数据处理电路及通信移动终端装置的制作方法

专利名称：数据处理电路及通信移动终端装置的制作方法
技术领域：
本发明涉及一种具有微控制器的数据处理电路，例如IC卡或用 户识別模块(Subscriber Identity Module, SIM)卡，特別涉及有效应用 在搭载有用户识别模块卡的通信移动终端装置中的技术。
背景技术：
IC卡所代表的数据处理电路具有作为针对内部分析(逆向工程) 和改变的防护力的抗篡改性(tamper-resistant)。例如，作为抗墓改 性，应用在IC卡上的微控制器(IC卡用微控制器)搭载有用于检测 脱离作为微控制器的标准而规定的使用条件和工作条件的范围的温 度值、电压值、或工作频率值的检测电路,以保护保存在微控制器内的 存储器中的重要的数据免受如电流分析和物理分析那样的外部攻击。 该检测电路，当检测到规定范围以外的温度值、电压值、或工作频率 值时，向微控制器发送复位信号，并迁移到启动微控制器时的状态。 利用该检测电路，能够保护重要数据免受外部攻击。
专利文献l中记栽有下述技术当电压降低检测电路检测到比第 1检测电压还小的值例如9V时，向CPU发送如NMI的最优先中断 信号(3a)，随即，CPU将数据备份到非易失性存储器中，另外，若 检测到比第2检测电压例如7V还低的值时，通过复位电路来复位 CPU。在专利文献l中，记载有在上述备份处理结束了之后，停止对 监视计数器的脉冲，并复位CPU。利用上述技术，可以在复位之后确 认检测电路检测到异常时的微控制器的状态。
专利文献2中记载有当电源电压为4.75V以下时采取向CPU请 求中断并将数据保存到存储器中等的异常对策，并且当电源电压为 4.5V以下时复位CPU的技术。利用上述4支术，可以在复位之后确认检测到电源电压的异常时的微控制器的状态。
专利文献3中记载有设置检测闪存存储器的特性劣化的电路，在 检测到特性劣化时通过中断来停止CPU的工作的技术。利用上述技 术，可以抑制闪存存储器特性劣化的进一步发展。
专利文献1日本特开2001 - 101088号公报
专利文献2日本特开平6- 35562号公报
专利文献3日本特开平8 - 179993号公报 本发明的发明人对保护微控制器内的数据免受外部攻击的技术 进行了研究。当检测到脱离作为微控制器的规格而规定的使用条件或 工作条件的规定范围内的电压值时，能够在微控制器复位之前备份内 部状态。在此之后立即复位微控制器这一点在数据处理的效率性上并 非是最有效的。这是因为所谓非法访问也有是在无关的实际工作中电 源电压和工作频率等发生变动的情况。尽管如此，还是需要针对非法 访问采取对策，仅仅单纯的备份是不够的。例如，如EEPROM和闪 存存储器的微控制器内的存储器，随着写入次数或重写次数的增加， 器件的性能发生劣化，所以，即使在读入在微控制器的规格所规定的 范围内的工作电源电压下保存到闪存存储器等中的数据的情况下，也 可能读出和所期望的值不同的值。通过积极地作出如上所述的状态使 之发生误动作，就有可能被进行数据的非法访问。如前所述，如果 在备份之后立即进行复位，则非法访问就变成了每次无关的实际工作 中电源电压和工作频率等发生变动就进行复位的情况，从而数据处理 效率显著降低。专利文献l、 2并没有考虑这一点。专利文献3的技 术阻止了存储器的特性劣化本身，但没有将存储器的特性劣化与抑制 非法访问结合起来。

发明内容
本发明的目的在于提供一种数据处理电路，该数据处理电路在微 控制器的动作脱离工作保证范围内的特定的工作条件而发生性能劣 化时，可以在之后确认内部状态，并且能够在这种状态下实现抑制对微控制器内部的数据的非法访问。
以下，通过本发明的说明书的记载和附图来说明本发明的上迷以
及其他目的和新颖性特征。
以下简单说明本申请所公开的发明的代表性的发明概要。
即，采用检测具有控制器的数据处理电路的动作是否脱离了第1
工作条件的第l检测器、和检测数据处理电路的动作是否脱离了比上
述第1工作条件更严格的第2工作条件的第2检测器，并且对第l检 测器检测到脱离了上述第1工作条件的情况进行响应，向上述控制器 发出复位指示，上述控制器进行可重写非易失性存储器和非易失性存 储器的控制和外部接口控制。另外，控制器根据上述第2检测器检测 到脱离了上述第2工作条件的情况而对内部状态进行备份，并且控制 来自外部的针对上述非易失性存储器的存储区域的访问。通过上述备 份，当控制器的动作脱离了第2工作条件而发生性能劣化时，可以在 之后确认内部状态。另外，通过进行访问控制，能够在上述的性能劣 化的状态下，实现对诸如篡改控制器内部的数据或者无视访问权限而 引用之类的非法访问进行抑制。
的效果。
即，在数据处理电路中的微控制器的动作脱离了在工作保证范围 内特定的工作条件而发生性能劣化时，能够实现在之后确认内部状 态，并且能够在上述状态下抑制对微控制器内部的数据的非法访问。


图l是表示本发明的数据处理电路的一个例子的框图。
图2是整体地表示电压检测电路、频率检测器检测到异常值时微
控制器所进行的控制动作的流程图。
图3是表示例示迁移到保护模式的微控制器的动作的流程图。 图4是表示作为搭栽在数据处理电路上的微控制器而设置了计
数器的微控制器的例子的框图。图5是表示替代图4中的计数器而在搭栽于数据处理电路上的 EEPROM上设定了性能监视区域的例子的框图。
图6是例示替代频率检测控制电路而搭载了温度检测控制电路 的数据处理电路的框图。
图7是整体地表示当频率检测电路、温度检测器检测到异常值时 的微控制器进行的控制动作的流程图。
图8是表示替代温度检测控制电路而搭栽了电压检测控制电路 的数据处理电路的框图。
图9是整体地表示当频率检测电路、电压检测器检测到异常值时 的微控制器进行的控制动作的流程图。
图IO是表示应用了数据处理电路的通信移动终端装置的框图。
(附图标记说明)
100， 100A、 100B:数据处理电路(CRD); 110:电源端子(Vcc); 112:接地端子(GND) ; 114:输入输出端子(I/O) ; 116:时钟输 入端子(CLK ); 118:复位端子(RST ); 120:电压检测电路(VOLDTC ); 130:复位控制电路(RSTCNT) ; 131:复位信号；140:微控制器 (MCON); 141:中央处理装置(CPU); 142:输入输出控制电路 (IOCNT) ; 143:存储器控制电路(MEMCTN) ; 144:只读非易 失性存储器(ROM) ; 145:易失性存储器(RAM) ; 146:非易失 性存储器(EEPROM) ; 147, 147A:控制器；150:频率检测电路 (FRQDTC) ; 152:第1频率检测器(FRQDTC—F ) ;153:复位请 求；154:第2频率检测器(FRQDTC—S ) ; 160:计数器(COUNT ); 170:诸如扇区的写入单位(SCTR ); 171:性能监视区域(CHKARE );; 180:频率检测电路；190:温度检测控制电路(TEMDTC) ; 192: 第1温度检测器(TMPDTC—F) ; 193:复位请求；194:第2温度检 测器(TMPDTC—S) ; 200:电压检测控制电路(VOLDTC) ; 202: 第1电压检测器(VOLDTC—F) ; 203:复位请求；204:第2电压检 测器(VOLDTC—S) ; 210:移动通信终端装置(TRML )
具体实施例方式
1.实施方式的概要
首先，对本申请所公开的发明的典型实施方式的概要进行说明。 在对典型实施方式的概要说明中，标记括号来引用的附图中的附图标 记仅仅例示包含在标记了该附图标记的构成要素的概念中。
(1) 数据处理电路具有可重写的非易失性存储器；进行上述 非易失性存储器的访问控制和外部接口控制的控制器(147、 147A); 第l检测器(152、 192、 202 );第2检测器(154、 194、 204 );以 及复位电路(130)。第l检测器检测动作是否脱离了第1工作条件。 第2检测器检测动作是否脱离了比上述第1工作条件更严格的第2工 作条件。复位电路对上述第l检测器检测到脱离上述第1工作条件的 情况进行响应，向上述控制器发出复位指示。上述控制器根据上述第 2检测器检测到脱离了上述第2工作条件的情况对内部状态进行备份， 并且对来自外部的对上述非易失性存储器的存储区域的访问进行限 制。
通过上述备份，在数据处理电路的动作脱离了第2工作条件，控 制器和非易失性存储器的性能发生劣化时，可以在之后确认内部状 态。另外，通过进行访问控制，可以在上述性能劣化的状态下实现对 篡改非易失性存储器内部的数据、或无视访问权限而进行访问这样的 非法访问进行控制。
(2) 在上述(1)的数据处理电路中，上述控制器具有对与外部 的输入输出进行控制的输入输出控制电路(142),并且，根据上述 第2检测器检测到脱离上述第2工作条件而对针对上迷外部输入输出 控制电路的外部输出进行限制。通过进行外部输入输出限制可以和上 述同样地抑制非法访问。
(3) 在上述(1)的数据处理电路中，上述控制器具有累计并保 持其工作期间的计数器(160)，并且将上述计数器的累计值超过规 定值这一情况作为对进行上述访问限制的一个条件。在从一开始就进 行访问限制的情况下，由于即使非易失性存储器的特性没有劣化也受到访问限制，所以数椐处理效率低。如果在发展到一定程度的劣化之 后进行访问限制，则能够在明显存在非易失性存储器的乱码数据且受 到非法访问的可能性成为现实的状态下采取对策，从而能够将数据处 理效率的降低抑制在最小限度。
(4) 在上述(2)的数据处理电路中，上述控制器具有累计并保 持其工作期间的计数器，并且，将上述计数器的累计值超过规定值的
情况作为进行上述输入输出限制的一个条件。当从一开始就进行输入 输出限制的情况下，由于即使非易失性存储器的特性没有劣化也受到 输入输出限制，所以数据处理效率降低。若在发展到一定程度的劣化 之后进行输入输出限制，则能够在明显存在非易失性存储器的乱码数 据且受到非法访问的可能性成为现实的状态下釆取对策，从而能够将 数据处理效率的降低抑制在最小限度。
(5) 在上述(1)的数据处理电路中，上述非易失性存储器具有 在写入单位(no)的一部分的存储区域中存储了特定数据的监视区
域(ni)，并且能够按上述写入单位进行电写入。上述控制器将在 访问上述非易失性存储器时检测到从上述监视区域读出的数据变化 成特定数据以外的数据这一情况作为进行上述访问限制的 一个条件。 只要能实际把握监视区域的特性劣化的状态并实施访问限制，则能够 在明显存在非易失性存储器的乱码数据并且受到非法访问的可能性 变为现实的状态下采取对策，从而能够将数据处理效率的降低抑制在 最小限度。
(6) 在上述(2)的数据处理电路中，上述非易失性存储器具有 在写入单位的一部分的存储区域中存储了特定数据的监视区域，并且 能够按上述写入单位进行电写入。上迷控制器将在访问上述非易失性 存储器时检测到从上述监视区域读出的数据变化成特定数据以外的 数据这一 情况作为进行上述外部输入输出限制的 一 个条件。只要能实 际把握监视区域的特性劣化的状态并实施外部输入输出限制，则能够 在明显存在非易失性存储器的乱码数据并且受到非法访问的可能性 变为现实的状态下釆取对策，从而能够将数据处理效率的降低抑制在最小限度。
(7) 在上述(1)的数据处理电路中，上述第l工作条件为上述 数据处理电路的工作规格中的工作保证条件之一。
(8) 在上述(1)的数据处理电路中，对上述第l检测器和第2 检测器输入由外部时钟端子(116)提供的时钟信号，在上述第1工 作条件中，上述时钟信号的频率在第l频带范围内，在第2工作条件 中，上述时钟信号的频率在上述第1频带内的第2频带的范围内。能 够直接针对通过故意使时钟信号频率劣化并误动作来进行非法访问 的行为釆取对策。
(9) 在上述(1)的数据处理电路中，对上述第l检测器和第2 检测器输入由外部电源端子(110、 112)提供的电源电压，在第l工 作条件中，上述电源电压在第1电源电压范围内，在第2工作条件中， 上述电源电压在第1电压范围内的第2电压范围内。能够直接针对通 过故意使电源电压劣化并误动作来进行非法访问的行为釆取对策。
(10 )在上述(1)的数据处理电路中，上述第1检测器和第2 检测器检测数据处理电路的温度，在第l工作条件中，上述检测温度 在第l温度范围内，在第2工作条件中，上述检测温度在上述第l温 度范围内的第2温度范围内。能够直接针对通过故意使数据处理电路 的温度环境劣化并误动作来进行非法访问的行为采取对策。
(11 )在上述(1 )的数据处理电路中，作为IC卡用微控制器(140) 而设置上述控制器和非易失性存储器，并且具有基于IS07816-2标准 的外部端子。能够提高IC卡微控制器的抗干扰性。
(12) 上述(11)的数据处理电路例如是用户识别模块卡。能够 提高用户识别模块卡的抗干扰性。
(13) 在通信终端装置中，作为用户识别模块卡而搭载有上述 (12)的数据处理电路。能够实现提高使用通信终端装置的交易等的
安全性。
2.实施例的详细说明
对实施方式进行更详细的说明。以下，结合附图对用于实施本发明的最佳方式进行详细说明。另外，在用于说明用来实施发明的最佳 方式的全部附图中，对具有相同功能的部件标记同一符号，并省略了 其重复的说明。
图l表示本发明的数据处理电路的一个例子。该图所示的数据处
理电路没有特别限制，可以为IC卡、用户识别模块卡或带有安全功
能的存储器卡等。
数据处理电路(CRD) 100，作为基于IS07816-2标准的外部接 口端子，例如在卡基板上具有电源端子(Vcc)110、接地端子(GND)112、 输入输出端子(1/0)114、时钟输入端子(CLK)116、复位端子(RST) 118。数据处理电路100具有设置在卡基板上的电压检测电路 (VOLDTC) 120、复位控制电路(RSTCNT) 130、频率检测电路 (FRQDTC)150、以及微控制器(MCON ) 140，并且这些部分由单 芯片或多芯片构成。
微控制器140没有特别限制，具有可电改写非易失性存储器 (EEPROM) 146、易失性存储器(RAM) 145、只读非易失性存储 器(ROM) 144、以及进行存储器控制和外部接口控制的控制器147。 控制器147，例如由提取并执行命令的中央处理装置(CPU) 141、进 行与外部的输入输出控制的输入输出控制电路(IOCNT) 142、以及 进行内部存储器144、 145、 146的控制的存储器控制电路(MEMCNT) 143组成。CPU 141提取并执行存储在ROM 144中的程序，执行程 序时将RAM145用作工作区域或数据的暂时存储区域。在利用CPU 141执行程序时，当存储器控制电路143检测到存储器访问的请求时， 基于访问地址，以与访问对象存储器相符合的步骤进行访问控制。
Vcc 110是用于提供数据处理电路100的工作电源的接口，在 IS07816 - 2中被分配Cl端子。GND 112是对数据处理电路100提供 接地电位的端子，在IS07816-2中被分配C5端子。1/0 114是用于在 数据处理电路100与外部之间进行APDU ( Applicaton Protocol Data Unit的简称)即命令或应答时收发数据的接口 ，在IS07816-2中被分 配C7端子。1/OU4连接到输入输出控制电路142。 CLK116是为了使数据处理电路100基于IS07816 - 2号标准进行处理而输入必要的 时钟信号的接口，在IS07816-2中被分配C3端子。将由CLK116提 供的时钟信号ck用作微控制器140的动作基准时钟，其频率将影响 CPU 141的命令执行周期、对存储器144 ~ 146的访问周期、EEPROM 146的写入动作时间和删除动作时间。RST 118是从外部向数据处理 电路100提供复位信号的接口，在IS07816-2中被分配C2端子。当 向微控制器140提供复位信号131，并且指示微控制器140进行复位 时，控制器内部的存储电路(寄存器)以及数据总线的逻辑值被初始 化，另外RAM 145的存储内容也被初始化。以下，将经由RST 118 的复位信号称为外部复位。在基于IS07816-2标准的通信中，不论 将哪个端子分配作为哪个接口，只要该分配是清楚的，都不会影响以 下的发明本质。
为了保护存储在数据处理电路100中的数据免受如电流分析和 物理分析这些外部攻击，数据处理电路100搭栽有如上述电压检测电 路120和频率检测控制电路150的检测电路。
电压检测电路120是用于检测由Vcc 110提供的电源电压是否脱 离了在数据处理电路100的用户手册等中所规定的工作规格中的工作 保证范围的电压范围的电路。电压检测电路120根据检测电源电压脱 离了上述工作保证范围的电压范围这一情况，利用复位信号121向复 位控制电路130请求复位。复位控制电路130收到复位请求后，激活 复位信号131，向微控制器140发出复位指示。
频率检测控制电路150中搭载有第1频率检测器(FRQDTC—F) 152和第2频率检测器(FRQDTC—S) 154这两种频率检测器。频率 检测器152检测由时钟端子116提供的时钟信号ck的频率是否脱离 了第l频带。第1频带是数据处理电路100的用户手册等中所规定的 工作规格中的工作保证条件之一，表示为获得所要的性能而必须的时 钟信号ck的下限频率至上限频率的范围。频率检测电路154检测由 时钟端子116提供的时钟信号ck的频率是否脱离了上述第1频带内 的第2频带。第2频带表示比以第1频带确定的工作保证条件更严格的工作条件。更具体而言，频率检测器154是用于对可以按照期待读 出发生性能劣化了的EEPROM 146所保存的数据的范围以外的频率 值进行检测的电路。对频率检测器152和频率检测器154所检测到的 异常频率值的范围进行比较，通常认为频率检测器154 —方在更宽的 频率范围内检测到异常状态。
例如，电压检测电路120检测-1.0V 10.0V以外的电压值，并且 频率检测器152检测300kHz ~10.0MHz以外的频率值，频率检测器 154检测lMHz 6MHz以外的频率值。
当利用频率检测器152检测到时钟信号ck的频率脱离了第1频 带时，频率检测控制电路150向复位控制电路130发出复位请求153， 由此，复位控制信号130利用复位信号131对微控制器140进行初始 化。当利用频率检测器154检测到时钟信号ck的频率脱离了第2频 带时，频率检测控制电路150利用异常频率检测信号151例如发出向 保护模式迁移的指示。在下文中将对保护模式进行详细说明。
图2中整体地表示了电压检测电路120、频率检测器152、 154 检测到异常值时微控制器140进行的控制动作。在这里所说的异常值， 如前所述，是用户手册中所规定的范围以外的值、或CPU141不能从 性能发生劣化了的EEPROM 146所保存的数据中读出符合要求的数 据的范围的值。
当电压检测电路120检测到异常电压值时，电压检测电路120 向复位控制电路130发送复位请求信号(Sl、 S2)。接收到复位请求 信号的复位控制电路130向微控制器140发送复位信号131 (S3)。 接收到复位信号的微控制器140无论正在进行何种动作，都迁移到启 动时的状态，即迁移到初始状态。
当电压检测电路120没有检测到异常的电压值、但频率检测器 152检测到异常频率值时，和电压检测电路120检测到异常电压值的 情况相同，频率检测器152向复位控制电路130发送复位请求信号 (S4、 S2)。之后的处理和电压检测电路120检测到异常电压值时的 情况相同(S3)。当电压检测电路120和频率检测器152没有检测到异常值、但频 率检测器154检测到异常频率值时，向微控制器140发送异常频率检 测信号151 (S5、 S6)。接收到异常频率检测信号151的微控制器140 迁移到保护模式(S7)。
当电压检测电路120和频率检测器152、 154都没有检测到异常 值时，微控制器140在通常模式下工作(S8),在该通常模式下，对 EEPROM 146等的存储器的访问等不实施特别限制。
图3中例示迁移到保护模式的微控制器140的动作。CPU 141 接收到来自频率检测器154的异常频率检测信号151时，进行将暂存 器内的数据和通用寄存器等中的内部的值保存到EEPROM 146( S10 ) 的备份动作。也可以在一旦收到异常频率检测信号151后每隔规定期 间就自动重复进行备份动作。重复的间隔也可以利用省略了图示的定 时器等实现。考虑假设在数据处理电路100受到非法攻击的情况下， 攻击者在利用频率检测器154能够进行异常检测的频率值之后，要利 用频率检测器152检测出异常的频率值进行攻击。上述备份动作例如 是使数据处理电路以频率检测器152能够检测到异常的频率进行动作 所具备的动作。通过进行该动作，即使频率检测器154和电压检测电 路120在之后检测到异常值的情况下，通过使用保存在EEPROM 146 中的数据，也可以在复位之后确认检测到异常值之前的微控制器的状 态，进而，利用CPU 146的初始化动作程序，能够使微控制器140 的状态从初始状态返回到检测到异常值之前的状态。这例如可以有效 防止在处理收费信息和余额信息的过程中途强制性地使之发生异常 并使最新数据无效的企图。
基于频率检测器154的上述异常检测值，CPU 141除了进行上述 备份动作之外，还指示存储器控制电路143对来自外部的针对 EEPROM 146的存储区域的访问进行限制(Sll)。存储器控制电路 143进行的访问限制，是指禁止对EEPROM 146所保存的全部数据的 访问。另外，当预先决定了保存重要数据的区域的地址的情况下，存 储器控制电路143也可以仅针对保存在该保存重要数据的地址中的数据进行禁止来自CPU 141的访问的控制。通过进行这样的存储器控 制，能够保护如与金钱有关的信息和与用户有关的信息这些重要信息 免受外部攻击。
基于频率检测器154的上述异常检测值，CPU 141进一步指示输 入输出控制电路142进行外部输入输出限制(S12)。输入输出控制 电路142进行的外部输入输出限制，是拒绝来自外部的以EEPROM 为访问对象的访问请求的功能，并不进行向存储器控制电路143发送 相应的访问请求的操作。由此，能够在存储器控制电路143的前级就 拒绝了对EEPROM 146的访问请求。另外，作为输入输出限制，也 可以在从外部终端装置提供了访问保存在EEPROM 146中的数据的 APDU的情况下，以处于不能访问EEPROM 146的状况作为对APDU 的应答，通知终端装置，从而实现不接收对EEPROM 146的访问请 求。另外，针对访问存储在EEPROM 146所保存的数据的请求之外 的APDU，也可以返回同样的拒绝请求响应。
通过采用以上的保护模式，即使在复位控制电路130发送了复位 信号时，在接收到复位信号之后，也能使用对微控制器140进行初始 化的程序迁移到发送复位信号之前的状态。另外，还能够保护发生了 性能劣化的存储器所保存的数据的安全。
图4中表示搭栽在数据处理电路100中的微控制器的其他例子。 该图所示的微控制器140A与图1的微控制器140的不同点在于在控 制器147A中具有计数器(COUNT) 160。计数器160是以取得可以 作为随着对EEPROM 146的改写次数的增加而特性劣化的指标而利 用的值为目的装置，例如，累计并保持EEPROM的改写工作时间， 或累计保持改写次数。在计数器160中可以利用实时时钟的秒计数 器等。计数器160的累计值被依次存储到非易失性寄存器中。CPU 141A在通过异常频率检测信号151而检测到上述频率异常时，判断 计数器160的计数值是否超过规定值，并且仅在超过了的情况下进行 上述保护模式下的访问限制和外部输入输出限制的处理。所说的规定 值，是指被认为可能产生由于EEPROM的重复改写动作而产生写入、删除、读出等的特性劣化的、在数据写入动作中所写入的数据与目的 数据不相同、或者读出数据成不期望值的乱码状态的问题的、与改写 动作的累计时间有关的值。
利用这样的结构，在能够判断为EEPROM 146的性能没有劣化 的期间内不进行上述访问限制和外部输入输出限制。在从一开始就进 行访问限制等的情况下，即使非易失性存储器的特性没有劣化，也受 到访问限制，所以数据的处理效率降低。如果在发展到一定程度劣化 之后再实施访问限制，则能够在明显存在非易失性存储器的乱码数据 且受到非法访问的可能性成为现实的状态下采取对策，从而能够将数 据处理效率的降低抑制在最小限度。
在这里，在计数器160达到规定值之前也进行备份动作。由于并 非完全没有了产生动作异常的可能性，所以那种情况下以可靠性为优 先。而当以数据处理效率为最优先的情况下，也可以在计数器160达 到规定值之前也不进行备份动作。
图5表示替代图4的计数器而在搭栽于数据处理电路100中的 EEPROM中设定性能监视区域的例子。即，将诸如EEPROM 146扇 区的写入单位(SCTR) 170的一部分存储区域作为性能监视区域，并 将特定的数据(监视数据)写入性能监视区域(CHKARE) 171中。 监视数据也可以在微控制器140的制造阶段写入。CPU 141在通过异 常检测信号151检测到异常时，在访问EEPROM 146时读出访问对 象扇区170的性能监视区域171的数据，并判断所读出的数据是否与 上述监视数据不相同。当判断为不相同时，除了进行备份动作之外还 进行上述访问限制。另外，在写入动作中每次都将在写入对象扇区170 的性能监视区域171中所保持的数据(监视数据)进行回写。该写入 控制可以由存储器控制电路143自动进行。由于进行写入超过写入保 证次数而会在特定数据上产生数据乱码。当来自监视区域的读出数据 和标准的监视数据不相同时，就表示EEPROM 146的性能劣化了。 在这种状态下，通过进行上述访问限制，禁止了 CPU 141抑制的 EEPROM 146的数据读出，从而可阻止误动作、保密数据的泄露等。在图5的构成中也和图4相同地，由于在EEPROM 146的性能劣化 发展到一定程度以后再实施访问限制，所以能够在明显存在 EEPROM 146的数椐乱码并且受到非法访问的可能性变成了现实的 状态下采取对策，从而能够将数据处理效率的降低抑制到最小限度。 若结合图4的构成和图5的结构，则会进一步提高该效果。
图6中例示取代频率检测控制电路而搭载了温度检测控制电路 190的数据处理电路100A。温度检测控制电路(TMPDTC ) 190具有 第1温度检测器(TMPDTC—F )192和第2温度检测器(TMPDTC—S ) 194。在本例子中替代电压检测电路120配置了频率检测电路180。
频率检测电路180具有与上述频率检测器152相同的检测器功 能，其通过检测异常频率来输出复位控制电路130的复位请求181。
温度检测器192检测数据处理电路100A的温度是否脱离了第1 温度范围。第1温度范围是数据处理电路100A的用户手册等中规定 的工作规格中的工作保证条件之一，表示为了获得所需的性能而需要 的下限温度至上限温度的范围。温度检测器194检测数据处理电路 100A的温度是否脱离了上述第1温度范围内的第2温度范围。第2 温度范围表示相对于以第1温度范围确定的工作保证条件更为严格的 工作条件。更具体而言，温度检测器194是用于对能够按照期望读出 保存在性能劣化了的EEPROM 146中的数据的范围之外的温度的电 路。对温度检测器192和温度检测器194所检测的正常的温度范围进 行比较，温度检测器194在更宽的温度范围检测异常状态。例如，温 度检测器192检测摄氏-25度~85度的范围以外的温度，而温度检测 器194检测摄氏-5度~ 60度的范围外的温度。
当利用温度检测器192检测到数据处理电路100A的温度脱离了 第l温度范围时，温度检测控制电路l卯向复位控制电路130发出复 位请求193，由此，复位控制电路130通过复位信号131对微控制器 140进行初始化。当利用温度检测器194检测到数据处理电路100A 的温度脱离了第2温度范围时，温度检测控制电路190利用异常温度 检测信号191例如发出向保护模式迁移的指示。保护模式与利用图3说明过的内容相同。
图7中整体地表示频率检测电路180、温度检测器192、 194检 测到异常值时微控制器140进行的控制动作。在这里所说的异常值， 如前所述，是指由用户手册中所规定的范围以外的值，或者CPU 141 不能从性能劣化了的EEPROM 146所保存的数据中读出符合期待的 数据的范围的值。
当频率检测电路180检测到异常的频率值时，频率检测电路180 向复位控制电路130发送复位请求信号(S21、 S22)。接收到复位请 求信号的复位请求控制电路180向微控制器140发送复位信号131 (S23)。接收到复位信号的微控制器140转移到数据处理电路100 的初始化动作。
如果频率检测电路180未检测到异常频率值、但温度检测器192 检测到异常温度，则和频率检测电路180检测到异常频率值的情况相 同地，温度检测器192向复位控制电路130发送复位请求信号(S24、 S22)。以后的处理与频率检测电路180检测到异常频率的情况相同 (S23)。
如果频率检测电路180和温度检测器192未检测到异常值、但温 度检测器194检测到了异常温度，则向微控制器140发送异常温度检 测信号191 (S25、 S26)。接收到异常温度检测信号191的微控制器 140迁移到保护模式(S27)。
在频率检测电路180和温度检测器192、 194全都未检测到异常 值的情况下，微控制器140工作在通常模式下(S28)，在该通常模 式下，对EEPROM 146等的存储器的访问等不实施特别限制。
利用图6和图7的结构，能够直接针对通过故意使数据处理电路 100A的温度环境劣化并使之进行误动作来进行非法访问的行为采取
措施o
图8中例示替代温度检测控制电路而搭载了电压检测控制电路 200的数据处理电路100B。电压检测控制电路(VOLDTC) 200具有 第1电压检测器(VOLDTC—F)202和笫2电压检测器(VOLDTC—S )204。其他的结构和图6相同。
电压检测电路202检测数据处理电路100B的工作电源是否脱离 了第1电压范围。第1电压范围是在数据处理电路100的用户手册等 中所规定的工作规格中的工作保证条件之一，表示为了获得所期待的 性能而所需要的下限电压至上限电压的范围。电压检测器204是检测 数据处理电路100B的工作电源是否脱离了上述第1电压范围内的第 2电压范围。第2电压范围表示相对于以第1电压范围确定的工作保 证条件来说更为严格的工作条件。更具体而言，电压检测器204是用 于检测能够按照期待读出性能劣化了的EEPROM 146所保存的数据 的范围以外的工作电压的电路。对电压检测器202和电压检测器204 所检测的正常温度范围进行比较，可知电压检测器204在更宽的电压 范围内检测异常状态。例如，电压检测器202检测-1.0V 10.0V的范 围外的电源电压，而电压检测器204检测0V 8.0V范围外的电源电 压。
当利用电压检测器202检测到数据处理电路100B的工作电压脱 离了第1电压范围时，电压检测控制电路200向复位控制电路130发 出复位请求203，由此，复位控制电路130利用复位信号131来对微 控制器140进行初始化。当利用电压检测器204检测到数据处理电路 100B的工作电压脱离了第2电压范围时，电压检测控制电路200利 用异常电压检测信号201发出例如向保护模式迁移的指示。保护模式 与在图3中所说明过的内容相同。
图9中整体地例示在频率检测电路180、电压检测器202、 204 检测到异常值时微控制器140进行的控制动作。在这里所说的异常值， 如前所述，是指由用户手册中所规定的范围以外的值、或者CPU 141 不能从性能劣化了的EEPROM 146所保存的数据中读出符合期待的 数据的范围的值。
当频率检测电路180检测到异常的频率值时，通过和上述相同的 处理，迁移到数据处理电路100B的初始化动作(S31、 S32、 S33)。
如果频率检测电路180未检测到异常频率值、但电压检测器202检测到异常电压，则与频率检测电路180检测到异常频率值的情况相 同地，电压检测器202向复位控制电路130发送复位请求信号(S34、 S32)。以后的处理与频率检测电路180检测到异常频率的情况相同 (S33)。
如果频率检测电路180和电压检测器202未检测到异常值、但电 压检测器204检测到异常电压，则向微控制器140发送异常电压检测 信号201 (S35、 S36)。接收到异常电压检测信号201的微控制器140 就迁移到保护模式(S37)。
在频率检测电路180和电压检测器202、 204全都没检测到异常 值的情况下，微控制器140工作在通常模式下(S38)，在该通常模 式下，对EEPROM 146等的存储器的访问等不实施特别限制。
利用图8和图9的结构，可以直接针对通过故意使电源电压劣化 并使之产生误动作来进行非法访问的行为釆取对策。
图10中例示应用了数据处理电路(CRD) 100 (IOOA、 100B) 的通信移动终端装置。移动通信终端装置(TRML) 210，例如为采 用GSM (Global System for Mobile)等移动通信协议的移动电话， 可拆装地搭栽在该移动电话机上的数据处理电路100 (IOOA、 100B) 是用户识别模块卡，应用于终端装置的认证和其他安全处理。虽然未 特别图示，但是数据处理电路IOO (IOOA、 100B)并不限定于应用在 用户识别模块卡中，也可以应用在信用卡和现金支付卡等IC卡中。 当将数据处理电路100 (IOOA、 100B)应用在用户识别才莫块卡和IC 卡中时，将上述微控制器140、 140A称为IC卡用微控制器。
是本发明并不限定于此，在不脱离其主旨的范围内可以进行各种变 更，这一点是不言自明的。
例如，也可以在图1、图8的数据处理电路中追加温度检测器192， 并在检测到异常温度时对微控制器进行复位。另外，也可以在图6的 数据处理电路中追加电压检测电路120 ，并在检测到异常电压时对微 控制器进行复位。再者，也可以在图6、图8的数据处理电路中采用图4的微控制器。IC卡用的微控制器不需要接受认证机构的形式认 证。微控制器所持有的电路模块并不限定于上述说明，可以进行适当 变更。电可改写的非易失性存储器并不限定于EEPROM，也可以是 快闪存储器等。另外，也可以利用不同的芯片来构成由EEPROM所 代表的非易失性存储器和CPU所代表的控制器147。本发明不仅适用 于IC卡，还可以适用于具有安全功能的存储器卡等。这种存储器卡， 具有IC卡用微控制器并且作为文件存储器具有大容量快闪存储器， 并且进行IC卡用微控制器所需要的安全处理。
权利要求
1、一种数据处理电路，其特征在于，具有可重写的非易失性存储器；控制器，进行上述非易失性存储器的访问控制和外部接口控制；第1检测器，检测动作是否脱离了第1工作条件；第2检测器，检测动作是否脱离了比上述第1工作条件更严格的第2工作条件；以及复位电路，对上述第1检测器检测到脱离上述第1工作条件的情况进行响应，向上述控制器发出复位指示；上述控制器根据上述第2检测器检测到脱离了上述第2工作条件的情况对内部状态进行备份，并且对来自外部的对上述非易失性存储器的存储区域的访问进行限制。
2. 根据权利要求1所述的数据处理电路，其特征在于， 上述控制器具有对与外部的输入输出进行控制的输入输出控制电路，根据上述第2检测器检测到脱离上迷第2工作条件而对针对上 述外部输入输出控制电路的外部输出进行限制。
3. 根据权利要求1所述的数据处理电路，其特征在于， 上述控制器具有累计并保持其工作期间的计数器，将上述计数器的累计值超过规定值的情况作为上述对访问进行限制的一个条件。
4. 根据权利要求2所述的数据处理电路，其特征在于， 上述控制器具有累计并保持其工作期间的计数器，将上述计数器的累计值超过规定值的情况作为上述对输入输出进行限制的一个条 件。
5. 根据权利要求l所述的数据处理电路，其特征在于， 上述非易失性存储器具有在写入单位的一部分的存储区域中存储有特定数据的监视区域，并且能够按上述写入单位进行电写入；上述控制器将在访问上述非易失性存储器时检测到从上述监视 区域读出的数据变化成特定数据以外的数据的情况，作为上述对访问 进行限制的一个条件。
6. 根据权利要求2所述的数据处理电路，其特征在于，上述非易失性存储器具有在写入单位的一部分的存储区域中存储有特定数据的监视区域，并且能够按上述写入单位进行电写入；上述控制器将在访问上述非易失性存储器时检测到从上述监视 区域读出的数据变化成特定数据以外的数据的情况作为上述对外部 输入输出进行限制的一个条件。
7. 根据权利要求1所述的数据处理电路，其特征在于， 上述第1工作条件为上迷数据处理电路的工作规格中的工作保证条件之一。
8. 根据权利要求1所述的数据处理电路，其特征在于， 对上述第l检测器和第2检测器输入由外部时钟端子提供的时钟信号，在上述第l工作条件中，上述时钟信号的频率在第l频带范围 内，在第2工作条件中，上述时钟信号的频率在上述第l频带内的第 2频带的范围内。
9. 根据权利要求1所述的数据处理电路，其特征在于， 对上述第1检测器和第2检测器输入由外部电源端子提供的电源电压，在第l工作条件中，上述电源电压在第1电源电压范围内，在 第2工作条件中，上述电源电压在第1电压范围内的第2电压范围内。
10. 根据权利要求1所述的数据处理电路，其特征在于， 上述第l检测器和第2检测器检测数据处理电路的温度，在第1工作条件中，上述检测温度在第1温度范围内，在第2工作条件中， 上述检测温度在上述第l温度范围内的第2温度范围内。
11. 根据权利要求l所述的数据处理电路，其特征在于，上述控制器和非易失性存储器是作为用于IC卡的微控制器而具 备的，并且具有符合IS07816-2标准的外部端子。
12. 根据权利要求11所述的数据处理电路，其特征在于， 所述数据处理电路是用户识别模块卡。
13. —种通信移动终端装置，其特征在于， 作为用户识别模块卡而搭载有权利要求12的数据处理电路。
全文摘要
本发明提供一种数据处理电路和通信移动终端装置，当微控制器的动作在工作保证范围内脱离了特定的工作条件发生性能劣化时，能够抑制对微控制器内部的数据的非法访问。采用检测具有控制器(147)的数据处理电路的动作是否脱离了第1工作条件的第1检测器(152)、和检测数据处理电路的动作是否脱离了比第1工作条件更严格的第2工作条件的第2检测器(154)，并且对第1检测器检测到脱离了第1工作条件的情况进行响应地，向控制器发出复位指示；其中控制器(147)进行可改写非易失性存储器(146)和非易失性存储器的控制和外部接口控制。控制器根据第2检测器检测到脱离了第2工作条件的情况来对内部状态进行备份，并且控制来自外部的针对非易失性存储器的存储区域的访问。
文档编号G06K19/073GK101436260SQ20081017332
公开日2009年5月20日 申请日期2008年11月13日 优先权日2007年11月16日
发明者今健夫, 受田贤知, 望月义则, 盐田茂雅 申请人:株式会社瑞萨科技