優(yōu)先權(quán)要求

本申請根據(jù)專利法典35U.S.C.§119(e)要求2013年2月7日提交的美國臨時申請序列號為61/762,262，題為“永久鎖定攻擊檢測”的優(yōu)先權(quán)，其全部內(nèi)容以引用方式并入本文。

技術(shù)領(lǐng)域

本專利申請整體涉及安全領(lǐng)域，更具體地講涉及永久鎖定攻擊檢測。

背景技術(shù)

在主/從架構(gòu)中，主設(shè)備或程序可控制一個或多個從設(shè)備或程序。例如，主設(shè)備可包括移動電話、平板電腦、或一個或多個其他個人電子設(shè)備，從設(shè)備可包括用于這種主設(shè)備的附件，例如頭戴耳機(jī)、外部監(jiān)視器、或利用通信標(biāo)準(zhǔn)或協(xié)議，例如通用串行總線(USB)或其他標(biāo)準(zhǔn)等連接的一個或多個其他附件。

發(fā)明內(nèi)容

除其他事項外，本專利申請討論了配置成在多個連續(xù)攻擊之后永久性地關(guān)閉從設(shè)備的攻擊檢測模塊。

本部分旨在提供對本專利申請主題的概述。并非旨在提供對本發(fā)明的排他性或窮舉性解釋。包括具體實施方式以提供有關(guān)本專利申請的進(jìn)一步信息。

附圖說明

在未必按比例繪制的附圖中，類似的數(shù)字在不同的視圖中可表示類似的部件。具有不同字母下標(biāo)的類似的數(shù)字可表示類似部件的不同情形。附圖以舉例的方式而非限定的方式總體上示出了本專利申請中討論的各種實施例。

圖1總體上圖示了示出示例鎖定算法的流程圖。

圖2總體上圖示了圖解表示，示出了可作為示例實施例一部分的計算機(jī)系統(tǒng)的示例形式的機(jī)器。

具體實施方式

除其他事項之外，本發(fā)明人認(rèn)識到用于主機(jī)或從設(shè)備攻擊檢測的鎖定算法。在一個實例中，本文描述的鎖定算法能成功計算連續(xù)攻擊的次數(shù)而不受交替的加電復(fù)位（POR）影響，并且能基于（例如，可編程數(shù)字，例如2-225之間或更大）連續(xù)攻擊的次數(shù)執(zhí)行永久鎖定。系統(tǒng)可包括配置成存儲鎖定狀態(tài)的非易失性存儲器(NVM)，鎖定狀態(tài)在某些實例中一旦設(shè)置便不能清除。

在一個實例中，可能需要對主機(jī)和從設(shè)備之間的通信協(xié)議（例如USB）的識別(ID)部件（例如ID引腳）進(jìn)行驗證。這樣的一種驗證可包括對主設(shè)備攻擊的從設(shè)備。在這種驗證期間，主設(shè)備可向附屬設(shè)備發(fā)送校驗和（例如，隨機(jī)數(shù)所附的校驗和）。從設(shè)備可將該校驗和與內(nèi)部生成的校驗和進(jìn)行比較。如果內(nèi)部校驗和與接收到的校驗和匹配，則主設(shè)備為合法設(shè)備。如果內(nèi)部校驗和與接收到的校驗和不匹配，則主設(shè)備不是合法設(shè)備。在一個實例中，如果內(nèi)部校驗和連續(xù)多次與接收到的校驗和不匹配（校驗和失配），則鎖定算法可永久性地關(guān)閉從設(shè)備。

在一個實例中，主機(jī)或從設(shè)備中的至少一個可包括專用NVM寄存器用于存儲對連續(xù)校驗和失配的計數(shù)。在一個實例中，鎖定算法可假定每次附連都是一次攻擊，從而使攻擊者規(guī)避鎖定的機(jī)會最小化。這樣，針對沒有攻擊的每次從設(shè)備附連，NVM寄存器可接收兩次寫入。每次附連被推定有罪為攻擊，直到另外證明是無辜的為止。

圖1總體上圖示了示出示例鎖定算法100的流程圖。在101處，主設(shè)備（主機(jī)）可從從設(shè)備（從屬）請求設(shè)備ID。在102處，從設(shè)備可向主設(shè)備發(fā)送該設(shè)備ID。在103處，從設(shè)備可讀取NVM鎖定寄存器、將內(nèi)容寫入計數(shù)器并將NVM鎖定寄存器遞增。在工廠最終測試中可將NVM寄存器全部清零。在104處，從設(shè)備可將計數(shù)器的值與上限比較。如果在104處，計數(shù)器值大于上限，則在105處，從設(shè)備可被關(guān)閉（例如，永久性地）并且可忽略將來的ID發(fā)送。如果在104處，計數(shù)器值小于或等于上限，則在106處，從設(shè)備可將該計數(shù)器值寫入NVM寄存器。在107處，從設(shè)備可從主設(shè)備接收隨機(jī)數(shù)/校驗和。在108處，從設(shè)備可生成內(nèi)部校驗和并且將該內(nèi)部校驗和與從主設(shè)備接收的校驗和進(jìn)行比較。如果在108處，內(nèi)部校驗和與接收到的校驗和相同，則確定為有效的主設(shè)備并且在109處，從設(shè)備可將計數(shù)器和NVM寄存器清零（例如，全部清零）。如果在108處，內(nèi)部校驗和不同于接收到的校驗和，則確定為非法主設(shè)備。在110處，從設(shè)備可繼續(xù)進(jìn)行驗證。

在一個實例中，連續(xù)校驗和失配的上限可以與客戶討論，但是可以相對低（例如，小于100，小于50等）。另外，在某些實例中，以上方法可由主設(shè)備執(zhí)行或添加到主設(shè)備。

具有差分或簡單功耗分析（DPA、SPA）的邊通道攻擊會要求對從屬/主設(shè)備的重復(fù)迭代。即使借助現(xiàn)有的DPA/SPA對策，未來也存在這些對策會被規(guī)避的可能性。失配校驗和可表明試圖進(jìn)行驗證的無效主設(shè)備。這樣，可能有利的是，在超過最大攻擊次數(shù)之后鎖定ID協(xié)議。