TWI512519B - 攻擊企圖之偵測方法、記錄媒體與應用該方法之安全處理器 - Google Patents
攻擊企圖之偵測方法、記錄媒體與應用該方法之安全處理器 Download PDFInfo
- Publication number
- TWI512519B TWI512519B TW099120485A TW99120485A TWI512519B TW I512519 B TWI512519 B TW I512519B TW 099120485 A TW099120485 A TW 099120485A TW 99120485 A TW99120485 A TW 99120485A TW I512519 B TWI512519 B TW I512519B
- Authority
- TW
- Taiwan
- Prior art keywords
- attack
- processor
- security processor
- detecting
- attempt
- Prior art date
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Storage Device Security (AREA)
- Maintenance And Management Of Digital Transmission (AREA)
- Debugging And Monitoring (AREA)
Description
本發明係關於一種安全處理器本身用於偵測企圖攻擊安全處理器之方法。本發明的目的還關於一種資訊記錄媒體以及實施這種方法之安全處理器。
通常,安全處理器係為硬體組件,包含例如密碼金鑰之機密資訊或者僅僅合法使用者可使用的存取權。為了保持這種資訊的機密性,這些處理器被設計為盡可能堅固以抵制電腦駭客的攻擊企圖。例如,一種安全處理器係為裝備有電子處理器的晶片卡。
安全處理器會遭受不同類型的攻擊。這些攻擊中某些攻擊的目標在於擷取或判定安全器中包含的機密資訊。為此,目前已發展出多種攻擊。例如,透過令一安全處理器處理電腦駭客所建立的訊息,這些攻擊中的特定攻擊尋求實現該安全處理器之功能異常。其他更多的入侵方法透過影響安全處理器的供應電壓或者再次藉由向該安全處理器引導雷射束,試圖在其作業的關鍵時刻擾亂安全處理器之功能。
其他類型的攻擊雖然不會尋求擷取或判定此安全處理器中包含的機密資訊,但是簡單包含濫用此安全處理器。例如,在付費電視中,控制共享與卡共享則歸於這種類型的攻擊。簡而言之,控制共享包含在若干接收器中共享安全處理器所解密的控制詞。然後,這些接收器可用此控制詞解密這些攪拌多媒體內容,但是僅僅一個接收器為這種訂閱付費。
在卡共享中,同樣的安全處理器可用於解密來自不同接收器的若干加密控制字。如上,然後所有這些接收器可解拌這些攪拌多媒體內容,然而這些接收器中僅有一個被授權存取該內容。
為了抵制這些攻擊,目前已有各種方法用於偵測攻擊企圖,並且與此偵測回應從而執行對策(countermeasure)。
例如,歐洲專利申請EP1575293中描述了一種攻擊企圖之偵測方法及回應之對策之執行方法之例子。
對策這種行為的目的在於避免持久或連續地攻擊安全處理器。目前存在大量安全處理器可執行的對策。這些策略從簡單增加安全處理器中的安全措施到明確且不可修復地阻擋安全處理器後續變得無法使用。
目前已經提出攻擊企圖之若干偵測方法。這些方法包含:在未出現攻擊企圖時,測定(measuring)彼此獨立的若干不同事件,然後,用預定的各自門檻值比較每一次測定結果,以偵測一次攻擊企圖之出現或未出現。
然而,難度在於以下事實,當攻擊企圖不存在時,也會出現表示攻擊企圖的事件。現在,需要避免產生攻擊企圖的錯誤偵測,因為這些錯誤偵測可能導致不合時宜地執行對策,然後為安全處理器的合法使用者帶來不便。為此原因,目前已有多種方法,為預定門檻值選擇比沒有攻擊時可得到的全部測定結果的數值更高的數值。然而,預定門檻值較高,這種選擇使得某些特定攻擊無法被偵測到或者使得攻擊企圖之偵測變緩。
本發明提出一種攻擊企圖的偵測方法以尋求克服以上問題,該方法包含:根據測定的至少兩個不同事件間的至少一個伴隨指數,建立至少一個攻擊指示器的數值,伴隨指數表示測定的兩個不同事件間的時序鄰近性;以及如果攻擊指示器的數值超出一預定門檻值,則偵測到一次攻擊企圖。
以上方法考慮到安全處理器中出現的不同事件間的時序鄰近性。這種方法能夠迅速地偵測到攻擊企圖或者偵測到透過觀察測定單個事件所無法偵測到的攻擊企圖。事實上,因為這些事件出現在安全處理器的正常作業期間,各自單獨地測定這些事件,可能發生這些測定結果不會構成一次攻擊企圖的快速表示形式。相反地,當這些事件幾乎伴隨出現而它們本來應該彼此獨立出現時,則可高度相信這意味著出現了攻擊企圖。因此,以上方法能夠使得安全處理器以高度自信做出快速偵測,以偵測到安全處理器已經遭受攻擊企圖的事實。然後可用極快的速度啟動適當的執行對策。
本發明實施例包含以下一或多個特徵:藉由一組預定的權重係數相對地權衡這些伴隨指數彼此的重要性,從測定的不同事件間的若干伴隨指數中建立起攻擊指示器的數值;該方法包含透過使用同樣伴隨指數間的若干不同組的權重係數,建立若干攻擊指示器的數值,每一組權重係數被預先設定從而對一種攻擊企圖更加敏感,這種攻擊企圖不同於其他指示器更敏感的那些攻擊企圖;同樣伴隨指數的權重係數在用於建立不同攻擊指示器數值的全部權重係數組中不變;一事件之測定結果係限制於一個滑動時間槽,從而不考慮此時間槽以外發生的事件,如此做的目的在於建立以下事實,這些事件共存於測定的時間槽中;測定的事件至少其一係為偵測到安全處理器之功能之一項錯誤,這種錯誤的每次出現導致安全處理器停止進度中的處理作業,以及自動地重新設定以從開始回復這些作業;一事件的測定在於在一個計數器中計數此事件的出現次數,計數器的數值則構成測定結果;以及這些測定結果彼此相乘,得到至少兩次測定結果間的伴隨指數。
該方法的這些實施例更具有以下優點:透過修正這些權重係數的數值,使用伴隨指數間的權重係數簡單地修正攻擊指示器對一種特定類型攻擊的敏感度,使用相同組的伴隨指數時,使用若干不同組的權重係數可建立若干攻擊指示器,各自用於偵測不同的攻擊企圖,針對同樣的伴隨指數系統地使用同樣的權重係數限制了用於儲存這些不同權重係數的所需要的記憶體的數量。
事件的測定被限制於滑動時間槽,從而限制了當沒有攻擊企圖時事件的測定次數的累積所導致的錯誤偵測攻擊企圖的次數,當測定的事件其一係為偵測到安全處理器的錯誤導致安全處理器被重新設定時,然後透過避免不合時宜地阻擋此安全處理器以增加安全性。
本發明之目的還提供一種資訊記錄媒體,包含若干指令,當這些指令透過電子計算機被執行時,用於執行以上方法。
最後,本發明之目的還提供一種安全處理器,包含:複數個暫存器,其中儲存有未出現攻擊企圖時彼此獨立出現的若干事件的測定結果;以及計算機,能夠根據測定的至少兩個不同事件間的至少一個伴隨指數,建立至少一個攻擊指示器的數值,事件的測定結果儲存在這些暫存器中,伴隨指數表示測定的兩個不同事件間的時序鄰近性;以及如果攻擊指示器的數值超出一預定門檻值,則偵測到一次攻擊企圖。
在這些圖式中,相同的參考標號用於代表相同部件。
在本文以下的描述中,將不會詳細描述習知領域之普通技術人員眾所周知的特性與功能。此外,使用的術語係為多媒體內容之條件式存取系統之術語。對於這些術語的更多資訊,讀者可以參考:
歐洲廣播聯盟之技術規範〞條件式存取系統之功能模型〞(“Functional model of a conditional access system”EBU Review-Technical)
1995年12月21日在比利時首都布魯賽爾出版的第266號〞歐洲廣播聯盟〞(European Broadcasting Union,Brussels,BE,No 266,21 December 1995)。
「第1圖」表示為用戶廣播多媒體內容之系統。例如,系統2係為用於廣播若干攪拌電視通道的系統。這些電視通道各自的解密或者電視通道群之解密係以用戶之付款訂閱為條件。在這種描述中,術語〞攪拌〞/〞加密〞與〞解拌〞/〞解密〞認為是同義詞。
系統2包含至少一個傳送器4以及複數個接收器,傳送器4用於攪拌的多媒體內容,接收器能夠解拌傳送器4所廣播的多媒體內容。為了簡化「第1圖」,圖中僅僅表示一個接收器6。例如,其他接收器與此接收器6相同。
接收器6藉由長距離的資訊傳送網路8被連接到傳送器4。網路8可以為無線通訊網路或有線網路例如網際網路。
通常,傳送器4廣播經過多工的具有控制訊息的攪拌多媒體內容,其中控制訊息為權利控制訊息(Entitlement Control Message;ECM)與權利管理訊息(Entitlement Management Message;EMM)型控制訊息。每一權利控制訊息包含一個控制字CW的至少一個密碼電文CW*,用於解拌該攪拌多媒體內容。
接收器6包含一個解碼器10與一個安全處理器12,其中安全處理器12可分離地與解碼器10連接。
解碼器10包含連接一個解多工器16的一個接收器14,接收器14用於接收傳送器4所傳送的資料。解多工器16用以解多工接收的資料,並且傳送該攪拌多媒體內容至解拌器18以及權利控制訊息與權利管理訊息至安全處理器12。
處理器12接收密碼電文CW*,並且解密此密碼電文,從而以未加密的形式發送控制字CW至解拌器18。只有權利控制訊息中包含的存取權與安全處理器12中儲存的存取權一致,才允許解密。例如,此處理器12係為晶片卡式處理器。
藉由安全處理器12所解密的控制字CW,解拌器18解拌該攪拌多媒體內容。然後,經過解拌的多媒體內容例如以未加密的形式顯示於螢幕20上,這樣使用者可直接地感知與理解顯示的多媒體內容。
由於完成與控制字CW的解密相關的不同作業的處理器12的功能與特性眾所周知,因此本文中將不會更加詳細地加以描述。
處理器12包含連接感測器26、27的一台電腦24以及暫存器組30。
感測器26包含一個電壓轉換器,能夠轉換處理器12的電源電壓為電腦24可利用的一筆數位資料。
感測器27包含一個光轉換器,能夠轉換被引導至處理器12的雷射束的光子為電腦24可利用的數位資料。
藉由圖式所示,暫存器組30包含11個暫存器,被標記為C0至C10。暫存器C0至C10各自被設計為包含一個事件之測定結果,其中該事件係透過處理器12上的攻擊企圖被啟動。在未出現攻擊企圖時也可能出現被測事件。但是,當沒有攻擊企圖時,這些被測事件彼此獨立出現。因此,當沒有攻擊企圖時,不太可能會伴隨地出現這些被測事件。〞伴隨地〞這個術語表示在一個同樣的時間槽期間出現這些事件之事實。本文中,一個時間槽與每一被測事件關聯。這種時間槽可以具有有限週期或者相反的無線週期。在有限週期的情況下,這意味著這種事件的測定不會考慮到此時間槽以外出現的事件。本文中,有限週期的時間槽係為一個滑動時間槽。這種滑動時間槽具有有限週期,當時間流逝時隨時間移位,這樣只有最近的事件才會被考慮到測定該事件。無限週期意味著從事件測定的啟動時間開始的全部事件均考慮被測定。
本文中,測定一事件包含此事件相關的時間槽期間計數該事件的出現次數。因此,每一暫存器包含一個數字,表示同樣事件的出現次數。所以,在本文以下的描述中,暫存器Ci被稱為計數器Ci。
可測定事件的數量很大。通常,這些被測事件屬於以下分類其一:合法使用者可啟動的正常事件,如果這種事件大量出現時,則表示處理器12的異常使用;處理器12接收錯誤或不必要的訊息,即正常使用與排除錯誤使用期間不存在的訊息;以及偵測到處理器12的功能錯誤。
目前存在很多種功能錯誤。例如,功能錯誤可能是處理器12的作業系統的代碼執行中的錯誤、感測器26或27所測定的異常情形、所處理的資料中發現的完整性錯誤等。通常,在偵測到作業錯誤的事件中,進度中的處理作業被中斷,且處理器12自動被重新設定。
現在將詳細描述每一計數器所測定的事件的例子。
諮詢命令係用於諮詢來自處理器12的資料,計數器C1包含接收到該諮詢命令之次數。事實上,處理器12中包含的一定筆數的資料可被自由諮詢。例如,存在處理器12之識別號碼(identification number)或者處理器12中記錄的存取權的諮詢命令。因此,只要諮詢命令的接收保持偶然性,則為正常事件。然而,短時間週期內計數到對處理器12中的資料的大量諮詢命令可能由攻擊企圖所致。
計數器C2表示處理器12中記錄的異常權利的出現。異常權利係為系統2的操作者未正常使用的權利。例如,大多數操作者從不在安全處理器中記錄有效性週期大於一年的權利。這意味著即使技術上提供這種可能性,但是處理器12中記錄的有效性週期大於一年的權利,例如有效性為無限週期的權利則為異常權利。類似地,正常時操作者從不記錄授權存取及解密安全處理器中全部多媒體內容的權利。因此,允許存取處理器12中包含的全部多媒體內容之權利暫存被視為異常權利。處理器12中記錄的異常權利可能源自操作者的錯誤,但是也可能表示一次攻擊企圖。
計數器C3用於計數處理器12所接收的對於處理器沒有功能效用的訊息數目。例如,這種沒有功能效用的訊息可以為:處理器中不存在的資料的諮詢訊息;處理器中不存在的資料片段(例如存取代碼等)之抹除訊息;或者用於讀取處理器12中相同資料片段的兩個連續訊息。
這些訊息在語法上正確,並且不會引起處理器12中的任何執行錯誤。但是,它們卻沒有存在的必要。這種不必要的訊息可能由操作者錯誤發送。在攻擊企圖期間也可能使用這種訊息。
計數器C4用於計數被傳送至處理器12的訊息中語法錯誤的數目,即被傳送至此處理器的權利控制訊息與權利管理訊息中語法錯誤的數目。事實上,權利控制訊息與權利管理訊息的語法或結構符合預定的語法規則。因此,處理器12可偵測這些語法錯誤,並且在計數器C4對其進行計數。操作者的錯誤可導致語法錯誤,此外攻擊企圖期間也可導致語法錯誤。
計數器C5係為重播命令的計數器,然而正常情況下重播命令不應該被重播若干次。命令的重播在於向安全處理器發送若干次的相同命令。例如,該命令可能是用於更新處理器12中記錄的特定資料片段的更新訊息。透過記錄最後一次更新訊息的日期,處理器12可偵測到訊息之重播。
計數器C6用於計數在處理器12所接收的訊息中偵測的完整性錯誤的個數。事實上,處理器12接收的訊息中包含資料以及這些資料片段的密碼冗餘,使得處理器12能夠檢查接收的資料中不存在錯誤。例如,透過整合該訊息中包含的資料的記號(signature)或循環冗餘檢查(Cyclic Redundancy Check;CRC)可獲得資料的冗餘。當訊息在網路8或解碼器10中傳輸時,各種干擾可能導致訊息中包含的資料出現錯誤。但是,在攻擊企圖期間錯誤資料也會被使用。
計數器C7用於計數處理器12中包含的資料片段中完整性錯誤的個數。事實上,處理器12中記錄的特定數目的資料片段與使用的密碼冗餘相關,該密碼冗餘用於檢查各自記錄的資料片段的完整性。再一次,例如受到電磁干擾時,處理器12中記錄的一筆資料可偶然出現錯誤。但是,處理器12中記錄的資料錯誤的出現也可表示一次攻擊企圖。
計數器C8用於計數處理器12的作業系統的代碼執行期間壞分支(bad branches)的個數。壞分支係為處理器12所執行的指令不合時宜或者錯誤地向另一指令跳越。透過連續兩次在相同的資料片段上執行相同的指令,可偵測到執行代碼時的這些壞分支。如果執行兩次代碼未得到相同的結構,則意味著已經存在壞分支。影響處理器12的電源電壓或者向處理器12引導一雷射束可能導致從處理器12在執行代碼時不合時宜地從指令上跳越。
計數器C9用於計數處理器12被扳離(wrenched out)以後所執行的資料檢索程序(data retrieval procedure)的次數。處理器12的扳離包含在作業期間從解碼器10中移除處理器12,從而在資料處理期間中斷處理器12的電源供應。資料檢索程序能夠使得處理器12在斷電以後返回到它斷電以前的狀態。處理器12可偶然地從解碼器10中扳離。然而,在攻擊企圖期間也經常採用不合時宜地切斷處理器12的電源供應以避免處理器12執行對策。
計數器C10用於計數感測器26所測定的異常電源供應的次數連同感測器27偵測到雷射束的次數。事實上,異常電壓以及雷射束的出現係為處理器12上的典型攻擊企圖。然而,即使當沒有攻擊企圖時,這些感測器26與27還可偵測到偶爾受到處理器12之鄰接裝置所導致的例如電磁干擾的異常電壓或者雷射束。例如,解碼器10的加電可導致感測器26偵測到異常電壓。
計數器C0必須與之前的那些計數器區別開來,因為它用於計數僅在處理器12正常作業期間出現的且無法由攻擊企圖造成的一種事件。例如,本文中計數器C0所計數的事件係為處理器12適當處理的權利控制訊息與權利管理訊息的個數。
此計數器C0的數值用於限制前面特定計數器的時序記憶體(temporal memory)為有限週期的滑動時間槽。例如,為此,從計數器Ci的數值中減去計數器C0的數值,其中i>0,只有這兩個計數器的之間的差值用於計算以下將描述的伴隨指數(an index of concomitance),其中當差值為負時則計為0。例如本文中,除計數器C8與C10的數值以外,只有計數器Ci與C0的數值間的差值用於計算伴隨指數。藉由計數器C0的數值的使用,由此定義的滑動時間槽以外出現的時間則不會被考慮用於偵測攻擊企圖。將注意到計數器C0所定義的滑動時間槽的週期並不固定,取決於處理器12的用途。
電腦24連接一個記憶體32,記憶體32包含不同的資料片段以及處理器12的功能所需的指令。特別地,記憶體32包含:電腦24執行的計算「第4圖」的方法時所需要的指令;以及權重係數的矩陣36以及警告門檻值的表格38。
「第2圖」中更加詳細地表示了矩陣36的例子。矩陣36包含的資料片段的個數與攻擊企圖所易於啟動的事件計數器的個數相同。本文中,因此矩陣36係為具有10行(column)的矩陣,各自與計數器Ci關聯。矩陣36還包含各自與計數器C2至C10關聯的9列。
位於左起第i行與上起第j列的交叉點的單元(cell)包含一權重係數mi,j,與伴隨指數CiCj+1關聯。伴隨指數CiCj+1係為從計數器Ci與Cj+1的數值中計算得出的指數,用於指示indication計數器Ci所計數的事件與計數器Cj+1所計數的事件之間的伴隨性。本文中,建立每一伴隨指數,這樣當計數器Ci與Cj+1各自儲存的大量事件相同瞬時鄰近出現時,伴隨指數的數值總較高。為此,本實施例中,每一伴隨指數CiCj+1與相同時間點計數器Ci與Cj+1的數值的乘積(product)對應。
「第3圖」中所示為警告門檻值38的表格,其中第一行包含四個警告門檻值S1至S4。每一警告門檻值係為數值,並且這些警告門檻值在表格38中從上至下依照上升順序分類。
表格38還包含第二行,將標記為CMi的一或多個對策與每一門檻值Si關聯。這些對策係為安全處理器12所執行的行動,從而難以擷取或判定處理器12中包含的資料或者很難不正當地使用該處理器12。
本文中,與門檻值Si關聯的對策CMi不太嚴格,與更高警告門檻值Si+1關聯的對策相比,處理器的使用者承擔的懲罰較少。因此,超越的警告門檻值Si越高,與此回應執行的對策CMi將越嚴格。
藉由圖式,對策CM1包含為處理器12執行的代碼的額外分支增加冗餘。例如,透過若干次執行此條件分支並且檢查每次執行時獲得的結果是否相同,則得到該冗餘。
對策CM1包含更為作業增加冗餘以用於檢查處理的資料的完整性。例如,若干次地檢查資料的完整性,然而如果門檻值S1未被超越,則僅僅驗證一次。如果門檻值S1未被超越,則還包含為那些未被檢查完整性的資料做完整性檢查,例如,對策CM2包含對處理器12所執行的代碼指令拖尾(stringing)的可能性增加限制。令處理器12執行整個區塊的指令,並且在該區塊的指令執行之間不允許任何中斷,則可實現。
當門檻值S2未被超越時,對策CM2還包含消除處理器12迄今所允許的某些特定功能。例如,禁止增加新服務,例如禁止增加新的操作者或新的用戶。如果門檻值S2被超越,還可禁止對處理器12的管理功能的存取。
例如,對策CM3包含修正矩陣36中出現的權重係數,這樣當測定事件時,容易且快速達到上限門檻值即S4。因此,如結合「第4圖」所描述的,可增加處理器12偵測攻擊企圖的靈敏度。對策CM3還包含對接收的每一訊息的完整性的系統檢查及重複檢查。對策CM3還可包含對執行流的加速控制(boosting control)。這特別包含令可執行代碼的每一部分被處理器12執行兩次,以及這兩次執行結束時透過比較檢查獲得的結構是否相同。如果獲得的結果之間產生差異,則增加計數器C8。
最後,對策CM4最終令處理器12無效,這樣最終處理器12無法使用。為此,例如抹除該處理器12中包含的機密資訊。
現在將結合「第4圖」的方法更加詳細地描述處理器12的功能。
除處理器12的正常作業以外,此處理器還用於執行一種攻擊企圖的偵測方法。為此,步驟50用於測定可能由攻擊企圖所導致的事件。本文中,這種測定包含在計數器Ci中為對應事件計數。
然後,在步驟52期間,處理器12分別建立三個攻擊指示器I1、I2與I3。
構建指示器I1,從而比指示器I2與I3對使用雷射干擾的攻擊企圖更加靈敏。雷射干擾的攻擊包含在其執行時令雷射束指向此安全處理器,某些關鍵時刻導致此處理器所執行的代碼中出現指令跳越。通常,關鍵時刻與條件分支對應。
本文中,透過以下關係式給出指示器I1的數值:
I1
=m2,6
C2
C7
+m2,7
C2
C8
+m2,9
C2
C10
+m7,7
C7
C8
+m7,9
C7
C10
+m8,9
C8
C10
其中:
mi,j
係為權重係數,其數值包含在矩陣36中。
指示器I2被設計為比其他兩個指示器對邏輯攻擊更敏感。邏輯攻擊包含在處理器12所執行的代碼中搜索邏輯瑕疵或實施錯誤,從而獲得該處理器的異常行為。例如,邏輯攻擊包含向處理器12發送數量極其巨大的彼此完全不同的錯誤訊息,直到這些訊息其中之一導致處理器12行為異常為止。
例如,藉由以下關係式建立指示器I2的數值:
I2
=m1,2
C1
C3
+m1,3
C1
C4
+m3,3
C3
C4
。
最後,指示器I3被設計為對差分電力分析(Differential Power Analysis;DPA)式攻擊企圖更敏感。差分電力分析攻擊係為向處理器12發送大量訊息,導致在大量不同的資料片段上執行大量密碼演算法,同時測定到處理器12的電流消耗。然後,透過對收集的資料加以統計分析,可發現金鑰的數值或處理器12中記錄的機密資料。
例如,藉由以下關係式建立指示器I3:
I3
=m4,4
C4
C5
+m4,5
C4
C6
+m5,5
C5
C6
。
然後,一旦建立起指示器I1至I3的數值,在步驟54中,這些指示器的數值與表格38中記錄的不同警告門檻值比較,以偵測攻擊企圖。
如果這些指示器的數值均未超越門檻值Si,然後在步驟56中,不會執行任何對策。
相反地,如果這些指示器其一的數值超越這些門檻值Si其一,然後在步驟58中執行與超越的最高門檻值Si相關的對策。
在步驟56與58結束處,此方法返回步驟50。
步驟50至58的同時,在步驟60期間,傳送器4例如使用權利管理訊息或權利控制訊息類型的訊息,為權重係數傳送新的數值。然後,在步驟62中,處理器12接收該訊息,並且更新矩陣36內包含的權重係數的數值。
權重係數的更新使得便於修正一個指示器對一種特定攻擊企圖的靈敏度。特別地還可以注意到,為了修正該指示器對特定攻擊企圖的靈敏度,僅僅需要修正矩陣36中記錄的權重係數,而無須修正處理器12執行的其他指令。
還可能存在很多其他的實施例。例如,處理器12可包含若干不同的權重係數矩陣。這些矩陣各自可用於計算各自的攻擊指示器。然後,可根據建立的攻擊指示器為不同的權重係數指定伴隨指數。若干權重係數矩陣的使用還可有效修正當新的警告門檻值被超越時所使用的權重矩陣。
相反地,還可建立單個攻擊指示器以代替若干指示器。
作為一種變體,警告門檻值表格可與建立的攻擊指示器一樣多。在這種變體中,一種特定攻擊指示器的關聯警告門檻值無須與另一攻擊指示器的關聯警告門檻值相同。
表格38還可被與對策關聯的單個警告門檻值替換。
計數器Ci其一可簡單地證明一事件的存在,而無須計數此事件的出現次數。這種情況下,此計數器的數值可透過單個資訊位元被編碼。甚至在這種情況下,現有計數器的數值可與無限或有限週期的一時間槽關聯。
可在處理器12中實施與上述不同的感測器。例如,處理器12還可包含溫度感測器。
伴隨指數並非限制於兩種測定結果的乘積。例如,還可以對應多於兩種測定結果的乘積。然而,一同相乘的測定結果的數目的增加也增加了權重係數的矩陣大小。
除乘法運算以外,還可透過數學運算計算表示至少兩個事件間時間鄰近性的伴隨指數。
與警告門檻值被攻擊指示器其中之一超越回應,還可執行很多與本文上述不同的對策。例如,其他對策包含修正處理器12執行的密碼演算法。對策還可包含很多事件的使用或測定,以建立迄今未測定的攻擊指示器。例如,為了與警告門檻值的超越回應,感測器26或27其中之一測定的事件可被計數,而先前它們則未被計數。
電腦24可由一或多個處理器形成。例如,可由一個處理器連同一個關聯輔助處理器(co-processor)形成。然後,處理器與輔助處理器兩者均可執行偵測方法。
本文中已經描述了事件的出現次數必須被計數的特定情況下的測定結果。然而,此測定還可包含在暫存器其一內記錄一事件的數值,例如感測器26或27其一所測定的數值。為了計數一事件的出現次數,還可減少計數器的數值,以代替本文上述的增加計數器的數值。
本文中接收器6的架構僅僅單獨表示特定情形。特別地,解拌器18還可為拆卸式。相反地,在解碼器中可無須任何自由度實施解拌器與安全處理器。這種情況下,解拌器與安全處理器可採用軟體組件的形式。
2...系統
4...傳送器
6...接收器
8...網路
10...解碼器
12...處理器
14...接收器
16...解多工器
18...解拌器
20...螢幕
24...電腦
26、27...感測器
30...暫存器組
32...記憶體
36...矩陣
38...表格
第1圖所示係為用於傳送攪拌多媒體內容之系統之示意圖,其中該系統包含一個安全處理器;
第2圖所示係為第1圖所示系統之安全處理器所使用的權重係數之矩陣之示意圖;
第3圖所示係為第1圖所示之安全處理器所使用的警告門檻值之表格;以及
第4圖所示係為第1圖所示系統之安全處理器上攻擊企圖之偵測方法之流程圖。
Claims (9)
- 一種安全處理器之攻擊企圖之偵測方法,其中該安全處理器本身偵測該攻擊企圖,該偵測方法包含在未出現攻擊企圖時測定(50)彼此獨立出現的若干不同事件,其中該方法還包含:透過使至少兩個測定結果彼此相乘,得到該些測定結果間的至少一個伴隨指數,該伴隨指數表示測定的兩個不同事件間的時序鄰近性;根據測定的至少兩個不同事件間的該至少一個伴隨指數,建立(52)至少一個攻擊指示器的一數值;以及如果該攻擊指示器的該數值超出一預定門檻值,則偵測(54)到一次攻擊企圖。
- 如請求項第1項所述之安全處理器之攻擊企圖之偵測方法,其中藉由一組預定的權重係數相對地權衡這些伴隨指數彼此的重要性,從測定的不同事件間的若干伴隨指數中建立(52)起該攻擊指示器的該數值。
- 如請求項第2項所述之安全處理器之攻擊企圖之偵測方法,其中該方法包含透過使用同樣伴隨指數間的若干不同組的權重係數,建立(52)若干攻擊指示器的數值,每一組權重係數被預先設定從而對一種攻擊企圖更加敏感,該種攻擊企圖不同於其他指示器更敏感的那些攻擊企圖。
- 如請求項第3項所述之安全處理器之攻擊企圖之偵測方法,其 中同樣伴隨指數的權重係數在用於建立不同攻擊指示器數值的全部權重係數組中不變。
- 如請求項第1項所述之安全處理器之攻擊企圖之偵測方法,其中一事件之測定(50)係限制於一滑動時間槽,從而不考慮該時間槽以外發生的事件。
- 如請求項第1項所述之安全處理器之攻擊企圖之偵測方法,其中測定的事件至少其一係為偵測到該安全處理器之功能之一錯誤,該錯誤之每次出現導致該安全處理器停止進度中的處理作業,以及自動地重新設定以從開始回復這些作業。
- 如請求項第1項所述之安全處理器之攻擊企圖之偵測方法,其中一事件的測定(50)在於在一計數器中計數該事件的出現次數,該計數器的數值構成測定結果。
- 一種資訊記錄媒體,其特徵在於包含複數個指令,當該等指令透過一電子計算機被執行時,用於執行如以上請求項任意其一所述之偵測方法。
- 一種安全處理器,包含:複數個暫存器(C1 至C10 ),其中儲存有未出現攻擊企圖時彼此獨立出現的若干事件的測定結果;以及一電腦(24),該電腦(24)能夠透過使至少兩個測定結果彼此相乘,得到該些測定結果間的至少一個伴隨指數,其中該些測定結果儲存在 該等暫存器中,該伴隨指數表示測定的兩個不同事件間的時序鄰近性;根據測定的至少兩個不同事件間的至少一個伴隨指數,建立至少一個攻擊指示器的一數值;以及如果該攻擊指示器的該數值超出一預定門檻值,則偵測到一次攻擊企圖。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR0954431A FR2947361B1 (fr) | 2009-06-29 | 2009-06-29 | Procede de detection d'une tentative d'attaque, support d'enregistrement et processeur de securite pour ce procede |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW201101090A TW201101090A (en) | 2011-01-01 |
| TWI512519B true TWI512519B (zh) | 2015-12-11 |
Family
ID=41508781
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW099120485A TWI512519B (zh) | 2009-06-29 | 2010-06-23 | 攻擊企圖之偵測方法、記錄媒體與應用該方法之安全處理器 |
Country Status (9)
| Country | Link |
|---|---|
| US (1) | US9600667B2 (zh) |
| EP (1) | EP2449497A1 (zh) |
| CN (1) | CN102473209B (zh) |
| BR (1) | BRPI1013816A2 (zh) |
| FR (1) | FR2947361B1 (zh) |
| MX (1) | MX2011013513A (zh) |
| RU (1) | RU2568298C2 (zh) |
| TW (1) | TWI512519B (zh) |
| WO (1) | WO2011000756A1 (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9503785B2 (en) | 2011-06-22 | 2016-11-22 | Nagrastar, Llc | Anti-splitter violation conditional key change |
| US9392319B2 (en) * | 2013-03-15 | 2016-07-12 | Nagrastar Llc | Secure device profiling countermeasures |
| CN103678709B (zh) * | 2013-12-30 | 2017-02-22 | 中国科学院自动化研究所 | 一种基于时序数据的推荐系统攻击检测方法 |
| EP3270620A1 (en) * | 2016-07-13 | 2018-01-17 | Gemalto Sa | Method and devices for managing a secure element |
| RU179302U1 (ru) * | 2017-11-21 | 2018-05-07 | Александра Владимировна Харжевская | Устройство динамического контроля выполнения специальных вычислений |
| EP3663959B1 (en) | 2018-12-06 | 2021-08-11 | Mastercard International Incorporated | An integrated circuit, method and computer program |
| US11848941B2 (en) * | 2020-09-02 | 2023-12-19 | Nxp B.V. | Collection of diagnostic information in a device |
| CN115775419A (zh) * | 2021-09-06 | 2023-03-10 | 华为技术有限公司 | 防护方法、智能锁及计算机可读存储介质 |
| US20240031391A1 (en) * | 2022-07-22 | 2024-01-25 | Semperis Technologies Inc. (US) | Attack path monitoring and risk mitigation in identity systems |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6075884A (en) * | 1996-03-29 | 2000-06-13 | Sarnoff Corporation | Method and apparatus for training a neural network to learn and use fidelity metric as a control mechanism |
| US20040250124A1 (en) * | 2003-05-19 | 2004-12-09 | Vsecure Technologies (Us) Inc. | Dynamic network protection |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100381116B1 (ko) * | 1994-04-18 | 2003-07-22 | 마쯔시다덴기산교 가부시키가이샤 | 광기록매체정보의불법복사또는불법설치방지방법및장치 |
| US5533123A (en) * | 1994-06-28 | 1996-07-02 | National Semiconductor Corporation | Programmable distributed personal security |
| GB2365153A (en) * | 2000-01-28 | 2002-02-13 | Simon William Moore | Microprocessor resistant to power analysis with an alarm state |
| EP1447976B1 (en) | 2003-02-12 | 2019-06-19 | Irdeto B.V. | Method of controlling descrambling of a plurality of program transport streams, receiver system and portable secure device |
| EP1575293A1 (en) | 2004-03-11 | 2005-09-14 | Canal+ Technologies | Dynamic smart card management |
| US8190731B2 (en) * | 2004-06-15 | 2012-05-29 | Alcatel Lucent | Network statistics processing device |
| EP1612639A1 (en) * | 2004-06-30 | 2006-01-04 | ST Incard S.r.l. | Method for detecting and reacting against possible attack to security enforcing operation performed by a cryptographic token or card |
| JP4899442B2 (ja) * | 2005-11-21 | 2012-03-21 | ソニー株式会社 | 情報処理装置、情報記録媒体製造装置、情報記録媒体、および方法、並びにコンピュータ・プログラム |
| FR2907930B1 (fr) | 2006-10-27 | 2009-02-13 | Viaccess Sa | Procede de detection d'une utilisation anormale d'un processeur de securite. |
-
2009
- 2009-06-29 FR FR0954431A patent/FR2947361B1/fr active Active
-
2010
- 2010-06-23 RU RU2012102988/08A patent/RU2568298C2/ru active
- 2010-06-23 MX MX2011013513A patent/MX2011013513A/es active IP Right Grant
- 2010-06-23 TW TW099120485A patent/TWI512519B/zh not_active IP Right Cessation
- 2010-06-23 CN CN201080029645.8A patent/CN102473209B/zh not_active Expired - Fee Related
- 2010-06-23 BR BRPI1013816A patent/BRPI1013816A2/pt not_active Application Discontinuation
- 2010-06-23 US US13/378,709 patent/US9600667B2/en active Active
- 2010-06-23 EP EP10731487A patent/EP2449497A1/fr not_active Withdrawn
- 2010-06-23 WO PCT/EP2010/058949 patent/WO2011000756A1/fr active Application Filing
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6075884A (en) * | 1996-03-29 | 2000-06-13 | Sarnoff Corporation | Method and apparatus for training a neural network to learn and use fidelity metric as a control mechanism |
| US20040250124A1 (en) * | 2003-05-19 | 2004-12-09 | Vsecure Technologies (Us) Inc. | Dynamic network protection |
Also Published As
| Publication number | Publication date |
|---|---|
| FR2947361A1 (fr) | 2010-12-31 |
| MX2011013513A (es) | 2012-04-20 |
| US9600667B2 (en) | 2017-03-21 |
| EP2449497A1 (fr) | 2012-05-09 |
| US20120096547A1 (en) | 2012-04-19 |
| TW201101090A (en) | 2011-01-01 |
| BRPI1013816A2 (pt) | 2016-04-12 |
| CN102473209A (zh) | 2012-05-23 |
| RU2568298C2 (ru) | 2015-11-20 |
| FR2947361B1 (fr) | 2011-08-26 |
| RU2012102988A (ru) | 2013-08-20 |
| CN102473209B (zh) | 2016-04-13 |
| WO2011000756A1 (fr) | 2011-01-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI512519B (zh) | 攻擊企圖之偵測方法、記錄媒體與應用該方法之安全處理器 | |
| EP1964016B1 (en) | Secure system-on-chip | |
| US8356188B2 (en) | Secure system-on-chip | |
| US8601536B2 (en) | Bus monitor for enhancing SOC system security and realization method thereof | |
| CN101136049B (zh) | 信息处理系统和信息处理方法 | |
| KR101006721B1 (ko) | 키보드 입력정보 보안장치 및 그 방법 | |
| KR101433300B1 (ko) | 보안 프로세서의 비정상적 사용을 탐지하는 방법 | |
| US20080141380A1 (en) | Software component, software component management method, and software component management system | |
| US8191125B2 (en) | System, apparatus and method for restricting data access | |
| CN111400745A (zh) | 一种图片管理方法、装置及电子设备 | |
| US11314518B2 (en) | Verification of instructions from main processor to auxiliary processor | |
| US7542567B2 (en) | Method and apparatus for providing security in a data processing system | |
| KR101630462B1 (ko) | 키보드 보안 장치 및 방법 | |
| KR101606090B1 (ko) | 네트워크 보호 장치 및 방법 | |
| KR101978289B1 (ko) | 컨텐츠의 불법 이용을 감지하는 시스템 및 그 방법 | |
| KR101978290B1 (ko) | 컨텐츠의 불법 이용을 감지하는 시스템 및 그 방법 | |
| RU2494454C2 (ru) | Способ и устройство диагностики первого приема идентификатора, способ детектирования, носитель записи и компьютерная программа для этого способа | |
| CN116861411B (zh) | 基于Seccomp机制的安全沙箱数据保护方法及系统 | |
| US20120310897A1 (en) | Electronic device and information processing method | |
| WO2021152698A1 (ja) | インシデント対応効率化システム、インシデント対応効率化方法およびインシデント対応効率化プログラム | |
| CN115374430A (zh) | 信息泄露检测方法及装置、存储介质和电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| MM4A | Annulment or lapse of patent due to non-payment of fees |