專利名稱:集成電路卡中的防偽造器件的制作方法
技術領域:
本發(fā)明涉及一種具有包括一個數據存儲器的存儲區(qū)的集成電路����。
這樣的集成電路器件廣泛用在信息處理安全性顯得重要的應用領域。具體地說����,它們包括應用在衛(wèi)生、移動電話和銀行領域中的集成電路卡��。
集成電路卡是一個包括一個電子單元的塑料卡本體�。這個卡通過一個通訊網與一個終端例如一個移動電話、一個銀行終端�、也可以是一個計算機進行通訊,并且能通過該通訊網向所述終端發(fā)送包含加密信息的消息��,以便使這些信息安全傳送。用日常的語言來講���,消息被稱為是被簽名的�����。為了處理已加密的信息����,卡采用一個位于其存儲區(qū)的數據存儲器內部的加密鑰和一個加密算法����。
雖然這樣可以保證信息安全傳送,但一個集成電路仍是易受攻擊的��,因為一個偽造者在卡上可以執(zhí)行許多動作����,這些動作可以使其能揭露卡的秘密�。這樣,該偽造者想要找到該加密鑰����,而可能向卡發(fā)送一個特征符號指令信息(signature instruction message)���,并且在加入該指令后保持對產生的信號進行記錄。此后����,該偽造者可能發(fā)射大量用于所述相同信息的信號指令,并將該卡在進行所述算法進行期間的若干個時間點期間暴露在電磁干擾中��,并保持對各種發(fā)射信號的記錄�。通過使在干擾期間獲得的信號記錄與第一記錄匹配,偽造者通過分析在獲得信息的各種加密片段間的差別或缺少的部分���,可以揭露碼密鑰部分����。這樣���,雖然卡傳遞安全的信息���,但是偽造者通過在集成電路卡上進行大量的動作仍能獲取秘密的信息。
因此����,本發(fā)明為了解決上述的技術問題而提供一種具有包括一個數據存儲器的存儲區(qū)的集成電路器件,該器件能通過限制偽造者可能在卡上進行的偽造行為的數目來使卡更加安全�。
按照本發(fā)明�����,所要解決的技術問題的方案為數據存儲器具有至少一個計數元件����,至少一個指示器元件和至少一個閾值,所述的計數元件一方面對在該器件內發(fā)生的事件的至少一個發(fā)生數目進行計數�,另一方面可以達到所述閾值,達到所述閾值是所述這些事件發(fā)生數目最大值的表征���,所述指示器元件設計成,當所述計數器元件達到所述閾值時�����,其從一第一狀態(tài)轉換到一第二狀態(tài)。
如下面所詳細說明那樣����,按照本發(fā)明的器件能限制可能在該集成電路卡上完成的行為或發(fā)生的事件的數目��,這一方面借助于一個將對完成考慮到的一個行為或一組行為的行為數目進行計數的計數元件���,而另一方面借助于一個將指示已經達到的事件或行為發(fā)生的數目的閾值的指示器元件���,以便后來可以在超過所述閾值的下一個時間進行核準(sanction)��。
通過下面以非限定性的參考附圖的例子提供的本發(fā)明的優(yōu)選實施例的描述,可以使本發(fā)明的其它特點和優(yōu)點更加清楚。
圖1是按照本發(fā)明的一個集成電路器件的示意圖,在此的集成電路是一個集成電路卡。
圖2是表示按照本發(fā)明的圖1的卡的存儲區(qū)的示意圖。
圖3是表示計數器元件和指示器元件在圖2的存儲區(qū)內的配置的示意圖。
圖4是表示計數元件和指示器元件在圖2的存儲區(qū)內的另一配置的示意圖。
圖5是表示本發(fā)明的另一實施例的示意圖,其中圖2的存儲區(qū)有兩個相同的指示器元件。
圖1示出一個以公開的例子方式的一個集成電路卡的集成電路器件10。
卡10包括一個控制單元11(例如一個中央處理單元即CPU)�����、一個具有一數據存儲器14的存儲區(qū)12��、和一個用于連接到例如卡讀出器上的接觸塊13��。
存儲區(qū)12示在圖2中,它具有一個計數器元件CPT、一個閾值VS和一個指示器元件I���,還有一個禁止組件Mb�����,所述的指示器元件用于在計數元件已達到所述閾值時就從第一狀態(tài)e1轉換到第二狀態(tài)e2。在使用卡的同時�����,可以發(fā)生幾個事件���,一個事件是一個在該器件內發(fā)生的并引起一個結果的行為���。在該器件正在使用時�,可以測定一個這些事件的平均發(fā)生數目�。例如接通電源就是一個事件��,響應此事件卡發(fā)送一個信息�����,這個經常被稱為“對復位信息的響應(the reply-to-reset message)”�。發(fā)送一個簽名信息(signed message)也是一個事件���。
在卡正在使用時,對于一個具體的應用�����,可能發(fā)生的事件的平均數���,例如“發(fā)送簽名信息”可以確定。例如對于銀行一些應用中��,在作為信用卡的典型有效時間間隔的二年期間��,對于每周使用3次的用戶所擁有的卡����,將有平均三百個簽名信息;對于每周使用5次的用戶所擁有的卡����,將有平均六百個簽名信息。
在圖2中��,計數器元件CPT對在卡中發(fā)生的事件的至少一個數目進行計數�����,例如對簽名信息發(fā)生數計數。這個計數器元件可以達到閾值VS��,該閾值指示所述的一些事件發(fā)生數的一個最大值����。在集成電路卡包括一個只讀存儲器(ROM)、一個可擦除和可編程的只讀存儲器(EPROM)和一個電可擦掉可編程只讀存儲器(EEPROM)的情況下�����,因為閾值VS是固定的��,所以閾值可以駐留在三個存儲器中的一個內��,其中所述的這三個存儲器按照本發(fā)明公開的方案是數據存儲器�����,而計數器元件和指示器元件將駐留在PROM內���,因為它們的值可以改變��。
按照本發(fā)明����,該閾值代表在正常使用時的所述器件內部發(fā)生的這類事件不大可能的發(fā)生數目。為了檢測對器件的欺騙性(fraudulent)的使用�,此事件發(fā)生的最大數選得很大,因為它代表一不大可能出現的事件發(fā)生數目����,因此此大的事件發(fā)生最大數目約大于100,最好約大于1000����,根據在不同的應用中考慮不同的事件��,選擇的這些值也不同���。在上述的例子中����,眾所周知�,在卡與一個銀行終端之間將發(fā)生2000個簽名信息的可能性是很小的。因此�,在這種情況下,將把閾值設定為2000�����。如果發(fā)生這種情況,那很可能是由偽造者試圖揭開存儲在卡中的秘密所為����。
因此,為了防止偽造者作案�����,在元件CPT已經達到閾值VS時���,指示器元件I就從第一狀態(tài)e1轉換到第二狀態(tài)e2����,它也被稱為元件I從一個無源的狀態(tài)轉換到一個有源的狀態(tài)����,按照本發(fā)明的器件中的存儲區(qū)12還包括一個用于在指示器元件已經進入第二狀態(tài)e2時就禁止對該器件操作的禁止組件Mb。如果已經達到2000個簽名信息發(fā)生����,元件I就工作,而禁止組件在核查所述元件I的狀態(tài)后,就禁止卡操作����,使該卡不再進行接收或產生任何與使指示器元件工作有關的相同的事件,在當前的情況下��,該事件是一個簽名信息類型的事件���,或收到任何事件或采取任何行為的事件�����。在后者的情況下�,該卡不能再使用��,并通常認為是不通的(silent)����。
按照本發(fā)明的器件的第一實施例�,一個計數器元件用于限定一個唯一的事件。
因此����,在圖3中,計數器元件CPT1被用于限定事件E1,元件CPT2被用于限定事件E2��,元件CPT3被用于限定事件E3���。
雖然一些事件可以具有不同的性質���,但它們在卡的有效期間內發(fā)生的數目可以具有相同量級的值。因此它們的很少可能發(fā)生的數可以是相同的�����。因此可以期望把這些事件分入到相同的類別中����。例如,可以假設發(fā)送簽名信息與發(fā)送加密信息屬于同一類���。因此�,按照本發(fā)明�����,一個計數器元件被用于限定至少兩個事件���,其中這兩個事件屬于同一類�����。這樣��,根據在圖4中示出的示意圖��,計數器元件CPT1和CPT2分別被用于確定兩個事件類(E1�����,E2����,E3)和(E4,E5)��。
在本發(fā)明的這兩個實施例中�,對于每個計數器元件限定一個閾值�。因此值VS1、VS2和VS3與每個相應的事件相聯系���,例如在圖3的情況下��,是等效于例如在圖4中使值VS1和VS2與事件的每個相應的類別有關的情況���。當一個元件CPT已經達到它的閾值VS時���,指示器元件就指示被閾值代表的事件發(fā)生的最大允許數已經達到。
在上述兩個實施例中��,所述指示器元件可以采用兩種不同的方式完成��。
按照本發(fā)明的器件的圖3中所示的第一變型例���,至少一個指示器元件I用于指定一個唯一的計數元件CPT����。因此當計數器CPT1達到閾值VS1時����,指示器元件I1就轉換到第二狀態(tài)e12。禁止組件Mb核查元件I1的狀態(tài)�����,一旦后者轉換到第二狀態(tài)����,它使卡截止�����,這種情況也適用于元件I2和I3�。
按照圖4所示的本發(fā)明器件的實施例的第二變型例����,至少一個指示器元件I用于指定至少兩個計數器元件CPT。這樣一來���,當元件CPT1和CPT2中的一個達到它們的各自的閾值VS1或VS2時����,元件I1就從狀態(tài)e11轉換到e12���,它表明偽造已經發(fā)生����,結果組件Mb使該卡截止��。
按照這兩個實施例和兩個有關的變型例�,在該卡內部的事件發(fā)生數和因此被偽造者在該卡上可以進行的可能的行為的數受到限制。
但是��,在組件Mb可以將卡截止之前����,偽造者可以修改卡的狀態(tài),此修改是通過使預先為有源的指示器元件變?yōu)闊o源來實現的���,從而可以自由地繼續(xù)揭開卡的秘密�����。
因此���,優(yōu)選的是,在本發(fā)明的器件中的數據存儲器14至少有兩個位于數據存儲器14內的非連續(xù)的位置上的相同的指示器元件�,所述的兩個指示器元件與包括一個或多個本發(fā)明的在參考圖3和圖4并在上面提及的變型例的計數器的同一組計數器元件相連。如圖5所示���,指示器元件I'1與I1相同���,因為它們兩個是與元件CPT1和CPT2相連,并且兩個在這兩個計數器元件中的另一個達到其最大值時的同一時間從第一狀態(tài)轉換到第二狀態(tài)�����。另外,這兩個指示器元件在卡的數據存儲器內的不連續(xù)的兩個位置上����,以便防止偽造者例如改變所有有源的相同指示器元件的狀態(tài),這種偽造在元件駐留在很近的位置上是很容易的�。因此,即使偽造者設法通過使一個元件I無源而改變該元件I的狀態(tài)�,其它的相同的指示元件仍將保持在有源狀態(tài),因此在這樣的情況下�,該偽造者要找到所有相同指示器元件的狀態(tài)的企圖的可能性很小。
在另一方面����,在本發(fā)明的器件中,在一個指示器元件的狀態(tài)與另一個相同的指示器元件的狀態(tài)不同時禁止組件禁止所述器件的操作����。這樣便可以對付偽造者的行為。
可以理解��,在任何情況下�����,指示器元件的第一狀態(tài)的這些值可以彼此相同或不同。這一點對第二狀態(tài)的那些值也適用����。
通過兩個實施例和兩個指示器元件的變型例并且由于利用相同的一些指示器元件����,所以按照本發(fā)明的器件通過限制偽造者對卡進行的可能的行為數來使卡更加安全。
權利要求
1.一種集成電路���,具有一存儲區(qū)�����,該存儲區(qū)包括一個數據存儲器����,其特征在于所述的數據存儲器具有至少一個計數器元件���,至少一個指示器元件和至少一個閾值��,其中所述的計數器元件一方面對在該器件內發(fā)生的事件的至少一個發(fā)生數目進行計數���,另一方面可以達到所述閾值�,達到閾值是所述這些事件發(fā)生數目最大值的表征�����,所述指示器元件構造成在所述計數器元件達到所述的閾值時其從一第一狀態(tài)轉換到一第二狀態(tài)���。
2.如權利要求1所述的集成電路����,其特征在于事件是一個發(fā)生在所述器件內部引起一個結果的行為���,并且在所述器件的壽命時間內它的平均發(fā)生數目是可以確定的��。
3.如上述權利要求之一所述的集成電路��,其特征在于所述的閾值代表一個在所述器件正常使用期間在所述器件內發(fā)生的所述的那些事件不大可能的發(fā)生數目��。
4.如上述權利要求之一所述的集成電路���,其特征在于對每個計數元件限定一個閾值。
5.如上述權利要求之一所述的集成電路����,其特征在于一個計數元件用于限定一個唯一的事件��。
6.如上述權利要求之一所述的集成電路�,其特征在于一個計數元件用于至少限定兩個事件���。
7.如上述權利要求之一所述的集成電路,其特征在于至少一個指示元件用于限定一個唯一的計數元件�。
8.如上述權利要求之一所述的集成電路,其特征在于至少一個指示元件用于限定至少兩個計數元件���。
9.如上述權利要求之一所述的集成電路�����,其特征在于所述的存儲器包括至少在所述數據存儲器內的不連續(xù)區(qū)中的兩個指示器元件����。
10.如上述權利要求之一所述的集成電路����,其特征在于所述存儲區(qū)包括一個在一個指示器元件已經進入第二狀態(tài)時禁止操作所述器件的禁止組件。
11.如權利要求9和10所述的集成電路���,其特征在于所述禁止組件在一個指示器元件的狀態(tài)與另一個相同的指示元件不同時禁止操作所述器件���。
12.如上述權利要求之一所述的集成電路�,其特征在于所述事件發(fā)生數目最大值大于約100��,并最好大于約1000���。
全文摘要
本發(fā)明涉及一種具有包括一個數據存儲器的存儲區(qū)的集成電路,所述的數據存儲區(qū)具有至少一個計數器元件,至少一個指示器元件和至少一個閾值,其中所述的計數器元件一方面對在該器件內發(fā)生的事件中的至少一個事件發(fā)生數目進行計數,另一方面可以達到作為所述這些事件發(fā)生數目的最大值的所述閾值����。所述指示器元件用于在其已經達到所述的閾值時就從一第一狀態(tài)轉換到一第二狀態(tài)��。本發(fā)明特別適合用于便攜卡上�。
文檔編號G07F7/10GK1326580SQ9981341
公開日2001年12月12日 申請日期1999年11月4日 優(yōu)先權日1998年11月17日
發(fā)明者克里斯琴·蓋恩 申請人:施藍姆伯格系統公司