CN108875432A - 用于识别电子安全模块上的物理操作的设备和方法 - Google Patents
用于识别电子安全模块上的物理操作的设备和方法 Download PDFInfo
- Publication number
- CN108875432A CN108875432A CN201810449391.3A CN201810449391A CN108875432A CN 108875432 A CN108875432 A CN 108875432A CN 201810449391 A CN201810449391 A CN 201810449391A CN 108875432 A CN108875432 A CN 108875432A
- Authority
- CN
- China
- Prior art keywords
- data
- monitoring
- monitoring device
- security module
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/86—Secure or tamper-resistant housings
- G06F21/87—Secure or tamper-resistant housings by means of encapsulation, e.g. for integrated circuits
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/86—Secure or tamper-resistant housings
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2143—Clearing memory, e.g. to prevent the data from being stolen
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Mathematical Physics (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Alarm Systems (AREA)
Abstract
本发明涉及一种用于识别安全模块(2,12)上的物理操作的设备(1,11),该安全模块存储安全重要的数据,该设备包括:传感器装置(4,14),其用于产生传感器数据,所述传感器数据描述对安全模块(2,12)的物理影响;和第一和第二监控装置(5,15,6,16),其中第一监控装置(5,15)设计用于,从传感器装置(4,14)接收传感器数据,并且基于传感器数据产生第一监控数据;和第二监控装置(6,16)设计用于,从第一监控装置(5,15)接收第一监控数据,并且借助于接收的第一监控数据来识别安全模块(2,12)的操作。借助两个彼此通信的分别能够确定安全模块上的操作的监控装置,确保安全模块的高的安全性。
Description
技术领域
本发明涉及一种用于识别电子安全模块上的物理操作的设备和方法。
背景技术
通常需要保护安全模块免受物理操作、例如免受安全模块的壳体的打开或钻孔,在所述安全模块中存储有安全重要的数据。这种保护能够根据篡改保护进行。对此,通常使用不同的篡改传感器,所述篡改传感器检测安全模块的物理特性。传感器数据通过评估算法来分析,以便识别操作。为了确保安全模块的高的保护,通常使用尤其精确的传感器和复杂的评估算法。
发明内容
在该背景下,本发明的目的在于,提供一种改进的用于识别电子安全模块上的物理操作的设备。
另一目的在于,提供一种改进的用于识别电子安全模块上的物理操作的方法。
据此,提出一种用于识别电子安全模块上的物理操作的设备,所述安全模块存储安全重要的数据。设备包括:传感器装置,所述传感器装置用于产生传感器数据,所述传感器数据描述对安全模块的物理影响;和第一和第二监控装置。第一监控装置被设计用于,从传感器装置接收产生的传感器数据,并且基于接收到的传感器数据产生第一监控数据,并且第二监控装置被设计用于,从第一监控装置接收第一监控数据,并且借助于接收到的第一监控数据来识别安全模块的操作。
电子安全模块尤其是硬件安全模块(HSM),在所述硬件安全模块中能够存储和安全地实施安全重要的数据。安全模块能够包括壳体,在所述壳体中包含有安全模块的电子部件。安全模块能够是计算机或计算机的一部分,例如可信平台模块(TPM)。所述安全模块也能够是VPN盒(虚拟私人网络)、用于开具证书的公钥基础设施(PKI)、硬件置信锚固件、芯片卡控制器或硬件加密控制器。
安全重要的数据能够是机密的、私人的数据,所述数据不应通过未授权的用户读出或存储。例如,所述安全重要的数据是密钥、尤其是加密密钥。所述密钥能够通过安全模块本身产生,或者仅在安全模块上存储。
安全模块的物理操作例如能够通过恶意的人员进行,所述人员希望访问安全重要的数据。物理操作尤其是篡改攻击。操作尤其能够是对安全模块的攻击,例如通过打开、破坏或钻孔壳体或设置在壳体之内的保护包覆装置,诸如布置在壳体中的电路板的填料或保护覆盖件。操作也能够是安全模块的不期望的运动,例如当偷窃安全模块时。此外,例如能够设有用于识别热辐射的红外传感器或光传感器。
通过传感器装置产生的传感器数据描述对安全模块的物理影响,尤其是在操作时对安全模块的影响。影响例如能够作为安全模块的物理特性或安全模块附近、尤其壳体附近的物理特性来表达。物理影响的示例下面还更详细地描述。传感器数据能够连续地或周期性地产生、提供或询问和评估。
第一监控装置或第一篡改监控装置尤其能够访问传感器装置。第一监控装置和传感器装置能够对此无线地或经由线缆连接彼此交换数据。由此,第一监控装置尤其能够接收传感器数据。此外,所述第一监控装置例如能够通过评估算法产生第一传递数据。第一传递数据能够与传感器数据是相同的。所述第一传递数据也能够是经过处理的传感器数据。第一监控装置例如作为加密控制器实现。
由第一监控装置产生的第一监控数据尤其传递到第二监控装置上。所述传递能够经由电连接、例如SPI接口、I2C接口、RS232接口、USB接口、光学接口、光波导或线缆进行,它们将第一监控装置与第二监控装置连接。此外,传递在一个变型形式中能够无线地、例如经由WLAN或蓝牙进行。
第二传递装置尤其对接收到的监控数据进行评估,以便确定,在安全模块上是否存在操作。
安全模块上的操作能够通过第二传递装置识别,即使当第一传递装置未识别时。由此,提高安全模块的安全性。此外,第二传递装置也能够适合于,确认由第一传递装置识别的操作。由此能够避免,第一传递装置有错误地识别操作。因此,所描述的设备提供提高的操作保护或篡改保护。
根据一个实施方式,第二监控装置被设计用于,从传感器装置接收检测的传感器数据,并且基于接收到的传感器数据产生第二监控数据。此外,第一监控装置在该实施方式中被设计用于,从第二监控装置接收第二监控数据,并且借助于接收到的第二监控数据来识别安全模块的操作。
尤其地,第二监控装置能够与第一监控装置相同地设计。由此,例如第二监控装置也能够基于接收到的传感器数据来产生第二监控数据,并且将所述第二监控数据传递到第一监控装置,以便第一监控装置识别操作。
第一和第二监控装置能够相同地或不同地处理接收的传感器数据,使得产生相同的或不同的第一和第二监控数据。两个监控装置能够交换所述监控数据。尤其地,两个监控装置能够借助于分别接收的监控数据识别操作。两个传递装置能够相互监控。两个传递装置中的每个能够与另一个无关地识别操作,并且触发用于保护安全模块的相应的处理。
安全模块的安全性可以通过如下方式提高:操作不仅能够通过第一监控装置而且能够通过第二监控装置识别。如果操作通过第一或第二监控装置忽视,那么所述操作还能够通过另外的监控装置识别。由此,能够进一步提高安全模块的安全性。
根据另一实施方式,第一和/或第二监控装置还被设计用于,当第一和/或第二监控装置识别到操作时,至少部分地清除安全重要的数据。
安全重要的数据能够分配给两个监控装置中的至少一个。例如,每个监控装置能够分配有安全重要的数据的一部分。尤其地,安全重要的数据存储在密钥存储器中。如果识别到操作,那么监控装置能够提供用于清除或封锁安全重要的数据、或其至少一部分的清除信号。通过在操作时清除安全重要的数据,能够避免,操作安全模块的恶意的人员到达安全重要的数据。
如果识别到操作,那么也能够改变安全重要的数据,使得将错误的数据替代原始的安全重要的数据存储在安全模块中。于是,恶意的人员在不注意的情况下得到错误的数据。
根据另一实施方式,传感器装置被设计用于,作为对安全模块的物理影响,检测安全模块的至少一个运动或加速度、噪声水平、亮度、运动、气体组成、振动频率或振动样式、或在安全模块之内的或附近的温度。
所述物理影响尤其通过对安全模块的操作引起。
为了检测所述物理影响,传感器装置尤其包括传感器。例如,安全模块的运动能够通过位置传感器来检测,所述位置传感器例如检测安全模块的GPS位置或安全模块的平移/旋转。如果安全模块在操作时例如偷窃、翻转或通常运动,那么所述操作能够通过第一和/或第二监控装置识别。
在安全模块之内或附近的噪声水平或噪声样式能够通过声音传感器或加速度传感器、例如MEMS传感器来检测,该声音传感器例如测量安全模块上的音强。如果安全模块在操作时被锯切、钻孔或用工具破坏,则通过声音传感器检测的音强或噪声样式改变,并且所述操作能够通过第一和/或第二监控装置识别。
在安全模块之内或附近的亮度能够通过光传感器来检测。如果安全模块或安全模块的壳体在操作时打开,那么通过光传感器检测的亮度升高,并且所述操作能够通过第一和/或第二监控装置识别。
在安全模块之内或附近的运动能够通过接近传感器、例如红外传感器来检测。如果恶意的用户接近安全模块,那么接近传感器发觉该接近,并且操作能够通过第一和/或第二监控装置识别。
在安全模块之内或附近的气体组成能够通过化学传感器检测。所述化学传感器例如能够分析安全模块之内的气体组成。在气体的化学组成突然变化时,识别到操作。
安全模块的振动频率或振动样式例如能够通过安全模块在操作的范围中的运动或钻孔而改变。在这种改变时,能够识别操作。相同地,通过温度传感器检测的温度变化也能够说明操作。
当然,替代所述物理传感器,能够将任意传感器用于检测对安全模块的任意物理影响。例如,传感器装置也能够包括孔保护薄膜。
监控装置也能够识别在多个事件组合时的操作,例如当首先检测到接近安全模块的运动,并且随后检测到安全模块的运动时。
在识别操作时,尤其也能够识别,对于操作执行了什么,尤其是恶意的人员借助何种工具执行操作。由此,例如能够识别操作的类别。尤其地,第一和/或第二监控装置可以在另外的监控装置的正常失效和操作之间进行区分,使得第一和/或第二监控装置在另外的监控装置正常失效时能够存储所述另外的监控装置的安全重要的数据。
根据另一实施方式,传感器装置包括多个传感器,所述传感器分别检测对安全模块的物理影响。
多个传感器的示例已经在上文中提到。可能的是,多个传感器检测相同的物理影响,例如音强。这是有用的,因为即使当传感器之一故障时,至少一个另外的传感器仍能够检测相同的物理影响,并且由此不忽视操作。
此外,传感器能够彼此地点分离地布置在安全模块中,使得也能够识别仅在安全模块的一侧上进行的操作。
传感器也能够检测不同的影响。传感器的至少一部分能够分配给第一或第二监控装置,使得每个监控装置具有其自身的所分配的传感器。
根据另一实施方式,第一和/或第二监控装置在如下情况下识别到安全模块的操作:
分别另外的监控装置识别到安全模块的操作;和/或
由分别另外的监控装置传递的监控数据位于预先确定的范围中,所述预先确定的范围表征物理操作;和/或
第一和第二监控数据通过第一和/或第二监控装置的比较得出,所述监控数据彼此不一致或矛盾;和/或
由另外的监控装置传递的监控数据是有错误的。
如果一个监控装置识别到或报告操作,那么另一个监控装置也能够识别所述操作。尤其地,识别到操作的监控装置能够将所述操作通知给另外的操作装置。由此,两个监控装置中的每个监控装置都能够识别操作,并且触发用于保护安全模块的相应的处理。
此外,操作在如下情况下能够通过监控装置之一识别:由另一个监控装置传递的监控数据位于预先确定的范围中,所述预先确定的范围表征物理操作。所述范围的边界值尤其能够事先存储在第一和/或第二监控装置中。如果接收的监控数据位于预先确定的范围之外,那么第一和/或第二监控装置确定,刚好不发生操作。这也能够作为阈值比较来考虑。
此外,操作在如下情况下能够通过监控装置之一识别:第一和第二监控数据通过第一和/或第二监控装置的比较得出,所述监控数据彼此不一致或矛盾。尤其地,第一和/或第二监控装置检查,自身的监控数据与另外的监控装置的监控数据的偏差是否大于允许的偏差。
如果第一和第二监控数据基于相同的传感器数据或者基于独立检测的基于共同的物理效应的传感器数据来产生,那么能够预期,所述监控数据是相同的或至少一致的。如果不是这种情况,例如如果一个监控装置通过恶意的人员操作,那么操作能够通过另一个监控装置识别。
即使第一和第二监控装置分别分配有检测相同的物理影响的传感器,也预期,第一和第二监控数据是相同的或至少一致的。如果不是这种情况,例如如果一个传感器通过恶意的人员操作/破坏,那么操作能够通过另外的监控装置识别。通过第一和/或第二监控装置关于一致性检查第一和第二监控数据,恶意的人员必须以耗费的方式同步地破坏/操作两个传感器,以便识别不了操作。由此,能够提高安全模块的安全性。
此外,操作在如下情况下能够通过监控装置之一识别:由另一个监控装置传递的监控数据有错误或不可信。有错误的监控数据尤其是具有无效格式的监控数据,或者由于其值显得不可信。在加密保护的监控数据中,无效的加密校验和也能够说明有错误的监控数据。
根据另一实施方式,第一和/或第二监控装置还被设计用于,接收规律地由另外的监控装置发送的监控数据,并且在如下情况下识别到安全模块的操作:第一和/或第二监控装置在应接收由另外的监控装置发送的监控数据的时刻或时间段期间,未接收到另外的监控装置的监控数据。
规律地发送监控数据在此尤其表示,监控数据以定期的间隔、例如每秒发送。尤其地,也规律地产生传感器数据。尤其能够进行相互监控:分别另外的监控装置是否还有效。当另外的监控装置的预期的监控数据消失时,能够识别到操作。
为了操作既不通过第一又不通过第二监控装置识别,恶意的人员必须同步地破坏/操作第一和/或第二监控装置,这是极其耗费的。尤其不可能的是,仅操作监控装置中的一个。由此,在两个监控装置的情况下成功操作的耗费不仅为在唯一的监控装置的情况下的两倍大,而且甚至还更高,因为两个独立的监控装置必须一致地并且同时地操作。因此,根据该实施方式,安全模块的安全性还能够提高。
根据另一实施方式,安全重要的数据至少由第一和第二密钥部分构成,所述第一和第二密钥部分以唯一的方式形成密钥对,其中当第一和/或第二监控装置识别到安全模块的操作时,第一和/或第二监控装置清除第一和/或第二密钥部分。
安全重要的数据能够由多个属于同一整体的部分形成。例如,这些部分是两个密钥部分,所述两个密钥部分形成密钥对,尤其加密的密钥对。如果识别到操作,那么能够清除至少一个密钥部分。尤其足够的是,仅清除一个密钥部分,因为另外的密钥在没有与其相关的密钥部分的情况下不能够使用。即使监控装置中的仅仅一个识别到操作,恶意的人员不能够得到可用的密钥。
根据另一实施方式,第一和/或第二监控装置被设计用于,将第一和/或第二监控数据以密码加密的方式传递和/或存储。尤其地,监控数据通过加密的校验和、例如通过消息认证码或数字签名来保护。两个监控装置能够使用共同的密钥,或者所述两个监控装置能够分别具有密钥对的一部分,尤其公共的或私人的密钥部分。
根据另一实施方式,第一和/或第二监控装置被设计用于,当所述第一和/或第二监控装置识别到安全模块的操作时,发出报警信号。报警信号例如能够传递给可信人员。也能够外部触发警报。由此,能够附加地保护安全模块,并且可以防止对其他安全模块的操作。
根据另一实施方式,第一和/或第二监控装置通过样式识别、阈值比较和/或借助神经元网络评估第一和/或第二监控数据,以便识别物理操作。
尤其地,样式识别数据和阈值数据能够事先在安全模块的存储器中、例如在RAM中存储。借助样式识别,第一和/或第二监控装置尤其能够识别,第一和/或第二监控数据是否具有与操作典型的数据或样式识别数据的相似性。
在阈值比较中,将监控数据与预先存储的阈值数据进行比较,所述阈值数据说明操作。借助神经元网络,监控装置能够持续地学习、尤其识别新的监控数据序列,所述监控数据序列是操作典型的。通过经由样式识别、阈值比较和/或借助神经元网络评估监控数据,监控装置能够以可靠的方式识别操作。
根据另一实施方式,第一和第二监控装置设置在安全模块的相同的物理区域中。尤其地,第一和第二监控装置设置在相同的壳体中或设置在布置于壳体中的电子组件的共同的包覆装置之内。
根据另一实施方式,第一和第二监控装置设置在安全模块的物理彼此分离的区域中。尤其地,安全模块具有至少两个不同的区域。例如,安全模块能够具有分别具有安全模块的内部和外部区域。由此,能够保护两个区域。在每个区域中能够存储安全重要的数据的一部分,使得每个区域形成安全模块部分。如果攻击者成功地攻击或操作一个安全模块部分,则另一个安全模块部分能够清除其安全重要的数据的部分,使得攻击者得到不了安全重要的数据的完整的组。此外,在内部区域中布置的安全模块能够评估传感器数据,所述传感器数据由布置在安全模块的内部区域中的传感器所检测。相应地,在外部区域中布置的安全模块能够评估传感器数据,所述传感器数据由布置在安全模块的外部区域中的传感器所检测。
根据另一实施方式,第一或第二监控装置固定地与安全模块集成,而另外的监控装置能够从安全模块中或上去除。可去除的监控装置例如能够在内部或外部插接到安全模块上。
根据另一实施方式,设有至少一个第三监控装置。第三监控装置尤其具有与第一和第二监控装置相同的功能。由此,任意多的监控装置能够相互监控。例如,每个监控装置能够监控其他的监控装置中的每个,或者监控装置能够分别成对地监控。
根据另一实施方式,提供一种用于识别电子安全模块上的物理操作的方法,所述电子安全模块存储安全重要的数据。方法包括:
产生传感器数据,所述传感器数据描述对安全模块的物理影响;
在第一监控装置中,接收产生的传感器数据,并且基于接收的传感器数据产生第一监控数据;和
在第二监控装置中,接收第一监控数据,并且借助于接收的第一监控数据来识别安全模块的操作。
根据另一实施方式,方法借助在上文中和在下文中描述的设备来执行。
针对提出的设备描述的实施方式和特征相应地适用于提出的方法。
其他可能的实现方案也包括之前的或在下文中关于实施例描述的特征或实施方式的未详尽提到的组合。在此,本领域技术人员也将各个方面作为改进或补充添加至本发明的相应的基本形式。
附图说明
其他有利的设计方案和方面是从属权利要求以及在下文中描述的实施例的主题。此外,优选的实施方式参照附图详细阐述。
图1示出根据第一实施方式的用于识别电子安全模块上的物理操作的设备;
图2示出根据第二实施方式的用于识别电子安全模块上的物理操作的设备;
图3示出根据第一实施方式的用于识别电子安全模块上的物理操作的方法;
图4示出根据第二实施方式的用于识别电子安全模块上的物理操作的方法;
图5示出根据第二实施方式的用于识别电子安全模块上的物理操作的详细方法;和
图6示出根据第三实施方式的用于识别电子安全模块上的物理操作的方法。
在图中相同的或功能相同的元件配备有相同的附图标记,只要没有另作说明。
具体实施方式
图1示出根据第一实施方式的用于识别电子安全模块2上的物理操作的设备1。安全模块2在此是硬件安全模块(HSM),所述硬件安全模块具有存储器3、传感器装置4以及第一和第二监控装置5、6。HSM 2的各个电子部件在此存储在HSM 2的未示出的壳体中。
在此处为闪存器的存储器3中,存储有安全重要的数据,恶意的人员应无法得到对所述安全重要的数据的访问。安全重要的数据在此尤其包括加密密钥。安全重要的数据然而也能够存储在基于RAM的存储器构件、例如电池缓存的SRAM存储器或寄存器中。
传感器装置4在当前的实施方式中检测在HSM壳体之内的运动作为对HSM 2的物理影响。对此,传感器装置4设计成运动传感器。在HSM壳体之内的运动或振动或颤动尤其在如下情况下检测到:恶意的人员尝试操作HSM 2。运动传感器4连续地检测传感器数据,所述传感器数据说明,是否存在在HSM壳体之内的运动,并且所述运动具有何种程度。
两个监控装置5、6分别是控制单元,所述控制单元固定地安置在HSM 2中。
图1的设备被设计用于,执行用于识别HSM 2上的操作的方法。这种方法借助于图3描述。
在步骤S1中,第一监控装置5从传感器装置或从运动传感器4接收传感器数据。传感器数据从运动传感器4到第一监控装置5的传递经由线缆8进行。
在步骤S2中,第一监控装置5基于接收的传感器数据产生第一监控数据。对此,第一监控装置5通过评估算法处理接收的传感器数据,并且因此产生第一监控数据。例如,根据接收的运动传感器数据,评估作为第一监控数据的运动变化。
可选地,第一监控装置5还可以检查,接收的传感器数据或产生的第一监控数据是否具有错误和/或是操作典型的,并且可能识别,存在HSM 2的操作。
在步骤S3中,第一监控装置5将第一监控数据发送到第二监控装置6,所述第二监控装置接收所述第一监控数据。第一监控数据的传递是无线传递,所述无线传递在图1中通过箭头9示出。
在步骤S4中,第二监控装置6借助于接收的第一监控数据识别,是否存在HSM 2的操作。对此,第二监控装置6将接收的第一监控数据与预先存储的阈值进行比较。如果接收的第一监控数据大于预先存储的阈值,则确定,通过运动传感器4检测的运动由于对HSM 2的操作而存在。
如果第二监控装置6识别到对HSM 2的操作或篡改攻击,那么第二监控装置6为了HSM 2的安全性可以清除在存储器3中存储的密钥。对此,第二监控装置6经由内部总线7将清除指令发送给存储器3,所述存储器执行密钥的清除。
如果第二监控装置6没有识别到操作,那么重复描述的步骤S1至S4。
图2示出根据第二实施方式的用于识别电子安全模块12上的物理操作的设备11。安全模块12在此也是硬件安全模块(HSM),所述硬件安全模块具有传感器装置14、第一监控装置15、第二监控装置16、控制单元10和接口20。
第二实施方式的设备11与第一实施方式的设备1的区别主要在于,两个监控装置15、16能够交换并且评估监控数据。即监控装置15、16同样适用于接收传感器数据,处理所述传感器数据来产生监控数据,从另外的监控装置接收监控数据,和识别操作。与第一实施方式的元件和特性相同的元件和特性不再次描述。
如在图2中所示,虚线示出的传感器装置14包括多个传感器30-35。传感器30-32分配给第一监控装置15。在相应的传感器30-32和第一监控装置15之间的连接经由线缆18进行,其中在图2中仅唯一的线缆配备有附图标记。
传感器33-35分配给第二监控装置16。在相应的传感器33-35和第二监控装置16之间的连接经由线缆18进行,其中在图2中仅唯一的线缆配备有附图标记。
在当前的实施方式中,第一监控装置15不能够访问传感器33-35,并且第二监控装置16不能够访问传感器30-32。
传感器30和33是GPS传感器,所述GPS传感器检测相同的物理影响,即HSM 12的GPS位置。传感器31和34是温度传感器,所述温度传感器检测另外的相同的物理影响,即在HSM12之内的温度。传感器32是光传感器,所述光传感器将HSM 12之内的光亮度作为另一物理影响检测。最后,传感器35是如第一实施方式中的运动传感器4那样的运动传感器。
传感器30-35将检测的物理影响作为传感器数据传递到监控装置15、16。
第一监控装置15包括密钥存储器13,在所述密钥存储器中存储有一个密钥部分,并且第二监控装置16包括另一密钥存储器23,在所述另一密钥存储器中存储有另一密钥部分。两个密钥部分以唯一的方式形成密钥对作为安全重要的数据。相应的密钥部分受到保护以防恶意的人员。
对此,设备11能够执行在图3至6中示出的方法。在图4中示出的方法对应于图3中的方法在第一和第二监控装置15、16中的并行执行。因为图3中的方法的步骤S1至S4与图4中的步骤S1至S4相同,所以从对图4的方法的下面的描述中,得出图3中的方法借助设备11以独立的方式执行。
在步骤S1中,第一监控装置15从传感器31-32接收传感器数据。与此并行地,第二监控装置16在步骤S11中从传感器33-35接收传感器数据。传感器数据的传递经由线缆18进行。
监控装置15、16在步骤S2和S12中分别产生第一和第二监控数据。步骤S1和S11以及S2和S12能够同时地或时间错开地执行。
从传感器30-32接收传感器数据的第一监控装置15一方面基于从传感器30得到的GPS位置产生第一监控数据,并且另一方面产生以下第一监控数据,所述第一监控数据将从传感器31和32得到的温度和光数据组合。从传感器33-35接收传感器数据的第二监控装置16一方面基于从传感器33得到的GPS位置产生第一监控数据,并且另一方面产生以下第一监控数据,所述第一监控数据将从传感器34和35得到的温度和运动数据组合。
可选地,两个监控装置15、16已经检查所接收的传感器数据或所产生的监控数据是否具有错误和/或是否是操作典型的,并且必要时发出报警或清除信号。这在下面借助图6来描述。
在步骤S3中,第二监控装置16接收由第一监控装置15发送的第一监控数据。在相同时间或时间错开地,第一监控装置15也接收由第二监控装置16发送的第二监控数据。传递经由无线连接19进行。传递的监控数据以密码加密的方式交换。为了加密/解密监控数据,在相应的监控装置中存储有加密密钥。
在步骤S4和S14中,相应的监控装置15、16评估接收的监控数据,并且确定是否存在操作。为了确定是否发生HSM 12的操作, 尤其可以将第一和第二监控数据的值在相应的监控装置中进行比较。这尤其在图5中示出。
图5示出用于在第二监控装置16的侧上识别物理操作的方法的流程。用于在第一监控装置15的侧上识别物理操作的方法应该是相同的。
在图5中示出的方法的开始通过箭头S说明。步骤S1-S3和S13与图4中的步骤S1-S3和S13是相同的,并且不再次阐述。步骤S14在图5中详细示出。在步骤S40中检查,从第一监控装置15接收的第一监控数据是否与第二监控数据一致。在上面示例中,例如能够将借助于传感器30、33的GPS位置数据产生的第一和第二监控数据直接比较,因为可以从以下出发,即所述第一和第二监控数据是一致的。
尤其检查,第一和第二监控数据之间的偏差是否大于允许的偏差。如果是这种情况,那么在步骤S40中确定,监控数据是一致的,并且不存在HSM 12的操作。方法随后以步骤S1和S2继续。
然而,如果在步骤S40中识别,偏差小于允许的偏差,那么确定监控数据是不一致的,并且存在HSM 12的操作。方法随后以步骤S41继续。
在步骤S41中发出报警信号,以便在外部触发警报。报警信号在第二监控装置15中产生并且经由内部总线17传递到控制单元10。该控制单元连同接口20一起实现朝向HSM 12外部的连接,例如经由以太网连接21。如果在外部接收到报警信号,那么能够对操作采取措施。例如能够立即派遣安全人员进行控制,或者委托服务技术人员来检查安全模块。此外,控制系统的使用安全模块的控制功能能够被禁用或者置于自身安全的运行模式(失效保护)中。因此,如果识别到在分配给控制仪器或控制功能的安全模块上的操作时,控制仪器能够激活特殊的运行模式。一个应用示例是机器人,所述机器人由控制功能远程操控,所述控制功能在远程计算系统上实现。例如,控制功能能够作为基于云的基础设施上的服务来实现(云机器人技术)。用于在机器人和控制功能之间传递控制数据的通信是加密保护的,例如借助于IPsec或TLS协议。为了构建加密保护的通信连接所使用的加密密钥存储在分配给机器人的安全模块上。如果所述安全模块识别到操作,那么所述安全模块能够将报警信号提供给机器人,所述报警信号例如由机器人的驱动控制单元或整流器评估,使得机器人在提供报警信号时停止(紧急停止)。
在步骤S42中,产生用于消除在密钥存储器23中存储的密钥部分的清除信号,所述密钥部分分配给第二监控装置16。然后清除该密钥部分。
步骤S41和S42是可选的并且也能够以其他顺序执行。此外,第二监控装置16可以在识别到操作时将信号发送到第一监控装置15,以便通知所述第一监控装置存在操作。
如果在步骤S3中预期的第一监控数据未接收到,则第二监控装置16也能够识别到操作。即使在该情况下,随后也能够执行步骤S41和S42。
图6示出根据第三实施方式的用于识别电子安全模块上的物理操作的方法,所述方法例如可以借助在图2中示出的设备12执行。图6中的方法能够是在图4和5中示出的方法的一部分,或者能够与其无关地执行。图6为用于在第二监控装置16的侧上识别物理操作的方法的流程。用于在第一监控装置15的侧上识别物理操作的方法应该是相同的。
在图6中示出的方法的开始通过箭头S说明。步骤S1和S2与图3-5中的步骤S1和S2是相同的并且不再次阐述。
在随后的步骤S5中,第二监控装置16确定从传感器33-35接收的传感器数据或所产生的第二监控数据是否是操作典型的,即说明有操作。这能够借助于学习的神经元网络来进行。因此,在步骤S5中确定,是否存在HSM 12的操作。如果存在,那么方法以步骤S41、S42继续,所述步骤S41、S42已经在上文中描述。
然而,如果在步骤S5中确定不存在操作,那么方法以步骤S6继续,在所述步骤S6中,例如经由无线连接19发送对第一监控装置15的询问,以便询问,第一监控装置15是否已经识别到操作。如果是,那么执行步骤S41和/或S42。如果在步骤S6中,第一监控装置15未识别到操作,那么方法重新从步骤S1和S2执行。
尽管本发明根据实施例描述,但本发明是可多样修改的。尤其地,可以使用任意的传感器装置或传感器来检测任意的物理影响。为了产生监控数据,传感器数据能够任意通过监控装置处理。传递传感器数据、监控数据、报警信号等能够无线地或有线地进行。监控装置评估监控数据以发现操作所使用的评估算法能够任意修改。能够设有多于两个的监控装置作为设备的部分。监控装置也能够设置在安全模块的不同的、物理上彼此分开的区域中。
Claims (15)
1. 一种用于识别电子安全模块(2,12)上的物理操作的设备(1,11),所述安全模块存储安全重要的数据,所述设备包括:
传感器装置(4,14),所述传感器装置用于产生传感器数据,所述传感器数据描述对所述安全模块(2,12)的物理影响;和
第一和第二监控装置(5,15,6,16),其中
所述第一监控装置(5,15)被设计用于,接收由所述传感器装置(4,14)产生的传感器数据,并且基于接收的传感器数据产生第一监控数据;和
所述第二监控装置(6,16)被设计用于,从所述第一监控装置(5,15)接收所述第一监控数据,并且借助于接收的第一监控数据识别所述安全模块(2,12)的操作。
2. 根据权利要求1所述的设备,
其中所述第二监控装置(6,16)还被设计用于,接收由所述传感器装置(4,14)检测的传感器数据,并且基于接收的传感器数据产生第二监控数据;和
所述第一监控装置(5,15)还被设计用于,从所述第二监控装置(6,16)接收所述第二监控数据,并且借助于接收的第二监控数据识别所述安全模块(2,12)的操作。
3.根据权利要求1或2所述的设备,
其中所述第一和/或第二监控装置(5,15,6,16)还被设计用于,当所述第一和/或第二监控装置(5,15,6,16)识别到操作时,至少部分地清除所述安全重要的数据。
4.根据权利要求1至3中任一项所述的设备,
其中所述传感器装置(4,14)被设计用于,作为对所述安全模块(2,12)的物理影响检测所述安全模块(2,12)的至少一个运动或加速度,或者噪声水平、亮度、运动、气体组成、振动频率或在所述安全模块(2,12)之内或附近的温度。
5.根据权利要求1至4中任一项所述的设备,
其中所述传感器装置(4,14)包括多个传感器(30-35),所述传感器分别检测对所述安全模块(2,12)的物理影响。
6.根据权利要求1至5中任一项所述的设备,
其中所述第一和/或第二监控装置(5,15,6,16)在如下情况下识别到所述安全模块(2,12)的操作:
分别另外的监控装置(5,15,6,16)识别到所述安全模块(2,12)的操作;
由分别另外的监控装置(5,15,6,16)传递的监控数据位于预先确定的范围中,所述预先确定的范围表征物理操作;
所述第一和第二监控数据通过所述第一和/或第二监控装置(5,15,6,16)的比较得出,所述第一和第二监控数据彼此不一致或矛盾;或者
由另外的监控装置(5,15,6,16)传递的监控数据是有错误的。
7.根据权利要求1至6中任一项所述的设备,
其中所述第一和/或第二监控装置(5,15,6,16)还被设计用于,接收规律地由另外的监控装置(5,15,6,16)发送的监控数据,并且当所述第一和/或第二监控装置(5,15,6,16)在其应接收到由另外的监控装置(5,15,6,16)发送的监控数据的时刻,未接收到另外的监控装置(5,15,6,16)的监控数据时,识别到所述安全模块(2,12)的操作。
8.根据权利要求1至7中任一项所述的设备,
其中所述安全重要的数据至少由第一和第二密钥部分构成,所述第一和第二密钥部分以唯一的方式形成密钥对,其中当所述第一和/或第二监控装置(5,15,6,16)识别到所述安全模块(2,12)的操作时,所述第一和/或第二监控装置(5,15,6,16)清除所述第一和/或第二密钥部分。
9.根据权利要求1至8中任一项所述的设备,
其中所述第一和/或第二监控装置(5,15,6,16)被设计用于,以密码加密的方式传递和/或存储所述第一和/或第二监控数据。
10.根据权利要求1至9中任一项所述的设备,
其中所述第一和/或第二监控装置(5,15,6,16)被设计用于,当所述第一和/或第二监控装置识别到所述安全模块(2,12)的操作时,发出报警信号。
11.根据权利要求1至10中任一项所述的设备,
其中所述第一和/或所述第二监控装置(5,15,6,16)通过样式识别、阈值比较和/或借助神经元网络来评估所述第一和/或第二监控数据,以便识别所述安全模块(2,12)的物理操作。
12.根据权利要求1至11中任一项所述的设备,
其中所述第一和第二监控装置(5,15,6,16)设置在所述安全模块(2,12)的相同的物理区域中。
13.根据权利要求1至12中任一项所述的设备,
其中所述第一和第二监控装置(5,15,6,16)设置在所述安全模块(2,12)的物理上彼此分开的区域中。
14.一种用于识别电子安全模块(2,12)上的物理操作的方法,所述安全模块存储安全重要的数据,所述方法包括:
产生传感器数据,所述传感器数据描述对所述安全模块(2,12)的物理影响;
在第一监控装置(5,15)中,接收(S1)所产生的传感器数据,并且基于接收的传感器数据产生(S2)第一监控数据;和
在第二监控装置(6,16)中,接收(S3)所述第一监控数据并且借助于接收的第一监控数据识别(S4)所述安全模块(2,12)的操作。
15.根据权利要求14所述的方法,
所述方法借助根据权利要求1至13中任一项所述的用于识别电子安全模块(2,12)上的物理操作的设备来执行。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP17170625.2 | 2017-05-11 | ||
| EP17170625.2A EP3401831B1 (de) | 2017-05-11 | 2017-05-11 | Vorrichtung und verfahren zum erkennen einer physikalischen manipulation an einem elektronischen sicherheitsmodul |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108875432A true CN108875432A (zh) | 2018-11-23 |
Family
ID=58709812
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810449391.3A Pending CN108875432A (zh) | 2017-05-11 | 2018-05-11 | 用于识别电子安全模块上的物理操作的设备和方法 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US10949574B2 (zh) |
| EP (1) | EP3401831B1 (zh) |
| CN (1) | CN108875432A (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107077569B (zh) * | 2014-10-20 | 2021-05-07 | 基岩自动化平台公司 | 用于工业控制系统的防篡改模块 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1963832A (zh) * | 2006-12-07 | 2007-05-16 | 上海普芯达电子有限公司 | 一种具有阻止入侵功能的数据处理器和嵌入式系统 |
| EP2031537A1 (en) * | 2007-08-30 | 2009-03-04 | Harris Corporation | Adaptable microcontroller based security monitor |
| CN104361303A (zh) * | 2014-10-22 | 2015-02-18 | 小米科技有限责任公司 | 终端异常的处理方法及装置、电子设备 |
Family Cites Families (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE19947574A1 (de) * | 1999-10-01 | 2001-04-12 | Giesecke & Devrient Gmbh | Verfahren zur Sicherung eines Datenspeichers |
| US7065656B2 (en) * | 2001-07-03 | 2006-06-20 | Hewlett-Packard Development Company, L.P. | Tamper-evident/tamper-resistant electronic components |
| US7644290B2 (en) * | 2003-03-31 | 2010-01-05 | Power Measurement Ltd. | System and method for seal tamper detection for intelligent electronic devices |
| US7571475B2 (en) * | 2005-04-05 | 2009-08-04 | Cisco Technology, Inc. | Method and electronic device for triggering zeroization in an electronic device |
| US20070204173A1 (en) * | 2006-02-15 | 2007-08-30 | Wrg Services Inc. | Central processing unit and encrypted pin pad for automated teller machines |
| US7587296B2 (en) * | 2006-05-07 | 2009-09-08 | Applied Materials, Inc. | Adaptive multivariate fault detection |
| GB2460275B (en) * | 2008-05-23 | 2012-12-19 | Exacttrak Ltd | A Communications and Security Device |
| US8370644B2 (en) * | 2008-05-30 | 2013-02-05 | Spansion Llc | Instant hardware erase for content reset and pseudo-random number generation |
| US20110055891A1 (en) * | 2009-08-26 | 2011-03-03 | Rice Christopher T | Device security |
| DE102011002706B4 (de) * | 2011-01-14 | 2013-12-19 | Siemens Aktiengesellschaft | Vorrichtung und Verfahren zum Schutz eines Sicherheitsmoduls gegen Manipulationsversuche in einem Feldgerät |
| US9928387B2 (en) * | 2013-03-15 | 2018-03-27 | Charles Hallinan | Security case |
| EP2610773A1 (de) * | 2011-12-28 | 2013-07-03 | Siemens Aktiengesellschaft | Verfahren zum Herstellen einer Hardwareeinrichtung und Hardwareeinrichtung |
| US20130298208A1 (en) * | 2012-05-06 | 2013-11-07 | Mourad Ben Ayed | System for mobile security |
| DE102013201937A1 (de) * | 2013-02-06 | 2014-08-07 | Areva Gmbh | Vorrichtung und Verfahren zur Erkennung von unbefugten Manipulationen des Systemzustandes einer Steuer- und Regeleinheit einer kerntechnischen Anlage |
| US10474849B2 (en) * | 2014-06-27 | 2019-11-12 | Microsoft Technology Licensing, Llc | System for data protection in power off mode |
| US9870662B2 (en) * | 2014-10-15 | 2018-01-16 | Tristan Mullane | Wireless lock sensory delivery and control device, system and method |
| US10579833B1 (en) * | 2014-12-16 | 2020-03-03 | Thales Esecurity, Inc. | Tamper detection circuit assemblies and related manufacturing processes |
| EP3262782B1 (en) * | 2015-02-25 | 2022-07-27 | Private Machines Inc. | Anti-tamper system |
| US9881300B2 (en) * | 2015-03-27 | 2018-01-30 | Intel Corporation | Technologies for split key security |
| US10586410B2 (en) * | 2015-05-06 | 2020-03-10 | Igloohome Pte Ltd | System and method for premise management |
-
2017
- 2017-05-11 EP EP17170625.2A patent/EP3401831B1/de active Active
-
2018
- 2018-04-03 US US15/943,794 patent/US10949574B2/en active Active
- 2018-05-11 CN CN201810449391.3A patent/CN108875432A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1963832A (zh) * | 2006-12-07 | 2007-05-16 | 上海普芯达电子有限公司 | 一种具有阻止入侵功能的数据处理器和嵌入式系统 |
| EP2031537A1 (en) * | 2007-08-30 | 2009-03-04 | Harris Corporation | Adaptable microcontroller based security monitor |
| CN104361303A (zh) * | 2014-10-22 | 2015-02-18 | 小米科技有限责任公司 | 终端异常的处理方法及装置、电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| US10949574B2 (en) | 2021-03-16 |
| EP3401831B1 (de) | 2021-06-30 |
| US20180330129A1 (en) | 2018-11-15 |
| EP3401831A1 (de) | 2018-11-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9923884B2 (en) | In-circuit security system and methods for controlling access to and use of sensitive data | |
| JP6505318B2 (ja) | 車両の電子制御ユニットへの不正アクセスイベントの通知 | |
| CN104778765B (zh) | 移动访问控制系统和方法 | |
| US20160277933A1 (en) | Secure Data Communication system between IoT smart devices and a Network gateway under Internet of Thing environment | |
| KR101858375B1 (ko) | 일체형 종단점 및 공격의 네트워크 검출 및 박멸을 위한 기술 | |
| US8972730B2 (en) | System and method of using a signed GUID | |
| CN107567630B (zh) | 受信输入/输出设备的隔离 | |
| US9992210B2 (en) | System and method for intrusion detection and suppression in a wireless server environment | |
| CN107438230A (zh) | 安全无线测距 | |
| CN113347149A (zh) | 一种网络安全防护装置及系统 | |
| US20190102533A1 (en) | Peripheral Cyber-Security Device | |
| CN108875432A (zh) | 用于识别电子安全模块上的物理操作的设备和方法 | |
| CA3124026A1 (en) | Tamper-proof data processing device | |
| US20120179921A1 (en) | End to end encryption for intrusion detection system | |
| US20140281586A1 (en) | Systems and methods for secure access modules | |
| US20170228546A1 (en) | Security system and communication method | |
| US11809606B2 (en) | Method for monitoring the integrity of a physical object | |
| EP3637717A1 (en) | System and method for establishing trust of a network device |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20181123 |