基于方寸微电子T660的国产高速SATA加密桥应用方案

摘要

SATA接口是硬盘存储的通用接口，有传输速度快、便携性好、兼容性强的优势，使用SATA硬件接口为数据加密，以其速率高、密钥管理灵活的有点成为解决硬盘安全存储问题的优质方案。T660是由方寸微电子自主开发的新一代 SoC国密主控安全芯片，可完美适配高速SATA加密桥的应用，及其他安全领域产品。

关键词：T660网络安全加密芯片、高速SATA加密桥应用方案、芯片国产化

内容目录

0.背景介绍

1.方寸微电子T660网络安全加密芯片介绍

1.1芯片基本信息介绍

1.2芯片内部架构

1.3芯片产品特点

2.T660国产高速SATA加密桥应用方案

2.1T660加密桥介绍

2.2产品形态

2.3数据流及数据加密

2.4性能损耗测试

2.5安全性

3.结语

4.关于方寸微电子

0.背景介绍

随着存储需求日益增大，硬盘安全存储越来越重要。硬盘容量的不断扩大、传输速度的不断提高，传统加密软件速度低、CPU资源占有率高、安全性差的问题逐渐凸显。而SATA接口是硬盘存储的通用接口，有传输速度快、便携性好、兼容性强的优势，使用SATA硬件接口为数据加密，以其速率高、密钥管理灵活的有点成为解决硬盘安全存储问题的优质方案。

SATA硬件接口为数据加密的方式有两种，一种是硬盘厂商生产的自加密硬盘，另一种是第三方厂商生产的加密桥，如上图所示在主机与硬盘之间加入一个桥接芯片为硬盘和主机提供加解密功能。

1.方寸微电子T660网络安全加密芯片介绍

1.1 芯片基本信息介绍

T660是由方寸微电子自主开发的新一代 SoC国密主控安全芯片，具有功能丰富、性能强劲、功耗低、安全性高等特点，可广泛应用于USB安全网卡、USB安全光网卡、单向导入导出设备、SATA密码卡、家庭云存储等安全领域产品，也可以应用于USB3.0 转SATA3、SATA3转SATA3桥、SATA3转GMAC、USB3.0转GMAC等各种高速接口转换领域。

该芯片集成国产32位高性能RISC CPU，可支持USB3.0、SATA3.0、GMAC等多种超高速接口，并集成多种国密算法（如 SM2、SM3、SM4），可满足国家信息安全领域对底层核心安全芯片的应用需求。

该芯片提供完整的SDK供客户进行定制化开发，尤其针对典型应用场景提供了源码级方案支撑，可帮助客户缩短产品开发周期、降低整体开发成本，提升产品市场竞争力。

T660芯片外观

（10.0mm*10.0mm*1.0mm，BGA137封装）

1.2芯片内部架构

1.3 芯片产品特点

系统资源

·集成32位国产CPU CK803S，最高工作频率260Mhz

·CK803S内置16KB I/D Cache，内置32KB DTCM

·32K BROM；256KB SRAM；8KB SRAM（系统专用）；512KB片内Flash

安全算法

·支持SM4数据加密，加密性能 800MB/s@200Mhz

·支持ECB、CBC、OFB、CFB、CTR、XTS 6种加密模式

·支持SM2签名验签

·支持大数模加、模减、模乘运算协处理

·支持SM3算法

·支持1路真随机数发生器

通信接口

·支持1路USB3.0 OTG，接口速率5Gbps，向下兼容USB 2.0/USB1.1，支持控制/批量/中断/等时传输类型

·支持1路SATA3.0 Device，接口速率6Gbps，向下兼容 3Gbps/1.5Gbps

·支持1路SATA3.0 Host，接口速率6Gbps，向下兼容3Gbps/ 1.5Gbps

·支持NCQ 32命令队列

·支持1路GMAC RGMII接口；支持10/100/1000Mbps网络接口速率

·支持1路QSPI主接口（仅用于连接SPI Flash/SPI RAM等）

·支持1路SPI主/从接口

·支持1路I2C主/从接口

·支持2路UART接口

其他资源

·内置硬件DMA

·内置POR（Power on Reset）电路

·内置8个定时器

·内置中断控制器

·内置1个看门狗

·支持16个GPIO接口

封装形式：BGA137

封装尺寸：10.0mm*10.0mm*1.0mm

T660开发板：

T660开发评估板

（欢迎通过方寸官网官微申请试用）

2.T660国产高速SATA加密桥应用方案

2.1 T660加密桥介绍

本文介绍使用 T660 芯片实现了一种 SATA 转 SATA 加密桥，其支持下列功能特性：

·支持 SATA3.0 Host，接口速率 6Gbps，向下兼容 3Gbps/1.5Gbps

·支持 SATA3.0 device，接口速率 6Gbps，向下兼容 3Gbps/1.5Gbps

·支持 NCQ 32 命令队列

·支持 S.M.A.R.T 命令

·支持 TRIM 命令

·支持 SECURITY 命令集

·支持存储数据加密

·支持 SSD / HDD 热插拔

2.2 产品形态

SATA转M.2 SATA转mSATA

产品形态有多种样式比如硬盘盒样式、加密线及板载样式等。目前最常用的形态为硬盘盒样式如上图所示，SATA接口转换成M.2 SATA或mSATA接口。

2.3 数据流及数据加密

如上图示，本数据通路中，SATA Device 为T660前端，与Host建立物理连接，主要完成各类 SATA 命令的交互处理及 IO 数据上下行传输；Crypto完成数据的实时加解密处理；SATA Host为T660后端，其外部连接有SATA硬盘，主要完成硬盘管控及数据存取操作。

由此可见Crypto的性能几乎决定了SATA加密桥的性能，T660中Crypto性能如下：

·支持 SM4、AES256 数据加密，加密性能 800MB/s@200Mhz

·支持 ECB、CBC、OFB、CFB、CTR、XTS 6 种加密模式

·RSA（可选 CRT）：512~4096 比特

·ECC（素数域）：192、224、256、384 和 521 比特

·支持大数模加、模减、模乘运算协处理

·SM2 密钥对生成速度 500 对/s

·支持 SM2 签名验签，性能≥1200/600 次/s@200Mhz

·RSA1024 密钥对生成时间<0.1s

·支持 RSA1024 签名验签，性能≥1200/12000 次/s@200Mhz

·RSA2048 密钥对生成时间<1s

·支持 RSA2048 签名验签，性能≥200/4000 次/s@200Mhz

·支持 SM3/SHA1/SHA224/SHA256 算法

·支持一路TRNG 发生器，生成速率≥30Mbps@50Mhz

* 以上为硬件引擎性能，非最终产品性能

2.4性能损耗测试

加密链路使用高速Crypto，如上图左边没有使用加密桥的测速与右边使用加密桥的测速对比，可以发现使用加密桥对数据加密后的读写性能大约有30MB/s左右的损耗，数据经过加密后再传到硬盘产生这点损耗也可以说是微乎其微了。

2.5 安全性

认证前 认证后

在安全性上支持防止未认证访问。在这里解释一下认证访问，在没有认证的时候硬盘在我们的电脑里是如上图显示，只有盘符却不能操作。只有在认证后硬盘才可以正常访问，这就保证了我们的硬盘即使被人偷走，也无法获取其中数据。认证有两种方式：可以使用BIOS认证，也可以通过上位机软件进行认证访问。

·BIOS认证：BIOS在计算机中相对比较底层一些，采用这种方式认证对安全性较高。BIOS开发厂商可以协定私有协议对SATA桥发送密钥等方式对硬盘进行认证解锁；

·上位机软件认证：上位机软件认证相对于BIOS认证来说比较偏上层，使用上位机软件对SATA桥进行认证解锁与BIOS认证方式几乎相同，都是采用发送私有协议的方式与SATA桥通信发送密钥等信息进行认证后实现硬盘解锁。

在安全性上还支持密钥更换，可以通过串口或SATA私有协议更换加密密钥。

3.结语

本文主要介绍SATA加密桥，并介绍T660中Crypto安全引擎性能及在应用中的实际损耗，以及在安全性上的实现方法。方寸微电子将始终坚持以市场为龙头，以人才为根本，以开发自主知识产权的集成电路芯片为基础，持续创新，依靠技术优势，不断提升产品品质，为客户创造更多价值，助力机器视觉和自动化产业高速发展。

4.关于方寸微电子

方寸微电子科技有限公司2017年成立，总部位于济南，现已在北京、上海、深圳、青岛设有分公司和研发中心，作为网络安全SoC处理器的核心供应商，方寸产品已大量商用于各类信息安全终端。方寸微电子致力于国产高端密码处理器、高性能网络安全芯片、高速接口控制芯片的研发、设计和销售。方寸微电子在集成电路架构设计、安全密码算法、核心技术自主可控、大规模量产及品质管控等综合能力上具有国内领先的优势，公司将持续为信创安全、工业、网络通信、汽车等重点领域提供完整的芯片级解决方案。

方寸微电子研发团队由信息安全领域知名专家领衔，核心成员均具有10年以上行业研发经验，在SoC设计及验证、超高速密码算法、高速网络接口、安全产品生产及测试等方面具有丰富的经验及技术积累。公司将始终坚持以市场为龙头，以人才为根本，以开发自主知识产权的集成电路芯片为基础，持续创新，依靠技术优势，不断提升产品品质，为客户创造更多价值，打造引领信息安全产业快速发展的高科技芯片企业。

核心能力

审核编辑黄昊宇