數字媒體裝置的下一代安全技術

　　一個并不輕松的話題

　　人們對于應該在何種程度上對音樂、電影和其他數字媒體運用數字版權管理（digital rights management，DRM）的問題的爭論達到了白熱化的程度。從消費類電子OEM 的角度來看，幾個基本問題是毋庸爭論的。首先，大多數內容的擁有者繼續堅持將DRM的安全性作為向便攜式電子產品[如媒體播放器（PMP）]提供優質內容（premium content）的前提條件。OEM們也有必要在人們使用自己的產品來解鎖受保護的數字媒體內容時防備自己不至于成為司法訴訟的對象。

　　鑒于當前的防復制機制已經被破解，而且破解方法被黑客們貼到了Web上，OEM們所剩下的招數就是力爭在他們的裝置上實現防篡改能力更強的安全防護功能。當電子商務和社交網絡應用也摻和進來時，難度就相應上升。

　　上述的局面就從兩個方面對OEM們提出了挑戰：如何為其裝置吸引到更多的優質內容以擴展生意；同時，如何減少違責風險（liability exposure）以避免財務上的損失。制造商們堅持尋求提高PMP和其他裝置的安全防護等級的方法，這帶來的好處將遠遠超出DRM的應用。

　　DRM方案雖多，卻需面對同樣問題。

　　消費類電子OEM所面對的一個實際情況是，沒有一種DRM方案能在任何地方都占盡優勢，而且這些方案目前也沒有實現兼容性。當前領先的方案包括： FairPlayò （Apple）、Windows Mediaò DRM 10 （Microsoft）和 OMA （Open Mobile Alliance，開放移動聯盟）技術。

　　隨著內容的擁有者努力推動更為嚴格的保護措施的采用，在整個業界范圍內對于制造符合DRM要求的 PMP和類似裝置的要求正變得越來越嚴格。于是，開發者將不得不在防范性鑒定方面采取更強有力的措施，這將確保只有經過授權的裝置才能獲取受到保護的媒體或者個人數據。集成的、基于硬件的安全性——當前尚未普及——在保護私人密鑰和密鑰的安全交換方面變得必不可少，其目的是保護在下載和上載過程中的數據傳送。

　　要看到另一個趨勢：越來越多的消費者被DRM弄得十分沮喪。這樣的情形正在推動某些內容分發服務商嘗試提供無DRM管理的內容，特別是在錄音行業。消費者和某些技術行業的領先者也在推動新的使用模式的采用，如能夠在其所擁有的全部裝置上合法地拷貝下載內容。

　　吃上官司的風險

　　美國數字千年版權法案（Digital Millennium Copyright Act，DMCA）中的條文在很多方面都牽涉到那些提供可獲取媒體內容的裝置的制造商們。美國境內出售的產品以及在全世界出售的消費類電子產品，都有可能會受到某種法案的約束。 DMCA在1998年通過后，許多國家也頒行了類似的法案。

　　OEM被夾在兩個群體的中間：一邊是受到DMCA保護的內容擁有者，而另一邊則是不愿意購買那些無法按自己的方式來使用的產品的消費者。在設計消費類電子時，OEM事實上必須決定什么才是公平、恰當的使用那些受到保護的內容的方式。限制過嚴的產品一定賣得不好；而一種招致數字媒體提供商的攻訐的產品，必然使自己的制造商陷入訴訟之中。SonicBlue就是一個例子：它推出的ReplayTV個人視頻錄像機上的可跳過商業廣告和文件共享的功能，遭到了數家廣播公司的起訴，吃了這場官司之后， SonicBlue只好宣布破產出于讓生意蒸蒸日上以及減少風險的考慮，OEM希望找到能實現裝置級的安全保護能力的方法。內容的保護是一個很好的起點，因為它是許多當前所關心的問題的核心。

　　當前DRM的實施方式

　　當前的安全方案一般是基于對數字簽名的鑒別這一基本理念，數字簽名則使用公共密鑰密碼的方法來對裝置進行鑒別，并對數字內容進行加密以保護數據。這種方法對一個安全的裝置來說，意味著相應的設計可以為代碼執行和密碼資產（如密鑰）的保護提供安全可靠的處理環境許多DRM的實施目前是通過軟件或者封裝（encapsulation）技術來保護版權管理對象（數字媒體內容）和秘密資產。

　　純軟件的實現方法可以基于操作系統的安全和非安全環境的隔離來實現。不過，這些實現方法并不安全，因為它們易受到簡單的軟件攻擊和硬件攻擊（如使用仿真硬件或者代碼注入方法）的破壞。

　　使用軟件來打亂秘密資產是現有的DRM具體實施用來隱藏DRM密鑰的另一種方法。但是內存分析卻使得這一技術不再有效。

　　將秘密資產封裝到可信任模塊（trusted module）中是另外一種常用的辦法。雖然可信任模塊本身可能是安全的，但整個平臺卻并非安全。黑客們可以在數據出入可信任模塊的過程中或者當數據還在可信任模塊之外時通過總線監測和軟件攻擊的方法來竊取秘密資產。

　　底線是，無論他們采用軟件模糊法還是集成到可信模塊內的方法，現有的DRM的實現無法提供足夠保護力，因為它們并不是全面的、整體性的方法。對整個系統進行保護很有必要，Analog Devices的 Blackfinò處理器提供了Lockbox Secure Technology，其相應的靈活的功能組合可以被開發者用來在PMP和類似產品上實現安全的DRM和其他保護性措施。

　　Blackfin Lockbox安全防護技術

　　無論是DRM還是其他方面的需求，考慮在PMP和類似產品上配備裝置級安全措施都是很有意義的，這樣做有3個目的：內容保護，即確保只有在得到許可的情況下才能使用優質內容；保護秘密，如個人數據和知識產權；裝置和用戶的身份識別。

　　Blackfin Lockbox Secure Technology的設計目標是讓OEM們能實現上述這些目標。它利用硬件和軟件元件保護安全內存空間并只容許經過鑒別的代碼來控制各種安全保護功能。

　　總的來看，Blackfin Lockbox Secure Technology各組成部分可以提供開發者在滿足數字媒體裝置安全需求時所需采用的各種重要的功能。

　　*來源的驗證 　Blackfin Lockbox Secure Technology可以通過對嵌入一段代碼映像的數字簽名來對其進行驗證，并準備了一個用于識別實體和數據來源的流程。

　　*完整性　用戶可以使用Blackfin Lockbox Secure Technology的數字簽名認證流程來確保存儲介質的消息或者內容不會以任何方式被改變。完整性可以利用數字簽名的鑒定進行檢驗。

　　*機密性　密碼加密/解密可以服務于必須有能力防止未經批準的用戶看到并使用特定文件和流的情形。Blackfin Lockbox Secure Technology的安全處理環境（安全模式）和安全內存則支持機密保護。

　　*可更新性　Blackfin Lockbox Secure Technology 的芯片專有ID（Unique Chip ID）與一個可信的DRM agent（由OEM采購）結合起來，可以讓開發者實現DRM系統的可更新性。

　　單次可編程（One-time programmable，OTP）的存儲器是Blackfin Lockbox Secure Technology用來實現這些功能的部件之一。它的位于OTP內存中的公開化、非受保護的、用戶可編程的區域，適合于存儲用于對系統進行鑒定的公共密鑰，這種存儲方式應該可以由OEM來控制和定義。OTP存儲器的一個私人性的、受到安全保護的、可由用戶編程的區域則讓開發者對它們自己私有裝置的資產（如私有密鑰）進行編程并維持這些資產的機密性和完整性。私有的、安全的OTP存儲只有通過Blackfin的安全模式才能訪問，這種模式只有在數字簽名鑒定流程完成后才能進入。

　　安全模式使得系統的具體實施中只有經過鑒定的、受到信任的代碼能執行DRM操作或者關鍵性的子集，如證書的處理或者版權對象的處理。存儲保護為解密后的DRM內容和內容的解讀密鑰提供了安全的存儲。

　　與DRM 相關的一些特有的優點是什么？全面運用Blackfin Lockbox Secure Technology的所有功能的話，開發者就可以通過安全的鑒定過程以及對器件ID和控制對數字媒體文件的訪問性的DRM密鑰的不斷更新，來提高對優質內容的非經認證的使用的防護水平。使用私有的、安全的OTP存儲區域和安全模式可以大大增加將DRM從數字媒體中除去的難度，從而把一個普通的裝置變換成一個先進的、帶安全防護的裝置。

　　DRM實施方法示例

　　下面舉例予以說明。下圖示出如何利用Lockbox Secure Technology 在便攜式音頻播放器中實現DRM的可能方法。在這一虛構的實現方案中，DRM agent和音頻解碼器已經得到了廠商的數字簽名，因此可獲得人們信任，從而能在受到安全保護的平臺上運行。

　　在經歷了數字簽名鑒定過程后（來源驗證和完整性），DRM agent贏得了“受信任的代碼”的地位，從而有權訪問受保護的環境（包括受保護的OTP存儲）。在典型的DRM架構中，DRM利用用該裝置存儲在受保護的OTP存儲中的私有密鑰來從版權對象中提取用于對音頻內容進行解密所需的內容密鑰。內容密鑰可以安全地存儲在受保護的數據存儲區中，在這里它仍然不會被那些未得到信任的代碼訪問。DRM agent使用內容密鑰來對受到保護的DRM內容進行解密，并將解密后的內容存入受到安全保護的數據存儲中。

　　音頻解碼器經過了簽名的驗證，以贏得“可信任代碼”的地位。一旦通過驗證，音頻解碼器就被授予訪問受保護環境的許可。它可以對加密后的音頻內容進行解碼，并將所生成的音頻樣本存儲到受到保護的或者不受保護的存儲區中，具體到哪個區域，則取決于要求和可獲得的存儲空間。

　　IP、電子商務、社交網絡與個人數據保護

　　在器件級上支持DRM的一種更完善的辦法與用Blackfin Lockbox Secure Technology可以實現的一個目標是相一致的。對于消費類電子的制造商來說，保護好自己的知識產權（IP）的防護措施是優先要考慮的問題， Lockbox Secure Technology的功能為實現這方面的功能提供了一個有效的機制。

　　Lockbox Secure Technology存儲芯片專有ID（Unique Chip ID）的能力可以讓開發者將自己的軟件鎖在裝置中，以防止當裝置被人仿冒時這些代碼被復制和復用。OEM還可以利用Blackfin 的安全模式來維持機密性和防止IP盜用。

　　另外，通過采用Lockbox Secure Technology而實現的更優化的器件鑒定能力，可以支持得到充分保護的電子商務和社交網絡的端－端文件共享。舉例來說，OEM可以容許消費者合法地截取受到保護的內容的樣本并提供給自己的朋友，以此來運用能在裝置層次上實現的更高的安全性。

　　若使用Lockbox Secure Technology來實現更安全的密鑰處理，則可以建立安全的通信會話，以便在下載和上載過程中保護數據的傳輸。

　　OEM 們也有機會利用Lockbox Secure Technology來保護個人數據。消費者可以對自己個人數據的安全性有更強的信心，在得到正確授權的裝置上購物或者在個人的社交網絡上共享信息。例如，安全性可以得到擴展，以包括裝置上的數字身份管理。裝置的丟失并不一定會危及個人信息。只要消費者用恰當的口令鎖定裝置的話，鑒別功能就可以讓私人數據免受窺測。

　　正如對連接到Internet的PC提供加密保護協議（SSL和S－HTTP）使得電子商務在1990年代開始興旺起來，一旦這樣的安全鑒別和處理能力能在PMP和類似產品上啟用的話，就可以搭建一個舞臺，讓這些裝置可以實現的服務和處理的內容得以快速增長。

　　消費者的滿意程度

　　再回到DRM的話題。涉及多種產品的OEM們可以利用在他們的生態系統中處處運用Blackfin Lockbox Secure Technology，對所有的經過批準的裝置進行檢驗，維持所需的版權保護，而不必付出分別在每個裝置上采用安保ID芯片的開銷。舉例來說，這將支持這樣的一種使用模式：擁有恰當授權的產品的消費者可以無縫地將一支防復制的歌曲從他的PMP轉移到他的MP3時鐘收音機上。

　　Blackfin的可編程性還使得它適用于另一種情形。Blackfin的指令集能實現多種多樣的軟件加密算法，這就使得相同的裝置能支持多種內容保護格式。當OEM能保證授權許可的安全性的情況下，PMP可以支持由不同的數字音樂和視頻零售商所使用的DRM。數字娛樂的狂熱愛好者們將能在他們的消費電子裝置之間轉移合法下載的音樂和電影。

　　確保商機

　　OEM們可以運用Blackfin Lockbox Secure Technology的威力來將PMP和其他的產品推進到消費類電子的裝置的安全保護的最前沿。采用私有密鑰和Blackfin Lockbox Secure Technology的安全處理模式之后，OEM可以讓他們的系統安全性優于當前的那些僅僅對部分系統進行安全保護的系統。從DRM到IP保護，再到電子商務、社交網絡、個人數據，開發者們都可靈活地應用更有效的安全防護措施，從而減少被起訴的危險，同時支持令消費者高興的功能特色和不同的商業模式。

　　同時，Blackfin可以實現低功耗化，并完成控制與信號處理的融合、外設的集成、魯棒的開發環境和低廉的物料管理（bill of materials）成本，這些構成了成功的數字媒體裝置設計所需的嵌入式的處理套裝。