处理故障注入攻击的安全系统和方法技术方案

本发明专利技术提供一种处理故障注入攻击的安全系统和方法，该故障注入对策电路用于保护该处理器核心免受故障注入攻击。在一实施例中，安全系统包含一灵敏度等级控制模组，以动态调整灵敏度等级时避免假警报。

A Security System for Handling Fault Injection Attacks

【技术实现步骤摘要】
处理故障注入攻击的安全系统和方法
本专利技术涉及装置安全领域，尤其涉及一种处理故障注入攻击的安全系统和方法。
技术介绍
美国专利号9523736和其先前技术描述了传统的安全对策(securitycountermeasure，CM)的机制和电路。已知有灵敏度等级可调的对策机制，且已知有频率突变(Glitch)检测器，并在下列连结中进行了描述：http://www.invia.fr/detectors/voltage-glitch-detector.aspx此些网页描述了使用“可配置的检测阈值”；以及https://hal.inria.fr/emse-01099006/document“JosepBalasch、BenediktGierlichs和IngridVerbauwhede所著的白皮书”8-Bit时脉频率突变对8位MCU的影响的详细了解和黑盒特性(AnIn-depthandBlack-boxCharacterizationoftheEffectsofClockGlitcheson8-bitMCUs)“，可从IEEE获得，其描述了故障注入研究。由MartinS.Kelly等人所著的白皮书“藉由执行时数据分析表征的CPU故障攻击模型(CharacterisingaCPUFaultAttackModelviaRun-TimeDataAnalysis)”可从IEEE获得，其描述了故障注入研究。NicolasMoro等人所著的白皮书“两种防止故障攻击的软体对策的实验评估(Experimentalevaluationoftwosoftwarecountermeasuresagainstfaultattacks)”可从IEEE获得，其评估了软体对策。NicolasMoro等人所著的白皮书“电磁故障注入：针对32位元微控制器上的故障模型(Electromagneticfaultinjection:towardsafaultmodelona32-bitmicrocontroller)”可从IEEE获得，其描述了故障注入研究。NCC集团于2015年11月发布的“实施实用电气频率突变攻击(ImplementingPracticalElectricalGlitchingAttacks)”中介绍了关于频率突变攻击的最新知识，并可通过网际网络https://www.blackhat.com/docs/eu-15/materials/eu-15-Giller-Implementing-Electrical-Glitching-Attacks.pdf取得。在ThiernoBarry、DamienCourouss_e、BrunoRobisson所著的“针对指令跳过故障攻击的对策编译(CompilationofaCountermeasureAgainstInstruction-SkipFaultAttacks)”中描述了软体中的对策，例如指令的复制，可通过网际网络https://hal-cea.archives-ouvertes.fr/cea-01296572/document取得，以及“针对故障攻击的低成本软体对策：实施和性能权衡(Low-CostSoftwareCountermeasuresAgainstFaultAttacks:ImplementationandPerformancesTradeOffs)”，可通过网际网络http://euler.ecs.umass.edu/research/bpbk-WESS-2010.pdf取得。已知有基于跟踪CPU的执行流程而操作的认证机制，例如美国专利号9703945。图1绘示的是现有技术中的CPU操作周期，其取自MikeMcDonald和TonyJacobs所著的“DLX机器的基本操作(BasicOperationofaDLXMachine)”，可在以下网际网络位置获得：https://www.cs.umd.edu/class/fall2001/cmsc411/projects/DLX/proj.html。说明书中提及的所有出版物和专利文件以及其中直接或间接引用的出版物和专利文献的公开内容在此通过引用并入本文。这些出版物和专利文件对可专利性的实质性不予承认。
技术实现思路
故障注入是一种广泛使用和高度有效的(从骇客观点)技术。某些实施例试图提供针对故障注入攻击或指令跳过故障攻击的改进的保护。安全系统的衡量标准是误报率(rateoffalsepositives)，又称假警报(falsealarms)以及它们提供的安全等级。本专利技术的某些实施例试图提供一种有优势的系统，即通常在系统全部操作时间(100％)的存储器在较低安全风险的时期，例如但不限于经验上被认为不太受骇客攻击的时期，以及存在较高安全风险的时期，例如但不限于经验上被认为更受骇客欢迎的时期。然后，系统会将对安全威胁更敏感的时间限制为第二类的时段，从而整体上减少了系统对假警报的灵敏度，使得系统更安全，并在相对于将系统在100％的时间内置于对故障注入具有最高的灵敏度的状态下，不会影响可得性(availability)和可用性(usability)。某些实施例试图提供一种故障注入检测器，其具有即时操作中动态调整(例如，即时调整)灵敏度等级，其具有比故障注入检测器确保CPU的单个指令的解码执行周期(decode-through-executioncycle)更短的回应时间。通常，检测是连续的，而不是间歇的。该领域的技术人员可能知道或不知道取决于晶片的状态，例如取决于晶片是处于活动状态还是处于睡眠状态而将对策开启和关闭。本文所示和描述的特定实施例试图即时调整灵敏度等级，以牺牲一些误报为代价来微调提供攻击保护的装置中固有的权衡(tradeoffsinherent)。通常地，以对单一操作码的分辨率来提供对策的控制，例如，因为在第一操作码(firstopcode)时的检测可能提供第一灵敏度等级，可能是低灵敏度等级，并产生第一权衡，其提供较低等级检测并遭受较低等级的假警报，并且可以在紧接在第一操作码之后的第二操作码的检测时提供第二灵敏度等级，可能是较高的灵敏度等级，产生第二权衡，其以牺牲更高等级的假警报为代价提供更高等级的检测。本专利技术的某些实施例试图提供一种安全系统、方法和电脑程序产品，其根据CPU的执行流程动态地控制故障注入对策电路，以保护CPU免受故障注入攻击。例如，可以提供CPU或处理器核心，其在使用时即时产生将要执行的至少一个条件分支(conditionalbranch)的输出指示，以回应于将要被执行的条件分支的输出指示，如果除了条件分支以外的至少一个指令即将被处理器核心执行，则灵敏度等级配置模组用于选择比由灵敏度等级配置模组选择的至少一个灵敏等级更高的下一个灵敏等级。因此，至少提供以下实施例：实施例1：根据处理器核心执行流程，动态地控制故障注入对策电路的安全系统，故障注入对策电路用于保护处理器核心免受故障注入攻击，安全系统包括：1.处理器核心，其在使用时执行指令并且同时即时地产生至少一些将要执行的指令的输出指示；2.具有多个可选灵敏度等级的故障注入检测器；以及3.灵敏度等级控制模组，其即时执行以下操作，接收输出指示，使用至少接收输出本文档来自技高网...

【技术保护点】
1.一种处理故障注入攻击的安全系统，其特征在于，该故障注入对策电路用于保护该处理器核心免受故障注入攻击，该安全系统包括：一处理器核心，在执行指令的同时，该处理器核心即时地产生将要执行的至少一些指令的多个输出指示；一故障注入检测器，具有多个可选灵敏度等级；以及一灵敏度等级控制模组，其即时执行以下操作，接收该多个输出指示，使用接收该多个输出指示作为输入的一灵敏度等级选择逻辑元件，从该多个可选灵敏度等级中选择下一个灵敏度等级；以及将该故障注入检测器设置为该下一个灵敏度等级，从而当根据该至少一些指令的该多个输出指示保护该处理器核心免受故障注入攻击时提供不同敏感度的故障注入对策电路，如果一处理器核心保护被提供在与该至少一些指令的该输出指示无关的灵敏度等级时避免至少一个假警报。

【技术特征摘要】
2017.12.18 US 15/845,4121.一种处理故障注入攻击的安全系统，其特征在于，该故障注入对策电路用于保护该处理器核心免受故障注入攻击，该安全系统包括：一处理器核心，在执行指令的同时，该处理器核心即时地产生将要执行的至少一些指令的多个输出指示；一故障注入检测器，具有多个可选灵敏度等级；以及一灵敏度等级控制模组，其即时执行以下操作，接收该多个输出指示，使用接收该多个输出指示作为输入的一灵敏度等级选择逻辑元件，从该多个可选灵敏度等级中选择下一个灵敏度等级；以及将该故障注入检测器设置为该下一个灵敏度等级，从而当根据该至少一些指令的该多个输出指示保护该处理器核心免受故障注入攻击时提供不同敏感度的故障注入对策电路，如果一处理器核心保护被提供在与该至少一些指令的该输出指示无关的灵敏度等级时避免至少一个假警报。2.如权利要求1所述的安全系统，其特征在于，当该灵敏度等级控制模组接收到与一风险等级R相关联的一单独指令的输出指示时，该灵敏度等级控制模组回应性地选择下一个灵敏度等级，其比针对与低于该风险等级R的风险等级相关联的至少一个指令选择的灵敏度等级更高。3.如权利要求1所述的安全系统，其特征在于，当该灵敏度等级控制模组接收到决定来自一中断处理程序的一处理器核心返回的一单独指令的输出指示时，该灵敏度等级控制模组回应性地选择下一个灵敏度等级，其比针对该单独指令以外的至少一个指令的灵敏度等级更高。4.如权利要求1所述的安全系统，其特征在于，当该灵敏度等级控制模组接收到决定例程返回地址的一单独指令的输出指示时，该灵敏度等级控制模组回应地选择下一个灵敏度等级，其比针对该单独指令以外的至少一个指令的灵敏度等级更高。5.如权利要求1所述的安全系统，其特征在于，当该灵敏度等级控制模组接收到决定回圈的停止条件的一单独指令的输出指示时，灵敏度等级控制模组回应地选择下一个灵敏度等级，其比针对该单独指令以外的至少一个指令的灵敏度等级更高。6.如权利要求1所述的安全系统，其特征在于，当该灵敏度等级控制模组接收到决定一处理器核心执行模式改变的一单独指令的输出指示时，该灵敏度等级控制模组回应地选择下一个灵敏度等级，其比针对该单独指令以外的至少一个指令的灵敏度等级更高。7.如权利要求1所述的安全系统，其特征在于，当该灵敏度等级控制模组接收到从一存储器读取数据的一单独指令的输出指示时，该灵敏度等级控制模组回应地选择下一个灵敏度等级，其比针对该单独指令以外的至少一个指令的灵敏度等级更低。8.如权利要求1所述的安全系统，其特征在于，该处理器核心包括一存储器，并且其中当该灵敏度等级控制模组接收到将数据从该存储器读取到一本地储存装置中的一单独指令的输出指示时，该灵敏度等级控制模组回应地选择下一个灵敏度等级，其比针对该单独指令以外的至少一个指令的灵敏度等级更低。9.如权利要求1所述的安全系统，其特征在于，当该灵敏度等级控制模组接收到包括一条件分支的一单独指令的输出指示时，该灵敏度等级控制模组回应地选择下一个灵敏度等级，其比针对该单独指令以外的至少一个指令的灵敏度等级更高。10.如权利要求1所述的安全系统，其特征在于，当该处理器核心即将执行一指令时，产生与该指令有关的至少一个输出指示，从而在执行该指令之前提供该指令将要被执行的输出指示。11.如权利要求1所述的安全系统，其特征在于，该处理器核心包括适配的一解码逻辑元件，该解码逻辑元件至少一次解码从一程序存储器获取的一单独指令，从而导出至少一个CPU内部信号，该至少一个CPU内部信号随后操作一CPU的至少一个单元，从而执行该单独指令，并且其中该解码逻辑元件还适于在该至少一个单元回应于在从程序存储器取回的该单独指令导出的该至少一个CPU内部信号而操作之前提供该单独指令的输出指示，以便在执行该单独指令之前而不是在之后将故障注入检测器设置为该下一个灵敏度等级。12.如权利要求1所述的安全系统，其特征在于，该处理器核心对多个操作码进行解码，从而生成包括对该处理器核心的多个执行单元的指令的信号，以及该多个输出指示包括由该操作码解码的该指令指示的从该处理器核心输出的信号，由此提供该灵敏度等级选择逻辑元件的将由该处理器核心执行的指令的一预览。13.如权利要...

【专利技术属性】
技术研发人员：伊兰·马格利特，
申请(专利权)人：新唐科技股份有限公司，
类型：发明
国别省市：中国台湾,71