无需电池的用于工业和计量装置的侵扰检测系统以及方法
无需电池的用于工业和计量装置的侵扰检测系统以及方法
【专利说明】无需电池的用于工业和计量装置的侵扰检测系统以及方法[0001 ]相关专利申请的交叉引用
[0002]本申请与2014年10月1日提交的申请号为62/058556,标题为“Tamper Detect1nSystems and Methods for Industrial&Metering Devices not Requiring a Battery,,,发明人为Yann Yves Rene Loisel,Frank Lhermet及Alain-Christophe Rollet的美国临时申请相关并要求享有其优先权,在此其全部内容通过弓I用的方式结合到本文中。
【背景技术】
[0003]A.
技术领域
[0004]本发明主要涉及安全系统,并且尤其涉及检测电子系统中的侵扰以防止对敏感数据的未经授权的访问的系统、装置、以及方法。
[0005]B.发明背景
[0006]安全的电子系统例如银行终端可以在可信环境中保护重要的资产和经加密的敏感数据,以防止潜在攻击者未经允许对其访问或侵扰。防止入侵者侵扰物理装置以获得敏感数据访问的典型对策包括实现装置敏感区域周围的安全边界。高度安全物理防护包括电子网格与开关的应用,它们可以帮助检测侵扰以及发出可能遭到入侵的信号标志。一旦检测到入侵,这些安全系统可以,例如,清除其解密密钥以及其他存储于计算机系统内常规存储装置的敏感信息以防止对手捕获私密信息。
[0007]针对物理侵扰的高效安全措施要求24/7全天候保护,不间断地监控包含敏感信息的物理装置,即,装置必须总是处于供电状态以防止切断电源期间可能出现的未经授权的访问。可选地,可以关闭本装置的非关键部分,同时电源(例如,电池)为装置提供充足的能量以使安全监控系统保持在工作状态,继续保护最关键的组件及外部警报装置,例如通过发送警告,以确保提供所需保护水平。因此,即使安全装置自身完全断电,监控系统仍可以保持持续运行并控制装置的物理完整性。
[0008]包含防护电子网格以及其他活动部件的安全监控系统被电操作,并且被设计为检测任何参考信号的特征的侵扰或者改动,比如电压或电阻值,以作为物理侵扰潜在行为的指示。电池电量一般都足以监测环境条件,比如冲击事件导致的温度及振动,以进一步增加系统安全性。尤其是,要求较高安全性的密钥存储及数据的硬件安全模块(HSMs)依靠电池供电以完成24/7监控,以使即使在停电情况下,具有备份电池的安全监控系统仍可控制装置物理边界的安全性,并且确保敏感数据不被未经授权而遭到访问、记录或者其他侵扰。支付终端以及其他包含安全的微控制器的装置使用的安全监控系统,具有平均约7年电池寿命的备份电池。这在大多数如定期淘汰或替换的HSMs实例中是合适的,以使电池寿命超过本领域装置的实际使用时间。
[0009]然而,具有相当长寿命的装置,比如智能仪表,我们期望它们在本领域工作30年甚至更长时间,而且在实际中无需任何维修或者,至少,尽可能少维修。考虑到即使最先进的电池也仅具有少于10年的寿命,那么一旦需要替换装置的电池,就必须切断电源一段时间以进行维修工作,这个缺点使得对这些装置的保护就无效了。类似地,对于位于边远地区的工业装置,如石油或天然气管道等,是被设计为无需维修操作的装置,由于极高的维护与支持成本,以及,更为重要地,断电及开启安全装置涉及到安全问题,使得在该领域更换电池是不可行的解决方案。
[0010]目前,不存在确保昼夜保护高安全及长使用寿命装置的实际解决方案。一旦关闭装置,其被暴露并毫无安全可言。攻击者可以访问装置,无监测地进行电路改动,并且在装置重新充电启动后没有信息指示装置在此期间被入侵以及被操纵。最复杂的攻击者甚至可以无需试图检索关闭电源时的秘密,而是,抓住机会向装置安装一些恶意代码(例如,木马),以使当电源重新充电启动时,攻击者已经完成的改动可用于拦截数据以及暴露有价值的资产(例如,记录并提取密码),而不留下易于被远程位置监测到的痕迹。
[0011]因此,需要在装置边界提供不间断的高安全性监控的工具,以使即使发生断电事件,仍可能确定装置是否被侵扰以采取适当措施。
【附图说明】
[0012]参考本发明的实施例,在附体中可以例示本发明的实例。这些附图旨在说明而非限制。尽管这些实施例的内容大致描述本发明,应该理解这并不旨在将本发明的范围限制为这些特殊实施例。
[0013]图(“FIG.”)1示出了用于提供设备安全性的侵扰检测系统的现有技术。
[0014]图2是根据本发明的多个实施例的,提供侵扰检测以及防止对安全电子系统的未经授权的访问的系统的示例性方框图。
[0015]图3是根据本发明的多个实施例的,提供侵扰检测以及防止对安全电子系统的未经授权的访问的设备的示例性方框图。
[0016]图4是根据本发明的多个实施例的,提供侵扰检测以及防止对安全电子系统的未经授权的访问的过程的例示性过程的流程图。
【具体实施方式】
[0017]在以下说明中,出于解释的目的,详细解释具体细节以有助于理解本发明。但是,本领域技术人员应该清楚本发明可以实施而无需这些细节。本领域技术人员会理解可以各种不同方法及各种不同方式实现以下所述的本发明实施例。本领域技术人员也可以理解附加修改、应用以及实施例属于本发明范围之内,可作为本发明可提供实用性的附加领域。因此,以下所述的实施例是本发明的示例性特定实施例并旨在避免使本发明模糊不清。
[0018]在说明书中引用“一个实施例”或者“实施例”是指结合实施例所描述的特定部件、结构、特征或者功能包含在本发明的至少一个实施例中。说明书中多处出现的短语“在一个实施例中,” “在实施例中,”等不一定指相同的实施例。
[0019]此外,附图中组件间或方法步骤间的连接不受限制于直接受影响的连接。相反,在不脱离本发明的教导的情况下,可以修改附图所示的组件或方法步骤间的连接,或者另外通过增加中间组件或方法步骤加以改动。
[0020]本文本中的术语“网格、网格包络电路以及网格电路”与术语“密钥、秘密钥匙以及秘密”和“安全芯片与智能卡”交替使用。术语“安全装置”包括安全微控制器、安全存储装置以及本领域技术人员所理解的其他安全元件。
[0021]图1示出了用于提供装置安全性的侵扰检测系统的现有技术。系统100是电子装置,被设计为拥有嵌入式组件,例如密钥,例如用于数据加密或数据解密。系统100包括FPGA102及NAND 106oFPGA 102是通用微控制器的示例,其通过同步串行数据链接于易失性或非易失性存储器NAND 106,比如串行外围接口,四倍(quad)SPI 1040FPGA 102还与其他通信信道相连,比如互联网端口、USB、串口、I2C或者各种外围装置。
[0022]在操作中,FPGA102充当系统100中的主要角色。除了操纵嵌入式组件,FPGA 102被设计为运行各种大小的应用程序。NAND 106通过四倍SPI 104接收来自FPGA 102的经解密的可执行代码以用于进行计算或执行应用程序的目的。为了使用密钥解密代码,FPGA 102使用来自存储位置的内部密钥,例如,通过使用熔丝或类似技术。然而,通过熔丝技术采取的安全措施不被认为是可以将密钥足够安全地保护于FPGA 102之中,以用于解密从NAND106接收的数据或代码。在操作中,将FPGA 102设计为处理秘密数据,开发者通常受限于他们对于特定技术及用途的特殊装置的选择。工程设计选择主要基于电子性能而不是FPGA 102的恒定安全特征。一旦获得熔丝密钥,攻击者可以解密系统100中的任何事件。因此,在缺少安全保护的包络电路的情况下,FPGA 102不能被认为是系统100的高度安全性组件,并且不应该被用于防止高价值秘密的窃取。
[0023]此外,在装置100自身中以纯文本格式处理敏感信息。解密密钥暴露于密钥存储位置与FPGA 102之间的路径中,以允许信任条件下没有主动防 护地传送密钥,以确保有动机的攻击者不能捕捉密钥以访问敏感数据。
[0024]假设用于保护FPGA102的安全网格是某些现有架构中的方法,由于有助于安全监控的网格依赖于电池供电以连续保护系统100,因此其仍不能保证电子网格的完整性。换言之,一旦系统100不活跃并且不再有电池供电,其暴露于潜在的攻击者之下,一旦恢复供电,则可能开启装置,例如,能够操纵系统100以实现窃听。
[0025]因此,为了以高于部分水平的置信度水平提供足够保护,需要一种在断电阶段有效地防止侵扰尝试并确保常规操作期间安全传输敏感数据的系统及方法。
[0026]图2是根据本发明的各种实施例的,提供侵扰检测以及防止对电子系统的未经授权访问的系统的示例性方框图。系统200包括FPGA 202、NAND 206、智能卡208以及网格210。FPGA 202是例如通过四倍SPI 204连接到NAND 206代表的易失性或非易失性存储器的任意电路或微控制器。FPGA 202可能连接于附加通信信道与装置(未示出)。智能卡208代表提供相较于FPGA 202熔丝技术具有相对高保护水平的安全环境。智能卡208被认为是无法访问的,由于其被设计的高水平置信根据安全性提供。
[0027]在一个实施例中,FPGA 202使用可以被存储在存储器中的秘密加密/解密密钥,该存储器例如在智能卡208内部以解密位于外部存储器(例如,非易失性NAND闪存206)中的代码,该外部存储器可以存储用于诸如操作系统之类的某些较大应用程序的代码,该应用程序之前已经使用智能卡206所持有的密钥被加密。在一个实施例中,FPGA 202自身的独立密钥可以用于运行相对小的不包含任何秘密的非敏感性代码。智能卡208是典型的无需额外防止未经允许访问秘密数据及其持有的解密密钥的安全装置。然而,在供电状态下,由于密钥以未加密格式从智能卡208传送至FPGA 202,将关于密钥的信息暴露于电子连接,智能卡208与FPGA 202间的路径209容易受到因攻击,由此应该保护路径209。如下文更为详细讨论的,可以通过使用覆盖FPGA 202与智能卡208两者的电子网格210来保护传输路径209以实现有意义的保护,从而创建被保护系统200的高安全区域。
[0028]网格210代表紧邻或完全包围FPGA202、智能卡208以及任何其他敏感电路组件的外围环境。为进一步提高安全性,网格210可以被实施为多层级配置。在一个实施例中,只有包含需要保护的敏感电路元件的部分系统200被网格210外层包围,这可以简化设计并降低制造成本。在一个实施例中,网格210代表一种设计为使得反向工程其配置非常困难的功能。网格210可以被实施为能够直接或间接与FPGA 202及智能卡208通信的电子电路。
[0029]在操作中,FPGA202与保护网格210相连接,并且在供电状态下,向网格210提供数值。FPGA 202或智能卡208向网格210发送查询信号,并且基于该查询信号的结果,系统200监测网格210是否被改动,以作为试图侵扰系统200的结果。查询信号可以是通过网格210电线发送的以检测蓝牙、一个或多个全球导航卫星系统(GNSS,例如,GPS或GL0NASS)、一个和/或多个移动电视广播标准(例如,ATSC-M/H或DVB-Η)等等中的两个或者多个来通信。无线通信标准的其它组合(包括多于两种无线通信标准)也是可能的。
[0030]图2图示出根据一些实施例的与基站102(例如,基站102A到102N之一)通信的用户装置106(例如,设备106A到106N之一 hUE 106可以是具有蜂窝通信能力的设备,诸如移动电话、手持设备、可穿戴设备、计算机或平板计算机,或实质上任何类型的无线设备。
[0031]UE 106可以包括处理器,其被配置为执行存储在存储器中的程序指令。UE 106可以通过执行这样存储的指令来执行这里描述的任何方法实施例。可替代地,或另外,UE 106可以包括被配置为执行这里描述的任何方法实施例或这里描述的任何方法实施例的任何部分的可编程硬件元件诸如FPGA(现场可编程门阵列或ASIC(专用集成电路)。
[0032]UE 106可以包括用于使用一个或多个无线通信协议或技术进行通信的一个或多个天线。在一些实施例中,UE 106可以被配置为使用例如,使用单个共享无线电设备的CDMA2000(lxRTY/lxEV-D0/HRPD/eHRro)或者LTE,和/或使用单个共享无线电设备的GSM或LTE来进行通信。共享无线电设备可以耦合到单个天线,或者可以耦合到多个天线(例如,对于ΜΜ0)用于执行无线通信。一般,无线电设备可以包括基带处理器、模拟RF信号处理电路(例如,包括滤波器、混频器、振荡器、放大器等等),和/或数字处理电路(例如,用于数字调制以及其它数字处理)的任意组合。类似地,无线电设备可以使用前述硬件来实现一个或多个接收和/或发送链路。例如,UE 106可以在诸如以上讨论的多个无线通信技术之间共享接收和/或发送链路的一个或多个部分。
[0033]在一些实施例中,UE 106可以包括针对配置为用来进行通信的不同无线通信协议的单独的发送和/或接收链路(例如,包括单独的RF和/或数字无线组件)。作为另一种可能,UE 106可以包括在多个无线通信协议之间共享的一个或多个无线电设备,和被单个无线通信协议独占使用的一个或多个无线电设备。例如,UE 106可以包括用于使用LTE或lxRTT(或LTE或GSM)中任一者通信的共享无线电设备,以及用于使用W1-Fi和蓝牙中每一个通信的单
[0034]图3是根据本发明的各种实施例的,提供侵扰检测以及防止对电子系统的未经授权的访问的设备的示例性方框图。为了清晰起见,以相似方式标识与图2所示的那些相似的组件。如图3所示,设备300包括FPGA 302,智能卡308,以及线性反馈移位寄存器(LFSR)310。在一个实施例中,FPGA 302作为智能卡208与网格210之间的管道,以便于将智能卡208与网格210进行比直接连接更为简单的连接。智能卡306是包括可存储密钥的安全组件的任何高安全装置,并且可以被实施为包含设备300通电时所用的秘密及敏感数据的芯片。典型地,智能卡306具有有限计算功率并且不用于外延计算或者执行较大的应用程序。相反,智能卡306主要用于处理并且存储秘密数据。LFSR 310是至少部分物理包围FPGA 302与智能卡308的电子电路。在一个实施例中,LFSR 310包括具有逻辑功能的印刷晶体管,以使得LFSR 310可被视为电子网络,其电气特征尤其是传输功能基于其物理结构及制备方法。一旦获知了LFSR 310的输入,其输出将是取决于LFSR 310本身及输入值的具体值。
[00;35] 例如可以根据导电银碳墨水来构建LFSR 310,导电银碳墨水被印刷于由聚酯、聚酰胺、或者任何其他绝缘体材料或电介质制成的支承表面上。导电但脆弱的墨水线框一旦被物理侵扰,将被部分损坏并且停止正确操作。至少,LFSR 310的电气特性将被改动,以达到这样可以完全监测到电路响应改动的程度。在一个实施例中,有意将LFSR 310设计为在有效过程期间通过使其无法计算或者猜测电气特征及LFSR 310网络响应,而采用生成随机值的现有制造变化。将各个装置的LFSR 310构建为互不相同的以使再造LFSR 310的努力以及高水平攻击者使用从一个装置(位于另一个装置上)所获得的知识的尝试变得无效,实际上创建密钥设计。
[0036]在操作中,在使用存储于智能卡308中的解密密钥之前,FPGA302可以最初使用存储于FPGA 302内部的其自身的熔丝密钥,例如,以在供电状态下的启动过程期间执行少量代码。代码使FPGA 302向智能卡306发送解密密钥的请求。然而,在一个实施例中,为了在验证请求之前增加置信水平,智能卡306不只信赖该请求。更准确地说,智能卡306通过响应来自FPGA302的用于输入询问值的请求来启动该请求的有效启动过程,其可以是无法被简单猜测的内部生成的随机值。在一个实施例中,将LFSR 310设计为接收来自FPGA 302的输入询问值,基于该询问进行数学运算或计算,并且返回适当结果。在这方面,LFSR 310可以被视为密钥函数。由于潜在攻击者无法预见智能卡306将要发送给LFSR 310的准确询问,因此要确定或者重新计算预期结果是不可能的。
[0037]即使在LFSR310自身在物理级(S卩,晶体管级)通过分析结构而无需展开或物理压缩LFSR 310而被成功反向工程这样的不太可能的事件中,将可能损害其配置,每次启动时智能卡306所生成的作为询问的随机序列的独特性使得输入询问与其未发现的响应相结入口 ο
[0038]一旦FPGA 302取回结果,例如以对输入询问的电路响应的方式,并且将该结果继续向前传至智能卡306,智能卡306可以随后使用相对简单的函数来重新计算该结果,以确认该结果与智能卡306之前所生成的询问相匹配。在一个实施例中,智能卡306将其内部生成的数值与LFSR 310通过FPGA302提供的数值进行比较,并且如果智能卡306成功确认预期结果,其推断LFSR 310未被改动、替换或者以其他方式侵扰,在设备300处于供电且安全的状态时提供高置信度。最后,智能卡306可以向FPGA 302发送用于解密存储于某些内部或外部存储器的数据的密钥,并且FPGA 302继续按进行加载及执行各种应用程序所计划的来操作。
[0039]在LFSR310所返回的函数未提供正确结果并且LFSR 302计算的数值未被智能卡306所接收的事件中,智能卡306会将其解读为LFSR 302的物理渗透指示或者可能在先前断电事件期间可能发生的对设备300的侵扰攻击。智能卡306会随后采取合适措施,其可能包括拒绝以纯文本格式向FPGA302传送密钥以防止启动过程或类似行动发生。设备300未被怀疑的缺少置信度事件的附加或替代对策,可以包括向固件发送警报以识别入侵,永久清除密钥,以及执行不同的常规操作以保护整个系统。
[0040]图4是根据本发明的各种实施例的,提供侵扰检测以及防止对电子系统的未经授权的访问的示例性过程的流程图。该过程在微控制器(比如FPGA)进行步骤402时提供侵扰检测,向智能卡发送存储于某些内部或外部存储器中的代码的解密密钥请求。在步骤404中,智能卡接收请求并通过响应其自身用于询问值的请求来启动对该请求的验证。在步骤406中,FPGA向包络电路(例如,LFSR)发送询问。在步骤408中,LFSR通过输出电路响应进行应答。在步骤410中,FPGA继续向前将结果传送至智能卡。最后,在步骤412,一旦智能卡确认了结果,即该结果是与询问相匹配的预期结果,指示电路未被改动或替换,智能卡向FPGA发送密钥,以使FPGA能够解密代码并运行应用程序。
[0041 ]在一个实施例中,智能卡被用作启动控制器以给FPGA供电。智能卡本身执行对发送给包络电路的询问值确认并且仅在确认成功后才向FPGA发布解密密钥。
[0042]本领域的技术人员会理解较少或附加的步骤可以与本文所例示的步骤结合,而不脱离本发明的范围。本文中的描述以及流程图中的方框的布置并不暗示特定顺序。
[0043]还可以进一步理解之前的示例及实施例是示例性的并用于清楚理解本发明,而非用于限制本发明范围的目的。其旨在阅读说明书以及研究附图之后,涵盖于本发明范围内的所有排列、加强、等效、结合、以及改进对于本领域技术人员而言是显而易见的。由此旨在使得权利要求包含所有这样的变型、变化以及落入本发明的范围以及精神内的等同形式。
【主权项】
1.一种用于防止对电子系统的未经授权的访问的设备,所述设备包括: 微控制器; 耦合到所述微控制器的智能卡,所述智能卡包括第一存储单元,所述智能卡被配置为持有第一密钥,请求用于询问值的验证,并且响应于接收并验证结果而发布所述第一密钥;以及 至少部分地包围所述智能卡与所述微控制器的包络电路,所述包络电路创建所述设备的安全区域并被配置为产生电路响应, 其中,所述微控制器和所述智能卡中的一个被配置为向所述包络电路发送询问。2.如权利要求1所述的设备,其中,所述询问是在启动条件下产生的独特的随机序列。3.如权利要求1所述的设备,其中,与所述询问相匹配的所述结果是通过所述包络电路传输并指示所述包络电路的完整性的动态随机信号。4.如权利要求1所述的设备,其中,所述包络电路的传输函数取决于所述包络电路的物理结构和制作方法中的至少一项。5.如权利要求4所述的设备,其中,所述包络电路的所述传输函数是所述包络电路的至少一个独特固有特性的函数。6.如权利要求1所述的设备,其中,所述包络电路包括作为参考条件的电气特性。7.如权利要求1所述的设备,其中,所述包络电路包括具有逻辑功能的印刷晶体管元件。8.如权利要求1所述的设备,其中,所述包络电路包括印刷在支撑表面上的银碳墨水线框。9.如权利要求1所述的设备,其中,所述微控制器被配置为持有第二密钥,所述第二密钥用于与智能卡中的数据相比敏感性较低的数据。10.—种用于防止对电子系统的未经授权的访问的系统,所述系统包括: 微控制器; 耦合到所述微控制器的外部存储器; 耦合到所述微控制器的智能卡,所述智能卡包括第一存储单元,所述智能卡被配置为持有第一密钥,请求用于询问值的验证,并且响应于接收并验证结果而发布所述第一密钥;以及 至少部分地包围所述智能卡和所述微控制器的包络电路,所述包络电路创建所述系统中的安全区域并被配置为产生电路响应,其中,所述微控制器和所述智能卡中的一个被配置为向所述包络电路发送秘密询问,并且其中,所述第一密钥是能够解密所述外部存储器中的经加密的代码的秘密钥匙。11.如权利要求10所述的系统,其中,所述外部存储器通过同步串行数据链接耦合到所述微控制器。12.如权利要求11所述的系统,其中,所述外部存储器被耦合为通过所述同步串行数据链接从所述微控制器接收经解密的可执行代码,以进行计算或执行应用程序。13.—种用于防止对电子系统的未经授权的访问的方法,所述方法包括: 从智能卡请求第一密钥; 从所述智能卡接收用于询问值的验证请求; 响应于接收所述验证请求而向包络电路发送询问; 从所述包络电路接收电路响应; 响应于接收所述电路响应而向所述智能卡发送结果;以及 基于对所述结果的验证,从所述智能卡接收所述第一密钥以解密数据。14.如权利要求13所述的方法,其中,与所述询问相匹配的所述结果表示所述包络电路未被侵扰。15.如权利要求13所述的方法,其中,所述询问是内部产生的随机值。16.如权利要求15所述的方法,进一步将所述内部产生的随机值与微控制器所提供的值相比较。17.如权利要求13所述的方法,进一步包括:响应于检测到所述包络电路的电气特性的变化而生成警报信号。18.一种用于防止对电子系统的未经授权的访问的方法,所述方法包括: 使用作为启动控制器的智能卡来为微控制器通电,以使得由所述智能卡作出的验证是启动所述微控制器的先决条件; 从所述微控制器接收用于第一密钥的请求; 向所述微控制器发送用于询问值的验证请求; 接收询问的结果; 进行对所述询问的所述结果的验证;以及 响应于成功的验证,向所述微控制器发布所述第一密钥。19.如权利要求18所述的方法,其中,通过对所述询问值进行数学运算来获得所述结果Ο20.如权利要求19所述的方法,进一步包括:在所述微控制器与所述智能卡之间以纯文本格式传送所述第一密钥。
【专利摘要】本发明的实施例通过在安全电子系统的敏感区域周围提供一种改进的入侵检测来以防止对电子系统的未经授权的访问。某些实施例无需恒定电池功率并且还在装置周边提供不间断的高安全监控,以使尽管发生断电事件仍可能采取适当行动以确定该装置是否被侵扰。这在那些无法使用电池的应用程序中尤其有用。
【IPC分类】G06F21/60
【公开号】CN105488421
【申请号】CN201510807524
【发明人】Y·Y·R·卢瓦泽尔, F·莱尔米特, A-C·罗莱
【申请人】马克西姆综合产品公司
【公开日】2016年4月13日
【申请日】2015年9月30日
【公告号】US20160098918
【专利说明】无需电池的用于工业和计量装置的侵扰检测系统以及方法[0001 ]相关专利申请的交叉引用
[0002]本申请与2014年10月1日提交的申请号为62/058556,标题为“Tamper Detect1nSystems and Methods for Industrial&Metering Devices not Requiring a Battery,,,发明人为Yann Yves Rene Loisel,Frank Lhermet及Alain-Christophe Rollet的美国临时申请相关并要求享有其优先权,在此其全部内容通过弓I用的方式结合到本文中。
【背景技术】
[0003]A.
技术领域
[0004]本发明主要涉及安全系统,并且尤其涉及检测电子系统中的侵扰以防止对敏感数据的未经授权的访问的系统、装置、以及方法。
[0005]B.发明背景
[0006]安全的电子系统例如银行终端可以在可信环境中保护重要的资产和经加密的敏感数据,以防止潜在攻击者未经允许对其访问或侵扰。防止入侵者侵扰物理装置以获得敏感数据访问的典型对策包括实现装置敏感区域周围的安全边界。高度安全物理防护包括电子网格与开关的应用,它们可以帮助检测侵扰以及发出可能遭到入侵的信号标志。一旦检测到入侵,这些安全系统可以,例如,清除其解密密钥以及其他存储于计算机系统内常规存储装置的敏感信息以防止对手捕获私密信息。
[0007]针对物理侵扰的高效安全措施要求24/7全天候保护,不间断地监控包含敏感信息的物理装置,即,装置必须总是处于供电状态以防止切断电源期间可能出现的未经授权的访问。可选地,可以关闭本装置的非关键部分,同时电源(例如,电池)为装置提供充足的能量以使安全监控系统保持在工作状态,继续保护最关键的组件及外部警报装置,例如通过发送警告,以确保提供所需保护水平。因此,即使安全装置自身完全断电,监控系统仍可以保持持续运行并控制装置的物理完整性。
[0008]包含防护电子网格以及其他活动部件的安全监控系统被电操作,并且被设计为检测任何参考信号的特征的侵扰或者改动,比如电压或电阻值,以作为物理侵扰潜在行为的指示。电池电量一般都足以监测环境条件,比如冲击事件导致的温度及振动,以进一步增加系统安全性。尤其是,要求较高安全性的密钥存储及数据的硬件安全模块(HSMs)依靠电池供电以完成24/7监控,以使即使在停电情况下,具有备份电池的安全监控系统仍可控制装置物理边界的安全性,并且确保敏感数据不被未经授权而遭到访问、记录或者其他侵扰。支付终端以及其他包含安全的微控制器的装置使用的安全监控系统,具有平均约7年电池寿命的备份电池。这在大多数如定期淘汰或替换的HSMs实例中是合适的,以使电池寿命超过本领域装置的实际使用时间。
[0009]然而,具有相当长寿命的装置,比如智能仪表,我们期望它们在本领域工作30年甚至更长时间,而且在实际中无需任何维修或者,至少,尽可能少维修。考虑到即使最先进的电池也仅具有少于10年的寿命,那么一旦需要替换装置的电池,就必须切断电源一段时间以进行维修工作,这个缺点使得对这些装置的保护就无效了。类似地,对于位于边远地区的工业装置,如石油或天然气管道等,是被设计为无需维修操作的装置,由于极高的维护与支持成本,以及,更为重要地,断电及开启安全装置涉及到安全问题,使得在该领域更换电池是不可行的解决方案。
[0010]目前,不存在确保昼夜保护高安全及长使用寿命装置的实际解决方案。一旦关闭装置,其被暴露并毫无安全可言。攻击者可以访问装置,无监测地进行电路改动,并且在装置重新充电启动后没有信息指示装置在此期间被入侵以及被操纵。最复杂的攻击者甚至可以无需试图检索关闭电源时的秘密,而是,抓住机会向装置安装一些恶意代码(例如,木马),以使当电源重新充电启动时,攻击者已经完成的改动可用于拦截数据以及暴露有价值的资产(例如,记录并提取密码),而不留下易于被远程位置监测到的痕迹。
[0011]因此,需要在装置边界提供不间断的高安全性监控的工具,以使即使发生断电事件,仍可能确定装置是否被侵扰以采取适当措施。
【附图说明】
[0012]参考本发明的实施例,在附体中可以例示本发明的实例。这些附图旨在说明而非限制。尽管这些实施例的内容大致描述本发明,应该理解这并不旨在将本发明的范围限制为这些特殊实施例。
[0013]图(“FIG.”)1示出了用于提供设备安全性的侵扰检测系统的现有技术。
[0014]图2是根据本发明的多个实施例的,提供侵扰检测以及防止对安全电子系统的未经授权的访问的系统的示例性方框图。
[0015]图3是根据本发明的多个实施例的,提供侵扰检测以及防止对安全电子系统的未经授权的访问的设备的示例性方框图。
[0016]图4是根据本发明的多个实施例的,提供侵扰检测以及防止对安全电子系统的未经授权的访问的过程的例示性过程的流程图。
【具体实施方式】
[0017]在以下说明中,出于解释的目的,详细解释具体细节以有助于理解本发明。但是,本领域技术人员应该清楚本发明可以实施而无需这些细节。本领域技术人员会理解可以各种不同方法及各种不同方式实现以下所述的本发明实施例。本领域技术人员也可以理解附加修改、应用以及实施例属于本发明范围之内,可作为本发明可提供实用性的附加领域。因此,以下所述的实施例是本发明的示例性特定实施例并旨在避免使本发明模糊不清。
[0018]在说明书中引用“一个实施例”或者“实施例”是指结合实施例所描述的特定部件、结构、特征或者功能包含在本发明的至少一个实施例中。说明书中多处出现的短语“在一个实施例中,” “在实施例中,”等不一定指相同的实施例。
[0019]此外,附图中组件间或方法步骤间的连接不受限制于直接受影响的连接。相反,在不脱离本发明的教导的情况下,可以修改附图所示的组件或方法步骤间的连接,或者另外通过增加中间组件或方法步骤加以改动。
[0020]本文本中的术语“网格、网格包络电路以及网格电路”与术语“密钥、秘密钥匙以及秘密”和“安全芯片与智能卡”交替使用。术语“安全装置”包括安全微控制器、安全存储装置以及本领域技术人员所理解的其他安全元件。
[0021]图1示出了用于提供装置安全性的侵扰检测系统的现有技术。系统100是电子装置,被设计为拥有嵌入式组件,例如密钥,例如用于数据加密或数据解密。系统100包括FPGA102及NAND 106oFPGA 102是通用微控制器的示例,其通过同步串行数据链接于易失性或非易失性存储器NAND 106,比如串行外围接口,四倍(quad)SPI 1040FPGA 102还与其他通信信道相连,比如互联网端口、USB、串口、I2C或者各种外围装置。
[0022]在操作中,FPGA102充当系统100中的主要角色。除了操纵嵌入式组件,FPGA 102被设计为运行各种大小的应用程序。NAND 106通过四倍SPI 104接收来自FPGA 102的经解密的可执行代码以用于进行计算或执行应用程序的目的。为了使用密钥解密代码,FPGA 102使用来自存储位置的内部密钥,例如,通过使用熔丝或类似技术。然而,通过熔丝技术采取的安全措施不被认为是可以将密钥足够安全地保护于FPGA 102之中,以用于解密从NAND106接收的数据或代码。在操作中,将FPGA 102设计为处理秘密数据,开发者通常受限于他们对于特定技术及用途的特殊装置的选择。工程设计选择主要基于电子性能而不是FPGA 102的恒定安全特征。一旦获得熔丝密钥,攻击者可以解密系统100中的任何事件。因此,在缺少安全保护的包络电路的情况下,FPGA 102不能被认为是系统100的高度安全性组件,并且不应该被用于防止高价值秘密的窃取。
[0023]此外,在装置100自身中以纯文本格式处理敏感信息。解密密钥暴露于密钥存储位置与FPGA 102之间的路径中,以允许信任条件下没有主动防 护地传送密钥,以确保有动机的攻击者不能捕捉密钥以访问敏感数据。
[0024]假设用于保护FPGA102的安全网格是某些现有架构中的方法,由于有助于安全监控的网格依赖于电池供电以连续保护系统100,因此其仍不能保证电子网格的完整性。换言之,一旦系统100不活跃并且不再有电池供电,其暴露于潜在的攻击者之下,一旦恢复供电,则可能开启装置,例如,能够操纵系统100以实现窃听。
[0025]因此,为了以高于部分水平的置信度水平提供足够保护,需要一种在断电阶段有效地防止侵扰尝试并确保常规操作期间安全传输敏感数据的系统及方法。
[0026]图2是根据本发明的各种实施例的,提供侵扰检测以及防止对电子系统的未经授权访问的系统的示例性方框图。系统200包括FPGA 202、NAND 206、智能卡208以及网格210。FPGA 202是例如通过四倍SPI 204连接到NAND 206代表的易失性或非易失性存储器的任意电路或微控制器。FPGA 202可能连接于附加通信信道与装置(未示出)。智能卡208代表提供相较于FPGA 202熔丝技术具有相对高保护水平的安全环境。智能卡208被认为是无法访问的,由于其被设计的高水平置信根据安全性提供。
[0027]在一个实施例中,FPGA 202使用可以被存储在存储器中的秘密加密/解密密钥,该存储器例如在智能卡208内部以解密位于外部存储器(例如,非易失性NAND闪存206)中的代码,该外部存储器可以存储用于诸如操作系统之类的某些较大应用程序的代码,该应用程序之前已经使用智能卡206所持有的密钥被加密。在一个实施例中,FPGA 202自身的独立密钥可以用于运行相对小的不包含任何秘密的非敏感性代码。智能卡208是典型的无需额外防止未经允许访问秘密数据及其持有的解密密钥的安全装置。然而,在供电状态下,由于密钥以未加密格式从智能卡208传送至FPGA 202,将关于密钥的信息暴露于电子连接,智能卡208与FPGA 202间的路径209容易受到因攻击,由此应该保护路径209。如下文更为详细讨论的,可以通过使用覆盖FPGA 202与智能卡208两者的电子网格210来保护传输路径209以实现有意义的保护,从而创建被保护系统200的高安全区域。
[0028]网格210代表紧邻或完全包围FPGA202、智能卡208以及任何其他敏感电路组件的外围环境。为进一步提高安全性,网格210可以被实施为多层级配置。在一个实施例中,只有包含需要保护的敏感电路元件的部分系统200被网格210外层包围,这可以简化设计并降低制造成本。在一个实施例中,网格210代表一种设计为使得反向工程其配置非常困难的功能。网格210可以被实施为能够直接或间接与FPGA 202及智能卡208通信的电子电路。
[0029]在操作中,FPGA202与保护网格210相连接,并且在供电状态下,向网格210提供数值。FPGA 202或智能卡208向网格210发送查询信号,并且基于该查询信号的结果,系统200监测网格210是否被改动,以作为试图侵扰系统200的结果。查询信号可以是通过网格210电线发送的以检测蓝牙、一个或多个全球导航卫星系统(GNSS,例如,GPS或GL0NASS)、一个和/或多个移动电视广播标准(例如,ATSC-M/H或DVB-Η)等等中的两个或者多个来通信。无线通信标准的其它组合(包括多于两种无线通信标准)也是可能的。
[0030]图2图示出根据一些实施例的与基站102(例如,基站102A到102N之一)通信的用户装置106(例如,设备106A到106N之一 hUE 106可以是具有蜂窝通信能力的设备,诸如移动电话、手持设备、可穿戴设备、计算机或平板计算机,或实质上任何类型的无线设备。
[0031]UE 106可以包括处理器,其被配置为执行存储在存储器中的程序指令。UE 106可以通过执行这样存储的指令来执行这里描述的任何方法实施例。可替代地,或另外,UE 106可以包括被配置为执行这里描述的任何方法实施例或这里描述的任何方法实施例的任何部分的可编程硬件元件诸如FPGA(现场可编程门阵列或ASIC(专用集成电路)。
[0032]UE 106可以包括用于使用一个或多个无线通信协议或技术进行通信的一个或多个天线。在一些实施例中,UE 106可以被配置为使用例如,使用单个共享无线电设备的CDMA2000(lxRTY/lxEV-D0/HRPD/eHRro)或者LTE,和/或使用单个共享无线电设备的GSM或LTE来进行通信。共享无线电设备可以耦合到单个天线,或者可以耦合到多个天线(例如,对于ΜΜ0)用于执行无线通信。一般,无线电设备可以包括基带处理器、模拟RF信号处理电路(例如,包括滤波器、混频器、振荡器、放大器等等),和/或数字处理电路(例如,用于数字调制以及其它数字处理)的任意组合。类似地,无线电设备可以使用前述硬件来实现一个或多个接收和/或发送链路。例如,UE 106可以在诸如以上讨论的多个无线通信技术之间共享接收和/或发送链路的一个或多个部分。
[0033]在一些实施例中,UE 106可以包括针对配置为用来进行通信的不同无线通信协议的单独的发送和/或接收链路(例如,包括单独的RF和/或数字无线组件)。作为另一种可能,UE 106可以包括在多个无线通信协议之间共享的一个或多个无线电设备,和被单个无线通信协议独占使用的一个或多个无线电设备。例如,UE 106可以包括用于使用LTE或lxRTT(或LTE或GSM)中任一者通信的共享无线电设备,以及用于使用W1-Fi和蓝牙中每一个通信的单
[0034]图3是根据本发明的各种实施例的,提供侵扰检测以及防止对电子系统的未经授权的访问的设备的示例性方框图。为了清晰起见,以相似方式标识与图2所示的那些相似的组件。如图3所示,设备300包括FPGA 302,智能卡308,以及线性反馈移位寄存器(LFSR)310。在一个实施例中,FPGA 302作为智能卡208与网格210之间的管道,以便于将智能卡208与网格210进行比直接连接更为简单的连接。智能卡306是包括可存储密钥的安全组件的任何高安全装置,并且可以被实施为包含设备300通电时所用的秘密及敏感数据的芯片。典型地,智能卡306具有有限计算功率并且不用于外延计算或者执行较大的应用程序。相反,智能卡306主要用于处理并且存储秘密数据。LFSR 310是至少部分物理包围FPGA 302与智能卡308的电子电路。在一个实施例中,LFSR 310包括具有逻辑功能的印刷晶体管,以使得LFSR 310可被视为电子网络,其电气特征尤其是传输功能基于其物理结构及制备方法。一旦获知了LFSR 310的输入,其输出将是取决于LFSR 310本身及输入值的具体值。
[00;35] 例如可以根据导电银碳墨水来构建LFSR 310,导电银碳墨水被印刷于由聚酯、聚酰胺、或者任何其他绝缘体材料或电介质制成的支承表面上。导电但脆弱的墨水线框一旦被物理侵扰,将被部分损坏并且停止正确操作。至少,LFSR 310的电气特性将被改动,以达到这样可以完全监测到电路响应改动的程度。在一个实施例中,有意将LFSR 310设计为在有效过程期间通过使其无法计算或者猜测电气特征及LFSR 310网络响应,而采用生成随机值的现有制造变化。将各个装置的LFSR 310构建为互不相同的以使再造LFSR 310的努力以及高水平攻击者使用从一个装置(位于另一个装置上)所获得的知识的尝试变得无效,实际上创建密钥设计。
[0036]在操作中,在使用存储于智能卡308中的解密密钥之前,FPGA302可以最初使用存储于FPGA 302内部的其自身的熔丝密钥,例如,以在供电状态下的启动过程期间执行少量代码。代码使FPGA 302向智能卡306发送解密密钥的请求。然而,在一个实施例中,为了在验证请求之前增加置信水平,智能卡306不只信赖该请求。更准确地说,智能卡306通过响应来自FPGA302的用于输入询问值的请求来启动该请求的有效启动过程,其可以是无法被简单猜测的内部生成的随机值。在一个实施例中,将LFSR 310设计为接收来自FPGA 302的输入询问值,基于该询问进行数学运算或计算,并且返回适当结果。在这方面,LFSR 310可以被视为密钥函数。由于潜在攻击者无法预见智能卡306将要发送给LFSR 310的准确询问,因此要确定或者重新计算预期结果是不可能的。
[0037]即使在LFSR310自身在物理级(S卩,晶体管级)通过分析结构而无需展开或物理压缩LFSR 310而被成功反向工程这样的不太可能的事件中,将可能损害其配置,每次启动时智能卡306所生成的作为询问的随机序列的独特性使得输入询问与其未发现的响应相结入口 ο
[0038]一旦FPGA 302取回结果,例如以对输入询问的电路响应的方式,并且将该结果继续向前传至智能卡306,智能卡306可以随后使用相对简单的函数来重新计算该结果,以确认该结果与智能卡306之前所生成的询问相匹配。在一个实施例中,智能卡306将其内部生成的数值与LFSR 310通过FPGA302提供的数值进行比较,并且如果智能卡306成功确认预期结果,其推断LFSR 310未被改动、替换或者以其他方式侵扰,在设备300处于供电且安全的状态时提供高置信度。最后,智能卡306可以向FPGA 302发送用于解密存储于某些内部或外部存储器的数据的密钥,并且FPGA 302继续按进行加载及执行各种应用程序所计划的来操作。
[0039]在LFSR310所返回的函数未提供正确结果并且LFSR 302计算的数值未被智能卡306所接收的事件中,智能卡306会将其解读为LFSR 302的物理渗透指示或者可能在先前断电事件期间可能发生的对设备300的侵扰攻击。智能卡306会随后采取合适措施,其可能包括拒绝以纯文本格式向FPGA302传送密钥以防止启动过程或类似行动发生。设备300未被怀疑的缺少置信度事件的附加或替代对策,可以包括向固件发送警报以识别入侵,永久清除密钥,以及执行不同的常规操作以保护整个系统。
[0040]图4是根据本发明的各种实施例的,提供侵扰检测以及防止对电子系统的未经授权的访问的示例性过程的流程图。该过程在微控制器(比如FPGA)进行步骤402时提供侵扰检测,向智能卡发送存储于某些内部或外部存储器中的代码的解密密钥请求。在步骤404中,智能卡接收请求并通过响应其自身用于询问值的请求来启动对该请求的验证。在步骤406中,FPGA向包络电路(例如,LFSR)发送询问。在步骤408中,LFSR通过输出电路响应进行应答。在步骤410中,FPGA继续向前将结果传送至智能卡。最后,在步骤412,一旦智能卡确认了结果,即该结果是与询问相匹配的预期结果,指示电路未被改动或替换,智能卡向FPGA发送密钥,以使FPGA能够解密代码并运行应用程序。
[0041 ]在一个实施例中,智能卡被用作启动控制器以给FPGA供电。智能卡本身执行对发送给包络电路的询问值确认并且仅在确认成功后才向FPGA发布解密密钥。
[0042]本领域的技术人员会理解较少或附加的步骤可以与本文所例示的步骤结合,而不脱离本发明的范围。本文中的描述以及流程图中的方框的布置并不暗示特定顺序。
[0043]还可以进一步理解之前的示例及实施例是示例性的并用于清楚理解本发明,而非用于限制本发明范围的目的。其旨在阅读说明书以及研究附图之后,涵盖于本发明范围内的所有排列、加强、等效、结合、以及改进对于本领域技术人员而言是显而易见的。由此旨在使得权利要求包含所有这样的变型、变化以及落入本发明的范围以及精神内的等同形式。
【主权项】
1.一种用于防止对电子系统的未经授权的访问的设备,所述设备包括: 微控制器; 耦合到所述微控制器的智能卡,所述智能卡包括第一存储单元,所述智能卡被配置为持有第一密钥,请求用于询问值的验证,并且响应于接收并验证结果而发布所述第一密钥;以及 至少部分地包围所述智能卡与所述微控制器的包络电路,所述包络电路创建所述设备的安全区域并被配置为产生电路响应, 其中,所述微控制器和所述智能卡中的一个被配置为向所述包络电路发送询问。2.如权利要求1所述的设备,其中,所述询问是在启动条件下产生的独特的随机序列。3.如权利要求1所述的设备,其中,与所述询问相匹配的所述结果是通过所述包络电路传输并指示所述包络电路的完整性的动态随机信号。4.如权利要求1所述的设备,其中,所述包络电路的传输函数取决于所述包络电路的物理结构和制作方法中的至少一项。5.如权利要求4所述的设备,其中,所述包络电路的所述传输函数是所述包络电路的至少一个独特固有特性的函数。6.如权利要求1所述的设备,其中,所述包络电路包括作为参考条件的电气特性。7.如权利要求1所述的设备,其中,所述包络电路包括具有逻辑功能的印刷晶体管元件。8.如权利要求1所述的设备,其中,所述包络电路包括印刷在支撑表面上的银碳墨水线框。9.如权利要求1所述的设备,其中,所述微控制器被配置为持有第二密钥,所述第二密钥用于与智能卡中的数据相比敏感性较低的数据。10.—种用于防止对电子系统的未经授权的访问的系统,所述系统包括: 微控制器; 耦合到所述微控制器的外部存储器; 耦合到所述微控制器的智能卡,所述智能卡包括第一存储单元,所述智能卡被配置为持有第一密钥,请求用于询问值的验证,并且响应于接收并验证结果而发布所述第一密钥;以及 至少部分地包围所述智能卡和所述微控制器的包络电路,所述包络电路创建所述系统中的安全区域并被配置为产生电路响应,其中,所述微控制器和所述智能卡中的一个被配置为向所述包络电路发送秘密询问,并且其中,所述第一密钥是能够解密所述外部存储器中的经加密的代码的秘密钥匙。11.如权利要求10所述的系统,其中,所述外部存储器通过同步串行数据链接耦合到所述微控制器。12.如权利要求11所述的系统,其中,所述外部存储器被耦合为通过所述同步串行数据链接从所述微控制器接收经解密的可执行代码,以进行计算或执行应用程序。13.—种用于防止对电子系统的未经授权的访问的方法,所述方法包括: 从智能卡请求第一密钥; 从所述智能卡接收用于询问值的验证请求; 响应于接收所述验证请求而向包络电路发送询问; 从所述包络电路接收电路响应; 响应于接收所述电路响应而向所述智能卡发送结果;以及 基于对所述结果的验证,从所述智能卡接收所述第一密钥以解密数据。14.如权利要求13所述的方法,其中,与所述询问相匹配的所述结果表示所述包络电路未被侵扰。15.如权利要求13所述的方法,其中,所述询问是内部产生的随机值。16.如权利要求15所述的方法,进一步将所述内部产生的随机值与微控制器所提供的值相比较。17.如权利要求13所述的方法,进一步包括:响应于检测到所述包络电路的电气特性的变化而生成警报信号。18.一种用于防止对电子系统的未经授权的访问的方法,所述方法包括: 使用作为启动控制器的智能卡来为微控制器通电,以使得由所述智能卡作出的验证是启动所述微控制器的先决条件; 从所述微控制器接收用于第一密钥的请求; 向所述微控制器发送用于询问值的验证请求; 接收询问的结果; 进行对所述询问的所述结果的验证;以及 响应于成功的验证,向所述微控制器发布所述第一密钥。19.如权利要求18所述的方法,其中,通过对所述询问值进行数学运算来获得所述结果Ο20.如权利要求19所述的方法,进一步包括:在所述微控制器与所述智能卡之间以纯文本格式传送所述第一密钥。
【专利摘要】本发明的实施例通过在安全电子系统的敏感区域周围提供一种改进的入侵检测来以防止对电子系统的未经授权的访问。某些实施例无需恒定电池功率并且还在装置周边提供不间断的高安全监控,以使尽管发生断电事件仍可能采取适当行动以确定该装置是否被侵扰。这在那些无法使用电池的应用程序中尤其有用。
【IPC分类】G06F21/60
【公开号】CN105488421
【申请号】CN201510807524
【发明人】Y·Y·R·卢瓦泽尔, F·莱尔米特, A-C·罗莱
【申请人】马克西姆综合产品公司
【公开日】2016年4月13日
【申请日】2015年9月30日
【公告号】US20160098918
最新回复(0)