微处理器阵列装置操作方法及微处理器阵列装置

摘要

微处理器阵列装置包含一个中央控制和处理单元(1)，总线(2)，总线包括总线状态线(21)，数据/地址线路(22)，以及连接到总线(2)的单元(3，4，5)。如果控制和处理单元(1)没有为单元(3，4，5)所寻址，随机数据值(12)将在数据/地址线(22)上传送。这样就屏蔽了微处理器阵列装置的电流分布，使有用信息通过总线(2)来传送。

说明书

技术领域

本发明涉及操作微处理器阵列装置的方法，该微处理器阵列装置包含第一单元、另外单元，以及将上述单元连接起来的总线。总线的一根线用于传送状态信号，多根线用于传送另外总线信号；此外，该微处理器还包含一个总线控制单元，用于控制第一单元对另外单元的存取。此外，本发明还涉及适合施行此方法的微处理器阵列装置。

背景技术

除了中央处理和控制单元(CPU)，微处理器阵列装置还包括另外单元，比如：集成在单芯片上用于信号输入和信号输出的存储单元或外围设备单元，也就是所谓的微控制器。该等微控制器可以用在与安全相关的系统中，例如智能卡。在此例中，微控制器的作用尤其在于：对一读取装置与该智能卡之间的数据通信进行加密，并且检验存取权限和执行其他保密操作。

众所周知，微控制器消耗的电流的时间序列能隐蔽地(？)发现微控制器的功能。例如，可以从电流分布(current profile)中获取触发点，以正确的定时方式控制后续测量；或者有可能得出关于处理器所使用的特殊计算和加密/解密算法的结论；甚至有可能确定已处理的有用信息部分。由于总线存取根据规定的信号协议进行，并且由于要驱动的高电容负载使切换操作产生了明显的电流分布，因此，总线存取会产生一种特有的电流分布。因而将常规微控制器应用到安全临界应用系统中是有疑问的。

发明内容

本发明的目标是规定一种方法，使对微处理器阵列装置的操作不受监控(monitorproof)。

更进一步的目标是规定一种适合于执行该方法的微处理器阵列装置。

根据本发明，与方法相关的目标可以利用微处理器阵列装置的操作方法获得。该阵列包含第一单元和另外单元；将第一单元与另外单元连接起来的总线，总线包含一根状态信号线，用来说明总线的操作状态，以及另外总线信号线，用来说明数据值；该阵列还包含一个总线控制单元，用于控制第一单元通过总线对另外单元的存取；在该方法中，当总线控制单元通过状态信号线通知，第一单元没有对另外单元进行存取时，一个数据值将以随机控制方式产生，并且应用于另外总线信号线。

根据本发明，执行该方法的微处理器阵列装置包括：第一单元和另外单元；将第一单元与另外单元连接起来的总线，总线包含状态信号线，用来说明总线的操作状态，以及另外总线信号线，用来说明数据值；总线控制单元，用于控制第一单元通过总线对另外单元的存取；随机数发生器，当状态信号显示第一单元没有执行对另外单元的存取时，该发生器将与另外总线信号线连接。

总线状态信号显示当前正在被中央处理和控制单元(CPU)所使用的总线的任务。如果总线在某时钟段处于空闲状态，则当前总线数据线上不显示有效信号。那么根据本发明，以随机控制方式产生的信号将通过总线的数据线传送，这将随机改变电流分布。对于通过总线传送的有用信息，电流分布将被屏蔽，因此，要在对电流分布的统计计算基础之上对有用信息下结论是非常困难甚至是不可能的。

根据总线协议，可以假设总线状态信号提前一个时钟周期规定了总线线路的状态。总线状态信号也有可能在同一时钟周期内规定其余总线线路的状态。

由CPU驱动的单元都被赋予地址。如果CPU利用总线控制单元输出分配给存储单元或外围设备单元的地址，这意味着存储单元及其储存元件或者相应的外围设备单元将被激活来接收来自总线的数据或向总线输出数据。就本发明而言，当CPU拒绝对一个与总线连接的单元进行存取，CPU仍然向总线输出一个地址。然而，该地址不是分配给与总线连接的单元，而是任意的其它地址。其后果是没有一个与总线连接的单元被激活。尽管如此，该任意地址还是通过总线传送，并因而产生相应的电流分布。由于该地址是以随机控制方式产生的，因此电流分布也可随机改变。在这种情况下，必须确保随机数不与同总线连接的单元的有效地址相冲突。

这样，通过总线状态信号的各自状态，以这种方式输出到总线的数据值获得了一个有效地址。总线状态信号进一步显示：在总线的数据线上，地址和数据中的任何一个都可以输出到(写)给定地址单元，或者从地址单元中获取(读)其中的任何一个。同样的总线信号线也可以用来读或写地址和数据，这称为多路复用数据/地址总线。从广义上说，数据值的概念可以包括表示地址、数据和当前要处理的程序指令等的数据值。一旦总线状态信号显示出现了空闲状态，那么在随后的时钟周期就会传送一个随机值。如果传送的地址不属于与总线相连接的单元，那么在随后的时钟周期中，随机值将被持续传送直到在总线上存在的单元被赋予有效的地址。在以前的微处理器中，没有分配给任何与总线连接的单元的地址代表程序编制错误。而本发明中的情况恰恰相反，传送该随机控制的地址被理解为是为了屏蔽未使用的总线周期对不存在的目的地所进行的存取。

此外，微处理器阵列总线还可以包含一个被传递到与总线连接的另外单元的允许信号。该允许信号与这些单元通信，并通过总线实现存取，在总线状态信号发出空闲状态信号后，允许信号线也可以方便地由随机值驱动。

附图说明

以下通过图片说明具体范例来对本发明做更加详细的解释，其中：

图1显示的是表示与本发明有关的微处理器元件的框图。

图2显示的是信号定时图。

具体实施方式

图1说明的微控制器包含一个中央控制和处理单元(CPU)1，用来控制内部操作序列，特别是对总线2的存取，因此，CPU1包含了一个总线控制单元11。总线自身又包含至少一条信号线路21，用来规定总线状态，以及多路复用线路22，用来成功传送与总线连接的单元的地址和数据值，也就是所谓的多路复用数据/地址总线。与总线2连接的是存储单元3，用于存储需处理的数据值和程序指令。此外，还提供第一外围设备单元4和第二外围设备单元5，可以通过它们与芯片外(off-chip)连接的功能单元交换数据。例如，在智能卡中，微控制器用来与读取设备进行通信。与总线连接的单元3，4，5分别具有总线接口31，41，51，总线控制单元11和接口31，41，51构成主从关系。

如果总线2处在空闲状态，即：与总线连接的单元3，4，5都没有被CPU激活存取。那么总线控制单元1向数据线22输出以随机控制方式生成的数据值序列。通过多路复用器13与总线数据线22连接的随机数发生器12生成随机数值。如果单元3，4，5中的任何一个由CPU1分配了地址，多路复用器13就会转接到另外一个终端14，并将把已发送或已接收的数据继续传送到CPU1的另外功能单元。

图2说明了在线路21上传送的总线状态信号BS，以及在数据/地址线22上传送的数据值B。总线按照时钟周期运转，因此各个信号状态在时钟信号CLK的一个时钟周期内有效。总线状态信号BS可假定状态IDLE为空闲状态，状态ADR为传送地址，状态WR为写入操作(数据由CPU1传送到单元3，4，5中的一个)，状态RD表示读取操作(从单元3，4，5中的一个读取数据值并传送到CPU1)。总线的控制方式为：第一个时钟周期内信号BS的状态规定了由下一时钟周期内的数据/地址线路B假定的数据值。这就意味着通过地址/数据线22传送的数据值符合一个时钟周期以前直接传送的总线状态信号BS的状态。

前三个时钟周期31显示在对存储单元3进行写入存取时的信号时序。在第一个时钟周期内，总线处于空闲状态，总线状态信号BS假定信号值为IDLE；在下一个操作时钟周期内，随机数发生器12以随机控制方式产生数据值RNG，并通过数据/地址线22传送；在下一个时钟周期内，来自总线主控器11的总线状态信号BS转为ADR状态进行地址传送。这意味着，包含在存储单元3中的一个存储元件的有效地址MEM通过总线的数据/地址信号线22传送。随后，总线状态信号BS发出写入操作WR信号，然后总线线路22将数据值DATA运送并存储在存储单元3中，在前一时钟周期被赋予地址为MEM的存储元件中。

随后，CPU1在五个时钟周期内不存取单元3，4或5中的任何一个。这样，首先在总线状态信号BS的情况下，状态IDLE在一个时钟周期内传送。在紧接下来的一个时钟周期内，随机数据值RNG在总线的数据/地址线22上输出。总线状态信号BS随后以状态ADR发出传送地址的信号，与单元3，4和5的地址空间不产生冲突的数据值NON将在数据/地址线22上传送。数据值NON由随机数发生器12以随机控制方式生成。从编程角度来看，这意味着一个单元被赋予了地址NON，这种情况在真实的硬件中是不会存在的。总线状态信号BS随后假定信号状态RD、WR和RD。随机数发生器12生成的随机值RNG在相联的时钟段内通过地址/数据信号线22传送。实际上，在地址/数据信号线上传送随机数字值时，时钟段远远多于本例所示的三个时钟段。

随后，总线状态信号BS再次转变为空闲状态IDLE，同时随机值RNG在地址/数据线上传送。然后，对地址为P1的外围设备单元4进行写入存取，并对地址为P2对外围设备单元5进行读取存取。

在本发明的情况中，当CPU1不请求存取与总线连接的外围设备单元3，4或5中的任何一个时，一个随机数值在总线2的数据/地址线22上输出。这种情况下述情况下才会发生：总线状态信号BS显示当前状态为空闲状态(IDLE)；或者一个单元被分配的地址没有分配给任何一个与总线连接单元，以便随后向总线输出在总线信号状态为WR或RD时以随机控制方式生成的数据值。这样，微控制器的电流分布被屏蔽。