基于Blackfin Lockbox的IP保護(hù)技術(shù)

我們從安全性，可行性，以及成本三個(gè)方面對(duì)上述的三種級(jí)別的IP保護(hù)技術(shù)進(jìn)行了比較，如表1-1所示。我們可以看到芯片級(jí)別的IP技術(shù)保護(hù)具有較高的安全性、可行性，以及較低的成本，是一種好的IP保護(hù)方式，我們接著要介紹的Analog Device公司的Blackfin處理器提供的Lockbox就是基于芯片級(jí)別的安全技術(shù)。

表1-1

二、Lockbox安全技術(shù)介紹

ADI公司Blackfin處理器采用的Lockbox安全技術(shù)是從芯片級(jí)別出發(fā)，基于標(biāo)準(zhǔn)算法的數(shù)字簽名認(rèn)證概念，為執(zhí)行代碼與需要保護(hù)的數(shù)據(jù)提供安全處理環(huán)境，從而實(shí)現(xiàn)嵌入式系統(tǒng)的知識(shí)產(chǎn)權(quán)、電子商務(wù)和社會(huì)聯(lián)網(wǎng)系統(tǒng)中設(shè)備和用戶身份的驗(yàn)證、數(shù)字版權(quán)管理（DRM）等保護(hù)。

首先，Lockbox安全技術(shù)提供單次可編程（OTP）片上存儲(chǔ)器， OTP存儲(chǔ)器分為公有區(qū)域和私有區(qū)域，其公有區(qū)域是公共、非安全、用戶可以無(wú)條件訪問(wèn)的區(qū)域，適合于存儲(chǔ)用于對(duì)系統(tǒng)進(jìn)行鑒定的公共密鑰，這樣開(kāi)發(fā)人員可以用可控制與可配置的方式鑒別系統(tǒng)。OTP存儲(chǔ)器的私有區(qū)域是安全、用戶可編程區(qū)域，并只有系統(tǒng)在進(jìn)入安全模式下才能被訪問(wèn)的，使開(kāi)發(fā)人員可以保存私人密鑰等私有設(shè)備資源,并保證這些資源的機(jī)密性和完整性。

同時(shí)，每一片Blackfin芯片都有一個(gè)唯一的CHIP ID，存放在OTP公有區(qū)域的特定某個(gè)頁(yè)面，系統(tǒng)開(kāi)發(fā)人員可以充分利用這個(gè)芯片編號(hào)，實(shí)現(xiàn)軟件和硬件平臺(tái)的綁定。

其次，Lockbox?安全技術(shù)提供片上的指令ROM存儲(chǔ)器，并把密碼學(xué)的一些標(biāo)準(zhǔn)算法放在指令ROM存儲(chǔ)器里面。在指令ROM存儲(chǔ)器中，提供了經(jīng)過(guò)優(yōu)化處理的橢圓曲線數(shù)字簽名（ECDSA）認(rèn)證算法， 該認(rèn)證算法主要是由以下2個(gè)密碼學(xué)算法組成，

* 橢圓曲線加密法（ECC）的非對(duì)稱密碼算法

* SHA-1安全單向Hash算法

這些算法都是公開(kāi)的，并且經(jīng)過(guò)實(shí)踐驗(yàn)證過(guò)的，具有非常高的安全性。ECDSA數(shù)字簽名認(rèn)證主要用來(lái)驗(yàn)證代碼和數(shù)據(jù)來(lái)源的可靠性，以及代碼和數(shù)據(jù)的完整性。整個(gè)數(shù)字簽名的認(rèn)證流程已經(jīng)固化在Blackfin片內(nèi)的ROM中，系統(tǒng)開(kāi)發(fā)人員只需要出發(fā)一個(gè)相應(yīng)的中斷觸發(fā)即可。Lockbox技術(shù)確保只有成功通過(guò)ECDSA數(shù)字簽名的應(yīng)用程序才可以運(yùn)行在安全模式下，這樣運(yùn)行在安全模式下面的代碼其來(lái)源一定是可靠的，并且沒(méi)有被篡改過(guò)。

同時(shí)，Lockbox的片上ROM里面也提供一些標(biāo)準(zhǔn)的密碼學(xué)算法，AES，RC4算法，這些算法都是經(jīng)過(guò)與處理器相關(guān)的性能優(yōu)化，具有較高的處理性能，并以API的形式提供給系統(tǒng)開(kāi)發(fā)人員使用。

最后，Lockbox安全技術(shù)通過(guò)采用軟硬件結(jié)合提供一種安全處理模式（Blackfin安全模式）。正常開(kāi)機(jī)流程下，系統(tǒng)運(yùn)行在公開(kāi)模式下，在這種模式下面，系統(tǒng)不能訪問(wèn)OTP私有區(qū)域，不能控制JTAG的關(guān)閉，只有成功通過(guò)ECDSA數(shù)字簽名認(rèn)證的代碼和數(shù)據(jù)才能進(jìn)入安全模式下，在安全模式下，系統(tǒng)才可以動(dòng)態(tài)控制JTAG的關(guān)閉或打開(kāi)，訪問(wèn)OTP私有的存儲(chǔ)區(qū)域，動(dòng)態(tài)配置片上SRAM的外部DMA訪問(wèn)控制等各種操作。