CN107358123A - 一种安全检测方法及装置 - Google Patents
一种安全检测方法及装置 Download PDFInfo
- Publication number
- CN107358123A CN107358123A CN201610305879.XA CN201610305879A CN107358123A CN 107358123 A CN107358123 A CN 107358123A CN 201610305879 A CN201610305879 A CN 201610305879A CN 107358123 A CN107358123 A CN 107358123A
- Authority
- CN
- China
- Prior art keywords
- operation behavior
- level
- security
- testing result
- slave
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2113—Multi-level security, e.g. mandatory access control
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Mathematical Physics (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明提供一种安全检测方法及装置,预先制定至少一条安全检测策略,在进行安全检测时则可以获取与当前安全需求对应的安全检测策略,并收集当前总线上的操作行为,然后基于安全检测策略对操作行为进行安全检测,得到安全检测策略对应的第一检测结果,并在完成安全检测后,将安全检测策略对应的第一检测结果进行汇总,得到操作行为的第二检测结果。由于操作行为用于指示基于总线通信的集成电路系统的处理行为,因此在基于安全检测策略对操作行为进行的安全检测实际是对集成电路系统的处理行为进行的安全检测,即本发明提供的技术方案实现了对总线结构的集成电路系统的安全检测。
Description
技术领域
本发明属于总线行为检测技术领域,更具体的说,尤其涉及一种安全检测方法及装置。
背景技术
当前,社会对信息的依赖程度已经到达了一个极高的程度,信息安全已经成为与政治、经济、军事以及日常生活等相关的关键问题。在信息安全方面,硬件结构的安全和操作系统的安全是信息安全的基础,密码技术和网络安全技术等技术是信息安全的关键技术。相对应的在硬件结构方面,存在诸多攻击方式,包括:破坏式的物理攻击、非入侵式的旁路攻击以及入侵式攻击。
对于破坏式的物理攻击来说,可以在集成电路系统中增加传感检测电路,当传感检测电路探测到集成电路系统受到物理攻击时,可以采取诸如自毁在内的措施。旁路攻击则是指通过探听集成电路系统运行时的旁路信息来窃听芯片运行内容或者关键信息的方法。其中旁路信息包括功耗信息和时间信息。对于旁路攻击来说,可以在集成电路系统中增加旁路信息的随机性。
而对于入侵式攻击来说,其可以通过硬件木马检测和预防技术来检测攻击,其中硬件木马检测和预防技术旨在研究如何通过对集成电路系统进行测试来发现集成电路系统中是否有木马的存在,检测方法包括:破坏性的反向工程检测方法、非破坏性的激励测试方法以及旁路分析方法。破坏式的反向工程检测方法是通过逆向工程来检测集成电路系统是否被嵌入木马;非破坏式的激励测试方法则是通过大量的测试向量来期望能够激活木马,以此检测到输出的异常的逻辑测试;旁路分析方法则是通过对比待测集成电路系统与正常集成电路系统之间的旁路信息之差来检测木马的存在。
但是发明人经过研究发现,上述各种检测方法并不适用于总线结构的集成电路系统,因此急需一种可以对总线上操作行为进行检测的安全检测方法,其中总线结构的集成电路系统是设置在一个总线结构上的集成电路系统,位于总线结构上的所有集成电路系统可以通过总线进行通信。
发明内容
有鉴于此,本发明的目的在于提供一种安全检测方法及装置,用于对总线结构的集成电路系统进行安全检测。
本发明提供一种安全检测方法,预先制定至少一条安全检测策略,所述方法包括:
获取与当前安全需求对应的安全检测策略以及收集当前总线上的操作行为,其中所述操作行为用于指示基于总线通信的集成电路系统的处理行为;
基于所述安全检测策略对所述操作行为进行安全检测,得到所述安全检测策略对应的第一检测结果,所述第一检测结果指示与所述第一检测结果对应的安全检测策略检测到的所述操作行为的安全情况;
在完成安全检测后,将所述安全检测策略对应的所述第一检测结果进行汇总,得到所述操作行为的第二检测结果,所述操作行为的第二检测结果用于指示所述操作行为的最终安全情况;
当所述操作行为的第二检测结果指示所述操作行为有非法操作时,发送控制指令,所述控制指令用于指示对所述非法操作进行相应控制。
优选地,所述基于所述安全检测策略对所述操作行为进行安全检测,得到所述安全检测策略对应的第一检测结果,包括:
在操作行为是主机从从机中读取数据的情况下,如果主机的安全级别高于从机的安全级别,得到操作行为是合法操作的第一检测结果;如果主机的安全级别低于从机的安全级别,得到操作行为是非法操作的第一检测结果;
在操作行为是主机向从机中写数据的情况下,如果主机的安全级别高于从机的安全级别,得到操作行为是非法操作的第一检测结果;如果主机的安全级别低于从机的安全级别,得到操作行为是合法操作的第一检测结果;
在操作行为是主机占用总线的情况下,如果主机的安全级别高于从机的安全级别,得到操作行为是合法操作的第一检测结果;如果主机的安全级别低于从机的安全级别,得到操作行为是非法操作的第一检测结果;
在操作行为是从机占用总线的情况下,如果主机的安全级别高于从机的安全级别,得到操作行为是非法操作的第一检测结果;如果主机的安全级别低于从机的安全级别,得到操作行为是合法操作的第一检测结果。
优选地,所述基于所述安全检测策略对所述操作行为进行安全检测,得到所述安全检测策略对应的第一检测结果,包括:
如果操作行为对应的主机是已知合法操作中的主机,且所述操作行为对应的从机是同一个所述已知合法操作中的从机,得到指示所述操作行为是合法操作的第一检测结果。
优选地,所述基于所述安全检测策略对所述操作行为进行安全检测,得到所述安全检测策略对应的第一检测结果,包括:
在操作行为对应的知识产权IP的安全级别为第一级别的情况下,如果所述IP触发的操作行为的数量小于第一阈值,得到所述操作行为是合法操作的第一检测结果;如果所述IP触发的操作行为的数量从小于第一阈值上升为大于第二阈值,得到所述操作行为是非法操作的第一检测结果;
在操作行为对应的IP的安全级别为第二级别的情况下,如果所述IP出发的操作行为的数量大于第三阈值,得到所述操作行为是非法操作的第一检测结果;如果所述IP出发的操作行为的数量小于等于第三阈值,得到所述操作行为是合法操作的第一检测结果;所述第一级别大于所述第二级别。
本发明还提供一种安全检测装置,所述装置包括:
制定单元,用于预先制定至少一条安全检测策略;
获取单元,用于获取与当前安全需求对应的安全检测策略以及收集当前总线上的操作行为,其中所述操作行为用于指示基于总线通信的集成电路系统的处理行为;
检测单元,用于基于所述安全检测策略对所述操作行为进行安全检测,得到所述安全检测策略对应的第一检测结果,所述第一检测结果指示与所述第一检测结果对应的安全检测策略检测到的所述操作行为的安全情况;
汇总单元,用于在完成安全检测后,将所述安全检测策略对应的所述第一检测结果进行汇总,得到所述操作行为的第二检测结果,所述操作行为的第二检测结果用于指示所述操作行为的最终安全情况;
发送单元,用于当所述操作行为的第二检测结果指示所述操作行为有非法操作时,发送控制指令,所述控制指令用于指示对所述非法操作进行相应控制。
优选地,所述检测单元包括:
第一检测子单元,用于在操作行为是主机从从机中读取数据的情况下,如果主机的安全级别高于从机的安全级别,得到操作行为是合法操作的第一检测结果;如果主机的安全级别低于从机的安全级别,得到操作行为是非法操作的第一检测结果;
第二检测子单元,用于在操作行为是主机向从机中写数据的情况下,如果主机的安全级别高于从机的安全级别,得到操作行为是非法操作的第一检测结果;如果主机的安全级别低于从机的安全级别,得到操作行为是合法操作的第一检测结果;
第三检测子单元,用于在操作行为是主机占用总线的情况下,如果主机的安全级别高于从机的安全级别,得到操作行为是合法操作的第一检测结果;如果主机的安全级别低于从机的安全级别,得到操作行为是非法操作的第一检测结果;
第四检测子单元,用于在操作行为是从机占用总线的情况下,如果主机的安全级别高于从机的安全级别,得到操作行为是非法操作的第一检测结果;如果主机的安全级别低于从机的安全级别,得到操作行为是合法操作的第一检测结果。
优选地,所述检测单元包括:
第五检测子单元,用于如果操作行为对应的主机是已知合法操作中的主机,且所述操作行为对应的从机是同一个所述已知合法操作中的从机,得到指示所述操作行为是合法操作的第一检测结果。
优选地,所述检测单元包括:
第六检测子单元,用于在操作行为对应的知识产权IP的安全级别为第一级别的情况下,如果所述IP触发的操作行为的数量小于第一阈值,得到所述操作行为是合法操作的第一检测结果;如果所述IP触发的操作行为的数量从小于第一阈值上升为大于第二阈值,得到所述操作行为是非法操作的第一检测结果;
第七检测子单元,用于在操作行为对应的IP的安全级别为第二级别的情况下,如果所述IP出发的操作行为的数量大于第三阈值,得到所述操作行为是非法操作的第一检测结果;如果所述IP出发的操作行为的数量小于等于第三阈值,得到所述操作行为是合法操作的第一检测结果;所述第一级别大于所述第二级别。
与现有技术相比,本发明提供的上述技术方案具有如下优点:
本发明提供的上述技术方案,预先制定至少一条安全检测策略,这样在进行安全检测时则可以获取与当前安全需求对应的安全检测策略,并收集当前总线上的操作行为,而操作行为用于指示基于总线通信的集成电路系统的处理行为,因此在基于安全检测策略对操作行为进行的安全检测实际是对集成电路系统的处理行为进行的安全检测,即本发明提供的上述技术方案实现了对总线结构的集成电路系统的安全检测。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的主机和从机之间的通信过程的示意图;
图2是本发明实施例提供的安全检测方法的流程图;
图3是本发明实施例提供的安全检测装置的结构示意图;
图4是本发明实施例提供的安全检测装置中检测单元的结构示意图。
具体实施方式
为使本领域技术人员更好地理解本发明实施例,首先对主机和从机基于总线的通信过程进行说明,并相应指出通信过程中存在的威胁:
总线中基于总线通信的对象分为主机和从机,主机可以拥有总线的控制权,对从机发起读写操作,从机仅能响应主机发起的操作,从机如果希望主机对其进行操作,只有通过中断等非总线行为通知主机,等待主机回应。
其中主机和从机之间的一个常用的通信过程如图1所示,主机首先发起总线请求(hreq),仲裁器判断此时是否授予该主机总线控制权限。仲裁器通过hgrant信号和master_id判断主机是否获得了总线控制权限。对于只有一个主机的总线,则可以省略此过程,甚至是无需添加仲裁器。
被授予总线控制权限的主机,给出主机需要访问的地址,并在下一个周期给出数据。地址译码器根据主机给出的地址选中相应的从机。从机在准备好的情况下,开始处理主机的读写操作。在这一过程中,主机会通过htrans/hburst来标记传输的类型和状态,从机会通过hresp和hready表示响应状态。正常的传输过程中,hresp为OKAY,hready为高。
在总线中当主机获取总线控制权限之后,主机会以流水线的形式对指定地址进行读写访问。主机给出访问的地址时,地址会被同时送往地址译码器和每一个从机。地址译码器会根据主机给出的地址,判断出主机需要访问的从机,并将该从机对应的选中信号设为有效。随后主机会通过总线中的数据线发出要写往相应地址里的数据。此时未被篡改的从机仅会在自己被选中时,去解析主机要访问的地址,并将数据线上的数据写入该地址中。
但是,对于受篡改的从机,从机完全可以在没有被选中的时候,去处理数据线上发来的信息。特别是整个总线的地址分配以及工作流程被熟知的情况下,从机可以根据地址信息判断出此时从总线上窃取到的信息的意义为何,选择有价值的保存下来,后期再以某种方式将其泄露出去。对于被篡改的主机,同样也可以获取任何一次总线上传输的数据。
需要指出的是,虽然在总线协议里,读数据和写数据的数据线是分开的,但是被篡改的从机IP(Intellectual Property,知识产权)而言,读数据总线仍是具有输出功能的读数据总线(hrdata),具备数据输入功能。也就是说,被篡改的从机不仅可以窃取主机发往其他从机的数据,也可以窃取主机从其他从机读取的数据。
任何满足这一过程的都符合总线协议,但是在实际执行过程中,从机可以以表面上符合总线协议的方式,进行威胁到总线的操作行为。其威胁到总线的操作行为主要是通过对各个控制信号的控制来实现,控制信号的类型如表1所示,其中表1是控制信号的说明。
表1控制信号的说明表
具体分析几个关键的信号控制情况:
hready:当一个从机开始响应主机的读写操作时,如果由于从机内部问题导致从机与主机的发送速度不匹配时,从机可以将hready拉低,此时主机会进入等待状态。这一设计在内部速度慢于总线速度或是内部存取有一个固定延时的从机上,都非常有用。未被篡改的从机会在可以进行数据处理时,拉高hready,让传输正常进行。但是对于被篡改的从机,可以一直拉低hready,让主机进入持续的等待状态,降低整个系统的性能,甚至导致整个系统被卡死。
hresp:从机响应主机操作后,可以通过hresp来反馈此次的传输结果。如果反馈结果是错误,还可以要求主机进行重传。对于被篡改的从机,可以反复要求主机进行重传,阻塞整个系统的工作状态。
hbusreq和hlock:总线请求行为,对于一条总线上有多个主机的情况,主机会首先向仲裁器申请总线控制权限,主机被授予总线控制权限后,可以根据应用需求,发出hlock信号,锁定总线控制器。如果主机被篡改,则可以通过锁定总线控制器,来限制其他主机的访问,从而阻断系统的正常运行。
htrans:主机在通过总线进行传输数据时,同时会使用htrans来表示此时的传输状态。在正常情况下,htrans状态可以用来区分无传输、暂时无法传输(BUSY)、以及两种正常的传输状态。对于被篡改的异常主机,主机可以长时间将htrans设为BUSY,让从机和整个系统进入持续等待状态。
综上可以看出,在总线行为的层面上,总线上受到的攻击主要为以下两种形式的攻击:
(1)被篡改的主从机均可以窃取和泄露到敏感信息,并可以选择合适的方式将信息发送出去,例如敏感信息加入到正常的信息流中或者通过旁路泄漏的方式,但是上述窃取和泄漏的行为,均难以从总线级别检测到;
(2)主机和从机均可以利用传输控制信号来实现对总线的占用和阻塞,从而影响系统运行。
为此本发明实施例提出一种安全检测方法及装置,用于对总线上的操作行为进行安全检测,以降低总线上受到攻击的概率,提高系统运行性能。
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图2,其示出了本发明实施例提供的安全检测方法的流程图,用于对总线结构的集成电路系统进行安全检测,可以包括以下步骤:
201:获取与当前安全需求对应的安全检测策略以及收集当前总线上的操作行为,其中操作行为用于指示基于总线通信的集成电路系统的处理行为,如上述所阐述主机和从机基于总线在每个控制信号控制下的各种处理行为,例如读数据行为和写数据行为。
在本发明实施例中,安全检测策略是预先制定的,具体可以基于总线通信的集成电路系统的处理行为,制定至少一条安全检测策略,每条安全检测策略用于检测一个处理行为的安全与否。即通过安全检测策略可以判定当前总线上的操作行为是合法操作还是非法操作,以此判定总线是否被攻击。并且在不同安全需求下需要的安全检测策略不同,因此在本发明实施例中首先需要获取到安全需求对应的安全检测策略,如安全需求是对总线的可用性进行检测,则选取的安全检测策略是对可用性进行检测的策略。
202:基于安全检测策略对操作行为进行安全检测,得到安全检测策略对应的第一检测结果,第一检测结果指示与第一检测结果对应的安全检测策略检测到的操作行为的安全情况,例如指示操作行为是合法操作还是非法操作,以此确定总线是否受到攻击。
在本发明实施例中,安全检测策略至少包括:机密性策略、完整性策略和可用性策略,每个策略下可以对应有不同的检测方式,本发明实施例以这三个策略下的一种检测方式为例,阐述如何对操作行为进行安全检测。
为了更清晰准确地描述上述三个策略,定义了如下数学表达式:
S={S1,S2,...Sn}主体的集合,在本发明实施例中为总线主机;
O={O1,O2,...Om}客体的集合,在本发明实施例中为总线从机;
C={C1,C2,...Cq}安全级别的集合,表征了主客体的安全等级;
A={r,w,t,o}系统访问状态的集合,表征了主客体之间的操作关系,其中r表示主机读取从机,w表示主机向从机写数据,t表示主机占用总线,o表示从机占用总线;
权限分布的集合,分别表示了主体、客体,以及总线上的信息流的安全级别;
B={S×O×A}表示系统当前操作的集合;
表示当前所有合法操作的集合;
T=f(ts,to)总线占用时间的函数,其中参数ts表示主体占用总线时长,to表示客体占用总线时长。
首先以机密性策略为例进行说明,机密性策略主要是针对信息流的机密性和IP的安全级别,可以对信息流的机密性和IP的安全级别进行分级,并建立两者的映射关系。对于低安全级别的IP,除非被指定访问,否则不允许接触到高机密级的信息流,并且需要对IP的安全级别进行调整。对于信息流的机密性划分可以采用如下方式:
被加密后的信息:此类信息通常为即将与外界通信的信息,因为已经完成了加密、认证保护等操作,即使被窃取,也很难被加以利用,机密性较低;
未加密的信息:这类信息通常包括控制信息,需要发送的信息的明文,此类信息机密性中等,根据不同的系统有所差别;
密钥等安全材料:现代信息安全理论中,均采取公开加密算法和加密模式,而将密钥进行保护的方式。对于已经得到确认的安全算法,整个信息系统的安全性依赖于密钥得到合理的保护。因此,这类信息流应具有最高的安全级别;
组合信息流:当不同机密级别的信息流在一次传输中同时出现时,此信息流的机密级别应该不低于其中的任何一个信息流的机密级别。考虑到这一组合信息流的窃取如果成功,将让木马获得更多信息,也可以适当调高机密级别。
在本发明实施例中,IP安全级别的划分应该考虑IP来源、IP功能等多个属性,对于同一个提供方提供的IP,需要考虑其进行组合攻击的可能性。例如对于同一个提供方提供的IP可以分别基于IP来源和IP功能得到一个安全级别,然后选取较低的安全级别作为同一个提供方提供的IP的安全级别,在本发明实施例中可以参照现有技术来基于IP来源、IP功能等多个属性对IP的安全级别进行划分,例如可参考文献JRC52422中表1(Table1)对IP核按照功能划分为处理器IP(Processer IP),物理IP(Physical IP)以及其他IP;或根据表7(Table7)中的全球前20大IP核供应商的排名设置相应IP核的安全性。也可以参考文献VCT-121-11Feb01中第二章各部分对IP核资料中的各种不同描述(如功能、性能、应用场景、测试覆盖率等),再结合实际需要确定安全级别,具体详见现有文献“VCT-121-11Feb01”和“JRC52422”,此处不再详述。
基于上述划分后,在操作行为是不同操作的情况下,其检测过程为:在操作行为是主机从机中读取数据的情况下,如果主机的安全级别高于从机的安全级别,得到操作行为是合法操作的第一检测结果。如果主机的安全级别低于从机的安全级别,得到操作行为是非法操作的第一检测结果。
在操作行为是主机向从机中写数据的情况下,如果主机的安全级别高于从机的安全级别,得到操作行为是非法操作的第一检测结果。如果主机的安全级别低于从机的安全级别,得到操作行为是合法操作的第一检测结果。
在操作行为是主机占用总线的情况下,如果主机的安全级别高于从机的安全级别,得到操作行为是合法操作的第一检测结果。如果主机的安全级别低于从机的安全级别,得到操作行为是非法操作的第一检测结果。
在操作行为是从机占用总线的情况下,如果主机的安全级别高于从机的安全级别,得到操作行为是非法操作的第一检测结果。如果主机的安全级别低于从机的安全级别,得到操作行为是合法操作的第一检测结果。
以使用表达式对上述检测过程进行描述如下,其中r表示主机从机中读取数据,w表示主机向从机中写数据,t表示主机占用总线,o表示从机占用总线:
对于完整性策略而言:首先,认为总线信道是认证信道,信息流在传输的过程中不会被篡改,这样发送过程中的信息可以得到保证。但是对于总线结构的集成电路系统来说会存放一些重要性较高的信息,这些信息有可能在主机发起的一次写操作中被修改,因此需要对重要性较高的信息进行完整性的保护。
总线系统中,对于高重要性的信息被修改包括但不限于以下几种可能:
(1)信息在某IP内部,该IP直接针对其进行修改,此种行为涉及IP内部行为,无法监测,其中IP内部指的是独立的IP核的内部逻辑功能,其不对外公开;
(2)信息在某IP内部,该IP不会直接针对其进行修改。该信息被外部其它模块的读写操作修改:信息在从机中,主机发起写命令,修改从机内的数据,此时需要鉴别主机是否有写入从机的权限。信息在主机中,主机发起读命令时,从机给出错误的数据,此行为无法检测。
对于完整性策略来说,可以从总线行为进行检测的情况,其重点在于权限的设定,在本发明实施例中权限应来自于初始设计时主机和从机的功能划分,并根据后期运行时的状况做出调整。在本发明实施例中对权限的划分包括固定权限和动态权限,其中固定权限按照功能进行权限划分,例如两个各司其职的主机,一个主机负责数据采集、组包等操作,另一主机负责与安全处理相关的加解密控制、安全材料读取,则两个主机不应该对非其自身功能相关的模块进行数据读写操作。对于动态权限来说,可以在执行某些操作后,将其权限做调整,如将动态权限调高。
在上述权限内,基于完整性策略的安全检测过程为:如果操作行为对应的主机是已知合法操作中的主机,且操作行为对应的从机是同一个已知合法操作中的从机,得到指示操作行为是合法操作的第一检测结果。
将上述安全检测过程使用逻辑表达式描述则是:
在这里需要说明的一点是:如果动态调整后,S1的级别高于S2,则原有相关操作中必须减少B22,这是因为O2为两个主机共用的从机,但当两个主机安全级别不同时,可能出现借由O2的操作传递的安全信息泄露,所以只能把O2的合法操作锁定给高安全级别的主机S1。
可用性策略:主机和从机都可以通过对关键信号的控制来造成总线无法正常工作,信息无法被读取。因为这样的行为与正常的操作行为有一定的相似性,需要通过记录和一段时间的观测来判断其是否确实为异常模块。采取的方法是,根据IP的功能和特性给出一个粗略的占用总线的时长阈值,当IP超过阈值时,利用中断强制取消这次传输,并修改阈值,同时降低此IP的安全级别。
例如双阈值策略:在操作行为对应的IP地址的安全级别为第一级别的情况下,如果IP触发的操作行为的数量小于第一阈值,得到操作行为是合法操作的第一检测结果。如果IP地址触发的操作行为的数量从小于第一阈值上升为大于第二阈值,得到操作行为是非法操作的第一检测结果。
单阈值策略:在操作行为对应的IP的安全级别为第二级别的情况下,如果IP出发的操作行为的数量大于第三阈值,得到操作行为是非法操作的第一检测结果。如果IP地址出发的操作行为的数量小于等于第三阈值,得到操作行为是合法操作的第一检测结果,其中第一级别大于第二级别。
也就是说对于较高级别的IP来说采用双阈值策略来判断其是否合法,对于较低级别的IP来说采用单阈值策略来判断,具体第一级别和第二级别的取值本发明实施例不加以限定,相应的,上述第一阈值、第二阈值和第三阈值的取值也不加以限定
在得到任意一个IP地址的操作行为是否合法的判断结果后,可以对IP地址对应的阈值进行调整,例如可以提高第一阈值,这样可以基于每个IP地址的实际应用情况对其进行检测。
上述双阈值策略和单阈值策略使用逻辑表达式描述则是:
203:在完成安全检测后,将安全检测策略对应的第一检测结果进行汇总,得到操作行为的第二检测结果。其中,完成安全检测是指选取的每条安全检测策略分别对操作行为进行安全检测,并得到每条安全检测策略对应的第一检测结果,这样在完成安全检测后,可以对这些第一检测结果进行汇总来得到操作行为的第二检测结果,操作行为的第二检测结果指示操作行为的最终安全情况,即指示操作行为是合法操作还是非法操作。
在本发明实施例中,当第一检测结果的数量为一个时,则可以直接将第一检测结果作为第二检测结果;当第一检测结果的数量为多个时,则需要对第一检测结果进行分析来得到第二检测结果。具体的,当任意一个第一检测结果指示操作行为是合法操作时,则第二检测结果指示操作行为合法;若任意一个第一检测结果指示操作行为是非法操作时,则第二检测结果指示操作行为非法。
204:当操作行为的第二检测结果指示操作行为有非法操作时,发送控制指令,控制指令用于指示对非法操作进行相应控制。当指示操作行为有非法操作时,可以根据非法操作的具体情况来进行控制,比如隔离,忽略,丢弃,甚至是替代等,本发明实施例仅需要实现对总线结构的集成电路系统的安全检测即可,至于如何控制并不是本发明实施例提供的安全检测方法的关注点。
从上述技术方案可知,本发明实施例提供的安全检测方法,可以首先获取与当前安全需求对应的安全检测策略,并收集当前总线上的操作行为,然后基于安全检测策略对操作行为进行安全检测,得到安全检测策略对应的第一检测结果,并在完成安全检测后,将安全检测策略对应的第一检测结果进行汇总,得到操作行为的第二检测结果。由于操作行为用于指示基于总线通信的集成电路系统的处理行为,因此在基于安全检测策略对操作行为进行的安全检测实际是对集成电路系统的处理行为进行的安全检测,即本发明实施例提供的安全检测方法实现了对总线结构的集成电路系统的安全检测。
请参阅图3,其示出了本发明实施例提供的安全检测装置的结构示意图,可以包括:制定单元11、获取单元12、检测单元13、汇总单元14和发送单元15。
制定单元11,用于预先制定至少一条安全检测策略。
获取单元12,用于获取与当前安全需求对应的安全检测策略以及收集当前总线上的操作行为,其中操作行为用于指示基于总线通信的集成电路系统的处理行为,如上述所阐述主机和从机基于总线在每个控制信号控制下的各种处理行为,例如读数据行为和写数据行为。
在本发明实施例中,安全检测策略是预先制定的,具体可以基于总线通信的集成电路系统的处理行为,制定至少一条安全检测策略,每条安全检测策略用于检测一个处理行为的安全与否。即通过安全检测策略可以判定当前总线上的操作行为是合法操作还是非法操作,以此判定总线是否被攻击。并且在不同安全需求下需要的安全检测策略不同,因此在本发明实施例中首先需要获取到安全需求对应的安全检测策略,如安全需求是对总线的可用性进行检测,则选取的安全检测策略是对可用性进行检测的策略。
检测单元13,用于基于安全检测策略对操作行为进行安全检测,得到安全检测策略对应的第一检测结果,第一检测结果指示与第一检测结果对应的安全检测策略检测到的操作行为的安全情况。其中安全检测策略至少包括:机密性策略、完整性策略和可用性策略,每个策略下可以对应有不同的检测方式,检测单元13可以基于至少这三个策略中的任意一种策略对操作行为进行安全检测。
在本发明实施例中,检测单元13可以包括:第一检测子单元131、第二检测子单元132、第三检测子单元133和第四检测子单元134,如图4所示,主要用于进行机密性策略的安全检测。
第一检测子单元131,用于在操作行为是主机从从机中读取数据的情况下,如果主机的安全级别高于从机的安全级别,得到操作行为是合法操作的第一检测结果;如果主机的安全级别低于从机的安全级别,得到操作行为是非法操作的第一检测结果。
第二检测子单元132,用于在操作行为是主机向从机中写数据的情况下,如果主机的安全级别高于从机的安全级别,得到操作行为是非法操作的第一检测结果;如果主机的安全级别低于从机的安全级别,得到操作行为是合法操作的第一检测结果。
第三检测子单元133,用于在操作行为是主机占用总线的情况下,如果主机的安全级别高于从机的安全级别,得到操作行为是合法操作的第一检测结果;如果主机的安全级别低于从机的安全级别,得到操作行为是非法操作的第一检测结果。
第四检测子单元134,用于在操作行为是从机占用总线的情况下,如果主机的安全级别高于从机的安全级别,得到操作行为是非法操作的第一检测结果;如果主机的安全级别低于从机的安全级别,得到操作行为是合法操作的第一检测结果。
优选地,上述检测单元13可以包括:第五检测子单元,用于如果操作行为对应的主机是已知合法操作中的主机,且操作行为对应的从机是同一个已知合法操作中的从机,得到指示操作行为是合法操作的第一检测结果,其中第五检测子单元主要用于基于完整性策略的安全检测。
优选地,检测单元包括:第六检测子单元和第七检测子单元,主要用于基于可用性策略的安全检测。
第六检测子单元,用于在操作行为对应的知识产权IP的安全级别为第一级别的情况下,如果IP触发的操作行为的数量小于第一阈值,得到操作行为是合法操作的第一检测结果。如果IP触发的操作行为的数量从小于第一阈值上升为大于第二阈值,得到操作行为是非法操作的第一检测结果。
第七检测子单元,用于在操作行为对应的IP的安全级别为第二级别的情况下,如果IP出发的操作行为的数量大于第三阈值,得到操作行为是非法操作的第一检测结果。如果IP出发的操作行为的数量小于等于第三阈值,得到操作行为是合法操作的第一检测结果。第一级别大于第二级别。
在本发明实施例中,上述检测单元所包括的各个子单元可以随机组合,以完整任意一种策略的安全检测,并且上述各个子单元的具体实施过程请参阅方法实施例中的相关说明,对此本发明实施例不再阐述。
汇总单元14,用于在完成安全检测后,将安全检测策略对应的第一检测结果进行汇总,得到操作行为的第二检测结果。其中,完成安全检测是指选取的每条安全检测策略分别对操作行为进行安全检测,并得到每条安全检测策略对应的第一检测结果,这样在完成安全检测后,可以对这些第一检测结果进行汇总来得到操作行为的第二检测结果,操作行为的第二检测结果指示操作行为的最终安全情况,即指示操作行为是合法操作还是非法操作。
在本发明实施例中,当第一检测结果的数量为一个时,则可以直接将第一检测结果作为第二检测结果;当第一检测结果的数量为多个时,则需要对第一检测结果进行分析来得到第二检测结果。具体的,当任意一个第一检测结果指示操作行为是合法操作时,则第二检测结果指示操作行为合法;若任意一个第一检测结果指示操作行为是非法操作时,则第二检测结果指示操作行为非法。
发送单元15,用于当操作行为的第二检测结果指示操作行为有非法操作时,发送控制指令,控制指令用于指示对非法操作进行相应控制。当指示操作行为有非法操作时,可以根据非法操作的具体情况来进行控制,比如隔离,忽略,丢弃,甚至是替代等,本发明实施例仅需要实现对总线结构的集成电路系统的安全检测即可,至于如何控制并不是本发明实施例提供的安全检测方法的关注点。
从上述技术方案可知,本发明实施例提供的安全检测装置,可以首先获取与当前安全需求对应的安全检测策略,并收集当前总线上的操作行为,然后基于安全检测策略对操作行为进行安全检测,得到安全检测策略对应的第一检测结果,并在完成安全检测后,将安全检测策略对应的第一检测结果进行汇总,得到操作行为的第二检测结果。由于操作行为用于指示基于总线通信的集成电路系统的处理行为,因此在基于安全检测策略对操作行为进行的安全检测实际是对集成电路系统的处理行为进行的安全检测,即本发明实施例提供的安全检测装置实现了对总线结构的集成电路系统的安全检测。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。对于装置类实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
对所公开的实施例的上述说明,使本领域技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (8)
1.一种安全检测方法,其特征在于,预先制定至少一条安全检测策略,所述方法包括:
获取与当前安全需求对应的安全检测策略以及收集当前总线上的操作行为,其中所述操作行为用于指示基于总线通信的集成电路系统的处理行为;
基于所述安全检测策略对所述操作行为进行安全检测,得到所述安全检测策略对应的第一检测结果,所述第一检测结果指示与所述第一检测结果对应的安全检测策略检测到的所述操作行为的安全情况;
在完成安全检测后,将所述安全检测策略对应的所述第一检测结果进行汇总,得到所述操作行为的第二检测结果,所述操作行为的第二检测结果用于指示所述操作行为的最终安全情况;
当所述操作行为的第二检测结果指示所述操作行为有非法操作时,发送控制指令,所述控制指令用于指示对所述非法操作进行相应控制。
2.根据权利要求1所述的方法,其特征在于,所述基于所述安全检测策略对所述操作行为进行安全检测,得到所述安全检测策略对应的第一检测结果,包括:
在操作行为是主机从从机中读取数据的情况下,如果主机的安全级别高于从机的安全级别,得到操作行为是合法操作的第一检测结果;如果主机的安全级别低于从机的安全级别,得到操作行为是非法操作的第一检测结果;
在操作行为是主机向从机中写数据的情况下,如果主机的安全级别高于从机的安全级别,得到操作行为是非法操作的第一检测结果;如果主机的安全级别低于从机的安全级别,得到操作行为是合法操作的第一检测结果;
在操作行为是主机占用总线的情况下,如果主机的安全级别高于从机的安全级别,得到操作行为是合法操作的第一检测结果;如果主机的安全级别低于从机的安全级别,得到操作行为是非法操作的第一检测结果;
在操作行为是从机占用总线的情况下,如果主机的安全级别高于从机的安全级别,得到操作行为是非法操作的第一检测结果;如果主机的安全级别低于从机的安全级别,得到操作行为是合法操作的第一检测结果。
3.根据权利要求1所述的方法,其特征在于,所述基于所述安全检测策略对所述操作行为进行安全检测,得到所述安全检测策略对应的第一检测结果,包括:
如果操作行为对应的主机是已知合法操作中的主机,且所述操作行为对应的从机是同一个所述已知合法操作中的从机,得到指示所述操作行为是合法操作的第一检测结果。
4.根据权利要求1所述的方法,其特征在于,所述基于所述安全检测策略对所述操作行为进行安全检测,得到所述安全检测策略对应的第一检测结果,包括:
在操作行为对应的知识产权IP的安全级别为第一级别的情况下,如果所述IP触发的操作行为的数量小于第一阈值,得到所述操作行为是合法操作的第一检测结果;如果所述IP触发的操作行为的数量从小于第一阈值上升为大于第二阈值,得到所述操作行为是非法操作的第一检测结果;
在操作行为对应的IP的安全级别为第二级别的情况下,如果所述IP出发的操作行为的数量大于第三阈值,得到所述操作行为是非法操作的第一检测结果;如果所述IP出发的操作行为的数量小于等于第三阈值,得到所述操作行为是合法操作的第一检测结果;所述第一级别大于所述第二级别。
5.一种安全检测装置,其特征在于,所述装置包括:
制定单元,用于预先制定至少一条安全检测策略;
获取单元,用于获取与当前安全需求对应的安全检测策略以及收集当前总线上的操作行为,其中所述操作行为用于指示基于总线通信的集成电路系统的处理行为;
检测单元,用于基于所述安全检测策略对所述操作行为进行安全检测,得到所述安全检测策略对应的第一检测结果,所述第一检测结果指示与所述第一检测结果对应的安全检测策略检测到的所述操作行为的安全情况;
汇总单元,用于在完成安全检测后,将所述安全检测策略对应的所述第一检测结果进行汇总,得到所述操作行为的第二检测结果,所述操作行为的第二检测结果用于指示所述操作行为的最终安全情况;
发送单元,用于当所述操作行为的第二检测结果指示所述操作行为有非法操作时,发送控制指令,所述控制指令用于指示对所述非法操作进行相应控制。
6.根据权利要求5所述的装置,其特征在于,所述检测单元包括:
第一检测子单元,用于在操作行为是主机从从机中读取数据的情况下,如果主机的安全级别高于从机的安全级别,得到操作行为是合法操作的第一检测结果;如果主机的安全级别低于从机的安全级别,得到操作行为是非法操作的第一检测结果;
第二检测子单元,用于在操作行为是主机向从机中写数据的情况下,如果主机的安全级别高于从机的安全级别,得到操作行为是非法操作的第一检测结果;如果主机的安全级别低于从机的安全级别,得到操作行为是合法操作的第一检测结果;
第三检测子单元,用于在操作行为是主机占用总线的情况下,如果主机的安全级别高于从机的安全级别,得到操作行为是合法操作的第一检测结果;如果主机的安全级别低于从机的安全级别,得到操作行为是非法操作的第一检测结果;
第四检测子单元,用于在操作行为是从机占用总线的情况下,如果主机的安全级别高于从机的安全级别,得到操作行为是非法操作的第一检测结果;如果主机的安全级别低于从机的安全级别,得到操作行为是合法操作的第一检测结果。
7.根据权利要求5所述的装置,其特征在于,所述检测单元包括:
第五检测子单元,用于如果操作行为对应的主机是已知合法操作中的主机,且所述操作行为对应的从机是同一个所述已知合法操作中的从机,得到指示所述操作行为是合法操作的第一检测结果。
8.根据权利要求5所述的装置,其特征在于,所述检测单元包括:
第六检测子单元,用于在操作行为对应的知识产权IP的安全级别为第一级别的情况下,如果所述IP触发的操作行为的数量小于第一阈值,得到所述操作行为是合法操作的第一检测结果;如果所述IP触发的操作行为的数量从小于第一阈值上升为大于第二阈值,得到所述操作行为是非法操作的第一检测结果;
第七检测子单元,用于在操作行为对应的IP的安全级别为第二级别的情况下,如果所述IP出发的操作行为的数量大于第三阈值,得到所述操作行为是非法操作的第一检测结果;如果所述IP出发的操作行为的数量小于等于第三阈值,得到所述操作行为是合法操作的第一检测结果;所述第一级别大于所述第二级别。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610305879.XA CN107358123B (zh) | 2016-05-10 | 2016-05-10 | 一种安全检测方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610305879.XA CN107358123B (zh) | 2016-05-10 | 2016-05-10 | 一种安全检测方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107358123A true CN107358123A (zh) | 2017-11-17 |
CN107358123B CN107358123B (zh) | 2020-11-03 |
Family
ID=60272165
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610305879.XA Active CN107358123B (zh) | 2016-05-10 | 2016-05-10 | 一种安全检测方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107358123B (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109547202A (zh) * | 2018-12-18 | 2019-03-29 | 国科量子通信网络有限公司 | 量子密钥回收的方法、装置及系统 |
CN110069374A (zh) * | 2019-04-28 | 2019-07-30 | 中国科学院微电子研究所 | 一种安全性测试方法及装置 |
CN111880768A (zh) * | 2020-07-23 | 2020-11-03 | 北京计算机技术及应用研究所 | 一种ip核代码级安全需求描述方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101334760A (zh) * | 2007-06-26 | 2008-12-31 | 展讯通信(上海)有限公司 | 监控总线非法操作的方法、装置及包含该装置的系统 |
CN101989242A (zh) * | 2010-11-12 | 2011-03-23 | 深圳国微技术有限公司 | 一种提高soc系统安全的总线监视器及其实现方法 |
CN102508750A (zh) * | 2011-10-27 | 2012-06-20 | 青岛海信信芯科技有限公司 | Soc内部模块检测装置及方法 |
CN104123511A (zh) * | 2014-07-28 | 2014-10-29 | 浪潮集团有限公司 | 一种具有可信计算功能的服务器中实现bmc安全管理的方法 |
-
2016
- 2016-05-10 CN CN201610305879.XA patent/CN107358123B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101334760A (zh) * | 2007-06-26 | 2008-12-31 | 展讯通信(上海)有限公司 | 监控总线非法操作的方法、装置及包含该装置的系统 |
CN101989242A (zh) * | 2010-11-12 | 2011-03-23 | 深圳国微技术有限公司 | 一种提高soc系统安全的总线监视器及其实现方法 |
CN102508750A (zh) * | 2011-10-27 | 2012-06-20 | 青岛海信信芯科技有限公司 | Soc内部模块检测装置及方法 |
CN104123511A (zh) * | 2014-07-28 | 2014-10-29 | 浪潮集团有限公司 | 一种具有可信计算功能的服务器中实现bmc安全管理的方法 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109547202A (zh) * | 2018-12-18 | 2019-03-29 | 国科量子通信网络有限公司 | 量子密钥回收的方法、装置及系统 |
CN109547202B (zh) * | 2018-12-18 | 2021-10-22 | 国科量子通信网络有限公司 | 量子密钥回收的方法、装置及系统 |
CN110069374A (zh) * | 2019-04-28 | 2019-07-30 | 中国科学院微电子研究所 | 一种安全性测试方法及装置 |
CN111880768A (zh) * | 2020-07-23 | 2020-11-03 | 北京计算机技术及应用研究所 | 一种ip核代码级安全需求描述方法 |
Also Published As
Publication number | Publication date |
---|---|
CN107358123B (zh) | 2020-11-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Rosenfeld et al. | Attacks and defenses for JTAG | |
Dong et al. | A multi-layer hardware trojan protection framework for IoT chips | |
US8549630B2 (en) | Trojan-resistant bus architecture and methods | |
CN103890771B (zh) | 用户定义的对抗措施 | |
US20120192271A1 (en) | Apparatus and Method for Enhancing Security of Data on a Host Computing Device and a Peripheral Device | |
CN104618395B (zh) | 一种基于可信网络连接的动态跨域访问控制系统及方法 | |
Xun et al. | VehicleEIDS: A novel external intrusion detection system based on vehicle voltage signals | |
CN101430752A (zh) | 计算机与移动存储设备的敏感数据交换控制模块及方法 | |
KR100966073B1 (ko) | 단말 사용자 관리 장치 및 방법 | |
CN206162540U (zh) | 一种智能型计算机网络安全隔离装置 | |
CN107358123A (zh) | 一种安全检测方法及装置 | |
CN107636670A (zh) | 功率管理通信的增强的安全性和保护免受旁道攻击 | |
CN104009959B (zh) | 一种基于xacml的可验证的云访问控制方法 | |
Hu et al. | Towards property driven hardware security | |
CN107317682A (zh) | 一种身份认证方法及系统 | |
CN108632274A (zh) | 一种局域网安全管理系统的监控端 | |
CN114239082A (zh) | 集成国密算法的抗攻击物联网安全芯片、方法及装置 | |
WO2019063617A1 (en) | IMPROVED CALCULATION DEVICE | |
Wang et al. | Vulnerability of deep learning model based anomaly detection in vehicle network | |
CN106973051A (zh) | 建立检测网络威胁模型的方法、装置、存储介质和处理器 | |
CN107743117A (zh) | 网闸及控制数据传输的方法和装置 | |
CN111985008A (zh) | 涉及用于检测硬件木马的电路的设备和方法 | |
CN109829314A (zh) | 一种危机事件驱动的自适应访问控制方法 | |
CN112631177B (zh) | 一种基于硬件加密传输的农业数据采集装置 | |
Lin et al. | Robust and efficient covert channel communications in operating systems: design, implementation and evaluation |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |