CN107911567B - 一种抵抗打印机物理攻击的系统和方法 - Google Patents

一种抵抗打印机物理攻击的系统和方法 Download PDF

Info

Publication number
CN107911567B
CN107911567B CN201711101935.9A CN201711101935A CN107911567B CN 107911567 B CN107911567 B CN 107911567B CN 201711101935 A CN201711101935 A CN 201711101935A CN 107911567 B CN107911567 B CN 107911567B
Authority
CN
China
Prior art keywords
module
data
printer
storage
key
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201711101935.9A
Other languages
English (en)
Other versions
CN107911567A (zh
Inventor
王泉
杨鹏飞
米鑫
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xidian University
Original Assignee
Xidian University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xidian University filed Critical Xidian University
Priority to CN201711101935.9A priority Critical patent/CN107911567B/zh
Publication of CN107911567A publication Critical patent/CN107911567A/zh
Application granted granted Critical
Publication of CN107911567B publication Critical patent/CN107911567B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N1/00Scanning, transmission or reproduction of documents or the like, e.g. facsimile transmission; Details thereof
    • H04N1/00127Connection or combination of a still picture apparatus with another apparatus, e.g. for storage, processing or transmission of still picture signals or of information associated with a still picture
    • H04N1/00204Connection or combination of a still picture apparatus with another apparatus, e.g. for storage, processing or transmission of still picture signals or of information associated with a still picture with a digital computer or a digital computer system, e.g. an internet server
    • H04N1/00209Transmitting or receiving image data, e.g. facsimile data, via a computer, e.g. using e-mail, a computer network, the internet, I-fax
    • H04N1/00222Transmitting or receiving image data, e.g. facsimile data, via a computer, e.g. using e-mail, a computer network, the internet, I-fax details of image data generation or reproduction, e.g. scan-to-email or network printing
    • H04N1/00233Transmitting or receiving image data, e.g. facsimile data, via a computer, e.g. using e-mail, a computer network, the internet, I-fax details of image data generation or reproduction, e.g. scan-to-email or network printing details of image data reproduction, e.g. network printing or remote image display
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N1/00Scanning, transmission or reproduction of documents or the like, e.g. facsimile transmission; Details thereof
    • H04N1/44Secrecy systems
    • H04N1/448Rendering the image unintelligible, e.g. scrambling
    • H04N1/4486Rendering the image unintelligible, e.g. scrambling using digital data encryption

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Multimedia (AREA)
  • Storage Device Security (AREA)

Abstract

本发明提出了一种抵抗打印机物理攻击的系统和方法,通过对打印机存储器和接口的明文数据进行加密和校验,同时对打印机行为进行实时监测,对潜在的攻击行为进行预警,旨在提高打印机的安全性,主控模块通过存储安全模块实现对打印机存储器的安全保护功能,通过接口安全模块实现对接口的安全保护功能,通过行为安全模块对物理攻击进行监测和预警,安全可信模块用于对存储安全模块和接口安全模块中所使用的加解密密钥和校验值进行管理,并对所使用的数据进行加解密和完整性验证。本发明有效的抵抗了针对打印机系统接口和存储器的窃听、伪造和重放等物理攻击,提高了打印机的安全性,且对打印机存储器的加密效率高,可用于保密要求高的打印机系统。

Description

一种抵抗打印机物理攻击的系统和方法
技术领域
本发明属于信息安全领域,涉及一种抵抗打印机物理攻击的系统和方法,用于保密要求高的打印机系统。
背景技术
打印机作为使用最广泛的办公设备之一,给人们提供了极大方便,但打印机设备作为重要数据输出源头,也极易造成信息泄密和病毒感染,因打印机漏洞而引起安全事件不断出现,打印机设备资源有限,传统安全协议无法在其上直接应用;且很多设备布置环境开放,攻击者拥有足够的时间和能力对其发起物理攻击,造成系统中关键数据失窃或被篡改,物理攻击可绕过防护软件,因此更加难以防范。
针对打印机的物理攻击主要体现在对打印机存储系统和接口的攻击,上述攻击主要通过信号探针搭接到系统总线上对总线信息实施探听,窃取内存中的涉密信息,甚至篡改和伪造总线消息。具体包括:
1.总线窃听:攻击者对主控芯片外部的接口进行窃听,读取接口信号,包括存储关键数据的存储器接口和数据传输接口。
2.伪造总线信号:伪造主控信号或者外部其他模块信号,对整个打印流程和打印信息进行攻击,使得攻击者可以冒充可信的系统模块,达到欺骗主控安全模块的目的。
3.修改总线信息:攻击者修改总线上数据,造成存储器和接口的数据非法,破坏打印机的正常工作。
4.重放数据:攻击者通过截获合法的总线数据,并在要攻击的时刻将截获的总线数据重新写入总线,这样不仅会增加打印机工作量,更重要的是影响打印机工作流程,同时也有可能会造成之前数据的泄露。
打印机系统中的接口安全保护方法,例如申请公布号为CN101795271A,名称为“网络安全打印系统及打印方法”的专利申请,公开了一种网络安全打印系统及打印方法,该发明由网络打印驱动器、嵌入式防火墙平台和客户端驱动器三部分组成,嵌入式防火墙平台主要用于数据的解密,该方法保证了在网络上数据传输的安全性,但是由于嵌入式防火墙平台与打印机直接采用明文数据传输,所以无法保证从嵌入式防火墙平台至打印机这部分的数据安全,给打印机系统和数据安全造成隐患。
打印机系统中的存储安全保护方法,例如TSLehman等人在会议《IEEE/ACMInternational Symposium on Microarchitecture》上发表了题目为“PoisonIvy:Safespeculation for secure memory”的论文(2016:1-13),论文中在存储器保护方面使用了目前广泛使用主从计数器的存储器保护方案,其结构上采用类似段页式管理的方式,存储页内的一个主计数器对应多个块计数器,在计数器溢出时,只需要对页内的存储块进行重加密,这种做法很大程度减少了重加密的数据量,但是仍需要对一个存储页内的多个存储块重加密,延迟也较高,并且因为其结构固定,会造成较大的存储资源开销;例如申请公布号为CN102629236A,名称为“基于不等长计数器的存储器保护方法”的专利申请,公开了一种基于不等长计数器的存储器保护方法,该方法根据内存访问频率来动态调整计数器的长度,虽然较长的计数器可用减少溢出,但是当溢出时对热区数据重加密会造成较大的延迟,同时数据页在热区和非热区两部分的迁移也会进行重加密的过程,会造成部分的开销。
综上所述,目前现有技术仅能够实现对接口或存储的单独保护,且无法对物理攻击进行监测和预警,导致其安全性较低。
发明内容
本发明的目的在于克服上述现有技术存在的缺陷,提出了一种抵抗打印机物理攻击的系统和方法,通过对打印机存储器和接口的明文数据进行加密和校验,同时对打印机行为进行实时监测,对潜在的攻击行为进行预警,旨在提高打印机的安全性。
为实现上述目的,本发明采取的技术方案为:
一种抵抗打印机物理攻击的系统,包括安全可信模块、存储安全模块、接口安全模块、行为安全模块和主控模块,其中:
主控模块,用于对打印机的流程进行控制,并实现与打印机存储器以及与外部设备的数据传输;
安全可信模块,用于对存储安全模块和接口安全模块中所使用的加解密密钥和校验值进行管理,并对存储安全模块和接口安全模块传输的数据进行加解密和完整性验证;
存储安全模块,用于对打印机存储器数据进行加解密和完整性校验,实现打印系统数据存储的安全防护;
接口安全模块,用于对打印机与外部设备传输的数据进行加解密和完整性校验,实现打印系统与外部设备数据传输的安全防护;
行为安全模块,用于监测针对打印机的攻击,并对异常行为进行预警。
上述一种抵抗打印机物理攻击的系统,所述安全可信模块,包括密钥管理模块、校验值管理模块、完整性校验模块和加解密模块,其中:
密钥管理模块,用于生成存储安全模块所用的加解密密钥和接口安全模块所用的会话密钥,并对所生成的密钥进行读取、更新和存储;
校验值管理模块,用于生成存储安全模块所用的校验值和接口安全模块所用的校验值,并对生成的校验值进行读取、更新和存储;
完整性校验模块,用于对存储安全模块的打印机存储器数据和接口安全模块的传输数据进行完整性校验;
加解密模块,用于对存储安全模块的打印机存储器数据和接口安全模块的传输数据进行加密和解密。
上述一种抵抗打印机物理攻击的系统,所述存储安全模块,包括数据读取模块和数据存储模块,其中:
数据读取模块,用于通过完整性校验模块对从打印机存储器中读取的密文数据进行完整性校验,通过加解密模块对经过完整性校验的密文数据进行解密,并将校验结果和明文数据传送给主控模块;
数据存储模块,用于通过加解密模块对明文数据进行加密,通过完整性校验模块对密文数据进行完整性校验生成校验值,并将密文数据存入到打印机存储器中,将校验值存入校验值管理模块中。
上述一种抵抗打印机物理攻击的系统,所述接口安全模块,包括身份认证模块、会话密钥协商模块、数据发送模块和数据接收模块,其中:
身份认证模块,用于对访问打印机的外部设备进行身份认证;
会话密钥协商模块,用于与外部设备进行会话密钥协商,以获取会话密钥;
数据发送模块,用于通过加解密模块,利用会话密钥对传输至外部设备的明文进行加密,通过校验值管理模块生成密文数据的校验值,并将密文数据和校验值传输至外部设备;
数据接收模块,通过完整性校验模块对密文数据进行完整性校验,通过加解密模块,利用会话密钥对由外部设备传输来的密文进行解密,并将校验结果和明文数据传送给主控模块。
上述一种抵抗打印机物理攻击的系统,所述行为安全模块,包括旁路信息监测模块、行为库模块和安全策略模块,其中:
旁路信息监测模块,用于监测打印机系统的电源功耗、关键路径时延、接口数据波形、动态电路和漏电流信息,并生成采集时刻当前打印机系统的操作行为;
行为库模块,用于存储打印机系统安全的操作行为集合;
安全策略模块,用于保存安全行为策略,并根据安全行为策略,对旁路信息监测模块中生成的当前操作行为与行为库模块中的操作行为进行对比分析,判断当前操作行为是否安全。
一种抵抗打印机物理攻击的方法,包括同时实现的对打印系统与外部设备数据传输的安全防护、打印系统数据存储的安全防护和对打印机物理攻击进行监测和预警:
(1)主控模块与外部设备进行数据安全传输,实现打印系统与外部设备数据传输的安全防护,实现步骤为:
(1a)主控模块根据外部设备发起的请求,判断传输数据是否使用接口安全模块传输,若是,执行步骤(1b),否则,直接与外部设备进行数据交换;
(1b)主控模块通过接口安全模块的身份认证模块对外部设备进行身份认证,若通过则执行(1c),否则拒绝执行;
(1c)接口安全模块通过安全可信模块的密钥管理模块生成会话密钥,并利用会话密钥协商模块与外部设备进行密钥协商,使外部设备得到会话密钥,再与外部设备进行数据传输,包括发送和接收两个部分,实现步骤为:
(1c1)接口安全模块通过安全可信模块中的加解密模块,利用会话密钥对数据进行加密,得到密文数据,并通过完整性校验模块对密文数据进行完整性校验,得到校验值,再通过数据发送模块将密文数据和校验值发送至外部设备;
(1c2)接口安全模块通过数据接收模块接收外部设备的密文数据,通过完整性校验模块对密文数据进行完整性校验,得的校验结果,并利用安全可信模块中加解密模块对该密文数据进行解密,并将得到的校验结果和明文数据传输至主控模块;
(2)主控模块与打印机存储器进行数据安全传输,实现打印系统数据存储的安全防护,实现步骤为:
(2a)对密钥管理模块进行初始化,得到打印机存储器的各存储页的块计数器值、动态压缩计数器值和活动密钥;
(2b)存储安全模块对明文数据进行加密,得到密文数据;
(2c)存储安全模块通过校验值管理模块,利用密文数据、密文数据的存储地址值、打印机存储器的动态压缩计数器值和密文数据的存储地址所在存储页的块计数器值,计算密文数据的校验值;
(2d)存储安全模块的数据存储模块将步骤(2b)的密文数据写入密文数据的存储地址中,同时将密文数据的校验值和密文数据的存储地址值存入校验值管理模块,将密文数据加密使用的活动密钥、密文数据的存储地址所在存储页的块计数器值和动态压缩计数器值存入密钥管理模块;
(2e)存储安全模块对密文数据进行校验和解密,得到密文数据的校验值和明文数据;
(2f)存储安全模块的数据读取模块将明文数据传输至主控模块;
(3)安全行为模块对打印机物理攻击进行监测和预警,实现步骤为:
(3a)安全行为模块的旁路信息监测模块对电源功耗、关键路径时延、接口数据波形、动态电路和漏电流信息进行实时监测,得到旁路监测数据;
(3b)安全行为模块的旁路信息监测模块利用张量分解特征提取方法,提取旁路监测数据的行为特征参数,得到行为特征参数样本;
(3c)安全行为模块的旁路信息监测模块利用神经网络模型,对行为特征参数样本进行训练,得到当前操作行为决策值;
(3d)安全行为模块的安全策略模块判断当前操作行为决策值与行为库模块中的安全操作行为集合中的决策值是否相等,若是,则系统继续运行,否则进行预警并停止系统运行。
本发明与现有技术相比,具有如下优点:
1.本发明在抵抗打印机物理攻击的过程中,无需外加额外的安全保护设备就可以同时抵抗针对打印机存储器和接口的物理攻击,并能够实时监测打印机状态,对异常行为或操作及时预警和处理,保护范围全面,与现有技术相比,有效的提高了打印机安全性。
2.本发明利用可信环境作为存储安全模块、接口安全模块、行为安全模块和安全可信模块的执行环境,保证了模块运行及其数据的安全和外部不可信的存储器以及外设接口安全,防止打印机存储器和接口中的数据被泄露、篡改和重放,与现有技术相比,进一步提高了打印机的安全性。
3.本发明在打印系统数据存储的安全防护过程中,采用了动态压缩计数器和活动密钥的方式,减少了重加密时的数据量,从而减少了重加密过程对性能的影响,与现有技术相比,提高了对打印机存储器的加密效率。
附图说明
图1是本发明抵抗打印机物理攻击系统的结构示意图;
图2是本发明抵抗打印机物理攻击系统的实现系统架构图;
图3是本发明抵抗打印机物理攻击方法的实现流程框图;
图4是本发明抵抗打印机物理攻击方法中接口安全模块保护的实现流程框图;
图5是本发明抵抗打印机物理攻击方法中存储安全模块写入打印机存储器数据的实现流程框图;
图6是本发明抵抗打印机物理攻击方法中存储器数据加密和生成校验的实现流程框图;
图7是本发明抵抗打印机物理攻击方法中存储安全模块读出打印机存储器数据的实现流程框图;
图8是本发明抵抗打印机物理攻击方法中存储器数据校验和解密的实现流程框图;
图9是本发明抵抗打印机物理攻击方法中对打印机物理攻击进行监测和预警实现流程框图。
具体实施方式
以下参照附图和具体实施例,对本发明作进一步详细说明。
参照图1,一种抵抗打印机物理攻击的系统,包括主控模块、接口安全模块、存储安全模块、行为安全模块和安全可信模块,通过使用TrustZone技术的硬隔离架构,将系统环境分为普通执行环境和可信执行环境两部分,普通执行环境中主要进行的是流程控制功能,而敏感数据的处理和运行在可信执行环境中,抵抗打印机物理攻击系统的实现系统架构如图2所示,普通执行环境应用层包括打印系统的主控模块,可信执行环境应用层包括安全可信模块、存储安全模块、接口安全模块和行为模型模块,可信执行环境作为加解密、密钥和校验值管理以及存储、接口和行为安全管理的资源环境,与打印机存储器和使用接口安全模块的外部设备接口连接,普通执行环境系统层包括普通操作系统内核、公共设备驱动和系统安全驱动,可信操作环境系统层包括监视器和可信操作系统内核,其中:
主控模块,用于对打印机的流程进行控制,并实现与打印机存储器以及与外部设备的数据传输,运行在普通执行环境,主控模块通过可信环境的功能API,使用存储安全模块和接口安全模块提供的安全服务;
安全可信模块,用于对存储安全模块和接口安全模块中所使用的加解密密钥和校验值进行管理,并对存储安全模块和接口安全模块传输的数据进行加解密和完整性验证,运行在可信执行环境,安全可信模块包括密钥管理模块、校验值管理模块、完整性校验模块和加解密模块,其中:
密钥管理模块,用于生成存储安全模块所用的块计数器值、动态压缩计数器值和加解密密钥和接口安全模块所用的会话密钥,并对所生成的计数器值(计数器值指的是块计数器值和动态压缩计数器值)或者密钥进行读取、更新和存储;
校验值管理模块,用于生成存储安全模块所用的校验值和接口安全模块所用的校验值,并对生成的校验值进行读取、更新和存储,在保护存储安全方面,校验值管理模块根据存储地址所在页的块计数器值、动态压缩计数器值和密文数据进行校验,得到密文数据的信息摘要,并作为存储密文数据的校验值,因为每次生成的校验值对应唯一一个计数器值,所以可以防止篡改和重放攻击,在保护接口安全方面,校验值管理模块生成接口传输密文数据的信息摘要,并作为接口密文数据的校验值;
完整性校验模块,用于对存储安全模块的打印机存储器数据和接口安全模块的传输数据进行完整性校验;
加解密模块,用于对存储安全模块的打印机存储器数据和接口安全模块的传输数据进行加密和解密;
存储安全模块,用于对打印机存储器数据进行加解密和完整性校验,实现打印系统数据存储的安全防护,包括数据读取模块和数据存储模块,运行在可信执行环境,其中:数据读取模块,用于通过完整性校验模块对从打印机存储器中读取的密文数据进行完整性校验,通过加解密模块对经过完整性校验的密文数据进行解密,并将校验结果和明文数据传送给主控模块;数据存储模块,用于通过加解密模块对明文数据进行加密,通过完整性校验模块对密文数据进行完整性校验生成校验值,并将密文数据存入到打印机存储器中,将校验值存入校验值管理模块中,运行在可信执行环境;
接口安全模块,用于对打印机与外部设备传输的数据进行加解密和完整性校验,实现打印系统与外部设备数据传输的安全防护,包括身份认证模块、会话密钥协商模块、数据发送模块和数据接收模块,运行在可信执行环境,其中:身份认证模块,用于对外部设备进行身份认证;会话密钥协商模块,用于与外部设备进行会话密钥协商,以获取会话密钥;数据发送模块,用于通过加解密模块,利用会话密钥对传输至外部设备的明文进行加密,通过校验值管理模块生成密文数据的校验值,并将密文数据和校验值传输至外部设备;数据接收模块,通过完整性校验模块对密文数据进行完整性校验,通过加解密模块,利用会话密钥对由外部设备传输来的密文进行解密,并将校验结果和明文数据传送给主控模块;
行为安全模块,用于监测针对打印机的攻击,并对异常行为进行预警,包括旁路信息监测模块、行为库模块和安全策略模块,运行在可信执行环境,其中:旁路信息监测模块,用于监测打印机系统的电源功耗、关键路径时延、接口数据波形、动态电路和漏电流信息,并生成采集时刻当前打印机系统的操作行为;行为库模块,用于存储打印机系统安全的操作行为集合;安全策略模块,用于保存安全行为策略,并根据安全行为策略,对旁路信息监测模块中生成的当前操作行为与行为库模块中的操作行为进行对比分析,判断当前操作行为是否安全。
参照图3,一种抵抗打印机物理攻击的方法,包括同时实现的对打印系统与外部设备数据传输的安全防护、打印系统数据存储的安全防护和对打印机物理攻击进行监测和预警,实现步骤为:
步骤1)主控模块与外部设备进行数据安全传输,实现打印系统与外部设备数据传输的安全防护,其实现流程如图4所示,具体步骤为:
步骤(1a)主控模块根据外部设备发起的请求,所以判断传输数据是否使用接口安全模块传输,若是,执行步骤(1b),否则,直接与外部设备进行数据交换;
步骤(1b)主控模块通过接口安全模块的身份认证模块对外部设备进行身份认证,若通过则执行步骤(1c),否则拒绝执行,身份认证的目的在于验证外设是否是打印机可信任的设备;
步骤(1c)接口安全模块通过安全可信模块的密钥管理模块生成会话密钥,并利用会话密钥协商模块使用RSA算法与外部设备进行密钥协商,使外部设备得到会话密钥,再与外部设备进行数据传输,双方数据加密通过会话密钥采用AES加密算法对传输数据加密,效率较高,其中包括发送和接收两个部分:
步骤(1c1)接口安全模块通过安全可信模块中的加解密模块,通过会话密钥采用AES加密算法对数据进行加密,得到密文数据,并通过完整性校验模块利用MD5算法对密文数据进行完整性校验,得到校验值,再通过数据发送模块将密文数据和校验值发送至外部设备;
步骤(1c2)接口安全模块通过数据接收模块接收外部设备的密文数据,通过完整性校验模块对密文数据进行完整性校验,得的校验结果,并利用安全可信模块中加解密模块对该密文数据进行解密,并将得到的校验结果和明文数据传输至主控模块;
步骤2)存储安全模块对明文数据进行加密和生成校验值,得到密文数据及其校验值,其实现流程如图5所示,具体步骤为:
步骤(2a)对密钥管理模块进行初始化,得到打印机存储器的各存储页的块计数器值、动态压缩计数器值和活动密钥,本步骤利用动态压缩计数器值和打印机存储器的各存储页的块计数器值生成加密计数器值,与现有技术方法相比,这样可以减少计数器溢出时重加密过程对系统性能的影响,一个动态压缩计数器可以由多个块计数器对应,同时采用多套密钥进行管理,形成了块计数器、动态压缩计数器和密钥的三级映射表的结构,由于对计数器值的管理更加灵活,减少了计数器的存储空间和重加密造成的延迟;
步骤(2b)存储安全模块对明文数据进行加密,得到密文数据,具体如下:
步骤(2b1)数据存储模块通过安全可信模块的密钥管理模块获得活动密钥,对于数据存储模块,密钥中分为活动密钥和非活动密钥,活动密钥用来加密或解密,非活动密钥只用来解密,活动密钥是用来加密的且唯一的一个密钥;
步骤(2b2)密钥管理模块将当前存储地址所在存储页的块计数器值加1,因为每个存储地址所在存储页的块计数器值的数据长度有限,同时需要保证动态压缩计数器值和存储地址所在存储页的块计数器值的连接值是唯一的,所以要判断当前存储地址所在存储页的块计数器的值是否超过块计数器数据长度范围,若是,执行步骤(2b3),否则执行步骤(2b7);
步骤(2b3)密钥管理模块将当前存储地址所在存储页的块计数器值复位,并判断是否有其他动态压缩计数器可用,若是,执行步骤(2b6),否则执行步骤(2b4);
步骤(2b4)密钥管理模块生成一个新的动态压缩计数器,并判断新的动态压缩计数器值是否超过动态压缩计数器数据长度范围,若是,执行步骤(2b5),否则执行步骤(2b7);
步骤(2b5)密钥管理模块将当前的活动密钥转换成非活动密钥并保存,非活动密钥是用来解密已加密过的密文数据,如果不进行保存,之前加密过的密文数据将找不到对应的解密密钥,无法进行解密,非活动密钥保存后,同时生成新密钥,并将该新密钥作为活动密钥;
步骤(2b6)密钥管理模块为该存储地址分配一个已存在的动态压缩计数器;
步骤(2b7)加解密模块利用活动密钥对存储地址、动态压缩计数器和当前存储地址所在存储页的块计数器值使用AES算法进行加密,得到加密密钥流,并利用加密密钥流与明文数据进行异或,得到密文数据;
步骤(2c)存储安全模块通过校验值管理模块,利用密文数据、密文数据的存储地址值、打印机存储器的动态压缩计数器值和密文数据的存储地址所在存储页的块计数器值,计算密文数据的校验值;
步骤(2d)存储安全模块加密和生成校验的流程如图6所示,密钥管理模块通过存储地址值得到活动密钥和计数器值并生成加密密钥流对明文数据异或得到密文数据,这里计数器值指的是动态压缩计数器值和存储地址所在存储页的块计数器值,将步骤(2b)的密文数据写入密文数据的存储地址中,同时将密文数据的校验值和密文数据的存储地址值所在存储页标号存入校验值管理模块,将密文数据加密使用的活动密钥、密文数据的存储地址所在存储页的块计数器值和动态压缩计数器值存入密钥管理模块;
步骤(2e)存储安全模块对密文数据进行校验和解密,得到密文数据的校验值和明文数据,其实现流程如图7所示,具体步骤为:
步骤(2e1)存储安全模块的数据读取模块从密文数据存储地址中读取密文数据,并将密文数据发送至安全可信模块的校验管理模块;
步骤(2e2)校验对比和解密的流程如图8所示,校验管理模块对密文数据值、密文数据的存储地址值、打印机存储器地址所在存储页的块计数器值和动态压缩计数器值进行完整性校验,得到的密文校验值,并判断该密文校验值与步骤(2c)生成的是否相同,若是,则执行步骤(2e3),否则报错;
步骤(2e3)加解密模块的密钥管理模块利用密文数据存储地址对应的加密密钥对存储地址、动态压缩计数器和当前存储地址所在存储页的块计数器值进行加密,得到解密密钥流,并利用解密密钥流与明文数据进行异或,得到明文数据;
步骤(2f)存储安全模块的数据读取模块将明文数据传输至主控模块;
参照图9,安全行为模块对打印机物理攻击进行监测和预警:
步骤(3a)安全行为模块的旁路信息监测模块对电源功耗、关键路径时延、接口数据波形、动态电路和漏电流信息进行实时监测,得到旁路监测数据;
步骤(3b)安全行为模块的旁路信息监测模块利用张量分解特征提取方法,提取旁路监测数据的行为特征参数,得到行为特征参数样本;
步骤(3c)安全行为模块的旁路信息监测模块利用神经网络模型,对行为特征参数样本进行训练,得到当前操作行为决策值;
步骤(3d)安全行为模块的安全策略模块判断当前操作行为决策值与行为库模块中的安全操作行为集合中的决策值是否相等,若是,则系统继续运行,否则进行预警并停止系统运行。

Claims (7)

1.一种抵抗打印机物理攻击的系统,其特征在于,包括安全可信模块、存储安全模块、接口安全模块、行为安全模块和主控模块,其中:
所述主控模块,用于对打印机的流程进行控制,并实现与打印机存储器以及与外部设备的数据传输;
所述安全可信模块,包括密钥管理模块、校验值管理模块、完整性校验模块和加解密模块,其中:
所述密钥管理模块,用于生成存储安全模块所用的加解密密钥和接口安全模块所用的会话密钥,并对所生成的密钥进行读取、更新和存储;
所述校验值管理模块,用于生成存储安全模块所用的校验值和接口安全模块所用的校验值,并对生成的校验值进行读取、更新和存储;
所述完整性校验模块,用于对存储安全模块的打印机存储器数据和接口安全模块的传输数据进行完整性校验;
所述加解密模块,用于对存储安全模块的打印机存储器数据和接口安全模块的传输数据进行加密和解密,
所述存储安全模块,用于对打印机存储器数据进行加解密和完整性校验,实现打印系统数据存储的安全防护;
所述接口安全模块,用于对打印机与外部设备传输的数据进行加解密和完整性校验,实现打印系统与外部设备数据传输的安全防护;
所述行为安全模块,用于监测针对打印机的攻击,并对异常行为进行预警。
2.根据权利要求1所述的一种抵抗打印机物理攻击的系统,其特征在于,所述存储安全模块,包括数据读取模块和数据存储模块,其中:
所述数据读取模块,用于通过完整性校验模块对从打印机存储器中读取的密文数据进行完整性校验,通过加解密模块对经过完整性校验的密文数据进行解密,并将校验结果和明文数据传送给主控模块;
所述数据存储模块,用于通过加解密模块对明文数据进行加密,通过完整性校验模块对密文数据进行完整性校验生成校验值,并将密文数据存入到打印机存储器中,将校验值存入校验值管理模块中。
3.根据权利要求1所述的一种抵抗打印机物理攻击的系统,其特征在于,所述接口安全模块,包括身份认证模块、会话密钥协商模块、数据发送模块和数据接收模块,其中:
所述身份认证模块,用于对访问打印机的外部设备进行身份认证;
所述会话密钥协商模块,用于与外部设备进行会话密钥协商,以获取会话密钥;
所述数据发送模块,用于通过加解密模块,利用会话密钥对传输至外部设备的明文进行加密,通过校验值管理模块生成密文数据的校验值,并将密文数据和校验值传输至外部设备;
所述数据接收模块,通过完整性校验模块对密文数据进行完整性校验,通过加解密模块,利用会话密钥对由外部设备传输来的密文进行解密,并将校验结果和明文数据传送给主控模块。
4.根据权利要求1所述的一种抵抗打印机物理攻击的系统,其特征在于,所述行为安全模块,包括旁路信息监测模块、行为库模块和安全策略模块,其中:
所述旁路信息监测模块,用于监测打印机系统的电源功耗、关键路径时延、接口数据波形、动态电路和漏电流信息,并生成采集时刻当前打印机系统的操作行为;
所述行为库模块,用于存储打印机系统安全的操作行为集合;
所述安全策略模块,用于保存安全行为策略,并根据安全行为策略,对旁路信息监测模块中生成的当前操作行为与行为库模块中的操作行为进行对比分析,判断当前操作行为是否安全。
5.一种抵抗打印机物理攻击的方法,其特征在于,包括同时实现的对打印系统与外部设备数据传输的安全防护、打印系统数据存储的安全防护和对打印机物理攻击进行监测和预警,实现步骤为:
(1)主控模块与外部设备进行数据安全传输,实现打印系统与外部设备数据传输的安全防护:
(1a)主控模块根据外部设备发起的请求,判断传输数据是否使用接口安全模块传输,若是,执行步骤(1b),否则,直接与外部设备进行数据交换;
(1b)主控模块通过接口安全模块的身份认证模块对外部设备进行身份认证,若通过则执行(1c),否则拒绝执行;
(1c)接口安全模块通过安全可信模块的密钥管理模块生成会话密钥,并利用会话密钥协商模块与外部设备进行密钥协商,使外部设备得到会话密钥,再与外部设备进行数据传输,包括发送和接收两个部分:
(1c1)接口安全模块通过安全可信模块中的加解密模块,利用会话密钥对数据进行加密,得到密文数据,并通过完整性校验模块对密文数据进行完整性校验,得到校验值,再通过数据发送模块将密文数据和校验值发送至外部设备;
(1c2)接口安全模块通过数据接收模块接收外部设备的密文数据,通过完整性校验模块对密文数据进行完整性校验,得的校验结果,并利用安全可信模块中加解密模块对该密文数据进行解密,并将得到的校验结果和明文数据传输至主控模块;
(2)主控模块与打印机存储器进行数据安全传输,实现打印系统数据存储的安全防护:
(2a)对密钥管理模块进行初始化,得到打印机存储器的各存储页的块计数器值、动态压缩计数器值和活动密钥;
(2b)存储安全模块对明文数据进行加密,得到密文数据;
(2c)存储安全模块通过校验值管理模块,利用密文数据、密文数据的存储地址值、打印机存储器的动态压缩计数器值和密文数据的存储地址所在存储页的块计数器值,计算密文数据的校验值;
(2d)存储安全模块的数据存储模块将步骤(2b)的密文数据写入密文数据的存储地址中,同时将密文数据的校验值和密文数据的存储地址值存入校验值管理模块,将密文数据加密使用的活动密钥、密文数据的存储地址所在存储页的块计数器值和动态压缩计数器值存入密钥管理模块;
(2e)存储安全模块对密文数据进行校验和解密,得到密文数据的校验值和明文数据;
(2f)存储安全模块的数据读取模块将明文数据传输至主控模块;
(3)安全行为模块对打印机物理攻击进行监测和预警:
(3a)安全行为模块的旁路信息监测模块对电源功耗、关键路径时延、接口数据波形、动态电路和漏电流信息进行实时监测,得到旁路监测数据;
(3b)安全行为模块的旁路信息监测模块利用张量分解特征提取方法,提取旁路监测数据的行为特征参数,得到行为特征参数样本;
(3c)安全行为模块的旁路信息监测模块利用神经网络模型,对行为特征参数样本进行训练,得到当前操作行为决策值;
(3d)安全行为模块的安全策略模块判断当前操作行为决策值与行为库模块中的安全操作行为集合中的决策值是否相等,若是,则系统继续运行,否则进行预警并停止系统运行。
6.根据权利要求5所述的一种抵抗打印机物理攻击的方法,其特征在于,步骤(2b)中所述的存储安全模块对明文数据进行加密,实现步骤为:
(2b1)数据存储模块通过安全可信模块的密钥管理模块获得活动密钥;
(2b2)密钥管理模块将当前存储地址所在存储页的块计数器值加1,并判断当前存储地址所在存储页的块计数器的值是否超过块计数器数据长度范围,若是,执行步骤(2b3),否则执行步骤(2b7);
(2b3)密钥管理模块将当前存储地址所在存储页的块计数器值复位,并判断是否有其他动态压缩计数器可用,若是,执行步骤(2b6),否则执行步骤(2b4);
(2b4)密钥管理模块生成一个新的动态压缩计数器,并判断新的动态压缩计数器值是否超过动态压缩计数器数据长度范围,若是,执行步骤(2b5),否则执行步骤(2b7);
(2b5)密钥管理模块将当前的活动密钥转换成非活动密钥并保存,同时生成新密钥,并将该新密钥作为活动密钥;
(2b6)密钥管理模块为该存储地址分配一个已存在的动态压缩计数器;
(2b7)加解密模块利用活动密钥对存储地址、动态压缩计数器和当前存储地址所在存储页的块计数器值进行加密,得到加密密钥流,并利用加密密钥流与明文数据进行异或,得到密文数据。
7.根据权利要求5所述的一种抵抗打印机物理攻击的方法,其特征在于,步骤(2e)中所述的存储安全模块对密文数据进行校验和解密,实现步骤为:
(2e1)存储安全模块的数据读取模块从密文数据存储地址中读取密文数据,并将密文数据发送至安全可信模块的校验管理模块;
(2e2)校验管理模块对密文数据值、密文数据的存储地址值、打印机存储器地址所在存储页的块计数器值和动态压缩计数器值进行完整性校验,得到的密文校验值,并判断该密文校验值与步骤(2c)生成的是否相同,若是,则执行步骤(2e3),否则报错;
(2e3)加解密模块利用密文数据存储地址对应的加密密钥对存储地址、动态压缩计数器和当前存储地址所在存储页的块计数器值进行加密,得到解密密钥流,并利用解密密钥流与明文数据进行异或,得到明文数据。
CN201711101935.9A 2017-11-10 2017-11-10 一种抵抗打印机物理攻击的系统和方法 Active CN107911567B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711101935.9A CN107911567B (zh) 2017-11-10 2017-11-10 一种抵抗打印机物理攻击的系统和方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711101935.9A CN107911567B (zh) 2017-11-10 2017-11-10 一种抵抗打印机物理攻击的系统和方法

Publications (2)

Publication Number Publication Date
CN107911567A CN107911567A (zh) 2018-04-13
CN107911567B true CN107911567B (zh) 2019-05-21

Family

ID=61844482

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711101935.9A Active CN107911567B (zh) 2017-11-10 2017-11-10 一种抵抗打印机物理攻击的系统和方法

Country Status (1)

Country Link
CN (1) CN107911567B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110764716B (zh) * 2018-12-04 2023-05-23 安天科技集团股份有限公司 基于流量的网络打印机安全检测方法、装置及存储介质
CN111314336B (zh) * 2020-02-11 2021-03-23 中国科学院信息工程研究所 一种面向抗追踪网络的动态传输路径构建方法及系统
CN112904992A (zh) * 2021-01-28 2021-06-04 珠海奔图电子有限公司 图像形成装置及其控制方法
CN114327305B (zh) * 2021-12-23 2024-07-30 中国农业银行股份有限公司 一种异常打印信息检测方法、装置、设备及存储介质
CN114495474B (zh) * 2022-02-16 2022-11-22 青岛克莱玛物联技术有限公司 一种无线遥控装置

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2460275B (en) * 2008-05-23 2012-12-19 Exacttrak Ltd A Communications and Security Device
CN101795271B (zh) * 2010-01-20 2012-10-31 西安电子科技大学 网络安全打印系统及打印方法
CN104581008B (zh) * 2013-10-17 2018-02-16 慧盾信息安全科技(苏州)股份有限公司 一种视频监控系统信息安全防护系统和方法
CN104883256B (zh) * 2014-02-27 2019-02-01 中国科学院数据与通信保护研究教育中心 一种抵抗物理攻击和系统攻击的密钥保护方法
CN105678190A (zh) * 2016-03-01 2016-06-15 福建省闽保信息技术股份有限公司 数据封存审计系统
CN106203146B (zh) * 2016-08-30 2017-04-26 广东港鑫科技有限公司 一种大数据安全管理系统
CN107274185A (zh) * 2017-08-15 2017-10-20 鼎讯网络安全技术有限公司 安全智能pos机及安全交易方法

Also Published As

Publication number Publication date
CN107911567A (zh) 2018-04-13

Similar Documents

Publication Publication Date Title
CN107911567B (zh) 一种抵抗打印机物理攻击的系统和方法
US9911010B2 (en) Secure field-programmable gate array (FPGA) architecture
Cohney et al. Pseudorandom black swans: Cache attacks on CTR_DRBG
CN109361668A (zh) 一种数据可信传输方法
Nguyen et al. Cloud-based secure logger for medical devices
CN100484036C (zh) 通过相邻监督对网络非法节点进行检测的方法
Xu et al. Data-provenance verification for secure hosts
US20200134180A1 (en) Enhanced protections against adversarial machine learning threats utilizing cryptography and hardware assisted monitoring in accelerators
CN114979210B (zh) 一种基于区块链的医疗数据共享方法
CN114546527A (zh) 一种纵向多方数据聚合计算解决方案系统
Cotret et al. Distributed security for communications and memories in a multiprocessor architecture
CN109246148A (zh) 报文处理方法、装置、系统、设备和计算机可读存储介质
CN105933117A (zh) 一种基于tpm秘钥安全存储的数据加解密装置和方法
CN111343421B (zh) 一种基于白盒加密的视频共享方法和系统
CN107944260A (zh) 一种恶意软件的行为阻断装置及方法
Zheng et al. Design and analysis of telemedicine authentication protocol
Shang et al. Cluster Nodes Integrity Attestation and Monitoring Scheme for Confidential Computing Platform
Jain et al. Security analysis of remote attestation
CN112311752A (zh) 一种物联网智能表计安全系统及实现方法
CN111600870B (zh) 一种双向通信认证方法及系统
CN114374519B (zh) 一种数据传输的方法、系统及设备
CN117560224B (zh) 一种密码治理系统和方法
McGregor et al. Virtual secure co-processing on general-purpose processors
Chen et al. MRA-IMA: Enhanced Mutual Remote Attestation Based on ARM TrustZone
CN118353680A (zh) 一种电力行业的gba可信通信应用系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant