基于Blackfin Lockbox的IP保護技術(shù)

我們從安全性，可行性，以及成本三個(gè)方面對上述的三種級別的IP保護技術(shù)進(jìn)行了比較，如表1-1所示。我們可以看到芯片級別的IP技術(shù)保護具有較高的安全性、可行性，以及較低的成本，是一種好的IP保護方式，我們接著(zhù)要介紹的Analog Device公司的Blackfin處理器提供的Lockbox就是基于芯片級別的安全技術(shù)。

表1-1

二、Lockbox安全技術(shù)介紹

ADI公司Blackfin處理器采用的Lockbox安全技術(shù)是從芯片級別出發(fā)，基于標準算法的數字簽名認證概念，為執行代碼與需要保護的數據提供安全處理環(huán)境，從而實(shí)現嵌入式系統的知識產(chǎn)權、電子商務(wù)和社會(huì )聯(lián)網(wǎng)系統中設備和用戶(hù)身份的驗證、數字版權管理（DRM）等保護。

首先，Lockbox安全技術(shù)提供單次可編程（OTP）片上存儲器， OTP存儲器分為公有區域和私有區域，其公有區域是公共、非安全、用戶(hù)可以無(wú)條件訪(fǎng)問(wèn)的區域，適合于存儲用于對系統進(jìn)行鑒定的公共密鑰，這樣開(kāi)發(fā)人員可以用可控制與可配置的方式鑒別系統。OTP存儲器的私有區域是安全、用戶(hù)可編程區域，并只有系統在進(jìn)入安全模式下才能被訪(fǎng)問(wèn)的，使開(kāi)發(fā)人員可以保存私人密鑰等私有設備資源,并保證這些資源的機密性和完整性。

同時(shí)，每一片Blackfin芯片都有一個(gè)唯一的CHIP ID，存放在OTP公有區域的特定某個(gè)頁(yè)面，系統開(kāi)發(fā)人員可以充分利用這個(gè)芯片編號，實(shí)現軟件和硬件平臺的綁定。

其次，Lockbox?安全技術(shù)提供片上的指令ROM存儲器，并把密碼學(xué)的一些標準算法放在指令ROM存儲器里面。在指令ROM存儲器中，提供了經(jīng)過(guò)優(yōu)化處理的橢圓曲線(xiàn)數字簽名（ECDSA）認證算法， 該認證算法主要是由以下2個(gè)密碼學(xué)算法組成，

* 橢圓曲線(xiàn)加密法（ECC）的非對稱(chēng)密碼算法

* SHA-1安全單向Hash算法

這些算法都是公開(kāi)的，并且經(jīng)過(guò)實(shí)踐驗證過(guò)的，具有非常高的安全性。ECDSA數字簽名認證主要用來(lái)驗證代碼和數據來(lái)源的可靠性，以及代碼和數據的完整性。整個(gè)數字簽名的認證流程已經(jīng)固化在Blackfin片內的ROM中，系統開(kāi)發(fā)人員只需要出發(fā)一個(gè)相應的中斷觸發(fā)即可。Lockbox技術(shù)確保只有成功通過(guò)ECDSA數字簽名的應用程序才可以運行在安全模式下，這樣運行在安全模式下面的代碼其來(lái)源一定是可靠的，并且沒(méi)有被篡改過(guò)。

同時(shí)，Lockbox的片上ROM里面也提供一些標準的密碼學(xué)算法，AES，RC4算法，這些算法都是經(jīng)過(guò)與處理器相關(guān)的性能優(yōu)化，具有較高的處理性能，并以API的形式提供給系統開(kāi)發(fā)人員使用。

最后，Lockbox安全技術(shù)通過(guò)采用軟硬件結合提供一種安全處理模式（Blackfin安全模式）。正常開(kāi)機流程下，系統運行在公開(kāi)模式下，在這種模式下面，系統不能訪(fǎng)問(wèn)OTP私有區域，不能控制JTAG的關(guān)閉，只有成功通過(guò)ECDSA數字簽名認證的代碼和數據才能進(jìn)入安全模式下，在安全模式下，系統才可以動(dòng)態(tài)控制JTAG的關(guān)閉或打開(kāi)，訪(fǎng)問(wèn)OTP私有的存儲區域，動(dòng)態(tài)配置片上SRAM的外部DMA訪(fǎng)問(wèn)控制等各種操作。