Способ для маскирования перехода конца срока службы электронного устройства и устройство, содержащее соответствующий модуль управления

Изобретение относится к вычислительной технике. Технический результат заключается в улучшении характеристики маскирования перехода к концу срока службы электронного устройства при поддержании уровня безопасности. Способ маскирования перехода к концу срока службы электронного устройства, в котором перед исполнением текущей команды микропроцессором проверяют значение переменной состояния конца срока службы, загруженной в оперативное запоминающее устройство из энергонезависимого запоминающего устройства; в случае пустого значения исполняют операцию перехода к концу срока службы; в случае непустого значения продолжают инициализацию текущей команды; после обнаружения атаки вторжения записывают упомянутую переменную состояния конца срока службы в единственное оперативное запоминающее устройство и продолжают инициализацию текущей команды; выполняют операцию только удаления переменной состояния конца срока службы в энергонезависимом запоминающем устройстве с отсрочкой таким образом, что операцию выполняют вместо следующей операции обновления, причем операция только удаления заключается в установке пустого значения для переменной состояния конца срока службы, причем операция только удаления является фазой удаления, за которой не следует фаза записи. 3 н. и 6 з.п. ф-лы, 7 ил.

 

Изобретение относится к способу для маскирования перехода к концу срока службы электронного устройства, содержащего порт ввода-вывода, микропроцессор, оперативное запоминающее устройство, постоянное запоминающее устройство и перепрограммируемое энергонезависимое запоминающее устройство, содержащее переменную состояния конца срока службы для электронного устройства, при этом переменной состояния управляют с помощью модуля управления.

Такие электронные устройства соответствуют (хотя не исключительно) печатным платам или любому электронному устройству, содержащему или соединенному, по меньшей мере, с одной печатной платой, такому как смарт-карта, для которой требуется хорошая защищенность от внешнего вмешательства.

Для обеспечения хорошей защищенности таких смарт-карт активируется механизм перехода конца срока службы после детектирования определенного количества критических ошибок.

Процесс перехода конца срока службы для этого типа устройства, в частности смарт-карты, однако, выглядит проблематичным, поскольку такой процесс обычно относится к процессу записи в энергонезависимое перепрограммируемое запоминающее устройство, общую память EEPROM для модификации данных и блокировки приложения.

Такой процесс выглядит уязвимым, поскольку он может быть обнаружен снаружи карты, из-за сильного потребления тока, связанного записью в перепрограммируемое запоминающее устройство.

Злоумышленная третья сторона, поэтому, имеет широкие возможности предотвратить исполнение такого процесса, путем отключения подачи питания к устройству или в карту.

Для улучшения такой ситуации в FR 0708242 и в PCT/FR 2008/052106 предложено обеспечивать, чтобы процесс перехода к концу срока службы для такого электронного устройства происходил в пределах случайного периода после события критической ошибки, которое инициировало переход конца срока службы, маскируя от третьих сторон запись в энергонезависимое запоминающее устройство, соответствующую переходу к концу срока службы, что на практике предотвращает любые атаки типа скрытый канал.

В такой технологии запись переменной состояния перехода к концу срока службы в энергонезависимое запоминающее устройство электронного устройства маскируют путем скрытия такой операции записи в пределах нормальной операции программы приложения, выполняемой электронным устройством.

На практике операция записи переменной в энергонезависимое запоминающее устройство всегда состоит из двух последовательных фаз: фазы удаления, которая устанавливает для переменной пустое значение (″пустое значение″ понимают как означающее заданное по умолчанию значение, на которое пользователь энергонезависимого запоминающего устройства не имеет влияния, такое как ″00″, ″FF″ или некоторое другое значение), затем фактической фазы записи, во время которой непустое значение (означающее значение, отличающееся от пустого значения), назначают для переменной в пространстве, предназначенном для нее в пределах энергонезависимого запоминающее устройства. Запись переменной состояния перехода конца срока службы в энергонезависимое запоминающее устройство электронного устройства, как указано в упомянутом выше предшествующем уровне техники, также подпадает под это правило.

Каждая из этих фаз удаления и записи, которые составляют операцию записи переменной в энергонезависимое запоминающее устройство, требует определенного времени обработки и потребляет определенное количество электроэнергии, приблизительно равное в обоих случаях.

Основываясь на такой технологии предшествующего уровня техники, цель изобретения состоит в том, чтобы улучшить его характеристики, при поддержании уровня безопасности, обеспечиваемого путем маскирования перехода к концу срока службы.

С этой целью в изобретении предложен способ для маскирования перехода к концу срока службы электронного устройства, содержащего микропроцессор, оперативное запоминающее устройство, постоянное запоминающее устройство, перепрограммируемое энергонезависимое запоминающее устройство, содержащее переменную состояния конца срока службы электронного устройства, причем, упомянутой переменной состояния управляют с помощью модуля управления, и порта ввода-вывода. Такой способ содержит следующие этапы:

- выполняют загрузку значения упомянутой переменной состояния конца срока службы в оперативное запоминающее устройство из упомянутого энергонезависимого запоминающего устройства; и перед исполнением любой текущей команды упомянутым микропроцессором:

- проверяют значение упомянутой переменной состояния конца срока службы, сохраненной в оперативном запоминающем устройстве; и в случае пустого значения (обозначающего заданное принятое по умолчанию значение для энергонезависимого запоминающего устройства): исполняют операцию перехода к концу срока службы для электронного устройства; в противном случае, упомянутая переменная состояния конца срока службы, сохраненная в оперативном запоминающем устройстве, имеет непустое значение (означающее значение, отличное от пустого значения):

- продолжают инициализацию и/или исполнение текущей команды, вырабатываемой микропроцессором электронного устройства; и, после обнаружения атаки вторжения:

- записывают упомянутую переменную состояния конца срока службы электронного устройства в единственное оперативное запоминающее устройство, и продолжают инициализацию и/или исполнение текущей команды; и

- выполняют только удаление переменной состояния конца срока службы в упомянутом энергонезависимом запоминающем устройстве с отсрочкой таким образом, что указанное удаление выполняется вместо следующей операции обновления (удаления и/или записи) в энергонезависимом запоминающем устройстве.

Действие отсрочки обновления переменной состояния конца срока службы в упомянутом энергонезависимом запоминающем устройстве эффективно маскирует переход к концу срока службы электронного устройства, поскольку злонамеренная третья сторона не способна отличить отбор тока, вызванный обновлением переменной состояния конца срока службы, от отбора тока, вызванного нормальным исполнением команды, исполняемой микропроцессором электронного устройства. Получают уровень безопасности, который является таким же, как в FR 0708242 и в PCT/FR 2008/052106.

Кроме того, действие выполнения ″только удаления″, означающее, что после фазы удаления не следует фаза записи, переменной состояния конца срока службы в упомянутом энергонезависимом запоминающее устройстве, ограничивает время обработки и требуемое потребление электроэнергии, например, приблизительно в 2 раза. Рабочие характеристики во время исполнения программы приложения электронным устройством, таким образом, значительно улучшаются.

В некоторых предпочтительных вариантах осуществления, которые могут быть скомбинированы с любым возможным способом, способ может дополнительно иметь некоторые или все из следующих характеристик.

Для набора команд, исполняемых микропроцессором электронного устройства, включающих в себя команды, содержащие систематическую операцию в энергонезависимом запоминающем устройстве, и команды, не содержащие какие-либо операции в энергонезависимом запоминающем устройстве, способ может дополнительно содержать, независимо от обнаружения или необнаружения атаки вторжения, исполнения операции только удаления ложной переменной в энергонезависимом запоминающем устройстве. Это дополнительно скрывает удаление переменной состояния конца срока службы электронного устройства в энергонезависимом запоминающем устройстве, путем ввода удалений - ″ловушек″, имеющих аналогичную электронную сигнатуру. Таким образом, для злонамеренной третьей стороны становится еще более трудным идентифицировать удаление переменной состояния конца срока службы по одиночному отбору тока, который оно генерирует.

Операция только удаления ложной переменной в энергонезависимом запоминающем устройстве может быть выполнена на той же странице запоминающего устройства, что и для переменной состояния конца срока службы.

Операция только удаления ложной переменной в энергонезависимом запоминающем устройстве может быть выполнена перед любым исполнением операции передачи данных по линии порта ввода-вывода электронного устройства.

После любой операции только удаления переменной состояния конца срока службы в энергонезависимом запоминающем устройстве выполняется этап, состоящий в проверке, является ли значение переменной состояния конца срока службы пустым значением, и когда она имеет пустое значение, выполняют этап исполнения операций перехода к концу срока службы для электронного устройства.

После проверки того, что переменная состояния конца срока службы действительно имеет пустое значение, операция только удаления одного значения переменной состояния конца срока службы в энергонезависимом запоминающем устройстве может быть выполнено вместо операции только удаления ложной переменной в энергонезависимом запоминающем устройстве.

После обнаружения временной ошибки при выполнении инструкции, которая отличается от атаки вторжения и не оправдывает переход к концу срока службы электронного устройства, упомянутый способ может дополнительно включать в себя:

выполняют последовательное приращение счетчика ошибки в оперативном запоминающем устройстве;

сравнивают значение счетчика ошибки с пороговым значением, и если упомянутое пороговое значение превышено упомянутым значением счетчика ошибки:

записывают значение упомянутой переменной состояния конца срока службы электронного устройства в оперативном запоминающем устройстве и исполняют переход к концу срока службы для электронного устройства.

В изобретении также предложено электронное устройство, содержащее микропроцессор, оперативное запоминающее устройство, постоянное запоминающее устройство, перепрограммируемое энергонезависимое запоминающее устройство, содержащее переменную состояния конца срока службы для электронного устройства, причем упомянутая переменная состояния находится под управлением модуля управления, и порт ввода-вывода (I/O). Модуль управления включает в себя компьютерный программный модуль для исполнения этапов способа, который представляет собой цель изобретения, как описано выше.

В изобретении дополнительно предложен компьютерный программный продукт, сохраненный на носителе информации, и включающий в себя набор инструкций, исполняемых компьютером или микропроцессором электронного устройства. Во время исполнения упомянутых инструкций, упомянутая программа исполняет этапы описанного выше способа.

Способ маскирования перехода к концу срока службы электронного устройства и электронное устройство, включающее в себя соответствующий модуль управления, оба являются объектами изобретения, применимы к любому типу электронного устройства, но предпочтительно, хотя и не ограничиваются этим, к электронным устройствам, таким как смарт-карты, которые обрабатывают и/или сохраняют персональные, частные или конфиденциальные данные.

Они будут более понятны в результате чтения следующего описания и проверки приложенных чертежей, на которых:

- на фиг.1а представлена чисто иллюстративная блок-схема последовательности операций этапов способа в соответствии с вариантом осуществления в соответствии с изобретением;

- на фиг.1b представлена чисто иллюстративная временная диаграмма этапов, выполняемых во время способа, поясняемого на фиг.1а;

- на фиг.1с-1f показаны чисто иллюстративные представления некоторых предпочтительных деталей этапов способа, поясняемого на фиг.1а;

- на фиг.2 представлена чисто иллюстративная функциональная схема архитектуры электронного устройства, оборудованного модулем управления перехода конца срока службы в соответствии с вариантом осуществления в соответствии с изобретением.

Более подробное описание изобретения способа маскирования перехода конца срока службы электронного устройства, в соответствии с одним вариантом осуществления изобретения, будет теперь представлено со ссылкой на фиг.1a-1f.

В общем, способ для маскирования перехода конца срока службы печатной платы, причем упомянутый способ представляет собой цель настоящего изобретения, применяется для любого электронного устройства, содержащего микропроцессор, оперативное запоминающее устройство, постоянное запоминающее устройство и перепрограммируемое энергонезависимое запоминающее устройство, содержащее переменную состояния конца срока службы для электронного устройства, причем, упомянутую переменную состояния администрируют с помощью модуля управления. Более конкретно, электронное устройство также может содержать порт ввода-вывода, который позволяет выполнять обмен данными, например, с хост-устройством или даже с сетью. Концепция перепрограммируемого энергонезависимого запоминающее устройства охватывает электрически программируемое запоминающее устройство, запоминающее устройство EEPROM, флэш-память, и т.д.

Во время своей операции, упомянутое электронное устройство выполняет фазу запуска, обозначенную ATR (отклик на сброс), затем последовательные текущие команды), обозначенные СОМ.

В частности, следует понимать, что соответствующее электронное устройство предпочтительно может состоять, например, из любой смарт-карты.

Как показано со ссылкой на фиг.1а, способ маскирования перехода конца срока службы электронного устройства содержит этап А, состоящий из загрузки в оперативное запоминающее устройство электронного устройства, из энергонезависимого запоминающего устройства упомянутого устройства, значения FdVE переменной конца срока службы, сохраняемой в энергонезависимом запоминающем устройстве.

Операция, соответствующая этапу А, обозначена следующим образом:

FdVE→FdVR.

В представленном выше соотношении FdVR обозначает значение переменной состояния конца срока службы для электронного устройства, загруженное в оперативное запоминающее устройство.

Следует отметить, что, в конкретном случае, когда переменная FdVE конца срока службы, сохраняемая в энергонезависимом запоминающем устройстве, имеет пустое значение, что означает заданное значение по умолчанию, например следующее после удаления только ранее сохраненной суммы для этой переменной, переменная FdVR состояния конца срока службы, загруженная в оперативное запоминающее устройство электронного устройства, предпочтительно, будет иметь такое же пустое значение. Как вариант, заданное непустое значение, означающее значение, отличное от этого пустого значения, может быть назначено для переменной FdVR, когда переменная FdVE имеет пустое значение. Такое заданное значение может, например, представлять собой значение ″true″ (или ″ОК″) или любое другое определенное значение. В этом последнем случае загрузка в оперативное запоминающее устройство значения переменной состояния конца срока службы, сохраняемой в энергонезависимом запоминающем устройстве сопровождается, таким образом, изменением, имеющим значение (или назначение для значения в порядке изменения с одного пустого значения на заданное непустое значение).

После этапа А на фигуре 1а, и перед исполнением любой текущей команды СОМ микропроцессором, способ затем состоит из проверки, на этапе В, значения переменной состояния конца срока службы, сохраняемой в оперативном запоминающем устройстве. Такая проверка может, например, состоять в проверке того, что FdVR имеет значение, другими словами проверяют, что FdVR не является пустым значением. В случае, упомянутом выше, где FdVR принимает заданное непустое значение, когда FdVE имеет пустое значение, например, значение ″true″ (или ″ОК″), упомянутая проверка может состоять в сравнении значения FdVR для этого данного непустого значения, или, наоборот, для значения, отличного от этого заданного непустого значения. На этапе В не ограничительного примера, представленного на фиг.1а, такая проверка представлена на этапе, на котором проверяют:

FdVR=⌀?

В таком соотношении ⌀ представляет собой пустое значение, как определено выше, для переменной состояния конца срока службы, сохраненной в оперативном запоминающем устройстве электронного устройства.

Если ответ на тест на этапе В будет положительным, способ состоит в выполнении С операций перехода конца срока службы для электронного устройства.

И, наоборот, если ответ на тест, выполняемый на этапе В, будет отрицательным, значение переменной состояния конца срока службы, сохраненной в оперативном запоминающее устройстве FdVR, есть непустое значение, способ состоит из продолжения инициализации и/или исполнения текущей команды СОМ с помощью микропроцессора электронного устройства. Исполнение текущей команды соответствует любой команде приложения, исполняемого электронным устройством.

Во время такого исполнения и после детектирования, на этапе Е, при атаке вторжения, способ состоит из записи, на этапе F, переменной FdVR в единственное оперативное запоминающее устройство переменной состояния конца срока службы для электронного устройства, и продолжается с инициализации и/или исполнения текущей команды СОМ. Запись переменной FdVR приводит к тому, что эта переменная принимает пустое значение, определенное выше (значение для заданного принятого по умолчанию значения для энергонезависимого запоминающего устройства), или заданного непустого значения, такого как значение ″true″ (или ″ОК″),

На этапе F не ограничительного примера, представленного на фиг.1а, операция записи обозначена соотношением:

FdVR=⌀.

В представленном выше соотношении значение ⌀ обозначает пустое значение, определенное выше.

В конечном итоге, после упомянутого этапа F записи в оперативное запоминающее устройство следует этап G, состоящий в выполнении только удаления переменной FdVE состояния конца срока службы в энергонезависимом запоминающем устройстве, определенным способом таким образом, что его исполняют вместо следующей операции обновления (удаления и/или записи) в энергонезависимом запоминающем устройстве. Это маскирует изменение, произведенное для переменной состояния конца срока службы, что исключает возможность для злонамеренной третьей стороны четко и своевременно распознать эту операцию после нормального обновления в энергонезависимом запоминающем устройстве, например, как часть исполнения стандартной команды.

Следует понимать, что ″только удаление″ означает фазу удаления сохраненного значения, соответствующую переменной FdVE, которая приводит к тому, что упомянутая переменная принимает пустое значение, как определено выше. После такой фазы удаления не следует фаза записи, на которой непустое значение, другими словами, значение, которое отличается от пустого значения, могло бы быть назначено упомянутой переменной в пространстве, специализированном для него в энергонезависимом запоминающем устройстве. Другими словами, после только удаления переменной FdVE, последняя переменная сохраняет пустое значение в энергонезависимом запоминающем устройстве. Такое пустое значение, поэтому, отличают от непустого значения, даже если специфика состоит в том, что для него не требуется никакой фазы записи.

Только удаление переменной FdVE состояния конца срока службы, время обработки и потребление электроэнергии, связанное с этим удалением, уменьшается по сравнению с ситуацией, в которой присутствует запись переменной состояния конца срока службы FdVE в энергонезависимом запоминающем устройстве. Время обработки и потребление электроэнергии, связанное с фазой записи, экономится. В качестве иллюстрации, такую экономию можно оценить, как уменьшение времени обработки и потребления электроэнергии с коэффициентом приблизительно 2 по сравнению с ситуацией, описанной во FR 0708242 и PCT/FR 2008/052106.

После упомянутого этапа G, например, следует возврат к исполнению следующей текущей команды, на этапе Н. На упомянутом этапе СОМ+1 обозначает следующую команду.

Как представлено на фиг.1а, такой возврат происходит на этапе В, как простое исполнение следующей команды.

Однако в другом возможном осуществлении способа, возврат может быть выполнен, как представлено пунктирными линиями на фиг.1а, где он расположен перед загрузкой, выполняемой на этапе А, для систематического повторения процесса загрузки значения переменной FdVE состояния конца срока службы в оперативном запоминающем устройстве. Такой процесс не является существенным, но может быть воплощен, как вариант.

На фиг.1b представлены операции, которые исполняют этапы, описанные со ссылкой на фиг.1а на временной диаграмме.

В частности, этап А может быть выполнен, при запуске ATR или перед выполнением каждой команды СОМ, как упомянуто выше.

Тест на этапе В выполняют перед переходом к запуску или исполнению текущей команды, представленной заштрихованной областью слева на фиг.1а. Следует помнить, что положительный отклик на тест на этапе В автоматически приводит к переходу электронного устройства в состояние конца срока службы на этапе С.

Продолжение запуска или инициализации, или даже исполнения текущей команды на этапе D, соответствует использованию алгоритмических процессов, которые манипулируют секретами для электронного устройства, когда последнее состоит, например, из смарт-карты.

Тест на этапе Е, соответствующий тесту для детектирования атаки вторжения, может быть воплощен обычным способом после исполнения механизмов anti-DFA (анализ дифференциального отказа, способ атаки, состоящий во введении неисправностей по порядку, для вывода информации об обрабатываемых данных), или, например, по данным процессов для проверки целостности.

Этап записи переменной состояния конца срока службы для электронного устройства в единственном оперативном запоминающем устройстве, этап F, выполняется с помощью модуля управления переходом конца срока службы электронного устройства и происходит при записи этой переменной состояния в соответствии с соотношением, упомянутым выше:

FdVR=⌀.

Этап G, состоящий только из удаления переменной FdVE состояния конца срока службы, в энергонезависимом запоминающем устройстве, обычно в запоминающем устройстве EEPROM, затем выполняют определенным способом, что означает, вместо следующего обновления (удаления и/или записи), которое должно быть выполнено в текущей команде или в более поздней команде.

На фиг.1b, эта операция представлена заштрихованным пиком в правой стороне, поясняющим увеличение тока, потребляемого упомянутым запоминающим устройством, в результате выполнения операции только удаления в упомянутом запоминающем устройстве.

Этап Е затем формируют путем возврата либо к этапу В, или к этапу А, как описано выше в отношении фиг.1а.

Как представлено на фиг.1с, рассматривают любой набор команд, исполняемых микропроцессором электронного устройства, включая в себя команды (COMW), содержащие систематическую операцию в энергонезависимом запоминающем устройстве, и команды ( C O M w ¯ ) , не включающие в себя операцию в энергонезависимом запоминающем устройстве. В таком случае способ дополнительно содержит, независимо от детектирования или не детектирования атаки вторжения, исполнение только удаления D2 пустой переменной в энергонезависимом запоминающем устройстве, такая переменная будет обозначена VF. Такая пустая переменная может состоять из любой переменной, сохраненной в энергонезависимом запоминающем устройстве, которая отличается от переменной FdVE состояния конца срока службы электронного устройства. Это дополнительно маскирует любое удаление переменной состояния конца срока службы в энергонезависимом запоминающем устройстве электронного устройства. Действительно, злоумышленная третья сторона не может легко различить удаление переменной состояния конца срока службы и удаление пустой переменной, и эти два типа удаления имеют аналогичные или даже идентичные электрические сигнатуры.

Предпочтительно, только удаление пустой переменной VF выполняют на той же странице памяти, где находится переменная состояния конца срока службы.

На этапе D2 представленном на фиг.1с, операция удаления на той же странице запоминающего устройства представлена соотношением:

WAP(VF)=WAP(FdVE).

В представленном выше соотношении WAP обозначает адрес страницы запоминающего устройства для удаления.

После этапа D2 следует вызов на этап Е по фиг.1а.

Кроме того, как представлено на той же фиг.1с, удаление только пустой переменной в энергонезависимом запоминающем устройстве исполняется перед операцией передачи любых данных по линии порта ввода-вывода электронного устройства. На фиг.1с, соответствующая операция представлена символически путем детектирования любой операции ввода-вывода, используя соотношение:

СОМ=I/O?

Детектирование такой операции затем приводит к систематическому и немедленному удалению пустой переменной, как описано выше в описании.

В конечном итоге, как представлено на фиг.1d, способ, предпочтительно, включает в себя, после любого удаления только переменной FdVE состояния конца срока службы в энергонезависимом запоминающем устройстве, как представлено на этапе G1, этап, обозначенный G2, состоящий из проверки, является ли значение переменной FdVR состояния конца срока службы, сохраненной в оперативном запоминающем устройстве, пустым значением, как определено выше. Операция, соответствующая упомянутому этапу, обозначена соотношением:

FdVR=⌀.

После проверки, имеет ли переменная FdVR состояния конца срока службы пустое значение, этап исполнения операций перехода конца срока службы для электронного устройства выполняют путем вызова этапа С, представленного на фиг.1а.

И, наоборот, если переменная FdVR состояния конца срока службы не имеет пустого значения, способ возвращается на этап Н.

Кроме того, как также было представлено на фиг.1е, после проверки на этапе D21, является ли значение переменной FdVR состояния конца срока службы пустым значением, упомянутый тест D21 является положительным, только удаление значения переменной FdVE состояния конца срока службы, в запоминающем устройстве EEPROM, заменяют пустой переменной VF только удаления в энергонезависимом запоминающем устройстве, представленном на этапе D22 на фиг.1е, путем вызова этапа G на фиг.1а.

Способ, предпочтительно, также позволяет воплотить счетчик ошибок.

В общем, обновление счетчика ошибок подвергают тем же ограничениям, как обновление переменной конца срока службы.

В связи с тем фактом, что это связано с записью в EEPROM энергонезависимого запоминающего устройства, такая операция записи обычно детектируется в связи с дополнительным потреблением электроэнергии этим запоминающим устройством во время операции записи.

Способ, поэтому, может, предпочтительно обеспечивать, в случае, когда детектируются ошибки, которые не оправдывают прямой переход конца срока службы, последовательное приращение величины подсчета перед выполнением нормального удаления. Значение такого счетчика затем регулярно проверяют, и в случае превышения порогового значения, инициируется переход конца срока службы.

Такой режим работы представлен на фиг.1f следующим образом:

- после детектирования I1 временной ошибки при исполнении инструкции, отличной от атаки вторжения и которая не оправдана переходом конца срока службы электронного устройства, детектирования временной ошибки, обозначается, как ∃ ТЕ ? где ТЕ обозначает упомянутую временную ошибку исполнения, положительный ответ на тест I1 вызывает этап I2, который обновляет счетчик ошибки в оперативном запоминающем устройстве.

Значение, обновленное на этапе I2, представлено соотношением:

ТЕ=ТЕ+1

После которого следует этап I3 сравнения величины подсчета обновленных значений до порогового значения, обозначенного STE.

На этапе I3 тестирования операция сравнения обозначается:

ТЕ>STE ?

Когда значение обновленной величины подсчета ошибки превышает пороговое значение, другими словами, когда отклик на тест I3 положительный, значение переменной состояния конца срока службы электронного устройства записывают в оперативное запоминающее устройство, и выполняют переход конца срока службы, вызывая этап F, затем G, как представлено на фиг.1f.

Электронное устройство, содержащее микропроцессор, обозначенный 11, оперативное запоминающее устройство, обозначенное 12, энергонезависимое запоминающее устройство, обозначенное 13, например, EEPROM, и постоянное запоминающее устройство, обозначенное 14, теперь будет описано со ссылкой на фиг.2. Кроме того, как представлено на упомянутом чертеже, устройство содержит порт ввода-вывода, обозначенный, как I/O.

Как представлено на фиг.2, во время его работы, электронное устройство содержит переменную состояния конца срока службы для данного электронного устройства, обозначенную FdVE, администрируемую модулем СМ управления, который может, например, представлять собой программный модуль, сохраненный в постоянном запоминающем устройстве 14.

Модуль СМ управления включает в себя компьютерный программный модуль SCM, который позволяет выполнять этапы способа для маскирования перехода окончания срока службы электронного устройства, как описано выше со ссылкой на фиг.1a-1f.

Конечно, компьютерный программный модуль SCM может быть сохранен в энергонезависимом запоминающем устройстве EEPROM, которое составляет носитель информации. Такой компьютерный программный модуль включает в себя набор инструкций, исполняемых микропроцессором электронного устройства и, во время исполнения упомянутых инструкций, он исполняет этапы, которые осуществляют способ, как описано выше в отношении всех или части фигур 1a-1f.

Способ для маскирования перехода конца срока службы электронного устройства, который представляет собой цель изобретения, был воплощен на печатных платах. Очень развитые тесты, исполняемые на этих печатных платах независимыми доверенными объектами, были неспособны предотвратить переход конца срока службы этих печатных плат, в отличие от печатных плат, оборудованных обычными процессами перехода конца срока службы, на которых возможно повторять атаки вторжения до тех пор, пока эксплуатируемая неисправность не будет найдена. В результате, очевидно, что способ, в соответствии с изобретением, больше не позволяет выполнять временную дифференциацию случая, когда атака была детектирована, и, поэтому происходит переход конца срока службы электронного устройства, от случая, когда атака не была детектирована или не произвела какого-либо эффекта.

1. Способ маскирования перехода к концу срока службы электронного устройства, содержащего микропроцессор, оперативное запоминающее устройство, постоянное запоминающее устройство, перепрограммируемое энергонезависимое запоминающее устройство, содержащее переменную состояния конца срока службы электронного устройства, причем упомянутой переменной состояния управляют с помощью модуля управления, и порт ввода-вывода, при этом упомянутый способ содержит этапы, на которых:
выполняют загрузку значения упомянутой переменной состояния конца срока службы в оперативное запоминающее устройство из упомянутого энергонезависимого запоминающего устройства; и перед исполнением любой текущей команды упомянутым микропроцессором:
проверяют значение упомянутой переменной состояния конца срока службы, сохраненной в оперативном запоминающем устройстве; и в случае пустого значения: исполняют операцию перехода к концу срока службы для электронного устройства; а в противном случае, когда упомянутая переменная состояния конца срока службы, сохраненная в оперативном запоминающем устройстве, имеет непустое значение:
продолжают инициализацию и/или исполнение текущей команды, вырабатываемой микропроцессором электронного устройства; и после обнаружения атаки вторжения:
записывают упомянутую переменную состояния конца срока службы электронного устройства в единственное оперативное запоминающее устройство и продолжают инициализацию и/или исполнение текущей команды; и
выполняют операцию только удаления переменной состояния конца срока службы в упомянутом энергонезависимом запоминающем устройстве с отсрочкой таким образом, что операцию выполняют вместо следующей операции обновления в энергонезависимом запоминающем устройстве, причем операция только удаления заключается в установке пустого значения для переменной состояния конца срока службы в упомянутом энергонезависимом запоминающем устройстве, причем упомянутая операция только удаления является фазой удаления, за которой не следует фаза записи.

2. Способ по п. 1, в котором для набора команд, выполняемых микропроцессором электронного устройства, включающих в себя команды, содержащие систематическую операцию в энергонезависимом запоминающее устройстве, и команды, не содержащие какие-либо операции в энергонезависимом запоминающее устройстве, упомянутый способ дополнительно содержит этап, на котором независимо от обнаружения или необнаружения атаки вторжения выполняют операцию только удаления в энергонезависимом запоминающем устройстве ложной переменной, отличной от переменной состояния конца срока службы электронного устройства.

3. Способ по п. 2, в котором операцию только удаления ложной переменной выполняют из той же страницы памяти, что и страница памяти упомянутой переменной состояния конца срока службы.

4. Способ по п. 2, в котором операцию только удаления ложной переменной в энергонезависимом запоминающем устройстве выполняют перед исполнением операции передачи данных по линии порта ввода-вывода электронного устройства с помощью микропроцессора.

5. Способ по п. 4, в котором, если значение упомянутой переменной состояния конца срока службы представляет собой пустое значение, операцией только удаления значения переменной состояния конца срока службы в энергонезависимом запоминающем устройстве заменяют операцию только удаления ложной переменной в энергонезависимом запоминающем устройстве.

6. Способ по п. 2, дополнительно содержащий после операции только удаления переменной состояния конца срока службы в энергонезависимом запоминающем устройстве этап, на котором проверяют, является ли значение упомянутой переменной состояния конца срока службы, сохраняемой в оперативном запоминающем устройстве (FdVr), пустым значением, и в случае, когда оно действительно имеет пустое значение, этап, на котором выполняют операции перехода к концу срока службы электронного устройства.

7. Способ по п. 1, дополнительно содержащий после обнаружения временной ошибки при исполнении инструкции, отличной от атаки вторжения и не оправдывающей переход к концу срока службы электронного устройства, этапы, на которых:
обновляют последовательное приращение счетчика ошибок в оперативном запоминающем устройстве;
сравнивают значение счетчика ошибок с пороговым значением, и если упомянутое пороговое значение превышено упомянутым значением счетчика ошибок:
записывают значение упомянутой переменной состояния конца срока службы электронного устройства в оперативное запоминающее устройство и исполняют переход к концу срока службы для электронного устройства.

8. Электронное устройство с маскированием перехода к концу срока службы упомянутого электронного устройства, при этом электронное устройство содержит:
микропроцессор, оперативное запоминающее устройство, постоянное запоминающее устройство, перепрограммируемое энергонезависимое запоминающее устройство, содержащее переменную состояния конца срока службы для электронного устройства, причем упомянутая переменная состояния находится под управлением модуля управления, и порт ввода-вывода, при этом упомянутый модуль управления включает в себя компьютерный программный модуль для исполнения этапов способа по п. 1.

9. Носитель информации, содержащий компьютерную программу, содержащую набор команд, исполняемых компьютером или микропроцессором электронного устройства, причем во время исполнения команд упомянутая программа исполняет этапы способа по п. 1.



 

Похожие патенты:

Изобретение относится к средствам защиты информации в компьютерных системах и сетях. Техническим результатом является повышение защищенности от несанкционированного доступа при обмене данными в сети.

Изобретение относится к области обеспечения безопасности программного обеспечения, а именно к способам выполнения обращения к процедурам загрузочного драйвера. Технический результат заключается в обеспечении доступа к исходным процедурам загрузочных драйверов в случае перехвата процедур руткитами путем выполнения обращения к процедурам по крайней мере одного загрузочного драйвера по ранее сохраненным адресам.

Изобретение относится к принятию контрмер против атак по сторонним каналам. Технический результат - эффективное обеспечение защиты против атак по сторонним каналам за счет использования функции сопоставления по месту.

Изобретение относится к области анализа и верификации целевой программы с использованием средства анализа/верификации программы. Техническим результатом является эффективная верификация программ на основе выбора для использования одного из нескольких подходящих средств верификации программ.

Изобретение относится к области шифрования потоков данных. Технический результат - повышение быстродействия процессов криптопреобразования данных.

Группа изобретений относится к области защиты данных, записанных в хранилище с долговременной памятью, и может быть использована для защиты доступности и конфиденциальности данных.

Изобретение относится к способу конфигурирования ветроэнергетической установки, к ветроэнергетической установке, которая подготовлена для такого конфигурирования и к системе ветроэнергетической установки с ветроэнергетической установкой и банком данных управления.

Изобретение относится к области сканирования файлов на вирусы. Техническим результатом является эффективное использование множества антивирусных ядер с целью определения результатов сканирования файла.

Изобретение относится к информационной безопасности. Технический результат заключается в повышении безопасности компьютерной системы при выполнении файлов сценария интерпретаторами.

Изобретение относится к способам защиты процесса работы с электронными деньгами. Технический результат заключается в обеспечении безопасности процесса работы с электронными деньгами.

Изобретение относится к вычислительной технике. Технический результат - повышение быстродействия системы.

Изобретение относится к области технологии виртуализации. Техническим результатом является повышение эффективности создания виртуальных машин.

Изобретение относится к области технологии виртуализации. Техническим результатом является повышение эффективности управления памятью для виртуальных машин.

Изобретение относится к вычислительной технике. Технический результат заключается в повышении производительности системы хранения данных.

Изобретение относится к вычислительной технике. .

Изобретение относится к вычислительной технике. .

Изобретение относится к способу передачи данных в сообщениях, циклически передаваемых по линии связи системы связи в задаваемых окнах. .

Изобретение относится к устройству обработки информации и способу управления областью памяти. .

Изобретение относится к области вычислительной техники и относится в целом к способам для выборки команд из памяти, имеющей кэш команд и кэш данных, и, более конкретно, к усовершенствованному подходу к выборке команд, после неудачного обращения к кэшу команд, посредством прямой выборки команды из кэша данных, если команда находится там.

Изобретение относится к вычислительной технике. Технический результат заключается в увеличении общего технического ресурса памяти. Способ управления техническим ресурсом системы хранения данных, в котором разбивают систему хранения данных на ряд рабочих секторов и ряд резервных секторов, способных сформировать резерв технического ресурса, причем определенные рабочие сектора подлежат замещению резервными секторами в случае износа упомянутых рабочих секторов после определенного количества циклов программирования и/или стирания; задают зону управления резервными секторами для определения расположения резервных секторов, назначаемых на замещение изношенных рабочих секторов; определяют, сектор за сектором, изношен ли текущий рабочий сектор физически и замещают данный рабочий сектор резервным сектором, только если текущий рабочий сектор признан физически изношенным; причем для оценки износа сектора производят автоматическое считывание качества стирания точек памяти упомянутого сектора и сравнивают с пограничным критерием считываемости (Margin Vref), который жестче, чем нормальный критерий считываемости (Normal Vref). 2 н. и 6 з.п. ф-лы, 7 ил.
Наверх