專利名稱:用于增強(qiáng)計(jì)算系統(tǒng)的容錯(cuò)性和安全性的系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明一般性地涉及到計(jì)算系統(tǒng)的安全性�。更明確地說,本發(fā)明涉及對(duì)專用集成電路(ASIC)的安全保護(hù)�,該專用集成電路是計(jì)算系統(tǒng)的一部分,并且是由外部時(shí)鐘驅(qū)動(dòng)的��。
背景技術(shù):
計(jì)算機(jī)和計(jì)算系統(tǒng)正在日益普遍地融入日常生活�����。這樣的系統(tǒng)被用在很大范圍的應(yīng)用中以及被用在從家用電器到諸如蜂窩電話和手持計(jì)劃者之類的個(gè)人通信設(shè)備的產(chǎn)品中�����。這種技術(shù)的一種特殊而且正在發(fā)展的用途是在金融事務(wù)處理領(lǐng)域��。
舉例來說�,比起現(xiàn)金或者支票,許多人更愿意攜帶與帳戶相關(guān)聯(lián)并且含有編碼了的磁條的信用卡或借記卡���。這個(gè)磁條包含與持卡人帳戶相關(guān)聯(lián)的持卡人信息����。在使用中��,持卡人向銷售商出示卡�����,以便訪問持卡人的帳戶�,來譬如為某個(gè)商品或者服務(wù)付費(fèi)。銷售商把卡交給讀卡器�,后者從編碼了的磁條上讀出信息,并利用這些信息來完成交易�����。
促進(jìn)自動(dòng)化和在金融事務(wù)處理中使用計(jì)算系統(tǒng)以及其它應(yīng)用是集成電路技術(shù)領(lǐng)域已取得的進(jìn)步�����。在過去的數(shù)十年里,集成電路技術(shù)進(jìn)步巨大���,到了成本和實(shí)用性允許自動(dòng)化能夠被輕易地用于大量的應(yīng)用和系統(tǒng)中的地步��。今天的集成電路包含數(shù)百萬(wàn)的晶體管����,構(gòu)成了數(shù)十萬(wàn)的邏輯門��,且因此能夠易于被配置和剪裁以用于多種不同的應(yīng)用和功能�����。譬如��,現(xiàn)在集成電路制造商提供被稱為專用集成電路(ASIC)的產(chǎn)品����。
在金融應(yīng)用和系統(tǒng)中,ASIC設(shè)備被用于從信用卡或借記卡的磁條上讀取必要的信息�����。一旦讀出了信息,ASIC就能進(jìn)一步操作以傳送這些信息來訪問持卡人的帳戶��,并對(duì)交易進(jìn)行進(jìn)一步的處理�,使得銷售商收到付款���。這樣一來�����,這類系統(tǒng)中的ASIC設(shè)備就是支持系統(tǒng)運(yùn)行的“大腦”的部分了�����,并因此和持卡人敏感的帳戶信息有利害關(guān)系����。
正如預(yù)期的那樣�,在金融事務(wù)處理發(fā)生的地方,犯罪因素總是尾隨而來��。特別地�,在涉及讀卡機(jī)的信用卡和借記卡事務(wù)處理中,存在非法的嘗試去確定持卡人帳戶的敏感信息����,以便非法地訪問帳戶并從中提取錢款��,或者使用該帳戶的購(gòu)買力��。時(shí)常地��,這樣的非法努力集中于這些系統(tǒng)中的ASIC設(shè)備的運(yùn)行��。在這些訪問帳戶信息的嘗試中�����,利用了ASIC所具備的某些運(yùn)行特征��。
更明確地說�����,類似于絕大多數(shù)集成電路����,ASIC設(shè)備的運(yùn)行使用一個(gè)外部時(shí)鐘信號(hào)�����,以便按順序逐步執(zhí)行使ASIC設(shè)備實(shí)現(xiàn)其功能的運(yùn)行例程。這樣一來��,ASIC設(shè)備被設(shè)計(jì)成按一特定頻率操作的時(shí)鐘而運(yùn)行完成(run off)���。然而����,比起最初ASIC被設(shè)計(jì)來運(yùn)行所用的時(shí)鐘頻率而言��,絕大多數(shù)ASIC在耦合到略微高一些或者低一些時(shí)鐘頻率的時(shí)鐘的時(shí)候�����,仍然能夠運(yùn)行����。已經(jīng)確定通過應(yīng)用一個(gè)步進(jìn)經(jīng)過該ASIC設(shè)備內(nèi)的運(yùn)行的“過頻(over-frequency)”或“欠頻(under-frequency)”時(shí)鐘信號(hào)����,便有可能通過這樣的操作來探知ASIC設(shè)備的某一功能性,即該操作帶有檢索與ASIC設(shè)備所進(jìn)行的前一次事務(wù)處理相關(guān)的數(shù)據(jù)的意圖�。因此,通過操縱AISC設(shè)備的時(shí)鐘信號(hào)���,某個(gè)人可能為了非法目的而獲得其他人的帳戶信息�����。這樣一來��,由于讀卡器中所含的AISC設(shè)備的運(yùn)行特點(diǎn)����,使用讀卡器的金融事務(wù)處理經(jīng)常或多或少地是“不安全的”��。
因此���,存在對(duì)更安全的計(jì)算系統(tǒng)����,特別是用于進(jìn)行金融事務(wù)處理的更安全的系統(tǒng)的需求�。
更明確地說,在本領(lǐng)域中存在這樣一種需求����,即干凈地切換到一個(gè)安全的時(shí)鐘并從其切換回來,以防止用于探知其運(yùn)行情形的ASIC設(shè)備的過頻或欠頻計(jì)時(shí)���,以便防止敏感數(shù)據(jù)�����,譬如與先前的金融事務(wù)處理相關(guān)聯(lián)的數(shù)據(jù)�����,被獲取���。
發(fā)明概述本發(fā)明通過提供一種設(shè)備、程序產(chǎn)品和方法來解決這些以及其它與現(xiàn)有技術(shù)相關(guān)聯(lián)的問題����,所述設(shè)備、程序產(chǎn)品和方法防止經(jīng)由專用集成電路(ASIC)來非法訪問系統(tǒng)以探知其運(yùn)行情況�����,同時(shí)防止包含在其中的數(shù)據(jù)被獲取���。通過這樣的做法�����,提供了一個(gè)安全的環(huán)境�����。于是�,人們?cè)谶M(jìn)行金融事務(wù)處理時(shí)更可能使用專用集成電路。
在本發(fā)明一種特定的實(shí)施方案中����,ASIC的系統(tǒng)時(shí)鐘被監(jiān)視。其它狀態(tài)也可能被監(jiān)視���。在一種實(shí)施方案中����,兩個(gè)時(shí)鐘監(jiān)視器提供了一種進(jìn)行保護(hù)以不受時(shí)鐘安全性攻擊的集成的安全性解決方案����。每個(gè)時(shí)鐘監(jiān)視器都包括時(shí)鐘監(jiān)視電路和一個(gè)安全時(shí)鐘。個(gè)體時(shí)鐘監(jiān)視器中的每個(gè)都是集成在一起的�,以提供一種通過冗余方式增強(qiáng)整體防護(hù)的安全機(jī)制。在一種實(shí)施方案中���,時(shí)鐘監(jiān)視器對(duì)輸入到ASIC的時(shí)鐘來監(jiān)視過頻或者欠頻的時(shí)鐘信號(hào)����。如果在ASIC的輸入端出現(xiàn)過頻或者欠頻時(shí)鐘或者其它安全性攻擊,時(shí)鐘監(jiān)視器中的一個(gè)就向系統(tǒng)時(shí)鐘報(bào)告一個(gè)報(bào)警信號(hào)���,系統(tǒng)時(shí)鐘接著就切換到內(nèi)部生成的安全時(shí)鐘����,而且使用與那個(gè)時(shí)鐘監(jiān)視器相關(guān)聯(lián)的相應(yīng)的安全時(shí)鐘�����,而不是常規(guī)的外部時(shí)鐘輸入���。冗余的時(shí)鐘監(jiān)視器保證了即使時(shí)鐘監(jiān)視器中的一個(gè)失效,安全性仍然能夠得以維持�。
這些以及其它表現(xiàn)了本發(fā)明特征的優(yōu)越性和特點(diǎn)在附加于此后的權(quán)利要求中闡述,并由此形成了一個(gè)另外的部分�����。然而�����,為了更好地理解本發(fā)明和理解通過它的使用而達(dá)到的優(yōu)越性和目的,需要參考附圖和附帶的描述性內(nèi)容����,在其中描述了本發(fā)明的范例性實(shí)施方案。
附圖簡(jiǎn)述包含于本說明書內(nèi)并構(gòu)成其一部分的附圖�,闡明了本發(fā)明的實(shí)施方案,并且和下文給出的本發(fā)明的一般描述一起��,用于解釋本發(fā)明的原理�����。
附
圖1是一個(gè)包含了本發(fā)明實(shí)施方案的系統(tǒng)的方框圖��。
如圖2是一個(gè)按照本發(fā)明的原理工作的時(shí)鐘的功能方框圖��。
附圖3是附圖1和2所示系統(tǒng)中圖示的時(shí)鐘功能的一種實(shí)施方案的電路圖���。
附圖4是附圖1����、2和3所示系統(tǒng)中所采用的負(fù)邊沿開關(guān)的一種實(shí)施方案的電路圖����。
附圖5A是附圖1���、2和3所示系統(tǒng)中所采用的振蕩器時(shí)鐘復(fù)用器的一種實(shí)施方案電路圖的一部分。
附圖5B是附圖1�����、2和3所示系統(tǒng)中所采用的復(fù)用器的電路圖的另一部分���。
附圖6是附圖1���、2和3所示系統(tǒng)中所采用的安全時(shí)鐘選擇器的一種實(shí)施方案的電路圖。
附圖7是附圖1���、2和3所示系統(tǒng)中所采用的系統(tǒng)時(shí)鐘選擇器的一種實(shí)施方案的電路圖����。
本發(fā)明實(shí)施方案詳述請(qǐng)看附圖�����,其中貫穿多個(gè)視圖�����,用相似的數(shù)字指示相似的部分��,附圖1展示了一種可能的專用集成電路設(shè)備(ASIC)10組成本發(fā)明一種實(shí)施方案的方框圖�。所示的ASIC 10是作為安全性處理器來使用的,它用于高速加密應(yīng)用����,其中要保護(hù)象金融帳戶數(shù)據(jù)這樣的敏感數(shù)據(jù)不被對(duì)外暴露。圖中所示的ASIC 10的實(shí)施方案是由來自PhilipsSemiconductors的市場(chǎng)上可買到的產(chǎn)品組成的����;然而,本領(lǐng)域的技術(shù)人員將認(rèn)識(shí)到�,可以采用其它執(zhí)行類似的命令的類似器件的配置來在多種應(yīng)用中提供相同或類似的功能。因此��,支持本發(fā)明的ASIC環(huán)境可以和討論的實(shí)施方案中所顯示的不同����。
如附圖1所示,ASIC 10基于一種安全的架構(gòu)����,這種架構(gòu)可以被用于包括金融應(yīng)用在內(nèi)的許多應(yīng)用中���。ASIC 10通過高級(jí)數(shù)據(jù)鏈路控制器(HDLC)46、多個(gè)Philips Semiconductors的16550 UARTS(UARTA-D)48和Philips Semiconductors的I2C端口(I2C)44向ASIC 10的外部設(shè)備提供互連�。在本發(fā)明中也可以采用不同于在這個(gè)實(shí)施方案中公開的其它的互連方案。所示的系統(tǒng)也可以通過刪減或者增加與處理器20互連的額外的外設(shè)來進(jìn)行定制��。這在圖1中通過包含安全外設(shè)22和不安全外設(shè)24來表示�����。安全外設(shè)和不安全外設(shè)的范例可以是用于信用卡事務(wù)處理的鍵盤和紙帶打印機(jī)�。
如所示,ASIC 10包括嵌入的處理器20����、只讀存儲(chǔ)器(ROM)66、內(nèi)部靜態(tài)隨機(jī)存取存儲(chǔ)器(SRAM)68���、SRAM控制器(SDRAM/EBIU)70����、多個(gè)靜態(tài)設(shè)備控制器(SDC)76��、中斷控制器(INTCL)36����、系統(tǒng)時(shí)鐘12內(nèi)的內(nèi)部鎖相環(huán)、多個(gè)UARTS(UART A-D)48�����、實(shí)時(shí)秒計(jì)數(shù)器(RTSC)18�、多個(gè)系統(tǒng)定時(shí)器(系統(tǒng)定時(shí)器)60、HDL控制器(HDLC)46�、I2C端口控制器(I2C)44、安全外設(shè)22���、不安全外設(shè)24��、以及通用輸入/輸出端口(GPIO)38�����。也提供了外部設(shè)備的直接存儲(chǔ)器訪問支持(DMA)72����。此外�,還提供了系統(tǒng)時(shí)鐘12、晶體振蕩器14���、電源管理單元(PMU)40�����、雙態(tài)轉(zhuǎn)換邏輯34�����、仲裁器32�����、包含設(shè)備選擇器(DSEL)62的地址解碼器���、位于高級(jí)系統(tǒng)總線(ASB)28子系統(tǒng)和VLSI外圍總線(VPB)子系統(tǒng)26(ASB2VPB)52之間的橋���、以及一個(gè)全局配置設(shè)備寄存器(GDCR)54。同樣�,也提供了用于靜態(tài)設(shè)備接口80的電子總線接口單元(EBIU)74和耦合到SRAM控制器SDRAM/EBIU 70的同步動(dòng)態(tài)隨機(jī)存取存儲(chǔ)器(SDRAM)接口78。
同樣如所顯示的那樣����,該實(shí)施方案采用了市場(chǎng)上可買到的PhilipsSemiconductors的ARM720T作為嵌入處理器20。處理器包括��,但是不限于,高速緩沖存儲(chǔ)器�,譬如一個(gè)8K字節(jié)的高速緩存;存儲(chǔ)器管理單元(MMU)���、寫入緩沖器和用于處理器操作的高級(jí)系統(tǒng)總線(ASB)。
為ASIC 10標(biāo)注的各種各樣的器件對(duì)于ASIC結(jié)構(gòu)而言是具有典型性的�,但是后者可以包括或者也可以不包括標(biāo)注了的器件,或者也可以包括更多的器件�����。正如下文將非常詳細(xì)地描述的那樣����,本發(fā)明將關(guān)注于在采用了多個(gè)時(shí)鐘監(jiān)視器16的條件下,用于ASIC設(shè)備或者其它設(shè)備的系統(tǒng)時(shí)鐘12的安全運(yùn)行�。
處理器20通過采用了先進(jìn)系統(tǒng)總線(ASB)子系統(tǒng)28以及/或者超大規(guī)模集成的(VLSI)外部總線(VPB)子系統(tǒng)26的內(nèi)部總線結(jié)構(gòu)來和各種各樣的前述設(shè)備相接口。ASB子系統(tǒng)28提供了仲裁器����、地址解碼器、對(duì)ASIC的外部存儲(chǔ)器的接口�、以及ASIC內(nèi)部的至其他總線的橋之間的連通性。如圖1所示����,這一功能性是通過仲裁器32��、地址譯碼器62���、異常矢量表50、存儲(chǔ)器管理單元(MMU)30����、三重?cái)?shù)據(jù)加密標(biāo)準(zhǔn)引擎(DES/3DES)64、只讀存儲(chǔ)器(ROM)66����、靜態(tài)隨機(jī)存取存儲(chǔ)器(SRAM)68、靜態(tài)存儲(chǔ)器管理器(SDRAM/EBIU)70�����、以及直接存儲(chǔ)器訪問控制器(DMA)72來提供的�。在運(yùn)行中,ASB子系統(tǒng)28通常有兩種狀態(tài)安全的和不安全的��。ASB 28的狀態(tài)取決于給定設(shè)備內(nèi)部的控制器�����,而后者是由處理器20準(zhǔn)予來控制總線的。因此����,在內(nèi)部設(shè)備、外部設(shè)備和處理器20之間�,ASB既提供安全的互連,也提供不安全的互連����。
VPB子系統(tǒng)26包括在ASB子系統(tǒng)28和VPB子系統(tǒng)26之間的橋(ASB2VPB)52����、將在此后更詳細(xì)地描述的多個(gè)時(shí)鐘監(jiān)視器16、中斷控制器(INTCTL)36�����、多個(gè)系統(tǒng)定時(shí)器60���、實(shí)時(shí)秒計(jì)數(shù)器(RSTC)18���、安全的外設(shè)22譬如鍵盤、多個(gè)為調(diào)制解調(diào)器之類的設(shè)備提供連接的UARTS(UART A-D)48、高級(jí)數(shù)據(jù)鏈路控制器(HDLC)46���、Philips的I2C總線接口(I2C)44�����、不安全的外設(shè)24譬如打印機(jī)�����、通用輸入/輸出端口(GPIO)38�、隨機(jī)數(shù)發(fā)生器(RNG)42�、全局配置設(shè)備寄存器(GDCR)54、電源管理單元(PMU)40�����、以及也會(huì)在此后更詳細(xì)地描述的系統(tǒng)時(shí)鐘12��。VPB子系統(tǒng)26一般具有兩個(gè)狀態(tài)安全的和不安全的�����。因此�,VPB子系統(tǒng)26的狀態(tài)也取決于給定設(shè)備內(nèi)部被準(zhǔn)予去控制總線的控制器����。
通過使用所選擇的設(shè)備�、所用總線的可能狀態(tài)、以及ASIC 10的結(jié)構(gòu)中固有的架構(gòu)����,而提供了一種在多種設(shè)備和處理器之間進(jìn)行安全通信和不安全通信的方法。舉例來說���,在一個(gè)使用了信用卡的金融事務(wù)處理中�����,處理器20能夠與鍵盤和紙帶打印機(jī)用安全的/不安全的方式進(jìn)行通信,就像前文所述的那樣�����。因此����,除了本發(fā)明的各方面所提供的特性之外,ASIC 10也提供了許多安全特性����。
盡管ASIC 10的架構(gòu)提供了一些安全性��,ASIC 10仍然容易受到許多常見的安全性攻擊的影響�。舉例說來����,由ASIC 10執(zhí)行的事務(wù)處理的安全性仍然會(huì)經(jīng)由過頻或者欠頻計(jì)時(shí)而提供關(guān)于內(nèi)部狀態(tài)的信息。本發(fā)明通過提供多個(gè)時(shí)鐘監(jiān)視器16和系統(tǒng)時(shí)鐘來保護(hù)ASIC 10不受多種常見的安全性攻擊�����,從而解決這個(gè)和其它相關(guān)的問題�����。更明確地說��,在公布的實(shí)施方案和其它附圖中所示的本發(fā)明的實(shí)施方案是針對(duì)多種安全性攻擊�,其包括ASIC 10的過頻或欠頻計(jì)時(shí)。然而�,本領(lǐng)域技術(shù)人員將會(huì)認(rèn)識(shí)到,本發(fā)明能夠很容易地適應(yīng)于其它類型的安全性攻擊��,在其中切換到安全時(shí)鐘是需要的��。
如前文所述,用一個(gè)時(shí)鐘來使ASIC 10逐步執(zhí)行其運(yùn)行例程����,這使得ASIC 10完成其功能。通過施加過頻或者欠頻時(shí)鐘信號(hào)�����,則與使用ASIC執(zhí)行的事務(wù)處理相關(guān)的秘密數(shù)據(jù)可能會(huì)被探知����。可以將本發(fā)明引向阻止來自ASIC 10的對(duì)安全和秘密的金融和帳戶信息的非法訪問����。為了防止ASIC被過頻或欠頻計(jì)時(shí),根據(jù)本發(fā)明這個(gè)特定的實(shí)施方案����,在多個(gè)時(shí)鐘監(jiān)視器16中提供了高頻和低頻監(jiān)測(cè)�����。盡管高頻和低頻的監(jiān)測(cè)是作為本發(fā)明這一特定的實(shí)施方案的一部分而提供的��,許多其他的保護(hù)特性也可以被合并到時(shí)鐘監(jiān)視器16中去,這是本領(lǐng)域的普通技術(shù)人員能理解的���。
在ASIC被過頻或欠頻計(jì)時(shí)的安全性攻擊中����,有人來觀察ASIC的運(yùn)行�����,記錄ASIC響應(yīng)過頻或欠頻計(jì)時(shí)的各種輸出�,從而探知ASIC的運(yùn)行情況。現(xiàn)在考慮本發(fā)明和ASIC 10的過頻和欠頻檢測(cè)特性的細(xì)節(jié)�����,圖2展示了描述本發(fā)明特性的附圖1中的某些部分的功能方框圖����。如附圖2所示,晶體振蕩器14和兩個(gè)時(shí)鐘監(jiān)視器16A與16B����、以及系統(tǒng)時(shí)鐘12組成了下文中所謂的時(shí)鐘切換電路或時(shí)鐘開關(guān)100。系統(tǒng)時(shí)鐘12還包括鎖相環(huán)(PLL)102�、復(fù)用器104和干凈(clean)切換邏輯106��。
時(shí)鐘開關(guān)100功能如下�。在系統(tǒng)時(shí)鐘12內(nèi)部�����,晶體振蕩器14在一個(gè)基頻上發(fā)生諧振��,該基頻被施加到PLL 102���,系統(tǒng)時(shí)鐘12由此生成了系統(tǒng)時(shí)鐘信號(hào)108�。系統(tǒng)時(shí)鐘信號(hào)108被加到也在系統(tǒng)時(shí)鐘12內(nèi)部的復(fù)用器104����,以及各時(shí)鐘監(jiān)視器16A和16B。時(shí)鐘監(jiān)視器16A和16B中的每一個(gè)都包含一個(gè)安全時(shí)鐘�����,后者分別產(chǎn)生安全時(shí)鐘信號(hào)SEC_CLK1(110A)和SEC_CLK2(110B)��,該安全時(shí)鐘信號(hào)也被加到系統(tǒng)時(shí)鐘12內(nèi)的復(fù)用器104����。時(shí)鐘監(jiān)視器16A和16B中的每一個(gè)都包含有電路,基于各個(gè)時(shí)鐘監(jiān)視器內(nèi)所設(shè)置的參數(shù)��,這些電路被配置來監(jiān)視系統(tǒng)時(shí)鐘信號(hào)108中過頻和欠頻的情況��。
如果兩個(gè)時(shí)鐘監(jiān)視器16A和16B都沒有檢測(cè)到時(shí)鐘信號(hào)的過頻或欠頻情況�����,那么復(fù)用器就輸出系統(tǒng)時(shí)鐘108作為安全時(shí)鐘114�,于是這個(gè)信號(hào)被ASIC 10中的處理器20所用。然而�,如果時(shí)鐘監(jiān)視器16A和16B中的一個(gè)或者兩個(gè)都檢測(cè)到過頻或者欠頻的情況,那么時(shí)鐘監(jiān)視器16A和16B就分別向干凈切換邏輯106聲明一個(gè)確保安全邏輯時(shí)鐘信號(hào)(SAL_CLK1�����,SAL_CLK2)112A和112B����,該干凈切換邏輯106進(jìn)而又使復(fù)用器104從輸出系統(tǒng)時(shí)鐘信號(hào)108切換到輸出首先檢測(cè)到過頻或者欠頻情況的那個(gè)時(shí)鐘監(jiān)視器16A和16B的相應(yīng)安全時(shí)鐘SEC_CLK1(110A),SEC_CLK2(110B)����。在兩個(gè)時(shí)鐘監(jiān)視器同時(shí)檢測(cè)到過頻或者欠頻情況的情形下,干凈切換邏輯106將使來自時(shí)鐘監(jiān)視器16A的安全時(shí)鐘信號(hào)SEC_CLK1(110A)作為系統(tǒng)時(shí)鐘信號(hào)114輸出。一旦時(shí)鐘檢測(cè)器16A和16B檢測(cè)到過頻或者欠頻的情況不再存在��,那么安全時(shí)鐘信號(hào)114就被切換回系統(tǒng)時(shí)鐘信號(hào)108�����。
當(dāng)電源施加到時(shí)鐘開關(guān)100上時(shí)���,從各個(gè)時(shí)鐘監(jiān)視器16A和16B內(nèi)產(chǎn)生的復(fù)位信號(hào)RESET_1(116A)和RESET_2(116B)是用于提供一個(gè)已知的邏輯環(huán)境���。當(dāng)斷言該復(fù)位信號(hào)RESET_1(116A)和RESET_2(116B)時(shí),這一過程在該時(shí)鐘開關(guān)內(nèi)完成�����。
當(dāng)在系統(tǒng)時(shí)鐘信號(hào)108和安全時(shí)鐘信號(hào)之間切換時(shí)�����,干凈切換邏輯106被提供用來配合由安全時(shí)鐘114驅(qū)動(dòng)的設(shè)備的各不相同的時(shí)鐘需求��,并且安全時(shí)鐘信號(hào)SEC_CLK1(110A)和SEC_CLK2(110B)是在時(shí)鐘監(jiān)視器16A和16B內(nèi)產(chǎn)生的���。出于本發(fā)明的目的�,如果時(shí)鐘信號(hào)114符合下列兩個(gè)條件,則切換被認(rèn)為是“干凈”的�����。首先���,時(shí)鐘信號(hào)114一定不能有任何“毛刺”或者一定不能有不越過從高到低的狀態(tài)或從低到高的狀態(tài)下的邏輯門限的短暫轉(zhuǎn)變。其次�����,當(dāng)時(shí)鐘信號(hào)114轉(zhuǎn)變到低狀態(tài)時(shí)�����,時(shí)鐘信號(hào)114必須在規(guī)定的時(shí)間長(zhǎng)度(低時(shí)間)內(nèi)保持為低����。類似的,當(dāng)時(shí)鐘信號(hào)114轉(zhuǎn)換到高狀態(tài)時(shí)����,它必須在規(guī)定的時(shí)間長(zhǎng)度(高時(shí)間)內(nèi)保持為高。低時(shí)間和高時(shí)間具有最小值和最大值����,以約束時(shí)鐘信號(hào)114的最高和最低頻率�。此外�����,本發(fā)明中所描述的復(fù)用器104一般不是打算用于必須維持恒定的時(shí)鐘占空比的場(chǎng)合�。這是因?yàn)樵跁r(shí)鐘之間進(jìn)行切換時(shí),正如此后的附圖中將更為詳細(xì)地描述的那樣�����,干凈切換邏輯106會(huì)等待�,直到需要被切換的時(shí)鐘變成低,并在后續(xù)時(shí)鐘剛剛變?yōu)榈秃笄袚Q到該后續(xù)時(shí)鐘����。這將導(dǎo)致一個(gè)合并起來的低時(shí)間,而這個(gè)低時(shí)間一般比單一時(shí)鐘的低時(shí)間長(zhǎng)一些���。此外�����,在展示的實(shí)施方案中所描述的邏輯是為了用于Philips Semiconductor的ARM720T處理器20而專門選擇并改造的�����。根據(jù)本發(fā)明的原理��,所采用的干凈切換邏輯106也能夠很容易地被改造以適于和各種各樣的其它設(shè)備一起工作��。
同樣�,在本領(lǐng)域的普通技術(shù)人員將很容易認(rèn)識(shí)到這僅是本發(fā)明的時(shí)間開關(guān)部分實(shí)施方案的一種可能配置���。本領(lǐng)域的普通技術(shù)人員將進(jìn)一步認(rèn)識(shí)到����,采用通?�?梢缘玫降碾娐?����,每個(gè)時(shí)鐘監(jiān)視器可以被配置以監(jiān)視任意故障和安全性攻擊準(zhǔn)則����,而不是象在一種實(shí)施方案中所描述的那樣僅僅監(jiān)視過頻和欠頻。此外�,本領(lǐng)域的普通技術(shù)人員也能很容易認(rèn)識(shí)到�,可以采用附加的時(shí)鐘監(jiān)視器��,而用兩個(gè)時(shí)鐘監(jiān)視器來提供冗余性的本發(fā)明的這一特定實(shí)施方案可以被擴(kuò)展���,以便包含附加的時(shí)鐘監(jiān)視器�����,從而在伴隨附加的干凈切換邏輯和復(fù)用器時(shí)���,用于進(jìn)一步的冗余操作。最后�����,本領(lǐng)域的普通技術(shù)人員將認(rèn)識(shí)到干凈切換邏輯也能夠很容易被改造�,以和具有各種時(shí)鐘要求的各種各樣的設(shè)備和處理器一起工作。
考慮附圖3��,其中闡明了附圖2中所示的時(shí)鐘開關(guān)100的功能方框圖的一種可能電路��。這僅是符合本發(fā)明原理的時(shí)鐘開關(guān)100的一種實(shí)施方案的可能電路�。特別地參照附圖3,圖中所描繪的電路是由如下的子電路組成的負(fù)邊沿開關(guān)1(202)����、負(fù)邊沿開關(guān)2(204)��、振蕩器時(shí)鐘復(fù)用器206��、系統(tǒng)時(shí)鐘選擇器208��、以及安全時(shí)鐘選擇器210�����。負(fù)邊沿開關(guān)1(202)和負(fù)邊沿開關(guān)2(204)在附圖4中顯示得更為詳細(xì)。振蕩器時(shí)鐘復(fù)用器206在附圖5A和5B中顯示得更為詳細(xì)��,而安全時(shí)鐘選擇器210在附圖6中顯示得更為詳細(xì)�。系統(tǒng)時(shí)鐘選擇器(208)顯示于附圖7中。這些子電路中每一個(gè)的基本特性和運(yùn)行將在下文結(jié)合它們各自的附圖一起討論�。
現(xiàn)在考慮附圖3中所示的電路的基本運(yùn)行?��?梢酝ㄟ^考察兩種場(chǎng)景來最好地解釋附圖3中所示電路的運(yùn)行�。第一種場(chǎng)景是當(dāng)時(shí)鐘監(jiān)視器16A和16B中的任意一個(gè)都沒有檢測(cè)到過頻或欠頻時(shí)����,而時(shí)鐘信號(hào)114是由系統(tǒng)時(shí)鐘信號(hào)108提供的�����。第二種場(chǎng)景是當(dāng)時(shí)鐘監(jiān)視器16A和16B中的一個(gè)或兩個(gè)都檢測(cè)到了過頻或欠頻的情況���,或者檢測(cè)到了系統(tǒng)中的一些其它故障或安全性破壞,而安全時(shí)鐘是由時(shí)鐘監(jiān)視器16A和16B所生成的安全時(shí)鐘信號(hào)SEC_CLK1(110A)和SEC_CLK2(110B)中的一個(gè)來提供的���。
在第一種場(chǎng)景中���,一旦完成了上電序列,信號(hào)RESET 1(116A)和RESET 2(116B)就為假�����。因?yàn)闀r(shí)鐘監(jiān)視器16A和16B都還沒有檢測(cè)到過頻或欠頻的情況���,所以信號(hào)SAL_CLK1(112A)和SAL_CLK2(112B)是低�����。系統(tǒng)時(shí)鐘12允許輸出該系統(tǒng)時(shí)鐘信號(hào)108作為安全時(shí)鐘114�。
在第二種場(chǎng)景中���,時(shí)鐘監(jiān)視器16A和16B中的一個(gè)或兩個(gè)都檢測(cè)到了故障�����,譬如包括過頻或欠頻的情況在內(nèi)的安全性攻擊����,而監(jiān)視器已經(jīng)通過把其相應(yīng)的信號(hào)取為高狀態(tài)來斷言它們相應(yīng)的SAL_CLK1(112A)或SAL_CLK2(112B)信號(hào)。在這種情形下��,與首先檢測(cè)到過頻或欠頻情況的時(shí)鐘監(jiān)視器16A和16B相關(guān)聯(lián)的安全時(shí)鐘信號(hào)SEC_CLK1(110A)和SEC_CLK2(110B)將被作為安全時(shí)鐘114而輸出����。如果剩余的時(shí)鐘監(jiān)視器16A和16B也檢測(cè)到了故障���,譬如過頻或欠頻的情況�����,并且也斷言它的相應(yīng)的SAL_CLK1(112A)或SAL_CLK2(112B)信號(hào)�����,那么來自于第二個(gè)時(shí)鐘監(jiān)視器的信號(hào)將基本上不被使用����。然而,如果第一個(gè)時(shí)鐘監(jiān)視器不再檢測(cè)到過頻或欠頻情況��,并對(duì)它的相應(yīng)的SAL_CLK1(112A)或SAL_CLK2(112B)信號(hào)解除斷言�����,那么與第二個(gè)或最后一個(gè)檢測(cè)到過頻或欠頻情況的時(shí)鐘監(jiān)視器16A或16B相關(guān)聯(lián)的安全時(shí)鐘SEC_CLK1(110A)�����,SEC_CLK2(110B)將被作為安全時(shí)鐘信號(hào)114而輸出���。當(dāng)兩個(gè)時(shí)鐘監(jiān)視器同時(shí)檢測(cè)到過頻或欠頻的情況時(shí)��,也有利于供應(yīng)����。在這種情形下����,系統(tǒng)時(shí)鐘12默認(rèn)第一個(gè)時(shí)鐘監(jiān)視器16A,而其安全時(shí)鐘SEC_CLK1(110A)被用作安全時(shí)鐘信號(hào)114。最后����,一旦兩個(gè)時(shí)鐘監(jiān)視器16A和16B都不再檢測(cè)到過頻或欠頻情況,并且不再斷言其相應(yīng)的SAL_CLK1(112A)和SAL_CLK2(112B)信號(hào)�����,則系統(tǒng)時(shí)鐘12再一次輸出系統(tǒng)時(shí)鐘信號(hào)108作為時(shí)鐘信號(hào)114��。
如此一來����,在過頻或欠頻的安全性攻擊期間,系統(tǒng)時(shí)鐘12允許處理器20使用時(shí)鐘監(jiān)視器16A�,16B中的安全時(shí)鐘SEC_CLK1(110A)和SEC_CLK2(110B)中的一個(gè)來運(yùn)行。這使得處理器20避免對(duì)系統(tǒng)時(shí)鐘信號(hào)108的操縱����,該系統(tǒng)時(shí)鐘信號(hào)使處理器步進(jìn)通過其運(yùn)行例程���。通過這樣做���,系統(tǒng)時(shí)鐘12借助向處理器提供安全時(shí)鐘以零輸出秘密信息,從而為ASIC 10提供了附加的安全性。
在本發(fā)明這一特定的實(shí)施方案中��,從系統(tǒng)時(shí)鐘信號(hào)108切換到時(shí)鐘監(jiān)視器16A��,16B內(nèi)的安全時(shí)鐘SEC_CLK1(110A)�,SEC_CLK2(110B)中的任意一個(gè)的過程并不必是“干凈”的,因?yàn)闀r(shí)鐘監(jiān)視器16A��,16B提供一個(gè)并發(fā)的復(fù)位(RESET1�����,RESET2)116A����,116B。這個(gè)并發(fā)的復(fù)位被通過附圖3中所示的邏輯門212�,216施加到時(shí)鐘開關(guān)100。然而���,當(dāng)從時(shí)鐘監(jiān)視器16A���,16B內(nèi)的安全時(shí)鐘SEC_CLK1(110A),SEC_CLK2(110B)中的任意一個(gè)切換回到系統(tǒng)時(shí)鐘信號(hào)108時(shí)�����,這個(gè)轉(zhuǎn)換必須是“干凈”的,不帶有毛刺�、多余的邊沿、或窄脈沖�,正如本公開的發(fā)明實(shí)施方案中Philips Semiconductors的ARM720T處理器20所要求的那樣。這里公開的實(shí)施方案提供了這種“干凈”的切換�。如對(duì)本領(lǐng)域普通技術(shù)人員來說非常明顯的那樣,當(dāng)從系統(tǒng)時(shí)鐘轉(zhuǎn)移到一個(gè)安全時(shí)鐘時(shí)����,如果本發(fā)明的一種實(shí)施方案是使用不向干凈切換邏輯提供并發(fā)復(fù)位的時(shí)鐘監(jiān)視器來實(shí)施,那么干凈切換邏輯也能被輕易地修改以適合在那種場(chǎng)景下干凈地切換�����。
此外�,正如前面指出的那樣,在這個(gè)特定的實(shí)施方案中����,只要不違反低頻最小值,就沒有對(duì)系統(tǒng)時(shí)鐘信號(hào)108或時(shí)鐘監(jiān)視器16A��,16B內(nèi)的安全時(shí)鐘SEC_CLK1(110A)�����,SEC_CLK2(110B)中的任意一個(gè)的低時(shí)間做任何限制��。如果需要和一些設(shè)備一起使用��,而這些設(shè)備要求系統(tǒng)時(shí)鐘信號(hào)108和安全時(shí)鐘信號(hào)SEC_CLK1(110A)��,SEC_CLK2(110B)之間有最大高時(shí)間��,那么本發(fā)明的該公開的實(shí)施方案可以進(jìn)行調(diào)整�。對(duì)于本領(lǐng)域普通技術(shù)人員而言,如何采用已知的電路來修改干凈切換邏輯(106)�����,以提供時(shí)鐘信號(hào)的最小的低時(shí)間或最大的高時(shí)間將是顯然的��。
已經(jīng)闡述的干凈切換邏輯106允許復(fù)用器104從安全時(shí)鐘SEC_CLK1(110A)��,SEC_CLK2(110B)中的任意一個(gè)切換到系統(tǒng)時(shí)鐘信號(hào)108����,即使系統(tǒng)時(shí)鐘信號(hào)108已經(jīng)停止。也就是說����,本發(fā)明的公開的實(shí)施方案并沒有在失去系統(tǒng)時(shí)鐘信號(hào)108的情況下提供替換的時(shí)鐘信號(hào)���。然而,如果需要的話�����,可以對(duì)干凈切換邏輯106進(jìn)行改造�����,以便如果系統(tǒng)時(shí)鐘信號(hào)已經(jīng)停止�,就向處理器20提供安全時(shí)鐘SEC_CLK1(110A)和SEC_CLK2(110B)中的一個(gè)。
最后�,上面所描述的時(shí)鐘監(jiān)視器16A和16B采用了已知的電路來確定過頻或欠頻情況。此外����,正如在上文中提到的,本領(lǐng)域普通技術(shù)人員能夠很容易地實(shí)現(xiàn)多種電路來提供相同或類似的功能性�����,以提供對(duì)多種常見故障或安全性攻擊的監(jiān)視�。時(shí)鐘監(jiān)視器16A�,16B是用功能方框來表示的�,用來闡明系統(tǒng)時(shí)鐘12如何能夠被配置來檢測(cè)一系統(tǒng)時(shí)鐘信號(hào)108超出了容限�����,并使得處理器20采用替換的安全時(shí)鐘SEC_CLK1(110A)����,SEC_CLK2(110B)。
現(xiàn)在把焦點(diǎn)集中到其余的附圖����,圖中表述的電路更詳盡地顯示此前所描述的本發(fā)明的這一特定實(shí)施方案中÷本發(fā)明的干凈切換邏輯是如何實(shí)現(xiàn)的。附圖4表述了用于附圖3所示的負(fù)邊沿開關(guān)1(202)和負(fù)邊沿開關(guān)2(204)二者的邏輯電路��。如本領(lǐng)域的技術(shù)人員將注意到的那樣��,字母“N”表示對(duì)前面所討論的時(shí)鐘監(jiān)視器16A����,16B的特定引用。負(fù)邊沿開關(guān)202和204的功能是檢測(cè)來自時(shí)鐘監(jiān)視器16A�����,16B的SAL_CLK_N 112A,112B信號(hào)的負(fù)跳變沿����,同時(shí)也由SEC_CLK 404驅(qū)動(dòng)。然后負(fù)邊沿開關(guān)202�,204將輸出該檢測(cè)到的負(fù)邊沿分別作為信號(hào)NEG_EDG_SWN 302,304�����,這些信號(hào)將在后面的附圖中用于后續(xù)的電路���。負(fù)邊沿開關(guān)202和204也產(chǎn)生SAL_CLK_N 112A����,112B信號(hào)的同步后的版本�����,并把它們作為SWITCH_CLKN_SYNC 306��,308輸出��。這是當(dāng)一旦時(shí)鐘監(jiān)視器16A�,16B中的一個(gè)檢測(cè)到故障或者安全性攻擊����,譬如過頻或者欠頻情況���,而從系統(tǒng)時(shí)鐘信號(hào)108切換到安全時(shí)鐘SEC_CLK1(110A)���,SEC_CLK2(110B)中的某一個(gè)時(shí)���,對(duì)信號(hào)進(jìn)行同步中的第一步驟�,同步該信號(hào)對(duì)于提供干凈切換而言是必需的��。
現(xiàn)在參考附圖5A�,圖中繪制的邏輯電路顯示了附圖3所示的振蕩器時(shí)鐘復(fù)用器206的一部分。振蕩器時(shí)鐘復(fù)用器邏輯電路從負(fù)邊沿開關(guān)202����,204取得SWITCH_CLK1_SYNC 306和SWITCH_CLK2_SYNC308,并確定是否采用SEC_CLK1(110A)或SEC_CLK2(110B)作為安全時(shí)鐘SEC_CLK 404信號(hào)���。如所示���,為已經(jīng)檢測(cè)到過頻或欠頻情形的時(shí)鐘監(jiān)視器16A��,16B產(chǎn)生信號(hào)USE_CLK1(402)和USE_CLK2(404)�����,以促使時(shí)鐘復(fù)用器410選擇相應(yīng)的時(shí)鐘110A���,110B。這是當(dāng)一旦檢測(cè)到過頻或者欠頻�,而從系統(tǒng)時(shí)鐘信號(hào)108切換到安全時(shí)鐘SEC_CLK1(110A),SEC_CLK2(110B)中的某一個(gè)時(shí)��,對(duì)信號(hào)進(jìn)行同步中的第二步驟�����,同步該信號(hào)對(duì)于提供干凈切換而言是必需的��。
現(xiàn)在參考附圖5B��,其中繪制的邏輯電路執(zhí)行了此前所描述的附圖5A所示的時(shí)鐘復(fù)用器410的功能性�。本領(lǐng)域的技術(shù)人員將會(huì)理解有多種電路也能被用于執(zhí)行前述的復(fù)用功能性,而附圖5B中所繪制的邏輯電路只是這樣的一個(gè)范例��。
現(xiàn)在參考附圖6,圖中繪制了在附圖3中所示的安全時(shí)鐘選擇器210的邏輯電路�����。安全時(shí)鐘選擇器210以從負(fù)邊沿開關(guān)202��,204獲取的NEG_EDGE_SW1 302和NEG_EDGE_SW2 304信號(hào)�、從安全時(shí)鐘復(fù)用器206獲取的SEC_CLK 404信號(hào)、以及通過附圖3所示的邏輯門212由SAL_CLK1(110A)和SAL_CLK2(110B)導(dǎo)出的SWITCH 502信號(hào)作為輸入���。由此����,剛一斷言信號(hào)SWITCH 502��,安全時(shí)鐘選擇器210就在檢測(cè)到過頻或者欠頻時(shí)輸出USE_SEC_CLK 504�。這是當(dāng)從系統(tǒng)時(shí)鐘信號(hào)108切換到時(shí)鐘監(jiān)視器16A���,16B中所得到的安全時(shí)鐘SEC_CLK1(110A)�,SEC_CLK2(110B)中的某一個(gè)時(shí)�,對(duì)信號(hào)進(jìn)行同步中的第三步驟,同步該信號(hào)對(duì)于提供干凈切換而言是必需的�。
最后,附圖5A所示的時(shí)鐘復(fù)用器410所產(chǎn)生的SEC_CLK 404信號(hào)以及附圖6所示的安全時(shí)鐘選擇器210所產(chǎn)生的USE_SEC_CLK 504信號(hào)在附圖3中的邏輯門214中被合并起來,以導(dǎo)致也在附圖3中示出的邏輯門218把對(duì)于檢測(cè)到過頻或者欠頻情況的時(shí)鐘監(jiān)視器16A��,16B的相應(yīng)的安全時(shí)鐘SEC_CLK1(110A)或SEC_CLK2(110B)作為安全時(shí)鐘114輸出�。此外,這允許處理器20在過頻或欠頻故障或者安全性攻擊期間�,采用時(shí)鐘監(jiān)視器16A,16B中的安全時(shí)鐘SEC_CLK1(110A)���,SEC_CLK2(110B)����,且避免在步進(jìn)通過其運(yùn)行例程中對(duì)系統(tǒng)時(shí)鐘信號(hào)108進(jìn)行操縱�����。
現(xiàn)在參考附圖7�����,其中繪制了在附圖3中所示的系統(tǒng)時(shí)鐘選擇器208的邏輯電路�。當(dāng)一旦時(shí)鐘監(jiān)視器16A,16B不再檢測(cè)到故障或安全性攻擊�,處理器20從結(jié)合時(shí)鐘監(jiān)視器16A,16B中的安全時(shí)鐘SEC_CLK1(110A)��,SEC_CLK2(110B)中的一個(gè)來運(yùn)行轉(zhuǎn)換到結(jié)合系統(tǒng)時(shí)鐘信號(hào)108來運(yùn)行時(shí),系統(tǒng)時(shí)鐘選擇器208用于提供“干凈”的切換����。系統(tǒng)時(shí)鐘選擇器208以來自附圖4所示的負(fù)邊沿開關(guān)202和204的NEG_EDGE_SW1(302)和NEG_EDGE_SW2(304)信號(hào)、由附圖3中所示的邏輯門212根據(jù)SAL_CLK1(110A)和SAL_CLK2(110B)得到的SWITCH 502信號(hào)��、同樣由邏輯門212根據(jù)RESET_1和RESET_2信號(hào)得到的RESET_N 602信號(hào)���、以及附圖5A和5B中顯示的SEC_CLK404信號(hào)作為輸入�����。如附圖7中所示���,一個(gè)3比特的格雷(Grey)計(jì)數(shù)器600一直保持在復(fù)位狀態(tài),直到從其輸入端看到最新切換的負(fù)邊沿SWITCH 502���、NEG_EDGA_SW2(304)、NEG_EDGA_SW1(302)���、以及RESET_N 602��。接著這個(gè)3比特的格雷計(jì)數(shù)器開始計(jì)數(shù)���,在二進(jìn)制計(jì)數(shù)為1的時(shí)候裝備(arming)第一個(gè)觸發(fā)器606�����,而在二進(jìn)制計(jì)數(shù)為3的時(shí)候裝備第二個(gè)觸發(fā)器604����。如果系統(tǒng)時(shí)鐘信號(hào)108是在工作的��,那么觸發(fā)器604��、606將被計(jì)時(shí)����。觸發(fā)器604、606進(jìn)而又對(duì)第三個(gè)觸發(fā)器608計(jì)時(shí)�����,而后者將斷言USE_SYS_CLK 610信號(hào)�。這在SWITCH 502信號(hào)被解除斷言,以及在檢測(cè)到信號(hào)NEG_EDGE_SW1(302)或NEG_EDGE_SW2(304)中任意一個(gè)的負(fù)邊沿之后���,在系統(tǒng)時(shí)鐘信號(hào)108的上升沿使能USE_SYS_CLK 610�。接著,USE_SYS_CLK 610將和附圖3中所示的從SWITCH 502信號(hào)導(dǎo)出的SWITCH_N 218信號(hào)以及邏輯門216中的系統(tǒng)時(shí)鐘信號(hào)108相組合�����。于是�,也如附圖3所示,邏輯門216用被作為安全時(shí)鐘信號(hào)114輸出的系統(tǒng)時(shí)鐘信號(hào)108驅(qū)動(dòng)邏輯門218�����。這在一旦不再檢測(cè)到過頻或欠頻�����,處理器20從結(jié)合時(shí)鐘監(jiān)視器16A���,16B中的安全時(shí)鐘的SEC_CLK1(110A)���,SEC_CLK2(110B)二者之一運(yùn)行切換到結(jié)合系統(tǒng)時(shí)鐘信號(hào)108運(yùn)行時(shí),為處理器20提供干凈的切換���。也應(yīng)該注意到,如前文所指出的����,即使系統(tǒng)時(shí)鐘108不在運(yùn)行��,當(dāng)3比特的格雷計(jì)數(shù)器600超時(shí)之后����,附圖2和3中所示的安全時(shí)鐘114將仍然會(huì)切換到系統(tǒng)時(shí)鐘信號(hào)108����。
盡管通過這里所描述的實(shí)施方案已經(jīng)闡述了本發(fā)明,而且實(shí)施方案已經(jīng)描述得相當(dāng)詳細(xì)�,但限制或以任何方式把所附權(quán)利要求的范圍局限于這樣的細(xì)節(jié)并不是本申請(qǐng)人的目的。本領(lǐng)域的技術(shù)人員將容易地發(fā)現(xiàn)更多的優(yōu)越性和修改����。因此,在更廣義的方面看來���,本發(fā)明并不受限于特定的細(xì)節(jié)�、代表性的設(shè)備和方法�����、以及所展示和描述的闡明性的范例���。相應(yīng)地���,可以在不脫離申請(qǐng)人的一般性的發(fā)明概念的精神或范圍的條件下�����,脫離這樣的細(xì)節(jié)�。
權(quán)利要求
1.一種增強(qiáng)系統(tǒng)(10)的安全性的方法��,該系統(tǒng)結(jié)合來自于一系統(tǒng)時(shí)鐘(12)的時(shí)鐘信號(hào)(108)而運(yùn)行��,該方法包含監(jiān)視該系統(tǒng)以檢測(cè)系統(tǒng)中的故障�����;剛一檢測(cè)到故障�,就使該系統(tǒng)從結(jié)合來自于該系統(tǒng)時(shí)鐘(12)的時(shí)鐘信號(hào)(108)運(yùn)行切換到結(jié)合來自于一安全時(shí)鐘(16a,16b)的安全時(shí)鐘信號(hào)(116a����,116b)運(yùn)行。
2.權(quán)利要求1中的方法�����,還包含當(dāng)將該系統(tǒng)(10)切換到結(jié)合來自該安全時(shí)鐘(16a���,16b)的安全時(shí)鐘信號(hào)(116a���,116b)運(yùn)行時(shí),防止時(shí)鐘信號(hào)(114)具有不越過從高到低狀態(tài)或者從低到高狀態(tài)的邏輯門限的短暫轉(zhuǎn)換����。
3.權(quán)利要求1中的方法,其中當(dāng)從該系統(tǒng)時(shí)鐘(12)的時(shí)鐘信號(hào)(108)切換到該安全時(shí)鐘(16a����,16b)的安全時(shí)鐘信號(hào)(116a,116b)時(shí)����,該時(shí)鐘信號(hào)(114)具有延長(zhǎng)的低時(shí)間。
4.權(quán)利要求1中的方法�����,還包含把來自系統(tǒng)時(shí)鐘(12)和來自至少一個(gè)安全時(shí)鐘(16a��,16b)的時(shí)鐘信號(hào)(108����,116a����,116b)復(fù)用在一起�����,并且剛一檢測(cè)到故障�,就選擇復(fù)用的時(shí)鐘信號(hào)(114)中的一個(gè)來運(yùn)行該系統(tǒng)。
5.權(quán)利要求1中的方法����,還包含當(dāng)在時(shí)鐘信號(hào)(108,116a��,116b)之間切換時(shí)��,等待�,直到正被切換自的時(shí)鐘信號(hào)轉(zhuǎn)換到低狀態(tài)。
6.一種用于增強(qiáng)系統(tǒng)(10)的安全性的設(shè)備�����,該系統(tǒng)結(jié)合來自于一系統(tǒng)時(shí)鐘(12)的時(shí)鐘信號(hào)(108)而運(yùn)行,該設(shè)備包含產(chǎn)生安全時(shí)鐘信號(hào)(116a����,116b)的安全時(shí)鐘(16a,16b)�����;被配置成監(jiān)視該系統(tǒng)(10)以檢測(cè)故障的時(shí)鐘監(jiān)視電路���;時(shí)鐘切換電路(104,106)��,該時(shí)鐘切換電路可操作地耦合到時(shí)鐘監(jiān)視電路�、系統(tǒng)時(shí)鐘信號(hào)(108)、以及安全時(shí)鐘信號(hào)(16a�����,16b)��;該時(shí)鐘切換電路(104��,106)被配置成����,剛一檢測(cè)到故障����,就使該系統(tǒng)(10)從結(jié)合來自于系統(tǒng)時(shí)鐘(12)的時(shí)鐘信號(hào)(108)運(yùn)行切換到結(jié)合來自于安全時(shí)鐘(16a���,16b)的安全時(shí)鐘信號(hào)(116a�,116b)運(yùn)行��。
7.權(quán)利要求6中的設(shè)備��,還包含多個(gè)具有安全時(shí)鐘信號(hào)(116a�����,116b)的安全時(shí)鐘(16a��,16b)���;該時(shí)鐘切換電路(104���,106)可操作地耦合到多個(gè)安全時(shí)鐘信號(hào)(116a,116b)以便把系統(tǒng)10切換到結(jié)合這些安全時(shí)鐘信號(hào)(116a����,116b)中的一個(gè)運(yùn)行��。
8.權(quán)利要求6中的設(shè)備����,其中安全時(shí)鐘(16a����,16b)包括一個(gè)環(huán)形振蕩器���。
9.權(quán)利要求6中的設(shè)備����,其中時(shí)鐘監(jiān)視電路(16a�����,16b)被配置以檢測(cè)該已檢測(cè)到故障的結(jié)束���;該時(shí)鐘切換電路(104��,106)還被配置成剛一檢測(cè)到所述故障的結(jié)束�,就使該系統(tǒng)(10)切換以再次結(jié)合來自于系統(tǒng)時(shí)鐘(12)的時(shí)鐘信號(hào)(108)運(yùn)行。
10.權(quán)利要求6中的設(shè)備���,其中時(shí)鐘監(jiān)視電路被配置成監(jiān)視該系統(tǒng)(10)���,以檢測(cè)出與來自于該系統(tǒng)時(shí)鐘的過頻和欠頻時(shí)鐘信號(hào)(108)中的一個(gè)相關(guān)的故障,該時(shí)鐘切換電路(104����,106)被配置成把系統(tǒng)(10)切換到結(jié)合來自于安全時(shí)鐘(16a,16b)的安全時(shí)鐘信號(hào)(116a�,116b)運(yùn)行,以防止對(duì)該系統(tǒng)(10)的過頻和欠頻計(jì)時(shí)���。
11.權(quán)利要求10中的設(shè)備���,其中時(shí)鐘監(jiān)視電路包括分頻器和延遲線,該分頻器和延遲線被配置成檢測(cè)來自該系統(tǒng)時(shí)鐘(12)的過頻和欠頻時(shí)鐘信號(hào)(108)����。
12.一種專用集成電路,包含處理器(20)���;產(chǎn)生用于處理器運(yùn)行的系統(tǒng)時(shí)鐘信號(hào)(108)的時(shí)鐘(12)�;更進(jìn)一步地產(chǎn)生安全時(shí)鐘信號(hào)(116a,116b)的安全時(shí)鐘(16a����,16b);時(shí)鐘監(jiān)視電路���,被配置成監(jiān)視該專用集成電路(10)以檢測(cè)故障����;時(shí)鐘切換電路(104�,106),該時(shí)鐘切換電路可操作地耦合到該時(shí)鐘監(jiān)視電路����、該系統(tǒng)時(shí)鐘信號(hào)(108)以及安全時(shí)鐘信號(hào)(116a���,116b)�;該時(shí)鐘切換電路(104����,106)被配置成剛一檢測(cè)到故障,就使處理器(20)從結(jié)合一系統(tǒng)時(shí)鐘信號(hào)(108)運(yùn)行切換到結(jié)合該安全時(shí)鐘信號(hào)(116a���,116b)運(yùn)行���。
全文摘要
一種用于增強(qiáng)含有系統(tǒng)時(shí)鐘的計(jì)算系統(tǒng)的容錯(cuò)性和安全性的系統(tǒng)��,這是通過對(duì)該計(jì)算系統(tǒng)監(jiān)視一系列安全性攻擊中的至少一個(gè)攻擊�,并且剛一檢測(cè)到安全性攻擊���,就把系統(tǒng)從系統(tǒng)時(shí)鐘切換到一個(gè)安全的時(shí)鐘而進(jìn)行的�。
文檔編號(hào)G06F1/04GK1602458SQ02824864
公開日2005年3月30日 申請(qǐng)日期2002年11月26日 優(yōu)先權(quán)日2001年12月14日
發(fā)明者J·A·勒赫曼, R·塞蒂亞 申請(qǐng)人:皇家飛利浦電子股份有限公司