專利名稱:使用數(shù)據(jù)完整性運(yùn)算的遠(yuǎn)程顯示器篡改檢測的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種使用數(shù)據(jù)完整性運(yùn)算進(jìn)行遠(yuǎn)程顯示器的篡改檢測的系統(tǒng) 和方法。
背景技術(shù):
在遍及世界的零售服務(wù)站和便利店經(jīng)營部,燃料補(bǔ)給器(dispenser)補(bǔ)給石 油和替代燃料產(chǎn)品。燃料補(bǔ)給器具有用戶接口,包括顯示器和鍵盤,用于實(shí) 施顧客付款交易。這些用戶接口包括信用卡/借記卡磁讀取器,用于取回來自 顧客的賬戶信息。其它銷售點(diǎn)(POS)終端也包括類似的用戶接口 。
這些用戶接口 ,特別是公眾在外部可以接觸到的燃料補(bǔ)給器接口已經(jīng)受 到希望獲取來自顧客的賬戶信息的個(gè)人的攻擊。顯示器接口可能被惡意攻擊 (hack)以在用戶界面上向顧客呈現(xiàn)虛假提示,以便獲取此賬戶信息。當(dāng)顧客響 應(yīng)這些虛假提示時(shí),他們的賬戶信息可能被強(qiáng)占并且被不適當(dāng)?shù)睾推墼p性地 使用。
這一篡改的可能性已經(jīng)導(dǎo)致將某些物理安全措施用于燃料補(bǔ)給器的用戶 接口 。這些物理安全措施包括將顯示器與顯示控制器一起安裝在安全外殼內(nèi)。 可替換地,將顯示器安裝到安全外殼上,并且將顯示控制器置于該安全外殼 內(nèi)。在任一情況中,顯示器的數(shù)據(jù)和控制線沒有被暴露并且不容易被惡意攻 擊。然而,這些物理安全措施對這些顯示器的安裝位置施加了不希望有的物 理限制。此外,對于這些解決方案,顯示器不能遠(yuǎn)離顯示控制器,因?yàn)閷@ 示控制器連接到顯示器的帶狀電纜將被暴露。暴露的帶狀電纜能夠被容易地 安裝惡意攻擊設(shè)備以便向顧客顯示虛假提示。
信用卡處理公司已經(jīng)認(rèn)識到與諸如燃料補(bǔ)給器的銷售點(diǎn)(POS)系統(tǒng)處的 用戶接口相關(guān)聯(lián)的問題,并且通過產(chǎn)生用于這些用戶接口處的安全性的新標(biāo) 準(zhǔn)來對該問題做出反應(yīng)。申請人通過引用而將文檔"Payment Card Industry (PCI): POS PIN Entry Device Derived Test Requirements, Version 1.2, 2004年9 月"合并于此,就像在這里對其進(jìn)行了充分闡述那樣。這些新標(biāo)準(zhǔn)要求POS于確保顯示給POS系統(tǒng)的用戶的任何提示的真實(shí)性和適當(dāng)使用的機(jī)制,并且 必須防止對所述提示的修改或不適當(dāng)使用。此外,必須提供用于檢測顯示器 沒有被篡改或者沒有被從其原始安裝位置拆除的能力。所述安全外殼必須是 防篡改的,并且必須包括篡改檢測電路。附接到顯示器的顯示器數(shù)據(jù)電纜在 顯示器接口處必須受到保護(hù)。
因此,需要一種用于遠(yuǎn)程安裝顯示器并且用于提供顯示器的篡改和拆除 檢測、同時(shí)滿足新的安全處理要求的方法。
發(fā)明內(nèi)容
本發(fā)明提供使用數(shù)據(jù)完整性運(yùn)算進(jìn)行的遠(yuǎn)程顯示器的篡改;險(xiǎn)測。顯示器 附接到遠(yuǎn)程安全模塊,并且遠(yuǎn)離顯示控制器而被安裝。顯示控制器被裝在安
全外殼內(nèi)。在顯示控制器處,使用諸如循環(huán)冗余校驗(yàn)(CRC)的數(shù)據(jù)完整性運(yùn)算 來處理要顯示的數(shù)據(jù),以便產(chǎn)生一結(jié)果。顯示數(shù)據(jù)被發(fā)送給附接到顯示器的 遠(yuǎn)程安全模塊。該遠(yuǎn)程安全模塊執(zhí)行相同的數(shù)據(jù)完整性運(yùn)算,并且將其數(shù)據(jù) 完整性運(yùn)算的結(jié)果返回給顯示控制器。顯示控制器將所接收的遠(yuǎn)程顯示模塊 的CRC結(jié)果與它對相同的顯示數(shù)據(jù)產(chǎn)生的CRC結(jié)果進(jìn)行比較。如果這兩個(gè) 結(jié)果不匹配,則確定顯示器已經(jīng)被篡改或拆除。以這一方式,顯示控制器可 以檢測出與遠(yuǎn)程顯示器相關(guān)聯(lián)的欺騙行為。
如果附接到顯示器的遠(yuǎn)程安全模塊或顯示器本身出現(xiàn)任何損壞或物理上 的分離,則遠(yuǎn)程安全模塊將停止把數(shù)據(jù)完整性結(jié)果傳送回顯示控制器。因此, 顯示控制器將能夠檢測出是否有人篡改了顯示器。
在替換實(shí)施例中,可以通過使用多種數(shù)據(jù)完整性算法來提高安全性。此 外,可以使對其執(zhí)行所述算法的顯示數(shù)據(jù)流中的所選擇的數(shù)據(jù)位交替以便使 該過程隨機(jī)化。此外,對于所述算法,可以對某些數(shù)據(jù)位進(jìn)行時(shí)間延遲,使 得它們脫離時(shí)間順序而影響數(shù)據(jù)完整性結(jié)果??梢葬槍κ褂媚姆N算法、使用 哪些數(shù)據(jù)位、以及延遲哪些位,通過將算法選擇指示周期性地或者與顯示數(shù) 據(jù)一起傳送到遠(yuǎn)程安全模塊,來指示遠(yuǎn)程安全模塊。還可以與諸如垂直同步、 水平同步或顯示復(fù)位的信號相關(guān)聯(lián)地將算法選擇作為控制或顯示數(shù)據(jù)的一系 列標(biāo)志或字節(jié)而發(fā)送到顯示器。
在結(jié)合附圖閱讀了對優(yōu)選實(shí)施例的以下詳細(xì)描述之后,本領(lǐng)域技術(shù)人員將意識到本發(fā)明的范圍,并且認(rèn)識到其另外的方面。
被合并在本說明書中并且形成本說明書的 一部分的附示了本發(fā)明的 若干方面,并且與描述一起用來解釋本發(fā)明的原理。
圖1圖示了能夠提供遠(yuǎn)程安裝的顯示器的顯示數(shù)據(jù)完整性的燃料補(bǔ)給器
IO的示例實(shí)施例;
圖2是使用對于被傳送以便顯示在遠(yuǎn)程安裝的顯示器上的數(shù)據(jù)的數(shù)據(jù)完 整性運(yùn)算而提供遠(yuǎn)程顯示器篡 文;險(xiǎn)測的示例安全子系統(tǒng)的框圖3是圖示提供遠(yuǎn)程安裝的顯示器的顯示數(shù)據(jù)完整性的示例步驟的流程
圖4是圖示提供遠(yuǎn)程安裝的顯示器的顯示數(shù)據(jù)完整性的示例步驟的流程 圖,所述示例步驟包括循環(huán)冗余校驗(yàn)(CRC)算法選擇和與顯示數(shù)據(jù)有關(guān)的算法 選項(xiàng);
圖5是圖示提供遠(yuǎn)程安裝的顯示器的顯示數(shù)據(jù)完整性的示例步驟的流程 圖,所述示例步驟包括與遠(yuǎn)程顯示器的垂直同步控制信號相關(guān)聯(lián)的CRC算法 選擇;
圖6圖示了可以用作本發(fā)明的遠(yuǎn)程安裝的顯示器的通用顯示器的示例時(shí) 序圖;以及
圖7圖示了用于在安全模塊和遠(yuǎn)程顯示器安全模塊之間發(fā)送CRC算法選 擇以及用于基于圖6的通用時(shí)序圖的使用而檢測對顯示器的篡改或拆除的示
例步驟。
具體實(shí)施例方式
下面闡述的實(shí)施例代表使得本領(lǐng)域技術(shù)人員能夠?qū)嵺`本發(fā)明的必要信 息、并且說明實(shí)踐本發(fā)明的最佳模式。當(dāng)考慮到附圖而閱讀以下描述時(shí),本 領(lǐng)域技術(shù)人員將理解本發(fā)明的構(gòu)思,并且將認(rèn)識到在這里沒有具體提出的這 些構(gòu)思的應(yīng)用。應(yīng)當(dāng)理解,這些構(gòu)思和應(yīng)用落入本7>開和所附權(quán)利要求的范圍內(nèi)。
下面,在描述本發(fā)明的特定方面之前,描述關(guān)于燃料補(bǔ)給器IO的一些基 本信息。圖1圖示了能夠提供遠(yuǎn)程安裝的顯示器中的顯示數(shù)據(jù)完整性的燃料補(bǔ)給器10的示例實(shí)施例。燃料補(bǔ)給器10具有基座12和頂蓋14、以及由兩 個(gè)側(cè)4反18支撐的頂棚16。
燃料補(bǔ)給器10 4皮細(xì)分為多個(gè)隔間。液壓區(qū)域20用來裝入液壓組件,并 且電子區(qū)域22用來裝入電子組件。可以使用蒸汽隔板(未示出)來將液壓區(qū)域 20與電子區(qū)域22分開。
用來控制燃料流動的若干組件可以裝在液壓區(qū)域20中。通過管道網(wǎng)絡(luò)將 來自地下儲存罐(UST-未示出)的燃料抽到入口或者燃料補(bǔ)給管道中。入口管 道24提供從UST起的管道網(wǎng)絡(luò)。
當(dāng)補(bǔ)給燃料時(shí),燃料開始運(yùn)送通過響應(yīng)流動速率或體積的計(jì)量表26。采 用脈沖發(fā)生器28來響應(yīng)于通過計(jì)量表26的燃料運(yùn)動而產(chǎn)生信號。數(shù)據(jù)線30 提供從脈沖發(fā)生器28到安全模塊32的信令路徑。數(shù)據(jù)線30將指示計(jì)量表 26內(nèi)的正在補(bǔ)給的燃料的流動速率或體積的信號提供給安全模塊32。安全模 塊32包括控制器和用于燃料補(bǔ)給器10內(nèi)的交易級別(transactional-level)和功 能處理的控制電路。除了燃料補(bǔ)給器10內(nèi)的交易級別和功能處理以外,安全 模塊32還提供安全措施,在對圖1中的燃料補(bǔ)給器IO的當(dāng)前高等級描述之 后,將結(jié)合圖2而更詳細(xì)地描述安全措施。
繼續(xù)描述圖1,當(dāng)從燃料補(bǔ)給器10補(bǔ)給燃料時(shí),安全^^莫塊32在該補(bǔ)給 交易期間接收來自與上述計(jì)量表26相關(guān)聯(lián)的脈沖發(fā)生器28的信令。響應(yīng)于 來自脈沖發(fā)生器28的信令的接收,安全模塊32提供在燃料補(bǔ)給器10中的交 易級別功能。安全模塊32直接或間接地收集與計(jì)量表26相關(guān)聯(lián)的計(jì)量表流 量測量結(jié)果。
當(dāng)補(bǔ)給交易進(jìn)行時(shí),燃料隨后被輸送到軟管34并且通過噴嘴36而被輸 送到顧客的車輛(未示出)。燃料補(bǔ)給器10包括噴嘴卡扣(boot) 38,其可以 用來在不使用噴嘴36時(shí)支撐和保持噴嘴36。噴嘴卡扣38可以包括機(jī)械或電 子開關(guān)(未示出)以指示何時(shí)對于燃料補(bǔ)給請求取下噴嘴36以及何時(shí)將噴嘴36 放回原處,從而表示燃料添加交易的結(jié)束??刂凭€(未示出)提供從電子開關(guān)到 安全模塊32的信令路徑。安全模塊32使用經(jīng)由控制線接收的信令以便對何 時(shí)開始或完成交易做出確定。
燃料補(bǔ)給器IO還包括用戶接口 40以允許用戶/顧客與燃料補(bǔ)給器10交 互并且控制燃料補(bǔ)給器IO處的補(bǔ)給器交易。用戶接口 40包括多種輸入和輸 出設(shè)備。用戶接口 40包括交易總價(jià)格顯示器42,其可以用來向用戶呈現(xiàn)為了燃料而要向顧客收取的價(jià)格。用戶接口 14還包括交易總加侖顯示器44,
升為單位的補(bǔ)給的燃料的測量結(jié)果。
圖1的示例中圖示的燃料補(bǔ)給器IO是能夠補(bǔ)給不同等級的燃料的多產(chǎn)品 補(bǔ)給器。每個(gè)等級的燃料的每單位價(jià)格(PPU)被顯示在顯示器46上。提供辛 烷選擇按鈕48以供顧客在開始補(bǔ)給之前選擇要補(bǔ)給哪個(gè)等級的燃料。
用戶接口 40還包括顯示器50,其可以用來向顧客提供指令、提示、和/ 或廣告或者其它信息??梢皂憫?yīng)于顯示器50上的提示而通過使用軟鍵52或 小鍵盤界面54上的鍵來做出顧客的選擇。軟鍵52可以被設(shè)計(jì)為排列近似的 提示以便使顧客響應(yīng)于問題或請求而指示他或她希望的選擇。燃料補(bǔ)給器10 還可以包括讀卡器56,其被適配為接納用于為所補(bǔ)給的燃料付款的磁條卡, 例如信用卡或借記卡。燃料補(bǔ)給器IO還可以包括用于接收與諸如預(yù)付款補(bǔ)給 器交易之類的交易相關(guān)聯(lián)的交易處理的付款信息的其它付款或交易型設(shè)備, 包括鈔票接受器58、光學(xué)讀取器60、智能卡讀取器62和計(jì)量生物學(xué)讀取器 64。燃料補(bǔ)給器10包括收據(jù)打印機(jī)66,使得可以產(chǎn)生具有在燃料補(bǔ)給器10 處進(jìn)行的補(bǔ)給交易的記錄的收據(jù)并且將其提供給顧客。
如先前所述,安全模塊32可以用來從與燃料補(bǔ)給器10中的計(jì)量器相關(guān) 聯(lián)的脈沖發(fā)生器收集計(jì)量測量結(jié)果。安全模塊32還在補(bǔ)給交易期間控制用戶 接口 40,例如在加油交易之前、期間和之后向顧客提供指令、提示等。
安全模塊32還經(jīng)由控制/數(shù)據(jù)線接口 70與遠(yuǎn)程顯示器安全模塊68通信。 遠(yuǎn)程顯示器安全模塊68包括控制器和控制電路,如將在下面更詳細(xì)地描述的 那樣,所述控制電路用于提供作為用戶接口 40 —部分的顯示器50的顯示數(shù) 據(jù)完整性和篡改;險(xiǎn)測。控制/數(shù)據(jù)線接口 70可以包括顯示器的數(shù)據(jù)和控制線, 并且還可以包括用于經(jīng)由控制/數(shù)據(jù)線接口 70而在安全模塊32和遠(yuǎn)程顯示器 安全模塊68之間進(jìn)行的信號發(fā)送的反饋線。
通過提供安全模塊32和遠(yuǎn)程顯示器安全模塊68,燃料補(bǔ)給器10可以提 供顯示器50的篡改和拆除檢測,并且能夠滿足信用卡公司強(qiáng)加的新的安全標(biāo) 準(zhǔn)。如下面將更詳細(xì)地描述的,可以將從安全模塊32發(fā)送到顯示器50的數(shù) 據(jù)與數(shù)據(jù)完整性運(yùn)算相關(guān)聯(lián),并且可以在遠(yuǎn)程顯示器安全模塊68處重復(fù)該運(yùn) 算,以便驗(yàn)證在傳輸期間數(shù)據(jù)未被篡改。此外,遠(yuǎn)程顯示器安全模塊68可以 確定顯示器是否被篡改或拆除,并且可以將該信息傳達(dá)給安全^f莫塊32以便滿足新的安全標(biāo)準(zhǔn)。
圖2圖示了使用對于被傳送以便在諸如顯示器50的遠(yuǎn)程安裝的顯示器上 顯示的數(shù)據(jù)的數(shù)據(jù)完整性運(yùn)算來提供遠(yuǎn)程顯示器篡改檢測的示例安全子系統(tǒng) 的框圖。圖示了用戶接口40,其包括被遠(yuǎn)程安裝并且固定地附接到遠(yuǎn)程顯示
器安全模塊68的顯示器50。顯示器50可以通過足以在顯示器50和遠(yuǎn)程顯 示器安全模塊68之間形成防篡改數(shù)據(jù)接口的任何手段而附接到遠(yuǎn)程顯示器 安全模塊68。
安全模塊32包括安全顯示控制器80,其經(jīng)由控制/數(shù)據(jù)線接口 70與遠(yuǎn)程 顯示器安全模塊68通信。利用表示用于控制/數(shù)據(jù)線接口 70的控制和數(shù)據(jù)信 號的方向的定向箭頭來圖示控制/數(shù)據(jù)線接口 70的雙向性質(zhì)。安全顯示控制 器80包括中央處理單元(CPU)82、傳送數(shù)據(jù)完整性模塊84、和接收數(shù)據(jù)完整 性模塊86。
傳送數(shù)據(jù)完整性模塊84對被傳送以便在顯示器50上顯示的數(shù)據(jù)進(jìn)行傳 送數(shù)據(jù)完整性運(yùn)算。該傳送數(shù)據(jù)完整性運(yùn)算可以包括循環(huán)冗余校驗(yàn)(CRC)或者 能夠用于驗(yàn)證所傳送的數(shù)據(jù)的任何其它機(jī)制。例如,數(shù)據(jù)完整性運(yùn)算可以包 括對所傳送的數(shù)據(jù)或者在響應(yīng)中執(zhí)行的基于數(shù)學(xué)或碼的運(yùn)算、算法和/或確 認(rèn),其能夠在發(fā)送者和接收者之間重復(fù)以便確保所傳送的和所接收的數(shù)據(jù)相 同。通過對要顯示的數(shù)據(jù)執(zhí)行數(shù)據(jù)完整性運(yùn)算,可以在接收時(shí)在接收數(shù)據(jù)完 整性模塊86處驗(yàn)證所述數(shù)據(jù),如下面將更詳細(xì)地描述的那樣,以便允許對于 在傳送期間數(shù)據(jù)未被篡改的驗(yàn)證。此外,可以使用加密技術(shù)來進(jìn)一步提高安 全性。
當(dāng)準(zhǔn)備好傳送數(shù)據(jù)以便在顯示器50上顯示時(shí),傳送數(shù)據(jù)完整性模塊84 對要顯示的數(shù)據(jù)執(zhí)行所選擇的傳送數(shù)據(jù)完整性運(yùn)算。然后,傳送數(shù)據(jù)完整性 模塊84將該數(shù)據(jù)發(fā)送到遠(yuǎn)程顯示器安全模塊68,其中,遠(yuǎn)程顯示器安全模 塊68可以對相同的顯示數(shù)據(jù)計(jì)算它自己的數(shù)據(jù)完整性結(jié)果,并且將該結(jié)果返 回給接收數(shù)據(jù)完整性模塊86以進(jìn)行比較。
可以不時(shí)地改變所選擇的傳送數(shù)據(jù)完整性運(yùn)算以便提高安全性。例如, 可以對顯示數(shù)據(jù)的不同部分執(zhí)行CRC計(jì)算,或者可以使用移位寄存器來在 CRC計(jì)算中延遲某些位。此外,可以對顯示數(shù)據(jù)的相同或不同部分執(zhí)行多種 算法。要使用的算法上的其它變化是可能的,并且全部都被認(rèn)為是處于在此 描述的主題的范圍內(nèi)。此外,可以使用所傳送的數(shù)據(jù)中的字段來標(biāo)識用于傳送數(shù)據(jù)完整性運(yùn)算 的一種或多種算法,使得可以使用相同的一種或多種算法來驗(yàn)證所述數(shù)據(jù)。 所標(biāo)識的一種或多種算法可以包括對于要對顯示數(shù)據(jù)的哪一部分或哪些部分 進(jìn)行運(yùn)算以及要對該數(shù)據(jù)執(zhí)行的任何其它特定運(yùn)算的指示,如上面所述。
算法的改變可以隨機(jī)地發(fā)生或者可以是周期性的。例如,可以使用用于
顯示器50的垂直或水平同步信號或復(fù)位信號來指示接下來傳送的^:據(jù)包括 算法選擇。該算法選擇可以被進(jìn)一步包括在單獨(dú)的數(shù)據(jù)流中,該數(shù)據(jù)流本身 可以被加密或者使用特定的或變化的完整性校驗(yàn)來驗(yàn)證以便進(jìn)一步提高安全 性。下面,與圖6和圖7相關(guān)聯(lián)地描述本發(fā)明的一個(gè)實(shí)施例的詳細(xì)示例。
遠(yuǎn)程顯示器安全模塊68從安全模塊32接收要顯示的數(shù)據(jù)。遠(yuǎn)程顯示器 安全模塊68包括接收所傳送的數(shù)據(jù)的遠(yuǎn)程數(shù)據(jù)完整性模塊88。如下面將更 詳細(xì)地描述的那樣,遠(yuǎn)程lt據(jù)完整性;漠塊88產(chǎn)生它自己的數(shù)據(jù)完整性結(jié)果, 并且將其發(fā)送給安全模塊32。然后,安全模塊32將遠(yuǎn)程數(shù)據(jù)完整性模塊88 產(chǎn)生的結(jié)果與它在將所述數(shù)據(jù)發(fā)送給遠(yuǎn)程顯示器安全模塊68之前產(chǎn)生的結(jié)
欺詐行為的指示。
遠(yuǎn)程數(shù)據(jù)完整性模塊88可以包括能夠檢測顯示器50是否已經(jīng)被篡改或 者從遠(yuǎn)程顯示器安全模塊68拆除的CPU或硬件。為了檢測對顯示器50的篡 改或者顯示器50從遠(yuǎn)程顯示器安全模塊68的拆除,遠(yuǎn)程顯示器安全模塊68 包括篡改檢測電路和開關(guān)(未示出)。篡改檢測電路可以包括耦接到遠(yuǎn)程數(shù)據(jù)完 整性模塊88或者是遠(yuǎn)程數(shù)據(jù)完整性模塊88的一部分的電路,該電路檢測來 自篡改檢測開關(guān)的信號并且處理那些信號以便確定顯示器50是否已經(jīng)被篡 改或拆除。此外,所述開關(guān)可以在復(fù)位或斷電狀態(tài)期間;波觸發(fā),并且可以在 消除復(fù)位或斷電狀態(tài)之后的啟動序列期間或者與該啟動序列相關(guān)聯(lián)地保持有 效(active)以及被感測,以便防止在這些狀態(tài)期間顯示器被篡改或拆除。例 如,所述開關(guān)可以與電源供電的電路相關(guān)聯(lián),或者可以以其它方式提供能夠 與消除復(fù)位或斷電狀態(tài)之后的啟動序列相關(guān)聯(lián)地;故感測的適當(dāng)指示。篡改才企 測電路開關(guān)可以包括柱塞轉(zhuǎn)換開關(guān)(plunge switch )、接近開關(guān)(proximity switch )、或者能夠檢測對顯示器50的篡改或顯示器50從其安裝位置或從遠(yuǎn) 程顯示器安全模塊68的拆除的任何其它類型的機(jī)構(gòu)。
遠(yuǎn)程數(shù)據(jù)完整性模塊88對所接收的數(shù)據(jù)執(zhí)行所選擇的數(shù)據(jù)完整性運(yùn)算,并且將該數(shù)據(jù)完整性運(yùn)算的結(jié)果作為接收數(shù)據(jù)完整性代碼而經(jīng)由控制/數(shù)據(jù)
線接口 70傳送到安全模塊32。在篡改檢測的情況中,遠(yuǎn)程數(shù)據(jù)完整性模塊 88將停止把接收數(shù)據(jù)完整性代碼傳送到安全模塊32。以這一方式,安全模塊 32將能夠確定遠(yuǎn)程顯示器被拆除或篡改,如下面將更詳細(xì)地描述的那樣。
在接收到來自遠(yuǎn)程顯示器安全模塊68的接收數(shù)據(jù)完整性代碼之后,安全 模塊32的接收數(shù)據(jù)完整性模塊86將該接收數(shù)據(jù)完整性代碼與傳送數(shù)據(jù)完整 性代碼進(jìn)行比較。如果這兩個(gè)代碼匹配,則接收數(shù)據(jù)完整性模塊86可以向 CPU 82通知在遠(yuǎn)程顯示器安全模塊68處正確地接收了所述數(shù)據(jù)。如果存在 不匹配,則接收數(shù)據(jù)完整性模塊86可以向CPU82警告在遠(yuǎn)程顯示器安全 模塊68處沒有正確地接收所述數(shù)據(jù)。以這一方式,可以提供顯示器50的數(shù) 據(jù)完整性。
此外,因?yàn)檫h(yuǎn)程顯示器安全模塊68包括篡改和拆除檢測電路,并且當(dāng)檢 測到對顯示器50的篡改或拆除時(shí),遠(yuǎn)程數(shù)據(jù)完整性模塊88停止傳送接收數(shù) 據(jù)完整性代碼,所以安全模塊32可以根據(jù)沒有從遠(yuǎn)程數(shù)據(jù)完整性模塊88接 收到接收數(shù)據(jù)完整性代碼來確定顯示器50被篡改或拆除。例如,當(dāng)遠(yuǎn)程顯示 器安全模塊68的篡改和拆除檢測電路檢測到指示有人已經(jīng)篡改或拆除了顯 示器50的事件時(shí),遠(yuǎn)程數(shù)據(jù)完整性模塊88停止將接收數(shù)據(jù)完整性代碼發(fā)送 回安全模塊32。可替換地,遠(yuǎn)程數(shù)據(jù)完整性模塊88可以將單獨(dú)的錯(cuò)誤代碼 發(fā)送給安全模塊32以指示已經(jīng)發(fā)生的實(shí)際事件。在任一情況中,安全模塊 32可以檢測出已經(jīng)發(fā)生了遠(yuǎn)程顯示器數(shù)據(jù)完整性的問題。此外,也可以檢測 出控制/數(shù)據(jù)線接口 70的完整性的問題。
應(yīng)當(dāng)注意,盡管安全模塊32被圖示為具有作為安全模塊32的一部分而 被包括的小鍵盤接口 54,但是這一表示是為了易于說明的目的,并且不應(yīng)被 認(rèn)為是限制性的。
圖3圖示了提供諸如顯示器50的遠(yuǎn)程安裝的顯示器的顯示數(shù)據(jù)完整性的 示例過程。該過程開始于步驟302。該過程通過在安全顯示控制器處對要顯 示在遠(yuǎn)程顯示器上的顯示數(shù)據(jù)執(zhí)行第一數(shù)據(jù)完整性運(yùn)算來產(chǎn)生第一數(shù)據(jù)完整 性結(jié)果(步驟304)。例如,安全顯示模塊80可以通過對要傳送以便顯示在顯 示器50上的數(shù)據(jù)執(zhí)行CRC算法來計(jì)算CRC代碼。此外,如上所述,可以時(shí) 不時(shí)地改變所使用的算法以便提高安全性,并且可以與要從安全顯示控制器 80傳送到顯示器50的顯示數(shù)據(jù)相關(guān)聯(lián)地包括對于所選擇的算法的指示。將顯示數(shù)據(jù)從安全顯示控制器傳送到遠(yuǎn)程顯示器安全模塊(步驟306)。例 如,安全顯示控制器80可以將要顯示在顯示器50上的數(shù)據(jù)傳送到遠(yuǎn)程顯示 器安全模塊68。
遠(yuǎn)程顯示器安全模塊接收顯示數(shù)據(jù)(步驟308)。通過對在遠(yuǎn)程顯示器安全 模塊處接收的顯示數(shù)據(jù)執(zhí)行第一數(shù)據(jù)完整性運(yùn)算來產(chǎn)生第二數(shù)據(jù)完整性結(jié)果 (步驟310)。例如,遠(yuǎn)程顯示器安全模塊68可以接收該顯示數(shù)據(jù),并且可以 執(zhí)行與由安全顯示控制器80對該顯示數(shù)據(jù)執(zhí)行的CRC計(jì)算相同的CRC計(jì) 算。此外,如果與顯示數(shù)據(jù)一起接收到對于要使用的算法的指示,則可以從 一組可用算法中選擇所述算法。
如果第一數(shù)據(jù)完整性結(jié)果與第二數(shù)據(jù)完整性結(jié)果不匹配,則在安全顯示 控制器處確定遠(yuǎn)程顯示器已被篡改(步驟312)。例如,如果安全顯示控制器80 從遠(yuǎn)程顯示器安全模塊68接收到CRC代碼,則安全顯示控制器80可以將從 遠(yuǎn)程顯示器安全模塊68接收的該CRC代碼與對于發(fā)送給遠(yuǎn)程顯示器安全才莫 塊68的顯示數(shù)據(jù)產(chǎn)生的CRC代碼進(jìn)行比較。如果這兩個(gè)代碼不匹配,則安 全顯示控制器80可以確定有人已經(jīng)篡改了顯示器50。此外,如果沒有從遠(yuǎn) 程顯示器安全模塊68接收到代碼,則安全顯示控制器80也可以確定有人已 經(jīng)篡改了顯示器50。相反,如果這兩個(gè)代碼匹配,則安全顯示控制器80可 以確定顯示器50未被篡改并且控制/數(shù)據(jù)線接口 70、遠(yuǎn)程顯示器安全模塊68 和顯示器50正在正確地工作。
圖4圖示了提供遠(yuǎn)程安裝的顯示器的顯示數(shù)據(jù)完整性的示例過程,該示 例過程包括CRC算法選擇和與顯示數(shù)據(jù)有關(guān)的算法選項(xiàng)。該過程開始于步驟 402。使用CRC標(biāo)識符而從一組CRC算法中選擇CRC算法(步驟404)。基于 所選擇的CRC算法,對于是否在對顯示數(shù)據(jù)執(zhí)行所選擇的CRC算法之前修 改該顯示數(shù)據(jù)做出確定(判定點(diǎn)406)。例如,所選擇的CRC算法可能指示要 在對顯示數(shù)據(jù)執(zhí)行所選擇的CRC算法之前旋轉(zhuǎn)、移位、或者以其它方式修改 顯示數(shù)據(jù)。如經(jīng)由所選擇的CRC算法指示的那樣來修改顯示數(shù)據(jù)(步驟408 )。
基于所選擇的CRC算法,對于將把顯示數(shù)據(jù)的全部還是一部分用于CRC 計(jì)算做出確定(判定點(diǎn)410)。例如,所選擇的CRC算法可能指示僅將顯示數(shù) 據(jù)的一部分用于對于顯示數(shù)據(jù)的CRC的計(jì)算。此外,可以使用顯示數(shù)據(jù)的多 個(gè)部分。這些部分可以通過布置選項(xiàng)(placementoption)而被級聯(lián)、^皮進(jìn)一步移 位、或者以其它方式修改,以便得出要利用所選擇的算法進(jìn)行運(yùn)算的 據(jù)。以這一方式,可以對顯示數(shù)據(jù)的任何部分執(zhí)行所選擇的算法,并且可以基于 所選擇的算法來動態(tài)地改變所選擇的部分。
當(dāng)確定要對整個(gè)顯示數(shù)據(jù)執(zhí)行所選擇的CRC算法時(shí),可以對整個(gè)顯示數(shù) 據(jù)執(zhí)行所選擇的CRC算法(步驟412)。當(dāng)確定要對顯示數(shù)據(jù)的一部分執(zhí)行所 選"^奪的CRC算法時(shí),如上所述,可以對顯示數(shù)據(jù)的所選部分執(zhí)行該CRC算 法(步驟414)。
此外,也可以基于所選擇的CRC算法來對是否在將顯示數(shù)據(jù)傳送到遠(yuǎn)程 顯示器安全模塊68之前修改輸出的CRC代碼做出確定(步驟416)。例如,可 以進(jìn)行CRC代碼的2的補(bǔ)碼、移位或旋轉(zhuǎn)以進(jìn)一步提高安全性。當(dāng)確定修改 輸出的CRC代碼時(shí),可以執(zhí)行該修改(步驟418)。
此外,將算法選擇標(biāo)識符添加到顯示數(shù)據(jù)上,使得它能夠被傳送到遠(yuǎn)程 顯示器安全模塊68,以便提供與該數(shù)據(jù)相關(guān)聯(lián)的CRC算法的遠(yuǎn)程選擇(步驟 420)。
然后,將顯示數(shù)據(jù)和算法選擇標(biāo)識符發(fā)送到遠(yuǎn)程顯示器安全模塊68以便 顯示(步驟422)。然后,該過程通過返回步驟404以處理要傳送的下一顯示數(shù)
據(jù)而重復(fù)。
圖5圖示了提供遠(yuǎn)程安裝的顯示器的顯示數(shù)據(jù)完整性的示例過程,該示 例過程包括與用于遠(yuǎn)程顯示器的垂直同步控制信號相關(guān)聯(lián)的CRC算法選擇。 可以代替該垂直同步信號而使用任何控制信號或事件。例如,也可以使用復(fù) 位信號或水平同步信號。該過程開始于步驟502。
對是否將垂直同步信號發(fā)給諸如顯示器50的遠(yuǎn)程顯示器做出確定(步驟 504)。當(dāng)確定要為該遠(yuǎn)程顯示器產(chǎn)生垂直同步信號時(shí),從一組CRC算法中選 擇CRC算法(步驟506)??梢噪S機(jī)地選擇該CRC算法,或者可以以依序或循 環(huán)的方式來選擇該CRC算法。此外,可以通過該數(shù)據(jù)流自身中的位字段來選 擇CRC算法。例如,如果要使用4種算法,則可以使用顯示數(shù)據(jù)的任何部分 中的兩位來選擇算法。此外,用來選擇算法的位可以隨時(shí)間改變。因此,當(dāng) 顯示數(shù)據(jù)改變時(shí),可以基于顯示數(shù)據(jù)改變所選擇的算法。
對顯示數(shù)據(jù)執(zhí)行所選擇的算法(步驟508)??梢宰鳛镃RC算法執(zhí)行的一 部分而實(shí)現(xiàn)與圖4相關(guān)地描述的任何替代方式。將算法選擇標(biāo)識符添加到顯 示數(shù)據(jù)上,使得可以將其傳送到遠(yuǎn)程顯示器安全模塊68(步驟510)。如上所述, 可以使用顯示數(shù)據(jù)本身來選擇算法。然后,將顯示數(shù)據(jù)和算法選擇標(biāo)識符發(fā)送給遠(yuǎn)程顯示器安全模塊68以進(jìn) 行驗(yàn)證和顯示(步驟512)。然后,該過程通過返回步驟504以處理要傳送的下 一顯示數(shù)據(jù)而重復(fù)。圖6圖示了可以用作上文所述并且具體地是圖5中的遠(yuǎn)程安裝的顯示器 50的通用顯示器的示例時(shí)序圖。垂直同步(Vsync)信號602^皮示出為具有有效 區(qū)域604和606的有效低信號。Vsync信號用來指示諸如顯示器50的顯示器 的顯示更新周期的開始。使用水平同步(Hsync)信號608來標(biāo)識與顯示器50的水平區(qū)域相關(guān)聯(lián)的 數(shù)據(jù)的區(qū)域。圖示了預(yù)數(shù)據(jù)時(shí)段610、數(shù)據(jù)時(shí)段612和后數(shù)據(jù)時(shí)段614。在預(yù) 數(shù)據(jù)時(shí)段610和后數(shù)據(jù)時(shí)段614期間,沒有數(shù)據(jù)被傳遞到顯示器50。因此, 如將在下面更詳細(xì)地描述的那樣,可以使用這些區(qū)域來發(fā)送CRC算法選擇信 息??商鎿Q地,在數(shù)據(jù)時(shí)段612期間,可以在顯示數(shù)據(jù)中傳遞CRC算法選擇, 并且/或者可以通過顯示數(shù)據(jù)來選擇CRC算法選擇。在圖6中,在Hsync信號608下面擴(kuò)展數(shù)據(jù)時(shí)段612。圖示了有效高數(shù) 據(jù)使能(DE)信號616。在數(shù)據(jù)時(shí)段612期間,DE信號616對于被提供給顯示 器50的每個(gè)數(shù)據(jù)組而激活。圖示了示例DE信號脈沖618、 620和622。對于紅色、綠色和藍(lán)色變形(variant),數(shù)據(jù)總線624將顯示數(shù)據(jù)傳遞到 顯示器50。用于紅色(例如RO - RZ)、綠色(例如GO - GZ)和藍(lán)色(例如BO -BZ)的字段可以是例如每個(gè)字段六(6)位,從而產(chǎn)生十八(18)位的數(shù)據(jù)總線624 的數(shù)據(jù)總線寬度。諸如數(shù)據(jù)總線624的數(shù)據(jù)總線的總線寬度和顏色字段寬度 的其它變化是可能的,并且全部都被視為處于在此描述的主題的范圍內(nèi)。數(shù)據(jù)段626傳遞要在DE信號脈沖618期間寫入的顯示器50的第一行的 顯示數(shù)據(jù)。數(shù)據(jù)段628傳遞要在DE信號脈沖620期間寫入的顯示器50的行 的顯示數(shù)據(jù)。數(shù)據(jù)段630傳遞要在DE信號脈沖622期間寫入的顯示器50的 最后一行的顯示數(shù)據(jù)。出于說明的目的,將假設(shè)要首先寫入顯示器50的頂部行,并且要最后寫 入底部行。因此,數(shù)據(jù)段626代表要寫入顯示器50的頂部行的數(shù)據(jù),數(shù)據(jù)段 630代表要寫入顯示器50的底部行的數(shù)據(jù)。在圖6中使用獨(dú)立變量"Y"來 代表要寫入顯示器50的各個(gè)數(shù)據(jù)段的行標(biāo)識符。在圖6中,該獨(dú)立變量被示 出為在零(O)和"Ymax"之間變化。對于具有640x480個(gè)像素的分辨率的顯示 器,Y的最大值可以是例如四百七十九(479),其中,提供480個(gè)像素行以顯示數(shù)據(jù),并且利用零(0)來標(biāo)識第一行。在圖6中使用獨(dú)立變量"X"來標(biāo)識要寫入數(shù)據(jù)的行中的像素。因此,標(biāo)識符D(X, Y)與在DE信號脈沖620期間出現(xiàn)的數(shù)據(jù)段628相關(guān)聯(lián)。同樣, 標(biāo)識符D(X, 0)與DE信號脈沖618期間的數(shù)據(jù)段626相關(guān)聯(lián),標(biāo)識符D(X, Yn^)與DE信號脈沖622期間的數(shù)據(jù)段630相關(guān)聯(lián)。在圖6中,在擴(kuò)展的數(shù)據(jù)時(shí)段612之下擴(kuò)展DE信號脈沖620和數(shù)據(jù)總 線624的數(shù)據(jù),殳628。如可以/人圖6看到的,表示出數(shù)據(jù)l殳632、 634和636。 與數(shù)據(jù)段632 、 634和636相關(guān)聯(lián)的標(biāo)識符分別是D(O , Y) 、 D( 1 , Y)和D(Xmax,Y)。 對于640x480顯示器的示例,X值的范圍可以在零(0)和六百三十九(639)之 間??梢岳脭?shù)據(jù)時(shí)鐘(未示出)在任何數(shù)據(jù)段期間鎖存數(shù)據(jù)。因此,對于諸如 數(shù)據(jù)時(shí)段612的任何顯示器寫入時(shí)段,可以通過在顯示器上改變獨(dú)立變量X 和Y的值來寫入顯示器中的所有像素。如上所述,可以使用寫入顯示器的數(shù)據(jù)值來選擇CRC算法??梢栽谥饌€(gè) 像素的基礎(chǔ)上執(zhí)行該算法選擇,或者可以利用諸如第一數(shù)據(jù)段(例如D(O, 0) -在圖6中沒有示出)的數(shù)據(jù)段內(nèi)的數(shù)據(jù),對諸如數(shù)據(jù)段612的整個(gè)顯示序列 執(zhí)行該算法選擇。這樣,可以在諸如數(shù)據(jù)時(shí)段612的顯示序列的開頭執(zhí)行CRC 算法選擇,并且可以在整個(gè)顯示更新序列期間使用該CRC算法選擇??商鎿Q 地,可以在顯示序列的末尾或者在任何中間數(shù)據(jù)段期間執(zhí)行該CRC算法選 擇,并且該CRC算法選擇可以一直有效到^皮改變?yōu)橹?。因?yàn)樵陲@示凝:據(jù)寫入 時(shí)段期間DE信號616是有效的,因此在CRC算法選擇時(shí)段期間可以使用 DE信號616來選通顯示^:據(jù)。此外,可以對諸如DE信號^P中618的DE信 號616的脈沖進(jìn)行計(jì)數(shù)以便調(diào)整將使用哪個(gè)顯示數(shù)據(jù)段來標(biāo)識CRC算法。 CRC算法的改變可以被隨機(jī)化或者隨時(shí)間變化,以進(jìn)一步提高安全性。可替換地,可以在不與有效顯示數(shù)據(jù)傳送相關(guān)聯(lián)的時(shí)段期間,例如在預(yù) 數(shù)據(jù)時(shí)段610和后數(shù)據(jù)時(shí)段614期間,執(zhí)行CRC算法選擇。CRC算法選擇 可以基于顯示數(shù)據(jù)。例如,可以使用寄存器來捕捉顯示數(shù)據(jù)的某個(gè)部分,并 且可以在Vsync信號的上升沿之后的第三Hsync脈沖期間將該數(shù)據(jù)復(fù)用到數(shù) 據(jù)總線624上。用于傳達(dá)CRC算法選擇的其它位置是可能的。此外,被捕捉時(shí)間變化。作為另 一替代方式,可以在不與有效顯示凄t據(jù)傳送相關(guān)聯(lián)的這些時(shí)段期間與顯示數(shù)據(jù)無關(guān)地執(zhí)行CRC算法選擇??梢允褂没诘仁降挠?jì)算來選擇CRC算法。例如,在每次后續(xù)的顯示數(shù)據(jù)更新時(shí),可以對寄存器中的固定寬 度的位字段執(zhí)行模運(yùn)算??梢允褂迷撃_\(yùn)算的結(jié)果來從一組CRC算法中選擇 CRC算法。然后,可以在不與有效顯示數(shù)據(jù)傳送相關(guān)聯(lián)的這些時(shí)段期間傳送 CRC算法標(biāo)識符。同樣,可以使用任何數(shù)目的位來選擇CRC算法,并且還可以在多個(gè)數(shù)據(jù) 值上執(zhí)行算法選擇以進(jìn)一步擴(kuò)大可以使用的可能的CRC算法排列的數(shù)目。因 此,所使用的等式或者位字段寬度可以隨時(shí)間改變。圖7圖示了用于在安全模塊32和遠(yuǎn)程顯示器安全模塊68之間傳達(dá)CRC 算法選擇以及用于基于圖6的通用時(shí)序圖的使用來檢測對顯示器的篡改或拆 除的示例過程。圖7圖示了一起工作的兩個(gè)子過程。圖7的左邊部分代表在 顯示數(shù)據(jù)傳送側(cè),例如在安全模塊32處發(fā)生的處理。圖7的右邊部分代表在 顯示數(shù)據(jù)接收側(cè),例如在遠(yuǎn)程顯示器安全模塊68處發(fā)生的處理??梢允褂每?制/數(shù)據(jù)線接口 70來在安全模塊32和遠(yuǎn)程顯示器安全模塊68之間通信。產(chǎn)生顯示數(shù)據(jù)和同步信號(步驟700)。在安全模塊32中的傳送數(shù)據(jù)完整 性模塊84處以及在遠(yuǎn)程顯示器安全模塊68中的遠(yuǎn)程數(shù)據(jù)完整性模塊88處接 收該顯示數(shù)據(jù)和同步信號(分別為步驟702和704)。對是否已經(jīng)在傳送數(shù)據(jù)完 整性模塊84處以及在遠(yuǎn)程數(shù)據(jù)完整性模塊88處接收到Vsync信號做出確定 (分別為步驟706和708)。如果在這兩個(gè)模塊處接收到垂直同步,則可以基于 所接收到的后續(xù)顯示數(shù)據(jù)改變CRC算法(分別為步驟710和712)。可替換地, CRC算法可以保持相同,并且可以通過上述顯示器界面信號的任何其它關(guān)系 而改變。對于所傳送的數(shù)據(jù)產(chǎn)生CRC代碼(步驟714),并且該過程等待接收 CRC結(jié)果(步驟716)。對顯示器是否已經(jīng)被篡改或拆除做出確定(步驟718)。如果確定顯示器已 經(jīng)被篡改或拆除,則該過程停止在遠(yuǎn)程顯示器安全模塊68處產(chǎn)生CRC代碼 (步驟720)。通過停止在遠(yuǎn)程顯示器安全模塊68處產(chǎn)生CRC代碼,安全模塊 32將能夠確定顯示器50已經(jīng)被篡改或拆除。如果確定顯示器未被篡改或拆 除,則該過程在遠(yuǎn)程顯示器安全^t塊68處產(chǎn)生CRC代碼(步驟722)。然后, 該過程將結(jié)果發(fā)送回安全模塊32(步驟724)。在安全模塊32處接收到CRC代碼(步驟716)使得該過程能夠?qū)⑺邮盏?CRC代碼與所傳送的CRC代碼進(jìn)行比較(步驟726)。然后,對于CRC結(jié)果是否匹配做出確定(步驟728)。如果這兩個(gè)結(jié)果不匹配,則向CPU通知入侵(步 驟730)。還應(yīng)當(dāng)注意,上述過程也可以檢測其它問題,例如控制/數(shù)據(jù)線接口 70的完整性的問題。如果這兩個(gè)結(jié)果匹配,則該過程返回以產(chǎn)生下一顯示更 新序列的顯示數(shù)據(jù)和同步(步驟700)。本領(lǐng)域技術(shù)人員將認(rèn)識到對于本發(fā)明優(yōu)選實(shí)施例的改進(jìn)和修改。所有這 些改進(jìn)和修改都被視為處于在此公開的構(gòu)思和所附權(quán)利要求的范圍內(nèi)。
權(quán)利要求
1.一種用于檢測對具有相關(guān)聯(lián)的遠(yuǎn)程顯示器安全模塊的遠(yuǎn)程顯示器的篡改的方法,包括以下步驟通過對要顯示在遠(yuǎn)程顯示器上的顯示數(shù)據(jù)執(zhí)行第一數(shù)據(jù)完整性運(yùn)算來在安全模塊處產(chǎn)生第一數(shù)據(jù)完整性結(jié)果;將該顯示數(shù)據(jù)從安全模塊傳送到遠(yuǎn)程顯示器安全模塊;在遠(yuǎn)程顯示器安全模塊處接收該顯示數(shù)據(jù);在遠(yuǎn)程顯示器安全模塊處,通過對所接收的顯示數(shù)據(jù)執(zhí)行第一數(shù)據(jù)完整性運(yùn)算來產(chǎn)生第二數(shù)據(jù)完整性結(jié)果;以及如果第一數(shù)據(jù)完整性結(jié)果與第二數(shù)據(jù)完整性結(jié)果不匹配,則在安全模塊處確定遠(yuǎn)程顯示器已經(jīng)被篡改。
2. 如權(quán)利要求l所述的方法,其中,如果第一數(shù)據(jù)完整性結(jié)果與第二數(shù) 據(jù)完整性結(jié)果不匹配則確定的步驟包括在安全模塊處不接收第二數(shù)據(jù)完整 性結(jié)果。
3. 如權(quán)利要求1所述的方法,還包括在遠(yuǎn)程顯示器上顯示所述顯示數(shù)據(jù)。
4. 如權(quán)利要求3所述的方法,其中,顯示所述顯示數(shù)據(jù)的步驟是在遠(yuǎn)程 顯示器安全模塊處執(zhí)行的。
5. 如權(quán)利要求1所述的方法,還包括監(jiān)控遠(yuǎn)程顯示器安全模塊處的篡 改4企測開關(guān)。
6. 如權(quán)利要求5所述的方法,包括通過感測來自篡改檢測開關(guān)的、指 示遠(yuǎn)程顯示器已經(jīng)被篡改的信號,在遠(yuǎn)程顯示器安全模塊處確定遠(yuǎn)程顯示器 已經(jīng)被篡改。
7. 如權(quán)利要求6所述的方法,其中,在遠(yuǎn)程顯示器安全模塊處的復(fù)位狀 態(tài)和斷電狀態(tài)中的至少一個(gè)之后,遠(yuǎn)程顯示器安全模塊與用于該遠(yuǎn)程顯示器 安全模塊的啟動序列相關(guān)聯(lián)地感測來自篡改檢測開關(guān)的、指示遠(yuǎn)程顯示器已 經(jīng)被篡改的信號。
8. 如權(quán)利要求5所述的方法,其中,篡改檢測開關(guān)是從由柱塞轉(zhuǎn)換開關(guān) 和才妄近開關(guān)組成的組中選擇的。
9. 如權(quán)利要求l所述的方法,其中,第一數(shù)據(jù)完整性運(yùn)算包括對顯示數(shù)據(jù)計(jì)算循環(huán)冗余校驗(yàn)(CRC)。
10. 如權(quán)利要求8所述的方法,其中,對顯示數(shù)據(jù)的固定部分計(jì)算CRC。
11. 如權(quán)利要求8所述的方法,其中,對顯示數(shù)據(jù)的變化的部分計(jì)算CRC。
12. 如權(quán)利要求8所述的方法,其中,通過延遲顯示數(shù)據(jù)的至少一位來 計(jì)算CRC。
13. 如權(quán)利要求l所述的方法,其中,第一數(shù)據(jù)完整性運(yùn)算是從多個(gè)數(shù) 據(jù)完整性運(yùn)算中選擇的。
14. 如權(quán)利要求l所述的方法,其中,與對于遠(yuǎn)程顯示器聲明的控制信 號相關(guān)聯(lián)地選擇第一數(shù)據(jù)完整性運(yùn)算。
15. 如權(quán)利要求1所述的方法,還包括將標(biāo)識多個(gè)數(shù)據(jù)完整性運(yùn)算中 的第 一數(shù)據(jù)完整性運(yùn)算的指示發(fā)送給遠(yuǎn)程顯示器安全模塊。
16. 如權(quán)利要求14所述的方法,其中,在除了將顯示數(shù)據(jù)發(fā)送給遠(yuǎn)程顯 示器安全模塊時(shí)以外的時(shí)間,將標(biāo)識第一數(shù)據(jù)完整性運(yùn)算的指示發(fā)送給遠(yuǎn)程 顯示器安全模塊。
17. 如權(quán)利要求l所述的方法,其中,使用顯示數(shù)據(jù)的至少一部分來選 擇多個(gè)數(shù)據(jù)完整性運(yùn)算中的第一數(shù)據(jù)完整性運(yùn)算。
18. —種用于檢測對具有相關(guān)聯(lián)的遠(yuǎn)程顯示器安全模塊的遠(yuǎn)程顯示器的 篡改的系統(tǒng),包括以下步驟安全才莫塊,^皮適配為通過對要顯示在遠(yuǎn)程顯示器上的顯示數(shù)據(jù)執(zhí)行第一數(shù)據(jù)完整性運(yùn)算 來產(chǎn)生第一數(shù)據(jù)完整性結(jié)果;將該顯示數(shù)據(jù)傳送到遠(yuǎn)程顯示器安全^^莫塊;并且 如果第一數(shù)據(jù)完整性結(jié)果與第二數(shù)據(jù)完整性結(jié)果不匹配,則確定遠(yuǎn) 程顯示器已經(jīng)被墓改;以及遠(yuǎn)程顯示器安全模塊,被適配為 接收顯示數(shù)據(jù);以及通過對在遠(yuǎn)程顯示器安全模塊處接收的顯示數(shù)據(jù)執(zhí)行第一數(shù)據(jù)完整 性運(yùn)算來產(chǎn)生第二數(shù)據(jù)完整性結(jié)果。
19. 如權(quán)利要求18所述的系統(tǒng),其中,安全模塊還被適配為當(dāng)沒有接收 到第二數(shù)據(jù)完整性結(jié)果時(shí),確定第 一數(shù)據(jù)完整性結(jié)果是否與第二數(shù)據(jù)完整性 結(jié)果不匹配。
20. 如權(quán)利要求18所述的系統(tǒng),其中,遠(yuǎn)程顯示器安全模塊還被適配為 在遠(yuǎn)程顯示器上顯示所述顯示lt據(jù)。
21. 如權(quán)利要求18所述的系統(tǒng),其中,遠(yuǎn)程顯示器安全模塊還被適配為 監(jiān)控篡改檢測開關(guān)。
22. 如權(quán)利要求21所述的系統(tǒng),其中,遠(yuǎn)程顯示器安全模塊還被適配為 通過感測來自篡改檢測開關(guān)的、指示遠(yuǎn)程顯示器已經(jīng)被篡改的信號,確定遠(yuǎn) 程顯示器已經(jīng)被篡改。
23. 如權(quán)利要求22所述的系統(tǒng),其中,遠(yuǎn)程顯示器安全模塊還被適配為 在遠(yuǎn)程顯示器安全模塊處的復(fù)位狀態(tài)和斷電狀態(tài)中的至少 一個(gè)之后,與用于 該遠(yuǎn)程顯示器安全模塊的啟動序列相關(guān)聯(lián)地感測來自篡改檢測開關(guān)的、指示 遠(yuǎn)程顯示器已經(jīng)被篡改的信號。
24. 如權(quán)利要求21所述的系統(tǒng),其中,篡改檢測開關(guān)是從由柱塞轉(zhuǎn)換開 關(guān)和4妄近開關(guān)組成的組中選擇的。
25. 如權(quán)利要求18所述的系統(tǒng),其中,安全模塊和遠(yuǎn)程顯示器安全模塊 被適配為通過對顯示數(shù)據(jù)計(jì)算循環(huán)冗余校驗(yàn)(CRC)來執(zhí)行第 一數(shù)據(jù)完整性運(yùn) 算。
26. 如權(quán)利要求25所述的系統(tǒng),其中,安全模塊和遠(yuǎn)程顯示器安全模塊 被適配為對顯示數(shù)據(jù)的固定部分計(jì)算CRC。
27. 如權(quán)利要求25所述的系統(tǒng),其中,安全模塊和遠(yuǎn)程顯示器安全模塊 被適配為對顯示數(shù)據(jù)的變化的部分計(jì)算CRC。
28. 如權(quán)利要求25所述的系統(tǒng),其中,安全模塊和遠(yuǎn)程顯示器安全模塊 被適配為通過延遲顯示數(shù)據(jù)的至少一位來計(jì)算CRC。
29. 如權(quán)利要求18所述的系統(tǒng),其中,第一數(shù)據(jù)完整性運(yùn)算包括多個(gè)數(shù) 據(jù)完整性運(yùn)算中的至少一個(gè)。
30. 如權(quán)利要求18所述的系統(tǒng),其中,安全模塊被適配為與對于遠(yuǎn)程顯 示器的控制信號的聲明相關(guān)聯(lián)地選擇第 一數(shù)據(jù)完整性運(yùn)算。
31. 如權(quán)利要求18所述的系統(tǒng),其中,安全模塊被適配為將標(biāo)識包括多 個(gè)數(shù)據(jù)完整性運(yùn)算中的至少 一個(gè)的第 一數(shù)據(jù)完整性運(yùn)算的指示發(fā)送給遠(yuǎn)程顯 示器安全^f莫塊。
32. 如權(quán)利要求31所述的系統(tǒng),其中,安全模塊被適配為在除了將顯示 數(shù)據(jù)發(fā)送給遠(yuǎn)程顯示器安全模塊時(shí)以外的時(shí)間,將標(biāo)識包括多個(gè)數(shù)據(jù)完整性運(yùn)算中的至少 一個(gè)的第 一數(shù)據(jù)完整性運(yùn)算的指示發(fā)送給遠(yuǎn)程顯示器安全模 塊。
33.如權(quán)利要求18所述的系統(tǒng),其中,安全模塊和遠(yuǎn)程顯示器安全模塊 還被適配為使用顯示數(shù)據(jù)的至少一部分來選4奪多個(gè)數(shù)據(jù)完整性運(yùn)算中的第一 數(shù)據(jù)完整性運(yùn)算。
全文摘要
用于檢測對遠(yuǎn)程顯示器的篡改的方法和系統(tǒng)。根據(jù)一種方法,通過對要顯示在遠(yuǎn)程顯示器上的顯示數(shù)據(jù)執(zhí)行第一數(shù)據(jù)完整性運(yùn)算來在安全模塊處產(chǎn)生第一數(shù)據(jù)完整性結(jié)果。將該顯示數(shù)據(jù)從安全模塊傳送到遠(yuǎn)程顯示器安全模塊。遠(yuǎn)程顯示器安全模塊接收該顯示數(shù)據(jù)。在遠(yuǎn)程顯示器安全模塊處,通過對所接收的顯示數(shù)據(jù)執(zhí)行第一數(shù)據(jù)完整性運(yùn)算來產(chǎn)生第二數(shù)據(jù)完整性結(jié)果。如果第一數(shù)據(jù)完整性結(jié)果與第二數(shù)據(jù)完整性結(jié)果不匹配,則在安全模塊處對遠(yuǎn)程顯示器是否已經(jīng)被篡改做出確定。
文檔編號G06F9/00GK101611379SQ200780050185
公開日2009年12月23日 申請日期2007年11月7日 優(yōu)先權(quán)日2006年11月21日
發(fā)明者喬瓦尼·卡拉佩利, 約瑟夫·D·朗 申請人:吉爾巴科公司