專利名稱:處理器中帶數(shù)據(jù)安全的存儲器設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及處理器上一種帶數(shù)據(jù)安全的存儲器設(shè)備�。通過防止對相應(yīng)的存儲器設(shè)備中的加密程序和口令字的訪問,本發(fā)明支持使用公鑰�����、私鑰或口令字的傳統(tǒng)加密動技術(shù)的保護功能���。這些敏感的數(shù)據(jù)包含在處理器芯片上的隨機存取存儲器中,例如���,一種電可寫和可讀快擦寫存儲器�����。這樣帶來的優(yōu)點是����,不能直接讀出隨機存儲器的內(nèi)容,而只能間接地通過數(shù)據(jù)接口�����。有名的外部可訪問數(shù)據(jù)接口包括一些標(biāo)準(zhǔn)數(shù)據(jù)接口�����,例如��,聯(lián)合測試行動小組JTAG(Joint Test ActionGroup)��、通用異步接收發(fā)射器UART(Universal AsynchronousReceiver/Transmitter)或通用串行總線USB(Universal Serial Bus)�,它們都允許串行訪問。正如在USB的情形下�,有的接口的功能必須由處理器中的特定的程序支持,而有的接口從外部進行控制���,與處理器完全獨立��。如果有必要�,則可以通過其他一些數(shù)據(jù)接口,獲得快速的并行訪問�,這些接口可能與處理器相關(guān),也可能獨立���,可能是標(biāo)準(zhǔn)的����,也可能是非標(biāo)準(zhǔn)的�。作為一個規(guī)則,對于這樣的并行接口�,要對大量的終端功能進行切換,例如�����,以便32位的數(shù)據(jù)和地址能夠并行地輸入或輸出���。
如果終端用戶或第三方在未經(jīng)允許的情況下想獲得加密過程的內(nèi)容,一般來說��,會訪問到已加密的數(shù)據(jù)內(nèi)容�。這些數(shù)據(jù)可能是保存的或傳輸?shù)臄?shù)據(jù)。一個例子是,在未經(jīng)授權(quán)的情況下����,對采用MP3壓縮技術(shù)的收費樂曲進行傳播和復(fù)制。對數(shù)據(jù)加密可以防止這一點���,但必須對個體的或全局的加密程序進行保密����。如果對數(shù)據(jù)的解密有很大興趣��,則必須假定�����,通過互連網(wǎng)或其他渠道����,輔助程序傳播迅速,并使得加密無效�。
本發(fā)明的一個目的是,為保存在處理器上的數(shù)據(jù)連同加密或解密程序提供保護��。尤其是�����,保護加密或解密程序,防止未經(jīng)授權(quán)的讀取����、改變或擦除。但是���,對于授權(quán)的終端用戶���,可以在任何時候進行程序更新。保護的級別是由用戶預(yù)先專門指定的����,而不是由處理器的生產(chǎn)商指定。在下面的正文中���,為了語言的簡練��,將加密和解密合在一起����,共同使用一個術(shù)語“加密”來表示�����。
這里�,術(shù)語“用戶”指的是一個人,他以組件的形式���,從半導(dǎo)體生產(chǎn)商購買處理器�����,安裝到有特定用途的電路中����,生產(chǎn)出一種設(shè)備或裝置�。最后,設(shè)備或裝置經(jīng)購買后��,由終端用戶直接投入使用����,或作為另一個設(shè)備或裝置的一部分。
通過權(quán)利要求1中所要求的特征來實現(xiàn)該目的���。其他的優(yōu)點和研制結(jié)果將在相關(guān)的權(quán)利要求中描述����。
本發(fā)明的基本思想基于這樣一個事實,即需要保護的存儲器設(shè)備集成在微處理器上����,由具有不同可訪問性的第一存儲器部分和第二存儲器部分組成。將存儲器設(shè)備集成在芯片上�����,允許組合使用硬件和軟件保護性措施�����,而對分離的存儲器設(shè)備則不能��。第一存儲器部分有一個初始化程序����,在解密過程中也作為一個引導(dǎo)程序�����,第二存儲器部分有一個用戶程序,例如�,對接收到的數(shù)據(jù)進行解密和/或解碼的程序�。這些數(shù)據(jù)可能是��,例如�����,根據(jù)MP3標(biāo)準(zhǔn)編碼的音頻數(shù)據(jù)����,為了防止未授權(quán)接收��,而另外采用公共或秘密口令字進行加密�����。解密程序可能是相同的�,在引導(dǎo)區(qū)有相當(dāng)安全的解密程序,或者組成第二存儲器部分中的用戶程序的一部分����。
經(jīng)過一個或數(shù)個外部接口,第一存儲器部分是可編程的或可修改的�,但不能經(jīng)過處理器或由處理器控制的數(shù)據(jù)接口。這樣��,就不能經(jīng)由一些程序而引起處理器讀取、改變或毀壞始化程序的內(nèi)容�,這些程序包含至少部分加密、解密或身份識別程序���。第一存儲器部分包含的基本功能總是足以對第二存儲器部分中已改變或已毀壞的用戶程序重新加載����。第二存儲器部分是可編程和可修改的�����,既可以通過外部數(shù)據(jù)接口��,也可以通過處理器和由處理器控制的數(shù)據(jù)接口���。
無論在正常操作過程中����,還是當(dāng)用戶為終端用戶提供程序更新時�����,處理器都不可避免要對第一存儲器部分和第二存儲器部分進行訪問����。這樣的程序更新有必要按預(yù)先指定期限進行��,例如�,改變單個的或成組相關(guān)聯(lián)的加密程序或口令字�����,以便減少任何因加密方法意外或非法泄露引起的負(fù)面作用��。然而���,根據(jù)本發(fā)明,不進行程序更新也能夠進行禁用��。那樣�,通過設(shè)定禁用位,用戶禁用所有的外部接口�����,換句話說��,包括由處理器控制的那些接口����。這樣���,正象上面提到的那樣,處理器也總是根據(jù)正常的操作順序訪問存儲器的兩個部分����。
本發(fā)明非常靈活,能夠適應(yīng)不同用戶的不同保護要求����,允許用戶和專業(yè)人士使用?��?梢韵氲降囊粋€用戶應(yīng)用是����,例如��,視頻或音頻數(shù)據(jù)的加密傳輸����。通過本發(fā)明,只有授權(quán)的持執(zhí)照者能通過處理器,為了處理器隨后進行的操作或復(fù)制��,對數(shù)據(jù)進行解密�,但他或她不能將解密后的數(shù)據(jù)復(fù)制給第三方,因為這些數(shù)據(jù)不能通過任何外部可訪問接口得到�����。與之相似的情形是��,摩托車上的引擎由一個電子引擎管理系統(tǒng)控制�,而其保密程序要防止被復(fù)制或修改����。
授權(quán)或身份檢查是通過受保護的加密程序進行的,利用保存在存儲器的第一或第二部分中的公開或非公開的關(guān)鍵字和以加密形式獲得的程序����,以一種公開的方式進行交互。只有所有部分都吻合���,才可能進行解密����,進而對接收到的數(shù)據(jù)的使用才有意義,或更新保存的程序���。
第二存儲器部分��,如果有必要的話�����,和第一存儲器部分分成不同的存儲器塊���,這樣在程序更新時,就能夠逐塊進行修改或擦除���,進而避免新舊程序之間的沖突���。
在第一存儲器部分或第二存儲器部分中的第一存儲器塊中包含一個保護控制寄存器,含有針對每一個數(shù)據(jù)接口的可編程的啟用和禁用信息�����,對第一存儲器部分和第二存儲器部分經(jīng)由該數(shù)據(jù)接口的讀出/寫入進行啟用或禁用�。只要還沒有啟動禁用信息,就可以經(jīng)由所有的外部數(shù)據(jù)接口�����,包括由處理器控制的接口,對第一和第二存儲器部分進行訪問�。這樣就允許生產(chǎn)商或用戶對初始化或用戶程序進行修改、調(diào)整或調(diào)試�����。在完成這些修改后���,如果用戶設(shè)定了外部可訪問數(shù)據(jù)接口的禁用位����,作為一個規(guī)則����,在不毀壞已有的程序的情況下��,任何人不能進行取消���。這樣��,就能可靠地保護具有禁用信息的第一存儲器塊�����,防止任何修改���。通過已有的軟件或保存的口令字����,用戶將自己識別為授權(quán)用戶����,就能夠改變保護控制寄存器中的內(nèi)容,也就是說����,他們能夠取消禁用。這樣就允許用戶在必要的情況下�����,對實際已禁用的處理器進行錯誤搜索�。
對保護控制寄存器的查詢最好一加電就進行,在初始化程序允許其他請求或編程操作之前�����,通過處理器的一個硬件實現(xiàn)的功能來完成。這些用于查詢的硬件設(shè)計�,對保護是很重要的,其優(yōu)點是�����,任何程序無論是有意的�,還是無意的,他們都是不可修改的�。當(dāng)然,有一點也是肯定的�����,即當(dāng)電源接通或斷開時����,即使時間很短,也不能忽略對保護控制寄存器的查詢�。
第一存儲器部分或第二存儲器部分中的第二存儲器塊和第三存儲器塊用于對公開或保密的關(guān)鍵字進行雙重保存。關(guān)鍵字也稱作“口令字”���,與第一存儲器部分或第二存儲器部分中的加密程序相聯(lián)系。無論用戶喜歡的保護用的是公開可訪問的�,還是不可公開訪問的�����,也就是說�,是不公開的���,還是保密的關(guān)鍵字���,對于本發(fā)明來說,都是不重要的���,而只決定于所要的保護�。本發(fā)明并沒有改變兩種系統(tǒng)的優(yōu)點和不足��,但在兩種情形下��,對受保護數(shù)據(jù)內(nèi)容的訪問是禁用的�,或者說,至少更困難一些����。
第二存儲器部分中的第四存儲器塊相對較大,用于保存用戶程序����。作為一個規(guī)則����,在程序更新事件中�,將取代這個程序。用戶程序的內(nèi)容連同口令字允許處理器對接收到的數(shù)據(jù)進行解密和解碼��。當(dāng)然���,防止未授權(quán)訪問���,不僅可用于解密端,還可用于加密端�����。
參照提供的一些附圖���,現(xiàn)在更加詳細(xì)地解釋本發(fā)明和一些有用的研制成果��,在這些附圖中
圖1表示集成在處理器芯片上的存儲器單元的分區(qū)情況����;圖2表示一個帶有接口存儲器位置的保護控制寄存器���;圖3表示一個初始化順序流程圖�����;圖4表示一個程序更新流程圖����;圖5表示一個作為本發(fā)明的實施例的處理器�。
圖1表示裝在處理器10(參照圖5)上的存儲器設(shè)備1的分區(qū)情況。第一存儲器部分2�,開始地址為0×00,有一個初始化程序��,該程序也稱為“引導(dǎo)程序”�����。對于程序設(shè)計來說�,第一存儲器部分2只為用戶和生產(chǎn)商提供有限訪問,即只能通過這些獨立于處理器操作的數(shù)據(jù)接口���。在生產(chǎn)過程中����,為了加載初始化程序,經(jīng)由相應(yīng)的不可訪問的芯片連接����,有可能對第一存儲器部分進行強制訪問。
當(dāng)處理器接通時����,啟動了初始化程序。它也包括一些程序����,對用戶或終端用戶的真實性或身份進行檢查,并支持對處理器控制的數(shù)據(jù)接口的讀寫操作�。初始化程序還至少包括解密程序的一部分,它們對第二存儲器部分的再編程是必要的��,這需要在處理器的幫助下���,而且是在這一存儲器部分是空的或故障時�,例如�,一個方法是經(jīng)由處理器控制的數(shù)據(jù)接口輸入加密了的新程序。
在第一存儲器部分2的后面是第二存儲器部分3(用戶區(qū)),包含有用戶程序�����,其地址分配到存儲器塊����,以用戶開始地址adr-u開始�。第一存儲器塊4包含一個保護控制寄存器PCR,PCR中含有對各個數(shù)據(jù)接口的啟用或禁用信息���。在第一存儲器塊4中��,為了保存更多數(shù)據(jù)�����,可增加一些空間��。
第一存儲器塊4的后面是第二存儲器塊5及第三存儲器塊6���,它們必須各自都含有口令字“Key 1”和“Key 1′”,分配到終端用戶或終端用戶組�����。這兩個口令字是相同的,必須分開放在可擦除區(qū)中��,以便在再編程時至少保證有一個口令字有效�����。如果沒有口令字�����,是不可能對接收到的數(shù)據(jù)解密的���。在再編程過程中�,對處于不同控制區(qū)的第二存儲器塊5和第三存儲器塊6中的原有的口令字用新的口令字代替���。第二存儲器塊5和第三存儲器塊6足夠大�,如果有必要���,它們可以為其他加密程序保存更多的口令字����。
用戶程序本身放在第四存儲器塊7中。存儲器塊足夠大���,能夠保存當(dāng)前和以后的用戶程序�����。不同的訪問級別以及對第一存儲器部分2和第二存儲器部分3的最終要求的禁用����,由使用塊地址的硬件控制���。例如,處理器的編程信號在邏輯上與第一存儲器部分2的區(qū)信號相結(jié)合����,方法是,不形成對存儲器設(shè)備1的全局啟用信號或存儲器塊啟用信號��。然而���,如果第一存儲器部分2編址時與一個數(shù)據(jù)接口相連���,而該數(shù)據(jù)接口獨立于處理器���,那么,如果不設(shè)定寄存器PCR的相關(guān)禁用信號����,就不能消除全局的或存儲器塊啟用信號。以一種類似的方式���,通過將塊地址或地址范圍信號與存儲器設(shè)備1及相關(guān)的數(shù)據(jù)接口的讀或?qū)懶盘栂嘟Y(jié)合�,從而控制第二存儲器部分3中的塊4到塊7�����。在圖1中的實施例中�,存儲器塊4、5�����、6與第二存儲器部分3相關(guān)聯(lián)���。以這樣的方式���,保護裝置就獲得了最大的靈活性��,因為通過再編程(更新)�,就可以改變訪問授權(quán)或口令字��。如果保護控制寄存器PCR或口令字Key 1和Key 1′使用的寄存器5和寄存器6在第一存儲器部分2中��,就不能經(jīng)過處理器進行再編程��,已設(shè)計的數(shù)據(jù)就將訪問授權(quán)和口令字永久固定����。因為對外部可訪問數(shù)據(jù)接口的電子禁用不允許對數(shù)據(jù)的讀取。
圖2表示了在第一存儲器塊4中的保護控制寄存器PCR��。對于每一個數(shù)據(jù)接口�,保護控制寄存器有一個位置����,保存值“1”或“0”。值“1”表示��,經(jīng)過相關(guān)的數(shù)據(jù)接口�����,可以對存儲器設(shè)備1進行讀寫。當(dāng)然����,這個啟用狀態(tài)不會使預(yù)先指定訪問可能性無效,例如�����,經(jīng)過由處理器控制的數(shù)據(jù)接口����,永遠(yuǎn)不能訪問第一存儲器部分2。選擇“1”���,取決于用于存儲器設(shè)備1的有關(guān)技術(shù)�����。在快擦寫存儲器中��,在擦除后���,所有單元的狀態(tài)都為“1”,所以對于這種存儲器類型�,必須選邏輯狀態(tài)#1#為啟用信號��。相應(yīng)地��,#0#則代表禁用讀寫或擦除操作的信號���。當(dāng)加電時,經(jīng)觸發(fā)后�,寄存器內(nèi)容中的每一位相應(yīng)設(shè)置為狀態(tài)“1”或“0”?����;蛟S���,經(jīng)過永久相連的輸出讀取線�����,PCR寄存器已經(jīng)用作一個狀態(tài)寄存器使用。在操作過程中�����,只能通過改變保護控制寄存器的內(nèi)容或通過關(guān)機��,才能改變這樣的狀態(tài)寄存器的內(nèi)容。處于加電狀態(tài)的狀態(tài)寄存器內(nèi)容��,只能從狀態(tài)“1”變到狀態(tài)“0”��,并且取決于PCR寄存器的內(nèi)容���。其他方向上的改變是不可能的���,因為經(jīng)過外部可訪問數(shù)據(jù)接口,禁用信號“0”禁用了對保護控制寄存器PCR的訪問�����。
圖3中的流程圖表示了加電時所發(fā)生的事件�。加電啟動了對保護控制寄存器中的各個位置的查詢。例如�,這里假設(shè)為芯片上的快速存儲器,邏輯“1”狀態(tài)對應(yīng)于“啟用”���,邏輯“0”狀態(tài)對應(yīng)于“禁用”����。圖3中以三種外部可訪問數(shù)據(jù)接口為例一個JTAG接口、一個并行接口和一個測試接口�。如果各接口是啟用的,分別是用一個功能框來標(biāo)記的�����,那么�,就能經(jīng)過這個接口,讀取或改變存儲器設(shè)備1的數(shù)據(jù)����。通過在引導(dǎo)區(qū)啟動一個到起始地址0×00的跳轉(zhuǎn),結(jié)束了讀或?qū)懖僮?��。然而����,如果是在加電后從PCR寄存器中讀出禁用信息����,立即發(fā)生到引導(dǎo)開始地址0×00的跳轉(zhuǎn),將不能夠經(jīng)過接口對存儲器設(shè)備1的任何部分進行讀或?qū)?��。以這種方式,就不能忽略PCR寄存器的禁用信息���,因為硬件控制的查詢是在第一系統(tǒng)時鐘周期�,一加電,就作為第一步立即發(fā)生的��。相比之下����,程序從引導(dǎo)存儲器地址0×00開始,代表的是純軟件操作�����。
下一步���,程序從引導(dǎo)開始地址0×00開始��,啟動了是否加載新的用戶程序的請求��,例如�����,程序更新�。這愿望可以通過信號來指示,例如�,手動操作一個輸入鍵(更新鍵)。如果是這樣設(shè)計的(設(shè)置了鍵)�����,則將啟動一個編程模式����,在圖4中的流程圖將更加詳細(xì)地解釋。
如果沒有設(shè)計程序更新���,則將進行一次檢查��,檢查在第二存儲器部分中是否包含有一個完整而有效的用戶程序��。如果檢查的結(jié)果是否定的�,因為用戶程序不完整���,則將啟動一個等待狀態(tài)�����,當(dāng)前的程序?qū)⒈恢袛?��。如果用戶程序是完整而有效的,將啟動一個到用戶程序起始地址adr-U的跳轉(zhuǎn)��。這樣��,保留了含有初始化程序(引導(dǎo)程序)的第一存儲器部分2�。處理器10(參照圖5)現(xiàn)在已作好解密和解碼的準(zhǔn)備,并在內(nèi)部對接收到的數(shù)據(jù)進行處理�。然而,正如前面所提到的��,不能夠通過外部可訪問接口傳輸已解密的數(shù)據(jù)����。
在更新鍵請求之后,通過在“否”分支中插入一個可編程保護位(已設(shè)定保護位)��,能提供防止由于不小心而擦除整個存儲器設(shè)備1的進一步保護�,因為這時用戶程序還在初始化程序段中。在用戶程序的編程過程當(dāng)中���,可設(shè)定保護位����,防止存儲器設(shè)備1被全部或部份擦除,而這是當(dāng)前執(zhí)行程序修改或出錯的結(jié)果�。只有在關(guān)掉設(shè)備,且通過更新鍵來給出信號以表示輸入新的用戶程序����,才能忽略保護位。在這種情況下�,是否已設(shè)定保護位,要由用戶判斷�,由該用戶編制和傳播新的用戶程序。
圖4的流程圖表示在用戶程序的更新操作過程中發(fā)生的事件的順序���,而這是由編程模式來初始化的����。首先���,要做一個身份識別檢查�����。如果這一檢查的結(jié)果是否定的���,編程模式將立即中斷����,且啟動和指示一個等待狀態(tài)���。如果身份識別成功,在下一步�����,將刪除含有關(guān)鍵字“Key 1”的第三存儲器塊6�。緊接著,查詢保護控制寄存器PCR是否含有一個禁用位“0”和新內(nèi)容是否也是一個禁用位�,如果情況不是這樣,將擦除PCR寄存器�。初看起來,這個查詢有一些奇怪�����,但卻有下列用途��。首先����,明確的是�,必須改變保護控制寄存器PCR的內(nèi)容�����,或保持啟用狀態(tài)����。在這些情形下,在加載新的程序之前�����,可以擦除PCR���。然而��,如果檢查表明�,保護控制寄存器的前面內(nèi)容是一個禁用位�,要加載的程序也含有一個禁用位,將不能擦除保護控制寄存器PCR�����。這就保證了���,包含在保護控制寄存器中的禁用信息在再編程過程中的任何時候不會變成無效���,也就是說����,甚至在較短時間內(nèi)也不會��。在保護控制寄存器PCR接收到它的新內(nèi)容之后�,能夠加載新的用戶程序進入第四存儲器塊7����。而在加載之前,最好先擦除舊用戶程序��。
應(yīng)該注意到�����,在用戶程序編制的整個過程中���,擦除第三存儲器塊6中的口令字“Key 1′”��。程序的解密過程�����,要用到在第的二個存儲器塊5中口令字“Key 1”����。在新的程序已加載到第四存儲器塊7之后,接收到的程序把新的口令字“Key 1′”寫入第三存儲器塊6中�����。作為再編程的最后一步����,擦除第二存儲器塊5中的舊口令字“Key 1”,并用一個新的口令字代替�����。這就完成了再編程����。
從流程圖4可知,有一點是明顯的�,即再編程從擦除第三存儲器塊6中的口令字開始,到擦除第二存儲器塊5并寫入新的口令字結(jié)束。這樣���,第三存儲器塊6及第二存儲器塊塊5的狀態(tài)可以表明�,是否已完成用戶程序的編程或是否在完成之前就退出了���。在后一種情況下�,對第三存儲器塊6和第二存儲器塊塊5的內(nèi)容進行簡單的邏輯比較����,結(jié)果將表明用戶程序是否已經(jīng)完整有效。如果用戶程序無效�����,正象圖3中表明的那樣���,處理器將進入一個等待模式,要結(jié)束這一模式�,必須在用戶起始地址adr-U,開始一個新的程序�。
在流程圖3和圖4中,沒有表示出對存儲器設(shè)備1的全部內(nèi)容的全局擦除��。這是能啟動的,例如����,通過在處理器10的預(yù)設(shè)終端預(yù)先進行級別配置。即使在處理器最壞的操作條件下���,這一狀態(tài)也不會發(fā)生����。所以����,最好將全局擦除與完全不規(guī)則的操作條件相聯(lián)系。全局擦除的目的是�����,在特定條件中由保護控制寄存器PCR取消禁用�,而不會使從存儲器設(shè)備中讀取任何保護性數(shù)據(jù)變得可能。作為擦除的結(jié)果��,這些數(shù)據(jù)消失了?���,F(xiàn)在可以對整個存儲器設(shè)備1進行再編程����。編程是有點麻煩的�,因為還不能經(jīng)過處理器控制的數(shù)據(jù)接口,加載第一存儲器部分����,而只能經(jīng)過獨立于處理器的接口。通過全局擦除�,即使由于錯誤加載而使處理器中有了一個繁雜或錯誤的程序,生產(chǎn)商或用戶還是能在禁用之后使用處理器����。了解全局擦除知識的第三方不能訪問存儲器內(nèi)容。這樣就完全保證了保護功能�。
圖5中,以方框圖的形式����,表示了本發(fā)明的一個實施例�,給出了對于保護功能必須的功能單元。處理器10含有一個處理器核心11��,其輸入�、輸出與內(nèi)部數(shù)據(jù)總線12、內(nèi)部地址總線13相連。因為總線12和總線13還未闡明�,所以可以設(shè)計成高速并行總線,例如各自都含有32條線���。另外���,可能有效率不夠高的內(nèi)部總線連接,它們將處理器的各個功能單元互連���。系統(tǒng)時鐘信號c1為處理器10提供時鐘�,系統(tǒng)時鐘信號由芯片上時鐘發(fā)生器14提供�。
處理器核心11中需要處理的數(shù)據(jù)和地址來自靜態(tài)隨機存取存儲器15(SRAM)、快擦除存儲器1或數(shù)據(jù)接口16��、17����、18,且經(jīng)過數(shù)據(jù)總線12或地址總線13�。數(shù)據(jù)和地址也有可能從數(shù)據(jù)接口16直接傳到處理器核心。在圖5的實施例中���,下面的外部可訪問數(shù)據(jù)接口直接連到數(shù)據(jù)總線12和地址總線13一個JTAG接口16����、一個USB接口17和一個并行接口18。經(jīng)過一個合適的程序控制器�,USB數(shù)據(jù)接口17和處理器核心11協(xié)同工作。接口JTAG16和并行接口18獨立于處理器核心11�����,能比較方便地輸入數(shù)據(jù)和地址�。
利用地址產(chǎn)生器19,各個地址形成存儲器區(qū)信號adr-I��。在與接口16��、17和18相關(guān)聯(lián)的邏輯設(shè)備20��、21和22中��,這些地址范圍信號分別都和PCR寄存器中相關(guān)的禁用或啟用信號相結(jié)合���,形成控制信號25�、26和27���,分別對接口16����、17和18禁用和啟用��。
權(quán)利要求
1.處理器(10)所使用的存儲器設(shè)備(1)集成在一塊芯片上��,處理器設(shè)備(1)包括第一存儲器部分(2)���,例如初始化或引導(dǎo)程序所使用的存儲器部分�����,和第二存儲器部分(3)��,例如��,用戶程序所使用的存儲器部分��;-經(jīng)過第一組接口(16��、17�����、18)���,能對第一存儲器部分(2)進行寫和/或讀����,經(jīng)過第二組數(shù)據(jù)接口(16��、17���、18)��,能對存儲器器第二部分(3)進行寫或讀�����;-第一和/或第二存儲器部分(2�����,3)含有可逐塊尋址的存儲器塊(4���、5、6�、7);-第一存儲器塊(4)包括一個保護控制寄存器PCR,含有對第一組和第二組數(shù)據(jù)接口(16�����、18����;16�、17、18)的可編程啟用和/或禁用信息����;并且-在初始化程序允許查詢或編程之前,先進行保護控制寄存器(PCR)查詢���。
2.如權(quán)利要求1中所述的存儲器設(shè)備��,其特征在于����,第一組數(shù)據(jù)接口包括獨立于處理器(10)的數(shù)據(jù)接口(16��、18)�����。
3.如權(quán)利要求2中所述的存儲器設(shè)備(1),其特征在于����,第二組數(shù)據(jù)接口包括獨立于處理器(10)的數(shù)據(jù)接口(16、18)和由處理器控制的數(shù)據(jù)接口(17)����。
4.如權(quán)利要求1到3中的任一個所述的存儲器設(shè)備(1),其特征在于�����,第二和第三存儲器塊(5�����,6)用于保存一個口令字(Key1�����,Key1′)����,該口令字與第一和/或第二存儲器部分(2、3)中的解密和/或加密程序相聯(lián)系。
5.如權(quán)利要求4中所述的存儲器設(shè)備(1)�����,其特征在于��,假設(shè)在保護控制寄存器PCR中沒有設(shè)定相關(guān)的禁用信息���,那么經(jīng)過第二組數(shù)據(jù)接口(16、17��、18)����,只有使用口令字(Key 1,key 1′)進行識別的授權(quán)訪問和包含在第一和/或第二存儲器部分(2�,3)中的初始化程序、解密和/或加密程序����,才可能對第二存儲器部分(3)進行讀和/寫,例如��,在程序更新的范圍內(nèi)����。
6.如權(quán)利要求5中所述的存儲器設(shè)備(1)�����,其特征在于�,使用保護控制寄存器(PCR)中設(shè)置的禁用信息�����,經(jīng)過第一組數(shù)據(jù)接口(16����,18)對第一存儲器部分(2)進行寫和/或讀是不可能的,即使訪問是授權(quán)的�。
7.如權(quán)利要求1~6中所述的存儲器設(shè)備(1),其特征在于���,如果發(fā)生至少引起第二存儲器部分(3)中的用戶程序改變或擦除的退出或加電失敗時���,處理器(10)進入一個等待狀態(tài)。
8.如權(quán)利要求7中所述的存儲器設(shè)備(1)����,其特征在于���,啟動信息結(jié)束等待狀態(tài),而啟動信息啟動以起始地址(adr-U)開始的用戶程序的更新�。
9.如權(quán)利要求1~8的任一個中所述的存儲器設(shè)備(1),其特征在于�����,通過使用全局擦除信息��,第一和第二存儲器部分(2�,3)是可擦除的�。
10.如權(quán)利要求9中所述的存儲器設(shè)備(1),其特征在于���,通過在事先指定的處理器(10)的終端進行預(yù)先指定的級別配置�,可以初始化全局擦除信息����。
11.如權(quán)利要求10中所述的存儲器設(shè)備(1),其特征在于�,在處理器(10)的內(nèi)置條件下,預(yù)先指定的終端是不可訪問的����,尤其是經(jīng)過一塊母板�����。
12.如權(quán)利要求1~11的任一個中所述的存儲器設(shè)備(1)����,其特征在于�����,在發(fā)生程序更新時��,如果新的程序也包括對各個數(shù)據(jù)接口(16�、17、18)的禁用信息�����,則在任何時間段內(nèi)��,不擦除已經(jīng)存在于保護控制寄存器(PCR)中的禁用信息��,而是在保護寄存器中保持不變���。
13.如權(quán)利要求1~12的任一個中所述的存儲器設(shè)備(1)����,其特征在于,在初始化程序中��,通過保護控制寄存器查詢����,啟動對相關(guān)的數(shù)據(jù)接口(16、17����、18)的禁用,經(jīng)過內(nèi)部控制信號(25��、26��、27)實現(xiàn)�����,這些內(nèi)部控制信號既不能直接取消�����,也不能間接取消�,也不能通過程序取消。
14.如權(quán)利要求1~13的任一個中所述的存儲器設(shè)備(1)�,其特征在于,通過電路裝置�����,可編程保護位(已設(shè)定保護位)防止存儲器設(shè)備(1)的任何意外擦除�,該可編程保護位插在用戶程序中。
全文摘要
公開了處理器(10)中使用的存儲器設(shè)備(1)�����。存儲器設(shè)備(1)和處理器(10)集成在一塊芯片上���,存儲器設(shè)備(1)包括初始化程序使用的第一存儲器部分(2)和用于用戶程序的第二存儲器部分(3)���。經(jīng)過第一組數(shù)據(jù)接口(16、18)�����,能對第一存儲器部分(2)進行讀寫���,經(jīng)過第二組數(shù)據(jù)接口(16�����、17���、18)�,能對第二存儲器部分(3)進行讀寫����。第一和/或第二存儲器部分(2,3)包括可逐塊尋址的存儲器塊(4��、5��、6���、7)��。第一存儲器塊(4)含有一個保護控制寄存器(PCR),PCR中含有各個數(shù)據(jù)接口的可編程的啟用或禁用信息����。在加電時對保護控制寄存器(PCR)進行查詢����。第二存儲器和第三存儲器塊(5�,6)用于保存口令字(Key1,Key 1’)�����,該口令字與存儲器設(shè)備(1)中的加密和識別程序相關(guān)����。
文檔編號G06F21/79GK1465002SQ02802339
公開日2003年12月31日 申請日期2002年7月6日 優(yōu)先權(quán)日2001年7月10日
發(fā)明者彼得·穆勒, 佐拉恩·邁卓維克, 曼弗雷德·朱克, 喬奇姆·里特, 斯蒂芬·齊默爾曼 申請人:邁克納斯公司