優(yōu)先權(quán)的要求

本申請(qǐng)要求在2014年10月24日遞交的美國(guó)非臨時(shí)專利申請(qǐng)no.14/523,577的優(yōu)先權(quán)，該美國(guó)非臨時(shí)專利申請(qǐng)的內(nèi)容在此通過(guò)引用并入。

附圖說(shuō)明

圖1為根據(jù)本發(fā)明的實(shí)施方式的受保護(hù)系統(tǒng)、自主控制系統(tǒng)和輸入設(shè)備。

圖2為根據(jù)本發(fā)明的實(shí)施方式的串聯(lián)連接的自主控制系統(tǒng)。

圖3為示出根據(jù)本發(fā)明的實(shí)施方式的控制方法的流程圖。

圖4為根據(jù)本發(fā)明的實(shí)施方式的串聯(lián)連接的自主控制系統(tǒng)。

圖5為示出根據(jù)本發(fā)明的實(shí)施方式的串聯(lián)連接的自主控制系統(tǒng)的操作的示意圖。

圖6為根據(jù)本發(fā)明的實(shí)施方式的串聯(lián)連接的自主控制系統(tǒng)。

圖7為根據(jù)本發(fā)明的實(shí)施方式的并聯(lián)連接的自主控制系統(tǒng)。

圖8為根據(jù)本發(fā)明的實(shí)施方式的并聯(lián)連接的自主控制系統(tǒng)。

圖9為示出根據(jù)本發(fā)明的實(shí)施方式的并聯(lián)連接的自主控制系統(tǒng)的操作的示意圖。

圖10為根據(jù)本發(fā)明的實(shí)施方式的串聯(lián)連接和并聯(lián)連接的自主控制系統(tǒng)。

圖11為根據(jù)本發(fā)明的實(shí)施方式的包括通信總線的自主控制系統(tǒng)。

圖12為根據(jù)本發(fā)明的實(shí)施方式的包括半導(dǎo)體多芯片模塊的自主控制系統(tǒng)。

圖13為根據(jù)本發(fā)明的實(shí)施方式的在外部安裝在插入式pcb上的自主控制系統(tǒng)。

圖14為示出根據(jù)本發(fā)明的實(shí)施方式的自主控制系統(tǒng)的防篡改特征的流程圖。

圖15示出根據(jù)本發(fā)明的實(shí)施方式的使用自主控制系統(tǒng)作為對(duì)于用于安全協(xié)同處理的主機(jī)cpu的系統(tǒng)服務(wù)的工序流程。

具體實(shí)施方式

電子系統(tǒng)、機(jī)械系統(tǒng)、化學(xué)系統(tǒng)和生物系統(tǒng)可以具有可導(dǎo)致嚴(yán)重故障的狀態(tài)或狀態(tài)序列。這類致命狀態(tài)可以從內(nèi)部的自然力量、外部的偶發(fā)力量、或外部的故意敵對(duì)力量發(fā)生。在工業(yè)系統(tǒng)中，在遠(yuǎn)程控制和監(jiān)控下的驅(qū)動(dòng)設(shè)備或系統(tǒng)可以具有已知的不利狀態(tài)，控制系統(tǒng)可以允許這些不利狀態(tài)作為故障、用戶失誤、或惡意或敵對(duì)行為的結(jié)果。驅(qū)動(dòng)設(shè)備可以接受并執(zhí)行這類命令或出界信號(hào)，導(dǎo)致整個(gè)相關(guān)系統(tǒng)承受來(lái)源于這類誘發(fā)狀態(tài)的損害、降級(jí)或自毀。例如，誘發(fā)的不利系統(tǒng)狀態(tài)可以為過(guò)快或過(guò)慢的處理速度、打開(kāi)得過(guò)遠(yuǎn)或關(guān)閉得過(guò)緊的閥門(mén)、或過(guò)高或過(guò)低的壓力或溫度。許多設(shè)備可能缺乏其自身的內(nèi)部保護(hù)措施以在物理上或電力上防止這些出界操作。

本文中所描述的系統(tǒng)和方法可以提供自主控制，該自主控制可以根據(jù)商業(yè)規(guī)則和/或安全規(guī)則來(lái)監(jiān)控并修改或阻斷輸入信號(hào)和/或輸出信號(hào)，從而保護(hù)系統(tǒng)關(guān)鍵部件。信號(hào)修改和/或阻斷可以確保多個(gè)設(shè)備或系統(tǒng)之間及其內(nèi)部的出界連接狀態(tài)不發(fā)生或僅在無(wú)關(guān)緊要的時(shí)間量?jī)?nèi)發(fā)生，以最小化或防止不期望的系統(tǒng)效應(yīng)。(連接狀態(tài)可以為在物理層級(jí)、在特定時(shí)刻的兩個(gè)或更多個(gè)設(shè)備或系統(tǒng)之間的任何受監(jiān)控的信號(hào)級(jí)或命令。例如，物理層可以為設(shè)備或系統(tǒng)的傳送原始信號(hào)的最低硬件層。)當(dāng)檢測(cè)到違反規(guī)則的信號(hào)時(shí)，自主控制系統(tǒng)(例如電路)可以通過(guò)在內(nèi)部切斷違反信號(hào)而阻斷違反信號(hào)。該電路反而可以不向受保護(hù)系統(tǒng)發(fā)送信號(hào)或向受保護(hù)系統(tǒng)發(fā)送失效保護(hù)信號(hào)，該受保護(hù)系統(tǒng)可以為在由自主控制系統(tǒng)保護(hù)下的任何設(shè)備或系統(tǒng)。該電路可以被配置成與遺留系統(tǒng)一起使用，例如通過(guò)被設(shè)計(jì)到系統(tǒng)升級(jí)中或被改裝到系統(tǒng)。

在本文中所描述的系統(tǒng)和方法可以包括一個(gè)或多個(gè)計(jì)算機(jī)，該計(jì)算機(jī)也可以被稱為處理器。計(jì)算機(jī)可以為能夠執(zhí)行算術(shù)操作和/或邏輯操作的任何一個(gè)或多個(gè)可編程機(jī)器。在一些實(shí)施方式中，計(jì)算機(jī)可以包括處理器、存儲(chǔ)器、數(shù)據(jù)存儲(chǔ)設(shè)備、和/或其它公知的或新型的部件?？梢栽谖锢砩匣蛘咄ㄟ^(guò)網(wǎng)絡(luò)或無(wú)線鏈路連接這些部件。計(jì)算機(jī)還可以包括可指導(dǎo)前文提及的部件的操作的軟件。計(jì)算機(jī)可以被稱為由相關(guān)領(lǐng)域中的普通技術(shù)人員常用的術(shù)語(yǔ)，諸如服務(wù)器、pc、移動(dòng)設(shè)備、路由器、交換機(jī)、數(shù)據(jù)中心、分布式計(jì)算機(jī)、或其它術(shù)語(yǔ)。計(jì)算機(jī)可以促進(jìn)多個(gè)用戶之間和/或其它計(jì)算機(jī)之間的通信、可以提供數(shù)據(jù)庫(kù)、可以執(zhí)行數(shù)據(jù)的分析和/或轉(zhuǎn)換、和/或執(zhí)行其它功能。將由普通技術(shù)人員所理解，在本文中所使用的那些術(shù)語(yǔ)為可互換的，以及可以使用能夠執(zhí)行所描述功能的任何計(jì)算機(jī)。計(jì)算機(jī)可以借助一個(gè)或多個(gè)網(wǎng)絡(luò)而彼此鏈接。網(wǎng)絡(luò)可以為任何多個(gè)完全或部分互連的計(jì)算機(jī)，其中，一些或全部計(jì)算機(jī)能夠彼此通信。將由普通技術(shù)人員所理解，計(jì)算機(jī)之間的連接在一些情況下可以為有線的(例如，借助以太網(wǎng)連接、同軸連接、光學(xué)連接、或其它有線連接)或可以為無(wú)線的(例如，借助wi-fi、wimax、或其它無(wú)線連接)。計(jì)算機(jī)之間的連接可以使用任何協(xié)議，包括面向連接協(xié)議(諸如tcp)或無(wú)連接協(xié)議(諸如udp)。至少兩個(gè)計(jì)算機(jī)可以交換數(shù)據(jù)所通過(guò)的任何連接可以為網(wǎng)絡(luò)的基礎(chǔ)。

圖1示出受保護(hù)系統(tǒng)100。受保護(hù)系統(tǒng)100可以與輸入設(shè)備102通信。輸入設(shè)備102可以將信號(hào)發(fā)送到受保護(hù)系統(tǒng)100和/或從受保護(hù)系統(tǒng)100接收信號(hào)。輸入設(shè)備例如可以為模擬或數(shù)字信號(hào)端口、控制旋鈕、觸摸顯示器、鍵盤(pán)、鼠標(biāo)、和/或一些其它外圍設(shè)備。輸入設(shè)備102還可以為用于受保護(hù)系統(tǒng)100或網(wǎng)絡(luò)上的設(shè)備的主機(jī)設(shè)備。自主控制系統(tǒng)104(其可以被稱為專用監(jiān)控和動(dòng)作設(shè)備(dmad))可以被放置成串聯(lián)在輸入設(shè)備102和受保護(hù)系統(tǒng)100之間和/或與輸入設(shè)備102和受保護(hù)系統(tǒng)100并聯(lián)。如下文更詳細(xì)地描述，自主控制系統(tǒng)104的各種實(shí)施方式可以包括配置成執(zhí)行軟件的電子電路、處理器和存儲(chǔ)器或其組合。自主控制系統(tǒng)104可以為內(nèi)在安全的(例如包括加密和防篡改能力)。自主控制系統(tǒng)104還可以被顯示為與輸入設(shè)備/主機(jī)102和受保護(hù)系統(tǒng)100之間在數(shù)據(jù)流的兩個(gè)方向上的數(shù)據(jù)連接串聯(lián)或并聯(lián)，從而自主控制系統(tǒng)104可以監(jiān)控去往受保護(hù)系統(tǒng)100的輸入信號(hào)和來(lái)自受保護(hù)系統(tǒng)100的輸出信號(hào)。

在一些實(shí)施方式中，自主控制系統(tǒng)104可以創(chuàng)建實(shí)施規(guī)則的決定性行進(jìn)條件。決定性行進(jìn)條件可以為在輸入的信號(hào)和即將到來(lái)的信號(hào)之間故意誘發(fā)的行進(jìn)條件，從而具有僅輸入的信號(hào)將影響輸出的高級(jí)確認(rèn)度。當(dāng)規(guī)則違反信號(hào)出現(xiàn)在去往或來(lái)自受保護(hù)系統(tǒng)100的數(shù)據(jù)總線上時(shí)，自主控制系統(tǒng)104可以全速行進(jìn)以檢測(cè)違規(guī)以及可以在內(nèi)部切斷信號(hào)且代替失效保護(hù)信號(hào)(如果串聯(lián)連接)或可以試圖修改該信號(hào)(如果并聯(lián)連接)。輸入的信號(hào)和/或輸出的信號(hào)可以被緩存以提供更多檢測(cè)時(shí)間以及確保僅僅通過(guò)驗(yàn)證的信號(hào)被自主控制系統(tǒng)104傳輸?shù)绞鼙Ｗo(hù)系統(tǒng)100，反之亦然。

在一些實(shí)施方式中，自主控制系統(tǒng)104可以在物理上被顯示在受保護(hù)系統(tǒng)100中或者在物理上以各種方式連接到受保護(hù)系統(tǒng)100或控制設(shè)備，上述各種方式諸如硅芯片疊加、集成電路封裝疊加、模塊化系統(tǒng)模塊疊加、光導(dǎo)纖維、射頻、導(dǎo)線、印制電路板線、量子糾纏、或者分子連接、熱連接、原子連接或化學(xué)連接。

在一些實(shí)施方式中，自主控制系統(tǒng)104可以包括物理接口，該物理接口串聯(lián)、并聯(lián)、或串聯(lián)和并聯(lián)連接在一個(gè)或多個(gè)設(shè)備或系統(tǒng)(例如輸入設(shè)備102和受保護(hù)系統(tǒng)100)之間。對(duì)于給定應(yīng)用和系統(tǒng)類型(諸如有機(jī)、電子、或射頻)，每種物理連接類型可以具有不同組的設(shè)計(jì)依據(jù)和權(quán)衡。例如，在電子系統(tǒng)中，可以評(píng)估電壓接口級(jí)別、信號(hào)集成度、驅(qū)動(dòng)強(qiáng)度、防篡改、和/或誘導(dǎo)的傳播延遲，以確定連接方法。

在一些實(shí)施方式中，自主控制系統(tǒng)104可以為具有加密的記憶存儲(chǔ)器和防篡改特征的計(jì)算機(jī)系統(tǒng)，該計(jì)算機(jī)系統(tǒng)可以被設(shè)計(jì)、被編程、和被放置成自主地對(duì)主機(jī)系統(tǒng)或設(shè)備實(shí)施特定的安全和商業(yè)規(guī)則。自主控制系統(tǒng)104可以包括多個(gè)部件，諸如處理邏輯、記憶存儲(chǔ)器、輸入/輸出緩沖器、通信端口、和/或重編程端口。自主控制系統(tǒng)104可以不斷地實(shí)時(shí)分析任何數(shù)量的設(shè)備或系統(tǒng)之間的連接狀態(tài)以及可以實(shí)施預(yù)定的商業(yè)和安全規(guī)則。當(dāng)檢測(cè)到出界狀態(tài)時(shí)，自主控制系統(tǒng)104可以阻斷、推翻禁止的連接狀態(tài)，或?qū)⒔沟倪B接狀態(tài)改變?yōu)橐阎牧己脿顟B(tài)。類似方法可以應(yīng)用于例如電系統(tǒng)、光學(xué)系統(tǒng)、機(jī)電系統(tǒng)、電磁系統(tǒng)、熱系統(tǒng)、生物系統(tǒng)、化學(xué)系統(tǒng)、分子系統(tǒng)、重力系統(tǒng)、原子系統(tǒng)、或量子力學(xué)系統(tǒng)。

在一些實(shí)施方式中，自主控制系統(tǒng)104可以包括可編程設(shè)備，該可編程設(shè)備可以被編程為自主地響應(yīng)于刺激而確定性地運(yùn)轉(zhuǎn)。例如，自主控制系統(tǒng)104可以包括現(xiàn)場(chǎng)可編程門(mén)陣列(fpga)、微控制器(mcu)、微處理器(mpu)、軟件定義無(wú)線電、電光設(shè)備、量子計(jì)算設(shè)備、有機(jī)化合物、可編程物質(zhì)、或可編程生物病毒。自主控制系統(tǒng)104可以直接連接到受保護(hù)系統(tǒng)100或連接到運(yùn)行在受保護(hù)系統(tǒng)100上的一個(gè)或多個(gè)控制設(shè)備。自主控制系統(tǒng)104可以在物理上被連接，諸如通過(guò)硅芯片疊加、集成電路封裝疊加、模塊化系統(tǒng)模塊疊加、光導(dǎo)纖維、射頻、導(dǎo)線、印制電路板線、量子糾纏、分子方式、熱方式、原子方式、或化學(xué)方式。

在一些實(shí)施方式中，自主控制系統(tǒng)104可以與受保護(hù)系統(tǒng)100存儲(chǔ)器分離而安全地存儲(chǔ)數(shù)據(jù)(諸如加密證書(shū)或系統(tǒng)日志)，從而僅可以利用更強(qiáng)大的認(rèn)證方法和訪問(wèn)控制(相比于受保護(hù)系統(tǒng)100所提供的)來(lái)訪問(wèn)或修改該數(shù)據(jù)。例如，自主控制系統(tǒng)104可以被計(jì)算機(jī)系統(tǒng)用來(lái)實(shí)施安全評(píng)分方法(例如，自主控制系統(tǒng)104可以被用于存儲(chǔ)安全證書(shū)和需求信息)。此外，安全評(píng)分方法可以利用自主控制系統(tǒng)104來(lái)基于安全評(píng)分信息確認(rèn)/驗(yàn)證、認(rèn)證和授權(quán)外部資源。例如，所存儲(chǔ)的數(shù)據(jù)可以用于驗(yàn)證與其它系統(tǒng)結(jié)合的安全集成度。

在一些實(shí)施方式中，自主控制系統(tǒng)104可以用于實(shí)現(xiàn)電子系統(tǒng)的內(nèi)部的電子加密的公鑰基礎(chǔ)設(shè)施(pki)以確保內(nèi)部系統(tǒng)部件、數(shù)據(jù)和/或外部連接設(shè)備的集成度和真實(shí)性。此外，這些證書(shū)可以被用于安全通信，確保消息的可信度、集成度、和/或真實(shí)性。例如，實(shí)現(xiàn)和實(shí)施電子加密pki的自主控制系統(tǒng)104可以包括只讀存儲(chǔ)器(rom)分區(qū)，該只讀存儲(chǔ)器(rom)分區(qū)包含在系統(tǒng)的初始制造期間可編程的公鑰或全局唯一標(biāo)識(shí)符(guid)。然后可以在自主控制系統(tǒng)104首次啟動(dòng)時(shí)通過(guò)自主控制系統(tǒng)104在內(nèi)部生成私鑰，例如使用業(yè)內(nèi)標(biāo)準(zhǔn)加密方法，諸如rsa和x.509證書(shū)。然后可以使用該私鑰來(lái)生成證書(shū)請(qǐng)求，該證書(shū)請(qǐng)求由制造商的證書(shū)認(rèn)證機(jī)構(gòu)(ca)或批準(zhǔn)的第三方ca來(lái)簽署。然后可以將簽署的證書(shū)安全地存儲(chǔ)在自主控制系統(tǒng)104的rom上。然后可以使用該證書(shū)來(lái)實(shí)現(xiàn)數(shù)據(jù)的數(shù)字簽名和加密/解密。實(shí)現(xiàn)電子加密pki的自主控制系統(tǒng)104可以被改裝到未實(shí)現(xiàn)電子加密pki的受保護(hù)系統(tǒng)100中，從而添加這類能力。這可以具有如下益處：使私鑰存儲(chǔ)在受保護(hù)系統(tǒng)100不可訪問(wèn)的位置上用以增加安全性。

在一些實(shí)施方式中，自主控制系統(tǒng)104可以與電子加密pki一起使用以確認(rèn)內(nèi)部受保護(hù)系統(tǒng)100部件為真實(shí)的，以及其它(內(nèi)部受保護(hù)系統(tǒng)100和/或外部輸入設(shè)備102)部件也能夠?qū)崿F(xiàn)pki，從而可以交換、存儲(chǔ)和認(rèn)證公鑰。如果利用偽造版本篡改和替換實(shí)現(xiàn)pki的受保護(hù)系統(tǒng)100或輸入設(shè)備102部件，則自主控制系統(tǒng)104可以能夠檢測(cè)偽造品，這是因?yàn)閭卧斓脑O(shè)備簽名可能是不存在的或與原始的設(shè)備簽名不同的。

在一些實(shí)施方式中，自主控制系統(tǒng)104可以利用加密方法(諸如pki)來(lái)確保受保護(hù)系統(tǒng)100和其它(例如外部輸入設(shè)備102)系統(tǒng)部件內(nèi)的數(shù)據(jù)集成度。自主控制系統(tǒng)還可以實(shí)現(xiàn)確保還未以任何方式改變數(shù)據(jù)的加密方法。此外，可以保證數(shù)據(jù)的真實(shí)性，因?yàn)閿?shù)據(jù)的發(fā)起者可以被證明或確認(rèn)。例如，自主控制系統(tǒng)104可以使用外圍設(shè)備的公鑰來(lái)加密意圖用于外圍設(shè)備的消息并驗(yàn)證從外圍設(shè)備接收的消息。

在一些實(shí)施方式中，自主控制系統(tǒng)104可以實(shí)現(xiàn)電子加密pki，以及還可以通過(guò)生成虛擬系統(tǒng)(或其部件)的加密簽署的散列值并存儲(chǔ)那些散列值來(lái)保證虛擬機(jī)和/或虛擬層(通常被稱為“虛擬系統(tǒng)”)的集成度和真實(shí)性。然后自主控制系統(tǒng)104可以通過(guò)重新計(jì)算散列值并將其與存儲(chǔ)值相比較來(lái)驗(yàn)證虛擬系統(tǒng)的真實(shí)性和集成度。此外，自主控制系統(tǒng)104可以一直、在預(yù)定的或隨機(jī)的時(shí)間段、和/或在預(yù)定的或隨機(jī)的持續(xù)時(shí)間內(nèi)仿真受保護(hù)系統(tǒng)100，使得所接收的任何命令不到達(dá)受保護(hù)系統(tǒng)100，從而防止對(duì)受保護(hù)系統(tǒng)100的影響。該操作模式可以用于測(cè)試或用于向攻擊者給出在實(shí)際上從未在受保護(hù)系統(tǒng)100處驅(qū)動(dòng)惡意企圖時(shí)的攻擊成功的印象。自主控制系統(tǒng)104可以包括進(jìn)攻性措施，該進(jìn)攻性措施可以在檢測(cè)到禁止的連接狀態(tài)、命令和/或命令序列時(shí)抵消威脅。例如，如果在usb端口上檢測(cè)到未授權(quán)的連接，則自主控制系統(tǒng)104可以將信號(hào)輸入usb外圍輸入設(shè)備102中以破壞或抵消該未授權(quán)的連接。

在一些實(shí)施方式中，自主控制系統(tǒng)104可以為集成電路芯片上的電子電路設(shè)計(jì)，該集成電路芯片可以以如下這類方式串聯(lián)連接到控制設(shè)備中的第二集成電路芯片的物理接口：對(duì)系統(tǒng)性能和功能具有微不足道的影響。同時(shí)，第一集成電路芯片可以能夠禁止與第二集成電路芯片的某些連接狀態(tài)。該連接狀態(tài)可以為給定時(shí)刻的兩個(gè)設(shè)備之間的每個(gè)連接點(diǎn)上的信號(hào)級(jí)，諸如每個(gè)數(shù)字i/o連接上的電壓級(jí)?？商孢x地，電子設(shè)備可以被插入在或添加到信號(hào)接口上，該信號(hào)接口可以包括對(duì)一個(gè)或多個(gè)電子設(shè)備或系統(tǒng)之間的一些或全部信號(hào)級(jí)或狀態(tài)的外部恒定監(jiān)控、以及確保設(shè)備或系統(tǒng)之間的出界信號(hào)狀態(tài)不發(fā)生或僅在無(wú)關(guān)緊要的時(shí)間量?jī)?nèi)發(fā)生(從而不期望的系統(tǒng)效應(yīng)將不發(fā)生)的動(dòng)作。實(shí)現(xiàn)該方法的電子設(shè)備可以串聯(lián)、并聯(lián)、或串聯(lián)和并聯(lián)連接在一個(gè)或多個(gè)設(shè)備或系統(tǒng)之間，以及可以獨(dú)立地或與外部監(jiān)控和控制(包括利用計(jì)算機(jī)實(shí)現(xiàn)的安全評(píng)分方法)一起運(yùn)行。

在一些實(shí)施方式中，自主控制系統(tǒng)104可以操作成基于硬件的串聯(lián)“中間人”(mitm)。受保護(hù)系統(tǒng)100和輸入設(shè)備102(例如外圍設(shè)備)之間的通信可以正常地繼續(xù)，直到自主控制系統(tǒng)104的監(jiān)控邏輯檢測(cè)到預(yù)編程的禁止的信號(hào)模式、數(shù)據(jù)封裝、或?qū)π盘?hào)線的訪問(wèn)嘗試。當(dāng)檢測(cè)到禁止的信號(hào)時(shí)，自主控制系統(tǒng)104可以通過(guò)選擇替選的信號(hào)總線(或中斷總線)而完全禁用主要信號(hào)總線。該替選的信號(hào)總線可以用于記錄外圍設(shè)備、中斷外圍設(shè)備、或與外圍設(shè)備的全部斷開(kāi)?？梢赃x擇替選的信號(hào)總線，同時(shí)保持與受保護(hù)系統(tǒng)100的通信，例如為了通知受保護(hù)系統(tǒng)100其受到攻擊。例如，自主控制系統(tǒng)104可以通過(guò)使用內(nèi)部參數(shù)化多路復(fù)用器例示來(lái)保持該通信，該例示的通道選擇線由專用的監(jiān)控和動(dòng)作邏輯控制，該專用的監(jiān)控和動(dòng)作邏輯被編程到受保護(hù)系統(tǒng)100中。

圖2示出包括處理器200和存儲(chǔ)器202的自主控制系統(tǒng)104的實(shí)施方式，該自主控制系統(tǒng)104與輸入設(shè)備102(未示出)和受保護(hù)系統(tǒng)100(未示出)串聯(lián)布置。處理器200可以在節(jié)點(diǎn)204上接收輸入信號(hào)，該節(jié)點(diǎn)204可以連接到輸入設(shè)備102。處理器可以在節(jié)點(diǎn)206上生成輸出信號(hào)，該節(jié)點(diǎn)206可以被路由到受保護(hù)系統(tǒng)100。存儲(chǔ)器202可以存儲(chǔ)禁止的輸入信號(hào)狀態(tài)。處理器200可以將輸入信號(hào)與禁止的輸入信號(hào)狀態(tài)相比較且可以產(chǎn)生匹配信號(hào)或不匹配信號(hào)。響應(yīng)于不匹配信號(hào)，可以將輸入信號(hào)供應(yīng)給受保護(hù)系統(tǒng)100。響應(yīng)于匹配信號(hào)，可以將替代輸入信號(hào)供應(yīng)給受保護(hù)系統(tǒng)100。該代替輸入信號(hào)可以為不引起對(duì)受保護(hù)系統(tǒng)100的損害的輸入信號(hào)。例如，指導(dǎo)受保護(hù)系統(tǒng)100的電機(jī)以其最高速度操作的對(duì)于受保護(hù)系統(tǒng)100的輸入可能不利于特定處理操作且不應(yīng)當(dāng)被允許。如果這類命令為來(lái)自輸入設(shè)備102的輸入，則自主控制系統(tǒng)104可以攔截信號(hào)并采取緊急動(dòng)作以防止未授權(quán)的狀態(tài)。在本示例中，自主控制系統(tǒng)104可以完全地控制速度選擇并將合適信號(hào)發(fā)送到受保護(hù)系統(tǒng)100，該受保護(hù)系統(tǒng)100保持先前授權(quán)的速度選擇。此外，自主控制系統(tǒng)104可以創(chuàng)建日志條目或發(fā)送嘗試未授權(quán)的連接狀態(tài)的警報(bào)。自主控制系統(tǒng)104的響應(yīng)可以取決于應(yīng)用且可以預(yù)先被編程。例如，自主控制系統(tǒng)104還可以被編程為停止物理過(guò)程而非保持當(dāng)前速度。

圖3為示出根據(jù)本發(fā)明的實(shí)施方式的控制方法的流程圖。該圖呈現(xiàn)了用于上文所討論的串聯(lián)的自主控制系統(tǒng)104實(shí)施方式的示例性流程圖。該示例性流程圖還可以應(yīng)用于下文所討論的附加的串聯(lián)的和/或并聯(lián)的自主控制系統(tǒng)104實(shí)施方式，這些實(shí)施方式可以包括或不包括圖2的處理器200和存儲(chǔ)器202。自主控制系統(tǒng)104可以監(jiān)控受保護(hù)系統(tǒng)100和輸入設(shè)備102之間的連接狀態(tài)1405。可以檢查狀態(tài)以確定該狀態(tài)是否出界1410(例如，來(lái)自上文圖2的示例的最大速度命令)。如果允許該狀態(tài)，則監(jiān)控可以正常地繼續(xù)1405。如果該狀態(tài)出界，則自主控制系統(tǒng)104可以采取抵抗該狀態(tài)的動(dòng)作1415(例如，通過(guò)將速度設(shè)置為比所命令速度低的速度或通過(guò)指示受保護(hù)系統(tǒng)100保持其當(dāng)前速度)。自主控制系統(tǒng)104可以確定其介入是否將受保護(hù)系統(tǒng)100設(shè)置到或還原到可接受狀態(tài)1420。例如，自主控制系統(tǒng)104可以確定電機(jī)是否實(shí)際上已恢復(fù)到較低速度而無(wú)損害。如果受保護(hù)系統(tǒng)100是好的，則監(jiān)控可以正常地繼續(xù)1405。然而，在一些情況下，可能無(wú)法將受保護(hù)系統(tǒng)100恢復(fù)到可接受狀態(tài)。例如，如果受保護(hù)系統(tǒng)100為一把鎖，且在自主控制系統(tǒng)104可以介入之前(例如，在并聯(lián)布置(諸如下文關(guān)于圖7所描述的并聯(lián)布置)中)該受保護(hù)系統(tǒng)100接收到開(kāi)鎖命令，則受該鎖控制的門(mén)可以已打開(kāi)。再次鎖上該鎖將不符合該條件。在該情況下，可以使受保護(hù)系統(tǒng)100與進(jìn)一步外部輸入隔離，以及可以產(chǎn)生警報(bào)1425。

圖4為根據(jù)本發(fā)明的實(shí)施方式的與在受保護(hù)系統(tǒng)100和輸入設(shè)備102之間的串聯(lián)接口連接的自主控制系統(tǒng)104的框圖。該實(shí)施方式可以類似于上文所討論的圖2的實(shí)施方式起作用，但是在自主控制系統(tǒng)104內(nèi)可以具有除了處理器200和存儲(chǔ)器202以外和/或代替處理器200和存儲(chǔ)器202的其它元件。在本示例中，自主控制系統(tǒng)104可以包括可編程邏輯器件(pld)或提供監(jiān)控邏輯140的其它設(shè)備(例如電路、處理器等)。監(jiān)控邏輯140通?？梢酝ㄟ^(guò)雙向多路復(fù)用器(mux)160而在受保護(hù)系統(tǒng)100和外圍設(shè)備102之間傳遞所有信號(hào)。相同的信號(hào)也可以被送入提供控制邏輯150的監(jiān)控和動(dòng)作電路，該監(jiān)控和動(dòng)作電路可以為提供監(jiān)控邏輯140的pld、電路、或處理器的一部分，或者可以與監(jiān)控邏輯140分離(例如單獨(dú)的pld、電路、處理器等)。在本圖中繪制的實(shí)施方式為自主控制系統(tǒng)104的基于硬件的串聯(lián)“中間人”(mitm)實(shí)現(xiàn)方式。在本實(shí)施方式中，受保護(hù)系統(tǒng)100和外圍設(shè)備102之間的通信可以正常地繼續(xù)，直到監(jiān)控邏輯140檢測(cè)到預(yù)編程的禁止的信號(hào)模式、數(shù)據(jù)封裝、或?qū)π盘?hào)線的訪問(wèn)嘗試。當(dāng)檢測(cè)到禁止的信號(hào)時(shí)，自主控制系統(tǒng)104中的控制邏輯150可以通過(guò)選擇替選的內(nèi)部i/o總線(或中斷總線)來(lái)記錄外圍設(shè)備102、中斷外圍設(shè)備102、或與外圍設(shè)備102的全部斷開(kāi)而完全禁用主要外圍設(shè)備i/o總線?？梢栽谧灾骺刂葡到y(tǒng)104中實(shí)現(xiàn)該方法，同時(shí)保持與受保護(hù)系統(tǒng)100的通信以通知受保護(hù)系統(tǒng)100其受到攻擊。自主控制系統(tǒng)104可以通過(guò)使用內(nèi)部參數(shù)化多路復(fù)用器例示來(lái)保持該通信，該例示的通道選擇線由專用的監(jiān)控和動(dòng)作邏輯控制，該專用的監(jiān)控和動(dòng)作邏輯被編程到受保護(hù)系統(tǒng)100中。

圖4的自主控制系統(tǒng)104可以在物理層串聯(lián)在受保護(hù)系統(tǒng)100的cpu和所連接外圍設(shè)備102之間，該所連接外圍設(shè)備102可以在受保護(hù)系統(tǒng)100的內(nèi)部或外部。通信總線可以穿過(guò)包括監(jiān)控邏輯140和mux160的自主控制系統(tǒng)104，該mux160被編程為檢測(cè)違反對(duì)于給定應(yīng)用的規(guī)則的信號(hào)。當(dāng)檢測(cè)到這類信號(hào)時(shí)，自主控制系統(tǒng)104可以阻止這些信號(hào)到達(dá)受保護(hù)系統(tǒng)100或至少阻止這些信號(hào)在受保護(hù)系統(tǒng)100處堅(jiān)持達(dá)一定時(shí)長(zhǎng)，該時(shí)長(zhǎng)對(duì)于過(guò)程為不期望的。在圖4的示例中，總線a通?？梢源┻^(guò)受保護(hù)系統(tǒng)100的cpu和外圍設(shè)備102之間的自主控制系統(tǒng)104，并攜帶去往受保護(hù)系統(tǒng)100的cpu的信號(hào)和來(lái)自受保護(hù)系統(tǒng)100的cpu的信號(hào)。在如此做時(shí)，總線a可以穿過(guò)自主控制系統(tǒng)104的輸出多路復(fù)用器。是總線a還是總線b到達(dá)受保護(hù)系統(tǒng)100可以由多路復(fù)用器的“s0”控制端口來(lái)確定。當(dāng)s0端口為邏輯0時(shí)，總線a可以穿過(guò)。當(dāng)s0端口為邏輯1時(shí)，總線b可以穿過(guò)?？偩€b的每條線的值可以受自主控制系統(tǒng)104的狀態(tài)機(jī)控制邏輯150控制，該狀態(tài)機(jī)控制邏輯150可以被配置成實(shí)施規(guī)則。在本示例中，當(dāng)總線a的所有線為高時(shí)，s0可以堅(jiān)持為邏輯1。作為響應(yīng)，4輸入與(and)門(mén)可以撥動(dòng)s0以切換到總線b。與門(mén)可以為硬件門(mén)，以及通過(guò)硬件與門(mén)的傳播時(shí)間可以為納秒級(jí)，因此可以執(zhí)行接近即時(shí)的切換。也可以借助供給s0的2輸入or門(mén)、直接通過(guò)自主控制系統(tǒng)104的狀態(tài)機(jī)控制邏輯150控制s0。自主控制系統(tǒng)104的多個(gè)實(shí)例可以被插入受保護(hù)系統(tǒng)100的輸入和/或輸出和輸入設(shè)備102之間以對(duì)各種接口實(shí)施各種規(guī)則。

在圖4中還示出了可以存儲(chǔ)和加密數(shù)據(jù)的安全存儲(chǔ)器。該存儲(chǔ)器可以被用作自主控制系統(tǒng)104對(duì)主機(jī)cpu的系統(tǒng)服務(wù)和/或可以包含與主機(jī)cpu隔離的數(shù)據(jù)，諸如可從安全應(yīng)用程序或外圍設(shè)備讀出的規(guī)則違反事件的日志。

在圖4的示例中繪制的自主控制系統(tǒng)104可以以串聯(lián)接口來(lái)布置，該串聯(lián)接口使用具有如下特征的可編程邏輯器件：對(duì)于受監(jiān)控線的通過(guò)自主控制系統(tǒng)104的誘發(fā)的信號(hào)傳播延遲對(duì)于系統(tǒng)時(shí)序要求是可忽略的。自主控制系統(tǒng)104中的pld可以包括常規(guī)“穿過(guò)”模式，該模式增加少量的傳播延遲，例如大約二十納秒的延遲。所增加的延遲對(duì)于許多系統(tǒng)可以是無(wú)關(guān)緊要的，因此可以不影響正常的系統(tǒng)操作。

在圖4的示例中繪制的自主控制系統(tǒng)104的串聯(lián)接口可以能夠部分地或完全地使受保護(hù)系統(tǒng)100與外圍設(shè)備102斷開(kāi)連接，以作為防篡改措施在電氣上隔離受保護(hù)系統(tǒng)100。然后自主控制系統(tǒng)104可以將任何攻擊性信號(hào)、防御性信號(hào)、或診斷/修復(fù)信號(hào)輸出到攻擊或故障外圍設(shè)備102，或僅僅保持狀態(tài)。

圖5為示出根據(jù)本發(fā)明的實(shí)施方式的具有串聯(lián)接口的自主控制系統(tǒng)104的防止未授權(quán)的連接狀態(tài)的操作的示意圖。自主控制系統(tǒng)104可以被放置在速度選擇輸入設(shè)備(外圍設(shè)備102)和驅(qū)動(dòng)設(shè)備(受保護(hù)系統(tǒng)100)之間，該驅(qū)動(dòng)設(shè)備接受二進(jìn)制編碼的速度以應(yīng)用于物理過(guò)程。自主控制系統(tǒng)104可以包括監(jiān)控邏輯140，該監(jiān)控邏輯140監(jiān)控輸入并將輸入傳遞到多路復(fù)用器(mux)或開(kāi)關(guān)160。如果輸入被允許，則這些輸入可以從mux160前進(jìn)到受保護(hù)系統(tǒng)100。如果輸入不被允許，則狀態(tài)機(jī)監(jiān)控和控制動(dòng)作邏輯150反而可以介入并引起mux160將由狀態(tài)機(jī)監(jiān)控和控制動(dòng)作邏輯150生成的輸出傳遞到受保護(hù)系統(tǒng)100。在本示例中，最高速度(用二進(jìn)制“1111”表示)不利于特定處理操作且不應(yīng)當(dāng)被允許。圖5中繪制的設(shè)備可以被調(diào)整為監(jiān)控大量連接狀態(tài)并對(duì)其起作用，這些連接狀態(tài)編碼多種多樣的不同功能。例如，本示例中的自主控制系統(tǒng)104還可以被編程為防止未授權(quán)的速度選擇序列，諸如從最低允許速度立即跳到最高允許速度。自主控制系統(tǒng)104邏輯可以為專用的，因此盡管“1111”在本示例中為禁止輸入，但是在其它實(shí)施方式中可以禁止其它輸入。對(duì)于自主控制系統(tǒng)104的輸入受限于本示例的4位實(shí)施方式。

在圖5.1中，速度選擇總線連續(xù)地使信號(hào)穿過(guò)自主控制系統(tǒng)104以及借助自主控制系統(tǒng)104的“總線開(kāi)關(guān)”到達(dá)驅(qū)動(dòng)設(shè)備上。在控制總線開(kāi)關(guān)的這個(gè)示例中，自主控制系統(tǒng)104可以監(jiān)控用于可編程的未授權(quán)速度(連接狀態(tài))的速度選擇總線并采取預(yù)編程的動(dòng)作。在圖5.1中，所選速度為授權(quán)速度，因此自主控制系統(tǒng)104允許該選擇傳遞到驅(qū)動(dòng)設(shè)備。

圖5.2繪制了非故意地或惡意地通過(guò)輸入設(shè)備102傳輸?shù)阶灾骺刂葡到y(tǒng)104的針對(duì)速度的未授權(quán)的信號(hào)“1111”。自主控制系統(tǒng)104可以攔截該信號(hào)并采取緊急動(dòng)作來(lái)防止未授權(quán)的狀態(tài)。在本示例中，自主控制系統(tǒng)104可以包括用于撥動(dòng)總線開(kāi)關(guān)的預(yù)編程動(dòng)作邏輯，從而自主控制系統(tǒng)104完全控制速度選擇并將合適信號(hào)發(fā)送到受保護(hù)系統(tǒng)100，該受保護(hù)系統(tǒng)100保持先前授權(quán)的速度選擇。此外，自主控制系統(tǒng)104可以創(chuàng)建日志條目或發(fā)送嘗試未授權(quán)的連接狀態(tài)的警報(bào)。自主控制系統(tǒng)104的響應(yīng)可以取決于應(yīng)用且可以預(yù)先被編程。例如，自主控制系統(tǒng)104還可以被編程為停止物理過(guò)程而非保持當(dāng)前速度。

圖5.3示出了，當(dāng)輸入設(shè)備102被用戶或控制系統(tǒng)重新調(diào)整為選擇授權(quán)速度時(shí)，自主控制系統(tǒng)104邏輯可以通過(guò)將總線開(kāi)關(guān)撥回到默認(rèn)的穩(wěn)態(tài)位置而將控制切換回輸入設(shè)備102。

圖6示出了類似于圖5的實(shí)施方式的自主控制系統(tǒng)104的實(shí)施方式，但是處理器200和存儲(chǔ)器202代替硬件邏輯。在本實(shí)施方式中，可以借助鏈路300將節(jié)點(diǎn)204上的輸入信號(hào)路由到存儲(chǔ)器200。處理器200可以將輸入信號(hào)與存儲(chǔ)在存儲(chǔ)器202中的禁止的輸入信號(hào)狀態(tài)相比較且產(chǎn)生匹配信號(hào)或不匹配信號(hào)。處理器200可以在線路302上產(chǎn)生選擇信號(hào)，該選擇信號(hào)可以控制mux304。在不匹配信號(hào)的情況下，選擇信號(hào)可以允許線路204上的信號(hào)穿過(guò)多路復(fù)用器304到達(dá)受保護(hù)系統(tǒng)100。在匹配信號(hào)的情況下，可以將替代輸入信號(hào)應(yīng)用到線路306，以及線路302上的選擇信號(hào)可以使替代輸入信號(hào)穿過(guò)mux304。

圖7為根據(jù)本發(fā)明的實(shí)施方式的利用并聯(lián)接口連接到受保護(hù)系統(tǒng)100的、包括可編程邏輯器件(pld)的自主控制系統(tǒng)104的框圖?？梢越柚灾骺刂葡到y(tǒng)104中的pld的輸入或借助嵌入在自主控制系統(tǒng)104中的處理器來(lái)監(jiān)控受保護(hù)系統(tǒng)100的輸入和/或輸出。在圖5中所示的實(shí)施方式中，自主控制系統(tǒng)104可以利用并聯(lián)接口連接到受保護(hù)系統(tǒng)100以及可以包括至少一個(gè)雙向信號(hào)驅(qū)動(dòng)器，該至少一個(gè)雙向信號(hào)驅(qū)動(dòng)器可以監(jiān)控輸入、內(nèi)在地將狀態(tài)改變?yōu)檩敵?、以及引起中斷而無(wú)需額外連接。驅(qū)動(dòng)器可以聯(lián)接到監(jiān)控邏輯140，該監(jiān)控邏輯140監(jiān)控借助驅(qū)動(dòng)器的開(kāi)關(guān)160所接收的輸入。如果輸入被允許，則驅(qū)動(dòng)器可以保持其狀態(tài)。如果輸入不被允許，則動(dòng)作邏輯150可以將開(kāi)關(guān)160投向動(dòng)作總線輸出，動(dòng)作總線輸出可以為例如接地信號(hào)或高信號(hào)。如在上文描述的串聯(lián)接口示例中，受保護(hù)系統(tǒng)100和外圍設(shè)備102之間的通信可以正常地進(jìn)行，直到監(jiān)控邏輯檢測(cè)到未授權(quán)的信號(hào)模式、數(shù)據(jù)封裝、或訪問(wèn)嘗試。在并聯(lián)配置中，控制邏輯無(wú)法通過(guò)在替選i/o路徑中切換而在內(nèi)部重新路由或斷開(kāi)i/o總線，該替選i/o路徑用于記錄外圍設(shè)備102、中斷外圍設(shè)備102、或與外圍設(shè)備102的全部斷開(kāi)。而是，通過(guò)開(kāi)關(guān)160將去往受保護(hù)設(shè)備100的信號(hào)接地或設(shè)置為高。然而，并聯(lián)方法可以對(duì)具有通信速度和信號(hào)速度的非常高速的系統(tǒng)(例如操作在ghz范圍內(nèi)的系統(tǒng))有用，在該系統(tǒng)中可以不容許傳播延遲。此外，并聯(lián)的自主控制系統(tǒng)104可以需要比串聯(lián)接口更少的整體i/o連接，這是因?yàn)樵摬⒙?lián)的自主控制系統(tǒng)104不必使信號(hào)穿過(guò)其自身(對(duì)于每個(gè)輸入需要匹配輸出)。

圖8為利用并聯(lián)接口連接到受保護(hù)系統(tǒng)100的自主控制系統(tǒng)104的實(shí)施方式的框圖，該自主控制系統(tǒng)104包括連接到來(lái)自自主控制系統(tǒng)104的外圍設(shè)備總線的至少一個(gè)三態(tài)輸出端160(代替圖7的開(kāi)關(guān))，該至少一個(gè)三態(tài)輸出端160在被命令努力引起i/o中斷時(shí)可以撥到邏輯高或邏輯低。該三態(tài)輸出端可以用于不具有雙向i/o接口的自主控制系統(tǒng)104。

圖9為示出根據(jù)本發(fā)明的實(shí)施方式的具有并聯(lián)接口的電子自主控制系統(tǒng)104的操作的示意圖。自主控制系統(tǒng)104可以包括并聯(lián)接口，在此，輸入設(shè)備102和受保護(hù)設(shè)備100之間的信號(hào)不直接穿過(guò)自主控制系統(tǒng)104。而是，自主控制系統(tǒng)104可以分接具有電力高阻抗輸入的每條線路，以監(jiān)控輸入信號(hào)，如圖9.1所示。當(dāng)進(jìn)行未授權(quán)的輸入嘗試時(shí)，并聯(lián)的自主控制系統(tǒng)104可以通過(guò)將總線開(kāi)關(guān)撥到輸出總線而中斷未授權(quán)的輸入，該輸出總線具有適合于覆蓋主機(jī)總線的驅(qū)動(dòng)強(qiáng)度(電流陷落和供應(yīng))。在圖9.2的示例中，在內(nèi)部使速度_選擇_3線路接地可以防止其達(dá)到邏輯高狀態(tài)，該邏輯高狀態(tài)反過(guò)來(lái)選擇最高處理速度。在圖9.2中，自主控制系統(tǒng)104可以周期性地將總線開(kāi)關(guān)撥回到位置3以監(jiān)控來(lái)自輸入設(shè)備2的輸入，而沒(méi)有來(lái)自自主控制系統(tǒng)104的動(dòng)作總線輸出的干擾。當(dāng)自主控制系統(tǒng)104檢測(cè)到選擇授權(quán)的速度時(shí)，自主控制系統(tǒng)104可以移回到穩(wěn)態(tài)，如圖9.3所示。具有并聯(lián)接口的自主控制系統(tǒng)104可以不同時(shí)監(jiān)控信號(hào)，不像具有串聯(lián)接口的自主控制系統(tǒng)104那樣。

圖10為自主控制系統(tǒng)104利用串聯(lián)接口和并聯(lián)接口連接到受保護(hù)系統(tǒng)100的實(shí)施方式的框圖。串聯(lián)接口包括監(jiān)控邏輯140a、動(dòng)作邏輯150a、和開(kāi)關(guān)160a。并聯(lián)接口包括監(jiān)控邏輯140b、動(dòng)作邏輯150b、和開(kāi)關(guān)160b。在本實(shí)施方式中，當(dāng)特定通信路徑過(guò)快而不能在不降級(jí)正常系統(tǒng)操作的情況下串聯(lián)通過(guò)時(shí)，可以通過(guò)并聯(lián)接口處理那些路徑?？梢酝ㄟ^(guò)串聯(lián)接口處理較慢的路徑。

圖11為自主控制系統(tǒng)104(不管接口)包括在自主控制系統(tǒng)104和受保護(hù)系統(tǒng)100之間的通信總線170的實(shí)施方式的框圖。通信總線170可以包括如下功能：如果檢測(cè)到惡意的或未授權(quán)的意圖，則可選地標(biāo)記受保護(hù)系統(tǒng)100。通信總線還可以包括用于記錄、警報(bào)、或禁用至少一個(gè)外圍設(shè)備102的功能。此外，通信總線170可以自主地記錄事件并將這類事件上報(bào)給計(jì)算機(jī)實(shí)現(xiàn)的安全評(píng)分系統(tǒng)。

圖12為自主控制系統(tǒng)104包括半導(dǎo)體多芯片模塊的實(shí)施方式的圖，該半導(dǎo)體多芯片模塊可以包括在功能上以層疊體或平面陣列形式連接的至少兩個(gè)互連的處理器方塊。該模塊還可以包括插入板和/或粘合在單一半導(dǎo)體封裝內(nèi)部的直接導(dǎo)線，該單一半導(dǎo)體封裝直接安裝到印制電路板(pcb)。該布置可以使在視覺(jué)上難以檢測(cè)自主控制系統(tǒng)104，這可以提供抵抗惡意篡改的保護(hù)。

圖13為將自主控制系統(tǒng)104在外部安裝在插入式pcb上的實(shí)施方式的圖，該插入式pcb可以包括可以在功能上以層疊體形式布置在受保護(hù)系統(tǒng)100的上方或下方的自定義插口組件。在本實(shí)施方式中，自主控制系統(tǒng)104可以用于保護(hù)現(xiàn)有的cpu并使用為cpu制造的現(xiàn)有的主板和插口。該實(shí)現(xiàn)方式可以被稱為封裝疊加實(shí)現(xiàn)方式，這是因?yàn)槠渖婕斑B接兩個(gè)單獨(dú)封裝的部件以形成一體。

在一些實(shí)施方式中，自主控制系統(tǒng)104可以包括電子電路，該電子電路可以表面安裝在可包括受保護(hù)系統(tǒng)100的印制電路板(pcb)上。自主控制系統(tǒng)104可以使用例如一個(gè)或多個(gè)pcb印制線、懸空引線、同軸電纜、或光導(dǎo)纖維而操作性地連接到受保護(hù)系統(tǒng)100。

在一些實(shí)施方式中，自主控制系統(tǒng)104可以包括可操作性地安裝在受保護(hù)系統(tǒng)100上的模塊化可堆疊的單板-計(jì)算平臺(tái)。例如，該平臺(tái)可以為pc104、epic、ebx、raspberrypi、parallella、或類似的模塊化計(jì)算平臺(tái)。在本實(shí)施方式中，自主控制系統(tǒng)104可以包括模塊化承載體，該模塊化承載體可以附接到模塊化計(jì)算堆疊頭且執(zhí)行上文所描述的安保功能。這可以被稱為模塊疊加實(shí)現(xiàn)方式。

圖14為示出根據(jù)本發(fā)明的實(shí)施方式的自主控制系統(tǒng)104的防篡改特征的流程圖。如上所述，可以存儲(chǔ)數(shù)據(jù)以實(shí)現(xiàn)自主控制系統(tǒng)104的加密防篡改檢查。周期性地或基于用戶請(qǐng)求，可以發(fā)起防篡改檢查1305。自主控制系統(tǒng)104可以利用私鑰簽署去往與自主控制系統(tǒng)104通信的系統(tǒng)(即執(zhí)行自主控制系統(tǒng)104的檢查的系統(tǒng))的消息1310。執(zhí)行檢查的系統(tǒng)可以嘗試驗(yàn)證簽名1315。如果簽名為無(wú)效的，則可以生成指示自主控制系統(tǒng)104可能已被篡改的警報(bào)1320。如果簽名為有效的，則執(zhí)行檢查的系統(tǒng)可以利用私鑰簽署消息1325。自主控制系統(tǒng)104可以嘗試驗(yàn)證簽名1330。如果簽名為無(wú)效的，則可以生成指示執(zhí)行檢查的系統(tǒng)可能已被篡改的警報(bào)1335。如果簽名為有效的，則篡改檢查可以被宣布全部安全(即，檢查系統(tǒng)和自主控制系統(tǒng)104二者均免于篡改)1340。因此，自主控制系統(tǒng)104可以檢查另一系統(tǒng)且被該系統(tǒng)檢查以提供互相安全性。

圖15示出根據(jù)本發(fā)明的實(shí)施方式的使用自主控制系統(tǒng)104作為對(duì)于用于安全協(xié)同處理的主機(jī)cpu的系統(tǒng)服務(wù)的工序流程。上述針對(duì)自主控制系統(tǒng)104所描述的架構(gòu)還可以實(shí)現(xiàn)安全處理作為對(duì)于主機(jī)cpu的系統(tǒng)服務(wù)，這是因?yàn)樽灾骺刂葡到y(tǒng)104的處理器可以具有自主控制系統(tǒng)的多種例示。在本實(shí)施方式中，自主控制系統(tǒng)104可以接收指令1505。自主控制系統(tǒng)104可以將如簡(jiǎn)化的所接收指令(例如來(lái)自輸入設(shè)備102)與編譯器的機(jī)器語(yǔ)言或操作碼相比較1510以找到與存在于存儲(chǔ)器中的預(yù)編程操作碼的匹配，該存儲(chǔ)器與自主控制系統(tǒng)104存儲(chǔ)器子系統(tǒng)相關(guān)聯(lián)。如果存在匹配，則自主控制系統(tǒng)104可以執(zhí)行操作碼的預(yù)編程功能1515，以及受保護(hù)系統(tǒng)100可以不接收該操作碼。自主控制系統(tǒng)104可以訪問(wèn)安全存儲(chǔ)器1520并返回結(jié)果1525?？商孢x地，如果不存在與在自主控制系統(tǒng)104的預(yù)編程存儲(chǔ)器內(nèi)的所接收的操作碼的匹配，則可以將操作碼傳遞到受保護(hù)系統(tǒng)100用以執(zhí)行1530，以及受保護(hù)系統(tǒng)100可以返回結(jié)果1535。在輸入設(shè)備102上執(zhí)行的專門(mén)設(shè)計(jì)成與自主控制系統(tǒng)104一起工作的軟件應(yīng)用程序可以被要求包含自主控制系統(tǒng)104的專用操作碼或指令集以訪問(wèn)自主控制系統(tǒng)104的安全協(xié)同處理能力。例如，如果這類自主控制系統(tǒng)104專用的操作碼或一系列操作碼將要請(qǐng)求數(shù)據(jù)集上的加密簽名，則處理器200可以通過(guò)首先對(duì)數(shù)據(jù)集執(zhí)行加密散列而進(jìn)行響應(yīng)。然后處理器200可以使用其私鑰(存儲(chǔ)在安全存儲(chǔ)器202中)以數(shù)字方式簽署散列數(shù)據(jù)集，以及然后借助輸入設(shè)備102將簽署的數(shù)據(jù)集返回到自主控制系統(tǒng)104專用應(yīng)用程序，該專用應(yīng)用程序已生成了討論中的操作碼。

盡管上文已描述了各種實(shí)施方式，但是應(yīng)當(dāng)理解，通過(guò)示例而非限制的方式呈現(xiàn)了這些實(shí)施方式。對(duì)于相關(guān)領(lǐng)域中的技術(shù)人員將顯而易見(jiàn)的是，在不脫離精神和范圍的情況下可以進(jìn)行各種形式和細(xì)節(jié)改變。事實(shí)上，在閱讀上文描述之后，對(duì)于相關(guān)領(lǐng)域中的技術(shù)人員將顯而易見(jiàn)的是如何實(shí)現(xiàn)替選實(shí)施方式。

此外，應(yīng)當(dāng)理解，僅出于示例目的呈現(xiàn)了突出功能和優(yōu)勢(shì)的任何附圖。所公開(kāi)的方法和系統(tǒng)均足夠靈活且可配置使得可以以所示出的方式以外的方式來(lái)利用這些方法和系統(tǒng)。

盡管術(shù)語(yǔ)“至少一個(gè)”可以經(jīng)常被用在說(shuō)明書(shū)、權(quán)利要求和附圖中，但是術(shù)語(yǔ)“一”、“該”、“所述”等在說(shuō)明書(shū)、權(quán)利要求和附圖中也表示“至少一個(gè)”或“該至少一個(gè)”。

最后，申請(qǐng)人的意圖是僅包括“用于...的方法”或“用于...的步驟”的表達(dá)語(yǔ)言的權(quán)利要求根據(jù)35u.s.c.112(f)來(lái)解釋。沒(méi)有明顯包括“用于...的部件”或“用于...的步驟”的短語(yǔ)的權(quán)利要求不根據(jù)35u.s.c.112(f)來(lái)解釋。