專利名稱:一種具有阻止入侵功能的數(shù)據(jù)處理器和嵌入式系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及信息安全技術(shù),特別涉及一種具有阻止入侵功能的數(shù)據(jù)處理器以及采用這種數(shù)據(jù)處理器的嵌入式系統(tǒng)。
背景技術(shù):
數(shù)據(jù)安全性在涉及敏感或保密信息的應(yīng)用領(lǐng)域始終是一個重要的考慮方面。一些嵌入式系統(tǒng),如金融終端、身份鑒別以及任何存儲口令和加密密鑰的系統(tǒng),都需要強有力的措施來保護它們的數(shù)據(jù)。另外,在諸如自動取款機(ATM)之類的應(yīng)用中,物理暴露的風(fēng)險尤其突出。
在嵌入式系統(tǒng)中引入安全機制的常見方法是提供一個包圍密鑰、程序和數(shù)據(jù)的加密邊界,并且在檢測到物理入侵和密碼入侵時,系統(tǒng)能迅速擦除所存儲的密鑰、程序和數(shù)據(jù)。例如Dallas半導(dǎo)體有限公司的安全微控制器DS5250提供了這樣的安全保護層,其利用片上溫度和電壓傳感器來檢測物理攻擊手段,當(dāng)工作電壓或溫度超出微控制器工作范圍時,即清除其內(nèi)部的存儲有機密數(shù)據(jù)的非易失靜態(tài)隨機訪問存儲器,從而防止攻擊者獲取密鑰數(shù)據(jù)。此外,為阻止對非易失靜態(tài)隨機訪問存儲器作微探針探測,在該微控制器的硅片頂層還設(shè)置一層超細(xì)網(wǎng)格,一旦網(wǎng)格線被短路,則觸發(fā)自毀操作,從而清除密鑰數(shù)據(jù)。有關(guān)安全微控制器DS5250的詳細(xì)描述可參見“DS5250 High-Speed Secure Microcontroller”(2006 MaximIntegrated Products◆Printed USA)一文,該文獻以全文引用方式包含在本說明書中。
隨著電子商務(wù)應(yīng)用領(lǐng)域的不斷拓展,對數(shù)據(jù)安全性的要求日益提高,因此應(yīng)當(dāng)考慮將更多的因素選作入侵響應(yīng)的檢測參數(shù)以有效阻止對安全系統(tǒng)的各種非法入侵。
發(fā)明內(nèi)容
本發(fā)明的一個目的是提供一種具有阻止入侵功能的數(shù)據(jù)處理器,其可提高數(shù)據(jù)的安全性。
本發(fā)明的上述目的通過以下技術(shù)方案實現(xiàn)一種具有阻止入侵功能的數(shù)據(jù)處理器,其中,包含一個第一襯底,包含一個第一表面;以及一個第二襯底,包含一個形成有一個電路系統(tǒng)并與所述第一表面接觸的第二表面,所述電路系統(tǒng)包含一個適于執(zhí)行數(shù)據(jù)處理過程的處理單元,包含存儲涉及所述數(shù)據(jù)處理過程的數(shù)據(jù)和/或程序的存儲元件;以及一個與所述處理單元耦合的入侵處理單元,適于在所述第一表面與第二表面分離時刪除所述存儲元件內(nèi)的數(shù)據(jù)和/或程序。
優(yōu)選地,在上述數(shù)據(jù)處理器中,所述存儲元件包含與所述入侵監(jiān)測單元耦合的復(fù)位控制端,所述入侵處理單元通過改變所述復(fù)位控制端的電平來刪除所述存儲元件內(nèi)的數(shù)據(jù)和/或程序。
優(yōu)選地,在上述數(shù)據(jù)處理器中,所述電路系統(tǒng)進一步包含一個與所述入侵處理單元耦合的電源控制單元,所述存儲元件采用易失性存儲器形式,所述入侵處理單元通過使所述電源控制單元停止向所述存儲元件供電來刪除其內(nèi)的數(shù)據(jù)和/或程序。
優(yōu)選地,在上述數(shù)據(jù)處理器中,進一步包括一個形成于所述第一表面或第二表面并與所述入侵處理單元耦合的入侵檢測單元,適于對所述第一表面與第二表面的接觸狀態(tài)進行檢測。
優(yōu)選地,在上述數(shù)據(jù)處理器中,所述第一表面與第二表面通過粘合、機械固定或焊接的方式互相接觸。
優(yōu)選地,在上述數(shù)據(jù)處理器中,所述入侵檢測單元采用下列檢測元件中的至少一種來檢測所述第一和第二襯底是否處于接觸狀態(tài)接觸傳感器、光傳感器和壓力傳感器。
優(yōu)選地,在上述數(shù)據(jù)處理器中,所述入侵處理單元進一步適于在所述第一表面受損時刪除所述存儲元件內(nèi)的數(shù)據(jù)和/或程序。
本發(fā)明的上述目的還可以通過下列技術(shù)方案實現(xiàn)
一種具有阻止入侵功能的數(shù)據(jù)處理器,其中,包含一個第一襯底,包含一個第一表面;以及一個第二襯底,包含一個形成有一個電路系統(tǒng)并與所述第一表面接觸的第二表面,所述電路系統(tǒng)包含一個適于執(zhí)行數(shù)據(jù)處理過程的處理單元,包含存儲涉及所述數(shù)據(jù)處理過程的數(shù)據(jù)和/或程序的存儲元件;以及一個與所述處理單元耦合的入侵處理單元,適于在所述第一表面受損時刪除所述存儲元件內(nèi)的數(shù)據(jù)和/或程序。
優(yōu)選地,在上述數(shù)據(jù)處理器中,所述入侵處理單元進一步適于在所述第一表面與第二表面分離時刪除所述存儲元件內(nèi)的數(shù)據(jù)和/或程序。
優(yōu)選地,在上述數(shù)據(jù)處理器中,進一步包括一個形成于所述第一表面或第二表面并與所述入侵處理單元耦合的入侵檢測單元,適于對所述第一表面的狀態(tài)進行檢測。
優(yōu)選地,在上述數(shù)據(jù)處理器中,所述第一襯底還包含一個與所述第一表面相對的第三表面,其上形成有導(dǎo)電網(wǎng)狀圖案,所述入侵檢測單元通過測量所述導(dǎo)電網(wǎng)狀圖案的阻值變化來檢測所述第一表面的狀態(tài)。
優(yōu)選地,在上述數(shù)據(jù)處理器中,所述處理單元包含一個內(nèi)部總線、通過所述內(nèi)部總線相連的一個微控制器內(nèi)核、一個通信接口單元、一個加密/解密引擎和一個內(nèi)部存儲器,在所述微控制器內(nèi)核的控制下,所述加密/解密引擎利用所述內(nèi)部存儲器內(nèi)存儲的密鑰信息對經(jīng)所述通信接口單元輸出至所述電路系統(tǒng)外部的信息執(zhí)行加密操作并對經(jīng)所述通信接口單元輸入的信息執(zhí)行解密操作。
或者,優(yōu)選地,在上述數(shù)據(jù)處理器中,所述處理單元包含一個內(nèi)部總線、通過所述內(nèi)部總線相連的一個微控制器內(nèi)核、一個通信接口單元、一個加密/解密引擎、一個內(nèi)部存儲器和一個智能卡驅(qū)動電路單元,所述智能卡驅(qū)動電路單元被配置為自適應(yīng)地向一個智能卡提供驅(qū)動電壓和時鐘信號,在所述微控制器內(nèi)核的控制下,所述加密/解密引擎利用所述內(nèi)部存儲器內(nèi)存儲的密鑰信息對經(jīng)所述通信接口單元和智能卡驅(qū)動電路單元輸出至所述電路系統(tǒng)外部的信息執(zhí)行加密操作并對經(jīng)所述通信接口單元和智能卡驅(qū)動電路單元輸入的信息執(zhí)行解密操作。
優(yōu)選地,在上述數(shù)據(jù)處理器中,所述入侵處理單元通過使所述微控制器內(nèi)核執(zhí)行一個子程序來刪除所述存儲元件內(nèi)的數(shù)據(jù)和/或程序。
優(yōu)選地,在上述數(shù)據(jù)處理器中,所述第一表面上形成有與所述電路系統(tǒng)配合工作的輔助電路。
本發(fā)明的另一個目的是提供一種嵌入式系統(tǒng),其可提高數(shù)據(jù)的安全性。
本發(fā)明的上述目的通過下列技術(shù)方案實現(xiàn)一種嵌入式系統(tǒng),其中,包含一個存儲器;一組輸入/輸出設(shè)備;一個處理器,包含一個第一襯底,包含一個第一表面;以及一個第二襯底,包含一個形成有一個電路系統(tǒng)并與所述第一表面接觸的第二表面,所述電路系統(tǒng)包含一個處理單元,適于與所述主處理器和輸入/輸出設(shè)備通信,并對輸出的信息進行加密操作和對輸入的信息進行解密操作,包含存儲涉及所述加密/解密操作的數(shù)據(jù)和/或程序的存儲元件;以及一個入侵處理單元,適于在所述第一表面與第二表面分離和/或所述第一表面受損時刪除所述存儲元件內(nèi)的數(shù)據(jù)和/或程序。
按照本發(fā)明,通過在存儲重要數(shù)據(jù)的數(shù)據(jù)處理芯片上層疊一塊芯片并對它們的接觸狀態(tài)以及所層疊芯片上表面的狀態(tài)進行檢測,可以更為有效地防止物理入侵,從而提高了數(shù)據(jù)的安全性。此外,本發(fā)明的數(shù)據(jù)處理器無需對現(xiàn)有處理器中涉及數(shù)據(jù)處理的內(nèi)部架構(gòu)進行改動,因此有利于降低成本和縮短開發(fā)周期。
附圖簡述本發(fā)明的上述和/或其它方面和優(yōu)點將通過以下結(jié)合附圖的各個方面的描述變得更加清晰和更容易理解,附圖包括
圖1為按照本發(fā)明一個實施例的數(shù)據(jù)處理器的剖面示意圖。
圖2為圖1所示數(shù)據(jù)處理器的第二襯底上的電路系統(tǒng)的一個實施例的架構(gòu)示意圖。
圖3為圖1所示電路系統(tǒng)內(nèi)的入侵處理單元的結(jié)構(gòu)示意圖。
圖4為圖1所示數(shù)據(jù)處理器的第二襯底上的電路系統(tǒng)的另一個圖5為圖4中的智能卡驅(qū)動電路單元的結(jié)構(gòu)框圖。
圖6為按照本發(fā)明另一個實施例的嵌入式系統(tǒng)的示意框圖。
圖7為按照本發(fā)明還有一個實施例的嵌入式系統(tǒng)的示意框圖。
具體實施例方式
在本發(fā)明中,術(shù)語“襯底”指的是具有可形成集成電路結(jié)構(gòu)的表面的任何結(jié)構(gòu),例如包括摻雜的和未摻雜的半導(dǎo)體、由基底半導(dǎo)體和絕緣體支撐的外延半導(dǎo)體以及本領(lǐng)域的技術(shù)人員所熟知的其它半導(dǎo)體結(jié)構(gòu)。在本發(fā)明中,襯底所選用的材料包括但不限于硅(Si)、鍺(Ge)、砷化鎵(GaAs)和碲化鎘(CdTe)等。在本發(fā)明中,將一塊形成有圖案或電路系統(tǒng)的襯底又稱為半導(dǎo)體芯片或晶片(die)。由于所形成的圖案可實現(xiàn)一定的電路功能,因此在本發(fā)明中,除非特別說明,襯底表面形成的圖案與術(shù)語電路系統(tǒng)和集成電路可互換使用。另外,對于本領(lǐng)域內(nèi)的技術(shù)人員來說,在閱讀了本發(fā)明的說明書后將會認(rèn)識到,采用現(xiàn)有的半導(dǎo)體工藝技術(shù)即可在襯底上形成下面將要作詳細(xì)描述的電路系統(tǒng)。
總之,本發(fā)明的精神和范圍不應(yīng)局限于具體的襯底結(jié)構(gòu)、材料類型和半導(dǎo)體工藝。
在本發(fā)明中,術(shù)語“物理入侵”指的是試圖通過突破一個數(shù)據(jù)處理系統(tǒng)的物理保護屏障來獲取敏感或機密信息的動作,例如通過腐蝕一個芯片的塑料封裝使芯片圖案暴露以獲取其機密信息,或者通過打開一個裝置的外殼來竊取其機密信息;術(shù)語“密碼入侵”指的是試圖通過突破一個數(shù)據(jù)處理系統(tǒng)的軟件保護屏障來獲取敏感或機密信息的動作,例如通過植入木馬程序來偵聽數(shù)據(jù)系統(tǒng)內(nèi)部的數(shù)據(jù)處理過程或者與外部設(shè)備的通信過程,或者通過假冒合法用戶與系統(tǒng)通信以誘騙其發(fā)送機密信息。
圖1為按照本發(fā)明一個實施例的數(shù)據(jù)處理器的剖面示意圖。如圖1所示,數(shù)據(jù)處理器100包含層疊在一起的第一襯底110和第二襯底120,它們的表面110a和120a處于相互接觸的狀態(tài)。值得指出的是,這里所謂的接觸,包括下列任何一種情形兩個襯底的整個或部分表面通過粘合劑(例如環(huán)氧樹脂材料)粘接在一起的狀態(tài)、兩個襯底的整個或部分表面通過機械固定方式(例如在襯底表面鉆孔并用螺栓固定或者用夾持部件將兩個襯底固定在一起)貼合在一起的狀態(tài)或者兩個襯底的表面被焊接在一起的狀態(tài)。此外,這里的第一和第二襯底所用材料可以相同,也可以不同,本發(fā)明的原理和范圍并不受此限制。
參見圖1,利用半導(dǎo)體工藝在第二襯底的表面120a上形成有可實現(xiàn)下面將要作進一步描述的電路功能的圖案(圖1中以陰影表示)。按照本發(fā)明,在第二襯底的表面120a上所形成的電路系統(tǒng)內(nèi)設(shè)置一個入侵處理單元,一旦檢測到兩個表面處于分離狀態(tài),該單元即擦除或刪除該電路系統(tǒng)內(nèi)部存儲的內(nèi)容(例如密鑰、運行程序、金融交易記錄、用戶名和密碼等)。值得指出的是,這里的擦除或刪除既可以通過入侵處理單元直接對保存內(nèi)容的存儲部件進行刪除操作來實現(xiàn),也可以由其借助相應(yīng)的執(zhí)行單元或部件(例如下面所述的微控制器內(nèi)核和電源控制單元)來完成。
在本發(fā)明中,所謂的分離狀態(tài)是相對于前述接觸狀態(tài)而言的,換句話說,任何與上述接觸狀態(tài)不同的狀態(tài)都被視為是分離狀態(tài)??刹捎枚喾N方式來判斷或檢測兩個襯底之間的表面是否處于分離狀態(tài)。
例如在一種可選方式中,可在兩個襯底表面之間設(shè)置導(dǎo)電墨水引線或金屬引線以在兩個襯底之間形成一個電流回路或接觸傳感器,兩個表面的分離將導(dǎo)致引線斷開,從而引起回路狀態(tài)的變化以指示出襯底之間的分離狀態(tài)。
另一種可選方式是在襯底表面110a或120a上設(shè)置一個光傳感器作為檢測元件(光傳感器例如可采用光敏二極管元件或光伏元件),當(dāng)兩個表面分離時,環(huán)境光線入射至光傳感器,從而在光傳感器中產(chǎn)生一個響應(yīng)信號以指示襯底表面處于分離狀態(tài)。
還有一種方式是在襯底表面110a或120a上設(shè)置一個壓力傳感器作為檢測元件,當(dāng)兩個表面分離時,壓力傳感器檢測到壓力減小,從而在所連接的電壓或電路檢測電路中產(chǎn)生一個響應(yīng)信號以指示襯底表面處于分離狀態(tài)。
值得指出的是,上述各種傳感器的供電電源一般可選用微型電池或紐扣電池,其可以設(shè)置于第一襯底內(nèi),也可設(shè)置于第二襯底內(nèi)。
對于上述結(jié)構(gòu)的安全處理器,一種可能的物理入侵攻擊手段是,首先利用化學(xué)溶液將第一襯底110腐蝕掉或者在第一襯底110上表面(即與表面110a相對的表面)鉆孔使第二襯底120的圖案暴露,然后再利用標(biāo)準(zhǔn)編程器來竊取電路系統(tǒng)200內(nèi)的機密數(shù)據(jù)。
為了阻止這種物理入侵,按照本發(fā)明,在第二襯底的表面120a所形成的電路系統(tǒng)內(nèi)設(shè)置一個入侵處理單元,一旦第一襯底的上表面受到損傷或破壞,該單元即擦除或刪除該電路系統(tǒng)內(nèi)部存儲的內(nèi)容(例如密鑰、運行程序、金融交易記錄、用戶名和密碼等)。同樣,這里的擦除或刪除既可以通過入侵處理單元直接對保存內(nèi)容的存儲部件進行刪除操作來實現(xiàn),也可以由其借助相應(yīng)的執(zhí)行單元或部件(例如下面所述的微控制器內(nèi)核或電源控制單元)來完成。
在本發(fā)明中,表面損傷的情形包括但不限于表面形貌或形狀的改變和材料成份的變化等。顯然,可采用多種方式來判斷或檢測表面的狀態(tài),例如,按照本發(fā)明的一個較佳實施例,可以在第一襯底110的上表面形成一個導(dǎo)電網(wǎng)狀圖案130并使其通過導(dǎo)電墨水引線或金屬引線(未畫出)連接至第二襯底120的入侵處理單元。這樣,當(dāng)?shù)谝灰r底110的上表面110b被化學(xué)溶液腐蝕或者被鉆孔時,遭到破壞或損傷的導(dǎo)電網(wǎng)狀圖案130的阻值發(fā)生改變,從而引起檢測電路狀態(tài)的變化以產(chǎn)生相應(yīng)的觸發(fā)信號,電路系統(tǒng)中的入侵處理單元則響應(yīng)該觸發(fā)信號以擦除或刪除其存儲的關(guān)鍵或機密數(shù)據(jù)。
在一種可選的實現(xiàn)方式中,上述導(dǎo)電網(wǎng)狀圖案為一層覆蓋在第一襯底上表面110b的金屬超細(xì)網(wǎng)格。在另一種可選方式中,可以利用半導(dǎo)體工藝在第一襯底的上表面110b刻制形成導(dǎo)電網(wǎng)狀圖案。
優(yōu)選地,上述金屬引線或?qū)щ娔€可以形成于第一襯底110的側(cè)面(即連接表面110a與110b的表面)以形成一個包含串聯(lián)連接的導(dǎo)電網(wǎng)狀圖案與入侵處理單元的回路。
按照本發(fā)明,在一種可選方式中,上述入侵處理單元僅在第一襯底與第二襯底發(fā)生分離時刪除電路系統(tǒng)內(nèi)部存儲的內(nèi)容。在另一種可選方式中,也可以僅在第一襯底的上表面受損時作出響應(yīng)。還有一種可選方式是對第一襯底與第二襯底發(fā)生分離的事件和第一襯底的上表面受損的事件都能作出響應(yīng)。
圖2為圖1所示數(shù)據(jù)處理器的第二襯底上的電路系統(tǒng)的一個實施例的架構(gòu)示意圖。如圖2所示,該電路系統(tǒng)200包含微控制器內(nèi)核201、實時時鐘電路202、電源控制單元203、程序加密/解密引擎204a、數(shù)據(jù)加密/解密引擎204b、自舉裝載器205、位模運算加速器206、內(nèi)部存儲器207、通信接口單元208和入侵處理單元209。
在圖2所示的電路系統(tǒng)200中,微控制器內(nèi)核201、程序加密/解密引擎204a、數(shù)據(jù)加密/解密引擎204b、自舉裝載器205、位模運算加速器206、內(nèi)部存儲器207和通信接口單元208構(gòu)成一個完成數(shù)據(jù)處理過程的處理單元,這里所述的數(shù)據(jù)處理例如包括但不限于執(zhí)行數(shù)據(jù)加密/解密算法、完整性校驗、與電路系統(tǒng)200外部的設(shè)備的通信等。在本實施例中,處理單元內(nèi)的各個組成單元通過電路系統(tǒng)200內(nèi)部的控制總線、數(shù)據(jù)總線和地址地址總線(未畫出)相連。但是這種總線架構(gòu)不是必需的,組成單元也可以點對點的方式連接,這些變化方式都屬于本發(fā)明的精神和保護范圍之內(nèi)。
以下對圖2中的各個單元作進一步的描述。
微控制器內(nèi)核201包含算術(shù)邏輯單元和控制單元,其執(zhí)行運行程序的代碼,實現(xiàn)各種計算操作(例如通過執(zhí)行完整性檢驗以判斷是否存在密碼入侵)和對電路系統(tǒng)200內(nèi)的其它單元的運行進行控制。
實時時鐘電路202負(fù)責(zé)為電路系統(tǒng)200內(nèi)的其它單元提供時鐘信號或參考信號,以確保它們按照正確的時序工作。此外,實時時鐘電路202還可以為一些應(yīng)用(例如金融交易業(yè)務(wù))提供時間和日期標(biāo)記。
電源控制單元203與電池單元210(例如紐扣式鋰電池等)和數(shù)據(jù)處理器100外部的電源Vcc相連,負(fù)責(zé)各種電源之間的切換。例如,如果外部電源Vcc可用,則電源控制單元203使外部電源Vcc向電路系統(tǒng)200內(nèi)的其它單元供電,如果外部電源Vcc不可用,則電源控制單元203使電池單元210至少向內(nèi)部存儲器206供電。參見圖1,在本實施例中,電源控制單元203還控制外部電源Vcc向外部存儲器220a和220b的供電。
電路系統(tǒng)200內(nèi)各單元的供電狀態(tài)也由電源控制單元203控制。典型地,微控制器內(nèi)核201、程序加密/解密引擎204a、數(shù)據(jù)加密/解密引擎204b、位模運算加速器206和通信接口單元208(例如包括一組雙向I/O端口和串行接口)中的存儲部件(例如寄存器、內(nèi)存和高速緩沖存儲器)以及存儲機密信息(例如密鑰、個人身份信息和密碼等)的內(nèi)部存儲器207皆為易失性存儲器。值得指出的是,在本發(fā)明中,上述存儲部件和內(nèi)部存儲器統(tǒng)稱為存儲元件,存儲單元內(nèi)存儲的信息包括但不限于中間計算處理結(jié)果(例如微控制器內(nèi)核201的寄存器和內(nèi)存中保存的數(shù)據(jù))、輸入電路系統(tǒng)200或從電路系統(tǒng)200輸出的信息(例如保存在通信接口單元208的緩沖器的數(shù)據(jù))以及其他保持不變的信息(例如程序代碼、密碼、PIN碼和密鑰)等。為保證上述單元的正常工作,電源控制單元203必須保證不斷電。另一方面,電源控制單元203與檢測物理入侵的單元(即入侵處理單元209)和檢測密碼入侵的單元(例如微控制器內(nèi)核201)相連,這樣,當(dāng)檢測到物理入侵或密碼入侵事件時,檢測到入侵事件的單元即命令電源控制單元203切斷供電,從而使得存儲元件和內(nèi)部存儲器內(nèi)不再保存任何程序和/數(shù)據(jù)。
在本實施例中,電路系統(tǒng)200運行所需的部分程序代碼和數(shù)據(jù)被存儲在位于數(shù)據(jù)處理器100外部的存儲器內(nèi)。在一種可能的方式中,外部存儲器是一塊在空間上獨立于圖1所示數(shù)據(jù)處理器100的集成電路芯片,但是在另一種可能的方式中,外部存儲器也可以集成在圖1所示的數(shù)據(jù)處理器100中,例如形成于第一襯底110的表面110a。為保護外部存儲器中程序和數(shù)據(jù)的安全,當(dāng)欲在外部存儲器存儲這些程序和數(shù)據(jù)時,電路系統(tǒng)200首先對存儲的內(nèi)容進行加密,然后經(jīng)外部總線傳送至外部存儲器,而當(dāng)這些程序和數(shù)據(jù)被調(diào)用時,它們首先通過外部總線被送入電路系統(tǒng)200,經(jīng)過解密后再被執(zhí)行或使用。
在按照本實施例的電路系統(tǒng)200中,程序加密/解密引擎204a和數(shù)據(jù)加密/解密引擎204b通過外部總線分別與外部程序存儲器220a和外部數(shù)據(jù)存儲器220b相連,負(fù)責(zé)執(zhí)行上述加密/解密操作,從而保證程序和數(shù)據(jù)的安全。此外,程序加密/解密引擎204a和數(shù)據(jù)加密/解密引擎204b還可以根據(jù)微控制器內(nèi)核201的指令,對經(jīng)通信接口單元208輸出的數(shù)據(jù)進行加密以及對經(jīng)通信接口單元208輸入的數(shù)據(jù)進行解密。
在本實施例中,程序加密/解密引擎204a可以8字節(jié)塊為單位,采用單或三重數(shù)據(jù)加密標(biāo)準(zhǔn)(DES)算法對程序進行加密。例如當(dāng)最初裝載系統(tǒng)時,可使用密鑰將程序代碼加密后再存儲到外部程序存儲器220a中,由此阻止對運行程序進行反匯編。而對于數(shù)據(jù),可由數(shù)據(jù)加密/解密引擎204b進行單或三重DES算法實時加密以保證數(shù)據(jù)在電路系統(tǒng)200外部“不可見”。加密所用的密鑰可在電路系統(tǒng)200內(nèi)部的一個真隨機數(shù)產(chǎn)生器(未畫出)的協(xié)助下產(chǎn)生,優(yōu)選地,該隨機數(shù)產(chǎn)生器例如通過了聯(lián)邦信息處理標(biāo)準(zhǔn)出版物140-1(FIPSPUB 140-1)第4.11.1節(jié),Security Requirements for CryptographicModules所規(guī)定的統(tǒng)計隨機數(shù)產(chǎn)生器測試標(biāo)準(zhǔn)。由于外部程序存儲器220a保存的程序和外部數(shù)據(jù)存儲器220b保存的數(shù)據(jù)以及經(jīng)通信接口單元208輸出的數(shù)據(jù)都經(jīng)隨機生成的加密密鑰處理,攻擊者只有在知道密鑰后才可解密,因此保證了信息的安全。
為了支持加密/解密引擎所要求的高數(shù)據(jù)傳送速率,外部存儲器比較好的是采用靜態(tài)隨機訪問存儲器(SRAM)。此外,為防止通過在電路系統(tǒng)內(nèi)植入惡意程序代碼來竊取機密信息,還可以在電路系統(tǒng)200內(nèi)引入完整性校驗功能,將各個獨立程序塊的校驗和與預(yù)先計算的數(shù)值進行比較,如果塊校驗和與預(yù)先計算的數(shù)值匹配失敗,則視為發(fā)生密碼入侵攻擊,拒絕執(zhí)行輸入的程序代碼,并且還可指示內(nèi)部存儲器207擦除其存儲的內(nèi)容。
自舉裝載器205可以是一個固化有自舉裝載程序的只讀存儲器,該裝載程序可由微控制器內(nèi)核201調(diào)用,用于對電路系統(tǒng)200所需運行程序和數(shù)據(jù)的初始裝載過程和加密過程進行控制。為了防止電路系統(tǒng)內(nèi)被非法裝載入程序(例如木馬程序)和數(shù)據(jù),自舉裝載程序與電路系統(tǒng)200外部的通信都應(yīng)該是加密的,以防被非法截獲和破譯。在一個較佳實施方式中,如圖2所示,自舉裝載程序經(jīng)一個專用端口與外部通信,并且通信過程采用一種基于鏈?zhǔn)矫艽a、雙密鑰三重DES加密算法的質(zhì)詢/響應(yīng)協(xié)議。這種高安全程度的通信協(xié)議一方面可防止電路系統(tǒng)200的運行程序代碼被未經(jīng)授權(quán)者竊取,另一方面可將加密方法隱匿起來,從而使自舉裝載器205起到一個防火墻的作用。此外,裝載程序還可以包含實現(xiàn)上述完整性校驗功能的代碼,因此微控制器內(nèi)核201可以通過調(diào)用該段程序代碼來執(zhí)行完整性校驗操作。
位模運算加速器206用于執(zhí)行冪取模操作,該操作是RSA(公開/私有密鑰)計算的整數(shù)部分。位模運算加速器206例如可以是一個高性能的4096位模運算加速器(MAA)單元。
內(nèi)部存儲器207主要用于存放最敏感的信息或數(shù)據(jù),例如包括但不限于安全密鑰、用戶身份標(biāo)識信息以及與應(yīng)用相關(guān)的其它重要信息(例如金融交易記錄等),該存儲器同時還可作為位模運算加速器206的臨時存儲器。當(dāng)塊校驗和與預(yù)先計算的數(shù)值不匹配或者入侵處理單元209產(chǎn)生物理入侵檢測信號時,內(nèi)部存儲器207即可在瞬間擦除其內(nèi)容或“清零”。此外,按照一個優(yōu)選的實施方式,為了進一步提高安全性,內(nèi)部存儲器207中所存儲的信息還由數(shù)據(jù)加密/解密引擎204b對其進行三重DES加密。
在許多安全性應(yīng)用中,常常要求讀/寫操作時間盡可能地短以實現(xiàn)更高級的保護。為此,在本實施例中,采用靜態(tài)隨機訪問存儲器作為內(nèi)部存儲器207。盡管靜態(tài)隨機訪問存儲器是易失性的,但如上所述,內(nèi)部存儲器207除了由外部電源Vcc供電外,還有電池單元210作為備份電源供電,因此這保證了在沒有外部電源Vcc供電的情況下仍然能夠保存數(shù)據(jù)。另一方面,在該實施例中,為了保證在發(fā)生入侵事件時能夠擦除內(nèi)部存儲器內(nèi)的內(nèi)容,如上所述,可使入侵處理單元209或執(zhí)行完整性校驗操作的單元與電源控制單元203相連,并且在接收到物理入侵或密碼入侵指示信號時,電源控制單元203即切斷內(nèi)部存儲器207的供電電源,這樣,內(nèi)部存儲器內(nèi)的內(nèi)容自行丟失。
由于記憶效應(yīng),易失性存儲器內(nèi)的信息在斷電后仍然可能得以保存(特別是在低溫下),而且對于非易失性存儲器,其斷電后信息并不會被擦除,因此需要采用其他方式來刪除存儲器的內(nèi)容。另一個可選方式是,可以使內(nèi)部存儲器207包含一個復(fù)位控制端(未畫出),該復(fù)位控制端與一個或門電路的輸出端相連,而該或門電路的輸入端分別與入侵處理單元209和執(zhí)行完整性校驗操作的單元(例如微控制器內(nèi)核201)相連,并且在正常狀態(tài)下始終為高電平或低電平。當(dāng)檢測到物理入侵事件或者密碼入侵事件時或門電路即在復(fù)位控制端上產(chǎn)生不同于正常狀態(tài)下的電平,從而觸發(fā)內(nèi)部存儲器的清零操作。與前述通過斷電來刪除存儲內(nèi)容的方式相比,本實施例的刪除方式具有“強制性”,因此提供了更高的數(shù)據(jù)安全性。值得指出的是,對于微控制器內(nèi)核201、程序加密/解密引擎204a、數(shù)據(jù)加密/解密引擎204b、位模運算加速器206和通信接口單元208等涉及數(shù)據(jù)處理的單元,除了通過前述斷電方式擦除其存儲元件的內(nèi)容以外,也可以采用這種“強制性”的擦除方式。
顯而易見的是,上面所述的具體擦除方式僅是示意性的,還可以有其它的方式來實現(xiàn)存儲元件的內(nèi)容擦除,這些替代方式也屬于本發(fā)明的精神和保護范圍之內(nèi)。
通信接口單元208包括一組雙向I/O端口,該組端口為電路系統(tǒng)200提供了與各種外部設(shè)備(包括但不限于讀卡器、指紋掃描儀、顯示器和鍵盤等)通信的接口,此外,通信接口單元208還可包含串行接口或其它類型的接口,從而實現(xiàn)與其它處理器的通信。當(dāng)經(jīng)上述雙向I/O端口傳輸?shù)臄?shù)據(jù)為加密數(shù)據(jù)時,即可在電路系統(tǒng)200與外部設(shè)備或網(wǎng)絡(luò)之間建立起了一個安全通信信道。為了與外部設(shè)備或網(wǎng)絡(luò)實現(xiàn)無線通信,通信接口單元208包含無線通信接口,其采用的無線傳輸技術(shù)例如包括但不限于藍(lán)牙(Bluetooth)、IrDA(Infrared Data Association紅外無線數(shù)據(jù)傳輸技術(shù))、Home/SWAP和IEEE 802.11等。
入侵處理單元209用于對各種物理攻擊電路系統(tǒng)200的事件作出響應(yīng),刪除電路系統(tǒng)200內(nèi)的數(shù)據(jù)和程序。以下對入侵處理單元209作進一步的描述,但是應(yīng)當(dāng)理解的是,下面的描述僅是示意性的,不構(gòu)成對本發(fā)明精神和保護范圍的限制。
圖3為圖1所示電路系統(tǒng)內(nèi)的入侵處理單元的示意圖。如圖3所示,入侵處理單元209包括主供電壓監(jiān)測器209a、電池電壓監(jiān)測器209b和外部自毀輸入209c,其中,外部自毀輸入330的輸入端與監(jiān)測外部環(huán)境變化的溫度傳感器310、光傳感器320、壓力傳感器330、接觸傳感器340和阻值測量電路350耦合。
在一種優(yōu)選方式下,監(jiān)測器209a和209b以及外部自毀輸入209c可以連接至圖2中的電源控制單元203,因此當(dāng)電源控制單元203接收到指示入侵事件的信號時即切斷向電路系統(tǒng)200內(nèi)的易失性存儲器的供電以擦除其保存的程序和/或數(shù)據(jù)。
在另外一個優(yōu)選方式下,監(jiān)測器209a和209b以及外部自毀輸入209c可以連接至圖2中的微控制器內(nèi)核201(例如經(jīng)總線相連或連接至微控制器內(nèi)核201的中斷信號輸入端),微控制器內(nèi)核201在接收到指示入侵事件的中斷信號后即調(diào)用一個子程序,該子程序包含有擦除電路系統(tǒng)200內(nèi)的存儲元件所保存的程序和/或數(shù)據(jù)的代碼。
在還有一個優(yōu)選方式下,監(jiān)測器209a和209b以及外部自毀輸入209c指示檢測到入侵事件的信號被輸出至電路系統(tǒng)200內(nèi)的存儲元件的復(fù)位控制端以改變復(fù)位控制端上的電平,從而使存儲元件執(zhí)行擦除操作。
對于非易失性存儲器,當(dāng)斷電后其存儲的內(nèi)容仍然得以保存。為了防止攻擊者通過切斷電源然后讀取存儲器的內(nèi)容,在本實施例中通過在入侵處理單元209內(nèi)提供主供電壓監(jiān)測器209a和電池電壓監(jiān)測器209b來監(jiān)測電壓異常,并在發(fā)生異常時產(chǎn)生擦除指令以在斷電之前刪除存儲元件內(nèi)的內(nèi)容。
主供電壓監(jiān)測器209a包含一個電壓比較器,對圖2中的外部電源Vcc的供電電壓進行監(jiān)測,一旦供電電壓低于某一電壓(例如5.20V)即產(chǎn)生一個入侵指示信號。電池電壓監(jiān)測器209c也采用比較器來監(jiān)測電池電壓,一旦檢測到電池電壓異常,則比較器產(chǎn)生中斷,指示清除電路系統(tǒng)內(nèi)存儲元件的內(nèi)容。
當(dāng)?shù)陀谀硞€溫度時,由于記憶效應(yīng),即使斷電存儲元件內(nèi)的內(nèi)容仍然可能被保存。為此,入侵處理單元209借助溫度傳感器310對整個數(shù)據(jù)處理器的溫度進行監(jiān)測。當(dāng)檢測到溫度低于某個數(shù)值時,溫度傳感器310即向外部自毀輸入209c輸出指示信號以清除存儲元件內(nèi)的內(nèi)容。為了提高檢測靈敏度和響應(yīng)速度,溫度傳感器可以形成于第一襯底110或第二襯底120暴露在外部環(huán)境下的表面。
光傳感器320和壓力傳感器330被設(shè)置于第一襯底與第二襯底之間以監(jiān)測它們的接觸狀態(tài)。具體而言,當(dāng)?shù)谝灰r底與第二襯底分離時,光傳感器320將檢測到光強的變化,壓力傳感器330將檢測到壓力的變化,從而向外部自毀輸入209c輸出指示入侵事件的響應(yīng)信號,而外部自毀輸入209c則隨后使存儲單元執(zhí)行擦除操作。
當(dāng)?shù)谝灰r底與第二襯底被分開時,接觸傳感器340將檢測到電流回路的斷開,從而向外部自毀輸入209c輸出響應(yīng)信號產(chǎn)生。接觸傳感器340可以采用各種結(jié)構(gòu),包括但不限于限位開關(guān)和在分開兩塊襯底時切斷導(dǎo)電墨水引線的復(fù)雜設(shè)計。
如上所述,為了檢測到第一襯底110的上表面被化學(xué)溶液腐蝕或者被鉆孔的物理入侵方式,在第一襯底110的上表面形成一個導(dǎo)電網(wǎng)狀圖案130。該導(dǎo)電網(wǎng)狀圖案通過導(dǎo)電墨水引線或金屬引線被連接至阻值測量電路350。當(dāng)導(dǎo)電網(wǎng)狀圖案遭到破壞或損傷時,阻值測量電路350將檢測到阻值的變化并向外部自毀輸入209c輸出響應(yīng)信號。
在一種優(yōu)選方式下,外部自毀輸入209c可以包含多個輸入電路,分別與不同的傳感器和阻值測量電路相連,并且當(dāng)輸入端為高電平時視為發(fā)生入侵事件,從而向電壓控制單元203輸出或在存儲元件的復(fù)位控制端上產(chǎn)生擦除信號。每個輸入電路可包含一個時鐘信號由電路系統(tǒng)200內(nèi)的實時時鐘電路提供的計數(shù)器,當(dāng)輸入端出現(xiàn)高電平時,計數(shù)器在檢測到其輸入時鐘信號的一個下降沿后即產(chǎn)生擦除信號。
值得指出的是,在上述實施例中,監(jiān)測第一與第二襯底接觸狀態(tài)以及第一狀態(tài)上表面狀態(tài)的光傳感器350、壓力傳感器360、接觸傳感器370和阻值測量電路380被設(shè)置在電路系統(tǒng)200或入侵處理單元209外部(例如第二襯底的表面110a上或者第一襯底的表面120b上),并通過外部導(dǎo)線與外部自毀輸入209c耦合。但是完全可以第二襯底的表面120a上形成上述傳感器和測量電路,從而提高電路系統(tǒng)200的集成度。顯然,所有這些變化方式都是等同的,因此皆屬于本發(fā)明的精神和保護范圍之內(nèi)。
可選地,可在第一襯底的表面110a上形成與電路系統(tǒng)200配合工作的輔助電路,例如包括但不限于將外部電源的供電電壓轉(zhuǎn)換為電路系統(tǒng)適配的電壓轉(zhuǎn)換電路。
圖4為圖1所示數(shù)據(jù)處理器的第二襯底上的電路系統(tǒng)的另一個實施例的架構(gòu)示意圖。如圖4所示,該電路系統(tǒng)400也包含微控制器內(nèi)核401、實時時鐘電路402、電源控制單元403、程序加密/解密引擎404a、數(shù)據(jù)加密/解密引擎404b、自舉裝載器405、位模運算加速器406、內(nèi)部程序/數(shù)據(jù)存儲器407、通信接口單元408、入侵處理單元409和智能卡驅(qū)動電路單元410,其中,電源控制單元403與電池單元411和數(shù)據(jù)處理器100外部的電源Vcc相連。
在圖4所示的電路系統(tǒng)中,微控制器內(nèi)核401、實時時鐘電路402、電源控制單元403、程序加密/解密引擎404a、數(shù)據(jù)加密/解密引擎404b、自舉裝載器405、位模運算加速器406、通信接口單元408、入侵處理單元409和智能卡讀卡器410也構(gòu)成一個完成數(shù)據(jù)處理過程的處理單元,它們可既通過電路系統(tǒng)400內(nèi)部的控制總線、數(shù)據(jù)總線和地址總線(未畫出)相連,也可以點對點的方式相連。此外,圖4中的微控制器內(nèi)核401、實時時鐘電路402、電源控制單元403、程序加密/解密引擎404a、數(shù)據(jù)加密/解密引擎404b、自舉裝載器405、位模運算加速器406、通信接口單元408、入侵處理單元409可采用與電路系統(tǒng)200中相應(yīng)單元基本相同或相似的結(jié)構(gòu),也可以采用與之不同的結(jié)構(gòu),這種具體實現(xiàn)方式的差異不應(yīng)構(gòu)成對本發(fā)明原理和保護范圍的限定,只要能夠?qū)崿F(xiàn)所限定的功能即可。
與圖2所示的電路系統(tǒng)200相比,電路系統(tǒng)400運行所需的程序代碼和數(shù)據(jù)處理過程(例如加密和解密密鑰、諸如交易金額、日期之類與應(yīng)用有關(guān)的信息)中涉及到的數(shù)據(jù)被存儲在內(nèi)部程序/數(shù)據(jù)存儲器407中。需要指出的是,內(nèi)部程序/數(shù)據(jù)存儲器407既可以采用一個存儲元件的形式(例如一個靜態(tài)隨機訪問存儲器),也可以采用由多個空間上分立的存儲元件的形式,對于前者,可以將程序和數(shù)據(jù)保存在一個存儲元件的不同存儲區(qū)域內(nèi),對于后者,程序和數(shù)據(jù)可分別保存在不同的存儲元件內(nèi)。顯然,上面并未窮舉內(nèi)部程序/數(shù)據(jù)存儲器可采用的形式,但是其它的變化形式只要能夠在電路系統(tǒng)內(nèi)部實現(xiàn)程序和/或數(shù)據(jù)的保存,即都應(yīng)屬于本發(fā)明精神和保護范圍之內(nèi)。至于內(nèi)部程序/數(shù)據(jù)存儲器409的種類,本發(fā)明并無特別的限制,可以是各種類型的易失性或非易失性存儲器。
由于程序和數(shù)據(jù)被存儲在電路系統(tǒng)400內(nèi)部,因此程序加密/解密引擎404a和數(shù)據(jù)加密/解密引擎404b僅需與內(nèi)部程序/數(shù)據(jù)存儲器407通信(例如經(jīng)過前述的內(nèi)部總線)而無需與電路系統(tǒng)外部通信,這進一步提高了安全性。
在圖4所示的電路系統(tǒng)400中,入侵檢測單元409也完全可以采用與入侵檢測單元209相同或相似的方式擦除電路系統(tǒng)內(nèi)各存儲元件保存的程序和/或數(shù)據(jù),此處不再重復(fù)描述。
在圖2所示的電路系統(tǒng)200中,對智能卡的讀取需要借助與通信接口單元208相連的外部智能卡(IC)讀卡器來實現(xiàn),但是在本實施例中,通過內(nèi)嵌智能卡驅(qū)動電路單元411,在電路系統(tǒng)400內(nèi)部直接完成智能卡內(nèi)數(shù)據(jù)的讀取和寫入操作。
圖5示出了一個示例性的智能卡驅(qū)動電路單元410的電路圖。如圖5所示,智能卡驅(qū)動電路單元410包含智能卡識別電路410a、直流-直流轉(zhuǎn)換電路410b、時鐘信號發(fā)生電路410c和智能卡引腳驅(qū)動器410d。
在圖5所示的智能卡驅(qū)動電路單元410中,智能卡識別電路410a用于檢測智能卡連接器(未畫出)中是否插入智能卡并對智能卡的類型進行識別。該電路的識別結(jié)果被輸出至直流-直流轉(zhuǎn)換電路410b。這里的智能卡可以包括各種類型,例如包括但不限于ISO7816卡、EMV卡和GIE-CB卡。
直流-直流轉(zhuǎn)換電路410b與電源控制單元403相連,根據(jù)智能卡識別電路410b的檢測結(jié)果將電源控制單元403提供的電壓轉(zhuǎn)換為合適的驅(qū)動電壓并經(jīng)引腳CRD Vcc提供給智能卡內(nèi)的電路。
時鐘信號發(fā)生電路410c經(jīng)智能卡引腳驅(qū)動器410d的引腳CRD CLK向智能卡內(nèi)的電路提供合適的時鐘信號以保證正確地對智能卡施行讀寫操作。值得指出的是,時鐘信號發(fā)生電路410c可以是一個與實時時鐘電路402相連的分頻器,輸入該電路410c的時鐘信號經(jīng)過分頻后提供給智能卡內(nèi)的電路。
智能卡引腳驅(qū)動器的輸出引腳CRD IO與智能卡的輸入/輸出引腳相連,用于一方面從智能卡讀取數(shù)據(jù)以供電路系統(tǒng)400內(nèi)的其他單元(例如微控制器內(nèi)核401和數(shù)據(jù)加密/解密引擎)處理,另一方面向智能卡寫入經(jīng)過電路系統(tǒng)400內(nèi)其他單元處理后的數(shù)據(jù)。
為了防止智能卡內(nèi)的數(shù)據(jù)在讀取時意外丟失,優(yōu)選地,還可以將抗靜電功能集成在智能卡驅(qū)動電路單元410內(nèi)。需要指出的是,上面雖然接觸式讀卡器為例描述了智能卡驅(qū)動電路單元410的結(jié)構(gòu),但是顯而易見的是,智能卡驅(qū)動電路單元410也可以是非接觸式讀卡器。
圖6為按照本發(fā)明另一個實施例的嵌入式系統(tǒng)的示意框圖,該嵌入式系統(tǒng)為一個金融終端。如圖6所示,該系統(tǒng)600包括圖1所示的數(shù)據(jù)處理器100、外部程序存儲器220a和外部數(shù)據(jù)存儲器220b、主處理器610、存儲器620、輸入/輸出設(shè)備接口630、顯示器640、鍵盤650、網(wǎng)絡(luò)設(shè)備660(例如網(wǎng)卡、交換機等)和讀卡器670,其中,數(shù)據(jù)處理器100包含具有如圖2所示架構(gòu)的電路系統(tǒng)200。
在上述嵌入式系統(tǒng)中,主處理器610的主要功能是執(zhí)行高級別的操作系統(tǒng),實現(xiàn)非安全性功能(例如復(fù)雜的圖形界面顯示等)。該處理器可以是各種類型的通用處理器,例如包括但不限于ARM、SHARC和Power PC等。存儲器620為主處理器610專用的程序和數(shù)據(jù)存儲器,可以是非易失性存儲器(如閃存或EPROM),其中不包含任何機密信息。參見圖6,主處理器610還通過輸入/輸出設(shè)備接口630與顯示器640、鍵盤650和網(wǎng)絡(luò)設(shè)備660相連,以輸入和輸出非機密信息。
數(shù)據(jù)處理器100(即電路系統(tǒng)200)負(fù)責(zé)嵌入式系統(tǒng)中各種與安全性相關(guān)的數(shù)據(jù)處理任務(wù)。例如,在某些應(yīng)用中,由于金融終端必需在一個加密通信信道上利用公開密鑰基礎(chǔ)設(shè)施(PKI)與其它方進行通信,因此可由電路系統(tǒng)200的內(nèi)部存儲器207存儲該終端的私有密鑰、網(wǎng)絡(luò)上其它設(shè)備的公開密鑰以及PIN碼和口令。又如,當(dāng)在金融終端與外部網(wǎng)絡(luò)之間要求建立經(jīng)過三重DES加密的通信接口時,網(wǎng)絡(luò)設(shè)備660可經(jīng)圖2中的通信接口單元208與電路系統(tǒng)200內(nèi)部單元通信,并且向外部網(wǎng)絡(luò)發(fā)送的數(shù)據(jù)由數(shù)據(jù)加密/解密引擎204b完成加密。此外,如果插入讀卡器670的智能卡所存儲的是加密數(shù)據(jù),則可以將其經(jīng)通信接口單元208送至數(shù)據(jù)加密/解密引擎204b進行解密,而數(shù)據(jù)加密/解密引擎204b加密后的數(shù)據(jù)也可經(jīng)通信單元208輸入智能卡,由此在智能卡與數(shù)據(jù)處理器100之間建立起一個將主處理器610“旁路”的安全通信信道。
參見圖6,外部程序存儲器220a和外部數(shù)據(jù)存儲器220b與數(shù)據(jù)處理器100相連,分別存儲電路系統(tǒng)200加密后的程序代碼和數(shù)據(jù)。
可選地,主處理器610與數(shù)據(jù)處理器100的電路系統(tǒng)200之間通過串行信道來傳送狀態(tài)信息和數(shù)據(jù),并且考慮到處理器結(jié)構(gòu)間的兼容性問題,采用通用的串行協(xié)議(如異步UART、I2C、SPI或SCI等)進行通訊。在另一種可選方式中,主處理器610與電路系統(tǒng)200之間也可經(jīng)無線信道通信,其所采用的無線傳輸技術(shù)例如包括但不限于藍(lán)牙(Bluetooth)、IrDA(Infrared Data Association紅外無線數(shù)據(jù)傳輸技術(shù))、Home/SWAP和IEEE 802.11等。為此,可在電路系統(tǒng)200的通信接口單元208內(nèi)設(shè)置實現(xiàn)上述各種通信協(xié)議的通信端口即可。
由上可見,電路系統(tǒng)200內(nèi)的重要信息經(jīng)過三重DES加密后存儲在由電池備份供電的靜態(tài)隨機訪問存儲器內(nèi),并且還借助一個復(fù)雜的機制來檢測和處理各種物理攻擊,因此在數(shù)據(jù)處理器100和它的內(nèi)部存儲器周圍構(gòu)建了一個高度安全的加密邊界。此外,任何為主處理器610進行的加密計算都是在加密邊界內(nèi)實現(xiàn)的,因此機密的或受保護的信息永遠(yuǎn)不會在加密邊界之外作為明碼文本得到。
圖7為按照本發(fā)明還有一個實施例的嵌入式系統(tǒng)的示意框圖,該嵌入式系統(tǒng)為一個諸如手機之類的通信終端,并且內(nèi)置有讀卡器功能。如圖7所示,該系統(tǒng)700包括主處理器710、存儲器720、顯示器730和鍵盤740和數(shù)據(jù)處理器100,其中數(shù)據(jù)處理器100具有如圖4所示架構(gòu)的電路系統(tǒng)400。
在上述嵌入式系統(tǒng)中,主處理器710例如負(fù)責(zé)運行智能手機操作系統(tǒng)(例如Windows CE、Palm OS、Symbian OS和Linux OS),實現(xiàn)非安全性功能(例如圖形界面顯示、手寫體識別、記事和日程安排等)。存儲器720為主處理器610專用的程序和數(shù)據(jù)存儲器,可以是非易失性存儲器(如閃存或EPROM),其中不包含任何機密信息。值得指出的是,圖7中雖然未畫出其他與實現(xiàn)手機通信相關(guān)的單元(例如基帶處理器和天線等),但是對于所屬領(lǐng)域的技術(shù)人員來說,這種省略并不會妨礙其對本發(fā)明原理和精神的理解,因此此處未作描述。
數(shù)據(jù)處理器100中的電路系統(tǒng)400負(fù)責(zé)通信終端700中所有與安全性相關(guān)的數(shù)據(jù)處理任務(wù)。例如私有密鑰、網(wǎng)絡(luò)上其它設(shè)備的公開密鑰以及PIN碼和口令的存儲,對輸出至數(shù)據(jù)處理器100外部的數(shù)據(jù)的加密和對輸入數(shù)據(jù)處理器100的數(shù)據(jù)的解密等。此外,由于這里的電路系統(tǒng)400包含有智能卡驅(qū)動電路單元410,因此可以對直接對智能卡進行讀取和寫入操作,這樣,一方面,在通信終端700上集成了金融終端的功能,另一方面,還可以防止對電路系統(tǒng)400與智能卡之間傳送的加密信息進行非法監(jiān)聽或截取,從而進一步提高應(yīng)用的安全性。需要指出的是,作為讀卡器的智能卡驅(qū)動電路單元410,其既可以接觸方式,也可以非接觸方式來讀寫智能卡。
此外,為了提高安全性,圖7中的顯示器730和鍵盤740只經(jīng)圖4中的通信接口單元408與電路系統(tǒng)400相連,信息先由數(shù)據(jù)加密/解密引擎204b加密后方輸出至顯示器730,而從鍵盤740輸入的加密信息則由數(shù)據(jù)加密/解密引擎204b進行解密,總之,信息在電路系統(tǒng)400外部時處于加密狀態(tài),由此在數(shù)據(jù)處理器100與外部輸入/輸出設(shè)備之間建立起一個安全通信信道。與前述實施例相同,在本實施例中,主處理器710與數(shù)據(jù)處理器100的電路系統(tǒng)400也可以采用串行信道或無線信道實現(xiàn)通信。
上面以金融終端和通信終端為例描述了按照本發(fā)明的嵌入式系統(tǒng),實際上本發(fā)明還可應(yīng)用于其他的嵌入式系統(tǒng)中,這些系統(tǒng)例如包括但不限于指紋掃描儀和商業(yè)零售終端等。
在閱讀上述披露內(nèi)容之后,其它修改對于本領(lǐng)域內(nèi)的技術(shù)人員來說將是顯而易見的。這種修改可能涉及到已經(jīng)公知的特征,并且這些特征可以代替這里已經(jīng)描述的特征或者以添加的方式應(yīng)用。
在本說明書和權(quán)利要求書中,出現(xiàn)在一個單元之前的詞語“一個”并未將多個這種單元的情形排除在外。而且詞語“包含”并未排除除所列單元以外還有其它單元存在的情形。
權(quán)利要求
1.一種具有阻止入侵功能的數(shù)據(jù)處理器,其中,包含一個第一襯底,包含一個第一表面;以及一個第二襯底,包含一個形成有一個電路系統(tǒng)并與所述第一表面接觸的第二表面,所述電路系統(tǒng)包含一個適于執(zhí)行數(shù)據(jù)處理過程的處理單元,包含存儲涉及所述數(shù)據(jù)處理過程的數(shù)據(jù)和/或程序的存儲元件;以及一個與所述處理單元耦合的入侵處理單元,適于在所述第一表面與第二表面分離時刪除所述存儲元件內(nèi)的數(shù)據(jù)和/或程序。
2.如權(quán)利要求1所述的數(shù)據(jù)處理器,其中,所述存儲元件包含與所述入侵監(jiān)測單元耦合的復(fù)位控制端,所述入侵處理單元通過改變所述復(fù)位控制端的電平來刪除所述存儲元件內(nèi)的數(shù)據(jù)和/或程序。
3.如權(quán)利要求1所述的數(shù)據(jù)處理器,其中,所述電路系統(tǒng)進一步包含一個與所述入侵處理單元耦合的電源控制單元,所述存儲元件采用易失性存儲器形式,所述入侵處理單元通過使所述電源控制單元停止向所述存儲元件供電來刪除其內(nèi)的數(shù)據(jù)和/或程序。
4.如權(quán)利要求1所述的數(shù)據(jù)處理器,其中,進一步包括一個形成于所述第一表面或第二表面并與所述入侵處理單元耦合的入侵檢測單元,適于對所述第一表面與第二表面的接觸狀態(tài)進行檢測。
5.如權(quán)利要求4所述的數(shù)據(jù)處理器,其中,所述第一表面與第二表面通過粘合、機械固定或焊接的方式互相接觸。
6.如權(quán)利要求4所述的數(shù)據(jù)處理器,其中,所述入侵檢測單元采用下列檢測元件中的至少一種來檢測所述第一和第二襯底是否處于接觸狀態(tài)接觸傳感器、光傳感器和壓力傳感器。
7.如權(quán)利要求1所述的數(shù)據(jù)處理器,其中,所述入侵處理單元進一步適于在所述第一表面受損時刪除所述存儲元件內(nèi)的數(shù)據(jù)和/或程序。
8.一種具有阻止入侵功能的數(shù)據(jù)處理器,其中,包含一個第一襯底,包含一個第一表面;以及一個第二襯底,包含一個形成有一個電路系統(tǒng)并與所述第一表面接觸的第二表面,所述電路系統(tǒng)包含一個適于執(zhí)行數(shù)據(jù)處理過程的處理單元,包含存儲涉及所述數(shù)據(jù)處理過程的數(shù)據(jù)和/或程序的存儲元件;以及一個與所述處理單元耦合的入侵處理單元,適于在所述第一表面受損時刪除所述存儲元件內(nèi)的數(shù)據(jù)和/或程序。
9.如權(quán)利要求8所述的數(shù)據(jù)處理器,其中,進一步包括一個形成于所述第一表面或第二表面并與所述入侵處理單元耦合的入侵檢測單元,適于對所述第一表面的狀態(tài)進行檢測。
10.如權(quán)利要求9所述的數(shù)據(jù)處理器,其中,所述第一襯底還包含一個與所述第一表面相對的第三表面,其上形成有導(dǎo)電網(wǎng)狀圖案,所述入侵檢測單元通過測量所述導(dǎo)電網(wǎng)狀圖案的阻值變化來檢測所述第一表面的狀態(tài)。
11.如權(quán)利要求8所述的數(shù)據(jù)處理器,其中,所述入侵處理單元進一步適于在所述第一表面與第二表面分離時刪除所述存儲元件內(nèi)的數(shù)據(jù)和/或程序。
12.如權(quán)利要求1-11中任意一項所述的數(shù)據(jù)處理器,其中,所述處理單元包含一個內(nèi)部總線、通過所述內(nèi)部總線相連的一個微控制器內(nèi)核、一個通信接口單元、一個加密/解密引擎和一個內(nèi)部存儲器,在所述微控制器內(nèi)核的控制下,所述加密/解密引擎利用所述內(nèi)部存儲器內(nèi)存儲的密鑰信息對經(jīng)所述通信接口單元輸出至所述電路系統(tǒng)外部的信息執(zhí)行加密操作并對經(jīng)所述通信接口單元輸入的信息執(zhí)行解密操作。
13.如權(quán)利要求12所述的數(shù)據(jù)處理器,其中,所述入侵處理單元通過使所述微控制器內(nèi)核執(zhí)行一個子程序來刪除所述存儲元件內(nèi)的數(shù)據(jù)和/或程序。
14.如權(quán)利要求1-11中任意一項所述的數(shù)據(jù)處理器,其中,所述處理單元包含一個內(nèi)部總線、通過所述內(nèi)部總線相連的一個微控制器內(nèi)核、一個通信接口單元、一個加密/解密引擎、一個內(nèi)部存儲器和一個智能卡驅(qū)動電路單元,所述智能卡驅(qū)動電路單元被配置為自適應(yīng)地向一個智能卡提供驅(qū)動電壓和時鐘信號,在所述微控制器內(nèi)核的控制下,所述加密/解密引擎利用所述內(nèi)部存儲器內(nèi)存儲的密鑰信息對經(jīng)所述通信接口單元和智能卡驅(qū)動電路單元輸出至所述電路系統(tǒng)外部的信息執(zhí)行加密操作并對經(jīng)所述通信接口單元和智能卡驅(qū)動電路單元輸入的信息執(zhí)行解密操作。
15.如權(quán)利要求14所述的數(shù)據(jù)處理器,其中,所述入侵處理單元通過使所述微控制器內(nèi)核執(zhí)行一個子程序來刪除所述存儲元件內(nèi)的數(shù)據(jù)和/或程序。
16.如權(quán)利要求1-11所述的數(shù)據(jù)處理器,其中,所述第一表面上形成有與所述電路系統(tǒng)配合工作的輔助電路。
17.一種嵌入式系統(tǒng),其中,包含一個存儲器;一組輸入/輸出設(shè)備;一個處理器,包含一個第一襯底,包含一個第一表面;以及一個第二襯底,包含一個形成有一個電路系統(tǒng)并與所述第一表面接觸的第二表面,所述電路系統(tǒng)包含一個處理單元,適于與所述主處理器和輸入/輸出設(shè)備通信,并對輸出的信息進行加密操作和對輸入的信息進行解密操作,包含至少一個存儲涉及所述加密/解密操作的數(shù)據(jù)和/或程序的存儲元件;以及一個入侵處理單元,適于在所述第一表面與第二表面分離和/或所述第一表面受損時刪除所述存儲元件內(nèi)的數(shù)據(jù)和/或程序。
全文摘要
一種具有阻止入侵功能的數(shù)據(jù)處理器,包含一個第一襯底,包含一個第一表面;一個第二襯底,包含一個形成有一個電路系統(tǒng)并與第一表面接觸的第二表面,電路系統(tǒng)包含一個適于執(zhí)行數(shù)據(jù)處理過程的處理單元,包含存儲涉及數(shù)據(jù)處理過程的數(shù)據(jù)和/或程序的存儲元件;一個與處理單元耦合的入侵處理單元,適于在第一與第二表面分離和/或第一表面受損時刪除存儲元件內(nèi)的數(shù)據(jù)和/或程序。按照本發(fā)明,通過在存儲重要數(shù)據(jù)的數(shù)據(jù)處理芯片上層疊一塊芯片并對它們的接觸狀態(tài)以及所層疊芯片上表面的狀態(tài)進行檢測,更為有效地防止物理入侵,提高了數(shù)據(jù)的安全性。本發(fā)明的數(shù)據(jù)處理器無需對現(xiàn)有處理器中涉及數(shù)據(jù)處理的內(nèi)部架構(gòu)進行改動,有利于降低成本和縮短開發(fā)周期。
文檔編號G06F21/00GK1963832SQ200610119279
公開日2007年5月16日 申請日期2006年12月7日 優(yōu)先權(quán)日2006年12月7日
發(fā)明者趙依軍 申請人:上海普芯達(dá)電子有限公司