CN118020072A - 用于网络安全增强的方法和装置 - Google Patents
用于网络安全增强的方法和装置 Download PDFInfo
- Publication number
- CN118020072A CN118020072A CN202180102420.9A CN202180102420A CN118020072A CN 118020072 A CN118020072 A CN 118020072A CN 202180102420 A CN202180102420 A CN 202180102420A CN 118020072 A CN118020072 A CN 118020072A
- Authority
- CN
- China
- Prior art keywords
- signal
- processing
- circuit
- hardware
- interface
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 45
- 238000012545 processing Methods 0.000 claims abstract description 176
- 238000001514 detection method Methods 0.000 claims abstract description 12
- 230000008569 process Effects 0.000 claims description 14
- 230000004044 response Effects 0.000 claims description 11
- 238000012986 modification Methods 0.000 claims description 8
- 230000004048 modification Effects 0.000 claims description 8
- 230000005540 biological transmission Effects 0.000 claims description 4
- 230000009466 transformation Effects 0.000 claims description 4
- 238000012546 transfer Methods 0.000 claims description 3
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 24
- 230000006399 behavior Effects 0.000 description 10
- 238000004519 manufacturing process Methods 0.000 description 10
- 238000013461 design Methods 0.000 description 7
- 241000283086 Equidae Species 0.000 description 4
- 230000008901 benefit Effects 0.000 description 4
- 238000012549 training Methods 0.000 description 4
- 230000001419 dependent effect Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000002441 reversible effect Effects 0.000 description 3
- 230000001960 triggered effect Effects 0.000 description 3
- 238000013459 approach Methods 0.000 description 2
- 230000000295 complement effect Effects 0.000 description 2
- 230000010485 coping Effects 0.000 description 2
- 230000001066 destructive effect Effects 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 238000011084 recovery Methods 0.000 description 2
- 230000003044 adaptive effect Effects 0.000 description 1
- 230000032683 aging Effects 0.000 description 1
- 238000013528 artificial neural network Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000001934 delay Effects 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 230000000873 masking effect Effects 0.000 description 1
- 230000003278 mimic effect Effects 0.000 description 1
- 238000012946 outsourcing Methods 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/75—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information by inhibiting the analysis of circuitry or operation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/82—Protecting input, output or interconnection devices
- G06F21/85—Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明描述了一种提供网络安全增强的方法、用于提供网络安全增强的硬件电路的使用以及用于在每种情况下特别是通过混淆信号处理来提供网络安全增强的系统。该方法例如包括以下步骤:经由硬件电路的第一硬件子电路接收输入信号,并将所接收的输入信号处理成根据第一类型的处理的第一处理信号和根据不同于所述第一类型的处理的第二类型的处理的第二处理信号中的至少一个,仅从所述第一处理信号和/或所述第二处理信号中的一个导出第一输出信号,将所述第一输出信号发送到所述硬件电路的第二硬件子电路,检测所发送的第一输出信号是从第一处理信号和/或第二处理信号中的哪一个导出的,并且根据检测结果将所发送的第一输出信号处理成第二输出信号。
Description
本发明一般涉及用于网络安全增强的方法和装置,并且尤其涉及提供网络安全增强的方法,涉及用于提供网络安全增强的硬件电路的使用,并且涉及用于在每种情况下特别是通过混淆信号处理来提供网络安全增强的系统。
众所周知,在现代工业或技术应用的许多领域中,诸如在网络、计算机系统、信息物理系统、机器人或汽车应用上,网络攻击的风险以惊人的速度增加。这涉及软件攻击和硬件攻击,因此,越来越需要保护这样的应用和其他应用免受硬件和/或软件或它们处理的数据的盗窃或损坏,以及防止它们提供的服务和功能的中断或误用。
更详细地关于硬件攻击,这些类型的攻击可能更具破坏性,因为它们有希望提供一种长期的隐形访问。在此尤其应提及芯片攻击,例如通过使用微小芯片来渗透母板的原始设计。在这方面,可以并入硬件特洛伊木马(随后也表示为HW特洛伊木马),其通常很少被触发,因为通常某些事件组合必须被满足和/或延迟,即,由于老化相关的事件延迟,特别是直到特洛伊木马在工业中广泛分布。
因此,通过结合或渗透HW特洛伊木马,可以在硬件设计或制造期间偷运恶意硬件修改,例如功能修改,例如通过在信号执行路径内添加或减去逻辑门,或者作为参数修改,例如通过与符合设计规则的单元的偏差,例如人为增加芯片上的互连长度,用于预期的延迟插入和/或用于创建可以例如用作天线以将外部信号馈送到硬件中的其他非功能互连方案。
然而,如果已经引入了HW特洛伊木马,则这通常需要对硬件的每个组件(例如,在控制板上)进行非常耗时的、彻底的、侵入性的和/或破坏性的分析,以便定位HW特洛伊木马,并且即使这也不能保证它实际上将被发现。此外,这种渗透通常仅在通过其破坏性改变而变得明显时才被注意到。例如,关于汽车应用,车辆召回和硬件更换可能是结果,和/或最终可能完全阻止认证。
如原则上已知的,特别是当前的电动/电子车辆架构被专家认为是易于黑客攻击的。假设没有当前的方法,以及TPM(可信平台模块)芯片等,将能够关闭与从未打算在网络关键环境中工作的“旧”架构主干相关的安全漏洞。
然而,这种旧架构与新的IT/电子生态系统(即,基本上用于客户和消费者解决方案的概念和实现的工业公司间网络)的组合导致本发明试图防止的问题。
因此,需要专注于整个电子工业中当前出现的或甚至增加的HW特洛伊木马问题,特别是因为硬件信任根不再存在,并且网络安全不再是单独的软件主题,而是增加的硬件主题。
US2020/0226492 Al公开了一种通过基于可编程块的训练集成安全硬件和软件来混淆以在外包制造期间保护芯片安全性的方法。特别是关于具有许多应用的ICs(“集成电路”)的安全性,特别是在用于IoT(“物联网”)、ASIC(“专用集成电路”)芯片和医疗设备的RFID(“射频识别”)芯片中,基于训练的方法模仿(神经网络的)感知器概念以构建鲁棒的基于训练的数字逻辑块。在制造期间,可训练逻辑块的功能性是模糊的。为了在制造之后分配芯片的功能,利用训练模式及其对应的预期输出值来训练电路,其中在制造完成之后由客户端安全地控制最后一个步骤。
此外,来自与基础发明相同的申请人的EP 3 726 394 A1涉及一种可重构的片上系统(SoC)。为了进一步改善集成电路的可重配置性,特别是具有高性能要求的ICs的可重配置性,鉴于它们在其整个寿命期间的功能性、可靠性和/或可测试性,提出了一种SoC,其包括具有定义的接口和定义的固定硬件功能性的第一子电路、经由接口信号连接到第一子电路以与其交换信号的第二可重配置子电路、以及用于将SoC电连接到其外围的一个或多个端子。第二子电路被配置为一个或多个端子与第一子电路之间的接口电路,其中第一子电路被分成多个单独的第一电路块,并且第二子电路被分成多个单独的第二电路块。所述第一电路块中的至少一个经由一个或多个信号连接件信号连接到一个或多个其他第一电路块或一个或多个端子,每个信号连接件穿过第二电路块中的一个或多个。所述信号连接中的一个或多个可借助于与相应信号连接有关的相应一个或多个第二电路块重新配置,使得SoC在其操作之前或期间可借助于重新配置所述第二电路块中的至少一个来重新配置。因此,一方面在各种单独的固定硬件电路块之间提供可重构的互连结构,使得它们各自的功能和特征可以根据SoC的当前应用特定和操作要求以多种不同的方式动态地组合,另一方面在这些第一电路块和端子以及因此外围之间提供可重构的互连结构。因此,尽管包含至少第一子电路的不同版本,但是端子的配置可以在SoC的多个版本上保持恒定。
本发明的要解决的技术问题是提供一种新的应对HW特洛伊木马的方法,特别是一种构建HW特洛伊木马应对架构的新方法。
通过权利要求1、2和3中的每一项的教导提供了该问题的解决方案。本发明的各种优选实施例由从属权利要求的教导提供。
因此,本发明提出了一种特别是通过混淆(obfuscating)信号处理来提供网络安全增强的方法,方法包括以下步骤:经由硬件电路的第一硬件子电路接收输入信号,并且将接收到的输入信号处理成根据第一类型的处理的第一处理信号和根据不同于第一类型的处理的第二类型的处理的第二处理信号中的至少一个,以及仅从第一处理信号和/或第二处理信号中的一个导出第一输出信号。
此后,第一输出信号被发送到硬件电路的第二硬件子电路,并且在将发送的第一输出信号处理为第二输出信号之前,检测发送的第一输出信号是从第一处理信号和/或第二处理信号中的哪一个导出的,然后,根据检测结果将发送的第一输出信号处理为第二输出信号。
因此,本发明的解决方案提供了一个优点,即通常在某些事件或事件组合时触发的插入或植入的HW特洛伊木马程序不知道信号处理的真实设计,因此,HW特洛伊木马程序通常与电路不匹配,因此无效。
特别地,为了实施前面概述的方法,本发明还建议特别是通过混淆信号处理来提供网络安全增强,以使用包括具有第一接口和第二接口的第一硬件子电路、具有第三接口和第四接口的第二硬件子电路的硬件电路,其中第一、第二、第三和第四接口中的每一个是定义的接口。第一接口必须与信号输入电路连接,至少用于从输入电路接收输入信号,其中第二接口与第三接口连接,至少用于将来自第一硬件子电路的第一输出信号发送到第二硬件子电路,并且第四接口必须与输出电路连接,至少用于将第二输出信号发送到输出电路。
在这方面,还假设第一硬件子电路具有用于将接收到的输入信号处理成根据第一类型的处理的第一处理信号和根据与第一类型的处理不同的第二类型的处理的第二处理信号中的至少一个的架构,其中架构被构造用于在每种情况下仅从第一处理信号和/或第二处理信号中的一个导出用于传输到第二硬件子电路的第一输出信号,并且其中,所述第二硬件子电路具有功能,特别是定义的固定硬件功能,所述功能被构造为检测从所述第一处理信号和/或所述第二处理信号中的哪一个导出所述第一输出信号,并且根据检测的结果将所述第一输出信号处理成所述第二输出信号。
因此,本发明的硬件(“HW”)构造提供了HW混淆,其可以用于模糊和/或隐藏信号处理,特别是包括信号消息的真实含义或产品的功能。
因此,本发明还建议用于提供网络安全增强,特别是通过混淆信号处理,一种包括硬件电路的系统,其中硬件电路包括具有第一接口和第二接口的第一硬件子电路以及具有第三接口和第四接口的第二硬件子电路,其中第一、第二、第三和第四接口中的每一个是定义的接口。
在该系统内,第一接口与至少用于接收来自输入电路的输入信号的信号输入电路连接,第二接口与至少用于将来自第一硬件子电路的第一输出信号发送到第二硬件子电路的第三接口连接,并且第四接口与至少用于将第二输出信号发送到输出电路的输出电路连接。此外,第一硬件子电路具有用于将接收到的输入信号处理成根据第一类型的处理的第一处理信号和根据不同于第一类型的处理的第二类型的处理的第二处理信号中的至少一个的架构,
其中,所述架构被构造用于在每种情况下仅从所述第一处理信号和/或所述第二处理信号中的一个导出所述第一输出信号以传输到所述第二硬件子电路,并且所述第二硬件子电路具有功能,特别是定义的固定硬件功能,所述功能被构造为检测所述第一输出信号是从所述第一处理信号和/或所述第二处理信号中的哪一个导出的,并且根据所述检测的结果将所述第一输出信号处理成所述第二输出信号。
因此,与上面总结的方法和用途相比,该系统提供了类似的优点,并且由于第一输出信号的输出原则上是不可预测的,因此更难以预定义HW特洛伊木马攻击模式,因此,激活HW特洛伊木马的触发事件发生的概率大大降低。
根据优选的实际实施例,相应使用的硬件电路或整个系统是SoC或多芯片配置的一部分。
特别地,为了提供第一硬件子电路的灵活架构,第一硬件子电路优选地是补充的或替代地被构建为可重构的电路,特别是构建为FPGA(现场可编程门阵列)。
因此,利用这种基于重构的电路,原则上,可以将任何HW单元修改为移动目标,而不是确定的攻击节点,并且因此可以再次增加对基本上任何HW攻击的抵抗力。
特别地,为了从外部监测和/或控制信号处理行为,根据优选实施例,补充或替代地建议,至少第一硬件子电路与发送器/接收器连接,该接收器/接收器适于将仅从第一处理信号和/或第二处理信号中的一个导出的信号发送到远程控制计算系统,并从远程控制计算系统接收控制信号。
在这方面,作为实际实施例,还建议发送器/接收器至少部分地是无线发送器/接收器,和/或远程控制计算系统被构造为中央云计算系统或者是中央云计算系统的至少一部分。
根据优选实施例,补充或替代地建议,特别是为了提供抵抗网络攻击、事件、灾难和故障和/或适应后网络事件情况的再次增加的灵活性,第一硬件子电路优选地被设置用于其自己的重新配置,特别是通过改变或选择第一类型的处理、第二类型的处理和/或从其导出第一输出信号的经处理信号的功能,优选地响应于控制信号。特别是响应于从远程控制计算系统接收的控制信号。
根据补充或替代优选实施例,第二硬件子电路优选地具有由交换机和多个处理路径组成的功能,特别是固定硬件功能,第一硬件子电路优选地被设置为根据从第一处理信号和/或第二处理信号中的一个导出第一输出信号来生成触发信号,并且开关经由第二和第三接口与第一硬件子电路链接以接收触发信号,用于检测从第一处理信号和/或第二处理信号中的哪一个导出发送的第一输出信号,并且被设置为响应于触发信号的接收而从第一处理信号和/或第二处理信号中选择一个处理路径。多个处理路径。通过这种组合,可以容易地执行第二硬件子电路从网络事件和故障中的恢复。
特别地,为了仍然能够制造仅一个第二硬件电路,根据优选实施例,建议第一处理信号和第二处理信号在每种情况下具有彼此相同和相等的信息内容,即特别是建立第一类型的处理和第二类型的处理,使得第一处理信号和第二处理信号在每种情况下具有彼此相同和相等的信息内容。
根据优选的实际实施例,补充或替代地建议,第一硬件子电路和第二硬件子电路彼此调谐,以通过发送从第一处理信号导出的第一输出信号和通过发送从第二路径导出的第一输出信号来生成其有用内容相同的第二输出信号。
根据优选实施例,补充地或替代地建议,第一类型的处理、第二类型的处理或另外的不同类型的处理嵌入在仅用于混淆的死端处理路径(dead end processing path)内,覆盖真实类型的处理,因此特别地实现数据的遮蔽。
对于优选的实际实施例,补充或替代地特别合适的是,第二类型的处理首先在定时行为、频率行为、复用功能、信号修改、调制传递函数和信号变换中的至少一个方面与第一类型的处理不同。
下面基于所涵盖的附图考虑优选实施例来描述本发明主题的其他特征和由此实现的优点,其中以抽象草图分别示出:
图1示出根据本发明的解决方案的用于特别是通过混淆信号处理来提供网络安全增强的若干电路块的互连的示例的基本功能图,以及
图2a和2b示出根据本发明的硬件混淆的示例。
在附图中,相同的附图标记用于根据本发明的方法、硬件电路和系统的相同或相互对应的元件,并且在此描述其优选实施例。
参考图1,示意性地图示了根据本发明的用于提供网络安全增强的若干电路块的互连的示例的基本功能图。
描绘了硬件电路100,其特别是基于芯片的模块10的一部分,例如SoC或多芯片配置的一部分。如图1所示,硬件电路100包括第一硬件子电路110和至少第二硬件子电路120。每个硬件子电路至少具有两个接口,用于将组件互连到相应子电路的输入侧和输出侧,因此通常是定义的接口。
因此,第一接口111和第二接口112是第一硬件子电路110的一部分,并且第三接口121和第四接口122是第二硬件子电路120的一部分。
为了使用硬件电路100来提供网络安全增强,第一接口111必须与信号输入电路200连接并且用于从输入电路200接收输入信号IS。第二接口112与第三接口121连接,至少用于将来自第一硬件子电路110的第一输出信号OS1发送到第二硬件子电路120。第四接口122必须与输出电路300连接,并且用于将第二输出信号OS2发送到输出电路300。
根据图1的示意图,信号输入电路200和输出电路300都位于硬件电路100外部。然而,作为替代方案,信号输入电路200和/或输出电路300也可以是基于芯片的模块的一部分。特别地,在包括这种硬件电路100并且第一接口111、第二接口112、第三接口121和第四接口122中的每一个已经相应地连接的系统1内,当然,这种输入电路200和/或输出电路300也可以是基于芯片的模块的一部分。
此外,这种输入电路200和/或输出电路300通常可以被设计为优选地具有定义的固定硬件定义功能的任何类型的电路块。补充地或替代地,这种输入电路和/或输出电路可以再次具有如上所述的接口(为了清楚起见未示出)和/或用于与外围电连接的端子。
本发明的一个基本特征,特别是用于通过混淆信号处理来提供网络安全增强,是第一硬件子电路110具有用于将接收到的输入信号IS处理成根据第一类型的处理T1的第一处理信号PS1和根据与第一类型的处理不同的第二类型的处理T2的第二处理信号PS2中的至少一个的架构。
此外,该架构被构造用于在每种情况下仅从第一处理信号和/或第二处理信号中的一个导出第一输出信号OS1以传输到第二硬件子电路120。在这方面,可以并入切换或选择器组件115,其例如被布置在第一硬件子电路110的至少两种类型的信号处理之前和/或之后。特别是可控切换或选择器组件115。特别地,基于相应的工业或技术应用和/或基于使用本发明所涉及的要求,利用这种开关,接收的输入信号IS可以被提供给例如至少两种类型的处理中的全部或选定的处理,和/或第一输出信号OS1可以仅从第一处理信号和/或第二处理信号中的一个导出。
另外,第二硬件子电路120具有功能,特别是定义的固定硬件功能,其被构造为检测第一输出信号OS1是从第一处理信号和/或第二处理信号中的哪一个导出的,并且根据检测结果将第一输出信号OS1处理成第二输出信号OS2。在这方面,例如,可以并入检测器组件125,第一输出信号OS1被引导到该检测器组件125,并且第一输出信号OS1然后根据检测结果从该检测器组件125通过第一处理路径PP1或通过第二处理路径PP2传递。
然而,必须提到的是,术语“根据第一类型的处理T1的第一处理信号PS1和根据与第一类型的处理不同的第二类型的处理T2的第二处理信号PS2”(在本发明的范围内理解时)不应被理解为最大数量,而是还涵盖多于两种类型的处理的数量,因此甚至可以将多于仅两个的处理信号与第一硬件子电路110合并。相应地,甚至多于仅两个处理路径可以与第二硬件子电路120结合。
因此,优选地通过使用前述硬件电路100和/或特别是基于前述系统,可以执行特别是通过混淆信号处理来提供网络安全增强的发明方法。其中输入信号IS经由硬件电路100的第一硬件子电路110被接收,并且此后被处理成根据第一类型的处理T1的第一处理信号PS1和根据不同于第一类型的处理的第二类型的处理T2的第二处理信号PS2中的至少一个(图1)。
如在图1中可以进一步看到的,然而,仅基于第一处理信号PS1和/或第二处理信号PS2中的一个,第一输出信号OS1被导出并发送到硬件电路100的第二硬件子电路120。此后,在检测到从第一处理信号PS1和/或第二处理信号PS2中的哪一个导出发送的第一输出信号OS1时,可以根据检测结果将发送的第一输出信号OS1处理成第二输出信号OS2。
虽然第二硬件子电路120可以优选地被构造为固定硬件子电路,但是第一硬件子电路110优选地被构造为可重构(或称为可重新配置)的硬件子电路,诸如FPGA。信号输入电路200和/或输出电路300优选地也被构造为相应的固定硬件电路。众所周知,通常将从信号输入电路接收的输入信号处理成要转发到输出电路的输出信号的系统的功能是使得输出信号取决于输入信号,即相等的输入信号被处理成相等的输出信号,可能取决于先前的信号状态。
然而,通过第一硬件子电路110的创造性使用,可以生成具有不同信号特性的信号,例如,基于根据图1的信号PS1或信号PS2的第一输出信号OS1,尽管输入信号相同,例如,根据图1的输入信号IS。
例如,在制造期间在第二硬件子电路120内HW特洛伊木马被实施的情况下,已经定义了将触发HW特洛伊木马的特定事件或特定事件组合。然而,第一输出信号OS1到第二输出信号OS2的处理取决于第一输出信号OS1,第一硬件子电路110的处理行为仍然可以在制造的最后步骤期间定义,即当安装第一硬件子电路110时,或者在将第一硬件子电路110构造为可重构的硬件子电路(例如FPGA)的情况下,甚至在操作和/或维护期间。因此,关于某些触发事件或事件组合的关键问题,诸如例如某些定时和/或频率行为以及某些复用和/或载波信号,可以仅在制造的最后步骤期间设置,或者在操作和/或维护期间仍然改变或修改。
因此,即使优选地规定,相同和相等的信息内容独立于将当前输入信号IS处理成第一处理信号PS1或第二处理信号PS2而被发送,相应的信号行为和/或特性可以彼此不同地生成,从而导致一种“安全防火墙”。
例如,如果第一类型的处理T1被构造为执行快速信号处理,并且第二类型的处理T2被构造为执行慢速信号处理,即第二类型的处理首先在它们各自的定时行为方面不同于第一类型的处理,则经处理的信号PS1和/或PS2在它们各自的信号行为和/或特性方面也彼此不同,但是仍然可以具有彼此相同和相等的信息内容。
然而,由于第二硬件子电路120被构造为检测第一输出信号OS1是从第一处理信号和/或第二处理信号中的哪一个导出的,例如,通过使用检测器组件125,在第一输出信号OS1是从第一类型的处理T1(即,从信号PS1)导出的情况下,第一输出信号OS1可以通过第一处理路径PP1,并且在第一输出信号OS1是从第二类型的处理T2导出的情况下,第一输出信号OS1可以通过第二处理路径PP2。即来自信号PS2。因此,基于该示例,第一处理路径PP1可以被构造为证明相应或合适的时间延迟的路径,而第二处理路径PP2可以被构造为证明简单通过而没有时间延迟的路径。因此,整个定时总是正确的,但是已经植入的HW特洛伊木马仅获得一个时间状态,并且不知道“最后”状态。
当然,在本发明的范围内,甚至第二类型的处理也不需要首先仅在定时行为方面与第一类型的处理不同,而是附加地或替代地在频率行为、复用功能、信号修改、调制传递函数和/或信号变换或修改(例如,模拟/数字转换或不是模拟/数字转换)方面与第一类型的处理不同。原则上,可以使用任何信号变换/重新变换(数据路径和逻辑)。
换句话说,为了实际使用,第一硬件子电路和第二硬件子电路优选地彼此调谐,以通过发送从第一处理信号得到的第一输出信号和通过发送从第二路径得到的第一输出信号来生成其有用内容相同的第二输出信号。
因此,利用本发明的方法,相同的信息内容被传送,但是可以有利地首先被变换成不同的信息格式,然后将被重新变换。因此,通过第一硬件子电路110,原则上可以将所使用的HW设计转换为另一个硬件子电路,该另一个硬件子电路在功能上等同于原始硬件子电路,但是在该另一个硬件子电路中,攻击者更难以获得对内部逻辑的完全理解,使得逆向工程更难以执行,因为产品的功能被模糊,这特别是也确保了产品中固有的知识产权。
通过使用具有由开关126和多个处理路径组成的功能(特别是固定硬件功能)的第二硬件子电路(诸如第二硬件子电路120),第一硬件子电路优选地被设置为根据从第一处理信号PS1和/或第二处理信号PS2中的一个导出第一输出信号OS1并且开关126经由第二和第三接口112与第一硬件子电路链接来生成触发信号TS,121以接收触发信号,用于检测125从第一处理信号和/或第二处理信号中的哪一个导出发送的第一输出信号,并且被设置为响应于触发信号的接收而从多个处理路径中选择一个处理路径。
然而,必须提及的是,不同类型的处理(例如,第一类型的处理T1和第二类型的处理T2)和/或不同的处理路径(例如,第一处理路径PP1和第二处理路径PP2)也可以分别集成在一个电子部件内,而不管切换、检测和/或选择的方式如何。
参考图2a和2b,描绘了这样的电子组件作为硬件混淆的另一示例。
可以看出,电子组件包括pMOS晶体管@VDD。然而,根据图2b,在该配置中使用pMOS晶体管实际上是输出“Out”到Vdd的直接连接,时钟和输入“A”和“B”的影响可忽略不计。因此,在HW特洛伊木马已经关于由根据图2a的晶体管出现的电路功能被实现的情况下,即,例如,其针对时钟或将影响时钟,这种HW特洛伊木马不再具有关于根据图2b的信号处理的恶意影响。
作为一些另外的示例,也可以列出正交频分复用(OFDM)物理层的混淆和功能规范的有限状态机(FSM)的扩展,使得添加的状态和转换隐藏在高级设计中,优选地混淆密钥本身是可重构的,并且仅设计者知道。
因此,电子单元(特别是计算单元)之间的多个不同协议和/或信号路径可以借助于本发明的方法进行硬件混淆,特别是通过使用SoCs中的FPGA元件或多芯片配置或印刷电路板上的FPGA元件。
在第一硬件子电路优选地通过改变或选择第一类型的处理、第二类型的处理和/或从其导出第一输出信号的经处理的信号的功能而被设置用于其自己的重新配置的情况下,例如通过根据图1的切换或选择器组件115,优选地响应于控制信号,特别是响应于从远程控制计算系统400接收的控制信号,还可以例如,通过第一种配置混淆指定数量的制造商电子单元,并且通过另一种配置混淆另一数量的制造商电子单元。这使得能够为攻击者创建多个可能的硬件组合,并因此大大减少了有效的攻击向量。
特别地,在这方面和/或通过使用多芯片配置,第一类型的处理T1、第二类型的处理T2或另外的不同类型的处理可以进一步嵌入仅用于混淆的死端处理路径内,覆盖真实类型的处理。
因此,在不需要改变硬件的情况下,可以非常有效地绕过所实现的HW特洛伊木马,并且在这样的电子单元的整个生命周期方面,并且在规划电子单元以及预期和预测或预报潜在的网络攻击以准备事件的要求方面,在耐受网络攻击事件、灾难和故障方面,在从网络事件和故障中恢复电子单元的要求方面,以及在使电子单元适应网络事件后的情况方面,可以绕过已实施的HW特洛伊木马。特别地,通过将FPGA用于第一硬件子电路110,可以实现可编程性,从而提供很大的自由度和灵活性。
因此,根据非常优选的实施例,至少第一硬件子电路与发送器/接收器118连接,接收器/接收器118适于至少将仅从第一处理信号和/或第二处理信号中的一个导出的信号OS1发送到远程控制计算系统400,并且从远程控制计算系统400接收控制信号,如图1中由虚线双箭头所指示的。优选地,这样的发送器/接收器118至少部分地是无线发送器/接收器,和/或远程控制计算系统400是中央云计算系统的至少一部分。然而,要提到的是,无线发送器/接收器的上述优先选择本身不应限制关于有线服务动作的选项。
考虑到以上描述,特别是以下优点和特征也可以以补充方式总结。
本发明的混淆硬件执行与原始硬件相同的功能。然而,混淆硬件将仅泄漏与输入和输出上可用的信息一样多的信息,并且因此特别是侧信道攻击仅访问“噪声信号”,而不是允许关于设计特征/功能的结论的清晰响应。此外,在保持预期功能的同时,增加了从外部角度和/或逆向工程角度理解该功能的难度,因此更难以生成有效的攻击向量。因此,本发明的HW混淆用于模糊和/或隐藏消息的真实含义或产品的功能。因此,本发明的基于混淆的方法可以用于防止攻击者成功地对IC中或PCBA(印刷电路板组件)级上的任何IP核的功能进行反向工程。
因此,包括在制造过程期间使用的电子器件或电子计算单元中的HW特洛伊木马与应用功能(例如车辆功能)相关的概率将大大降低。
因此,本发明的混淆硬件可以特别用于支持HW特洛伊木马应对架构(或称为可复原架构、弹性架构),包括改善HW特洛伊木马预防以及检测后的响应,特别是因为该架构适用于HW特洛伊木马触发事件,能够处理入侵并降低HW特洛伊木马触发事件受到影响的概率,并在检测到HW特洛伊木马时实现快速恢复。
利用基于重新配置的逻辑,例如FPGA,原则上,任何HW单元可以被修改为移动目标,而不是确定的攻击节点,并且因此可以承受HW攻击。即使当特洛伊木马是IP的一部分时,例如在SoC中使用,可能的触发也可以被设置为不同的,因此发生的概率(例如对于车辆车队)大大降低,并且当被触发时,系统将是自适应的(重新编程、弹性的)并且能够在检测到之后通过重新配置来恢复。
因此,即使任何中央处理单元和区域电子控制器(ZeC)之间的通信功能也更安全和有弹性,并且可以被调整或恢复,从而导致额外增强的端到端安全性。
然而,由于混淆不是加密,而是混淆函数可在没有去混淆的情况下执行,因此加密与混淆的任何组合导致甚至更高的安全级别。
附图标记列表
1一种系统,包括:硬件电路;
10基于芯片的模块10;
100 硬件电路;
110 第一硬件子电路;
111、112第一接口和第二接口,作为第一硬件子电路的一部分;
115开关或选择器组件;
118发送器/接收器;
120第二硬件子电路;
121、122第三接口和第四接口,作为第一硬件子电路的一部分;
125 检测器组件;
126 开关;
200 信号输入电路;
300输出电路300;
400 远程控制计算系统;
IS 输入信号;
OS1第一输出信号;
OS2第二输出信号;
PS1第一处理信号PS1;
T1第一类型的处理;
PS2第二处理信号;
T2第一类型的处理;
PP1第一处理路径;
PP2第二处理路径;
TS触发信号。
Claims (15)
1.一种提供网络安全增强的方法,特别是通过混淆信号处理,包括以下步骤:
-经由硬件电路的第一硬件子电路接收输入信号,并将所接收的输入信号处理成根据第一类型的处理的第一处理信号和根据不同于所述第一类型的处理的第二类型的处理的第二处理信号中的至少一个,
-仅从所述第一处理信号和/或所述第二处理信号中的一个导出第一输出信号,
-将所述第一输出信号发送到所述硬件电路的第二硬件子电路,
-检测所发送的第一输出信号是从第一处理信号和/或第二处理信号中的哪一个导出的,并且根据检测结果将所发送的第一输出信号处理成第二输出信号。
2.一种用于提供网络安全增强的硬件电路的用途,特别是通过混淆信号处理,
所述硬件电路包括:
-具有第一接口和第二接口的第一硬件子电路,
-具有第三接口和第四接口的第二硬件子电路,
-所述第一接口、所述第二接口、所述第三接口和所述第四接口中的每一个是定义的接口,
并且其中
-第一接口必须与信号输入电路连接并且用于从输入电路接收输入信号,
-所述第二接口与所述第三接口连接,至少用于将来自所述第一硬件子电路的第一输出信号发送到所述第二硬件子电路,并且所述第四接口必须与输出电路连接并用于将第二输出信号发送到所述输出电路,
并且
-所述第一硬件子电路具有用于将所接收的输入信号处理成根据第一类型的处理的第一处理信号和根据不同于所述第一类型的处理的第二类型的处理的第二处理信号中的至少一个的架构,
-其中,所述架构被构造用于在每种情况下仅从所述第一处理信号和/或所述第二处理信号中的一个导出用于传输到所述第二硬件子电路的所述第一输出信号,以及
-其中,所述第二硬件子电路具有功能,特别是定义的固定硬件功能,所述功能被构造为检测从所述第一处理信号和/或所述第二处理信号中的哪一个导出所述第一输出信号,并且根据所述检测的结果将所述第一输出信号处理成所述第二输出信号。
3.一种用于特别是通过混淆信号处理来提供网络安全增强的系统,包括硬件电路,
所述硬件电路包括:
-具有第一接口和第二接口的第一硬件子电路,
-具有第三接口和第四接口的第二硬件子电路,
-所述第一接口、所述第二接口、所述第三接口和所述第四接口中的每一个是定义的接口,
-所述第一接口与信号输入电路连接并且用于从所述输入电路接收输入信号,
-所述第二接口与所述第三接口连接,至少用于将来自所述第一硬件子电路的第一输出信号发送到所述第二硬件子电路,所述第四接口与输出电路连接并用于将第二输出信号发送到所述输出电路,
-所述第一硬件子电路具有用于将所接收的输入信号处理成根据第一类型的处理的第一处理信号和根据不同于所述第一类型的处理的第二类型的处理的第二处理信号中的至少一个的架构,
-其中,所述架构被构造用于导出所述第一输出信号,用于在每种情况下仅从所述第一处理信号和/或所述第二处理信号中的一个向所述第二硬件子电路传输信号,以及
-其中,所述第二硬件子电路具有功能,特别是定义的固定硬件功能,所述功能被构造为检测所述第一输出信号是从所述第一处理信号和/或所述第二处理信号中的哪一个导出的,并且根据所述检测的结果将所述第一输出信号处理成所述第二输出信号。
4.根据权利要求2所述的用途,其中所述硬件电路是SoC或多芯片配置的一部分。
5.根据权利要求3所述的系统,其中,所述系统是SoC或多芯片配置的一部分。
6.根据权利要求1所述的方法、根据权利要求2或4所述的用途和/或根据权利要求3或5所述的系统,其中,所述第一硬件子电路是可重构的电路,特别是FPGA。
7.根据权利要求1或6所述的方法、根据权利要求2、4或6所述的用途和/或根据权利要求3、5或6所述的系统,其中,所述第一硬件子电路与发送器/接收器连接,所述接收器/接收器适于将仅从所述第一处理信号和/或所述第二处理信号中的一个导出的信号发送到远程控制计算系统,并且从所述远程控制计算系统接收控制信号,特别地,其中发送器/接收器是无线发送器/接收器和/或远程控制计算系统被构造为中央云计算系统或者是中央云计算系统的至少一部分。
8.根据权利要求1和6至7中任一项所述的方法、根据权利要求2、4和6至7中任一项所述的用途和/或根据权利要求3、5至7中任一项所述的系统,其中,所述第一硬件子电路被设置用于其自身的重构,这-借助改变或选择第一类型的处理、第二类型的处理和/或从其导出第一输出信号的处理的信号的功能,优选地响应于控制信号,特别是响应于从远程控制计算系统接收的控制信号。
9.根据权利要求1和6至8中任一项所述的方法、根据权利要求2、4和6至8中任一项所述的用途和/或根据权利要求3、5至8中任一项所述的系统,
其中,所述第二硬件子电路具有由交换机和多个处理路径组成的功能,特别是固定硬件功能,其中,所述第一硬件子电路被设置为根据从所述第一处理信号和/或所述第二处理信号中的一个导出所述第一输出信号来生成触发信号,并且其中,所述开关经由所述第二接口和所述第三接口与所述第一硬件子电路链接以接收所述触发信号,用于检测从所述第一处理信号和/或所述第二处理信号中的哪一个导出所发送的第一输出信号,并且所述开关被设置为响应于接收到所述触发信号而从所述多个处理路径中选择一个处理路径。
10.根据权利要求1和6至9中任一项所述的方法、根据权利要求2、4和6至9中任一项所述的用途和/或根据权利要求3、5至9中任一项所述的系统,
其中,所述第二类型的处理首先在定时行为和/或频率行为方面不同于所述第一类型的处理。
11.根据权利要求1和6至10中任一项所述的方法、根据权利要求2、4和6至10中任一项所述的用途和/或根据权利要求3、5至10中任一项所述的系统,
其中,所述第二类型的处理首先在复用功能和/或信号修改方面不同于所述第一类型的处理。
12.根据权利要求1和6至11中任一项所述的方法、根据权利要求2、4和6至11中任一项所述的用途和/或根据权利要求3、5至11中任一项所述的系统,
其中,所述第二类型的处理首先在调制传递函数和/或信号变换方面不同于所述第一类型的处理。
13.根据权利要求1和6至12中任一项所述的方法、根据权利要求2、4和6至12中任一项所述的用途和/或根据权利要求3、5至12中任一项所述的系统,
其中,所述第一处理信号和所述第二处理信号在每种情况下具有相同且相等的信息内容。
14.根据权利要求1和6至13中任一项所述的方法、根据权利要求2、4和6至13中任一项所述的用途和/或根据权利要求3、5至13中任一项所述的系统,
其中,所述第一硬件子电路和所述第二硬件子电路彼此调谐,以通过发送从所述第一处理信号得到的所述第一输出信号和通过发送从所述第二路径得到的所述第一输出信号来生成有用内容相同的所述第二输出信号。
15.根据权利要求1和6至14中任一项所述的方法、根据权利要求2、4和6至14中任一项所述的用途和/或根据权利要求3、5至14中任一项所述的系统,
其中,所述第一类型的处理、所述第二类型的处理或另一不同类型的处理嵌入在仅用于混淆的死端处理路径内,覆盖真实类型的处理。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/EP2021/075731 WO2023041178A1 (en) | 2021-09-17 | 2021-09-17 | Methods and apparatuses for cyber security enhancement |
Publications (1)
Publication Number | Publication Date |
---|---|
CN118020072A true CN118020072A (zh) | 2024-05-10 |
Family
ID=77989781
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202180102420.9A Pending CN118020072A (zh) | 2021-09-17 | 2021-09-17 | 用于网络安全增强的方法和装置 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN118020072A (zh) |
WO (1) | WO2023041178A1 (zh) |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR2910998A1 (fr) * | 2007-01-03 | 2008-07-04 | St Microelectronics Sa | Protection d'une donnee statique dans un circuit integre. |
EP2983156B1 (fr) * | 2014-08-06 | 2019-07-24 | Secure-IC SAS | Système et procédé de protection de circuit |
US10103873B2 (en) * | 2016-04-01 | 2018-10-16 | Intel Corporation | Power side-channel attack resistant advanced encryption standard accelerator processor |
US11227071B2 (en) * | 2017-03-20 | 2022-01-18 | Nanyang Technological University | Hardware security to countermeasure side-channel attacks |
US10746793B2 (en) * | 2018-02-07 | 2020-08-18 | Accenture Global Solutions Limited | Analysis and remediation of fault sensitivity for digital circuits |
US11741389B2 (en) | 2018-02-09 | 2023-08-29 | University Of Louisiana At Lafayette | Method for obfuscation of hardware |
EP3726394A1 (en) | 2019-04-17 | 2020-10-21 | Volkswagen Aktiengesellschaft | Reconfigurable system-on-chip |
-
2021
- 2021-09-17 WO PCT/EP2021/075731 patent/WO2023041178A1/en active Application Filing
- 2021-09-17 CN CN202180102420.9A patent/CN118020072A/zh active Pending
Also Published As
Publication number | Publication date |
---|---|
WO2023041178A1 (en) | 2023-03-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Xenofontos et al. | Consumer, commercial, and industrial iot (in) security: Attack taxonomy and case studies | |
CN105940439B (zh) | 使用排列应对对密码算法的旁通道攻击的对策 | |
Rajendran et al. | Towards a comprehensive and systematic classification of hardware trojans | |
Yang et al. | Protecting endpoint devices in IoT supply chain | |
KR101919940B1 (ko) | 완전 동형 암호 방법에 의한 동적 데이터의 처리 방법 | |
Patranabis et al. | A biased fault attack on the time redundancy countermeasure for AES | |
EP3010176B1 (en) | Method and receiver entity for secure execution of software | |
Kaminsky et al. | An overview of cryptanalysis research for the advanced encryption standard | |
Robisson et al. | Differential behavioral analysis | |
US8683217B2 (en) | Device and method for transmitting data in an encrypted manner | |
Aqeel et al. | A review of security and privacy concerns in the internet of things (IoT) | |
US8955160B2 (en) | Method for detecting abnormalities in a cryptographic circuit protected by differential logic, and circuit for implementing said method | |
Ly et al. | Security challenges in CPS and IoT: From end-node to the system | |
Štembera et al. | Breaking Hitag2 with reconfigurable hardware | |
Luo et al. | Cyberattacks and countermeasures for intelligent and connected vehicles | |
Kasper et al. | Side channels as building blocks | |
CN118020072A (zh) | 用于网络安全增强的方法和装置 | |
Fyrbiak et al. | Combined HW-SW adaptive clone-resistant functions as physical security anchors | |
Robisson et al. | Smart security management in secure devices | |
Breier et al. | Attacks in reality: The limits of concurrent error detection codes against laser fault injection | |
Giri et al. | Design and analysis of hardware Trojan threats in reconfigurable hardware | |
Yu et al. | Hardware obfuscation methods for hardware Trojan prevention and detection | |
Galathy et al. | A systematic approach to fault attack resistant design | |
Kaur et al. | A Survey on the Implementations, Attacks, and Countermeasures of the Current NIST Lightweight Cryptography Standard | |
US20180341791A1 (en) | System including intellectual property circuits communicating with a general purpose input/output pad, corresponding apparatus and method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination |