基于ESAM的嵌入式應(yīng)用軟件版權(quán)保護解決方案

基于ESAM的嵌入式應(yīng)用軟件版權(quán)愛護解決方案一、概論計算機應(yīng)用的普及，帶來了軟件產(chǎn)業(yè)的蓬勃發(fā)展，編制軟件艱辛和拷貝軟件輕易之間的劇烈反差，使許多人享受了免費午餐的喜悅，而軟件的編制者和全部者看著自己得不到的勞動成果卻只能慨嘆無可奈何。如何愛護軟件的版權(quán)，愛護全部者的權(quán)益，除了必要的法律愛護，軟件全部者在技術(shù)上的自我防護也成為了必要的手段。近兩年，隨著PDA，掌上電腦，機頂盒等信息終端漸漸走進人們的生活，嵌入式操作系統(tǒng)也象Windows一樣為人們熟知，同樣，作為應(yīng)用軟件，嵌入式軟件雖然面對的不是最終的消費者，而是硬件生產(chǎn)廠商，盡管不會輕易發(fā)生盜版軟件的現(xiàn)象，但如何量化軟件的運用量，如何愛護軟件廠商的利益，如何避開長期合作中不必要的糾紛，也是軟件廠商必需面對和解決的問題。北京握奇智能科技有限公司是智能卡及嵌入式數(shù)據(jù)平安領(lǐng)域數(shù)一數(shù)二的專業(yè)公司，公司的主導(dǎo)產(chǎn)品ESAM-嵌入式平安限制模塊在許多嵌入式產(chǎn)品領(lǐng)域為用戶解決了關(guān)鍵數(shù)據(jù)存儲、身份認證、數(shù)據(jù)加解密、線路愛護等許多平安問題。在嵌入式軟件的產(chǎn)權(quán)愛護上，公司運用ESAM為許多嵌入式軟件廠商設(shè)計了版權(quán)愛護的方案。下面是這一方案的簡要說明。二、ESAM簡介ESAM（EmbeddedSecureAccessModule）嵌入式平安限制模塊，采納專用的智能卡芯片模塊封裝，操作系統(tǒng)采納握奇公司自主學(xué)問產(chǎn)權(quán)的TimeCOS嵌入式平安操作系統(tǒng)，除了具有防檢測、抗攻擊、自毀等硬件特性外，還具有平安的文件密鑰管理，完善的平安機制、標準的加密運算功能等特性，ESAM的硬件平臺采納德國億恒科技公司（Infineon原西門子半導(dǎo)體）的保密限制器系列產(chǎn)品SLE44CXX系列或SLE66CXX系列芯片作為硬件平臺，平安性能達到國際ITSECE4級標準，芯片操作系統(tǒng)TimeCOS通過了中國人民銀行行業(yè)標準的檢測和國家密碼委員會的認證，尤為一提的是，超過2000萬片的總發(fā)行量使TimeCOS成為國內(nèi)智能卡行業(yè)的第一，得到了市場和用戶的廣泛認同。ESAM最主要的應(yīng)用模式是嵌入到其他專用或通用設(shè)備中，完成數(shù)據(jù)的加密解密、雙向身份認證、訪問權(quán)限限制、通信線路愛護、臨時密鑰導(dǎo)出、軟件版權(quán)愛護、數(shù)據(jù)文件存儲等多種功能。可廣泛應(yīng)用于具有加密功能的智能設(shè)備中。三、簡潔的硬件設(shè)計CPUI/OCPUI/OI/OCLKI/OCLKESAM簡潔的硬件結(jié)構(gòu)使其同主要硬件設(shè)備的結(jié)合特別簡潔，兼容性好，編程簡潔。四、系統(tǒng)要求：系統(tǒng)或應(yīng)用軟件須要支持DES/3DES算法。系統(tǒng)或應(yīng)用軟件全部或按批次預(yù)裝主密鑰MK。（每批的MK可以不同）ESAM中安裝依據(jù)ESAM的唯一硬件序列號S/N分散加密產(chǎn)生的認證密鑰CSK,軟件批次號可以存儲在ESAM或軟件中。采納隨機數(shù)RND作為載體實現(xiàn)平安認證，RND可以有如下三個來源：系統(tǒng)或應(yīng)用軟件偽隨機數(shù)發(fā)生（完全避開隨機數(shù)重放）。從ESAM中取隨機數(shù)，應(yīng)用軟件作簡潔運算（基本避開隨機數(shù)重放）。從ESAM中取隨機數(shù)（理論上存在隨機數(shù)重放的可能）。ESAM中密文存儲一些軟件運行參數(shù)等敏感數(shù)據(jù)（可選）。加密算法：采納SingleDES、TripleDES算法；五、軟件平安認證過程原理圖：單片機程序軟件：預(yù)置主密鑰MK，能夠產(chǎn)生隨機數(shù)RND并進行DES運算ESAM：預(yù)置依據(jù)ESAM序列號S/N分散的加密認證密鑰CSK：DES（MK，S/N）PDA、掌上電腦，機頂盒或其他計算機外設(shè)單片機程序軟件認證模塊ESAMPDA、掌上電腦，機頂盒或其他計算機外設(shè)單片機程序軟件認證模塊ESAMS/N軟件：S/N軟件：1、對ESAM做復(fù)位取得ESAM的S/N號2、計算分散密鑰CSK=DES（MK，S/N）ESAMESAMRNDESAM：用認證密鑰CSK對隨機數(shù)RND加密產(chǎn)生認證碼RNDESAM：用認證密鑰CSK對隨機數(shù)RND加密產(chǎn)生認證碼X=DES（CSK，RND）軟件：1、產(chǎn)生隨機數(shù)RND2、將RND送至ESAM進行加密取認證碼X3、計算分散密鑰CSK4、對隨機數(shù)RND加密計算認證碼YDES（SK，RND）XXNo軟件推斷No軟件推斷Y=？X應(yīng)用軟件應(yīng)用軟件拒絕執(zhí)行應(yīng)用軟件正常執(zhí)行Yes應(yīng)用軟件正常執(zhí)行Yes六、一種防止程序被反編譯的方法依據(jù)設(shè)備采納的主CPU的特點，可以采納將系統(tǒng)源程序加密存儲的方法，防止存儲在ROM或EEPROM中的程序被讀出后反編譯。將源程序中的部分子程序或重要參數(shù)用ESAM中的密鑰加密后安裝，在執(zhí)行該部分程序或參數(shù)時需先將數(shù)據(jù)送ESAM解密后再放到FLASH或RAM中執(zhí)行，掉電后解密后的數(shù)據(jù)將消逝。這樣可有效地愛護源程序被破解。七、應(yīng)用軟件認證吩咐序列：1、對ESAM做復(fù)位取得ESAM硬件序列號S/N2、調(diào)用軟件DES函數(shù)計算臨時密鑰CSK=DES（MK1，S/N），放內(nèi)存暫存3、軟件產(chǎn)生隨機數(shù)RND4、將RND送至ESAM的認證密鑰CSK對隨機數(shù)RND加密產(chǎn)生認證碼X00880001082332345546765976隨機數(shù)RND隨機數(shù)RND6、用臨時密鑰CSK調(diào)用DES函數(shù)對隨機數(shù)RND加密Y=DES（CSK，RND）7、比較X是否等于Y，確定軟件的后續(xù)操作六、平安性分析ESAM平安硬件平臺保證了存儲于其中的密鑰及數(shù)據(jù)文件的高度平安。ESAM文件和密鑰系統(tǒng)的發(fā)行由須要愛護的系統(tǒng)或應(yīng)用軟件供應(yīng)商完成。ESAM獨特的密鑰認證方式，使得認證過程中，ESAM及主CPU的通訊時，線路上只是傳輸了序列號、隨機數(shù)、認證碼，根本沒有密鑰的傳輸，分析者對線路通訊的跟蹤分析是沒有意義的。系統(tǒng)或應(yīng)用軟件運行的合法性取決于及ESAM的認證過程是否正確，系統(tǒng)或應(yīng)用軟件的發(fā)行間接的變成了ESAM的發(fā)行和銷售，軟件的銷售有了量化的標準，愛護了軟件的版權(quán)和應(yīng)得利益。軟件在不同批次，或不同應(yīng)用的狀況下，可以更改軟件的主密鑰MK以及ESAM的認證密鑰CSK，平安性更加增加。還可以利用ESAM的其他功能，比如平安數(shù)據(jù)存儲，線路愛護，數(shù)字簽名等。七、詳細應(yīng)用現(xiàn)在已有一些電路設(shè)計廠商采納該方案，愛護自己的電路設(shè)計及應(yīng)用軟件，在OEM托付生產(chǎn)的過程中，運用ESAM防止生產(chǎn)商對產(chǎn)品的無償拷貝。握奇公司可以針對用戶軟件和硬件的特點設(shè)計詳細的解決方案。八、ESAM密鑰的設(shè)置：ESAM的初始加密密鑰CSK為：0000000000000000用戶在運用ESAM作軟件愛護的時候應(yīng)當(dāng)重新為ESAM設(shè)定新的加密密鑰設(shè)置步驟是：1、為單片機程序軟件設(shè)定一個8字節(jié)的主密鑰MK2、對ESAM作復(fù)位操作取得復(fù)位信息的最終8字節(jié)數(shù)據(jù)為ESAM序列號S/N復(fù)位信息后8字節(jié)是ESAM序列號例如復(fù)位信息后8字節(jié)是ESAM序列號3B69000057442605