基于Blackfin Lockbox的IP保護(hù)技術(shù)

三、基于Lockbox的IP保護(hù)認(rèn)證技術(shù)

Lockbox提供了一系列的芯片級(jí)別的安全技術(shù)，基于這些安全技術(shù)，開(kāi)發(fā)人員可以設(shè)計(jì)靈活的產(chǎn)品IP保護(hù)方案。我們將介紹基于Lockbox上的ECDSA數(shù)字簽名認(rèn)證流程的IP保護(hù)技術(shù)。

Lockbox上的ECDSA數(shù)字簽名產(chǎn)生以及認(rèn)證流程具體分為片外數(shù)字簽名準(zhǔn)備階段和片上數(shù)字簽名認(rèn)證階段。在片外數(shù)字簽名準(zhǔn)備階段，首先通過(guò)橢圓曲線加密法（ECC）產(chǎn)生一對(duì)非對(duì)稱密鑰，公有密鑰和私有密鑰，公有密鑰寫入基于Blackfin處理器終端的OTP公有區(qū)域某個(gè)特定的位置，私有密鑰則由產(chǎn)品開(kāi)發(fā)公司安全保管。對(duì)需要認(rèn)證的應(yīng)用程序，通過(guò)SHA-1計(jì)算產(chǎn)生一個(gè)數(shù)字摘要，然后用私有密鑰對(duì)數(shù)字摘要進(jìn)行加密，產(chǎn)生一個(gè)數(shù)字簽名信息。最后把數(shù)字簽名信息以及對(duì)應(yīng)的應(yīng)用程序通過(guò)DMA或者其他的方式放入片內(nèi)存儲(chǔ)區(qū)域，觸發(fā)一個(gè)相應(yīng)的中斷，由對(duì)應(yīng)的已經(jīng)寫入片內(nèi)ROM的中斷處理程序（ECDSA數(shù)字簽名認(rèn)證算法）將會(huì)自動(dòng)地進(jìn)行數(shù)字簽名認(rèn)證。

在片上的數(shù)字簽名認(rèn)證階段，中斷處理程序通過(guò)讀出OTP存儲(chǔ)器中的公有密鑰對(duì)數(shù)字簽名信息進(jìn)行解密，得到一個(gè)解密后的數(shù)字摘要，同時(shí)，對(duì)片上的應(yīng)用程序進(jìn)行SHA-1的數(shù)字摘要計(jì)算，并與解密后的數(shù)字摘要進(jìn)行比較，如果相等，則數(shù)字簽名認(rèn)證成功，表明，片上的應(yīng)用程序來(lái)源得到驗(yàn)證，并且確認(rèn)片上的應(yīng)用程序的內(nèi)容不會(huì)以任何方式被改變，從而對(duì)應(yīng)用程序的完整性進(jìn)行檢驗(yàn)。

經(jīng)過(guò)ECDSA數(shù)字簽名成功認(rèn)證的應(yīng)用程序?qū)?huì)獲得系統(tǒng)運(yùn)行權(quán)，并運(yùn)行在Blackfin提供的安全模式下，控制整個(gè)系統(tǒng)的安全訪問(wèn)，比如可以關(guān)閉JTAG和片上SRAM的外部DMA訪問(wèn)，讀取預(yù)先存放在OTP私有區(qū)域的AES 密鑰，調(diào)用AES解密算法解密放在片外的預(yù)先經(jīng)過(guò)加密的部分代碼和數(shù)據(jù)，并把解密后的明文放在片內(nèi)運(yùn)行，以實(shí)現(xiàn)代碼的機(jī)密性，從而實(shí)現(xiàn)產(chǎn)品的IP保護(hù)，當(dāng)機(jī)密性的代碼運(yùn)行完畢以后，可以通過(guò)調(diào)用系統(tǒng)提供的清除函數(shù)，清除當(dāng)前的關(guān)鍵信息，退回到公開(kāi)模式下面運(yùn)行。系統(tǒng)也可以根據(jù)需要，多次靈活地進(jìn)入和退出安全模式。

由此可見(jiàn)，基于Blackfin Lockbox的安全技術(shù)可以從以下三個(gè)方面來(lái)提供安全特性。

* 真實(shí)性/來(lái)源驗(yàn)證

Lockbox安全技術(shù)支持對(duì)一段應(yīng)用程序的數(shù)字簽名進(jìn)行驗(yàn)證，來(lái)確認(rèn)應(yīng)用程序和數(shù)據(jù)來(lái)源的真實(shí)性。

* 完整性

開(kāi)發(fā)人員可使用數(shù)字簽名認(rèn)證技術(shù)來(lái)確保存儲(chǔ)介質(zhì)的消息或內(nèi)容不會(huì)以任何方式被改變。利用Lockbox數(shù)字簽名鑒定的真實(shí)性可以對(duì)完整性進(jìn)行檢驗(yàn)。

* 機(jī)密性

在安全模式下面，加密/解密服務(wù)能防止未經(jīng)批準(zhǔn)的用戶看到并使用特定數(shù)據(jù)。

產(chǎn)品設(shè)計(jì)者可以根據(jù)自己的系統(tǒng)安全性的需要，靈活的運(yùn)用這些芯片級(jí)別的安全技術(shù)，設(shè)計(jì)出具有良好安全魯棒性的產(chǎn)品，實(shí)現(xiàn)嵌入式產(chǎn)品的IP保護(hù)。

結(jié)論

嵌入式系統(tǒng)可以通過(guò)采用各種安全技術(shù)，從不同的級(jí)別來(lái)增加系統(tǒng)的安全性，實(shí)現(xiàn)IP保護(hù)?；谔幚砥骷?jí)別的安全技術(shù)能夠從系統(tǒng)設(shè)計(jì)一開(kāi)始就引入安全性的考慮，使系統(tǒng)具有更強(qiáng)的魯棒性。Blackfin處理器提供的Lockbox安全技術(shù)的能夠從系統(tǒng)的來(lái)源性，完整性，機(jī)密性提供全方位的安全保護(hù)，不僅可以應(yīng)用于嵌入式系統(tǒng)的IP保護(hù)中，而且也可以應(yīng)用在數(shù)據(jù)的安全傳輸，電子商務(wù)的身份認(rèn)證、數(shù)字版權(quán)管理（DRM）內(nèi)容保護(hù)等各種應(yīng)用場(chǎng)景中。