專利名稱:數(shù)據(jù)存儲裝置����、電源控制方法�����、以及通信裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及數(shù)據(jù)存儲裝置����、電源控制方法����、以及通信裝置,更 具體地���,涉及用于物理提高防篡改性的數(shù)據(jù)存儲裝置�����、電源控制方 法�、以及通信裝置��。
背景技術(shù):
近年來�����,可通過設(shè)置用于監(jiān)控?fù)p壞行為(tampering action )(例 如,打開和破壞殼體)的監(jiān)控電路來保護存儲在存儲器中的數(shù)據(jù)的 裝置(例如����,參見日本未審查專利申誚^>開第2005-56439號)已經(jīng) 得到了廣泛應(yīng)用。
這種裝置均可以包括用于監(jiān)控電路的后備電源(例如�,電池), 使得即使主電源處于關(guān)閉(OFF)狀態(tài)��,也能監(jiān)控?fù)p壞行為���。
發(fā)明內(nèi)容
當(dāng)設(shè)置了用于監(jiān)控電路的后備電源時�,存在這樣的可能性在 去除了后備電源以停止監(jiān)控電路的運行之后�����,可以截取和篡改數(shù)據(jù)���。
考慮到上述情況提出了本發(fā)明��。期望可以物理提高防篡改性�����。
根據(jù)本發(fā)明第一實施例的數(shù)據(jù)存儲裝置包括存儲器���;監(jiān)控裝 置,用于監(jiān)控對于存儲在存儲器中的數(shù)據(jù)的未授權(quán)行為����;第一電源, 用于向監(jiān)控裝置供電�;以及蓄電裝置,用于當(dāng)停止從第一電源向監(jiān) 控裝置供電時向監(jiān)控裝置供電����,蓄電裝置在從第一電源向監(jiān)控裝置 供電的同時充電。
存儲器可以是易失性的��,并且第 一 電源還可以向存儲器供電�����。
根據(jù)第一實施例的數(shù)據(jù)存儲裝置還可以包括供電控制裝置���。當(dāng) 停止從第 一 電源向存儲器供電時����,蓄電裝置還可以向存儲器供電�, 并且當(dāng)停止從第一電源向存儲器供電之后經(jīng)過了預(yù)定時間時�,供電 控制裝置可以停止從蓄電裝置向存儲器供電���。
根據(jù)第一實施例的數(shù)據(jù)存儲裝置還包括用于向監(jiān)控裝置提供 電能的第二電源�。第一電源可以是當(dāng)?shù)诙娫搓P(guān)閉時向監(jiān)控裝置提 供電能的后備電源����,并且蓄電裝置可以通過第一電源和第二電源中 的一個充電。
第一電源可以是電池�����,并且蓄電裝置可以是電容器�。
才艮據(jù)本發(fā)明第二實施例的用于數(shù)據(jù)存儲裝置的電源控制方法, 該數(shù)據(jù)存儲裝置包括存儲器和用于監(jiān)控對于存儲在存儲器中的數(shù) 據(jù)的未授權(quán)行為的監(jiān)控裝置��,該方法包括以下步驟在從電源向監(jiān)
控裝置供電的同時對包括在數(shù)據(jù)存儲裝置中的蓄電裝置充電�����;以及 當(dāng)停止從電源向監(jiān)控裝置供電時��,從蓄電裝置向監(jiān)控裝置供電���。
根據(jù)本發(fā)明第三實施例的用于與具有非接觸集成電路卡功能 的裝置進行通信的通信裝置�,包括存儲器,用于存儲從具有非接 觸集成電路卡功能的裝置中讀取的數(shù)據(jù)���;監(jiān)控裝置�,用于監(jiān)控對于 存儲在存儲器中的數(shù)據(jù)的未授權(quán)行為�����;電源���,用于向監(jiān)控裝置供電; 以及蓄電裝置��,用于當(dāng)停止從電源向監(jiān)控裝置供電時向監(jiān)控裝置供 電�,蓄電裝置在從電源向監(jiān)控裝置供電的同時充電。
在本發(fā)明的第 一 和第二實施例中�,在乂人電源向監(jiān)控裝置供電的 同時,對蓄電裝置充電�,并且當(dāng)停止從電源向監(jiān)控裝置供電時,蓄 電裝置向監(jiān)控裝置供電��。
在本發(fā)明的第三實施例中�,在從電源向監(jiān)控裝置供電的同時, 對蓄電裝置充電,并且當(dāng)停止從電源向監(jiān)控裝置供電時����,蓄電裝置 向監(jiān)控裝置供電。
根據(jù)本發(fā)明的第一��、第二����、和第三實施例,可以將電能提供給 用于監(jiān)控對于存儲在存儲器中的數(shù)據(jù)的未授權(quán)行為的監(jiān)控裝置�����。另 外�����,才艮據(jù)本發(fā)明的第一��、第二��、和第三實施例����,可以物理地l是高防 篡改性�����。
圖1是示出了根據(jù)本發(fā)明實施例的讀取器-寫入器的方框圖2是示出了圖1所示控制模塊的結(jié)構(gòu)實例的截面圖3是圖2所示的一個保護基板的一個表面的結(jié)構(gòu)實例的示
圖4是圖2所示的一個保護基板的其他表面的結(jié)構(gòu)實例的示
圖5是示出了圖1所示的控制模塊的功能結(jié)構(gòu)的方框圖6是示出了圖5所示的隨枳4"lT出單元的功能結(jié)構(gòu)的方?jīng)_匡
圖7是示出了圖5所示的總線置亂單元的功能結(jié)構(gòu)的詳細(xì)框
圖8是示出了圖5所示的一個篡改監(jiān)控電路的結(jié)構(gòu)實例的電路
圖9是示出了圖5所示的一個篡改監(jiān)控電路的運行實例的時序
圖IO是示出了圖5所示的電源控制器的結(jié)構(gòu)實例的電路圖11是示出了圖5所示的電源控制器的運行實例的時序圖12是示出了由圖1所示的讀取器-寫入器執(zhí)行的置亂密鑰生 成處理的流^I圖13是示出了由圖1所示的讀取器-寫入器執(zhí)行的存儲器存取 控制處理的流禾呈圖�;以及
圖14是示出了由圖1所示的讀取器-寫入器執(zhí)行的損壞行為監(jiān) 控處理的流程圖��。
具體實施例方式
在描述本發(fā)明的實施例之前�,以下討論權(quán)利要求的特征和本發(fā) 明實施例中公開的具體元件之間的對應(yīng)關(guān)系。這些描述旨在保證在 本說明書中描述支持所要求的發(fā)明的實施例����。因而�����,即使在隨后實 施例中的元件沒有^皮描述為與本發(fā)明的某一特征相關(guān)��,也不一定表 示該元件與權(quán)利要求的該特征不相關(guān)����。相反地,即使本文中將某元 件描述為與權(quán)利要求的某一特征相關(guān)�,也不一定表示該元件與權(quán)利 要求的其他特征不相關(guān)。
根據(jù)本發(fā)明第一實施例的數(shù)據(jù)存儲裝置(例如����,圖1所示的控
制模塊13)包括存儲器(例如��,圖5所示的RAM171);監(jiān)控裝 置(例如���,圖5所示的篡改監(jiān)控電路105-1 - 105-6),用于監(jiān)控對 于存儲在存儲器中的數(shù)據(jù)的未授權(quán)行為;第一電源(例如��,圖10 所示的電池351),用于向監(jiān)控裝置供電��;以及蓄電裝置(例如�����,圖 10所示的電容器355)���,用于當(dāng)停止從第一電源向監(jiān)控裝置供電時 將向監(jiān)控裝置供電����,蓄電裝置在從第 一電源向監(jiān)控裝置供電的同時 充電����。
根據(jù)第一實施例的數(shù)據(jù)存儲裝置還包括電源控制裝置(例如, 圖10所示的電池電壓才企測器358)�。當(dāng)停止/人第一電源向存儲器供 電時����,蓄電裝置還可以向存儲器供電�,并且當(dāng)停止從第一電源向存 儲器供電之后經(jīng)過了預(yù)定時間時,供電控制裝置可以停止從蓄電裝 置向存儲器供電�����。
根據(jù)第一實施例的數(shù)據(jù)存儲裝置還包括用于向監(jiān)控裝置提供 電能的第二電源(例如�,圖1所示的主電源14)。第一電源可以是 當(dāng)?shù)诙娫搓P(guān)閉時向監(jiān)控裝置提供電能的后備電源��,并且蓄電裝置 可以通過第一電源和第二電源中的一個充電�。
根據(jù)本發(fā)明第二實施例的用于數(shù)據(jù)存儲裝置(例如,圖1所示
的控制模塊13)的電源控制方法���,該數(shù)據(jù)存儲裝置包括存儲器(例 如,圖5所示的RAM 171)和用于監(jiān)控對于存儲在存儲器中的數(shù)據(jù) 的未授權(quán)行為的監(jiān)控裝置(例如����,圖5所示的篡改監(jiān)控電路105-1 ~ 105-6),該方法包括以下步驟在從電源(例如��,圖IO所示的電池 351 )向監(jiān)控裝置供電的同時對包括在數(shù)據(jù)存儲裝置中的蓄電裝置 (例如�����,圖10所示的電容器355)充電;以及當(dāng)停止乂人電源向監(jiān)控 裝置供電時�����,從蓄電裝置向監(jiān)控裝置供電��。
根據(jù)本發(fā)明第三實施例的用于與具有非接觸集成電路卡功能 的裝置(例如���,圖1所示的IC卡2 )進4亍通信的通信裝置(例如���, 圖1所示的讀取器-寫入器1),包括存儲器(例如,圖5所示的 RAM 171)��,用于存儲從具有非接觸集成電路卡功能的裝置中讀取 的數(shù)據(jù)�;監(jiān)控裝置(例如,圖5所示的篡改監(jiān)控電路105-1 ~ 105-6 ), 用于監(jiān)控對于存儲在存儲器中的數(shù)據(jù)的未授權(quán)行為�;電源(例如, 圖10所示的電池351),用于向監(jiān)控裝置供電�����;以及蓄電裝置(例 如����,圖10所示的電容器355),用于當(dāng)停止從電源向監(jiān)控裝置供電 時向監(jiān)控裝置供電����,蓄電裝置在從電源向監(jiān)控裝置供電的同時充 電��。
以下���,參照附圖描述本發(fā)明的實施例�����。
圖l是示出了應(yīng)用了本發(fā)明實施例的讀取器-寫入器l的實例的 方框圖��。讀取器-寫入器l包括天線ll�、 RF (射頻)驅(qū)動基板12���、 控制才莫塊13、以及主電源14���。
RF驅(qū)動基板12經(jīng)由天線11通過使用具有單一頻率的載波來 執(zhí)行與非接觸型IC (集成電路)卡2的電磁感應(yīng)鄰近通信���。作為由 RF驅(qū)動基板12使用的載波頻率�����,例如��,可以使用13.56 MHz (兆 赫)的ISM(工業(yè)���、科學(xué)與醫(yī)學(xué))頻帶等。鄰近通信表示當(dāng)兩個裝
置之間的距離在幾十厘米內(nèi)時����,其可以彼此進行通信的通信。鄰近 通信包括為了使兩個裝置(的殼體)彼此接觸而執(zhí)行的一種通信類型���。
控制模塊13執(zhí)行用于使用IC卡2來實現(xiàn)業(yè)務(wù)的處理�����。如果需 要��,控制模塊13通過天線11和RF驅(qū)動基板12將用于業(yè)務(wù)的數(shù)據(jù) 寫到IC卡2上以及從IC卡2上讀取用于業(yè)務(wù)的數(shù)據(jù)���。另外,控制 才莫塊13可以并行地執(zhí)行用于多種業(yè)務(wù)類型的處理。具體地���,讀取 器-寫入器1可以使用非接觸型IC卡2來單獨地提供多種業(yè)務(wù)����,例 如�����,電子貨幣業(yè)務(wù)�、預(yù)付卡業(yè)務(wù)、以及用于各種交通工具的票卡業(yè) 務(wù)�。
主電源14提供使RF驅(qū)動基板12和控制模塊13工作所需的電能。
圖2是示出了控制模塊13的結(jié)構(gòu)實例的截面圖�。
形成控制模塊13,以使主基板32和保護基^反33 ~ 36設(shè)置在長 方體的殼體31中��。主基4反32基本設(shè)置在殼體31的高度方向的中 心附近�。4呆護基4反33 ~ 36與殼體31的面31A ~ 31D的內(nèi)表面在形 狀和面積上基本一致。保護基板33~36固定在殼體31的面31A ~ 31D的內(nèi)表面�。另外,與保護基板33~36類似����,在形狀和面積上 與殼體31的另兩個面(未示出)的內(nèi)表面基本一致的保護基板也 固定在殼體31的另兩個面的內(nèi)表面����。換句話說�����,布置了保護基板 33-36和另兩個保護基板(即����, 一共六個保護基板)�����,從而基本上 覆蓋了殼體31的所有內(nèi)表面并包圍主基板32����。在圖2中,雖然控 制模塊13的每個內(nèi)表面和每個保護基板之間都具有預(yù)定的間隙�, 但可以將保護基板布置為與殼體31的內(nèi)表面接觸。 主基板32具有用于在其上執(zhí)行控制模塊13的處理的部件����,其 中,控制才莫塊13包括CPU (中央處理單元)101 (圖5 )和RAM 171
(圖5)����。
如下參照圖8等所述�����,為了才全測損壞4亍為(tampering action ) 而設(shè)置了六個保護基一反�����,例如�����,該損壞4于為為了i者如截取和篡改存 4諸在i殳置在主基玲反32上的RAM 171中的翁:才居的未^^又4亍為而打開 和磁)不殼體31�。
圖3和圖4示出了保護基板33的結(jié)構(gòu)實例���。圖3示出了圖2 中的主基板32側(cè)的保護基板33的表面33A的結(jié)構(gòu)實例���。圖4示出 了圖2中的殼體31側(cè)的保護基板33的表面33B的結(jié)構(gòu)實例。
如上所述���,保護基板33是大小和形狀與殼體31的內(nèi)表面31A 基本一致的矩形�。連接器41B基本設(shè)置在保護基板33的表面33A 的中心處���。在除了連接器41B之外的表面33A區(qū)域中���,以每一個對 于表面33A的長度或?qū)挾榷挤浅U拈g隔、沿基本平行于表面33A 的長度的縱向來布置對于表面33A的長度或?qū)挾榷挤浅<?xì)的導(dǎo)線 51A��,其中�,導(dǎo)線51A基本覆蓋整個表面33A。在表面33B上��,以 每一個對于表面33B的長度或?qū)挾榷挤浅U拈g隔���、沿基本平行于 與表面33A上的導(dǎo)線51A的長度方向垂直的表面33B的寬度的長 度方向來布置對于表面33B的長度或?qū)挾确浅<?xì)的導(dǎo)線51B,其中���, 導(dǎo)線51B基本覆蓋整個表面33B。通過通孔(through via) 52和53 來連接導(dǎo)線51A和51B��,以形成一條導(dǎo)電線�。換句話說,基本在保 護基板33的全部兩個面33A和33B上�,都以柵格的形式對導(dǎo)線進 行布線。
接下來���,如果需要��,將導(dǎo)線51A和51B統(tǒng)稱為"導(dǎo)線51"�。
類似于保護基板33,對于除保護基板33之外的其他五個基板, 基本在每個基纟反的全部兩個面上���,都以棚"格的形式對導(dǎo)線進4于布線 (未示出且未描述)���。即,以每一個對于殼體31的表面的長度或?qū)?度都非常窄的間隔來對相對于殼體31的每個表面的長度或?qū)挾确?常細(xì)的導(dǎo)線進行布線����,從而基本覆蓋殼體31的整個面。因而��,當(dāng) 發(fā)生破壞行為(例如���,在殼體31中鉆孔)時�����,基本覆蓋殼體31的 整個面的部分導(dǎo)線^f艮可能斷開�����。
在每個保護基板上��,優(yōu)選地��,每條導(dǎo)線都盡可能地細(xì)�,并且優(yōu) 選地,導(dǎo)線鄰近部分之間的距離盡可能地窄���。
再次參考圖2,主基板32和保護基板33通過連接器41A和41B 彼此電連接。主基板32和保護基板34通過連接器42A和42B 4皮此 電連接�。主基板32和保護基板35通過連接器43A和43B彼此電連 接。主機板32和保護基板36通過連接器44A和44B彼此電連4妄�。 另外,兩個保護基板(未示出)通過連接器(未示出)電連接至主 基板32����。換句話i兌,當(dāng)打開殼體31的每個面時��,都會斷開固定在 殼體31的每個內(nèi)表面的保護基板和主基板32的電連接�。
控制模塊13不僅包括上述連接器,還包括用于電連接RF驅(qū)動 基板12與主電源14的連接器���。
圖5是示出了圖1所示的控制模塊13的功能結(jié)構(gòu)的方框圖�����。 控制模塊13包括CPU 101�、存儲器存取控制器102、存儲部103�����、 復(fù)位電路104���、篡改監(jiān)控電路105-1-105-6�����、以及電源控制器106�。 存儲器存取控制器102包括開關(guān)141�、置亂密鑰變更指令單元142、 隨機數(shù)輸出單元143����、以及總線置亂單元144?��?偩€置亂單元144 包括置亂密鑰存儲部151和地址總線置亂電路152����。置亂密鑰存l諸 部151包括置亂密鑰緩沖器161和內(nèi)部存儲器162。存儲部103包 括RAM 171和非易失性存儲器172�����。CPU 101和地址總線置亂電路152通過具有n位總線寬度的地 址總線121相互連接�。地址總線置亂電路152和存儲部103通過具 有等于地址總線121的總線寬度的n位總線寬度的地址總線122相 互連接。此外��,通過具有m位總線寬度的數(shù)據(jù)總線123,使CPU 101 和存儲部103相互連接�。
通過才丸行預(yù)定程序,CPU 101執(zhí)行用于4吏用IC卡2實現(xiàn)業(yè)務(wù) 的處理����。另外����,CPU101可以并行地^執(zhí)行對應(yīng)于多種業(yè)務(wù)的程序。 4奐句話i兌�,CPU 101可以并刊_;也#^亍用于多種業(yè)務(wù)的處理。
CPU 101將用于每個業(yè)務(wù)的數(shù)據(jù)寫入存儲部103中的RAM 171 或非易失性存儲器172中以及從存儲部103中的RAM 171或非易 失性存儲器172中讀取用于每個業(yè)務(wù)的數(shù)據(jù)����。在以下描述中,如果 必要��,"將數(shù)據(jù)寫入存儲部103中的RAM 171或非易失性存儲器172 中,�����,被簡單地表示為"將數(shù)據(jù)寫入存儲部103中"���,以及如果必要�, "從存儲部103中的RAM 171或非易失性存儲器172中讀取數(shù)據(jù)" 被簡單地表示為"從存^f諸部103中讀取數(shù)據(jù)"��。
當(dāng)CPU 101將數(shù)據(jù)寫入存儲部103中時�����,CPU 101使用地址總 線121向地址總線置亂電路152提供表示邏輯地址(其表示邏輯數(shù) 據(jù)寫入位置)的邏輯地址信號����,并使用數(shù)據(jù)總線123向存儲部103 提供包括寫入數(shù)據(jù)且表示數(shù)據(jù)寫入指令的寫入信號。當(dāng)CPU 101從 存4諸部103讀取4t據(jù)時�,CPU 101 ^吏用;l也址總線121向;也址總線置 亂電路152提供表示邏輯地址(其表示邏輯數(shù)據(jù)讀取位置)的邏輯 地址信號,并4吏用數(shù)據(jù)總線123向存儲部103 4是供表示數(shù)據(jù)讀取指 令的讀取〗言號��。
存儲器存取控制器102通過CPU 101來控制存儲部103的存取����。
在包括在存儲器存取控制器102中的部件中��,當(dāng)用戶給出變更 置亂密鑰的指令時����,按下開關(guān)141�。當(dāng)用戶4姿下開關(guān)141時,開關(guān) 141向置亂密鑰變更指令單元142提供表示開關(guān)141已祐:按下的信號����。
當(dāng)按下開關(guān)141時,置亂密鑰變更指令單元142向隨才幾凄t輸出 單元143提供置亂密鑰變更指令�����。另外�����,當(dāng)置亂密鑰變更指令單元 142基于從篡改監(jiān)控電路105-1 ~ 105-6輸出的監(jiān)控信號來檢測諸如 殼體31的-皮壞和打開的損壞^f于為時�,置亂密鑰變更指令單元142 向隨機數(shù)輸出單元143提供置亂密鑰變更指令����。
當(dāng)置亂密鑰變更指令單元142向隨機數(shù)輸出單元143提供表示 置亂密鑰變更指令的信號時,隨機數(shù)輸出單元143生成由n位串形 成的偽隨機數(shù),并將偽隨機數(shù)作為置亂密鑰輸出至置亂密鑰緩沖器 161��。
輯地址轉(zhuǎn)換為將實際訪問的存儲部103中的物理地址的處理�����。
在包括在總線置亂單元144中的部件中����,置亂密鑰存^f諸部151 存儲由隨機數(shù)輸出單元143提供的作為置亂密鑰的偽隨機數(shù)。具體 地���,置亂密鑰存儲部151中的置亂密鑰緩沖器161存儲由隨機數(shù)輸 出單元143提供的作為置亂密鑰的偽隨機數(shù)���。另外,置亂密鑰緩沖 器161還提供置亂密鑰并將其存儲在內(nèi)部存儲器162中�����。由諸如閃 存的非易失性存儲器或由電池支持的RAM等構(gòu)成內(nèi)部存儲器162����。 即使主電源14處于關(guān)閉(OFF)狀態(tài),內(nèi)部存儲器162仍連續(xù)地存 儲置亂密鑰��。另外,當(dāng)將主電源14從關(guān)閉狀態(tài)變?yōu)榻油顟B(tài)時�, 置亂密鑰緩沖器161讀取并存儲在內(nèi)部存儲器162中存4諸的置亂密 鑰。直到在接通主電源14之后完成了從內(nèi)部存儲器162讀取置亂 密鑰����,置亂密鑰緩沖器161才向復(fù)位電路104提供復(fù)位指令信號。
通過使用存儲在置亂密鑰緩沖器161中的置亂密鑰來置亂由從 CPU 101纟是供的邏輯地址信號表示的邏輯地址�����,地址總線置亂電^各 152將邏輯地址轉(zhuǎn)換為存4諸部103中將實際訪問的物理地址����。換句 話il,通過置亂llr入邏輯地址�����,地址總線置亂電路152將物理地址 分配給邏輯地址�。地址總線置亂電路152向存儲部103提供表示通 過轉(zhuǎn)換獲得的物理地址的物理地址信號。
在包括在存儲部103中的部件中�����,RAM 171存儲高安全性數(shù)據(jù) (例如����,業(yè)務(wù)數(shù)據(jù)和個人信息)。通過來自電源控制器106的電能 來保持存儲在RAM171中的數(shù)據(jù)�����。當(dāng)停止提供來自電源控制器106 的電能時���,擦除所存儲的數(shù)據(jù)�����。
例如���,非易失性存儲器172由非易失性存儲器(例如,閃存)�、 EEPROM(電可纟察可編程只讀存々者器)、HDD(石更盤驅(qū)動器)��、MRAM (磁電阻式隨機存取存儲器)��、FeRAM (鐵電隨機存取存儲器)�����、以 及OUM (雙向通用存々者器,ovonic unified memory )中的 一個形成���。 非易失性存儲器172存儲低安全性數(shù)據(jù)����。
當(dāng)向RAM 171和非易失性存儲器172中的每一個提供來自 CPU 101的寫入信號時�,將包括在寫入信號中的數(shù)據(jù)寫入RAM 171 和非易失性存々者器172的每一個中的物理地址處,RAM 171和非易 失性存儲器172中的每一個其通過由地址總線置亂電路152提供的 物理地址信號表示�����。另外�,當(dāng)提供來自CPU101的讀取信號時,讀 取在RAM 171和非易失性存儲器172的每一個中的物理地址處的 數(shù)據(jù)���,RAM 171和非易失性存儲器172中的每一個由從地址總線置 亂電路152提供的物理地址信號來表示��,并通過數(shù)據(jù)總線123將所 讀取的數(shù)據(jù)提供給CPU 101�����。
雖然從置亂密鑰緩沖器161向復(fù)位電路104提供了復(fù)位指令信 號���,但復(fù)位電路104通過向CPU 101提供復(fù)位信號來初始化CPU 101的習(xí)犬態(tài)。
如下參考圖8等描述的��,墓改監(jiān)控電路105-1 ~ 105-6中的每一 個都監(jiān)控諸如殼體31的破壞或打開的損壞行為�����,并將表示監(jiān)控結(jié) 果的監(jiān)控信號提供給電源控制器106和置亂密鑰變更指令單元142���。
在下文中���,當(dāng)不必區(qū)分篡改監(jiān)控電路105-1 ~ 105-6中的每一個 時,每個篡改監(jiān)控電路均被稱作"篡改監(jiān)控電路105"���。
如下參考圖IO等描述的�����,向電源控制器106提供來自主電源 14的電能�����,并控制提供給控制模塊13的每個部分的電能�。當(dāng)檢測 到對控制模塊13進行了損壞行為時���,電源控制器106停止向存儲 部103供電����,從而擦除RAM 171中的數(shù)據(jù)。
圖6是示出了隨機數(shù)輸出單元143的功能結(jié)構(gòu)的方框圖���。隨機 ^t豐lr出單元143包^"隨枳4t生成器201和開關(guān)202��。
隨機數(shù)生成器201包括LFSR (線性反饋移位寄存器)隨機 數(shù)輸出單元211���,其包括具有L1位的移位寄存器;LFSR隨才幾數(shù)輸 出單元212����,其包括具有L2位的移位寄存器;以及EXOR(異或) 電路213�����。
LFSR隨機數(shù)輸出單元211和212基于公知的LFSR原理�,其 中,具有通過移位寄存器中預(yù)定位所表示的值的異或邏輯和作為反 饋值被輸入至移位寄存器���。隨機數(shù)生成器201通過使用EXOR電路 213來獲4尋的由LFSR隨枳4t輸出單元211和212生成的兩個不同 的M序列偽隨機數(shù)的每一位的異或邏輯和�,來生成Gold序列隨機
數(shù)。包括在隨機凄t生成器201中的LFSR隨積4t輸出單元的凄t量不 限于兩個���,也可以是三個或者更多個。
當(dāng)從置亂密鑰變更指令單元142接收到表示置亂密鑰變更指令 的輸入信號時��,接通開關(guān)202,從而通過開關(guān)202將表示由隨機數(shù) 發(fā)生器201生成的Gold序列隨機數(shù)的位串輸出至置亂密鑰緩沖器 161���。
圖7是示出了總線置亂單元144的功能結(jié)構(gòu)的詳細(xì)方框圖�����。
置亂密鑰緩沖器161包括具有n位的串4亍輸入和并4亍輸出移位 寄存器���。在置亂密鑰緩沖器161中,由隨機數(shù)輸出單元143作為串 行信號提供的偽隨機數(shù)被存儲為置亂密鑰�����。
地址總線置亂電路161通過使用異或電路251-1 ~ 251-n來獲得 具有位Al ~ An且通過地址總線121從CPU 101 ^是供的邏輯地址信 號所表示的n位邏輯地址中的每個位與具有位Kl Kn且存儲在置 亂密鑰緩沖器161中的n位置亂密鑰中的每個位之間的異或邏輯 和��,來將邏輯地址轉(zhuǎn)換為具有位SA1 ~ SAn的n位物理地址�����。地址 總線置亂電路152使用地址總線122向存儲部103提供表示通過轉(zhuǎn) 才灸獲4尋的物理;也址的物理;也址4言號。
圖8是示出了圖5所示的篡改監(jiān)控電路105-1的實例的電路圖��。 篡改監(jiān)控電路105-1包括在保護基板33上的導(dǎo)線51���、電阻器301����、 302����、和303、 p型MOSFET(金屬氧化物半導(dǎo)體場效應(yīng)晶體管)304�����、 比較電壓源元件305���、以及電壓比較器306�����。
MOSFET 304的柵—及經(jīng)由點A��、連4妄器41A和41B����、以及導(dǎo)線 51連4妄至電阻器301的一端,并且經(jīng)由點A連4妄至電阻器302的 一端�。MOSFET304的源4及經(jīng)由點B連4妄至電阻器303的一端和電
壓比專交器306的正才及端子。MOSFET 304的漏才及連4妄至電阻器302 不同于連4妄至MOSFET304的初財及那一端的另 一端��。MOSFET 304 的漏極還連接至比較電壓源元件305的負(fù)極端子并且接地�����。換句話 說�����,篡改監(jiān)控電路105-1由MOSFET 304的漏極接地的源極跟隨器 (source follower )電路構(gòu)成����。
電阻器301不同于連4妄至導(dǎo)線51的那一端的另一端經(jīng)由連才妄 器41B和41A連接至電源控制器106的另 一端以及電阻器303不同 于連接至點B的那一端的另一端���。比較電壓源元件305的正極端子 連接至電壓比較器306的負(fù)極端子�。電壓比較器306的輸出端子經(jīng) 由點Sl連接至電源控制器106和圖5所示的置亂密鑰變更指令單 元142����。
電阻器302的電阻遠遠大于電阻器301的電阻���。因:t匕,點A(即��, MOSFET 304的柵極端)處的電壓增大為基本上等于來自電源控制 器106的輸入電壓的電壓���,并且MOSFET304的源極電壓隨著變?yōu)?基本上等于柵極電壓����。從而����,點A和B具有基本相等的電壓。因此����, 將基本等于來自電源控制器106的輸入電壓的電壓輸入至電壓比較 器306的正極端子。比較電壓源元件305將約等于來自電源控制器 106的輸入電壓的一半的電壓輸入至電壓比較器306的負(fù)極端子���。 當(dāng)輸入至電壓比較器306的正極端子的電壓大于輸入至電壓比較器 306的負(fù)極端子的電壓時��,從電壓比較器306輸出的監(jiān)控信號的電
而得到的值��。當(dāng)輸入至電壓比較器306的負(fù)極端子的電壓大于輸入 至電壓比較器306的正極端子的電壓時�,從電壓比較器306輸出的 監(jiān)控信號的電壓約為0伏特。
參照圖9��,以下將描述篡改監(jiān)控電^各105-1的工作實例�����。圖9 示出了當(dāng)對控制模塊13的殼體31的面31A執(zhí)行損壞行為(例如��,
打開或磁:壞)時點A��、 B���、和S1處的電壓改變實例。在圖9中�����,時
間h表示執(zhí)4亍損壞;f亍為的時間���。
如上所述����,在沒有異常情況出現(xiàn)的時間k之前的狀態(tài)下,點A 和B處電壓中的每一個都約等于來自電源控制器106的輸入電壓�����。 因此�,在電壓比較器306的正極端子處的電壓(即,點B處的電壓) 大于電壓比較器306的負(fù)極端子處的電壓(即����,比較電壓源元件305 的電壓)。因此���,電壓比較器306的輸出電壓(即�����,點S1處的電壓)
得到的正值��。
例如��,在時間t!處當(dāng)打開控制才莫塊13的殼體31的面31A以使 連4妻器41A和41B分離����、以及當(dāng)執(zhí)4亍諸如在面31A中鉆孔的石皮壞 4亍為/人而〗吏導(dǎo)線51斷線的情況下���,在電源4空制器106和MOSFET 304之間發(fā)生斷線��,^吏得點A具有0伏特的電壓���。因此��,如圖9所 示����,點B具有約為0伏特的電壓��,以及電壓比較器306的負(fù)極端子 處的電壓大于電壓比辟交器306的正才及端子處的電壓�。因此,電壓比 較器306的輸出電壓(即�,點S1處的電壓)約為O伏特。
因此����,基于從篡改監(jiān)控電路105-1輸出的監(jiān)控信號�,可以檢測 到損壞^f亍為(例如,殼體31的打開或石皮壞)���。
同樣��,篡改監(jiān)控電路105-2- 105-6在結(jié)構(gòu)上與篡改監(jiān)控電路 105-1 —致��。因此�,由于篡改監(jiān)控電i 各105-2 ~ 105-6的描述是重復(fù) 的所以沒有描述它們。類似于篡改監(jiān)控電路105-1����,可以基于來自 篡改監(jiān)控電路105-2 ~ 105-6中的每一個的監(jiān)控信號,來才企測損壞行 為(例如�����,殼體31的打開或^ 皮壞)����。
因此,可以通過監(jiān)控來自篡改監(jiān)控電路105-1 ~ 105-6的監(jiān)控信 號來確保對殼體31的所有面的損壞行為(例如���,打開或^^壞)的檢測���。
在以下描述中,篡改監(jiān)控電路105-2包4舌在〗呆護基^反34上的導(dǎo) 線����。篡改監(jiān)控電路105-3包括在保護基板35上的導(dǎo)線��。篡改監(jiān)控電 路105-4包括在保護基板36上的導(dǎo)線����。篡改監(jiān)控電路105-5和105-6 包括在對應(yīng)于殼體31的兩個面(未示出)的保護基4反上的導(dǎo)線���。
圖IO是示出了圖5所示的電源控制器106的結(jié)構(gòu)實例的電路 圖���。電源4空制器106包才舌作為主電源14的后備電源的電池351、電 池插座352�、 二才及管353和354、電容器355�����、電源調(diào)節(jié)器356�����、電 阻器357����、電池電壓檢測器358�����、以及開關(guān)359。
電池351被安裝在電池插座352中�����。在這種狀態(tài)下�����,電池351 的正才及連4妄至用于防止回流的二才及管353的正才及����、電阻器357的一 端、以及電池電壓檢測器358的輸入端Tll�����。電池351的負(fù)極連接 至電容器355的一端和電容器357不同于的連4妄至電池351正4及的 那一端的另一端���,并且接地��。二極管353的負(fù)極連接至用于防止回 流的二極管354的負(fù)極�、電容器355不同于連接至電池351的負(fù)極 的那一端的另一端、以及電源調(diào)節(jié)器356的輸入端Tl��。 二極管354 的正4及連4妻至主電源14���。
電源調(diào)節(jié)器356的l俞出端T2連4妾至電池電壓^r測器358的電 源端T13����、開關(guān)359的一端�����、CPU 101�����、存儲器存取控制器102�、復(fù) 位電路104、以及篡改監(jiān)控電路105-1 ~ 105-6����。電池電壓檢測器358 的輸出端T12連接至開關(guān)359的電壓4企測端(未示出)。開關(guān)359 不同于連接至電源調(diào)節(jié)器356的輸出端T2的那一端的另一端被連 接至存儲部103�。另夕卜,開關(guān)359的電壓才企測端(未示出)經(jīng)由點 SI ~ S6連接至篡改監(jiān)控電路105-1 ~ 105-6�。
電源調(diào)節(jié)器356通過將從主電源14通過二極管354輸入的電 壓或/人電池351通過二才及管353l命入的電壓專i:換為預(yù)定電壓,來乂人 輸出端T2輸出基本恒定的電壓。從輸出端T2輸出的電壓經(jīng)由CPU
101�、 存儲器存取控制器102�、復(fù)位電路104、篡改監(jiān)控電路105-1 ~ 105-6�����、電池電壓4企測器358�、以及開關(guān)359 ^先提供給存儲部103。 換句話i兌��,通過電源調(diào)節(jié)器356 4吏來自主電源14或電池351的電 能的電壓穩(wěn)定���,并將穩(wěn)定電壓的電能提供給存儲器存取控制器102��、 復(fù)位電3各104����、篡 文監(jiān)控電^各105-1 ~ 105-6�、電池電壓4企測器358、 以及存々者部103�����。因此,即僅:4亭止從主電源14和電池351之一提供 的電能�����,也能將穩(wěn)定的電能提供給CPU 101���、存儲器存取控制器
102�、 復(fù)位電路104����、篡改監(jiān)控電3各105-1 ~ 105-6、電池電壓才企測器 358����、以及存儲部103。
另夕卜����,主電源14或電池351為電容器352充電,以-使其達到 預(yù)定電壓����,同時主電源14或電池351向電容器355提供電能。當(dāng) 停止/人主電源14或電池351 ^是供電能時����,存儲在電容器355中的 電能經(jīng)由電源調(diào)節(jié)器356��、 CPU 101�����、存儲器存取控制器102、復(fù)位 電路104����、篡改監(jiān)控電路105-1-105-6、電池電壓檢測器358����、以及 開關(guān)359被提供給存儲部103。例如�,電容器355由超級電容器(電 偶層電容器)形成。電容器355能夠為CPUIOI����、存儲器存取控制 器102、復(fù)位電路104��、篡改監(jiān)控電路105-1 ~ 105-6����、電池電壓檢測 器358�、以及存^f諸部103^是供至少預(yù)定時間(例如����,30至40分4中) 的電能的充電容量。
電池電壓4企測器358通過^r測輸入至輸入端Tll的電壓(即���, 由電池351施加給電阻器357的電壓)來檢測電池351的去除���。當(dāng) 輸入端Tll處的電壓等于或小于預(yù)定閾值時,電池電壓4企測器358 通過使用內(nèi)部計凄t器(未示出)來啟動時間測量�����。當(dāng)輸入端Tll處
的電壓等于或小于閾值的狀態(tài)持續(xù)時�,輸出端T12處的電壓從高電 平(例如,5伏特)變?yōu)閖氐電平(例如���,O伏特)�����。
當(dāng)來自篡改監(jiān)控電路105-1 -105-6的監(jiān)控信號和來自電池電 壓檢測器358的輸出信號的電壓中的任一個等于或小于預(yù)定閾值 時����,斷開開關(guān)359,以停止從電源控制器106向存儲部103提供電能����。
以下將參照圖11來描述電源控制器106的實例。圖11示出了 在主電源14處于切斷狀態(tài)且篡改監(jiān)控電^各105-1 ~ 105-6沒有4僉測 到損壞4于為的狀態(tài)下�,乂人電池插座352中去除電池351的情況下, 從電池電壓檢測器358的端子Tll和T12輸出的電壓���、以及電源控 制器106向存儲部103輸出的電壓的變化實例。在圖11中�����,時間 tu表示從電池插座352中去除電池351的時間��。
在電池351被安裝到電池插座352中的時刻tn之前的狀態(tài)下���, 電池351將正電壓輸入至電池電壓4企測器358的輸入端Tll,以及 電池電壓;f全測器358的輸出端T12將高電平電壓輸入至開關(guān)359�。 另外����,由于篡改監(jiān)控電路105-1 ~ 105-6沒有才企測到損壞行為��,因此 開關(guān)359接通����,并且篡改監(jiān)控電路105-1 ~ 105-6將正電壓輸入至開 關(guān)359���。這就經(jīng)由開關(guān)359將從電源調(diào)節(jié)器356的輸出端T2輸出的 電能提供給存儲部103�。此時��,從電源調(diào)節(jié)器356的輸出端T2輸出 的電能也被提供給CPU 101��、存儲器存取控制器102�����、復(fù)位電路104�����、 篡改監(jiān)控電路105-1 ~ 105-6����、以及電池電壓檢測器358。
當(dāng)在時間tn乂人電池插座352中去除電池351時���,llr入至電池電 壓才企測器358的輸入端Tll的電壓約為0伏特�,并且電池電壓^r測 器358通過使用內(nèi)部計數(shù)器來啟動時間測量。另外��,電容器355啟 動放電���,使得經(jīng)由電源調(diào)節(jié)器356將存儲在電容器355中的電能提
供給CPU 101���、存儲器存取控制器102、復(fù)位電路104���、篡改監(jiān)控 電路105-1 ~ 105-6�����、以及電池電壓4全測器358。
在電池電壓4企測器358啟動時間測量之后經(jīng)過了子貞定時間Ta 的時間t��。處����,電池電壓檢測器358將輸出端T12的電壓從高電平 變?yōu)榈碗娖健_@使得開關(guān)359斷開�����,以停止向存儲部103提供電能, 從而擦除了存儲在存儲部103中的RAM 171中的數(shù)據(jù)�。
同樣,在時間112之后�����,經(jīng)由電源調(diào)節(jié)器356將來自電容器355 的電能連續(xù)地提供給CPU 101�����、存儲器存取控制器102����、復(fù)位電路 104、篡改監(jiān)控電路105-1 ~ 105-6����、以及電池電壓才金測器358。因此����, 即使去除了電池351,篡改監(jiān)控電路105-1 ~ 105-6也連續(xù)執(zhí)行損壞 行為的監(jiān)控。
在時間Ta期間,電池351連才妄至電池電壓4全測器358�����。當(dāng)l命入 至輸出端Tll的電壓超出預(yù)定閾值時�����,停止通過內(nèi)部計tt器進行的 時間測量�。因此,通過適當(dāng)?shù)卦O(shè)定時間Ta�,即使主電源14處于斷 開狀態(tài),也可以在不擦除RAM 171中的凄t據(jù)的情況下更換電池351 ���。 當(dāng)不必考慮電池351的更換時����,在時間tu處�,可以斷開開關(guān)359。
接下來��,下面將參照圖12 ~ 14來描述讀取器-寫入器1的處理�。
首先��,以下將參照圖12所示的流程圖來描述由讀取器-寫入器 1沖丸行的置亂密鑰生成處理。例如��,當(dāng)用戶4安下開關(guān)141時�,開始 置亂密鑰生成處理。
在步驟S1中���,隨機數(shù)輸出單元143輸出偽隨機數(shù)���。具體地, 開關(guān)141向置亂密鑰變更指令單元142提供表示開關(guān)141已按下的 信號����。置亂密鑰變更指令單元142通過向開關(guān)202提供表示置亂密 鑰變更指令的信號來接通開關(guān)202。在讀取器-寫入器1的主電源14
處于4妄通狀態(tài)時��,隨枳4t生成器201連續(xù)地生成偽隨積4t���。開關(guān)202 的4妄通啟動通過開關(guān)202將偽隨才幾數(shù)從隨機凄t生成器201輸出至置 亂密鑰緩沖器161�。當(dāng)從隨機數(shù)生成器201輸出了 n位偽隨機數(shù)時�����, 斷開開關(guān)202�����。
在步驟S2中,總線置亂單元144設(shè)置置亂密鑰�����。此后����,置亂 密鑰生成處理結(jié)束。具體地���,在置亂密鑰緩沖器161中��,由n位串 形成的并由P逭機凄t輸出單元143提供的偽隨枳4t作為置亂密鑰#皮存 儲在內(nèi)部寄存器中���。置亂密鑰緩沖器161提供置亂密鑰并將其存儲 在內(nèi)部存儲器162中。換句話說�,通過內(nèi)部存儲器162來備份置亂 密鑰。
可以將當(dāng)讀取器—寫入器1的數(shù)量為多個時的每個控制模塊13 設(shè)置具有不同值并難以預(yù)測的置亂密鑰��。例如��,在從工廠裝運讀取 器-寫入器l之前�,執(zhí)行置亂密鑰生成處理。
接下來�����,以下將參照圖13所示的流程圖來描述由讀取器-寫入 器1執(zhí)行的存儲器存取控制處理���。例如�,當(dāng)接通讀取器-寫入器1 的主電源14時����,開始存儲器存取控制處理。
在步驟S31中�����,接通讀取器-寫入器1的主電源14,從而置亂 密鑰緩沖器161開始向復(fù)位電路104提供復(fù)位指令信號����。
在步驟S32中,復(fù)位電^各104通過向CPU 101 4是供復(fù)位信號來 復(fù)位CPU 101�����。這初始化了 CPU 101的狀態(tài)�����。
在步驟S33中,置亂密鑰緩沖器161讀取存儲在內(nèi)部存儲器162 中的置亂密鑰���。置亂密鑰緩沖器161將所讀取的置亂密鑰存儲在內(nèi) 部寄存器中���。
在步驟S34中,置亂密鑰緩沖器161停止向復(fù)位電路104提供 復(fù)位指令信號����。因此,復(fù)位電路104停止提供復(fù)位信號��,并且CPU 101開始4丸4于程序��。
在步驟S35中�,CPU101確定是否寫入凄t據(jù)。如果在執(zhí)4亍禾呈序 的過程中��,在下一步驟中不執(zhí)行數(shù)據(jù)寫入���,則CPU101確定不寫入 凄t據(jù)�,并且處理前進至步艱夂S36����。
在步驟S36中�,CPU101確定是否讀取數(shù)據(jù)�。如果在執(zhí)行程序 的過程中����,在下一步驟中不執(zhí)行數(shù)據(jù)讀取,則CPU101確定不讀取 數(shù)據(jù)�,并且處理返回至步驟S35。
在此之后�����,重復(fù)執(zhí)4亍步驟S35和S36�����,直到在步駛朵S35中CPU 101確定寫入凄史才居�����,或者在步驟S36中CPU 101確定讀取凄t才居���。
如果在沖丸4亍程序的過程中���,在下一步驟中(在步驟S35中)批i 行了數(shù)據(jù)寫入�,則CPU 101確定寫入lt據(jù)����,并且處理前進至步艱《 S37。
在步驟S37中���,CPU101給出寫入數(shù)據(jù)的指令�。具體地��,CPU 101使用地址總線121來向地址總線置亂電路152提供表示邏輯數(shù) 據(jù)寫入位置的邏輯地址信號���。CPU 101還使用數(shù)據(jù)總線123來向存 儲部103纟是供包括寫入數(shù)據(jù)并表示數(shù)據(jù)寫入指令的信號�。
在步驟S38中�����,地址總線置亂電路152將邏輯地址轉(zhuǎn)換為物理 地址���。具體地����,地址總線置亂電路152通過獲得由邏輯地址信號表 示的邏輯地址中的每一位和存儲在置亂密鑰緩沖器161中的置亂密 鑰中的每一位之間的異或邏輯和,并置亂邏輯地址��,來將邏輯地址 轉(zhuǎn)換為物理地址�。地址總線置亂電路152 4吏用地址總線122向存儲 部103提供表示通過轉(zhuǎn)換得到的物理地址的物理地址信號。
在步驟S39中�,存儲部103寫入數(shù)據(jù)。具體地��,在RAM 171 或非易失性存儲器172中�����,在由物理地址信號表示的RAM 171或 非易失性存儲器172中的物理地址處寫入包括在乂人CPU 101^是供的 寫入信號中的數(shù)據(jù)�����。因此�,即使CPU101給出將數(shù)據(jù)寫入連續(xù)的邏 輯地址處的指令��,而實際上����,數(shù)據(jù)凈皮寫入RAM 171或非易失性存 儲器172中以便進行隨機地分配。因而����,將難以分析和篡 文存儲在 RAM 171或非易失性存儲器172中的數(shù)據(jù)的內(nèi)容���。
此后,處理返回步驟S35,并執(zhí)行S35和隨后的步驟�。
如果在執(zhí)行程序的過程中,在下一步驟中(在步驟S36中)執(zhí) 4亍了^:據(jù)讀取���,則CPU 101確定讀取fW居�,并且處理前進至步驟 S40����。
在步艱朵S40中,CPU101主會出讀取數(shù)據(jù)的指令����。具體地,CPU 101將地址總線121用于向地址總線置亂電路152提供表示邏輯凄史 據(jù)讀取位置的邏輯地址信號��。CPU 101還使用數(shù)據(jù)總線123向存儲 部103提供表示凄t據(jù)讀耳又指令的讀取信號�。
類似于步驟S38,在步驟S41中�����,邏輯地址^皮轉(zhuǎn)4灸成物理;也址。 經(jīng)由地址總線122將表示通過轉(zhuǎn)換所得到的物理地址的物理i也址信 號從地址總線置亂電路152提供給存儲部103�����。
在步驟S42中���,存儲部103讀取數(shù)據(jù)�����。具體地,RAM 171或非 易失性存儲器172讀取存儲在由物理地址信號表示的物理地址處的 數(shù)據(jù)��,并且使用數(shù)據(jù)總線123向CPU 101提供所讀取的數(shù)據(jù)����。
此后,處理前進至步驟S35,并執(zhí)行步驟S35以及隨后的步驟���。
如上所述���,當(dāng)讀耳又器-寫入器1的凄t量為多個時,可以容易:^也為 每個控制模塊13設(shè)置不同的置亂密鑰。即使分析了為一個控制模
塊13設(shè)置的置亂密鑰��,也難以使用該置亂密鑰來分析和篡改存l諸 在另一控制模塊13的RAM 171或非易失性存儲器172中的數(shù)據(jù)���。 因此���,可以使基于數(shù)據(jù)分布和數(shù)據(jù)篡改的破壞最小化。
另外�����,關(guān)于用于生成偽隨機數(shù)的方法和用于置亂地址的方法���, 可以在不進行更改的情況下使用相關(guān)技術(shù)����,而不必提供新的復(fù)雜電 路�����。因此����,除了輸入置亂密鑰變更指令��,用戶不必付出其他努力�����。 因而���,可以輕易地提高存儲在RAM 171或非易失性存儲器172中 的數(shù)據(jù)的安全性。
*接下來����,以下將參照圖14所示的流程圖來描述讀取器-寫入器 l執(zhí)行的損壞行為監(jiān)控處理。例如�,當(dāng)在從工廠裝運了讀取器-寫入 器l之后開始使用讀取器-寫入器1時,開始進行損壞行為監(jiān)控處理��。
在步驟S61中�,電池電壓檢測器358確定是否已停止從電池351 才是供電能��。參照圖10和圖11�,如上所述,例如�,當(dāng)由于從電池插 座352去除電池351而使輸入端Tll處的電壓從超過預(yù)定闊值的狀 態(tài)變?yōu)榈扔诨蛐∮陬A(yù)定閾值的值時,電池電壓^r測器358確定已停 止從電池351纟是供電能�,并且處理前進至步驟S62。
在步驟S62中,電池電壓檢測器358通過使用內(nèi)部計數(shù)器(未 示出)來開始時間測量����。
此后,處理返回至步驟S61,并執(zhí)行步驟S61和隨后的步驟����。
如果在步驟S61中,輸入端Tll處的電壓超過閾值�����,或者繼續(xù) 等于或小于閾值�����,則電池電壓檢測器358確定從電池351提供電能��,
或者持續(xù)已停止從電池351提供電能的狀態(tài)����,并且處理前進至步驟 S63。
在步驟S63中�,電池電壓檢測器358確定是否已重新開始從電 池351提供電能。具體地��,當(dāng)輸入端Tll處的電壓從等于或小于閾 值的值變?yōu)槌^閾值的值時,電池電壓檢測器358確定已重新開始 乂人電池351提供電能���,并且處理前進至步驟S64���。
在步驟S64中,電池電壓檢測器358使用內(nèi)部計數(shù)器(未示出)
4亭止時間測量��。
此后����,處理返回至步艱《S61,并4丸4于步驟S61和隨后的步驟�����。
在步驟S63中���,當(dāng)輸入端Tll處的電壓繼續(xù)大于閾值���,或者繼 續(xù)等于或小于閾值時�����,電池電壓檢測器358確定保持從電池351提 供電源的狀態(tài),或者保持已停止從電池351才是供電源的狀態(tài)�����,并且 處5里前進至S65����。
在步驟S65中,電池電壓檢測器358確定在停止從電池351提 供電能之后是否要經(jīng)歷預(yù)定時間����。當(dāng)內(nèi)部計數(shù)器的值表示預(yù)定時間 或者更多的時間時,電池電壓4企測器358確定在4f止從電池351摘: 供電能之后經(jīng)歷了預(yù)定時間���,并且處理前進至步驟S66��。
在步驟S66中�,電源控制器106停止向存^ft部103才是供電能��, 從而結(jié)束損壞行為監(jiān)控處理�����。具體地�,電池電壓檢測器358將輸出 端T12處的電壓從高電平變?yōu)榈碗娖?��。這使開關(guān)359斷開,以停止 從電源調(diào)節(jié)器359向存儲部103提供電能����,從而擦除了存儲在存儲 部103的RAM 171中的凄t據(jù)。
在步驟S65中��,當(dāng)內(nèi)部計數(shù)器(未示出)的值表示小于預(yù)定時 間的值時����,電池電壓檢測器358確定在停止乂人電池351 4是供電能之 后未經(jīng)歷預(yù)定時間,或者未4f止從電池351提供電能���,并且處理前 進至步驟S67����。
在步驟S67中��,電源控制器106確定是否已對殼體31執(zhí)行了 損壞4亍為��。具體地�,如上參照圖8和圖9所述,在由于殼體31的 打開、破壞等而在電源控制器106與篡改監(jiān)控電路105中的 MOSFET (在圖8中的篡改監(jiān)控電路105-1的情況下為MOSFET 304)的柵極之間發(fā)生斷線的情況下�,從發(fā)生斷線的篡改監(jiān)控電路 105輸出的監(jiān)控信號具有約為0伏特的電壓�。當(dāng)來自篡改監(jiān)控電路 105-1 ~ 105-6的監(jiān)控信號中的任一個具有等于或小于預(yù)定閾值的值 時,電源控制器106確定已對殼體31執(zhí)行了損壞行為���,并且處理 前進至步驟S68��。
在步驟S68中�����,電源控制器106停止向存4諸部103提供電能�。 具體地��,來自篡改監(jiān)控電路105-1 ~ 105-6的監(jiān)控信號的電壓中的任 一個變?yōu)榈扔诨蛐∮陬A(yù)定閾值�����,從而斷開開關(guān)359�,并且停止/人電 源調(diào)節(jié)器356向存儲部103纟是供電能。這4察除了存儲在存儲部103 中的RAM 171中的教:才居�����。
在步驟S69,存儲器存取控制器102變更置亂密鑰��,并且損壞 行為監(jiān)控處理結(jié)束。具體地�,當(dāng)來自篡改監(jiān)控電路105-1 ~ 105-6的 監(jiān)控信號的電壓中的任一個變?yōu)榈扔诨蛐∮陬A(yù)定閾值時,置亂密鑰 變更指令單元142通過向開關(guān)202提供表示置亂密鑰變更指令的信 號來4妄通隨積4tl俞出單元143中的開關(guān)202��。開關(guān)202的4妄通啟動 了經(jīng)由開關(guān)202從隨機數(shù)生成器201向置亂密鑰緩沖器161輸出偽 隨機數(shù)�����。當(dāng)從隨機數(shù)生成器201輸出了 n位偽隨機數(shù)時�����,斷開開關(guān) 202���。在置亂密鑰緩沖器161中����,由n位串形成并從隨機數(shù)輸出單 元143提供的偽隨機數(shù)作為新的置亂密鑰被存儲在內(nèi)部寄存器中����。
另外,置亂密鑰緩沖器161提供置亂密鑰并將其存儲在內(nèi)部存儲器 162中����。
在步驟S69中���,可以將由于未執(zhí)行地址置亂而未^皮用作置亂密 鑰并且其數(shù)字均為零的位串值強制地設(shè)置為置亂密鑰。
如果在步艱《S67中�����,確定未對殼體31扭J亍損壞4于為��,則處理 返回至步驟S61,并且45M于步驟S61和隨后的步驟���。
例如,如上所述���,即使為了停止篡改監(jiān)控電i 各105-1 ~ 105-6的 工作而去除電池351,篡改監(jiān)控電路105-1 ~ 105-6也繼續(xù)工作�。乂人 而���,可以提高控制模塊13的防篡改性����。另夕卜�����,當(dāng)在去除電池351 之后預(yù)定時間已結(jié)束時,擦除RAM 171中的凝:據(jù)��。因此����,可以進 一步提高控制模塊13的防篡改性。
此外���,確保了檢測損壞行為(例如����,殼體31的打開或破壞)�。 由于當(dāng)4企測到損壞4亍為時4察除了 RAM 171中的凝:據(jù),因此���,可以 進一步提高控制模塊13的防篡改性����。
另外����,當(dāng)檢測到損壞行為時��,變更置亂密鑰����,因此����,即使沒有 才察除RAM 171中的凄t才居,也難以通過4吏用ICE (in-circuit emulator, 回if各仿真器)等來分析RAM 171中的凄t據(jù)����。
上述的描述舉例說明了保護RAM 171 (易失性存儲器)中的數(shù) 據(jù)的情況�����。然而��,例如��,當(dāng)4企測到電池351的去除��、或者殼體31 的打開或石皮壞時��,可以通過〗察除或石皮壞非易失性存儲器172中的凄t 據(jù)來保護非易失性存儲器172中的數(shù)據(jù)�。在擦除作為易失性存儲器 的RAM 171中的數(shù)據(jù)的情況下���,與擦除非易失性存儲器172中的 ^t據(jù)的情況相比,由于處理器(例如����,CPU)不需要工作,因此�,
可以利用較少的電能來擦除數(shù)據(jù)?����?梢詫㈦娙萜?55的電容抑制為 低值�。
另外,通過形成具有多層結(jié)構(gòu)的保護基板33 36,而不形成具 有單層結(jié)構(gòu)的保護基板33~36�����,導(dǎo)線布線圖案可以設(shè)置在每一層 上��。
而且����,每個保護基板上導(dǎo)線的導(dǎo)線布線圖案不限于上述實例。 代替地��,可以每一個對于殼體31的每個面的長度或?qū)挾榷挤浅U?的間隔對導(dǎo)線進行布線,以基本覆蓋殼體31的所有面�����。
另外�����,不必在每個保護基板上i殳置導(dǎo)線���。相反地�����,可以將導(dǎo)線 設(shè)置在殼體31的內(nèi)表面上,或者可以將導(dǎo)線設(shè)置在殼體31的外表 面牙口內(nèi)表面之間����。
在上述實施例中,電池351 -f又用于在不4吏用主電源14的情況 下使控制模塊13工作�。
另夕卜,用于處理上述實施例中電池351的去除的4支術(shù)不限于上 述篡改監(jiān)控電路105-1 ~ 105-6�����。該技術(shù)對于需要向其提供用于工作 的電能的篡改監(jiān)控電路(例如,用于導(dǎo)致故障而監(jiān)控?zé)峁舻臏囟?監(jiān)控電路)是有效的���。
盡管在上述描述中�,為每個保護基板設(shè)置了篡改監(jiān)控電路105, 但是例如通過將在多個保護基板上的導(dǎo)線串聯(lián)連接���,可以減少篡改 監(jiān)控電路的數(shù)量�。
另夕卜��,當(dāng)檢測到電池351的去除之后���,類似于通過篡改監(jiān)控電 路105來檢測損壞行為的情況�,可以變更置亂密鑰����。
盡管上述描述舉例證明了將Gold序列用作置亂密鑰的情況, 4旦是用作置亂密鑰的隨初4t或偽隨枳4t不限于上述實例����。例如,可 以使用在僅使用 一個LFSR的情況下所獲得的M序列偽隨機數(shù)��,以 及可以使用利用了熱噪聲的物理隨才幾數(shù)��。
另外,用于置亂地址的方法不限于上述實例�����,而可以^吏用利用 基于隨機數(shù)或偽隨機數(shù)來設(shè)置置亂密鑰的另 一方法��。
盡管上述描述舉例說明了作為與讀取器-寫入器1進行通信的 一方的IC卡2,但讀取器-寫入器1可以與非接觸IC卡功能裝置(例 如����,便攜式電話、PDA(個人數(shù)字助理)��、計時器�����、以及具有非接 觸IC卡功能的計算機)進行通信�。
另夕卜���,圖5中示出的存儲器存取控制器102可以應(yīng)用于除了讀 取器-寫入器1之外的其他存儲器數(shù)據(jù)讀取/寫入裝置�。
本領(lǐng)域的技術(shù)人員應(yīng)該理解���,根據(jù)設(shè)計要求和其他因素�����,可以 有多種修改����、組合、子組合和改進����,均應(yīng)包含在本發(fā)明的權(quán)利要求 或等同物的范圍之內(nèi)。
權(quán)利要求
1.一種數(shù)據(jù)存儲裝置��,包括存儲器���;監(jiān)控裝置���,用于監(jiān)控對于存儲在所述存儲器中的數(shù)據(jù)的未授權(quán)行為;第一電源�,用于向所述監(jiān)控裝置供電;蓄電裝置����,用于當(dāng)從所述第一電源停止向所述監(jiān)控裝置供電時向所述監(jiān)控裝置供電,所述蓄電裝置在從所述第一電源向所述監(jiān)控裝置供電的同時充電。
2. 根據(jù)權(quán)利要求1所述的數(shù)據(jù)存儲裝置��,其中所述存儲器是易失性的����;以及 所述第一電源還向所述存儲器供電。
3. 根據(jù)權(quán)利要求2所述的數(shù)據(jù)存儲裝置�,還包括供電控制裝置,其中當(dāng)從所述第一電源停止向所述存儲器供電時����,所述蓄電 裝置還向所述存儲器供電;以及當(dāng)從所述第 一 電源停止向所述存儲器供電之后經(jīng)過了預(yù) 定時間時�,所述供電控制裝置停止乂人所述蓄電裝置向所述存儲 器供電。
4. 根據(jù)權(quán)利要求1所述的數(shù)據(jù)存儲裝置�,還包括用于向所述監(jiān)控 裝置供電的第二電源,其中所述第一電源是當(dāng)關(guān)閉所述第二電源時向所述監(jiān)控裝置 供電的后備電源�;以及所述蓄電裝置由所述第 一 電源和所述第二電源中的 一個 充電。
5. 根據(jù)權(quán)利要求1所述的數(shù)據(jù)存儲裝置�����,其中所述第一電源是電池��;以及 所述蓄電裝置是電容器���。
6. —種用于數(shù)據(jù)存儲裝置的電源控制方法�����,所述數(shù)據(jù)存儲裝置包 括存儲器和用于監(jiān)控對于存儲在所述存儲器中的數(shù)據(jù)的未授 權(quán)行為的監(jiān)控裝置�����,所述電源控制方法包括以下步驟在從電源向所述監(jiān)控裝置供電的同時��,對包括在所述數(shù) 據(jù)存^f諸裝置中的蓄電裝置充電��;以及當(dāng)從所述電源停止向所述監(jiān)控裝置供電時��,從所述蓄電 裝置向所述監(jiān)控裝置供電��。
7. —種用于與具有非接觸集成電路卡功能的裝置進行通信的通 信裝置���,所述通信裝置包括存儲器,用于存儲從所述具有非接觸集成電路卡功能的 裝置中讀取的數(shù)據(jù)��;監(jiān)控裝置����,用于監(jiān)控對于存儲在所述存儲器中的數(shù)據(jù)的 未授權(quán)行為;電源,用于向所述監(jiān)控裝置供電�����;以及蓄電裝置�,用于從所述電源停止向所述監(jiān)控裝置供電時 將向所述監(jiān)控裝置供電,所述蓄電裝置在從所述電源向所述監(jiān) 控裝置供電的同時充電�。
8. —種數(shù)據(jù)存儲裝置,包括存儲器�;監(jiān)控單元,用于監(jiān)控對于存儲在所述存儲器中的數(shù)據(jù)的 未授權(quán)行為�;第一電源,用于向所述監(jiān)控單元供電��;蓄電單元�,用于當(dāng)從所述第一電源停止向所述監(jiān)控單元 供電時向所述監(jiān)控單元供電,所述蓄電單元在從所述第 一 電源 向所述監(jiān)控單元供電的同時充電�。
9. 一種用于與具有非接觸集成電路卡功能的裝置進行通信的通 信裝置,所述通信裝置包括存儲器���,用于存儲從所述具有非接觸集成電路卡功能的 裝置中讀取的lt據(jù)�����;監(jiān)控單元�,用于監(jiān)控對于存儲在所述存儲器中的數(shù)據(jù)的 未授權(quán)行為;電源�����,用于向所述監(jiān)控單元供電���;以及蓄電單元,用于當(dāng)從所述電源停止向所述監(jiān)控單元供電 時向所述監(jiān)控單元供電���,所述蓄電單元在從所述電源向所述監(jiān) 4空單元供電的同時充電��。
全文摘要
一種數(shù)據(jù)存儲裝置包括存儲器���;監(jiān)控單元,用于監(jiān)控對于存儲在存儲器中的數(shù)據(jù)的未授權(quán)行為��;第一電源�,用于向監(jiān)控單元提供電能;以及電能存儲單元����,用于當(dāng)停止向監(jiān)控單元提供來自第一電源的電能時將電能提供給監(jiān)控單元,并且在從第一電源向監(jiān)控單元提供電能的同時對電能存儲單元充電����。
文檔編號G06F12/14GK101114258SQ20071013761
公開日2008年1月30日 申請日期2007年7月27日 優(yōu)先權(quán)日2006年7月28日
發(fā)明者村岡如竹 申請人:索尼株式會社