DE3853482T2 - Einrichtung zum schützen von speicherzonen eines elektronischen systems mit mikroprozessor. - Google Patents

Einrichtung zum schützen von speicherzonen eines elektronischen systems mit mikroprozessor.

Info

Publication number
DE3853482T2
DE3853482T2 DE3853482T DE3853482T DE3853482T2 DE 3853482 T2 DE3853482 T2 DE 3853482T2 DE 3853482 T DE3853482 T DE 3853482T DE 3853482 T DE3853482 T DE 3853482T DE 3853482 T2 DE3853482 T2 DE 3853482T2
Authority
DE
Germany
Prior art keywords
zones
type
memory
zone
circuit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE3853482T
Other languages
English (en)
Other versions
DE3853482D1 (de
Inventor
Laurent Sourgen
Rodolphe Uhlmann
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
STMicroelectronics SA
Original Assignee
SGS Thomson Microelectronics SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by SGS Thomson Microelectronics SA filed Critical SGS Thomson Microelectronics SA
Application granted granted Critical
Publication of DE3853482D1 publication Critical patent/DE3853482D1/de
Publication of DE3853482T2 publication Critical patent/DE3853482T2/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G07CHECKING-DEVICES
    • G07FCOIN-FREED OR LIKE APPARATUS
    • G07F7/00Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus
    • G07F7/08Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means
    • G07F7/10Mechanisms actuated by objects other than coins to free or to actuate vending, hiring, coin or paper currency dispensing or refunding apparatus by coded identity card or credit card or other personal identification means together with a coded signal, e.g. in the form of personal identification information, like personal identification number [PIN] or biometric data
    • G07F7/1008Active credit-cards provided with means to personalise their use, e.g. with PIN-introduction/comparison system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • G06F12/1416Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights
    • G06F12/1425Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights the protection being physical, e.g. cell, word, block
    • G06F12/1441Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights the protection being physical, e.g. cell, word, block for a range
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/341Active cards, i.e. cards including their own processing means, e.g. including an IC or chip
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/34Payment architectures, schemes or protocols characterised by the use of specific devices or networks using cards, e.g. integrated circuit [IC] cards or magnetic cards
    • G06Q20/357Cards having a plurality of specified features

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Accounting & Taxation (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Storage Device Security (AREA)

Description

  • Die Erfindung bezieht sich auf eine Einrichtung zum Schützen von Speicherzonen eines elektronischen Systems mit Mikroprozessor. Sie betrifft allgemein das Gebiet der elektronischen Rechenanlagen und insbesondere das Gebiet der Speicherkarten, deren Speichereinrichtung, eingefügt in eine Karte, einen durch einen Mikroprozessor gesteuerten integrierten elektronischen Schaltkreis umfaßt. Die erfindungsgemäße Einrichtung kann ferner Anwendung auf dem Gebiet des Softwareschutzes finden oder, durch geschickte Programmierung, auf einfache Weise die Vervielfältigung oder das Bearbeiten von Programmen, auf deren Geheimhaltung Wert gelegt wird, verhindern. Sie kann auch zum Ziel haben, die unangenehmen Folgen bestimmter Fehlschaltungen zu vermeiden.
  • Bei den elektronischen Systemen mit Mikroprozessor, vor allem bei auf Geld bezogenen Anwendungen der Speicherkarten, ist es erforderlich, die Zugriffsrechte auf bestimmte Speicherzonen des Systems vorzuenthalten. Insbesondere sucht man jeglichen Betrugsversuch durch Lesen theoretisch verbotener Zonen in diesen Karten zu verhindern. Es handelt sich beispielsweise um Zonen, die den geheimen Benutzercode der Karte enthalten. Andererseits umfassen die Speicher der Speicherkarten andere Zonen, insbesondere solche, die ein Saldo darstellen, in welchen die Bedeutung der gespeicherten Informationen modifizierbar sein muß. Man ist in diesem Fall mit einer Situation konfrontiert, in welcher die unterschiedlichen Speicherzonen lesbar sein müssen oder nicht lesbar sein dürfen. Außerdem können in Zonen eines anderen Speichertyps ebenfalls durch den Mikroprozessor auszuführende Anweisungen abgelegt sein. In diesen Zonen eines anderen Speichertyps trifft man auf dieselbe Dualität, bestimmte Anweisungen können dem Anwender zur Verfügung gestellt bleiben, die Verwendung anderer Anweisungen muß ihm demgegenüber verboten werden.
  • In einer komplexeren und realistischeren Situation sind bestimmte Anweisungen an sich unbedeutend, werden jedoch kritisch für die Vertraulichkeit des Systems, wenn sie auf bestimmte Datentypen angewandt werden. Eine Bearbeitungsanweisung beispielsweise zeigt keinerlei gefährliche Eigenschaft, sofern sie mit bestimmten Vorsichtsmaßnahmen zur Bearbeitung des Saldos eines Kontos angewandt wird. Demgegenüber wird sie um ein Vielfaches kritischer, wenn sie in Verbindung mit der fraglichen Speicherkarte zur Bearbeitung des geheimen Transaktionscodes herangezogen wird. Aus dem Stand der Technik sind Lösungen bekannt, bei denen das Verhindern der Ausführung dieser verbotenen Aktionen mittels zusätzlicher Anweisungen erzielt wird, die man in das System einbringen kann. Schließlich arbeitet ein solches System mit einer Software, bei der bestimmte Funktionen dazu bestimmt sind, die Ausführung verbotener Aktionen zu verhindern. So wie es jedoch möglich war, diese Anweisungen einzubringen, so kann es möglich sein, mit einer zusätzlichen Software diese Verbotsanweisungen zu neutralisieren. Darüber hinaus machen diese Verbotsanweisungen das System kompliziert und können die Ausführung zugelassener Anweisungen verlangsamen.
  • Der Erfindung liegt die Aufgabe zugrunde, diese Nachteile zu beseitigen und eine einfache Einrichtung vorzuschlagen, die nicht Software, sondern vielmehr Hardware benutzt, und deren Hinzufügen in den Systemen keinerlei Komplikation hinsichtlich weder der Anwendung dieses Systems noch der Verlangsamung seiner Arbeitsgeschwindigkeit bildet. Das Prinzip der Erfindung besteht im Aufstellen einer Entscheidungsmatrix, die in Echtzeit beispielsweise die Adressen der auszuführenden Anweisungen sowie der Daten, auf welche sich die Anweisungen auswirken sollen, empfängt. Die Entscheidungsmatrix erzeugt ein Funktions-Freigabesignal für das System, wenn die Anwendung der Anweisungen auf die fraglichen Daten zugelassen werden kann.
  • Anstatt die Anweisungen und die Daten selbst in Betracht zu ziehen, ist die Entscheidungsmatrix in der Lage, mit den Adressen der Anweisungen und der betroffenen Daten zu arbeiten. Dies bietet den Vorteil, daß dann, wenn die geheimen Codes nachträglich bei der Herstellung der integrierten Schaltung erzeugt werden, die Entscheidungsmatrix unter dem Vorbehalt unverändert belassen werden kann, daß diese geheimen Codes an einer vorab festgelegten Adresse, jedoch unabhängig von ihrem Inhalt abgelegt werden. Unter diesen Bedingungen kann die Entscheidungsmatrix zur selben Zeit wie die integrierte Schaltung hergestellt werden. Dies bietet zwei Vorteile: erstens ist es nicht erforderlich, diese Matrix nachträglich zu programmieren. Zweitens kann sie aufgrund ihrer Festlegung gleich zu Beginn der Herstellung von sämtlichen technologischen Schutzmaßnahmen profitieren, die den anderen Abschnitten der Schaltung eingeräumt werden können.
  • Der Erfindung liegt demzufolge eine Einrichtung zum Schützen von Speicherzonen eines elektronischen Systems mit Mikroprozessor zugrunde, wie sie in Patentanspruch 1 angegeben ist.
  • Der sowohl in der US-A-3 377 624 als auch in der EP-A-0 150 522 beschriebene Stand der Technik betrifft Schaltungen, die den Zugriff auf die Adressen einer Speicherzone ausgehend von einer an der Adresse in einer anderen Speicherzone des Speichers gelesenen Anweisung erlaubt oder verbietet. Dieser Stand der Technik verwendet keine vorprogrammierte und gleichzeitig durch die beiden auf die beiden Zonen bezogenen Adressen adressierte Matrix.
  • Die Erfindung wird nachstehend anhand eines Ausführungsbeispiels unter Bezugnahme auf die beigefügte Zeichnung näher beschrieben. Es zeigen:
  • - Figur 1 ein zu schützendes elektronisches System mit Mikroprozessor;
  • - Figuren 2a bis 2d Zeitdiagramme logischer, zum Betrieb der Schutzeinrichtung der Erfindung verwendeter Signale;
  • - Figur 3 eine vereinfachte Darstellung einer erfindungsgemäßen Schutzeinrichtung.
  • Figur 1 zeigt ein elektronisches System mit Mikroprozessor 1, welches mit einem Speicher 2 versehen ist, der Speicherzonen eines ersten Typs 1T, 1T', ... und Speicherzonen eines zweiten Typs 2T, 2T', ... besitzt. Diese Speicherzonen können zu einem einzigen Speicher oder zu verschiedenen Speichern gehören. Sie können auch zu Speichern unterschiedlicher Technologien gehören, beispielsweise zu statischen Speichern, dynamischen Speichern oder nichtflüchtigen Speichern (EPROM oder EEPROM). Sie können auch Speicher unterschiedlicher Funktionalität sein, beispielsweise solche mit wahlfreiem Zugriff oder sogar Nurlesespeicher. In der Praxis können die Zonen eines ersten Typs die Zonen sein, in welchen die Anweisungen abgelegt sind, und die Zonen eines zweiten Typs können die Zonen sein, in welchen die Daten abgelegt sind. Auf eine allgemeinere Art und Weise können die Zonen eines ersten oder eines zweiten Typs sogar Zonen sein, in welchen in Wirklichkeit Adressen von Anweisungen oder Daten abgelegt sind.
  • Der Mikroprozessor des Systems 1 arbeitet auf die folgende Art und Weise: während eines Zyklus 3 einer aufeinanderfolgenden Ausführung von Anweisungen entnimmt der Mikroprozessor eine Anweisung aus einer Zone des ersten Typs: 1T oder 1T'. Während des nachfolgenden Zyklus 4 entnimmt er aus den Datenzonen 2T oder 2T' die Daten, auf welche die vorangehend entnommene Anweisung angewandt werden soll. Eventuell kann die Reihenfolge der Zyklen umgekehrt werden, ohne daß sich daraus eine tiefgreifende Modifikation der Erfindung ergibt. In einem bevorzugten Ausführungsbeispiel erfolgen die Informationstransporte zwischen dem Speicher und dem Mikroprozessor mittels eines einzigen Busses, dessen Verwendung zum Lesen von Speicherzonen unterschiedlichen Typs durch ein Anweisungs-Lesesignal LI vorgeschrieben wird. Ein Signal PHI bildet den Takt des Systems: es synchronisiert die verschiedenen Vorgänge.
  • Der typische Betriebsablauf eines solchen Mikroprozessors ist der folgende (Figuren 2a bis 2d): während des ersten Zyklus 3 wird eine Adresse ADI einer Anweisung, die durch den Decodierer des Speichers dekodiert wurde, an den Speicher angelegt. Zu einem Zeitpunkt 5 im Zyklus 3 wird der Inhalt dieser Anweisung an den Mikroprozessor übermittelt. Diese Übermittlung wird durch den Anweisungs-Lesebefehl LI freigegeben. Während des nachfolgenden Zyklus 4 wird eine Datenadresse ADD an den Speicher angelegt, und die in dieser Adresse enthaltenen Daten werden zu einem Zeitpunkt 6 mit einem negierten Zustand des Signals LI an den Mikroprozessor übertragen.
  • In Figur 3 ist eine Einrichtung gemäß der Erfindung dargestellt. Eine Entscheidungsschaltung 7 empfängt, ebenfalls über einen Decodierer 10, die auf die in den Speicherzonen abgelegten Daten bezogenen Adreßsignale. Für die Adressen eines ersten Zonentyps im Speicher, dem der Anweisungen, empfängt sie die Signale I1 bis I4. Sie empfängt gleichermaßen die auf die in den Speicherzonen des zweiten Typs, dem der Daten, bezogenen Adreßsignale: die Signale D1 bis D4. Die Einrichtung der Erfindung umfaßt eine Schaltung 8 zum Freigeben des Betriebs des Systems in Abhängigkeit von einem durch die Entscheidungsschaltung 7 in Antwort auf die Adreßsignale, die diese empfangen hat, abgegebenen Signal.
  • Wie vorstehend gezeigt wurde, wird der Zugriff auf die in den Adressen unterschiedlicher Zonentypen gespeicherten Informationen bevorzugt durch Orientierungssignale gesteuert. Hier ist das beschriebene Orientierungssignal das Anweisungs-Lesesignal LI. Erfindungsgemäß verwendet man dann bevorzugt einen Zwischenspeicher 9, der in Abhängigkeit von dem Zustand des Orientierungssignals auf in den Zonen des ersten Typs, den Anweisungszonen, gespeicherte Informationen bezogene Adreßsignale aufnimmt. Während des Zyklus 3 empfängt der Zwischenspeicher Adreßsignale I1 bis I4. Er speichert diese, bis er einen Nullrücksetzbefehl erhält. Das Vorhandensein dieses Zwischenspeichers erlaubt, lediglich einen einzigen Decodierer 10 zum Decodieren sämtlicher zu extrahierender Adressen der Informationen zu unterschiedlichen Zeitperioden während der Sequenz zu verwenden: während des Zyklus 3 oder 4. Wenn der Zyklus 4 ausgeführt wird, so gibt der Speicher 9 an seinem Ausgang die Adreßsignale I1 bis I4 ab, während der Decodierer 10 Adreßsignale D1 bis D4 bereitstellt. Zur Zeit des nachfolgenden Zyklus, der gleich einem wahren Taktzyklus des Mikroprozessors sein kann, kann die Freigabeschaltung 8 ein Fehlersignal ERR vor dem Beenden der Ausführung der Anweisung durch den Mikrocomputer, die ihm zur Ausführung übergeben wurde, abgeben.
  • In einem einfachen Ausführungsbeispiel wird man berücksichtigen, daß der Speicher in vier Zonen unterteilt ist: Zonen 1T, 1T', 2T und 2T'. Man kann dann für mit einer bestimmten Anzahl von Bits, beispielsweise 16 Bits, codierte Adressen die beiden höchstwertigen Bits A14 und A15 zum Bestimmen derjenigen Zonen des Speichers verwenden, mit denen man es zu tun hat. Beispielsweise kann man es für das Paar A15-A14 mit den Werten 0-0 mit der Zone 1T zu tun haben, für 0-1 mit der Zone 1T', für 1-0 mit der Zone 2T und für 1-1 mit der Zone 2T'. Der Decodierer 10, der die Adreßsignale empfängt, kann diese Adreßbits entsprechend der betroffenen Zone in Signale Z1, Z2, Z3 und Z4 umwandeln. Dem Zyklus zufolge, während dem diese Signale erstellt werden, kann man gelten lassen, daß sie die Adreßsignale I1 bis I4 der Anweisungen oder die Adreßsignale D1 bis D4 der Daten darstellen. Der Decodierer 10 ist von herkömmlicher Bauart: für jeden berücksichtigten Adreßbit-Eingang umfaßt er vor allem einen Inverter 11 oder 12 sowie einen Satz von vier UND-Toren 13 bis 16 zum Erzeugen der Signale Z1 bis Z4 ausgehend von dem Adreßbit-Paar A14-A15. Der Zwischenspeicher 9 umfaßt vier Kippschaltungen B1 bis B4, die jeweils die Signale Z1 bis Z4 einerseits sowie ein Sperr-/Nullrücksetz-Signal andererseits empfangen. Die Sperr-/Nullrücksetz-Signale werden von einer Übergabeschaltung 17 abgegeben. Die Schaltung 17 erlaubt, während des Ablaufs des Zyklus 4 die Adreßsignale I1 bis I4, die während des Zyklus 3 an die Kippschaltungen B1 bis B4 des Zwischenspeichers 9 angelegt wurden, in die Schaltung 7 einzubringen. Die Ausgänge der Kippschaltungen B1 bis B4 sind mit vier jeweiligen Verbindungen 33 bis 36 verbunden.
  • In einer ersten Abwandlung ist der Betriebsablauf dieser Schaltung der folgende: die Adressen A14 bis A15 werden decodiert und erzeugen die Signale Z1 bis Z4. In jedem Zyklus liegt ein einziges dieser Signale auf einem Pegel Eins, die drei anderen liegen auf dem Pegel Null. Wenn beispielsweise die decodierte Adresse der Zone 1T entspricht, dann liegt Z1 auf 1. Während des Zyklus 4 werden die Datensignale D1 bis D4 über eine Anpassungsschaltung 18 zu der Entscheidungsschaltung 7 übertragen.
  • Die Anpassungsschaltung 18 wird hier zur Information dargestellt. Sie könnte ein vollkommen anderes Aussehen haben oder in einer anderen Ausführungsform der Einrichtung der Erfindung sogar fehlen. Im Beispiel umfaßt die Freigabeschaltung 8 einen Widerstand 19, der einerseits mit der Spannungsversorgung des elektronischen Systems mit Mikroprozessor und andererseits mit der Anpassungsschaltung 18 verbunden ist. Dieser Widerstand kann in verschiedenen Technologien ausgeführt sein: er kann ein Ohmscher Widerstand, ein Widerstand aus Polysilizium oder sogar ein als Widerstand verschalteter Transistor zur Leitungsbegrenzung sein. An der Stelle, an der der Widerstand 19 mit der Schaltung 18 verbunden ist, greift ein Inverter 20 eine verfügbare Spannung ab und gibt an seinem Ausgang das gesuchte Freigabesignal ERR ab. Die Anpassungsschaltung 18 umfaßt einen Satz von vier Transistoren 21 bis 24, die einerseits mit dem Widerstand 19 und andererseits, über vier Verbindungen 29 bis 32, mit jedem der Adreßeingänge der Entscheidungsschaltung 7 verbunden sind. Die Transistoren 21 bis 24 empfangen jeweils an ihrem Steuergate die durch den Decodierer 10 decodierten Signale Z1 bis Z4. Ein Satz von vier UND-Toren 25 bis 28 ermöglicht es, diese Adressen an die Entscheidungsschaltung 7 zu übertragen, wenn ein Datenlese-Synchronisationssignal PHI dies erlaubt.
  • In einem Beispiel umfaßt die Entscheidungsschaltung an den Kreuzungspunkten der Verbindungen 29 bis 32 und 33 bis 36 Transistoren T1 bis T16, die auf die folgende Art und Weise verschaltet sind. Die Drain-Anschlüsse dieser Transistoren sind mit den jeweiligen Verbindungen 29 bis 32 verbunden, die Gates dieser Transistoren sind mit den Verbindungen 33 bis 36 verbunden. An bestimmten Kreuzungspunkten wurden keine Transistoren vorgesehen: sie erscheinen in Figur 3 in Klammern; es handelt sich beispielsweise um die Transistoren T1, T5, T7, T11, T15 und T16.
  • Der Betriebsablauf der Einrichtung der Erfindung ist der folgende: wenn PHI auf Null liegt, sind die Transistoren 21 bis 24 gesperrt, in dem Widerstand 19 fließt kein Strom, und der Ausgang ERR liegt auf Eins. Wenn während des ersten Zyklus 3 das Anweisungs-Lesesignal LI und das Taktsignal PHI beide auf Eins liegen, sind die Kippschaltungen B1 bis B4 offen. Eines der Signale Z1 bis Z4 gelangt durch diese Kippschaltungen hindurch und tritt in Form einer Eins als eines der Signale I1 bis I4 auf entsprechend der Zone des Speichers, der es bei der Decodierung entsprochen hat. Dies entspricht der Zone der Anweisung, die ausgeführt werden muß. Wenn das Signal PHI wieder auf Null abfällt, sperren die Kippschaltungen und I1 bis I4 behalten ihre Werte bis zu einem nächsten Zyklus, in dem LI und PHI von neuem den Wert Eins annehmen, bei. Während des zweiten Zyklus 4, wenn mit LI gleich Null PHI erneut gleich Eins wird, werden die Adreßsignale Z1 bis Z4 in entsprechende Adreßsignale D1 bis D4 umgewandelt.
  • In Wirklichkeit besitzt lediglich ein einziges dieser Signale Z1 bis Z4 den Wert Eins, so daß ein einziger der Transistoren 21 bis 24 leitend wird. Nehmen wir beispielsweise an, daß der Transistor 23 leitend wird, weil das Signal Z3 den Wert Eins besitzt: das zu entnehmende Datum befindet sich in der Speicherzone 2T. Wenn die Zone 1T während des Zyklus 3 als Ursprungszone der Anweisung decodiert worden wäre, so würde während des Zyklus 4 der Transistor T3 leitend und elektrischer Strom wurde durch den Widerstand 19, den Transistor 23 und den Transistor T3 fließen. Unter diesen Bedingungen würde die Spannung am Eingang des Inverters 20 abfallen und das Signal ERR auf den Wert Eins ansteigen, d.h. einen Fehler anzeigen. Dieser Fehler kann ausgewertet werden, um die Funktion des Systems zu verbieten. Falls demgegenüber während des vorangehenden Zyklus 3 die Zone 1T' als Ursprungszone der Anweisung decodiert worden wäre, so hätte das Fehlen des Transistors T7 das Fließen diese Stroms durch den Widerstand 19 nicht erlaubt; das Signal ERR wäre auf dem Wert Null geblieben und die Funktion des Systems wäre zugelassen worden. Schließlich zeigen die Transistoren T1 bis T16 durch ihr Vorhandensein oder ihr Fehlen ein Zugriffsverbot auf eine betroffene Zone des Speichers in Verbindung mit einem Zugriff auf eine andere betroffene Zone des Speichers an. Die Einteilung in Zonen des ersten Typs und in Zonen des zweiten Typs des Speichers ist demzufolge wesentlich mit der Natur der Anweisungen, der Daten oder sogar der Adressen, die in diesen Zonen enthalten sein können, verknüpft. Sie können sich natürlich geographisch an vermischten Orten im Speicher befinden.
  • Die Codierung wird in dem beschriebenen Beispiel durch das physische Vorhandensein eines Transistors verwirklicht. Die Realisierung der Entscheidungsschaltung 7 kann infolgedessen durch Maskierung erfolgen: zur Zeit der Herstellung der integrierten Schaltung verwendet man einen Maskensatz derart, daß die erforderlichen Transistoren am Ort dieser Schaltung angeordnet werden. Für bestimmte Anwendungen können diese Transistoren jedoch durch EPROM- oder EEPROM-Speicherzellen ersetzt werden, die den Vorzug aufweisen, programmierbar und nichtflüchtig zu sein. Die Entscheidungsschaltung 7 ist somit ein programmierter Nurlesespeicher. Diese Anordnung kann notwendig sein, wenn die hergestellten integrierten Schaltungen vorab überprüf- und/oder programmierbar sein müssen. Es kann sich dann als notwendig erweisen, für den Überprüfungsvorgang und für durch den Hersteller vorgenommene Programmierungen auf Speicherzonen zugreifen zu müssen, die nachträglich verboten werden. In diesem Fall kann man entscheiden, an allen Kreuzungspunkten der Entscheidungsmatrix programmierbare Transistoren vorzusehen. Die programmierbaren Transistoren sind beispielsweise EPROM- oder EEPROM-Transistoren mit schwebendem Zwischengate, oder auch bei der Initialisierung des Systems geladene Speicherzellen mit wahlfreiem Zugriff. Wenn die vorbereitenden Arbeitsschritte für die Schaltung ausgeführt worden sind, so kann man schließlich die Entscheidungsschaltung programmieren, dessen Wirkung es sein kann, auf eine unwiderrufliche Art und Weise die Ausführung bestimmter Anweisungen zu verbieten, einschließlich der nachträglichen Programmierung bestimmter, besonderer Zonen des Speichers und vor allem einschließlich seiner eigenen Programmierung. Die auf einfache Weise beschriebene Einrichtung kann natürlich auf eine größere Anzahl von Zonen gleicher oder ungleicher Größe erweitert werden.
  • Es wurde ersichtlich, daß man mit dem Signal LI die Ausführung bestimmter Anweisungen, die das Lesen des Speicherinhalts erfordern, verbieten konnte. Es wurde ersichtlich, daß man auch das Verbieten des Schreibens in bestimmte Speicherzonen anstreben konnte. Dies kann durch Verwenden eines Signals SV erreicht werden, welches je nach seinem Pegel dem Schreiben oder dem Lesen der Speicherzonen entspricht. Man kann beispielsweise dieses Signal SV gemeinsam mit dem Taktsignal PHI über ein UND-Tor 37 zuführen, um von Fall zu Fall die Übertragung der Adreßinformationen an die Entscheidungsschaltung freizugeben, wodurch folglich ermöglicht wird, eine Entscheidungsschaltung zu erhalten, die je nachdem, ob die Anweisung ein Datum liest oder schreibt, unterschiedlich ist.

Claims (7)

1. Einrichtung zum Schützen von Speicherzonen (1T, 2T) eines elektronischen Systems (1, 2) mit Mikroprozessor, bei der die Speicherzonen in Zonen eines ersten Typs (1T) und in Zonen eines zweiten Typs (2T) aufgeteilt sind, dadurch gekennzeichnet, daß sie umfaßt:
- eine vorprogrammierte Entscheidungsmatrix (7), die gleichzeitig Adreßsignale, die sich auf in den Zonen des ersten Typs gespeicherte Informationen (I1-I4) beziehen, und Adreßsignale, die sich auf in den Zonen des zweiten Typs gespeicherte Informationen (D1-D4) beziehen, empfängt, um ein Signal abzugeben, das ein Zugriffsverbot oder eine Zugriffserlaubnis auf eine Zone des zweiten Typs in Kombination mit einem Zugriff auf eine Zone des ersten Typs anzeigt,
- eine Schaltung (8) zum Bestätigen der Funktion des Systems in Abhängigkeit des Signale, das von der Entscheidungsmatrix in Antwort auf die Adreßsignale, die sie empfängt, abgegeben wird.
2. Einrichtung nach Anspruch 1, dadurch gekennzeichnet, daß sie umfaßt:
- Mittel (Figur 2), mit denen der Zugriff auf Informationen, die in Adressen in den verschiedenen Typen der Zone gespeichert sind, durch Orientierungssignale (L1) gesteuert wird,
- einen Zwischenspeicher (9) zum Empfangen von Adreßsignalen, die sich auf in den Zonen des ersten Typs gespeicherte Informationen beziehen, in Abhängigkeit des Orientierungssignals,
- und eine Schaltung (17) zum Einbringen der sich auf die in den Zonen des ersten Typs gespeicherten Informationen beziehenden Adreßsignale über den Zwischenspeicher in die Entscheidungsmatrix.
3. Einrichtung nach einem der Ansprüche 1 oder 2, dadurch gekennzeichnet, daß die Zonen des ersten Typs Zonen entsprechen, in denen Anweisungen gespeichert sind, und daß die Zonen des zweiten Typs Zonen entsprechen, in denen Daten gespeichert sind, oder umgekehrt.
4. Einrichtung nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, daß sie Mittel (T1-T16) zum Programmieren der Entscheidungsmatrix umfaßt.
5. Einrichtung nach Anspruch 4, dadurch gekennzeichnet, daß sie Mittel (EPROM, EEPROM) zum Programmieren der Entscheidungsmatrix nach Überprüfungs- und/oder Programmiervorgängen des Systems umfaßt.
6. Einrichtung nach Anspruch 5, dadurch gekennzeichnet, daß sie Mittel (7) zum Verbieten der Programmierung der Entscheidungsmatrix, nachdem diese Schaltung programmiert wurde, umfaßt.
7. Einrichtung nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, daß sie Mittel (SV, 37) zum Verhindern der Ausführung von Lese- oder Schreibbefehlen umfaßt.
DE3853482T 1987-10-02 1988-09-27 Einrichtung zum schützen von speicherzonen eines elektronischen systems mit mikroprozessor. Expired - Fee Related DE3853482T2 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR8713936A FR2621409A1 (fr) 1987-10-02 1987-10-02 Dispositif de protection des zones memoires d'un systeme electronique a microprocesseur
PCT/FR1988/000474 WO1989003081A1 (fr) 1987-10-02 1988-09-27 Dispositif de protection des zones memoire d'un systeme electronique a microprocesseur

Publications (2)

Publication Number Publication Date
DE3853482D1 DE3853482D1 (de) 1995-05-04
DE3853482T2 true DE3853482T2 (de) 1995-11-09

Family

ID=9355647

Family Applications (1)

Application Number Title Priority Date Filing Date
DE3853482T Expired - Fee Related DE3853482T2 (de) 1987-10-02 1988-09-27 Einrichtung zum schützen von speicherzonen eines elektronischen systems mit mikroprozessor.

Country Status (5)

Country Link
EP (1) EP0393050B1 (de)
JP (1) JP3025842B2 (de)
DE (1) DE3853482T2 (de)
FR (1) FR2621409A1 (de)
WO (1) WO1989003081A1 (de)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3028815B2 (ja) * 1988-08-19 2000-04-04 株式会社東芝 携帯可能電子装置の伝送方法と携帯可能電子装置
FR2655762B1 (fr) * 1989-12-07 1992-01-17 Sgs Thomson Microelectronics Fusible mos a claquage d'oxyde tunnel programmable.
FR2656939B1 (fr) * 1990-01-09 1992-04-03 Sgs Thomson Microelectronics Verrous de securite pour circuit integre.
FR2683357A1 (fr) * 1991-10-30 1993-05-07 Philips Composants Microcircuit pour carte a puce a memoire programmable protegee.
FR2694120B1 (fr) * 1992-07-24 1994-09-23 Sgs Thomson Microelectronics Circuit de gestion de mots mémoires.
FR2706620B1 (fr) * 1993-06-11 1995-07-21 Sgs Thomson Microelectronics Circuit intégré comportant un circuit de détection du niveau d'une tension de service.
JP3520102B2 (ja) * 1993-12-28 2004-04-19 株式会社東芝 マイクロコンピュータ
FR2728363A1 (fr) * 1994-12-20 1996-06-21 Sgs Thomson Microelectronics Dispositif de protection de l'acces a des mots memoires
WO2009074686A2 (en) * 2007-12-13 2009-06-18 Thomson Licensing Copy-protected software cartridge

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4590552A (en) * 1982-06-30 1986-05-20 Texas Instruments Incorporated Security bit for designating the security status of information stored in a nonvolatile memory
US4665506A (en) * 1983-01-03 1987-05-12 Texas Instruments Incorporated Memory system with write protection

Also Published As

Publication number Publication date
WO1989003081A1 (fr) 1989-04-06
FR2621409B1 (de) 1994-04-22
EP0393050A1 (de) 1990-10-24
FR2621409A1 (fr) 1989-04-07
JPH02502949A (ja) 1990-09-13
EP0393050B1 (de) 1995-03-29
JP3025842B2 (ja) 2000-03-27
DE3853482D1 (de) 1995-05-04

Similar Documents

Publication Publication Date Title
DE69719479T2 (de) Datenverarbeitungssystemsicherheit
DE1499722C2 (de) Einrichtung zur Modifizierung von Informationswörtern
DE3048365C2 (de)
DE3751297T2 (de) Schaltung zur Programmsteuerung.
DE69221611T2 (de) Vorrichtung und verfahren zum multiplexen von pins zur in-system programmierung
DE69404674T2 (de) Speicherkarte und verfahren zum betrieb
DE68907518T2 (de) Inhaltsadressierte Speicheranordnung.
DE69419967T2 (de) Chip von IC Karte mit Mitteln zur Begrenzung der Anzahl von Authentifizierungen
EP0155399A2 (de) Schutzanordnung zur Verhinderung der unerlaubten Ausführung eines Programms
DE2937354A1 (de) Verfahren und einrichtung zur ueberwachung des gebrauchs eines programmierbaren rechners
DE69327181T2 (de) Massenspeicherkarte für einen Mikrocomputer
EP0010173A1 (de) Halbleiterplättchen mit verbesserter Prüfbarkeit der monolithisch hochintegrierten Schaltungen
DE3318123A1 (de) Schaltungsanordnung mit einem datenspeicher und einer ansteuereinheit zum auslesen, schreiben und loeschen des speichers
DE1499203B1 (de) Schaltungsanordnung zum Speicherschutz bei Datenverarbeitungsanlagen mit Simultanbetrieb
DE1269393B (de) Mikroprogramm-Steuerwerk
DE3930932A1 (de) Ausgangsrueckkopplungssteuerschaltung fuer integrierte schaltung
DE3853482T2 (de) Einrichtung zum schützen von speicherzonen eines elektronischen systems mit mikroprozessor.
DE2926322C2 (de) Speicher-Subsystem
DE2801518A1 (de) Datenverarbeitungssystem mit speicher-schutzeinrichtung
DE2532125C2 (de) Modularbaustein für Datenverarbeitungsanlagen
DE3723121C2 (de)
DE10324337B4 (de) Rechnersystem und zugehöriges Verfahren zum Durchführen eines Sicherheitsprogramms
DE69602984T2 (de) Verfahren zum Schützen nichtflüchtiger Speicherbereiche
DE2940653A1 (de) Programmierbare logische anordnung
DE69508207T2 (de) Speicherwörterzugangsschutzvorrichtung

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
8339 Ceased/non-payment of the annual fee