CN108304717B - 用于安全监管的电路和方法 - Google Patents
用于安全监管的电路和方法 Download PDFInfo
- Publication number
- CN108304717B CN108304717B CN201710646843.2A CN201710646843A CN108304717B CN 108304717 B CN108304717 B CN 108304717B CN 201710646843 A CN201710646843 A CN 201710646843A CN 108304717 B CN108304717 B CN 108304717B
- Authority
- CN
- China
- Prior art keywords
- processor
- state machine
- finite state
- sensors
- sensor
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/08—Error detection or correction by redundancy in data representation, e.g. by using checking codes
- G06F11/10—Adding special bits or symbols to the coded information, e.g. parity check, casting out 9's or 11's
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/3058—Monitoring arrangements for monitoring environmental properties or parameters of the computing system or of the computing system component, e.g. monitoring of power, currents, temperature, humidity, position, vibrations
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/76—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in application-specific integrated circuits [ASIC] or field-programmable devices, e.g. field-programmable gate arrays [FPGA] or programmable logic devices [PLD]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/04—Inference or reasoning models
- G06N5/045—Explanation of inference; Explainable artificial intelligence [XAI]; Interpretable artificial intelligence
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/32—Monitoring with visual or acoustical indication of the functioning of the machine
- G06F11/324—Display of status information
- G06F11/327—Alarm or error message display
Abstract
公开了一种用于利用电路(120)来监测目标系统(110)的安全性的系统,该目标系统(110)包括至少一个处理器(111),并且其中:电路(120)包括有限状态机(122),该有限状态机(122)被配置为从分布在目标系统(110)中的一个或多个传感器(130)接收数据,至少一个传感器(130)位于目标系统(110)的处理器(111)上;有限状态机(122)被配置为响应于从传感器(130)接收的数据来确定状态输出;该系统基于所述状态输出来监测安全性。发展描述了使用自报警机构,该自报警机构包括编码器,用以利用冗余对状态进行编码,应用错误校正代码,与预定义的有效编码状态进行比较,向处理器触发警报,确定传感器上的动作和/或逆动和/或诊断和对策。
Description
技术领域
本发明总体上涉及数字数据处理领域,具体而言,涉及计算机安全领域。
背景技术
嵌入式系统可能会以多种不同方式被攻击。攻击可以是逻辑的(例如,“模糊”、密码分析、滥用设计较差的API的漏洞或缺陷)和/或物理的(例如,边信道或故障注入攻击)。攻击可以以不同的层(例如,硬件、固件、操作系统、应用层等)为目标。攻击可以随时间非常快速地被执行。单个漏洞可能会危及整个系统的安全。
在现有的嵌入式系统中,可以以多种不同的方式执行安全监管。可以通过使用协处理器执行安全监管。可替换地,安全监管可以使用给定处理器的时间共享(即,以与当前执行线程交错的方式)。在这两种情况下,与攻击的检测以及进一步对报警的触发相关联的延迟可能会构成攻击者进一步利用的安全漏洞。此外,安全监管机制本身也可能受到攻击。
用于以快速和反应性方式保护嵌入式系统的现有方法通常存在不足。例如,标题为“Embedded system insuring security and integrity,and method of increasingsecurity thereof”的US20070162964表现出局限性。
需要一种保护嵌入式系统的先进方法和系统。
发明内容
公开了一种用于利用电路来监测目标系统的安全性的系统,该目标系统包括至少一个处理器,并且其中:电路包括有限状态机,有限状态机被配置为从分布在目标系统中的一个或多个传感器接收数据,至少一个传感器位于目标系统的处理器上;有限状态机被配置为响应于从传感器接收的数据来确定状态输出;该系统基于所述状态输出来监测安全性。发展描述了使用自报警机构,该自报警机构包括编码器,用以利用冗余对状态进行编码,应用错误校正代码,与预定义的有效编码状态进行比较,向处理器触发警报,确定传感器上的动作和/或逆动和/或诊断和对策。
有利地,本发明的实施例允许非常快的响应时间,通常在时钟周期(或几个代码指令)的级别或量级内。这种反应度对于不断增加的攻击隐秘性和速度可以是有利对策。
有利地,根据本发明的安全监管电路或逻辑可以用其自身的防御机构(“自我保护机构”)来保护。
有利地,在一个实施例中,根据本发明的系统可以处理各种安全规则或策略(通过管理错误检测代码和/或错误校正代码中的阈值、量化环境的传感器的灵敏度的自适应重配置等。)
有利地,本发明的实施例可以适用于各种执行的环境。特别地,本发明的实施例可以允许保护与复杂系统相关联的大的攻击“面”(即,存在受攻击的许多缺陷或机会),例如在物联网(IoT)或复杂片上系统(SoC)的环境中。
附图说明
现在将参考附图以举例的方式描述本发明的实施例,在附图中相同的附图标记表示类似的元件,并且在附图中:
图1例示了根据本发明的安全监管的实施例;
图2详细描述了根据本发明的有限状态机FSM的示例性方面;
图3详细描述了根据本发明的决策逻辑电路的示例性方面;以及
图4示出了本发明的各个其它方面。
具体实施方式
在一些实施例中,本发明操纵一个或多个“有限状态机”、“决策逻辑”电路和“传感器”来监管包括“处理器”的“受监测系统”或“嵌入式系统”的安全性。
术语“有限状态机”,缩写为FSM,指代用于设计计算机程序(即,软件)和时序逻辑电路(即,硬件)两者的计算的数学模型。本发明的实施例可以专用于软件、或专用于硬件、或者组合软件和硬件实施例两者。
在数字电路中,FSM可以使用可编程逻辑器件、可编程逻辑控制器、逻辑门和触发器或继电器来构建。取决于实施例,FSM可以是摩尔机或米利(Mealy)机。在摩尔机中,FSM仅使用进入动作,即输出仅取决于状态。摩尔模型的优点是简化了FSM的行为。在一个实施例中,FSM可以是米利机。在米利机中,FSM仅使用输入动作,即输出取决于输入和状态。使用米利型FSM通常会减少状态的数量。在一个实施例中,FSM可以是UML(统一建模语言(UnifiedModeling Language)的缩写)机。
更一般地说,在本说明书中,表述“有限状态机”或有限状态机FSM可以由“控制器”代替。
有限状态机(FSM)可以处于有限数量的状态之一。有限状态机FSM一次只能处于一个状态。其在任何给定时间所处的状态被称为当前状态。当由触发事件或条件启动时,有限状态机FSM可以从一个状态改变到另一个状态(“转换”)。特定的有限状态机FSM由其状态列表并由每个转换的触发条件定义。状态机可以由状态转换表或列表或图来表示,针对每个状态示出对应的新状态或“输出状态”。它也可以由被称为状态图的有向图来表示。每个状态可以由一个节点(圆)表示,而边(箭头)可以示出从一个状态到另一个状态的转换。
术语“处理器”指代作为整体的处理器或处理器的核(在多核或众核处理器中)。处理器操作信息(“信息处理器”)。处理器可以被设计为符合冯诺依曼架构(包含处理单元和控制单元)。处理器可以是或包括以下各项中的一个或多个:微处理器、单个集成电路(IC)、专用指令集处理器(ASIP)、片上系统(SOC)、图形处理单元(GPU)、物理处理单元(PPU)、数字信号处理器(DSP)、浮点单元(FPU)、网络处理器、多核处理器、众核处理器、虚拟处理器等。在一个实施例中,处理器是中央处理单元(CPU)。
术语“传感器”超出其字面含义指代被配置为在环境中执行一个或多个测量和/或计算从所述测量导出的数据的硬件设备。在一个实施例中,传感器可以是“探针”。传感器可以是“环境”传感器。传感器可以检测逻辑(例如,表溢出、控制流图违规等)和/或物理(例如,定时、温度、电压变化)反常或异常或弱信号或错误。传感器可以测量局部环境在(或正在变为)标称条件之外(即,执行即时测量和/或漂移测量)。在一个实施例中,在本地执行测量和/或漂移测量。在一个实施例中,远程确定测量的进展。
关于空间,根据本发明的传感器可以散布在空间中(放置在芯片上的一些位置处,以便优化对甚至非常局部的攻击的检测的概率)。传感器可以近距离(放置在电路上或靠近要监测的电路)和/或远距离(被放置在嵌入式系统B上的根据本发明的系统可以访问远程嵌入式系统Ai的传感器,反之亦然)被访问。
关于时间,根据实施例,可以连续地、永久地、间断地、定期地或机会性地接收或检索从传感器接收的数据。
术语“嵌入式系统”或“受监测系统”指代通常计算机化的、在较大机械或电气系统内具有专用功能的系统,通常具有实时计算限制。嵌入式系统可以控制多个其它设备。嵌入式系统通常与低功耗、小尺寸、严格的工作范围和低单位成本(规模经济)相关联。当前的嵌入式系统可以包括微控制器或微处理器(例如,DSP数字信号处理器)中的一个或多个。嵌入式系统的复杂性可以从低复杂度(例如,单个微控制器芯片)到极高的复杂度(例如,互连单元的网络)变化。嵌入式系统常见于消费、工业、汽车、医疗、商业和军事应用中。因此,这些表达涉及位于各种环境(例如,家庭、智能城市、物联网、电网、云计算等)中的多种多样的系统(即,对象、设备、应用、机器人等)。
图1示出了本发明的具体实施例。
聚合来自分布式传感器130的数据的电路120还与决策逻辑电路140相关联,该决策逻辑电路140又控制位于受监测系统110中的至少一个处理器111。处理器111可以控制118一个或多个致动器(未示出),对受监测系统110逆动(retroact)。在这个框架中,处理器111可以被认为提供对控制受监测系统的特权访问(可能还有其它控制路径,但不一定提供直接控制访问)。
在一个实施例中,公开了一种用于利用电路120来监管(目标)系统110的安全性的方法,系统110包括至少一个处理器111,电路120包括与决策逻辑140相关联并且与系统110中分布的一个或多个传感器相关联的有限状态机122,该方法包括以下步骤:有限状态机122从多个硬件传感器130接收数据,至少一个传感器1303位于系统110中或位于系统110上;有限状态机122响应于从多个硬件传感器接收的数据而确定状态输出;有限状态机122受到监测有限状态机122的自报警机构1221的保护;决策逻辑140响应于有限状态机122的状态输出而确定一个或多个动作,并且向处理器111传送一个或多个动作。
在一些实施例中,处理器111可被解释为目标系统110的“大脑”。它集中信息、编译和/或处理信息、确定被施加给目标系统的环境的影响。它还提供了对受监测系统的(反馈)控制的特权访问。在一个实施例中,至少一个传感器1303位于或被放置在系统110的所述至少一个处理器111中或上。这有利地允许“直接”反馈。在其它实施例中,至少一个传感器1303位于系统110中,但不位于所述至少一个处理器111中(这仍然允许对事件或攻击的“间接”反馈,如由目标/受监测电路的“大脑”或逻辑电路所确定的)。
监管电路120包括有限状态机122,有限状态机FSM可任选地受自报警机构1221的自我保护并与决策逻辑140块相关联,决定逻辑140块控制至少一个传感器130,该至少一个传感器130被放置在受监测系统中并且被配置为将一个或多个消息发送到受监测系统的至少一个处理器。
消息可以包括合格的信息,例如优先级信息、威胁级别、概率信息等。由决策逻辑140发送的消息可以以适当的格式被隐式地格式化,以使得处理器可以处理它。在另一个实施例中,格式化步骤由处理器本身执行。
在一个实施例中,有限状态机FSM 122接收来源于一个或多个传感器130(例如,1301、1303、1303等)的数据(原始测量和/或解释的原始测量)。有限状态机FSM受保护机构1221的自我保护。有限状态机FSM 122将数据输出到决策逻辑140,决策逻辑140又控制一个或多个传感器和/或控制与受监测系统110相关联的处理器111。
所述的控制论调节实现了反应性安全监管系统(如果不是适应性安全监管系统)。如果受监测系统变化,则该监管可以相应地变化。监管系统对其受监测系统的不断适应使得监管能够通过传感反馈机制(即,由传感器实现)来将自身维持在可行状态。甚至,如果受监测系统保持稳定,则可以改变所提出的监测,例如由此允许进化的灵敏度。
在一个实施例中,该方法还包括以下步骤:决策逻辑140控制传感器130中的至少一个。在一个实施例中,该方法还包括以下步骤:有限状态机将由一个或多个传感器传送的数据与一个或多个预定义值或值的范围进行比较。硬件实施例也可以被配置为执行前述步骤。
在一个实施例中,一个或多个传感器可以是可配置的。在一个实施例中,一个或多个传感器可以由决策逻辑140来控制。
在一个实施例中,传感器是“被动的(passive)”(它测量并发送测量结果;它不能被远程控制)。在一个实施例中,传感器是“主动的(active)”(其测量并发送测量结果,并且可以例如通过调整灵敏度来远程调整)。在一个实施例中,传感器是静态的(只进行一次配置)。在一个实施例中,传感器是“动态”的(可实时配置)。
传感器可以被放置在不同位置(术语“在……中”可以用如“在……上”、“在……顶部上”、“在……下方”、“在……内部”、“被集成到……中”、“靠近于”、“相邻于”等的术语或表达来替代)。如传感器1301一样,可以远离电路120一定的距离放置传感器。如传感器1302一样,传感器可以被放置在电路120中。传感器可以被放置在处理器中(如传感器1303一样)或处理器外部(如传感器1304一样)。
传感器可以被放置在处理器上/中/内部。传感器网络可以分布在待监测的处理器和/或电路的表面上。可以紧邻地放置传感器,或者可以远程访问传感器,如在“物联网”的背景下。可以确定适合于某些类型的攻击的传感器的最佳放置。传感器的放置可以是随机的(例如,首先是随机的,稍后进一步细化)。处理器的制造可以逐步地或反应性地改进。在一些实施例中,可以移位一个或多个传感器以调整对攻击的灵敏度。在一些实施例中,一个或多个传感器可以自主地移动,例如在短距离内。
在一个实施例中,一个或多个传感器是可控的。例如,决策逻辑电路140可以被进一步配置为控制传感器130中的至少一个。
在一个实施例中,传感器是从包括以下各项的组中选择的硬件传感器:对环境的物理值进行测量的传感器;和被配置为确定数据完整性的传感器。测量环境的物理值的传感器可以发送真实值。被配置为确定逻辑完整性的传感器可以使用存储器来确定存储和比较CRC(循环冗余校验)值、TMR(三重模块冗余)类型的完整性。
在一个实施例中,传感器是从包括以下各项的组中选择的软件传感器:被配置为从注入系统110中的数据确定不变量的网络传感器;和调动处理器111的空闲资源以执行安全测试的仿真传感器。系统中的空闲资源可以起到传感器的作用。例如,空闲的CPU资源可用于执行完整性计算。在发生攻击的情况下,调动的资源可以检测错误并报告错误。通过使用未利用或未充分利用的计算资源,可以利用电路的复杂性来更好地对抗对手。换言之,也可以利用嵌入式系统的复杂性(其增大了攻击面)以通过调动可用资源来对抗所述攻击。
在一个实施例中,监管电路120和目标系统110被制造在一起,即是相同制造产品的一部分(它们是特定配置中的连接部件)。在一些实施例中,监管电路120可连接、或可拆除、或可附接、或可链接、或可移动到目标系统110上。因此,监管电路120可以用作附加的或外部的或补充的硬件(出于安全或测试目的)。在一个实施例中,两个部件110和120的关联是可逆的。在一个实施例中,该关联是不可逆的。物理连接例如可以使用粘合剂和/或胶水和/或电连接和/或磁性连接。一个或多个传感器也可以是可连接的、或可拆卸的、或可附接的、或可移动的(一些传感器可以位于预定义的位置处,而另一些传感器可以动态地附接)。因此,全局系统的不同部分可以以各种方式、静态地或动态地(例如,随着时间推移)重新布置。
图2示出了根据本发明的有限状态机FSM 122的细节的示例。
根据本发明,为了实现有限状态机FSM 122的状态的错误检测,可以有利地添加冗余(即,一些额外的数据用于检查一致性和/或恢复确定为被破坏的数据)。错误检测是对例如在从发送器到接收器的传输期间由噪声或其它损伤引起的错误的检测。如果存在2^n个状态,则可能无法使用冗余来验证FSM的给定状态(由n位表示)没有错误。例如,“下一状态”可以与CRC一起生成,或使用代码编码。这样做,在本发明的背景下,修改的FSM可以作为输入接收当前状态,以便实现滞后。换言之,将采取的动作的危急性可以取决于以前的危急性值。此外,尽管所有传感器恢复正常,但是危急性可以保持很高。事实上,可以预期,平静的情况是在攻击的两次发动之间,或者安全策略可能意味着一旦检测到攻击或重新定义的攻击次数则该部件将永远不会恢复到“正常”情况。
在一个实施例中,为了“编码(surcode)”FSM的状态,使用错误检测代码(EDC)。错误检测方案可以使用重复码和/或奇偶校验位和/或校验和和/或循环冗余校验(CRC)和/或加密哈希函数和/或错误校正代码。
除了错误检测之外,还可以使用错误校正。错误校正包括错误的检测以及原始的、无错误数据的重构。错误校正可以通过“反向错误校正”(也称为“自动重复请求”)和/或“前向错误校正(FEC)”实现。二者可以组合(“混合自动重复请求”)。错误校正代码可用于错误检测。具有最小汉明距离d的代码可以检测代码字中多达d-1个错误。如果希望有对待检测的最小错误数量的严格限制,则使用基于最小距离的错误校正代码进行错误检测是适合的。具有最小汉明距离d=2的代码可用于检测单个错误。
在一个实施例中,有限状态机122通过应用错误校正代码来执行使用冗余编码1223至少一个状态的步骤,该错误校正代码与阈值或最小距离相关联。在一个实施例中,有限状态机还可以通过参考多个预定义的有效编码状态来确定编码状态是有效的,然后将所述编码状态解码1224为解码状态,并将所述解码状态传送到决策逻辑140和状态改变逻辑1222。
换言之,块1223以编码形式来存储FSM状态(根据本发明,即向状态表示明确地添加冗余)。具体地,编码状态可以存在于码字中,该码字通过将错误检测代码(EDC)应用于“普通”状态而获得。错误检测代码与最小距离d相关联。
在一个实施例中,块1224执行以下步骤。如果编码状态块1223的输出(即,编码状态)是“有效”码字,则该有效码字由解码块1224解码,然后将解码状态发送到决策逻辑140和状态改变逻辑1222。并行地,可以将自报警位(1221)设置为不生效(de-assert)。
在一个实施例中,有限状态机FSM 122可以包括状态改变逻辑S.C.L.1222、编码状态1223和解码状态1224。状态改变逻辑S.C.L.可以是确定有限状态机FSM的状态转换的表和/或列表和/或图(例如,每个转换的触发条件和状态的列表)。状态改变逻辑S.C.L.可以接收和聚合传感器传送的数据。可以在1223处给出心跳。状态转换1221对应于下一计划状态的确定,其对应于作为状态改变逻辑1222的结果的编码状态1223。如果编码状态1223不正确(例如,不可能、不一致、解码不良等),则发生滞后1226(解码不良)。如果触发自报警1221,则可以修改状态改变逻辑S.C.L.。如果解码状态正确,则将其传送到决策逻辑140。
在一个实施例中,该方法还包括:响应于通过参考多个预定义的有效编码状态而确定编码状态无效,触发自报警机构1221的步骤。否则,如果编码块1223的输出(即,解码状态)不是有效的码字,则可以使自报警位1221生效(或不生效)。
有限状态机本身确实可以发出报警,以防在其状态中检测到一些不一致性。保护监管硬件是有利的,因为攻击可能存在于使其停用,随后攻击丧失监管的芯片或受监测系统。
在另一实施例中,如果触发自报警1221(换言之,解码状态不是合法的),则有限状态机FSM 122和/或决策逻辑可以直接向处理器111发出报警。
取决于解码块1224的配置,滞后信号1226可以携带两种信息。一方面,滞后信号1226的值可以是特殊状态,例如指示电路120中的错误。这例如允许决策逻辑模块(140)立即做出决定,因此能够及时通知CPU 111。另一方面,如果故障位的数量足够低(例如,当故障位的数量小于或等于(d-1)/2)时,则尽管有错误,也可以对普通码字进行解码。在这种情况下,可以通过自报警1221来通知FSM已经发生错误,但是其操作可以继续,尽管有错误。这种配置对于可靠的系统来说可以是有利的,该系统必须是可靠的(即,其中必须报告威胁)和安全的(即,必须保持工作尽可能长)。在一个实施例中,如果确定了攻击,则可以发出伪数据(例如,随机和/或预定义数据)。这有利于避免警告攻击者。为了使信息泄漏和/或被攻击者检测到最小化,该方法还可以包括确定和/或选择和/或执行预定义的对策的步骤,已知所述对策使得被攻击者检测到的概率最小化。
在一个实施例中,该方法还包括有限状态机FSM 122执行响应于所述比较来在多个预定义诊断之间确定诊断的步骤,所述预定义诊断包括以下各项中的一个或多个:正常情况、误警、局部或全局故障、局部或全局缺陷、物理攻击或网络逻辑攻击。
例如,担当“哨兵”的有限状态机可以确定以下诊断中的一个或多个:
-“正常情况”,其中,由传感器传送的数据在预定义的正常范围内;
-响应于检测到传感器数据中的小的、突然的和暂时的变化的“误警”;
-“故障”,例如,如果传感器的一个或多个响应值不是与“正常”和/或“标称”和/或“稳定”传感器的响应值相关联的那些(例如,与正常和/或标称条件相关联的值的范围或值的收集,预定义阈值等);或者通过检测传感器数据的变化,所述变化小于预定义阈值,与预定义的时间间隔相比是突然的并且在预定义的时间间隔上继续;
-待监测的系统中的“局部缺陷(local defect)”,例如通过检测高于预定义阈值的传感器数据中的变化,所述变化在低于预定义阈值的多个传感器上重复;局部缺陷的确定可以指示集中攻击;
-待监测的系统中的“全局缺陷”,通过检测高于预定义阈值的传感器数据中的变化,所述变化在超过预定义阈值的多个传感器上重复;
-“网络攻击”,如果在至少软件传感器检测到异常值的同时,基本上所有的硬件传感器都没有检测到任何异常值;
-“物理攻击”,如果基本上所有的或大多数传感器都传送异常值,例如通过检测到扫描目标电路的不利激光,所述扫描通常是有效攻击的开端。例如,这种早期检测能够在相邻的传感器中引起报警。
图3示出了决策逻辑140的细节。
在一个实施例中,决策逻辑140可以包括硬件和/或软件转换器141,其对有限状态机FSM的输出进行格式化并将格式化的输出传送到处理器111。在一个实施例中(“被动控制”),输出被配置为至少警告处理器(仅仅将消息发送到未修改的处理器,并且响应于该消息,处理器可以修改其行为)。在一个实施例(“主动控制”)中,输出可以直接地或者非直接地触发处理器中的变化(动作从输出导出,控制是主动的)。可任选地,转换器141可以由规则逻辑和/或储存库142进行补充或与其相关联或由其进行控制,在一个实施例中该规则逻辑和/或储存库142是可重新编程的。
块141可以包括一个或多个逻辑规则142。所述规则可以是本地的和/或被远程访问和/或远程本地上传。该规则可以是预定义的和/或动态定义的。
在一个实施例中,逻辑规则142可以是可编程的。
响应于FSM所确定的诊断,可以采取一种或多种对策。
尽管在简化的实施例中,有限状态机的任务是建立诊断并且决策逻辑的任务是基于所述诊断来决定和执行动作,但任务的定义可以以许多方式变化,解耦或反整合测量、比较、决策、规划和逆动的不同步骤中的一个或多个。换言之,有限状态机122和/或决策逻辑140可以直接或间接地有助于基于上游测量的下游动作的执行。
在一个实施例中,该方法还包括决策逻辑140执行选自组中的一个或多个步骤,所述组包括:修改一个或多个传感器中的一个或多个阈值、重置一个或多个传感器、暂时或永久地停用一个或多个传感器。
可替换地(即,独立地)或结合通过有限状态机122的诊断的确定,决策逻辑可以调整逆动回路的调节。
在一个实施例中,该方法还包括决策逻辑140将消息传送到处理器111,所述消息包括用于处理器的一个或多个指令,以执行从组中选择的一个或多个动作,所述组包括:终止处理器中的一个或多个服务、删除处理器中的数据、记录事件、重新协商用户会话、软重置处理、硬重启处理器、断开一个或多个端口或网络、断开电源、物理损坏或毁坏处理器。
取决于由FSM和/或决策逻辑140块执行的测量或数据比较,FMS和/或决策逻辑140块可以调整并采取多种动作。所述动作或步骤可以是逻辑的(例如,基于规则)和/或物理的(例如,适用于传感器)。
动作可以包括:什么都不做,修改一个或多个阈值(例如,通过调整传感器来增加安全级别,增加或减少测量或与传感器的通信等),重置一个或多个传感器(暂时的或非暂时的),停用一个或多个传感器(永久或非永久的),警告处理器以预测不合格或暂定合格的攻击;关闭一个或多个服务和/或端口和/或沙箱化一个或多个进程、执行主动防御(例如,通过执行预定义的防御机制),部分地删除数据(例如,本地秘密)例如首先与传感器相邻,即优选地擦除物理上靠近受损传感器的存储器单元;或与所述妥协的传感器逻辑相关的存储器/逻辑单元),直到全局删除(例如,如果攻击信号被重复),记录或记载事件,上传数据,警告连接到待监测系统的设备,重新协商用户会话,暂停CPU线程,恢复、触发软和/或硬重启,断开电源,物理损坏处理器(例如,为了保护数据,例如通过自毁、收捲硬件连接等)。
动作可以是多个。例如:可以设置表示系统受到攻击的保险丝。存储器和/或总线加密密钥可以被归零。因此,立刻,所有的程序和数据文件都(突然)丢失。
动作可以是前后联系的,例如本地。例如,它可以应用于位于芯片的给定区域中的传感器,以使得效果局部保持在该区域,而不改变电路的其它部分的标称活动。
当传感器或一组传感器发出报警时,推迟动作有时可能是有利的。事实上,安全性通常与可靠性相平衡。一些报警可能由非恶意用户引起,例如合法用户(例如,错误地使系统为非常热的地方,如洗衣机)。此外,攻击者通常不会立即使其攻击成功。他必须训练,以了解系统对他的诱惑(攻击场景)的响应。此外,任何攻击尝试都可能触及许多传感器:实际上,任何种类的故障在整个管芯内传播(例如,通过电源/接地网络),从而同时触及许多传感器。
图4示出了本发明的各个其它方面。
现在描述联网的FSM。
在一些实施例中,根据本发明的系统可以是“可配置”和/或“可编程”的。处理器和/或传感器和/或有限状态机和/或决策逻辑电路可以联网。
在一个实施例中,有限状态机和/或决策逻辑电路140还可以包括输入/输出接口410,其适于配置有限状态机122和/或由决策逻辑140访问的决策规则142的状态改变逻辑1222。
例如,可以经由输入/输出接口410来配置有限状态机122的状态改变逻辑1222(例如,表、图)。同样地,由决策逻辑140访问的决策规则142可被远程更新或升级。可以测试和/或实施远程访问的安全策略(例如,规则)。
取决于情况(所监测系统之间的局部拓扑和相关性方案),根据本发明的多个电路120(或其子部件)可以联网。例如,第一FSM.1可以与第二FSM.2(以及其它FSM.s 413)协作,例如借助共享逻辑规则411,合并管理攻击检测和对策的逻辑规则。
监管电路(有限状态机120和/或决策逻辑140)与处理器或CPU(111、414)之间的互连(和相依性)可能是复杂的:例如,第一处理器1可以与第二有限状态机2互连,而第二处理器2可以链接到第一有限状态机。这样的实施例在高性能计算环境或其中多个互连系统共存(例如,处理器核心、渲染农场、集群等)的任何其它环境中可能是有利的。
处于较低级别的细节,在特定且可任选的实施例中,规则数据库142和/或电路120内的SCL 1222可重新编程。为此,在一个实施例中,为电路120和/或决策逻辑140提供I/O接口410,其能够从各种数据源进行数据更新或升级(闪烁、重新编程等)。它可以是例如远程检索的逻辑规则411,存储器或高速缓存412,例如到另外的FSM 413和/或其它处理器414的桥或链路413。具有可重新编程特征的这个可任选实施例可以进一步独立地确保安全(例如,经验证和/或安全启动)。
换言之,SCL 1222和/或决策逻辑140认可根据本发明的监管电路的“智能”,而分布在受监测系统中(及其以外)的传感器对应于该“智能”覆盖的面。
现在讨论时间方面。
在一个实施例中,根据本发明的电路120的时钟1和处理器111的时钟2是独立时钟415。
从结构角度来看,术语“独立”意味着时钟频率可以不同。有利地,电路110和120不共享单点故障(例如,可以具有不同的电源),共享最少量的电路。换言之,在一些实施例中,电路110和120完全分离,或者至少共享最少量的公共电路。
有限状态机FSM时钟的频率等于或高于处理器的时钟频率,以便能够监测它(被动地)或监管它(主动地,在一定程度上控制它)。在一个实施例中,时间量子或心跳是随机地小的。在一个实施例中,频率不可配置,即,没有作用在状态机上的动作的前馈。在另一个实施例中,时钟是可配置的,即可以适应或适于处理器的频率。
现在描述其它实施例。
在一个实施例中,描述了一种用于利用电路(120)来监测目标系统(110)的安全性的系统,目标系统(110)包括至少一个处理器(111),其中,电路(120)包括有限状态机(122);有限状态机(122)被配置为从分布在目标系统(110)中的一个或多个传感器(130)接收数据,至少一个传感器(1303)位于目标系统(110)的至少一个处理器(111)上;有限状态机(122)被配置为响应于从传感器(130)接收的数据来确定状态输出;系统基于所述状态输出来监测目标系统(110)的安全性。
在一个发展中,有限状态机(122)包括监测所述有限状态机(122)的自报警机构(1221)。
在一个发展中,自报警机构包括编码器,所述编码器被配置为通过应用错误校正代码来利用冗余将有限状态机(122)的至少一个状态编码为编码状态(1223),所述错误校正代码与阈值和/或最小距离(例如,汉明距离)相关联。
在一个实施例中,如果通过参考多个预定义的有效编码状态将编码状态确定为有效,则将所述编码状态的解码状态(1224)传送到决策逻辑(140)和状态改变逻辑(1222)。
在一个实施例中,如果通过参考多个预定义的有效编码状态将编码状态确定为无效,则触发自报警机构(1221)并向至少一个处理器(111)传送警报。
在一个实施例中,有限状态机(122)还与决策逻辑(140)相关联,所述决策被配置为响应于有限状态机(122)的状态输出来确定一个或多个动作。
在一个实施例中,决策逻辑(140)被配置为将所述一个或多个动作传送到系统(110)的处理器(111)。
在一个实施例中,决策逻辑(140)被配置为控制传感器(130)中的至少一个传感器。
在一个实施例中,决策逻辑(140)被配置为修改一个或多个传感器中的一个或多个阈值,重置一个或多个传感器,和/或暂时或永久地停用一个或多个传感器。
在一个实施例中,有限状态机(122)和/或决策逻辑(140)被配置为将由一个或多个传感器传送的数据与一个或多个预定义值或值的范围进行比较。
在一个实施例中,有限状态机(122)被配置为响应于对数据的所述比较来在多个预定义诊断之间确定诊断,所述预定义诊断包括以下各项中的一个或多个:正常情况、误警、局部或全局故障、局部或全局缺陷、物理攻击或网络逻辑攻击。
在一个实施例中,决策逻辑(140)被配置为响应于由有限状态机确定的诊断来确定一个或多个对策。
在一个实施例中,决策逻辑(140)被配置为将消息传送到至少一个处理器(111),所述消息包括用于处理器(111)以执行一个或多个动作的一个或多个指令,所述一个或多个动作选自包括以下各项的组:终止处理器中执行的一个或多个服务;删除处理器中的数据;记录事件;重新协商用户会话;软重置处理器;硬重启处理器;断开一个或多个端口或网络;断开电源;物理损坏或毁坏处理器。
在一个发展中,至少一个传感器是选自包括以下各项的组的硬件传感器:测量环境的物理值的传感器;以及被配置为确定数据完整性的传感器。
测量环境的物理值的传感器发送真实值。被配置为确定逻辑完整性的传感器可以是用于确定存储和比较CRC值(例如,TMR类型的完整性)的存储器。
在一个发展中,至少一个传感器是选自包括以下各项的组的软件传感器:被配置为从注入系统(110)中的数据确定不变量的网络传感器;以及调动处理器(111)的空闲资源来执行安全测试的仿真传感器。
系统中的空闲资源可以起到传感器的作用。例如,空闲CPU资源可用于执行完整性计算。在发生攻击的情况下,调动的资源可以检测错误并报告错误。通过使用未利用或未充分利用的计算资源,可以利用电路的复杂性更好地对抗对手。换言之,通过调动可用资源,也可以利用嵌入式系统的复杂性(其增大了攻击面)来对抗所述攻击。
在一个实施例中,有限状态机和/或决策逻辑电路140还包括输入/输出接口,其用于配置有限状态机122的状态改变逻辑1222和/或由决策逻辑140访问的决策规则142。
在一个实施例中,根据本发明的电路是“可配置”和/或“可编程”的。可以经由I/O装置410来配置有限状态机122的状态改变逻辑1222。可以测试和/或实施远程访问的安全策略。同样地,由决策逻辑140访问的决策规则142可被远程更新或升级。
此外,并且可任选地,在一些实施例中,例如为了固定响应时间,可以使用零个、一个或多个高速缓存,可以使用零个、一个或多个缓冲器,可以使用零个、一个或多个大容量储存器(例如,硬盘驱动器),以及弹性处理装置(“云计算”)。
现在描述其它实施例。
在一个实施例中,公开了一种硬件扩展,其位于或定位为例如与处理器相邻,该处理器与多个传感器互连,其处理和聚合报警以便以及时的方式(通常在几个时钟周期内,如果不是单个时钟周期)来确定响应。
在一个实施例中,根据本发明的系统可以检测至少一个攻击,并且响应于所述攻击,在单个时钟周期内触发动作。
本发明的实施例可以通过使用混淆、欺骗保护(例如,时钟随机化或展开操作等)得到进一步保护,这可能迫使攻击者在注入扰动中不准确。
在一些实施例中,嵌入式系统或受监测系统是可以包括以下各项中的一个或多个的电路:片上系统(SoC)、系统级封装(SiP)、层叠封装(PoP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)、复杂可编程逻辑器件(CPLD)、多目标芯片(MPC)、超大规模集成(VLSI)电路或专用指令集处理器(ASIP)。
公开了一种利用监管电路(120)来监测目标系统(110)的安全性的方法,目标系统(110)包括至少一个处理器(111),电路(120)包括有限状态机(122);所述方法包括以下步骤:有限状态机(122)从分布在目标系统(110)中的一个或多个传感器(130)接收数据,至少一个传感器(1303)位于目标系统(110)中;有限状态机(122)响应于从所述一个或多个传感器(130)接收的数据来确定状态输出;以及监管电路基于所述状态输出来监测目标系统(110)的安全性;其中,有限状态机(122)包括编码器,所述编码器被配置为通过应用错误校正代码来利用冗余将有限状态机(122)的至少一个状态编码为编码状态(1223),所述错误校正代码与阈值和/或最小距离相关联。如前所述,可以执行其它方法步骤。
软件实施例包括但不限于固件、常驻软件、微代码等。本发明可以采用可从计算机可用或计算机可读介质访问的计算机程序产品的形式,该介质提供程序代码以供计算机或任何指令执行系统使用或结合其使用。计算机可用或计算机可读的可以是可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备使用或结合其使用的任何装置。介质可以是电子、磁性、光学、电磁、红外或半导体系统(或装置或设备)或传播介质。
Claims (13)
1.一种用于监测目标系统(110)的安全性的监管电路(120),所述目标系统(110)包括至少一个处理器(111),其中,
-所述监管电路(120)包括有限状态机(122);
-所述有限状态机(122)被配置为从一个或多个传感器(130)接收数据,至少一个传感器(1303)位于所述目标系统(110)中;
-所述有限状态机(122)被配置为响应于从所述一个或多个传感器(130)接收的数据来确定状态输出;
所述监管电路基于所述状态输出来监测所述目标系统(110)的安全性,
其中,所述有限状态机(122)包括监测所述有限状态机(122)的自报警机构(1221),
其中,所述自报警机构包括编码器,所述编码器被配置为通过应用错误校正代码来利用冗余将所述有限状态机(122)的至少一个状态编码成编码状态(1223),所述错误校正代码与阈值和/或最小距离相关联,
其中,如果通过参考多个预定义的有效编码状态将编码状态确定为有效,则将所述编码状态的解码状态(1224)传送到决策逻辑(140)和状态改变逻辑(1222)。
2.根据权利要求1所述的监管电路,其中,如果通过参考多个预定义的有效编码状态将编码状态确定为无效,则触发所述自报警机构(1221),并且向所述至少一个处理器(111)传送警报。
3.根据权利要求1所述的监管电路,其中,所述有限状态机(122)还与决策逻辑(140)相关联,所述决策逻辑被配置为响应于所述有限状态机(122)的所述状态输出来确定一个或多个动作。
4.根据权利要求3所述的监管电路,其中,所述决策逻辑(140)被配置为将所述一个或多个动作传送到所述系统(110)的所述处理器(111)。
5.根据权利要求3或4所述的监管电路,其中,所述决策逻辑(140)被配置为控制所述传感器(130)中的至少一个传感器,其中,所述决策逻辑(140)被配置为修改一个或多个传感器中的一个或多个阈值、和/或重置一个或多个传感器、和/或暂时地或永久地停用一个或多个传感器。
6.根据权利要求1-4中任一项所述的监管电路,其中,所述有限状态机(122)和/或所述决策逻辑(140)被配置为将由一个或多个传感器传送的数据与一个或多个预定义值或值的范围进行比较。
7.根据权利要求6所述的监管电路,其中,所述有限状态机(122)被配置为响应于对数据的所述比较来在多个预定义诊断之间确定诊断,所述预定义诊断包括以下各项中的一个或多个:正常情况、误警、局部或全局故障、局部或全局缺陷、物理攻击或网络逻辑攻击。
8.根据权利要求7所述的监管电路,其中,所述决策逻辑(140)被配置为响应于由所述有限状态机确定的诊断来确定一个或多个对策,和/或其中,所述决策逻辑(140)被配置为将消息传送到所述至少一个处理器(111),所述消息包括用于所述处理器(111)以执行一个或多个动作的一个或多个指令,所述一个或多个动作选自包括以下各项的组:终止所述处理器中执行的一个或多个服务;删除所述处理器中的数据;记录事件;重新协商用户会话;软重置所述处理器;硬重启所述处理器;断开一个或多个端口或网络;断开电源;物理损坏或毁坏所述处理器。
9.根据权利要求1-4中任一项所述的监管电路,其中,传感器是选自包括以下各项的组的硬件传感器:测量环境的物理值的传感器;以及被配置为确定数据完整性的传感器。
10.根据权利要求1-4中任一项所述的监管电路,其中,传感器是选自包括以下各项的组的软件传感器:被配置为从注入所述系统(110)中的数据确定不变量的网络传感器;以及调动所述处理器(111)的空闲资源来执行安全测试的仿真传感器。
11.根据权利要求1-4中任一项所述的监管电路,其中,所述至少一个传感器(1303)位于所述至少一个处理器(111)中或位于所述至少一个处理器(111)上。
12.根据权利要求1-4中任一项所述的监管电路,其中,所述有限状态机和/或所述决策逻辑140还包括输入/输出接口,所述输入/输出接口用于配置所述有限状态机122的状态改变逻辑1222和/或由所述决策逻辑140访问的决策规则142。
13.一种利用监管电路(120)来监测目标系统(110)的安全性的方法,所述目标系统(110)包括至少一个处理器(111),所述电路(120)包括有限状态机(122);所述方法包括以下步骤:
-所述有限状态机(122)从一个或多个传感器(130)接收数据,至少一个传感器(1303)位于所述目标系统(110)中;
-所述有限状态机(122)响应于从所述一个或多个传感器(130)接收的数据来确定状态输出;以及所述监管电路基于所述状态输出来监测所述目标系统(110)的安全性;
所述方法包括:基于所述状态输出来监测所述目标系统(110)的安全性,
所述方法包括:通过应用错误校正代码来利用冗余将所述有限状态机(122)的至少一个状态编码成编码状态(1223),所述错误校正代码与阈值和/或最小距离相关联,
其中,如果通过参考多个预定义的有效编码状态将编码状态确定为有效,则所述编码状态的解码状态(1224)被传送到决策逻辑(140)和状态改变逻辑(1222)。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP16305998.3A EP3279823B1 (en) | 2016-08-01 | 2016-08-01 | Security supervision |
EP16305998.3 | 2016-08-01 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108304717A CN108304717A (zh) | 2018-07-20 |
CN108304717B true CN108304717B (zh) | 2021-12-07 |
Family
ID=56896490
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710646843.2A Active CN108304717B (zh) | 2016-08-01 | 2017-08-01 | 用于安全监管的电路和方法 |
Country Status (4)
Country | Link |
---|---|
US (1) | US10607006B2 (zh) |
EP (1) | EP3279823B1 (zh) |
KR (1) | KR102034348B1 (zh) |
CN (1) | CN108304717B (zh) |
Families Citing this family (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20180053114A1 (en) | 2014-10-23 | 2018-02-22 | Brighterion, Inc. | Artificial intelligence for context classifier |
US10896421B2 (en) | 2014-04-02 | 2021-01-19 | Brighterion, Inc. | Smart retail analytics and commercial messaging |
US20150066771A1 (en) | 2014-08-08 | 2015-03-05 | Brighterion, Inc. | Fast access vectors in real-time behavioral profiling |
US20150032589A1 (en) | 2014-08-08 | 2015-01-29 | Brighterion, Inc. | Artificial intelligence fraud management solution |
US20160055427A1 (en) | 2014-10-15 | 2016-02-25 | Brighterion, Inc. | Method for providing data science, artificial intelligence and machine learning as-a-service |
US11080709B2 (en) | 2014-10-15 | 2021-08-03 | Brighterion, Inc. | Method of reducing financial losses in multiple payment channels upon a recognition of fraud first appearing in any one payment channel |
US20160078367A1 (en) | 2014-10-15 | 2016-03-17 | Brighterion, Inc. | Data clean-up method for improving predictive model training |
US20160063502A1 (en) | 2014-10-15 | 2016-03-03 | Brighterion, Inc. | Method for improving operating profits with better automated decision making with artificial intelligence |
US10546099B2 (en) | 2014-10-15 | 2020-01-28 | Brighterion, Inc. | Method of personalizing, individualizing, and automating the management of healthcare fraud-waste-abuse to unique individual healthcare providers |
US10290001B2 (en) | 2014-10-28 | 2019-05-14 | Brighterion, Inc. | Data breach detection |
US20180130006A1 (en) | 2015-03-31 | 2018-05-10 | Brighterion, Inc. | Addrressable smart agent data technology to detect unauthorized transaction activity |
US20210019449A1 (en) * | 2018-03-13 | 2021-01-21 | Drexel University | Enhanced circuity security through hidden state transitions |
US20190342297A1 (en) * | 2018-05-01 | 2019-11-07 | Brighterion, Inc. | Securing internet-of-things with smart-agent technology |
EP3623984A1 (en) * | 2018-09-17 | 2020-03-18 | Secure-IC SAS | Circuit configured to monitor a sensitive payload |
US11378934B2 (en) * | 2019-09-09 | 2022-07-05 | Baker Hughes Oilfield Operations Llc | Shadow function for protection monitoring systems |
US11366685B2 (en) | 2019-11-15 | 2022-06-21 | Synaptics Incorporated | Access filter for security subsystem |
US20230092190A1 (en) * | 2021-09-22 | 2023-03-23 | The Regents Of The University Of California | Two-layer side-channel attacks detection method and devices |
FR3136292A1 (fr) * | 2022-06-01 | 2023-12-08 | Electricite De France | Dispositif de communication réseau comprenant un automate fini |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5414833A (en) * | 1993-10-27 | 1995-05-09 | International Business Machines Corporation | Network security system and method using a parallel finite state machine adaptive active monitor and responder |
US6985845B1 (en) * | 2000-09-26 | 2006-01-10 | Koninklijke Philips Electronics N.V. | Security monitor of system runs software simulator in parallel |
CN104982049A (zh) * | 2013-02-07 | 2015-10-14 | 交互数字专利控股公司 | 用于定向网格初始化的方法和装置 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7197561B1 (en) * | 2001-03-28 | 2007-03-27 | Shoregroup, Inc. | Method and apparatus for maintaining the status of objects in computer networks using virtual state machines |
US20070162964A1 (en) | 2006-01-12 | 2007-07-12 | Wang Liang-Yun | Embedded system insuring security and integrity, and method of increasing security thereof |
JP2015527624A (ja) * | 2012-05-08 | 2015-09-17 | セレンティック エルティーディー. | 電子実体アーキテクチャの動的生成及び修正のための方法 |
KR101538424B1 (ko) * | 2012-10-30 | 2015-07-22 | 주식회사 케이티 | 결제 및 원격 모니터링을 위한 사용자 단말 |
US9087192B2 (en) * | 2013-09-10 | 2015-07-21 | Infineon Technologies Ag | Electronic circuit and method for monitoring a data processing |
-
2016
- 2016-08-01 EP EP16305998.3A patent/EP3279823B1/en active Active
-
2017
- 2017-07-27 US US15/661,906 patent/US10607006B2/en active Active
- 2017-07-31 KR KR1020170097306A patent/KR102034348B1/ko active IP Right Grant
- 2017-08-01 CN CN201710646843.2A patent/CN108304717B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5414833A (en) * | 1993-10-27 | 1995-05-09 | International Business Machines Corporation | Network security system and method using a parallel finite state machine adaptive active monitor and responder |
US6985845B1 (en) * | 2000-09-26 | 2006-01-10 | Koninklijke Philips Electronics N.V. | Security monitor of system runs software simulator in parallel |
CN104982049A (zh) * | 2013-02-07 | 2015-10-14 | 交互数字专利控股公司 | 用于定向网格初始化的方法和装置 |
Also Published As
Publication number | Publication date |
---|---|
EP3279823A1 (en) | 2018-02-07 |
KR20180019481A (ko) | 2018-02-26 |
CN108304717A (zh) | 2018-07-20 |
KR102034348B1 (ko) | 2019-11-08 |
US10607006B2 (en) | 2020-03-31 |
EP3279823B1 (en) | 2020-09-23 |
US20180032723A1 (en) | 2018-02-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108304717B (zh) | 用于安全监管的电路和方法 | |
CN113016168A (zh) | 工业系统事件检测和对应的响应 | |
US11734420B2 (en) | Snooping invalidation and snooping detection device and method | |
CN111869158A (zh) | 定量数字传感器 | |
KR20180050276A (ko) | 물리적 복제방지 기능을 위한 임베디드 테스트 회로 | |
US8448027B2 (en) | Energy-efficient failure detection and masking | |
US11972033B2 (en) | Alert handling | |
CN104991528A (zh) | Dcs信息安全控制方法及控制站 | |
US20120290882A1 (en) | Signal processing during fault conditions | |
RU2597472C2 (ru) | Способ и устройство для мониторинга устройства, оснащенного микропроцессором | |
Kriebel et al. | Robustness for smart cyber physical systems and internet-of-things: From adaptive robustness methods to reliability and security for machine learning | |
US20150185268A1 (en) | Monitoring Device for Monitoring a Circuit | |
Salehi et al. | PLCDefender: Improving remote attestation techniques for PLCs using physical model | |
Park et al. | Security of cyber-physical systems in the presence of transient sensor faults | |
Serpanos | Secure and resilient industrial control systems | |
TWI812042B (zh) | 安全系統 | |
JS et al. | Hardware trojan attacks in soc and noc | |
Lerner et al. | Application-level autonomic hardware to predict and preempt software attacks on industrial control systems | |
Al Maruf et al. | A timing-based framework for designing resilient cyber-physical systems under safety constraint | |
CN113219895B (zh) | 一种使能边缘控制器安全可信的装置和方法 | |
KR101925237B1 (ko) | 디지털 집적회로에 적용되는 esd 검출 장치, 방법 및 집적회로 | |
Kopetz et al. | Dependability | |
EP3661149A1 (en) | Test system and method for data analytics | |
Köylü et al. | Exploiting PUF Variation to Detect Fault Injection Attacks | |
Basu et al. | Titan: Uncovering the paradigm shift in security vulnerability at near-threshold computing |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |