CN103608822A - 掩饰电子装置寿命终期转换的方法及包含相应控制模块的装置 - Google Patents
掩饰电子装置寿命终期转换的方法及包含相应控制模块的装置 Download PDFInfo
- Publication number
- CN103608822A CN103608822A CN201280014477.4A CN201280014477A CN103608822A CN 103608822 A CN103608822 A CN 103608822A CN 201280014477 A CN201280014477 A CN 201280014477A CN 103608822 A CN103608822 A CN 103608822A
- Authority
- CN
- China
- Prior art keywords
- life
- span
- electronic installation
- state variable
- value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 52
- 230000007704 transition Effects 0.000 title abstract description 5
- 206010011906 Death Diseases 0.000 title abstract 6
- 230000000873 masking effect Effects 0.000 title abstract 2
- 238000001514 detection method Methods 0.000 claims abstract description 8
- 238000009434 installation Methods 0.000 claims description 75
- 238000006243 chemical reaction Methods 0.000 claims description 30
- 238000012217 deletion Methods 0.000 claims description 19
- 230000037430 deletion Effects 0.000 claims description 19
- 238000004590 computer program Methods 0.000 claims description 7
- 230000009545 invasion Effects 0.000 claims description 7
- 230000005540 biological transmission Effects 0.000 claims description 2
- 230000003111 delayed effect Effects 0.000 abstract description 2
- 238000012360 testing method Methods 0.000 description 11
- 230000014509 gene expression Effects 0.000 description 8
- 238000012545 processing Methods 0.000 description 8
- 230000000875 corresponding effect Effects 0.000 description 7
- 230000008569 process Effects 0.000 description 5
- 238000012546 transfer Methods 0.000 description 4
- 230000006399 behavior Effects 0.000 description 3
- 238000007689 inspection Methods 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000012956 testing procedure Methods 0.000 description 2
- 238000004891 communication Methods 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 238000013496 data integrity verification Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000002349 favourable effect Effects 0.000 description 1
- 230000006698 induction Effects 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 230000008929 regeneration Effects 0.000 description 1
- 238000011069 regeneration method Methods 0.000 description 1
- 238000010008 shearing Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/02—Addressing or allocation; Relocation
- G06F12/0223—User address space allocation, e.g. contiguous or non contiguous base addressing
- G06F12/023—Free address space management
- G06F12/0238—Memory management in non-volatile memory, e.g. resistive RAM or ferroelectric memory
- G06F12/0246—Memory management in non-volatile memory, e.g. resistive RAM or ferroelectric memory in block erasable memory, e.g. flash memory
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/75—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information by inhibiting the analysis of circuitry or operation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/75—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information by inhibiting the analysis of circuitry or operation
- G06F21/755—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information by inhibiting the analysis of circuitry or operation with measures against power attack
-
- G—PHYSICS
- G09—EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
- G09C—CIPHERING OR DECIPHERING APPARATUS FOR CRYPTOGRAPHIC OR OTHER PURPOSES INVOLVING THE NEED FOR SECRECY
- G09C1/00—Apparatus or methods whereby a given sequence of signs, e.g. an intelligible text, is transformed into an unintelligible sequence of signs by transposing the signs or groups of signs or by replacing them by others according to a predetermined system
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/002—Countermeasures against attacks on cryptographic mechanisms
- H04L9/004—Countermeasures against attacks on cryptographic mechanisms for fault attacks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2143—Clearing memory, e.g. to prevent the data from being stolen
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Mathematical Physics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Storage Device Security (AREA)
- Techniques For Improving Reliability Of Storages (AREA)
- Read Only Memory (AREA)
Abstract
本发明涉及一种掩饰电子微处理器装置寿命终期转换的方法,包括含有寿命终期状态变量(FdVE)的可再编程非易失性存储器。变量值(FdVE)被下载(A)到随机存取存储器中。在执行任一当前命令(COM)之前,检查(B)随机存取存储器中的变量值(FdVR)。如果是空值,则执行(C)寿命终期转换。否则,继续(D)初始化或执行命令(COM)。如检测(E)到侵入攻击,寿命终期状态变量(FdVR)被写入(F)单随机存取存储器中,并从非易失性存储器中以延时的方式删除(G)寿命终期状态变量(FdVE)。本发明适合于所有电子装置,微处理器卡等等。
Description
本发明涉及掩饰电子装置寿命终期转换的方法,包括输入/输出端口,微处理器,随机存取存储器,只读存储器以及可再编程非易失性存储器。非易失性存储器包括电子装置的寿命终期状态变量,该状态变量由控制模块管理。
该电子装置与电路板或者任何包括或与至少一个电路板连接的电子装置相对应(但不唯一对应),所述电路板是诸如需要对外部入侵具有良好安全性的智能卡。
为了确保这样的卡具有良好安全性,在检测到一定数量的严重误差时,激活寿命终期转换机制。
然而这种装置(特别是智能卡)的寿命终期转换过程,仍有些问题,因为这样的过程仍按照惯例依赖于写入非易失性可编程存储器(通常为电可擦只读存储器)的程序,以修改数据并限制应用。
这样的程序似乎易受攻击,因为由可编程存储器的写入程序引起的大量电流使程序在卡外能够被检测到。
从而恶意第三方有大量机会通过切断装置或卡的电源来阻止该程序的执行。
为改善这种状况,专利FR0708242以及PCT/FR2008/052106建议在引发寿命终期转换的严重误差事件之后,确保这种电子装置的寿命终期转换过程在随机周期内发生,同时向第三方掩饰相对于寿命终期转换的写入非易失性存储器的程序,在实践中防止隐蔽信道的攻击。
在该项技术中,通过电子装置执行的应用程序的正常操作来模糊写入操作,寿命终期转换状态变量写入电子装置的非易失性存储器的程序得到掩饰。
在实践中,将一个变量写入非易失性存储器的操作常常包含两个连续阶段:删除阶段,将变量设置为空值(据了解,“空值”是指一个非易失性存储器的使用者对其无影响的预先定义的缺省值,例如″O0″,″FF″或其他值),然后是实际写入阶段,在此阶段中非空值(指与空值不同的值)被分配给非易失性存储器存储空间里的变量。寿命终期转换状态变量写入电子装置的非易失性存储器的程序,如上述现有技术中所说明的,也遵循此规则。
这些构成将变量写入非易失性存储器的操作的各个删除和写入阶段中,每个阶段都需要一定量的处理时间并消耗一定量的电能,两阶段消耗电能大约相同。
考虑到现有技术,本发明的目标是在维持掩饰寿命终期转换所提供的安全水平的同时,提高其性能。
为此,本发明提出一种掩饰电子装置的寿命终期转换的方法,包括微处理器,随机存取存储器,只读存储器,其包含电子装置的寿命终期状态变量的可再编程非易失性存储器,所述状态变量由控制模块管理,以及输入/输出端口。本方法包括以下步骤:
-将所述寿命终期状态变量的值从所述非易失性存储器中载入到随机存取存储器;并且,在所述微处理器执行任一当前命令之前:
-检查储存在随机存取存储器中的所述寿命终期状态变量的值;以及如果是空值(指非易失性存储器的预先定义的缺省值):执行电子装置的寿命终期转换操作;否则,存储在随机存取存储器中的所述寿命终期状态变量具有非空值(指与空值不同的值):
-继续通过电子设备的微处理器进行初始化和/或执行当前命令;并且,当检测到入侵袭击时:
-将电子装置的所述寿命终期状态变量写入唯一的随机存取存储器,并且继续初始化和/或执行当前命令;以及
-以延时的方式只删除所述非易失性存储器中的寿命终期状态变量,以便代替非易失性存储器中的下一次更新操作(删除和/或写入)的执行。
延迟所述非易失性存储器中寿命终期状态变量的更新的行为有效地掩饰了电子装置的寿命终期转换,因为恶意第三方无法将更新寿命终期状态变量引起的电流消耗与电子装置的微处理器执行的命令的正常运行所引起的电流消耗区别开来。此延迟更新行为得到了与专利FR0708242和PCT/FR2008/052106中相同的安全防护水平。
另外,对所述非易失性存储器中的寿命终期状态变量执行“只删除”的行为,指删除阶段后面没有写入阶段,减少了所需的处理时间和耗电量,例如减少2倍。从而大大提高了电子装置执行应用程序期间的性能。
在一些可以结合任何可想到的形式的有利实施例中,本方法额外具有一些或者所有以下特点。
对于一组由电子装置的微处理器执行的命令来说,包括由非易失性存储器中的系统操作构成的命令以及并非由非易失性存储器中的任何操作构成的命令,本方法可额外单独包含检测或不检测入侵袭击,非易失性存储器中仅虚拟变量的删除操作。通过引入相似电子信号的“诱导”删除,这进一步隐藏了电子装置在非易失性存储器中的寿命终期状态变量的删除。这样,对于恶意第三方来说,更难从其产生的单电流消耗中识别寿命终期状态变量的删除。
非易失性存储器中仅虚拟变量的删除可以同寿命终期状态变量一样在存储器的同一页面执行。
非易失性存储器中虚拟变量的删除可以在电子装置的输入/输出端口线上执行数据传输操作之前而执行。
删除非易失性存储器中的寿命终期状态变量之后,存在一个步骤,其包括检查寿命终期状态变量的值是否是空值,并且如果是空值,则对电子装置执行寿命终期转换操作。
在确认寿命终期状态变量是空值之后,非易失性存储器中的寿命终期状态变量的值的删除可以替换为非易失性存储器中虚拟变量的删除。
如果检测到不同于侵入攻击的指令执行中出现暂时误差并且未证明是电子装置的寿命终期转换,所述方法另外包括:
在随机存取存储器中添加一个误差计数器;
将误差计数器的值与阈值作比较,如果所述误差计数器的值超过了所述阈值:
将所述电子设备的寿命终期状态变量的值写入随机存取存储器中并执行电子设备的寿命终期转换。
本发明也提出了电子装置,包括微处理器,随机存取存储器,只读存储器,包括电子装置的寿命终期状态变量的可再编程非易失性存储器,所述状态变量由控制模块管理,以及输入/输出端口(I/O)。控制模块包括计算机程序模块,用以执行作为上述本发明主题的方法的步骤。
本发明进一步提出了存储在存储媒介的计算机程序产品并且包括由计算机或电子装置的微处理器执行的指令集。在执行所述指令期间,所述程序执行上述方法的步骤。
本发明的两个主题,掩饰电子装置的寿命终期转换的方法以及包括相应控制模块的电子装置,适用于任何类型的电子装置,但更适合却不限于诸如处理和/或储存个人的,私人的或机密数据的智能卡之类的电子装置。
通过阅读以下描述并研究附图,将对此有更深理解,其中:
-图1a表示根据本发明一实施例的方法步骤的纯说明性流程图;
-图1b表示执行图1a所阐释的方法的步骤的纯说明性时序图;
-图1c到图1f为图1a所阐释的方法步骤中一些有利细节的纯说明性流程图;
-图2表示根据本发明一实施例的一电子装置体系结构的纯说明性功能图,该装置配有寿命终期转换控制模块。
现在,参见图1a到图1f给出了根据本发明一实施例的掩饰电子装置的寿命终期转换方法的更加详细的描述。
一般说来,掩饰电路板寿命终期转换的方法(本发明的一个主题)适用于任何电子装置,该装置包括微处理器,随机存取存储器,只读存储器以及包括电子装置的寿命终期状态变量的可再编程非易失性存储器,所述状态变量由控制模块管理。尤其是,电子装置还可包括输入/输出端口,该端口可以使主设备进行数据交换,或者甚至例如在网络内进行数据交换。可再编程非易失性存储器的概念涵盖电子可编程存储器,电可擦只读存储器(EEPROM存储器),闪速存储器等等。
在其运行时,电子装置执行启动阶段,表示为ATR(复位应答),然后执行当前命令,表示为COM。
尤其是,相应的电子装置当然可以有利地包括例如任何智能卡。
根据图1a,掩饰电子装置的寿命终期转换的方法包括步骤A,该步骤包括将储存在非易失性存储器中的寿命终期变量的值FdVE从所述装置的非易失性存储器中载入到电子装置的随机存取存储器中。
相对步骤A的操作表示为:
FdVE→FdVR.
在上述关系式中,FdVR表示载入随机存取存储器中的电子装置的寿命终期状态变量值。
注意到,在具体案例中,存储在非易失性存储器中的寿命终期变量FdVE具有空值,指例如只对此变量先前储存的值进行删除后的预先定义的缺省值,则载入电子装置的随机存取存储器中的寿命终期状态变量FdVR有利地具有相同的空值。作为变量,给定非空值是指不同于空值的值,当变量FdVE有空值的时候它可以被分配给变量FdVR。该给定值可以为,例如,值″true″(或″OK″)或任何其他定义值。在后一情况中,存储在非易失性存储器中的寿命终期状态变量的值载入随机存取存储器中时,变量值发生改变(或者分配变量值以从空值改变为给定非空值)。
在图1a的步骤A后并且在微处理器执行任何当前命令COM前,本方法包括在步骤B检查存储在随机存取存储器中的寿命终期状态变量的值。本项检查可以包括,如验证FdVR有值,也就是说验证FdVR是否有空值。在上述情况中,当FdVE具有空值时,FdVR假定为给定非空值,例如值″true″(或″OK″),则所述验证可以包括,将FdVR的值与给定非空值作比较,或相反地与不同于此给定非空值作比较。在图1a所阐释的非限定例子的步骤B中,本项验证由一测试步骤表示:
如果对于步骤B中测试的反应为正,则本方法包括执行C电子装置的寿命终期转换操作。
相反地,如果步骤B中所执行的测试的反应为负,意味着存储在随机存取存储器FdVR中的寿命终期状态变量具有非空值,本方法包括继续进行初始化和/或通过电子装置的微处理器执行当前命令COM。当前命令的执行相当于电子装置所执行的应用程序的任何命令。
在执行过程中并在步骤E发现侵入袭击时,本方法包括在步骤F中将变量FdVR写入电子装置寿命终期状态变量的唯一随机存取存储器中,并继续进行初始化和/或执行当前命令COM。变量FdVR的写入使该变量假定为上述定义的空值(指非易失性存储器的预先定义的缺省值),或给定非空值,如值″true″(或″OK″)。
在图1a所阐释的非限定实例的步骤F中,写操作通过下面关系式来表示:
在上述关系式中,值代表上述定义的空值。
最后,在写入随机存取存储器的所述步骤F之后,步骤G包括以延时的方式只删除非易失性存储器中的寿命终期状态变量FdVE,以便执行删除来代替非易失性存储器中的下一个更新操作(删除和/或写入)。这掩饰了对寿命终期状态变量所作的变化,防止恶意第三方能够及时将本项操作与非易失性存储器中的正常更新区别开,例如作为一个标准命令的执行的一部分。
“只删除”可理解为一个删除所储存的相关变量FdVE值的阶段,使所述变量假定为上述定义的空值。该删除阶段后没有写入阶段。在写入阶段中,非空值或者说不同于空值的值将被分配给在非易失性存储器中其所属空间的所述变量。也就是说,在只删除变量FdVE后,随后的变量将空值存储在非易失性存储器中。从而,这种空值与非空值区别开来,甚至与不需要任何写入阶段的特殊非空值区别开来。
由于只删除寿命终期状态变量FdVE,与具有将寿命终期状态变量FdVE写入非易失性存储器程序的情况相比,处理时间以及因删除引起的电流的消耗减少。节约了处理时间和有关写入阶段的电流的消耗。作为一个例证,与FR0708242和PCT/FR2008/052106中所描述的情况相比,这一节约可被估计为处理时间以及电流消耗的减少2倍。
所述步骤G后为,例如步骤H,在此步骤中返回执行下一当前命令。在所述步骤中,COM+1表示下一命令。
如图1a所示,返回到步骤B,步骤B作为下一命令的简单执行。
然而,在另一可能实施方法中,如图1a中的虚线所表示,返回到步骤A中所执行的载入的上一步,为了系统地重复将寿命终期状态变量FdVE的值载入随机存取存储器中的程序。这样的程序不是必需的,但是可以作为替代例来执行。
在图1b中,执行图1a中步骤的操作以时序图表示。
尤其是,如上所述,步骤A可以在启动ATR时执行或在每个命令COM执行之前执行。
在继续启动或执行图1a中左边画有阴影线区域所示的当前命令之前,执行步骤B中的测试。记住,对于步骤B中测试的正响应自动使电子装置进入步骤C中的寿命终端转换。
继续启动或初始化或者甚至是步骤D中当前命令的继续执行的与算法程序的使用相对应,当电子装置包括比如智能卡时,算法程序控制电子装置安全性。
步骤E中的测试,相当于检测入侵攻击的测试,可以以传统的方式执行,通过反-DFA机制(差分故障分析,一种包括引入故障以推断正在处理的数据信息的攻击方法,)或者通过如数据完整性验证处理。
将电子装置的寿命终期状态变量写入唯一随机存取存储器的步骤F,是通过电子装置的寿命终期转换模块执行并且通过根据以下关系式写入此状态变量而发生:
然后以延迟方式执行步骤G,意味着代替将在当前命令或下一个命令中执行的下一次更新(删除和/或写入),步骤G中包括只删除非易失性存储器中的寿命终期状态变量FdVE,通常为EEPROM存储器。
在图1b中,该操作由右边阴影线的峰值表示,说明了由于仅删除所述存储器中的操作而引起的当前消耗的增加。
步骤E之后可以返回到步骤B或者步骤A,如上述有关图1a所示。
如图1c所示,考虑了任何由电子装置的微处理器执行的命令组,包括由非易失性存储器中系统运行构成的命令(COMW)以及非由非易失性存储器中运行构成的命令在这种情况下,本方法还包括,独立的入侵攻击的探测或非探测,执行仅删除非易失性存储器中的虚拟变量的D2,该变量表示为VF。该虚拟变量可包括存储在非易失性存储器中不同于电子装置的寿命终期状态变量FdVE的任一变量。这进一步掩饰了电子装置的非易失性存储器中寿命终期状态变量的删除。事实上,恶意第三方不能很容易辨别寿命终期状态变量的删除和虚拟变量的删除。这两种删除类型具有相似甚至相同的电信号。
优选地,虚拟变量VF的只删除在删除寿命终期状态变量的存储器的相同页面执行。
在图1c所示的步骤D2中,在存储器相同页面的删除操作由关系式表示:
WAP(VF)=WAP(FdVE).
在上述关系式中,WAP指存储器删除页面的地址。
步骤D2后为图1a中步骤E的访问。
另外,如图1c所示,只删除非易失性存储器中虚拟变量在电子装置输入-输出端口线上的任何数据传输操作之前执行。在图1c中,相应操作象征性地由输入/输出操作的检测通过以下关系式表示:
COM=I/O?
检测到这种操作之后会使虚拟变量被系统性地立即删除,如上述说明中所描述的。
最后,如图1d所示,本方法有利地包括,如步骤G1所示的在只删除非易失性存储器中寿命终期状态变量FdVE之后,以G2表示的步骤,该步骤包括检查存储在随机存取存储器中的寿命终期状态变量FdVR的值是否为如上所定义的空值。对应于所述步骤的操作由以下关系式表示:
在检查完寿命终期状态变量FdVR是否为空值之后,通过访问图1a所示步骤C执行电子装置的寿命终期转换操作的步骤。
相反地,如果寿命终期状态变量FdVR没有空值,本方法返回到步骤H。
另外,也如图1e所示,在检查了步骤D21中寿命终期状态变量FdVR的值是否为空值之后,如果所述测试D21为正,通过访问图1a的步骤G,只删除EEPROM存储器中寿命终期状态变量FdVE的值代替了只删除非易失性存储器中的虚拟变量VF,如图1e的步骤D22所示。
本方法也有利地可使用误差计数器。
一般来说,更新误差计数器如更新寿命终期变量一样受到相同约束的限制。
因为这涉及到写入EEPROM非易失性存储器,由于在写入操作期间存储器增加的电能消耗,这样的写入通常可以检测到。
因此,本方法在检测到未证实需要直接转换到寿命终期的误差的情况下,可以有利地在执行普通删除之前使计数器增加计数值。计数器的值之后被定期检查并且在超过阈值时,触发寿命终期转换。
这样的运行方式在图1f中表示出来,如下所述:
-在执行指令检测到临时误差I1时,该指令不同于入侵攻击并且未证实电子装置的寿命终期需要转换,该临时误差的检测用TE?表示,其中TE代表所述临时执行误差,如果测试I1得到正响应,访问更新随机存取存储器中误差计数器的步骤I2。
步骤I2中更新的值通过关系式表示:
TE=TE+1
然后进行步骤I3,该步骤包括将更新值的计数与阈值相比较,阈值表示为STE。
在测试步骤I3中,比较操作表示为:
TE>STE?
当更新的误差计数值超过阈值时,也就是说当对测试I3的响应为正时,电子装置的寿命终期状态变量的值被写入随机存取存储器并且通过访问步骤F然后访问步骤G执行寿命终期转换,如图1f所示。
图2相关示出电子装置,该装置包括以11表示的微处理器,以12表示的随机存取存储器,以13表示的非易失性存储器例如EEPROM,以及以14表示的只读存储器。此外,如上述图所示,该装置包括输入/输出端口,表示为I/O。
如图2所示,在运行时,电子装置包括该电子装置的寿命终期状态变量,表示为FdVE,由控制模块CM管理。该控制模块可以为,如储存在只读存储器14中的软件模块。
控制模块CM包括计算机程序模块SCM,能够执行掩饰电子装置的寿命终期转换的方法步骤,如上述有关图1a到图1f所描述。
当然,计算机程序模块SCM可以储存在构成存储介质的EEPROM非易失性存储器中。该计算机程序模块包括可由电子装置的微处理器执行的命令组,并且在执行所述命令期间,执行如上有关图1a到图1f所有或部分所述的实施本方法的步骤。
在电路板上实施了作为本发明目的的掩饰电子装置寿命终期转换的方法。许多独立可信的机构对这些电路板实施的高级测试不能阻止这些电路板的寿命终期转换。与具有传统寿命终期转换过程的电路板不同,利用这样的电路板有可能重复侵入攻击直到发现可利用的故障。因此,本发明的方法显然不再适时区分检测到攻击从而电子装置发生寿命终期转换的情况和没有检测到攻击或不发生影响的情况。
Claims (9)
1.一种掩饰电子装置寿命终期转换的方法,包括微处理器,随机存取存储器,只读存储器,其包括电子装置寿命终期状态变量的可再编程非易失性存储器,所述状态变量由控制模块管理,以及输入-输出端口,所述方法包括以下步骤:
-将所述寿命终期状态变量的值(FdVE)从所述非易失性存储器中载入(A)随机存取存储器;并且在通过所述微处理器执行任一当前命令之前:
-检查(B)储存在随机存取存储器中所述寿命终期状态变量的值(FdVR);并且如果是空值:执行(C)电子装置的寿命终期转换操作;否则,储存在随机存取存储器中的所述寿命终期状态变量(FdVR)具有非空值:
-继续(D)通过电子装置的微处理器执行初始化和/或当前命令(COM);并且,当检测到(E)侵入攻击时:
-将电子装置的所述寿命终期状态变量(FdVR)写入(F)唯一的随机存取存储器,并且继续初始化和/或执行当前命令;以及
-以延时的方式执行(G)只删除所述非易失性存储器中的寿命终期状态变量(FdVE),以便代替非易失性存储器中的下次更新操作的执行。
3.根据权利要求2所述的方法,其中,虚拟变量的删除只在所述寿命终期状态变量的存储器的相同页面执行。
4.根据权利要求2或权利要求3所述的方法,其中通过微处理器在电子装置输入/输出端口线上执行数据传输操作之前,执行只删除非易失性存储器中虚拟变量。
5.根据权利要求4所述的方法,其中,如果所述寿命终期状态变量(FdVR)的值为空值,只删除非易失性存储器中的寿命终期状态变量值(FdVE)替代了只删除非易失性存储器中虚拟变量。
6.根据权利要求2至5中任一项所述的方法,还包括,在只删除非易失性存储器中的寿命终期状态变量(FdVE)后,检查储存在随机存取存储器(FdVr)中的所述寿命终期状态变量的值是否为空值的步骤,以及如果确实具有空值而执行电子装置的寿命终期转换操作的步骤。
7.根据上述权利要求中任一项所述的方法,其中,在执行不同于侵入攻击且没有证实电子装置的寿命终期需要转换的指令时如果检测到临时误差,所述方法还包括:
通过将随机存取存储器中的误差计数器增加计数值来进行更新;
将误差计数器的值与阈值作比较,而且如果所述误差计数器的值超过阈值:
将电子装置的所述寿命终期状态变量的值写入随机存取存储器并执行电子装置的寿命终期转换。
8.一种电子装置,包括微处理器、随机存取存储器、只读存储器,其包括电子装置寿命终期状态变量(FdVE)的可再编程非易失性存储器,所述状态变量由控制模块管理,以及输入/输出端口,其中所述控制模块包括计算机程序模块(SCM),用以执行根据权利要求1至7中任一项的方法的步骤。
9.计算机程序产品,储存在存储介质中并且包括可以通过计算机或电子装置的微处理器执行的指令组,其中,在执行所述指令时,所述程序执行根据权利要求1至7任一项的所述方法的步骤。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
FR1152313 | 2011-03-21 | ||
FR1152313A FR2973150B1 (fr) | 2011-03-21 | 2011-03-21 | Procede de masquage de passage en fin de vie d'un dispositif electronique et dispositif comportant un module de controle correspondant |
PCT/FR2012/050069 WO2012127138A1 (fr) | 2011-03-21 | 2012-01-10 | Procede de masquage de passage en fin de vie d'un dispositif electronique et dispositif comportant un module de controle correspondant |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103608822A true CN103608822A (zh) | 2014-02-26 |
CN103608822B CN103608822B (zh) | 2016-11-09 |
Family
ID=45755363
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201280014477.4A Active CN103608822B (zh) | 2011-03-21 | 2012-01-10 | 掩饰电子装置寿命终期转换的方法及包含相应控制模块的装置 |
Country Status (8)
Country | Link |
---|---|
US (1) | US9372791B2 (zh) |
EP (1) | EP2689369B1 (zh) |
CN (1) | CN103608822B (zh) |
BR (1) | BR112013023448B1 (zh) |
ES (1) | ES2513665T3 (zh) |
FR (1) | FR2973150B1 (zh) |
RU (1) | RU2586871C2 (zh) |
WO (1) | WO2012127138A1 (zh) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2000023866A1 (fr) * | 1998-10-16 | 2000-04-27 | Gemplus | Composant electronique et procede pour masquer l'execution d'instructions ou la manipulation de donnees |
CN1288548A (zh) * | 1998-03-20 | 2001-03-21 | 格姆普拉斯有限公司 | 用于将微处理器卡中执行的操作隐藏的装置 |
CN101925906A (zh) * | 2007-11-26 | 2010-12-22 | 萨基姆安全公司 | 屏蔽电子设备终止活动转变的方法,以及包括相应控制模块的设备 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR708242A (fr) | 1930-03-07 | 1931-07-21 | Telefunken Gmbh | Tube amplificateur utilisant une décharge à lueur |
DE102004038210A1 (de) * | 2004-08-05 | 2006-03-16 | Robert Bosch Gmbh | Verfahren zur Speicherung von Botschaften in einem Botschaftsspeicher und Botschaftsspeicher |
-
2011
- 2011-03-21 FR FR1152313A patent/FR2973150B1/fr not_active Expired - Fee Related
-
2012
- 2012-01-10 CN CN201280014477.4A patent/CN103608822B/zh active Active
- 2012-01-10 ES ES12705317.1T patent/ES2513665T3/es active Active
- 2012-01-10 BR BR112013023448-2A patent/BR112013023448B1/pt active IP Right Grant
- 2012-01-10 RU RU2013146794/08A patent/RU2586871C2/ru active
- 2012-01-10 US US14/005,805 patent/US9372791B2/en active Active
- 2012-01-10 EP EP12705317.1A patent/EP2689369B1/fr active Active
- 2012-01-10 WO PCT/FR2012/050069 patent/WO2012127138A1/fr active Application Filing
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1288548A (zh) * | 1998-03-20 | 2001-03-21 | 格姆普拉斯有限公司 | 用于将微处理器卡中执行的操作隐藏的装置 |
WO2000023866A1 (fr) * | 1998-10-16 | 2000-04-27 | Gemplus | Composant electronique et procede pour masquer l'execution d'instructions ou la manipulation de donnees |
CN101925906A (zh) * | 2007-11-26 | 2010-12-22 | 萨基姆安全公司 | 屏蔽电子设备终止活动转变的方法,以及包括相应控制模块的设备 |
Also Published As
Publication number | Publication date |
---|---|
RU2586871C2 (ru) | 2016-06-10 |
EP2689369B1 (fr) | 2014-07-09 |
RU2013146794A (ru) | 2015-04-27 |
FR2973150B1 (fr) | 2013-04-26 |
CN103608822B (zh) | 2016-11-09 |
US9372791B2 (en) | 2016-06-21 |
BR112013023448A2 (pt) | 2016-12-06 |
WO2012127138A1 (fr) | 2012-09-27 |
FR2973150A1 (fr) | 2012-09-28 |
BR112013023448B1 (pt) | 2021-10-26 |
ES2513665T3 (es) | 2014-10-27 |
EP2689369A1 (fr) | 2014-01-29 |
US20140013042A1 (en) | 2014-01-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104412242B (zh) | 内存保护 | |
CN103268438B (zh) | 基于调用链的Android权限管理方法及系统 | |
CN103425592B (zh) | 一种多进程系统中的内存管理方法及装置 | |
CN105930236A (zh) | 一种基于BMS Bootloader升级的应用程序版本回退方法 | |
CN102236764B (zh) | 用于Android系统的抵御桌面信息攻击的方法和监控系统 | |
CN103164229A (zh) | 一种清理移动终端进程的方法及装置 | |
CN109858267A (zh) | 基于固态硬盘的固件自动加密方法、装置和计算机设备 | |
CN109344004A (zh) | 一种内存数据库备份管理方法、装置、终端及存储介质 | |
CN114265613B (zh) | 一种整车所有电控单元固件差分升级方法及系统 | |
CN108287760A (zh) | 终端设备控制方法及装置、终端设备及计算机可读存储介质 | |
CN108509322A (zh) | 避免过度回访的方法、电子装置及计算机可读存储介质 | |
CN101925906B (zh) | 屏蔽电子设备终止活动转变的方法及装置 | |
CN104598357A (zh) | 一种数据抗干扰保护方法 | |
CN103608822A (zh) | 掩饰电子装置寿命终期转换的方法及包含相应控制模块的装置 | |
CN108228340A (zh) | 终端控制方法及装置、终端设备及计算机可读存储介质 | |
CN105279094A (zh) | NAND Flash操作处理方法、装置及逻辑器件 | |
CN110399166A (zh) | ME Nonce值的保存方法、装置、设备及存储介质 | |
CN106407762A (zh) | 一种应用冻结配置的设置方法和终端设备 | |
CN1983195A (zh) | 嵌入设备、电子设备、嵌入设备的控制方法、控制程序、记录介质 | |
CN106935266B (zh) | 从存储器中读取配置信息的控制方法、装置和系统 | |
CN101950160B (zh) | 一种电器抗干扰的方法、控制系统及相应电器 | |
CN113704177B (zh) | 一种服务器固件升级文件的存储方法、系统及相关组件 | |
CN108255536A (zh) | 基于功能开关的应用程序控制方法和服务器 | |
CN103309758A (zh) | 一种卡应用下载的方法、系统和装置 | |
CN106326049A (zh) | 一种故障定位方法及终端 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CP03 | Change of name, title or address |
Address after: French Kubeva Patentee after: Adimia - Identity and Security France Country or region after: France Address before: Isis Mulinox, France Patentee before: MORPHO Country or region before: France |
|
CP03 | Change of name, title or address |