用于监控电路的监控装置.pdf

本发明建议用于监控电路的监控装置，其中电路具有实施主计算的主功能单元。监控装置具有计算单元，用于与主计算的实施并行地实施测试计算并用于提供测试计算的结果，其中计算单元布置在电路上；检验单元，用于检验测试计算的结果，以探测测试计算的误操作；以及信号生成单元，用于响应于检验结果生成信号，并用于把信号传送给主功能单元。通过把计算单元布置在与主功能单元相同的电路上，计算单元遭受与主功能单元相同的攻击。通过这种方式可以通过简单的测试计算及其监督来识别攻击，而不必耗费地监控或检验主功能单元或其结果。另外还建议具有这种监控装置的电路以及用于监控电路的相应的方法。

权利要求书
1.  用于监控电路（1）的监控装置（10），其中所述电路（1）具有用于实施主计算的主功能单元（20），所述监控装置具有：
计算单元（11），用于与所述主计算的实施并行地实施单独的测试计算，并且用于提供测试计算的结果，其中所述计算单元（11）布置在所述电路（1）上，并且在功能上比所述主功能单元（20）更简单地来构成，
检验单元（12），用于检验所述测试计算的结果，用以探测测试计算的误操作，以及
信号生成单元（13），用于响应于检验的结果生成信号（14），并用于把所述信号（14）传送给所述主功能单元（20）。

2.  根据权利要求1所述的监控装置，
其特征在于，
所述误操作基于对所述电路的攻击，尤其是基于错误注入攻击。

3.  根据权利要求1或2所述的监控装置，
其特征在于，
所述信号生成单元（13）被设立用于这样生成信号（14），使得所述信号具有用以促使所述主功能单元（20）动作的信息。

4.  根据权利要求3所述的监控装置，
其特征在于，
所述动作包括删除存储器内容、去活输出接口、发起重新启动和/或停止所述主功能单元（20）的主计算。

5.  根据权利要求1-4之一所述的监控装置，
其特征在于，
所述计算单元（11）被设立用于在测试计算时利用已知的额定值来实施功能的计算，并且所述检验单元（12）被设立用于把测试计算的结果与已知的额定值相比较。

6.  根据权利要求1-5之一所述的监控装置，
其特征在于，
所述计算单元（11）被设立用于多重地实施测试计算，并且所述检验单元（12）被设立用于把测试计算的结果进行比较。

7.  根据权利要求1-6之一所述的监控装置，
其特征在于，
所述检验单元（12）被设立用于借助错误识别代码来检验测试计算的结果。

8.  根据权利要求1-7之一所述的监控装置，
其特征在于，
所述计算单元（11）被设立用于利用编码数据来实施测试计算，并且所述检验单元（12）被设立用于对编码的结果进行检验。

9.  根据权利要求1-8之一所述的监控装置，
其特征在于，
所述计算单元（11）具有计数器，尤其循环计数器。

10.  根据权利要求9所述的监控装置，
其特征在于，
所述计数器是状态自动机。

11.  根据权利要求1-10之一所述的监控装置，
其特征在于，
所述信号生成单元（13）被设立用于把所生成的信号（14）时间上偏移地传送给所述主功能单元（20）。

12.  根据权利要求1-11之一所述的监控装置，
其特征在于，
所述计算单元（11）被设立为使得所述计算单元比所述主功能单元（20）更易受攻击。

13.  电路（1），具有：
用于实施主计算的主功能单元（20），以及
根据权利要求1-12之一所述的用于监控所述电路（1）的监控装置（10）。

14.  用于监控电路（1）的方法，其中所述电路（1）具有用于实施主计算的主功能单元（20），所述方法具有：
与主计算的实施并行地在计算单元（11）中实施（101）单独的测试计算，其中所述计算单元（11）布置在所述电路（1）上，并且比所述主功能单元（20）在功能上更简单地来构成，
提供（102）测试计算的结果，
检验（103）测试计算的结果，用以探测测试计算的误操作，
响应于检验的结果生成（104）信号（14），以及
把所述信号（14）传送（105）给所述主功能单元（20）。

15.  计算机程序产品，其在程序控制的设备上促使实施根据权利要求14所述的方法。

说明书用于监控电路的监控装置
技术领域
本发明涉及用于监控电路的监控装置以及具有这种监控装置的电路。另外本发明还涉及用于监控电路的方法和计算机程序产品。
背景技术
在诸如集成电路的电路上所执行的安全机制、尤其密码加密算法可以通过故意造成错误而被攻击，所谓的故障注入攻击（Fault Injection Attack）。通过这种有针对性地造成的有错误的行为，例如可以输出关于所使用的秘密密钥的信息，或者可以跳过对动作许可的询问。
为了保护免遭这种攻击，可以使用保护技术，所述保护技术使用冗余计算和错误代码。但这些可能需要耗费的实现以及专门的硬件或在软件中的多重计算，所谓的编码处理。因为在这种情况下必须开发专门防误操作的实施，所以在此可能产生高的实施耗费。
所谓的看门狗是已知的，用以例如在CPU或软件挂起（H?ngen）时自动地强制重新启动。嵌入式控制器例如可以具有看门狗。所实施的软件应用例如必须足够频繁地复位该看门狗。如果这例如在挂起或程序异常终止时不进行，那么自动地触发复位。
另外，专门的芯片卡CPU（密码控制器）是已知的。但这种半导体IC的保护措施需要专门的设计和制造方法，并从而不能转用到普通CPU上。对此的示例在http://www.bitkom.org/files/documents/Vortrag_4_Attacks_and_Countermeasures_on_Embedded_Systems_INFINEON.pdf中被公开。为了保护免遭随机的和尤其故意造成的错误、所谓的故障注入攻击（Fault Injection Attack）或错误注入攻击，在此尤其已知，使用双重CPU（冗余）并对结果进行一致性检验，以及利用错误识别代码和错误校正代码来保护存储器内容。这种攻击可以利用相对简单的手段来实施，例如通过供给电压的峰值。
由US 7,801,298 B2和DE 10 2004 061 312 A1中已知，根据两种不同的掩模算法来双重地计算密码算法或计算步骤，并把两个结果进行比较。在此情况下，通过把第一掩模算法的掩模与第二掩模算法的结果、也即两个不同类型的掩模相适配，需要两个不同的结果。由此需要双重地实现该密码算法，一次是根据第一掩模算法并且一次是根据第二掩模算法。
EP 2 280 511 A1描述了以下系统，其中作为防错误攻击的保护措施而在计算时确定并验证所处理数据的校验和。就此而言公开了，重复或验算密码计算。
在已知的系统中使用具有多数判决的多通道计算机。为了降低硬件耗费还已知所谓的“编码处理（Coded Processing）”，其中在单个计算机上多重地利用不同编码的值来进行计算，例如反相编码和非反相编码。这例如在http://tudresden.de/die_tu_dresden/fakultaeten/fakultaet_informatik/sysa/se/research/projects/enc_proc以及http://tudresden.de/die_tu_dresden/fakultaeten/fakultaet_informatik/sysa/se/research/projects/enc_proc/SIListraWhitepaper.pdf中被公开。
尤其在基于软件的安全性关键的自动化控制计算机情况下使用“编码处理”，如也在http://www.computerautomation.de/steuerungsebene/safety/fachwissen/article/74386/0/Safety_auf_dem_PC_-_per_Software-Controller/ 中公开的。“编码处理”是以下方法，其允许利用仅一个处理器来实现面向安全的应用。在此程序部分首先直接被执行，接着被编码并以编码的形式再次被执行。不同计算途径的结果被比较，在有偏差的情况下，该程序触发关断。附加的动态监控对处理进行控制，并实现需要的第二关断途径。
在轨道安全环境（Bahnsicherungsumfeld）中使用安全型编码处理器（Vital Coded Processor），如也在http://se.inf.tudresden.de/pubs/papers/wappler2007indin.pdf中描述飞。在此对于变量作为编码规定使用xc:=xf*A+Bx+D （例如参见http://www.elektronikpraxis.vogel.de/themen/embeddedsoftwareengineering/analyseentwurf/articles/173862/index2.html）。从而实现一种类型的掩模，其中该值以经修改的形式存在，和错误识别代码，也即可以识别比特错误。另外还可识别对程序控制流的操纵。就此而言还描述“安全代码交织（Safety Code Weaving）”，其中一次利用未编码的变量来进行计算，并且一次利用编码的变量来进行计算。也可以实现两个冗余的信道，其利用不同的质数在数学上被编码。也即，两个信道可以以编码的方式工作，其中对各信道使用不同的编码。这也在Ute Schiffel的论文：Hardware Error Detection Using AN-Codes, TU Dresden, 2011, http://www.qucosa.de/fileadmin/data/qucosa/documents/6987/diss.pdf以及http://www.dateconference.com/proceedings/PAPERS/2008/DATE08/PDFFILES/08.1_3.PDF中被公开。
发明内容
以此为背景，本发明的任务在于，提供简单和成本低的电路监控。
因此，建议用于监控电路的监控装置，其中该电路具有主功能单元，该主功能单元实施主计算。该监控装置具有计算单元，用于与主计算的实施并行地实施测试计算并且用于提供测试计算的结果，其中该计算单元布置在该电路上；检验单元，用于检验测试计算的结果，用以探测测试计算的误操作（Fehlfunktion）；以及信号生成单元，用于响应于检验的结果生成信号并且用于把该信号传送给主功能单元。
通过将计算单元布置在与主功能单元相同的电路上，该计算单元遭受与该主功能单元相同的攻击。通过这种方式可以通过简单的测试计算和其监督（Kontrolle）来识别攻击，而不必耗费地监控或检验该主功能单元或其结果。与已知的系统不同，该监控装置不监控主功能单元，而是监控自己的计算单元，该计算单元用作测试功能。该计算单元可以比实际的主功能单元更简单地来构成。
该电路例如可以是FPGA（field programmable gate array，现场可编程门阵列）或ASIC（application specific integrated circuit，专用集成电路）。主功能或主计算、也即在该电路上执行的实际功能与测试计算并行地被执行。该测试计算与主功能一样地对错误攻击或错误注入攻击（fault injection attack（故障注入攻击））作出反应，因为它们布置在相同的电路或芯片上。在识别到测试计算的误操作的情况下，可以推断出可能的攻击，并且例如禁止输出主功能的结果。
在此从而不以防错误的方式（fehlergeschützt）实现必要时复杂的主功能本身，而是通过监控装置或计算单元来以防错误的方式计算单独的测试功能。仅仅为了以下目的进行这种测试计算，即识别误操作。因为在FPGA或ASIC上并行地计算多个功能，所以错误攻击以高概率不仅导致主功能的有错误的计算，而且还导致测试功能的有错误的计算。对于对该主功能的成功的故障注入攻击，攻击者必须如此来造成错误，使得虽然该主功能具有特定的错误特性，但是测试功能不具有该错误特性。因为二者同时在相同的硬件上、也即电路上被执行，所以这种分离的攻击难以实施。尤其是经由半导体IC（例如FPGA芯片）的外部接口、也即在不打开芯片情况下的攻击几乎不能如此实施，使得仅仅一个单个部分有针对性地揭示（aufweist）误操作。
从而该主功能本身不必以容错的方式或以识别错误的方式来实现，而是仅仅功能上非常简单的并且从而节省资源地可实现的、也称为故障注入监控器（Fault Injection Monitor）的监控装置的测试电路或测试计算。由此与如在已知系统情况下那样在冗余地实现复杂的主功能相比，需要更少的资源。
所述测试计算或实施测试计算的计算单元可以与不同的主功能、也即主计算或实施主功能的主功能单元一起被使用。该监控装置可以被添加到不同主功能的现有设计上。虽然通过监控装置不如在安全有关的主功能（功能安全性）情况下所需要的那样识别或防止主功能的随机误操作。但是例如由于在不允许的温度范围下运行、IC的照射、或由于供给电压的峰值或无效的时钟信号从外部有针对性地造成的误操作可以以高的可靠性和小的耗费被识别。如上所述，在此不仅发生主功能的误操作，而且发生计算单元的测试功能或测试计算的误操作。通过所建议的监控装置，从而可以提供可简单实现的并且节省资源的防简单可执行的错误攻击的保护。
根据一个实施方式，误操作基于攻击、尤其是基于错误注入攻击。
通过诸如所谓错误注入攻击（fault injection attack（故障注入攻击））的来自外部的攻击，不仅影响主功能单元，而且还影响布置在相同电路上的计算单元和其他单元。因此可以把计算单元或测试计算的误操作评估为对主功能的潜在的攻击。
根据另一实施方式，该信号生成单元被设立用于如此来生成信号，使得该信号具有促使主功能单元动作的信息。
该信号例如可以具有促使主功能单元的控制装置动作的控制信息。该信号也可以被称作警报信号（fault injection alarm，故障注入警报），因为该信号给出对潜在攻击的提示。
根据另一实施方式，所述动作包括删除存储器内容、去活输出接口、发起重新启动和/或停止主功能单元的主计算。
通过这种方式可以防止输出有错误地确定的主计算结果，其中潜在的攻击者可能通过该结果获得信息。也可以在识别到错误攻击的情况下停止进一步实施主计算。
根据另一实施方式，计算单元被设立用于在测试计算时利用已知的额定值来实施功能计算。在此该检验单元被设立用于把测试计算的结果与已知的额定值相比较。
根据该实施方式，待预期的结果是已知的。实际的结果与待预期的结果、也即额定值的比较在有偏差的情况下给出对潜在攻击的提示。这也被称作内建测试（Built-in test）或已知答案测试（known answer test）。
根据另一实施方式，该计算单元被设立用于多重地实施测试计算。在此该检验单元被设立用于把多重测试计算的结果进行比较。
这也可以被称作冗余计算。在此情况下可以设置多重并行的或依次实施的测试计算，其中对其相应的结果进行一致性检验。在一种实施中，这些可以利用不同编码的测试数据来计算。
根据另一实施方式，该检验单元被设立用于借助错误识别代码来检验测试计算的结果。
在所谓的错误识别代码情况下可以按照专门的规则生成代码组合，使得由于特定的出现的错误而形成代码组合，该代码组合可以被识别为非有效的。也可以生成并检验校验和。
根据另一实施方式，该计算单元被设立用于利用编码数据来实施测试计算。在此该检验单元被设立用于对编码结果进行检验。
在所谓的编码处理情况下，利用编码数据来进行计算，其中借助编码结果值可以识别在数据中或在程序流中的错误。
根据另一实施方式，该计算单元具有计数器，尤其循环计数器。
这种计数器具有多个、至少两个状态，其中在这些状态之间进行切换。在循环计数器情况下，例如从状态Z0被切换到状态Z1，并从该状态切换到状态Z2。接着重新切换到状态Z0。在攻击情况下例如状态被跳过，使得这可以被识别为误操作。
根据另一实施方式，该计数器是状态自动机。
该状态自动机、或者有限自动机例如可以与随机化逻辑连接（verknüpfen）。这意味着，可随机选择的随机化参数通过测量计算使用。该随机化参数例如可以与有限自动机的状态编码以异或或加法或乘法的方式逻辑连接。通过变换的、不可从外部预测的随机化而额外地使有针对性的错误攻击变得困难。
根据另一实施方式，该信号生成单元被设立用于时间偏移地传送信号。
通过时间偏移地传送，相对于误操作的识别延迟地触发主功能单元的动作。通过这种方式可以使攻击者难以识别攻击何时成功。
根据另一实施方式，该计算单元被设立得比主功能单元更易遭受攻击。
该计算单元在此例如可以以比主功能单元更大的时钟频率来运行，或者该计算单元可以有针对性地具有至少一个关键计时路径（kritischen Timing-Pfad），其中该关键计时路径大于主功能单元的关键路径。由此能够实现：在不允许的环境条件下、也即在攻击下在计算单元情况下比在主功能单元情况下更早地发生误操作。
在一个实施方式中，可以在具有FPGA组件和CPU组件的片上系统（System-on-Chip）模块上来实现监控装置。该监控装置在此在FPGA组件上来实现。在识别到误操作时可以阻止FPGA组件的第二功能。在此情况下尤其可以涉及密码操作。在一个实施方式中，监控装置的状态可以通过CPU组件、也即借助软件程序被询问，并必要时被复位。在一个实施方式中，在识别到错误时，可以触发CPU的中断（Interrupt）或复位（Reset）。从而能够强制重新启动，或者可以激活软件例程用以处理错误状态。
根据另一方面，建议电路，其具有实施主计算的主功能单元以及如前所阐述的用于监控该电路的监控装置。
这种电路尤其可以是集成电路。尤其是FPGA（现场可编程门阵列）和ASIC（专用集成电路）属于此。
根据另一方面，建议用于监控电路的方法，其中该电路具有实施主计算的主功能单元。该方法具有以下的步骤：在计算单元中与主计算并行地计算测试计算，其中该计算单元布置在该电路上，提供测试计算的结果，检验测试计算的结果，用以探测测试计算的误操作，响应于检验的结果生成信号，以及把该信号传送给主功能单元。
另外还建议计算机程序产品，其在程序控制的设备上促使实施如前所阐述的方法。
计算机程序产品、例如计算机程序装置例如可以作为存储介质、诸如存储卡、USB棒（USB-Stick）、CD-ROM、DVD、或者还以从服务器到网络中的可下载的文件的形式来提供或供应。这例如可以在无线通信网络中通过传输具有计算机程序产品或计算机程序装置的相应文件来进行。
针对所建议的装置所描述的实施方式和特征也相应地适用于所建议的方法。
本发明的其他可能的实施还包括先前或在下面关于实施例所描述的特征或实施方式的未明确列举的组合。在此专业人员还将给本发明的相应基本形式添加作为改善或补充的单方面。
本发明其他有利的扩展方案和方面是从属权利要求以及下文所述的本发明实施例的主题。下面借助优选实施方式参照附图更详细地阐述本发明。
附图说明
图1示出具有监控装置和主功能单元的电路的示意框图；
图2示出监控装置的循环计数器的示意框图；
图3示出图2的循环计数器的状态自动机的示意框图；以及
图4示出用于监控电路的方法的实施例的流程图。
具体实施方式
只要没有另外说明，在图中相同的或功能相同的元件配备有相同的附图标记。
图1示出电路1，其具有用于监控该电路1的监控装置10以及主功能单元20。
该主功能单元20实施主计算。为了探测对电路1或者电路1上的主功能单元20的攻击，设置监控装置10。该监控装置10用于尤其识别错误注入攻击，以及防止功能、例如输出主功能单元20的结果，或者引起主功能单元的功能、例如重新启动。
该监控装置10具有计算单元11，该计算单元与主计算的实施并行地实施测试计算。只要对电路1进行攻击，那么与主计算一样地遭受测试计算，并从而将同样供应有错误的结果。虽然在图1中监控装置10的所有单元都布置在该电路1上，但是仅需要把计算单元11布置在该电路上，以遭受与主功能单元相同的攻击。
该测试计算的结果被提供给检验单元12，该检验单元对该结果进行检验，以探测该测试计算的误操作。只要该结果被归入为有错误的，那么就在信号生成单元13中生成信号14，所谓的FI警报（故障注入警报（Fault Injection Alarm）），并传送给主功能单元20。
该主功能单元20于是可以例如通过控制装置21来实施功能。尤其是重新启动主计算、不发送结果、发送虚拟信号（Dummy-Signal）等属于此。在此情况下目的是不向潜在的攻击者供应关于主计算的有关信息。该控制装置可以是数字电路，例如去活接口的输入输出单元，或者是CPU，其例如能够触发中断，使得错误处理例程被调用。
如图2中所示，该计算单元11例如可以是具有计数器状态冗余编码的计数器。该计数器可以多重地存在。在此情况下，鉴于计数器值的正确性和必要时鉴于计数器值的一致性实施比较（监控）。计数器的可能的实现是循环计数器，如在图2中所示。该计数器计数Z0->Z1->Z2->Z0等等。
状态Z0、Z1、Z2的编码在此例如可以如下来选择：
Z0:0110 1101
Z1:1011 1011
Z2:0010 0101
在一种实施中，所述状态根据为了实施而变换的随机化参数r而被随机化。为此，例如在每次系统启动时或者以规则的时间间隔，可以通过随机数发生器确定参数r。状态Zi于是随机化地被编码为Zi`:=Zi XOR r。
Z0、Z1、Z2的值例如可以在开发时随机地被确定，或者根据确定性计算功能作为设计参数来确定。在确定性计算功能情况下，这些值例如可以作为字符串Z0、Z1、Z2的散列值来确定。各个比特也可以作为校验比特、例如奇偶校验比特或CRC校验和来确定。
在循环计数器的情况下，现在形成用于从当前状态出发计算后续状态的功能。这些功能如此来构造，使得在一个或更多比特上不同的值导致无效的值。从而例如可以针对后续状态的每个比特来检验当前状态的4或6个比特的预期的值。
在图2所示计数器的情况下，计数器状态Z0、Z1、Z2作为8比特大的数据字来编码。为此例如可以选择随机选择的比特值。
在图3中示出了用于图2的循环计数器的状态自动机。在状态转变时，通过状态转变功能16（State Transition Function（状态转变功能））作为逻辑运算根据当前状态来计算后续值。这例如可以通过当前值在状态寄存器15（State Register）中与固定值的异或运算来进行。也可以实现更复杂的逻辑功能，例如在使用和、或以及否运算情况下。例如通过功能上冗余的逻辑元件、如反相器链，尤其可以故意地加入延迟，以故意时间临界地、也即比主功能单元20更慢地来构造监控装置10或计算单元11。
如果现在实施错误攻击，那么可能发生比特错误，或者发生状态的跳跃。这导致以高的概率在状态寄存器15中存在无效值。表示检验单元12的状态验证器（State Verifier）现在检验在该状态寄存器15中的值是否是（在此三个）有效值之一。在有偏差的情况下提供FI警报信号14。一旦探测到无效状态，那么就可以存储该信息。这例如可以冗余地进行。在一个变型方案中该错误存储器可以复位。在图3中用虚线所示的一个变型方案中，该检验单元12除了状态寄存器15的值之外还检验后续状态的通过状态转变功能16所确定的值。
在一个实施方式中，该计数器块可以双重地或n重地设置。该状态验证器12于是也可以检验多个计数器Z0、Z1、Z2的值。在此可以单独地对每个计数器值来检验是否是允许的计数器值。但也可以检验计数器值彼此间的一致性。在最简单的情况下对此进行身份检验。但计数器值可以不同地被编码，并且计数器Z0、Z1、Z2可以具有不同大的计数范围。于是可以对不同的计数器Z0、Z1、Z2进行一致性检验。
计数器Z0、Z1、Z2尤其可以如此来构造，使得它们具有不同长度的关键路径。一个计数器Z0、Z1、Z2在此可以具有比主功能单元20的主计算更长的关键路径，另一计数器Z0、Z1、Z2在此可以具有比主功能单元20的被监控的主计算更短的关键路径。由此如果时钟周期太短，那么能够被识别，也即在较慢的计数器Z0、Z1、Z2情况下发生状态转变的跳跃。而即使在由时钟CLK预先给定的较高时钟频率情况下仍正确地起作用的较快的计数器将会继续是一个计数器值（einen Z?hlerwert weiter sein）。这两个不一致的计数器值可以被识别为错误。
在一个变型方案中，不使用电路或芯片1的时钟信号CLK，而是该监控装置10本身包含时钟发生器，该时钟发生器例如可以作为反馈环形振荡器来实现。
图4示出用于监控电路1的方法。如例如在图1中所示，该电路1具有实施主计算的主功能单元20。
在第一步骤101中，在计算单元11中与主计算的实施并行地实施测试计算。如在图1中所示，该计算单元11布置在该电路1上。
在第二步骤102中，提供测量计算的结果。
在第三步骤103中，检验测试计算的结果，以探测测试计算的误操作。
接着在第四步骤104中，响应于检验的结果生成信号14，并在第五步骤105中传送给主功能单元20。
虽然本发明借助实施例被描述，但本发明可以多样化地被修改。