专利名称:具有非易失存储器模块的电路装置和用于记录非易失存储器模块上的光冲击的方法
技术领域:
本发明涉及用于电子数据处理的电路装置,包括-用于存储数据的至少一个非易失存储器模块,-与存储器模块相关联的至少一个接口逻辑,其--用于为存储器模块寻址,并且--用于向存储器模块写入数据,或者--用于从存储器模块读取数据。
本发明进一步涉及用于检测和/或记录和/或传送信令至少一个光源对至少一个非易失存储器模块的辐射(所谓的非易失存储器模块上的“光冲击”)的方法。
背景技术:
电子模块,诸如EPROM(可擦除可编程只读存储器),EEPROM(电可擦除可编程只读存储器)或者快闪存储器,允许具有“1”和“0”形式的数字数据的写和/或读,其常常被称为写入或者擦除状态(比特)。外部影响可能引起这些数据的不正确的读取,诸如例如,通过强光源进行的辐射(所谓的“光冲击”或者“闪光冲击”)。
例如,通过使用纠错码,其中在物理介质上冗余地存储信息,并且在读入数据时算法查找这些具体数据的错误,可以抑制来自非易失存储器模块(所谓的NV(非易失)存储器模块)的此不正确的数据读取。
典型地使用了可以识别和/或纠正具有例如,八个逻辑比特(其对应于超过八个的物理比特)的存储块中的一个或者多个错误比特(已知的示例是汉明码)的算法。
出于效率和成本的原因,在纠错码的情况中的用于错误识别的算法不能够识别所有通常可能出现的错误,而是总是限于识别并且在需要时纠正每个存储块中的相对少的比特。在安全性要求高的应用中,这并不总是够用的,特别是在比特中的数个特征性错误模式出现得比其他的错误模式更加频繁或者其是由外部操纵故意产生的时候。
例如,在对关于存入货币卡的货币的计数值进行编码时,必须总是小心以确保物理稳定的状态,即数据存储器在多年后通过物理处理所能恢复的状态,对应于空的帐户状态,由此该卡不能以未经授权的方式加载较多的货币。
其他的阻碍光冲击的可行方法是,例如,对数据进行两次读访问(所谓的“读-验证模式”),其中对结果进行比较,或者在实际的读访问之前和之后通过断开的字线读取数据。断开字线具有这样的结果,在正确的操作中,总是读同一个模式(所谓的“读-已知-回答模式”);相对于此的偏差表示冲击。
然而,两次读访问措施,诸如“读-验证模式”或者“读-已知-回答模式”仅能够识别恰好在读访问时刻发生的冲击;换言之,这意味着,传统上,仅通过读取自非易失存储器模块数据中的偏差,可以识别NV存储器模块上的光(闪光)冲击;由于错误通常仅在读出过程中短暂地发生,因此在由读访问定义的该时间窗口外部,该传感器是“盲的”;此外,在使用这些方法时,延长了有效的读访问。
最终,还存在专用的光传感器,其可以分布在存储器模块中。尽管该专用的光传感器可以在任何时刻检测光(闪光)冲击,但是它们相比于存储器模块是小的,并且因此不能提供完整的表面覆盖。然而,如果增加这些传感器数目,则存储器模块的空间要求也会增加,这对其生产成本具有不利的影响。
最终,此处出现的问题在于,在光(闪光)冲击的情况中,同预期数据的偏差常常仅能在很晚的时候被识别到,这是因为该偏差不能立刻发生作用,或者以不能立刻被识别为错误的方式发生作用。如果在光(闪光)冲击的时刻没有读NV(非易失)存储器,则光(闪光)冲击完全不被识别,除非借助于上文提及的额外的光传感器。
发明内容
基于上文所述缺点和缺陷,并且考虑到所略述的现有技术,本发明的目的在于,进一步发展一种上文提及类型的电路装置,以及一种用于记录非易失存储器模块上的光冲击的相关方法,这样,首先,不论当前是否正在执行访问,特别是读访问,光冲击立即且可靠地被识别,其次,就此而言,尽可能均匀地覆盖了存储器模块的完整的地址空间。
这一目的通过具有权利要求1中说明的特征的电路装置,并且通过具有权利要求7中说明的特征的用于记录非易失存储器模块上的光冲击的相关方法得到了实现。在各自的附属权利要求中描述了本发明的有利的实施例和有用的改进方案的特征。
因此,根据本发明的教授内容,公开了一种用于检测、记录和/或传送信令非易失存储器模块(所谓的NV(非易失)存储器)上的光(闪光)冲击的方法。该方法还可被称为“闪光冲击看门狗(watchdog)”,术语“看门狗”在这里被理解为用于提供对设备、连接或者软件的循环监视的技术。
本发明基于这一事实,即该电路装置具有至少一个监视装置(所谓的“闪光看门狗逻辑”),只要没有发生对存储器模块的其他访问,则该监视装置至少使用随机数发生器或者随机生成的地址,通过断开的源晶体管读该非易失存储器模块,其中随机生成的地址尽可能均匀地有效覆盖了该存储器模块的完整的存储空间。
为了执行上文所述的方法,该电路装置,特别是与非易失存储器模块相关联的接口逻辑,根据本发明,通过至少一个监视装置(所谓的“闪光看门狗逻辑”)进行扩展,其(仅)在不存在其他的针对的存储器模块的访问要求时,-借助于测试模式接口,使存储器模块的一个或者多个源晶体管禁用,并且-在该测试模式中,循环读出存储器模块的地址,并且将其同关于未编程单元的各个地址值进行比较。
如果在测试模式周期中从存储器模块读取的地址的值与期望值或者目标值有偏差,则“闪光看门狗逻辑”触发立即异常状态(所谓的“立即硬件异常”),其向操作系统(所谓的OS(操作系统))显示和通知存储器模块上检测到的光冲击。
然而,如果在测试模式周期中从存储器模块读取的地址的值与预期值或者期望值相一致,则“闪光看门狗逻辑”读取另外的存储器模块的地址,直至该过程由CPU(中央处理单元)和/或协处理器(在下文中,并且在权利要求中,术语“CPU(中央处理单元)”应被理解为“CPU(中央处理单元)和/或协处理器”)提供的针对存储器模块的访问请求所中断,特别是读请求。
特别地,检测非易失存储器模块上的光(闪光)冲击的领域的技术人员应认识到,对于根据本发明的电路装置以及根据本发明的方法,在存储器模块的(读)访问过程中未检测到光(闪光)冲击的概率非常小,这是因为,在光(闪光)冲击的情况中,闪光的持续时间超过执行来自CPU的多条指令的持续时间的概率是非常高的。
根据本发明的特别的改进方案,在测试模式中,即在存储器模块的源晶体管的禁用状态下,通过读非易失存储器模块(NV(非易失)存储器模块),预见到了关于非传导存储器单元的数据。换言之,这意味着,与该数据的偏差的值明确地指出了读单元或者存储器单元的外部影响;这样,可以立即且可靠地检测到对准存储器模块的光(闪光)冲击,其通过提供电荷直接影响读出放大器,并且因此改变了从存储器模块读取的数据。
为了针对光(闪光)冲击增加安全等级,在本发明的优选实施例中,在存储器模块的源晶体管导通的情况下发生针对非易失存储器模块的读访问之前,在源晶体管断开的情况下,每次读访问在初始时可以发生一次。这样,在对存储器模块的每次访问之前,对光(闪光)冲击的检测是可行的(公知地,通过稍微增加的存储器模块地访问时间)。
总而言之,根据本发明的电路装置和根据本发明的方法的优点在于,以传送信令至少一次异常的形式,明确地识别具有立即反应的光(闪光)冲击,这是在不发生针对存储器模块的访问时完成的。通过根据本发明使用随机生成的地址,尽可能均匀地覆盖存储器模块的总的存储空间;即,涵盖了整个存储器模块的全部地址空间。
本发明进一步涉及微控制器,特别是“嵌入式安全控制器”,其包括至少一个上文所述类型的数据处理装置。因此,上文所述方法可以优选地内建到,例如,所有的智能卡发展方案中。
最终,本发明涉及至少一个上文所述类型的电路装置在至少一个芯片单元中的使用,特别是在至少一个“嵌入式安全控制器”中的使用。
如上文已经讨论的,存在有利地实现和进一步发展本发明的教授内容的不同的可行方法。在这一方面,参考了从属于权利要求1和7的权利要求。
通过参考下文描述的实施例,本发明的这些和其他方面是显而易见的,并且将得到说明。
在附图中图1是根据本发明的电路装置的实施例的示意性框图,借助于该电路装置可以执行根据本发明的方法。
具体实施例方式
在图1中,说明了用于电子数据处理的电路装置100的实施例;特别地,提供电路装置100用于嵌入式安全控制器类型的微控制器。
该电路装置100包括多部件非易失存储器模块10(所谓的NV(非易失)存储器),其具有EEPROM(电可擦除可编程只读存储器)的形式,并且借助于此可以存储数据。
与该NV(非易失)存储器模块10相关联的是接口逻辑20,借助于该接口逻辑20-可以对存储器模块10进行寻址(-->参考数字210a从接口逻辑20到存储器模块10的地址数据“ADDR(a:0)”),-可以写存储器模块10(-->参考数字210w从接口逻辑20到存储器模块10的信号数据“DIN(d:0)”)并且-可以读存储器模块10(-->参考数字120r从存储器模块10到接口逻辑20的信号数据“DOUT(d:0)”)。
根据图1的电路装置100的具体特征将由这一事实看出,即用于监视存储器模块10的监视装置22与接口逻辑20相关联,借助于该监视装置22,光源对存储器模块10的辐射(所谓的“光冲击”)可以在测试模式T中被检测、记录和传送信令,其中不发生针对存储器模块10的读访问。
为此-至少一个定时器/时钟单元30,其用于为监视装置22的循环操作提供规则的时间间隔或者时钟信号(-->参考数字320),以及-至少一个随机数发生器40,其用于为监视装置22生成随机数(-->参考数字420)与监视装置22相关联。
通过寻址多路复用单元24提供了根据图1中的实施例的监视装置22和随机数发生器40之间的连接,该寻址多路复用单元24集成在监视装置22中,并且具有两个输入-用于正常模式N的输入,用于来自CPU(中央处理单元)的地址数据“CPU NV addr”(-->参考数字C20a),和-用于测试模块T的输入,用于来自随机数发生器40的随机地址数据(-->参考数字420);即,测试模式输入接收由随机数发生器40生成的随机数,用于随机存储器模块寻址。
因此,寻址多路复用单元24用于在对存储器模块10进行访问时的来自CPU的存储器模块寻址(=正常模式N)以及在存储器模块10被监视时的借助于随机数发生器40生成的随机存储器模块寻址(=测试模式T)之间进行切换;依赖于当前所激活的是正常模式N还是测试模式T,来自CPU的存储器模块寻址(-->正常模式N)或者借助于随机数发生器40生成的随机存储器模块寻址(-->测试模式T),作为地址数据210a被通信到存储器模块10。
访问多路复用单元26也配置在监视装置22中,其输入接收来自存储器模块10的信号数据120r。该访问多路复用单元26具有两个输出端-用于正常模式N的输出,用于同CPU连接(-->参考数字20Cr),和-用于测试模块T的输出,用于同模式检测单元28连接。
因此,访问多路复用单元26用于使来自存储器模块10的读出的信号数据在连接到CPU和存储器检测单元28之间切换,其中存储器检测单元28被提供用于将存储器模块10的随机地址值同未编程的存储器单元的地址值进行比较。如果所比较的地址值之间缺乏一致性,即如果检测到光(闪光)冲击,则由该模式检测单元28触发异常状态E[所谓的“硬件异常”]。
如上文所指出的,两个操作状态在根据图1的该电路装置100的处理功能中进行区分(i)正常模式N,同时存储器模块10的源晶体管导通(测试模式数据“DAW=0”;cf.参考数据210t),即在其中发生了针对存储器模块10的读访问的时间间隔中-寻址多路复用单元24中的存储器模块寻址和-访问多路复用单元26中同CPU的连接被连接;(ii)测试模式T或者“闪光冲击检测模式”,同时存储器模块10的源晶体管断开(测试模式数据“DAW=1”;cf.参考数据210t),即在其中不发生针对存储器模块10的读访问的时间间隔中,-寻址多路复用单元24中的存储器模块随机寻址,和-访问多路复用单元26中的模式检测单元28被连接。
因此,本发明的核心在于这一事实,借助于根据图1的电路配置100,可以执行用于检测、记录和传送信令光源对非易失存储器模块10的辐射(所谓的非易失存储器模块10上的“光冲击”)的方法,由此,在借助于循环定时器/时钟信号“slowclk”(-->参考数字320)由定时器/时钟单元30所触发的规则时间周期中,利用由接口逻辑20经由随机寻址“RND(r:0)”(-->参考数字420)生成的随机地址,在测试模式T(<-->DAW=1;cf.参考数据210t)下读取存储器模块10。
然后,由模式检测单元28检查在测试模式T(<-->DAW=1;cf.参考数据210t)下从存储器模块10读取的数据的值,并且将其同正在使用的存储器模块10类型的具体期望值或者目标值相比较。如果读出的数据至少有一位与正在使用的存储器模块10类型的具体期望值或者目标值不同,则由模式检测单元28触发异常状态E(所谓的“硬件异常”),以便于引发CPU对光(闪光)冲击的立即反应。
参考数字列表100 用于电子数据处理的电路装置10 非易失存储器模块或者NV(非易失)存储器
20 接口逻辑22 监视装置24 寻址多路复用单元26 访问多路复用单元28 模式检测单元30 定时器/时钟单元40 随机数发生器210a 从接口逻辑20到存储器模块10的地址数据“ADDR(a:0)”120r 从存储器模块10到接口逻辑20的信号数据“DOUT(d:0)”210t 从接口逻辑20到存储器模块10的测试模式数据“DAW”210w 从接口逻辑20到存储器模块10的信号数据“DIN(d:0)”320 特别地,从定时器/时钟单元30到接口逻辑20的循环定时器/时钟信号“slowclk”420 从随机数发生器40到接口逻辑20的随机数信号“RND(r:0)”C20a 从CPU到接口逻辑20的地址数据“CPU NV addr”20Cr 从接口逻辑20到CPU的信号数据“CPU NV read data”C20w 从CPU到接口逻辑20的信号数据“CPU NV write data”E 异常状态[“硬件异常”]N 正常(读)模式,同时测试模式数据DAW=0T 测试模式,同时测试模式数据DAW=权利要求
1.一种用于电子数据处理的电路装置(100),包括-用于存储数据的至少一个非易失存储器模块(10),和-与存储器模块(10)相关联的至少一个接口逻辑(20),其--用于寻址存储器模块(10),并且--用于向存储器模块(10)写入数据,或者--用于从存储器模块(10)读取数据,其特征在于,提供用于监视存储器模块(10)的至少一个监视装置(22)与接口逻辑(20)相关联,借助于该监视装置(22),至少一个光源对存储器模块(10)的辐射[所谓的“光冲击”]可以在测试模式(T)中被检测和/或记录和/或传送信令,其中不发生针对存储器模块(10)的写或读访问。
2.权利要求1的电路装置,其特征在于,-至少一个定时器/时钟单元(30),用于为监视装置(22)提供规则的时间间隔或者时钟信号,和-至少一个随机数发生器(40),用于为监视装置(22)生成随机数,与监视装置(22)相关联。
3.权利要求2的电路装置,其特征在于,监视装置(22)具有-至少一个寻址多路复用单元(24),其用于在对存储器模块(10)访问时来自至少一个中央处理单元的至少一个存储器模块寻址以及在存储器模块(10)正被监视时借助于随机数发生器(40)生成的至少一个存储器模块随机寻址之间进行切换,和-至少一个访问多路复用单元(26),其用于使来自存储器模块(10)读取的信号数据在至少一个连接到中央处理单元以及至少一个模式检测单元(28)之间切换,其中模式检测单元(28)被提供用于将存储器模块(10)的随机地址值同未编程的存储器单元的地址值进行比较,如果所比较的地址值之间缺乏一致性,则由该模式检测单元(28)可以触发至少一个异常状态(E)[所谓的“硬件异常”]。
4.权利要求3的电路装置,其特征在于,-在其中发生了针对存储器模块(10)的读访问的时间间隔中[所谓的正常模式(N),且存储器模块(10)的至少一个源晶体管导通],--在寻址多路复用单元(24)中存储器模块寻址和--在访问多路复用单元(26)中到中央处理单元的连接被连接;并且-在其中不发生针对存储器模块(10)的写或读访问的时间间隔中[所谓的测试模式(T)或者“闪光冲击检测模式”,且存储器模块(10)的源晶体管断开],--在寻址多路复用单元(24)中随机存储器模块寻址,和--在访问多路复用单元(26)中模式检测单元(28)被连接。
5.权利要求1至4的至少一个的电路装置,其特征在于,存储器模块(10)被设置为-至少一个可擦除可编程只读存储器,-至少一个电可擦除可编程只读存储器,或者-至少一个快闪存储器。
6.一种微控制器,特别是嵌入式安全控制器,包括至少一个如权利要求1至5的至少一个所要求的电路装置。
7.一种用于检测和/或记录和/或传送信令至少一个光源对至少一个非易失存储器模块(10)的辐射[对非易失存储器模块(10)的所谓的“光冲击”]的方法,其特征在于,在其中不发生针对存储器模块(10)的写或读访问的测试模式(T)中,借助于与至少一个接口逻辑(20)相关联的至少一个监视装置(22),针对光冲击监视存储器模块(10)。
8.权利要求7的方法,其特征在于,在用于监视存储器模块(10)的测试模式(T)中,-借助于至少一个随机存储器模块寻址生成的存储器模块(10)的随机地址值同未编程的存储器单元的地址值进行比较,并且-如果所比较的地址值之间缺乏一致性,则触发至少一个异常状态(E)[所谓的“硬件异常”]。
9.权利要求7或8的方法,其特征在于,在针对存储器模块(10)的每次读访问之前[所谓的正常读模式(N),且存储器模块(10)的至少一个源晶体管导通],监视装置(22)至少激活一次[所谓的测试模式(T)或者“闪光冲击检测模式”,且存储器模块(10)的源晶体管断开]。
10.如权利要求1至5的至少一个所要求的至少一个电路装置(100)在至少一个芯片单元中的使用,特别是在至少一个嵌入式安全控制器中。
全文摘要
为了进一步发展一种用于电子数据通信的电路装置(100),其包括用于存储数据的至少一个非易失存储器模块(10),和与存储器模块(10)相关联的至少一个接口逻辑(20),其用于为存储器模块(10)寻址,或者用于向存储器模块(10)写入数据或用于从存储器模块(10)读取数据;以及一种用于记录非易失存储器模块(10)上的光冲击的相关方法,这样,首先,不论针对存储器模块(10)的访问,特别是读访问,是否正在发生,光冲击立即且可靠地被识别,其次,就此而言,尽可能均匀地覆盖了存储器模块(10)的完整的地址空间,提出了,提供用于监视存储器模块(10)的监视装置(22)与接口逻辑(20)相关联,借助于该监视装置(22),至少一个光源对存储器模块(10)的辐射[所谓的“光冲击”]可以在测试模式(T)中被检测和/或记录和/或传送信令,其中不发生针对存储器模块(10)的写或读访问。
文档编号G06F21/75GK1714408SQ200380103955
公开日2005年12月28日 申请日期2003年11月13日 优先权日2002年11月22日
发明者J·C·H·加贝, W·布尔 申请人:皇家飞利浦电子股份有限公司