Lockbox安全技术

ADI公司Blackfin处理器采用的Lockbox™安全技术是基于使用标准算法的数字签名认证概念，并提供执行代码与保护资源的安全处理环境。Lockbox安全技术是一个硬件和软件装置的组合，为开发人员提供实现安全措施的手段，从保护秘密（如OEM的知识产权）、到验证设备和用户身份以保护电子商务和社会联网、乃至数字版权管理（DRM）内容保护。

更特别的是，Lockbox安全技术提供单次可编程（OTP）存储器与安全处理模式（Blackfin安全模式）来实现这些能力。OTP存储器的公共、非安全、用户可编程区域，适合于存储用于对系统进行鉴定的公共密钥，这样开发人员可以用可控制与可配置的方式鉴别系统。OTP存储器的私有、安全、用户可编程区域，使开发人员可以设置私人密钥等私有设备资源,并维持这些资源的机密性和完整性。此外，在Blackfin处理器上使用安全模式后，处理器只能在安全处理环境内执行授权的可靠代码。

Lockbox Security Technology Authentication

The diagram shown above represents a simplification of the digital signature creation and verification process implemented in Lockbox.

ECDSA签名验证过程

Lockbox安全技术采用基于标准的密码算法。ADSP-BF54x与ADSP-BF52x的数字签名认证使用以下算法：

椭圆曲线加密法（ECC）的非对称密码¹
SHA-1安全单向Hash2算法 ²

ECDSA签名验证是ECDSA的一个子集，已经用于ADSP-BF54x与ADSP-BF52x产品。³

优势

真实性/来源验证

Blackfin Lockbox™安全技术允许可以通过对嵌入一段代码映像的数字签名来对其进行验证，并准备了一个用于识别实体和数据来源的流程。

完整性

开发人员可使用数字签名认证流程来确保存储介质的消息或内容不会以任何方式被改变。利用Lockbox数字签名鉴定的真实性可以对完整性进行检验。

保密性

密码加密/解密服务必须有能力防止未经批准的用户看到并使用特定文件和流的情形。Lockbox的安全处理环境（安全模式）和安全内存则支持这种保密性。

可更新性

可更新性是指通过更新系统内容来提高安全性。
Lockbox的芯片专有ID可以让终端用户鉴别每一个Blackfin处理器乃至处理器属于的每一个OEM设备。
例如，在数字版权管理系统安全违规情况下，利用这个Lockbox特性可以支持许可的撤销与更新。
芯片专有ID与一个可信的DRM代理（由OEM采购）结合起来，可以让开发者实现DRM系统的可更新性。
芯片专有ID提供了鉴别每个OEM设备和“黑名单”设备的能力，从而将它们从系统中移出。

还可以利用芯片专有ID将处理器与一个具体的引导源/设备进行“绑定”。促进反盗窃计划并防止OEM设备被克隆。

额外读物:

产品信息：

Blackfin Family家族选型表

¹These implementations are based on the Elliptic Curve Digital Signature Algorithm (ECDSA) specified in FIPS 186-2 with Change Notice 1 dated October 5, 2001, Digital Signature Standard (DSS), and specified in ANSI X9.62-1998.

²SHA-1 is based on the publicly available standard for FIPS 180-2 (Secure Hash Signature Standard (SHS) (FIPS PUB 180-2).

³ECDSA implementation on these Blackfin products only supports the Koblitz curve.

查找产品的其它方式