用于保护电子元件免受非法操作的电路装置和方法

摘要

提供用于保护至少一个电子元件免受非法操作和/或未授权访问的一种微电子电路装置(100)和一种方法，其中该电路装置(100)和方法甚至在启动过程期间或与启动过程有关的期间不操作，提出了安排至少一个激活单元(Ai，i＝1，2，3，4，5)用于检测是否满足至少一个激活条件和用于激活至少一个阻止单元(Vj；j＝1，2，3，4，5，6，7)，该阻止单元也与该电路装置(100)相关联并与该激活单元(Ai)相连接，如果非法操作和/或未授权访问发生，则借助该阻止单元(Vj)能够至少部分地使所述元件(200)无效和/或至少部分地毁坏所述元件(200)。

说明书

本发明涉及保护电子元件免受非法操作和/或未授权访问的技术领域。

按照惯例，通过激活熔断器或存储密码来改变被保护免受未授权访问或不被非法改变其存储器内容的电子元件。在使用的时候，在启动包含状态机的过程中识别这一类改变，或者在使用前询问有效的密码然后由密码管理其它功能；在启动过程中还分析用于检测操作元件的企图的传感器。

上面说明的现有技术的系统是有缺点的，因为操作甚至可能在它自身的启动过程期间发生；并且启动过程可以每当需要时就执行，因此启动过程自身可能成为分析操作意图的主题。

将上面描述的缺点和短处作为出发点，并且适当考虑已概述的现有技术，本发明的目标是提供用于保护至少一个电子元件免受非法操作和/或未授权访问的微电子电路装置和方法，其中甚至在启动过程期间或与启动过程有关期间不操作该微电子电路装置。

通过具有权利要求1中详述的特征的电路装置和具有权利要求5中详述的特征的方法实现了这个目标。本发明的有利实施方案和进一步有用的实施方案在从属权利要求中得到体现。

依照本发明的微电子电路装置具有多个单元或部件，其中每个情况下总共存在至少一个激活单元或电路以及至少一个阻止单元或电路。

激活单元检测是否满足至少一个激活条件，并且如果至少一个激活条件(＝对电子元件的非法操作和/或对电子元件的未授权访问)被满足，则激活阻止单元，借助阻止单元能够至少部分地使该元件的操作无效和/或至少部分地毁坏该元件。有利地是，可以通过使用模拟电路技术或直接使用数字电路技术(诸如熔断器或反熔断器)、或者甚至通过使用混合的模拟/数字电路技术构造所述阻止单元。

在特定的有创造性的实施方案中，可以通过分析从外部施加的数据流或者通过来自内部传感器电路的信号来执行对满足至少一个激活条件的检测、即对自毁的开始条件的检测。

关于在激活单元中实现激活的方法，存在多种选项，它们可以相互独立地实现或者相互组合实现，诸如：

-一次或多于一次识别至少一个非法命令，

-识别多种不同的非法操作，

-发布至少一条特定激活命令，

-连同数据一起发布至少一条特定激活命令，该数据借助于至少一组编码来寻址多个元件或者寻址单独编码的元件，和/或

-通过属于该元件的、用于此目的的传感器电路一次或多于一次识别该元件上的至少一个物理攻击；在这个连接中“物理攻击”指的是，例如：

-光的作用，

-损害该元件的保护层，或

-频率和/或温度和/或电源电压或这些参数的组合超出允许的极限值的运动；

关于在阻止单元中实现阻止的方法，存在多种选项，该选项可以相互独立地实现或者相互组合地实现，诸如：

-阻止至少一个内部振荡器开始振荡，

-阻止至少一个用于外部时钟信号的振荡器开始振荡，

-切断至少一个高压限制器，特别是借助永久性编程来切断，

-阻止至少一个高压的形成，

-地址分配和/或数据分配的重新编程，

-以非法数据值加载该元件的至少一个存储元件；和/或

-在操作状态或静止状态接通至少一个增长的漏电流。

所以，总的来说，本发明可以通过例如可能是混合的模拟/数字特性的电路装置实现，并且在由被识别的外部命令或由内部传感器激活该电路装置时，使所述电子元件无效和/或引起进一步的故障(优选的是不可挽回的故障)。

为了这个目的，凭借包含在例如电可擦可编程只读存储器EEPROM或闪存产品中的监控和高压电路，除了激活传统的基于存储器的软熔断器以外，还激活这样的熔断器，该熔断器阻止电子元件从所述开始端操作或者甚至引发故意的额外的故障。

通过这种方式提高了EEPROM或闪存产品抵制窥探和分析的安全性；用户也被赋予了在该领域的使用中通过使用适当的软件而故意使其无效或不可逆地损坏他的产品的机会，如果至少一个激活条件已经被满足，则这对用户就显得很必要。

以特定有用的方式，可以使用以上描述的关系连同传感器监视的EEPROM或闪存产品的保护层，来在EEPROM或闪存产品的保护层上部分地或全部地与分析目的准备相反地破坏该EEPROM或闪存产品的保护层。

另外，上面描述的功能甚至对最终用户是有用的，特别在智能卡控制器SCC芯片中，因为当与控制系统接触时最终用户就能够在该领域的使用中使该产品无效、例如故意使其无效。

本发明最终涉及至少一个上面描述的类型的电路装置和/或上面描述类型的方法的使用，以便，如果该领域中的未授权使用发生或分析该集成电路的非法企图发生，通过至少部分的相反准备导致至少一个集成电路的自毁。

如同上面已讨论的，有多种方法可以实现和发展本发明的教导。为此，一方面应该参考依赖于权利要求1和5的权利要求，而本发明的这些和其它方面通过参考下面描述的实施方案将变得显而易见，并且参考下面描述的实施方案将得到说明。

在附图中：

图1是方框图，其给出依照本发明的电路装置的一个实施方案的图表视图，该电路装置使用了依照本发明的方法。

图1中所示的是意图保护电子元件200免受非法操作和未授权访问的微电子电路装置100的实施方案。

这个电路装置100主要通过应用下列操作方法进行操作：

(i)借助激活单元A1、A2、A3、A4、A5检测激活条件的实现，其中

(i.1)激活单元A1被安排来一次或多于一次地识别非法命令，

(i.2)激活单元A2被安排识别多种不同的非法操作，

(i.3)激活单元A3被安排发布给定的激活命令，

(i.4)激活单元A4被安排连同数据一起发布激活命令，该数据借助于至少一组编码寻址多个元件或者寻址单独编码的元件，和/或

(i.5)激活单元A5被安排来一次或多于一次地识别元件200上的物理攻击，其借助于属于元件200的意图用于这个目的的传感器电路，

(ii)如果识别到元件200的非法操作和/或对元件200的未授权访问：激活连接到激活单元A1、A2、A3、A4、A5的一个或多个阻止单元V1、V2、V3、V4、V5、V6、V7，其中

(ii.1)阻止单元V1被安排来阻止内部振荡器开始振荡，

(ii.2)阻止单元V2被安排来阻止用于外部时钟信号的振荡器开始振荡，

(ii.3)阻止单元被安排来切断高压限制器，特别是借助永久性编程来切断，

(ii.4)阻止单元V4被安排来阻止高压的形成，

(ii.5)阻止单元V5被安排来对地址分配和/或数据分配重新编程，

(ii.6)阻止单元V6被安排来以非法数据值加载元件200的存储元件210，和/或

(ii.7)阻止单元V7被安排来以操作状态或静止状态接通增长的漏电流，和

(iii)借助阻止单元V1、V2、V3、V4、V5、V6、V7使元件200无效或毁坏元件200。

图1中所示的实施方案特别是基于使高压无效的原则：

如果激活条件满足，即如果或者通过分析外部施加的数据流、或者通过元件200的内部传感器电路的信号而识别到自毁的开始条件，则这个识别和其将具有的期望效应被安排成以编码形式存储在用于启动的存储器210中，也就是以自毁SZ和阻止方法V1、V2、V4、V7的形式存储。

在接下来的步骤中，当识别到自毁SZ的条件时，则重复初始化合适动作的启动过程。

在接下来的启动该产品的尝试中，引发的条件如下：

[a]读出条件，

[b]设置阻止方法V7：

增长的漏电流被接通。

[c]设置阻止方法V4：

高压产生被阻塞，

[d]设置阻止方法V2：

外部时钟信号被忽略，

[e]设置阻止方法V1：

内部时钟信号被停止。

因此，不同的状态可以进入元件200的全部不运行和限制元件200的功能范围(比方说现在不可能编程)之间，直到集成电路环境中的故意故障(例如对于电池操作的应用来说，增长的静态电流)。

参考标号列表

100 微电子电路装置

110 激活单元Ai(i＝1，2，3，4，5)和阻止单元Vj(j＝1，2，3，4，5，6，7)之间的连接

200 电子元件

210 元件200的存储元件

A1  第一激活单元或第一种激活方法

A2  第二激活单元或第二种激活方法

A3  第三激活单元或第三种激活方法

A4  第四激活单元或第四种激活方法

A5  第五激活单元或第五种激活方法

SZ  自毁

V1  第一阻止单元或第一种阻止方法

V2  第二阻止单元或第二种阻止方法

V3  第三阻止单元或第三种阻止方法

V4  第四阻止单元或第四种阻止方法

V5  第五阻止单元或第五种阻止方法

V6  第六阻止单元或第六种阻止方法

V7  第七阻止单元或第七种阻止方法