[发明专利]一种芯片安全监视方法和安全监视芯片

说明书

本发明公开了一种芯片安全监视方法和安全监视芯片，方法包括以下步骤：被植入芯片的监视器对芯片操作进行监视；其中，所述的监视器包括第一状态机和/或第二状态机，所述的第一状态机为由已知的芯片攻击所建立的模型对应得到，所述的第二状态机为由断言描述的安全规则/安全属性转换而成。本发明的监视器涵盖了已知的攻击模式，也涵盖了安全属性能够排除的未知攻击模式。特别是基于安全属性的监视器，由于断言语言的表述力，安全属性将会有极大的包容性，而芯片设计中不需要复杂又耗时的安全属性验证，也避免了填补安全漏洞可能带来的性能上的损失。

技术领域

本发明涉及芯片安全领域，尤其涉及一种芯片安全监视方法和安全监视芯片。

背景技术

芯片安全最近引起了信息产业界的广泛注意。在2018年初被发现的Spectre和Meltdown漏洞利用芯片设计中常用的分支预测和乱序执行可以对高保密级别的内存信息进行高速读取，严重威胁了Intel、AMD和ARM的多种处理器。

芯片安全隐患可以在设计过程中用针对性的验证方法去发现和消除，但是这样做有两大缺点：一是芯片设计的复杂度日益增加，验证的完整性无法得到保障；二是很多芯片安全漏洞本身就是芯片性能优化的结果，比如前面提到的分支预测和乱序执行。消除或缓解这类漏洞就意味着在芯片性能上的牺牲。

本申请提出用实时监控的方法，而不是用事先发现并无条件消除的方法，来应对芯片安全攻击，从而规避上述两个缺点。

发明内容

本发明的目的在于克服现有技术的不足，提供一种芯片安全监视方法和安全监视芯片。

本发明的目的是通过以下技术方案来实现的：一种芯片安全监视方法，包括以下步骤：

被植入芯片的监视器对芯片操作进行监视；

其中，所述的监视器包括第一状态机和/或第二状态机，所述的第一状态机为由已知的芯片攻击所建立的模型对应得到，所述的第二状态机为由断言描述的安全规则/安全属性转换而成。

进一步地，所述的监视器包括一个初始状态和至少一个跟踪状态，所述的跟踪状态中至少包括一个报错状态；

所述的对芯片操作进行监视包括以下子步骤：

监视器对每次芯片操作后的状态进行一次判断，如果这个状态是一个报错状态，监视器会发出报错信号；

监视器在其当前状态不是报错状态的情况下，根据操作决定下一个状态，包括以下三种情况：(1)解除跟踪，回到初始状态；(2)停留在当前状态，等待下一个操作；(3)进入下一个跟踪状态。

进一步地，所述的对芯片操作进行监视还包括：

芯片开机后，所述监视器进入初始状态。

进一步地，在监视器的状态是一个报错状态时，不仅发出报错信号，而且采取反攻击措施。

进一步地，所述的第二状态机的转换步骤包括：

确定描述安全规则/安全属性的断言，所述的断言的语义基于规范表达式；

生成非确定自动机；

自动机最小化；

生成确定自动机。

本发明还提供一种安全监视芯片，包括：

芯片本体；

以及被植入芯片本体的监视器，所述的监视器对芯片本体的操作进行监视；

其中，所述的监视器包括第一状态机和/或第二状态机，所述的第一状态机为由已知的芯片攻击所建立的模型对应得到，所述的第二状态机为由断言描述的安全规则/安全属性转换而成。