數(shù)字媒體裝置的下一代安全技術(shù)

一個并不輕松的話題

 

    人們對于應(yīng)該在何種程度上對音樂、電影和其他數(shù)字媒體運(yùn)用數(shù)字版權(quán)管理（digital rights management，DRM）的問題的爭論達(dá)到了白熱化的程度。從消費(fèi)類電子OEM的角度來看，幾個基本問題是毋庸?fàn)幷摰?。首先，大多?shù)內(nèi)容的擁有者繼續(xù)堅持將DRM的安全性作為向便攜式電子產(chǎn)品[如媒體播放器（PMP）]提供優(yōu)質(zhì)內(nèi)容（premium content）的前提條件。OEM們也有必要在人們使用自己的產(chǎn)品來解鎖受保護(hù)的數(shù)字媒體內(nèi)容時防備自己不至于成為司法訴訟的對象。

 

    鑒于當(dāng)前的防復(fù)制機(jī)制已經(jīng)被破解，而且破解方法被黑客們貼到了Web上，OEM們所剩下的招數(shù)就是力爭在他們的裝置上實(shí)現(xiàn)防篡改能力更強(qiáng)的安全防護(hù)功能。當(dāng)電子商務(wù)和社交網(wǎng)絡(luò)應(yīng)用也摻和進(jìn)來時，難度就相應(yīng)上升。

 

    上述的局面就從兩個方面對OEM們提出了挑戰(zhàn)：如何為其裝置吸引到更多的優(yōu)質(zhì)內(nèi)容以擴(kuò)展生意；同時，如何減少違責(zé)風(fēng)險（liability exposure）以避免財務(wù)上的損失。制造商們堅持尋求提高PMP和其他裝置的安全防護(hù)等級的方法，這帶來的好處將遠(yuǎn)遠(yuǎn)超出DRM的應(yīng)用。

 

DRM方案雖多，卻需面對同樣問題。

 

    消費(fèi)類電子OEM所面對的一個實(shí)際情況是，沒有一種DRM方案能在任何地方都占盡優(yōu)勢，而且這些方案目前也沒有實(shí)現(xiàn)兼容性。當(dāng)前領(lǐng)先的方案包括：FairPlayÒ （Apple）、Windows MediaÒ DRM 10 （Microsoft）和 OMA （Open Mobile Alliance，開放移動聯(lián)盟）技術(shù)。

 

    隨著內(nèi)容的擁有者努力推動更為嚴(yán)格的保護(hù)措施的采用，在整個業(yè)界范圍內(nèi)對于制造符合DRM要求的PMP和類似裝置的要求正變得越來越嚴(yán)格。于是，開發(fā)者將不得不在防范性鑒定方面采取更強(qiáng)有力的措施，這將確保只有經(jīng)過授權(quán)的裝置才能獲取受到保護(hù)的媒體或者個人數(shù)據(jù)。集成的、基于硬件的安全性——當(dāng)前尚未普及——在保護(hù)私人密鑰和密鑰的安全交換方面變得必不可少，其目的是保護(hù)在下載和上載過程中的數(shù)據(jù)傳送。

 

    要看到另一個趨勢：越來越多的消費(fèi)者被DRM弄得十分沮喪。這樣的情形正在推動某些內(nèi)容分發(fā)服務(wù)商嘗試提供無DRM管理的內(nèi)容，特別是在錄音行業(yè)。消費(fèi)者和某些技術(shù)行業(yè)的領(lǐng)先者也在推動新的使用模式的采用，如能夠在其所擁有的全部裝置上合法地拷貝下載內(nèi)容。

 

吃上官司的風(fēng)險

 

    美國數(shù)字千年版權(quán)法案（Digital Millennium Copyright Act，DMCA）中的條文在很多方面都牽涉到那些提供可獲取媒體內(nèi)容的裝置的制造商們。美國境內(nèi)出售的產(chǎn)品以及在全世界出售的消費(fèi)類電子產(chǎn)品，都有可能會受到某種法案的約束。 DMCA在1998年通過后，許多國家也頒行了類似的法案。

 

    OEM被夾在兩個群體的中間：一邊是受到DMCA保護(hù)的內(nèi)容擁有者，而另一邊則是不愿意購買那些無法按自己的方式來使用的產(chǎn)品的消費(fèi)者。在設(shè)計消費(fèi)類電子時，OEM事實(shí)上必須決定什么才是公平、恰當(dāng)?shù)氖褂媚切┦艿奖Ｗo(hù)的內(nèi)容的方式。限制過嚴(yán)的產(chǎn)品一定賣得不好；而一種招致數(shù)字媒體提供商的攻訐的產(chǎn)品，必然使自己的制造商陷入訴訟之中。SonicBlue就是一個例子：它推出的ReplayTV個人視頻錄像機(jī)上的可跳過商業(yè)廣告和文件共享的功能，遭到了數(shù)家廣播公司的起訴，吃了這場官司之后，SonicBlue只好宣布破產(chǎn)

 

    出于讓生意蒸蒸日上以及減少風(fēng)險的考慮，OEM希望找到能實(shí)現(xiàn)裝置級的安全保護(hù)能力的方法。內(nèi)容的保護(hù)是一個很好的起點(diǎn)，因為它是許多當(dāng)前所關(guān)心的問題的核心。

 

當(dāng)前DRM的實(shí)施方式

 

    當(dāng)前的安全方案一般是基于對數(shù)字簽名的鑒別這一基本理念，數(shù)字簽名則使用公共密鑰密碼的方法來對裝置進(jìn)行鑒別，并對數(shù)字內(nèi)容進(jìn)行加密以保護(hù)數(shù)據(jù)。這種方法對一個安全的裝置來說，意味著相應(yīng)的設(shè)計可以為代碼執(zhí)行和密碼資產(chǎn)（如密鑰）的保護(hù)提供安全可靠的處理環(huán)境

 

    許多DRM的實(shí)施目前是通過軟件或者封裝（encapsulation）技術(shù)來保護(hù)版權(quán)管理對象（數(shù)字媒體內(nèi)容）和秘密資產(chǎn)。

 

    純軟件的實(shí)現(xiàn)方法可以基于操作系統(tǒng)的安全和非安全環(huán)境的隔離來實(shí)現(xiàn)。不過，這些實(shí)現(xiàn)方法并不安全，因為它們易受到簡單的軟件攻擊和硬件攻擊（如使用仿真硬件或者代碼注入方法）的破壞。

    使用軟件來打亂秘密資產(chǎn)是現(xiàn)有的DRM具體實(shí)施用來隱藏DRM密鑰的另一種方法。但是內(nèi)存分析卻使得這一技術(shù)不再有效。

 

    將秘密資產(chǎn)封裝到可信任模塊（trusted module）中是另外一種常用的辦法。雖然可信任模塊本身可能是安全的，但整個平臺卻并非安全。黑客們可以在數(shù)據(jù)出入可信任模塊的過程中或者當(dāng)數(shù)據(jù)還在可信任模塊之外時通過總線監(jiān)測和軟件攻擊的方法來竊取秘密資產(chǎn)。

    底線是，無論他們采用軟件模糊法還是集成到可信模塊內(nèi)的方法，現(xiàn)有的DRM的實(shí)現(xiàn)無法提供足夠保護(hù)力，因為它們并不是全面的、整體性的方法。對整個系統(tǒng)進(jìn)行保護(hù)很有必要，Analog Devices的 BlackfinÒ處理器提供了Lockbox Secure Technology™，其相應(yīng)的靈活的功能組合可以被開發(fā)者用來在PMP和類似產(chǎn)品上實(shí)現(xiàn)安全的DRM和其他保護(hù)性措施。

 

Blackfin Lockbox安全防護(hù)技術(shù)

 

    無論是DRM還是其他方面的需求，考慮在PMP和類似產(chǎn)品上配備裝置級安全措施都是很有意義的，這樣做有3個目的：內(nèi)容保護(hù)，即確保只有在得到許可的情況下才能使用優(yōu)質(zhì)內(nèi)容；保護(hù)秘密，如個人數(shù)據(jù)和知識產(chǎn)權(quán)；裝置和用戶的身份識別。

 

    Blackfin Lockbox Secure Technology的設(shè)計目標(biāo)是讓OEM們能實(shí)現(xiàn)上述這些目標(biāo)。它利用硬件和軟件元件保護(hù)安全內(nèi)存空間并只容許經(jīng)過鑒別的代碼來控制各種安全保護(hù)功能。

 

    總的來看，Blackfin Lockbox Secure Technology各組成部分可以提供開發(fā)者在滿足數(shù)字媒體裝置安全需求時所需采用的各種重要的功能。

 

·         來源的驗證  ¾Blackfin Lockbox Secure Technology可以通過對嵌入一段代碼映像的數(shù)字簽名來對其進(jìn)行驗證，并準(zhǔn)備了一個用于識別實(shí)體和數(shù)據(jù)來源的流程。

·         完整性¾用戶可以使用Blackfin Lockbox Secure Technology的數(shù)字簽名認(rèn)證流程來確保存儲介質(zhì)的消息或者內(nèi)容不會以任何方式被改變。完整性可以利用數(shù)字簽名的鑒定進(jìn)行檢驗。

·         機(jī)密性¾密碼加密/解密可以服務(wù)于必須有能力防止未經(jīng)批準(zhǔn)的用戶看到并使用特定文件和流的情形。Blackfin Lockbox Secure Technology的安全處理環(huán)境（安全模式）和安全內(nèi)存則支持機(jī)密保護(hù)。

·         可更新性¾Blackfin Lockbox Secure Technology 的芯片專有ID（Unique Chip ID）與一個可信的DRM agent（由OEM采購）結(jié)合起來，可以讓開發(fā)者實(shí)現(xiàn)DRM系統(tǒng)的可更新性。

    單次可編程（One-time programmable，OTP）的存儲器是Blackfin Lockbox Secure Technology用來實(shí)現(xiàn)這些功能的部件之一。它的位于OTP內(nèi)存中的公開化、非受保護(hù)的、用戶可編程的區(qū)域，適合于存儲用于對系統(tǒng)進(jìn)行鑒定的公共密鑰，這種存儲方式應(yīng)該可以由OEM來控制和定義。OTP存儲器的一個私人性的、受到安全保護(hù)的、可由用戶編程的區(qū)域則讓開發(fā)者對它們自己私有裝置的資產(chǎn)（如私有密鑰）進(jìn)行編程并維持這些資產(chǎn)的機(jī)密性和完整性。私有的、安全的OTP存儲只有通過Blackfin的安全模式才能訪問，這種模式只有在數(shù)字簽名鑒定流程完成后才能進(jìn)入。

 

    安全模式使得系統(tǒng)的具體實(shí)施中只有經(jīng)過鑒定的、受到信任的代碼能執(zhí)行DRM操作或者關(guān)鍵性的子集，如證書的處理或者版權(quán)對象的處理。存儲保護(hù)為解密后的DRM內(nèi)容和內(nèi)容的解讀密鑰提供了安全的存儲。

 

    與DRM相關(guān)的一些特有的優(yōu)點(diǎn)是什么？全面運(yùn)用Blackfin Lockbox Secure Technology的所有功能的話，開發(fā)者就可以通過安全的鑒定過程以及對器件ID和控制對數(shù)字媒體文件的訪問性的DRM密鑰的不斷更新，來提高對優(yōu)質(zhì)內(nèi)容的非經(jīng)認(rèn)證的使用的防護(hù)水平。使用私有的、安全的OTP存儲區(qū)域和安全模式可以大大增加將DRM從數(shù)字媒體中除去的難度，從而把一個普通的裝置變換成一個先進(jìn)的、帶安全防護(hù)的裝置。

 

DRM實(shí)施方法示例

 

    下面舉例予以說明。下圖示出如何利用Lockbox Secure Technology 在便攜式音頻播放器中實(shí)現(xiàn)DRM的可能方法。在這一虛構(gòu)的實(shí)現(xiàn)方案中，DRM agent和音頻解碼器已經(jīng)得到了廠商的數(shù)字簽名，因此可獲得人們信任，從而能在受到安全保護(hù)的平臺上運(yùn)行。

 

 

    在經(jīng)歷了數(shù)字簽名鑒定過程后（來源驗證和完整性），DRM agent贏得了“受信任的代碼”的地位，從而有權(quán)訪問受保護(hù)的環(huán)境（包括受保護(hù)的OTP存儲）。在典型的DRM架構(gòu)中，DRM利用用該裝置存儲在受保護(hù)的OTP存儲中的私有密鑰來從版權(quán)對象中提取用于對音頻內(nèi)容進(jìn)行解密所需的內(nèi)容密鑰。內(nèi)容密鑰可以安全地存儲在受保護(hù)的數(shù)據(jù)存儲區(qū)中，在這里它仍然不會被那些未得到信任的代碼訪問。DRM agent使用內(nèi)容密鑰來對受到保護(hù)的DRM內(nèi)容進(jìn)行解密，并將解密后的內(nèi)容存入受到安全保護(hù)的數(shù)據(jù)存儲中。

 

    音頻解碼器經(jīng)過了簽名的驗證，以贏得“可信任代碼”的地位。一旦通過驗證，音頻解碼器就被授予訪問受保護(hù)環(huán)境的許可。它可以對加密后的音頻內(nèi)容進(jìn)行解碼，并將所生成的音頻樣本存儲到受到保護(hù)的或者不受保護(hù)的存儲區(qū)中，具體到哪個區(qū)域，則取決于要求和可獲得的存儲空間。

 

IP、電子商務(wù)、社交網(wǎng)絡(luò)與個人數(shù)據(jù)保護(hù)

 

    在器件級上支持DRM的一種更完善的辦法與用Blackfin Lockbox Secure Technology可以實(shí)現(xiàn)的一個目標(biāo)是相一致的。對于消費(fèi)類電子的制造商來說，保護(hù)好自己的知識產(chǎn)權(quán)（IP）的防護(hù)措施是優(yōu)先要考慮的問題，Lockbox Secure Technology的功能為實(shí)現(xiàn)這方面的功能提供了一個有效的機(jī)制。Lockbox Secure Technology存儲芯片專有ID（Unique Chip ID）的能力可以讓開發(fā)者將自己的軟件鎖在裝置中，以防止當(dāng)裝置被人仿冒時這些代碼被復(fù)制和復(fù)用。OEM還可以利用Blackfin 的安全模式來維持機(jī)密性和防止IP盜用。

 

    另外，通過采用Lockbox Secure Technology而實(shí)現(xiàn)的更優(yōu)化的器件鑒定能力，可以支持得到充分保護(hù)的電子商務(wù)和社交網(wǎng)絡(luò)的端－端文件共享。舉例來說，OEM可以容許消費(fèi)者合法地截取受到保護(hù)的內(nèi)容的樣本并提供給自己的朋友，以此來運(yùn)用能在裝置層次上實(shí)現(xiàn)的更高的安全性。

 

    若使用Lockbox Secure Technology來實(shí)現(xiàn)更安全的密鑰處理，則可以建立安全的通信會話，以便在下載和上載過程中保護(hù)數(shù)據(jù)的傳輸。

 

        OEM們也有機(jī)會利用Lockbox Secure Technology來保護(hù)個人數(shù)據(jù)。消費(fèi)者可以對自己個人數(shù)據(jù)的安全性有更強(qiáng)的信心，在得到正確授權(quán)的裝置上購物或者在個人的社交網(wǎng)絡(luò)上共享信息。例如，安全性可以得到擴(kuò)展，以包括裝置上的數(shù)字身份管理。裝置的丟失并不一定會危及個人信息。只要消費(fèi)者用恰當(dāng)?shù)目诹铈i定裝置的話，鑒別功能就可以讓私人數(shù)據(jù)免受窺測。

 

    正如對連接到Internet的PC提供加密保護(hù)協(xié)議（SSL和S－HTTP）使得電子商務(wù)在1990年代開始興旺起來，一旦這樣的安全鑒別和處理能力能在PMP和類似產(chǎn)品上啟用的話，就可以搭建一個舞臺，讓這些裝置可以實(shí)現(xiàn)的服務(wù)和處理的內(nèi)容得以快速增長。

 

消費(fèi)者的滿意程度

 

    再回到DRM的話題。涉及多種產(chǎn)品的OEM們可以利用在他們的生態(tài)系統(tǒng)中處處運(yùn)用Blackfin Lockbox Secure Technology，對所有的經(jīng)過批準(zhǔn)的裝置進(jìn)行檢驗，維持所需的版權(quán)保護(hù)，而不必付出分別在每個裝置上采用安保ID芯片的開銷。舉例來說，這將支持這樣的一種使用模式：擁有恰當(dāng)授權(quán)的產(chǎn)品的消費(fèi)者可以無縫地將一支防復(fù)制的歌曲從他的PMP轉(zhuǎn)移到他的MP3時鐘收音機(jī)上。

 

        Blackfin的可編程性還使得它適用于另一種情形。Blackfin的指令集能實(shí)現(xiàn)多種多樣的軟件加密算法，這就使得相同的裝置能支持多種內(nèi)容保護(hù)格式。當(dāng)OEM能保證授權(quán)許可的安全性的情況下，PMP可以支持由不同的數(shù)字音樂和視頻零售商所使用的DRM。數(shù)字娛樂的狂熱愛好者們將能在他們的消費(fèi)電子裝置之間轉(zhuǎn)移合法下載的音樂和電影。

 

確保商機(jī)

 

        OEM們可以運(yùn)用Blackfin Lockbox Secure Technology的威力來將PMP和其他的產(chǎn)品推進(jìn)到消費(fèi)類電子的裝置的安全保護(hù)的最前沿。采用私有密鑰和Blackfin Lockbox Secure Technology的安全處理模式之后，OEM可以讓他們的系統(tǒng)安全性優(yōu)于當(dāng)前的那些僅僅對部分系統(tǒng)進(jìn)行安全保護(hù)的系統(tǒng)。從DRM到IP保護(hù)，再到電子商務(wù)、社交網(wǎng)絡(luò)、個人數(shù)據(jù)，開發(fā)者們都可靈活地應(yīng)用更有效的安全防護(hù)措施，從而減少被起訴的危險，同時支持令消費(fèi)者高興的功能特色和不同的商業(yè)模式。

 

    同時，Blackfin可以實(shí)現(xiàn)低功耗化，并完成控制與信號處理的融合、外設(shè)的集成、魯棒的開發(fā)環(huán)境和低廉的物料管理（bill of materials）成本，這些構(gòu)成了成功的數(shù)字媒體裝置設(shè)計所需的嵌入式的處理套裝。