CN101183433A - 数据保护方法和客户识别模块卡 - Google Patents
数据保护方法和客户识别模块卡 Download PDFInfo
- Publication number
- CN101183433A CN101183433A CNA2007101876107A CN200710187610A CN101183433A CN 101183433 A CN101183433 A CN 101183433A CN A2007101876107 A CNA2007101876107 A CN A2007101876107A CN 200710187610 A CN200710187610 A CN 200710187610A CN 101183433 A CN101183433 A CN 101183433A
- Authority
- CN
- China
- Prior art keywords
- value
- counter
- count
- count value
- predetermined threshold
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明实施例公开一种数据保护方法,包括:对探测得到的被攻击次数进行计数;存储与计数值对应的参考值,并根据后续得到的被攻击次数的计数值对所述参考值进行累计更新;获取与预设阈值进行比较的计数值,所述与预设阈值进行比较的计数值至少包括所述存储的参考值;根据所述获取的与预设阈值进行比较的计数值得到比较值,若所述比较值大于等于所述预设阈值,则产生保护动作。相应的,本发明实施例提供一种客户识别模块卡。本发明实施例提供的技术方案能够更好的对客户识别模块卡进行数据保护。
Description
技术领域
本发明涉及数据处理技术,具体涉及一种数据保护方法和客户识别模块卡。
背景技术
客户识别模块SIM(Subscriber Identy Module)卡在通信领域、社会生活和安全领域有重要作用,可以存储各种信息,包括机密信息等,比如身份证号、护照号、银行账号等等,因此SIM卡也成为常常被攻击的主要目标。
对SIM卡的攻击包括:通过反向解剖芯片获取信息;在超低温下冻结SIM卡的可擦写存储器内容,读取可擦写存储器整个内存进行分析;改变时钟频率对SIM卡进行分析;对SIM卡的能耗进行分析;利用旁路密码分析手段攻击SIM卡的加密体系等。
目前SIM卡对数据进行保护的方法都比较简单,一般根据SIM卡内某模块参数被攻击次数达到阈值后产生保护动作,例如拒绝服务或者进行自毁等,使攻击者不能获得相关机密信息如敏感数据等。例如,假设SIM卡内温度参数被攻击4次,或者电压参数被攻击3次,或者频率参数被攻击7次,因为达到各自的阈值,所以SIM卡将产生保护动作。
在对现有技术的研究和实践过程中,发明人发现现有技术存在以下问题:
现有技术中,SIM卡内各个被攻击模块一般各自对被攻击次数进行计数,在达到各自阈值后产生保护动作,另外对于未达到阈值的被攻击次数在一定条件下会自动清零,如在24小时后自动清零等。那么攻击者可能对被攻击模块进行攻击时,在达到各阈值前停止攻击,待计数器清零后再发起攻击,并且可能同时采用这种方式对SIM卡的各个被攻击模块进行攻击,如上述例子中因为温度参数被攻击4次,或者电压参数被攻击3次,或者频率参数被攻击7次,SIM卡才产生保护动作,那么上述攻击可以执行到无穷多轮,直到读取SIM卡的敏感数据,而SIM卡却不会产生任何保护动作。因此,现有的SIM卡数据保护方法并不完善。
发明内容
本发明实施例要解决的技术问题是提供一种数据保护方法和客户识别模块卡,能够更好的对SIM卡进行数据保护。
为解决上述技术问题,本发明所提供实施例是通过以下技术方案实现的:
本发明实施例提供一种数据保护方法,包括:对探测得到的被攻击次数进行计数;存储与计数值对应的参考值,并根据后续得到的被攻击次数的计数值对所述参考值进行累计更新;获取与预设阈值进行比较的计数值,所述与预设阈值进行比较的计数值至少包括所述存储的参考值;根据所述获取的与预设阈值进行比较的计数值得到比较值,若所述比较值大于等于所述预设阈值,则产生保护动作。
本发明实施例提供一种客户识别模块卡,包括:探测器,用于探测被攻击次数;计数器,用于对所述探测器探测得到的被攻击次数进行计数;存储器,用于存储与计数器的计数值对应的参考值,并根据计数器后续的被攻击次数的计数值对所述参考值进行累计更新;判决器,用于获取与预设阈值进行比较的计数值,所述与预设阈值进行比较的计数值至少包括所述存储器存储的参考值,根据所述获取的与预设阈值进行比较的计数值得到比较值,若所述比较值大于等于所述预设阈值,则产生保护动作。
上述技术方案可以看出,本发明实施例通过存储与计数值对应的参考值,并根据后续得到的被攻击次数的计数值对所述参考值进行累计更新,从而所述存储的参考值可以体现之前被攻击的记录,这样无论攻击者采用什么方式进行攻击,只要与预设阈值进行比较的计数值含有所述存储的参考值,那么根据所述获取的与预设阈值进行比较的计数值得到比较值后将比较值与预设阈值进行比较,若比较值大于等于所述预设阈值时,就产生保护动作,从而能比现有技术更为有效的进行数据保护。
附图说明
图1是本发明实施例数据保护方法原理示意图;
图2是本发明实施例数据保护方法流程图;
图3是本发明实施例一数据保护方法示意图;
图4是本发明实施例二数据保护方法示意图;
图5本发明实施例三数据保护方法示意图;
图6是本发明实施例客户识别模块卡的结构示意图。
具体实施方式
本发明实施例提供了一种数据保护方法,可用于对SIM卡内的数据进行保护。
本发明实施例采用计数器和存储器结合,对被攻击次数进行统一控制,并通过存储与计数值对应的参考值对被攻击次数进行累计计数,当判决器参考累计的计数值判断出被攻击次数达到或超过预设阈值时,产生保护动作,而当输入的是正确参数,判决器认为是有效的读取数据动作时,才对存储在存储器内的计数值进行清零或者修改,即复位到一个设定的值,从而可以有效地对SIM卡内的数据进行保护。
请参阅图1,是本发明实施例数据保护方法原理示意图。如图1所示,字母a,b,c...m,n表示大于等于1的值,且不一定相等。从S.1到S.a代表数量不等的被攻击模块的探测器,用于探测各个敏感模块的参数被攻击的次数,并通过交叉组合触发第一级计数器组相应的计数器(从1.1到1.b)。第一级计数器组达到触发条件(即超过计数阈值)后,重新开始计数,并通过交叉组合触发第二级计数器组相应的计数器(从2.1到2.c),以此类推,最后一级计数器组相应的计数器为从m.1到m.n。需要说明的是,可以只有一级计数器组即第一级计数器组,而各级计数器组也可以只有一个计数器。这里所说的交叉组合,是指探测器和计数器间可以任意进行连接,如探测器S.1和S.2共同触发计数器1.1,计数器器1.1和计数器1.2共同触发计数器2.1等。
计数器的计数值,可以直接作为对应的参考值存储到存储器中,也可以通过一定的函数运算后产生其对应的参考值存储到存储器中,所述函数运算包括但不限于加减乘除运算等。本发明实施例的存储器以可擦写存储器为例说明但不限于此,也可以是其他类型的存储器。本发明实施例中可以是全部计数器的参考值都进行存储,也可以是部分计数器的参考值进行存储,但至少需将一个计数器的参考值进行存储,用于为判决器提供比较的数值。直接与探测器相连的计数器,其参考值可以存储到可擦写存储器中,也可以不存储。对于最后一级计数器组,一般进行存储。对于计数器组内的计数器在没有到达触发条件触发下一级计数器组的计数器时,对后续由探测器探测得到的被攻击次数进行计数时,如果未达到计数器清零条件下则在上次计数值的基础上继续计数,如果已达到计数器清零条件下则从零开始计数,直到到达触发条件触发下一级计数器又重新计数。
判决器最后根据获取的全部数值确定一个比较值,将比较值与本判决器的预设阈值进行比较,如果大于等于本判决器的预设阈值,则锁死SIM卡敏感数据或者直接销毁敏感数据,以达到保护的目的。判决器获取的计数值可以全部是从可擦写存储器获取的计数器的存储值,也可以是部分为从可擦写存储器获取的计数器的存储值,另一部分为直接从计数器获取的计数值。另外,判决器从可擦写存储器或计数器获取的数值可以是最后一级计数器组(m.1到m.n)其中一个计数器或多个计数器对应的值,也可以是计数器1.1到m.n中的任意计数器对应的值或任意计数器组合后对应的值。对于判决器获取的全部数值,可以按预定函数关系进行运算得到比较值,将比较值与本判决器的预设阈值进行比较。如果判决器获取的数值为一个并且该值是从可擦写存储器获取的计数器的参考值,可以直接将该值与本判决器的预设阈值进行比较,或者将该值按预定函数关系进行运算后与本判决器的预设阈值进行比较。这里所说的按预定函数关系进行运算,包括各种运算例如进行相加或相乘等,例如对于相加可以是简单的相加,也可以是为各计数值分配权重因子后进行相加,或让各计数值按某种函数关系运算后再进行相加等,具体根据实际情况进行选择。这里所说的获取,可以是判决器主动从可擦写存储器或计数器中提取数值,也可以是可擦写存储器或计数器将数值发送给判决器。
请参阅图2,是本发明实施例数据保护方法流程图,包括步骤:
步骤201、对探测得到的被攻击次数进行计数;
SIM卡内的计数器根据探测器探测得到的模块参数被攻击次数进行计数。
步骤202、存储与计数值对应的参考值,并根据后续得到的被攻击次数的计数值对所述参考值进行累计更新;
SIM卡内的可擦写存储器存储计数器的与计数值对应的参考值,并根据后续得到的被攻击次数的计数值对所述参考值进行累计更新。存储与计数值对应的参考值具体为:将计数器的计数值直接作为对应的参考值或将计数器的计数值进行函数运算后作为对应的参考值存储到存储器中,所述函数运算包括但不限于加减乘除运算等。通过累计更新,可以反映SIM卡被攻击的历史记录。此时,可以是全部计数器的参考值都进行存储,也可以是部分计数器的参考值进行存储。
步骤203、获取与预设阈值进行比较的计数值,所述与预设阈值进行比较的计数值至少包括所述存储的参考值;
SIM卡内的判决器获取与预设阈值进行比较的计数值,所述获取的计数值可以全部是从可擦写存储器获取的计数器的存储值,也可以是部分为从可擦写存储器获取的计数器的存储值,另一部分为直接从计数器获取的计数值。
步骤204、根据所述获取的与预设阈值进行比较的计数值得到比较值,若所述比较值大于等于所述预设阈值,则产生保护动作。
对于SIM卡内的判决器获取的全部数值,可以按预定函数关系进行运算得到比较值,将比较值与本判决器的预设阈值进行比较。如果判决器获取的数值为一个并且该值是从可擦写存储器获取的计数器的参考值,可以直接将该值作为比较值,或者将该值按预定函数关系进行运算后作为比较值。得到比较值后,将所述比较值与判决器的预设阈值进行比较,若所述比较值大于等于所述预设阈值,则产生保护动作。这里所说的预设阈值,根据实际情况预先进行设置,也可以进行调整。
以下详细介绍本发明的各具体实施例。
请参阅图3,是本发明实施例一数据保护方法示意图。实施例一是判决器同时参考计数器1.1、1.2和1.3存储到可擦写存储器的计数值。本实施例将计数器的计数值直接作为对应的参考值进行存储举例说明但不限于此,也可以将计数器的计数值进行函数运算后作为对应的参考值。
如图3所示,SIM卡三个探测器(温度探测器、电压探测器和频率探测器)监控三个容易被攻击的模块参数:温度、电压和频率。该实施例只有第一级计数器组,包括计数器1.1、1.2和1.3。当探测器探测到SIM卡中的温度、电压或者频率遭受攻击时,产生触发信号,触发对应计数器计数,计数值存储到可擦写存储器中,后续得到计数值后也存储到可擦写存储器中,由可擦写存储器进行累计。判决器根据从可擦写存储器获取的计数器1.1、1.2和1.3的计数值组合后的比较值与本判决器预设阈值进行比较,如果组合后的比较值大于等于预设阈值,则锁死SIM卡敏感数据或者直接销毁敏感数据。需说明的是,图中判决器和计数器1.1、1.2、1.3间的虚线是表示判决器同时参考3个计数器存储在可擦写存储器中的存储值,并不表示实际的连接关系。假设第一级计数器组中计数器的计数阈值不限定,对攻击者每轮发起攻击的计数值存储到可擦写存储器中进行累计,判决器的预设阈值为9。攻击者每轮同时攻击温度1次,电压2次,频率1次。判决器根据从可擦写存储器中获取的计数器1.1、1.2和1.3的计数值进行简单的相加后与本判决器的预设阈值比较。具体过程及结果如下面表1所示。
| 攻击 | 温度 | 电压 | 频率 | 存储的计数器1.1的计数值 | 存储的计数器1.2的计数值 | 存储的计数器1.3的计数值 | 判决器比较值 | 产生保护动作? |
| 第一轮 | 1 | 2 | 1 | 1 | 2 | 1 | 4 | 否 |
| 第二轮 | 1 | 2 | 1 | 2 | 4 | 2 | 8 | 否 |
| 第三轮 | 1 | 2 | 1 | 3 | 6 | 3 | 12 | 是 |
表1攻击保护示意表
从表1可以看出,在第二轮攻击时,可擦写存储器将第二轮攻击次数加上第一轮攻击存储的计数值后累计得到的计数器1.1、1.2和1.3的计数值分别为2、4、2,判决器将它们相加后在第二轮攻击时得到的比较值已经为8,那第三轮攻击中只要对上述参数再发起一次攻击,比较值都等于预设阈值,SIM卡都会产生保护动作。第三轮攻击还是同时攻击温度1次,电压2次,频率1次,判决器得到的比较值为12,已大于预设阈值9,则SIM卡产生保护动作。另外,判决器只有在认为是有效的读取数据动作时(即用户输入正确参数时),才对存储在可擦写存储器内的计数值进行清零或者修改,即复位到一个设定的值。
请参阅图4,是本发明实施例二数据保护方法示意图。实施例二与实施例一的主要区别是各判决器只参考一个对应计数器存储到可擦写存储器的计数值。本实施例将计数器的计数值直接作为对应的参考值进行存储举例说明但不限于此,也可以将计数器的计数值进行函数运算后作为对应的参考值。
如图4所示,SIM卡三个探测器(温度探测器、电压探测器和频率探测器)监控三个容易被攻击的模块参数:温度、电压和频率。该实施例只有第一级计数器组,包括计数器1.1、1.2和1.3,并各自对应一个判决器(判决器1、判决器2和判决器3,如图中虚线所示,需说明的是,图中虚线并不表示实际的连接关系)。当探测器探测到SIM卡中的温度、电压或者频率遭受攻击时,产生触发信号,触发对应计数器计数,计数值存储到可擦写存储器中,后续得到计数值后也存储到可擦写存储器中,由可擦写存储器进行累计。判决器1、判决器2和判决器3各自根据从可擦写存储器获取的对应的计数器1.1、1.2和1.3的计数值作为比较值与本判决器预设阈值进行比较,如果比较值大于等于预设阈值,则锁死SIM卡敏感数据或者直接销毁敏感数据。设判决器1的预设阈值为4,判决器2的预设阈值为3,判决器3的预设阈值为7。攻击者第一轮同时攻击温度3次,电压2次,频率3次,第二轮同时攻击温度2次,电压1次,频率3次,如此循环。具体过程及结果如以下表2所示。
| 攻击 | 温度 | 电压 | 频率 | 存储的计数器1.1的计数值 | 存储的计数器1.2的计数值 | 存储的计数器1.3的计数值 | 判决器1比较值 | 判决器2比较值 | 判决器3比较值 |
| 第一轮 | 3 | 2 | 3 | 3 | 2 | 3 | 3 | 2 | 3 |
| 第二轮 | 2 | 1 | 3 | 5 | 3 | 6 | (产生保护动作) | 3(产生保护动作) | 6(不产生保护动作) |
表2攻击保护示意表
从表2可以看出,因为第一轮攻击的次数已经存储到可擦写存储器中,在第二轮攻击时,可擦写存储器将第二轮攻击次数加上第一轮攻击时存储的计数值后累计得到的计数器1.1、1.2和1.3的计数值分别为5、3、6,各判决器获取存储的对应计数器的计数值作为比较值后与本判决器的预设阈值比较,如比较值大于等于预设阈值都将产生保护动作。如判决器1从可擦写存储器获取计数器1.1的计数值为5作为比较值,该比较值已超过预设阈值4,则SIM卡会产生保护动作。判决器1到3中任一个先比较出比较值大于等于预设阈值,SIM卡都会产生保护动作,因此即使判决器3从可擦写存储器获取计数器1.3的计数值作为比较值是小于预设阈值7,SIM卡根据判决器1和2的比较结果也会产生保护动作。另外,判决器只有在认为是有效的读取数据动作时(即用户输入正确参数时),才对存储在可擦写存储器内的计数值进行清零或者修改,即复位到一个设定的值。
需要说明的是,上述实施例一可以和实施例二结合,即可以在设置计数器1.1、1.2和1.3各自对应一个判决器外,再设置一个同时考虑计数器1.1、1.2和1.3的计数值相配合的判决器,实现双重保护。其保护过程是上述两个例子的结合,此处不再具体描述。
请参阅图5,本发明实施例三数据保护方法示意图。实施例三是同时参考从可擦写存储器获取的计数值和直接从计数器获取的计数值。本实施例将计数器的计数值直接作为对应的参考值进行存储举例说明但不限于此,也可以将计数器的计数值进行函数运算后作为对应的参考值。
如图5所示,SIM卡三个探测器(温度探测器、电压探测器和频率探测器)监控三个容易被攻击的模块参数:温度、电压和频率。计数器1.1和1.2属于第一级计数器组中的计数器,第二级计数器组只有一个计数器2.1。当探测器探测到SIM卡中的温度、电压或者频率遭受攻击时,产生触发信号,触发计数器计数。图4中,温度或者电压被攻击时共同触发计数器1.1,频率被攻击时触发计数器1.2。计数器1.1和1.2超过各自计数阈值时,触发计数器2.1。第一级计数器组的计数器1.1和1.2的计数值可以存储到可擦写存储器,也可以不存储。即使计数器1.1和1.2的计数值不存储到可擦写存储器,但其超过各自计数阈值时会触发计数器2.1,因此计数器2.1的计数值也可以体现计数器1.1和1.2之前记录被攻击次数。本实施例中以计数器1.1和1.2的计数值不存储到可擦写存储器中为例说明但不局限于此。最后一级计数器组即第二级计数器组的计数器的计数值存储到可擦写存储器中。第二级计数器组只有一个计数器2.1,计数器2.1的计数值存储到可擦写存储器。
判决器根据从可擦写存储器获取的计数器2.1的计数值和直接从计数器1.1获取的计数值进行组合后得到的比较值与本判决器预设阈值进行比较,如果组合后得到的比较值大于等于预设阈值,则锁死SIM卡敏感数据或者直接销毁敏感数据。需说明的是,图中判决器和计数器1.1连接表示判决器可直接从计数器1.1获取计数值,而判决器和计数器2.1间的虚线是表示判决器需参考计数器2.1存储在可擦写存储器中的存储值,并不表示实际的连接关系。假设第一级计数器组中计数器1.1的计数阈值为4,计数器1.2的计数阈值为5,计数器2.1的计数阈值为10,判决器的预设阈值为7。当然,各计数器的计数阈值也可以采用相同的固定值。攻击者第一轮同时攻击温度3次,电压2次,频率3次,第二轮同时攻击温度2次,电压1次,频率6次,如此循环,判决器根据从可擦写存储器获取的计数器2.1的计数值和直接从计数器1.1获取的计数值进行简单的相加后得到比较值与本判决器的预设阈值比较。
此时,判决器对攻击的响应可分为两种情况:
一种是攻击都是未达到计数器清零条件下发生,即连续攻击:具体过程及结果如表3所示。
| 攻击 | 温度 | 电压 | 频率 | 计数器1.1计数值 | 计数器1.2计数值 | 存储的计数器2.1的计数值 | 判决器比较值 | 产生保护动作? |
| 第一轮 | 3 | 2 | 3 | 1 | 3 | 1 | 2 | 否 |
| 第二轮 | 2 | 1 | 6 | 4 | 4 | 2 | 6 | 否 |
| 第三轮 | 3 | 2 | 3 | 1 | 2 | 4 | 5 | 否 |
| 第四轮 | 2 | 1 | 6 | 4 | 3 | 5 | 9 | 是 |
表3攻击保护示意表
攻击者第一轮同时攻击温度3次、电压2次、频率3次时,温度和电压被攻击次数共5次,超过计数器1.1的计数阈值4,因此计数器1.1重新开始计数,计数器1.1最终计数值为1(后续计数时将继续从1开始),并触发计数器2.1进行计数,计数器2.1计数值为1,存储到可擦写存储器。频率被攻击次数为3,没有超过计数器1.2的计数阈值5,不会触发计数器2.1,所以计数器1.2计数值为3,后续计数时将继续从3开始。判决器将从计数器1.1获取的计数值和从可擦写存储器获取的计数器2.1的计数值进行相加后得到的比较值为1+1=2。
攻击者第二轮同时攻击温度2次、电压1次、频率6次时,温度和电压被攻击次数共3次,计数器1.1上轮计数值为1,因为攻击时未达到计数器清零条件,以该值1为基础加3,计数值为4,没有超过计数阈值4,不会触发计数器2.1,所以计数器1.1最终计数值为4。频率被攻击次数为6,计数器1.2上轮计数值为3,因为攻击时未达到计数器清零条件,以该值3为基础加6,当计数到6时已超过计数阈值5,重新开始计数,并触发计数器2.1,所以计数器1.2最终计数值为3+6-5=4,后续计数时将继续以4为基础开始。计数器2.1上轮计数值为1,此时被计数器1.2触发计数,计数值为1+1=2,并存储到可擦写存储器。判决器将从计数器1.1获取的计数值和从可擦写存储器获取的计数器2.1的计数值相加后得到的比较值为4+2=6。
攻击者第三轮同时攻击温度3次、电压2次、频率3次时,温度和电压被攻击次数共5次,计数器1.1上轮计数值为4已等于计数阈值,此时重新开始计数5次,当计数到5时超过计数阈值4,因此计数器1.1又重新开始计数,计数器1.1最终计数值为1,并触发计数器2.1进行计数。频率被攻击次数为3,计数器1.2上轮计数值为4,以该值4为基础加3,当计数到6时已超过计数阈值5,重新开始计数,并触发计数器2.1,所以计数器1.2最终计数值为4+3-5=2,后续计数时将继续以2为基础开始。计数器2.1上轮计数值为2,此时被计数器1.1和1.2各触发计数一次,计数值为2+1+1=4,并存储到可擦写存储器。判决器将从计数器1.1获取的计数值和从可擦写存储器获取的计数器2.1的计数值相加后得到的比较值为1+4=5。后续攻击的计算以此类推。
从表3可以看出,当攻击到第四轮时,判决器将从计数器1.1获取的计数值和从可擦写存储器获取的计数器2.1的计数值进行相加后得到的比较值为9,已大于预设阈值7,SIM卡会产生保护动作。另外,判决器只有在认为是有效的读取数据动作时(即用户输入正确参数时),才对存储在可擦写存储器内的计数值进行清零或者修改,即复位到一个设定的值。
另一种情况是,攻击都是等待达到计数器清零条件后再重新发生,例如假设每过24小时后计数器清零,此时再重新攻击,此时每次开始攻击时计数器1.1和1.2开始都是零:具体过程及结果如表4所示。
| 攻击 | 温度 | 电压 | 频率 | 计数器1.1计数值 | 计数器1.2计数值 | 存储的计数器2.1的计数值 | 判决器比较值 | 产生保护动作? |
| 第一轮 | 3 | 2 | 3 | 1 | 3 | 1 | 2 | 否 |
| 第二轮 | 2 | 1 | 6 | 3 | 1 | 2 | 5 | 否 |
| 第三轮 | 3 | 2 | 3 | 1 | 3 | 3 | 4 | 否 |
| 第四轮 | 2 | 1 | 6 | 3 | 1 | 4 | 7 | 是 |
表4攻击保护示意表
攻击者第一轮同时攻击温度3次、电压2次、频率3次时,温度和电压被攻击次数共5次,超过计数器1.1的计数阈值4,因此计数器1.1重新开始计数,计数器1.1最终计数值为1,并触发计数器2.1进行计数,计数器2.1计数值为1,存储到可擦写存储器。频率被攻击次数为3,没有超过计数器1.2的计数阈值5,不会触发计数器2.1,所以计数器1.2计数值为3,后续计数时将重新开始,判决器将从计数器1.1获取的计数值和从可擦写存储器获取的计数器2.1的计数值进行相加后得到的比较值为1+1=2。
攻击者第二轮同时攻击温度2次、电压1次、频率6次时,计数器1.1和1.2已经清零,温度和电压被攻击次数共3次,计数器1.1计数值为1+2=3,没有超过计数阈值4,不会触发计数器2.1,所以计数器1.1最终计数值为3。频率被攻击次数为6,已超过计数阈值5,重新开始计数,并触发计数器2.1,所以计数器1.2最终计数值为6-5=1,后续计数时仍然重新开始。计数器2.1上轮计数值为1,此时被计数器1.2触发计数,计数值为1+1=2,并存储到可擦写存储器。判决器将从计数器1.1获取的计数值和从可擦写存储器获取的计数器2.1的计数值相加后得到的比较值为3+2=5。
攻击者第三轮同时攻击温度3次、电压2次、频率3次时,计数器1.1和1.2已经清零,温度和电压被攻击次数共5次,超过计数器1.1的计数阈值4,因此计数器1.1重新开始计数,计数器1.1最终计数值为1,并触发计数器2.1进行计数,计数器2.1上轮计数值为2,此时被计数器1.1触发计数,计数值为2+1=3,存储到可擦写存储器。频率被攻击次数为3,没有超过计数器1.2的计数阈值5,不会触发计数器2.1,所以计数器1.2计数值为3,后续计数时将重新开始,判决器将从计数器1.1获取的计数值和从可擦写存储器获取的计数器2.1的计数值进行相加后得到的比较值为1+3=4。
攻击者第四轮同时攻击温度2次、电压1次、频率6次时,各计数器已经清零,温度和电压被攻击次数共3次,计数器1.1计数值为1+2=3,没有超过计数阈值4,不会触发计数器2.1,所以计数器1.1最终计数值为3。频率被攻击次数为6,已超过计数阈值5,重新开始计数,并触发计数器2.1,所以计数器1.2最终计数值为6-5=1,后续计数时仍然重新开始。计数器2.1上轮计数值为3,此时被计数器1.2触发计数,计数值为1+3=4,并存储到可擦写存储器。判决器将从计数器1.1获取的计数值和从可擦写存储器获取的计数器2.1的计数值相加后得到的比较值为3+4=7,达到预设阈值7,SIM卡将产生保护动作。在本实施例中,判决器只有在认为是有效的读取数据动作时(即用户输入正确参数时),才对存储在可擦写存储器内的计数值进行清零或者修改,即复位到一个设定的值。
需说明的是,上述例子中判决器按预定函数关系进行运算只是以简单的相加举例说明但不局限于此,也可以是相乘等,并且也可以是更复杂的运算,如对于相加可以是为各计数值分配权重因子后进行相加,或让各计数值按某种函数关系(例如对数函数等)运算后再进行相加等,具体根据实际情况进行选择。同时,产生的保护动作包括但不限于锁死或者自销毁SIM卡。
还需说明的是,该实施例中判决器也可以只根据可擦写存储器存储的计数器2.1的计数值与预设阈值进行比较。假如此情况下计数器2.1的计数阈值为8,判决器的预设阈值此时也就是计数器2.1的计数阈值,并且攻击都是未达到计数器清零条件下发生,那么在第6轮就可以产生保护动作。具体过程及结果如表5所示。
| 攻击 | 温度 | 电压 | 频率 | 计数器1.1计数值 | 计数器1.2计数值 | 存储的计数器2.1的计数值 | 判决器比较值 | 产生保护动作? |
| 第一轮 | 3 | 2 | 3 | 1 | 3 | 1 | 1 | 否 |
| 第二轮 | 2 | 1 | 6 | 4 | 4 | 2 | 2 | 否 |
| 第三轮 | 3 | 2 | 3 | 1 | 2 | 4 | 4 | 否 |
| 第四轮 | 2 | 1 | 6 | 4 | 3 | 5 | 5 | 否 |
| 第五轮 | 3 | 2 | 3 | 1 | 1 | 7 | 7 | 否 |
| 第六轮 | 2 | 1 | 6 | 4 | 2 | 8 | 8 | 是 |
表5攻击保护示意表
从上述各实施例可以看出,本发明实施例数据保护方法可以有效的应对攻击者对单一模块或同时对各模块发起的多轮间断攻击或连续攻击,比现有技术更有效的保护SIM卡内的敏感数据。如现有技术中温度参数被攻击4次,或者电压参数被攻击3次,或者频率被攻击7次,SIM卡才产生保护动作,攻击者的上述攻击可以执行到无穷多轮,直到读取SIM卡的敏感数据,而SIM卡却不会产生任何保护动作,通过本发明实施例数据保护方法,例如实施例三中,当攻击者按现有技术的攻击方法进行攻击,在第四轮攻击时,SIM卡就会产生保护动作。
上述内容详细介绍了本发明实施例数据保护方法,相应的,本发明实施例提供一种客户识别模块卡。
请参阅图6,是本发明实施例客户识别模块卡的结构示意图。
如图6所示,客户识别模块卡包括:探测器601、计数器602、存储器603和判决器604。
探测器601,用于探测被攻击次数,并触发计数器602进行计数。客户识别模块卡可以包括多个探测器,用于对容易被攻击的模块参数例如温度、电压和频率等进行监控,探测这些参数被攻击的次数。各个探测器探测得到各参数被攻击后单独触发或任意组合后共同触发计数器进行计数。
计数器602,用于对所述探测器601探测得到的被攻击次数进行计数。客户识别模块卡可采用单级计数器组或多级计数器组对各参数的被攻击次数进行计数,每级计数器组包括一个或多个计数器,采用多级计数器组时每个计数器计数超过计数阈值时触发下一级计数器计数。所述每个计数器计数超过计数阈值时触发下一级计数器计数包括:每个计数器计数超过计数阈值时单独触发或任意组合后共同触发下一级计数器。
存储器603,用于存储计数器602的计数值对应的参考值,并根据计数器602后续的被攻击次数的计数值对所述参考值进行累计更新。可以是全部计数器的参考值都存储到存储器603,也可以是部分计数器的参考值存储到存储器603,但至少需将一个计数器的参考值存储到存储器603。存储与计数值对应的参考值具体为:将计数器的计数值直接作为对应的参考值或进行函数运算后作为对应的参考值进行存储,所述函数运算包括但不限于加减乘除运算等。客户识别模块卡的存储器603采用可擦写存储器但不局限于此,也可以采用其他类型的存储器。
判决器604,用于获取与预设阈值进行比较的计数值,所述与预设阈值进行比较的计数值至少包括所述存储器603存储的参考值,根据所述获取的与预设阈值进行比较的计数值得到比较值,若所述比较值大于等于所述预设阈值,则产生保护动作。
所述判决器604包括:获取处理单元6041和比较处理单元6042。
获取处理单元6041,用于获取与预设阈值进行比较的计数值,将所述获取的与预设阈值进行比较的计数值按预定函数关系进行运算得到比较值。如果获取的计数值为一个并且该值是从存储器603获取的计数器的参考值,可以直接将该值作为比较值,或者将该值按预定函数关系进行运算后作为比较值。这里所说的按预定函数关系进行运算,包括进行相加或相乘等,例如对于相加可以是简单的相加,也可以是为各计数值分配权重因子后进行相加,或让各计数值按某种函数关系运算后再进行相加等,具体根据实际情况进行选择。
比较处理单元6042,用于将所述得到的比较值与预设阈值进行比较,若所述比较值大于等于所述预设阈值,则产生保护动作。所述预设阈值,根据实际情况预先进行设置,也可以进行调整。
综上所述,本发明实施例通过存储与计数值对应的参考值,并根据后续得到的被攻击次数的计数值对所述参考值进行累计更新,从而所述存储的参考值可以体现之前被攻击的记录,这样无论攻击者采用什么方式进行攻击,只要与预设阈值进行比较的计数值含有所述存储的参考值,那么根据所述获取的与预设阈值进行比较的计数值得到比较值后将比较值与预设阈值进行比较,若比较值大于等于所述预设阈值时,就产生保护动作,从而能比现有技术更为有效的对SIM卡进行数据保护。
进一步的,本发明实施例中可以是计数器的计数值直接作为对应的参考值或计数器的计数值进行函数运算后作为对应的参考值存储到存储器中。
进一步的,本发明实施例所述获取的与预设阈值进行比较的计数值可以全部是从存储器获取的参考值,也可以同时包括从存储器获取的参考值和从计数器获取的计数值,并且这些值可以按预定函数关系进行运算得到比较值。
进一步的,本发明实施例探测得到各参数被攻击后单独触发或任意组合后共同触发计数器进行计数,进行计数时可以采用单级计数器组或多级计数器组对各参数的被攻击次数进行计数,采用多级计数器组时每个计数器计数超过计数阈值时触发下一级计数器计数,所述触发可以是每个计数器计数超过计数阈值时单独触发或任意组合后共同触发下一级计数器。
以上对本发明实施例所提供的一种数据保护方法和客户识别模块卡进行了详细介绍,对于本领域的一般技术人员,依据本发明实施例的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (11)
1.一种数据保护方法,其特征在于,包括:
对探测得到的被攻击次数进行计数;
存储与计数值对应的参考值,并根据后续得到的被攻击次数的计数值对所述参考值进行累计更新;
获取与预设阈值进行比较的计数值,所述与预设阈值进行比较的计数值至少包括所述存储的参考值;
根据所述获取的与预设阈值进行比较的计数值得到比较值,若所述比较值大于等于所述预设阈值,则产生保护动作。
2.根据权利要求1所述的数据保护方法,其特征在于:
所述对探测得到的被攻击次数进行计数具体为:采用单级计数器组或多级计数器组对各参数的被攻击次数进行计数,采用多级计数器组时每个计数器计数超过计数阈值时触发下一级计数器计数;
所述存储与计数值对应的参考值具体为:将至少一个计数器的计数值直接作为对应的参考值或进行函数运算后作为对应的参考值存储到存储器中。
3.根据权利要求2所述的数据保护方法,其特征在于:
所述采用单级计数器组或多级计数器组对各参数的被攻击次数进行计数时,探测得到各参数被攻击后单独触发或任意组合后共同触发计数器进行计数。
4.根据权利要求2或3所述的数据保护方法,其特征在于:
所述每个计数器计数超过计数阈值时触发下一级计数器计数包括:
每个计数器计数超过计数阈值时单独触发或任意组合后共同触发下一级计数器。
5.根据权利要求1或2所述的数据保护方法,其特征在于:
所述根据获取的与预设阈值进行比较的计数值得到比较值具体为:
将获取的与预设阈值进行比较的计数值按预定函数关系进行运算得到比较值。
6.根据权利要求1或2所述的数据保护方法,其特征在于:
所述获取的与预设阈值进行比较的计数值为所述存储的参考值;或者,所述获取的与预设阈值进行比较的计数值包括所述存储的参考值和从计数器获取的计数值。
7.根据权利要求2所述的数据保护方法,其特征在于:
所述采用单级计数器组或多级计数器组对各参数的被攻击次数进行计数时,每级计数器组包括一个或多个计数器。
8.一种客户识别模块卡,其特征在于,包括:
探测器,用于探测被攻击次数;
计数器,用于对所述探测器探测得到的被攻击次数进行计数;
存储器,用于存储与计数器的计数值对应的参考值,并根据计数器后续的被攻击次数的计数值对所述参考值进行累计更新;
判决器,用于获取与预设阈值进行比较的计数值,所述与预设阈值进行比较的计数值至少包括所述存储器存储的参考值,根据所述获取的与预设阈值进行比较的计数值得到比较值,若所述比较值大于等于所述预设阈值,则产生保护动作。
9.根据权利要求8所述的客户识别模块卡,其特征在于:
所述客户识别模块卡采用单级计数器组或多级计数器组对各参数的被攻击次数进行计数,每级计数器组包括一个或多个计数器,采用多级计数器组时每个计数器计数超过计数阈值时触发下一级计数器计数;
所述存储器将至少一个计数器的计数值直接作为对应的参考值或进行函数运算后作为对应的参考值进行存储。
10.根据权利要求8或9所述的客户识别模块卡,其特征在于,所述判决器包括:
获取处理单元,用于获取与预设阈值进行比较的计数值,将所述获取的与预设阈值进行比较的计数值按预定函数关系进行运算得到比较值;
比较处理单元,用于将所述获取处理单元得到的比较值与预设阈值进行比较,若所述比较值大于等于所述预设阈值,则产生保护动作。
11.根据权利要求10所述的客户识别模块卡,其特征在于:
所述获取处理单元获取所述存储器存储的参考值作为与预设阈值进行比较的计数值;
或者,所述获取处理单元将从所述存储器获取的存储的参考值和从计数器获取的计数值作为与预设阈值进行比较的计数值。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200710187610A CN101183433B (zh) | 2007-11-19 | 2007-11-19 | 客户识别模块卡数据保护方法和客户识别模块卡 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200710187610A CN101183433B (zh) | 2007-11-19 | 2007-11-19 | 客户识别模块卡数据保护方法和客户识别模块卡 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101183433A true CN101183433A (zh) | 2008-05-21 |
| CN101183433B CN101183433B (zh) | 2012-08-29 |
Family
ID=39448701
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200710187610A Expired - Fee Related CN101183433B (zh) | 2007-11-19 | 2007-11-19 | 客户识别模块卡数据保护方法和客户识别模块卡 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101183433B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101369897B (zh) * | 2008-07-31 | 2011-04-20 | 成都市华为赛门铁克科技有限公司 | 一种检测网络攻击的方法和设备 |
| CN106782650A (zh) * | 2017-01-20 | 2017-05-31 | 天津大学 | 基于sram的随机地址数据擦除保护电路 |
| CN109714310A (zh) * | 2018-11-07 | 2019-05-03 | 苏州蜗牛数字科技股份有限公司 | 一种sim卡的侧信道抗攻击方法 |
| CN113569237A (zh) * | 2021-07-29 | 2021-10-29 | 武汉天喻信息产业股份有限公司 | 攻击防护方法、装置、设备及可读存储介质 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103971037A (zh) * | 2013-02-06 | 2014-08-06 | 联发科技(新加坡)私人有限公司 | 控制方法和电子装置 |
-
2007
- 2007-11-19 CN CN200710187610A patent/CN101183433B/zh not_active Expired - Fee Related
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101369897B (zh) * | 2008-07-31 | 2011-04-20 | 成都市华为赛门铁克科技有限公司 | 一种检测网络攻击的方法和设备 |
| CN106782650A (zh) * | 2017-01-20 | 2017-05-31 | 天津大学 | 基于sram的随机地址数据擦除保护电路 |
| CN109714310A (zh) * | 2018-11-07 | 2019-05-03 | 苏州蜗牛数字科技股份有限公司 | 一种sim卡的侧信道抗攻击方法 |
| CN113569237A (zh) * | 2021-07-29 | 2021-10-29 | 武汉天喻信息产业股份有限公司 | 攻击防护方法、装置、设备及可读存储介质 |
| CN113569237B (zh) * | 2021-07-29 | 2024-04-02 | 武汉天喻信息产业股份有限公司 | 攻击防护方法、装置、设备及可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101183433B (zh) | 2012-08-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11620524B2 (en) | Issuing alerts for storage volumes using machine learning | |
| CN101183433B (zh) | 客户识别模块卡数据保护方法和客户识别模块卡 | |
| US10122748B1 (en) | Network protection system and threat correlation engine | |
| US10635817B2 (en) | Targeted security alerts | |
| US10291630B2 (en) | Monitoring apparatus and method | |
| CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
| KR102120232B1 (ko) | 칼만필터 알고리즘을 이용한 사이버 표적공격 탐지 시스템 및 그 탐지 방법 | |
| CN103955645A (zh) | 恶意进程行为的检测方法、装置及系统 | |
| US20170286682A1 (en) | Electronic device and protection method | |
| CN101414914A (zh) | 数据内容过滤方法与装置、有限状态自动机及其构造装置 | |
| KR101937325B1 (ko) | 악성코드 감지 및 차단방법 및 그 장치 | |
| US11848940B2 (en) | Cumulative trajectory of cyber reconnaissance indicators | |
| EP3531324B1 (en) | Identification process for suspicious activity patterns based on ancestry relationship | |
| Taylor et al. | Sensor-based ransomware detection | |
| Bama et al. | Network intrusion detection using clustering: a data mining approach | |
| KR20160099159A (ko) | 악성 코드를 탐지하기 위한 전자 시스템 및 방법 | |
| CA2961695A1 (en) | Correlation-based detection of exploit activity | |
| CN116055130A (zh) | 基于rasp的siem日志管理方法、装置、设备及介质 | |
| CN108351940B (zh) | 用于信息安全事件的高频启发式数据获取与分析的系统和方法 | |
| KR101560534B1 (ko) | 행위 기반 분석 기술을 이용한 지능적 지속 공격 탐지 및 대응 시스템 및 방법 | |
| CN113343240B (zh) | 一种usb伪装入侵的检测方法及装置 | |
| CN112966002B (zh) | 一种安全管理方法、装置、设备及机器可读存储介质 | |
| CN116633695B (zh) | 安全规则库管理方法、装置、计算机设备和存储介质 | |
| CN115374444B (zh) | 基于虚拟主机行为分析的病毒检测方法和装置 | |
| KR102556463B1 (ko) | 공격자 그룹 유사도 기법을 활용한 사회이슈 기반 사이버 표적공격 예측 시스템 및 그 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120829 Termination date: 20121119 |