無需電池的用于工業(yè)和計量裝置的侵擾檢測系統(tǒng)以及方法
【專利說明】無需電池的用于工業(yè)和計量裝置的侵擾檢測系統(tǒng)以及方法[0001 ]相關(guān)專利申請的交叉引用
[0002]本申請與2014年10月1日提交的申請?zhí)枮?2/058556�,標題為“Tamper Detect1nSystems and Methods for Industrial&Metering Devices not Requiring a Battery����,,�����,發(fā)明人為Yann Yves Rene Loisel,Frank Lhermet及Alain-Christophe Rollet的美國臨時申請相關(guān)并要求享有其優(yōu)先權(quán)���,在此其全部內(nèi)容通過弓I用的方式結(jié)合到本文中����。
【背景技術(shù)】
[0003]A.
技術(shù)領(lǐng)域
[0004]本發(fā)明主要涉及安全系統(tǒng)�,并且尤其涉及檢測電子系統(tǒng)中的侵擾以防止對敏感數(shù)據(jù)的未經(jīng)授權(quán)的訪問的系統(tǒng)、裝置����、以及方法。
[0005]B.發(fā)明背景
[0006]安全的電子系統(tǒng)例如銀行終端可以在可信環(huán)境中保護重要的資產(chǎn)和經(jīng)加密的敏感數(shù)據(jù)���,以防止?jié)撛诠粽呶唇?jīng)允許對其訪問或侵擾���。防止入侵者侵擾物理裝置以獲得敏感數(shù)據(jù)訪問的典型對策包括實現(xiàn)裝置敏感區(qū)域周圍的安全邊界�����。高度安全物理防護包括電子網(wǎng)格與開關(guān)的應(yīng)用��,它們可以幫助檢測侵擾以及發(fā)出可能遭到入侵的信號標志����。一旦檢測到入侵����,這些安全系統(tǒng)可以,例如���,清除其解密密鑰以及其他存儲于計算機系統(tǒng)內(nèi)常規(guī)存儲裝置的敏感信息以防止對手捕獲私密信息�。
[0007]針對物理侵擾的高效安全措施要求24/7全天候保護���,不間斷地監(jiān)控包含敏感信息的物理裝置�,即����,裝置必須總是處于供電狀態(tài)以防止切斷電源期間可能出現(xiàn)的未經(jīng)授權(quán)的訪問?��?蛇x地�,可以關(guān)閉本裝置的非關(guān)鍵部分�����,同時電源(例如���,電池)為裝置提供充足的能量以使安全監(jiān)控系統(tǒng)保持在工作狀態(tài)�����,繼續(xù)保護最關(guān)鍵的組件及外部警報裝置���,例如通過發(fā)送警告,以確保提供所需保護水平����。因此,即使安全裝置自身完全斷電����,監(jiān)控系統(tǒng)仍可以保持持續(xù)運行并控制裝置的物理完整性�����。
[0008]包含防護電子網(wǎng)格以及其他活動部件的安全監(jiān)控系統(tǒng)被電操作���,并且被設(shè)計為檢測任何參考信號的特征的侵擾或者改動,比如電壓或電阻值����,以作為物理侵擾潛在行為的指示。電池電量一般都足以監(jiān)測環(huán)境條件���,比如沖擊事件導(dǎo)致的溫度及振動���,以進一步增加系統(tǒng)安全性。尤其是��,要求較高安全性的密鑰存儲及數(shù)據(jù)的硬件安全模塊(HSMs)依靠電池供電以完成24/7監(jiān)控�����,以使即使在停電情況下�����,具有備份電池的安全監(jiān)控系統(tǒng)仍可控制裝置物理邊界的安全性,并且確保敏感數(shù)據(jù)不被未經(jīng)授權(quán)而遭到訪問�、記錄或者其他侵擾�。支付終端以及其他包含安全的微控制器的裝置使用的安全監(jiān)控系統(tǒng),具有平均約7年電池壽命的備份電池����。這在大多數(shù)如定期淘汰或替換的HSMs實例中是合適的,以使電池壽命超過本領(lǐng)域裝置的實際使用時間���。
[0009]然而�����,具有相當長壽命的裝置����,比如智能儀表���,我們期望它們在本領(lǐng)域工作30年甚至更長時間���,而且在實際中無需任何維修或者���,至少,盡可能少維修��?����?紤]到即使最先進的電池也僅具有少于10年的壽命��,那么一旦需要替換裝置的電池����,就必須切斷電源一段時間以進行維修工作,這個缺點使得對這些裝置的保護就無效了����。類似地,對于位于邊遠地區(qū)的工業(yè)裝置���,如石油或天然氣管道等���,是被設(shè)計為無需維修操作的裝置,由于極高的維護與支持成本����,以及����,更為重要地���,斷電及開啟安全裝置涉及到安全問題��,使得在該領(lǐng)域更換電池是不可行的解決方案。
[0010]目前�,不存在確保晝夜保護高安全及長使用壽命裝置的實際解決方案。一旦關(guān)閉裝置��,其被暴露并毫無安全可言����。攻擊者可以訪問裝置,無監(jiān)測地進行電路改動���,并且在裝置重新充電啟動后沒有信息指示裝置在此期間被入侵以及被操縱�。最復(fù)雜的攻擊者甚至可以無需試圖檢索關(guān)閉電源時的秘密����,而是����,抓住機會向裝置安裝一些惡意代碼(例如����,木馬),以使當電源重新充電啟動時���,攻擊者已經(jīng)完成的改動可用于攔截數(shù)據(jù)以及暴露有價值的資產(chǎn)(例如��,記錄并提取密碼)�,而不留下易于被遠程位置監(jiān)測到的痕跡���。
[0011]因此���,需要在裝置邊界提供不間斷的高安全性監(jiān)控的工具,以使即使發(fā)生斷電事件�,仍可能確定裝置是否被侵擾以采取適當措施。
【附圖說明】
[0012]參考本發(fā)明的實施例����,在附體中可以例示本發(fā)明的實例。這些附圖旨在說明而非限制�����。盡管這些實施例的內(nèi)容大致描述本發(fā)明,應(yīng)該理解這并不旨在將本發(fā)明的范圍限制為這些特殊實施例��。
[0013]圖(“FIG.”)1示出了用于提供設(shè)備安全性的侵擾檢測系統(tǒng)的現(xiàn)有技術(shù)��。
[0014]圖2是根據(jù)本發(fā)明的多個實施例的����,提供侵擾檢測以及防止對安全電子系統(tǒng)的未經(jīng)授權(quán)的訪問的系統(tǒng)的示例性方框圖。
[0015]圖3是根據(jù)本發(fā)明的多個實施例的�����,提供侵擾檢測以及防止對安全電子系統(tǒng)的未經(jīng)授權(quán)的訪問的設(shè)備的示例性方框圖�。
[0016]圖4是根據(jù)本發(fā)明的多個實施例的��,提供侵擾檢測以及防止對安全電子系統(tǒng)的未經(jīng)授權(quán)的訪問的過程的例示性過程的流程圖��。
【具體實施方式】
[0017]在以下說明中��,出于解釋的目的���,詳細解釋具體細節(jié)以有助于理解本發(fā)明�。但是,本領(lǐng)域技術(shù)人員應(yīng)該清楚本發(fā)明可以實施而無需這些細節(jié)���。本領(lǐng)域技術(shù)人員會理解可以各種不同方法及各種不同方式實現(xiàn)以下所述的本發(fā)明實施例�。本領(lǐng)域技術(shù)人員也可以理解附加修改���、應(yīng)用以及實施例屬于本發(fā)明范圍之內(nèi)����,可作為本發(fā)明可提供實用性的附加領(lǐng)域����。因此,以下所述的實施例是本發(fā)明的示例性特定實施例并旨在避免使本發(fā)明模糊不清���。
[0018]在說明書中引用“一個實施例”或者“實施例”是指結(jié)合實施例所描述的特定部件�����、結(jié)構(gòu)��、特征或者功能包含在本發(fā)明的至少一個實施例中��。說明書中多處出現(xiàn)的短語“在一個實施例中��,” “在實施例中���,”等不一定指相同的實施例����。
[0019]此外�,附圖中組件間或方法步驟間的連接不受限制于直接受影響的連接。相反����,在不脫離本發(fā)明的教導(dǎo)的情況下,可以修改附圖所示的組件或方法步驟間的連接����,或者另外通過增加中間組件或方法步驟加以改動。
[0020]本文本中的術(shù)語“網(wǎng)格��、網(wǎng)格包絡(luò)電路以及網(wǎng)格電路”與術(shù)語“密鑰�、秘密鑰匙以及秘密”和“安全芯片與智能卡”交替使用����。術(shù)語“安全裝置”包括安全微控制器、安全存儲裝置以及本領(lǐng)域技術(shù)人員所理解的其他安全元件。
[0021]圖1示出了用于提供裝置安全性的侵擾檢測系統(tǒng)的現(xiàn)有技術(shù)��。系統(tǒng)100是電子裝置�����,被設(shè)計為擁有嵌入式組件�,例如密鑰,例如用于數(shù)據(jù)加密或數(shù)據(jù)解密���。系統(tǒng)100包括FPGA102及NAND 106oFPGA 102是通用微控制器的示例����,其通過同步串行數(shù)據(jù)鏈接于易失性或非易失性存儲器NAND 106��,比如串行外圍接口�����,四倍(quad)SPI 1040FPGA 102還與其他通信信道相連�,比如互聯(lián)網(wǎng)端口、USB����、串口����、I2C或者各種外圍裝置��。
[0022]在操作中���,F(xiàn)PGA102充當系統(tǒng)100中的主要角色����。除了操縱嵌入式組件��,F(xiàn)PGA 102被設(shè)計為運行各種大小的應(yīng)用程序��。NAND 106通過四倍SPI 104接收來自FPGA 102的經(jīng)解密的可執(zhí)行代碼以用于進行計算或執(zhí)行應(yīng)用程序的目的��。為了使用密鑰解密代碼�,F(xiàn)PGA 102使用來自存儲位置的內(nèi)部密鑰,例如����,通過使用熔絲或類似技術(shù)。然而�����,通過熔絲技術(shù)采取的安全措施不被認為是可以將密鑰足夠安全地保護于FPGA 102之中���,以用于解密從NAND106接收的數(shù)據(jù)或代碼���。在操作中,將FPGA 102設(shè)計為處理秘密數(shù)據(jù)��,開發(fā)者通常受限于他們對于特定技術(shù)及用途的特殊裝置的選擇����。工程設(shè)計選擇主要基于電子性能而不是FPGA 102的恒定安全特征。一旦獲得熔絲密鑰��,攻擊者可以解密系統(tǒng)100中的任何事件�����。因此��,在缺少安全保護的包絡(luò)電路的情況下��,F(xiàn)PGA 102不能被認為是系統(tǒng)100的高度安全性組件���,并且不應(yīng)該被用于防止高價值秘密的竊取�。
[0023]此外,在裝置100自身中以純文本格式處理敏感信息�。解密密鑰暴露于密鑰存儲位置與FPGA 102之間的路徑中,以允許信任條件下沒有主動防