CN102473209A - 攻击企图的检测方法、记录媒介与应用此方法的安全处理器 - Google Patents
攻击企图的检测方法、记录媒介与应用此方法的安全处理器 Download PDFInfo
- Publication number
- CN102473209A CN102473209A CN2010800296458A CN201080029645A CN102473209A CN 102473209 A CN102473209 A CN 102473209A CN 2010800296458 A CN2010800296458 A CN 2010800296458A CN 201080029645 A CN201080029645 A CN 201080029645A CN 102473209 A CN102473209 A CN 102473209A
- Authority
- CN
- China
- Prior art keywords
- attack
- processor
- safe processor
- numerical value
- attack attempt
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Storage Device Security (AREA)
- Debugging And Monitoring (AREA)
- Maintenance And Management Of Digital Transmission (AREA)
Abstract
本发明公开了一种安全处理器的攻击企图的检测方法,其中安全处理器本身检测攻击企图,此检测方法包括:在未出现攻击企图时测定(50)彼此独立出现的若干不同事件;根据测定的至少两个不同事件间的至少一个伴随指数,建立(52)至少一个攻击指示器的数值,伴随指数表示测定的两个不同事件间的时序邻近性;以及如果攻击指示器的数值超出一预定阈值,则检测(54)到一次攻击企图。
Description
技术领域
本发明涉及一种安全处理器本身用于检测企图攻击安全处理器的方法。本发明的目的还涉及一种信息记录媒介以及实施这种方法的安全处理器。
背景技术
通常,安全处理器为硬件元件,包括例如密码密钥的机密信息或者仅仅合法使用者可使用的访问权。为了保持这种信息的机密性,这些处理器被设计为尽可能坚固以抵制计算机黑客的攻击企图。例如,一种安全处理器为装备有电子处理器的芯片卡。
安全处理器会遭受不同类型的攻击。这些攻击中某些攻击的目标在于提取或判定安全器中包括的机密信息。为此,目前已发展出多种攻击。例如,透过令安全处理器处理计算机黑客所建立的消息,这些攻击中的某些攻击寻求实现此安全处理器的功能异常。其它更多的入侵方法透过影响安全处理器的电源电压或者再次通过向此安全处理器引导激光束,试图在其操作的关键时刻干扰安全处理器的功能。
其它类型的攻击虽然不会寻求提取或判定此安全处理器中包括的机密信息,但是简单地包括滥用此安全处理器。例如,在付费电视中,控制共享与卡共享则归于这种类型的攻击。简而言之,控制共享包括在若干接收机中共享安全处理器所解密的控制词。然后,这些接收机可用此控制词破解这些扰乱多媒体内容,但是仅仅一个接收机为这种订阅付费。
在卡共享中,同样的安全处理器可用于解密来自不同接收机的若干加密控制字。如上,然后所有这些接收机可解扰这些扰乱多媒体内容(scrambledmultimedia contents),然而这些接收机中仅有一个被授权访问此内容。
为了抵制这些攻击,目前已有各种方法用于检测攻击企图,并且与此检测响应以执行对策(countermeasure)。
例如,欧洲专利申请EP1575293中描述了一种攻击企图的检测方法及回应对策的执行方法的例子。
对策这种行为的目的在于避免持久或连续地攻击安全处理器。目前存在大量安全处理器可执行的对策。这些策略从简单增加安全处理器中的安全措施到明确且不可修复地阻止后续变为不可使用的安全处理器。
目前已经提出若干攻击企图的检测方法。这些方法包括:
在未出现攻击企图时,测定(measuring)彼此独立出现的若干不同事件,然后,
用预定的各自阈值比较每一测定结果,以检测是否出现一次攻击企图。
然而,难度在于以下事实,当没有攻击企图时,也可出现表示攻击企图的事件。现在,需要避免产生攻击企图的错误检测,因为这些错误检测可能导致不合时宜地执行对策,然后为安全处理器的合法使用者带来不便。为此原因,目前已有多种方法,为预定阈值选择比没有攻击时可得到的全部测定结果的数值更高的数值。然而,预定阈值较高,这种选择使得无法检测到某些特定攻击或者延缓攻击企图的检测。
发明内容
本发明提出一种攻击企图的检测方法以寻求克服以上问题,此方法包括:
根据测定的至少两个不同事件间的至少一个伴随指数,建立至少一个攻击指示器的数值,伴随指数表示测定的两个不同事件间的时序邻近性;以及
如果攻击指示器的数值超出预定的阈值,则检测到一次攻击企图。
以上方法考虑到安全处理器中出现的不同事件间的时序邻近性。这种方法能够迅速地检测到攻击企图或者检测到透过观察测定单个事件所无法检测到的攻击企图。事实上,因为这些事件出现在安全处理器的正常操作期间,单独地测定这些事件中的每一个,可能发生这些测定结果不会构成一次攻击企图的快速表示形式。相反地,当这些事件几乎伴随出现而它们本来应该彼此独立出现时,则可高度相信这意味着出现了攻击企图。因此,以上方法能够使得安全处理器以高度自信做出快速检测,检测到安全处理器已经遭受攻击企图的事实。然后可用极快的速度启动适当的执行对策。
此方法的实施例包括以下一或多个特征:
通过一组预定的权重系数相对地权衡这些伴随指数彼此的重要性,从测定的不同事件间的若干伴随指数中建立攻击指示器的数值;
此方法包括透过使用相同伴随指数间的若干不同组的权重系数,建立若干攻击指示器的数值,每一组权重系数被预先设定从而对一种攻击企图更加敏感,这种攻击企图不同于其它指示器更敏感的那些攻击企图;
相同伴随指数的权重系数在用于建立不同攻击指示器数值的全部权重系数组中不变;
一事件的测定结果限制于一个滑动时隙(time slot),从而不考虑此时隙以外发生的事件,如此做的目的在于确定以下事实,这些事件共存于测定的时隙中;
测定的事件至少其一为检测到安全处理器的功能的一项错误,这种错误的每次出现导致安全处理器停止进度中的处理操作,以及自动地重置以从开始恢复这些操作;
一事件的测定在于在一个计数器中计数此事件已出现的次数,计数器的数值则构成测定结果;以及
这些测定结果彼此相乘,得到至少两次测定结果间的伴随指数。
此方法的这些实施例另外具有以下优点:
透过修改这些权重系数的数值,使用伴随指数间的权重系数简单地修改所建立的攻击指示器对一种特定类型攻击的敏感度,
使用相同组的伴随指数时,使用若干不同组的权重系数可建立若干攻击指示器,各自用于检测不同的攻击企图,
针对同样的伴随指数系统地使用同样的权重系数限制了储存这些不同权重系数的所需要的内存的数量,
事件的测定被限制于滑动时隙,从而限制了当没有攻击企图时事件的测定次数的累积所导致的错误检测攻击企图的次数,
当测定的事件其一为检测到安全处理器的错误导致安全处理器被重置时,然后透过避免不合时宜地阻挡此安全处理器以增加安全性。
本发明的目的还提供一种信息记录媒介,包括若干指令,当这些指令透过电子计算机被执行时,用于执行以上方法。
最后,本发明的目的还提供一种安全处理器,包括:
多个缓存器,其中储存有未出现攻击企图时彼此独立出现的若干事件的测定结果;以及
一计算机,能够
根据测定的至少两个不同事件间的至少一个伴随指数,建立至少一个攻击指示器的数值,事件的测定结果储存在这些缓存器中,伴随指数表示测定的两个不同事件间的时序邻近性;以及
如果攻击指示器的数值超出一预定阈值,则检测到一次攻击企图。
附图说明
图1为用于传送扰乱多媒体内容的系统的示意图,其中此系统包括一个安全处理器;
图2为图1所示系统的安全处理器所使用的权重系数的矩阵的示意图;
图3为图1所示的安全处理器所使用的警告阈值的表格;
图4为图1所示系统的安全处理器上攻击企图的检测方法的流程图。
其中,附图标记说明如下:
2 系统
4 传送器
6 接收机
8 网络
10 译码器
12 处理器
14 接收机
16 解复用器
18 解扰器
20 屏幕
24 计算机
26、27 传感器
30 缓存器组
32 内存
36 矩阵
38 表格
具体实施方式
这些图式中,相同的参考标号用于代表相同元件。
在本文以下的描述中,将不详细描述公知领域的普通技术人员众所周知的特性与功能。此外,使用的术语为多媒体内容的条件式访问系统的术语。对于这些术语的更多信息,读者可以参考:
欧洲广播联盟的技术规范″条件式访问系统的功能模型″(“Functionalmodel of a conditional access system”EBU Review-Technical)
1995年12月21日在比利时首都布鲁赛尔出版的第266号″欧洲广播联盟″(European Broadcasting Union,Brussels,BE,No 266,21 December 1995)。
图1表示为用户广播多媒体内容的系统。例如,系统2为用于广播若干扰乱电视频道的系统。这些电视频道各自的解密或者电视频道群的解密以用户的付款订阅为条件。在这种描述中,术语“扰乱”/“加密”与“解扰”/“解密”认为是同义词。
系统2包括至少一个传送器4以及多个接收机,传送器4用于扰乱多媒体内容,接收机能够解扰传送器4所广播的多媒体内容。为了简化图1,图中仅仅表示一个接收机6。例如,其它接收机与接收机6相同。
接收机6通过长距离的信息传输网络8被连接到传送器4。网络8为无线通讯网路或有线网络例如因特网。
通常,传送器4广播具有控制消息的多路扰乱多媒体内容,其中控制消息为权利控制消息(Entitlement Control Message;ECM)与权利管理消息(Entitlement Management Message;EMM)型控制消息。每一权利控制消息包括一个控制字CW的至少一个密码电文CW*,用于解扰此扰乱多媒体内容。
接收机6包括一个译码器10和一个安全处理器12,其中安全处理器12可分离地与译码器10连接。
译码器10包括连接一个解复用器16的一个接收机14,接收机14用于接收传送器4所传输的数据。解复用器16用以将接收的数据解复用,并且传送此扰乱多媒体内容至解扰器18以及权利控制消息或权利管理消息至安全处理器12。
处理器12接收密码电文CW*,并且将此密码电文解密,从而以未加密的形式发送控制字CW至解扰器18。只有权利控制消息中包括的访问权与安全处理器12中储存的访问权一致,才允许解密。例如,此处理器12为芯片卡式处理器。
通过安全处理器12所解密的控制字CW,解扰器18解扰此扰乱多媒体内容。然后,经过解扰的多媒体内容例如以未加密的形式显示于屏幕20上,这样使用者可直接地感知与理解显示的多媒体内容。
由于完成与控制字CW的解密相关的不同操作的处理器12的功能和特性众所周知,因此本文中将不会更详细地加以描述。
处理器12包括连接传感器26、27的一台计算机24以及寄存器组30。
传感器26包括一个电压转换器,能够转换处理器12的电源电压为计算机24可利用的一笔数字数据。
传感器27包括一个光转换器,能够转换被引导至处理器12的激光束的光子为计算机24可利用的数字数据。
通过图式所示,寄存器组30包括11个寄存器,被标记为C0至C10。寄存器C0至C10各自被设计为包括一个事件的测定结果,其中此事件透过处理器12上的攻击企图被启动。在未出现攻击企图时也可能出现被测事件。但是,当没有攻击企图时,这些被测事件彼此独立出现。因此,当没有攻击企图时,不太可能会伴随地出现这些被测事件。″伴随地″这个术语表示在一个同样的时隙期间出现这些事件的事实。本文中,一个时隙与每一被测事件关联。这种时隙可以具有有限周期或者相反的无限周期。在有限周期的情况下,这意味着这种事件的测定不会考虑到此时隙以外出现的事件。本文中,有限周期的时隙为一个滑动时隙。这种滑动时隙具有有限周期,当时间流逝时随时间移位,这样只有最近的事件才会被考虑到测定此事件。无限周期意味着从事件测定的启动时间开始的全部事件均考虑被测定。
本文中,测定一事件包括此事件相关的时隙期间计数此事件的出现次数。因此,每一寄存器包括一个数字,表示同样事件的出现次数。所以,在本文以下的描述中,寄存器Ci被称为计数器Ci。
可测定事件的数量很大。通常,这些被测事件属于以下分类其一:
-合法使用者可启动的正常事件,如果这种事件大量出现时,则表示处理器12的异常使用;
-处理器12接收错误或不必要的图像,即正常使用与非错误使用期间不存在的消息;
-检测到处理器12的功能错误。
目前存在很多种功能错误。例如,功能错误可能是处理器12的操作系统的代码执行中的错误、传感器26或27所测定的异常情形、所处理的数据中发现的完整性错误等。通常,在检测到操作错误的事件中,进行中的处理操作被中断,且处理器12自动被重置。
现在将详细描述每一计数器所测定的事件的例子。
查阅命令用于查阅来自处理器12的数据,计数器C1包括接收到查阅命令的次数。事实上,处理器12中包括的一定笔数的数据可被自由查阅。例如,存在处理器12的识别号码(identification number)或者处理器12中记录的访问权的查阅命令。因此,只要查阅命令的接收保持偶然性,则为正常事件。然而,短时间周期内计数到对处理器12中的数据的大量查阅命令可能由攻击企图所致。
计数器C2表示处理器12中记录的异常权利的出现。异常权利为系统12的操作者未正常使用的权利。例如,大多数操作者从不在安全处理器中记录有效性周期大于一年的权利。这意味着即使技术上提供这种可能性,但是处理器12中记录的有效性周期大于一年的权利,例如有效性为无限周期的权利则为异常权利。类似地,正常时操作者从不记录授权访问及解密安全处理器中全部多媒体内容的权利。因此,允许访问处理器12中包括的全部多媒体内容的权利寄存被视为异常权利。处理器12中记录的异常权利可能源自操作者的错误,但是也可能表示一次攻击企图。
计数器C3用于计数处理器12所接收的对于处理器没有功能效用的消息数目。例如,这种没有功能效用的消息可以为:
用于查阅处理器中不存在的数据的消息;
用于擦除处理器中不存在的数据片段(例如访问代码等)的消息;或者
用于读取处理器12中相同数据片段的两个连续消息。
这些消息在语法上正确,并且不会引起处理器12中的任何执行错误。但是,它们却没有存在的必要。这种不必要的消息可能由操作者错误发送。攻击企图期间也可能使用这种消息。
计数器C4用于计数被传送至处理器12的消息中语法错误的数目,即被传送至此处理器的权利控制消息和权利管理消息中语法错误的数目。事实上,权利控制消息和权利管理消息的语法或结构符合预定的语法规则。因此,处理器12可检测这些语法错误,并且在计数器C4对其进行计数。操作者的错误可导致语法错误,此外攻击企图期间也可导致语法错误。
计数器C5为重放命令的计数器,然而正常情况下重放命令不应该被重放若干次。命令的重放在于向安全处理器发送若干次的相同命令。例如,此命令可能是用于更新处理器12中记录的特定数据片段的更新消息。透过记录最后一次更新消息的日期,处理器12可检测到消息之重放。
计数器C6用于计数在处理器12所接收的消息中检测的完整性错误的个数。事实上,处理器12接收的消息中包括数据以及这些数据片段的密码冗余,使得处理器12能够检查到接收的数据中不存在错误。例如,透过整合消息中包括的数据的记号(signature)或循环冗余检查(Cyclic Redundancy Check;CRC)可获得资料的冗余。当消息在网络8或译码器10中传输时,各种干扰可能导致消息中包括的数据出现错误。但是,在攻击企图期间错误数据也会被使用。
计数器C7用于计数处理器12中包括的数据片段中完整性错误的个数。事实上,处理器12中记录的特定数目的数据片段与使用的密码冗余相关,密码冗余用于检查各自记录的数据片段的完整性。再一次,例如受到电磁干扰时,处理器12中记录的一笔数据可偶然出现错误。但是,处理器12中记录的数据错误的出现也可表示一次攻击企图。
计数器C8用于计数处理器12的操作系统的代码执行期间坏分支(badbranches)的个数。坏分支为处理器12所执行的指令不合时宜或者错误地向另一指令跳转。透过连续两次在相同的数据片段上执行相同的指令,可检测到执行代码时的这些坏分支。如果执行两次代码未得到相同的结构,则意味着已经存在坏分支。影响处理器12的电源电压或者向处理器12引导一激光束可能导致在处理器12所执行的代码中时不合时宜地从指令上跳转。
计数器C9用于计数处理器12被扳离(wrenched out)以后所执行的数据检索程序(data retrieval procedure)的次数。处理器12的扳离包括在操作期间从译码器10中移除处理器12,从而在数据处理期间中断处理器12的电源供应。数据检索程序能够使得处理器12在断电以后返回到它断电以前的状态。处理器12可偶然地从译码器10中扳离。然而,在攻击企图期间也经常采用不合时宜地切断处理器12的电源供应以避免处理器12执行对策。
计数器C10用于计数传感器26所测定的电源供电异常的次数连同传感器27检测到激光束的次数。事实上,异常电压以及激光束的出现为处理器12上的典型攻击企图。然而,即使当没有攻击企图时,这些传感器26与27还可检测到偶尔受到处理器12的邻接装置所导致的例如电磁干扰的异常电压或者激光束。例如,译码器12的加电可导致传感器26检测到异常电压。
计数器C0必须与之前的那些计数器区别开来,因为它用于计数仅在处理器12正常操作期间出现的且无法由攻击企图造成的一种事件。例如,本文中计数器C0所计数的事件为处理器12适当处理的权利控制消息和权利管理消息的个数。
此计数器C0的数值用于限制前面特定计数器的时序内存(temporalmemory)为有限周期的滑动时隙。例如,为此,从计数器Ci的数值中减去计数器C0的数值,其中i>0,只有这两个计数器的之间的差值用于计算以下将描述的伴随指数(an index of concomitance),其中当差值为负时则计为0。例如本文中,除计数器C8和C10的数值以外,只有计数器Ci和C0的数值间的差值用于计算伴随指数。藉由计数器C0的数值的使用,由此定义的滑动时隙以外出现的时间则不会被考虑用于检测攻击企图。将注意到计数器C0所定义的滑动时隙的周期并不固定,取决于处理器12的用途。
计算机24连接一个内存32,内存32包括不同的资料片段以及处理器12的功能所需的指令。特别地,内存12包括:
计算机24执行的计算图4的方法时所需要的指令;以及
权重系数的矩阵36以及警告阈值的表格38。
图2中更加详细地表示了矩阵36的例子。矩阵36包括的资料片段的个数与攻击企图所易于启动的事件计数器的个数相同。本文中,因此矩阵36为具有10列(column)的矩阵,各自与计数器Ci关联。矩阵36还包括各自与计数器C2至C10关联的9行。
位于左起第i列与上起第j行的交叉点的单元(cell)包括一权重系数mi,j,与伴随指数CiCj+1关联。伴随指数CiCj+1为从计数器Ci与Cj+1的数值中计算得出的指数,用于指示计数器Ci所计数的事件与计数器Cj+1所计数的事件之间的伴随性。本文中,建立每一伴随指数,这样当传感器Ci与Cj+1各自储存的大量事件相同瞬时邻近出现时,伴随指数的数值总较高。为此,本实施例中,每一伴随指数CiCj+1与相同时间点计数器Ci与Cj+1的数值的乘积(product)对应。
图3中所示为警告阈值38的表格,其中第一列包括四个警告阈值S1至S4。每一警告阈值为数值,并且这些警告阈值在表格38中从上至下依照上升顺序分类。
表格38还包括第二列,将标记为CMi的一或多个对策与每一阈值Si关联。这些对策为安全处理器12所执行的行动,从而难以提取或判定处理器12中包括的数据或者很难不正当地使用处理器12。
本文中,与阈值Si关联的对策CMi不太严格,与更高警告阈值Si+1关联的对策相比,处理器的使用者承担的惩罚较少。因此,超越的警告阈值Si越高,与此响应执行的对策CMi将越严格。
通过图式,对策CM1包括为处理器12执行的代码的额外分支增加冗余。例如,透过若干次执行此条件分支并且检查每次执行时获得的结果是否相同,则得到此冗余。
此外,对策CM1包括为操作增加冗余以用于检查所处理的数据的完整性。例如,若干次地检查数据的完整性,然而如果阈值S1未被超越,则仅仅验证一次。如果阈值S1未被超越,则还包括为那些未被检查完整性的数据做完整性检查。
例如,对策CM2包括对处理器12所执行的代码指令拖尾(stringing)的可能性增加限制。令处理器12执行整个区块的指令,并且在区块的指令执行之间不允许任何中断,则可实现。
当阈值S2未被超过时,对策CM2还包括消除处理器12迄今所允许的某些特定功能。例如,禁止增加新服务,例如禁止增加新的操作者或新用户。如果阈值S2被超过,还可禁止对处理器12的管理功能的访问。
例如,对策CM3包括修改矩阵36中出现的权重系数,这样当测定事件时,方便且快速达到上限阈值即S4。因此,如结合图4所述,可增加处理器12检测攻击企图的灵敏度。对策CM3还包括对接收的每一消息的完整性的系统检查及重复检查。对策CM3还可包括对执行流的加速控制(boostingcontrol)。特别地这包括令可执行代码的每一部分被处理器12执行两次,以及这两次执行结束时透过比较检查获得的结构是否相同。如果获得的结果之间产生差异,则增加计数器C8。
最后,对策CM4最终令处理器12无效,这样最终处理器12无法使用。为此,例如抹除处理器12中包括的机密信息。
现在将结合图4的方法更加详细地描述处理器12的功能。
除处理器12的正常操作以外,此处理器还执行一种攻击企图的检测方法。为此,步骤50用于测定可能由攻击企图所导致的事件。本文中,这种测定包括在计数器Ci中为对应事件计数。
然后,在步骤52期间,处理器12分别建立三个攻击指示器I1、I2与I3。
构建指示器I1,从而比指示器I2和I3对使用激光干扰的攻击企图更加灵敏。激光干扰的攻击包括在代码执行的某些关键时刻,令激光束指向此安全处理器,导致此处理器所执行的代码中出现指令跳转。通常,关键时刻与条件分支对应。
本文中,透过以下关系式给出指示器I1的数值:
I1=m2,6C2C7+m2,7C2C8+m2,9C2C10+m7,7C7C8+m7,9C7C10+m8,9C8C10
其中:
mi,j为权重系数,其数值包含在矩阵36中。
指示器I2被设计为比其它两个指示器对逻辑攻击更敏感。逻辑攻击包括在处理器12所执行的代码中搜索逻辑瑕疵或实施错误,从而获得此处理器的异常行为。例如,逻辑攻击包括向处理器12发送数量极其巨大的彼此完全不同的错误消息,直到这些消息其中之一导致处理器12行为异常为止。
例如,通过以下关系式建立指示器I2的数值:
I2=m1,2C1C3+m1,3C1C4+m3,3C3C4。
最后,指示器I3被设计为对差分电力分析(Differential Power Analysis;DPA)式攻击企图更敏感。差分电力分析攻击为向处理器12发送大量消息,导致在大量不同的数据片段上执行大量密码算法,同时测定到处理器12的电流消耗。然后,透过对收集的数据加以统计分析,可发现密钥的数值或处理器12中记录的机密数据。
例如,藉由以下关系式建立指示器I3:
I3=m4,4C4C5+m4,5C4C6+m5,5C5C6。
然后,一旦建立起指示器I1至I3的数值,在步骤54中,这些指示器的数值与表格38中记录的不同警告阈值比较,以检测攻击企图。
如果这些指示器的数值均未超过阈值Si,然后在步骤56中,不会执行任何对策。
相反地,如果这些指示器其一的数值超过这些阈值Si其中之一,然后在步骤58中执行与超过的最高阈值Si相关的对策。
在步骤56与58结束处,此方法返回步骤50。
步骤50至58的同时,在步骤60期间,传送器4使用例如权利管理消息或权利控制消息类型的消息,为权重系数传送新的数值。然后,在步骤62中,处理器12接收此消息,并且更新矩阵36内包含的权重系数的数值。
权重系数的更新使得便于修改一个指示器对一种特定攻击企图的灵敏度。尤其还可以注意到,为了修改指示器对特定攻击企图的灵敏度,仅仅需要修改矩阵36中记录的权重系数,而无须修改处理器12执行的其它指令。
还可能存在很多其它的实施例。例如,处理器12可包括若干不同的权重系数矩阵。这些矩阵各自可用于计算各自的攻击指示器。然后,可根据建立的攻击指示器为不同的权重系数指定伴随指数。若干权重系数矩阵的使用还可有效修改当新的警告阈值被超越时所使用的权重矩阵。
相反地,还可建立单个攻击指示器以代替若干指示器。
作为一种变体,警告阈值表格可与建立的攻击指示器一样多。在这种变体中,一种特定攻击指示器的关联警告阈值无须与另一攻击指示器的关联警告阈值相同。
表格38还可被与对策关联的单个警告阈值替换。
计数器Ci其中之一可简单地证明一事件的存在,而无须计数此事件的出现次数。这种情况下,此计数器的数值可透过单个信息位被编码。甚至在这种情况下,现有计数器的数值可与无限或有限周期的一时隙关联。
可在处理器12中实施与上述不同的传感器。例如,处理器12还可包括温度传感器。
伴随指数并非限制于两种测定结果的乘积。例如,还可以对应多于两种测定结果的乘积。然而,一同相乘的测定结果的数目的增加也增加了权重系数的矩阵大小。
除乘法运算以外,还可透过数学运算计算表示至少两个事件间时间邻近性的伴随指数。
与攻击指示器其中之一超出警告阈值响应,还可执行很多与本文上述不同的对策。例如,其它对策包括修改处理器12执行的密码算法。对策还可包括很多事件的使用或测定,以建立迄今未测定的攻击指示器。例如,为了与警告阈值的超出响应,传感器26或27其中之一测定的事件可被计数,而先前它们未被计数。
计算机24可由一或多个处理器形成。例如,可由一个处理器连同一个关联辅助处理器(co-processor)形成。然后,处理器与辅助处理器两者均可执行检测方法。
本文中已经描述了事件的出现次数必须被计数的特定情况下的测定结果。然而,此测定还可包括在缓存器其一内记录一事件的数值,例如传感器26或27其一所测定的数值。为了计数一事件的出现次数,还可减少计数器的数值,以代替本文上述的增加计数器的数值。
本文中接收机6的架构仅仅单独表示特定情形。特别地,解扰器18还可为拆卸式。相反地,在译码器中可无须任何自由度实施解扰器与安全处理器。这种情况下,解扰器与安全处理器可采用软件组件的形式。
Claims (10)
1.一种安全处理器的攻击企图的检测方法,其中该安全处理器本身检测该攻击企图,该检测方法包括在未出现攻击企图时测定(50)彼此独立出现的若干不同事件,其特征在于,该方法还包括:
根据测定的至少两个不同事件间的至少一个伴随指数,建立(52)至少一个攻击指示器的一数值,该伴随指数表示测定的两个不同事件间的时序邻近性;以及
如果该攻击指示器的该数值超出一预定阈值,则检测(54)到一次攻击企图。
2.如权利要求1所述的安全处理器的攻击企图的检测方法,其特征在于,其中通过一组预定的权重系数相对地权衡这些伴随指数彼此的重要性,从测定的不同事件间的若干伴随指数中建立(52)起该攻击指示器的该数值。
3.如权利要求2所述的安全处理器的攻击企图的检测方法,其特征在于,其中该方法包括透过使用同样伴随指数间的若干不同组的权重系数,建立(52)若干攻击指示器的数值,每一组权重系数被预先设定从而对一种攻击企图更加敏感,该种攻击企图不同于其它指示器更敏感的那些攻击企图。
4.如权利要求3所述的安全处理器的攻击企图的检测方法,其特征在于,其中同样伴随指数的权重系数在用于建立不同攻击指示器数值的全部权重系数组中不变。
5.如权利要求任意其一所述的安全处理器的攻击企图的检测方法,其特征在于,其中一事件的测定(50)限制于一滑动时隙,从而不考虑该时隙以外发生的事件。
6.如权利要求任意其一所述的安全处理器的攻击企图的检测方法,其特征在于,其中测定的事件至少其一为检测到该安全处理器的功能的一错误,该错误的每次出现导致该安全处理器停止进程中的处理操作,以及自动地重置以从开始恢复这些操作。
7.如权利要求任意其一所述的安全处理器的攻击企图的检测方法,其特征在于,其中一事件的测定(50)在于在一计数器中计数该事件的出现次数,该计数器的数值构成测定结果。
8.如以上权利要求任意其一所述的安全处理器的攻击企图的检测方法,其特征在于,其中这些测定结果彼此相乘,得到至少两次测定结果间的该伴随指数。
9.一种信息记录媒介,其特征在于,包括多个指令,当这些指令透过一电子计算机被执行时,用于执行如以上请求项任意其一所述的检测方法。
10.一种安全处理器,包括:
多个寄存器(C1至C10),其中储存有未出现攻击企图时彼此独立出现的若干事件的测定结果;以及
一计算机(24),其特征在于该计算机(24)能够
根据测定的至少两个不同事件间的至少一个伴随指数,建立至少一个攻击指示器的一数值,事件的测定结果储存在该等缓存器中,该伴随指数表示测定的两个不同事件间的时序邻近性;以及
如果该攻击指示器的该数值超出一预定阈值,则检测到一次攻击企图。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR0954431A FR2947361B1 (fr) | 2009-06-29 | 2009-06-29 | Procede de detection d'une tentative d'attaque, support d'enregistrement et processeur de securite pour ce procede |
| FR0954431 | 2009-06-29 | ||
| PCT/EP2010/058949 WO2011000756A1 (fr) | 2009-06-29 | 2010-06-23 | Procede de detection d'une tentative d'attaque, support d'enregistrement et processeur de securite pour ce procede |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102473209A true CN102473209A (zh) | 2012-05-23 |
| CN102473209B CN102473209B (zh) | 2016-04-13 |
Family
ID=41508781
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201080029645.8A Expired - Fee Related CN102473209B (zh) | 2009-06-29 | 2010-06-23 | 攻击企图的检测方法、记录媒介与应用此方法的安全处理器 |
Country Status (9)
| Country | Link |
|---|---|
| US (1) | US9600667B2 (zh) |
| EP (1) | EP2449497A1 (zh) |
| CN (1) | CN102473209B (zh) |
| BR (1) | BRPI1013816A2 (zh) |
| FR (1) | FR2947361B1 (zh) |
| MX (1) | MX2011013513A (zh) |
| RU (1) | RU2568298C2 (zh) |
| TW (1) | TWI512519B (zh) |
| WO (1) | WO2011000756A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023029920A1 (zh) * | 2021-09-06 | 2023-03-09 | 华为技术有限公司 | 防护方法、智能锁及计算机可读存储介质 |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9503785B2 (en) | 2011-06-22 | 2016-11-22 | Nagrastar, Llc | Anti-splitter violation conditional key change |
| US9392319B2 (en) * | 2013-03-15 | 2016-07-12 | Nagrastar Llc | Secure device profiling countermeasures |
| CN103678709B (zh) * | 2013-12-30 | 2017-02-22 | 中国科学院自动化研究所 | 一种基于时序数据的推荐系统攻击检测方法 |
| EP3270620A1 (en) * | 2016-07-13 | 2018-01-17 | Gemalto Sa | Method and devices for managing a secure element |
| RU179302U1 (ru) * | 2017-11-21 | 2018-05-07 | Александра Владимировна Харжевская | Устройство динамического контроля выполнения специальных вычислений |
| EP3663959B1 (en) * | 2018-12-06 | 2021-08-11 | Mastercard International Incorporated | An integrated circuit, method and computer program |
| US11848941B2 (en) * | 2020-09-02 | 2023-12-19 | Nxp B.V. | Collection of diagnostic information in a device |
| US20240031391A1 (en) * | 2022-07-22 | 2024-01-25 | Semperis Technologies Inc. (US) | Attack path monitoring and risk mitigation in identity systems |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5533123A (en) * | 1994-06-28 | 1996-07-02 | National Semiconductor Corporation | Programmable distributed personal security |
| US20040250124A1 (en) * | 2003-05-19 | 2004-12-09 | Vsecure Technologies (Us) Inc. | Dynamic network protection |
| CN1280815C (zh) * | 1994-04-18 | 2006-10-18 | 松下电器产业株式会社 | 信息处理装置 |
| CN1971740A (zh) * | 2005-11-21 | 2007-05-30 | 索尼株式会社 | 信息处理设备和方法、信息记录介质及其制造设备和方法 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6075884A (en) * | 1996-03-29 | 2000-06-13 | Sarnoff Corporation | Method and apparatus for training a neural network to learn and use fidelity metric as a control mechanism |
| GB2365153A (en) * | 2000-01-28 | 2002-02-13 | Simon William Moore | Microprocessor resistant to power analysis with an alarm state |
| EP1447976B1 (en) | 2003-02-12 | 2019-06-19 | Irdeto B.V. | Method of controlling descrambling of a plurality of program transport streams, receiver system and portable secure device |
| EP1575293A1 (en) | 2004-03-11 | 2005-09-14 | Canal+ Technologies | Dynamic smart card management |
| US8190731B2 (en) * | 2004-06-15 | 2012-05-29 | Alcatel Lucent | Network statistics processing device |
| EP1612639A1 (en) * | 2004-06-30 | 2006-01-04 | ST Incard S.r.l. | Method for detecting and reacting against possible attack to security enforcing operation performed by a cryptographic token or card |
| FR2907930B1 (fr) | 2006-10-27 | 2009-02-13 | Viaccess Sa | Procede de detection d'une utilisation anormale d'un processeur de securite. |
-
2009
- 2009-06-29 FR FR0954431A patent/FR2947361B1/fr active Active
-
2010
- 2010-06-23 US US13/378,709 patent/US9600667B2/en active Active
- 2010-06-23 BR BRPI1013816A patent/BRPI1013816A2/pt not_active Application Discontinuation
- 2010-06-23 TW TW099120485A patent/TWI512519B/zh not_active IP Right Cessation
- 2010-06-23 EP EP10731487A patent/EP2449497A1/fr not_active Withdrawn
- 2010-06-23 WO PCT/EP2010/058949 patent/WO2011000756A1/fr active Application Filing
- 2010-06-23 MX MX2011013513A patent/MX2011013513A/es active IP Right Grant
- 2010-06-23 CN CN201080029645.8A patent/CN102473209B/zh not_active Expired - Fee Related
- 2010-06-23 RU RU2012102988/08A patent/RU2568298C2/ru active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1280815C (zh) * | 1994-04-18 | 2006-10-18 | 松下电器产业株式会社 | 信息处理装置 |
| US5533123A (en) * | 1994-06-28 | 1996-07-02 | National Semiconductor Corporation | Programmable distributed personal security |
| US20040250124A1 (en) * | 2003-05-19 | 2004-12-09 | Vsecure Technologies (Us) Inc. | Dynamic network protection |
| CN1971740A (zh) * | 2005-11-21 | 2007-05-30 | 索尼株式会社 | 信息处理设备和方法、信息记录介质及其制造设备和方法 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023029920A1 (zh) * | 2021-09-06 | 2023-03-09 | 华为技术有限公司 | 防护方法、智能锁及计算机可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| RU2568298C2 (ru) | 2015-11-20 |
| BRPI1013816A2 (pt) | 2016-04-12 |
| TWI512519B (zh) | 2015-12-11 |
| RU2012102988A (ru) | 2013-08-20 |
| CN102473209B (zh) | 2016-04-13 |
| US9600667B2 (en) | 2017-03-21 |
| FR2947361B1 (fr) | 2011-08-26 |
| WO2011000756A1 (fr) | 2011-01-06 |
| TW201101090A (en) | 2011-01-01 |
| EP2449497A1 (fr) | 2012-05-09 |
| US20120096547A1 (en) | 2012-04-19 |
| MX2011013513A (es) | 2012-04-20 |
| FR2947361A1 (fr) | 2010-12-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102473209B (zh) | 攻击企图的检测方法、记录媒介与应用此方法的安全处理器 | |
| CN101484901B (zh) | 用于控制生产过程的系统和方法 | |
| CN102171704B (zh) | 用硬件加密存储设备进行外部加密和恢复管理 | |
| CN102999716B (zh) | 虚拟机器监控系统及方法 | |
| CN110351281B (zh) | 一种通用数据帧解析方法、装置及设备 | |
| EP3482528A1 (en) | A system and method for providing a secure data monitoring system implemented within factory or plant | |
| US20190260797A1 (en) | Method and system for verifying validity of detection result | |
| CN116881948A (zh) | 一种基于通用数据库的数据加密管理系统及其方法 | |
| CN116663026B (zh) | 基于区块链的数据处理方法、装置、电子设备和介质 | |
| CN112016336B (zh) | 检测复制卡的方法、装置、设备及存储介质 | |
| CN106803036A (zh) | 系统运行中数据流的安全检测和容错方法 | |
| KR101978290B1 (ko) | 컨텐츠의 불법 이용을 감지하는 시스템 및 그 방법 | |
| KR101978289B1 (ko) | 컨텐츠의 불법 이용을 감지하는 시스템 및 그 방법 | |
| CN117235805B (zh) | 一种车用数据处理系统、处理方法、设备及介质 | |
| CN117094739B (zh) | 医疗耗材鉴伪方法、装置、电子设备及可读存储介质 | |
| KR102389544B1 (ko) | 사용자들의 서비스 이용 행태를 분석하는 서버 및 이의 동작 방법 | |
| Park et al. | Cyber security analysis by attack trees for a reactor protection system | |
| CN116861411B (zh) | 基于Seccomp机制的安全沙箱数据保护方法及系统 | |
| KR102611451B1 (ko) | 지능형 게이트웨이 기반의 개인정보영향평가 자동 관리시스템 | |
| CN117828659B (zh) | 一种加强babac访问控制隐私性的方法和系统 | |
| Yassin et al. | An Insider Threat Factors and Features Categorization for Manufacturing Execution System | |
| CN117934182A (zh) | 一种基于企业财务数据的风险检测方法及系统 | |
| CN118013593A (zh) | 一种基于深度学习的密码芯片信息泄露检测方法、系统及存储介质 | |
| JP2023060483A (ja) | 攻撃監視装置及び攻撃監視方法 | |
| Liu et al. | Research on cyber security countermeasure technique of safety DCS in nuclear power plant |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20160413 Termination date: 20210623 |