一年前,写了个帖子https://whycan.com/t_6507.html在全志芯片F1C100S/V3S/V831上实现裸机加密方案,防盗版进行时(不采用专用加密芯片)。
用于解决防盗版问题,这种方案是保护整个产品。
但如果我们的诉求变化了,不是保护完整的产品,仅要保证客户必须从我这里采购芯片,即使客户不从我们这里采购芯片,也能运行,只不过有个恶心的“未授权”提示,体验功能不受任何影响,那么该如何实现呢。同样,不采用任何加密芯片(一个主芯片配一个加密芯片,这种算常规方案,不考虑)
归纳下:
1,要求客户必须从你这里买主芯片,如果是从其他渠道购买的,所有功能都是正常的,但有屏幕有恶心提示,或显示我司联系方式。
2,不采用加密芯片,
3,镜像或者源码可以提供给客户(部分闭源)。
离线
先解决恶心提示问题,这个比较简单,直接在窗口显示一陀东西,就行了,怎么恶心,怎么来,反正关不掉。
离线
那怎么判断这个芯片是不是你卖给他的呢,这里有多种组合方案。
1,SOC里有唯一ID,还有EFUSE
2,SOC里有唯一ID,没有EFUSE,但要求客户买你的SPI nor 或者EMMC
3,如果SOC没有唯一ID,没有EFUSE或者不购买SPI nor,EMMC等,这种情况直接pass,考虑加密芯片吧。
离线
先说思路,自己搞个ECC密钥对,保护好,杜绝泄漏。
先根据芯片的唯一ID,SHA256运算,再ECDSA签名,签名文件写入芯片的EFUSE,然后写好efuse的芯片,就可以直接出给客户了。
离线
如果没有efuse,就写到flash里,一起出给客户,但这种方案,必须保证主芯片和flash是配套的,但贴片时很难杜绝,这种情况,只能是等客户贴好板子了,给客户激活,或者网络直接激活。虽然有恶心的提升,但不影响使用,如果搞服务器的话,可以让客户自行激活,而且还可以计算数量。
离线
恶心提示的判断点是验签。
离线
有了这些机制,剩下的就是完整性保护,防止干掉恶心提示,这里就需要有部分代码是闭源的,且启动时需要检测是否修改过。这个可以用上可信引导技术。
离线
任何限制都仅仅是手段,让客户乖乖掏钱才是最终目的。
离线
这种方案,有个最大的好处是,客户随便刷机,也感受不到保护机制的存在,只有客户在心生邪念时,才会被教育。前期合作双方没有任何心理负担,彼此都很坦诚,可以有效维护客户关系。合作久了,心生邪念了,也能有效保护个人利益免受侵害。如果一开始就来个加密芯片,很守规则的客户估计心理要凉半截。得不偿失。
离线
信任跟共识一样,很有价值,但要做到是需要花费巨大的成本的。
离线
多级信任链,是可取的,但整个游戏规则,必须由芯片原厂来设计,芯片原厂其实是没有太多动力做这件事的,反正你都是我的芯片,随便你哪个代理商,贸易商,方案商来出,都是一样的,还省得麻烦,现在主要是思考现行商业模式下,如何能达成此类需求,不做伤筋动骨的假设。
离线