基于Blackfin Lockbox的IP保護技術(shù)

三、基于Lockbox的IP保護認證技術(shù)

Lockbox提供了一系列的芯片級別的安全技術(shù)，基于這些安全技術(shù)，開(kāi)發(fā)人員可以設計靈活的產(chǎn)品IP保護方案。我們將介紹基于Lockbox上的ECDSA數字簽名認證流程的IP保護技術(shù)。

Lockbox上的ECDSA數字簽名產(chǎn)生以及認證流程具體分為片外數字簽名準備階段和片上數字簽名認證階段。在片外數字簽名準備階段，首先通過(guò)橢圓曲線(xiàn)加密法（ECC）產(chǎn)生一對非對稱(chēng)密鑰，公有密鑰和私有密鑰，公有密鑰寫(xiě)入基于Blackfin處理器終端的OTP公有區域某個(gè)特定的位置，私有密鑰則由產(chǎn)品開(kāi)發(fā)公司安全保管。對需要認證的應用程序，通過(guò)SHA-1計算產(chǎn)生一個(gè)數字摘要，然后用私有密鑰對數字摘要進(jìn)行加密，產(chǎn)生一個(gè)數字簽名信息。最后把數字簽名信息以及對應的應用程序通過(guò)DMA或者其他的方式放入片內存儲區域，觸發(fā)一個(gè)相應的中斷，由對應的已經(jīng)寫(xiě)入片內ROM的中斷處理程序（ECDSA數字簽名認證算法）將會(huì )自動(dòng)地進(jìn)行數字簽名認證。

在片上的數字簽名認證階段，中斷處理程序通過(guò)讀出OTP存儲器中的公有密鑰對數字簽名信息進(jìn)行解密，得到一個(gè)解密后的數字摘要，同時(shí)，對片上的應用程序進(jìn)行SHA-1的數字摘要計算，并與解密后的數字摘要進(jìn)行比較，如果相等，則數字簽名認證成功，表明，片上的應用程序來(lái)源得到驗證，并且確認片上的應用程序的內容不會(huì )以任何方式被改變，從而對應用程序的完整性進(jìn)行檢驗。

經(jīng)過(guò)ECDSA數字簽名成功認證的應用程序將會(huì )獲得系統運行權，并運行在Blackfin提供的安全模式下，控制整個(gè)系統的安全訪(fǎng)問(wèn)，比如可以關(guān)閉JTAG和片上SRAM的外部DMA訪(fǎng)問(wèn)，讀取預先存放在OTP私有區域的AES 密鑰，調用AES解密算法解密放在片外的預先經(jīng)過(guò)加密的部分代碼和數據，并把解密后的明文放在片內運行，以實(shí)現代碼的機密性，從而實(shí)現產(chǎn)品的IP保護，當機密性的代碼運行完畢以后，可以通過(guò)調用系統提供的清除函數，清除當前的關(guān)鍵信息，退回到公開(kāi)模式下面運行。系統也可以根據需要，多次靈活地進(jìn)入和退出安全模式。

由此可見(jiàn)，基于Blackfin Lockbox的安全技術(shù)可以從以下三個(gè)方面來(lái)提供安全特性。

* 真實(shí)性/來(lái)源驗證

Lockbox安全技術(shù)支持對一段應用程序的數字簽名進(jìn)行驗證，來(lái)確認應用程序和數據來(lái)源的真實(shí)性。

* 完整性

開(kāi)發(fā)人員可使用數字簽名認證技術(shù)來(lái)確保存儲介質(zhì)的消息或內容不會(huì )以任何方式被改變。利用Lockbox數字簽名鑒定的真實(shí)性可以對完整性進(jìn)行檢驗。

* 機密性

在安全模式下面，加密/解密服務(wù)能防止未經(jīng)批準的用戶(hù)看到并使用特定數據。

產(chǎn)品設計者可以根據自己的系統安全性的需要，靈活的運用這些芯片級別的安全技術(shù)，設計出具有良好安全魯棒性的產(chǎn)品，實(shí)現嵌入式產(chǎn)品的IP保護。

結論

嵌入式系統可以通過(guò)采用各種安全技術(shù)，從不同的級別來(lái)增加系統的安全性，實(shí)現IP保護?；谔幚砥骷墑e的安全技術(shù)能夠從系統設計一開(kāi)始就引入安全性的考慮，使系統具有更強的魯棒性。Blackfin處理器提供的Lockbox安全技術(shù)的能夠從系統的來(lái)源性，完整性，機密性提供全方位的安全保護，不僅可以應用于嵌入式系統的IP保護中，而且也可以應用在數據的安全傳輸，電子商務(wù)的身份認證、數字版權管理（DRM）內容保護等各種應用場(chǎng)景中。