CN1439129A - 在非易失存储器设备内的嵌入安全设备 - Google Patents
在非易失存储器设备内的嵌入安全设备 Download PDFInfo
- Publication number
- CN1439129A CN1439129A CN 01811832 CN01811832A CN1439129A CN 1439129 A CN1439129 A CN 1439129A CN 01811832 CN01811832 CN 01811832 CN 01811832 A CN01811832 A CN 01811832A CN 1439129 A CN1439129 A CN 1439129A
- Authority
- CN
- China
- Prior art keywords
- memory
- processor
- integrated circuit
- interface
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
- G06F21/79—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in semiconductor storage media, e.g. directly-addressable memories
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Mathematical Physics (AREA)
- Storage Device Security (AREA)
Abstract
在一个授权基础上控制对受限资源访问的改进的安全设备。一个诸如具有相关安全功能的处理器的安全引擎,连接在诸如闪速存储器的第一可修改非易失性存储器和一个第一外部接口之间,所有这些都在同一个集成电路上。该第一存储器包含安全数据,并且仅仅由该安全引擎控制,该安全引擎还控制第一外部接口并且由此防止由任何外部设备对该第一存储器进行读取或者写入访问。该集成电路还包含一个诸如闪速存储器的第二可修改非易失性存储器,其与一个第二外部接口相连用于由一个外部设备读取和写入访问。该第二存储器包含非安全的数据,并且由一个外部设备通过该第二外部接口控制。在同一个集成电路通过把安全处理及存储和非保密存储分离,该安全功能/数据防止能够截取或者控制在这二者之间传输的专用攻击,同时实现了在单个集成电路上放置所有功能的好处。
Description
发明背景技术
1.发明领域
本发明通常涉及安全系统。特别地,它涉及用于控制便携式设备使用的嵌入的安全系统。
2.相关技术描述
在电路微型化、电池电源、以及通信技术方面的改进已经导致访问非常大分布系统资源的便携式设备的广泛使用。一个示例是蜂窝电话的使用,其允许用户利用他们能够个人携带的一个设备访问国家和全球电话系统的资源。通过把一个唯一标识号(ID)嵌入到每个蜂窝电话中,并且在用户预订服务时注册用户和该唯一的ID来在这个系统中建立某些安全程度。然而,在这个方法中的一个严重的缺点是蜂窝电话是如此之小,以致它们能够容易地丢失或者被窃取,并且具有该蜂窝电话所有权的任何人都能够访问由该用户付费的资源。对于访问受限服务的任何类型便携式设备的用户,这是一个明显的安全问题。这对于其中该便携式设备的物理占有允许访问按照推测的安全系统的任何系统的情况也是一样。
一种解决这个问题的传统方法是通过用户接口模块(SIM)的使用,其为有时被称为智能卡的一个设备的一个版本。一个SIM在一个信用卡按尺寸分类的人工制品中嵌入各种类型的安全数据和处理性能,其在该主机设备将访问期望的资源之前向该主机设备传递用户特定的数据。这种方法在该人工制品(卡)中放置至少一部分安全处理过程,并且一般使用一个用户特定的密码或者PIN号来验证使用那个特定卡的人是被授权这样做的人。因为访问取决于具有SIM、密码、和主机设备,这种方法推测起来是更安全的。一个未授权团体获得所有三个一组的机会小于他们仅仅获得该主机设备的机会。这个额外的安全程度假定SIM被编程来仅仅与特定主机设备、诸如一个特定的蜂窝电话一起工作。如果不是的话,则占有SIM和密码足以用于未授权的使用。
图1显示了一个使用SIM的传统系统1。主机系统11,其能够是一个蜂窝电话,包含一个与各种类型存储器相连的一个主机处理器12,这些存储器可以包含用于程序存储的只读存储器(ROM),用于暂存器的随机存取存储器(RAM),以及用于遭受很少发生的改变的非易失存储器的闪速存储器。主机系统11还包含一个诸如键盘的用户接口14,其允许该用户输入一个密码或者个人标识号码(PIN)。SIM 10通常是一个大约为一个信用卡尺寸的塑料卡,包含以它自己的CPU、RAM、以及闪速存储器形式的有限处理能力,用于保持该用户的标识消息及其它相关数据。当SIM 10被插入在主机11中的一个接口端口中时,在该SIM上的接口插脚(没有显示)接触在该主机中的相配插脚,其允许在这两个设备之间的通信。电能一般也通过这个接口从该主机提供到SIM卡。
一旦用这样的方式连接,主机CPU 12能够为识别消息询问SIM10,同时该用户能够通过键盘14输入他或者她的密码。如果该密码匹配与那个卡有关的密码,则主机CPU能够允许与那个用户有关的特定服务。
虽然这个人工制品-和-密码方法当主机设备丢失或者在一种随机盗窃行为被拿走时,提供一个合理的保护程度,但是它为一个专门的攻击提供了微乎其微的保护。在操作期间,密码及其它安全数据在SIM和主机之间传递。能够通过把一个监控设备放置到该接口中、或者通过修改该不安全的主机,能够截取这个数据,而且由此获得的消息能够用于通过该主机的未授权访问。用这样的方式修改一个主机能够潜在地损害每个和那个主机一起使用的SIM。做为选择,如果SIM被窃取了,能够通过把它插入一个将作为一个真实的主机设备询问它的主机模拟器中,对它进行广泛地分析以便导出它的安全消息。获得的消息然后能够允许那个特定SIM的未授权使用和/或复制。
加密有时被用于进一步保护在SIM和主机之间传输的数据。然而,专用的安全攻击经常致力于确定加密密钥并且解密该按照推测的安全数据。
该人工制品-和-密码方法也容易受到被设计成能干涉主机操作的破坏性攻击。一种这样的方法是故意给予该系统多于它最大允许的连续无效密码的数量,这能够引起SIM锁定并且此后被无法使用,除非一个特定的密码被用来超覆该锁定。
附图简要说明
图1显示了一个现有技术的系统。
图2显示了本发明的一个实施例。
图3显示了图2中的实施例的一个更详细视图。
图4A、4B、和4C显示了本发明中的各种方法的流程图。
本发明的详细说明
因为一个不安全主机的使用不必要地暴露在那个主机内处理的安全数据,所以本发明把数据和处理放置在单个集成电路内以便安全功能和安全数据是在单个、不可渗入的区域中。
图2显示了本发明中的一个系统的一个实施例。设备2包括一个主机CPU 20来控制设备的操作。主机CPU 20能够是一个不安全的处理器,诸如在一个蜂窝电话中控制整个蜂窝电话操作的CPU。虽然蜂窝电话被用作设备2的一个示例,许多其它类型的设备,诸如台式计算机系统,也能够包括本发明。安全电路21能够是在设备2内提供一个自含的安全环境的单个集成电路,没有它的权限不能从外部访问它。电路21包含它自己的嵌入CPU 22,这样叫法是因为它被嵌入在安全电路21内。CPU 22也控制一个到主机CPU 20的主机接口28。嵌入CPU 22与25、26和27一起操作。程序存储器26能够是可编程序只读存储器(PROM)或者包含指令用于操作CPU 22的其它非易失性存储器。在CPU在操作的同时RAM 25能够被用作暂存器,但是通常将不被用来存储永久数据,因为如果设备2的电池变为没电或者被断开的话,RAM 25将丢失它的内容。隐藏的闪速存储器27能够用于将定期改变,但是必须继续存在功率损耗。隐藏的闪速存储器27是诸如用户ID、密码、和指定用户被授权使用服务列表的安全用户特定数据能够被存储的地方。虽然RAM 25、程序存储器26和闪速存储器27被表示成三种单独类型的存储器,但是它们中的两个或更多能够被统一到单个存储器类型中。例如,闪速存储器能够代替RAM 25和/或程序存储器26。虽然这个公开一致地描述了闪速存储器的使用,同时可以使用其它类型的可写非易失性存储器而没有背离本发明的范围。
主闪速阵列29提供了一个能够用于非安全数据的单独可写非易失性存储器,并且可由主机CPU 20通过闪速主机接口23访问。虽然主机接口28和闪速主机接口23被显示为共享一条公共总线,它们也能够用完全独立的连接实现。
安全电路21提供了一个包围所有安全功能的安全边界,这是因为除在它控制的特定、有限条件下面之外,它的操作和内容不可从外面电路21访问。然而,为了变得有用,用户消息必须某种程度最初写入到电路21中。为了提供一个用于输入用户消息的初始起始点,在一个实施例中,相关的用户消息能够在控制条件下,在设备2已经被放置到操作中之前被最初保存在闪速存储器27中。例如,这个初始设置能够建立用于一个系统管理员的用户口令和功能,该系统管理员于是将是唯一一个随后能够输入新用户数据的人员。或者,第一个输入消息的用户能够自动地被确定为系统管理员,其将不得不输入或者授权任何后续的用户。在一个安全系统中输入初始用户消息的方法在本技术领域为大家所熟知。
当一个潜在用户试图使用该系统时,能够把密码或者其它标识消息输入到主机CPU 20中,其然后通过主机接口28传递存取请求和有关资料到安全电路21。一旦嵌入CPU 22确定该用户被授权了,安全电路21通过接口28给予一个验证/未验证指示(以及可能的一个用户授权服务的指示)到主机20,但是没有输出任何安全消息。该密码以及任何其它用户标识消息不能通过任何端口从安全电路21中读取。
这与现有技术系统相比具有重要的优点。例如,在图2的系统中,因为没有与安全数据有关的总线、存储器、或者处理过程能够从电路21的外部访问,所以包含在安全电路21中的安全数据不能被暴露。在它的其它功能当中,电路21实质上是一个用于安全消息的只写存储设备。在在控制条件下写入起始数据到电路21中之后,电路21不允许由外部设备读出任何安全数据,而且除在电路21的控制下之外不允许进一步的安全数据输入。这使设备2实际上不受安全攻击的影响。不仅安全数据被保护了,而且在输入数据上的恰当检查能够阻止破坏性的数据进入电路21中。
图3显示了安全电路21的一个更详细的视图。嵌入CPU 22在一条不可由外部设备访问的通用内部总线上与闪速存储器27、程序存储器26、RAM 25、随机数发生器(RNG)38、乘法器/累加器39、算法加速器37、监视计时器36、以及单调计数器24接口。在这条内部总线上的前三个设备与如图2所示的那些相同;其余的用来执行安全相关的功能并且在下面更详细地进行描述。
基时钟31提供了一个用于电路21的时钟源。一个实施例向CPU 22提供一个70兆赫(MHz)的时钟。时钟分割电路33能够把该基时钟分割到一个更低的速率,以被用作一个用于监视计时器36及诸如警报逻辑34的其它功能的源时钟。时钟检测器32能够确定基时钟31是否是有效的以及在预定的频率界限内,同时低电压/过电压(UV/OV)检测器35能够监控在电路21中的电压电平。警报逻辑34能够从电路21的其它部分中接收各种类型的警报信号并且提供一个统一的报警指示到CPU 22以及其它电路。
在下面更详细地描述电路21中的功能:
处理器
CPU 22能够处理命令并且执行闪速存储器管理。在一个实施例中,CPU 22处理标准的SIM命令以便现有的传统软件能够在该系统中使用。CPU 22还可以执行一些加密相关的处理诸如一种哈希算法或者一种密码算法。CPU能够具有足够的性能来实时执行这些算法而没有影响性能。CPU 22还能够包括一个存储器管理单元(MMU)。该MMU是在安全设计中高度期望的组件。它能够迫使代码和数据的分离,而且能够把用于一个处理环境的数据和另一个处理环境的那些数据分离。这个分离能够用来保证没有专用数据会不注意地变得与非专用数据混合。
主机接口
主机接口28能够向图2中的主机CPU 20提供一个接口。这个接口能够具有各种类型,诸如并行或者串行、高或者低速,等。为了保持与现有主机设备的兼容性,主机接口28能够复制当前在现有主机系统使用的接口。
在一个实施例中,利用适当的握手信号能够一次一个字节(或者其它数据单位)执行在主机CPU 20和嵌入CPU 22之间的传输。在另一个实施例中,能够在接口28中使用一个先进先出缓存(FIFO)以缓存多个字节,因此允许两个CPU或者每个CPU以一种触发模式更有效地操作。
主机接口28还能够包含其它信号,诸如一个或多个插脚以传输来自警报逻辑34的警报消息,并且把一个外部时钟信号接收到电路21中。主机接口28的操作能够在嵌入CPU 22的控制之下,该嵌入CPU 22可以能够允许或者停用所有或者部分主机接口28以控制被传输到主机CPU 20或者从主机CPU 20传输的数据及其它信号的流动。
程序存储器
程序存储器26包含用于执行CPU 22执行的功能的指令。为了保护该系统的安全,当程序存储器26在该系统中时将不会是可改变的。它能够是诸如PROM的永久存储器,或者诸如EPROM或者闪速存储器的半永久性存储器。
闪速存储器
闪速存储器27用来存储可以不时地改变、但是必须经受得住功率损耗的数据。闪速存储器在便携式设备中很适合于这个目的,因为它以通常在便携式设备中可得到的电压进行操作。闪速存储器仅仅能够以块为单位被清除,所以有足够数量的闪速存储器来保证当数据被改变时,包含该改变的整个块能够被拷贝到一个空白区域中,同时然后清除该老的块以提供一个用于下一个改变的拷贝块。
虽然在这个公开中被一致地描述为闪速存储器,还能够使用可在电路中编程的其它类型非易失性存储器而且这被包含在本发明的范围之内。
主闪速数组29能够用于非安全消息,并且可由主机CPU 20通过闪速主机接口23进行访问。虽然主闪速阵列29以及它的接口23功能上与电路21的其余部分分离,但是把它放置在同一个集成电路上作为隐藏闪速存储器27能够有效地利用集成电路实际状况,以及减小整体的芯片计数和提高制造效率。接口23可以和主机接口28的接口类型相同,而且甚至可以如图2所示连接到一条公共总线。接口23和28在该系统中还可以具有不同的类型,和/或可以具有非通用的连接。在一个实施例中,主闪速存储器功能上和在电路21中的安全功能完全分离。在另一个实施例中,处理器22能够在验证一个用户之后允许所有或者部分闪速存储器29,并且在其它条件下面停用所有或者部分闪速存储器29。
RAM存储器
当系统被操作时,随机存取存储器25被用作工作区存储器。因为当从RAM电路中除去电能时RAM存储器的内容被丢失,放置在RAM中的数据应当不会包含任何不必被丢失、或者那些不能依据电能恢复再现的东西。
随机数发生器
许多类型的加密需要真正随机数的产生。一个诸如RNG 38的硬件产生器和软件RNG相比能够提供极大优越的性能。硬件PNG在本技术领域是已知的。某些标准需要RNG结果的随机性在线路中被测试。这能够需要大约2500位的RAM(或者,闪速)存储器专用于该测试功能。
乘法器/累加器
为了执行加密功能,乘法器/累加器39(M/A)能够支持快速取幂和模数简约,并且能够为那些功能进行优化。它不需要用于能够在CPU 22中执行的通用算术运算。该M/A功能的设计与该嵌入CPU的设计紧密相关。如果CPU 22是一个数字信号处理器(DSP),则能够使用该DSP的M/A而且在该总线上的一个单独M/A 39可能是不必要的。
算法加速器
算法加速器37能够特定用于正被使用的密码算法类型。这个专用硬件与CPU相比较需要更少的处理时间来执行该算法。算法加速器37在功能和实现中和M/A 39分割。M/A能够用来加速在诸如公共密钥加密方法的不对称算法中使用的乘法和取幂操作。该算法加速器加速被经常使用来提供消息保密性的对称算法。M/A 39和加速器37的需要以及它们的特定设计能够取决于在该电路中使用的特定加密算法(多个)。
低电压/过电压检测
低电压/过电压(UV/OV)检测器3 5能够保护该系统防止基于变化电压输入的一类加密攻击。这些攻击驱动超过用于该设备指定工作范围之外的供应电压,以图迫使受到攻击的主体进行错误操作以便暴露纯文本或者密钥。UV/OV 35能够检测这些出界的电压条件以及警告CPU 22,其能够采取措施以在保密消息被暴露之前停止操作。这还保护该系统不受因电源供给减少或者失败而失控。在一个实施例中,比较器被用来相对于基准电压监控输入电压。使用精密电阻作为一个分压器来偏置一个运算放大器来设置该基准电压。
时钟
基时钟31能够提供一个用于电路21的时钟源。在一个实施例中,基时钟31是一个以70兆赫操作的内部时钟。它能够作为一个CPU时钟被直接馈给CPU 22。它还能够由时钟分割电路33被向下分割为更低的频率来操作诸如监视计时器36和警报逻辑34这样的东西。使用一个内部时钟而不是外部时钟阻止一个专门攻击者通过控制该时钟来操作该电路。
时钟检测器
时钟检测器32能够监控时钟信号的频率。如果该时钟频率超过一个预定范围,则能够产生一个警报以便CPU能够采取适当的行动来关闭或者相反保护保密消息。首先是当使用一个外部时钟源时,这个检测器是有用的。
监视计时器
监视计时器36能够监控程序执行和数据传输。该程序能够是设计成能在周期间隔或者在一个特定例程的开始处,利用预定值预载该计时器。如果该程序象期望的那样操作,则该计时器将总是在时间到期之前被重新加载或者停止。如果该计时器到期了,它指示已经在程序执行中发生了一个意外变化而且能够产生一个警报。监视计时器36还能够用来监控取决于外部操作、诸如在电路21和另一个设备之间的数据传输的外部操作的事件。因为监视计时器通常以毫秒而不是微秒为单位测量时间,基时钟31能够被减少到一个较低的频率时钟来提供一个用于该监视计时器的更有用时基。
警报逻辑
警报系统对于任何安全设计都是关键的,这是因为它通过警告该系统采取额外的保护措施来防止威胁该设备操作的故障或者恶意攻击。警报逻辑34提供一个用于能够产生的各种警报的统一点,并且发送适当信号到CPU 22以便它能够采取措施来防止保密消息或者其它数据的丢失。如图3所示,警报信号还能够被发给主机接口28,并且从那儿发送到主机系统,并且能够被直接提供到外部设备。
除了在前一段落中描述的警报之外,警报逻辑34还能够处理以下警报:
1)坏的密钥警报-监控加密密钥并且当遇到一个坏的密钥时产生一个警报。该特定的坏密钥标识对于每个算法是唯一的。
2)人工密钥输入警报-监控被人工加载的密钥的准确性。人工加载的密钥应当具有一个诸如奇偶检验码的错误检测码,或者应当使用复制的入口以便验证该输入密钥的准确度。
3)随机数发生器警报-测试RNG 38的输出并且验证该输出是统计上随机的。在加电处以及在操作期间的各个点处,各种已知的测试能够用来执行这个验证。
4)软件/固件警报-在加电时,该程序能够被测试以验证它没有被破坏了。这能够通过一个错误检测码(EDC)或者通过应用于该程序内容的数字签名来执行。
5)自测试-能够在加电时、在重置之后、或者当由该主机命令时,执行各种系统自测试。自测试能够包含一个指令集测试、一个闪速存储器测试、RAM测试、以及利用M/A39的已知答案测试。
单调计数器
单调计数器24被显示为连接到内部总线,但是还能够利用其它连接实现,或者能够以软件或者固件形式实现。单调计数器是一个仅仅能够递增(或者仅仅递减)并且从不重复一个数字的计数器,这意味着它从不被允许复位或者周期后退到它的启动计数。单调计数器24能够用来提供一个用于每个到/来自电路21通信的唯一标识数字。这防止一个通信被记录并且随后被重放以模拟一个合法的通信。因为与该记录的通信一起使用的计数器值将不再匹配当前的计数器值,所以一旦该记录的通信被传输到电路21,就能够检测到这个类型的安全攻击。能够通过让计数器以一种非线性的方式递增,以便不能简单地通过计数从记录传输以来发生的通信数目来猜测当前的计数器值,来实现额外的安全性。
虽然该电路21的保密内容通常是不可访问的而且不可从该电路之外进行改变,在一个实施例中,能够修改嵌入CPU 22中的程序或者通过下载一个新程序到安全电路21中来进行替换。在被接收和使用之前,下载的程序能够由嵌入CPU 22验证,以防止一个非法程序被插入以损害该系统的安全。能够通过主机接口28产生下载,或者能够通过一个单独的安全接口(未显示)产生下载。
图4A-4C显示了本发明中的各种方法实施例的流程图。图4A显示了本发明中的一种方法400。在步骤401处,安全数据被写入到一个外部安全的闪速存储器中,即,它防止由在该安全闪速存储器之外设备的未授权访问。在402处,读取要求访问该安全数据的一个用户的用户ID。在步骤403处,该用户ID与该安全数据相比以确定该用户是否具有对该数据的访问权限。如果他具有,则在步骤404发送一个验证信号。如果他没有,则在步骤405发送一个未验证信号。
图4B显示了本发明中的一种方法410。在步骤411处,由一个外部设备把非安全数据写入到一个在另外的安全集成电路中的非安全闪速存储器中。在步骤412处,由该设备从该非安全闪速存储器中读取该非安全数据。这个方法,当与图4A中的方法结合时,显示了同一个设备如何能够包含安全和非安全闪速存储器和数据。
图4C显示了本发明中的一种方法420。在步骤421处,一个程序被传输到该集成电路(IC)中。在步骤422处,由在该IC中的处理器验证该程序,并且在步骤423处由该处理器执行该验证了的程序。该验证步骤允许在该安全系统中的代码被更新,同时仍然保护该安全功能防止外部的篡改。
通过遵循传统的安全标准并且采用传统的软件程序,安全电路21能够被设计成包围传统的组件。本发明能够支持在众所周知的标准ISO7816-3和-4、和GSM 11.11、以及那些标准的后续版本中定义的SIM命令、协议、及/或电接口。这能够允许安全电路21与现有的主机系统一起操作而几乎不对该主机的软件接口进行修改。
本发明还能够模拟在传统系统中使用的电可擦除的存储器。
本发明能够以电路形式、作为一种方法、或者作为这两个的组合来实现。本发明还能够被实现为存储在一个机器可读介质上的指令、其能够由至少一个处理器读取和运行来执行在此描述的功能。一个机器可读介质包括任何用于以一种可由一个机器(例如,计算机)读取的形式存储或者传输消息的机制。例如,一种机器可读介质能够包括只读存储器(ROM);随机存取存储器(RAM);磁盘存储器介质;光存储介质;闪速存储器器件;电的、光的、声的或者其他形式的传播信号(例如,载波、红外信号、数字信号、等)、以及其它。
上述描述是用来说明而不是用来限制。对于在本领域的那些技术人员来说将会想到变化。那些变化意图是被包含在本发明中,其仅仅由附加权利要求的精神和范围所限制。
Claims (20)
1.一个装置,包含:
一个集成电路,包含:
一个处理器;
一个与该处理器相连、以在该处理器和在该集成电路以外的设备之间通信的第一接口;
一个与该处理器相连并且从第一接口去耦的第一非易失性存储器,该第一非易失性存储器包含安全的标识数据;
一个从该第一存储器和第一接口去耦的第二非易失性存储器,该第二非易失性存储器包含非安全的数据;以及
一个和该第二存储器相连用于在第二存储器和该设备之间通信的第二接口;
其特征在于:不能从在该装置之外读取第一存储器的内容,而且不能从该装置之外写入内容。
2.如权利要求1所述的装置,其特征在于:第二存储器的内容不能由该处理器读取而且不能由该处理器写入。
3.如权利要求1所述的装置,其特征在于:该第一存储器是一个闪速存储器。
4.如权利要求1所述的装置,其特征在于:该第二存储器是一个闪速存储器。
5.如权利要求1所述的装置,其特征在于:该第一接口与一个用户接口模块接口兼容。
6.如权利要求1所述的装置,其特征在于:该集成电路进一步包含一个第三接口用于传输一个程序到该集成电路中用于由该处理器验证以及用于由该处理器后续执行。
7.一个系统,包含:
一个控制用户对资源访问的设备;
一个集成电路,包含:
一个处理器;
一个与该处理器和该设备相连、以在该处理器和在该设备之间通信的第一接口;
一个与该处理器相连并且从该第一接口去耦的第一非易失性存储器,该第一非易失性存储器包含安全数据;
一个从该第一接口和第一非易失性存储器去耦的第二非易失性存储器,该第二非易失性存储器包含非安全的数据;以及
一个和该第二存储器和该设备相连、用于在该第二存储器和该设备之间通信的第二接口;
其特征在于:不能从在该集成电路之外读取第一存储器的内容,而且不能从该集成电路之外写入内容。
8.如权利要求7所述的系统,其特征在于:第二存储器的内容不能由该处理器读取而且不能由该处理器写入。
9.如权利要求7所述的系统,其特征在于:该第一存储器是一个闪速存储器。
10.如权利要求7所述的系统,其特征在于:该第二存储器是一个闪速存储器。
11.如权利要求7所述的系统,其特征在于:该第一接口与一个用户接口模块接口兼容。
12.如权利要求7所述的系统,其特征在于:该集成电路进一步包含一个第三接口用于传输一个程序到该集成电路中用于由该处理器验证以及用于由该处理器后续执行。
13.一种方法,包含:
提供一个集成电路,其具有:
一个处理器以及一个可由该处理器读取和写入内容并且不能从该集成电路之外读取和写入内容的一个第一非易失性存储器;
一个可从该集成电路之外读取和写入内容并且不能由该处理器读取和写入内容的一个第二非易失性存储器;
在第一存储器中存储安全数据;
从在该集成电路以外的一个设备输入用户标识数据到该处理器;
验证该用户标识数据是否对应于保存在第一存储器中的安全数据;
如果该用户标识数据对应于保存在第一存储器中的安全数据的话,从该集成电路发送一个验证信号到该设备;以及
如果该用户标识数据不对应于保存在该第一存储器中的安全数据的话,则从该集成电路发送一个未验证信号到该设备。
14.如权利要求13所述的方法,进一步包含:从该设备写入非安全数据到该第二存储器中。
15.如权利要求13所述的方法,进一步包含:由该设备从该第二存储器中读取非安全的数据。
16.如权利要求13所述的方法,其特征在于:该第一存储器和第二存储器是闪速存储器。
17.如权利要求13所述的方法,进一步包含:
传输一个程序到集成电路中;
由该处理器验证该程序;以及
由该处理器运行该程序。
18.一个具有指令存储在其上的机器可读介质,当该指令由至少一个第一处理器运行时,导致所述至少一个第一处理器执行:
在在一个集成电路中的第一存储器中存储安全数据,第一存储器的内容可由在该集成电路中的一个CPU读取和写入,而且不能从该集成电路之外读取和写入;
从在该集成电路以外的一个设备中输入用户标识数据到该CPU;
验证该用户标识数据是否对应于保存在第一存储器中的安全数据;
如果该用户标识数据对应于保存在该安全数据的话,从该集成电路发送一个验证信号到该设备;
如果该用户标识数据不对应于保存在该第一存储器中的安全数据的话,则从该集成电路发送一个未验证信号到该设备。
19.如权利要求18所述的介质,其特征在于:该第一存储器是一个闪速存储器。
20.如权利要求18所述的介质,其特征在于:所述指令进一步导致所述至少一个处理器执行:
传输一个程序到集成电路中;
由该CPU验证该程序;以及
由该CPU运行该程序。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US60437700A | 2000-06-27 | 2000-06-27 | |
US09/604,377 | 2000-06-27 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN1439129A true CN1439129A (zh) | 2003-08-27 |
Family
ID=24419358
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN 01811832 Pending CN1439129A (zh) | 2000-06-27 | 2001-06-07 | 在非易失存储器设备内的嵌入安全设备 |
Country Status (5)
Country | Link |
---|---|
EP (1) | EP1320803A2 (zh) |
CN (1) | CN1439129A (zh) |
AU (1) | AU2001269780A1 (zh) |
TW (1) | TW519651B (zh) |
WO (1) | WO2002001368A2 (zh) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN100412831C (zh) * | 2005-08-03 | 2008-08-20 | 上海乐金广电电子有限公司 | 数据处理系统和存储器仲裁方法 |
CN101582107A (zh) * | 2008-05-13 | 2009-11-18 | 爱特梅尔公司 | 存取系统中具有存储器保护的存储器 |
CN102324006A (zh) * | 2011-09-06 | 2012-01-18 | 四川九洲电器集团有限责任公司 | 一种处理器程序安全保护装置及保护方法 |
CN103518206A (zh) * | 2011-05-10 | 2014-01-15 | 高通股份有限公司 | 用于使用缓冲器存储器地址范围规则的基于硬件的安全数据处理的装置和方法 |
CN104350514A (zh) * | 2012-03-19 | 2015-02-11 | 加拿大皇家铸币厂 | 资产存储和转移系统中的外部日志存储 |
CN105320620A (zh) * | 2014-08-01 | 2016-02-10 | 群联电子股份有限公司 | 存储器存储装置及控制方法、存储器控制电路单元及模块 |
CN105683992A (zh) * | 2013-12-06 | 2016-06-15 | 英特尔公司 | 设备启动自动冻结锁定 |
CN112074837A (zh) * | 2018-03-23 | 2020-12-11 | 美光科技公司 | 存储装置认证的修改 |
Families Citing this family (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6777400B2 (en) | 2000-08-05 | 2004-08-17 | Smithkline Beecham Corporation | Anti-inflammatory androstane derivative compositions |
US7350083B2 (en) | 2000-12-29 | 2008-03-25 | Intel Corporation | Integrated circuit chip having firmware and hardware security primitive device(s) |
US7386717B2 (en) * | 2002-03-07 | 2008-06-10 | Intel Corporation | Method and system for accelerating the conversion process between encryption schemes |
US20050044408A1 (en) * | 2003-08-18 | 2005-02-24 | Bajikar Sundeep M. | Low pin count docking architecture for a trusted platform |
US8601283B2 (en) | 2004-12-21 | 2013-12-03 | Sandisk Technologies Inc. | Method for versatile content control with partitioning |
US8504849B2 (en) | 2004-12-21 | 2013-08-06 | Sandisk Technologies Inc. | Method for versatile content control |
US8051052B2 (en) | 2004-12-21 | 2011-11-01 | Sandisk Technologies Inc. | Method for creating control structure for versatile content control |
TW201017514A (en) * | 2004-12-21 | 2010-05-01 | Sandisk Corp | Memory system with versatile content control |
US7743409B2 (en) | 2005-07-08 | 2010-06-22 | Sandisk Corporation | Methods used in a mass storage device with automated credentials loading |
US8245031B2 (en) | 2006-07-07 | 2012-08-14 | Sandisk Technologies Inc. | Content control method using certificate revocation lists |
US8140843B2 (en) | 2006-07-07 | 2012-03-20 | Sandisk Technologies Inc. | Content control method using certificate chains |
US8639939B2 (en) | 2006-07-07 | 2014-01-28 | Sandisk Technologies Inc. | Control method using identity objects |
US8266711B2 (en) | 2006-07-07 | 2012-09-11 | Sandisk Technologies Inc. | Method for controlling information supplied from memory device |
US8613103B2 (en) | 2006-07-07 | 2013-12-17 | Sandisk Technologies Inc. | Content control method using versatile control structure |
IL187045A0 (en) | 2007-10-30 | 2008-02-09 | Sandisk Il Ltd | Software protection against fault attacks |
IL187046A0 (en) | 2007-10-30 | 2008-02-09 | Sandisk Il Ltd | Memory randomization for protection against side channel attacks |
FR2924262B1 (fr) * | 2007-11-26 | 2009-12-11 | Sagem Securite | Procede de masquage de passage en fin de vie d'un dispositif electronique et dispositif comportant un module de controle correspondant |
US9104618B2 (en) | 2008-12-18 | 2015-08-11 | Sandisk Technologies Inc. | Managing access to an address range in a storage device |
DE102010028231A1 (de) * | 2010-04-27 | 2011-10-27 | Robert Bosch Gmbh | Speichermodul zur gleichzeitigen Bereitstellung wenigstens eines sicheren und wenigstens eines unsicheren Speicherbereichs |
GB201314231D0 (en) | 2013-08-08 | 2013-09-25 | Harwood William T | Data Comparator Store |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPS63253493A (ja) * | 1987-04-09 | 1988-10-20 | Mitsubishi Electric Corp | 情報記録システム |
FR2686170B1 (fr) * | 1992-01-14 | 1996-09-06 | Gemplus Card Int | Carte a memoire de masse pour microordinateur. |
-
2001
- 2001-05-21 TW TW90112104A patent/TW519651B/zh active
- 2001-06-07 WO PCT/US2001/018756 patent/WO2002001368A2/en not_active Application Discontinuation
- 2001-06-07 AU AU2001269780A patent/AU2001269780A1/en not_active Abandoned
- 2001-06-07 EP EP01948313A patent/EP1320803A2/en not_active Withdrawn
- 2001-06-07 CN CN 01811832 patent/CN1439129A/zh active Pending
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN100412831C (zh) * | 2005-08-03 | 2008-08-20 | 上海乐金广电电子有限公司 | 数据处理系统和存储器仲裁方法 |
CN101582107A (zh) * | 2008-05-13 | 2009-11-18 | 爱特梅尔公司 | 存取系统中具有存储器保护的存储器 |
CN103518206A (zh) * | 2011-05-10 | 2014-01-15 | 高通股份有限公司 | 用于使用缓冲器存储器地址范围规则的基于硬件的安全数据处理的装置和方法 |
CN103518206B (zh) * | 2011-05-10 | 2016-09-07 | 高通股份有限公司 | 用于使用缓冲器存储器地址范围规则的基于硬件的安全数据处理的装置和方法 |
US9836414B2 (en) | 2011-05-10 | 2017-12-05 | Qualcomm, Incorporated | Apparatus and method for hardware-based secure data processing using buffer memory address range rules |
CN102324006A (zh) * | 2011-09-06 | 2012-01-18 | 四川九洲电器集团有限责任公司 | 一种处理器程序安全保护装置及保护方法 |
CN102324006B (zh) * | 2011-09-06 | 2014-01-29 | 四川九洲电器集团有限责任公司 | 一种处理器程序安全保护装置及保护方法 |
CN104350514A (zh) * | 2012-03-19 | 2015-02-11 | 加拿大皇家铸币厂 | 资产存储和转移系统中的外部日志存储 |
CN105683992A (zh) * | 2013-12-06 | 2016-06-15 | 英特尔公司 | 设备启动自动冻结锁定 |
CN105320620A (zh) * | 2014-08-01 | 2016-02-10 | 群联电子股份有限公司 | 存储器存储装置及控制方法、存储器控制电路单元及模块 |
CN105320620B (zh) * | 2014-08-01 | 2018-09-14 | 群联电子股份有限公司 | 存储器存储装置及控制方法、存储器控制电路单元及模块 |
CN112074837A (zh) * | 2018-03-23 | 2020-12-11 | 美光科技公司 | 存储装置认证的修改 |
Also Published As
Publication number | Publication date |
---|---|
WO2002001368A2 (en) | 2002-01-03 |
TW519651B (en) | 2003-02-01 |
WO2002001368A3 (en) | 2003-03-27 |
EP1320803A2 (en) | 2003-06-25 |
AU2001269780A1 (en) | 2002-01-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN1439129A (zh) | 在非易失存储器设备内的嵌入安全设备 | |
CN1229705C (zh) | 基于生物统计的装置和系统以及相关的安全系统 | |
US11093258B2 (en) | Method for trusted booting of PLC based on measurement mechanism | |
CN102624699B (zh) | 一种保护数据的方法和系统 | |
US20100185843A1 (en) | Hardware encrypting storage device with physically separable key storage device | |
CN202795383U (zh) | 一种保护数据的设备和系统 | |
US9641330B2 (en) | Trusted tamper reactive secure storage | |
WO2015019110A1 (en) | Secure data storage | |
US11755406B2 (en) | Error identification in executed code | |
US7921270B2 (en) | Methods and systems for controlling access to a storage device | |
US20210382985A1 (en) | Virus immune computer system and method | |
US20220179945A1 (en) | Run-time code execution validation | |
EP3724803A1 (en) | Virus immune computer system and method | |
CN104361298A (zh) | 信息安全保密的方法和装置 | |
CN109902453A (zh) | 一种软件加密方法 | |
AU2010242006B2 (en) | Hardware encrypting storage device with physically separable key storage device | |
Di Leom | Remote Wiping in Android | |
CN117113437A (zh) | 一种文件篡改检测方法、装置、计算机设备及存储介质 | |
JP2013519124A (ja) | 物理的に分離可能なキーストレージデバイスを伴うハードウェア暗号化記憶装置 | |
Hargreaves et al. | Avoiding Live Imaging of Large Encrypted Volumes by Recovering Keys from Memory | |
RU2007148810A (ru) | Способ доверенной загрузки операционной системы программно-аппаратного комплекса |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
AD01 | Patent right deemed abandoned | ||
C20 | Patent right or utility model deemed to be abandoned or is abandoned |