專利名稱：集成電路卡中的防偽造器件的制作方法
技術(shù)領(lǐng)域：
本發(fā)明涉及一種具有包括一個(gè)數(shù)據(jù)存儲(chǔ)器的存儲(chǔ)區(qū)的集成電路。
這樣的集成電路器件廣泛用在信息處理安全性顯得重要的應(yīng)用領(lǐng)域。具體地說，它們包括應(yīng)用在衛(wèi)生、移動(dòng)電話和銀行領(lǐng)域中的集成電路卡。
集成電路卡是一個(gè)包括一個(gè)電子單元的塑料卡本體。這個(gè)卡通過一個(gè)通訊網(wǎng)與一個(gè)終端例如一個(gè)移動(dòng)電話、一個(gè)銀行終端、也可以是一個(gè)計(jì)算機(jī)進(jìn)行通訊，并且能通過該通訊網(wǎng)向所述終端發(fā)送包含加密信息的消息，以便使這些信息安全傳送。用日常的語言來講，消息被稱為是被簽名的。為了處理已加密的信息，卡采用一個(gè)位于其存儲(chǔ)區(qū)的數(shù)據(jù)存儲(chǔ)器內(nèi)部的加密鑰和一個(gè)加密算法。
雖然這樣可以保證信息安全傳送，但一個(gè)集成電路仍是易受攻擊的，因?yàn)橐粋€(gè)偽造者在卡上可以執(zhí)行許多動(dòng)作，這些動(dòng)作可以使其能揭露卡的秘密。這樣，該偽造者想要找到該加密鑰，而可能向卡發(fā)送一個(gè)特征符號(hào)指令信息(signature instruction message)，并且在加入該指令后保持對(duì)產(chǎn)生的信號(hào)進(jìn)行記錄。此后，該偽造者可能發(fā)射大量用于所述相同信息的信號(hào)指令，并將該卡在進(jìn)行所述算法進(jìn)行期間的若干個(gè)時(shí)間點(diǎn)期間暴露在電磁干擾中，并保持對(duì)各種發(fā)射信號(hào)的記錄。通過使在干擾期間獲得的信號(hào)記錄與第一記錄匹配，偽造者通過分析在獲得信息的各種加密片段間的差別或缺少的部分，可以揭露碼密鑰部分。這樣，雖然卡傳遞安全的信息，但是偽造者通過在集成電路卡上進(jìn)行大量的動(dòng)作仍能獲取秘密的信息。
因此，本發(fā)明為了解決上述的技術(shù)問題而提供一種具有包括一個(gè)數(shù)據(jù)存儲(chǔ)器的存儲(chǔ)區(qū)的集成電路器件，該器件能通過限制偽造者可能在卡上進(jìn)行的偽造行為的數(shù)目來使卡更加安全。
按照本發(fā)明，所要解決的技術(shù)問題的方案為數(shù)據(jù)存儲(chǔ)器具有至少一個(gè)計(jì)數(shù)元件，至少一個(gè)指示器元件和至少一個(gè)閾值，所述的計(jì)數(shù)元件一方面對(duì)在該器件內(nèi)發(fā)生的事件的至少一個(gè)發(fā)生數(shù)目進(jìn)行計(jì)數(shù)，另一方面可以達(dá)到所述閾值，達(dá)到所述閾值是所述這些事件發(fā)生數(shù)目最大值的表征，所述指示器元件設(shè)計(jì)成，當(dāng)所述計(jì)數(shù)器元件達(dá)到所述閾值時(shí)，其從一第一狀態(tài)轉(zhuǎn)換到一第二狀態(tài)。
如下面所詳細(xì)說明那樣，按照本發(fā)明的器件能限制可能在該集成電路卡上完成的行為或發(fā)生的事件的數(shù)目，這一方面借助于一個(gè)將對(duì)完成考慮到的一個(gè)行為或一組行為的行為數(shù)目進(jìn)行計(jì)數(shù)的計(jì)數(shù)元件，而另一方面借助于一個(gè)將指示已經(jīng)達(dá)到的事件或行為發(fā)生的數(shù)目的閾值的指示器元件，以便后來可以在超過所述閾值的下一個(gè)時(shí)間進(jìn)行核準(zhǔn)(sanction)。
通過下面以非限定性的參考附圖的例子提供的本發(fā)明的優(yōu)選實(shí)施例的描述，可以使本發(fā)明的其它特點(diǎn)和優(yōu)點(diǎn)更加清楚。


圖1是按照本發(fā)明的一個(gè)集成電路器件的示意圖，在此的集成電路是一個(gè)集成電路卡。
圖2是表示按照本發(fā)明的圖1的卡的存儲(chǔ)區(qū)的示意圖。
圖3是表示計(jì)數(shù)器元件和指示器元件在圖2的存儲(chǔ)區(qū)內(nèi)的配置的示意圖。
圖4是表示計(jì)數(shù)元件和指示器元件在圖2的存儲(chǔ)區(qū)內(nèi)的另一配置的示意圖。
圖5是表示本發(fā)明的另一實(shí)施例的示意圖，其中圖2的存儲(chǔ)區(qū)有兩個(gè)相同的指示器元件。
圖1示出一個(gè)以公開的例子方式的一個(gè)集成電路卡的集成電路器件10。
卡10包括一個(gè)控制單元11(例如一個(gè)中央處理單元即CPU)、一個(gè)具有一數(shù)據(jù)存儲(chǔ)器14的存儲(chǔ)區(qū)12、和一個(gè)用于連接到例如卡讀出器上的接觸塊13。
存儲(chǔ)區(qū)12示在圖2中，它具有一個(gè)計(jì)數(shù)器元件CPT、一個(gè)閾值VS和一個(gè)指示器元件I，還有一個(gè)禁止組件Mb，所述的指示器元件用于在計(jì)數(shù)元件已達(dá)到所述閾值時(shí)就從第一狀態(tài)e1轉(zhuǎn)換到第二狀態(tài)e2。在使用卡的同時(shí)，可以發(fā)生幾個(gè)事件，一個(gè)事件是一個(gè)在該器件內(nèi)發(fā)生的并引起一個(gè)結(jié)果的行為。在該器件正在使用時(shí)，可以測(cè)定一個(gè)這些事件的平均發(fā)生數(shù)目。例如接通電源就是一個(gè)事件，響應(yīng)此事件卡發(fā)送一個(gè)信息，這個(gè)經(jīng)常被稱為“對(duì)復(fù)位信息的響應(yīng)(the reply-to-reset message)”。發(fā)送一個(gè)簽名信息(signed message)也是一個(gè)事件。
在卡正在使用時(shí)，對(duì)于一個(gè)具體的應(yīng)用，可能發(fā)生的事件的平均數(shù)，例如“發(fā)送簽名信息”可以確定。例如對(duì)于銀行一些應(yīng)用中，在作為信用卡的典型有效時(shí)間間隔的二年期間，對(duì)于每周使用3次的用戶所擁有的卡，將有平均三百個(gè)簽名信息；對(duì)于每周使用5次的用戶所擁有的卡，將有平均六百個(gè)簽名信息。
在圖2中，計(jì)數(shù)器元件CPT對(duì)在卡中發(fā)生的事件的至少一個(gè)數(shù)目進(jìn)行計(jì)數(shù)，例如對(duì)簽名信息發(fā)生數(shù)計(jì)數(shù)。這個(gè)計(jì)數(shù)器元件可以達(dá)到閾值VS，該閾值指示所述的一些事件發(fā)生數(shù)的一個(gè)最大值。在集成電路卡包括一個(gè)只讀存儲(chǔ)器(ROM)、一個(gè)可擦除和可編程的只讀存儲(chǔ)器(EPROM)和一個(gè)電可擦掉可編程只讀存儲(chǔ)器(EEPROM)的情況下，因?yàn)殚撝礦S是固定的，所以閾值可以駐留在三個(gè)存儲(chǔ)器中的一個(gè)內(nèi)，其中所述的這三個(gè)存儲(chǔ)器按照本發(fā)明公開的方案是數(shù)據(jù)存儲(chǔ)器，而計(jì)數(shù)器元件和指示器元件將駐留在PROM內(nèi)，因?yàn)樗鼈兊闹悼梢愿淖儭?br> 按照本發(fā)明，該閾值代表在正常使用時(shí)的所述器件內(nèi)部發(fā)生的這類事件不大可能的發(fā)生數(shù)目。為了檢測(cè)對(duì)器件的欺騙性(fraudulent)的使用，此事件發(fā)生的最大數(shù)選得很大，因?yàn)樗硪徊淮罂赡艹霈F(xiàn)的事件發(fā)生數(shù)目，因此此大的事件發(fā)生最大數(shù)目約大于100，最好約大于1000，根據(jù)在不同的應(yīng)用中考慮不同的事件，選擇的這些值也不同。在上述的例子中，眾所周知，在卡與一個(gè)銀行終端之間將發(fā)生2000個(gè)簽名信息的可能性是很小的。因此，在這種情況下，將把閾值設(shè)定為2000。如果發(fā)生這種情況，那很可能是由偽造者試圖揭開存儲(chǔ)在卡中的秘密所為。
因此，為了防止偽造者作案，在元件CPT已經(jīng)達(dá)到閾值VS時(shí)，指示器元件I就從第一狀態(tài)e1轉(zhuǎn)換到第二狀態(tài)e2，它也被稱為元件I從一個(gè)無源的狀態(tài)轉(zhuǎn)換到一個(gè)有源的狀態(tài)，按照本發(fā)明的器件中的存儲(chǔ)區(qū)12還包括一個(gè)用于在指示器元件已經(jīng)進(jìn)入第二狀態(tài)e2時(shí)就禁止對(duì)該器件操作的禁止組件Mb。如果已經(jīng)達(dá)到2000個(gè)簽名信息發(fā)生，元件I就工作，而禁止組件在核查所述元件I的狀態(tài)后，就禁止卡操作，使該卡不再進(jìn)行接收或產(chǎn)生任何與使指示器元件工作有關(guān)的相同的事件，在當(dāng)前的情況下，該事件是一個(gè)簽名信息類型的事件，或收到任何事件或采取任何行為的事件。在后者的情況下，該卡不能再使用，并通常認(rèn)為是不通的(silent)。
按照本發(fā)明的器件的第一實(shí)施例，一個(gè)計(jì)數(shù)器元件用于限定一個(gè)唯一的事件。
因此，在圖3中，計(jì)數(shù)器元件CPT1被用于限定事件E1，元件CPT2被用于限定事件E2，元件CPT3被用于限定事件E3。
雖然一些事件可以具有不同的性質(zhì)，但它們?cè)诳ǖ挠行陂g內(nèi)發(fā)生的數(shù)目可以具有相同量級(jí)的值。因此它們的很少可能發(fā)生的數(shù)可以是相同的。因此可以期望把這些事件分入到相同的類別中。例如，可以假設(shè)發(fā)送簽名信息與發(fā)送加密信息屬于同一類。因此，按照本發(fā)明，一個(gè)計(jì)數(shù)器元件被用于限定至少兩個(gè)事件，其中這兩個(gè)事件屬于同一類。這樣，根據(jù)在圖4中示出的示意圖，計(jì)數(shù)器元件CPT1和CPT2分別被用于確定兩個(gè)事件類(E1，E2，E3)和(E4，E5)。
在本發(fā)明的這兩個(gè)實(shí)施例中，對(duì)于每個(gè)計(jì)數(shù)器元件限定一個(gè)閾值。因此值VS1、VS2和VS3與每個(gè)相應(yīng)的事件相聯(lián)系，例如在圖3的情況下，是等效于例如在圖4中使值VS1和VS2與事件的每個(gè)相應(yīng)的類別有關(guān)的情況。當(dāng)一個(gè)元件CPT已經(jīng)達(dá)到它的閾值VS時(shí)，指示器元件就指示被閾值代表的事件發(fā)生的最大允許數(shù)已經(jīng)達(dá)到。
在上述兩個(gè)實(shí)施例中，所述指示器元件可以采用兩種不同的方式完成。
按照本發(fā)明的器件的圖3中所示的第一變型例，至少一個(gè)指示器元件I用于指定一個(gè)唯一的計(jì)數(shù)元件CPT。因此當(dāng)計(jì)數(shù)器CPT1達(dá)到閾值VS1時(shí)，指示器元件I1就轉(zhuǎn)換到第二狀態(tài)e12。禁止組件Mb核查元件I1的狀態(tài)，一旦后者轉(zhuǎn)換到第二狀態(tài)，它使卡截止，這種情況也適用于元件I2和I3。
按照?qǐng)D4所示的本發(fā)明器件的實(shí)施例的第二變型例，至少一個(gè)指示器元件I用于指定至少兩個(gè)計(jì)數(shù)器元件CPT。這樣一來，當(dāng)元件CPT1和CPT2中的一個(gè)達(dá)到它們的各自的閾值VS1或VS2時(shí)，元件I1就從狀態(tài)e11轉(zhuǎn)換到e12，它表明偽造已經(jīng)發(fā)生，結(jié)果組件Mb使該卡截止。
按照這兩個(gè)實(shí)施例和兩個(gè)有關(guān)的變型例，在該卡內(nèi)部的事件發(fā)生數(shù)和因此被偽造者在該卡上可以進(jìn)行的可能的行為的數(shù)受到限制。
但是，在組件Mb可以將卡截止之前，偽造者可以修改卡的狀態(tài)，此修改是通過使預(yù)先為有源的指示器元件變?yōu)闊o源來實(shí)現(xiàn)的，從而可以自由地繼續(xù)揭開卡的秘密。
因此，優(yōu)選的是，在本發(fā)明的器件中的數(shù)據(jù)存儲(chǔ)器14至少有兩個(gè)位于數(shù)據(jù)存儲(chǔ)器14內(nèi)的非連續(xù)的位置上的相同的指示器元件，所述的兩個(gè)指示器元件與包括一個(gè)或多個(gè)本發(fā)明的在參考圖3和圖4并在上面提及的變型例的計(jì)數(shù)器的同一組計(jì)數(shù)器元件相連。如圖5所示，指示器元件I＇1與I1相同，因?yàn)樗鼈儍蓚€(gè)是與元件CPT1和CPT2相連，并且兩個(gè)在這兩個(gè)計(jì)數(shù)器元件中的另一個(gè)達(dá)到其最大值時(shí)的同一時(shí)間從第一狀態(tài)轉(zhuǎn)換到第二狀態(tài)。另外，這兩個(gè)指示器元件在卡的數(shù)據(jù)存儲(chǔ)器內(nèi)的不連續(xù)的兩個(gè)位置上，以便防止偽造者例如改變所有有源的相同指示器元件的狀態(tài)，這種偽造在元件駐留在很近的位置上是很容易的。因此，即使偽造者設(shè)法通過使一個(gè)元件I無源而改變?cè)撛蘒的狀態(tài)，其它的相同的指示元件仍將保持在有源狀態(tài)，因此在這樣的情況下，該偽造者要找到所有相同指示器元件的狀態(tài)的企圖的可能性很小。
在另一方面，在本發(fā)明的器件中，在一個(gè)指示器元件的狀態(tài)與另一個(gè)相同的指示器元件的狀態(tài)不同時(shí)禁止組件禁止所述器件的操作。這樣便可以對(duì)付偽造者的行為。
可以理解，在任何情況下，指示器元件的第一狀態(tài)的這些值可以彼此相同或不同。這一點(diǎn)對(duì)第二狀態(tài)的那些值也適用。
通過兩個(gè)實(shí)施例和兩個(gè)指示器元件的變型例并且由于利用相同的一些指示器元件，所以按照本發(fā)明的器件通過限制偽造者對(duì)卡進(jìn)行的可能的行為數(shù)來使卡更加安全。
權(quán)利要求
1.一種集成電路，具有一存儲(chǔ)區(qū)，該存儲(chǔ)區(qū)包括一個(gè)數(shù)據(jù)存儲(chǔ)器，其特征在于所述的數(shù)據(jù)存儲(chǔ)器具有至少一個(gè)計(jì)數(shù)器元件，至少一個(gè)指示器元件和至少一個(gè)閾值，其中所述的計(jì)數(shù)器元件一方面對(duì)在該器件內(nèi)發(fā)生的事件的至少一個(gè)發(fā)生數(shù)目進(jìn)行計(jì)數(shù)，另一方面可以達(dá)到所述閾值，達(dá)到閾值是所述這些事件發(fā)生數(shù)目最大值的表征，所述指示器元件構(gòu)造成在所述計(jì)數(shù)器元件達(dá)到所述的閾值時(shí)其從一第一狀態(tài)轉(zhuǎn)換到一第二狀態(tài)。
2.如權(quán)利要求1所述的集成電路，其特征在于事件是一個(gè)發(fā)生在所述器件內(nèi)部引起一個(gè)結(jié)果的行為，并且在所述器件的壽命時(shí)間內(nèi)它的平均發(fā)生數(shù)目是可以確定的。
3.如上述權(quán)利要求之一所述的集成電路，其特征在于所述的閾值代表一個(gè)在所述器件正常使用期間在所述器件內(nèi)發(fā)生的所述的那些事件不大可能的發(fā)生數(shù)目。
4.如上述權(quán)利要求之一所述的集成電路，其特征在于對(duì)每個(gè)計(jì)數(shù)元件限定一個(gè)閾值。
5.如上述權(quán)利要求之一所述的集成電路，其特征在于一個(gè)計(jì)數(shù)元件用于限定一個(gè)唯一的事件。
6.如上述權(quán)利要求之一所述的集成電路，其特征在于一個(gè)計(jì)數(shù)元件用于至少限定兩個(gè)事件。
7.如上述權(quán)利要求之一所述的集成電路，其特征在于至少一個(gè)指示元件用于限定一個(gè)唯一的計(jì)數(shù)元件。
8.如上述權(quán)利要求之一所述的集成電路，其特征在于至少一個(gè)指示元件用于限定至少兩個(gè)計(jì)數(shù)元件。
9.如上述權(quán)利要求之一所述的集成電路，其特征在于所述的存儲(chǔ)器包括至少在所述數(shù)據(jù)存儲(chǔ)器內(nèi)的不連續(xù)區(qū)中的兩個(gè)指示器元件。
10.如上述權(quán)利要求之一所述的集成電路，其特征在于所述存儲(chǔ)區(qū)包括一個(gè)在一個(gè)指示器元件已經(jīng)進(jìn)入第二狀態(tài)時(shí)禁止操作所述器件的禁止組件。
11.如權(quán)利要求9和10所述的集成電路，其特征在于所述禁止組件在一個(gè)指示器元件的狀態(tài)與另一個(gè)相同的指示元件不同時(shí)禁止操作所述器件。
12.如上述權(quán)利要求之一所述的集成電路，其特征在于所述事件發(fā)生數(shù)目最大值大于約100，并最好大于約1000。
全文摘要
本發(fā)明涉及一種具有包括一個(gè)數(shù)據(jù)存儲(chǔ)器的存儲(chǔ)區(qū)的集成電路,所述的數(shù)據(jù)存儲(chǔ)區(qū)具有至少一個(gè)計(jì)數(shù)器元件,至少一個(gè)指示器元件和至少一個(gè)閾值,其中所述的計(jì)數(shù)器元件一方面對(duì)在該器件內(nèi)發(fā)生的事件中的至少一個(gè)事件發(fā)生數(shù)目進(jìn)行計(jì)數(shù),另一方面可以達(dá)到作為所述這些事件發(fā)生數(shù)目的最大值的所述閾值。所述指示器元件用于在其已經(jīng)達(dá)到所述的閾值時(shí)就從一第一狀態(tài)轉(zhuǎn)換到一第二狀態(tài)。本發(fā)明特別適合用于便攜卡上。
文檔編號(hào)G07F7/10GK1326580SQ9981341
公開日2001年12月12日 申請(qǐng)日期1999年11月4日 優(yōu)先權(quán)日1998年11月17日
發(fā)明者克里斯琴·蓋恩 申請(qǐng)人:施藍(lán)姆伯格系統(tǒng)公司