DE10254659A1 - Schaltungsanordnung mit nicht-flüchtigem Speichermodul und Verfahren zum Erfassen von Lichtattacken auf das nicht-flüchtige Speichermodul - Google Patents

Schaltungsanordnung mit nicht-flüchtigem Speichermodul und Verfahren zum Erfassen von Lichtattacken auf das nicht-flüchtige Speichermodul Download PDF

Info

Publication number
DE10254659A1
DE10254659A1 DE10254659A DE10254659A DE10254659A1 DE 10254659 A1 DE10254659 A1 DE 10254659A1 DE 10254659 A DE10254659 A DE 10254659A DE 10254659 A DE10254659 A DE 10254659A DE 10254659 A1 DE10254659 A1 DE 10254659A1
Authority
DE
Germany
Prior art keywords
memory module
addressing
circuit arrangement
called
light
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE10254659A
Other languages
English (en)
Inventor
Joachim Dr. Garbe
Wolfgang Buhr
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Philips Intellectual Property and Standards GmbH
Original Assignee
Philips Intellectual Property and Standards GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Philips Intellectual Property and Standards GmbH filed Critical Philips Intellectual Property and Standards GmbH
Priority to DE10254659A priority Critical patent/DE10254659A1/de
Priority to AU2003278528A priority patent/AU2003278528A1/en
Priority to US10/536,302 priority patent/US7232983B2/en
Priority to AT03769828T priority patent/ATE426237T1/de
Priority to JP2004554783A priority patent/JP2006507592A/ja
Priority to CN200380103955XA priority patent/CN1714408B/zh
Priority to PCT/IB2003/005148 priority patent/WO2004049349A2/en
Priority to DE60326750T priority patent/DE60326750D1/de
Priority to EP03769828A priority patent/EP1565915B1/de
Publication of DE10254659A1 publication Critical patent/DE10254659A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/75Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information by inhibiting the analysis of circuitry or operation
    • GPHYSICS
    • G11INFORMATION STORAGE
    • G11CSTATIC STORES
    • G11C16/00Erasable programmable read-only memories
    • G11C16/02Erasable programmable read-only memories electrically programmable
    • G11C16/06Auxiliary circuits, e.g. for writing into memory
    • G11C16/22Safety or protection circuits preventing unauthorised or accidental access to memory cells

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Storage Device Security (AREA)
  • Read Only Memory (AREA)
  • Techniques For Improving Reliability Of Storages (AREA)
  • Optical Communication System (AREA)

Abstract

Um eine Schaltungsanordnung (100) zur elektronischen Datenverarbeitung DOLLAR A - mit mindestens einem nicht-flüchtigen Speichermodul (10) zum Speichern von Daten und DOLLAR A - mit mindestens einer dem Speichermodul (10) zugeordneten Schnittstellenlogik (20) DOLLAR A -- zum Adressieren des Speichermoduls (10) sowie DOLLAR A -- zum Schreiben der Daten auf das Speichermodul (10) bzw. DOLLAR A -- zum Auslesen der Daten aus dem Speichermodul (10) DOLLAR A sowie ein hierauf bezogenes Verfahren zum Erfassen von Lichtattacken auf das nicht-flüchtige Speichermodul (10) so weiterzubilden, dass einerseits die Lichtattacke unabhängig davon, ob gerade ein Zugriff, insbesondere ein Auslesezugriff, auf das Speichermodul (10) erfolgt oder nicht, sofort und zuverlässig erkannt wird und andererseits diesbezüglich der gesamte Adressbereich des Speichermoduls (10) möglichst gleichmäßig abgedeckt wird, wird vorgeschlagen, dass der Schnittstellenlogik (20) mindestens eine zum Überwachen des Speichermoduls (10) vorgesehene Überwachungseinrichtung (22) zugeordnet ist, mittels derer ein Bestrahlen des Speichermoduls (10) mit mindestens einer Lichtquelle [sogenannte "Lichtattacke"] in einem Testmodus (T), in dem kein Schreib- bzw. Auslesezugriff auf das Speichermodul (10) erfolgt, detektierbar und/oder erfassbar und/oder signalisierbar ist.

Description

  • Die vorliegende Erfindung betrifft eine Schaltungsanordnung zur elektronischen Datenverarbeitung
    • – mit mindestens einem nicht-flüchtigen Speichermodul zum Speichern von Daten;
    • – mit mindestens einer dem Speichermodul zugeordneten Schnittstellenlogik
    • – zum Adressieren des Speichermoduls sowie
    • – zum Schreiben der Daten auf das Speichermodul bzw.
    • – zum Auslesen der Daten aus dem Speichermodul.
  • Die vorliegende Erfindung betrifft des weiteren ein Verfahren zum Detektieren und/oder zum Erfassen und/oder zum Signalisieren des Bestrahlens mindestens eines nichtflüchtigen Speichermoduls mit mindestens einer Lichtquelle (sogenannte "Lichtattacke" auf das nicht-flüchtige Speichermodul).
  • Elektronische Speichermodule, wie zum Beispiel E[rasable]P[rogrammable]R[ead] O[nly]M[emory], E[lectrical]E[rasable]P[rogrammable]R[ead]O[nly]M[emory] oder Flash-Speicher, erlauben das Schreiben und/oder das Auslesen von digitalen Daten der Form " 1 " und "0", die häufig als geschriebener bzw. gelöschter Zustand (Bit) bezeichnet werden. Durch äußere Einflüsse, wie zum Beispiel durch Bestrahlen mit starken Lichtquellen (sogenannte "Lichtattacke" oder "Lichtblitzattacke"), kann es zu einem fehlerhaften Auslesen dieser Daten kommen.
  • Diesem fehlerhaften Auslesen der Daten des nicht-flüchtigen Speichermoduls (sogenanntes N[on]V[olatile]-Memory) kann zum Beispiel durch den Einsatz eines Fehlerkorrekturcodes entgegengewirkt werden, bei dem die Information redundant auf dem physikalischen Medium abgespeichert wird und ein Algorithmus beim Einlesen der Daten eben diese Daten auf Fehler hin untersucht.
  • Typischerweise werden Algorithmen verwendet, die in einem Speicherblock von zum Beispiel acht logischen Bits (, denen dann mehr als acht physikalische Bits entsprechen,) ein oder mehrere fehlerhafte Bits erkennen und/oder korrigieren können (bekannte Beispiele sind Hamming Codes).
  • Aus Effizienz- und Kostengründen wird im Falle des Fehlerkorrekturcodes der zur Fehlererkennung verwendete Algorithmus niemals alle prinzipiell möglichen Fehler erkennen können, sondern immer auf die Erkennung und eventuelle Korrektur von relativ wenigen Bits pro Speicherblock beschränkt sein. Dies reicht in sicherheitskritischen Anwendungen nicht immer aus, insbesondere dann nicht, wenn einige charakteristische Fehlermuster in den Bits sehr viel häufiger als andere Fehlermuster auftreten oder auch sich durch externe Manipulation gezielt herstellen lassen.
  • So muss zum Beispiel bei der Kodierung des Zählers für das auf einer Geldkarte eingetragene Geld immer darauf geachtet werden, dass der physikalisch stabile Zustand, das heißt der Zustand, in den der Datenspeicher durch physikalische Prozesse nach einer Vielzahl von Jahren kippen könnte, einem leeren Kontostand entspricht, damit die Geldkarte nicht unbefugterweise mit mehr Geld aufgeladen werden kann.
  • Andere Möglichkeiten der Abwehr von Lichtattacken sind zum Beispiel ein doppelter Auslesezugriff auf die Daten (sogenannter "read-verify mode"), bei dem die Ergebnisse miteinander verglichen werden, oder das Auslesen der Daten mit abgeschalteten Wordlines vor oder nach dem eigentlichen Auslesezugriff Das Abschalten der Wordlines bewirkt, dass im fehlerfreien Betrieb immer ein und dasselbe Muster ausgelesen wird (sogenannter "read-known-answer mode"); Abweichungen hiervon sind dann ein Indiz für eine Attacke.
  • Jedoch können doppelte Auslesezugriffe wie der "read-verify mode" oder der "read-known-answer mode" immer nur Attacken erkennen, die genau im Moment des Auslesezugriffs stattfinden; dies bedeutet mit anderen Worten, dass konventionellerweise eine Licht(blitz)attacke auf das NV-Memory-Modul nur durch Abweichungen in den aus dem nicht-flüchtigen Speichermodul ausgelesenen Daten erkannt werden kann; außerhalb dieses durch den Auslesezugriff definierten Zeitfensters sind solche Sensoren "blind", denn der Fehler tritt in der Regel nur transient beim Auslesen auf; zudem verlängert sich bei diesen Methoden der effektive Auslesezugriff.
  • Schließlich gibt es auch noch dedizierte Lichtsensoren, die auf dem Speichermodul verteilt werden können. Zwar können derartige dedizierte Lichtsensoren Licht(blitz)attacken zu beliebigen Zeitpunkten detektieren, aber sie sind im Vergleich zum Speichermodul klein und können daher keine vollständige Flächenabdeckung bieten. Wird hingegen die Anzahl dieser Sensoren vergrößert, dann vergrößert sich auch der Platzbedarf für das Speichermodul, was sich nachteilig auf die Produktionskosten desselben auswirkt.
  • Schließlich erweist es sich in diesem Zusammenhang als problematisch, dass die Abweichungen von den erwarteten Daten im Falle einer Licht(blitz)attacke oft erst sehr spät erkannt werden, denn derartige Abweichungen wirken sich nicht sofort oder aber in einer Weise aus, die nicht sofort als fehlerhaft erkannt wird. Wenn das N[on]-V[olatile]-Memory zum Zeitpunkt der Licht(blitz)attacke nicht ausgelesen wird, wird die Licht(blitz)attacke überhaupt nicht erkannt, außer durch die vorerwähnten zusätzlichen Lichtsensoren.
  • Ausgehend von den vorstehend dargelegten Nachteilen und Unzulänglichkeiten sowie unter Würdigung des umrissenen Standes der Technik liegt der vorliegenden Erfindung die Aufgabe zugrunde, eine Schaltungsanordnung der eingangs genannten Art sowie ein hierauf bezogenes Verfahren zum Erfassen von Lichtattacken auf das nicht-flüchtige Speichermodul so weiterzubilden, dass einerseits die Lichtattacke unabhängig davon, ob gerade ein Zugriff, insbesondere ein Auslesezugriff, auf das Speichermodul erfolgt oder nicht, sofort und zuverlässig erkannt wird und andererseits diesbezüglich der gesamte Adressbereich des Speichermoduls möglichst gleichmäßig abgedeckt wird.
  • Diese Aufgabe wird durch eine Schaltungsanordnung mit den im Anspruch 1 angegebenen Merkmalen sowie durch ein hierauf bezogenes Verfahren zum Erfassen von Lichtattacken auf das nicht-flüchtige Speichermodul mit den im Anspruch 7 angegebenen Merkmalen gelöst. Vorteilhafte Ausgestaltungen und zweckmäßige Weiterbildungen der vorliegenden Erfindung sind in den jeweiligen Unteransprüchen gekennzeichnet.
  • Gemäß der Lehre der vorliegenden Erfindung wird mithin ein völlig neuartiger Ansatz zur Detektion, Erfassung und/oder Signalisierung von Licht(blitz)angriffen auf nichtflüchtige Speichermodule (sogenannte "N[on]V[olatile]-Memories) offenbart. Diese Methode kann auch als "flash attack watch dog" bezeichnet werden, wobei allgemein unter dem Begriff "watch dog" in diesem Zusammenhang eine Technik verstanden wird, die der zyklischen Überwachung von Geräten, von Verbindungen oder von Software dient.
  • Die vorliegende Erfindung beruht nun auf der Tatsache, dass die Schaltungsanordnung mindestens eine Überwachungseinrichtung (sogenannte "flash watch dog logic") aufweist, die stets dann, wenn gerade kein anderer Zugriff auf das Speichermodul stattfindet, dieses nicht-flüchtige Speichermodul mit abgeschaltetem Quellentransistor (sogenannter "source transistor") ausliest, und zwar mit mittels mindestens eines Zufallszahlengenerators zufallserzeugten Adressen, die in zweckmäßiger Weise möglichst gleichmäßig den gesamten Speicherbereich des Speichermoduls abdecken.
  • Zum Durchführen des vorstehend dargelegten Verfahrens wird die Schaltungsanordnung, und hierbei insbesondere die dem nicht-flüchtigen Speichermodul zugeordnete Schnittstellenlogik (sogenannte "interface logic"), erfindungsgemäß um die mindestens eine Überwachungseinrichtung (= sogenannte "flash watch dog logic") erweitert, die (nur) dann, wenn keine sonstigen Zugriffsanforderungen an das Speichermodul bestehen,
    • – mittels Testmodus-Interface den oder die Quellentransistoren des Speichermoduls außer Funktion setzt ("disabled") und
    • – in diesem Testmodus die Adressen des Speichermoduls zyklisch ausliest und mit dem jeweiligen Adresswert für unprogrammierte Zellen vergleicht.
  • Wenn nun der Wert der im Testmodus zyklisch aus dem Speichermodul ausgelesenen Adressen vom Erwartungs- oder Zielwert abweicht, löst die "flash watch dog logic" einen sofortigen Ausnahmezustand (sogenannte "immediate hardware exception") aus, die dann dem Betriebssystem (dem sogenannten O[perating]S[ystem]) eine detektierte Lichtattacke auf das Speichermodul anzeigt und meldet.
  • Stimmt hingegen der Wert der im Testmodus zyklisch aus dem Speichermodul ausgelesenen Adressen mit dem erwarteten Wert oder Erwartungswert überein, so liest die "flash watch dog logic" weitere Adressen des Speichermoduls, bis dieser Vorgang durch eine durch die C[entral]P[rocessing]U[nit] und/oder durch einen Co-Prozessor bewirkte Zugriffsanforderung, insbesondere Leseanforderung, an das Speichermodul unterbrochen wird (nachfolgend, auch in den Ansprüchen, soll der Begriff "C[entral] P[rocessing] U[nit]" stets für "C[entral]P[rocessing]U[nit] und/oder Co-Prozessor" stehen).
  • Der Fachmann auf dem Gebiet der Detektion von Licht(blitz)angriffen auf nicht-flüchtige Speichermodule wird im Hinblick auf die Schaltungsanordnung gemäß der vorliegenden Erfindung sowie im Hinblick auf das Verfahren gemäß der vorliegenden Erfindung insbesondere zu schätzen wissen, dass die Wahrscheinlichkeit, dass eine Licht(blitz)attacke während eines (Lese-)Zugriffs auf das Speichermodul nicht detektiert wird, sehr gering ist, denn die Dauer des Lichtblitzes bei einer Licht(blitz)attacke übersteigt mit sehr hoher Wahrscheinlichkeit die Ausführungsdauer mehrerer von der CPU kommender Instruktionen.
  • Gemäß einer besonders erfinderischen Weiterbildung wird durch das Auslesen des nichtflüchtigen Speichermoduls (N[on]V[olatile]-Memory-Moduls) im Testmodus, das heißt im "disabled state" des Quellentransistors des Speichermoduls, das Datum für die nichtleitende Speicherzelle erwartet. Dies bedeutet mit anderen Worten, dass ein von diesem Datum abweichender Wert in eindeutiger Weise auf eine äußere Beeinflussung der Leseeinheit oder der Speicherzelle hindeutet; eine auf das Speichermodul gerichtete Licht(blitz)attacke, die die Tastverstärker ("sense amplifier") durch Ladungszufuhr direkt beeinflusst und damit das aus dem Speichermodul gelesene Datum verändert, kann auf diese Weise sofort und zuverlässig detektiert werden.
  • Zur Erhöhung des Grades an Sicherheit vor Licht(blitz)angriffen kann in einer bevorzugten Ausgestaltung der vorliegenden Erfindung jeder Auslesezugriff (sogenannter "read access") auf das nicht-flüchtige Speichermodul vorab einmal mit ausgeschaltetem Quellentransistor des Speichermoduls geschehen, bevor der Auslesezugriff dann mit eingeschaltetem Quellentransistor erfolgt. Auf diese Weise ist eine Prüfung auf eine Licht(blitz)attacke vor jedem Zugriff auf das Speichermodul möglich (allerdings bei leicht erhöhter Zugriffszeit des Speichermoduls).
  • Zusammenfassend liegt der Vorteil der Schaltungsanordnung gemäß der vorliegenden Erfindung sowie des Verfahrens gemäß der vorliegenden Erfindung in der eindeutigen Erkennung einer Licht(blitz)attacke mit sofortiger Reaktion in Form der Signalisierung mindestens einer Ausnahme (sogenannte "exception"), und zwar gerade dann, wenn kein Zugriff auf das Speichermodul erfolgt. Durch die erfindungsgemäße Verwendung zufallserzeugter Adressen wird der gesamte Speicherbereich des Speichermoduls möglichst gleichmäßig abgedeckt, das heißt es werden insgesamt alle Adressbereiche des Speichermoduls erfasst.
  • Die vorliegende Erfindung betrifft des weiteren einen Mikrocontroller, insbesondere "embedded security controller", aufweisend mindestens eine Datenverarbeitungseinrichtung gemäß der vorstehend dargelegten Art. Dementsprechend kann die vorbeschriebene Methode in bevorzugter Weise zum Beispiel in alle SmartCard-Entwicklungen eingebaut werden.
  • Die vorliegende Erfindung betrifft schließlich die Verwendung mindestens einer Schaltungsanordnung gemäß der vorstehend dargelegten Art in mindestens einer Chipeinheit, insbesondere in mindestens einem "embedded security controller".
  • Wie bereits vorstehend erörtert, gibt es verschiedene Möglichkeiten, die Lehre der vorliegenden Erfindung in vorteilhafter Weise auszugestalten und weiterzubilden. Hierzu wird einerseits auf die dem Anspruch 1 sowie dem Anspruch 7 nachgeordneten An sprüche verwiesen, andererseits werden weitere Ausgestaltungen, Merkmale und Vorteile der vorliegenden Erfindung nachstehend anhand des durch 1 veranschaulichten Ausführungsbeispiels näher erläutert.
  • Es zeigt:
  • 1 in schematischer Blockdarstellung ein Ausführungsbeispiel für eine Schaltungsanordnung gemäß der vorliegenden Erfindung, mittels derer das Verfahren gemäß der vorliegenden Erfindung durchgeführt werden kann.
  • In 1 ist ein Ausführungsbeispiel einer Schaltungsanordnung 100 zur elektronischen Datenverarbeitung dargestellt; im speziellen ist die Schaltungsanordnung 100 zur Verwendung in einem Mikrocontroller der Art "embedded security controller" vorgesehen.
  • Diese Schaltungsanordnung 100 weist ein mehrkomponentiges nicht-flüchtiges Speichermodul 10 (sogenanntes "N[on]V[olatile]-Memory") auf, das als E[lectrical] E[rasable] P[rogrammable]R[ead]O[nly]M[emory] ausgebildet ist und mittels dessen Daten gespeichert werden können.
  • Diesem N[on]V[olatile]-Speichermodul 10 ist eine Schnittstellenlogik 20 zugeordnet, mittels derer
    • – das Speichermodul 10 adressiert werden kann (→ Bezugszeichen 210a: Adressdaten "ADDR(a:0)" von der Schnittstellenlogik 20 zum Speichermodul 10),
    • – das Speichermodul 10 beschrieben werden kann (→ Bezugszeichen 210w: Signaldaten "DIN(d:0)" von der Schnittstellenlogik 20 zum Speichermodul 10) und
    • – das Speichermodul 10 ausgelesen werden kann (→ Bezugszeichen 120r: Signaldaten "DOUT(d:0)" vom Speichermodul 10 zur Schnittstellenlogik 20).
  • Die Besonderheit der Schaltungsanordnung 100 gemäß 1 ist nun darin zu sehen, daß der Schnittstellenlogik 20 eine zum Überwachen des Speichermoduls 10 vorgesehene Überwachungseinrichtung 22 zugeordnet ist, mittels derer ein Bestrahlen des Speichermoduls 10 mit einer Lichtquelle (sogenannte "Lichtattacke") in einem Testmodus T, in dem kein Lesezugriff auf das Speichermodul 10 erfolgt, detektiert und erfasst sowie signalisiert werden kann.
  • Hierzu ist der Überwachungseinrichtung 22
    • – mindestens eine Timer-/Taktgebereinheit 30 zum Bereitstellen regulärer zeitlicher Intervalle bzw. Taktsignale (→ Bezugszeichen 320) für ein zyklisches Betreiben der Überwachungseinrichtung 22 sowie
    • – mindestens ein Zufallszahlengenerator 40 zum Erzeugen von Zufallszahlen (→ Bezugszeichen 420) für die Überwachungseinrichtung 22
    zugeordnet.
  • Der Zusammenhang zwischen der Überwachungseinrichtung 22 und dem Zufallszahlengenerator 40 ist gemäß dem Ausführungsbeispiel aus 1 über eine Adressierungsmultiplexeinheit 24 gegeben, die in der Überwachungseinrichtung 22 integriert ist und zwei Eingänge aufweist, nämlich
    • – einen für den Normalmodus N bestimmten Eingang für von einer C[entral] P[rocessing]U[nit] kommende Adressdaten "CPU NV addr" (→ Bezugszeichen C20a) und
    • – einen für den Testmodus T bestimmten Eingang für vom Zufallszahlengenerator 40 kommende Zufallsadressdaten (→ Bezugszeichen 420), das heißt der Testmodus-Eingang empfängt vom Zufallszahlengenerator 40 generierte Zufallszahlen für eine Speichermodulzufallsadressierung.
  • Dementsprechend dient die Adressierungsmultiplexeinheit 24 zum Schalten zwischen der beim Zugriff auf das Speichermodul 10 von der CPU kommenden Speichermoduladressierung (= Normalmodus N) und der beim Überwachen des Speichermoduls 10 mittels des Zufallszahlengenerators 40 erzeugten Speichermodulzufallsadressierung (= Testmodus T); in Abhängigkeit davon, ob gerade der Normalmodus N oder der Testmodus T aktiviert ist, wird die von der CPU kommende Speichermoduladressierung (→ Normalmodus N) oder die mittels des Zufallszahlengenerators 40 erzeugte Speichermodulzufallsadressierung (→ Testmodus T) als Adressdaten 210a zum Speichermodul 10 übermittelt.
  • Des weiteren ist in der Überwachungseinrichtung 22 eine Zugriffsmultiplexeinheit 26 angeordnet, die mit ihrem Eingang die Signaldaten 120r vom Speichermodul 10 aufnimmt. Die Zugriffsmultiplexeinheit 26 weist zwei Ausgänge auf, nämlich
    • – einen für den Normalmodus N bestimmten Ausgang zum Verbinden mit der CPU (→ Bezugszeichen 20Cr) und
    • – einen für den Testmodus 7 bestimmten Ausgang zum Verbinden mit einer Mustererfassungseinheit 28.
  • Dementsprechend dient die Zugriffsmultiplexeinheit 26 zum Schalten der beim Auslesen aus dem Speichermodul 10 kommenden Signaldaten zwischen der Verbindung zur CPU und der zum Vergleichen der Zufallsadresswerte des Speichermoduls 10 mit Adresswerten unprogrammierter Speicherzellen vorgesehenen Mustererfassungseinheit 28. Durch diese Mustererfassungseinheit 28 wird im Falle fehlender Übereinstimmung der zu vergleichenden Adresswerte, das heißt im Falle eines detektierten Licht(blitz)angriffs ein Ausnahmezustand E [sogenannte "hardware exception"] ausgelöst.
  • Wie vorstehend bereits angedeutet, sind bei der verfahrensmäßigen Funktion der Schaltungsanordnung 100 gemäß 1 also zwei Betriebszustände zu unterscheiden:
    • (i) Normalmodus N bei eingeschaltetem Quellentransistor des Speichermoduls 10 (Testmodusdaten "DAW = 0"; vgl. Bezugszeichen 210t), das heißt in den zeitlichen Intervallen, in denen ein Auslesezugriff auf das Speichermodul 10 erfolgt, wird
    • – die Speichermoduladressierung in der Adressierungsmultiplexeinheit 24 sowie die Verbindung zur CPU in der Zugriffsmultiplexeinheit 26 geschaltet;
    • (ii) Testmodus T oder "flash attack detect mode" bei ausgeschaltetem Quellentransistor des Speichermoduls 10 (Testmodusdaten "DAW = 1 "; vgl. Bezugszeichen 210t), das heißt in den zeitlichen Intervallen, in denen kein Auslesezugriff auf das Speichermodul 10 erfolgt, wird
    • – die Speichermodulzufallsadressierung in der Adressierungsmultiplexeinheit 24 sowie
    • – die Mustererfassungseinheit 28 in der Zugriffsmultiplexeinheit 26 geschaltet.
  • Mithin besteht der Kern der vorliegenden Erfindung darin, daß mittels der Schaltungsanordnung 100 gemäß 1 ein Verfahren zum Detektieren, Erfassen und Signalisieren des Bestrahlens des nicht-flüchtigen Speichermoduls 10 mit einer Lichtquelle (sogenannte "Lichtattacke" auf das nicht-flüchtige Speichermodul 10) durchgeführt werden kann, wobei in regulären, durch das zyklische Timer-/Taktgebersignal "slowclk" (→ Bezugszeichen 320) von der Timer-/Taktgebereinheit 30 ausgelösten Zeitperioden das Speichermodul 10 im Testmodus T (↔ DAW = 1; vgl. Bezugszeichen 210t) mit einer Zufallsadresse ausgelesen wird, die von der Schnittstellenlogik 20 über die Zufallsadressierung "RND(r:0)" (→ Bezugszeichen 420) generiert wird.
  • Der Wert der aus dem Speichermodul 10 im Testmodus T (↔ DAW = 1; vgl. Bezugszeichen 210t) ausgelesenen Daten wird dann durch die Mustererfassungseinheit 28 überprüft und mit dem spezifischen Erwartungs- oder Zielwert des jeweils eingesetzten Typs des Speichermoduls 10 verglichen. Wenn das ausgelesene Datum um zumindest ein Bit vom Erwartungs- oder Zielwert des jeweils eingesetzten Typs des Speichermoduls 10 differiert, wird von der Mustererfassungseinheit 28 ein Ausnahmezustand E (sogenannte "hardware exception") ausgelöst, um eine unmittelbare Reaktion der CPU auf die Licht(blitz)attacke zu veranlassen.
    • 100
    Schaltungsanordnung zur elektronischen Datenverarbeitung
    10
    nicht-flüchtiges Speichermodul oder N[on]V[olatile]-Memory
    20
    Schnittstellenlogik
    22
    Überwachungseinrichtung
    24
    Adressierungsmultiplexeinheit
    26
    Zugriffsmultiplexeinheit
    28
    Mustererfassungseinheit
    30
    Timer-/Taktgebereinheit
    40
    Zufallszahlengenerator
    210a
    Adressdaten "ADDR(a:0)" von der Schnittstellenlogik 20 zum Speichermodul 10
    120r
    Signaldaten "DOUT(d:0)" vom Speichermodul 10 zur Schnittstellenlogik 20
    210t
    Testmodusdaten "DAW" von der Schnittstellenlogik 20 zum Speichermodul 10
    210w
    Signaldaten "DIN(d:0)" von der Schnittstellenlogik 20 zum Speichermodul 10
    320
    insbesondere zyklisches Timer-/Taktgebersignal "slowclk" von der Timer-
    /Taktgebereinheit 30 zur Schnittstellenlogik 20
    420
    Zufallszahlensignal "RND(r:0)" vom Zufallszahlengenerator 40 zur
    Schnittstellenlogik 20
    C20a
    Adressdaten "CPU NV addr" von der CPU zur Schnittstellenlogik 20
    20Cr
    Signaldaten "CPU NV read data" von der Schnittstellenlogik 20 zur CPU
    C20w
    Signaldaten "CPU NV write data" von der CPU zur Schnittstellenlogik 20
    E
    Ausnahmezustand ["hardware exception"]
    N
    Normal(lese)modus ["normal (read) mode"] bei Testmodusdatum DAW = 0
    T
    Testmodus ["test mode"] bei Testmodusdatum DAW = 1

Claims (10)

  1. Schaltungsanordnung (100) zur elektronischen Datenverarbeitung – mit mindestens einem nicht-flüchtigen Speichermodul (10) zum Speichern von Daten; und – mit mindestens einer dem Speichermodul (10) zugeordneten Schnittstellenlogik (20) – zum Adressieren des Speichermoduls (10) sowie – zum Schreiben der Daten auf das Speichermodul (10) bzw. – zum Auslesen der Daten aus dem Speichermodul (10), dadurch gekennzeichnet, dass der Schnittstellenlogik (20) mindestens eine zum Überwachen des Speichermoduls (10) vorgesehene Überwachungseinrichtung (22) zugeordnet ist, mittels derer ein Bestrahlen des Speichermoduls (10) mit mindestens einer Lichtquelle [sogenannte "Lichtattacke"] in einem Testmodus (T), in dem kein Schreib- bzw. Auslesezugriff auf das Speichermodul (10) erfolgt, detektierbar und/oder erfassbar und/oder signalisierbar ist.
  2. Schaltungsanordnung gemäß Anspruch 1, dadurch gekennzeichnet, dass der Überwachungseinrichtung (22) – mindestens eine Timer-/Taktgebereinheit (30) zum Bereitstellen regulärer zeitlicher Intervalle bzw. Taktsignale für die Überwachungseinrichtung (22) sowie – mindestens ein Zufallszahlengenerator (40) zum Erzeugen von Zufallszahlen für die Überwachungseinrichtung (22) zugeordnet ist.
  3. Schaltungsanordnung gemäß Anspruch 2, dadurch gekennzeichnet, dass die Überwachungseinrichtung (22) – mindestens eine Adressierungsmultiplexeinheit (24) zum Schalten zwischen mindestens einer beim Zugriff auf das Speichermodul (10) von mindestens einer C[entral] P[rocessing]U[nit] kommenden Speichermoduladressierung und mindestens einer beim Überwachen des Speichermoduls (10) mittels des Zufallszahlengenerators (40) erzeugten Speichermodulzufallsadressierung sowie – mindestens eine Zugriffsmultiplexeinheit (26) zum Schalten der beim Auslesen aus dem Speichermodul (10) kommenden Signaldaten zwischen mindestens einer Verbindung zur C[entral] P[rocessing]U[nit] und mindestens einer zum Vergleichen der Zufallsadresswerte des Speichermoduls (10) mit Adresswerten unprogrammierter Speicherzellen vorgesehenen Mustererfassungseinheit (28), durch die im Falle fehlender Übereinstimmung der zu vergleichenden Adresswerte mindestens ein Ausnahmezustand (E) [sogenannte "hardware exception"] auslösbar ist, aufweist.
  4. Schaltungsanordnung gemäß Anspruch 3, dadurch gekennzeichnet, dass – in den zeitlichen Intervallen, in denen ein Auslesezugriff auf das Speichermodul (10) erfolgt [sogenannter Normalmodus (N) bei mindestens einem eingeschalteten Quellentransistor des Speichermoduls (10)], – in der Adressierungsmultiplexeinheit (24) die Speichermoduladressierung sowie – in der Zugriffsmultiplexeinheit (26) die Verbindung zur C[entral] P[rocessing] U[nit] und – in den zeitlichen Intervallen, in denen kein Schreib- bzw. Auslesezugriff auf das Speichermodul (10) erfolgt [sogenannter Testmodus (T) oder "flash attack detect mode" bei ausgeschaltetem Quellentransistor des Speichermoduls (10)], – in der Adressierungsmultiplexeinheit (24) die Speichermodulzufallsadressierung sowie – in der Zugriffsmultiplexeinheit (26) die Mustererfassungseinheit (28) geschaltet ist.
  5. Schaltungsanordnung gemäß mindestens einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass das Speichermodul (10) – als mindestens ein E[rasable] P[rogrammable]R[ead]O[nly]M[emory], – als mindestens ein E[lectrical]E[rasable]P[rogrammable]R[ead]O[nly] M[emory] oder – als mindestens ein Flash-Speicher ausgebildet ist.
  6. Mikrocontroller, insbesondere "embedded security controller", aufweisend mindestens eine Schaltungsanordnung gemäß mindestens einem der Ansprüche 1 bis 5.
  7. Verfahren zum Detektieren und/oder zum Erfassen und/oder zum Signalisieren des Bestrahlens mindestens eines nicht-flüchtigen Speichermoduls (10) mit mindestens einer Lichtquelle [sogenannte "Lichtattacke" auf das nicht-flüchtige Speichermodul (10)], dadurch gekennzeichnet, dass das Speichermodul (10) in einem Testmodus (T), in dem kein Schreib- bzw. Auslesezugriff auf das Speichermodul (10) erfolgt, mittels mindestens einer mindestens einer Schnittstellenlogik (20) zugeordneten Überwachungseinrichtung (22) auf Lichtattacken überwacht wird.
  8. Verfahren gemäß Anspruch 7, dadurch gekennzeichnet, dass im Testmodus (T) zum Überwachen des Speichermoduls (10) – mittels mindestens einer Speichermodulzufallsadressierung generierte Zufallsadresswerte des Speichermoduls (10) mit Adresswerten unprogrammierter Speicherzellen verglichen werden und – im Falle fehlender Übereinstimmung der zu vergleichenden Adresswerte mindestens ein Ausnahmezustand (E) [sogenannte "hardware exception"] ausgelöst wird.
  9. Verfahren gemäß Anspruch 7 oder 8, dadurch gekennzeichnet, dass vor jedem Auslesezugriff auf das Speichermodul (10) [sogenannter Normallesezustand (N) bei mindestens einem eingeschalteten Quellentransistor des Speichermoduls (10)] die Überwachungseinrichtung (22) mindestens einmal aktiviert wird [sogenannter Testmodus (T) oder "flash attack detect mode" bei ausgeschaltetem Quellentransistor des Speichermoduls (10)].
  10. Verwendung mindestens einer Schaltungsanordnung (100) gemäß mindestens einem der Ansprüche 1 bis 5 in mindestens einer Chipeinheit, insbesondere in mindestens einem "embedded security controller".
DE10254659A 2002-11-22 2002-11-22 Schaltungsanordnung mit nicht-flüchtigem Speichermodul und Verfahren zum Erfassen von Lichtattacken auf das nicht-flüchtige Speichermodul Withdrawn DE10254659A1 (de)

Priority Applications (9)

Application Number Priority Date Filing Date Title
DE10254659A DE10254659A1 (de) 2002-11-22 2002-11-22 Schaltungsanordnung mit nicht-flüchtigem Speichermodul und Verfahren zum Erfassen von Lichtattacken auf das nicht-flüchtige Speichermodul
AU2003278528A AU2003278528A1 (en) 2002-11-22 2003-11-13 Circuit arrangement with non-volatile memory module and method for registering light-attacks on the non-volatile memory module
US10/536,302 US7232983B2 (en) 2002-11-22 2003-11-13 Circuit arrangement with non-volatile memory module and method for registering light-attacks on the non-volatile memory module
AT03769828T ATE426237T1 (de) 2002-11-22 2003-11-13 Schaltungsanordnung mit nichtfluchtigem speichermodul und verfahren zum registrieren von lichtattacken an dem nichtfluchtigen speichermodul
JP2004554783A JP2006507592A (ja) 2002-11-22 2003-11-13 不揮発性メモリモジュールを備えた回路配置と不揮発性メモリモジュール上の光攻撃を記録する方法
CN200380103955XA CN1714408B (zh) 2002-11-22 2003-11-13 电路装置和用于记录光冲击的方法
PCT/IB2003/005148 WO2004049349A2 (en) 2002-11-22 2003-11-13 Circuit arrangement with non-volatile memory module and method for registering light-attacks on the non-volatile memory module
DE60326750T DE60326750D1 (de) 2002-11-22 2003-11-13 Schaltungsanordnung mit nichtflüchtigem speichermodul und verfahren zum registrieren von lichtattacken an dem nichtflüchtigen speichermodul
EP03769828A EP1565915B1 (de) 2002-11-22 2003-11-13 Schaltungsanordnung mit nichtflüchtigem speichermodul und verfahren zum registrieren von lichtattacken an dem nichtflüchtigen speichermodul

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE10254659A DE10254659A1 (de) 2002-11-22 2002-11-22 Schaltungsanordnung mit nicht-flüchtigem Speichermodul und Verfahren zum Erfassen von Lichtattacken auf das nicht-flüchtige Speichermodul

Publications (1)

Publication Number Publication Date
DE10254659A1 true DE10254659A1 (de) 2004-06-03

Family

ID=32240321

Family Applications (2)

Application Number Title Priority Date Filing Date
DE10254659A Withdrawn DE10254659A1 (de) 2002-11-22 2002-11-22 Schaltungsanordnung mit nicht-flüchtigem Speichermodul und Verfahren zum Erfassen von Lichtattacken auf das nicht-flüchtige Speichermodul
DE60326750T Expired - Lifetime DE60326750D1 (de) 2002-11-22 2003-11-13 Schaltungsanordnung mit nichtflüchtigem speichermodul und verfahren zum registrieren von lichtattacken an dem nichtflüchtigen speichermodul

Family Applications After (1)

Application Number Title Priority Date Filing Date
DE60326750T Expired - Lifetime DE60326750D1 (de) 2002-11-22 2003-11-13 Schaltungsanordnung mit nichtflüchtigem speichermodul und verfahren zum registrieren von lichtattacken an dem nichtflüchtigen speichermodul

Country Status (8)

Country Link
US (1) US7232983B2 (de)
EP (1) EP1565915B1 (de)
JP (1) JP2006507592A (de)
CN (1) CN1714408B (de)
AT (1) ATE426237T1 (de)
AU (1) AU2003278528A1 (de)
DE (2) DE10254659A1 (de)
WO (1) WO2004049349A2 (de)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7539588B2 (en) * 2002-06-28 2009-05-26 Nxp B.V. Data carrier with detection means for detecting a change made of information stored with storing means
DE102005036738A1 (de) 2005-08-04 2007-02-08 Giesecke & Devrient Gmbh Absicherung von Speicherinhalten eines Datenträgers
US20080235796A1 (en) * 2005-08-19 2008-09-25 Nxp B.V. Circuit Arrangement with Non-Volatile Memory Module and Method for Registering Attacks on Said Non-Volatile Memory Switch
US8583880B2 (en) 2008-05-15 2013-11-12 Nxp B.V. Method for secure data reading and data handling system
FR2989504B1 (fr) * 2012-04-12 2014-04-25 St Microelectronics Rousset Registre protege contre des attaques par injection de fautes
WO2015009306A1 (en) * 2013-07-18 2015-01-22 Empire Technology Development, Llc Memory attack detection
EP3057027B1 (de) * 2015-02-16 2018-06-13 Nxp B.V. Verfahren zum sicheren Lesen von Daten, Computerprogrammprodukt und Datenhandhabungssystem
CN108073805A (zh) * 2016-11-15 2018-05-25 华为技术有限公司 一种数据读取方法和存储器
CN112799974B (zh) * 2021-01-26 2021-12-03 科东(广州)软件科技有限公司 一种存储卡的控制方法及***

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5053992A (en) * 1990-10-04 1991-10-01 General Instrument Corporation Prevention of inspection of secret data stored in encapsulated integrated circuit chip
FR2668274B1 (fr) * 1990-10-19 1992-12-31 Gemplus Card Int Circuit integre a securite d'acces amelioree.
DE19601390C2 (de) * 1996-01-16 1998-07-16 Siemens Ag Mikrochip
DE10101995A1 (de) 2001-01-18 2002-07-25 Philips Corp Intellectual Pty Schaltungsanordnung und Verfahren zum Schützen mindestens einer Chipanordnung vor Manipulation und/oder vor Mißbrauch

Also Published As

Publication number Publication date
WO2004049349A2 (en) 2004-06-10
EP1565915A2 (de) 2005-08-24
AU2003278528A1 (en) 2004-06-18
DE60326750D1 (de) 2009-04-30
EP1565915B1 (de) 2009-03-18
CN1714408B (zh) 2012-07-18
WO2004049349A3 (en) 2004-07-29
ATE426237T1 (de) 2009-04-15
US7232983B2 (en) 2007-06-19
CN1714408A (zh) 2005-12-28
US20060011816A1 (en) 2006-01-19
JP2006507592A (ja) 2006-03-02

Similar Documents

Publication Publication Date Title
DE102006001873B4 (de) Vorrichtung und Verfahren zum Überprüfen einer Fehlererkennungsfunktionalität einer Speicherschaltung
DE60306510T2 (de) Verfahren zum Speichern von Daten in nicht-flüchtigen Speichern
DE19782077B4 (de) Verfahren und Vorrichtung zum Korrigieren eines Mehrpegelzellenspeichers durch Verwendung fehlerlokalisierender Codes
DE60131549T2 (de) Komprimiertes ereigniszählverfahren und seine anwendung an einem flash-speichersystem
EP1089219B1 (de) Verfahren zur Sicherung eines Datenspeichers
DE2225841C3 (de) Verfahren und Anordnung zur systematischen Fehlerprüfung eines monolithischen Halbleiterspeichers
DE3128729A1 (de) Halbleiter-speichersystem
DE10254659A1 (de) Schaltungsanordnung mit nicht-flüchtigem Speichermodul und Verfahren zum Erfassen von Lichtattacken auf das nicht-flüchtige Speichermodul
DE10254325A1 (de) Elektronisches Speicherbauteil
EP1246033A1 (de) Verfahren zur Überwachung konsistenter Speicherinhalte in redundanten Systemen
EP1913478B1 (de) Mikroprozessorsystem zur steuerung bzw. regelung von zumindest zum teil sicherheitskritischen prozessen
DE10120670B4 (de) Verfahren zur Reparatur von Hardwarefehlern in Speicherbausteinen
EP1444700B1 (de) Speichertest
DE69722706T2 (de) Datensicherungsvorrichtung eines Halbleiterspeichers
DE102006036384A1 (de) Mikroprozessorsystem zur Steuerung bzw. Regelung von zumindest zum Teil sicherheitskritischen Prozessen
DE102005016051B4 (de) Speicherüberprüfungsvorrichtung und Verfahren zum Überprüfen eines Speichers
WO2007071590A1 (de) Verfahren zur erkennung einer versorgungsunterbrechung in einem datenspeicher und zur wiederherstellung des datenspeichers
DE102009055390B4 (de) Vorrichtung und Verfahren zum Schreiben von Daten, die zu speichern sind, in einen vorbestimmten Speicherbereich
DE60309506T2 (de) Elektronisches speicherbauelement oder speichermodul, und verfahren zum betreiben desselben
DE10146931B4 (de) Verfahren und Anordnung zum Ersetzen fehlerhafter Speicherzellen in Datenverarbeitungsvorrichtungen
DE102009031310B4 (de) Speichersystem, Leseverstärker, Verwendung und Verfahren zur Fehlerdetektion mittels Parity-Bits eines Blockcodes
DE102017116280B4 (de) Speicheranordnung
EP2002446B1 (de) Verfahren zum betreiben einer speichereinrichtung mit markierung von als fehlerhaft erkannten speicherblöcken
DE102022102412A1 (de) Störungsdetektion für einen elektronischen Verarbeitungsschaltkreis mit einer arithmetisch-logischen Einheit
DE10158204B4 (de) Programmierverfahren für eine EEPROM-Speichereinrichtung und Schaltung mit einer EEPROM-Speichereinrichtung

Legal Events

Date Code Title Description
8139 Disposal/non-payment of the annual fee