BRPI0621129B1 - Seguro sistema-em-chip - Google Patents
Seguro sistema-em-chip Download PDFInfo
- Publication number
- BRPI0621129B1 BRPI0621129B1 BRPI0621129-1A BRPI0621129A BRPI0621129B1 BR PI0621129 B1 BRPI0621129 B1 BR PI0621129B1 BR PI0621129 A BRPI0621129 A BR PI0621129A BR PI0621129 B1 BRPI0621129 B1 BR PI0621129B1
- Authority
- BR
- Brazil
- Prior art keywords
- chip
- data
- module
- decoding
- encoding
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/14—Protection against unauthorised use of memory or access to memory
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/82—Protecting input, output or interconnection devices
- G06F21/85—Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Quality & Reliability (AREA)
- Storage Device Security (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
SEGURO SISTEMA EM CHIP. O objetivo da presente invenção é fornecer um sistema em chip seguro para processamento de dados, este sistema em chip compreendendo pelo menos uma unidade de processamento central, um canal de entrada e saída, um mecanismo de criptografia/decriptografia e uma memória, sendo caracterizado pelo fato de que o referido sistema em chip compreende um módulo de supervisão autônomo que é pré-programado com definições de condições de trabalho normais de pelo menos um fluxo de entrada e/ou de saída e meio para desabilitar o canal de entrada e/ou saída se as condições de corrente excederem as definições de condições normais.
Description
A presente invenção relaciona-se ao campo da segurança do ambiente de processamento.
Ambiente seguro para processadores já tem sido descoberto, em particular.com respeito à arquitetura de multiprocessamento. Por exemplo, uma solução para limitar o acesso à uma memória segura foi descrita no documento WO04015553. De acordo com esta solução, o processamento possui dois modos de operação; no primeiro modo, chamado de modo seguro, o acesso é permitido a memória segura; e no modo não seguro o acesso à memória segura é proibido. O modo não seguro destina-se à finalidade de desenvolvimento, isto é, verificação ou depuração do circuito. Durante a execução em modo não seguro, o acesso à memória segura é fisicamente bloqueado, isto é, um sinal para “desabiIitar” é gerado. Este sinal para desabilitar proíbe qualquer tentativa ao acesso da memória segura. Este sinal para desabilitar proíbe qualquer tentativa ao acesso da memória segura. Uma outra solução é descrita no documento PCT/EP2005/056I45, na qual um único chip processador decifrador processa os dados de áudio/vídeo dispersos, a fim de nunca deixar o acesso a dados livres. Quando a operação de decifrar é feita, a unidade decifradora compreende um mecanismo de codificação para codificar os dados decifrados antes de eles serem armazenados temporariamente em uma memória externa. Quando o processador termina a tarefa de organização, os dados são decodificados em um módulo de saída e enviados a um dispositivo de exibição.
O objetivo da presente invenção é fornecer um seguro sistema-em-chip para processamento de dados, este sistema-em-chip compreendendo, pelo menos uma unidade central de processamento, um canal de entrada e de saída, um mecanismo de codificação/decodificação e uma memória, dito sistema-em-chip possuindo condições de trabalho em tempo real, enquanto recebe e envia dados, caracterizado pelo fato de compreender um módulo de supervisão autônomo (SM), o qual é preprogramado com definições de condições normais de trabalho de, pelo menos, entrada e saída de fluxo de dados, e meios para habilitar ou desativar o canal de entrada e/ou saída de acordo com a comparação das condições de trabalho em tempo real e definições das condições normais de trabalho.
A principal característica da invenção é um módulo independente, independente da unidade central de processamento e possui seu próprio núcleo de processador e executando a tarefa de supervisão.
Estas tarefas são definidas por um conjunto de definições de condições normal de trabalho definindo o diagrama de tempo normal e o fluxo de dados dentro do sistema-em- chip. As condições normais de trabalho são comparadas às condições de trabalho de tempo real quando o sistema-em-chip recebe, processa e envia dados.
Esta invenção será melhor compreendida graças as figuras anexas, nas quais: - a figura I descreve o sistema-em-chip e seus vários elementos em modo codificação/decodificação; - as figuras 2A e 2B descrevem o estágio de codificação usando duas unidades; - a figura 3 descreve o sistema-em-chip e seus vários elementos no modo assinatura; - a 4 mostra um exemplo de um sistema-em-chip ampliado, no qual o módulos seguro e o não seguro são localizados dentro do mesmo chip.
De acordo com um primeiro aspecto da invenção ilustrado na figura 1, o sistema-em-chip SOC compreende um módulo de supervisão autônomo SM que pode deterministicamente controlar o sistema-em-chip SOC. Este módulo SM compreende definições de condições normais de trabalho do sistema-em-chip SOC, e meios de desativação, quando as condições normais não são mais executadas. Isto é alcançado por diferentes meios. Um primeiro meio inclui medição da qualidade dos dados emitidos, por exemplo, recenseamento do número dos conjuntos de dados emitidos. Esta operação será descrita a seguir como recenseamento de dados. Um segundo meio inclui a janela de definição de tempo durante a qual são permitidas operações de entrada ou saída. Um bloco de dados é, então, concedido se a extensão do mesmo não exceder o tempo máximo definido por bloco. Um terceiro meio inclui a descoberta de estado da unidade central CPU e sua respectiva duração, e como atuar de acordo será ilustrado em seguida. A unidade central da CPU tipicamente possui diferentes estados possíveis, tal como estado de aquisição, estado de processamento, estado de espera e estado de resultado emitido. Quando uma mensagem chega ao sistema-em-chip, o mesmo comuta do estado de espera ao estado de aquisição. Durante o estado de aquisição, o canal de entrada é habilitado pelo módulo de supervisão SM. Além disso, durante o mesmo estado de aquisição, o módulo de supervisão SM conta dados recebidos e compara este número a um máximo predefinido. Qualquer situação anormal leva a um estado de alerta, no qual a unidade central CPU pode decidir como reagir. O módulo de supervisão SM possui a capacidade, especialmente no caso de um estado de alerta, para bloquear os canais de entrada e saída e/ou o mecanismo de codificação/decodificação CR-EN.
Quando a mensagem externa é recebida, o módulo de supervisão SM leva a unidade central CPU ao estado de processamento. Durante este estado, os canais de entrada e saída são desativados. O modo de supervisão SM compreende um tempo padrão correspondendo ao tempo mínimo de processamento pela unidade central CPU, e desativa os canais durante este tempo. A unidade central CPU pode informar ao módulo de supervisão SM que nenhum resultado será emitido. Isto possui a conseqüência de que o módulo de supervisão SM apenas habilita o canal de entrada para esperar uma nova mensagem. O canal de saída permanece desativado.
No caso, onde a unidade central CPU deseja enviar dados ao mundo exterior, informa, então, de acordo com o módulo de supervisão SM, qual se torna habilitado ao canal de saída. O módulo de supervisão SM ainda continua a observar as atividades no canal de saída pelo recenseamento de dados enviados e aplicando uma janela de tempo de duração, na qual o envio é autorizado.
Nesta modalidade da invenção, o módulo de supervisão SM é, desta forma, apto a trabalhar com informações recebidas da unidade central CPU, bem como com o trabalho padrão preprogramado.
O módulo pode também observar o mecanismo de codificação CR-EN pelo recenseamento de dados codificados ou decodificados. Da mesma forma, o trabalho padrão do mecanismo de codificação/decodificação CR-EN é supervisionado na proporção da quantidade de dados processados e tempo. O módulo de supervisão pode desativar o mecanismo de codificação/decodificação CR-EN se condições anormais forem detectadas.
Deve ser notado que o módulo de supervisão SM pode ser implementado em um sistema-em-chip sem a codificação/decodificação no canal de entrada/saída. Os dados são processados sem somar um nível de codificação (ou decodiflcação) adicional e canal de entrada/saída é observado pelo módulo de supervisão SM.
De acordo com um segundo aspecto da invenção, é proposto um seguro sistem-em-chip para processamento de dados, este sistema-em-chip compreendo, pelo menos, uma unidade central de processamento, um canal de entrada e saída, um mecanismo de codificação/decodificação e uma memória, caracterizado pelo fato de, o canal de entrada compreender um módulo de entrada de codificação para codificar todos dados recebidos, dito canal de saída compreendendo um módulo de saída de decodiflcação para de codificar todos os dados de saída, dita unidade central de processamento recebe os dados codificados do módulo de entrada de codificação e os armazena na memória, e enquanto processa os dados armazenados, dita unidade central de processamento lê os dados armazenados na memória, solicitando a decodiflcação dos mesmos no mecanismo de codiflcação/decodificação, processando os dados e solicitando codificação do resultado pelo mecanismo de codificação/decodificação e armazenando o resultado codificado, emitindo o resultado ao módulo de saída de decodificação para fins de decodificação e saída do resultado decodificado via canal de saída.
Nesta modalidade, a codificação ocorre para dados mesmo em um ambiente considerado como seguro. A decodificação ocorre apenas no último estágio quando os dados são realmente usados pela unidade central, os dados livres nunca sendo acessíveis em um estado estático. Quando processados, os dados podem ser armazenados em branco se eles forem para finalidade interna ou recodificada se eles são destinados a serem emitidos do sistema-em- chip.
Uma vez recodificados, os dados são temporariamente armazenados em uma memória temporária antes de serem enviados ao canal de saída.
A chave para codificar e decodificar os dados é uma única modalidade preferencial para aquele sistema-em-chip. Esta chave poder ser preprogramada na etapa de produção ou pode ser gerada aleatoriamente no estágio de inicialização e nunca conhecida por alguém. Esta chave é usada apenas internamente. O algoritmo usado pode ser mantido em separado, bem como os parâmetros de dito algoritmo. Por exemplo, o algoritmo IdeaNxt é usado como mecanismo de codificação e os valores da caixa de substituição são aleatoriamente gerados no sistema-em-chip.
De acordo com uma modalidade em particular, o algoritmo de codificação/decodificação é assimétrico, de modo que um par de chaves (pública/privada) é usado para codificar/decodificar os dados, respectivamente.
De acordo com uma modalidade alternativa, o módulo de entrada de codificação pode ser substituído pelo módulo de assinatura, os dados sendo assinados enquanto inseridos no sistema-em-chip e a assinatura armazenada juntamente com os dados. Quando a unidade central deseja usar estes dados, o mecanismo de codificação/decodiflcação, o qual é agora um mecanismo de verificação de assinatura, checa a assinatura e autoriza o uso dos dados se a assinatura está correta.
Por dados, é entendido um único byte ou um conjunto de bytes, por exemplo, 5 para formar uma mensagem ou mensagem de direito ao sistema-em-chip.
O seguro sistema-em-chip SOC é baseado na unidade central de processamento CPU. O objetivo desta unidade é executar o código e realizar as tarefas solicitadas. O sistema-em- chip SOC compreende dois canais conectados ao mundo exterior, 10 especialmente os canais de entrada e saída. O canal de entrada RCV compreende um módulo de entrada de codificação RCV-E, o qual codifica todos os dados vindos do mundo exterior de forma a adicionar uma camada de codificação interna. Da mesma maneira, o canal de saída SND compreende um módulo de saída de decodificação SND-D para decodificar os dados recebidos da unidade central CPU antes de enviá-los ao mundo exterior.
A unidade central CPU possui acesso ao mecanismo de codificação/decodificação CR-EM. Este mecanismo possui a mesma função como o módulo de entrada de codificação e o módulo de saída de decodificação. A chave K carregada no módulo de entrada de codificação é a mesma na parte de codificação do mecanismo de 20 codificação/decodificação. O mesmo se aplica ao módulo de saída de decodificação e a parte de decodificação do mecanismo de codificação/decodificação, para as operações de decodificação. Quando a unidade central CPU necessita de algum dado, também vindo diretamente do módulo de entrada de codificação ou trazido da memória MEM, estes dados são primeiramente transmitidos através do mecanismo de decodificação para decodificá-los antes de serem usados 25 pela unidade central CPU.
Da mesma maneira, quando a unidade central CPU tiver completado uma tarefa e produzido um resultado, o passo seguinte é armazenar o resultado (ou saída do resultado no canal de saída). Este resultado é previamente transmitido através do mecanismo de 30 codificação CR-EN para codificação antes de ser armazenado. Este resultado codificado pode ser armazenado na memória ou enviado ao canal de saída.
A unidade central de processamento CPU pode decidir se o resultado deve ser recodificado ou deixado em branco. Ao invés de deixar o processador decidir, a posição alvo, pode selecionar diferentes comportamentos como é mostrado na figura 2A. Se o resultado for armazenado em uma memória volátil V-MEM, a codificação dupla pode tomar lugar. Do contrário, se o armazenamento for a uma memória não volátil NV MEM (EEPROM), apenas uma unidade de codificação é usada, uma com chave permanente. Da mesma maneira, quando ao lidos os dados da memória volátil, a decodificação dupla é aplicada embora leia os dados da memória não volátil, apenas uma unidade de decodificação é aplicada.
De acordo com uma modalidade alternativa, mostrada na figura 3, o processo de codificação é substituído por um processo de assinatura. Os dados não são codificados, mas uma assinatura é gerada e associada com os dados. Para todos os dados vindos do mundo exterior, uma assinatura é calculada no módulo de entrada de assinatura RCV-S. Os dados são, então, armazenados com suas assinaturas. Quando a unidade central precisa acessar estes dados, o mecanismo de verificação de assinatura S-VER primeiro verifica a assinatura antes de a unidade central ter o direito de usar os dados. Antes dos dados serem emitidos pelo canal de saída, a assinatura é verificada no módulo de saída de assinatura SDN-V. A assinatura é, então, removida dos dados, os quais são enviados ao canal de saída SND.
De acordo com uma modalidade alternativa, o mecanismo de codificação/decodificação é diretamente posicionado na unidade central CPU. Quando um dado é lido da memória, por exemplo, carregando uma variável no acumulador da CPU (por exemplo, LDAA # 1200h para Motorola 68HC11) o dado lido naquela posição é transmitido automaticamente ao mecanismo de decodificação antes de ser transferido ao acumulador. Da mesma maneira, a instrução para armazenar o conteúdo do acumulador na memória (por exemplo, STAA #1200h) não é executada diretamente, mas os dados no acumulador são previamente transmitidos através do mecanismo de codificação antes de serem armazenados na posição !200h.
Em uma modalidade em particular, o mecanismo de codificação/decodificação é compartilhado com o canal de entrada e saída. O módulo de entrada de codificação é, então um módulo virtual e operações de codificação no canal de entrada são alcançadas pelo mecanismo de codificação através de um dado multiplexer. Os dados introduzidos no sistema- em-chip SOC, em particular através do canal de entrada, são transmitidos pelo mecanismo de codificação antes de nova manipulação, por exemplo, para armazenar os dados em uma entrada de memória temporária. O módulo de entrada de codificação é, então um módulo virtual usando o recurso do mecanismo de codificação/decodificação em um modo de codificação. O mesmo se aplica ao módulo de saída de decodiflcação, o qual usa o mecanismo de codificação/decodificação em modo de decodiflcação.
O módulo de entrada de codificação RCV-E pode compreender mais de uma unidade de codificação. De acordo com uma modalidade em particular, mostrada na figura 2A, duas unidades de codificação, (ou mais) são conectadas em série, cada uma possuindo uma chave diferente. A primeira unidade de codificação é carregada com a chave Kl, a qual pertence ao sistema-em-chip, isto é, é única e estável para um dispositivo específico. Esta chave é também carregada durante a etapa de instalação ou gerada internamente. A segunda unidade ENC2 é carregada com a chave K2, a qual é dinamicamente gerada na inicialização do dispositivo. Quando sistema-em-chip é reiniciado, esta chave é perdida e uma nova chave é gerada. Os dados que tenham de ser armazenados permanentemente, uma vez processados pelo processador CPU, são apenas recodificados com a primeira unidade com a chave permanente Kl.
O módulo de saída de decodiflcação, bem como o mecanismo de codificação/decodificação compreendem, da mesma maneira, duas ou mais unidades.
Alternativamente, se o processador CPU reconhecer que os dados recebidos, armazenados na entrada da memória temporária, não precisam ser processados, mas apenas armazenados em uma memória permanente NV-MEM, o processador pode solicitar do mecanismo de codificação/decodificação a decodiflcação por apenas uma unidade, isto é, a unidade possuindo a chave volátil. Os dados armazenados ainda permanecem codificados, pela chave permanente, para uso posterior.
Este sistema-em-chip SOC é usado como módulo de controle de acesso seguro responsável por receber mensagens de gerenciamento incluindo direitos ou chaves. Este módulo pode também compreender uma unidade decifradora de alta velocidade para receber fluxo de dados de áudio/vídeo codificados.
A figura 4 mostra o sistema-em-chip SOC ampliado tendo dois núcleos, um chamado de núcleo não seguro USC e o outro chamado de núcleo seguro SC. A descrição acima do sistema-em-chip é agora apenas uma parte do SOC ampliado e corresponde com o núcleo seguro SC. A parte não segura USC compreende meios de processador CPU I e memória interna MEM1. Entretanto, em vista dos programas amplos e os dados processados por este processador, uma memória externa MEM é necessária. Através da memória externa ou através da interface para o mundo exterior, o núcleo não seguro pode receber um programa troiano para capturar os dados recebidos e enviados através da interface interna 12. Então, os dados recebidos ou solicitados pelo núcleo não seguro USC através da interface não segura deve ser considerada como o mesmo nível de segurança como dados externos. O núcleo seguro SC continua observando as atividades do código não seguro como detecção de defeitos, análise de força, iluminação, mudança de temperatura. Estas funções são localizadas ao módulo detector DTC. Este módulo informa se o núcleo seguro de alguma condição anormal e, deste modo, levar a mudança do estado do módulo de supervisão SM. Deve ser notado que o módulo detector pode ser localizado diretamente dentro do módulo seguro SC.
De acordo com uma variante da invenção, o módulo detector DTC executa operações de vigilância do estado do sistema-em-chip SOC. Recebe por exemplo um fornecedor positivoVdd (geralmente 5V) e observa riscos de comportamento, tal como mudanças repentinas de voltagem, voltagem anomalamente baixa ou alta. De acordo com um critério definido, pode informar o módulo seguro SC, por exemplo, pela geração da mensagem de erro, e então desativando certas funções do módulo previamente mencionado. As comunicações de interface 12 são observadas pelo módulo detector. Por comunicação, nós entendemos todos os caminhos pelos quais as informações entram ou saem do módulo seguro. O módulo detector pode também observar a operação do módulo não seguro USC e seus caminhos de comunicação. Esta supervisão abrange o fornecimento de força, o relógio e a reinicialização. Em reação as condições anormais detectadas pelo módulo detector DTC, módulo seguro SC pode reduzir o acesso ao dado sensível da memória interna MEM2. O módulo seguro USC, desta forma, reinicia uma checagem completa do programa e do ambiente de dados.
O sistema da invenção é expansível, i.e., cada sistema-em-chip compreende seu próprio módulo supervisor como descrito acima. Quando vários sistemas-em-chip são ligados, para juntos criarem um chip amplo como mostrado na figura 4, um módulo adicional de supervisão superior SSM é adicionado para sincronizar o módulo supervisor SM. Um reservado canal permite a comunicação entre os módulos de supervisão SM da única entidade e o módulo supervisor superior SSM do chip. Cada módulo supervisor compreende uma máquina de estado, o qual descreve as operações permitidas durante este estado. O módulo supervisor superior compara os estados de várias entidades e informa a entidade do módulo supervisor e o estado de outra entidade. No geral, máquina de estado lidada pelo módulo supervisor superior controla que os estado das entidades seja complacente com o cenário de trabalho. Por exemplo, se uma entidade está no estado de receber forma de dados de outra entidade, módulo supervisor superior checa que a outra entidade está no estado de envio de dados.
Em uma modalidade alternativa, o módulo supervisor superior é localizado diretamente na maioria da entidade segura, em nosso exemplo no seguro sistema-em-chip SC.
A comunicação entre cada entidade através de um canal reservado é preferencialmente codificada com uma chave carregada durante a inicialização do chip.
Esta chave pode ser usada para codificar e decodificar os dados cambiados entre dois módulos de supervisão ou com um módulo supervisor superior. No processo de inicialização do chip, esta chave pode ser usada para gerar uma chave temporária, por exemplo, usando um algoritmo Diffle-Hellmann.
Claims (15)
1. Seguro sistema-em-chip para processamento de dados, este sistema-em-chip compreendendo, pelo menos uma unidade central de processamento, um canal de entrada e de saída, um mecanismo de codificação/decodificação, um módulo de supervisão autônomo (SM) tendo o seu próprio núcleo de processador e uma memória, o dito sistema-em-chip possuindo condições de trabalho em tempo real referentes às operações realizadas no sistema-em-chip, CARACTERIZADO pelo fato de o dito módulo de supervisão autônomo (SM) ser pré-programado com definições de condições normais de trabalho de, pelo menos, entrada e saída de fluxo de dados, e ser configurável para habilitar ou desativar o canal de entrada e/ou saída de acordo com a comparação das condições de trabalho em tempo real e definições das condições normais de trabalho, as condições normais de trabalho compreendendo uma quantidade de dados processados no sistema-em-chip e janelas de tempo, durante as quais operações de processamento de dados no sistema-em-chip são permitidas.
2. Seguro sistema-em-chip, de acordo com a reivindicação 1, CARACTERIZADO pelo fato de que a definição de condições normais de trabalho da quantidade de dados processados no sistema-em-chip é a quantidade de dados emitida pelo canal de saída, e em que a definição de condições normais de trabalho de janelas de tempo, durante as quais operações de processamento de dados no sistema-em- chip são permitidas, é janelas de tempo durante as quais emissão de dados pelo canal de saída é permitida.
3. Seguro sistema-em-chip, de acordo com a reivindicação 1 , CARACTERIZADO pelo fato de que a definição das condições normais de trabalho da quantidade de dados processados no sistema- em-chip é a quantidade de dados processados pelo mecanismo de codificação/decodificação, e em que a definição de condições normais de trabalho de janelas de tempo, durante as quais operações de processamento de dados no sistema-em-chip são permitidas, é janelas de tempo durante as quais processamento de dados pelo mecanismo de codificação/decodificação é permitido.
4. Seguro sistema-em-chip, de acordo com a reivindicação 1, CARACTERIZADO pelo fato do módulo de supervisão (SM) compreender meios para receber o estado de condição da unidade central de processamento (CPU), e meios para habilitar ou desabilitar o canal de saída de acordo com o estado da unidade central de processamento (CPU).
5. Seguro sistema-em-chip, de acordo com a reivindicação 1, CARACTERI ZADO pelo fato do dito canal de entrada compreender um módulo de entrada de codificação para codificar todos os dados recebidos, o dito canal de saída compreendendo um módulo de saída de decodificação para decodificar todos os dados de saída, a dita unidade central de processamento recebendo dados codificados do módulo de entrada de codificação e os armazena na memória, e enquanto processa os dados armazenados, a dita central de processamento lê os dados armazenados da memória, solicita a decodificação dos mesmos no mecanismo de codificação/decodificação, processa os dados e solicita a codificação do resultado pelo mecanismo de codificação/decodificação e armazena o resultado codificado, enviando o resultado ao módulo de saída de decodificação para fins de decodificação e saída do resultado decodificado via canal de saída.
6. Seguro sistema-em-chip, de acordo com a reivindicação 5, CARACTERI ZADO no fato de o módulo de entrada de codificação ser um módulo virtual, o qual transmite os dados a serem codificados ao mecanismo de codificação/decodificação em modo de codificação.
7. Seguro sistema-em-chip, de acordo com reivindicação 5, CARACTERI ZADO pelo fato de o módulo de entrada de codificação ser um módulo virtual, o qual transmite os dados a serem decodificados ao mecanismo de codificação/decodificação em modo de decodificação.
8. Seguro sistema-em-chip, de acordo com a reivindicação 5, CARACTERI ZADO pelo fato de que o algoritmo para codificar e decodificar os dados ser um algoritmo simétrico.
9. Seguro sistema-em-chip, de acordo com a reivindicação 8, CARACTERI ZADO pelo fato de o algoritmo de codificação/decodificação usar um conjunto de inicialização estável e toda ou parte da inicialização estável ser aleatoriamente gerado dentro do sistema-em-chip seguro.
10. Seguro sistema-em-chip, de acordo com a reivindicação 5, CARACTERI ZADO pelo fato de o algoritmo para codificar e decodificar os dados ser um algoritmo assimétrico.
11. Seguro sistema-em-chip, de acordo com a reivindicação 5, CARACTERI ZADO pelo fato de compreender meios para gerar aleatoriamente a chave ou par de chaves usada pelo mecanismo de codificação/decodificação.
12. Seguro sistema-em-chip, de acordo com a reivindicação 1, CARACTERI ZADO pelo fato de as operações de codificação/decodificação poderem ser executadas em um único dado ou um conjunto de dados em um tempo.
13. Chip eletrônico compreendendo o seguro sistema-em-chip como definido na reivindicação 1, e compreendendo uma primeira conexão de dado com o mundo exterior e uma unidade central de processamento, CARACTERI ZADO pelo fato de ainda compreender uma segunda conexão de dado para entrada/saída do sistema-em-chip, e ainda compreende um módulo de supervisão, o qual é pré-programado com definições de condições normais de trabalho de, pelo menos, a primeira conexão de dado e a segunda conexão de dado, e meios para desabilitar a primeira e a segunda conexão de dado se as condições atuais excederem as definições de condições normais.
14. Chip eletrônico, de acordo com a reivindicação 13, CARACTERI ZADO pelo fato de compreender um módulo de supervisão superior (SSM) comunicando-se com os módulos supervisores e checando se as condições de trabalho de um primeiro módulo supervisor é compatível com as condições de trabalho de um segundo módulo supervisor.
15. Chip eletrônico, de acordo com a reivindicação 13, CARACTERI ZADO pelo fato de o módulo supervisor superior ser parte do módulo supervisor do sistema-em-chip e, deste modo, recebe as condições de trabalho do módulo supervisor do chip eletrônico.
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP051129831 | 2005-12-23 | ||
| EP05112983A EP1811415A1 (en) | 2005-12-23 | 2005-12-23 | Secure system-on-chip |
| PCT/EP2006/070065 WO2007071755A1 (en) | 2005-12-23 | 2006-12-21 | Secure system-on-chip |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| BRPI0621129A2 BRPI0621129A2 (pt) | 2017-03-14 |
| BRPI0621129A8 BRPI0621129A8 (pt) | 2017-10-31 |
| BRPI0621129B1 true BRPI0621129B1 (pt) | 2022-09-27 |
Family
ID=36863819
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| BRPI0621129-1A BRPI0621129B1 (pt) | 2005-12-23 | 2006-12-21 | Seguro sistema-em-chip |
Country Status (12)
| Country | Link |
|---|---|
| US (1) | US8181008B2 (pt) |
| EP (2) | EP1811415A1 (pt) |
| KR (1) | KR101329823B1 (pt) |
| CN (1) | CN101346726B (pt) |
| BR (1) | BRPI0621129B1 (pt) |
| CA (1) | CA2633373A1 (pt) |
| DK (1) | DK1964016T3 (pt) |
| ES (1) | ES2626982T3 (pt) |
| HU (1) | HUE034669T2 (pt) |
| PL (1) | PL1964016T3 (pt) |
| PT (1) | PT1964016T (pt) |
| WO (1) | WO2007071755A1 (pt) |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8050177B2 (en) | 2008-03-31 | 2011-11-01 | Intel Corporation | Interconnect bandwidth throttler |
| EP2353093A2 (en) | 2008-09-22 | 2011-08-10 | Synopsys, Inc. | Data processing system comprising a monitor |
| KR101201622B1 (ko) * | 2010-08-19 | 2012-11-14 | 삼성에스디에스 주식회사 | 보안 기능을 가진 시스템 온 칩 및 이를 이용한 디바이스 및 스캔 방법 |
| PL2461265T3 (pl) * | 2010-12-03 | 2019-10-31 | Novomatic Ag | Urządzenie i sposób obsługi danych wrażliwych |
| US8958550B2 (en) * | 2011-09-13 | 2015-02-17 | Combined Conditional Access Development & Support. LLC (CCAD) | Encryption operation with real data rounds, dummy data rounds, and delay periods |
| EP2575068A1 (en) * | 2011-09-30 | 2013-04-03 | Certicom Corp. | System and method for providing hardware-based security |
| US8931082B2 (en) * | 2012-08-17 | 2015-01-06 | Broadcom Corporation | Multi-security-CPU system |
| US20140244513A1 (en) * | 2013-02-22 | 2014-08-28 | Miguel Ballesteros | Data protection in near field communications (nfc) transactions |
| US9355279B1 (en) * | 2013-03-29 | 2016-05-31 | Secturion Systems, Inc. | Multi-tenancy architecture |
| KR102218715B1 (ko) * | 2014-06-19 | 2021-02-23 | 삼성전자주식회사 | 채널별로 데이터를 보호할 수 있는 반도체 장치 |
| EP3082290A1 (en) * | 2015-04-17 | 2016-10-19 | Gemalto Sa | Device for managing multiple accesses to a secure module of a system on chip of an apparatus |
| GB2544807B (en) * | 2015-11-30 | 2017-12-20 | Ultrasoc Technologies Ltd | Integrated circuit security |
| EP3214613B1 (en) | 2016-03-01 | 2020-07-08 | Siemens Aktiengesellschaft | Protecting the content of different ip cores in a system on chip using pufs |
| CN106682535A (zh) * | 2017-03-16 | 2017-05-17 | 周清睿 | 系统级芯片 |
| DE102017219242A1 (de) | 2017-10-26 | 2019-05-02 | Audi Ag | Ein-Chip-System, Verfahren zum Betrieb eines Ein-Chip-Systems und Kraftfahrzeug |
| CN114077743A (zh) * | 2020-08-10 | 2022-02-22 | 珠海格力电器股份有限公司 | 一种片上系统调试电路及方法 |
Family Cites Families (34)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5533123A (en) * | 1994-06-28 | 1996-07-02 | National Semiconductor Corporation | Programmable distributed personal security |
| US5883956A (en) * | 1996-03-28 | 1999-03-16 | National Semiconductor Corporation | Dynamic configuration of a secure processing unit for operations in various environments |
| JP4763866B2 (ja) * | 1998-10-15 | 2011-08-31 | インターシア ソフトウェア エルエルシー | 2重再暗号化によりデジタルデータを保護する方法及び装置 |
| US7565546B2 (en) * | 1999-03-30 | 2009-07-21 | Sony Corporation | System, method and apparatus for secure digital content transmission |
| US6681331B1 (en) * | 1999-05-11 | 2004-01-20 | Cylant, Inc. | Dynamic software system intrusion detection |
| US7185367B2 (en) * | 1999-05-11 | 2007-02-27 | Cylant, Inc. | Method and system for establishing normal software system behavior and departures from normal behavior |
| US6564326B2 (en) * | 1999-07-06 | 2003-05-13 | Walter A. Helbig, Sr. | Method and apparatus for enhancing computer system security |
| EP1124330A3 (en) * | 2000-02-09 | 2001-09-19 | Algotronix Ltd. | Method of using a mask programmed secret key to securely configure a field programmable gate array |
| WO2003092264A1 (en) * | 2002-04-26 | 2003-11-06 | Koninklijke Philips Electronics N.V. | Security modules for conditional access with restrictions |
| US7441262B2 (en) * | 2002-07-11 | 2008-10-21 | Seaway Networks Inc. | Integrated VPN/firewall system |
| AU2002321718A1 (en) * | 2002-08-13 | 2004-02-25 | Nokia Corporation | Computer architecture for executing a program in a secure of insecure mode |
| EP1450297A1 (en) * | 2002-10-04 | 2004-08-25 | Sony Corporation | Data management system, data management method, virtual memory device, virtual memory control method, reader/writer device, ic module access device, and ic module access control method |
| US7420952B2 (en) * | 2002-10-28 | 2008-09-02 | Mesh Dynamics, Inc. | High performance wireless networks using distributed control |
| US7289537B1 (en) * | 2002-11-01 | 2007-10-30 | Greenfield Networks, Inc. | Single-chip multi-port Ethernet switch |
| US7681247B2 (en) * | 2003-02-27 | 2010-03-16 | Sun Microsystems, Inc. | Anti-theft system and method for semiconductor devices and other electronic components |
| US7058918B2 (en) * | 2003-04-28 | 2006-06-06 | Dafca, Inc. | Reconfigurable fabric for SoCs using functional I/O leads |
| TW200511860A (en) * | 2003-05-14 | 2005-03-16 | Nagracard Sa | Duration computing method in a security module |
| CA2857208C (en) * | 2003-05-30 | 2018-09-04 | Privaris, Inc. | An in-circuit security system and methods for controlling access to and use of sensitive data |
| EP1496435A1 (en) * | 2003-07-11 | 2005-01-12 | Yogitech Spa | Dependable microcontroller, method for designing a dependable microcontroller and computer program product therefor |
| CA2435655A1 (en) * | 2003-07-21 | 2005-01-21 | Symbium Corporation | Embedded system administration |
| US7170315B2 (en) * | 2003-07-31 | 2007-01-30 | Actel Corporation | Programmable system on a chip |
| JP2005122402A (ja) * | 2003-10-15 | 2005-05-12 | Systemneeds Inc | Icカードシステム |
| JP2005122470A (ja) * | 2003-10-16 | 2005-05-12 | Matsushita Electric Ind Co Ltd | 自律型デバイスドライバ |
| WO2005078465A1 (en) * | 2004-02-17 | 2005-08-25 | Institut National Polytechnique De Grenoble | Integrated circuit chip with communication means enabling remote control of testing means of ip cores of the integrated circuit |
| US7543158B2 (en) * | 2004-03-23 | 2009-06-02 | Texas Instruments Incorporated | Hybrid cryptographic accelerator and method of operation thereof |
| CN100370757C (zh) | 2004-07-09 | 2008-02-20 | 国际商业机器公司 | 识别网络内分布式拒绝服务攻击和防御攻击的方法和系统 |
| US7620984B2 (en) * | 2004-10-06 | 2009-11-17 | Hewlett-Packard Development Company, L.P. | Method of managing computer system |
| EP1662788A1 (fr) | 2004-11-24 | 2006-05-31 | Nagravision SA | Unité de traitement de données audio/vidéo numériques et méthode de contrôle d'accès audites données |
| US7596144B2 (en) * | 2005-06-07 | 2009-09-29 | Broadcom Corp. | System-on-a-chip (SoC) device with integrated support for ethernet, TCP, iSCSI, RDMA, and network application acceleration |
| US7596812B2 (en) | 2005-06-14 | 2009-09-29 | Motorola, Inc. | System and method for protected data transfer |
| US20070050642A1 (en) * | 2005-08-26 | 2007-03-01 | International Business Machines Corporation | Memory control unit with configurable memory encryption |
| US20070067644A1 (en) * | 2005-08-26 | 2007-03-22 | International Business Machines Corporation | Memory control unit implementing a rotating-key encryption algorithm |
| US8145958B2 (en) * | 2005-11-10 | 2012-03-27 | Arm Limited | Integrated circuit and method for testing memory on the integrated circuit |
| EP1802030A1 (en) * | 2005-12-23 | 2007-06-27 | Nagracard S.A. | Secure system-on-chip |
-
2005
- 2005-12-23 EP EP05112983A patent/EP1811415A1/en not_active Withdrawn
-
2006
- 2006-12-21 CN CN2006800489488A patent/CN101346726B/zh active Active
- 2006-12-21 CA CA002633373A patent/CA2633373A1/en not_active Abandoned
- 2006-12-21 ES ES06830778.4T patent/ES2626982T3/es active Active
- 2006-12-21 EP EP06830778.4A patent/EP1964016B1/en active Active
- 2006-12-21 US US11/614,696 patent/US8181008B2/en active Active
- 2006-12-21 PT PT68307784T patent/PT1964016T/pt unknown
- 2006-12-21 KR KR1020087015224A patent/KR101329823B1/ko active Active
- 2006-12-21 BR BRPI0621129-1A patent/BRPI0621129B1/pt active IP Right Grant
- 2006-12-21 HU HUE06830778A patent/HUE034669T2/hu unknown
- 2006-12-21 PL PL06830778T patent/PL1964016T3/pl unknown
- 2006-12-21 DK DK06830778.4T patent/DK1964016T3/en active
- 2006-12-21 WO PCT/EP2006/070065 patent/WO2007071755A1/en not_active Ceased
Also Published As
| Publication number | Publication date |
|---|---|
| PL1964016T3 (pl) | 2017-09-29 |
| EP1811415A1 (en) | 2007-07-25 |
| CA2633373A1 (en) | 2007-06-28 |
| US8181008B2 (en) | 2012-05-15 |
| DK1964016T3 (en) | 2017-07-17 |
| KR101329823B1 (ko) | 2013-11-20 |
| CN101346726A (zh) | 2009-01-14 |
| CN101346726B (zh) | 2011-11-30 |
| EP1964016A1 (en) | 2008-09-03 |
| BRPI0621129A8 (pt) | 2017-10-31 |
| US20070234072A1 (en) | 2007-10-04 |
| KR20080078012A (ko) | 2008-08-26 |
| ES2626982T3 (es) | 2017-07-26 |
| WO2007071755A1 (en) | 2007-06-28 |
| BRPI0621129A2 (pt) | 2017-03-14 |
| HUE034669T2 (hu) | 2018-02-28 |
| PT1964016T (pt) | 2017-06-29 |
| EP1964016B1 (en) | 2017-03-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| BRPI0621136B1 (pt) | seguro sistema-em-chip | |
| US12105859B2 (en) | Managing storage of secrets in memories of baseboard management controllers | |
| BRPI0621129B1 (pt) | Seguro sistema-em-chip | |
| US11562075B2 (en) | Secure booting method, apparatus, device for embedded program, and storage medium | |
| CN100375422C (zh) | 鉴别代码和/或数据的方法和系统 | |
| EP3259698B1 (de) | Autonom bootendes system mit einem sicherheitsmodul | |
| CN104798054B (zh) | 安全区域内的分页 | |
| US20060177064A1 (en) | Secure memory card with life cycle phases | |
| CN104883256B (zh) | 一种抵抗物理攻击和系统攻击的密钥保护方法 | |
| TW200405963A (en) | Sleep protection | |
| KR20140019599A (ko) | 데이터의 안전한 저장을 위한 키 관리 방법 및 그 장치 | |
| TW201712593A (zh) | 載入和虛擬化密碼金鑰 | |
| TWI631462B (zh) | 確保機板上匯流排交易安全的計算系統和計算設備實現的方法以及非暫時性的電腦可讀取媒體 | |
| CN109644129A (zh) | 用于硬件加速密码的密钥的线程所有权 | |
| US10452567B2 (en) | Non-volatile memory to store resettable data | |
| KR101653193B1 (ko) | 보안 처리 환경으로부터의 기능의 오프로딩 | |
| CN108287768A (zh) | 操作半导体装置的方法 | |
| TWI402755B (zh) | 具有生命周期階段之安全記憶卡 | |
| US10552646B2 (en) | System and method for preventing thin/zero client from unauthorized physical access | |
| CN119004554B (zh) | 一种设备的访问方法和装置 | |
| CN109583196B (zh) | 一种密钥生成方法 | |
| US20230113906A1 (en) | An apparatus and method of controlling access to data stored in a non-trusted memory | |
| HK1117246B (en) | Secure system-on-chip | |
| HK1117246A (en) | Secure system-on-chip | |
| CN119357969A (zh) | 片上系统安全启动方法、装置、片上系统和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| B06G | Technical and formal requirements: other requirements [chapter 6.7 patent gazette] |
Free format text: SOLICITA-SE A REGULARIZACAO DA PROCURACAO, UMA VEZ QUE BASEADO NO ARTIGO 216 1O DA LPI, O DOCUMENTO DE PROCURACAO DEVE SER APRESENTADO NO ORIGINAL, TRASLADO OU FOTOCOPIA AUTENTICADA. |
|
| B06G | Technical and formal requirements: other requirements [chapter 6.7 patent gazette] |
Free format text: A FIM DE ATENDER A TRANSFERENCIA REQUERIDA ATRAVES DA PET. NO 018110048893-SP, DE 14/12/2011, E NECESSARIO REAPRESENTAR O DOCUMENTO DE CESSAO DEVIDAMENTE CONSULARIZADO. |
|
| B15G | Petition not considered as such [chapter 15.7 patent gazette] |
Free format text: NAO CONHECIDA A PETICAO NO 018110049888/SP DE 20/12/2011 EM VIRTUDE DO DISPOSTO NO ART. 219, INCISO II DA LPI. |
|
| B11Z | Dismissal: petition dismissal - article 216, par 2 of industrial property law |
Free format text: REFERENTE A PETICAO 18080039051/SP DE 23/06/2008. |
|
| B11M | Decision cancelled [chapter 11.13 patent gazette] |
Free format text: O DESPACHO 11.6.1 ESTA SENDO ANULADO TENDO POR BASE A DETERMINACAO DO DIRETOR DE PATENTES, A QUAL E CALCADA NO PARECER NO 0003-2014 AGU/PGF/PFE/INPI/COOPHI-LBC-1.0. |
|
| B06H | Technical and formal requirements: requirement cancelled [chapter 6.8 patent gazette] |
Free format text: O DESPACHO 6.7 ESTA SENDO ANULADO TENDO POR BASE A DETERMINACAO DO DIRETOR DE PATENTES, A QUAL E CALCADA NO PARECER NO 0003-2014 AGU/PGF/PFE/INPI/COOPHI-LBC-1.0. ) |
|
| B25C | Requirement related to requested transfer of rights |
Owner name: NAGRACARD S.A (CH) |
|
| B25A | Requested transfer of rights approved |
Owner name: NAGRAVISION S.A. (CH) |
|
| B07A | Application suspended after technical examination (opinion) [chapter 7.1 patent gazette] | ||
| B09B | Patent application refused [chapter 9.2 patent gazette] | ||
| B12B | Appeal against refusal [chapter 12.2 patent gazette] | ||
| B16A | Patent or certificate of addition of invention granted [chapter 16.1 patent gazette] |
Free format text: PRAZO DE VALIDADE: 20 (VINTE) ANOS CONTADOS A PARTIR DE 21/12/2006, OBSERVADAS AS CONDICOES LEGAIS. PATENTE CONCEDIDA CONFORME ADI 5.529/DF, QUE DETERMINA A ALTERACAO DO PRAZO DE CONCESSAO. |