JP2022155571A - 故障注入攻撃を検出する改善されたシステムと方法 - Google Patents
故障注入攻撃を検出する改善されたシステムと方法 Download PDFInfo
- Publication number
- JP2022155571A JP2022155571A JP2022056032A JP2022056032A JP2022155571A JP 2022155571 A JP2022155571 A JP 2022155571A JP 2022056032 A JP2022056032 A JP 2022056032A JP 2022056032 A JP2022056032 A JP 2022056032A JP 2022155571 A JP2022155571 A JP 2022155571A
- Authority
- JP
- Japan
- Prior art keywords
- sensitivity
- fault injection
- level
- sensitivity level
- chip
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000002347 injection Methods 0.000 title claims abstract description 248
- 239000007924 injection Substances 0.000 title claims abstract description 248
- 238000000034 method Methods 0.000 title claims abstract description 52
- 230000035945 sensitivity Effects 0.000 claims abstract description 353
- 238000001514 detection method Methods 0.000 claims abstract description 74
- 230000000694 effects Effects 0.000 claims description 31
- 230000007704 transition Effects 0.000 claims description 23
- 230000004044 response Effects 0.000 claims description 12
- 230000004913 activation Effects 0.000 claims description 2
- 230000001588 bifunctional effect Effects 0.000 claims 1
- 239000000243 solution Substances 0.000 abstract description 2
- 230000006870 function Effects 0.000 description 19
- 230000001960 triggered effect Effects 0.000 description 18
- 230000008569 process Effects 0.000 description 15
- 238000010586 diagram Methods 0.000 description 14
- 230000007246 mechanism Effects 0.000 description 14
- 238000013461 design Methods 0.000 description 10
- 238000005067 remediation Methods 0.000 description 9
- 238000004891 communication Methods 0.000 description 8
- 238000012360 testing method Methods 0.000 description 8
- 230000002411 adverse Effects 0.000 description 7
- 230000009471 action Effects 0.000 description 6
- 238000012502 risk assessment Methods 0.000 description 6
- 230000008901 benefit Effects 0.000 description 5
- 230000008859 change Effects 0.000 description 5
- 230000000670 limiting effect Effects 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 238000011160 research Methods 0.000 description 5
- 238000004590 computer program Methods 0.000 description 4
- 230000001934 delay Effects 0.000 description 4
- 230000002159 abnormal effect Effects 0.000 description 3
- 230000001133 acceleration Effects 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 3
- 230000002452 interceptive effect Effects 0.000 description 3
- 230000035484 reaction time Effects 0.000 description 3
- 230000000246 remedial effect Effects 0.000 description 3
- XUIMIQQOPSSXEZ-UHFFFAOYSA-N Silicon Chemical compound [Si] XUIMIQQOPSSXEZ-UHFFFAOYSA-N 0.000 description 2
- 238000003491 array Methods 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 230000007123 defense Effects 0.000 description 2
- 230000002401 inhibitory effect Effects 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 230000009191 jumping Effects 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 238000011084 recovery Methods 0.000 description 2
- 230000002829 reductive effect Effects 0.000 description 2
- 238000005070 sampling Methods 0.000 description 2
- 229910052710 silicon Inorganic materials 0.000 description 2
- 239000010703 silicon Substances 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 230000002547 anomalous effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 235000000332 black box Nutrition 0.000 description 1
- 238000012512 characterization method Methods 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 230000007423 decrease Effects 0.000 description 1
- 230000008842 detection of inactivity Effects 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000002427 irreversible effect Effects 0.000 description 1
- 230000007257 malfunction Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 231100000989 no adverse effect Toxicity 0.000 description 1
- 230000000704 physical effect Effects 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Debugging And Monitoring (AREA)
- Alarm Systems (AREA)
- Air Bags (AREA)
- Burglar Alarm Systems (AREA)
Abstract
Description
cs.umd.edu/class/fall2001/cmsc411/projects/DLX/proj.html。
i.プロセッサコアは使用時、命令を実行するとともに、同時に、リアルタイムで、少なくともいくつかの実行される指令の出力指示を生成する。
ii.複数の選択可能な感度レベルを有する故障注入検出器を有する。および、
iii.出力指示を受信し、
少なくとも出力指示を入力として受信する感度レベル選択ロジックを用いて、複数の選択可能な感度レベルから、次の感度レベルを選択し、および故障注入検出器を、次の感度レベルに設定するように感度レベル制御モジュールがリアルタイムで作動する。
これにより、差異に敏感な故障注入対策回路を提供し、プロセッサコアを故障注入攻撃から保護するとき、少なくともいくつかの指令の出力指示に基づいて、プロセッサコア保護が、少なくともいくつかの指令の出力指示に無関係の感度レベルで提供された場合に生じる少なくとも一つのフォールスアラームを回避する。
i.プロセッサコアを提供し、使用時、プロセッサコアは、命令を実行するとともに、同時に、実行される少なくともいくつかの指令の出力指示を、リアルタイムで生成する。
ii.複数の選択可能な感度レベルを有する故障注入検出器を提供する;および、
iii.出力指示を受信し、少なくとも出力指示を入力として受信する感度レベル選択ロジックを用いて、複数の選択可能な感度レベルから、次の感度レベルを選択し、および、故障注入検出器を、次の感度レベルに設定するように、リアルタイムで、感度レベル制御モジュールを用いる。
これにより、プロセッサコアを故障注入攻撃から保護するとき、少なくともいくつかの指令の出力指示に基づいて、差異に敏感な故障注入対策回路を提供して、CPU保護が、少なくともいくつかの指令の出力指示に無関係の感度レベルで提供された場合に生じる少なくとも一つのフォールスアラームを回避する。
少なくとも一つの故障注入検出サブシステムはチップ上に配備され、各故障注入検出サブシステムは、リアルタイムで選択可能な複数の感度レベルを有し、且つ、以下を有する:
少なくとも一つのハードウェア故障注入検出器回路が、チップ上に配置され、また、ハードウェア故障注入検出器回路と結合され、感度レベル制御ロジックは、チップ上に配備されるとともに、リアルタイムで操作し、感度制御信号(感度レベル選択とも称する)を生成するとともに、感度制御信号を、サブシステム中の少なくとも一つのハードウェア故障注入検出器に送ることにより、故障注入検出サブシステムを、複数の選択可能な感度レベル中の現在の感度レベルから、複数の選択可能な感度レベルから次の感度レベルに転換する。
故障注入検出サブシステムは、故障注入攻撃検出に配置される任意のロジックを有し、通常、リアルタイムで、チップの回路を改ざんする試みを識別するとともに、応答可能なように、リアルタイムで、この試みを警告することを含む。検出器の位置は、通常、攻撃を受けやすいチップの回路の位置を表示するとともに、検出器の性質は、通常、攻撃のタイプ、たとえば、グリッチ、温度、あるいは、その他である。
i.プロセッサコアを提供し、プロセッサは、使用時、命令を実行するとともに、同時に、リアルタイムで、実行される少なくともいくつかの指令の出力指示を生成する;
ii.複数の選択可能な感度レベルを有する故障注入検出器を提供する;および
iii.出力指示を受信し、
少なくとも出力指示を入力として受信する感度レベル選択ロジックを用いて、複数の選択可能な感度レベルから、次の感度レベルを選択するとともに、故障注入検出器を、次の感度レベルに設定するようにリアルタイムで、感度レベル制御モジュールを用いる。
これにより、CPUを故障注入攻撃から保護するとき、故障注入対策回路を、少なくともいくつかの指令の出力指示に提供して応答し、CPU保護が、少なくともいくつかの指令の出力指示に無関係の感度レベルで提供された場合に生じる少なくとも一つのフォールスアラームを回避する。このほか、感度レベルが、完全に、フォールスアラームを回避するように設定される場合、故障注入対策回路は、CPU保護が、少なくともいくつかの指令の出力指示に無関係の感度レベルで提供された場合に検出されない少なくとも一つの故障注入を検出する。
本発明のある実施形態は以下の図面中で説明される。
上述の文献は、DLXアーキテクチャ中の五個の実行段階を描写する:命令フェッチ(IF)、命令復号(ID)、実行 (EX)、メモリ (MEM)、および、ライトバック(WB)。完成にそれほど時間を必要としなくても、各段階は、最も遅い段階と同じ時間を必要とする。この時間は、一個のクロックサイクルである。これにより、各命令は、開始から終了まで、全部で、5個のクロックサイクルが必要である。各実行段階は、CPU中のハードウェアに対応し、Hennessy と Pattersonの図3.1で示される。データ経路に沿ったハードウェアの各"セクション"は、同時に、操作することができ、パイプラインは、これらの長所を利用して、巨大なパフォーマンス利益を得る。非常に特定の操作が各段階で実行される。
2.命令復号 (ID) -命令を復号する (オペコードに基づいて)。レジスタファイルからのレジスタ(Regs[IR6..10]) と Regs[IR11..15]) の出力は、一時的レジスタ"A" と "B"に配置される。符号拡張は、即値(immediate value)の命令部分であるとともに、この数値を一時的レジスタ "Imm"に入れる。
3.実行 (EX) - ここで発生したことは、実行される命令のタイプに基づく。ALUは、この周期で操作されて、所望の操作を実行する。
a.故障注入検出器は、突然の変化を識別することができ、即ち、電源電圧、あるいは、チップ中の接地レベルのグリッチ(glitch)である。このような状況において、検出器を、実際の状況 (電圧が実際に検出される)と予期される電圧の差が、50mV、100mV、あるいは、300mV であるとき、異常状況を識別するように設定する。
b.期待される現実は、全ての位置が同じ状態にあることなので、同じ論理網上の異なる位置間で、電圧レベルの比較を実行して、局所的差異を検出する。
c.光線検出器は、光エネルギーを用いて、故障注入を識別することを試み、光線の強度に対応する電圧レベルに基づいて、故障注入検出を得る。
1-直接、光線(レーザー、エネルギー)を検出するように設計される検出器。検出器が、光エネルギーを吸収される光線のエネルギーに比例する電圧レベルに変換する場合、それぞれ、光エネルギーレベルX、Y、および、Zに対応する電圧レベルA、B、あるいは、Cを検出することが可能である。
2-直接、光線以外の電磁気エネルギーを検出するように設計される検出器。検出器が、電磁気エネルギーを、吸収される電磁気エネルギーと比例する電圧レベルに変換する場合、それぞれ、電磁気エネルギーレベルX、Y、および、Zに対応する電圧レベルA、B、あるいは、Cを検出することが可能である。
a.第一レベル:異常な状況 (たとえば、装置故障のリスクを生成する状況)を生じる攻撃的な故障注入を検出する; および、
b.第二レベル:攻撃的な故障注入だけでなく、非攻撃的な (軽度)故障注入を検出し、これは、予期できない状況を生じるが、装置は、故障がない状況下でも、操作を維持することができる。
a.フェッチユニットに、メモリから命令を獲得するとともに、命令をローカルのどこかに保存することを通知する信号、
b.復号ユニットにより生成され、別のCPUユニットに、操作、および、命令の実行を命令、あるいは、告知する信号。
1.メモリ、および、レジスタ処理- 通常は、命令をロード、保存、移動させる。
2.算術とロジック操作- 通常は、加法と減法、特に、乗法と除法、あるいは、算術シフト、および、ロジック計算、たとえば、Or、And、Xorを有する。
3.スタック管理 - 通常はpush/pop。
4.分岐 - 条件付き、および、無条件。
5.制御 - たとえば、状態管理に限定されないが、中断管理。
a.スタック管理命令は、スタック管理命令以外の少なくとも一つの命令に相対して、高リスクであると見なされる (および/または、上記の命令群3- 5中の少なくとも一つの少なくとも一つの命令と関連する、および/または、低リスクであると見なされる操作コードに関連するリスクレベルに関連する)。たとえば、スタックも、特に、サブルーティン呼び出しが関連するとき、プログラムの流れ中の役目がある;スタックは、通常、リターンアドレスを保留するので、故障注入操作を経たそれらも、プログラムを、秩序のある実行の流れからそらす。
b.算術/ロジック群(上記の第二組)中、コードの分析に基づいて、システム設計者は、特定の算術命令が、プログラムコード中の“重大な”位置に用いられ、プログラムの流れ、および/または、 “意思決定”に影響することを発見する。それらの特定の命令は、高リスクと関連し、たとえば、このリスクは、このような重要な位置にないコード算術命令より高い、あるいは、上記の命令群3 - 5中の少なくとも一つ中の少なくとも一つの命令と関連するリスクレベルより高い、および/または、低リスクであると見なされる操作コードより高い。
操作1.どれが故障注入の影響を受けやすいか、および、どれが、任意の所定の時間で、どの命令/オペコード、あるいは、家族/群オペコードを実行するかを示す信号を生成し、プロセッサコア/CPUに提供する。
操作2.リスク分析:システム設計者は、セキュリティリスク、たとえば、故障注入のリスクとオペコード、あるいは、オペコードの群のリストを関連付けるとともに、対応して、感度レベル決定/選択ロジックを生成する。たとえば: 条件付き分岐オペコードは、高リスク; その他の全オペコードは低リスクである。
操作3.少なくとも二個の感度レベルを有する故障注入検出器を提供する。
操作4.CM回路の感度レベル調整を実現し、たとえば、少なくとも二個のレベルの一つの動的選択により、たとえば、感度レベルがリアルタイムで調整可能なCM回路を提供する。通常、故障注入検出器は、動的調整、たとえば、感度レベルのリアルタイム調整をサポートし、リアルタイムで操作するとともに、その反応時間は、故障注入検出器により保護されるプロセッサ、あるいは、CPUの単一の命令の復号実行周期より短い。
操作コード、あるいは、その他のコード指示を有するプロセッサコア、あるいは、CPUで、特定の命令、あるいは、命令のカテゴリーの実行を示し、例えば、これに限定されないが、条件付き分岐、特定の比較等である; および、
CM(countermeasure)回路、たとえば、電気対策回路は、複数の選択可能な感度レベルを有するように設計された故障注入検出器を有する。回路は、調整可能な感度を有する故障注入検出器と結合される故障注入改善回路を有する。故障注入検出器が故障注入を検出する場合、故障注入改善回路が起動される。たとえば、故障注入検出器が故障注入を検出する度に、故障注入改善回路がトリガーされる。
Compilation of a Countermeasure Against
Instruction-Skip Fault Attacks
Thierno Barry, Damien Courouss_e, Bruno Robisson
および:
Low-Cost Software Countermeasures Against Fault
Attacks: Implementation and Performances Trade Offs.
a.条件付き分岐を示すオペコード、たとえば、条件付き分岐の前の二個のオペランド間の比較に基づいて、条件付き分岐の後に用いられる“結果” を生成して、分岐、あるいは、順序通りに継続されるRISC CPU分岐命令のbranch-if-equal、branch-if-not-equal を決定する。
b.比較、あるいは、その他の “テスト”を実行するオペコードは、各種フラグの設定を生じ、その後、 “決定”が所定の条件付き分岐を採用するか否かのロジックにより用いられる。たとえば、比較命令は、二個のオペランドを比較するとともに、二個が等しい状況下で(あるいは、二個が等しくない状況下で)、フラグを設定する。減法操作は、結果が負である、あるいは、ゼロではない状況下でフラグを設定して、オペランド、たとえば、数字を比較する。
c.オペコードは、特定のタイプの情報をプロセッサスタックに押し入れ、たとえば、重要な、あるいは、感度情報、あるいは、データ、あるいは、CPUサブシステムフラグのリターンアドレスを、条件付き操作に用いる。
d.オペコードも特徴は、ループの停止条件の実現として用いられる。たとえば、ループは、以下の https www リンクで可用なドキュメント中で記述され、htm 拡張子を有する: tutorialspoint.com/assembly_programming/assembly_loops。
a.メモリからデータを読み取るだけのオペコードをロードする、あるいは、
b.メモリ中のデータを保存するだけのオペコードを保存する。
故障注入は上記の問題を引き起こすが、ハッカーは、特定の保存/ロード命令の干渉に基づいて、有効な攻撃を定義するのは、実質上、不可能であると見なされる。
工程310において、CPUは、オペコードインジケーターIを、感度レベル制御モジュールにより用いられる感度レベル決定ロジック (感度レベル選択ロジックとも称する)に提供する。
工程320において、感度レベル決定ロジックは決定を生成する: CM回路の感度レベルは L_Iでなければならない。
工程330において、感度レベル制御モジュールは、感度レベル制御モジュールに対して信号(あるいは、命令)を発し、CM回路の感度レベルを L_I に調整する。
工程340において、応答可能なように、感度レベル制御モジュールは、感度レベル制御信号をCM回路に送る。
工程350において、CM回路は、その感度レベルを L_Iに調整し、レベルは、たとえば、適当な選択素子を用いて調整され、この選択素子の制御は、どのオペコードが実行されるかを示す感度レベル制御命令を有する、あるいは、それから派生する。
a.故障注入の発生、あるいは、発生率を防止、あるいは、阻止、あるいは、減少させることにより、および/または、
b.故障注入の影響を回避、あるいは、改善することにより、一旦発生時、
どの一個も、ここで表示、あるいは、記述される故障注入検出技術によりトリガーされる。
a.装置を不可逆の状態に置き、任意のさらなるオプションを阻止する。
b.プロセッサを指定のルーティンにジャンプさせ、たとえば、全体の整合性チェックを実行し、その後、通常、CPUをリセット、あるいは、再初期化する。
c.ウオッチドッグタイマーによりリセットされるまで、プロセッサを無限ループに置く。
d.特定の時間が経過するまで、装置を停止する。
e.感度レベルを所定時間上昇させた後、さらなる検出がない場合、感度は予設値に回復する。
f.ある期間内で、特定のあらかじめ指定された“リスク(risky)” 機能を無効にする。リスク機能は、認証の承認、感度データの開示、暗号キーの開示である。
g.パワーサイクルが応用される、あるいは、システム、あるいは、デバイスハードウェアがリセットされるまで、システムを中断する; ウオッチドッグタイマーリセット、あるいは、固まったCPUを釈放するその他の停止基準、あるいは、メカニズム。
ieeexplore.ieee.org/document/5376828;
Zussa, L等による“Efficiency of a glitch detector against electromagnetic fault injection” ieeexplore.ieee.org/document/6800417/
および、以下の https www 位置:
blackhat.com/docs/eu-15/materials/eu-15-Giller-Implementing-Electrical-Glitching-Attacks.pdf。
Thierno Barry, Damien Courousse, Bruno RobissonによるCompilation of a Countermeasure Against Instruction-Skip Fault Attacks” は、以下の https 位置でインターネットにより得られる: hal-cea.archives-ouvertes.fr/cea-01296572/document; および
“Low-Cost Software Countermeasures Against Fault
Attacks: Implementation and Performances Trade Offs” は、以下の http 位置でインターネットにより得られる: euler.ecs.umass.edu/research/bpbk-WESS-2010.pdf
暗号アクセラレータ; および/または、
通信機能モジュール、例えば、UART、I2C、USBコントローラー、あるいは、任意の(通常、ハードウェア)モジュールは、一組の特定の信号を用いるとともに、所定のプロトコルに従い、別のチップ、および/または、同じシステムボード上に配備されるその他のサブシステムと通信する; および/または、
周辺機能、たとえば、タイマー、あるいは、機能モジュール制御は、不揮発性メモリ、たとえば、OTPにアクセスする; ウオッチドッグタイマー; 中断コントローラー; DMAコントローラー。
a.通信を実行する通信モジュールで、操作時、セキュリティクリティカルであると判断する、例えば、トランスミッタは、チップ外部の機密であると見なされるデータの送信に用いられる、あるいは、レシーバは、チップタスクの正確な実行に非常に影響するデータヲ受信するのに用いられる。
b.セキュリティクリティカルであると判断するGPIOモジュールは、あるIO信号を制御、および、監視し、例えば、たとえば、チップの出力信号を制御し、これらの信号は、チップ外のある機能を有効にし、カギとなるのは、あるセキュリティ基準、たとえば、パスワードの認証の成功を除き、これらの機能を有効にしないことである。
c.特定のメモリインターフェースモジュールは、所定のメモリゾーンを処理するとき、セキュリティクリティカルであると判断する。たとえば、重大な、あるいは、秘密の情報を保存するのに用いられる所定のメモリゾーンへのアクセスは、セキュリティクリティカルであると判断する。このゾーンは、アドレスAで開始、アドレスBで終了する;これらは両方、プログラム可能である。デコーダは、ゾーン内のアドレッシングがアクセスされることを知っている、あるいは、決定するとともに、応答可能なように、感度制御ロジックに送られる信号を出力して、感度制御ロジックに、その感度レベルが上昇することを通知し、そのメモリゾーンからデータをフェッチするとき、さらに高い安全性を生成する。
d.セルフテストモジュール、たとえば、操作時、あるメモリアレイの一テストは、セキュリティクリティカルであると判断する。理解できることは、メモリ障害は、セキュリティ問題を生じ、よって、いくつかの従来のセキュリティシステムは、テストされる素子の使用を開始する前、ある素子のセルフテストを実行する。このようなセルフテストの干渉は、テストされる素子の臨界に基づいて、セキュリティシステムを、非重大、あるいは、重大に故障させる。
302…故障注入検出器
303… 故障注入改善回路
91、91a、91b、91c…機能モジュール
92…感度レベル制御ロジック
93、93a、93b…ハードウェア故障注入検出器
21~24、310~350…工程
Claims (21)
- 保護されるチップ上に配置されるセキュリティシステムであって、前記システムは、
前記チップ上に配備され、それぞれ、リアルタイムで複数の選択可能な感度レベルを有する少なくとも一つの故障注入検出サブシステムを有し、前記故障注入検出サブシステムは:
前記チップ上に配置される少なくとも一つのハードウェア故障注入検出器回路、および、
前記チップ上に配備され、且つ、リアルタイムで操作し、感度制御信号(感度レベル選択とも称される)を生成することにより、前記故障注入検出サブシステムを、前記複数の選択可能な感度レベル中のその現在の感度レベルから、前記複数の選択可能な感度レベル中の次の感度レベルに転換するとともに、前記感度制御信号を、前記故障注入検出サブシステム中の少なくとも一つのハードウェア故障注入検出器に送る感度レベル制御ロジック、
を有することを特徴とするシステム。 - 前記故障注入サブシステムはさらに:
前記チップ上に配備され、リアルタイムで、出力信号を生成するとともに、前記出力信号を、前記感度レベル制御ロジックに送り、これにより、前記感度レベル制御ロジックに、前記複数の選択可能な感度レベルから、前記次の感度レベルを選択する指示を提供する少なくとも一つの機能モジュールを有することを特徴とする請求項1に記載のシステム。 - 前記機能モジュールは、少なくとも一つの出力信号を生成するとともに、前記感度レベル制御ロジックに送り、前記出力信号は、前記モジュールがアクティブであるか否かを示す状態表示を有し、前記感度レベル制御ロジックは、少なくとも部分的に、前記状態表示に基づいて、前記次の感度レベルを選択することを特徴とする請求項2に記載のシステム。
- 前記機能モジュール中の少なくとも一つの個別のモジュールがアクティブになるのに応答して、前記感度レベル制御ロジックは、少なくとも一度、さらに高い次のレベルを選択することを特徴とする請求項3に記載のシステム。
- 前記出力信号は、前記機能モジュールの現在のアクティビティに関連するリスクのレベルを表示し、および、前記感度制御ロジックは、少なくとも部分的に、前記のリスクレベルから、前記次の感度レベルとして選択される感度レベルを導き出すことを特徴とする請求項3に記載のシステム。
- 前記機能モジュールがアクティブで、且つ、第一レベルのリスクを有する場合、前記感度レベル制御ロジックは、第一感度レベルを前記次の感度レベルとして選択し、前記機能モジュールがアクティブで、且つ、前記第一レベルのリスクより低い第二レベルのリスクを有する場合、第二感度レベルを、前記次の感度レベルとして選択し、前記機能モジュールが非アクティブである場合、第三感度レベルを、前記次の感度レベルとして選択することを特徴とする請求項5に記載のシステム。
- 前記チップは、少なくとも一つのアイドル状態、および、少なくとも一つの覚醒状態を含む複数の可能な電源状態を有し、前記感度レベル制御ロジックは、前記チップの新しい状態に対応して、前記次の感度レベルを選択し、前記新しい状態は、前記複数の可能な電源状態の一つを有することを特徴とする請求項1に記載のシステム。
- 前記機能モジュールは、前記複数の可能な電源状態間の転換をトリガーするファームウェアを有し、これにより、前記感度制御ロジックに前記複数の可能な電源状態を知らせることを特徴とする請求項7に記載のシステム。
- 前記チップの電源状態が、前記新しい状態に転換する前、前記次の感度レベルが選択されることを特徴とする請求項7に記載のシステム。
- 前記チップの電源状態が、前記新しい状態に転換する前、前記ハードウェア故障注入検出器は前記次の感度レベルに設定されることを特徴とする請求項9に記載のシステム。
- 前記チップの電源状態が、前記新しい状態に転換した後、前記次の感度レベルが選択されることを特徴とする請求項7に記載のシステム。
- 前記チップの電源状態が、前記新しい状態に転換した後、前記ハードウェア故障注入検出器が前記次の感度レベルに設定されることを特徴とする請求項11に記載のシステム。
- 前記システムは、保護される前記チップ上に配備されることを特徴とする請求項1に記載のシステム。
- 前記故障注入検出サブシステムは、複数の故障注入検出サブシステムを有し、それぞれ、前記チップ上に配備され、且つ、それぞれ、ハードウェア故障注入検出器、および、ハードウェア故障注入検出器に結合される感度レベル制御ロジックを有することを特徴とする請求項2に記載のシステム。
- 前記システムは、保護される前記チップ上に配備され、前記機能モジュールは、少なくとも第一、および、第二機能モジュールを有し、前記故障注入検出サブシステムは、それぞれ、前記第一、および、第二機能モジュールを保護する第一、および、第二サブシステムを有し、前記第一モジュールは、前記第二モジュールより前記第一サブシステムに近く、前記第二モジュールは、前記第一モジュールよりも、前記第二サブシステムに近いことを特徴とする請求項14に記載のシステム。
- 前記故障注入検出サブシステム中の少なくとも一つのサブシステムは、前記チップ上の少なくとも一つの機能モジュールを保護し、前記故障注入検出サブシステムの対応するハードウェア故障注入検出器中の各個別の検出器は、前記個別の検出器により保護される少なくとも一つの機能モジュールにより、リアルタイムで選択される感度レベルを有することを特徴とする請求項14に記載のシステム。
- 前記検出器はそれぞれ、リアルタイムで選択可能な複数の感度レベルを有することを特徴とする請求項16に記載のシステム。
- 前記故障注入検出サブシステムは、複数の検出器を有し、前記故障注入検出サブシステムは、一時間点の前記故障注入検出サブシステムの前記感度レベルが、前記時間点で有効である前記ハードウェア故障注入検出器中の一数量のハードウェア故障注入検出器として実現され、前記感度制御ロジックは、前記ハードウェア故障注入検出器の何個が、前記時間点で有効であるかを判断し、これにより、リアルタイムで配置可能な感度レベルに対策を提供し、よって、低い感度レベルは、少ない数量の作動された検出器回路により実現され、高い感度レベルは、大量の作動された検出器回路により実現されることを特徴とする請求項1に記載のシステム。
- 前記機能モジュールは、複数の機能モジュールを有し、前記感度制御ロジックは、前記機能モジュールそれぞれからの出力指示を、一組の感度制御信号に結合することにより、前記次の感度レベルとして選択される感度レベルを導き出すことを特徴とする請求項2に記載のシステム。
- 少なくとも前記個別のモジュールが、少なくとも一度、非アクティブになるのに応答して、前記高い次のレベルより低いレベルに釈放することを特徴とする請求項4に記載のシステム。
- 前記機能モジュールは、高レベルのリスクに関連する暗号モジュールを有することを特徴とする請求項3に記載のシステム。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US17/217472 | 2021-03-30 | ||
US17/217,472 US20210240823A1 (en) | 2017-12-18 | 2021-03-30 | System and method for coping with fault injection attacks |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2022155571A true JP2022155571A (ja) | 2022-10-13 |
JP7383750B2 JP7383750B2 (ja) | 2023-11-20 |
Family
ID=83407262
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2022056032A Active JP7383750B2 (ja) | 2021-03-30 | 2022-03-30 | 故障注入攻撃を検出する改善されたシステムと方法 |
Country Status (3)
Country | Link |
---|---|
JP (1) | JP7383750B2 (ja) |
CN (1) | CN115146265A (ja) |
TW (1) | TWI812042B (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116233661A (zh) * | 2023-05-04 | 2023-06-06 | 新华三技术有限公司 | 一种网络设备、光模块接入的控制方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003058428A (ja) * | 2001-08-20 | 2003-02-28 | Sony Corp | 集積回路およびデータ処理装置 |
US20170286680A1 (en) * | 2016-04-01 | 2017-10-05 | Qualcomm Incorporated | Adaptive systems and procedures for defending a processor against transient fault attacks |
US20190188391A1 (en) * | 2017-12-18 | 2019-06-20 | Nuvoton Technology Corporation | System and method for coping with fault injection attacks |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8510569B2 (en) * | 2009-12-16 | 2013-08-13 | Intel Corporation | Providing integrity verification and attestation in a hidden execution environment |
US10083296B2 (en) * | 2015-06-27 | 2018-09-25 | Mcafee, Llc | Detection of malicious thread suspension |
EP3714368B1 (en) * | 2017-12-08 | 2021-09-15 | Huawei Technologies Co., Ltd. | Fault injection system and method of fault injection |
US10979054B1 (en) * | 2020-01-14 | 2021-04-13 | Nuvotonn Technology Corporation | Coupling of combinational logic circuits for protection against side-channel attacks |
-
2022
- 2022-03-04 TW TW111107892A patent/TWI812042B/zh active
- 2022-03-29 CN CN202210319845.1A patent/CN115146265A/zh active Pending
- 2022-03-30 JP JP2022056032A patent/JP7383750B2/ja active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003058428A (ja) * | 2001-08-20 | 2003-02-28 | Sony Corp | 集積回路およびデータ処理装置 |
US20170286680A1 (en) * | 2016-04-01 | 2017-10-05 | Qualcomm Incorporated | Adaptive systems and procedures for defending a processor against transient fault attacks |
JP2019510318A (ja) * | 2016-04-01 | 2019-04-11 | クアルコム,インコーポレイテッド | 過渡フォールト攻撃からプロセッサを防御するための適応システムおよび適応手順 |
US20190188391A1 (en) * | 2017-12-18 | 2019-06-20 | Nuvoton Technology Corporation | System and method for coping with fault injection attacks |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116233661A (zh) * | 2023-05-04 | 2023-06-06 | 新华三技术有限公司 | 一种网络设备、光模块接入的控制方法 |
CN116233661B (zh) * | 2023-05-04 | 2023-08-18 | 新华三技术有限公司 | 一种网络设备、光模块接入的控制方法 |
Also Published As
Publication number | Publication date |
---|---|
TW202238422A (zh) | 2022-10-01 |
CN115146265A (zh) | 2022-10-04 |
TWI812042B (zh) | 2023-08-11 |
JP7383750B2 (ja) | 2023-11-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
TWI685739B (zh) | 處理故障注入攻擊的安全系統和方法 | |
Sun et al. | OAT: Attesting operation integrity of embedded devices | |
Dessouky et al. | {HardFails}: Insights into {Software-Exploitable} Hardware Bugs | |
US10423207B2 (en) | Using power fingerprinting (PFP) to monitor the integrity and enhance security of computer based systems | |
Abbasi et al. | ECFI: Asynchronous control flow integrity for programmable logic controllers | |
US11972033B2 (en) | Alert handling | |
US20210240823A1 (en) | System and method for coping with fault injection attacks | |
Qiu et al. | Identifying and understanding self-checksumming defenses in software | |
Nashimoto et al. | Bypassing isolated execution on risc-v using side-channel-assisted fault-injection and its countermeasure | |
JP7383750B2 (ja) | 故障注入攻撃を検出する改善されたシステムと方法 | |
Palumbo et al. | A lightweight security checking module to protect microprocessors against hardware trojan horses | |
Gu et al. | A study of self-propagating mal-packets in sensor networks: Attacks and defenses | |
Omotosho et al. | Detecting return-oriented programming on firmware-only embedded devices using hardware performance counters | |
Piromsopa et al. | Survey of protections from buffer-overflow attacks | |
Zhu et al. | Jintide: Utilizing low-cost reconfigurable external monitors to substantially enhance hardware security of large-scale CPU clusters | |
Neto et al. | ISC-FLAT: On the Conflict Between Control Flow Attestation and Real-Time Operations | |
Wang et al. | An architectural-enhanced secure embedded system with a novel hybrid search scheme | |
Dessouky et al. | When a patch is not enough-hardfails: Software-exploitable hardware bugs | |
CN111480160B (zh) | 用于过程验证的系统、方法和介质 | |
Sharma | Embedded Systems--A Security Paradigm for Pervasive Computing | |
Yang et al. | RTTV: a dynamic CFI measurement tool based on TPM | |
Chen et al. | Vulnerability-based backdoors: Threats from two-step trojans | |
Al-Saleh | Fine-grained reasoning about the security and usability trade-off in modern security tools | |
Zhang et al. | Bypassing software-based remote attestation using debug registers | |
Fang et al. | InvisiGuard: Data Integrity for Microcontroller-Based Devices via Hardware-Triggered Write Monitoring |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220330 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20230316 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230328 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230627 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230718 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20231006 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20231024 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20231108 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7383750 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |