DE3635938A1 - Sicherheitseinrichtung fuer gespeicherte sensitive daten - Google Patents

Sicherheitseinrichtung fuer gespeicherte sensitive daten

Info

Publication number
DE3635938A1
DE3635938A1 DE19863635938 DE3635938A DE3635938A1 DE 3635938 A1 DE3635938 A1 DE 3635938A1 DE 19863635938 DE19863635938 DE 19863635938 DE 3635938 A DE3635938 A DE 3635938A DE 3635938 A1 DE3635938 A1 DE 3635938A1
Authority
DE
Germany
Prior art keywords
conductive
line
line path
housing
path
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE19863635938
Other languages
English (en)
Other versions
DE3635938C2 (de
Inventor
Theodoor Adriaan Kleijne
Jan Bart Goossens
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NCR International Inc
Original Assignee
NCR Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NCR Corp filed Critical NCR Corp
Publication of DE3635938A1 publication Critical patent/DE3635938A1/de
Application granted granted Critical
Publication of DE3635938C2 publication Critical patent/DE3635938C2/de
Granted legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01LSEMICONDUCTOR DEVICES NOT COVERED BY CLASS H10
    • H01L23/00Details of semiconductor or other solid state devices
    • H01L23/57Protection from inspection, reverse engineering or tampering
    • H01L23/576Protection from inspection, reverse engineering or tampering using active circuits
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/86Secure or tamper-resistant housings
    • G06F21/87Secure or tamper-resistant housings by means of encapsulation, e.g. for integrated circuits
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01LSEMICONDUCTOR DEVICES NOT COVERED BY CLASS H10
    • H01L2924/00Indexing scheme for arrangements or methods for connecting or disconnecting semiconductor or solid-state bodies as covered by H01L24/00
    • H01L2924/0001Technical content checked by a classifier
    • H01L2924/0002Not covered by any one of groups H01L24/00, H01L24/00 and H01L2224/00

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Condensed Matter Physics & Semiconductors (AREA)
  • Power Engineering (AREA)
  • Storage Device Security (AREA)

Description

Die Erfindung betrifft eine Sicherheitseinrichtung zum Schützen gespeicherter sensitiver Daten.
Die internationale Patentanmeldung WO 84/04 614 offenbart eine Datensicherheitsvorrichtung mit einem Behälter aus zerbrechlichem Material wie vorgespanntes Glas, der einen Datenprozessor, eine CMOS-RAM-Speichervorrichtung zum flüchtigen Speichern verschlüsselter Schlüsseldaten und eine Batterie enthält, die die Stromversorgung für die Speichervorrichtung bildet. Der Behälter besteht aus einem Gehäuse und einem Deckel. Die Batterie ist mit der Speichervorrichtung durch eine Versorgungsleitung verbunden, die auf den Innenflächen des Gehäuses und des Deckels in Form eines gewundenen Pfades ausgebildet wird, wobei die Teile des Versorgungsleiters an dem Gehäuse und den Deckel durch Kontaktpaare an den Verbindungsflächen zwischen dem Gehäuse und dem Deckel verbunden sind. Der Leiter wird durch ein aufgedampftes Metalldünnfilmmaterial gebildet. Das Muster des Versorgungsleiters ist bifilar und die Teile des Leiters sind verschachtelt mit zusätzlichen Leitern auf den Innenflächen des Gehäuses und des Deckels, die geerdet oder mit einer Spannungsquelle verbunden sind. Wird somit der Stromversorgungsleiter unterbrochen oder mit einem der zusätzlichen Leiter verbunden, dann würde die Stromversorgung zu dem RAM- Speicher soweit geändert, daß die Daten in dem RAM-Speicher zerstört würden. Die bekannte Vorrichtung hat den Nachteil, daß nur ein verhältnismäßig niedriger Sicherheitspegel vorliegt, da die Breite des Stromversorgungsleiters auf dem Gehäuse ausreichend groß gehalten werden muß, damit eine annehmbare Spannungsversorgung der Speichervorrichtung gewährleistet ist. Derartig verhältnismäßig breite Leiter bieten jedoch die Möglichkeit eines Eindringens. So könnte es beispielsweise möglich sein, eine Bohrung von ausreichend kleinem Durchmesser anzubringen, um einen Leitungsweg in einem verhältnismäßig breiten Stromversorgungsleiter aufrechtzuerhalten und dennoch über die Bohrung einen unerlaubten Zugriff zu der Speichervorrichtung zu erhalten. Die bei der Herstellung der bekannten Einrichtung verwendete Dünnfilm-Technologie führt außerdem zu hohen Gerätekosten.
Die DE-OS 30 23 427 offenbart eine mobile Datenspeichereinheit mit einer Vielzahl von Speichervorrichtungen in einem geschlossenen Behälter, der aus einem Gehäuse und einem Deckel gebildet wird. In dem die Wände des Behälters bildenden Material sind eine Vielzahl von Differenzdrucksensorvorrichtungen vorgesehen, die mit geschlossenen Kanälen verbunden sind, die ebenfalls in den Wänden des Behälters angebracht sind, derart, daß jeder Versuch in den Behälter einzubrechen, der den Druck in den geschlossenen Kanälen unterbricht, von den Drucksensorvorrichtungen festgestellt wird und die Betätigung eines Relais bewirkt, so daß ein Löschsignal abgegeben wird, das den Inhalt der Speichervorrichtungen löscht. In dem die Wände des Behälters bildenden Material ist auch ein dünnes Leiterpaar angeordnet, das in willkürlicher Führung durch das Gehäuse und den Deckel verläuft und mit einer Spannungsquelle und dem Relais verbunden ist. Jeglicher externer Einfluß, der einen der dünnen Leiter unterbricht, bewirkt auch das Ansprechen des Relais und die Abgabe eines Löschsignals zum Löschen des Inhalts der Speichervorrichtungen. Diese bekannte Vorrichtung ist jedoch von komplexem und teurem Aufbau bedingt durch die Anordnung der geschlossenen Kanäle und der Drucksensorvorrichtungen in den Wänden. Es besteht ferner die Möglichkeit, eine Bohrung mit geringem Durchmesser in das Innere der Einheit zu führen, ohne einen der dünnen Leiter des Leiterpaares zu unterbrechen. Somit ist der mit dieser Einheit erreichbare Sicherheitsgrad ebenfalls begrenzt.
Der Erfindung liegt die Aufgabe zugrunde eine Datensicherheitsvorrichtung anzugeben, bei der die vorgenannten Nachteile verringert werden.
Erfindungsgemäß wird somit eine Sicherheitsvorrichtung zum Schützen gespeicherter sensitiver Daten angegeben, mit einem geschlossenen Gehäuse, das Speichervorrichtungen zum Speichern sensitiver Daten enthält, mit dem Kennzeichen, das in dem Gehäuse Leitungswege und leitende Schichten oder Blätter angeordnet sind, daß die Leitungswege eine Vielzahl von miteinander verbundenen ersten und zweiten Leitungswegsegmenten aufweisen, daß die leitenden Schichten oder Blätter eine Vielzahl von miteinander verbundenen Schichten oder Blättern aufweisen, daß jedes erste Leitungswegsegment und ein diesem zugeordnetes zweites Leitungswegsegment und ein diesem zugeordnetes leitendes Blatt übereinander und durch Isoliermaterial getrennt angeordnet sind, und daß die Leitungswege und die leitenden Schichten oder Blätter mit einer Eindringfeststellschaltung verbunden sind, die ein Rückstellsignal zum Löschen des Inhalts der Speichervorrichtungen abgibt, falls bei einem Eindringversuch in das Gehäuse die Leitungswege oder die elektrischen Verbindungen zwischen den Leitungswegen und den leitenden Schichten oder Blättern unterbrochen werden.
Bevorzugte Weiterbildungen der erfindungsgemäßen Sicherheitseinrichtung sind in den Unteransprüchen gekennzeichnet.
Weitere Merkmale und Vorteile der Erfindung ergeben sich aus der nachfolgenden Beschreibung eines Ausführungsbeispiels anhand der Zeichnung. Es zeigen
Fig. 1 eine Perspektivansicht des Ausführungsbeispiels einer erfindungsgemäßen Sicherheitseinrichtung,
Fig. 2 eine auseinandergezogene Perspektivansicht der Sicherheitsvorrichtung nach Fig. 1, wobei die Positionen der bei der Vorrichtung verwendeten Verbindungsblöcke veranschaulicht sind,
Fig. 3 eine Seitenansicht der Sicherheitseinrichtung nach Fig. 1 bei entfernter Vorderwand,
Fig. 4 eine Draufsicht auf die Sicherheitseinrichtung nach Fig. 1 bei entfernter Deckplatte,
Fig. 5 eine Draufsicht auf eine gedruckte Schaltungsplatte, wie sie bei der Sicherheitseinrichtung gemäß Fig. 1 verwendet wird,
Fig. 6A bis 6L schematische Ansichten in verkleinertem Maßstab von der Anordnung der leitenden und isolierenden Schichten, die auf den Innenflächen der das Gehäuse der Sicherheitseinrichtung bildenden Wände übereinanderliegend angeordnet sind,
Fig. 7 eine schematische Darstellung zur Erläuterung, wie bestimmte Verbindungen zwischen leitenden Schichten und durch die isolierenden Schichten gemäß Fig. 6A bis 6L hergestellt werden,
Fig. 8 eine schematische Darstellung von zusätzlichen Verbindungen zwischen den leitenden Schichten und durch die isolierenden Schichten gemäß den Fig. 6A bis 6L,
Fig. 9 eine schematische Darstellung der Positionen der Verbindungsblöcke auf den Innenflächen der das Gehäuse der Sicherheitseinrichtung bildenden Wände,
Fig. 10A und 10B schematische Darstellungen zur Erläuterung der elektrischen Verbindungen zwischen den das Gehäuse der Sicherheitseinrichtung bildenden Wänden,
Fig. 11 eine Perspektivansicht eines Verbindungsblockes,
Fig. 12 eine aufgeschnittene Seitenansicht, teilweise im Schnitt, eines der Verbindungsblöcke zu der gedruckten Schaltung, zwischen zwei der Platten,
Fig. 13 eine aufgeschnittene Seitenansicht, teilweise im Schnitt, eines der Verbindungsblöcke zu der gedruckten Schaltung,
Fig. 14 ein Blockschaltbild einer elektronischen Schaltung innerhalb der Sicherheitseinrichtung und
Fig. 15 ein Blockschaltbild der Eindringfeststellschaltung gemäß Fig. 14.
Die Fig. 1 und 2 zeigen eine Sicherheitseinrichtung 10 gemäß dem Ausführungsbeispiel der Erfindung mit einem Gehäuse 11, welches gebildet wird von einer Deckplatte P 1, Seitenplatten P 2 bis P 5 und einer Grundplatte P 6. Die sechs Platten P 1 bis P 6 bestehen vorzugsweise aus keramischem Material, da dieses hochresistent gegenüber chemischen Einflüssen ist. Innerhalb des Gehäuses 11 befindet sich eine in den Fig. 1 und 2 nicht gezeigte elektronische Schaltung, die mit nicht gezeigten Leitern auf einem flexiblen gedruckten Schaltungselement 12 verbunden sind, das sich durch einen engen Schlitz 14 zwischen den Platten P 1 und P 2 erstreckt. Da das flexible gedruckte Schaltungselement 12 sehr dünn ist, bevorzugt eine Dicke von nur 140 µm besitzt, ist auch die Höhe des engen Schlitzes 14 sehr gering, so daß es schwierig ist, durch den engen Schlitz 14 in das Gehäuse einzudringen. Die Außenkante 16 des flexiblen Elements 12 kann mit einer starren gedruckten Schaltungsanordnung (nicht gezeigt) zur Verbindung mit anderen Schaltungselementen verbunden sein, die sich in der Umgebung befinden, in der die Sicherheitseinrichtung 10 verwendet wird. Fig. 2 zeigt auch die Anordnung von Verbindungsblöcken N 1-N 14 innerhalb des Gehäuses 11, deren Zweck noch nachstehend erläutert wird.
Fig. 3 zeigt eine Seitenansicht der Sicherheitseinrichtung 10 in Richtung der Pfeile 3-3 in Fig. 1 gesehen, wobei die Vorderplatte 5 entfernt ist. Innerhalb des Gehäuses 11 der Sicherheitseinrichtung 10 ist eine gedruckte Schaltungsplatte (PCB) 20 angeordnet. Fig. 3 und Fig. 4 zeigen auch, daß keramische Platten 22, 24, 26, 28 oberhalb der PCB 20 und eine weitere keramische Platte 30 auf den oberen Kanten der Platten 22 bis 28 angeordnet sind. Unterhalb der PCB 20 befinden sich keramische Platten 32, 34, 36 und 38 in Positionen, die denjenigen der Platten 22, 24, 26 und 28 entsprechen. Die Positionen der Platten 32, 34, 36 und 38 sind mit gestrichelten Bezugslinien in Fig. 4 angedeutet. An den Unterkanten der Platten 32, 34 36 und 38 ist eine weitere keramische Platte 40 befestigt. Die zehn Platten 22 bis 40 bilden zusammen einen inneren keramischen Kasten 42, der eine zusätzliche Sicherheit für die elektronische Schaltung 84 bietet, deren allgemeine Lage durch die gestrichelt gezeichneten Rechtecke in Fig. 3 angedeutet ist. Es ist zu beachten, daß die Bauteile der elektronischen Schaltung 84 zu beiden Seiten der PCB 20 angeordnet sind. Hieraus ergibt sich, daß selbst bei einem Durchdringend des Gehäuses 11 mittels einer Bohrung von sehr kleinem Durchmesser es immer noch notwendig wäre den inneren keramischen Kasten 42 zu durchdringend, um einen Zugang zu der elektronischen Schaltung 84 zu erhalten.
Fig. 5 zeigt eine Draufsicht auf die PCB 20. Diese besitzt einen starren Aufbau, der sich auf Grund zweier starrer Elemente ergibt, von denen in Fig. 5 lediglich das obere starre Element 50 gezeigt ist, und zwischen denen ein nichtgezeigtes flexibles Element angeordnet ist, das sich in dem flexiblen gedruckten Schaltungselement 12 fortsetzt. Die PCB 20 besitzt übliche (nichtgezeigte) elektrische Leiter, wodurch elektrische Verbindungen zwischen den Schaltungselementen der PCB 20 hergestellt werden, einschließlich der elektronischen Schaltung 84 und Leitungswegsegmenten und Leitungschichten oder -blätter auf den entsprechenden Platten P 1 bis P 6, wie dies nachstehend noch im einzelnen beschrieben wird.
Die PCB 20 ist auf Verbindungsblöcken N 1, N 4, N 7, N 8, N 11 und N 14 über Abstandsscheiben 72, 74 (Fig. 3) abgestützt, die aus nachgiebigem Material, wie Gummi, sein können und die zur Kompensation einer unterschiedlichen Wärmeausdehnung des keramischen Materials und des Materials der gedruckten Schaltungsplatte dienen können.
Jede der sechs Platten P 1 bis P 6, die das Gehäuse 11 bilden, ist an ihrer Innenfläche in Form überlagerter durch Isoliermaterial getrennter Schichten mit einem ersten Leistungswegsegment versehen, das in Form eines Windungsmusters angeordnet ist, sowie einer leitenden Schicht (bzw. einem leitenden Blatt) und einem zweiten Leitungswegsegment in einer Windungskonfiguration die komplementär zu derjenigen des ersten Leitungswegs ist, wie dies nachstehend noch im einzelnen beschrieben wird. Die Leitungswegsegmente auf jeder Platte sind in Reihe geschaltet, so daß sich ein Leitungsmustersegment für die zugeordnete Platte ergibt.
Die Art wie die Leitungswegsegmente und die leitende Schicht auf einer typischen der Platten ausgebildet und angeordnet sind, wird nun unter Bezugnahme auf die Fig. 6A bis 6L, 7 und 8 näher erläutert.
Es sei zuerst daraufhingewiesen, daß die Fig. 6A bis 6L isolierende und leitende Schichten veranschaulichen, die übereinander auf der Innenfläche der Platte angeordnet sind, wobei die Fig. 6A die oberste Schicht zeigt, die aus isolierendem Glas besteht, und die Fig. 6L die unterste Schicht darstellt die aus leitendem Material ist. Die verschiedenen isolierenden und leitenden Schichten werden mittels einer üblichen Dickfilm-Ablagerungstechnik gebildet. Derartige Verfahren sind allgemein bekannt und werden hier nicht beschrieben. Es genügt daraufhinzuweisen, daß für jede leitende und isolierende Schicht ein anderes Sieb hergestellt und zur Ablagerung einer entsprechenden leitenden oder isolierenden Paste verwendet wird. Nach jedem Auftragen wird die beschichtete Platte auf etwa 800 °C erwärmt, um die abgelagerte Paste zu härten. Die Dicke der auf diese Weise gebildeten leitenden Schicht liegt im Bereich von etwa 10 µmbis 15 µm.
Im einzelnen veranschaulicht die Fig. 6A eine Glasschicht G mit Öffnungen G 1 bis G 4 darin; Fig. 6B eine leitende Schicht C 6 unter der Glasschicht G mit leitenden Inseln L 1 bis L 4 und Leitungswegen C 6.1 bis C 6.5; Fig. 6C eine dielektrische Schicht D 5 unterhalb der leitenden Schicht C 6 mit Öffnungen D 5.1 bis D 5.6; Fig. 6D eine leitenden Schicht C 5 unterhalb der dielektrischen Schicht D 5 mit Leitern und leitenden Bereichen C 5.1 bis C 5.9; Fig. 6E eine dielektrische Schicht D 4 unterhalb der leitenden Schicht C 5 mit Öffnungen D 4.1 bis D 4.12; Fig. 6F eine leitende Schicht C 4 unterhalb der dielektrischen Schicht D 4 mit Leitern und leitenden Flächen C 4.1 bis C 4.17; Fig. 6G eine dielektrische Schicht D 3 unterhalb der leitenden Schicht C 4 mit Öffnungen D 3 unterhalb der leitenden Schicht C 4 mit Öffnungen D 3.1 bis D 3.12; Fig. 6H eine leitende Schicht C 3 unterhalb der dielektrischen Schicht D 3 mit Leitern und leitenden Flächen C 3.1 bis C 3.8. Fig. 6I eine dielektrische Schicht D 2 unterhalb der leitenden Schicht C 3 mit Öffnungen D 2.1 bis D 2.4, Fig. 6J eine leitende Schicht C 2 unterhalb der dielektrischen Schicht D 2 mit leitenden Bereichen C 2.1 bis C 2.3.; Fig. 6K eine dielektrische Schicht D 1 unterhalb der leitenden Schicht C 2 mit Öffnungen D 1.1 und D 1.2 und Fig. 6L die unterste leitende Schicht C 1, die auf der Innenfläche der Platte aufgebracht ist.
Anhand der Fig. 6A bis 6L in Verbindung mit Fig. 7 soll nun der Verlauf der Leitungswegsegmente und ihrer Verbindungen beschrieben werden beginnend von der leitenden Insel L 1 und endend an der leitenden Insel L 2, wobei ersichtlich ist, daß der Kontakt zwischen den leitenden Insel L 1 und L 2 durch die Öffnungen G 1 und G 2 in der in der Glasschicht G (Fig. 6A) hergestellt Somit verläuft der Leitungsweg von der leitenden Insel L 1 über die Leitung C 6.1 durch die Öffnung D 5.1 längs der Leitung C 5.1 durch die Öffnung D.4.1 über den leitenden Bereich C 4.1, durch die Öffnung D 3.1, entlang des Leiters C 3.1, durch die Öffnung D 3.2, über den leitenden Bereich C 4.2, durch die Öffnung D 4.2, entlang des Leiters C 5.2, durch die Öffnung D 4.3, über den leitenden Bereich durch die Öffnung D 3.3. entlang des Leiters C 3.2, durch die Öffnung D 3.4, über den leitenden Bereich C 4.4, durch die Öffnung D 44, entlang des Leiters C 5.3, durch die Öffnung D 4.5, über den leitenden Bereich C 4.5, durch die Öffnung D 3.5, entlang des Leiters C 3.3, durch die Öffnung D 3.6, über den leitenden Bereich C 4.6, durch die Öffnung D 4.6, entlang des Leiters C 5.4, durch die Öffnung D 4.7, über den leitenden Bereich C 4.7, durch die Öffnung D 3.7, entlang des Leiters C 3.4, durch die Öffnung D 3.8, über den leitenden Bereich C 4.8, durch die Öffnung D 4.8, entlang des Leiters C 5.5, durch die Öffnung D 5.2, entlang des Leiters C 6.2, durch die Öffnung D 5.3, über den leitenden Breich C 5.6, durch die Öffnung D 4.9, über den leitenden Bereich C 4.9, durch die Öffnung D 3.9, entlang des Leiters C 3.5, durch die Öffnung D 2.1, über den leitenden Bereich C 2.2, durch die Öffnung D 1.1., entlang des Leiters C 1.1, durch die Öffnung D 1.2, über den leitenden Bereich C 2.3, durch die Öffnung D 2.2, entlang des Leiters C 3.6, durch die Öffnung D 3.10, entlang des Leiters C 4.10, durch die Öffnung D 4.10, über den leitenden Bereich C 5.7, durch die Öffnung D 5.4, und entlang des Leiters C 6.3 zu der leitenden Insel L 2.
Es ist ersichtlich, daß die Leiter C 5.1 bis C 5.5, C 3.1 bis C 3.4 zusammen betrachtet ein erstes Leitungswegsegment darstellen, das der Einfachheit halber als CPS 1 bezeichnet sei, während der Leier C 1.1 ein zweites Leitungswegsegement CPS 2 bildet und die beiden Segmente in Reihe geschaltet sind.
Unter Bezugnahme auf die Fig. 6A bis 6L in Verbindung mit Fig. 8 sollen nun die Positionen und Verbindungen der leitenden Schichten oder Blätter beschrieben werden, beginnend mit der leitenden Insel L 3 und endend auf der leitenden Insel L 4, wobei ersichtlich ist, daß der Kontakt mit den leitenden Inseln L 3 und L 4 über die Öffnungen G 3 und G 4 in der Glasschicht G (Fig. 6A) gemacht wird. Somit verläuft die Verbindung von der leitenden Insel L 3 längs des Leiters C 6.4 durch die Öffnung D 5.5 über den leitenden Bereich C 5.8 durch die Öffnung D 4.11 über den Leiter C 4.11 zu den Leitern C 4.12 und D 4.13, die entsprechend mit leitenden Bereichen C 4.16 und C 4.17 verbunden sind, die Teile der leitenden Schicht bilden. Die Verbindung setzt sich fort von Leiter C 4.11 über den C 4.14 zu dem leitenden Bereich C 4.14 A durch die Öffnung D 3.11 über den leitenden Bereich C 3.7 durch die Öffnung D 2.3 zu dem leitenden Schichtbereich C 2.1 und dann durch die Öffnungen D 2.4 über den leitenden Bereich C 3.8 durch die Öffnung D 3.12 über den leitenden Bereich C 4.15 A und den Leiter C 4.15 durch die Öffnung D 4.12 über den leitenden Bereich C 5.9 durch die Öffnung D 5.6 und über den Leiter C 5.6 zur leitenden Insel L 4.
Es ist ersichtlich, daß die leitenden Flächen C 2.1, C 4.16 und C 4.17 zusammen als leitende Schicht angesehen werden können und es ist zu beachten, daß die Flächen C 4.16, C 4.17 die weggeschnittenen Ecken der Fläche C 2.1 überlappen wie dies am besten aus Fig. 8 ersichtlich ist.
Es ist verständlich, daß Schichten mit Konfigurationen, die zu denjenigen identisch sind, die in den Fig. 6A bis 6L gezeigt sind, auf allen Platten ausgebildet sind, obgleich die tatsächliche Form der Platten P 2 bis P 5 rechteckig und nicht quadratisch ist. Die einzige Ausnahme besteht darin, daß die Konfigurationen der obersten leitenden Schicht, die die Position der Inseln L 1 bis L 4 (Fig. 6B) einschließt, und der entsprechenden obersten Glasschicht G (Fig. 6A) sich von Platte zu Platte ändert, damit Verbindungen mit Inseln L 1 bis L 4 an geeigneten Stellen auf den einzelnen Platten P 1 bis P 6 hergestellt werden können.
Es sei daraufhingewiesen, daß die verschiedenen Leiter der leitenden Schichten C 1, C 3 bis C 6, wie sie schematisch in den Fig. 6A bis 6L gezeigt sind, eine Breite von etwa 300 µm haben können und daß der Abstand zwischen den Windungen der Schichten C 1 und C 5 ebenfalls etwa bei der 300 µm liegt. Es ist auch zu beachten, daß die ersten und zweiten Leistungswegsegmente CPS 1, CPS 2 mit zueinander komplementären Windungskonfigurationen versehen sind, das heißt, daß die Windungen des ersten Leitungswegsegments CPS 1 über den Zwischenräumen zwischen den Windungen des zweiten Leitungswegsegments CPS 2 liegen und die Zwischenräume zwischen den Windungen des ersten Leitungswegsegments CPS 1 über den Windungen des zweiten Leitungswegsegments CPS 2 liegen. Die in Reihe geschalteten Leitungswegsegmente CPS 1 und CPS 2 auf jeder Platte stellen zusammen ein Leitungs- oder Drahtmustersegment für die jeweilige Platte dar. Ebenso bilden die leitende Fläche C 2.1 der leitenden Schicht C 2 und die leitenden Flächen C 4.16 und C.17 der leitenden Schicht C 4 zusammen eine leitenden Schicht bzw. ein leitendes Blatt.
Es soll nun kurz beschrieben werden, wie die Sicherheitseinrichtung 10 zusammengebaut wird. Zuerst werden die sechs Platten P 1 bis P 6 vorbereitet und die leitenden und isolierenden Schichten, wie sie unter Bezugnahme auf die Fig. 6A bis 6L beschrieben wurden, werden darauf aufgebracht. Die Platten P 1 bis P 5 werden dann zusammen mit den Verbindungsblöcken N 1 bis N 14 unter Verwendung von Epoxydbonden oder -kleben zusammengesetzt. Die gedruckte Schaltungsplatte PCB 20 wird dann zusammen mit dem inneren keramischen Kasten 12 darauf zusammengesetzt und leitend unter Verwendung von leitenden Abstandshaltern 72 mit den Verbindungsblöcken N 1, N 7, N 8 und N 14 leitend verbondet und unter Verwendung der nichtleitenden Abstandshalter 74 mit den Verbindungsblöcken N 4 und N 11 nichtleiten verbondet bzw. verbunden. Das flexible gedruckte Schaltungselement wird über die Oberkante der Platte P 2 geführt. Schließlich wird die Platte P 1 auf die Anordnung aufgesetzt. Die Platte P 1 wird mit den Oberkanten der Platten P 2 bis P 5 und dem flexiblen gedruckten Schaltungselement 12 durch Epoxydbonden verbunden, wobei das Bondmaterial auch den Schlitz 14 zwischen den Platten P 1 und P 2 ausfüllt. Die Platte P 1 wird auch leitend mit den Verbindungsblöcken N 2, N 3, N 12 und N 13 verbondet. An allen Ecken und Kanten der Einrichtung 10 ist zur mechanischen Stärkung weiteres nichtleitendes Epoxydharz (nicht gezeigt) angebracht.
Wird bei einer derartigen Anordnung versucht in das Gehäuse 11 einzudringen, in dem eine der Platten P 1 bis P 6 durchbohrt wird, so durchdringt eine derartige Bohrung auch bei kleinem Durchmesser zumindest eines der beiden Leitungswegsegmente auf der Platte und die leitende Schicht auf der Platte. Wie nachstehend noch beschrieben wird, hierdurch ein sehr hoher Sicherheitsgrad für die in der Einrichtung 10 gespeicherten sensitiven Daten gewährleistet. Auch wird ein derartig hoher Sicherheitsgrad unter Verwendung von verhältnismäßig kostengünstigen Dickfilm- Verfahren erzielt.
Die Art und Weise wie die Leitungsmustersegmente und leitenden Schichten oder Blätter auf den sechs Platten P 1 bis P 6 miteinander verbunden sind, wird nun unter besonderer Bezugnahme auf die Fig. 9, 10A und 10B erläutert. Die Verbindungen werden unter Verwendung von 14 Verbindungsblocks N 1 bis N 14 erreicht. Fig. 11 zeigt einen typischen Verbindungsblock N 1. Dieser Block N 1 ist ein keramischer Block mit sechs ebenen Flächen. Auf drei benachbarten Flächen 40, 42, und 44 sind entsprechende leitende Flächen 46, 48 und 50 mittels üblicher Dickfilmablagerungsverfahren derart angeordnet, daß sich ein Leitungsweg zwischen den leitenden Flächen 40 und 50 über die leitende Fläche 48 ergibt. Die Flächen 46 und 50 sind rechteckig und die Fläche 48 ist teilringförmig. Diese Ausbildung der leitenden Flächen 46, 48 und 50 bietet eine zusätzliche Sicherheit, wenn der Verbindungsblock im Gehäuse 11 positioniert ist, wie dies nachstehend noch erläutert wird.
Die tatsächlichen Positionen der Verbindungsblöcke N 1 bis N 14 an den Innenflächen der Platten P 1 bis P 6 sind schematisch in Fig. 9 veranschaulicht. Für ein weiteres besseres Verständnis sind die Positionen der Verbindungsblöcke N 1 bis N 14 auch in der auseinandergezogenen Perspektivansicht der Fig. 2 gezeigt.
Es wird nun beschrieben, wie die Leitungmustersegmente der sechs Platten P 1 bis P 6 miteinander unter Verwendung der Verbindungsblöcke N 1 bis N 7 zu einem Leitungsmuster WM (Fig. 10A) verbunden werden.
Als erstes ist zu beachten, daß in Fig. 10A die kleinen Kreise 60 Verbindungen darstellen, die durch leitendes Bonden etwa durch Bonden mit leitendem Epoxydharz hergestellt wurden. Beginnend von dem leitenden Kontakt B 1 auf der gedruckten Schaltungsplatte PCB 20 verläuft der Leitungsweg des Leitungsmusters WM über den Verbindungsblock N 1, eine leitenden Insel P 5 L 1 (entsprechend der Insel L 1 in Fig. 6B) auf der Platte P 5, das Leitungsmustersegment P 5 W auf der Platte P 5, eine leitende Insel P 5 L 2 (entsprechend der Insel L 2 in Fig. 6B) auf der Platte P 5, den Verbindungsblock N 2, eine leitende Insel P 1 L 1 auf der Platte P 1, das Leitungsmustersegment P 1 W auf der Platte P 1, eine leitende Insel P 1 L 2 auf der Platte P 1, den Verbindungsblock N 3, eine leitende Insel P 4 L 1 auf der Platte P 4, das Leitungsmustersegment P 4 W auf der Platte P 4, eine leitende Insel P 4 L 2 auf der Platte P 4, den Verbindungsblock N 4, eine leitende Insel P 6 L 1 auf der Platte P 6 das Leitungsmustersegment P 46 W auf der Platte P 6, eine leitende Insel P 6 L 2 auf der Platte P 6, den Verbindungsblock N 5, eine leitende Insel P 2 L 1 auf der Platte P 2, das Leitungsmustersegment P 2 W auf der Platte P 2, eine leitende Insel P 2 L 2 auf der Platte P 2, den Verbindungsblock N 6, eine leitende Insel P 3 L 1 auf der Platte P 3, das Leitungsmustersegment P 3 W auf der Platte P 3, eine leitende Insel P 3 L 2 auf der Platte P 3, den Verbindungsblock N 7 zu einem leitenden Kontakt P 2 auf der gedruckten Schaltungsplatte PCB 20.
Als nächstes soll nun die Art und Weise beschrieben werden, in der die leitenden Schichten auf den sechs Platten miteinander verbunden sind, um die leitenden Blätter oder Schichten zu bilden, die der Einfachheit halber als Spannungsebene VP bezeichnet seien.
Es ist wiederum zu beachten, daß die kleinen Kreise 62 in Fig. 10B Verbindungen darstellen, die durch leitendes Bonden, etwa durch Bonden mit leitendem Epoxydharz hergestellt wurden. Beginnend mit einem leitenden Kontakt B 3 auf der gedruckten Schaltungsplatte PCB 20 verläuft die Verbindung über den Verbindungsblock N 8, eine leitende Insel P 5 L 3 auf der Platte P 5, die leitende Schicht P 5 C auf der Platte P 5, eine leitende Insel P 5 L 4 auf der Platte P 5, den Verbindungsblock N 9, eine leitende Insel P 2 L 3 auf der Platte P 2, die leitende Schicht P 2 C auf der Platte P 2, eine leitende Insel P 2 L 4 auf der Platte P 2, den Verbindungsblock N 2, eine leitende Insel P 6 L 3 auf der Platte P 6, die leitende Schicht P 6 C auf der Platte P 6, eine leitende Insel P 6 L 4 auf der Platte P 6, den Verbindungsblock N 11, eine leitende Insel P 4 L 3 auf der Platte P 4, die leitende Schicht P 4 C auf der Platte P 4, eine leitende Insel P 4 L 4 auf der Platte P 4, den Verbindungsblock N 12, eine leitende Insel P 1 L 3 auf der Platte P 1, die leitende Schicht P 1 C auf der Platte P 1, eine leitende Insel P 1 L 4 auf der Platte P 1, den Verbindungsblock N 13, eine leitende Insel P 3 L 3 auf der Platte P 3, die leitende Schicht P 3 C auf der Platte P 3, eine leitende Insel P 3 L 4 auf der Platte P 3, den Verbindungsblock N 14 zu einem leitenden Kontakt B 4 auf der gedruckten Schaltungsplatte PCB 20.
Es sei nun auf Fig. 12 Bezug genommen, die die Art und Weise veranschaulicht, wie einer der zweiter Platten P 1 bis P 6 verbindenden Verbindungsblöcke bezüglich dieser zwei Platten angeordnet ist. Beispielsweise soll die Anordnung des Verbindungsblockes N 4 bezüglich der Platten P 4 und P 6 beschrieben werden. Der Block N 4 besitzt leitende Flächen 46 A, 48 A und 50 A entsprechend den leitenden Flächen 46, 48 und 50 des Blocks N 1 gemäß Fig. 11. Die leitende Fläche 46 A ist über leitendes Bondmaterial 60 (vgl. auch Fig. 10A) mit der leitenden Insel P 4 L 2 auf der Platte P 4 verbunden. Es ist ersichtlich, daß bezüglich der Platten P 4 und P 6 die zuvor unter Bezugnahme auf die Fig. 6D 6J und 6L beschriebenen leitenden Schichten C 5, C 2 und C 1 gezeigt und mit P 4 C 5, P 4 C 2, P 4 C 1 auf der Platte P 4 und mit P 6 C 5, P 6 C 2 und P 6 C 1 auf der Platte P 6 bezeichnet sind. Ferner sind die zuvor unter Bezugnahme auf die Fig. 6B, 6F und 6H erläuterten leitenden Schichten C 6, C 4 und C 3 in der Ansicht nach Fig. 13 auf den Platten P 4 und P 6 nicht zu sehen. Wird dies beachtet, dann zeigt sich, daß der Verbindungsblock N 4 derart positioniert ist, daß die leitende Fläche 46 A durch leitendes Epoxydharz 60 mit der leitenden Insel P 5 L 11 auf der Platte P 4 und die leitende Fläche 50 A über leitendes Epoxydharz 60 mit der Insel P 6 L 1 auf der Platte P 6 verbunden sind. Die Bereiche 66 und 68 stellen Material der dielektrischen Schichten D 1 bis D 5 und der obersten Glasschicht D dar, wie dies zuvor beschrieben wurde.
Selbst wenn es somit möglich wäre, in das Gehäuse 11 im Bereich 70 zwischen den Platten P 4 und P 6 einzudringen, würde es die Anordnung der leitenden Flächen 46 A, 48 A und 50 A auf dem Block N 4 äußerst schwierig machen, einen Zugang zu dem Leitungsweg auf Block N 4 zu erreichen. Hierdurch ergibt sich eine zusätzliche Sicherheit auf Grund des Aufbaus der Verbindungsblöcke N 1 bis N 14 gemäß der vorstehenden Beschreibung.
Fig. 13 zeigt eine Seitenansicht mit dem Verbindungsblock N 1, der die Insel P 5 L 1 auf der Platte P 5 mit dem Kontakt B 1 auf der gedruckten Schaltungsplatte 20 verbindet. Leitende Schichten P 5 C 1, P 5 C 2 und P 5 C 5 sind auf Platte 5 und die leitenden Schichten P 6 C 1, P 6 C 2, P 6 C 5 für die Platte P 6 gezeigt. Die leitende Insel P 5 L 1 auf der Platte P 5 ist über leitendes Bondmaterial 60 mit der leitenden Fläche 50 auf dem Block N 1 und die leitende Fläche 46 auf dem Block N 1 ist über leitendes Bondmaterial 60 mit Abstandshalter 72 aus leitendem nachgiebigen Material, etwa leitendem Gummi verbunden. Der Abstandshalter 72 ist mittels leitendem Bondmaterial 76 etwa leitendem Epoxydhard mit dem Kontakt B 1 auf der Unterseite der gedruckten Schaltungsplatte PCB 20 in Verbindung. Der Kontakt B 1 ist mit nichtgezeigten Leitern der gedruckten Schaltungsplatte PCB 20 verbunden.
Fig. 14 zeigt die elektronische Schaltung 84 der Fig. 3 in größerer Einzelheit. Die elektronische Schaltung 84 besitzt eine Datenverarbeitungsschaltung 100 und eine Eindringfeststellschaltung 102.
Die Datenverarbeitungsschaltung 100 kann dazu verwendet werden, beliebige gewünschte Datenverarbeitungen bei Anwendungen vorzunehmen, wie beispielsweise in elektronischen Geldausgabesystemen, elektronischen Geldüberweisungen, Datenverschlüsselung/- entschlüsselung, Verifizierung eines persönlichen Geheimkodes, Datenaussendung/-empfang, Zugangssteuerung und Abwicklung von Bankvorgängen von zuhause aus. Die Datenverarbeitungsschaltung 100 besitzt einen Prozessor 103 zum selektiven Steuern der Arbeitsweise der elektronischen Schaltung 84 abhängig von Eingabedaten und Befehlen, eine Zeitgabe- und Steuerschaltung 104 zum Steuern der Arbeitsweise des Prozessors 103, einen programmierbaren Nur-Lesen-Speicher (PROM) 106 zum Speichern der Programme, die durch den Prozessor 102 ausgeführt werden sollen, einen Speicher mit wahlfreien Zugriff RAM 108 für zeitweilige Speicherung, einen Speicher 110 mit flüchtiger Speicherung zum dauernden Speichern der hochsensitiven Daten, wie einen noch zu erläuternden Schlüsselspeicher-Schlüssel (KSK), einen Zufallszahlgenerator 112 und eine Eingangs-/Ausgangseinheit I/O 114.
Ein Daten-, Steuer und Adressbus 116, ein Zweirichtungs-I/O-Bus 118 und I/O-Leitungen 120, 122 sind mit dem Prozessor 103, der Zeitgabe- und Steuerschaltung 104, dem PROM 106, dem RAM 108 und der I/O-Einheit 114 verbunden, wodurch die Datenverarbeitungsschaltung 100 die entsprechenden Datenverarbeitungen vornehmen kann. Daten können über den Zweirichtungs-I/O-Bus 118 zum und vom Prozessor 103 und über die I/O-Leitungen 120 und 122 zu oder von der I/O-Einheit 114 geleitet werden. Die entfernten Enden des I/O-Bus 118 und I/O-Leitungen 120 und 122 können selektiv beispielsweise mit einem anderen (nichtgezeigten) Prozessor, einem nichtgezeigten Zentralrechner und nichtzeigten peripheren Einheiten, etwa einem Tastenfeld über das flexible Element 12 (Fig. 1) verbunden sein, so daß die Datenverarbeitungsschaltung 100 ihre vorgewählten Arbeiten ausführen kann.
Die Stromversorgung für die elektronische Schaltung 84 erfolgt vorzugsweise von externen nichtgezeigten Quellen, etwa Stromversorgungseinheiten und Batterien, über das flexible Element 12, (Fig. 1).
Eine Initialisierungs-Unterroutine im PROM-Speicher 106 gespeicherten Programm wird in einer von einer authorisierten Person kontrollierten speziellen Betriebsart durchgeführt. Vorzugsweise erfolgt diese Initialisierungs-Unterroutine nur einmal, nachdem die Sicherheitsvorrichtung 10 (Fig. 1) vollständig zusammengesetzt worden ist.
Für eine zusätzliche Sicherheit ist der Speicher 110 für flüchtige Speicherung bevorzugt ein rückstellbarer Speicher etwa ein 64-Bit-Schieberegister-Speicher.
Während der Durchführung einer Initialisierungs-Unterroutine legt der Prozessor 103 ein Initialisierungssignal an den Zufallszahlengenerator 112, damit dieser eine Zufallszahl erzeugt, die in dem Speicher 110 als eine beispielsweise Folge von 64 zufälligen Bits gespeichert wird. Diese Folge von 64-Zufalls- Bits ist dann der KSK-Schlüssel, der die sensitivste bzw. am meisten schützenswerte Information in der Datenverarbeitungsschaltung 100 darstellt. Der KSK-Schlüssel wird zur Verschlüsselung von Schlüsselinformationen verwendet, die in die Sicherheitsvorrichtung 10 zur Speicherung in dem RAM-Speicher 108 eingegeben werden. Derartige Schlüsselinformationen werden dann bei Datenverschlüsselungsvorgänge verwendet. Die genaue Weise, in der der KSK-Schlüssel verwendet wird, ist für die vorliegende Erfindung nicht von Bedeutung, so daß dies hier nicht weiter beschrieben wird. Es sollte jedoch beachtet werden daß der rückstellbare Speicher 110 den KSK-Schlüssel speichert, daß der Inhalt des Speichers 110 nicht geändert werden kann (im Falle, daß die Sicherheitsvorrichtung 10 derart programmiert ist, daß ein Initialisierungsprogramm nur einmal läuft), daß der KSK-Schlüssel niemals aus der Sicherheitsvorrichtung 10 an die Außenwelt abgegeben wird und daß aus Sicherheitsgründen ein externer Zugriff zu dem KSK-Schlüssel im Speicher 110 auf verschiedene Weise verhindert werden muß.
Die Eindringfeststellschaltung 102 der elektronischen Schaltung 84 dient insbesondere dazu, aktiv den KSK-Schlüssel in dem rückstellbaren Speicher 110 zu zerstören, wenn ein Versuch gemacht wird, in das Gehäuse 11 der Sicherheitsvorrichtung 10 einzudringen, um Zugriff zu dem in dem Speicher 110 gespeicherten KSK-Schlüssel zu bekommen. Es ist zu beachten, daß nach Zerstörung des KSK-Schlüssels alle verschlüsselten Daten oder Schlüsselinformationen in dem RAM-Speicher 108 ihre Bedeutung verlieren und nutzlos sind. Es gibt prinzipielle Wege, die jemand verwenden kann, um Zugriff zu dem in dem rückstellbaren Tabellenspeicher 110 gespeicherten KSK-Schlüssel zu bekommen, und eine entsprechende Reaktion der Eindringfeststellschaltung 102 auf derartige Versuche, wie dies nachstehend beschrieben wird.
Ein erster Versuch, das keramische Gehäuse 11 der Sicherheitsvorrichtung 10 zu durchdringen, kann durch Aufbohren oder Aufbrechen des Gehäuses 11 erfolgen. Als Schutz hiergegen ist die Spannungsebene VP gemäß Fig. 10B zwischen eine Versorgungsspannung V C und eine Abfühlschaltung 124 geschaltet, während das Leitungsmuster WM der Fig. 10A zwischen ein Bezugspotential, etwa Erde, und eine Abfühlschaltung 126 gelegt ist. Bei einem Versuch das Gehäuse 11 zu durchbohren oder zu zerbrechen, unterbricht das Leitungsmuster WM, so daß die Abfühlschaltung 126 am Punkt 128 ein niedriges Spannungssignal erzeugt. Unter Ansprechen auf ein derartiges niedriges Spannungssignal am Punkt 128 erzeugt ein Niederspannungsdetektor 130 ein Rückstellsignal auf einer Leitung 131 zur Rückstellung des Speichers 110, wodurch der KSK-Schlüssel in dem rückstellbaren Speicher 110 gelöscht oder zerstört wird.
Es ist bekannt, daß es möglich ist, Daten in statischen CMOS- Zellen eines Speichers bei Abtrennung von der Stromversorgung aufrechtzuerhalten, wenn diese Zellen anfangs auf eine Temperatur von -90°C abgekühlt werden, bevor die Leistung von dem Speicher 110 entfernt wird. Wird dies durchgeführt, dann könnte nachfolgend ein Einbrechen in die Sicherheitsvorrichtung 10 und Auslesen des "gefrorenen" Inhalts des Speichers 110 möglich sein.
Ein Niedertemperatursensor 132 ist deshalb in der Eindringfeststellschaltung 102 vorgesehen, um die Sicherheitsvorrichtung 10 (Fig. 1) gegen das zuvor beschriebene Eindringen bei extrem niedrigen Temperaturen abzusichern. Der Sensor 132 ist ebenfalls mit dem Punkt 128 verbunden. Der Sensor 132 arbeitet derart, daß bei einem Abfall der Temperatur in dem Gehäuse 11 (Fig. 1) auf beispielsweise -25°C der Sensor 132 ein Niederspannungssignal erzeugt und an dem Punkt 128 anlegt. Dieses Niederspannungssignal am Punkt 128 vom Sensor 132 bewirkt auch, daß der Niederspannungsdetektor 130 ein Rückstellsignal auf der Leitung 131 erzeugt, wodurch der Speicher 110 zurückgestellt wird, was den KSK-Schlüssel in dem Speicher 110 aktiv löscht oder zerstört.
Es wird nun auf Fig. 15 Bezug genomen und die Eindringfeststellschaltung 102 im einzelnen beschrieben.
Die Eindringfeststellschaltung 102 weist im wesentlichen vier Teile auf: ein erster Teil umfaßt die Spannungsebene VP und die Abfühlschaltung 124. Ein zweiter Teil umfaßt das Leitungsmuster WM und die Abfühlschaltung 126. Ein dritter Teil beinhaltet den Niedertemperaturfühler 132. Der erste, zweite und dritte Teil sind mit einem gemeinsamen Ausgang am Punkt 128 verbunden, der wiederum mit dem vierten Teil in Verbindung steht, der den Niederspannungsdetektor 130 enthält. Wenn somit entweder der erste, zweite oder dritte Teil irgendeinen Versuch feststellt, daß Zugriff zu dem KSK-Schlüssel in dem Speicher 110 Fig. 14 gemacht wird, wird ein niedriges Spannungsignal am Punkt 128 erzeugt. Wie zuvor erwähnt, bewirkt ein derartiges Signal am Punkt 128, daß der Niederspannungsdetektor 130 den Speicher 110 aktiv rückstellt und den darin gespeicherten KSK-Schlüssel zerstört.
In dem ersten Teil ist ein Kontakt B 4 von VP mit der Abfühlschaltung 124 gekoppelt. Eine hohe oder positive Versorgungsspannung V C wird an den Kontakt B 3 von VP und an jeden von in Kaskade geschalteten Invertern 134 und 136 in der Abfühlschaltung angelegt. Aus Gründen der Erläuterung sei angenommen, daß V C = +4,5 V. Ein 3 MOHM-Wiederstand 138 liegt zwischen dem Kontakt B 4 von VP und einem niedrigen Bezugspotential, etwa Erde. Der Kontakt B 4 ist auch mit dem Eingang des Inverters 134 verbunden. Der Ausgang des Inverters 136 ist über einen 120 KOHM-Widerstand 140 an dem Punkt 128 gelegt.
Wenn die Spannungsebene VP nicht mit dem Leitungsmuster WM kurzgeschlossen ist, dann ist das Eingangssignal zum Inverter 134 auf hohem Wert, das Ausgangssignal des Inverters 134 ist auf niedrigem Wert und dasjenige des Inverters 136 auf hohem Wert.
In dem zweiten Teil ist ein Kontakt B 1 von WM mit der Abfühlschaltung 126 und ein Kontakt B 2 von WM mit niedrigem Bezugspotential oder Erde verbunden. Ein 1 MOHM-Widerstand 142 liegt zwischen dem Kontakt B 1 von WM und V C . Die Versorgungsspannung V C wird auch an die in Kaskade geschalteten Inverter 144, 146 und 148 angelegt. Der Kontakt B 1 ist auch mit dem Eingang des Inverters 144 verbunden, der wiederum mit seinem Ausgang an den Eingang des Inverters 146 angeschlossen ist. Der Ausgang des Inverters 146 ist dann mit dem Eingang des Inverters 148 verbunden. Der Ausgang des Inverters 148 liegt über einen 120 kOHM-Widerstand 150 am Punkt 128. Ein 30 kOHM-Widerstand 152 ist zwischen den Punkt 128 und Erde geschaltet, so daß ein gemeinsames Ausgangssignal für die Abfühlschaltungen 124 und 126 auch für den Niedertemperatursensor 132 erzeugt wird, wie dies noch zu erläutern ist.
Wenn WM unbeschädigt, das heißt weder unterbrochen noch mit V C oder VP kurzgeschlossen ist, dann liegt der Eingang des Inverters 144 auf niedrigem Wert, der Ausgang des Inverters 146 auf niedrigem Wert und der Ausgang des Inverters 148 auf hohem Wert.
Die Widerstände 156 und 162 können 800 kOhm-Widerstände und die Widerstände 158 und 160 68 kOhm-Widerstände sein, wobei letztere einen negativen Temperaturkoeffizienten (NTC) haben. Eine derartige Brückenschaltung 154 ist aus dem Gleichgewicht, bis die Temperatur innerhalb des Gehäuses 11 einen Wert von annähernd -25°C erreicht. Es zeigt sich somit ohne weiteres, daß bei einer nichtabgeglichenen Brückenschaltung 154 der Operationsverstärker 164 ein niedriges Ausgangssignal abgibt, das durch den Inverter 166 invertiert wird und die Diode 168 in Sperrrichtung vorspannt. Wenn somit die Temperatur innerhalb des Gehäuses 11 (Fig. 1) oberhalb -25°C ist, dann ist der Niedertemperatursensor 132 wirksam durch die im Sperrrichtung vorgespannte Diode 168 vom Punkt 128 abgetrennt.
Der vierte Teil der Schaltung nach Fig. 15 umfaßt einen Niederspannungsdetektor 130, der mit dem Punkt 128 zur Erzeugung eines Rückstellsignals 131 verbunden ist, wenn das Potential über dem Widerstand 152 unterhalb eine vorbestimmte Schwellenspannung von beispielsweise +1,15 V fällt, wenn V C = +4,5 V ist. Ein Kondensator 170 ist zwischen dem Punkt 128 und Erde geschaltet, um das Eingangspotential (Spannung über dem Widerstand 152) zum Detektor 130 für eine genügende Zeit aufrechtzuerhalten, damit es dem Detektor 130 ermöglicht wird, ein Rückstellsignal zu erzeugen, wenn das Potential über dem Widerstand 152 unterhalb +1,15 V fällt. Der Niederspannungsdetektor 130 kann ein Spannungsvergleicher sein, der ein niedriges Ausgangssignal erzeugt, wenn die Spannung über dem Widerstand 152 unter ein internes Bezugspotential von +1,15 V fällt.
Es werden nun die verschiedenen Zustände erläutert:
(1) Wurde kein Versuch gemacht, das Gehäuse 11 einzufrieren und/oder zu durchdringen, um Zugriff zu dem KSK-Schlüssel in dem rückstellbaren Speicher 110 (Fig. 14) zu erhalten, dann ist die Temperatur in dem Gehäuse 11 (Fig. 1) hoch genug, daß der Niederspannungstemperatursensor 132 nicht getriggert wird, und das WM-Muster ist unzerstört.
Hiermit befinden sich die Ausgänge der Inverter 136 und 148 auf hohem Wert. Die über dem Widerstand 152 entwickelte Spannung (annähernd +1,5 V) liegt dann über dem Schwellenwert von +1,15 V des Niederspannungsdetektors 130. Somit erzeugt der Niederspannungsdetektor 130 kein Rückstellsignal.
(2) Ist die Spannungsebene VP nach Erde kurzgeschlossen, dann nimmt der Kontakt B 4 niedriges Potential an, was bewirkt, daß das Eingangssignal des Inverters 134 auf niedrigen Wert geht. Dieses niedrige Eingangssignal wird zu einem hohen Ausgangssignal durch den Inverter 134 umgesetzt. Das hohe Signal (+4,5 V) vom Inverter 134 wird vom Inverter 136 in ein niedriges Signal (0 V) invertiert. Es sei angenommen, daß das Muster WM zu diesem Zeitpunkt nicht unterbrochen ist, so daß der Inverter 148 ein hohes Ausgangssignal (+4,5 V) abgibt. Dies bewirkt, daß ein Spannungsteiler aus den Widerständen 140, 150 und 152 den Punkt 128 auf etwa +0,9 V hinabzieht. Da +0,9 V unterhalb +1,15 V, dem Schwellenwert des Niederspannungsdetektors 130 liegt, entwickelt der Niederspannungsdetektor 130 ein Rückstellsignal zur aktiven Rückstellung des Speichers 110 (Fig. 14).
(3) Ist das Muster WM unterbrochen oder entweder mit V C oder V P kurzgeschlossen, dann geht der Kontakt B 1 auf hohe Spannung +4,5 V. Dieses hohe Signal wird vom Inverter 144 invertiert. Das niedrige Signal (0 V) vom Inverter 144 wird durch den Inverter 146 zu einem hohen Signal invertiert, das wiederum vom Inverter 148 zu einem niedrigen Signal invertiert wird. Der aus den Widerständen 140, 150 und 152 bestehende Spannungsteiler zieht dann den Punkt 128 auf etwa +0,9 V herab. Dies bewirkt, daß der Niederspannungsdetektor 130 ein Rückstellsignal zur Rückstellung des Speichers 110 (Fig. 14) erzeugt.
(4) Fällt V C unterhalb +3,5 V, dann fällt die Spannung über dem Kondensator 170 unter +1,15 V, was wiederum bewirkt, daß der Niederspannungsdetektor 130 das Rückstellsignal auf Leitung 131 erzeugt.
(5) Fällt die Temperatur im Gehäuse unter -25°C, dann kommt die Brückenschaltung 154 im Niedertemperatursensor 132 entweder ins Gleichgewicht oder sie wird unabgeglichen in entgegengesetzter Richtung. In beiden Fällen erzeugt der Operationsverstärker 164 ein hohes Ausgangssignal, das vom Inverter 166 invertiert wird. Das niedrige Ausgangssignal (0 V) vom Inverter 166 spannt die Diode 168 in Vorwärtsrichtung vor, was bewirkt, daß das Potential am Punkt 128 in Richtung 0 V abfällt. Dies wiederum bewirkt, daß die Ladung über dem Kondensator 170 in Richtung 0 V abfällt. Sobald jedoch die Spannung über dem Kondensator 170 unter +1,15 V abfällt, erzeugt der Niederspannungsdetektor 130 das Rückstellsignal auf der Leitung 131 zur Löschung des Speichers 110.
Die Erfindung bringt somit eine Sicherheitsvorrichtung 10 zum Schutz der Speicherung von sensitiven Daten. Die Vorrichtung 10 ist geschützt gegen chemische Einflüsse, physikalische Einflüsse und Eindringen bei extrem niedrigen Temperaturen. Das keramische Gehäuse kann nicht von Chemikalien durchdrungen werden, da diese keramisches Material nicht lösen. Ein physikalischer oder mechanischer Eingriff durch Schneiden oder Bohren führt dazu, daß das keramische Gehäuse 11 zerbricht, wodurch das Tragmuster WM unterbrochen oder beschädigt oder zur Spannungsebene VP kurzgeschlossen wird. Wie zuvor erwähnt, führt das Bohren eines Loches in eine der Platten P 1 bis P 6 zumindest zur Unterbrechung eines der darauf angebrachten Leitungswegsegmente zusammen mit der Unterbrechung der darauf befindlichen leitenden Schicht. Versuche ein leitendes Fluid zur Überbrückung von Unterbrechungen der Leitungsmuster zu verwenden, führten zu einem Kurzschluß zwischen dem Leitungsmuster WM und der Spannungsebene VP. Die Unterbrechungsfeststellschaltung 102 stellt dann aktiv den rückstellbaren Speicher 110 zurück, wodurch die darin gespeicherten sensitiven Daten zerstört werden. In gleicher Weise bewirkt jeder Versuch, in die Sicherheitseinrichtung 10 bei extrem niedriger Temperatur einzudringen, daß die Eindringfeststellschaltung 102 aktiv den Speicher 110 zurückstellt.
Modifikationen der erfindungsgemäßen Sicherheitseinrichtung sind möglich. So kann beispielsweise die auf den Platten des Gehäuses ausgebildete leitende Schicht derart angeordnet werden, daß sie beide Leitungswegsegmente überdeckt, anstelle sie zwischen diesen anzuordnen. Auch können die Verbindungen der Stromversorgung V C und des Erdpotentials mit der Spannungsebene VP und mit den Leitungsmuster WM vertauscht werden.
Eine andere Modifikation besteht darin, daß zusätzliche keramische Blöcke dazu verwendet werden können, die Oberseite und Oberkante der gedruckten Schaltungsplatte PCB 20 zu schützen, wo diese aus der im inneren keramischen Kasten herausragt. Wenn andererseits ein niedriger Grad an Sicherheit bei einer bestimmten Anwendung ausreicht, kann der innere keramische Kasten 42 aus der Einrichtung weggelassen werden.

Claims (9)

1. Sicherheitseinrichtung zum Schützen gespeicherter sensitiver Daten mit einem geschlossenen Gehäuse, in dem Speichervorrichtungen zum Speichern sensitiver Daten enthalten sind, dadurch gekennzeichnet, daß das Gehäuse (11) eine Leitungswegvorrichtung (WM) und eine Leitungsschichtvorrichtung (VP) aufweist, daß die Leitungswegvorrichtung (WM) eine Vielzahl verbundener erster (C 5.1-C 5.9) und zweiter (C 1.1) Leitungswegsegmente aufweist, daß die Leitungsschichtvorrichtung (VP) eine Vielzahl miteinander verbundener Leitungsschichten (C 2.1, C 4.16, C 4.17) aufweist, daß jedes erste Leitungswegsegment, ein zugeordnetes zweites Leitungswegsegment und eine zugeordnete Leitungsschicht übereinander und durch Isolationsmaterial getrennt angeordnet sind, und daß die Leitungswegvorrichtung (WM) und die Leitungsschichtvorrichtung (VP) mit einer Eindringfeststellschaltung (102) verbunden sind, die eine Rückstellsignalerzeugungsvorrichtung (130) beinhaltet, welche ein Rückstellsignal zum Löschen des Inhalts der Speichervorrichtung (110) bei einer Unterbrechung der Leitungswegvorrichtung (WM) oder einer elektrischen Verbindung zwischen der Leitungswegvorrichtung (WM) und der Leitungsschichtvorrichtung VP im Falle eines Versuchs in das Gehäuse (11) einzudringen, erzeugt.
2. Sicherheitseinrichtung nach Anspruch 1, dadurch gekennzeichnet, daß jede leitende Schicht (C 2.1, C 4.16, C 4.17) zwischen den zugeordneten ersten und zweiten Leitungswegsegmenten angeordnet ist.
3. Sicherheitseinrichtung nach Anspruch 1, dadurch gekennzeichnet, daß die ersten und zweiten Leitungswegsegmente (C 5.1 bis C 5.9, C 1.1) in Form entsprechender Windungsmuster ausgebildet sind, wobei zugeordnete erste und zweite Leitungswegsegmente derart ausgebildet sind, daß das erste Leitungswegsegment den Zwischenraum des zugeordneten zweiten Leitungswegsegments überdeckt und der Zwischenraum des ersten Leitungswegsegments über dem zugeordneten zweiten Leitungswegsegment liegt.
4. Sicherheitseinrichtung nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, daß das Gehäuse (11) eine Vielzahl einzelner Platten (P 1 bis P 6) aufweist, die zur Bildung des Gehäuses (11) miteinander verbunden sind, und daß die ersten und zweiten Leitungswegsegmente und die Leitungsschichten auf den Platten angebracht sind, wobei die ersten und zweiten Leitungswegsegmente auf jeder Platte miteinander in Reihe geschaltet sind, um ein Leitungsmustersegment zu bilden daß Verbindungsmittel (N 1 bis N 14) vorgesehen sind, die die Leitungsmustersegmente der Platten miteinander in Reihe schalten, um die Leitungswegvorrichtung (WM) zu bilden und die Leitungsschichten der Platten in Reihe zusammenschalten, um die Leitungsschichtvorrichtung (VP) zu bilden.
5. Sicherheitseinrichtung nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, daß die Leitungswegsegmente eine Breite und einen Abstand von etwa 300 µm besitzen.
6. Sicherheitseinrichtung nach Anspruch 4, dadurch gekennzeichnet, daß die Verbindungsmittel eine Vielzahl einzelner Verbindungsvorrichtungen (N 1 bis N 14) aufweisen, die jeweils die Form eines vielseitigen Blockes besitzen, der erste, zweite und dritte leitende Flächen (46, 48, 50) auf entsprechenden ersten, zweiten und dritten Seiten aufweist, um einen kontinuierlichen Leitungsweg von der ersten leitenden Fläche über die zweite leitende Fläche zur dritten leitenden Fläche zu bilden.
7. Sicherheitseinrichtung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß die Eindringfeststellschaltung (102) eine erste und zweite Abfühlvorrichtung (124, 126) aufweist, die mit der Leitungsschichtvorrichtung (VP) bzw. der Leitungswegvorrichtung (WM) verbunden sind, um entsprechende erste und zweite Steuersignale abzugeben, und daß die Rückstellsignalerzeugungsvorrichtung (130) mit der ersten und zweiten Abfühlvorrichtung verbunden und geeignet ist, unter Ansprechen auf das erste oder zweite Steuersignal das Rückstellsignal zu erzeugen.
8. Sicherheitseinrichtung nach Anspruch 7, dadurch gekennzeichnet, daß ein erster Anschluß der Leitungsschichtvorrichtung (VP) mit einer Spannungsversorgung und ein zweiter Anschluß mit der ersten Abfühlvorrichtung (124) und über einen ersten Widerstand (138) mit Bezugspotential verbunden sind, und daß ein erster Anschluß der Leitungswegvorrichtung WM mit der zweiten Abfühlvorrichtung (126) und über einen zweiten Widerstand (142) mit der Spannungsversorgung und ein zweiter Anschluß mit dem Bezugspotential verbunden sind.
9. Sicherheitseinrichtung nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, daß die Speichervorrichtung ein rückstellbares Schieberegister (110) aufweist, das durch das Rückstellsignal rückgestellt werden kann.
DE19863635938 1985-10-30 1986-10-22 Sicherheitseinrichtung fuer gespeicherte sensitive daten Granted DE3635938A1 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
GB8526689A GB2182467B (en) 1985-10-30 1985-10-30 Security device for stored sensitive data

Publications (2)

Publication Number Publication Date
DE3635938A1 true DE3635938A1 (de) 1987-05-07
DE3635938C2 DE3635938C2 (de) 1988-12-29

Family

ID=10587447

Family Applications (1)

Application Number Title Priority Date Filing Date
DE19863635938 Granted DE3635938A1 (de) 1985-10-30 1986-10-22 Sicherheitseinrichtung fuer gespeicherte sensitive daten

Country Status (6)

Country Link
US (1) US4691350A (de)
JP (1) JPS62117047A (de)
CA (1) CA1265244A (de)
DE (1) DE3635938A1 (de)
FR (1) FR2589602B1 (de)
GB (1) GB2182467B (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AT408925B (de) * 1996-10-22 2002-04-25 Posch Reinhard Dr Anordnung zum schutz von elektronischen recheneinheiten, insbesondere von chipkarten

Families Citing this family (117)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3347483A1 (de) * 1983-12-29 1985-07-11 GAO Gesellschaft für Automation und Organisation mbH, 8000 München Vorrichtung zur sicherung geheimer informationen
GB2182176B (en) * 1985-09-25 1989-09-20 Ncr Co Data security device for protecting stored data
DE3602960C1 (de) * 1986-01-31 1987-02-19 Philips Patentverwaltung Dickschicht-Schaltungsanordnung mit einer keramischen Substratplatte
GB8619989D0 (en) * 1986-08-16 1986-09-24 Modray Ltd Controlling length of time
GB2195478B (en) * 1986-09-24 1990-06-13 Ncr Co Security device for sensitive data
US5050213A (en) * 1986-10-14 1991-09-17 Electronic Publishing Resources, Inc. Database usage metering and protection system and method
US4977594A (en) * 1986-10-14 1990-12-11 Electronic Publishing Resources, Inc. Database usage metering and protection system and method
US4860351A (en) * 1986-11-05 1989-08-22 Ibm Corporation Tamper-resistant packaging for protection of information stored in electronic circuitry
US5117457A (en) * 1986-11-05 1992-05-26 International Business Machines Corp. Tamper resistant packaging for information protection in electronic circuitry
JPS63124153A (ja) * 1986-11-05 1988-05-27 インターナシヨナル・ビジネス・マシーンズ・コーポレーシヨン 記憶情報保護装置
US4975647A (en) * 1987-06-01 1990-12-04 Nova Biomedical Corporation Controlling machine operation with respect to consumable accessory units
GB2205667B (en) * 1987-06-12 1991-11-06 Ncr Co Method of controlling the operation of security modules
US4972470A (en) * 1987-08-06 1990-11-20 Steven Farago Programmable connector
US5185717A (en) * 1988-08-05 1993-02-09 Ryoichi Mori Tamper resistant module having logical elements arranged in multiple layers on the outer surface of a substrate to protect stored information
US5239664A (en) * 1988-12-20 1993-08-24 Bull S.A. Arrangement for protecting an electronic card and its use for protecting a terminal for reading magnetic and/or microprocessor cards
FR2649817B1 (fr) * 1989-07-13 1993-12-24 Gemplus Card International Carte a microcircuit protegee contre l'intrusion
FR2649748B1 (fr) * 1989-07-17 1991-10-11 Axyval Sa Systeme de protection de documents ou d'objets de valeur enfermes dans un contenant inviolable physiquement, qui passe par ailleurs par une succession d'etats logiques authentifies en nombre restreint
US5027397A (en) * 1989-09-12 1991-06-25 International Business Machines Corporation Data protection by detection of intrusion into electronic assemblies
JPH05502956A (ja) * 1989-10-03 1993-05-20 ユニバーシティ オブ テクノロジィ,シドニー アクセス又は侵入検出用の電子作動クレードル回路
GB9101207D0 (en) * 1991-01-18 1991-02-27 Ncr Co Data security device
US5228084A (en) * 1991-02-28 1993-07-13 Gilbarco, Inc. Security apparatus and system for retail environments
US6782479B1 (en) * 1991-04-26 2004-08-24 Raytheon Company Apparatus and method for inhibiting analysis of a secure circuit
US5343524A (en) * 1991-06-21 1994-08-30 Mu Xiao Chun Intelligent security device
US5389738A (en) * 1992-05-04 1995-02-14 Motorola, Inc. Tamperproof arrangement for an integrated circuit device
US5402490A (en) * 1992-09-01 1995-03-28 Motorola, Inc. Process for improving public key authentication
US5533123A (en) * 1994-06-28 1996-07-02 National Semiconductor Corporation Programmable distributed personal security
EP2110732A3 (de) 1995-02-13 2009-12-09 Intertrust Technologies Corporation Systeme und Verfahren für die sichere Transaktionsverwaltung und elektronischen Rechtsschutz
US8639625B1 (en) 1995-02-13 2014-01-28 Intertrust Technologies Corporation Systems and methods for secure transaction management and electronic rights protection
US7133846B1 (en) 1995-02-13 2006-11-07 Intertrust Technologies Corp. Digital certificate support system, methods and techniques for secure electronic commerce transaction and rights management
US5892900A (en) * 1996-08-30 1999-04-06 Intertrust Technologies Corp. Systems and methods for secure transaction management and electronic rights protection
US6157721A (en) 1996-08-12 2000-12-05 Intertrust Technologies Corp. Systems and methods using cryptography to protect secure computing environments
US5943422A (en) 1996-08-12 1999-08-24 Intertrust Technologies Corp. Steganographic techniques for securely delivering electronic digital rights management control information over insecure communication channels
US6948070B1 (en) 1995-02-13 2005-09-20 Intertrust Technologies Corporation Systems and methods for secure transaction management and electronic rights protection
US6658568B1 (en) 1995-02-13 2003-12-02 Intertrust Technologies Corporation Trusted infrastructure support system, methods and techniques for secure electronic commerce transaction and rights management
SE513662C2 (sv) * 1995-07-10 2000-10-16 Benkta Consulting Ab Förfarande och anordning för förebyggande av stöld
EP0839344A1 (de) * 1995-07-20 1998-05-06 Dallas Semiconductor Corporation Mikroschaltung mit durch hardware und software geschütztem speicher
DE19600770C2 (de) * 1996-01-11 1997-11-13 Ibm Sicherheitsfolie mit EMV-Schutz
US20010011253A1 (en) * 1998-08-04 2001-08-02 Christopher D. Coley Automated system for management of licensed software
GB2315586B (en) * 1996-07-19 2000-08-30 Neopost Ltd Apparatus with tamper detector
US5920861A (en) * 1997-02-25 1999-07-06 Intertrust Technologies Corp. Techniques for defining using and manipulating rights management data structures
AU690058B3 (en) * 1997-07-22 1998-04-09 James Edward Green Security system
GB2330439A (en) * 1997-10-17 1999-04-21 Gore & Ass Tamper respondent enclosure
JP3129258B2 (ja) * 1997-10-28 2001-01-29 日本電気株式会社 歪み検出による重要データ機密保持方法と重要データ機密保持システム
US6112181A (en) * 1997-11-06 2000-08-29 Intertrust Technologies Corporation Systems and methods for matching, selecting, narrowcasting, and/or classifying based on rights management and/or other information
US6040792A (en) 1997-11-19 2000-03-21 In-System Design, Inc. Universal serial bus to parallel bus signal converter and method of conversion
US7233948B1 (en) 1998-03-16 2007-06-19 Intertrust Technologies Corp. Methods and apparatus for persistent control and protection of content
US6473861B1 (en) 1998-12-03 2002-10-29 Joseph Forte Magnetic optical encryption/decryption disk drive arrangement
JP3339443B2 (ja) * 1999-01-18 2002-10-28 日本電気株式会社 機密保護機能付データ保持装置
US7243236B1 (en) 1999-07-29 2007-07-10 Intertrust Technologies Corp. Systems and methods for using cryptography to protect secure and insecure computing environments
US6564307B1 (en) 1999-08-18 2003-05-13 International Business Machines Corporation Method, system, and program for logically erasing data
CN1246730A (zh) * 1999-09-13 2000-03-08 后健慈 集成电路封装盒的保全结构
AU2001253818A1 (en) * 2000-02-14 2001-08-20 Christina Alvarez Security module system, apparatus and process
GB2363233B (en) * 2000-05-11 2004-03-31 Ibm Tamper resistant card enclosure with improved intrusion detection circuit
US6895509B1 (en) 2000-09-21 2005-05-17 Pitney Bowes Inc. Tamper detection system for securing data
US6901343B2 (en) * 2001-01-10 2005-05-31 Matsushita Electric Industrial Co., Ltd. Multilayer board in which wiring of signal line that requires tamper-resistance is covered by component or foil, design apparatus, method, and program for the multilayer board, and medium recording the program
FR2824697B1 (fr) * 2001-05-10 2003-09-26 Sagem Enceinte anti-intrusion
DE10128305A1 (de) * 2001-06-12 2002-12-19 Giesecke & Devrient Gmbh Steuereinheit
US7490250B2 (en) * 2001-10-26 2009-02-10 Lenovo (Singapore) Pte Ltd. Method and system for detecting a tamper event in a trusted computing environment
US6545896B1 (en) * 2002-02-05 2003-04-08 Hewlett Packard Development Company, L.P. Storage pack for use in high performance systems
DE10221086A1 (de) * 2002-05-11 2003-11-20 Bosch Gmbh Robert Steuervorrichtung für ein Kraftfahrzeug
TWI249864B (en) * 2003-03-20 2006-02-21 Toyoda Gosei Kk LED lamp
US7180008B2 (en) * 2004-01-23 2007-02-20 Pitney Bowes Inc. Tamper barrier for electronic device
US6996953B2 (en) * 2004-01-23 2006-02-14 Pitney Bowes Inc. System and method for installing a tamper barrier wrap in a PCB assembly, including a PCB assembly having improved heat sinking
US7156233B2 (en) * 2004-06-15 2007-01-02 Pitney Bowes Inc. Tamper barrier enclosure with corner protection
US7343496B1 (en) * 2004-08-13 2008-03-11 Zilog, Inc. Secure transaction microcontroller with secure boot loader
JP2006119987A (ja) * 2004-10-22 2006-05-11 Nidec Sankyo Corp カードリーダ
US7299327B2 (en) * 2005-02-18 2007-11-20 International Business Machines Corporation Content-on-demand memory key with positive access evidence feature
US20060220460A1 (en) * 2005-03-31 2006-10-05 Grolmes James M Low voltage control module
US8099783B2 (en) * 2005-05-06 2012-01-17 Atmel Corporation Security method for data protection
FR2888975B1 (fr) * 2005-07-21 2007-09-07 Atmel Corp Procede de securisation pour la protection de donnees
WO2007018761A2 (en) * 2005-07-21 2007-02-15 Atmel Corporation Security method for data protection
US7352203B1 (en) 2006-12-26 2008-04-01 Atmel Corporation Method to reduce power in active shield circuits that use complementary traces
FR2915054B1 (fr) * 2007-04-12 2009-06-26 Sagem Monetel Soc Par Actions Dispositif de protection d'un composant electronique
US7723998B2 (en) * 2007-06-12 2010-05-25 Itt Manufacturing Enterprises, Inc. Integrated circuit protection and detection grid
CN100576985C (zh) * 2007-09-21 2009-12-30 百富计算机技术(深圳)有限公司 安全保护盖
US7812428B2 (en) * 2007-12-05 2010-10-12 Atmel Rousset S.A.S. Secure connector grid array package
US8201267B2 (en) * 2008-10-24 2012-06-12 Pitney Bowes Inc. Cryptographic device having active clearing of memory regardless of state of external power
WO2010111655A1 (en) * 2009-03-26 2010-09-30 Hypercom Corporation Keypad membrane security
US20110255253A1 (en) * 2010-04-17 2011-10-20 Andrew Campbell Protective serpentine track for card payment terminal
US9122937B2 (en) 2012-07-23 2015-09-01 Fci Americas Technology Llc Tamper-resistant housing assembly
CN103870766A (zh) * 2012-12-18 2014-06-18 神讯电脑(昆山)有限公司 电子储存装置及其数据保护方法
GB2505178A (en) * 2012-08-20 2014-02-26 Johnson Electric Sa Stackable Overlapping Security Wrap Film for Protecting Electronic Device.
KR101367934B1 (ko) 2012-08-31 2014-02-27 (주)블루버드 모바일 단말기
US9560737B2 (en) 2015-03-04 2017-01-31 International Business Machines Corporation Electronic package with heat transfer element(s)
US10426037B2 (en) 2015-07-15 2019-09-24 International Business Machines Corporation Circuitized structure with 3-dimensional configuration
US9894749B2 (en) 2015-09-25 2018-02-13 International Business Machines Corporation Tamper-respondent assemblies with bond protection
US10172239B2 (en) 2015-09-25 2019-01-01 International Business Machines Corporation Tamper-respondent sensors with formed flexible layer(s)
US10175064B2 (en) 2015-09-25 2019-01-08 International Business Machines Corporation Circuit boards and electronic packages with embedded tamper-respondent sensor
US9578764B1 (en) 2015-09-25 2017-02-21 International Business Machines Corporation Enclosure with inner tamper-respondent sensor(s) and physical security element(s)
US9591776B1 (en) 2015-09-25 2017-03-07 International Business Machines Corporation Enclosure with inner tamper-respondent sensor(s)
US9911012B2 (en) 2015-09-25 2018-03-06 International Business Machines Corporation Overlapping, discrete tamper-respondent sensors
US9924591B2 (en) 2015-09-25 2018-03-20 International Business Machines Corporation Tamper-respondent assemblies
US10098235B2 (en) 2015-09-25 2018-10-09 International Business Machines Corporation Tamper-respondent assemblies with region(s) of increased susceptibility to damage
US10143090B2 (en) 2015-10-19 2018-11-27 International Business Machines Corporation Circuit layouts of tamper-respondent sensors
US9978231B2 (en) 2015-10-21 2018-05-22 International Business Machines Corporation Tamper-respondent assembly with protective wrap(s) over tamper-respondent sensor(s)
US9913389B2 (en) 2015-12-01 2018-03-06 International Business Corporation Corporation Tamper-respondent assembly with vent structure
US9555606B1 (en) 2015-12-09 2017-01-31 International Business Machines Corporation Applying pressure to adhesive using CTE mismatch between components
US10327343B2 (en) 2015-12-09 2019-06-18 International Business Machines Corporation Applying pressure to adhesive using CTE mismatch between components
US9554477B1 (en) 2015-12-18 2017-01-24 International Business Machines Corporation Tamper-respondent assemblies with enclosure-to-board protection
US9916744B2 (en) 2016-02-25 2018-03-13 International Business Machines Corporation Multi-layer stack with embedded tamper-detect protection
US9904811B2 (en) 2016-04-27 2018-02-27 International Business Machines Corporation Tamper-proof electronic packages with two-phase dielectric fluid
US9881880B2 (en) 2016-05-13 2018-01-30 International Business Machines Corporation Tamper-proof electronic packages with stressed glass component substrate(s)
US9913370B2 (en) 2016-05-13 2018-03-06 International Business Machines Corporation Tamper-proof electronic packages formed with stressed glass
US9858776B1 (en) 2016-06-28 2018-01-02 International Business Machines Corporation Tamper-respondent assembly with nonlinearity monitoring
CN106548986B (zh) * 2016-08-23 2019-01-29 天津大学 用于抗攻击芯片的安全封装结构及封装完整性检测方法
US9730315B1 (en) * 2016-08-29 2017-08-08 Square, Inc. Environment-tolerant tamper-proof circuit board
US10251260B1 (en) 2016-08-29 2019-04-02 Square, Inc. Circuit board to hold connector pieces for tamper detection circuit
US10192076B1 (en) * 2016-08-29 2019-01-29 Square, Inc. Security housing with recesses for tamper localization
US10321589B2 (en) 2016-09-19 2019-06-11 International Business Machines Corporation Tamper-respondent assembly with sensor connection adapter
US10271424B2 (en) 2016-09-26 2019-04-23 International Business Machines Corporation Tamper-respondent assemblies with in situ vent structure(s)
US10299372B2 (en) 2016-09-26 2019-05-21 International Business Machines Corporation Vented tamper-respondent assemblies
US10595400B1 (en) 2016-09-30 2020-03-17 Square, Inc. Tamper detection system
US9999124B2 (en) 2016-11-02 2018-06-12 International Business Machines Corporation Tamper-respondent assemblies with trace regions of increased susceptibility to breaking
US10327329B2 (en) 2017-02-13 2019-06-18 International Business Machines Corporation Tamper-respondent assembly with flexible tamper-detect sensor(s) overlying in-situ-formed tamper-detect sensor
US10504096B1 (en) 2017-04-28 2019-12-10 Square, Inc. Tamper detection using ITO touch screen traces
US10306753B1 (en) 2018-02-22 2019-05-28 International Business Machines Corporation Enclosure-to-board interface with tamper-detect circuit(s)
US11122682B2 (en) 2018-04-04 2021-09-14 International Business Machines Corporation Tamper-respondent sensors with liquid crystal polymer layers

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3023427A1 (de) * 1979-06-28 1981-01-08 Gretag Ag Mobiler datenbehaelter
WO1984004614A1 (en) * 1983-05-13 1984-11-22 Ira Dennis Gale Data security device

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US3697668A (en) * 1968-12-13 1972-10-10 Ncr Co Self-destructible molded articles
US3643609A (en) * 1969-09-05 1972-02-22 Dennis W Maywald Security container having destruct means
US3786282A (en) * 1970-09-25 1974-01-15 Hughes Aircraft Co Radiation hardened flip flop
US3725671A (en) * 1970-11-02 1973-04-03 Us Navy Pyrotechnic eradication of microcircuits
US3740277A (en) * 1971-02-08 1973-06-19 Us Navy Deflagrative circuit board material
US3666967A (en) * 1971-05-12 1972-05-30 Us Navy Self-destruct aluminum-tungstic oxide films
US3906460A (en) * 1973-01-11 1975-09-16 Halpern John Wolfgang Proximity data transfer system with tamper proof portable data token
US3882323A (en) * 1973-12-17 1975-05-06 Us Navy Method and apparatus for protecting sensitive information contained in thin-film microelectonic circuitry
US3882324A (en) * 1973-12-17 1975-05-06 Us Navy Method and apparatus for combustibly destroying microelectronic circuit board interconnections
US4105156A (en) * 1976-09-06 1978-08-08 Dethloff Juergen Identification system safeguarded against misuse
US4295041A (en) * 1977-08-26 1981-10-13 Compagnie Internationale Pour L'informatique Cii-Honeywell Bull (Societe Anonyme) Device for the protection of access to a permanent memory of a portable data carrier
US4375601A (en) * 1980-07-07 1983-03-01 Beckman Instruments, Inc. Signal stability recognition
US4394702A (en) * 1980-11-10 1983-07-19 Sperry Corporation Power failure detection and control circuit
FR2505091A1 (fr) * 1981-04-30 1982-11-05 Cii Honeywell Bull Dispositif de protection des circuits electroniques tels que des circuits integres a l'encontre des charges electrostatiques
US4520418A (en) * 1983-04-25 1985-05-28 Susi Roger E Reset circuit
US4593384A (en) * 1984-12-21 1986-06-03 Ncr Corporation Security device for the secure storage of sensitive data

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3023427A1 (de) * 1979-06-28 1981-01-08 Gretag Ag Mobiler datenbehaelter
WO1984004614A1 (en) * 1983-05-13 1984-11-22 Ira Dennis Gale Data security device

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AT408925B (de) * 1996-10-22 2002-04-25 Posch Reinhard Dr Anordnung zum schutz von elektronischen recheneinheiten, insbesondere von chipkarten

Also Published As

Publication number Publication date
CA1265244A (en) 1990-01-30
GB2182467B (en) 1989-10-18
JPS62117047A (ja) 1987-05-28
FR2589602B1 (fr) 1990-11-30
US4691350A (en) 1987-09-01
GB8526689D0 (en) 1985-12-04
DE3635938C2 (de) 1988-12-29
FR2589602A1 (fr) 1987-05-07
GB2182467A (en) 1987-05-13

Similar Documents

Publication Publication Date Title
DE3635938C2 (de)
DE3632144C2 (de)
DE3730554C2 (de) Sicherheitseinrichtung zum schützen gespeicherter sensitiver daten
EP1924947B1 (de) Manipulations- und durchbohrschutz für eine an eine elektrische schaltung anzuschliessende vorrichtung
DE68927201T2 (de) Sicherheitszaun
DE60304601T2 (de) Elektronisches manipulationserfassungssystem
DE112016003031T5 (de) Leiterplatten und Elektronikbausteine mit integriertem, auf Manipulation ansprechenden Sensor
DE4115703C1 (de)
DE2508154C3 (de) Eingabeplatte
DE60130154T2 (de) Ein kartenlesegerät
DE102013108016A1 (de) Sicherheitshülle
DE2524437A1 (de) Schalttafelstruktur einer kapazitiv gekoppelten tastatur
DE1954966B2 (de) Elektrische Speichermatrix in Kompaktbauweise
DE112016003211T5 (de) Auf Manipulation ansprechende Sensoren mit einer oder mehreren geformten, flexiblen Schichten
DE68921057T2 (de) Schutzvorrichtung für eine elektronische Karte und Verwendung zum Schutz eines Abtastterminals für eine Magnet- und/oder Mikroprozessor-Karte.
EP0071031A2 (de) Trägerelement für einen IC-Baustein
DE60109836T2 (de) Anti-Eindringvorrichtung
DE3602960C1 (de) Dickschicht-Schaltungsanordnung mit einer keramischen Substratplatte
DE102005062802A1 (de) Elektronik-Sicherheits-Modul
DE19512799C2 (de) Durch Feldeffekt steuerbares Halbleiterbauelement
EP1129485A1 (de) Elektronisches bauelement und verwendung einer darin enthaltenen schutzstruktur
EP1804559A2 (de) Elektronik-Sicherheits-Modul
DE102008057887A1 (de) Kryptographisches Modul mit Zugriffschutz
DE102007057948B4 (de) Sicherungseinrichtung und Sicherheitskappenanordnung mit sprödem Deckelement
DE9105960U1 (de) Schutzvorrichtung für Schaltungsteile und/oder Daten in einem Gerät zur Authentifikation und Betragsbestätigung

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
D2 Grant after examination
8364 No opposition during term of opposition
8327 Change in the person/name/address of the patent owner

Owner name: AT&T GLOBAL INFORMATION SOLUTIONS INTERNATIONAL IN

8327 Change in the person/name/address of the patent owner

Owner name: NCR INTERNATIONAL, INC. (N.D.GES.D.STAATES DELAWAR

8320 Willingness to grant licences declared (paragraph 23)
8328 Change in the person/name/address of the agent

Free format text: V. BEZOLD & SOZIEN, 80799 MUENCHEN

8339 Ceased/non-payment of the annual fee