-
Die vorliegende Erfindung bezieht
sich auf den Schutz integrierter Schaltungen (ICs), und insbesondere
auf ein Verfahren zum Verhindern der Umkehrtechnik von ICs. Die
Erfindung ist besonders nützlich
beim Schützen
sicherer ICs, die bei Kabel- und Satellitenfernsehdecodierern verwendet
werden, um zu verhindern, dass nicht berechtigte Benutzer Fernsehübertragungen
empfangen. Die Erfindung ist gleichermaßen nützlich beim Schützen sicherer
ICs, die bei anderen Anwendungen, einschließlich Terminals und Chipkarten
für elektronischen
Zahlungsverkehr, Zugangskontrollen, elektronischen Spielen und ähnlichem,
verwendet werden.
-
Aufgrund der anhaltenden Popularität des Bezahlfernsehmarkts
existiert ein enormer finanzieller Anreiz für nicht berechtigte Benutzer,
bekannt als „Piraten", die Zutrittskontrolle
von Set-Top-Boxen (z. B. Decodierern) zu modifizieren, um den Empfang von
Fernsehprogrammierung ohne Zahlung der erforderlichen Anschlußgebühren zu
ermöglichen.
Die modifizierten Decodierer werden von skrupellosen Einzelpersonen über verschiedene
Märkte
bezogen und verwendet, um die Fernsehsignale illegal zu empfangen
und anzusehen.
-
Um einen modifizierten Decodierer
herzustellen, muss ein Pirat gewisse Informationen, die gewöhnlich nur
dem authorisierten Fabrikanten bekannt sind, von einem echten Decodierer
entnehmen. Der Decodierer umfasst typischerweise einen sicheren (z.
B. kryptographischen) Prozessor, der Informationen wie zum Beispiel
kryptographische Schlüssel enthält, die
beim Entwürfeln
eines verwürfelten
Fernsehsignals oder eines anderen Programmierdienstsignals (z. B.
Audio oder Daten) verwendet werden. Da der sichere Prozessor Zutrittskontrollfunktionen durchführt, stellt
er einen Schwerpunkt für
den Piraten dar. Dementsprechend wird der Pirat in einem Versuch,
Informationen von dem sicheren Prozessor zu erlangen, verschiedene
Techniken anwenden.
-
Eine übliche Angriffstechnik ist
als „Prüfen" bekannt. Ein sicherer
Prozessor umfasst eine integrierte Schaltung (IC), die als eine
monolitische Vorrichtung mit einem Ensemble aktiver und passiver Komponenten,
einschließlich
Transistoren, Widerständen,
Kondensatoren und Dioden, fabriziert ist, die innerhalb eines monolithischen
Blocks Halbleiterwerkstoff zusammengeschaltet sind. Die IC kann
in einem Gehäuse
angeordnet sein, das auf einer Decodierer-Leiterplatte installiert
ist, oder kann Teil eines Micromoduls sein, das in einer Chipkarte
eingebettet ist. Während
des Prüfens
werden ICs, wie zum Beispiel höchstintegrierte
Schaltungen (VLSI-Schaltungen) einem umgreifenden Angriff unterzogen,
wobei das Mikroplättchen
(z. B. IC oder „Chip") durch Decapsulation
freigelegt wird. Während
der Decapsulation wird das Verbundmaterial, das das Mikroplättchen einkapselt
oder umgibt, systematisch entfernt. Dann werden Meßfühler, die
den elektrischen Strom und andere Parameter messen, verwendet, um
die elektronischen Signale in den aktiven Komponenten des Chip zu überwachen.
-
Ein Pirat kann die folgenden Schritte
der Decapsulation durchführen,
um einen Chip für
das Prüfen
vorzubereiten. Als Erstes wird der Chip von der Decodierer-Leiterplatte
entfernt, wobei sich das Mikroplättchen
immer noch innerhalb des IC-Pakets befindet. Dies ist im Allgemeinen
der Fall, wenn ein Chip auf einer großen Leiterplatte montiert ist.
Als Zweites kann der Standort des Mikroplättchens innerhalb der einkapselnden
Verbindung des IC-Pakets durch Durchleuchten des IC-Pakets bestimmt werden.
Als Drittes kann ein mechanischer Schleifer verwendet werden, um
so viel der einkapselnden Verbindung wie möglich über der oberen Fläche des Mikroplättchens
zu entfernen, ohne das Mikroplättchen
zu beschädigen.
Als Viertes wird chemische Ätzung
oder Plasmaätzung
durchgeführt,
um die letzten Abschnitte der einkapselnden Komponente, die über dem
Bereich des zu prüfenden
Mikroplättchens verbleiben,
zu entfernen. Manche chemischen Ätzmittel
arbeiten so gut auf der einkapselnden Komponente, dass der Schleifschritt
oft übersprungen
werden kann.
-
Die Decodierer-Leiterplatte kann
eine Computer-Leiterplatte sein wie jene, die in einem Personal-Computer
(PC) verwendet werden. Der Chip erfordert typischerweise Gleichstrom
von einer Batterie oder einer anderen Energiequelle, um die Inhalte
eines flüchtigen
Speichers, wie zum Beispiel eines Direktzugriffsspeichers (RAM),
aufrechtzuerhalten. In diesem Fall werden die Batteriedrähte an einen
positiven Stift (z. B. Vbatt) und einen
negativen Stift (z. B. Vss) auf der Außenseite
des Chips vor dem Entfernen von der Leiterplatte gelötet. Der
Chip wird dann von der Leiterplatte entfernt, wobei die Batteriedrähte immer
noch angebracht sind. Wenn die Energie der Batterie unterbrochen
wird, „zerstört" sich der Chip durch
das Löschen
(z. B. Verlieren) von entscheidenden Informationen, die im Speicher
gespeichert sind, selbst. Der Pirat kann die entsprechenden Batteriestifte
identifizieren, indem er Widerstandsmessungen der Spuren auf der
Leiterplatte, die mit der Batterie verknüpft sind, vornimmt, und dann
bestätigt,
indem er Spannungsablesungen der Spuren vornimmt, wobei eine Hauptspannung
(z. B. Vcc) ausgeschaltet ist.
-
Die IC muss von der Decodierer-Leiterplatte entfernt
werden, da die von dem Raubkopierer bei den nachfolgenden Decapsulationsschritten
verwendete Ausrüstung
die grosse Ausleuchtzone der grossen Decoder-Leiterplatte nicht aufnehmen kann. Kommerzielle
Decapsulationsstationen, die chemische Ätzmittel verwenden, können nur
relativ kleine Decodierer-Leiterplatten aufnehmen. Dies gilt, da
die IC in einer Kammer platziert sein muss, um den Operator vor
den Ätzmitteln
zu schützen,
die giftig sein können.
Oft wird ein kleines Vakuum in der Kammer geschaffen, um das Entweichen
von Ätzmittel-Flüssigkeit
und Sprühwasser
zu verhindern. Derartige Kammern sind typischerweise aufgrund der
erhöhten Kosten
und der Zeit, die mit dem Evakuieren einer Kammer mit einem größeren Volumen
assoziiert wird, in der Größe eingeschränkt.
-
Alternativ kann die IC in einer Miniatur-Schaltung
mit eingestecktem Micromodul bereitgestellt sein, die aus Microelementen,
wie zum Beispiel Widerständen,
Kondensatoren und/oder Transistoren, besteht. Das Mikroplättchen des
Micromoduls kann innerhalb einer Substratmatrix fabriziert sein.
Eine Fläche
der Substratmatrix enthält
Kontakte, während das
Mikroplättchen
an die entgegengesetzte Fläche drahtgebunden
ist. Das Micromodul wird innerhalb eines Hohlraums eines Kartenkörpers getragen.
Ein Pirat exrahiert üblicherweise
das Micromodul aus dem Kartenkörper
und positioniert das Micromodul, um Zugang zu dem Kontaktbereich
zu erlangen. Der Kontaktbereich ist an eine Montierfläche geklebt,
und die Fläche
des Mikroplättchens
wird freigelegt, um das Entfernen des Epoxidklebers, der verwendet wird,
um das Mikroplättchen
innerhalb des Kartenkörpers
zu sichern, zu ermöglichen.
-
Die Tätigkeit des Pirats wird daher
erleichtert, wenn der Chip in einem kleineren Länge-/Breite-Verhältnis des
Chips selbst oder einer viel kleineren Leiterplatte verfestigt wird.
Die vorliegende Erfindung bezieht sich darauf, es schwieriger für den Pirat zu
machen, eine IC von einer Leiterplatte oder einem Micromodul zu
entfernen, oder ein Micromodul von einer Chipkarte zu entfernen.
-
Bei gegenwärtigen Chipausführungen,
einschließlich
jener anwendungsspezifischen ICs (ASICs), wird ein Pirat im Allgemeinen
auf keine maßgeblichen
Hindernisse beim Durchführen
der oben beschriebene vier Schritte stoßen. Das Entfernen des Chips
von der Leiterplatte, wenn die Batteriedrähte noch angebracht sind, wird
normalerweise als heikelster Vorgang betrachtet. Das nicht beschädigte Mikroplättchen,
das durch eine inerte Glasierungsummantelung geschützt ist,
kann daher durch einen Pirat freigelegt werden, solange kein Kurzschluss oder
Leerlauf der Energie der Batterie geschaffen wird. Weiterhin kann
Schaden an Kontaktdrähten ebenfalls
leicht vermieden werden. Kontaktdrähte verknüpfen Kontaktunterbauten des
Chips, um Flecken in dem schützenden
einkapselnden Paket zu verpacken, und befinden sich auf dem Umfang
der Vorrichtung. Sobald das Mikroplättchen freigelegt ist, ohne
Verkürzen
oder Öffnen
der Energieversorgung an den Chip zu verursachen, kann das Prüfen beginnen.
Wenn das Entfernen des Chips von der Leiterplatte oder dem Mikromodul,
mit der/dem er verknüpft
ist, verhindert oder sonstwie behindert werden kann, kann die Piraterie
schwieriger gemacht oder ganz vermieden werden.
-
Eine Angehensweise zum Verhindern
des Prüfens
wird in dem gemeinsam übertragenen
US Patent 4,933,898, herausgegeben am 12. Juni 1990 an Gilberg et
al., mit dem Titel „Secure
Integrated Circuit Chip With Conductive Shield" besprochen. Gilberg et al. offenbaren
die Verwendung von einer oder mehreren leitfähigen Schichten, um einen sicheren Bereich
einer IC zu überlagern.
Die leitfähigen Schichten
schirmen den sicheren Bereich vor Prüfung ab und tragen ein Energiesignal
an die IC. Das Entfernen von einer der Schichten durch einen Pirat verursacht
einen Ausfall von Strom an die Komponenten des sicheren Bereichs.
Diese Angehensweise widmet sich jedoch nicht direkt dem Problem
des Entfernens einer IC von einer Decodierer-Leiterplatte oder einer
Chipkarte.
-
EP
0 495 645 offenbart einen Datensicherheitsservice, der
ein durch eine Deckplatte, eine Grundplatte und vier Seitenplatten
gebildetes Gehäuse
umfasst. Jede Platte trägt
ein elektrisch leitfähiges
Mäander-Pfadsegment.
Eine Leiterplatte ist in dem Gehäuse
montiert und trägt
elektronische Schaltungskomponenten einschließlich eines Speichers für gespeicherte
schutzwürdige
Daten. Die leitfähigen
Pfadsegmente auf den Seitenplatten sind über zerbrechliches elektrisch
leitfähiges
Epoxidmaterial und leitfähige
Spuren zusammengeschaltet, mit der Ausnahme, dass das leitfähige Pfadsegment
auf der vierten Platte direkt mit dem leitfähigen Pfadsegment auf einer
angrenzenden Platte durch einen 6-seitigen Zusammenschaltungsblock
verknüpft
ist. Wenn der Kleber, der die Gehäusekomponenten zusammenbindet,
entfernt wird, wird das Schwenken der Seitenplatte durch die Ende-zu-Ende-Anordnung und/oder
das zerbrechliche Epoxidmaterial und/oder den Zusammenschaltungsblock
verhindert. Die Unterbrechung der elektrisch leitfähigen Mäander-Pfadsegmente
auf den Gehäuseplatten
resultiert in der Löschung
der Inhalte des Speichers.
-
EP
0 510 433 offenbart eine sichere Schaltstruktur, die ein
Paar entgegengesetzter Substrate umfasst, die eine flüchtige Schaltung,
die auf mindestens einem der Substrate fabriziert ist, aufweist.
Ein Wartungskreis für
die flüchtige
Schaltung erstreckt sich zwischen den Substraten, so dass er unterbrochen
wird, wenn die Substrate in Bezug aufeinander durch das Öffnen des
Schaltkreis-Pakets bewegt werden. Der Wartungskreis umfasst eine
Reihe von passenden leitfähigen
Indium-Bumps, die sich
von den entgegengesetzten Substraten erstrecken und die Substrate
mechanisch aneinander binden.
-
Es ist das Ziel der vorliegenden
Erfindung, eine Vorrichtung bereitzustellen, die das unbefugte Handhaben
von IC-Chips durch einen Pirat verhindert.
-
Dieses Ziel wird durch eine gegen
unbefugte Handhabung gesicherte integrierte Schaltungsvorrichtung
gemäß den unabhängigen Ansprüchen 1 und/oder
6 und/oder 11 erreicht.
-
Weitere vorteilhafte Ausführungsformen
sind Gegenstand der beigelegten Ansprüche 2 bis 5, 7 bis 10 und 12
bis 16.
-
Gemäß der vorliegenden Erfindung
wird die Tätigkeit
des Piraten, eine IC von einer Decodierer-Leiterplatte, einem Substrat
des Micromoduls oder einem Chipkartenkörper zu entfernen, ohne die IC
zu beschädigen,
erschwert. Weiterhin ist die erfinderische Vorrichtung mit existierenden
Chipentwürten
kompatibel und kostengünstig
auszuführen.
-
Es ist ein weiterer Vorteil der erfinderischen Vorrichtung,
dass sie die Ablagerung von fokussierten Ionenstrahlen schwieriger
macht. Vorrichtungen zur Ablagerung von Ionenstrahlen werden verwendet,
um geladene Atome oder Moleküle
in ein Mikroplättchen
zu injizieren und verwenden typischerweise eine kleine entleerte
Kammer, um das Mikroplättchen zu
halten. Die Entleerung der Kammer wird erschwert, wenn das Mikroplättchen aufgrund
der Entgasung (z. B. der Freigabe von absorbierten Gasen durch Erhitzen)
der Leiterplatte oder des Substrats auf einer Leiterplatte oder
einem Substrat des Micromoduls gelassen wird. Indem es schwieriger
und riskanter für
einen Pirat gemacht wird, das Mikroplättchen von der Leiterplatte
oder dem Micromodul zu entfernen, werden die Handhabungskosten des
Piraten erhöht,
da der erforderliche Zeitraum, um die Kammer zu entleeren, verlängert wird.
-
Gemäß einer Ausführungsform
der vorliegenden Erfindung wird eine gegen unbefugte Handhabung
gesicherte integrierte Schaltungsvorrichtung (IC) vorgestellt. Die
Vorrichtung ist für
die Verwendung mit einer IC ausgeführt, die eine aktive Komponente,
wie zum Beispiel einen sicheren Prozessor, trägt, der zum Funktionieren eine
konstante Energieversorgung erfordert. Wenn die Energieversorgung unterbrochen
wird, werden Daten von einem flüchtigen
Speicher des sicheren Prozessors gelöscht.
-
Die gegen unbefugte Handhabung gesicherte
integrierte Schaltungsvorrichtung (IC) umfasst einen IC-Körper, der
ein Gehäuse
ist, in dem die IC verpackt ist, bevor sie in einer Decodierer-Leiterplatte oder
in einer Chipkarte installiert wird. Eine aktive Komponente, wie
zum Beispiel ein sicherer Prozessor, ist innerhalb des Körpers angeordnet.
-
In einer ersten Ausführungsform
ist ein Satz redundanter Stifte, die mit dem IC-Körper zum
Koppeln eines Energiesignals, das außerhalb des IC-Körpers liegt, mit der aktiven
Komponente über
einen elektrischen Pfad verbunden sind, bereitgestellt. Das Energiesignal
ermöglicht
das Funktionieren der aktiven Komponente. Ein Schalter, wie zum
Beispiel ein Transistor, ist innerhalb des IC-Körpers angeordnet und empfängt das
Energiesignal über
mindestens einen der redundanten Stifte. Der Schalter ist ausgeführt, um
das Energiesignal an die aktive Komponente zu unterbrechen, wenn
das Energiesignal an mindestens einen der Stifte unterbrochen wird. Das
Energiesignal kann zum Beispiel unterbrochen werden, wenn der IC-Körper von
einer Decodierer-Leiterplatte oder einer Chipkarte entfernt wird. Der
Schalter kann ausgeführt
sein, um einen Kurzschluss oder Leerlauf des elektrischen Pfads
bereitzustellen, wenn das Energiesignal an mindestens einen der
Stifte unterbrochen wird. Die aktive Komponente kann einen sicheren
Speicher, wie zum Beispiel einen RAM, beinhalten, um kryptographische Daten
zu speichern, wobei eine Unterbrechung des Energiesignals an mindestens
einen der Stifte die Löschung
der kryptographischen Daten verursacht.
-
In einer zweiten Ausführungsform
sind erste und zweite primäre
Stifte, die mit dem IC-Körper
verbunden sind, zum Koppeln des Energiesignals mit der aktiven Komponente
bereitgestellt. Ein erster Ersatzstift ist mit entweder dem einen
der ersten und zweiten primären
Stifte über
ein erstes elektrisch leitfähiges
Element, wie zum Beispiel eine Spur, elektrisch gekoppelt, und ein
zweiter Ersatzstift ist mit dem ersten Ersatzstift über ein
zweites elektrisch leitfähiges
Element elektrisch gekoppelt. Mindestens eins der ersten und zweiten
elektrisch leitfähigen
Elemente erstreckt sich, mindestens teilweise, außerhalb
des IC-Körpers.
Das Energiesignal ist mit der aktiven Komponente über einen
seriellen Pfad gekoppelt, der die ersten und zweiten primären Stifte und
die ersten und zweiten Ersatzstifte umfasst.
-
Wahlweise ist entweder das erste
oder das zweite elektrisch leitfähige
Element mindestens teilweise innerhalb einer Leiterplatte, einem
Substrat des Micromoduls oder einer Chipkarte, die den IC-Körper trägt, eingebettet,
so dass das Entfernen des IC-Körpers
von der Leiterplatte, dem Substrat des Micromoduls oder der Chipkarte
das Koppeln des Energiesignals über
den seriellen Pfad mit der aktiven Komponente unterbricht. Die aktive
Komponente kann einen sicheren Speicher zum Speichern kryptographischer
Daten beinhalten, wobei eine Unterbrechung des Energiesignals in
dem seriellen Pfad die Löschung
der kryptographischen Daten verursacht.
-
In einer dritten Ausführungsform
beinhaltet die aktive Komponente eine Vielzahl von Segmenten, die
innerhalb des Körpers
angeordnet sind. Eine entsprechende Vielzahl von Stiften, die mit
dem IC-Körper
verbunden sind, ist zum Koppeln eines Energiesignals mit den Segmenten über jeweilige
innere elektrisch leitfähige
Pfade, die mindestens teilweise innerhalb des IC-Körpers liegen,
bereitgestellt. Das Energiesignal ermöglicht das Funktionieren der
Segmente. Die Stifte empfangen das Energiesignal über einen äußeren elektrisch
leitfähigen
Pfad, der sich mindestens teilweise außerhalb des IC-Körpers erstreckt.
Das Koppeln des Energiesignals mit mindestens einem, wenn nicht
allen der Vielzahl von Segmenten wird unterbrochen, wenn das Energiesignal nicht
länger über die
Vielzahl von Stiften getragen wird.
-
Wahlweise ist das äußere elektrisch
leitfähige
Element mindestens teilweise innerhalb einer Leiterplatte, einem
Substrat des Micromoduls oder einer Chipkarte, die den IC-Körper trägt, eingebettet,
so dass das Entfernen des IC-Körpers
von der Leiterplatte, dem Substrat des Micromoduls oder der Chipkarte
das Tragen des Energiesignals über
die Vielzahl von Stiften unterbricht. Das leitfähige Element muss jedoch nicht
verborgen werden. Die IC kann zum Beispiel in einer zweiseitigen
Leiterplatte getragen werden, die keine zusätzlichen Schichten aufweist,
wobei sich leitfähige
Spuren auf einer oberen Fläche
der Leiterplatte befinden. In solch einem Fall können einige Anstrengungen unternommen
werden, Spuren unterhalb der IC laufen zu lassen. Die bloße Handhabung
von Energie an dem Stift oder Flecken wird ein Problem verursachen.
-
Die Segmente der aktiven Komponente
können
einen sicheren Speicher zum Speichern kryptographischer Daten beinhalten,
wobei eine Unterbrechung des Energiesignals an die Vielzahl von
Stiften die Löschung
der kryptographischen Daten verursacht.
-
KURZE BESCHREIBUNG
DER ZEICHNUNGEN
-
1 ist
ein vereinfachtes Schema, das eine erste Ausführungsform der gegen unbefugte
Handhabung gesicherten integrierten Schaltungsvorrichtung (IC) gemäß der vorliegenden
Erfindung darstellt.
-
2 ist
ein vereinfachtes Schema, das eine zweite Ausführungsform der gegen unbefugte
Handhabung gesicherten IC gemäß der vorliegenden Erfindung
darstellt.
-
3 ist
ein vereinfachtes Schema, das eine dritte Ausführungsform der gegen unbefugte
Handhabung gesicherten IC gemäß der vorliegenden
Erfindung darstellt.
-
DETAILLIERTE
BESCHREIBUNG DER ERFINDUNG
-
Eine gegen unbefugte Handhabung gesicherte
integrierte Schaltung (IC), um zu verhindern, dass aktive Komponenten,
wie zum Beispiel ein sicherer Prozessor, der in einem Fernsehdecodierer verwendet
wird, unbefugt gehandhabt werden (z. B. durch Umkehrtechnik), wird
vorgestellt. Insbesondere wird jeder Versuch, die IC von einer PC-Leiterplatte, einer
Chipkarte oder einer anderen Stelle, an der die IC installiert ist,
zu entfernen, ein Energiesignal der aktiven Komponente unterbrechen
und in dem Verlust von Daten resultieren.
-
1 ist
ein vereinfachtes Schema, das eine erste Ausführungsform der gegen unbefugte
Handhabung gesicherten integrierten Schaltungsvorrichtung (IC) gemäß der vorliegenden
Erfindung darstellt. Die IC 100 umfasst eine aktive Komponente
wie zum Beispiel einen sicheren Direktzugriffsspeicher (RAM) 130,
der Teil eines sicheren Prozessors ist. Eine nicht gezeigte Zentraleinheit
(CPU) des sicheren Prozessors kann Daten von dem und an den Speicher 130 übertragen.
Der RAM 130 ist ein flüchtiger
Speicher, der ein kontinuierliches Energiesignal erfordert, um seine
Inhalte aufrechtzuerhalten.
-
Ein Draht oder ein anderes elektrisch
leitfähiges
Element 151 und ein Stift 110 koppeln ein positives
Terminal (z. B. Vbatt) einer Spannungsquelle 150 mit
dem RAM 130. Der Stift 110 und die Spannungsquelle 150 liegen
typischerweise außerhalb
der IC 100. Der Begriff „Stift", wie hier verwendet, soll jedes beliebige
elektrisch leitfähige
Terminal umgreifen. Auf ähnliche
Weise koppeln die elektrisch leitfähigen Elemente 152 und 153 und
ein Stift 105 ein negatives Terminal (z. B. Vss)
der Spannungsquelle 150 mit dem RAM 130. Die Stifte 105 und 110 sind
primäre
Stifte. Bei einer nominellen Funktionsweise wird das Energiesignal
von dem positiven Terminal der Batterie 150 zu dem RAM 130 über den
Stift 110 und die Leitungen 151 getragen, und
zurück
zu dem negativen Terminal der Spannungsquelle über die Leitungen 152 und 153 und
den Stift 105. Es versteht sich natürlich, dass die Polarität der Spannungsquelle 150 umgekehrt
werden kann.
-
Gemäß der vorliegenden Erfindung
werden Mittel bereitgestellt, um das Energiesignal an den RAM 130 zu
unterbrechen. Insbesondere werden ein oder mehrere sekundäre oder
Ersatzstifte 115, 120 und 125 bereitgestellt,
um das Energiesignal jeweils an die Schalter 135, 140 und 145 zu
tragen. Das von dem positiven Terminal der Spannungsquelle 150 bereitgestellte
Energiesignal ist mit einem elektrisch leitfähigen Element (z. B. Leitung,
Draht oder Spur) 160 gekoppelt, das sich von Stift 110 zu
Stift 125 erstreckt. Die Stifte 115 und 120 greifen
ebenfalls in die Leitung 160 ein. Obwohl drei Ersatzstifte
gezeigt werden und jede beliebige Anzahl bereitgestellt sein kann,
versteht es sich, dass nur ein Ersatzstift verwendet werden muss,
um den Entwurf der vorliegenden Erfindung zu verwirklichen.
-
Der Stift 115 stellt das
positive Energiesignal an einen Schalter 135 über die
Leitung 116 bereit. Der Schalter 135 ist mit der
Leitung 151 über
die Leitung 136 gekoppelt, und mit der Leitung 153 über Leitung 137.
Der Schalter 135 kann einen Transistor, wie zum Beispiel
einen Feldeffekttransistor (FET), beinhalten, obwohl der Fachmann
erkennen wird, dass andere Arten von Schalteinrichtungen angewendet werden
können.
Ein FET ist durch eine Torspannung gekennzeichnet, die die Menge
des Quellstroms, die in den Transistor eintritt, und die Menge des
Absaugstroms, die aus dem Transistor austritt, regelt. Wenn sich
die Torspannung unter einem Schwellenwert befindet, fließt kein
elektrischer Strom durch den Transistor. Wenn die Torspannung den
Schwellenwert überschreitet,
fließt
elektrischer Strom durch den Transistor. Der Transistor kann daher
als ein Schalter mit zwei Betriebsarten wirken. Bei einer ersten
Betriebsart weist der Transistor einen niedrigen Widerstand auf,
und elektrischer Strom wird leicht weitergegeben, während der
Transistor bei einer zweiten Betriebsart einen sehr hohen Widerstand aufweist
und im Wesentlichen kein elektrischer Strom weitergegeben wird.
-
Wenn der Schalter 135 ein
Transistor ist, kann das über
Leitung 116 bereitgestellte Energiesignal den Transistor
auf eine Betriebsart unter Vorspannung setzen, bei der kein elektrischer
Strom zwischen den Leitungen 136 und 137 weitergeben
wird. Auf ähnliche
Weise kann der Schalter 140 über den Stift 120 und
die Leitung 121 unter Vorspannung gesetzt werden, so dass
kein elektrischer Strom zwischen den Leitungen 141 und 142 weitergeben
wird, und der Schalter 145 kann über den Stift 125 und
die Leitung 126 unter Vorspannung gesetzt werden, so dass
kein elektrischer Strom zwischen den Leitungen 146 und 147 weitergegeben
wird. Dies repräsentiert eine
nominelle Funktionsweise der IC 100, wo die Schalter 135, 140 und 145 als
unendliche Widerstände
wirken.
-
In dem Fall, dass ein Pirat versucht,
die IC 100 von einer Decodierer-Leiterplatte oder einer Chipkarte, in
der die IC installiert ist, zu entfernen, stellt die Konfiguration
aus 1 eine Zahl von
Hindernissen bereit. Zuerst muss der Pirat sicherstellen, dass das
richtige Energiesignal an jeden der Stifte 105, 110, 115, 120 und 125 aufrechterhalten
wird. Daher muss der Pirat eine oder mehrere zusätzliche Batterieverbindungen über die
Ersatzstifte 115, 120 und 125 anstelle
von nur zwei Batterieverknüpfungen,
z. B. über
die Stifte 105 und 110 bereitstellen, um die erforderliche
Energie an den Speicher 130 zu liefern. Der durch die Stifte 105, 110 getragene
elektrische Strom befindet sich im Allgemeinen in der Größenordnung
von einigen Microampere, obwohl die Höchstkapazität der Stifte typischerweise
eintausend bis zehntausend mal größer ist. Auf dem gegenwärtigen Stand
der Technik kann der durch die Stifte getragene elektrische Strom
einen Speicher von ungefähr
zwei Kilobyte Direktzugriffsspeicher (RAM) sichern.
-
In der Praxis verknüpft der
Pirat eine neue Spannungsquelle (z. B. eine Batterie) mit der IC 100, bevor
er versucht, die IC von der Leiterplatte oder der Chipkarte zu entfernen.
Eine enorme Menge an Sorgfalt muss jedoch aufgebracht werden, um
eine Batterie vor dem Entfernen von einer Leiterplatte an eine IC
zu löten.
Die neue Batterie wird über
neue Anschlußdrähte und
Drähte
gekoppelt, die die durch die Leiterplatte oder die Chipkarte gelieferten
ersetzen. Sobald die IC mit der neuen Batterie verknüpft ist,
müssen
die Verbindungen zwischen der IC und der alten Batterie zerbrochen
werden, so dass die IC von der Leiterplatte abgehoben werden kann.
-
Der Pirat wird verschiedenen Problemen
gegenüberstehen,
während
er versucht, die Verknüpfungen
zwischen der IC und der alten Batterie aufzutrennen. Während des
Versuchs, Hitze zu verwenden, um die Lötverknüpfungen mit der alten Batterie zu
brechen, können
insbesondere eine oder mehrere Verbindungen der neuen Batterie ebenfalls
aufgetrennt werden, was in der Unterbrechung des Energiesignals
an die IC 100 und der Löschung
der Daten in dem flüchtigen
Speicher 130 resultiert. Wenn die elektrischen Verknüpfungen
zwischen der IC und der neuen Batterie mit Lot gemacht würden, das
nicht die richtige Temperatur aufweist, könnten sich außerdem schwache
Stellen, bekannt als kalte Lötstellen,
geformt haben. Derartige Stellen sind besonders anfällig für Versagen,
wenn die neuen Verknüpfungen
gehandhabt werden.
-
Tatsächlich kann die Handhabung
der IC maßgebliche
Anspannungen auf den neuen Anschlußdrähten der Batterie verursachen,
die mit dem IC-Paket
gekoppelt sind. Wenn die IC alternativ in einem Mikromodul beherbergt
ist, können
Anspannungen in Kontaktdrähten
induziert werden, die die neue Batterie mit dem Micromodul koppeln.
Diese Anspannungen können
das buchstäbliche
Abfallen der Stifte oder anderer Kopplungselemente von dem IC-Paket verursachen.
Wenn dies passiert, sind alle flüchtigen Inhalte
in dem Speicher 130 verloren. Außerdem kann ein versehentliches
Kürzen
der Anschlußdrähte der
Batterie der IC auftreten, wenn die IC von dem Pirat nachlässig gehandhabt
wird. Bei der vorliegenden Erfindung unterbricht ein derartiger
Kurzschluss auch den Stromfluss an die IC und verursacht den Verlust von
Daten im Speicher 130.
-
Um die Probleme eines Leerlaufs oder
Kurzschlusses des Energiesignals an die IC zu vermeiden, kann ein
Pirat es vorziehen, die IC auf der Decodierer-Leiterplatte oder
in dem Micromodul zu lassen. In diesem Fall kann der Piratversuchen,
einen Abschnitt der Leiterplatte, der die IC umfasst, wegzuschneiden.
Oder der Pirat kann versuchen, wenn die IC in einem Mikromodul einer
Chipkarte getragen wird, das Mikromodul von dem Substrat des Micromoduls
und dem Chipkartenkörper
wegzuschneiden. Derartige Versuche können den Zeit- und Kostenaufwand
des Pirats bei der Handhabung der IC senken, werden aber die Leiterplatte
zerstören.
Die Kosten des Zerstörens
einer gesamten Leiterplatte sind gewöhnlich erheblich und werden
eine erhebliche Abschreckung für
den Pirat darstellen. Wenn die Leiterplatte intakt gelassen wird,
ist außerdem
besondere Handhabung durch den Pirat an einer nassen, ätzenden
Decapsulationsstation erforderlich. Wenn die Leiterplatte in einer
fokussierten Ionenstrahlenkammer aufgenommen werden kann, erfordert
die Kammer weiterhin einen längeren
Zeitraum zum Leeren aufgrund der Entgasung, wie vorher erläutert.
-
Durch das Erhöhen der Anzahl der Stifte,
die mit der neuen Batterie verknüpft
werden müssen,
um das Energiesignal an die IC 100 aufrechtzuerhalten, werden
daher die Chancen, dass ein Pirat den Vorgang der Umkehrtechnik
ruiniert und die IC nutzlos macht, erhöht.
-
Außerdem kann der/die Ganze oder
ein Teil des Drahts oder der Spur 160 in der Leiterplatte
oder der Chipkarte, auf der die IC 100 montiert ist, eingebettet
(z. B. verdeckt) sein. Eine Decodierer-Leiterplatte beinhaltet typischerweise
eine mehrschichtige Struktur. Die Leitung 160 kann in der
Leiterplatte so eingebettet sein, dass, wenn die IC von der Leiterplatte
entfernt wird, der leitfähige
Pfad 160 nicht aufgetrennt wird, der elektrische Strom
an den Chip aber aufgrund eines Kurzschlusses zwischen den Leitungen 151 und 153 unterbrochen
wird. Wenn zum Beispiel der richtige elektrische Strom nicht an
den Stift 125 geliefert wird, wird das Energiesignal, das
nominell dem Schalter 145 über die Leitung 126 bereitgestellt
wird, unterbrochen werden. In diesem Fall wird der Schalter 145 das
Fließen
eines elektrischen Stroms zwischen den Leitungen 146 und 147 verursachen,
wodurch die Leitungen 151 und 153 kurzgeschlossen
werden.
-
Wenn der richtige elektrische Strom
nicht an die Stifte 115 und 120 geliefert wird,
wird auf ähnliche Weise
jeweils einer der Schalter 140 und 145 das Energiesignal
an den Speicher 130 kurzschließen. Durch das Anordnen der
Ersatzstifte 115, 120 und 125 und der
Leitung 160 an strategischen Stellen, zum Beispiel um den
Umfang der IC 100 herum, ist es daher möglich, zahlreiche „Fallen" für den Pirat bereitzustellen,
die die Unterbrechung des Energiesignals an die IC 100 verursachen
können.
-
Die in 1 gezeigte
Konfiguration ist daher nur ein Beispiel, und es versteht sich,
dass eine unterschiedliche Anzahl Ersatzstifte und Stellen für die Leitung 160 verwendet
werden kann. Die Leitung kann sich zum Beispiel im Wesentlichen
um den Umfang der IC 100 herum erstrecken. Die Polarität der Spannungsquelle 150 kann
alternativ umgekehrt werden, und mehr als eine Spannungszuführung kann
verwendet werden. Außerdem
können
verschiedene Schaltverfahren verwendet werden. Der Schalter 135 kann
zum Beispiel angeordnet sein, um einen Leerlauf (anstelle eines
Kurzschlusses) in Leitung 151 oder 153 bereitzustellen,
wenn das Energiesignal in der Leitung 116 unterbrochen
wird.
-
2 ist
ein vereinfachtes Schema, das eine zweite Ausführungsform der gegen unbefugte
Handhabung gesicherten IC gemäß der vorliegenden
Erfindung darstellt. Hier ist ein Signal von der Spannungsquelle 150 mit
dem Speicher 130 über
eine Anzahl von Stiften und Leitungen, die seriell angeordnet sind,
gekoppelt. Insbesondere ist das positive Terminal der Spannungsquelle
mit einem Stift 205 gekoppelt, während ein negatives Terminal
der Spannungsquelle mit einem Stift 245 gekoppelt ist.
Der Stift 205 ist mit dem Speicher 130 über die
Leitung 207, den Stift 210, die Leitung 212,
den Stift 215, die Leitung 217, den Stift 220,
die Leitung 222, den Stift 225 und die Leitung 227 gekoppelt.
Der Stift 245 ist mit dem Speicher 130 über die
Leitung 242, den Stift 240, die Leitung 237,
den Stift 235 und die Leitung 230 gekoppelt. Die
Unterbrechung des elektrischen Stroms an einen der Stifte wird die
Energieversorgung an den Speicher 130 unterbrechen und
den Verlust von Daten darin verursachen.
-
Außerdem kann ein Pirat durch
das Koppeln eines der positiv unter Vorspannung gesetzten Stifte oder
Leitungen mit einem der negativ unter Vorspannung gesetzten Stifte
oder Leitungen leicht einen Kurzschluss verursachen. Wenn zum Beispiel
der Stift 225 elektrisch mit dem Stift 235 gekoppelt
wird, wird ein Kurzschluss quer durch die IC 100 auftreten.
-
Infolgedessen wird das Energiesignal,
das über
die Leitungen 227 und 230 zu dem Speicher 130 getragen
wird, unterbrochen, wodurch der Verlust vom im Speicher gespeicherten
Daten verursacht wird. Wahlweise können die Leitungen oder Spuren 212, 222 und 237 mindestens
teilweise in einer Decodierer-Leiterplatte oder einer Chipkarte,
auf der die IC 100 getragen wird, eingebettet sein. Dies
kann es erschweren, die Anwesenheit von Spuren zu ermitteln. Es
versteht sich, dass die serielle Ausführungsform von 2 nur ein Beispiel ist, und verschiedene Modifikationen
sind möglich.
Es ist zudem möglich, zum
Beispiel die Konfigurationen aus den 1 und 2 durch Leiten der Leitung 160 mit
zusätzlichen
Stiften in einem seriellen Pfad, der sich teilweise in der IC 100 erstreckt,
zu kombinieren.
-
3 ist
ein vereinfachtes Schema, das eine dritte Ausführungsform der gegen unbefugte
Handhabung gesicherten IC gemäß der vorliegenden
Erfindung darstellt. Hier umfasst die IC 100 einen segmentierten
Speicher 360 mit den Segmenten 362, 364, 366 und 368.
Jedes Segment empfängt
ein Energiesignal von der Spannungsquelle 150. Die Spannungsquelle 150 ist
daher jedem Speichersegment gemein. Eine gemeinsame Leitung 310,
die sich zwischen dem Stift 320 und dem Stift 345 erstreckt,
koppelt insbesondere das positive Terminal der Spannungsquelle 150 mit
dem Segment 362 über
den Stift 330 und die Leitung 331, mit dem Segment 366 über den
Stift 335 und die Leitung 336, mit dem Segment 368 über den
Stift 345 und die Leitung 346 und mit dem Segment 364 über den
Stift 320 und die Leitung 321. Auf ähnliche
Weise koppelt eine gemeinsame Leitung 305, die sich zwischen
dem Stift 315 und dem Stift 350 erstreckt, das
negative Terminal der Spannungsquelle 150 mit dem Segment 362 über den
Stift 325 und die Leitung 326, mit dem Segment 366 über den
Stift 340 und die Leitung 341, mit dem Segment 368 über den
Stift 350 und die Leitung 351 und mit dem Segment 364 über den
Stift 315 und die Leitung 316. Wahlweise können die
Leitungen 305 und 310 teilweise oder vollständig in
einer Decodierer-Leiterplatte oder einer Chipkarte, in der die IC 100 getragen
wird, eingebettet sein, um es schwieriger zu machen, deren Anwesenheit
zu ermitteln.
-
Aus der Konfiguration von 3 ist ersichtlich, dass
das Entfernen der IC 100 von einer Decodierer-Leiterplatte
oder Chipkarte den von den Leitungen 305 oder 310 bereitgestellten
elektrischen Strom unterbrechen wird, wodurch das Energiesignal,
das für
die Speichersegmente 362, 364, 366 und 368 bereitgestellt
wird, unterbrochen wird. Die Energiesignale an die Speichersegmente
werden außerdem
ebenfalls unterbrochen, wenn ein Pirat durch das elektrische Koppeln
der Leitungen 305 und 310 einen Kurzschluss verursacht.
-
Die Ausführungsform aus 3 kann auf verschiedene Arten modifiziert
werden. Es ist möglich,
zum Beispiel die Konfigurationen aus den 2 und 3 durch
Leiten von entweder einer oder beiden der Leitungen 305 und 310 in
einem seriellen Pfad, der sich teilweise in der IC 100 erstreckt,
zu kombinieren. Alternativ kann in die Ausführungsform aus 1 ebenfalls das Koppeln eines Schalters
inkorporiert werden, um einen Kurzschluss oder Leerlauf bereitzustellen,
der das Energiesignal der Speichersegmente unterbricht.
-
Dementsprechend ist ersichtlich,
dass es viele mögliche
Konfigurationen der gegen unbefugte Handhabung gesicherten IC der
vorliegenden Erfindung gibt, die das nicht berechtigte Entfernen
von der IC von einer Decodierer-Leiterplatte, Chipkarte oder einer
anderen Stelle, an der die IC montiert ist, verhindert. Elektrisch
leitfähige
Leitungen sind angeordnet, so dass der Bruch oder das Öffnen einer
dieser Leitungen ein Energiesignal, das an eine aktive Komponente
der IC bereitgestellt ist, unterbricht, wodurch der Verlust von
in einem flüchtigen
Speicher gespeicherten Daten verursacht wird. Die Unterbrechung kann
zudem durch einen Leerlauf oder Kurzschluss verursacht werden, der
durch die Unterbrechung eines Vorpolungssignals an einem Schalter,
wie zum Beispiel einem Transistor, verursacht wird. Die Tätigkeit
des Pirats, die Umkehrtechnik an der IC vorzunehmen, wird folglich
schwieriger, zeitaufwendiger und teurer.
-
Obgleich die Erfindung in Verbindung
mit verschiedenen spezifischen Ausführungsformen beschrieben worden
ist, versteht der Fachmann, dass daran zahlreiche Änderungen
und Modifikationen vorgenommen werden können, ohne von dem Sinn und
Bereich der Erfindung, wie in den Ansprüchen dargelegt, abzuweichen.