MSPM0 AES模块中断与轮询机制解析及GCM/CCM实战应用

1. MSPM0 AES模块：中断与轮询的底层逻辑与实战选择

在嵌入式开发里，处理像AES这样的硬件加速器，CPU怎么知道它“忙完了”或者“有数据了”？无非就两条路：要么等硬件来“敲门”（中断），要么自己隔三差五去“瞅一眼”（轮询）。听起来简单，但选错了，轻则系统响应迟钝，重则直接卡死。TI的MSPM0系列微控制器，其AESADV模块把这两种机制玩得相当透彻，尤其是通过RIS（Raw Interrupt Status）寄存器暴露了所有内部状态，给了我们极大的灵活性。

我刚开始用这个模块时，也犯过想当然的错误。比如，在DMA搬运数据的场景下，还傻傻地去等CPU中断，结果发现数据流根本跑不满。后来把数据手册翻烂了，才理清其中的门道。简单来说，中断适合异步、事件驱动的场景，比如一次加密完成、TAG就绪，这时候让CPU跳出来处理结果，效率最高。而轮询则适合在紧密耦合的循环中，或者在某些不允许中断的临界区，比如你正在连续喂数据，需要实时确认输入缓冲区是否就绪（INPUTRDY），这时候轮询RIS寄存器比等中断更直接、延迟更低。

MSPM0 AES模块的中断源（CPU_INT）主要有四个：OUTPUTRDY（输出就绪）、INPUTRDY（输入就绪）、SAVEDCNTXTRDY（保存的上下文/TAG就绪）和CNTXTRDY（上下文寄存器可写）。关键在于，当你在CTRL寄存器里把SAVE_CNTXT位置1（比如GCM/CCM操作要取TAG），操作完成后，SAVEDCNTXTRDY标志就会在RIS寄存器里置起。手册里特别提到了一种轮询场景：“Poll the RIS register continuously for SAVEDCNTXTRDY status instead of waiting for interrupt”。这其实点出了一个关键：轮询RIS寄存器，可以绕过中断屏蔽（IMASK）和系统中断延迟，直接获取最原始的状态。这对于时间敏感或需要确定性响应的操作至关重要。

那么，什么时候该用轮询，什么时候该用中断呢？我的经验是：

• 用轮询：1）在DMA握手模式（DMA_HS.DMA_DATA_ACK = 1）下，数据搬运由DMA事件触发，此时INPUTRDY和OUTPUTRDY中断是禁用的，但它们的RIS状态位依然有效，可用于软件查询DMA传输状态。2）在极短小的、循环内的操作，比如连续加密几个固定块，用轮询避免中断开销。3）在实时操作系统中，某些高优先级任务域内禁止中断时。
• 用中断：1）处理异步、不可预测的事件，比如来自外部的加密请求完成。2）操作耗时较长（例如处理大块数据），你不希望CPU空等。3）系统需要进入低功耗模式，等待加密完成事件唤醒。

这里有个大坑需要注意：DMA握手和CPU中断是互斥的。一旦你使能了DMA握手（DMA_DATA_ACK=1），模块就假定数据通道完全交给DMA管理，INPUTRDY和OUTPUTRDY这两个中断就不应该再用了。此时，CPU若想感知操作完成，要么等待DMA传输完成中断，要么去轮询RIS寄存器中的SAVEDCNTXTRDY（如果保存了上下文）或查询DMA通道状态。

1.1 核心状态寄存器RIS深度解析

RIS寄存器是你的“上帝视角”窗口。无论IMASK怎么设置，任何事件发生，对应的RAW位都会立刻置1。我们重点关注SAVEDCNTXTRDY。

// 假设 AES 模块基地址为 AES_BASE #define AES_RIS (*(volatile uint32_t *)(AES_BASE + 0x1030)) // 轮询等待 TAG/上下文就绪（阻塞式） while ((AES_RIS & (1 << 2)) == 0) { // 可以在这里加入超时机制，防止硬件挂死 // timeout_counter++; // if(timeout_counter > MAX_TIMEOUT) { handle_error(); } } // 清除标志（如果需要，通过写ICLR寄存器） // *(volatile uint32_t *)(AES_BASE + 0x1048) = (1 << 2);

这段代码就是最经典的轮询。为什么是位2？因为根据手册，SAVEDCNTXTRDY在RIS寄存器的bit 2。这种轮询方式简单粗暴，但CPU利用率100%。在低功耗应用里，你可能需要在循环中加入__WFI()等待中断指令，但前提是相关中断已被使能。

一个关键细节：RIS状态位需要通过写ICLR（中断清除）寄存器对应位来清除。但注意，轮询RIS时，即使中断被屏蔽（IMASK对应位为0），你仍然可以通过写ICLR来清除RIS位。这在你需要手动管理状态时非常有用。

1.2 DMA事件触发机制：解放CPU的利器

MSPM0 AES模块更强大的地方在于它集成了两个DMA触发事件：DMA_TRIG_DATAIN(Trig0) 和DMA_TRIG_DATAOUT(Trig1)。这意味著你可以配置DMA通道，让AES模块在输入缓冲区空或输出缓冲区满时，自动触发DMA进行数据传输，完全不需要CPU干预。

这个过程是这样的：

1. 配置DMA通道：源地址、目标地址、传输长度。
2. 将DMA的触发源设置为AES的Trig0（输入）或Trig1（输出）。
3. 在AES模块中，使能对应的DMA触发事件（设置DMA_TRIG_DATAIN或DMA_TRIG_DATAOUT组的IMASK寄存器）。
4. 启动AES操作（例如，写入C_LENGTH寄存器）。
5. AES引擎在需要新数据或数据就绪时，会自动发布DMA触发事件，DMA控制器随即响应，搬运数据。

这里有一个极其重要的配置：DMA_HS.DMA_DATA_ACK位。当此位设为1时，AES模块与DMA之间使用硬件握手信号。此时，AES模块的INPUTRDY和OUTPUTRDY中断应被禁用（IMASK对应位清0），因为数据流控制已交由DMA硬件管理。CPU只需要在最终操作完成（例如，DMA传输完成中断，或轮询到SAVEDCNTXTRDY）后，去读取结果（如TAG）即可。

2. GCM与CCM操作详解：从理论到寄存器配置

GCM（Galois/Counter Mode）和CCM（Counter with CBC-MAC）是当今物联网和通信协议中最主流的认证加密模式。它们不仅提供机密性（加密），还提供完整性（认证）。MSPM0的AES模块硬件支持这两种模式，能大幅提升处理效率和安全性。

2.1 GCM操作模式精讲

GCM = CTR加密 + GHASH认证。它的核心是两个并行计算：一个是大家熟悉的AES-CTR模式生成密钥流，用于加密/解密；另一个是GHASH，一个在伽罗瓦域(GF(2^128))上的乘法，用于生成认证标签（TAG）。

MSPM0的AES模块支持三种GCM子模式，通过CTRL寄存器的GCM[1:0]位选择：

• 01b(GHASH with H loaded and Y0-encrypted forced to zero)：外部预计算H（哈希子密钥），且强制初始计数器块J0的加密结果（Y0）为0。这通常用于纯认证（GMAC）或需要中断恢复的场景。
• 10b(GHASH with H loaded and Y0-encrypted calculated internally)：外部提供预计算的H，但模块内部计算Y0。这是最常用的GCM模式，平衡了性能和灵活性。
• 11b(Autonomous GHASH)：模块内部自动计算H和Y0。最省事，但可能增加初始延迟。

操作流程（以模式10b，使用DMA为例）：

1. 预备阶段（Pre-calculations）：
   • 计算H：将密钥写入KEY寄存器，设置模式为AES-ECB加密，向DATA_IN写入全零数据块，触发操作后，从DATA_OUT读出的结果就是H。将其写入GHASH_H0-GHASH_H3寄存器。
   • 计算J0（IV处理）：对于GCM，IV通常为12字节。需要将其格式化为一个128位块。如果IV不是96位，则需要通过GHASH计算J0。模块支持此操作，但流程较复杂，需参考手册的“IV truncation/pre-calculation”步骤。
2. GCM主体操作：
   • 写入密钥（KEY寄存器）。
   • 写入IV（经过处理的J0，到IV寄存器）。
   • 写入预计算的H（到GHASH_H寄存器）。
   • 配置CTRL寄存器：KEY_SIZ（密钥长度），DIR（方向，1为加密），GCM=2（对应10b），CTR=1（必须！），SAVE_CNTXT=1（我们需要最后的TAG）。
   • 写入AAD长度（AAD_LENGTH）和加密数据长度（C_LENGTH）。注意对齐要求：AAD和加密数据都必须填充到128位（16字节）边界。如果数据本身已对齐，则无需填充；否则，CPU必须在内存中用零填充至下一个16字节边界。例如，15字节的AAD需要补1字节0x00。
   • 配置并启动DMA通道，分别用于向DATA_IN（或DATA_IN别名寄存器）送数据，和从DATA_OUT取数据。AAD数据和加密数据在内存中必须连续存放，AAD在前。
   • 写入C_LENGTH寄存器（或AAD_LENGTH，取决于哪个后写入）以启动操作。
   • DMA自动处理数据搬运。操作完成后，SAVEDCNTXTRDY标志置位。
   • CPU轮询SAVEDCNTXTRDY或等待中断，然后从TAG0-TAG3寄存器读取128位认证标签。

关键陷阱：AAD和加密数据在内存中的连续性要求，仅在使用单个DMA通道提供数据时成立。如果使用CPU通过中断方式逐个写入数据，则没有此限制。这是因为DMA通道是单一路径，而CPU可以分多次写入。

2.2 CCM操作模式精讲

CCM = CTR加密 + CBC-MAC认证。它与GCM不同，认证和加密是串行进行的：先对整个消息（包括AAD和负载）进行CBC-MAC计算得到认证码，然后用CTR模式加密负载，并对认证码进行加密得到最终TAG。

CCM操作流程（加密，使用DMA）：

1. 配置上下文：
   • 写入密钥（KEY寄存器）。
   • 写入IV（IV寄存器）。CCM的IV构造比GCM复杂，它包含标志位、Nonce和消息长度信息，必须严格按照RFC 3610规范构建B0和A0块。这部分通常由软件完成，然后填入IV0-IV3。
   • 配置CTRL寄存器：KEY_SIZ，DIR=1（加密），CCM=1，CTR=1，SAVE_CNTXT=1。特别关注CCML和CCMM字段，它们定义了长度字段和认证标签的长度。
   • 写入AAD长度（AAD_LENGTH）和加密数据长度（C_LENGTH）。同样需要注意128位对齐和填充。
2. 数据流：
   • 数据在内存中的组织同样是AAD在前，加密数据在后，连续存放。
   • 模块内部先处理AAD进行CBC-MAC，然后处理加密数据（同时进行CTR加密和CBC-MAC）。
3. 获取结果：
   • 操作完成后，从TAG0-TAG3读取加密后的认证标签。

GCM与CCM的核心差异与选型建议：

如何选择？如果你的协议栈指定了其中一种（如蓝牙用CCM，Wi-Fi用GCM），那就没得选。如果自主设计，GCM通常因其并行性和性能更受青睐。CCM的优势在于其基于更“传统”的CBC和CTR模式，在某些严格限制的库中可能更容易实现。

3. 实战操作指南：以GCM加密为例的完整代码流程

光说不练假把式。下面我以一个具体的例子，展示如何使用MSPM0的AES模块，通过DMA和轮询SAVEDCNTXTRDY的方式，完成一次GCM加密操作。假设我们要加密一段数据，并附带一些附加认证数据（AAD）。

3.1 硬件与软件初始化

首先，确保你的MSPM0芯片的AES和DMA时钟已使能。这通常在系统初始化代码中完成。

// 1. 启用AES模块时钟（假设使用SysConfig或直接操作寄存器） void AES_Init(void) { // 使能AES外设时钟，例如通过 CMU_xxx 寄存器 // CMU->CLKEN0_SET = CMU_CLKEN0_AES_MASK; // 可选：复位AES模块 // AES->RSTCTL = 0xB1; // 写入KEY // AES->RSTCTL |= 0x1; // 断言复位 // ... 延时 ... // AES->RSTCTL = 0xB1; // 写入KEY // AES->RSTCTL |= 0x2; // 清除复位粘滞位 // 使能AES电源 AES->PWREN = 0x26; // 写入KEY AES->PWREN |= 0x1; // 使能电源 }

3.2 预计算H（哈希子密钥）

GCM操作需要哈希子密钥H，它是用AES-ECB加密一个全零块得到的。

int AES_GCM_Precompute_H(const uint8_t *key, uint8_t key_len, uint32_t *H_out) { // 1. 等待上下文就绪 while ((AES->RIS & (1 << 3)) == 0); // 轮询 CNTXTRDY // 2. 写入密钥 volatile uint32_t *KEY_reg = &(AES->KEY0); for (int i = 0; i < (key_len / 4); i++) { KEY_reg[i] = ((uint32_t*)key)[i]; } // 3. 配置CTRL寄存器：ECB模式，加密，密钥长度 AES->CTRL = (0x1 << 2) | (0x1 << 3); // DIR=1 (加密), KEYSIZE=0x1 (128-bit) // 注意：不设置SAVE_CNTXT，不设置GCM/CTR // 4. 写入全零数据块到DATA_IN volatile uint32_t *DATA_IN = &(AES->DATA0); for (int i = 0; i < 4; i++) { DATA_IN[i] = 0; } // 5. 写入数据长度（1个块 = 16字节）并启动操作 // 对于ECB等基础模式，写入C_LENGTH会启动操作 AES->C_LENGTH_0 = 16; // 加密16字节（一个块） AES->C_LENGTH_1 = 0; // 6. 轮询等待输出就绪 (OUTPUTRDY) while ((AES->RIS & 0x1) == 0); // 7. 从DATA_OUT读取结果，这就是H volatile uint32_t *DATA_OUT = &(AES->DATA0); // 与DATA_IN同地址，但读操作 for (int i = 0; i < 4; i++) { H_out[i] = DATA_OUT[i]; } // 8. 清除中断标志（如果需要） AES->ICLR = 0x1; // 清除OUTPUTRDY标志 return 0; // 成功 }

3.3 配置DMA进行数据搬运

接下来，配置两个DMA通道：一个用于将源数据（AAD+明文）搬运到AES的DATA_IN，另一个用于将DATA_OUT的结果搬运到目标密文缓冲区。

// 假设使用DMA通道0和1，并已初始化DMA控制器 void Configure_AES_DMA(uint32_t aad_plaintext_addr, uint32_t ciphertext_addr, uint32_t total_words) { // DMA通道0配置：从内存到AES_DATA_IN DMA_Channel0->SRC_ADDR = aad_plaintext_addr; DMA_Channel0->DST_ADDR = (uint32_t)&(AES->DATA_IN); // 使用别名寄存器，地址固定 DMA_Channel0->TRANS_SIZE = total_words; // 总字数 (AAD+明文) / 4 DMA_Channel0->TRIG_SEL = DMA_TRIG_SEL_AES_TRIG0; // 触发源为AES Trig0 DMA_Channel0->CONTROL = DMA_CONTROL_ENABLE | DMA_CONTROL_MODE_SINGLE; // DMA通道1配置：从AES_DATA_OUT到内存 DMA_Channel1->SRC_ADDR = (uint32_t)&(AES->DATA_OUT); // 使用别名寄存器 DMA_Channel1->DST_ADDR = ciphertext_addr; DMA_Channel1->TRANS_SIZE = total_words - (aad_len_words); // 仅加密数据的字数 DMA_Channel1->TRIG_SEL = DMA_TRIG_SEL_AES_TRIG1; // 触发源为AES Trig1 DMA_Channel1->CONTROL = DMA_CONTROL_ENABLE | DMA_CONTROL_MODE_SINGLE; // 在AES模块中，使能DMA触发事件，并禁用对应的CPU中断 AES->DMA_TRIG_DATAIN.IMASK = 0x1; // 使能Trig0中断（用于DMA） AES->DMA_TRIG_DATAOUT.IMASK = 0x1; // 使能Trig1中断（用于DMA） AES->IMASK &= ~(0x3); // 禁用INPUTRDY和OUTPUTRDY的CPU中断 // 启用DMA握手模式 AES->DMA_HS |= 0x1; // 设置DMA_DATA_ACK位 }

3.4 执行GCM加密并获取TAG

现在是核心的GCM加密流程。

int AES_GCM_Encrypt_DMA(const uint8_t *key, uint8_t key_len, const uint8_t *iv, uint8_t iv_len, const uint8_t *aad, uint32_t aad_len, const uint8_t *plaintext, uint32_t text_len, uint8_t *ciphertext, uint8_t *tag) { uint32_t H[4]; uint32_t formatted_iv[4] = {0}; uint32_t aad_len_words, text_len_words, total_len_words; // --- 步骤 1: 预计算 H --- if (AES_GCM_Precompute_H(key, key_len, H) != 0) { return -1; } // --- 步骤 2: 准备IV (这里简化处理，假设IV是96位) --- // GCM规范中，96位IV最常用：直接拷贝，最后4字节置为0x00000001 memcpy(formatted_iv, iv, (iv_len > 16) ? 16 : iv_len); if (iv_len == 12) { // 96-bit IV formatted_iv[3] = 0x00000001; // 大端序注意！这里假设是小端机器，实际需按规范处理高位字节。 } else { // 非96位IV需要GHASH计算，此处省略（复杂） return -2; } // --- 步骤 3: 准备数据内存，确保128位对齐和连续性 --- // 计算填充后的长度 uint32_t aad_len_padded = (aad_len + 15) & ~0x0F; uint32_t text_len_padded = (text_len + 15) & ~0x0F; uint8_t *aligned_buffer = malloc(aad_len_padded + text_len_padded); if (!aligned_buffer) return -3; memcpy(aligned_buffer, aad, aad_len); memset(aligned_buffer + aad_len, 0, aad_len_padded - aad_len); // 零填充 memcpy(aligned_buffer + aad_len_padded, plaintext, text_len); memset(aligned_buffer + aad_len_padded + text_len, 0, text_len_padded - text_len); // 零填充 aad_len_words = aad_len_padded / 4; text_len_words = text_len_padded / 4; total_len_words = aad_len_words + text_len_words; // --- 步骤 4: 配置DMA (使用前面定义的函数) --- Configure_AES_DMA((uint32_t)aligned_buffer, (uint32_t)ciphertext, total_len_words); // --- 步骤 5: 写入GCM上下文到AES模块 --- // 等待上下文就绪 while ((AES->RIS & (1 << 3)) == 0); // 写入密钥 volatile uint32_t *KEY_reg = &(AES->KEY0); for (int i = 0; i < (key_len / 4); i++) { KEY_reg[i] = ((uint32_t*)key)[i]; } // 写入IV (formatted_iv) AES->IV0 = formatted_iv[0]; AES->IV1 = formatted_iv[1]; AES->IV2 = formatted_iv[2]; AES->IV3 = formatted_iv[3]; // 写入预计算的H AES->GHASH_H0 = H[0]; AES->GHASH_H1 = H[1]; AES->GHASH_H2 = H[2]; AES->GHASH_H3 = H[3]; // --- 步骤 6: 配置CTRL寄存器 --- uint32_t ctrl_val = 0; ctrl_val |= (0x1 << 2); // DIR=1, 加密 ctrl_val |= (0x1 << 3); // KEYSIZE=0x1, 128-bit密钥 (假设) ctrl_val |= (0x1 << 29); // SAVE_CNTXT=1, 保存TAG ctrl_val |= (0x2 << 16); // GCM=2 (10b), 使用预计算H，内部计算Y0 ctrl_val |= (0x1 << 6); // CTR=1, 必须置位以启用CTR加密 // 注意：不设置CCM, CBC, CFB等位 AES->CTRL = ctrl_val; // --- 步骤 7: 写入长度寄存器，启动操作 --- // 先写AAD长度（字节） AES->AAD_LENGTH = aad_len; // 注意：这里写入原始长度，硬件内部处理填充？ // 关键：根据手册，对于GCM/CCM，写入C_LENGTH会启动操作。 // 长度必须是填充后的字节数吗？手册说“长度递减到零”，且要求128位对齐。 // 安全起见，写入填充后的加密数据字节长度。 AES->C_LENGTH_0 = text_len_padded; AES->C_LENGTH_1 = 0; // --- 步骤 8: 等待操作完成 --- // DMA会自动搬运数据。我们等待SAVEDCNTXTRDY标志，表示TAG就绪。 while ((AES->RIS & (1 << 2)) == 0) { // 此处可加入超时处理 } // --- 步骤 9: 读取认证标签(TAG) --- tag[0] = (AES->TAG0 >> 0) & 0xFF; tag[1] = (AES->TAG0 >> 8) & 0xFF; // ... 读取全部16字节tag ... tag[15] = (AES->TAG3 >> 24) & 0xFF; // --- 步骤 10: 清理 --- free(aligned_buffer); // 可选：清除中断标志，禁用DMA通道等 AES->ICLR = (1 << 2); // 清除SAVEDCNTXTRDY标志 return 0; // 成功 }

3.5 关键配置与陷阱规避

1. 对齐是硬性要求：手册明确要求AAD和加密数据都必须以128位（16字节）为边界。如果你的数据不是16字节的整数倍，必须在送入AES模块前在内存中补零。这个填充 (0^n, 0 <= n <= 127) 且n % 8 = 0是协议的一部分，硬件不帮你做。
2. 长度寄存器写入顺序：对于GCM/CCM，写入C_LENGTH寄存器会触发操作开始。AAD_LENGTH应先于C_LENGTH写入。两个长度都应使用原始字节长度（而非填充后的长度），但硬件要求数据流本身是填充对齐的。这里有点绕，我的实践是：内存中存放填充后的数据，但长度寄存器写入原始长度。有些实现中，硬件会根据输入数据的实际块数工作，所以确保DMA传输的大小是填充后的总大小。
3. DMA握手模式：一旦设置了DMA_HS.DMA_DATA_ACK=1，就不要再使能INPUTRDY和OUTPUTRDY的CPU中断。数据流控制完全交给DMA和AES的硬件握手。
4. 上下文就绪（CNTXTRDY）：在写入新的密钥、IV、模式等上下文参数前，必须确保CNTXTRDY状态位为1。这表示硬件已准备好接受新配置。
5. TAG读取时机：只有在SAVEDCNTXTRDY置位后，TAG0-TAG3寄存器中的内容才是有效的本次操作的认证标签。读完后，该标志位需要通过写ICLR寄存器相应位来清除。

4. 常见问题排查与调试技巧

即使按照手册一步步来，在实际调试中还是会遇到各种问题。下面是我踩过的一些坑和解决办法。

4.1 典型问题速查表

4.2 调试心得与高级技巧

1. 善用状态寄存器：CTRL寄存器里的INPUT_RDY和OUTPUT_RDY位（只读）是实时反映缓冲区状态的。在调试DMA问题时，可以轮询它们，看是否在数据搬运期间正常翻转。STATUS寄存器可以查看密钥写入状态。
2. 分阶段验证：对于复杂的GCM/CCM，不要试图一次性调通。先调通基础的ECB或CBC模式加密，确保密钥加载、数据通路、DMA触发没问题。然后再启用CTR模式。最后再加上认证部分（GCM/CCM）。
3. 使用已知答案测试向量（KAT）：NIST或RFC规范文档提供了标准的测试向量。用一小段数据（例如，一个块）和已知的密钥、IV、AAD，先让CPU以轮询方式（不用DMA）实现加密，比对输出和TAG。这是验证硬件配置和基本流程是否正确的最可靠方法。
4. 中断与轮询混合使用：在一些场景下，可以混合使用。例如，用DMA处理大数据块搬运（中断禁用），但用CPU中断来处理操作完成事件（SAVEDCNTXTRDY）。只需注意管理好各自的标志位清除。
5. 功耗考量：在轮询RIS寄存器时，CPU处于忙等待状态，功耗较高。如果系统对功耗敏感，且操作不是时间紧迫的，应尽量使用中断模式，让CPU在等待期间进入睡眠模式。
6. 错误恢复：如果操作超时或失败，最干净的恢复方式是对AES模块进行软复位（通过RSTCTL寄存器），然后重新初始化。避免在未知状态下继续操作。

最后，再强调一下手册里的一个警告：“Do not load both length values with zeroes”。不要在C_LENGTH和AAD_LENGTH都为零时启动操作。对于GCM/CCM，至少有一个长度应该大于零。对于基础加密模式，长度为零可能被解释为无限长度，导致模块持续等待数据。

MSPM0的AES模块功能强大，但细节繁多。理解中断/轮询机制是灵活控制它的基础，而吃透GCM/CCM的协议要求和硬件操作序列则是正确使用的关键。希望这篇结合实战经验的详解，能帮你绕过我当年踩过的那些坑，更高效地驾驭这颗芯片的加密引擎。