装置中的诊断信息的收集的制作方法

1.本公开大体上涉及电子装置，且更具体地说，涉及收集装置中的诊断信息。


背景技术：

2.如今，例如基于nfc(近场通信)的移动支付装置等安全产品通常含有数个功能部分和加强的安全控制器。安全控制器通常包括数个对策以检测不同类型的安全事件，例如逻辑故障和故障注入攻击。通常，如果此类事件的数目或频率达到某些阈值，则安全控制器会通过复位系统并随着时间推移而停用敏感活动来响应那些事件。
3.然而，检测安全性事件的对策有时可能因误警而不利地影响装置的可靠性，例如，原本无关紧要的干扰可能被检测为安全事件并造成非预期系统复位，这接着可进一步累积成使装置不可用的系统停用动作。以下实情会使此问题进一步复杂化：此类误警通常是可能在装置的开发期间难以预测的复杂相互作用的结果。虽然可能已在设计、特征化和测试上投入许多努力以减小此类误警的可能性，但假设在现场部署装置之前可完全消除误警以及所得非预期动作通常是不现实的。因此，误警可极大影响总的装置故障率，而影响体现为客户退货，有时还会造成相当大的财务损失。
4.因此，需要一种装置和方法来允许在现场部署之后在装置可靠性的严重影响发生之前监测装置。


技术实现要素：

5.根据本发明的第一方面，提供一种在具有丰富执行环境(ree)和安全元件的装置中的方法，包括：
6.检测所述装置的初始化；
7.确定所述装置的所述初始化是潜在安全相关事件的结果；
8.激活所述ree中负责与所述安全元件通信的通信部件；
9.由所述安全元件向所述通信部件发送对与潜在安全事件相关的诊断信息的请求；
10.由所述安全元件从所述通信部件接收相关诊断信息；
11.在所述安全元件中生成攻击日志；以及
12.经由安全信道将带有所述相关诊断信息的所述攻击日志传达到安全服务器。
13.在一个或多个实施例中，所述相关诊断信息包括所述ree中的事件，其中所述ree中的所述事件包括一个或多个传感器读数和系统配置信息。
14.在一个或多个实施例中，所述相关诊断信息还包括所述装置的操作电压、温度、电力管理事件和收发器事件中的一个或多个。
15.在一个或多个实施例中，对相关诊断信息的所述请求针对在与所述潜在安全相关事件相关的预定时间段期间发生的事件。
16.在一个或多个实施例中，激活所述ree中的所述通信部件还包括激活所述ree中的近场通信(nfc)部件。
17.在一个或多个实施例中，传达带有所述相关诊断信息的所述攻击日志还包括经由所述安全元件传达带有所述相关诊断信息的所述攻击日志。
18.在一个或多个实施例中，所述方法还包括在所述ree的活动模式期间连续捕捉所述相关诊断信息并将所述相关诊断信息存储在存储器中。
19.在一个或多个实施例中，所述方法还包括在将带有所述诊断信息的所述攻击日志传达到所述安全服务器之前对带有所述相关诊断信息的所述攻击日志进行加密。
20.在一个或多个实施例中，在被配置成提供适于保护支付交易的安全性的近场通信(nfc)装置中实施所述方法。
21.根据本发明的第二方面，提供一种用于在具有丰富执行环境(ree)和安全元件的装置中收集诊断信息的方法，所述方法包括：
22.在所述ree的活动模式期间连续捕捉所述诊断信息并将所述诊断信息存储在具有可配置数目的条目的循环缓冲器中；
23.检测所述装置的重新初始化；
24.确定所述装置的所述重新初始化是所述安全元件中的潜在安全相关事件的结果；
25.激活所述ree中负责与所述安全元件通信的近场通信(nfc)部件；
26.由所述安全元件向所述nfc部件发送对在所述ree中收集的所述诊断信息的请求，所述诊断信息包括在与所述安全元件中的所述潜在安全相关事件相关的预定时间段中的一个或多个传感器读数和系统配置信息；
27.由所述安全元件从所述nfc部件接收所述诊断信息；
28.在所述安全元件中生成攻击日志；以及
29.经由安全信道将带有所述诊断信息的所述攻击日志传达到安全服务器。
30.在一个或多个实施例中，所述诊断信息还包括所述装置的操作电压、温度、电力管理事件和收发器事件中的一个或多个。
31.在一个或多个实施例中，传达带有所述诊断信息的所述攻击日志还包括经由所述安全元件传达带有所述诊断信息的所述攻击日志。
32.在一个或多个实施例中，所述方法还包括在将带有所述诊断信息的所述攻击日志传达到所述安全服务器之前对带有所述诊断信息的所述攻击日志进行加密。
33.在一个或多个实施例中，在被配置成提供适于保护支付交易的安全性的装置中实施所述方法。
34.根据本发明的第三方面，提供一种硬件装置，包括：
35.丰富执行环境(ree)，其包括：
36.处理器，其被配置成提供用于所述ree的通信功能；和
37.事件监测器，其包括历史缓冲器，所述历史缓冲器被配置成收集和存储与所述ree的操作相关的诊断信息；以及
38.安全元件，其被配置成响应于检测到所述安全元件中的潜在安全相关事件而经由所述通信功能从所述ree收集诊断信息，所述安全元件包括：
39.攻击日志，其用于存储所述潜在安全相关事件和所述诊断信息；和
40.输入/输出电路，其被配置成经由安全信道将所述硬件装置连接到安全服务器，并且用于将带有所述诊断信息的所述攻击日志传达到所述安全服务器。
41.在一个或多个实施例中，所述硬件装置是近场通信(nfc)装置。
42.在一个或多个实施例中，所述事件监测器在所述ree的活动模式期间连续捕捉所述诊断信息并将所述诊断信息存储在所述历史缓冲器中，其中所述历史缓冲器包括可配置数目的条目。
43.在一个或多个实施例中，所述诊断信息还包括所述装置的操作电压、温度、电力管理事件和收发器事件中的一个或多个。
44.在一个或多个实施例中，所述历史缓冲器包括循环缓冲器。
45.在一个或多个实施例中，所述安全元件还包括在将带有所述诊断信息的所述攻击日志传达到所述安全服务器之前对带有所述诊断信息的所述攻击日志进行加密的加密功能。
46.本发明的这些和其它方面将根据下文中所描述的实施例显而易见，且参考这些实施例予以阐明。
附图说明
47.本发明通过举例示出且不受附图的限制，在附图中，类似标记指示类似元件。图中的元件为简单和清晰起见而示出，且未必按比例绘制。
48.图1示出根据实施例的装置。
49.图2示出根据实施例的用于收集装置中的诊断信息的方法。
50.图3示出根据实施例的用于在发生安全事件时传送诊断信息的方法。
具体实施方式
51.总的来说，提供一种使产品制造商能够收集用于监测部署的受保护装置的可靠性的诊断信息的方法。在一个实施例中，提供一种具有丰富执行环境(ree)和安全元件(se)的装置。所述方法包括连续收集关于ree的操作的某些诊断信息。所述诊断信息可包括装置的传感器读数和系统配置信息，例如供应电压、供应电压源、温度和各种系统活动。当se检测到潜在安全相关事件时，se向ree请求可能与所述潜在安全相关事件相关的诊断信息。所述潜在安全相关事件和诊断信息存储在se的攻击日志中并通过安全信道传达到安全服务器。可分析所述潜在安全相关事件和诊断信息以确定是什么触发了所述潜在安全相关事件。如果例如潜在安全事件是误警，则从分析得到的信息可提供对潜在安全事件起因的洞察。所述洞察可用于对所述装置作出修改、调整和改进。例如，可调整传感器设置，或可改变软件行为以避免触发误警。另外，从监测部署的装置获得的洞察可用于在设计未来产品时避免问题。所描述的检测和报告机制并不损害系统的安全性，并且对于所述装置，仅引入了最小的额外硬件和软件成本。
52.根据实施例，在具有丰富执行环境(ree)和安全元件的装置中提供一种方法，包括：检测所述装置的初始化；确定所述装置的所述初始化是潜在安全相关事件的结果；激活所述ree中负责与所述安全元件通信的通信部件；由所述安全元件向所述通信部件发送对与潜在安全事件相关的诊断信息的请求；由所述安全元件从所述通信部件接收相关诊断信息；在所述安全元件中生成攻击日志；以及经由安全信道将带有所述相关诊断信息的所述攻击日志传达到安全服务器。所述相关诊断信息可包括所述ree中的事件，其中所述ree中
的所述事件可包括一个或多个传感器读数和系统配置信息。所述相关诊断信息还可包括所述装置的操作电压、温度、电力管理事件和收发器事件中的一个或多个。对相关诊断信息的请求可针对在与所述潜在安全相关事件相关的预定时间段期间发生的事件。激活所述ree中的所述通信部件还可包括激活所述ree中的近场通信(nfc)部件。传达带有所述相关诊断信息的所述攻击日志还可包括经由所述安全元件传达带有所述相关诊断信息的所述攻击日志。所述方法还可包括在所述ree的活动模式期间连续捕捉所述相关诊断信息并将所述相关诊断信息存储在存储器中。所述方法还可包括在将带有所述诊断信息的所述攻击日志传达到所述安全服务器之前对带有所述相关诊断信息的所述攻击日志进行加密。可在被配置成提供适于保护支付交易的安全性的近场通信(nfc)装置中实施所述方法。
53.在另一实施例中，提供一种在具有丰富执行环境(ree)和安全元件的装置中收集诊断信息的方法，所述方法包括：在所述ree的活动模式期间连续捕捉所述诊断信息并将所述诊断信息存储在具有可配置数目的条目的循环缓冲器中；检测所述装置的重新初始化；确定所述装置的所述重新初始化是所述安全元件中的潜在安全相关事件的结果；激活所述ree中负责与所述安全元件通信的近场通信(nfc)部件；由所述安全元件向所述nfc部件发送对在所述ree中收集的所述诊断信息的请求，所述诊断信息包括在与所述安全元件中的所述潜在安全相关事件相关的预定时间段中的一个或多个传感器读数和系统配置信息；由所述安全元件从所述nfc部件接收所述诊断信息；在所述安全元件中生成攻击日志；以及经由安全信道将带有所述诊断信息的所述攻击日志传达到安全服务器。所述诊断信息还可包括所述装置的操作电压、温度、电力管理事件和收发器事件中的一个或多个。传达带有所述诊断信息的所述攻击日志还可包括经由所述安全元件传达带有所述诊断信息的所述攻击日志。所述方法还可包括在将带有所述诊断信息的所述攻击日志传达到所述安全服务器之前对带有所述诊断信息的所述攻击日志进行加密。可在被配置成提供适于保护支付交易的安全性的装置中实施所述方法。
54.在又一实施例中，提供一种硬件装置，包括：丰富执行环境(ree)，其包括被配置成提供用于所述ree的通信功能的处理器和包括历史缓冲器的事件监测器，所述历史缓冲器被配置成收集和存储与所述ree的操作相关的诊断信息；以及安全元件，其被配置成响应于检测到所述安全元件中的潜在安全相关事件而经由所述通信功能从所述ree收集诊断信息，所述安全元件包括：用于存储所述潜在安全相关事件和所述诊断信息的攻击日志，和输入/输出电路，所述输入/输出电路被配置成经由安全信道将所述硬件装置连接到安全服务器并且用于将带有所述诊断信息的所述攻击日志传达到所述安全服务器。所述硬件装置可以是近场通信(nfc)装置。所述事件监测器可在所述ree的活动模式期间连续捕捉所述诊断信息并将所述诊断信息存储在所述历史缓冲器中，其中所述历史缓冲器可包括可配置数目的条目。所述诊断信息另外可包括所述装置的操作电压、温度、电力管理事件和收发器事件中的一个或多个。所述历史缓冲器可包括循环缓冲器。所述安全元件还可包括用于在将带有所述诊断信息的所述攻击日志传达到所述安全服务器之前对带有所述诊断信息的所述攻击日志进行加密的加密功能。
55.图1示出根据实施例的装置10。装置10包括丰富执行环境(ree)12和安全元件(se)14。丰富执行环境12包括处理器16以及系统传感器和配置电路28。处理器16包括通信功能22和事件监测器24。事件监测器24包括历史缓冲器26。安全元件14包括处理器18和输入/输
出(i/o)块20。处理器18包括通信功能30、攻击日志发生器32以及加密和认证34。处理器16和处理器18可以是同一处理器的部分。装置10可使用常规半导体工艺技术实施于一个或多个集成电路上。装置10的功能可在硬件、软件或硬件与软件的组合中实施。在一个实施例中，装置10可以是具有适于商家和支付交易的支付处理应用程序的近场通信(nfc)装置。将在nfc的上下文中描述实施例，然而，本领域技术人员应认识到，所描述的方法和装置可应用于其它技术，例如wi-fi、超宽带(uwb)和蓝牙。
56.丰富执行环境(ree)12可以是在单独操作系统下运行的处理器或单独处理器的区域。所述丰富执行环境可以是用于所述装置的主操作系统。通常，不可信的应用程序在ree 12中运行，而ree 12几乎不能防止攻击，例如故障注入攻击或针对装置10的其它侧信道攻击。另外，与安全元件14相比，ree 12可提供更多处理能力。在nfc应用中，ree 12控制大多数系统级功能，例如电力管理、射频(rf)发送和通信接口。
57.取决于应用，安全元件14可以是包括ree 12的同一处理器的区域、不同处理器，或可能不具有可用的任何显著处理器能力。安全元件14与ree 12分开并隔离，并且提供用于处理敏感应用和/或存储敏感信息的安全环境。另外，安全元件14包括抵御攻击或非法尝试访问受保护应用的安全性。在一个实施例中，se 14可基于例如由nxp半导体公司(nxp semiconductors,inc.)提供的nfc安全元件。在另一实施例中，se 14可实施为例如arm的trustzone的可信执行环境(tee)。在又一实施例中，se 14可以不同方式实施。
58.根据实施例，事件监测器功能24驻存在处理器16内部，并且负责监测系统活动和收集来自系统传感器和配置电路28的诊断信息(诊断信息)，所述诊断信息在触发安全事件的情况下可能是相关的。在一个实施例中，在后台连续收集诊断信息。所述诊断信息被收集、加时间戳，然后存储在历史缓冲器26中。在一个实施例中，历史缓冲器26是可配置的并且可实施为循环缓冲器。历史缓冲器26的可配置性可包括可配置的条目数目、每个条目的大小或另一准则。在另一实施例中，历史缓冲器26可实施于另一类型的易失性或非易失性存储器中。
59.系统传感器和配置电路28可包括各种传感器，例如，电压传感器、温度传感器等。收集的诊断信息可包括当前系统配置、电源状态和近期系统活动。更具体地说，举例来说，诊断信息可包括nfc复位、rf发送器(未示出)的接通/关断、装置的发送与接收模式之间的切换、接通/关断功率放大器(未示出)和开关电源。
60.在接收到安全事件后，事件监测器24检查从历史缓冲器26检索的所有事件。如果诊断事件被认为是相关的，即，诊断事件在安全事件的可配置时间窗内发生，则历史缓冲器26中包括所述诊断事件，然后经由通信功能22将所述诊断事件发送到se 14。事件监测器24还负责维持攻击日志32与收集的诊断信息之间的定时对准。例如，在从se 14接收到对诊断信息的请求后，事件监测器24可包括来自预定时间段的诊断信息，所述预定时间段例如恰在对诊断信息的请求之前5微秒的时段。另外，在安全事件期间，可递增用于计数安全事件的攻击计数器(未示出)。如果攻击计数器值超过预定阈值计数值，则可限制se 14的操作。例如，可将se 14置于受限模式。
61.处理器16中的通信功能22负责事件监测器24与处理器18中的通信功能30之间的双向通信。例如，潜在安全事件的发生作为某一消息(例如，security_evnet_flag)由se 14传达，并且由事件监测器24针对相关时间段从历史缓冲器26检索诊断信息并将所述诊断信
息作为另一消息传递到通信功能30。
62.se 14中的攻击日志发生器32负责形成攻击记录消息。攻击日志发生器32将消息提供到加密和认证电路34以在传达之前进行加密和数字签名。加密的消息可被记录在非易失性存储器中，并且经由i/o 20和安全信道传送到装置10之外到远程服务器。另外，可使用例如像rsa(rivest-shamir-adleman)和ecc(椭圆曲线密码术)的非对称密码算法等当前所用的任一加密算法来加密消息。
63.在装置10的重启/重新初始化期间，确定所述重启/系统重新初始化是否由潜在安全事件触发。如果重启是因为潜在安全事件，则在ree 12处于休眠模式的情况下将ree 12唤醒。激活通信功能30与通信功能22之间的通信链路。从事件监测器24检索诊断信息，将所述诊断信息传递到安全元件14以及到攻击日志发生器32。随后通过攻击日志发生器32将诊断信息连同安全事件一起包括在攻击日志中。随后由安全服务器经由i/o电路20和安全信道发送或允许检索带有诊断信息的攻击日志，其中所述安全信道可以是通过互联网或蜂窝系统或其它通信系统中的一个或多个。
64.图2示出根据实施例的用于收集装置10中的诊断信息的方法40。方法40开始于步骤42。在步骤42，初始化装置10。在步骤44，在装置10的操作期间，对传感器和系统配置信息进行连续监测、检索、加时间戳并将所述传感器和系统配置信息存储在历史缓冲器26中。在决策步骤46，确定是否已检测到安全事件。如果是，则采取“是”路径到步骤52。如果在决策步骤46处未检测到安全事件，则采取“否”路径到决策步骤48。在决策步骤48，确定在ree 12中是否检测到系统事件。如果否，则采取“否”路径回到决策步骤46的顶部。然而，如果检测到系统事件，则采取“是”路径到步骤50，并将关于ree 12的诊断信息添加到历史缓冲器26，且所述方法返回到决策步骤46的顶部。系统事件可以是由ree 12控制的电路或功能的任何非安全事件，例如电压波动、过温条件、接通或关断某些功能、电源的变化等。在步骤52，在步骤46检测到安全事件之后，响应于来自se 14的请求，从历史缓冲器26检索相关诊断信息。在一个实施例中，如果诊断信息在安全事件的预定时间段内加的时间戳，则所述诊断信息是相关的。在步骤54，当se 14请求时，诊断信息被发送到所述se。在步骤54之后，方法40返回步骤46，并且方法40在装置10操作时重复。
65.图3示出根据实施例的用于在发生安全事件时传送诊断信息的方法60。方法60开始于步骤62。一般来说，安全元件中的安全事件可导致装置复位或重启，以试图清除所述安全事件。因此，在步骤62，重启装置10，并且在步骤64，初始化或重启装置中的软件。在决策步骤66，确定重启是否归因于潜在安全事件。如果否，则采取“否”路径到步骤68，并且方法60结束，直到装置10的另一重启。然而，如果重启是归因于安全事件，则采取从步骤66到决策步骤70的“是”路径。在决策步骤70，确定ree 12通信功能22是否活动。如果是，则采取“是”路径到步骤74。然而，如果通信功能22不是活动的，则采取从步骤70到步骤72的“否”路径，并且激活通信功能22。在步骤74，se 14的通信功能30通过发送对诊断信息的请求而发起与ree 12的通信功能22的通信。在步骤76，事件监测器24将在安全事件的预定时间段内加时间戳的诊断信息发送到se 14。在步骤78，se 14的攻击日志发生器32生成攻击日志，所述攻击日志包括安全事件和检索的诊断信息。在步骤80，攻击日志和诊断信息被发送到安全服务器，其中在ree 12中生成的攻击日志和诊断信息可用于例如在安全事件是误警的情况下确定是什么触发了所述安全事件。分析的结果可帮助解决所述问题并降低在未来装置
中发生所述问题的可能性。
66.应注意，收集和传达诊断信息与攻击日志所需的功能不会不利地影响装置10检测攻击的能力，因为所述方法仅在检测到安全事件之后在se 14中执行。
67.各种实施例或实施例的部分可实施于硬件中或作为非暂时性机器可读存储介质上的指令，所述非暂时性机器可读存储介质包括用于以例如个人计算机、笔记本电脑、文件服务器、智能电话或其它计算装置的机器可读的形式存储信息的任何机构。非暂时性机器可读存储介质可包括易失性和非易失性存储器，例如只读存储器(rom)、随机存取存储器(ram)、磁盘存储介质、光学存储介质、快闪存储器等。非暂时性机器可读存储介质不包括暂时性信号。
68.虽然本文中参考特定实施例描述了本发明，但在不脱离如所附权利要求书所阐述的本发明的范围的情况下可进行各种修改和改变。因此，本说明书和图应以说明性而非限制性意义看待，并且所有此类修改旨在包括在本发明的范围内。并不意图将本文中相对于特定实施例描述的任何益处、优势或针对问题的解决方案理解为任何或所有权利要求的关键、必需或必不可少的特征或要素。
69.此外，如本文中所使用，术语“一”被定义为一个或多于一个。另外，权利要求书中对例如“至少一个”和“一个或多个”等引导性短语的使用不应被解释为暗示由不定冠词“一”引导的另一权利要求要素将含有此类引导的权利要求要素的任何特定权利要求限制于仅含有一个此类要素的发明，即使是当同一权利要求包括引导性短语“一个或多个”或“至少一个”和例如“一”等不定冠词时也如此。上述同样适用于定冠词的使用。
70.除非另有陈述，否则例如“第一”和“第二”等术语用于任意地区别此类术语所描述的要素。因此，这些术语未必意图指示此类要素的时间或其它优先级排序。