集成电路内的安全的制作方法

集成电路内的安全的制作方法
【专利摘要】一种集成电路内的安全。描述了一种用于阻碍对从保存在存储器单元的秘密中意外泄露的信息的检测的方法，该方法包括：接收触发事件，在收到触发事件之后等待经过至少第一时间量，所述存储器单元在所述至少第一时间量期间处于非运行状态，在经过所述至少第一时间量之后，改变存储器单元所运行于的至少一个第一条件，由此令存储器单元进入运行状态，在改变至少一个第一条件之后等待经过第二时间量，并且在第二时间量之后改变存储器单元所运行于的至少一个第二条件，由此令存储器单元进入非运行状态，其中，仅在第二时间量期间实现对秘密信息的访问，并且在第一时间量期间限制对意外泄露的秘密信息的检测。还描述了相关装置和方法。
【专利说明】集成电路内的安全
[0001]本申请是申请日为2009年5月21日，名称为“集成电路内的安全”，申请号为200980117795.1的发明专利申请的分案申请。
【背景技术】
[0002]认为按出版编号列出的以下参考反映了现有技术的当前状态:
[0003]Itkis 的 US6, 880，081
[0004]NDS Ltd 的 W02007/086046
[0005]NDS Ltd 的 W02005/114733 以及
[0006]NDS Ltd 的 W02003/102510。

【发明内容】

[0007]根据本发明的实施例，提供了用于阻碍对从保存在存储器单元的秘密中意外泄露的信息进行检测的方法，所述方法包括:接收触发事件，在收到触发事件之后等待经过至少第一时间量，所述存储器单元在所述至少第一时间量期间处于非运行状态，在经过所述至少第一时间量之后，改变存储器单元所运行于的至少一个第一条件，由此令存储器单元进入运行状态，在改变至少一个第一条件之后等待经过第二时间量，并且在第二时间量之后改变存储器单元所运行于的至少一个第二条件，由此令存储器单元进入非运行状态，其中，仅在第二时间量期间允许对秘密信息进行访问，并且在第一时间量期间限制对意外泄露的秘密信息的检测。
[0008]另外，根据本发明的实施例，在第一时间量期间禁止对意外泄露的秘密信息的检测。
[0009]又根据本发明的实施例，触发事件包括在以下的一个处接收复位信号:包括存储器单元的集成电路、存储器单元、包括存储器单元的集成电路上元件、存储器单元控制器以及存储器单元接口。
[0010]另外，根据本发明的实施例，触发事件包括对以下中的至少一个通电:包括存储器单元的集成电路、存储器单元、包括存储器单元的集成电路上元件、存储器单元控制器以及存储器单元接口。
[0011]另外，根据本发明的实施例，触发事件包括检测输入到存储器单元的至少一个接
口信号。
[0012]另外，根据本发明的实施例，触发事件包括接收访问存储在存储器单元中的秘密信息的请求。
[0013]又根据本发明的实施例，当终止访问秘密信息时立即终止第二时间量。
[0014]另外，根据本发明的实施例，改变存储器单元所运行于的至少一个第二条件包括降低施加给存储器单元的电压，从而使得电压降低到存储器单元处于其保持秘密信息并且无法访问秘密信息的状态所需的电压电平。
[0015]另外，根据本发明的实施例，改变存储器单元所运行于的至少一个第二条件包括以下中的一个:禁止、断开和强制实现存储器单元的至少一个接口信号。
[0016]另外，根据本发明的实施例，通过计时机制测量第一时间量和第二时间量中的至少一个。
[0017]又根据本发明的实施例，计时机制包括防篡改的计时机制。
[0018]另外，根据本发明的实施例，计时机制包括自激振荡器。
[0019]另外，根据本发明的实施例，计时机制包括时钟模块。
[0020]另外，根据本发明的实施例，计时机制包括模拟计时器。
[0021 ] 又根据本发明的实施例，计时机制包括软件循环。
[0022]另外，根据本发明的实施例，第一时间量包括固定的时间量。
[0023]另外，根据本发明的实施例，第一时间量包括可变的时间量。
[0024]另外，根据本发明的实施例，第二时间量包括固定的时间量。
[0025]又根据本发明的实施例，第二时间量包括可变的时间量。
[0026]另外，根据本发明的实施例，包括在存储器单元中的秘密信息以迷惑的形式被包括在存储器单元中。
[0027]另外，根据本发明的实施例，迷惑包括加密迷惑。
[0028]另外，根据本发明的实施例，包括:向第二存储器单元输出秘密信息，将秘密信息存储在第二存储器单元内的位置中，短暂地重新导出秘密信息，并且将重新导出的秘密信息存储在所述位置处，其中，秘密信息的短暂地重新导出令保存秘密信息的第二存储器单元的物理内容短暂地改变，由此令从存储器单元意外泄露的秘密信息随时间改变，令泄露信息的任何检测器需要长收集时间以接收泄露信息的平均，所述泄露信息的平均未揭露泄Min 息。
[0029]又根据本发明的实施例，第二存储器单元包括寄存器和RAM中的一个。
[0030]另外，根据本发明的实施例，重新导出秘密信息包括用伪随机数字对秘密信息进行异或。
[0031]根据本发明的另一实施例还提供了用于阻碍对从保存在存储器单元的秘密中意外泄露的秘密信息的检测的方法，所述方法包括将秘密信息存储在存储器单元内的位置中，短暂地重新导出秘密信息，并且将重新导出的秘密信息存储在存储器单元内的所述位置处，其中，秘密信息的短暂地重新导出令保存秘密信息的存储器单元的物理内容短暂地改变，由此令从存储器单元意外泄露的秘密信息随时间改变，令泄露信息的任何检测器需要长收集时间以接收泄露信息的平均，所述泄露信息的平均未揭露泄露信息。
[0032]另外，根据本发明的实施例，存储器单元包括寄存器和随机存取存储器中的一个。
[0033]又根据本发明的实施例，重新导出秘密信息包括用随机数字和伪随机数字中的一个对秘密信息进行异或。
[0034]另外，根据本发明的实施例，取决于防篡改的计时机制，在时间间隔处执行对秘密信息的短暂地重新导出。
[0035]另外，根据本发明的实施例，所述时间间隔为随机时间间隔。
[0036]根据本发明的又一实施例还提供了用于阻碍对从保存在存储器单元的秘密中意外泄露的信息的检测的系统，所述系统包括:触发事件接收器，所述触发事件接收器用于在收到触发事件之后等待经过至少第一时间量，所述存储器单元在所述至少第一时间量期间处于非运行状态，存储器单元第一条件转换器，其在经过所述至少第一时间量之后改变存储器单元所运行于的至少一个第一条件，由此令存储器单元进入运行状态，并且在改变至少一个第一条件之后等待经过第二时间量，以及存储器单元第二条件转换器，其在第二时间量之后改变存储器单元所运行于的至少一个第二条件，由此令存储器单元进入非运行状态，其中，仅在第二时间量期间允许对秘密信息进行访问，并且在第一时间量期间限制对意外泄露的秘密信息的检测。
[0037]根据本发明的又一实施例还提供用于阻碍对从保存在存储器单元的秘密中意外泄露的秘密信息的检测的系统，所述系统包括:秘密信息存储器，其将秘密信息存储在存储器单元内的位置中，短暂的秘密信息重新导出器，并且秘密信息存储设备用于将重新导出的秘密信息存储在存储器单元内的所述位置处，其中，对秘密信息的短暂地重新导出令保存秘密信息的存储器单元的物理内容短暂地改变，由此令从存储器单元意外泄露的秘密信息随时间改变，令泄露信息的任何检测器需要长收集时间以接收泄露信息的平均，所述泄露信息的平均未揭露泄露信息。
【专利附图】

【附图说明】
[0038]根据以下详细描述并且结合附图，将更全面地理解并且领会本发明，其中:
[0039]图1为随时间的集成电路中存储元件的存储元件条件的简化的一般性图形描述，存储元件和集成电路包含用于阻碍对从根据本发明的实施例构造并且运行的存储元件中泄露的秘密信息的检测的系统；
[0040]图2为说明了根据图1的系统运行的示范性集成电路的部分的方框图；
[0041]图3描述了图1的系统的一个特别的实现方式；以及
[0042]图4和5为图1的系统的运行方法的简化流程图。
【具体实施方式】
[0043]集成电路经常包括存储器单元，所述存储器单元包括物理存储元件和物理存储元件的接口，例如但不限于ROM (只读存储器)、RAM (随机存取存储器)以及寄存器，以及物理存储元件的接口。存储器单元可以包括存储的秘密信息，特别是当存储器单元在安全设备中使用时。这种秘密信息经常包括但不限于密钥。秘密信息既不应该对外部观察者可读也不应该对外部观察者泄露，之后将外部观察者称为攻击者。
[0044]存储器单元(诸如以上描述的存储器单元)通常由另一电路或者电路中的另一单元访问，无论访问电路与存储器单元在相同的集成电路中还是访问电路在存储器单元外部。本领域技术人员将意识到“访问” 一词在其所有语法形式中，例如在“存储器单元通常由另一电路访问”这一短语中使用的“访问”如在本领域中公知的含义为:读数据；写数据；修改数据；清除数据等。为了访问这种存储器单元，存储器单元应该处于“运行状态”，即，进入存储器单元的输入信号和来自存储器单元的输出信号是未阻断的，并且存储器单元的所有条件由存储器单元的生产商按照存储器单元的正确运行所需的进行指定，由此允许访问存储在存储器单元中的数据。例如但不限制上述的一般性，以存储器单元的生产商指定的电压电平向存储器单元供应电压。另外，必须以指定的幅度、频率或者上升时间等对诸如DRAM (动态随机存取存储器)的一些存储器单元输入时钟信号，以维持运行条件。[0045]意识到的是，相对于运行状态，存储器单元可以处于非运行状态。非运行状态包括两个不同的子状态:
[0046]“保留状态”，即，将秘密信息保持在存储器单元中同时使存储在存储器单元中的数据无法被直接或者间接访问的条件；以及
[0047]非保留状态，其中无法保证维持存储器单元中的秘密信息，并且可以从存储器单元中清除秘密信息。
[0048]通常，当存储器单元未被访问时，存储器单元也仍然保持在运行状态，因此，如上所述，能够在任意时间无条件地访问存储器单元。可选地，存储器单元可以保持在非运行状态，其中，存储器单元将不提供对存储于其中的数据的访问。使存储器单元处于非运行的一种方法为控制存储器单元的接口。
[0049]使存储器单元处于非运行的另一种方法为通过去除由存储器单元生产商指定的至少一个运行条件。例如但不限制上述的一般性，非易失存储器单元可以与电源断开，或者可以从存储器单元中去除时钟信号而不丢失包括于其中的数据。因此，当不访问存储器单元时可以节约能耗。
[0050]在过去的十年中，已经开发出若干允许间接地读取诸如那些包括秘密信息的这种存储器单元的内容的技术。这种技术被称为“旁路分析(side channel analysis)”。更普遍的旁路分析技术为用于收集通过集成电路的电源线而泄露的信号，或者由因晶体管的逻辑状态(开/关)或者因从一个晶体管逻辑状态到另一个晶体管逻辑状态的转变而导致发射的和/或反射的光子而泄露的信号的技术。旁路分析技术中的一些通过收集并且处理从存储器单元中泄露的弱信号而提取信息，即使存储器单元未被访问。本领域技术人员将意识到一些信息泄露是连接发射，而一些信息泄露是当集成电路内部的信号转移时发射的。
[0051]如在本说明书和权利要求中所使用的，在其所有语法形式中将“泄露”一词理解为意外地从存储器单元揭露信息，例如通过旁路分析、光子发射和检测等。意为意外地从存储器单元揭露信息的“泄露” 一词的使用明确地不包括信息经由在正常电路运行期间所使用的标准输出线的直接揭露。然而，泄露一词包括如上所讨论的，使用旁路技术从其它单元的信息揭露，秘密信息可能在功能性连接被访问时经由其传播到所述其它单元。
[0052]攻击者读取这种秘密信息所使用的典型技术包括:观察运行的集成电路和破坏过程，例如延时集成电路。攻击者可以使用各种手段来攻击并且观察集成电路以便损害秘密信息。攻击者使用的器件有扫描电镜(SEM)、原子力显微镜(AFM)以及设计为检测发射，通常为由基本电路元件产生的光子发射的仪器。本领域技术人员将意识到当元件值为“O”时和当元件值为“I”时的基本电路元件的发射是不同的。另外，当元件值从“O”到“I”或者从“ I ”到“O ”变化时生成发射。
[0053]可以对潜在攻击做出两种观察:
[0054]1、用于随时间保存秘密信息的电路元件的物理布局(B卩，存储器单元)，例如但不限制上述的一般性:非易失一次性可编程(OTP)存储器，其在引导周期维持其内容；以及与0TP、RAM和其它存储器单元相关联的输出(或者“中间”)寄存器等，其趋于具有更多规则的物理结构并且与诸如加密引擎和中间寄存器的计算元件相比更少地被重新使用等。对于通常开机时物理上不清除的RAM也是一样的，因此趋于在引导周期保存值；以及
[0055]2、当集成电路运行时从集成电路泄露的信号(S卩，外部发射的)趋于是非常弱的信号。因此，通过长时间、若干次出现的发射信号、或者两者上收集并且积累发射的信号而实现存储器单元值的正确定。
[0056]本发明按其实施例包括以下描述的系统和方法，其使得使用旁路分析技术进行如上所述的信号收集是不可行的或者至少“不实际的”或者“商业上不实际的”。即，从集成电路检索这种秘密所投入的时间和费用将会足够的高以至于检索这种秘密将不会对秘密持有人构成威胁。
[0057]例如，从另一个领域的尝试，如果一个窃贼试图解开具有两个轮每个轮有20个数字的保险箱(即，〈400次实验将打开保险箱)，那么打开保险箱被认为是实际的一如果每一次尝试花费10秒，则将在大约一个小时内打开保险箱。但是，如果保险箱具有3个轮，每个轮有50个数字，窃贼将必须尝试高达125000次组合，需要少于21，000个小时的工作量(其将需要稍微多于20，833个小时以尝试所有组合，即稍微多于868天)。因此尽管在保险箱上尝试这种穷举的攻击在科学上是可行的，但是其将被视为“不实际的”。
[0058]现在返回到本发明的实施例的讨论，当未访问存储器单元时，去除为了维持运行状态而施加的那些条件。如以下更详细地解释的，对于包括秘密信息的非易失存储器单元，当未访问秘密信息时，从存储器单元去除电压供应。对于易失存储器单元(例如，但不限于寄存器、静态RAM、动态RAM)，由于总功率去除将导致秘密信息的丢失，并且因此为了保持秘密信息，可以由保留条件代替“运行条件”(即，为了维持运行状态而施加的条件)。因此，由于保留条件降低了旁路泄露，因此旁路泄露变得不可行，或者至少降低到被视为不实际的电平，而降低泄露的条件可能并不防止对存储元件的功能性访问。意识到当存储器单元处于非运行条件时，无论是经由存储器单元的常规接口或者经由一些特别的接口(例如，嵌入式测试电路)，信息都不会进出存储器单元。例如但不限制上述的一般性，在非运行条件下，强制读/写/地址信号进入存储器单元，或者断开数据到存储器单元的输入或者输出路径将是不可能的、不可行的或者最多是无用的。
[0059]例如，一些应用中，在少于1/10，000的总运行时间访问包括秘密信息的存储器单元。如果在总运行时间内包括秘密信息的存储器单元保持在运行状态，则在当前已知的技术条件下运行的光子收集装备将需要10分钟的信号收集以可靠地发现秘密信息。保证存储器单元在99.99%的总运行时间维持在非运行条件，由于如上所解释的非运行条件下的泄露是不可行的，因此收集时间增加到100，000分钟(S卩，稍微少于70天)。本发明的发明人认为利用昂贵的光子收集装备进行的70天的存储器单元分析是不实际的。
[0060]因此，每当访问存储器单元时施加运行条件，并且每当未访问存储器单元的其余时间施加非运行条件(例如，保留条件)将看起来是有效的。另外，在本发明的一些实施例中，仅在第一时间量之后访问包括秘密信息的存储器单元并且仅持续有限的第二时间量，并且通过添加确保泄露保持在不实际的电平的独立计时机制。
[0061]本领域意识人员将意识到，计时机制包括保护免于被攻击者操纵的独立计时机制。例如，如果计时机制是基于对输入到集成电路的外部时钟进行计数的，则攻击者可以在存储器处于运行状态的同时停止外部时钟。另一方面，如果计时机制对内部的自激振荡器进行计数，则计时机制是独立的(即，不经受攻击者的操作)。
[0062]按照以上讨论，现在参考图1，其为随时间的集成电路中存储器单元的存储器单元条件的简化的一般性图形描述，存储器单元和集成电路包含用于阻碍对从根据本发明的实施例构造并且运行的存储器单元中泄露的秘密信息的检测的系统。图1系统的一个示范性实现方式包括计时机制、可变电压调节器以及存储器单元，所述存储器单元如以下参考图2描述的包括在集成电路上。可以使用任何适当的计时机制。示范性计时机制包括但不限于:时钟周期、模拟计时器、软件循环等。
[0063]在第一时间tl，存储器单元接收触发事件。所述触发事件可以由以下任何的项目来启动:
[0064]到存储器单元的功能性输入信号的活动；
[0065]复位信号；
[0066]通电事件，从集成电路内部或者外部的另一单元发送的特殊请求信号；以及
[0067]其它。
[0068]意识到的是，在通电时，包括存储器单元的集成电路的实际通电或者复位信号，或者包括存储器单元的运行电路内部的任何组块的实际通电或者复位信号可以包括触发事件。另外，发送到存储器单元的某些硬件信号可以包括触发事件。例如但不限制上述的一般性，片选信号；从地址总线上的地址值导出的硬件信号；以及读/写信号都可以包括触发事件。
[0069]在时间tl，并且在时间tl之前，存储器单元如以上所解释的在非运行条件下。在第二时间t2，将运行条件施加到存储器单元。当将运行条件施加到存储器单元时，存储器单元变得可以被访问。tl和t2之间的时间对应于以上提及的延迟。在第三时间t3，从存储器单元去除运行条件，并且之后，再次向存储器单元施加非运行条件。
[0070]意识到的是，作为设计考虑的结果，包括tl和t2之间的延迟的第一时间量可以包括固定的或者可变的时间量。还将意识到的是，可以使可变时间量在连续的存储器访问之间变化。例如但不限制上述的一般性，可变时间量可以包括在第一次存储器访问之前的一秒钟的延迟，在第二次存储器访问之前的零秒钟延迟，以及在第三次存储器访问之前的I秒半延迟等。
[0071]本领域技术人员将意识到触发事件可能发生在当存储器单元保持在运行状态的时间期间(即使存储器单元的原始逻辑设计防止这种事故，但攻击者也可以规避正常运行并且令这种触发事件发生)。在本发明的一些实现方式中，存储器单元将在响应于第二干预触发事件之前总是循环通过tl、t2到t3。可选地，可以忽略第二干预触发事件。
[0072]在向存储器单元施加运行条件的t2和t3之间的时间期间可以由外部机制在终止访问秘密信息时立即终止。例如但不限制上述的一般性，外部机制可以包括去除选择硬件信号，该信号来自于对存储器单元的请求所源自的请求单元。
[0073]本领域技术人员将意识到在本发明的某些实施例中，包括在集成电路中的一些存储器单元可能包括配置数据而非秘密信息。包括配置数据的存储器单元将不经受所施加功率方面的延迟。施加功率方面的延迟应用于如上所讨论的包括秘密信息的存储器单元。
[0074]基于重复的“启动-信号收集-启动”循环的典型的攻击假定“启动-信号收集-启动”循环最多需要几微秒。增加一些数量级的“启动-信号收集-启动”的持续时间将令总攻击时间的持续时间在每次进行强制实现操作时相应地增加。例如但不限制上述的一般性，延迟“启动-信号收集-启动”循环至接近100微秒可以使基于“启动-信号收集-启动”循环的攻击不实际。[0075]意识到的是，“启动” 一词在其所有语法形式中理解为指的是以下两者:
[0076]“软启动”,在不去除功率或者施加复位信号的情况下，当电路或者计算机在软件控制下重新启动；以及
[0077]“硬启动”，当断开并且之后开启电路或者计算机的功率，或者触发对处理器的专用复位信号，由此重新启动电路或者计算机。
[0078]如上所述，在运行条件施加到存储器单元之后，保持运行条件直到时间t3。时间t3之后，改变存储器单元运行在一个条件下的至少一个条件，使得旁路泄露的收集不再可行。例如但不限制上述的一般性，施加到存储器单元的电压改变到非运行条件，使得在没有极其昂贵并且难于操作的装备的情况下，发射的收集不再可行。典型地选择t2和t3之间的时间量以允许将秘密信息传送到中间寄存器等。意识到的是，中间寄存器可以包括以随机或者看似随机的方式在集成电路中设置的RAM位置。还意识到的是，在将秘密信息写入中间寄存器和/或从中间寄存器读出信息的同时，对秘密信息进行一些迷惑操作或者在适当时进行去迷惑操作。例如但不限制上述的一般性，迷惑可以包括加密地迷惑秘密信息。
[0079]意识到的是，作为设计考虑的结果，t2和t3之间的时间量可以包括固定的时间量或者可变的时间量。还意识到的是，可变的时间量可以在连接的存储器访问之间变化。
[0080]由于仅在运行条件施加到存储器单元的同时可访问存储在存储器单元中的信息，因此如果t2和t3之间的时间量是适当的短的持续时间，所以仅可以短暂获得存储在存储器单元中的信息。例如但不限制上述的一般性，仅在存储器读出循环的开始处向OTP单元或者向与OTP单元相关联的输出寄存器施加功率，并且在两个数字时钟循环之后去除功率阻碍了从OTP单元及其相关联的输出寄存器收集泄露信息，这是因为仅在非常短的持续时间内可以获得泄露的信息。
[0081]图1描述了运行条件和非运行(或者保留)条件之间的阈值电平。运行条件可能变化到非运行条件的一个示例为改变影响存储器单元的接口的数字控制信号，因此拒绝对存储器单元的访问。运行条件可能变化到非运行条件的另一个示例为改变存储器单元的供应电压。例如但不限制上述的一般性，对于当前最先进的电路的典型运行电压电平在1.0V(对于0.065纳米工艺)-1.8V (对于0.18纳米工艺)之间。例如但不限制上述的一般性，考虑如本领域已知的包括两个CMOS (互补金属氧化物半导体)反相器的触发器。如果触发器使用具有0.3V或更少Vt的晶体管(如本领域已知的，Vt为将晶体管保持在“开启”状态的栅极两端的电压)，则当供应电压下降到0.4V时触发器应当保持其状态。因此，用于防止光子泄露的典型建议的保留电平为0.5±0.1V。本发明的发明人认为在最先进的基于硅的电路中，当所施加的电压低于大约0.6-0.7V的阈值电平时没有可检测到的发射。
[0082]现在再参考图2，其为根据图1的系统运行的示范性集成电路200的一部分的方框图说明。当在时间tl接收到至包括秘密信息的存储器单元的触发事件210时，将触发事件210输入至计时机制220。意识到的是，触发事件210可以来自于集成电路200的内部或者来自于集成电路200内部以外的其它地方。在时间t2，计时机制220将命令230中继至可变电压调节器240以及存储器功能接口 270。可变电压调节器240向存储元件260施加操作的电平电压250，存储元件260包括物理存储器，并且被包括在存储器单元255中，存储元件260包括秘密信息。向存储元件260施加的电压250令存储元件260进入运行状态。向存储功能接口 270施加的命令230使得能够访问存储器单元255，即使其在运行状态。一旦处于运行状态，存储元件260之后能够与存储功能接口 270通信，并且此时允许存储功能接口 270访问包括在存储元件260中的秘密信息。在时间t3，可变电压调节器240降低施加到存储元件260的电压250，由此向存储元件260施加非运行条件。另外，存储功能接口270阻断对存储元件260的功能性访问，由此使存储器单元255进入非运行状态。一旦将非运行状态施加到存储器单元255，存储元件260不再能够与存储功能接口 270通信。
[0083]意识到的是，改变至少一个运行条件以便存储器单元进入非运行状态包括以上描述的降低电压。另外意识到的是，改变至少一个运行条件可以包括以下各项中的一个:禁止；断开；和强制实现存储器单元的至少一个接口信号。
[0084]意识到的是，计时机制220可以包括任何适当的计时机制，如本领域中公知的，例如但不限制上述的一般性，时钟模块、模拟计时器或者软件循环。另外，计时机制可以包括被设计为防篡改的计时机制，即，该机制不经受外部操纵(例如但不限于本领域中公知的不可停止的计时机制)。计时机制可以以本领域中公知的各种方法中的任何一种来实现不可停止。例如但不限制上述的一般性，计时机制可以通过包含不受外部操纵影响的环形振荡器来实现不可停止。
[0085]现在参考图3，其描述了图1系统的一个特定实现方式。在图3描述的特定情况中，按照图2的讨论，将图1中描述的存储器单元条件描述为包括施加到存储器单元的功率。因此，将图1的运行条件描述为图3中的运行电平，运行电平为运行电压电平。同样，将图1的非运行条件描述为图3中的非运行电平，非运行电平为非运行电压电平。
[0086]在本发明的另一实施例中，即，在不从存储秘密信息的存储器单元去除运行条件的情况下必须保持秘密信息，短暂地改变用于阻碍检测意外泄露的、每一位均保存在存储器单元中的秘密信息的方法。随时间短暂地改变保存在存储器单元中的每一位防止了泄露信息以正确的值和顺序进行积累。因此，积累这种位是不实际的。
[0087]短暂地重新导出秘密信息，并且存储在与之前存储秘密信息相同的位置处。通过重新导出秘密信息，随时间收集泄露有效地实现无秘密，而能够按照需要重新存储秘密信息本身。例如但不限制上述的一般性，之后可以由电路周期性地读取秘密信息，所述电路重新加密或者重新迷惑秘密信息并且将新的值存储到相同位置(寄存器或者RAM中)。一旦接收到读取秘密信息的请求，电路解密或者去迷惑所存储的值，由此使秘密信息可用于功能性使用。
[0088]作为非限制性示例，一个简单的迷惑方法为在将秘密信息再次存储在秘密信息之前存储的相同位置处之前，以随机数字或者伪随机数字中的一个对秘密信息进行异或。当读取秘密信息以用于功能性使用时，从存储器读取的迷惑后的值与随机数字或者伪随机数字中相同的一个进行异或，以便产生秘密信息。
[0089]当读取迷惑后的秘密信息时，使用至少两种方法中的一种:
[0090]用之前的随机数字对迷惑后的秘密信息进行去迷惑(例如通过进行异或)，并且之后以新的随机或者伪随机数字对秘密信息进行重新迷惑；以及
[0091]从存储器中读取迷惑后的秘密信息并且以新的随机或者伪随机数字进行进一步的迷惑。以新的随机或者伪随机数字对之前的随机或者伪随机数字进行异或，并且将结果存储为最新的随机或者伪随机数字。本领域技术人员将意识到用存储在存储器中的迷惑后的数字对最新的随机或者伪随机数字进行异或将产生去迷惑的秘密信息。[0092]在简单的迷惑机制的另一示例中，秘密信息保存在布置为简单的循环移位寄存器(可选地，在本领域中已知为循环伪随机发生器的更精密的N位反馈移位寄存器)的寄存器中。每一次对寄存器进行计时，寄存器中每一位的内容改变，由此阻碍长时段的泄露信号的收集。当做出功能性读取秘密信息的请求时，循环移位寄存器的控制电路将首先执行所需数目的快速移位，直到原始秘密信息的每一位在其原始位置和值，之后循环移位寄存器将从寄存器读取秘密信息。
[0093]意识到的是，用于触发短暂地重新导出秘密信息的计时机制可以包括设计为使计时机制包括防篡改计时机制。
[0094]现在参考图4和5，其是图1系统的运行方法的简化流程图。按照以上讨论认为图4和5是无须解释的。
[0095]意识到的是，出于清楚的目的在独立的实施例的背景下描述的本发明的各种特征也可以结合地在单独实施例中提供。反之，出于简洁的目的在单独实施例的背景下描述本发明的各种特征也可以独立地或者以任何适合的子结合来提供。
[0096]本领域技术人员将意识到本发明不限于以上特别示出和描述的。而是本发明的范围由所附权利要求和其等价物限定。
【权利要求】
1.一种用于阻碍对从保存在存储器单元的秘密中意外泄露的秘密信息进行检测的方法，所述方法包括: 将所述秘密信息存储在所述存储器单元内的位置处； 短暂地重新导出所述秘密信息；以及 将所重新导出的秘密信息存储在所述存储器单元内的所述位置处； 其中，所述短暂地重新导出所述秘密信息令保存所述秘密信息的所述存储器单元的物理内容短暂地变化，由此令从所述存储器单元意外泄露的所述秘密信息随时间变化，令泄露信息的任何检测器需要长收集时间来接收所述泄露信息的平均，所述泄露信息的所述平均不揭露所述泄露信息。
2.根据权利要求1所述的方法，并且其中，所述存储器单元包括以下之一: 寄存器；以及 随机存取存储器。
3.如权利要求1和2中的一项所述的方法，其中，所述重新导出所述秘密信息包括: 用随机数字和伪随机数字之一对所述秘密信息进行异或。
4.根据权利要求1-3中的任一项所述的方法，并且其中，取决于防篡改的计时机制，在时间间隔处执行所述短暂地重新导出所述秘密信息。
5.根据权利要求4所述的方法，并且其中，所述时间间隔为随机时间间隔。`
6.根据以上权利要求中的任一项所述的方法，并且其中，包括在所述存储器单元中的所述秘密信息以迷惑的形式包括在所述存储器单元中。
7.根据权利要求6所述方法，并且其中，所述迷惑包括加密迷惑。
8.根据以上权利要求中的任一项所述的方法，并且还包括: 将所述秘密信息输出到第二存储器单元； 将所述秘密信息存储在所述第二存储器单元内的位置处； 短暂地重新导出所述秘密信息；以及 将所述重新导出的秘密信息存储在所述位置处， 其中，所述短暂地重新导出所述秘密信息令保存所述秘密信息的所述第二存储器单元的物理内容短暂地变化，由此令从所述存储器单元意外泄露的所述秘密信息随时间变化，令泄露信息的任何检测器需要长收集时间来接收所述泄露信息的平均，所述泄露信息的所述平均不揭露所述泄露信息。
9.根据权利要求8所述的方法，并且其中，所述第二存储器单元包括以下之一: 寄存器；以及
RAM0
10.根据权利要求8或9所述的方法，其中，所述重新导出所述秘密信息包括: 用伪随机数字对所述秘密信息进行异或。
11.根据权利要求1-10中的任一项所述的方法，其中，所述重新导出所述秘密信息包括: 将所述秘密信息保存在移位寄存器中，在每一次对所述寄存器进行计时时，所述移位寄存器发生改变。
12.根据权利要求1-11中的任一项所述的方法，其中，所述短暂地重新导出所述秘密信息包括: 短暂地改变所述秘密信息的每一位。
13.一种用于阻碍对从保存在存储器单元的秘密中意外泄露的秘密信息进行检测的系统，所述系统包括: 秘密信息存储设备，其将所述秘密信息存储在所述存储器单元内的位置处； 短暂地秘密信息重新导出器；以及 所述秘密信息存储设备用于将所述重新导出的秘密信息存储在所述存储器单元内的所述位置处； 其中，所述短暂地重新导出所述秘密信息令保存所述秘密信息的所述存储器单元的物理内容短暂地变化，由此令从所述存储器单元意外泄露的所述秘密信息随时间变化，令泄露信息的任何检测器需要长收集时间来接收所述泄露信息的平均，所述泄露信息的所述平均不揭露所述泄 露信息。
【文档编号】G06F21/79GK103605936SQ201310481604
【公开日】2014年2月26日 申请日期:2009年5月21日 优先权日:2008年6月24日
【发明者】C·舍恩-奥尔, Z·什科迪, R·埃尔鲍姆, Y·什洛莫维奇, Y·夏皮罗, Y·贝伦基, Y·利维(约旦), R·萨姆纳, I·曼廷 申请人:Nds有限公司