數(shù)字媒體裝置的下一代安全技術(shù)

一個(gè)并不輕松的話題

 

    人們對(duì)于應(yīng)該在何種程度上對(duì)音樂(lè)、電影和其他數(shù)字媒體運(yùn)用數(shù)字版權(quán)管理（digital rights management，DRM）的問(wèn)題的爭(zhēng)論達(dá)到了白熱化的程度。從消費(fèi)類電子OEM的角度來(lái)看，幾個(gè)基本問(wèn)題是毋庸?fàn)幷摰?。首先，大多?shù)內(nèi)容的擁有者繼續(xù)堅(jiān)持將DRM的安全性作為向便攜式電子產(chǎn)品[如媒體播放器（PMP）]提供優(yōu)質(zhì)內(nèi)容（premium content）的前提條件。OEM們也有必要在人們使用自己的產(chǎn)品來(lái)解鎖受保護(hù)的數(shù)字媒體內(nèi)容時(shí)防備自己不至于成為司法訴訟的對(duì)象。

 

    鑒于當(dāng)前的防復(fù)制機(jī)制已經(jīng)被破解，而且破解方法被黑客們貼到了Web上，OEM們所剩下的招數(shù)就是力爭(zhēng)在他們的裝置上實(shí)現(xiàn)防篡改能力更強(qiáng)的安全防護(hù)功能。當(dāng)電子商務(wù)和社交網(wǎng)絡(luò)應(yīng)用也摻和進(jìn)來(lái)時(shí)，難度就相應(yīng)上升。

 

    上述的局面就從兩個(gè)方面對(duì)OEM們提出了挑戰(zhàn)：如何為其裝置吸引到更多的優(yōu)質(zhì)內(nèi)容以擴(kuò)展生意；同時(shí)，如何減少違責(zé)風(fēng)險(xiǎn)（liability exposure）以避免財(cái)務(wù)上的損失。制造商們堅(jiān)持尋求提高PMP和其他裝置的安全防護(hù)等級(jí)的方法，這帶來(lái)的好處將遠(yuǎn)遠(yuǎn)超出DRM的應(yīng)用。

 

DRM方案雖多，卻需面對(duì)同樣問(wèn)題。

 

    消費(fèi)類電子OEM所面對(duì)的一個(gè)實(shí)際情況是，沒(méi)有一種DRM方案能在任何地方都占盡優(yōu)勢(shì)，而且這些方案目前也沒(méi)有實(shí)現(xiàn)兼容性。當(dāng)前領(lǐng)先的方案包括：FairPlayÒ （Apple）、Windows MediaÒ DRM 10 （Microsoft）和 OMA （Open Mobile Alliance，開(kāi)放移動(dòng)聯(lián)盟）技術(shù)。

 

    隨著內(nèi)容的擁有者努力推動(dòng)更為嚴(yán)格的保護(hù)措施的采用，在整個(gè)業(yè)界范圍內(nèi)對(duì)于制造符合DRM要求的PMP和類似裝置的要求正變得越來(lái)越嚴(yán)格。于是，開(kāi)發(fā)者將不得不在防范性鑒定方面采取更強(qiáng)有力的措施，這將確保只有經(jīng)過(guò)授權(quán)的裝置才能獲取受到保護(hù)的媒體或者個(gè)人數(shù)據(jù)。集成的、基于硬件的安全性——當(dāng)前尚未普及——在保護(hù)私人密鑰和密鑰的安全交換方面變得必不可少，其目的是保護(hù)在下載和上載過(guò)程中的數(shù)據(jù)傳送。

 

    要看到另一個(gè)趨勢(shì)：越來(lái)越多的消費(fèi)者被DRM弄得十分沮喪。這樣的情形正在推動(dòng)某些內(nèi)容分發(fā)服務(wù)商嘗試提供無(wú)DRM管理的內(nèi)容，特別是在錄音行業(yè)。消費(fèi)者和某些技術(shù)行業(yè)的領(lǐng)先者也在推動(dòng)新的使用模式的采用，如能夠在其所擁有的全部裝置上合法地拷貝下載內(nèi)容。

 

吃上官司的風(fēng)險(xiǎn)

 

    美國(guó)數(shù)字千年版權(quán)法案（Digital Millennium Copyright Act，DMCA）中的條文在很多方面都牽涉到那些提供可獲取媒體內(nèi)容的裝置的制造商們。美國(guó)境內(nèi)出售的產(chǎn)品以及在全世界出售的消費(fèi)類電子產(chǎn)品，都有可能會(huì)受到某種法案的約束。 DMCA在1998年通過(guò)后，許多國(guó)家也頒行了類似的法案。

 

    OEM被夾在兩個(gè)群體的中間：一邊是受到DMCA保護(hù)的內(nèi)容擁有者，而另一邊則是不愿意購(gòu)買那些無(wú)法按自己的方式來(lái)使用的產(chǎn)品的消費(fèi)者。在設(shè)計(jì)消費(fèi)類電子時(shí)，OEM事實(shí)上必須決定什么才是公平、恰當(dāng)?shù)氖褂媚切┦艿奖Ｗo(hù)的內(nèi)容的方式。限制過(guò)嚴(yán)的產(chǎn)品一定賣得不好；而一種招致數(shù)字媒體提供商的攻訐的產(chǎn)品，必然使自己的制造商陷入訴訟之中。SonicBlue就是一個(gè)例子：它推出的ReplayTV個(gè)人視頻錄像機(jī)上的可跳過(guò)商業(yè)廣告和文件共享的功能，遭到了數(shù)家廣播公司的起訴，吃了這場(chǎng)官司之后，SonicBlue只好宣布破產(chǎn)

 

    出于讓生意蒸蒸日上以及減少風(fēng)險(xiǎn)的考慮，OEM希望找到能實(shí)現(xiàn)裝置級(jí)的安全保護(hù)能力的方法。內(nèi)容的保護(hù)是一個(gè)很好的起點(diǎn)，因?yàn)樗窃S多當(dāng)前所關(guān)心的問(wèn)題的核心。

 

當(dāng)前DRM的實(shí)施方式

 

    當(dāng)前的安全方案一般是基于對(duì)數(shù)字簽名的鑒別這一基本理念，數(shù)字簽名則使用公共密鑰密碼的方法來(lái)對(duì)裝置進(jìn)行鑒別，并對(duì)數(shù)字內(nèi)容進(jìn)行加密以保護(hù)數(shù)據(jù)。這種方法對(duì)一個(gè)安全的裝置來(lái)說(shuō)，意味著相應(yīng)的設(shè)計(jì)可以為代碼執(zhí)行和密碼資產(chǎn)（如密鑰）的保護(hù)提供安全可靠的處理環(huán)境

 

    許多DRM的實(shí)施目前是通過(guò)軟件或者封裝（encapsulation）技術(shù)來(lái)保護(hù)版權(quán)管理對(duì)象（數(shù)字媒體內(nèi)容）和秘密資產(chǎn)。

 

    純軟件的實(shí)現(xiàn)方法可以基于操作系統(tǒng)的安全和非安全環(huán)境的隔離來(lái)實(shí)現(xiàn)。不過(guò)，這些實(shí)現(xiàn)方法并不安全，因?yàn)樗鼈円资艿胶?jiǎn)單的軟件攻擊和硬件攻擊（如使用仿真硬件或者代碼注入方法）的破壞。

    使用軟件來(lái)打亂秘密資產(chǎn)是現(xiàn)有的DRM具體實(shí)施用來(lái)隱藏DRM密鑰的另一種方法。但是內(nèi)存分析卻使得這一技術(shù)不再有效。

 

    將秘密資產(chǎn)封裝到可信任模塊（trusted module）中是另外一種常用的辦法。雖然可信任模塊本身可能是安全的，但整個(gè)平臺(tái)卻并非安全。黑客們可以在數(shù)據(jù)出入可信任模塊的過(guò)程中或者當(dāng)數(shù)據(jù)還在可信任模塊之外時(shí)通過(guò)總線監(jiān)測(cè)和軟件攻擊的方法來(lái)竊取秘密資產(chǎn)。

    底線是，無(wú)論他們采用軟件模糊法還是集成到可信模塊內(nèi)的方法，現(xiàn)有的DRM的實(shí)現(xiàn)無(wú)法提供足夠保護(hù)力，因?yàn)樗鼈儾⒉皇侨娴?、整體性的方法。對(duì)整個(gè)系統(tǒng)進(jìn)行保護(hù)很有必要，Analog Devices的 BlackfinÒ處理器提供了Lockbox Secure Technology™，其相應(yīng)的靈活的功能組合可以被開(kāi)發(fā)者用來(lái)在PMP和類似產(chǎn)品上實(shí)現(xiàn)安全的DRM和其他保護(hù)性措施。

 

Blackfin Lockbox安全防護(hù)技術(shù)

 

    無(wú)論是DRM還是其他方面的需求，考慮在PMP和類似產(chǎn)品上配備裝置級(jí)安全措施都是很有意義的，這樣做有3個(gè)目的：內(nèi)容保護(hù)，即確保只有在得到許可的情況下才能使用優(yōu)質(zhì)內(nèi)容；保護(hù)秘密，如個(gè)人數(shù)據(jù)和知識(shí)產(chǎn)權(quán)；裝置和用戶的身份識(shí)別。

 

    Blackfin Lockbox Secure Technology的設(shè)計(jì)目標(biāo)是讓OEM們能實(shí)現(xiàn)上述這些目標(biāo)。它利用硬件和軟件元件保護(hù)安全內(nèi)存空間并只容許經(jīng)過(guò)鑒別的代碼來(lái)控制各種安全保護(hù)功能。

 

    總的來(lái)看，Blackfin Lockbox Secure Technology各組成部分可以提供開(kāi)發(fā)者在滿足數(shù)字媒體裝置安全需求時(shí)所需采用的各種重要的功能。

 

·         來(lái)源的驗(yàn)證  ¾Blackfin Lockbox Secure Technology可以通過(guò)對(duì)嵌入一段代碼映像的數(shù)字簽名來(lái)對(duì)其進(jìn)行驗(yàn)證，并準(zhǔn)備了一個(gè)用于識(shí)別實(shí)體和數(shù)據(jù)來(lái)源的流程。

·         完整性¾用戶可以使用Blackfin Lockbox Secure Technology的數(shù)字簽名認(rèn)證流程來(lái)確保存儲(chǔ)介質(zhì)的消息或者內(nèi)容不會(huì)以任何方式被改變。完整性可以利用數(shù)字簽名的鑒定進(jìn)行檢驗(yàn)。

·         機(jī)密性¾密碼加密/解密可以服務(wù)于必須有能力防止未經(jīng)批準(zhǔn)的用戶看到并使用特定文件和流的情形。Blackfin Lockbox Secure Technology的安全處理環(huán)境（安全模式）和安全內(nèi)存則支持機(jī)密保護(hù)。

·         可更新性¾Blackfin Lockbox Secure Technology 的芯片專有ID（Unique Chip ID）與一個(gè)可信的DRM agent（由OEM采購(gòu)）結(jié)合起來(lái)，可以讓開(kāi)發(fā)者實(shí)現(xiàn)DRM系統(tǒng)的可更新性。

    單次可編程（One-time programmable，OTP）的存儲(chǔ)器是Blackfin Lockbox Secure Technology用來(lái)實(shí)現(xiàn)這些功能的部件之一。它的位于OTP內(nèi)存中的公開(kāi)化、非受保護(hù)的、用戶可編程的區(qū)域，適合于存儲(chǔ)用于對(duì)系統(tǒng)進(jìn)行鑒定的公共密鑰，這種存儲(chǔ)方式應(yīng)該可以由OEM來(lái)控制和定義。OTP存儲(chǔ)器的一個(gè)私人性的、受到安全保護(hù)的、可由用戶編程的區(qū)域則讓開(kāi)發(fā)者對(duì)它們自己私有裝置的資產(chǎn)（如私有密鑰）進(jìn)行編程并維持這些資產(chǎn)的機(jī)密性和完整性。私有的、安全的OTP存儲(chǔ)只有通過(guò)Blackfin的安全模式才能訪問(wèn)，這種模式只有在數(shù)字簽名鑒定流程完成后才能進(jìn)入。

 

    安全模式使得系統(tǒng)的具體實(shí)施中只有經(jīng)過(guò)鑒定的、受到信任的代碼能執(zhí)行DRM操作或者關(guān)鍵性的子集，如證書的處理或者版權(quán)對(duì)象的處理。存儲(chǔ)保護(hù)為解密后的DRM內(nèi)容和內(nèi)容的解讀密鑰提供了安全的存儲(chǔ)。

 

    與DRM相關(guān)的一些特有的優(yōu)點(diǎn)是什么？全面運(yùn)用Blackfin Lockbox Secure Technology的所有功能的話，開(kāi)發(fā)者就可以通過(guò)安全的鑒定過(guò)程以及對(duì)器件ID和控制對(duì)數(shù)字媒體文件的訪問(wèn)性的DRM密鑰的不斷更新，來(lái)提高對(duì)優(yōu)質(zhì)內(nèi)容的非經(jīng)認(rèn)證的使用的防護(hù)水平。使用私有的、安全的OTP存儲(chǔ)區(qū)域和安全模式可以大大增加將DRM從數(shù)字媒體中除去的難度，從而把一個(gè)普通的裝置變換成一個(gè)先進(jìn)的、帶安全防護(hù)的裝置。

 

DRM實(shí)施方法示例

 

    下面舉例予以說(shuō)明。下圖示出如何利用Lockbox Secure Technology 在便攜式音頻播放器中實(shí)現(xiàn)DRM的可能方法。在這一虛構(gòu)的實(shí)現(xiàn)方案中，DRM agent和音頻解碼器已經(jīng)得到了廠商的數(shù)字簽名，因此可獲得人們信任，從而能在受到安全保護(hù)的平臺(tái)上運(yùn)行。

 

 

    在經(jīng)歷了數(shù)字簽名鑒定過(guò)程后（來(lái)源驗(yàn)證和完整性），DRM agent贏得了“受信任的代碼”的地位，從而有權(quán)訪問(wèn)受保護(hù)的環(huán)境（包括受保護(hù)的OTP存儲(chǔ)）。在典型的DRM架構(gòu)中，DRM利用用該裝置存儲(chǔ)在受保護(hù)的OTP存儲(chǔ)中的私有密鑰來(lái)從版權(quán)對(duì)象中提取用于對(duì)音頻內(nèi)容進(jìn)行解密所需的內(nèi)容密鑰。內(nèi)容密鑰可以安全地存儲(chǔ)在受保護(hù)的數(shù)據(jù)存儲(chǔ)區(qū)中，在這里它仍然不會(huì)被那些未得到信任的代碼訪問(wèn)。DRM agent使用內(nèi)容密鑰來(lái)對(duì)受到保護(hù)的DRM內(nèi)容進(jìn)行解密，并將解密后的內(nèi)容存入受到安全保護(hù)的數(shù)據(jù)存儲(chǔ)中。

 

    音頻解碼器經(jīng)過(guò)了簽名的驗(yàn)證，以贏得“可信任代碼”的地位。一旦通過(guò)驗(yàn)證，音頻解碼器就被授予訪問(wèn)受保護(hù)環(huán)境的許可。它可以對(duì)加密后的音頻內(nèi)容進(jìn)行解碼，并將所生成的音頻樣本存儲(chǔ)到受到保護(hù)的或者不受保護(hù)的存儲(chǔ)區(qū)中，具體到哪個(gè)區(qū)域，則取決于要求和可獲得的存儲(chǔ)空間。

 

IP、電子商務(wù)、社交網(wǎng)絡(luò)與個(gè)人數(shù)據(jù)保護(hù)

 

    在器件級(jí)上支持DRM的一種更完善的辦法與用Blackfin Lockbox Secure Technology可以實(shí)現(xiàn)的一個(gè)目標(biāo)是相一致的。對(duì)于消費(fèi)類電子的制造商來(lái)說(shuō)，保護(hù)好自己的知識(shí)產(chǎn)權(quán)（IP）的防護(hù)措施是優(yōu)先要考慮的問(wèn)題，Lockbox Secure Technology的功能為實(shí)現(xiàn)這方面的功能提供了一個(gè)有效的機(jī)制。Lockbox Secure Technology存儲(chǔ)芯片專有ID（Unique Chip ID）的能力可以讓開(kāi)發(fā)者將自己的軟件鎖在裝置中，以防止當(dāng)裝置被人仿冒時(shí)這些代碼被復(fù)制和復(fù)用。OEM還可以利用Blackfin 的安全模式來(lái)維持機(jī)密性和防止IP盜用。

 

    另外，通過(guò)采用Lockbox Secure Technology而實(shí)現(xiàn)的更優(yōu)化的器件鑒定能力，可以支持得到充分保護(hù)的電子商務(wù)和社交網(wǎng)絡(luò)的端－端文件共享。舉例來(lái)說(shuō)，OEM可以容許消費(fèi)者合法地截取受到保護(hù)的內(nèi)容的樣本并提供給自己的朋友，以此來(lái)運(yùn)用能在裝置層次上實(shí)現(xiàn)的更高的安全性。

 

    若使用Lockbox Secure Technology來(lái)實(shí)現(xiàn)更安全的密鑰處理，則可以建立安全的通信會(huì)話，以便在下載和上載過(guò)程中保護(hù)數(shù)據(jù)的傳輸。

 

        OEM們也有機(jī)會(huì)利用Lockbox Secure Technology來(lái)保護(hù)個(gè)人數(shù)據(jù)。消費(fèi)者可以對(duì)自己個(gè)人數(shù)據(jù)的安全性有更強(qiáng)的信心，在得到正確授權(quán)的裝置上購(gòu)物或者在個(gè)人的社交網(wǎng)絡(luò)上共享信息。例如，安全性可以得到擴(kuò)展，以包括裝置上的數(shù)字身份管理。裝置的丟失并不一定會(huì)危及個(gè)人信息。只要消費(fèi)者用恰當(dāng)?shù)目诹铈i定裝置的話，鑒別功能就可以讓私人數(shù)據(jù)免受窺測(cè)。

 

    正如對(duì)連接到Internet的PC提供加密保護(hù)協(xié)議（SSL和S－HTTP）使得電子商務(wù)在1990年代開(kāi)始興旺起來(lái)，一旦這樣的安全鑒別和處理能力能在PMP和類似產(chǎn)品上啟用的話，就可以搭建一個(gè)舞臺(tái)，讓這些裝置可以實(shí)現(xiàn)的服務(wù)和處理的內(nèi)容得以快速增長(zhǎng)。

 

消費(fèi)者的滿意程度

 

    再回到DRM的話題。涉及多種產(chǎn)品的OEM們可以利用在他們的生態(tài)系統(tǒng)中處處運(yùn)用Blackfin Lockbox Secure Technology，對(duì)所有的經(jīng)過(guò)批準(zhǔn)的裝置進(jìn)行檢驗(yàn)，維持所需的版權(quán)保護(hù)，而不必付出分別在每個(gè)裝置上采用安保ID芯片的開(kāi)銷。舉例來(lái)說(shuō)，這將支持這樣的一種使用模式：擁有恰當(dāng)授權(quán)的產(chǎn)品的消費(fèi)者可以無(wú)縫地將一支防復(fù)制的歌曲從他的PMP轉(zhuǎn)移到他的MP3時(shí)鐘收音機(jī)上。

 

        Blackfin的可編程性還使得它適用于另一種情形。Blackfin的指令集能實(shí)現(xiàn)多種多樣的軟件加密算法，這就使得相同的裝置能支持多種內(nèi)容保護(hù)格式。當(dāng)OEM能保證授權(quán)許可的安全性的情況下，PMP可以支持由不同的數(shù)字音樂(lè)和視頻零售商所使用的DRM。數(shù)字娛樂(lè)的狂熱愛(ài)好者們將能在他們的消費(fèi)電子裝置之間轉(zhuǎn)移合法下載的音樂(lè)和電影。

 

確保商機(jī)

 

        OEM們可以運(yùn)用Blackfin Lockbox Secure Technology的威力來(lái)將PMP和其他的產(chǎn)品推進(jìn)到消費(fèi)類電子的裝置的安全保護(hù)的最前沿。采用私有密鑰和Blackfin Lockbox Secure Technology的安全處理模式之后，OEM可以讓他們的系統(tǒng)安全性優(yōu)于當(dāng)前的那些僅僅對(duì)部分系統(tǒng)進(jìn)行安全保護(hù)的系統(tǒng)。從DRM到IP保護(hù)，再到電子商務(wù)、社交網(wǎng)絡(luò)、個(gè)人數(shù)據(jù)，開(kāi)發(fā)者們都可靈活地應(yīng)用更有效的安全防護(hù)措施，從而減少被起訴的危險(xiǎn)，同時(shí)支持令消費(fèi)者高興的功能特色和不同的商業(yè)模式。

 

    同時(shí)，Blackfin可以實(shí)現(xiàn)低功耗化，并完成控制與信號(hào)處理的融合、外設(shè)的集成、魯棒的開(kāi)發(fā)環(huán)境和低廉的物料管理（bill of materials）成本，這些構(gòu)成了成功的數(shù)字媒體裝置設(shè)計(jì)所需的嵌入式的處理套裝。