基于ESAM的嵌入式應(yīng)用軟件版權(quán)保護(hù)解決方案

基于ESAM的嵌入式應(yīng)用軟件版權(quán)愛護(hù)解決方案一、概論計(jì)算機(jī)應(yīng)用的普及，帶來了軟件產(chǎn)業(yè)的蓬勃發(fā)展，編制軟件艱辛和拷貝軟件輕易之間的劇烈反差，使許多人享受了免費(fèi)午餐的喜悅，而軟件的編制者和全部者看著自己得不到的勞動(dòng)成果卻只能慨嘆無可奈何。如何愛護(hù)軟件的版權(quán)，愛護(hù)全部者的權(quán)益，除了必要的法律愛護(hù)，軟件全部者在技術(shù)上的自我防護(hù)也成為了必要的手段。近兩年，隨著PDA，掌上電腦，機(jī)頂盒等信息終端漸漸走進(jìn)人們的生活，嵌入式操作系統(tǒng)也象Windows一樣為人們熟知，同樣，作為應(yīng)用軟件，嵌入式軟件雖然面對(duì)的不是最終的消費(fèi)者，而是硬件生產(chǎn)廠商，盡管不會(huì)輕易發(fā)生盜版軟件的現(xiàn)象，但如何量化軟件的運(yùn)用量，如何愛護(hù)軟件廠商的利益，如何避開長(zhǎng)期合作中不必要的糾紛，也是軟件廠商必需面對(duì)和解決的問題。北京握奇智能科技有限公司是智能卡及嵌入式數(shù)據(jù)平安領(lǐng)域數(shù)一數(shù)二的專業(yè)公司，公司的主導(dǎo)產(chǎn)品ESAM-嵌入式平安限制模塊在許多嵌入式產(chǎn)品領(lǐng)域?yàn)橛脩艚鉀Q了關(guān)鍵數(shù)據(jù)存儲(chǔ)、身份認(rèn)證、數(shù)據(jù)加解密、線路愛護(hù)等許多平安問題。在嵌入式軟件的產(chǎn)權(quán)愛護(hù)上，公司運(yùn)用ESAM為許多嵌入式軟件廠商設(shè)計(jì)了版權(quán)愛護(hù)的方案。下面是這一方案的簡(jiǎn)要說明。二、ESAM簡(jiǎn)介ESAM（EmbeddedSecureAccessModule）嵌入式平安限制模塊，采納專用的智能卡芯片模塊封裝，操作系統(tǒng)采納握奇公司自主學(xué)問產(chǎn)權(quán)的TimeCOS嵌入式平安操作系統(tǒng)，除了具有防檢測(cè)、抗攻擊、自毀等硬件特性外，還具有平安的文件密鑰管理，完善的平安機(jī)制、標(biāo)準(zhǔn)的加密運(yùn)算功能等特性，ESAM的硬件平臺(tái)采納德國億恒科技公司（Infineon原西門子半導(dǎo)體）的保密限制器系列產(chǎn)品SLE44CXX系列或SLE66CXX系列芯片作為硬件平臺(tái)，平安性能達(dá)到國際ITSECE4級(jí)標(biāo)準(zhǔn)，芯片操作系統(tǒng)TimeCOS通過了中國人民銀行行業(yè)標(biāo)準(zhǔn)的檢測(cè)和國家密碼委員會(huì)的認(rèn)證，尤為一提的是，超過2000萬片的總發(fā)行量使TimeCOS成為國內(nèi)智能卡行業(yè)的第一，得到了市場(chǎng)和用戶的廣泛認(rèn)同。ESAM最主要的應(yīng)用模式是嵌入到其他專用或通用設(shè)備中，完成數(shù)據(jù)的加密解密、雙向身份認(rèn)證、訪問權(quán)限限制、通信線路愛護(hù)、臨時(shí)密鑰導(dǎo)出、軟件版權(quán)愛護(hù)、數(shù)據(jù)文件存儲(chǔ)等多種功能。可廣泛應(yīng)用于具有加密功能的智能設(shè)備中。三、簡(jiǎn)潔的硬件設(shè)計(jì)CPUI/OCPUI/OI/OCLKI/OCLKESAM簡(jiǎn)潔的硬件結(jié)構(gòu)使其同主要硬件設(shè)備的結(jié)合特別簡(jiǎn)潔，兼容性好，編程簡(jiǎn)潔。四、系統(tǒng)要求：系統(tǒng)或應(yīng)用軟件須要支持DES/3DES算法。系統(tǒng)或應(yīng)用軟件全部或按批次預(yù)裝主密鑰MK。（每批的MK可以不同）ESAM中安裝依據(jù)ESAM的唯一硬件序列號(hào)S/N分散加密產(chǎn)生的認(rèn)證密鑰CSK,軟件批次號(hào)可以存儲(chǔ)在ESAM或軟件中。采納隨機(jī)數(shù)RND作為載體實(shí)現(xiàn)平安認(rèn)證，RND可以有如下三個(gè)來源：系統(tǒng)或應(yīng)用軟件偽隨機(jī)數(shù)發(fā)生（完全避開隨機(jī)數(shù)重放）。從ESAM中取隨機(jī)數(shù)，應(yīng)用軟件作簡(jiǎn)潔運(yùn)算（基本避開隨機(jī)數(shù)重放）。從ESAM中取隨機(jī)數(shù)（理論上存在隨機(jī)數(shù)重放的可能）。ESAM中密文存儲(chǔ)一些軟件運(yùn)行參數(shù)等敏感數(shù)據(jù)（可選）。加密算法：采納SingleDES、TripleDES算法；五、軟件平安認(rèn)證過程原理圖：?jiǎn)纹瑱C(jī)程序軟件：預(yù)置主密鑰MK，能夠產(chǎn)生隨機(jī)數(shù)RND并進(jìn)行DES運(yùn)算ESAM：預(yù)置依據(jù)ESAM序列號(hào)S/N分散的加密認(rèn)證密鑰CSK：DES（MK，S/N）PDA、掌上電腦，機(jī)頂盒或其他計(jì)算機(jī)外設(shè)單片機(jī)程序軟件認(rèn)證模塊ESAMPDA、掌上電腦，機(jī)頂盒或其他計(jì)算機(jī)外設(shè)單片機(jī)程序軟件認(rèn)證模塊ESAMS/N軟件：S/N軟件：1、對(duì)ESAM做復(fù)位取得ESAM的S/N號(hào)2、計(jì)算分散密鑰CSK=DES（MK，S/N）ESAMESAMRNDESAM：用認(rèn)證密鑰CSK對(duì)隨機(jī)數(shù)RND加密產(chǎn)生認(rèn)證碼RNDESAM：用認(rèn)證密鑰CSK對(duì)隨機(jī)數(shù)RND加密產(chǎn)生認(rèn)證碼X=DES（CSK，RND）軟件：1、產(chǎn)生隨機(jī)數(shù)RND2、將RND送至ESAM進(jìn)行加密取認(rèn)證碼X3、計(jì)算分散密鑰CSK4、對(duì)隨機(jī)數(shù)RND加密計(jì)算認(rèn)證碼YDES（SK，RND）XXNo軟件推斷No軟件推斷Y=？X應(yīng)用軟件應(yīng)用軟件拒絕執(zhí)行應(yīng)用軟件正常執(zhí)行Yes應(yīng)用軟件正常執(zhí)行Yes六、一種防止程序被反編譯的方法依據(jù)設(shè)備采納的主CPU的特點(diǎn)，可以采納將系統(tǒng)源程序加密存儲(chǔ)的方法，防止存儲(chǔ)在ROM或EEPROM中的程序被讀出后反編譯。將源程序中的部分子程序或重要參數(shù)用ESAM中的密鑰加密后安裝，在執(zhí)行該部分程序或參數(shù)時(shí)需先將數(shù)據(jù)送ESAM解密后再放到FLASH或RAM中執(zhí)行，掉電后解密后的數(shù)據(jù)將消逝。這樣可有效地愛護(hù)源程序被破解。七、應(yīng)用軟件認(rèn)證吩咐序列：1、對(duì)ESAM做復(fù)位取得ESAM硬件序列號(hào)S/N2、調(diào)用軟件DES函數(shù)計(jì)算臨時(shí)密鑰CSK=DES（MK1，S/N），放內(nèi)存暫存3、軟件產(chǎn)生隨機(jī)數(shù)RND4、將RND送至ESAM的認(rèn)證密鑰CSK對(duì)隨機(jī)數(shù)RND加密產(chǎn)生認(rèn)證碼X00880001082332345546765976隨機(jī)數(shù)RND隨機(jī)數(shù)RND6、用臨時(shí)密鑰CSK調(diào)用DES函數(shù)對(duì)隨機(jī)數(shù)RND加密Y=DES（CSK，RND）7、比較X是否等于Y，確定軟件的后續(xù)操作六、平安性分析ESAM平安硬件平臺(tái)保證了存儲(chǔ)于其中的密鑰及數(shù)據(jù)文件的高度平安。ESAM文件和密鑰系統(tǒng)的發(fā)行由須要愛護(hù)的系統(tǒng)或應(yīng)用軟件供應(yīng)商完成。ESAM獨(dú)特的密鑰認(rèn)證方式，使得認(rèn)證過程中，ESAM及主CPU的通訊時(shí)，線路上只是傳輸了序列號(hào)、隨機(jī)數(shù)、認(rèn)證碼，根本沒有密鑰的傳輸，分析者對(duì)線路通訊的跟蹤分析是沒有意義的。系統(tǒng)或應(yīng)用軟件運(yùn)行的合法性取決于及ESAM的認(rèn)證過程是否正確，系統(tǒng)或應(yīng)用軟件的發(fā)行間接的變成了ESAM的發(fā)行和銷售，軟件的銷售有了量化的標(biāo)準(zhǔn)，愛護(hù)了軟件的版權(quán)和應(yīng)得利益。軟件在不同批次，或不同應(yīng)用的狀況下，可以更改軟件的主密鑰MK以及ESAM的認(rèn)證密鑰CSK，平安性更加增加。還可以利用ESAM的其他功能，比如平安數(shù)據(jù)存儲(chǔ)，線路愛護(hù)，數(shù)字簽名等。七、詳細(xì)應(yīng)用現(xiàn)在已有一些電路設(shè)計(jì)廠商采納該方案，愛護(hù)自己的電路設(shè)計(jì)及應(yīng)用軟件，在OEM托付生產(chǎn)的過程中，運(yùn)用ESAM防止生產(chǎn)商對(duì)產(chǎn)品的無償拷貝。握奇公司可以針對(duì)用戶軟件和硬件的特點(diǎn)設(shè)計(jì)詳細(xì)的解決方案。八、ESAM密鑰的設(shè)置：ESAM的初始加密密鑰CSK為：0000000000000000用戶在運(yùn)用ESAM作軟件愛護(hù)的時(shí)候應(yīng)當(dāng)重新為ESAM設(shè)定新的加密密鑰設(shè)置步驟是：1、為單片機(jī)程序軟件設(shè)定一個(gè)8字節(jié)的主密鑰MK2、對(duì)ESAM作復(fù)位操作取得復(fù)位信息的最終8字節(jié)數(shù)據(jù)為ESAM序列號(hào)S/N復(fù)位信息后8字節(jié)是ESAM序列號(hào)例如復(fù)位信息后8字節(jié)是ESAM序列號(hào)3B69000057442605