基于Blackfin Lockbox的IP保護技術

我們從安全性，可行性，以及成本三個方面對上述的三種級別的IP保護技術進行了比較，如表1-1所示。我們可以看到芯片級別的IP技術保護具有較高的安全性、可行性，以及較低的成本，是一種好的IP保護方式，我們接著要介紹的Analog Device公司的Blackfin處理器提供的Lockbox就是基于芯片級別的安全技術。

表1-1

二、Lockbox安全技術介紹

ADI公司Blackfin處理器采用的Lockbox安全技術是從芯片級別出發，基于標準算法的數字簽名認證概念，為執行代碼與需要保護的數據提供安全處理環境，從而實現嵌入式系統的知識產權、電子商務和社會聯網系統中設備和用戶身份的驗證、數字版權管理（DRM）等保護。

首先，Lockbox安全技術提供單次可編程（OTP）片上存儲器， OTP存儲器分為公有區域和私有區域，其公有區域是公共、非安全、用戶可以無條件訪問的區域，適合于存儲用于對系統進行鑒定的公共密鑰，這樣開發人員可以用可控制與可配置的方式鑒別系統。OTP存儲器的私有區域是安全、用戶可編程區域，并只有系統在進入安全模式下才能被訪問的，使開發人員可以保存私人密鑰等私有設備資源,并保證這些資源的機密性和完整性。

同時，每一片Blackfin芯片都有一個唯一的CHIP ID，存放在OTP公有區域的特定某個頁面，系統開發人員可以充分利用這個芯片編號，實現軟件和硬件平臺的綁定。

其次，Lockbox?安全技術提供片上的指令ROM存儲器，并把密碼學的一些標準算法放在指令ROM存儲器里面。在指令ROM存儲器中，提供了經過優化處理的橢圓曲線數字簽名（ECDSA）認證算法， 該認證算法主要是由以下2個密碼學算法組成，

* 橢圓曲線加密法（ECC）的非對稱密碼算法

* SHA-1安全單向Hash算法

這些算法都是公開的，并且經過實踐驗證過的，具有非常高的安全性。ECDSA數字簽名認證主要用來驗證代碼和數據來源的可靠性，以及代碼和數據的完整性。整個數字簽名的認證流程已經固化在Blackfin片內的ROM中，系統開發人員只需要出發一個相應的中斷觸發即可。Lockbox技術確保只有成功通過ECDSA數字簽名的應用程序才可以運行在安全模式下，這樣運行在安全模式下面的代碼其來源一定是可靠的，并且沒有被篡改過。

同時，Lockbox的片上ROM里面也提供一些標準的密碼學算法，AES，RC4算法，這些算法都是經過與處理器相關的性能優化，具有較高的處理性能，并以API的形式提供給系統開發人員使用。

最后，Lockbox安全技術通過采用軟硬件結合提供一種安全處理模式（Blackfin安全模式）。正常開機流程下，系統運行在公開模式下，在這種模式下面，系統不能訪問OTP私有區域，不能控制JTAG的關閉，只有成功通過ECDSA數字簽名認證的代碼和數據才能進入安全模式下，在安全模式下，系統才可以動態控制JTAG的關閉或打開，訪問OTP私有的存儲區域，動態配置片上SRAM的外部DMA訪問控制等各種操作。