DE102006048969B4 - Schaltungsanordnung und Verfahren zum Unterbinden eines Schaltungsbetriebs - Google Patents

Schaltungsanordnung und Verfahren zum Unterbinden eines Schaltungsbetriebs Download PDF

Info

Publication number
DE102006048969B4
DE102006048969B4 DE102006048969.1A DE102006048969A DE102006048969B4 DE 102006048969 B4 DE102006048969 B4 DE 102006048969B4 DE 102006048969 A DE102006048969 A DE 102006048969A DE 102006048969 B4 DE102006048969 B4 DE 102006048969B4
Authority
DE
Germany
Prior art keywords
circuit arrangement
range
sensor
parameter
signal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE102006048969.1A
Other languages
English (en)
Other versions
DE102006048969A1 (de
Inventor
Dr. Laackmann Peter
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Infineon Technologies AG
Original Assignee
Infineon Technologies AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Infineon Technologies AG filed Critical Infineon Technologies AG
Priority to DE102006048969.1A priority Critical patent/DE102006048969B4/de
Priority to US11/873,717 priority patent/US7710255B2/en
Publication of DE102006048969A1 publication Critical patent/DE102006048969A1/de
Application granted granted Critical
Publication of DE102006048969B4 publication Critical patent/DE102006048969B4/de
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Credit Cards Or The Like (AREA)
  • Storage Device Security (AREA)

Abstract

Schaltungsanordnung zum Unterbinden eines Schaltungsbetriebs,
• umfassend ein Mittel (15 ,7) zum Bereitstellen eines Dejustiersignals (S1) und
• umfassend einen Sensor (5) zum Detektieren des Systemparameters oder des Umgebungsparameters, der an das Mittel (15, 7) gekoppelt ist, wobei der Sensor ausgebildet ist zu detektieren, ob der Systemparameter beziehungsweise der Umgebungsparameter in einem vorgegebenen Bereich (11, 12) liegt, wobei der Bereich (11, 12) derart vorgegeben ist, dass in einem Arbeitsbereich der Schaltungsanordnung der Systemparameter beziehungsweise der Umgebungsparameter in dem Bereich (11, 12) liegt, und in Reaktion auf das anliegende Dejustiersignal (S1) den Bereich dauerhaft derart zu verstellen, dass im Arbeitsbereich der Schaltungsanordnung der Systemparameter beziehungsweise der Umgebungsparameter außerhalb des veränderten Bereichs liegt. wobei der Sensor (5) ferner ausgebildet ist, ein Alarmsignal (S2) auszugeben, wenn der Systemparameter beziehungsweise der Umgebungsparameter nicht in dem veränderten Bereich liegt.

Description

  • Die Erfindung betrifft eine Schaltungsanordnung sowie ein Verfahren, um den Schaltungsbetrieb solch einer Schaltungsanordnung zu unterbinden.
  • Chipkarten mit einem Security Controller werden beispielsweise für sicherheitsrelevante Anwendungen eingesetzt. Solche Chipkarten können für Zugangsberechtigungsnachweise, Bankkarten oder Bezahl-Fernseh-Zugangskarten verwendet werden. Häufig ist deren Nutzung nur für einen vorgegebenen Zeitraum vorgesehen oder soll nach der Ausgabe unterbunden werden, beispielsweise bei Aufhebung der Zugangsberechtigung oder Kündigung des Bezahl-Fernseh-Vertrages. Der Einzug solcher Karten durch den Herausgeber ist mit hohem Aufwand und Kosten verbunden oder nicht möglich. Deshalb haben diese Karten üblicherweise eine vorgegebene Gültigkeit, nach deren Ablauf ihr Betrieb unterbunden sein soll. Nach Ablauf der Gültigkeit sind diese Karten weiterhin im Umlauf, und es besteht die Gefahr, dass diese Karten von versierten Angreifern umprogrammiert und zweckentfremdet oder für illegale Zwecke eingesetzt werden können.
  • Um die Karten nach Ablauf ihrer Gültigkeit möglichst dauerhaft zu sperren, sind bisher verschiedene Ansätze verfolgt worden. Beispielsweise kann eine hardwaremäßig implementierte und programmierte Sicherung durch so genannte „Fuses“ vorgesehen sein, die nach Ablauf der Gültigkeit den Zugriff unterbindet. Da diese vor jeder Benutzung getestet wird, kann so nach Ablauf der Gültigkeit eine weitere Verwendung des Security Controllers behindert werden.
  • Weiterhin ist bekannt, in eine oder mehrere Speicherzellen Werte zu schreiben, die dann vom Programm oder von der Hardware des Security Controllers überprüft werden und gegebenenfalls die Sperrung des weiteren Programmablaufs auslösen.
  • Es ist ferner bekannt, die Programmierspannung eines Chips zu sperren, sodass dieser nicht mehr so leicht umprogrammiert werden kann.
  • Der Nachteil dieser Lösungen ist, dass bei derart gesperrten Chipkarten weiterhin der Security Controller in üblicher Weise gestartet werden kann, um ein Programm ablaufen zu lassen. Dieses Programm testet dann die Sicherheitsmerkmale. Sobald jedoch der Chip lauffähig ist, kann ein Angreifer versuchen, den Programmablauf zu stören und den Chip zu manipulieren.
  • Durch die Zerstörung von betriebswesentlichen Chipbestandteilen kann der Betrieb dauerhaft unterbunden werden, wie in der DE 10 2004 021 346 A1 offenbart. Manipulationen sind in der DE 102 47 485 A1 durch eine Erfassungsstruktur detektierbar und in der DE 101 61 046 B4 durch den Ergebnisvergleich zweier Teilschaltungen, die dieselbe Funktion in unterschiedlicher Weise bereitstellen, so dass sich Manipulationen in unterschiedlicher Weise auf die jeweiligen Funktionsabläufe auswirken.
  • Ferner offenbart DE 10 2004 016 342 A1 ein Verfahren und eine Vorrichtung zum Erfassen eines manipulativen Angriffs auf eine elektrische Schaltung. Dies wird dadurch realisiert, dass der Stromverbrauch der elektrischen Schaltung überwacht wird und basierend auf dem Überwachungsergebnis mittels eines Vergleichs mit Referenzdaten ein manipulativer Angriff erfasst wird.
  • Es stellt sich daher die Aufgabe, eine verbesserte Möglichkeit für eine Schaltungsanordnung und ein Verfahren zu finden, um die Schaltungsanordnung, beispielsweise in Chipkarten, möglichst dauerhaft zu sperren.
  • Die Aufgabe wird durch eine Schaltungsanordnung mit den Merkmalen des Patentanspruchs 1 und durch ein Verfahren mit den Merkmalen des nebengeordneten Patentanspruchs 16 gelöst.
  • Die Schaltungsanordnung, in deren Arbeitsbereich ein Systemparameter oder ein Umgebungsparameter innerhalb eines ersten Bereichs ist, umfasst ein Mittel zum Bereitstellen eines Dejustiersignals und einen an das Mittel gekoppelten Sensor zum Detektieren des Systemparameters oder des Umgebungsparameters. Der Sensor ist ausgebildet zu detektieren, ob der Systemparameter beziehungsweise der Umgebungsparameter in einem vorgegebenen zweiten Bereich liegt, und gibt ein Alarmsignal aus, wenn der Systemparameter beziehungsweise der Umgebungsparameter nicht in dem zweiten Bereich liegt, innerhalb dessen der erste Bereich liegt. Der Sensor ist ferner ausgebildet, in Reaktion auf das anliegende Dejustiersignal den zweiten Bereich dauerhaft derart zu verstellen, dass der zweite Bereich nicht den ersten Bereich umfasst.
  • Vorteil dieser Schaltungsanordnung ist, dass der Sensor derart dejustiert wird, dass nicht mehr auf einen Angriff hinweisende Betriebszustände, sondern vielmehr die im normalen Arbeitsbereich auftretenden Parameterwerte als Angriff gewertet werden, was geeignete Abwehrmaßnahmen auslöst. Dadurch wird der Betrieb beispielsweise eines Security Controllers, der die Schaltungsanordnung umfasst, von Anfang an unterbunden werden, sobald die Dejustierung des Sensors erfolgt ist. Somit werden die Möglichkeiten für den Angreifer, in den Ablauf des Security Controllers einzugreifen, erheblich eingeschränkt und die Reversibilität der Sperrung ist ebenfalls stark behindert.
  • Diese Art der Sperrung ist nicht nur auf Schaltungsanordnungen beschränkt, deren Lebensdauer abgelaufen ist, sondern kann generell verwendet werden, um Schaltungsanordnungen zu sperren, indem das Dejustiersignal angelegt wird.
  • Zur Speicherung der vorgegebenen Lebensdauer der Schaltungsanordnung ist bei dieser ein Speichermittel vorgesehen.
  • In einer einfachen Ausgestaltung der erfindungsgemäßen Schaltungsanordnung umfasst diese einen Eingang zum Anlegen des Dejustiersignals. Auf diese Weise wird die Schaltungsanordnung, die beispielsweise in einem Chip einer Chipkarte untergebracht ist, bei Kontakt der Chipkarte mit einem Chipkartenterminal gesperrt, indem das Chipkartenterminal das Dejustiersignal zur Chipkarte überträgt.
  • In einer alternativen Ausgestaltung wird das Dejustiersignal nicht als externes Signal, beispielsweise vom Terminal, bereitgestellt, sondern wird schaltungsintern von einer Prüfvorrichtung generiert. Bei diesem Ausführungsbeispiel hat die Schaltungsanordnung einen Zeitsignaleingang zum Anlegen eines Zeit angebenden Signals, das an eine Prüfvorrichtung gekoppelt ist. Die Prüfvorrichtung ist ausgebildet, zu überprüfen, ob die vorgegebene Lebensdauer der Schaltungsanordnung abgelaufen ist, und gibt in diesem Fall das Dejustiersignal aus. In diesem Fall kann die Kommunikation der Chipkarte mit dem Terminal, um das Zeit anzeigende Signal anzufragen, von der Chipkarte initialisiert werden.
  • In einer vorteilhaften Weiterbildung ist die Prüfeinheit derart ausgestaltet, dass sie beim Anlegen des Zeit anzeigenden Signals prüft, ob dessen Wert nachzeitig zu einem gespeicherten Wert des zuvor angelegten Zeit anzeigenden Signals ist. Auf diese Weise werden Manipulationsversuche unterbunden, die darauf beruhen, ein manipuliertes Zeit anzeigendes Signal anzulegen, um der Schaltungsanordnung beispielsweise durch ein falsches Datum vorzutäuschen, dass ihre Lebensdauer noch nicht abgelaufen ist.
  • Vorteilhafterweise ist die Schaltungsanordnung derart ausgebildet, dass sie eine Alarmaktion in Reaktion auf das Alarmsignal ausführt, um den weiteren Betrieb der Schaltungsanordnung zu unterbinden. Eine geeignete Alarmaktion ist beispielsweise das Versetzen der Schaltungsanordnung in einen vorbestimmten Zustand, oder die Ausführung eines Reset, oder die Unterbindung des Betriebs.
  • In einer vorteilhaften Ausgestaltung hat der zweite Bereich, hinsichtlich dessen der Sensor detektiert, eine erste Bereichsgrenze und eine zweite Bereichsgrenze. Zunächst ist der Sensor so justiert, dass die erste Bereichsgrenze größer als die zweite Bereichsgrenze ist. Der Sensor detektiert, ob der Systemparameter beziehungsweise der Umgebungsparameter kleiner als die erste Bereichsgrenze und größer als die zweite Bereichsgrenze ist. Wenn dieses nicht der Fall ist, kann auf einen Angriff geschlossen werden, und es wird das Alarmsignal ausgelöst. Bei der Dejustierung der Bereichsgrenzen werden diese derart verschoben, dass kein überlappender Bereich, innerhalb derer kein Alarm ausgelöst wird, mehr vorhanden ist. Vielmehr ist die erste Bereichsgrenze nunmehr kleiner oder gleich der zweiten Bereichsgrenze. Somit umfasst der zweite Bereich keine Parameterwerte mehr, für die kein Alarm ausgelöst wird. Auf diese Weise wird der Sensor dauerhaft umkonfiguriert, dass auch im normalen Betriebsmodus eine Aktivierung des Sensors erzielt wird. Dadurch herrscht ständig ein Alarmzustand, was den Security Controller beziehungsweise den Chip dauerhaft sperrt.
  • Für den Sensor sind vielfältige Ausgestaltungen denkbar. Der Sensor kann beispielsweise als ein Spannungssensor zur Detektion der Versorgungsspannung ausgebildet sein. Auch die Ausbildung als Taktfrequenzsensor ist denkbar. Mit diesen Ausgestaltungen werden typische Systemparameter detektiert. Ferner ist die Ausgestaltung des Sensors als Licht- oder Strahlungssensor oder als Temperatursensor denkbar. Diese Ausgestaltungen zielen eher auf die Detektion von Umgebungsparametern.
  • Die Verwendung solch einer Schaltungsanordnung ist nicht nur auf Chipkarten beschränkt. Eine weitere vorteilhafte Verwendung sind so genannte Dongles, die Schlüssel für Sicherheitssysteme generieren, beispielsweise in Form so genannter PINs für den elektronischen Bankverkehr. Übliche Ausgestaltungen dieser Dongles sind nicht auf die Kommunikation mit oder die Versorgung von einem Terminal angewiesen, sondern verfügen über eine interne Uhr zur Generierung des Zeit angebenden Signals und eine interne Spannungsversorgung.
  • Das Verfahren zielt darauf, einen normalen Betrieb einer integrierten Schaltungsanordnung auf einem Chip zu unterbinden, wobei die Schaltungsanordnung einen Sensor zum Detektieren eines Systemparameters oder eines Umgebungsparameters umfasst. Das Verfahren umfasst:
    • - Prüfen, ob der detektierte Systemparameter oder der detektierte Umgebungsparameter in einem vorgegebenen Bereich liegt, wobei der Bereich derart vorgegeben ist, dass im Arbeitsbereich der Schaltungsanordnung der Systemparameter beziehungsweise der Umgebungsparameter in dem Bereich liegt,
    • - den normalen Betrieb durchzuführen, wenn der detektierte Systemparameter beziehungsweise der detektierte Umgebungsparameter im Bereich liegt,
    • - eine Alarmaktion durchzuführen, wenn der detektierte Systemparameter beziehungsweise der detektierte Umgebungsparameter außerhalb des Bereichs liegt,
    • - in Reaktion auf ein Dejustiersignal den Bereich derart zu verändern, dass im Arbeitsbereich der Systemparameter beziehungsweise der Umgebungsparameter außerhalb des veränderten Bereichs liegt.
  • Vorteil dieses Verfahrens ist, dass der Sensor derart umkonfiguriert wird, dass bereits bei normalen Betriebsbedingungen der Schaltungsanordnung permanent eine Alarmaktion ausgelöst wird.
  • Vorteilhafterweise wird die Veränderung der Sensorparameter bei Ablauf einer vorgegebenen Lebensdauer durchgeführt, um sicherzustellen, dass der Betrieb danach permanent unterbunden wird.
  • Als weiteres Sicherheitsmerkmal wird überprüft, ob die Werte des Zeit angebenden Signals für nacheinander durchgeführte Vergleiche in plausibler zeitlicher Relation zu einander stehen. Auf diese Weise wird Manipulationsversuchen durch falsche, manipulierte Zeitangaben begegnet.
  • Auch beim Verfahren gibt es eine Reihe vorteilhafter System- oder Umgebungsparameter, wie die Spannung, die Taktfrequenz, die Temperatur oder die Licht- beziehungsweise Strahlungsintensität, die vom Sensor detektierbar sind.
  • Weitere vorteilhafte Ausgestaltungen der Erfindung sind in den abhängigen Patentansprüchen angegeben.
  • Nachfolgend wird die Erfindung unter Bezugnahme auf die Zeichnung anhand von Ausführungsbeispielen erklärt.
  • Es zeigen:
    • 1 eine schematische Darstellung eines ersten Ausführungsbeispiels einer Schaltungsanordnung in einer Chipkarte mit einem Terminal,
    • 2 eine schematische Darstellung eines zweiten Ausführungsbeispiels einer Schaltungsanordnung in einer Chipkarte mit einem Terminal,
    • 3 eine schematische Darstellung eines dritten Ausführungsbeispiels einer Schaltungsanordnung in einer Chipkarte mit einem Terminal,
    • 4 eine schematische Darstellung einer Schaltungsanordnung in einem Dongle und
    • 5 die Dejustierung von Bereichsgrenzen eines Sensors.
  • 1 zeigt eine schematische Darstellung einer Chipkarte 1 mit einer Schaltungsanordnung, die mit einem Terminal 2 kommuniziert. Es sei bemerkt, dass es sich um eine schematische, stark vereinfachte Darstellung handelt, bei der Größenverhältnisse und bauartliche Merkmale unberücksichtigt bleiben. Üblicherweise sind die dargestellten Schaltungsblöcke in integrierter Form in einem Chip ausgebildet, der in einem Kartenkörper eingebracht ist.
  • Das Terminal 2 umfasst einen Terminalprozessor 3, der ausgebildet ist, ein Dejustiersignal S1 auszugeben.
  • Die Chipkarte 1 umfasst einen Sensor 5 zum Detektieren eines Parameters, der an einen Konfigurationsspeicher 4 gekoppelt ist. Im Konfigurationsspeicher 4 sind Konfigurationsparameter gespeichert, um den Sensor 5 zu justieren. Der Sensor 5 ist ausgebildet ein Alarmsignal S2 auszugeben. Der Sensor 5 ist der derart an einen Alarmschaltkreis 4 gekoppelt, dass dieser in Reaktion auf das Alarmsignal S2 eine Alarmaktion durchführt. Wenn der vom Sensor 5 zu detektierende Parameter außerhalb eines von den Konfigurationsparametern vorgegebenen Bereichs ist, gibt der Sensor 5 das Alarmsignal S2 aus.
  • Ein zu detektierender Parameter kann ein Systemparameter oder ein Umgebungsparameter sein. Darunter fallen auch die vom Terminal 2 zum Betrieb bereitstellbaren Signale, wie die Versorgungsspannung oder das Taktsignal.
  • Bei einer Chipkarte handelt es sich um ein reaktives System. Die zum Betrieb der auf der Chipkarte 1 vorgesehenen Schaltungsanordnung erforderlichen Signale werden vom Terminal 2 bereitgestellt. Um zu überprüfen, ob diese Systemparameter innerhalb des im normalen Betriebsmodus vorgesehenen Bereichs liegen, kann der Sensor 5 als Versorgungsspannungssensor oder als Taktfrequenzsensor ausgebildet sein.
  • Es ist aber auch denkbar, dass der Sensor 5 ausgebildet ist, um Umgebungsparameter zu detektieren. Geeignete Umgebungsparameter sind die Temperatur, Licht oder sonstige Strahlung. Wenn der vom Sensor 5 detektierte Parameter außerhalb des vorgegebenen Bereichs liegt, wird ein Alarmsignal ausgegeben. Solch eine Abweichung lässt auf einen Angriff schließen.
  • Wenn der Terminalprozessor 3 das Dejustiersignal S1 ausgibt und über einen Eingang 15 an die Schaltungsanordnung anlegt, wirkt dieses quasi als „Zerstörungsbefehl“. Die Konfigurationsparameter im Konfigurationsspeicher 4 werden derart gesetzt, dass die Schaltungsanordnung auch bei den normalen Betriebsmodus anzeigenden Parameterwerten das Alarmsignal S2 auslöst. Auf diese Weise wird der Sensor 5 dauerhaft so umkonfiguriert, dass auch im normalen Betriebsmodus eine Aktivierung dieser Sensorik erzielt wird, dadurch herrscht ständig ein Alarmzustand und der Chip mit der Schaltungsanordnung wird für die weitere Verwendung gesperrt.
  • Der Sensor 5 kann als Spannungssensor ausgebildet sein, der im Normalbetrieb verhindern soll, dass der Baustein mit der Schaltungsanordnung bei einer Versorgungsspannung über 5 V betrieben wird. Die Einstellung des Sensors 5 erfolgt durch geeignete Werte im Konfigurationsspeicher 4.
  • In 5 ist die Dejustierung veranschaulicht. Im Sensor 5 wird überprüft, ob die detektierte Spannung innerhalb eines vorgegebenen Bereichs ist. Dieser Bereich wird durch zwei Grenzen, einer ersten Grenze 11 und einer zweiten Grenze 12, begrenzt. Um keinen Alarm auszulösen, muss die detektierte Spannung sowohl unterhalb der ersten Grenze 11, beispielsweise 6 V, als auch oberhalb der zweiten Grenze 12, beispielsweise 4,5 V, sein. Dieses ist in 5 durch den überlappenden, schraffiert dargestellten Bereich veranschaulicht. Dieser Bereich ist so gewählt, dass im normalen Betriebsmodus beziehungsweise im Arbeitsbereich der Schaltungsanordnung der zu detektierende Parameter innerhalb dieses Bereichs liegt.
  • Das Dejustiersignal S1 löst aus, dass die erste und zweite Grenze 11, 12 verschoben werden. Der Alarmspannungsbereich des Sensors wird derart verändert, dass auch der Normalbetrieb nicht mehr möglich ist. Dieses geschieht beispielsweise durch Absenken der ersten Grenze 11 unterhalb der nunmehr angehobenen zweiten Grenze 12, sodass sich kein überlappender Bereich mehr vorgesehen ist, wie in 5 dargestellt ist. Somit umfasst der geänderte Bereich keine Werte, da die obere Grenze kleiner als die untere ist. Aber auch das signifikante Absenken des schraffierten Bereichs ist geeignet.
  • Die neue Konfiguration wird fest einprogrammiert, beispielsweise in ein so genannten EEPROM als Konfigurationsspeicher 4. Nach dieser Speicherung läuft der Chip noch mit den bisherigen Konfigurationsparametern, aber bei einem erneuten Starten werden die neuen Konfigurationsparameter übernommen. Der Sensor 5 wird dementsprechend eingestellt und somit auch der Chip für den Normalbetrieb gesperrt.
  • Die Festlegung solcher Grenzen ist beispielsweise auch für einen Taktfrequenzsensor oder einen Temperatursensor denkbar. Ein möglicher als Lichtsensor ausgestalteter Sensor 5 kann so eingestellt werden, dass das Alarmsignal S2 unabhängig von der Lichtintensität ausgelöst wird.
  • 2 zeigt ein zweites Ausführungsbeispiel der Chipkarte 1, die mit dem Terminal 2 kommuniziert.
  • Bei diesem und den in den 3 und 4 dargestellten Ausführungsbeispielen geben gleiche Bezugszeichen gleiche Anordnungsteile wieder. Zur Vermeidung von Wiederholungen erfolgt keine mehrfache Beschreibung übereinstimmender Anordnungen.
  • 2 unterscheidet sich von der 1 dahingehend, dass ein Speichermittel 13 vorgesehen ist, in dem die vorgegebene Lebensdauer abgespeichert ist. Hierbei handelt es sich vorteilhafterweise um einen nichtflüchtigen, und, aus Sicherheitsgründen, auch nicht wieder beschreibbaren Speicher. Bei der Kommunikation zwischen dem Terminal 2 und der Chipkarte 1 wird der Inhalt dieses Speichermittels 13 ausgelesen und vom Terminalprozessor 3 dahingehend überprüft, ob die Lebensdauer der Chipkarte 1 bereits abgelaufen ist. Wenn dieses der Fall ist, wird das Dejustiersignal S1 vom Terminalprozessor 3 ausgegeben, um die Chipkarte 1 zu sperren.
  • Das in 3 dargestellte Ausführungsbeispiel unterscheidet sich von den zuvor dargestellten darin, dass der Terminalprozessor 3 nunmehr ein Zeit angebendes Signal S3 ausgibt. Bei dem Zeit angebenden Signal S3 es sich beispielsweise um ein Datums- und/oder Uhrzeitsignal. Es ist aber auch denkbar, ein anders geartetes Zeit anzeigendes Signal S3 vorzusehen, beispielsweise den Zählerstand eines kontinuierlich im Terminal 2 hoch zählenden Zählers.
  • Im Unterschied zu den zuvor dargestellten Schaltungsanordnungen ist in der in 3 dargestellten Schaltungsanordnung eine Prüfvorrichtung 7 vorgesehen, die ausgebildet ist, das Dejustiersignal S1 auszugeben. Ferner ist das Speichermittel 13 an die Prüfvorrichtung 7 gekoppelt.
  • Die Prüfvorrichtung 7 prüft anhand des Zeit anzeigenden Signals S3 und der gespeicherten vorgegebenen Lebensdauer ob diese bereits abgelaufen ist. Wenn die vorgegebene Lebensdauer überschritten ist, wird das Dejustiersignal S1 von der Prüfvorrichtung 7 ausgegeben und löst die bereits geschrieben Veränderung der Konfigurationsparameter für den Sensor 5 aus.
  • Als weiteres, optionales Sicherheitsmittel kann die Prüfvorrichtung 7 ein weiteres Speichermittel 14 umfassen, oder an dieses gekoppelt sein. Im weiteren Speichermittel 14 wird der zuletzt angelegte Wert des Zeit anzeigenden Signals S3 abgespeichert, beispielsweise das Datum. Beim nächsten Vergleich wird der Wert des nunmehr anliegenden Zeit anzeigenden Signals S3 mit dem gespeicherten Wert verglichen. Hierbei wird überprüft, ob der anliegende Wert des Zeit anzeigenden Signals S3 nachzeitig zum gespeicherten Wert ist. Wenn dieses nicht der Fall ist, lässt das auf einen Angriff durch ein vorgetäuschtes Datum schließen.
  • In solch einem Fall löst die Prüfvorrichtung 7 eine Alarmaktion aus. Dieses kann erfolgen, indem das Dejustiersignal S1 bereitgestellt wird. Alternativ ist es auch denkbar, dass die Prüfvorrichtung 7 an den Alarmschaltkreis gekoppelt ist, um die Alarmaktion auszulösen. Letzteres hat den Vorteil, dass die Schaltungsanordnung zwar auf den Angriff reagiert, aber nicht dauerhaft gesperrt wird.
  • 4 zeigt eine schematische Darstellung einer Schaltungsanordnung für ein so genanntes Dongle 8. Hierbei handelt es sich nicht wie bei einer Chipkarte 1 um ein reaktives System, sondern um ein proaktives System, das selbständig betreibbar ist. Deshalb ist es erforderlich, dass hierfür notwendige Mittel vorgesehen sind.
  • Das Dongle 8 weist zusätzlich eine Uhr 10 auf, die das Zeit angebende Signal S3 generiert. Diese Uhr 10 muss nicht notwendigerweise eine Uhr im eigentlichen Wortsinn sein, die die Uhrzeit und/oder das Datum bereitstellt, sondern es kann sich auch um einen Zähler als besonders einfache Ausgestaltung handeln. Ferner ist beim Dongle 8 eine Spannungsversorgungsvorrichtung 9 vorgesehen, die die Uhr 10 mit einer Versorgungsspannung speist, um das Zeit anzeigende Signal S3 zu generieren. Die Spannungsversorgungsvorrichtung 9 versorgt auch die anderen Blöcke der Schaltungsanordnung mit der Versorgungsspannung.
  • Bei diesem Ausführungsbeispiel wird das Zeit anzeigende Signal S3 schaltungsintern bereitgestellt und an die Prüfvorrichtung 7 gekoppelt. Die Funktionsweise der übrigen Blöcke ist wie bei den zuvor beschriebenen Chipkarten 1.
  • Auch wenn die Vorteile der Erfindung für Chipkarten und Dongles ausführlich dargelegt worden sind, kann die Erfindung auch in einer Vielzahl von sicherheitsrelevanten Schaltungsanordnungen eingesetzt werden, um diese dauerhaft zu sperren.
  • Bezugszeichenliste
    • 1
    Chipkarte
    2
    Terminal
    3
    Terminalprozessor
    4
    Konfigurationsspeicher
    5
    Sensor
    6
    Alarmschaltkreis
    7
    Prüfvorrichtung
    8
    Dongle
    9
    Spannungsversorgungsvorrichtung
    10
    Uhr
    11
    erste Grenze
    12
    zweite Grenze
    13, 14
    Speichermittel
    15, 16
    Eingang
    S1
    Dejustiersignal
    S2
    Alarmsignal
    S3
    Zeit angebendes Signal
    V
    Spannung

Claims (23)

  1. Schaltungsanordnung zum Unterbinden eines Schaltungsbetriebs, • umfassend ein Mittel (15 ,7) zum Bereitstellen eines Dejustiersignals (S1) und • umfassend einen Sensor (5) zum Detektieren des Systemparameters oder des Umgebungsparameters, der an das Mittel (15, 7) gekoppelt ist, wobei der Sensor ausgebildet ist zu detektieren, ob der Systemparameter beziehungsweise der Umgebungsparameter in einem vorgegebenen Bereich (11, 12) liegt, wobei der Bereich (11, 12) derart vorgegeben ist, dass in einem Arbeitsbereich der Schaltungsanordnung der Systemparameter beziehungsweise der Umgebungsparameter in dem Bereich (11, 12) liegt, und in Reaktion auf das anliegende Dejustiersignal (S1) den Bereich dauerhaft derart zu verstellen, dass im Arbeitsbereich der Schaltungsanordnung der Systemparameter beziehungsweise der Umgebungsparameter außerhalb des veränderten Bereichs liegt. wobei der Sensor (5) ferner ausgebildet ist, ein Alarmsignal (S2) auszugeben, wenn der Systemparameter beziehungsweise der Umgebungsparameter nicht in dem veränderten Bereich liegt.
  2. Schaltungsanordnung nach Anspruch 1, gekennzeichnet durch ein Speichermittel (13), in dem eine vorgegebene Lebensdauer abgespeichert ist.
  3. Schaltungsanordnung nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass das Mittel als Eingang (15) zum Anlegen des Dejustiersignals (S1) ausgebildet ist.
  4. Schaltungsanordnung nach Anspruch 2, gekennzeichnet durch einen Zeitsignaleingang (16) zum Anlegen eines Zeit angebenden Signals (S3).
  5. Schaltungsanordnung nach Anspruch 4, dadurch gekennzeichnet, dass das Mittel als Prüfvorrichtung (7) ausgebildet ist, die an den Zeitsignaleingang (16) und an das Speichermittel (13) gekoppelt ist, um zu überprüfen, ob die vorgegebene Lebensdauer überschritten ist, und die das Dejustiersignal (S1) ausgibt, wenn die Lebensdauer überschritten ist.
  6. Schaltungsanordnung nach Anspruch 5, dadurch gekennzeichnet, dass die Prüfvorrichtung (7) ausgebildet ist, einen Wert des Zeit anzeigenden Signals (S3) zu speichern und den gespeicherten Wert mit einem Wert des anliegenden Zeit anzeigenden Signals (S3) dahingehend zu vergleichen, ob der gespeicherte Wert Vorzeitigkeit zu dem anliegenden Wert anzeigt.
  7. Schaltungsanordnung nach einem der Ansprüche 1 bis 6, die dadurch gekennzeichnet ist, dass eine Alarmaktion in Reaktion auf das Alarmsignal (S2) ausgeführt wird.
  8. Schaltungsanordnung nach einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, dass das Alarmsignal (S2) ausgegeben wird, wenn der Systemparameter beziehungsweise der Umgebungsparameter sowohl kleiner als eine erste Bereichsgrenze (11) des zweiten Bereichs als auch grösser als eine zweite Bereichsgrenze (12) des zweiten Bereichs ist, wobei die Bereichsgrenzen in Reaktion auf das Dejustiersignal derart verstellbar sind, dass die erste Bereichsgrenze (11) kleiner oder gleich der zweiten Bereichsgrenze (12) ist.
  9. Schaltungsanordnung nach einem der Ansprüche 1 bis 8, dadurch gekennzeichnet, dass der Sensor (5) als Spannungssensor ausgebildet ist.
  10. Schaltungsanordnung nach einem der Ansprüche 1 bis 8, dadurch gekennzeichnet, dass der Sensor (5) als Taktfrequenzsensor ausgebildet ist.
  11. Schaltungsanordnung nach einem der Ansprüche 1 bis 8, dadurch gekennzeichnet, dass der Sensor (5) als Licht- oder Strahlungssensor ausgebildet ist.
  12. Schaltungsanordnung nach einem der Ansprüche 1 bis 8, dadurch gekennzeichnet, dass der Sensor (5) als Temperatursensor ausgebildet ist.
  13. Schaltungsanordnung nach einem der Ansprüche 4 bis 12, gekennzeichnet durch ein Mittel (10), das an die Prüfvorrichtung (7) gekoppelt ist und ausgebildet ist, das Zeit anzeigende Signal (S3) zu generieren.
  14. Chipkarte mit einer Schaltungsanordnung nach einem der Ansprüche der 1 bis 12.
  15. Dongle mit einer Schaltungsanordnung nach einem der Ansprüche der 1 bis 13.
  16. Verfahren, um einen normalen Betrieb einer integrierten Schaltungsanordnung auf einem Chip zu unterbinden, wobei die Schaltungsanordnung einen Sensor (5) zum Detektieren eines Systemparameters oder eines Umgebungsparameters umfasst, und wobei das Verfahren umfasst: • Prüfen, ob der detektierte Systemparameter oder der detektierte Umgebungsparameter in einem vorgegebenen Bereich (11, 12) liegt, wobei der Bereich (11, 12) derart vorgegeben ist, dass im Arbeitsbereich der Schaltungsanordnung der Systemparameter beziehungsweise der Umgebungsparameter in dem Bereich (11, 12) liegt, • den normalen Betrieb durchzuführen, wenn der detektierte Systemparameter beziehungsweise der detektierte Umgebungsparameter im Bereich (11, 12) liegt, • eine Alarmaktion durchzuführen, wenn der detektierte Systemparameter beziehungsweise der detektierte Umgebungsparameter außerhalb des Bereichs (11, 12) liegt, • in Reaktion auf ein Dejustiersignal (S3) den Bereich derart zu verändern, dass im Arbeitsbereich der Schaltungsanordnung der Systemparameter beziehungsweise der Umgebungsparameter außerhalb des veränderten Bereichs liegt.
  17. Verfahren nach Anspruch 16, dadurch gekennzeichnet, dass die Schaltungsanordnung eine vorgegebene Lebensdauer hat, und das Verändern durchgeführt wird, wenn der Ablauf der Lebensdauer detektiert worden ist.
  18. Verfahren nach Anspruch 17, dadurch gekennzeichnet, dass der Ablauf der Lebensdauer durch einen Vergleich eines Zeit anzeigenden Signals (S3) mit der vorgegebenen Lebensdauer detektiert wird.
  19. Verfahren nach Anspruch 18, dadurch gekennzeichnet, das ein Wert des Zeit anzeigenden Signals (S3) beim ersten Durchführen des Vergleichs gespeichert wird und mit einem Wert des Zeit anzeigenden Signals (S3) bei einem zweiten Durchführen des Vergleichs dahingehend verglichen werden, ob der erste Wert vorzeitig zum zweiten Wert ist.
  20. Verfahren nach einem der Ansprüche 16 bis 19, dadurch gekennzeichnet, dass der Systemparameter eine Spannung ist.
  21. Verfahren nach einem der Ansprüche 16 bis 19, dadurch gekennzeichnet, dass der Systemparameter eine Taktfrequenz ist.
  22. Verfahren nach einem der Ansprüche 16 bis 19, dadurch gekennzeichnet, dass der Systemparameter beziehungsweise der Umgebungsparameter eine Temperatur ist.
  23. Verfahren nach einem der Ansprüche 16 bis 19, dadurch gekennzeichnet, dass der Umgebungsparameter eine Licht- oder Strahlungsintensität ist.
DE102006048969.1A 2006-10-17 2006-10-17 Schaltungsanordnung und Verfahren zum Unterbinden eines Schaltungsbetriebs Expired - Fee Related DE102006048969B4 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE102006048969.1A DE102006048969B4 (de) 2006-10-17 2006-10-17 Schaltungsanordnung und Verfahren zum Unterbinden eines Schaltungsbetriebs
US11/873,717 US7710255B2 (en) 2006-10-17 2007-10-17 Circuit arrangement and method for preventing circuit operation

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102006048969.1A DE102006048969B4 (de) 2006-10-17 2006-10-17 Schaltungsanordnung und Verfahren zum Unterbinden eines Schaltungsbetriebs

Publications (2)

Publication Number Publication Date
DE102006048969A1 DE102006048969A1 (de) 2008-04-24
DE102006048969B4 true DE102006048969B4 (de) 2018-08-16

Family

ID=39198350

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102006048969.1A Expired - Fee Related DE102006048969B4 (de) 2006-10-17 2006-10-17 Schaltungsanordnung und Verfahren zum Unterbinden eines Schaltungsbetriebs

Country Status (2)

Country Link
US (1) US7710255B2 (de)
DE (1) DE102006048969B4 (de)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101436982B1 (ko) * 2007-10-12 2014-09-03 삼성전자주식회사 반도체 집적 회로 및 그것의 검사 방법
DE102010045328A1 (de) * 2010-09-14 2012-03-15 Giesecke & Devrient Gmbh Portabler Datenträger
CN111787251A (zh) * 2020-06-23 2020-10-16 安徽康佳电子有限公司 一种主芯片温度可视化电视机

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10247485A1 (de) 2002-10-11 2004-04-22 Infineon Technologies Ag Chip mit Angriffsschutz
DE102004016342A1 (de) 2004-04-02 2005-10-27 Infineon Technologies Ag Verfahren und Vorrichtung zum Erfassen eines manipulativen Angriffs auf eine elektrische Schaltung
DE102004021346A1 (de) 2004-04-30 2005-12-01 Micronas Gmbh Chip mit Versorgungseinrichtung
DE10161046B4 (de) 2001-12-12 2006-02-02 Infineon Technologies Ag Digitale Schaltungsanordnung

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6229439B1 (en) * 1998-07-22 2001-05-08 Pittway Corporation System and method of filtering

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE10161046B4 (de) 2001-12-12 2006-02-02 Infineon Technologies Ag Digitale Schaltungsanordnung
DE10247485A1 (de) 2002-10-11 2004-04-22 Infineon Technologies Ag Chip mit Angriffsschutz
DE102004016342A1 (de) 2004-04-02 2005-10-27 Infineon Technologies Ag Verfahren und Vorrichtung zum Erfassen eines manipulativen Angriffs auf eine elektrische Schaltung
DE102004021346A1 (de) 2004-04-30 2005-12-01 Micronas Gmbh Chip mit Versorgungseinrichtung

Also Published As

Publication number Publication date
US7710255B2 (en) 2010-05-04
DE102006048969A1 (de) 2008-04-24
US20080088429A1 (en) 2008-04-17

Similar Documents

Publication Publication Date Title
DE3041109C2 (de)
DE102006010514B4 (de) Elektrische Schaltung und Terminal
DE102005056940B4 (de) Vorrichtung und Verfahren zum nicht-flüchtigen Speichern eines Statuswertes
DE102006048969B4 (de) Schaltungsanordnung und Verfahren zum Unterbinden eines Schaltungsbetriebs
EP1262856B1 (de) Programmgesteuerte Einheit
DE60128646T2 (de) Verfahren und Vorrichtung zum Schutz gegen unbefugte Benutzung eines integrierten Schaltkreises
DE102004015546B4 (de) Halbleiterchip mit integrierter Schaltung und Verfahren zum Sichern einer integrierten Halbleiterschaltung
EP1664978B1 (de) Vorrichtung und verfahren zur sicheren ausführung eines programmes
WO2007129265A1 (de) Sensor mit einer schaltungs anordnung
DE102005042790B4 (de) Integrierte Schaltungsanordnung und Verfahren zum Betrieb einer solchen
DE10326089B3 (de) Manipulationsüberwachung für eine Schaltung
DE102004016342B4 (de) Verfahren und Vorrichtung zum Erfassen eines manipulativen Angriffs auf eine elektrische Schaltung
EP2428918B1 (de) Portabler Datenträger
DE102006027682B3 (de) Integrierte Schaltungsanordnung und Verfahren zum Betreiben einer integrierten Schaltungsanordnung
EP1979910B1 (de) Verfahren und vorrichtung zur steuerung eines zugriffs auf einen datenspeicher in einer elektronischen schaltung
DE10258178B4 (de) Schaltung mit Sicherheitsmaßnahmen gegen Ausspionieren der Schaltung
DE102010054446A1 (de) Portabler Datenträger mit Fehlbedienungszähler
DE10360998B4 (de) Schutz von Chips gegen Attacken
DE10247485A1 (de) Chip mit Angriffsschutz
EP3346416B1 (de) Elektronisches modul mit erhöhter sicherheit vor manipulation
DE102011107104B4 (de) Tragbares Sicherheitsmodul und Verfahren zu dessen Betrieb zur Abwehr eines Angriffs in Echtzeit per Mustererkennung
DE10160614B4 (de) Halbleiterchips mit integrierter Schaltung und deren Verwendung
EP1785955A1 (de) Verfahren zur Freigabe des Zugriffs auf eine durch einen persönlichen Identifikationscode gesicherte Anwendung und/oder Einrichtung
DE19941682A1 (de) Sicherheitsempfindliche Chipkarten
DE102006038345B4 (de) Verfahren und Vorrichtung zum Erfassen von elektrischen oder elektronischen Schaltvorgängen an wenigstens einem in einem Stromkreis angeordneten Kontakt

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final
R082 Change of representative
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee