AT517155B1 - Verfahren zum Schutz vor einem Denial of Service Angriff auf ein Ein-Chip-System - Google Patents

Verfahren zum Schutz vor einem Denial of Service Angriff auf ein Ein-Chip-System Download PDF

Info

Publication number
AT517155B1
AT517155B1 ATA50171/2015A AT501712015A AT517155B1 AT 517155 B1 AT517155 B1 AT 517155B1 AT 501712015 A AT501712015 A AT 501712015A AT 517155 B1 AT517155 B1 AT 517155B1
Authority
AT
Austria
Prior art keywords
slave unit
bus
zone
slave
master
Prior art date
Application number
ATA50171/2015A
Other languages
English (en)
Other versions
AT517155A3 (de
AT517155A2 (de
Inventor
Dipl Ing Eppensteiner Friedrich
Dipl Ing Ghameshlu Majid
Dipl Ing Matschnig Martin
Dipl Ing Taucher Herbert
Original Assignee
Siemens Ag Oesterreich
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens Ag Oesterreich filed Critical Siemens Ag Oesterreich
Priority to ATA50171/2015A priority Critical patent/AT517155B1/de
Publication of AT517155A2 publication Critical patent/AT517155A2/de
Application granted granted Critical
Publication of AT517155B1 publication Critical patent/AT517155B1/de
Publication of AT517155A3 publication Critical patent/AT517155A3/de

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/567Computer malware detection or handling, e.g. anti-virus arrangements using dedicated hardware
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • G06F21/85Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Automation & Control Theory (AREA)
  • Bioethics (AREA)
  • Storage Device Security (AREA)
  • Multi Processors (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zum Schutz vor einem Denial of Service Angriff auf ein Ein-Chip-System, wobei das Ein-Chip-System zumindest eine Master-Einheit, zumindest eine Slave-Einheit und ein die Master- und Slave-Einheiten verbindendes Bussystem umfasst, und wobei das Prozessorsystem virtuell in eine sichere Zone und in eine normale Zone aufgeteilt ist, sodass Buszugriffe einer Master-Einheit eine Sicherheitskennzeichnung erhalten, die anzeigt, aus welcher der beiden Zonen der Buszugriff erfolgt. Das Verfahren ist dadurch gekennzeichnet, dass laufend die Häufigkeit von Buszugriffen aus der normalen Zone auf zumindest eine Slave- Einheit bestimmt wird und bei Überschreitung einer vorgegebenen maximalen Häufigkeit von der betroffenen Slave- Einheit ein Sicherheits-Interrupt generiert wird.

Description

Beschreibung
VERFAHREN ZUM SCHUTZ VOR EINEM DENIAL OF SERVICE ANGRIFF AUF EIN EINCHIP-SYSTEM
TECHNISCHES GEBIET
[0001] Die Erfindung betrifft ein Verfahren zum Schutz vor einem Denial of Service Angriff auf ein Ein-Chip-System, wobei das Ein-Chip-System zumindest eine Master-Einheit, zumindest eine Slave-Einheit und ein die Master- und Slave-Einheiten verbindendes Bussystem umfasst, und wobei das Prozessorsystem virtuell in eine sichere Zone und in eine normale Zone aufgeteilt ist, sodass Buszugriffe einer Master-Einheit eine Sicherheitskennzeichnung erhalten, die anzeigt, aus welcher der beiden Zonen der Buszugriff erfolgt.
[0002] Die vorliegende Erfindung betrifft allgemein das Gebiet der elektronischen und logischen Schaltungen, insbesondere der so genannten anwendungsspezifischen, integrierten Schaltungen oder ASICs. Im Speziellen bezieht sich die vorliegende Erfindung auf ein Verfahren für einen kontrollierten Zugriff auf Slave-Einheiten in einem sogenannten Ein-Chip-System. Dabei weist die Schaltungsanordnung zumindest eine Master-Einheit, eine oder mehrere untergeordnete Slave-Einheiten und ein Bussystem auf, z.B. ein so genanntes Network-on-Chip-Bussystem oder NoC. Ein Zugriff einer Master-Einheit auf eine Slave-Einheit erfolgt dabei mittels einer Zugriffsadresse überdas Network-on-Chip-Bussystem.
[0003] Ein Denial of Service (DoS) Angriff bezeichnet einen mutwilligen Angriff, der auf die Nichtverfügbarkeit eines Dienstes oder einer Einheit abzielt, der bzw. die eigentlich verfügbar sein sollte. Die Einheit, hier eine Slave-Einheit, wird mit einer größeren Anzahl an zusätzlichen, nämlich unzulässigen, Zugriffen belastet, als diese verarbeiten kann, woraufhin reguläre Zugriffe, insbesondere sichere Zugriffe, nicht oder nur sehr langsam bearbeitet werden können.
[0004] Eine Möglichkeit, Ein-Chip-Systeme sicherer zu machen, besteht darin, das Prozessorsystem (oder die einzelnen, auf diesem Prozessor ablaufenden Prozesse (Programme)) logisch, also virtuell, in zwei Zonen oder „worlds“ aufzuteilen, eine sichere Zone oder „secure world“ und eine normale Zone oder „normal world“. Dabei bekommen alle Buszugriffe eines Masters eine zusätzliche Kennzeichnung. Etwa könnte bei Buszugriffen aus der sicheren Zone ein NS-Bit (non-secure bit) nicht gesetzt werden, bei Buszugriffen aus der normalen Zone aber schon. Das Konzept der Aufteilung in zwei virtuelle Zonen wird etwa durch die ARM® TrustZo-ne® Technologie verwirklicht.
STAND DER TECHNIK
[0005] Logische bzw. elektronische Schaltungen, welche als integrierte Schaltungen realisiert sind, bilden heutzutage die Grundlage für jegliche Elektronik, insbesondere in der Computertechnik. Üblicherweise bestehen derartige elektronische Schaltungen bzw. Systeme aus auf einem einzelnen Substrat (z.B. Halbleitersubstrat, etc.) untergebrachten und miteinander verdrahteten elektronischen Bauelementen bzw. elektronischen Schaltkreisen oder sogenannten Integrated Circuits (ICs). Eine integrierte Schaltung besteht damit aus einer großen Anzahl von verschiedenartigen Bauelementen sowie verbindenden Leiterzügen auf oder in einem einkristallinen Substrat. Erst durch diese Integration ist es möglich, umfangreiche Funktionalitäten und Anwendungen auf einem kleinen Raum zur Verfügung zu stellen. Durch integrierte Schaltungen wird eine Vielzahl von Anwendungen (z.B. in mobilen Geräten, SIM-Karten, RFIDs, Mobiltelefonen, etc.) erst technisch realisierbar, da diese Anwendungen sonst oft zu teuer, zu komplex, zu leistungsintensiv oder zu groß (z.B. für einen Einbau in das jeweilige Gerät, etc.) wären. Werden derartige logische bzw. integrierte Schaltungen für spezielle Anwendungen erstellt, so werden diese Schaltungen auch als anwendungsspezifische, integrierte Schaltungen oder als application-specific integrated circuit bzw. kurz als ASICs bezeichnet oder können durch ein sogenanntes Field Programmable Gate Array (FPGA) verwirklicht werden.
[0006] Eine Verkleinerung von Geräten und ein ständig steigender Integrationsgrad haben dazu geführt, dass mittlerweile ganze Systeme z.B. mit Prozessoren, Controllern, Speicherbausteinen (z. B. RAMs, ROMs, etc ), Power-Management und anderen Komponenten auf einem so genannten Chip oder Die untergebracht werden. Derartige Systeme werden eben auch als Ein-Chip-Systeme oder System-on-Chip (SoC) bezeichnet und vor allem im Mobilfunkbereich, für Embedded Computer, Smartphones, CD- und DVD-Geräte und überall dort bei Anwendungen eingesetzt, wo kleine Abmessungen bei relativ hoher Leistung und vielfältige Aufgaben gefragt sind.
[0007] Bei einem System-on-Chip (SoC) oder Ein-Chip-System sind alle oder ein großer Teil der Funktionen des Systems auf dem Chip integriert - d. h. in einem integrierten Schaltkreis auf einem Halbleiter-Substrat. Üblicherweise werden heutzutage System-on-Chips bzw. Ein-Chip-Systeme nicht mehr komplett neu entwickelt, sondern Entwürfe basieren zumindest teilweise auf bereits vorhandenen und/oder zugekauften Komponenten - so genannten IP-Core-Einheiten oder IP-Blöcke (z. B. Prozessor, Controller-Einheiten, Peripherieblöcke, etc.). Diese IP-Blöcke werden z.B. als fertige Einheit oder mittels Design-Lizenzen erworben und dann in einem neuen Ein-Chip-System direkt oder in angepasster Form verwendet. Fehlende Einheiten für das Ein-Chip-System werden dann speziell für den konkreten Anwendungsfall entwickelt.
[0008] Verbunden werden die Einheiten eines derartigen Ein-Chip-Systems intern über ein so genanntes Bussystem. Häufig werden - insbesondere bei komplexen Ein-Chip-Systemen -hierarchische oder zumindest segmentierte Bussysteme eingesetzt. Derartige Bussysteme können z. B. einen schnellen Systembus, einen langsameren Peripheriebus sowie einen Register- bzw. Steuerbus umfassen.
[0009] Häufig wird für eine Organisation und Verteilung von Zugriffen, Aufgaben, etc. zwischen verschiedenen Komponenten eines Ein-Chip-Systems das so genanntes Master-Slave-Konzept angewendet. Auf diese Weise werden die jeweiligen Aufgaben zwischen übergeordneten Komponenten - so genannten Master-Einheiten - und untergeordneten Komponenten - so genannten Slave-Einheiten - verteilt und eine Verwaltung des Zugriffs auf gemeinsame Ressourcen (z.B. Speichereinheiten, etc.) geregelt. Ein Master-Slave-Konzept wird vorzugsweise dann eingesetzt, wenn von einer oder mehreren Komponenten, wie z.B. Prozessoren, Controllern, etc. eine Steuerung und eine Aufgabenverteilung von anderen Komponenten (z.B. Spezialprozessoren, Peripherieeinheiten, etc.) übernommen oder Zugriffe auf andere Komponenten (z.B. Speichereinheiten, Bussysteme, etc.) geregelt werden.
[0010] Im eingangs genannten TrustZone® Konzept wird vorgeschlagen, etwaigen Denial of Service Angriffen dadurch zu begegnen, dass sogenannte Secure Interrupts durchgeführt und diese auf Ebene der Software behandelt werden, oder dass eine Memory Protection Unit (MPU) zur logischen Trennung der beiden Zonen eingesetzt wird. Die logische Trennung hat zur Folge, dass einige Slave-Einheiten für Buszugriffe aus der normalen Zone überhaupt gesperrt sind.
DARSTELLUNG DER ERFINDUNG
[0011] Es ist eine Aufgabe der vorliegenden Erfindung, ein Verfahren zum Schutz vor einem Denial of Service Angriff zur Verfügung zu stellen, welches weder unnötige Interrupts generiert noch eine Verringerung der zur Verfügung stehenden Slave-Einheiten mit sich bringt.
[0012] Diese Aufgabe wird durch ein Verfahren mit den Merkmalen des Patentanspruchs 1 gelöst, der sich auf ein Ein-Chip-System bezieht, wobei das Ein-Chip-System zumindest eine Master-Einheit, zumindest eine Slave-Einheit und ein die Master- und Slave-Einheiten verbindendes Bussystem umfasst und wobei das Prozessorsystem virtuell in eine sichere Zone und in eine normale Zone aufgeteilt ist, sodass Buszugriffe einer Master-Einheit eine Sicherheitskennzeichnung erhalten, die anzeigt, aus welcher der beiden Zonen der Buszugriff erfolgt.
[0013] Gemäß Anspruch 1 besteht die Erfindung darin, dass laufend die Häufigkeit von Buszugriffen aus der normalen Zone auf zumindest eine Slave-Einheit bestimmt wird und bei Überschreitung einer vorgegebenen maximalen Häufigkeit von der betroffenen Slave-Einheit ein
Sicherheits-Interrupt generiert wird.
[0014] Vorteilhafte Ausgestaltungen der Erfindung sind in den abhängigen Ansprüchen definiert.
[0015] Buszugriffe aus der normalen Zone können durch ein eigenes Bit gekennzeichnet sein. Insbesondere in diesem Fall kann dann vorgesehen sein, dass die Bestimmung der Häufigkeit von Buszugriffen aus der normalen Zone durch einen als Hardware implementierten Zähler der Slave-Einheit erfolgt. Dies hat den Vorteil, dass der Zähler nicht so leicht manipuliert werden kann wie eine entsprechende Software.
[0016] Es gibt verschiedene Möglichkeiten, wohin der erfindungsgemäße Sicherheits-Interrupt geleitet wird: dieser kann direkt an den Prozessor gesendet werden oder an einen eigenen Controller, welcher entscheidet, wie mit dem Sicherheits-Interrupt weiter verfahren wird. Etwa könnte der Controller entscheiden, dass der Prozessor angehalten wird.
[0017] Beim Konzept der sicheren und der normalen Zone ist es möglich, dass eine bestimmte Master-Einheit - für immer oder temporär - der sicheren Zone zugeordnet ist und/oder dass eine bestimmte Slave-Einheit - für immer oder temporär - der sicheren Zone zugeordnet ist. Das erfindungsgemäße Verfahren kann insbesondere für eine solche, der sicheren Zone zugeordneten Slave-Einheit verwendet werden. Damit kann sichergestellt werden, dass ein solcher sicherer Slave nicht durch einen Denial of Service Angriff aus der normalen Zone lahmgelegt wird.
[0018] Insofern kann vorgesehen sein, dass die Slave-Einheit der sicheren Zone zugeordnet ist und die Sicherheits-Interrupts dieser Slave-Einheit direkt an die sichere Zone, etwa an den Prozessor der sicheren Zone, gesendet werden.
[0019] Grundsätzlich entscheidet in jedem Fall die Software des Ein-Chip-Systems, wie auf einen erfindungsgemäßen Sicherheits-Interrupt reagiert wird.
[0020] So kann vorgesehen sein, dass nach einem solchen Sicherheits-Interrupt einer Slave-Einheit weitere Buszugriffe aus der normalen Zone auf diese Slave-Einheit temporär unterbunden werden. Nach Ablauf dieser Sperre für die Slave-Einheit kann diese wieder für Buszugriffe aus der normalen Zone geöffnet werden, wobei dann wieder erfindungsgemäß laufend die Häufigkeit dieser Buszugriffe bestimmt wird.
[0021] Denkbar, wenn auch weniger vorteilhaft, wäre, dass nach einem erfindungsgemäßen Sicherheits-Interrupt weitere Buszugriffe aus der normalen Welt auf diese Slave-Einheit auf unbegrenzte Zeit unterbunden werden.
[0022] Das erfindungsgemäße Verfahren eignet sich zur Absicherung besonders kritischer Systeme, bei denen Denial of Service Angriffe nicht auszuschließen sind. Das Verfahren kann als Ergänzung zu bekannten Verfahren zum Schutz vor Denial of Service Angriffen verwendet werden, etwa als Ergänzung zu einem Trustzone® System. Das erfindungsgemäße Verfahren kann jedoch auch als alleinige Maßnahme gegen Denial of Service Angriffe eingesetzt werden.
AUSFÜHRUNG DER ERFINDUNG
[0023] Das erfindungsgemäße Verfahren kann beispielsweise wie folgt ablaufen: für jede Slave-Einheit eines Ein-Chip-Systems, die in der sicheren Zone eingesetzt werden kann, wird eine maximale Häufigkeit von Buszugriffen aus der normalen Zone festgelegt. Im Betrieb des Ein-Chip-Systems wird dann laufend die Häufigkeit von Buszugriffen aus der normalen Zone direkt von jeder dieser Slave-Einheiten bestimmt, indem die Anzahl der normalen (nicht sicheren) Buszugriffe pro Zeiteinheit bestimmt wird. Diese Buszugriffe können durch ein eigenes Bit gekennzeichnet sein, beispielsweise wäre im TrustZone® System das NS-Bit (non-secure bit) gesetzt. Der Mechanismus, der die Häufigkeit der ungültigen (nicht sicheren) Zugriffe zählt und meldet, kann in der Slave-Einheit in Hardware implementiert sein, das heißt als Schaltung. Durch die Implementierung als Schaltung kann die Gefahr einer Manipulation des Zählers verringertwerden.
[0024] Kommt es bei einer bestimmten Slave-Einheit zu einer Überschreitung der maximalen Häufigkeit von Buszugriffen aus der normalen Zone, so generiert diese Slave-Einheit einen Sicherheits-Interrupt, der dann an die sichere Zone übermittelt wird. Ein für solche SicherheitsInterrupts zuständiger Controller könnte dann den Zugriff aus der normalen Zone auf die SlaveEinheit für eine bestimmte Zeit sperren.

Claims (7)

  1. Patentansprüche
    1. Verfahren zum Schutz vor einem Denial of Service Angriff auf ein Ein-Chip-System, wobei das Ein-Chip-System zumindest eine Master-Einheit, zumindest eine Slave-Einheit und ein die Master- und Slave-Einheiten verbindendes Bussystem umfasst, und wobei das Prozessorsystem virtuell in eine sichere Zone und in eine normale Zone aufgeteilt ist, sodass Buszugriffe einer Master-Einheit eine Sicherheitskennzeichnung erhalten, die anzeigt, aus welcher der beiden Zonen der Buszugriff erfolgt, dadurch gekennzeichnet, dass laufend die Häufigkeit von Buszugriffen aus der normalen Zone auf zumindest eine Slave-Einheit bestimmt wird und bei Überschreitung einer vorgegebenen maximalen Häufigkeit von der betroffenen Slave-Einheit ein Sicherheits-Interrupt generiert wird.
  2. 2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass Buszugriffen aus der normalen Zone durch ein eigenes Bit gekennzeichnet sind.
  3. 3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die Bestimmung der Häufigkeit von Buszugriffen aus der normalen Zone durch einen als Hardware implementierten Zähler der Slave-Einheit erfolgt.
  4. 4. Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass die Sicherheits-Interrupts direkt an den Prozessor gesendet werden.
  5. 5. Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass die Sicherheits-Interrupts an einen eigenen Controller gesendet werden.
  6. 6. Verfahren nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass die Slave-Einheit der sicheren Zone zugeordnet ist und die Sicherheits-Interrupts dieser Slave-Einheit direkt an die sichere Zone gesendet werden.
  7. 7. Verfahren nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, dass nach einem solchen Sicherheits-Interrupt einer Slave-Einheit weitere Buszugriffe aus der normalen Zone auf diese Slave-Einheit temporär unterbunden werden. Hierzu keine Zeichnungen
ATA50171/2015A 2015-03-05 2015-03-05 Verfahren zum Schutz vor einem Denial of Service Angriff auf ein Ein-Chip-System AT517155B1 (de)

Priority Applications (1)

Application Number Priority Date Filing Date Title
ATA50171/2015A AT517155B1 (de) 2015-03-05 2015-03-05 Verfahren zum Schutz vor einem Denial of Service Angriff auf ein Ein-Chip-System

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
ATA50171/2015A AT517155B1 (de) 2015-03-05 2015-03-05 Verfahren zum Schutz vor einem Denial of Service Angriff auf ein Ein-Chip-System

Publications (3)

Publication Number Publication Date
AT517155A2 AT517155A2 (de) 2016-11-15
AT517155B1 true AT517155B1 (de) 2018-08-15
AT517155A3 AT517155A3 (de) 2018-08-15

Family

ID=57227228

Family Applications (1)

Application Number Title Priority Date Filing Date
ATA50171/2015A AT517155B1 (de) 2015-03-05 2015-03-05 Verfahren zum Schutz vor einem Denial of Service Angriff auf ein Ein-Chip-System

Country Status (1)

Country Link
AT (1) AT517155B1 (de)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040047356A1 (en) * 2002-09-06 2004-03-11 Bauer Blaine D. Network traffic monitoring
GB2427108A (en) * 2005-06-10 2006-12-13 D Link Corp Combating network virus attacks, such as DDoS, by automatically instructing a switch to interrupt an attacking computer's access to the network
US20070150949A1 (en) * 2005-12-28 2007-06-28 At&T Corp. Anomaly detection methods for a computer network
US20140173152A1 (en) * 2012-12-18 2014-06-19 Advanced Micro Devices, Inc. Techniques for identifying and handling processor interrupts
US9276955B1 (en) * 2014-09-17 2016-03-01 Fortinet, Inc. Hardware-logic based flow collector for distributed denial of service (DDoS) attack mitigation

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040047356A1 (en) * 2002-09-06 2004-03-11 Bauer Blaine D. Network traffic monitoring
GB2427108A (en) * 2005-06-10 2006-12-13 D Link Corp Combating network virus attacks, such as DDoS, by automatically instructing a switch to interrupt an attacking computer's access to the network
US20070150949A1 (en) * 2005-12-28 2007-06-28 At&T Corp. Anomaly detection methods for a computer network
US20140173152A1 (en) * 2012-12-18 2014-06-19 Advanced Micro Devices, Inc. Techniques for identifying and handling processor interrupts
US9276955B1 (en) * 2014-09-17 2016-03-01 Fortinet, Inc. Hardware-logic based flow collector for distributed denial of service (DDoS) attack mitigation

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
"ARM TrustZone" aufgerufen im Internet am 23.03.2017 unter URL:<https://www.arm.com/products/security-on-arm/trustzone> *
Gosain, Yashu et al. "TrustZone Technology Support in Zynq-7000 All Programmable SoCs", 20.05.2014; XILINX WP429 (v1.0); White Paper: Zynq-7000 All Programmable SoCs; abgerufen im Internet am 23.03.2017 unter URL:<https://www.xilinx.com/support/documentation/ white_papers/wp429-trustzone-zynq.pdf>. *

Also Published As

Publication number Publication date
AT517155A3 (de) 2018-08-15
AT517155A2 (de) 2016-11-15

Similar Documents

Publication Publication Date Title
DE69718679T2 (de) System zur kontrolle des zugriffes auf ein register abgebildet auf einen e/a addressbereich eines rechnersystems
DE10394383B4 (de) Verfahren und Vorrichtung zum Laden eines vertrauenswürdigen Betriebssystems
DE102015103220B4 (de) System, umfassend ein Master-Sicherheitsprüfungsregister, Verfahren, Nichtflüchtiges Medium und maschinenlesbare Anweisungen
DE102019122363A1 (de) Programmierbare doppelreihige arbeitsspeichermodul-beschleunigerkarte (dimm-beschleunigerkarte)
DE102015118886A1 (de) Lizenzieren in der Cloud
DE102015108689A1 (de) Sicherheitsknoten in Zwischenverbindungsdatenbussen
DE102018109397A1 (de) Techniken für sicherheitschip-speicher für vertrauenswürdige ausführungsumgebungen
DE102014002181B4 (de) Chip und Verfahren zum Betreiben eines Chips
DE112004001887B4 (de) Optimierung der SMI-Behandlung und -Initialisierung
DE102014003705A1 (de) Prozessoren, Verfahren und Systeme zur Befehlsemulation
WO2016139079A1 (de) Schutz von speicherinhalten eines speichers eines computersystems unter verwendung einer hashfunktion
DE102016122375A1 (de) Dynamischer containerisierter Systemspeicherschutz für Niedrigenergie-MCUs
DE102015223187A1 (de) Ein-Chip-Systeme zum Steuern von Leistung mittels Auslastungen, Verfahren zum Betreiben dieser, und Computervorrichtungen, die diese umfassen
DE102014019531A1 (de) Verfahren zum Betrieb einer Steuerungskomponente für ein Luftfahrzeug sowie Steuerungskomponente
DE112017008158T5 (de) Dateienvorababrufeinplanung für cachespeicher zur verringerung von latenzen
DE102015107823A1 (de) Randomisierter Speicherzugriff
DE112020003881T5 (de) System und verfahren zur durchführung von trusted computing mit fernbescheinigung und informationsisolierung auf heterogenen prozessoren über eine offene verbindung
DE102012017339B4 (de) Rechnersystem
DE112012006163T5 (de) Steuerung des Energieverbrauchs in Mehrkernumgebungen
DE60132961T2 (de) Unabhängige Initialisierung von Arbitern und Agenten, um verzögerte Agent-Initialisierung zu ermöglichen
DE112007003722T5 (de) Modifizieren von Systemroutinginformationen in linkbasierenden Systemen
EP3655876B1 (de) Ein-chip-system, verfahren zum betrieb eines ein-chip-systems und kraftfahrzeug
DE112017008307T5 (de) Systeme und verfahren zur effizienten unterbrechung von virtuellen maschinen
EP3186710A1 (de) Mikrocontrollersystem und verfahren für sicherheitskritische kraftfahrzeugsysteme sowie deren verwendung
AT517155B1 (de) Verfahren zum Schutz vor einem Denial of Service Angriff auf ein Ein-Chip-System