专利名称:用于电子装置安全保护的电路及方法
技术领域:
本发明涉及一种用于电子装置安全保护的电路及方法,尤其涉及用于芯片功能开放的安全保护的电路及装置。
一定形式的电子电路、例如芯片卡需要在其电路中包含的信息或存储的数据(例如用于加密方法的密钥)的高度保密。对于这些与安全保护相关的信息必需既要防范他人的分析又要防护对其操作。尤其是要避免未经许可地取得这些信息的企图,其方式是频繁地重复尝试对相关电子装置未经授权的取数,直到分析出与安全相关的数据或实现取数为止。这种情况例如是,通过多次尝试可找出一个PIN(个人识别号)。因此对于一个芯片或芯片卡这样地进行安全,即在一定次数的未经授权的取数尝试后禁止任何继续的取数及通常也禁止了授权的取数。这种安全措施可能过于严格,因为譬如在两次疏忽的错误尝试后将不再允许得到访问权。这种事也可能在终端故障时发生,它将导致其访问权不能被终端正确识别。
本发明的任务在于,给出一种用于电子装置功能开放的安全保护的技术方案,它相对于不合法使用提供足够的保护并同时可防止由于操作失误或故障引起对使用权的草率拒绝。
该任务将通过具有权利要求1的特征的电路及通过具有权利要求5的特征的方法来解决。
根据本发明的电路及与其相关的根据本发明的方法将增大访问时间,这就是说,在访问一个电子装置如一个芯片的尝试开始及该电子装置功能的开放或执行之间的时间在非授权访问的情况下被延长。由此能有效地阻止DA分析(差分功率分析),因为对此将花费的时间延长到实际上不能进行该分析的程度。在按规定使用的情况下,对于授权访问所设置的装置不会限制对电子装置访问的次数及频率。同时该方法及电路的使用在很大程度上能容许对于由无意的错误操作或设备的故障引起失误的访问尝试。
根据本发明的电路包括两个元件,它们的特征是具有相同类型的电参数、如电压或电荷。其中一个元件在一定时间间隔过程中从一个与一个参考值不同的值-以下称为基值-平衡到该参考值上。对于另一元件其电参数最好被调节在不同的值上或被编程,由此给出一个可改变的参考值。还具有一个第三元件,它依赖比较上述元件的所述电参数值。
这两个元件可由两个浮栅单元或由两个电容器等构成,而第三元件是用于比较电压所设的比较器。在一个使用浮栅单元的优选实施例中选择起始工作电压作为电参数。第一浮栅单元的起始工作电压可随时间改变及与第二浮栅单元的构成参考值的起始工作电压相比较。当进行电子装置使用的访问尝试、例如将一个芯片卡插入读卡机及输入一个识别号(PIN)时,第一浮栅单元从一个不同于参考值的基值充电到比较器确定出这些单元的起始工作电压相一致时为止。
在确定出非授权的访问尝试后上述的访问时间被增大,其方式是,使参考值改变或这些值相互平衡的速度减小。因此通过非授权访问尝试使直到在以后访问中功能开放或在譬如芯片卡情况下进行密钥检验的密码算法的等待时间增长。这使DP分析显著地变难,因为在很小次数的非授权访问尝试后,至可能使用其功能的时间急剧增大。访问时间可在每次非授权的访问尝试后延长,或仅当满足一定的附加给定条件才不延长。
以下将借助在三个附图中所示的程序流程图来详细说明本发明的实施例。为了简化描述,假定总是使用两个浮栅单元(Floating-Gate-Zelle)及一个比较器作为电路的电子元件,在该例中该比较器譬如将作为电参数的单元的起始工作电压相互比较。
在本发明的一个实施例中将根据
图1所示的程序流程来处理,在该实施例中,在第一次确定是否对该电子装置的使用给出使用权以前,譬如将一个芯片卡插入芯片卡阅读器以前,使第一元件(一个浮栅单元,以下称为单元A)的电参数值调节到一定的基值(一定的起始工作电压UA0)上,及将第二元件(另一个浮栅单元,以下称为单元B)的电参数值调节到一个以预定方式与上述值不同的参考值(另一起始工作电压UB0,最好大于UA0)上。因此这些元件处于它们的基本状态中。在一个芯片卡的情况下将以典型方式开始取数尝试,其方式是将卡插入到读卡器中(INS-START),输入一个PIN或类似数据。然后首先检验,第一元件(单元A)是否处于基值(具有在基值UA0上的起始工作电压)。如果是这种情况(A=_?√),则开始检验访问权,其方式是,使第一元件的电参数值(单元A的起始工作电压UA0)缓慢地升高到参考值(单元B的起始工作电压UB0)( ,例如是单元A通过一系列的短脉冲或通过一个比常规工作减小的编程电压充电)。仅当两个元件具有同样的电参数值(参考值,特定的同样起始工作电压)或其差值的幅值在预定的一个小值以下、例如由比较器确定出时,在授权访问情况下电子装置待使用的功能的开放才可根据访问权的检验来实现(ACC?√)。
在使用者使用了该电子装置的功能(USE)后,例如一个执行的芯片功能结束时,第一元件(单元A)将被再置成基本状态(在基值UA0上的起始工作电压)(A↓_),例如使一个芯片的功能初始化(A=_)。该使用将以通常的方式(在芯片卡的情况下以卡的弹出)结束(STOP→EJ)。如果使用提前地中断,则当下次取数开始时,第一元件(单元A)仍具有与电参数值不同的值(A≠_,单元A的起始工作电压不同于UA0)。
在原始状态、例如用根据本发明的电路安全的芯片被交货给顾客时,元件的基本状态被这样地调整在第一元件的值随时间变化(第一单元A充电)时,参考值(单元B的起始工作电压UB0)在很短的时间上被达到,以致电子装置的功能(这里是芯片功能)的开放无显著的延时。
在一个未经授权的访问尝试(ACC?非√)后,将通过合适的及本身公知的电子电路的措施来使各元件的值(单元的起始工作电压)的适配比以前进行得慢。最好在对使用的授权访问提前中断时也是这样的情况。在用浮栅单元实施及单元A的起始工作电压作为基值以及第二单元B的起始工作电压作为参考值的情况下,第二单元B的起始工作电压稍微升高到一个新的较高参考值(B↑-),以使得直到第一单元A从基值被充电到两个单元的起始工作电压相一致的过程延长。其后果是,访问时间被增长。如果在访问尝试开始时确定,单元A不是在基本状态(A=_?非√,例如最后的访问中断),则在该实施例中单元A的起始工作电压被置成基本值UA0(A↓_)及单元B的起始工作电压被改变到一个与此相差很大的新参考值(在该例中继续升高,B↑ˉ)。然后才进行起始工作电压的平衡。
最好其关系这样地调节,使得直到出于安全性考虑所给予的访问失败尝试的次数(视应用而定,如直至几百次)时未使实际应用如芯片情况下电子装置使用访问的延长时间受到明显限制。最好根据本发明的电路这样地构成,以使得超过未经授权访问尝试的预定次数时用于单元起始工作电压平衡的持续时间极大地上升,以致实际上不再能进行DP分析。
最好电路被作成这样的由于安全起见在访问尝试中断的情况下使访问时间延长。这将通过询问来确定,第一元件(单元A)是否处于基本状态(A=_?)。在各元件的电参数值(例如浮栅单元的起始工作电压)平衡开始后,当访问尝试被中断时,第一元件(单元A)由此不在基本状态中,最好到下次访问尝试开始时使第一元件的值置回到基值(在UA0上单元A的起始工作电压)及使参考值(单元B的起始工作电压)预先这样地改变(在该例中为升高),就好比在先的访问尝试确定出未给出使用权及访问权。因此保证了,根据本发明的电路仅当首先进行了授权访问及按规定地结束时才处于最小访问时间的状态。如果一个浮栅单元A的电压幅值不足以来确定在授权及完成的访问后该单元的起始工作电压是否置回到基值时,则可使用一个附加的单元(例如一个数字符号位单元)对此估价。
为了使访问时间与在先未授权访问尝试的次数关系的最佳适配,在一个元件中存储的参考值的改变,如单元B的起始工作电压的编程在未成功的或中断的访问尝试时逐渐地提高,并依赖于该元件相应状态地被调节(例如通过编程电压或编程持续时间的动态适配)。在使用浮栅元件的情况下,在每次错误的或中断的访问尝试后可不改变单元B的起始工作电压,而这样地实现访问时间的延长,即将用于起始工作电压平衡的单元A的充电延迟增大,例如通过改变单元A起始工作电压的基值或通过使充电过程变慢。但这对上述优选实施例有区别地需要另一电路元件,用于记录未按规定结束的访问尝试。
在另一个实施例中将根据图2所示的程序流程来处理,该实施例在于,在初始化后最好进行一个询问待平衡的元件(浮栅单元A)是否处于基本状态(A=_?)后,首先进行询问是否存在访问权(ACC?)。如果是该情况(ACC?√),则进行元件电参数值(基值及参考值)的平衡;例如单元A的起始工作电压UA0)升高到单元B的起始工作电压 。在该过程期间电子装置(例如芯片卡的芯片功能)的功能使用(USE)被开放,以致使用者不需要等待整个平衡过程。仅在由于多次错误的访问尝试使第二元件(单元B)多次改变调节值的情况下才显著提高访问时间。
如果在访问尝试的开始确定出第一元件(单元A)未处于基本状态(A=_?非√),在该实施例中最好也设置一个访问时间的延时。为此首先使第一元件变为基本状态(使单元A的起始工作电压置成基值UA0)及改变参考值(改变单元B的起始工作电压,即在该例中继续提高它,A↓_B↑ˉ)。仅在接着的元件电参数值的平衡 后才进行访问权的检验(ACC?)。为了防止密码算法的分析,最好在检验访问权后中断访问尝试的情况下使访问时间增大。这可用简单的方式这样地进行,即照顾到在检验访问权(ACC?)后使第一元件(单元A)的电参数值持续地不同于基本状态的值。在已进行的各元件电参数值的平衡 的情况下总是这样的。如果待平衡的元件(单元A)是否处于基本状态(A=_?)的检验得出肯定的结果,可使第一元件的电参数值调节到一个不同于基值的值(A≠_)上,但保证对于平衡到第二元件的电参数值有足够的时间间隔(例如稍小于或稍大于基本状态的值)。
如果确定是错误的访问权(ACC?非√),则也改变参考值(改变单元B的起始工作电压B↑ˉ),以使得以后的访问尝试的访问时间被加长。并且在该实施例中在结束使用(USE)后第一元件被置回到基本状态(单元A的起始工作电压置成UA0,A↓_)。在平衡过程期间访问提前中断后该元件将不再处于基本状态(A≠_)。在重新访问尝试时这引起第二元件状态的所述改变(单元B,A↓_B↑ˉ)。
该实施例具有其优点,即当两个元件的基值及参考值的平衡过程期间电子装置(芯片功能)的使用已开放时,访问时间不通过该平衡过程来延长。因此在电路仅按规定使用的情况下,访问时间的延长在多次错误访问后才发生。
在另一个实施例中将根据图3所示的程序流程来处理,该实施例在于,在电路按规定的使用开始时两个元件待比较的电参数具有相同值(A=B),即在该实施例中在元件的基本状态时两个值均等于参考值。如果不是该情况(A=B非√),将这样改变第二元件的值(参考值),即从第一元件的基值出发至达到参考值需要比以前更长的时间间隔(B↑-)及接着在各元件电参数值的平衡( ˉB)时引起一个时间的延长。然后总是使第一元件上调节到基值(A↓_)。有时可在第一次询问后还输入对检验访问权所需要的数据(PIN或类似数据)。但这也可象前面所述实施例那样地在开始时进行(例如在一个芯片卡插入(INS-START)后立即进行)。
在访问权的检验(ACC?)的前或后电参数值相互平衡,其方式是在一定时间间隔中改变基值及逐渐地平衡到参考值上 。当该过程进行时,如果已确定出访问权的话,可开放其使用(USE)。在进行了值的平衡(A=B,有时小于不可避免的容差)后,两个元件将处于作为该实施例特征的基本状态,它可实现无访问时间延长的重新访问。如果访问被拒绝(ACC?非√)或访问提前中断(未完成的平衡)时,两个元件的电参数值彼此不同(A≠B),由此在下次访问尝试开始时,自动地改变第二元件的值(参考值)(B↑ˉ)及通过所述的平衡过程 引起时间的延长。
为了在这些使用具有不同基本状态的浮栅单元的实施例中能排除借助紫外(UV)射线的非法操作,可对单元B附加地,在未成功的访问尝试后逐渐地提高它的起始工作电压,在该电路中设有另一单元C,它被置成与单元B相反的状态。这在有些实施形式中可这样实现,即另一单元C用与单元B相同脉冲幅度及时宽但相反极性的脉冲加载。这两个单元B及C最好彼此相邻地设置及在该电路使用前它们的起始工作电压设有一个差值。如果这两个单元以后在某个工作状态中具有相同的起始工作电压,则这可被看作一个标志,即已有过用紫外(UV)射线的非法操作的尝试。然后可对此采取适当的对抗措施。
通过单元B的源极/栅极端子的适当构型,在不成功的访问尝试后它的起始工作电压可逐渐地改变,这可以防止它的起始工作电压回到它的原始值上。由此可排除在电子途径上起始工作电压的平衡及绕过电路的安全功能。
可根据当前的安全性要求在元件值的平衡过程(一个单元充电)期间或在完整进行的平衡后(起始工作电压)对访问权进行检验。如果访问权的询问得到的结果是给出了对电子装置的使用权,则开放其使用及可实现存取。在访问按规定结束后将引起该电路复位,即至少使在平衡过程中改变了值的电路元件(单元A)置回到给定的基本状态。如果访问权的询问得到相反的结果、即不存在授权的访问尝试时,则或是访问权错误,或是在检验访问权的电子设备(终端)中出现故障,访问时间将发生改变,其方式是使第一元件的基值及第二元件的参考值之间的差值(例如各单元的起始工作电压的幅值)加大。在重新访问尝试时将通过对这时差值变大的值的平衡来确定访问时间。视询问得到了给出访问权或无访问权而定,进行电子装置使用的开放或引起访问时间的重新改变。
在根据本发明的电路中,仅需要使第一元件在每次按规定结束访问后复位到其基本状态。但这具有的后果是,在该电路的整个使用持续时间(例如芯片卡的使用寿命期间)中每次不按规定执行的访问将引起访问时间的加长,由此使该电路的使用在一定时间后可能受到很不利的影响。因此在小安全要求的情况下,可考虑在每次授权访问按规定结束(STOP)时两个元件(不仅单元A而且单元B)均置回到其相应的基本状态。变换地,也可考虑这种完全的复位仅根据授权访问期间用户的明确指令(相应的数据输入)来执行。在此情况下该电路的用户或使用者可在一定数目的访问错误执行后使其复位到一个低的原始值上。
由于在访问尝试时通过访问权引起的短访问时间的增大充其量也是不明显的,故该方法适合于所有的应用,也可用于无触点式插卡或芯片卡。因为在按规定使用的情况下,在一定时间范围中访问尝试的次数是不受限制的,该方法适合于具有高访问频率的应用。即使在终端故障及由此引起对访问尝试拒绝的情况下,芯片或其它的受安全的电子装置的功能仍然被保留。这与传统的由错误访问尝试引起芯片的闭锁相比具有其优点。
权利要求
1.用于电子装置安全保护的电路,-其中设有第一及第二元件,每个元件具有相同类型的电参数,-其中设有第三元件,它用于将第一元件与第二元件的电参数值相互比较,-其中设有第一装置,通过它调节第一元件及第二元件的电参数值,-其中设有第二装置,通过它使第一元件的电参数值以要求一定时间的方式从一个基值平衡到第二元件的电参数值上,-其中设有第三装置,通过它检验是否电子装置的授权使用按规定地被导入、执行及结束,及通过它在未授权使用或未按规定使用的情况下这样引起第二元件的电参数值的改变或第二装置的改变,即通过第二装置使第一元件的电参数值平衡到第二元件的电参数值所需的时间延长。
2.根据权利要求1的电路,其中通过第三装置检验是否第一元件的电参数值等于一个值,该值是在电子装置按规定使用结束后第一元件的电参数值。
3.根据权利要求1或2的电路,其中第一元件及第二元件是一个第一浮栅单元及一个第二浮栅单元。
4.根据权利要求3的电路,其中第一元件电参数是一个起始工作电压,及在未授权使用或未按规定使用的情况下改变第二浮栅单元的起始工作电压值。
5.用于电子装置安全保护的方法,其中在使用包括具有相同类型的电参数的第一及第二元件及允许调节这两个元件的电参数值的电子电路的情况下导致-电子装置的使用如所要求地至少持续这样长的时间,以使得第一元件电参数的给定基值通过要求一定时间的电子过程被平衡到第二元件电参数的起参考值作用的相应值上,及-由于对使用未授权的访问或未按规定进行的使用,该电子过程所需的时间将通过参考值的改变或通过平衡速度的改变来延长。
6.根据权利要求5的方法,其中作为电路元件使用两个具有可调节起始工作电压的浮栅单元。
7.根据权利要求5或6的方法,其中在第一步骤中检验,是否第一元件的电参数值相应于一个给定基值(A=_?),在第二步骤中,在该检验结果是肯定的情况下进入随后的第三步骤,及在结果是否定的情况下,将第一元件的电参数值置成基值及将第二元件的电参数值置成新的参考值(A↓_B↑ˉ),由此使电子过程所需时间延长,在第三步骤中,执行电子过程 ,直到这两个元件的电参数值相一致为止,在第四步骤中,检验是否存在使用电子装置的使用权(ACC?),在第五步骤中,在该检验结果是肯定的情况下允许电子装置的使用(USE),及在结果否定的情况下,将第二元件的电参数值置成一个新参考值(B↑ˉ),由此使电子过程所需的时间延长,及在第六步骤中,将第一元件的电参数值置成基值(A↓_)。
8.根据权利要求5或6的方法,其中在第一步骤中检验,是否第一元件的电参数值相应于一个给定基值(A=_?),在第二步骤中,在该检验结果是肯定的情况下进入随后的第三步骤,及在结果是否定的情况下,将第一元件的电参数值置成基值及将第二元件的电参数值置成新的参考值(A↓_B↑ˉ),由此使电子过程所需时间延长,及执行电子过程 ,直到这两个元件的电参数值相一致为止,在第三步骤中,检验是否存在使用电子装置的使用权(ACC?),在第四步骤中,在该检验结果是肯定的情况下执行电子过程 ,直到这两个元件的电参数值相一致为止及允许电子装置的使用(USE),及在结果否定的情况下,将第二元件的电参数值置成一个新参考值(B↑ˉ),由此使电子过程所需的时间延长,及在第五步骤中,将第一元件的电参数值置成基值(A↓_)。
9.根据权利要求5或6的方法,其中在第一步骤中检验。是否第一元件的电参数值等于第二元件的电参数值(A=B?),在第二步骤中,在该检验结果是肯定的情况下进入随后的第三步骤,及在结果是否定的情况下,将第二元件的电参数值置成新的参考值(B↑ˉ),由此使电子过程所需时间延长,在第三步骤中,将第一元件的电参数值置成与参考值不同的给定基值(A↓_),在第四步骤中,执行电子过程 ,直到这两个元件的电参数值相一致为止,在第五步骤中,检验是否存在使用电子装置的使用权(ACC?),在第六步骤中,在该检验结果是肯定的情况下允许电子装置的使用(USE),及在结果否定的情况下,将第二元件的电参数值置成一个新参考值(B↑ˉ),由此使电子过程所需的时间延长。
10.根据权利要求5或6的方法,其中在第一步骤中检验,是否第一元件的电参数值等于第二元件的电参数值(A=B?),在第二步骤中,在该检验结果是肯定的情况下进入随后的第三步骤,及在结果是否定的情况下,将第二元件的电参数值置成新的参考值(B↑ˉ),由此使电子过程所需时间延长,及执行电子过程 ,直到这两个元件的电参数值相一致为止,在第三步骤中,将第一元件的电参数值置成与参考值不同的给定基值(A↓_),在第四步骤中,检验是否存在使用电子装置的使用权(ACC?),在第五步骤中,在该检验结果是肯定的情况下执行电子过程 ,直到这两个元件的电参数值相一致为止,及允许电子装置的使用(USE),及在结果否定的情况下,执行一个中断(STOP)。
全文摘要
对使用电子装置如芯片的访问时间将在每次未授权使用后被延长。访问时间通过两个浮栅单元的起始工作电压的平衡来确定。在访问尝试前使一个单元的起始工作电压作成给定基值及使另一单元的起始工作置成相对高的值上,该值在每次非授权访问后被提高。
文档编号G07F7/10GK1371507SQ0081211
公开日2002年9月25日 申请日期2000年9月1日 优先权日1999年9月1日
发明者E·-R·布雷克梅尔, H·帕尔姆, A·库西 申请人:因芬尼昂技术股份公司