技術(shù)領(lǐng)域

本發(fā)明主要應(yīng)用于以智能卡為代表的安全微控制器芯片設(shè)計(jì)領(lǐng)域，可有效提高對(duì)抗外部干擾攻擊，增強(qiáng)芯片工作的穩(wěn)定性和可靠性。

背景技術(shù)

近年來(lái)以智能卡為代表的安全微控制器在社會(huì)生活中得到廣泛應(yīng)用。智能卡作為系統(tǒng)安全與關(guān)鍵數(shù)據(jù)的載體，常常用于身份認(rèn)證，交通，電信，金融支付等領(lǐng)域。

由于利益驅(qū)使，智能卡面臨的各種攻擊手段越來(lái)越多樣，其中干擾注入攻擊為一種常見(jiàn)的攻擊手段，如對(duì)智能卡進(jìn)行電源干擾，光干擾，脈沖干擾等，通過(guò)干擾的引入使得智能卡中的中央處理單元(CPU)的運(yùn)行發(fā)生異常，出現(xiàn)所謂的跑飛現(xiàn)象，導(dǎo)致CPU偏離正常的程序運(yùn)行，例如，沒(méi)有通過(guò)認(rèn)證的應(yīng)用流程，直接進(jìn)行存儲(chǔ)數(shù)據(jù)改寫(xiě)，卡片存儲(chǔ)的記錄發(fā)生錯(cuò)誤改變。此外，智能卡的工作環(huán)境不穩(wěn)定或操作不規(guī)范(帶電插拔等)也會(huì)造成CPU運(yùn)行發(fā)生異常。

對(duì)此類問(wèn)題的防護(hù)，一般的做法是使用各種傳感器對(duì)芯片的工作環(huán)境進(jìn)行檢測(cè)，包括電壓檢測(cè)，溫度檢測(cè)，毛刺檢測(cè)，光檢測(cè)等，一旦發(fā)現(xiàn)異常，則使芯片處于復(fù)位狀態(tài)，以防止芯片再進(jìn)行誤操作，但這些傳感器的響應(yīng)時(shí)間、檢測(cè)精度和范圍都存在問(wèn)題，防護(hù)效果不是特別理想。尤其是這些傳感器一般都是由模擬電路實(shí)現(xiàn)，占用芯片面積大，從物理版圖上可以分辨出明顯的電路結(jié)構(gòu)，攻擊者可通過(guò)FIB等手段旁路這些傳感器，從而導(dǎo)致安全防護(hù)失效。

本發(fā)明提出的安全防護(hù)方法采用數(shù)字技術(shù)實(shí)現(xiàn)，相比模擬傳感器的方法，實(shí)現(xiàn)成本低，防護(hù)響應(yīng)快，不受加工工藝限制，檢測(cè)信號(hào)與其它邏輯電路進(jìn)行混合布線，攻擊者很難通過(guò)FIB等手段進(jìn)行旁路，可大大提高安全防護(hù)的有效性。本發(fā)明提出的對(duì)CPU運(yùn)行次序進(jìn)行監(jiān)測(cè)的方法具備分時(shí)，分布的特點(diǎn)，可以降低因干擾或工作環(huán)境不穩(wěn)定產(chǎn)生的監(jiān)測(cè)漏檢，能較好地抵御干擾攻擊。

發(fā)明內(nèi)容

本發(fā)明提出一種智能卡安全防護(hù)方法，其特征是取出本條指令的代碼和程序指針PC(簡(jiǎn)稱PC指針)以及上條指令的代碼和PC指針(1)(運(yùn)行第一條指令時(shí)不取出上條指令的代碼和PC指針)；實(shí)時(shí)對(duì)CPU的運(yùn)行是否符合運(yùn)行次序規(guī)則進(jìn)行檢查(2)，對(duì)檢查輸出的信號(hào)進(jìn)行監(jiān)測(cè)，監(jiān)測(cè)方法具備分時(shí)，分布的特點(diǎn)，即由兩個(gè)或兩個(gè)以上監(jiān)測(cè)電路((3)，(4)，…(5)))對(duì)CPU的運(yùn)行是否符合運(yùn)行次序規(guī)則進(jìn)行監(jiān)測(cè)，輸出兩個(gè)或兩個(gè)以上包括高低兩種邏輯電平的監(jiān)測(cè)信號(hào)，一旦發(fā)生異常，這些監(jiān)測(cè)信號(hào)在不同時(shí)刻觸發(fā)智能卡芯片進(jìn)入異常處理(6)，防止程序跑飛，保證程序按正確次序執(zhí)行，在智能卡芯片受到外部攻擊時(shí)進(jìn)行有效的安全防護(hù)。

CPU運(yùn)行次序符合下列三種情況之一，監(jiān)測(cè)電路輸出有效邏輯電平的指示信號(hào)表示CPU運(yùn)行符合次序規(guī)則，運(yùn)行次序正確，否則輸出無(wú)效邏輯電平的指示信號(hào)表示運(yùn)行次序錯(cuò)誤：

a.PC指示的為CPU運(yùn)行的首地址；

b.上一條運(yùn)行指令為跳轉(zhuǎn)指令，當(dāng)前PC寄存器中的內(nèi)容為上條跳轉(zhuǎn)指令的跳轉(zhuǎn)目的地址；

c.上一條運(yùn)行指令為非跳轉(zhuǎn)指令，當(dāng)前PC寄存器中的內(nèi)容為上條指令對(duì)應(yīng)的PC指針寄存器內(nèi)容加n，n為上一條指令對(duì)應(yīng)的字節(jié)數(shù)；

在本發(fā)明中監(jiān)測(cè)采用分時(shí)，分布的方式進(jìn)行，即由多個(gè)監(jiān)測(cè)電路輸出兩個(gè)或兩個(gè)以上指示信號(hào)，一旦發(fā)生運(yùn)行次序異常，這些指示信號(hào)在不同時(shí)刻觸發(fā)智能卡芯片進(jìn)入異常處理，監(jiān)測(cè)電路輸出的指示信號(hào)需要包括高低兩種邏輯電平，以防止在某一時(shí)刻由于干擾誘發(fā)的指示信號(hào)錯(cuò)誤。

本發(fā)明還公開(kāi)了上述方法的一種實(shí)現(xiàn)電路，如圖3所示，該電路包括當(dāng)前指令碼寄存器(20)、跳轉(zhuǎn)目的地址寄存器(16)、PC寄存器(14)、PC_PRO寄存器(22)、加法器(24)、比較器(15)、比較器(17)、比較器(26)、比較器(21)、監(jiān)測(cè)電路1(38)以及監(jiān)測(cè)電路(39)；其特征為：

比較器(15)比較當(dāng)前的PC寄存器(14)的內(nèi)容是否為CPU運(yùn)行的首地址，首地址比較器(15)的輸出信號(hào)作為監(jiān)測(cè)電路的輸入；

比較器(26)比較PC寄存器(14)中的當(dāng)前程序指針值是否等于PC_PRO寄存器(22)中的值與上一條指令碼的指令字節(jié)數(shù)之和；

比較器(21)比較當(dāng)前指令碼寄存器(20)中的指令碼是否為跳轉(zhuǎn)指令碼；

比較器(17)比較PC寄存器(14)中的當(dāng)前程序指針與跳轉(zhuǎn)目的地址寄存器中(16)的跳轉(zhuǎn)目的地址是否相等；

比較器(15)的輸出信號(hào)FIRST_ADDR，比較器(26)的輸出信號(hào)CHECK_ADDR，比較器(21)的輸出信號(hào)JUMP_CODE_INDCT及其反向輸出信號(hào)SEQ_CODE_INDCT，比較器(17)的輸出信號(hào)ADDR_EQ，作為監(jiān)測(cè)電路1(38)和監(jiān)測(cè)電路2(39)的輸入信號(hào)；