我們從安全性，可行性，以及成本三個方面對上述的三種級別的IP保護技術(shù)進行了比較，如表1-1所示。我們可以看到芯片級別的IP技術(shù)保護具有較高的安全性、可行性，以及較低的成本，是一種好的IP保護方式，我們接著要介紹的Analog Device公司的Blackfin處理器提供的Lockbox就是基于芯片級別的安全技術(shù)。

表1-1

二、Lockbox安全技術(shù)介紹

ADI公司Blackfin處理器采用的Lockbox安全技術(shù)是從芯片級別出發(fā)，基于標準算法的數(shù)字簽名認證概念，為執(zhí)行代碼與需要保護的數(shù)據(jù)提供安全處理環(huán)境，從而實現(xiàn)嵌入式系統(tǒng)的知識產(chǎn)權(quán)、電子商務和社會聯(lián)網(wǎng)系統(tǒng)中設備和用戶身份的驗證、數(shù)字版權(quán)管理（DRM）等保護。

首先，Lockbox安全技術(shù)提供單次可編程（OTP）片上存儲器， OTP存儲器分為公有區(qū)域和私有區(qū)域，其公有區(qū)域是公共、非安全、用戶可以無條件訪問的區(qū)域，適合于存儲用于對系統(tǒng)進行鑒定的公共密鑰，這樣開發(fā)人員可以用可控制與可配置的方式鑒別系統(tǒng)。OTP存儲器的私有區(qū)域是安全、用戶可編程區(qū)域，并只有系統(tǒng)在進入安全模式下才能被訪問的，使開發(fā)人員可以保存私人密鑰等私有設備資源,并保證這些資源的機密性和完整性。

同時，每一片Blackfin芯片都有一個唯一的CHIP ID，存放在OTP公有區(qū)域的特定某個頁面，系統(tǒng)開發(fā)人員可以充分利用這個芯片編號，實現(xiàn)軟件和硬件平臺的綁定。

其次，Lockbox?安全技術(shù)提供片上的指令ROM存儲器，并把密碼學的一些標準算法放在指令ROM存儲器里面。在指令ROM存儲器中，提供了經(jīng)過優(yōu)化處理的橢圓曲線數(shù)字簽名（ECDSA）認證算法， 該認證算法主要是由以下2個密碼學算法組成，

* 橢圓曲線加密法（ECC）的非對稱密碼算法

* SHA-1安全單向Hash算法

這些算法都是公開的，并且經(jīng)過實踐驗證過的，具有非常高的安全性。ECDSA數(shù)字簽名認證主要用來驗證代碼和數(shù)據(jù)來源的可靠性，以及代碼和數(shù)據(jù)的完整性。整個數(shù)字簽名的認證流程已經(jīng)固化在Blackfin片內(nèi)的ROM中，系統(tǒng)開發(fā)人員只需要出發(fā)一個相應的中斷觸發(fā)即可。Lockbox技術(shù)確保只有成功通過ECDSA數(shù)字簽名的應用程序才可以運行在安全模式下，這樣運行在安全模式下面的代碼其來源一定是可靠的，并且沒有被篡改過。

同時，Lockbox的片上ROM里面也提供一些標準的密碼學算法，AES，RC4算法，這些算法都是經(jīng)過與處理器相關(guān)的性能優(yōu)化，具有較高的處理性能，并以API的形式提供給系統(tǒng)開發(fā)人員使用。

最后，Lockbox安全技術(shù)通過采用軟硬件結(jié)合提供一種安全處理模式（Blackfin安全模式）。正常開機流程下，系統(tǒng)運行在公開模式下，在這種模式下面，系統(tǒng)不能訪問OTP私有區(qū)域，不能控制JTAG的關(guān)閉，只有成功通過ECDSA數(shù)字簽名認證的代碼和數(shù)據(jù)才能進入安全模式下，在安全模式下，系統(tǒng)才可以動態(tài)控制JTAG的關(guān)閉或打開，訪問OTP私有的存儲區(qū)域，動態(tài)配置片上SRAM的外部DMA訪問控制等各種操作。