必确保在开始加密前明文和密钥已经正确加载到寄存器的每一位并且加载顺序最高位先入还是最低位先入与算法和Simontool的约定一致。边界条件如计数器从n-1回到0时MUX选择信号的切换是否产生毛刺需要仔细检查。陷阱二LFSR初始状态。加密和解密的LFSR初始状态不同论文表V。如果实现解密功能必须严格按照规范设置。一个常见的错误是加密解密结果不对应往往问题就出在这里。陷阱三资源冲突与路径延迟。在面积优化到极致的设计中可能会复用一些逻辑资源。需要确保在同一个时钟周期内没有信号通路冲突。同时位串行设计虽然组合逻辑简单但在深亚微米工艺下关键路径如经过多个MUX和XOR的路径的延迟仍需评估可能需要在其中插入流水线寄存器来满足高频时钟要求但这会增加面积和延迟周期数。调试技巧当仿真结果与Simontool输出不匹配时不要急于看整个波形。首先在日志文件中找到第一个出错的时钟周期。然后在电路仿真中将这个周期附近的所有内部信号每一个MUX的输入输出、每一个寄存器的值、计数器值、LFSR值全部dump出来与Simontool日志中该周期的状态逐比特比对。通常错误源很快就能定位到某个特定的MUX选择逻辑或某个寄存器的加载使能信号上。5.3 低功耗设计技巧对于RFID这类无源或能量收集设备功耗至关重要时钟门控这是最有效的技术。当模块不进行加密操作时通过时钟门控单元彻底关闭其时钟树消除动态功耗。操作数隔离在移位寄存器移位但尚未参与计算的阶段可以通过控制信号阻断数据通路向核心逻辑单元传递翻转减少不必要的功耗。使用低功耗标准单元库在综合和布局布线时指定使用高阈值电压HVT或超低功耗ULP单元库尽管这可能会牺牲一些速度。降低工作电压在满足时序的前提下尽可能降低核心电压。Simon Cipher简单的逻辑结构使其在近阈值电压甚至亚阈值电压下工作成为可能这能极大降低功耗但设计挑战也会剧增需要更精细的时序分析和可靠性设计。6. 扩展应用与未来展望Simon Cipher及其硬件实现方案其应用远不止于传统的RFID标签。随着物联网边缘计算的兴起越来越多的终端设备需要在本地进行轻量级的数据加密和认证。传感器网络节点用于对采集的环境数据温度、湿度等进行加密后再传输防止窃听和篡改。医疗可穿戴设备保护用户的生理数据隐私。工业控制系统的现场设备实现设备间的安全指令传输。硬件安全模块作为更复杂安全协处理器中的一个轻量级引擎处理大量但安全强度要求适中的会话密钥协商或数据加密任务。从技术演进角度看Simon Cipher的硬件实现也在不断发展。除了最基本的位串行也有研究探索位并行如32位、64位的折中方案以在面积和吞吐量之间取得平衡。此外针对侧信道攻击如功耗分析、电磁分析的防护措施如隐藏技术、随机化技术也可以集成到这些轻量级实现中虽然会带来一定的面积和功耗开销。我个人在几个流片项目中使用基于Simontool验证的Simon硬件模块后最大的体会是在资源受限的硬件安全领域简洁和可验证性就是王道。Simontool这类工具的价值在于它把算法抽象的数学世界和晶体管开关的物理世界用一条可预测、可验证的桥梁连接了起来。它让你在动辄数月的芯片设计周期中能早早地对核心逻辑建立信心把精力更多地投入到功耗优化、抗攻击设计等更深层次的问题上。如果你正在涉足物联网安全芯片设计花时间吃透Simon Cipher和Simontool无疑是一项高回报的投资。
