用于保护集成电路装置的孤立秘密数据的电路设备和方法.pdf

用于保护集成电路装置的孤立秘密数据的电路设备和方法
    【技术领域】

    本发明一般涉及计算系统，并且更具体地说，涉及保护在计算系统中的集成电路装置上存储的秘密数据。

    背景技术

    现代计算系统，不管是个人的还是商业的，常常包括专用于主秘密数据的存储器的安全扇区，该主秘密数据一般包含初始化数据、初始化设置、注册表文件、密码、密钥、以及在有限的基础上对于元件、应用、和计算机的操作人员是可访问的其它敏感信息。主秘密数据常常在引导期间使用，以加密/解密信息，或用于安全操作。因而，主秘密数据常常在计算系统中存储的数据的最重要部分中，因为它允许计算系统引导信息、使信息安全、读取安全的信息、和一般操作。

    在最近几年，计算系统的安全性已经成为日益重要的问题。典型地，计算系统的操作人员担心电气存储信息的安全性，其包括主秘密数据，并且禁止对它的未授权的存取。获得未授权的存取的典型方法包括将病毒或蠕虫病毒加载到计算系统上、将软件键盘记录器或封包探测器加载到计算系统上、将基于硬件的键盘记录器附装到计算系统上、在与计算系统通信的计算机网络上配置封包探测器、和对计算系统的直接硬件攻击。因而，有多种方式试图获得对计算系统数据的未授权的存取。然而，由于主秘密数据对于计算系统的操作特别是必不可少的，所以额外措施典型地用于防止未授权的存取。

    使计算系统安全的最近发展一般包括，提供保护集成电路的主秘密数据的安全状态机。安全状态机典型地配置成，通过在一定情况下，如当计算系统关闭或当有正在尝试未授权的存取的指示时，防止对主秘密数据的存取，从而保护主秘密数据。然而，在计算系统正在运行的同时以及当计算系统断电时，安全状态机一般易受基于硬件的攻击。具体地说，典型的安全状态机易受定时攻击，这些定时攻击改变计算系统的时钟电路，因此强迫安全状态机进入错误状态并且使主秘密数据易受攻击。此外，主秘密数据典型地存储在集成电路的存储器的非易失性区域中。因而，配置有主秘密数据的集成电路易受硬件攻击，如直接连接或去层(de-layering)攻击。常规直接连接攻击直接将通信引脚附装到主秘密数据的区域上，并且捕获该主秘密数据，而去层常常包括除去集成电路的至少一个层，以直接读取主秘密数据的存储器位置和捕获该主秘密数据。因此，常规安全状态机典型地使集成电路易受基于硬件的攻击和未授权的存取。

    因此，有对于在基于硬件的攻击期间使主秘密数据安全的需要。

    【发明内容】

    本发明的实施例提供一种电路设备、一种方法、和一种设计结构，以通过将安全状态机和主秘密电路与集成电路装置的时钟电路相隔离而控制对集成电路装置中的主秘密数据的存取。以这种方式，集成装置的安全状态可以被异步地控制，并且在主秘密电路中存储的主秘密数据可以被异步地写入和/或存取，从而避免在配置成保护主秘密数据的常规电路设备中找到至少某些缺陷。

    本发明的实施例供用于控制对于主秘密数据的存取的电路设备之用，其中主秘密数据布置在集成电路装置的至少一个永久区域的至少一部分中。在一些实施例中，电路设备包括：响应外部时钟信号地时钟电路；配置成控制集成电路装置的安全状态的安全状态机；和主秘密电路，与安全状态机通信，并且配置成通过选择性地擦除主秘密数据的一部分而控制对主秘密数据的存取。在那些实施例中，安全状态机和主秘密电路可以与集成电路装置的时钟电路相隔离。因而，安全状态机配置成异步地改变集成电路装置的安全状态，而主秘密电路配置成异步地擦除主秘密数据的部分。因此，安全状态机和主秘密电路可以耐受定时攻击，并且电路设备的实施例可以配置成，在定时攻击期间禁止对主秘密数据的存取。

    按照如下附图和详细描述，这些和其它优点将是显然的。

    【附图说明】

    包括在本说明书中和构成其一部分的附图表明本发明的实施例，并且与以上给出的本发明的一般描述和下面给出的实施例的详细描述一道，用于解释本发明的原理。

    图1是与本发明实施例相一致的计算系统的方块图，该计算系统可以包括具有异步定时的主秘密电路的集成电路装置；

    图2是与本发明实施例相一致的并行处理计算系统的方块图，该并行处理计算系统可以包括具有异步定时的主秘密电路的集成电路装置；

    图3是与本发明实施例相一致的电路设备的示意图，该电路设备用于具有异步定时的主秘密电路和异步定时的安全状态机的集成电路装置，以保护主秘密数据；

    图4是表明与本发明的实施例相一致的图3的电路设备的安全状态转移的流程图；以及

    图5是表明与本发明实施例相一致的、响应来自电源电路、事件电路、和图3的电路设备的其它元件的输入的安全状态转移、以及在转移之前和之后的电路设备的安全状态机的二进制输出的表格。

    【具体实施方式】

    本发明的实施例提供一种电路设备、一种方法、以及一种设计结构，以控制对集成电路装置中的主秘密数据的存取。

    现代处理单元，并且具体地说布置在典型的计算系统、多处理器计算系统、共享存储器计算系统、和/或并行计算系统中的处理单元，典型地包括多个集成电路。这些处理单元或集成电路装置，常常存储敏感系统信息或主秘密数据。该主秘密数据可以包括可用于使系统安全的引导代码、主密钥、文件记录等。因而，有利的是，保护主秘密数据免于检索该数据的尝试。然而，难以防止利用基于硬件的攻击来检索主秘密数据的某些尝试。例如，难以防止存取主秘密数据的基于时钟的攻击，因为时钟电路用于将脉冲提供给集成电路装置，这使集成电路装置的集成电路执行至少一条指令。此外，常常期望的是，将主秘密数据存储在非易失性区域中。因而，非易失性区域可以被去层，以直接从集成电路装置读取数据。

    与本发明相一致的实施例提供一种电路设备、一种方法、以及一种设计结构，以通过响应集成电路装置的安全状态来选择性地擦除主秘密数据的至少一部分，从而控制对集成电路装置中的主秘密数据的存取。具体地说，本发明的实施例供控制对主秘密数据的存取的电路设备之用，其中主秘密数据布置在集成电路装置的至少一个永久区域的至少一部分中。在一些实施例中，电路设备包括：响应外部时钟信号的时钟电路；配置成控制集成电路装置的安全状态的安全状态机；以及主秘密电路，与安全状态机通信，并且配置成通过选择性地擦除主秘密数据的一部分来控制对主秘密数据的存取。在那些实施例中，安全状态机和主秘密电路可以与集成电路装置的时钟电路相隔离。因而，安全状态机配置成异步地改变集成电路装置的安全状态，而主秘密电路配置成异步地擦除主秘密数据的部分。因此，安全状态机和主秘密电路可以耐受定时攻击，并且电路设备的实施例可以配置成，在定时攻击期间禁止对主秘密数据的存取。

    此外，在一些实施例中，安全状态机和主秘密电路可以布置在至少一个永久区域中，该永久区域可以是电池备份的永久区域。因而，安全状态机和主秘密电路可以配置成，在集成电路的其余部分断电时操作。另外，响应于对集成电路装置进行去层可以擦除主秘密数据，其会必要地中断到至少一个永久区域的电力信号。在另外的具体实施例中，集成电路装置的至少一个永久区域可以与时钟电路相隔离。

    在一些实施例中，安全状态机配置成使主秘密电路复位，以选择性地擦除主秘密数据的部分。此外，在一些实施例中，电路设备包括至少一个映像寄存器，该映像寄存器与主秘密电路通信，并且配置成从主秘密电路捕获主秘密数据的至少一部分和将新的主秘密数据的至少一部分传送到主秘密电路。此外，至少一个映像寄存器可以与安全状态机通信，并且配置成推进(advance)集成电路装置的安全状态。在那些实施例中，推进集成电路装置的安全状态可以包括从包括如下的组中选择的推进：从零安全状态到初始化的安全状态的推进、从初始化的安全状态到安全的安全状态的推进、从安全的安全状态到触发的安全状态的推进、或从触发的安全状态到零安全状态的推进。

    在一些实施例中，电路设备包括检测集成电路装置的篡改事件的篡改事件电路。在那些实施例中，安全状态机响应篡改事件电路，以在篡改事件的情况下将集成电路装置的安全状态从安全的安全状态变到触发的安全状态。在其它实施例中，电路设备包括通电检测电路，该通电检测电路与安全状态机通信，并且配置成监视到集成电路装置的至少一个永久区域的电力信号。在那些实施例中，安全状态机响应通电检测电路，以尝试在到永久区域的电力信号不是在已知足够良好的条件下时的任一点处，将集成装置的安全状态从任一安全状态变到触发的安全状态，并且在具体实施例中，当电力信号初始供给到至少一个永久区域时，安全状态机响应以将集成电路装置的安全状态变到触发的安全状态。在另外的其它实施例中，电路设备包括通电复位电路，该通电复位电路与安全状态机通信，并且配置成检测集成电路装置的复位。在那些实施例中，安全状态机响应通电复位电路，以在集成电路装置的复位的情况下将集成电路装置的安全状态从触发的安全状态变到零安全状态。

    在具体实施例中，主秘密电路响应集成电路装置的零安全状态和/或触发的安全状态，以选择性地擦除主秘密数据的至少一部分。在另外的具体实施例中，主秘密电路响应集成电路装置的零安全状态和/或触发的安全状态，以选择性地擦除所有主秘密数据。

    一种处理单元或一种计算系统可以包括集成电路装置的实施例。

    硬件和软件环境

    转到附图，其中在几张视图中相同的附图标记表示相同的部分，图1表明用于计算系统10的硬件和软件环境，该计算系统10可以包括与本发明实施例相一致的集成电路装置(下文，为“ICD”)。为了本发明的目的，计算系统10可以代表任何类型的计算机、计算机系统、计算系统、服务器、盘阵列、或可编程装置，诸如多用户计算机、单用户计算机、手持装置、联网装置、移动电话、游戏系统等。计算系统10可以使用一个或更多个联网计算机，例如在群集或其它分布式计算系统中实施。为了简洁起见，计算系统10将称作“计算机”，尽管应该认识到，术语“计算系统”也可以包括与本发明实施例相一致的其它适当的可编程电子装置。

    计算机10典型地包括至少一个处理单元12(表明为“CPU”)，该处理单元12耦接到存储器14以及几个不同类型的外围设备上，如大容量存储装置16、用户接口18(包括例如用户输入装置和显示器)、以及网络接口20上。存储器14可以包括动态随机存取存储器(DRAM)、静态随机存取存储器(SRAM)、非易失性随机存取存储器(NVRAM)、永久存储器、闪速存储器、和/或另一种数字存储介质。大容量存储装置16也可以是数字存储介质，包括至少一个硬盘驱动器，并且可以位于计算机10外部，如在分离封装中或在一个或更多个联网计算机21、一个或更多个联网存储装置22(包括例如磁带驱动器)、和/或一个或更多个其它联网装置23(包括例如服务器)中。计算机10可以通过网络24与联网计算机、联网存储装置22、和/或联网装置23通信。如在图1中表明的那样，计算机10包括一个处理单元12，在不同实施例中，该处理单元12可以是单线程的、多线程的(例如，由International Business Machines[“IBM”]of Armonk，NY销售的PowerPC微处理器)、多核(例如，由Advanced Micro Device，Inc.[“AMD”]销售的Opteron双核处理器)、和/或多元件处理单元(例如，由IBM、日本东京的Sony Computer Entertainment、和日本东京的Toshiba联合开发的Cell Broadband Engine Architecture处理器)，如在现有技术中熟知的那样。在可选择实施例中，计算机10可以包括多个处理单元12，这些处理单元12可以包括单线程处理单元、多线程处理单元、多核处理单元、多元件处理单元、和/或其组合，如在现有技术中熟知的那样。类似地，存储器14可以包括一个或更多个水平的数据、指令和/或组合高速缓冲存储器，其中高速缓冲存储器服务于单独的处理单元或多个处理单元，如在现有技术中熟知的那样。在一些实施例中，计算机10也可以配置为分布式计算环境的成员，并且通过网络24与该分布式计算环境的其它成员通信。

    计算机10的存储器14可以包括操作系统26，以按在现有技术中熟知的方式控制计算机10的基本操作。在具体实施例中，操作系统26可以是Unix类操作系统，如Linux。存储器14也可以包括至少一个应用28、或其它软件程序，配置成与操作系统26共同地执行和完成任务。可以使用其它操作系统，如Windows、MacOS、或基于Unix的操作系统(例如Red Hat、Debian、Debian GNU/Linux等)。

    图2是表示用于并行处理计算系统30(下文为“系统30”)的可选择硬件和软件环境的图示说明，该并行处理计算系统30可以包括与本发明实施例相一致的集成电路装置。系统30可以包括多个节点32，这些节点32每个均包括至少一个处理单元34(表明为“CPU”34)和存储器36，该存储器36可以包括本地和/或远程高速缓冲存储器。存储器36可以包括DRAM、SRAM、NVRAM、永久存储器、闪速存储器、和/或另一种数字存储介质。如在图2中表明的那样，系统30包括一个处理单元34，该处理单元34可以是单线程的、多线程的、多核、和/或多元件处理单元，如在现有技术中熟知的那样。在可选择实施例中，系统30可以包括多个处理单元34，这些处理单元34可以包括单线程处理单元、多线程处理单元、多核处理单元、多元件处理单元、和/或其组合，如在现有技术中熟知的那样。类似地，存储器36可以包括一个或更多个水平的数据、指令和/或组合高速缓冲存储器，其中高速缓冲存储器服务于单独的处理单元或多个处理单元，如在现有技术中熟知的那样。

    每个节点32还可以包括I/O控制器38，以控制在处理单元34与至少一个I/O连接40、至少一个网卡42、和至少一个旧式连接44之间的通信。因而，系统30的每个节点32可以配置成，通过I/O连接40、网卡42、和/或旧式连接44与其它节点、系统30的其它元件(如存储资源或服务器)、以及系统30通信，如在现有技术中熟知的那样。此外，每个节点32可以包括操作系统46和应用48。操作系统46可以是简化功能操作系统，该简化功能操作系统配置成当应用48处理工作负荷的任务时管理工作负荷和应用48。然而，操作系统46可以不，并且有利地不，包括通常与典型的个人计算操作系统相关联的某些功能，包括软件、例程、元件、或程序代码，以支持各种I/O装置、错误诊断及恢复等。因而，操作系统46可以不包括在操作系统26中出现的功能。在具体实施例中，操作系统46可以包括Unix类操作系统的简化版本，如Linux。可以使用其它操作系统，并且不必要的是，所有节点32都采用相同的操作系统。因而，应用48可以是“多平台”应用，并且是可操作的，以跨过多个不同的操作系统或操作环境安装。因此，应用48可以配置成，通过网卡42与其它应用(例如，同一应用48的其它实例、或配置成与应用48互操作的其它应用)通信。用于每个应用48的数据的、或来自每个应用48的数据的本地复制，可以保存在文件高速缓冲存储器(未表示)中的存储器36的某部分中。

    如在图2中表明的那样，至少一个节点32可以布置到封装50中，该封装50又可以布置在机壳52中。在一些实施例中，每个封装50可以包括多个节点32，并且在具体实施例中，两个节点32可以安装到节点卡(未表示)上，其中的十七个布置在封装50中。在可选择实施例中，每个封装可以包括节点的异机种的组合，如主节点(未表示)，该主节点包括至少一个多芯处理单元，并且配置成控制多个加速器节点、将至少一个任务发送到多个加速器节点、以及管理多个加速器节点(未表示)，这些加速器节点的每一个包括至少一个多元件处理单元，以处理至少一个任务。系统30可以包括在54处所示的多个机壳52。因此，系统30可以包括可伸缩的单元状体系结构，该可伸缩的单元状体系结构在系统30按比例增大时可按规则图案复制以减少瓶颈，并且配置成以并行方式处理工作负荷和至少一个任务。

    在具体实施例中，每个节点32可以配置成，处理工作负荷和/或一个或更多个任务，以及通过经相应网卡42与那些节点通信而与多个其它节点32合作，以按并行方式处理工作负荷和/或一个或更多个任务，如在现有技术中熟知的那样。尽管在图2中表示一个网卡42，但每个节点32可以包括多个网卡42或其它网络连接。因而，每个节点32可以配置成通过不同网络(未表示)与系统30或其它节点32通信。例如，每个节点32可以通过圆环形网络(未表示)与每个其它节点32通信。此外，各个节点32可以自定义配置成完成各种功能。因而，系统30的某些节点32可以配置为计算节点(例如，接收工作负荷和/或至少一个任务，并且处理该工作负荷和/或至少一个任务)、I/O节点(例如，管理到和/或来自系统30的其余部分和每个计算节点的通信)、管理节点(例如，管理系统30和接收工作负荷和/或至少一个任务)、和/或服务节点(例如，监视系统30、调度工作负荷、和/或支持节点32)。因而，在一些实施例中，系统30可以具有与由IBM所开发的BlueGene并行计算系统体系结构相一致的体系结构。在可选择实施例中，系统30可以具有与也由IBM所开发的RoadRunner并行计算系统体系结构相一致的体系结构。此外，在另外的可选择实施例中，系统30可以具有与非均匀存储器存取(“NUMA”)和/或高速缓冲存储器相干NUMA(“ccNUMA”)计算系统相一致的体系构造，如在现有技术中熟知的那样。也将认识到，节点可以按多个不同水平限定在多水平共享存储器体系结构中，并且在一些实施例中，不必基于任何特定物理分配或分界彼此区分。的确，在一些实施例中，多个节点可以物理地布置在同一计算机中、在同一卡上、或甚至在同一集成电路上。

    在一些实施例中，计算机10和系统30每个均包括至少一个ICD，该ICD主要包括集成电路，如在现有技术中熟知的那样。在一些实施例中，ICD可以包括处理单元12、34和/或计算机10和系统30的其它元件，其主要包括集成电路(例如存储器14、36等)。在具体实施例中，处理单元12、34是还包括至少一个永久区域的ICD。每个永久区域是集成电路装置的区域，该区域配置成在电力不再供给到集成电路装置的其余部分的情况下保留数据。永久区域可以从电池电源接收至少一个电力信号以保留数据和/或功能性，因此，永久区域可以是电池备份的永久存储器，如在现有技术中熟知的那样。因而，每个处理单元12、34可以配置成，当计算机10和/或系统30断电时，在它们的相应非易失性区域中保存数据，如主秘密数据、和/或至少某些功能性。

    图3是ICD 60的至少一部分的示意说明，该ICD 60包括与本发明实施例相一致的至少一个永久区域62。在一些实施例中，永久区域62是通过电压电平转换和隔离缓冲器64与ICD 60的其余部分电气隔离的ICD 60的区域。在正常操作期间，永久区域62可以以与ICD 60的其余部分大致相同的方式供给电力，但在到ICD 60的电力故障期间，永久区域62可以由电池电源65供给电力。电压电平转换和隔离缓冲器64布置在永久区域62与ICD 60的其余部分之间，以将永久区域62与ICD 60电气隔离。电池电源65可以是可再充电的或不可再充电的电池，如在现有技术中熟知的那样，并且电池电源65可以布置在ICD 60上或其外部，如在现有技术中熟知的那样。在一些实施例中，电池电源65是可再充电的电池电源，该可再充电的电池电源在没有到ICD 60的电力时对永久区域62充电和供电，并且在ICD 60不接收电力时向永久区域62放电。因而，在具体实施例中，永久区域62可以是电池备份的永久存储器。尽管在图3中仅表明一个永久区域62，但ICD 60可以包括每个可以与ICD 60的其余部分电气隔离的多个永久区域62。然而，并且不打算是限制性的，与本发明实施例相一致的公开将提到永久区域62，并且本领域的技术人员将认识到，在不脱离本发明的范围的情况下，ICD 60可以包括另外的永久区域。

    永久区域62包括与至少一个主秘密电路68通信的至少一个安全状态机66，该主秘密电路68配置成存储主秘密数据的至少一部分。在一些实施例中，安全状态机66响应多个输入或输入信号，并且配置成控制ICD 60的安全状态，这又控制ICD 60的操作特性。在具体实施例中，安全状态机66输出两位反射码计数器，以指示和控制ICD 60的安全状态。表1表示安全状态机66的输出和从该输出产生ICD 60的安全状态。

      二进制输出(B1：B0)  安全状态  从以前输出变化的位  00  01  11  10  00  NULL  INITIALIZED  SECURED  TRIGGERED  NULL  一位  一位  一位  一位  一位

    表1：安全状态机的反射码输出

    有利地，通过将安全状态机66的输出配置为两位反射码计数器(例如，最高输出位B1和最低输出位B0)，每个状态转移只需要一位的调节，并且被认为防止ICD 60临时出现在错误状态下。例如，因为只有安全状态机66的输出的一个位(例如，反射码计数器的一个位)在状态转移之间变化，所以只有其中特定状态转移可进行的两种可能状态。有利地，这被认为防止在状态之间的暂时转移。例如，当安全状态机66的输出的两个位在状态转移之间变化时，可能有当一个位变化而另一个位不变时的暂时时段。因而，ICD 60在最终转移到期望状态之前可能临时转移到不期望的状态，因此主秘密数据可能易受攻击。为了进一步说明状态转移，表2表示两位二进制输出、从该输出产生ICD的安全状态、以及从以前安全状态变化的位数。

      二进制输出(B1：B0)  安全状态  从以前输出变化的位  00  01  10  11  00  NULL  INITIALIZED  SECURED  TIRGGERED  NULL  一位  两位  一位  两位

    表2：非反射码输出和位变化

    如表2所示，当ICD的状态从INITIALIZED(初始化的)状态(“01”)转移到SECURED(安全的)状态(“10”)时，如果安全状态机在增大第一位之前临时减小第二位，则ICD可能错误地进入NULL(零)状态(“00”)。类似地，如果安全状态机在减小第二位之前临时增大第一位，则ICD可能错误地进入TRIGGERED(触发)状态(“11”)。当ICD的状态从TRIGGERED状态(“11”)转移到NULL状态(“00”)时，可能出现类似缺陷。在本发明的一些实施例中，再次参照图3和表1，ICD 60的安全状态机66输出两位反射码计数器，该两位反射码计数器指示和控制ICD 60的安全状态，以避免关于常规两位输出计数器可能发生的临时状态转移。在本发明的可选择实施例中，ICD 60的安全状态机66可以输出反射码计数器，以指示和控制包括多于两位，如三位或四位反射码计数器，的ICD 60的安全状态，如在现有技术中熟知的那样。

    除控制ICD 60的安全状态之外，安全状态机66可以配置成控制对主秘密电路68的主秘密数据的存取。主秘密电路68响应安全状态机66，以响应于安全状态机66将ICD 60的安全状态变到NULL状态或TRIGGERED状态而选择性地擦除主秘密数据的至少一部分。在一些实施例中，主秘密电路68包括配置成存储主秘密数据的部分的多个主秘密数据电路70、72、和74，并且可以包括主密钥主秘密数据电路70、引导记录主秘密数据电路72、和文件记录主秘密数据电路74，以存储主秘密数据的相应主密钥数据、引导记录数据、和文件记录数据。尽管表明三个主秘密数据电路70、72、和74，并且尽管主秘密数据可以包括主密钥数据、引导记录数据、和文件记录数据，但另外的主秘密数据电路可以存储另外的主秘密数据，而不脱离本发明的范围。因而，本发明的实施例不应该仅仅限于存储主秘密数据的相应主密钥数据、引导记录数据、和文件记录数据的主密钥主秘密数据电路70、引导记录主秘密数据电路72、和文件记录主秘密数据电路74。

    在电力信号初始供给到永久区域62时，可能期望的是，使ICD 60的安全状态是TRIGGERED状态，以防止对主秘密数据的存取(例如，防止主秘密数据被写入)。因而，安全状态机66可以与至少一个通电检测电路76(表明为并且下文为“POSC”76)通信，以确定何时电力信号(未表示)初始供给到永久区域62，该电力信号可以是来自电池电源65的电力信号。在一些实施例中，POSC 76可以配置成，确定何时到永久区域62的电力信号在已知良好条件下，并且在具体实施例中，POSC 76可以配置成，确定何时到永久区域62的电力信号已经达到足够的初始电平。安全状态机66可以响应POSC 76，以将ICD 60的安全状态变到TRIGGERED状态。因而，并且在一些实施例中，POSC 76检测到永久区域62的初始电力，从而防止对主秘密数据的错误和/或恶意存取。

    ICD 60也可以包括通电复位电路78(表明为并且下文为“PORC”78)，该通电复位电路78与安全状态机66通信，并且配置成将ICD 60的复位指示给安全状态机66。因而，PORC 78可以监视到ICD 60的电力(与POSC 76相反，该POSC 76监视到永久区域62的电力)，和/或PORC 78可以监视开关(未表示)和/或按钮(未表示)，以检测电力(例如，到ICD 60的电力)和/或信号(例如，来自开关和/或按钮)的中断，这又可以指示ICD 60的复位。因而，安全状态机66可以响应PORC 78，以当检测到ICD 60的复位时将ICD 60的安全状态从TRIGGERED状态变到NULL状态。在具体实施例中，将ICD 60的安全状态从TRIGGERED状态转移到NULL状态的唯一途径是使ICD 60复位，并因此触发PORC 78。

    为了检测篡改事件，安全状态机66可以与至少一个永久区域事件电路80(表明为并且下文为“PREC”80)和至少一个非永久区域事件电路82(表明为并且下文为“NPREC”82)通信。PREC 80和NPREC82配置成指示ICD 60、ICD 60的元件、永久区域62、和/或永久区域62的元件的篡改事件，如在现有技术中熟知的那样。在一些实施例中，PREC 80和/或NPREC 82配置成检测ICD 60的时钟电路84的变化，该变化可以指示对于ICD 60的定时攻击，并因此指示从主秘密电路68恶意检索主秘密数据的尝试。因此，篡改事件，不管是由PREC 80还是由NPREC 82指示，都可以使安全状态机66改变ICD 60的安全状态。如在图3中表明的那样，PREC 80和NPREC 82中的每一个的至少一个输出被组合(例如，PREC 80和NPREC 82中的每一个的至少一个输出被逻辑OR(或))，并且提供给安全状态机66。在检测到篡改事件的情况下，安全状态机66配置成将ICD 60的安全状态从SECURED状态变到TRIGGERED状态。PREC 80和/或NPREC 82，不管是单独还是组合，因此都可以当作配置成将篡改事件指示给安全状态机66的“篡改事件电路”。

    如在图3中表明的那样，安全状态机66、主秘密电路68、POSC76、和PREC 80布置在ICD 60的永久区域62内。在一些实施例中，永久区域62不仅通过电压电平转换和隔离缓冲器64与ICD 60电气隔离，而且另外与ICD 60的时钟电路84隔离。因而，永久区域62的至少一部分，包括安全状态机66、主秘密电路68、POSC 76、和/或PREC 80，配置成异步地操作，并且不参考ICD 60的时钟电路84。

    ICD 60还可以包括至少一个映像寄存器86，以与安全状态机66通信从而推进ICD 60的安全状态，以及捕获来自主秘密电路68的主秘密数据的至少一部分、和将主秘密数据的至少一部分传送到主秘密电路68。在一些实施例中，ICD 60可以包括多个映像寄存器88、90、92、和94。在那些实施例中，ICD 60可以包括与安全状态机66通信的控制映像寄存器88，以推进ICD 60的安全状态(例如，从NULL到INITIALIZED状态、从INITIALIZED到SECURED状态、和/或从SECURED到TRIGGERED状态)。控制映像寄存器88也可以与主秘密电路68通信，以选择性地将数据从主密钥映像寄存器90、引导记录映像寄存器92、和/或文件记录映像寄存器94的至少一个提交给主秘密电路68的相应主密钥主秘密数据电路70、引导记录主秘密数据电路72、和/或文件记录主秘密数据电路74。映像寄存器90、92、和94又可以配置成通过寄存器写入数据总线96从ICD 60接收主秘密数据的至少一部分。

    在一些实施例中，寄存器写入数据总线96配置成，向映像寄存器90、92、和/或94的至少一个提供主秘密数据的相应至少一部分，以发送到相应主秘密数据电路70、72、和/或74。另外，ICD 60可以通过寄存器写入数据总线96与控制映像寄存器88通信，并且在一些实施例中，ICD 60可以传送哪个映像寄存器90、92、和/或94选择性地提交主秘密数据的至少一部分的指示。

    主密钥映像寄存器90、引导记录映像寄存器92、和文件记录映像寄存器94与主密钥主秘密数据电路70、引导记录主秘密数据电路72、和文件记录主秘密数据电路74相应通信。在一些实施例中，主密钥映像寄存器90、引导记录映像寄存器92、和文件记录映像寄存器94可以从相应主密钥主秘密数据电路70、引导记录主秘密数据电路72、文件记录主秘密数据电路74、和/或从寄存器数据总线96接收相应主秘密数据的至少一部分。映像寄存器90、92、和94是否从寄存器数据总线96、从主秘密电路68、或从由ICD 60的具体实施确定的另外的主秘密数据电路(未表示)(例如，从另外的永久区域)接收数据，由到相应多路复用器98、100和102的至少一个信号确定。以这种方式，主密钥映像寄存器90、引导记录映像寄存器92、和/或文件记录映像寄存器94每个可以配置成，捕获来自相应主秘密数据电路70、72、和74的主秘密数据的至少一部分，并且将新的主秘密数据的至少一部分传送到相应主秘密数据电路70、72、和74。如图3中表明的那样，ICD 60包括一个永久区域62。在可选择实施例中，ICD 60可以包括多个永久区域62，每个选择性地与映像寄存器90、92、和/或94通信。在该可选择实施例中，相应多路复用器98、100、和/或102可以确定，哪个永久区域62和其主秘密数据的至少一部分选择成传送到映像寄存器90、92、和/或94。

    控制映像寄存器88通过多路复用器104与寄存器数据总线96通信，以接收选择性地将来自至少一个映像寄存器90、92、和/或94的主秘密数据的至少一部分提交给相应主秘密数据电路70、72、和/或74的命令，以及接收推进ICD 60的安全状态的命令。

    ICD 60包括响应外部时钟信号的时钟电路84和寄存器地址总线97，时钟电路84还与映像寄存器86、PORC 78、和/或NPREC 82通信。在具体实施例中，时钟电路84包括全寄存器时钟电路106和部分寄存器时钟电路108。全寄存器时钟电路106可以与PORC 78、NPREC82、控制映像寄存器88、寄存器地址总线97、和/或多路复用器104通信。因此，全寄存器时钟电路106可以响应外部时钟信号、PORC 78、和/或来自寄存器地址总线97的数据，以控制用于NPREC 82的定时、控制映像寄存器88、和/或由控制映像寄存器88通过多路复用器104接收的数据。部分寄存器时钟电路108可以与外部时钟电路、寄存器地址总线97、和/或安全状态机、映像控制寄存器、和/或PORC 78的输出的组合通信，以选择性地控制到主密钥映像寄存器90、引导记录映像寄存器92、和/或文件记录映像寄存器94的至少一个的时钟信号。因此，在具体实施例中，部分寄存器时钟电路108被选择性地控制成，将时钟信号提供给至少一个映像寄存器90、92、和/或94。

    安全状态机66与POSC 76、PORC 78、PREC 80、NPREC 82、和控制映像寄存器88通信。在具体实施例中，从POSC76到安全状态机66的输入被反相，而连接到PORC 78、PREC 80、NPREC 82、和控制映像寄存器88上的输入不被反相。主密钥主秘密数据电路70、引导记录主秘密数据电路72、和文件记录主秘密数据电路74与相应主密钥映像寄存器90、引导记录映像寄存器92、和文件记录映像寄存器94通信。在一些实施例中，每个主秘密数据电路70、72、和74配置成，从相应映像寄存器90、92、和94的每一个接收约四个位到高达约512个位。在那些实施例中，主秘密数据电路70、72、和74的每一个可以包括与来自相应映像寄存器90、92、和94的位数相对应的多个从属锁存器，这些相应映像寄存器90、92、和94每个选择性地通过控制映像寄存器88是可加载的。在可选择实施例中，主秘密数据电路70、72、和74的每一个可以包括比来自相应映像寄存器90、92、和94的位多的从属锁存器，使得相应主秘密数据电路70、72、和/或74的从属锁存器通过相应映像寄存器90、92、94是可寻址的。在那些可选择实施例中，每个主秘密数据电路70、72、和74配置成，在数据的一次提交期间保持比由相应映像寄存器90、92、和94可输入的多的数据。如在图3中表明的那样，每个主秘密数据电路70、72、和74与控制映像寄存器88通信，该控制映像寄存器88配置成从相应映像寄存器90、92、和94提交数据。此外，每个主秘密数据电路70、72、和74还与安全状态机66通信，使得每个主秘密数据电路70、72、和74使来自安全状态机66的至少一个信号反相。因此，在从安全状态机66到至少一个主秘密数据电路70、72、和/或74的信号是逻辑低(例如，由主秘密数据电路70、72、和/或74所接收的逻辑高)的情况下，该主秘密数据电路70、72、和/或74复位，由此擦除相应主秘密数据。每个主秘密数据电路70、72、和74配置成，将主秘密数据反馈到相应映像寄存器90、92、或94。因而，映像寄存器90、92、和94可以从寄存器写入数据总线96或从相应主秘密数据电路70、72、和74、或从其它相应主秘密数据电路(未表示)接收主秘密数据的至少一部分。来自映像寄存器90、92、和/或94的数据可以由寄存器读取电路110读取，该寄存器读取电路110又被控制成，将来自映像寄存器90、92、和/或94的至少一个的数据的至少一部分提供给ICD 60。在一些实施例中，寄存器读取电路110由寄存器地址总线97控制，以选择性地从引导记录映像寄存器92和/或文件记录映像寄存器94接收数据。在某些可选择实施例(未表示)中，寄存器读取电路110可以另外由寄存器地址总线97控制，以选择性地从主密钥映像寄存器90接收数据。寄存器读取电路110可以与ICD 60的另一个元件通信，该元件可以配置成，从主密钥映像寄存器90(未表示)、引导记录映像寄存器92和/或文件记录映像寄存器94接收相应数据。

    在一些实施例中，并且如以前讨论的那样，安全状态机66包括作为反射码计数器输出操作的至少两个输出位(例如，标为“B1”的最高位和标为“B0”的最低位)。这些位的至少一个(例如，在图3中表明的实施例中，B0)与主秘密数据电路70、72、和74通信。因而，来自安全状态机66的这个至少一个位配置成，选择性地擦除主秘密数据电路70、72、和74的至少一个中的主秘密数据。在具体实施例中，来自安全状态机66的至少一个位配置成，在NULL和TRIGGERED状态期间是逻辑低，并且同样地擦除主秘密数据。这又导致从主秘密数据电路70、72、和74到相应映像寄存器90、92、和94的反馈被擦除，并因此使从寄存器读取电路110读取的数据无效(例如，从寄存器读取电路110读取的数据被零化，或者否则全部为逻辑低)。在一些实施例中，安全状态机66的至少两个输出位引导到ICD 60的至少一个安全电路(未表示)。安全电路可以在安全状态期间控制ICD 60的操作特性，这些操作特性否则不由安全状态机66控制，如防止在INITIALIZED状态期间加载应用、在TRIGGERED状态期间切断网络通信、防止在TRIGGERED状态期间的I/O读取、和与其它安全状态相关联的其它操作特性。

    在一些实施例中，到多路复用器98、100和102的输入由以后反相的安全状态机66的至少一个输出(例如，在图3中表明的实施例中，B0的反相)、来自PORC 78的输出、和来自控制映像寄存器88的至少一个输出的组合(例如，逻辑OR)控制。因而，多路复用器98、100、和/或102可以配置成，当来自逻辑OR的组合是低逻辑信号时，如当安全状态机66在INITIALIZED状态或SECURED状态下时，将来自寄存器写入数据总线96的数据提供给相应映像寄存器90、92、和/或94。另外，当没有ICD 60的复位时，并且当控制映像寄存器88不由寄存器写入数据总线96控制成从主秘密数据电路70、72、和/或74选择反馈时，来自逻辑OR的组合可以是低逻辑信号。在具体实施例中，当来自逻辑OR的组合是高逻辑信号时，诸如当安全状态机66在NULL或TRIGGERED状态下时，多路复用器98、100、和/或102被配置成，将来自相应主秘密数据电路70、72、和/或74的反馈的数据提供给相应映像寄存器90、92、和/或94。

    在一些实施例中，到多路复用器104的输入由全寄存器时钟电路106控制。在多路复用器104从全寄存器时钟电路106接收到逻辑低的情况下，控制映像寄存器88将从寄存器写入数据总线96接收数据。该数据可以包括推进安全状态机66、选择性擦除主秘密电路68中的主秘密数据的至少一部分、和/或控制多路复用器98、100和102的至少一个命令。在多路复用器104从全寄存器时钟电路106接收到逻辑高的情况下，控制映像寄存器88将仅从与多路复用器104通信的电力接地接收逻辑低信号。在一些实施例中，全寄存器时钟电路106与PORC 78通信以控制多路复用器104，并因此在ICD 60的复位的情况下，全寄存器时钟电路106可以将逻辑低值输出到多路复用器104。

    图4是与本发明的实施例相一致的安全状态和其转移、以及在那些安全状态下ICD 60的某些一般操作特性的一个实施例的图示说明200。在一些实施例中，安全状态的转移通过由电力信号确定是否有供给到永久区域62的适当初始电力而开始(块202)。在具体实施例中，POSC 76可以确定是否有适当的初始电力和安全状态机66可以转移到TRIGGERED状态(块204)。在具体实施例中，当在TRIGGERED状态下时，主秘密电路68被置于复位，并且主秘密数据被擦除，且ICD 60的DEBUG模式被禁止。

    从TRIGGERED状态，前进到NULL状态的唯一途径(块206)是基于ICD 60的复位的检测，如可以由PORC 78检测。因此，可以防止来自ICD 60和/或来自软件的恶意状态推进命令，因为要求ICD60的物理复位。在具体实施例中，当在NULL状态下时，主秘密电路68被置于复位，并且主秘密数据被擦除，ICD 60的DEBUG模式被允许，和/或安全状态机66忽略任何篡改事件。在一些实施例中，DEBUG模式允许调试逻辑、可寻址后门、和/或典型地用于方便ICD开发和/或ICD测试的试验逻辑。

    从NULL状态，ICD 60可以转移到INITIALIZED状态(块208)。响应来自ICD 60和/或软件的状态推进命令，可以进入INITIALIZED状态。因而，在一个例子中，当其中布置ICD 60的计算机10或节点32已经被通电并被读取以被引导时，可以进入INITIALIZED状态。在具体实施例中，当在INITIALIZED状态下时，主秘密电路68已不处于复位，并且主秘密数据可以写入到该主秘密电路68或从其读取，ICD 60的DEBUG模式被允许，和/或安全状态机66不响应任何篡改事件。

    从INITIALIZED状态，ICD 60可以转移到SECURED状态(块210)。在已经完成ICD 60的初始化过程之后，可以进入SECURED状态。因而，在一个例子中，当其中布置ICD 60的计算机10或节点32已经结束初始化并且准备好安全的操作时，如在安全和/或常规操作模式下，可以进入SECURED状态。在具体实施例中，当在SECURED状态下时，主秘密电路不再处于复位，并且主秘密数据可以写入到该主秘密电路68或从其读取，ICD 60的DEBUG模式被禁止，和/或安全状态机66响应篡改事件。

    从SECURED状态，ICD 60可以转移回TRIGGERED状态(块202)。在ICD 60处于SECURED状态的同时在篡改事件之后和/或在ICD 60处于SECURED状态的同时响应ICD 60控制信号，可以进入TRIGGERED状态。因而，在一个例子中，当ICD 60的时钟电路84正在被篡改时，可以进入TRIGGERED状态。因而，在另一个例子中，当响应来自ICD 60的状态推进命令，将安全状态机66推进到TRIGGERED状态时，可以进入该状态。在具体实施例中，当在TRIGGERED状态下时，主秘密电路68被置于复位，并且主秘密数据被擦除，ICD 60的DEBUG模式被禁止，安全状态机66已经检测到篡改事件，和/或安全状态机66已经由ICD 60推进到TRIGGERED状态。

    尽管未表明，ICD 60的另外操作特性可以取决于安全状态。例如，在一些实施例中，安全状态机66可以用于加密和/或解密操作、存取表转换、和/或控制存取以替代引导记录，如在现有技术中熟知的那样，并且那些附加功能的执行可以取决于ICD 60的一个或更多个安全状态。

    图5是表明安全状态机66响应来自POSC 76、PORC 78、PREC80、NPREC 82、和控制映像寄存器88的信号的输出、以及它们对ICD60的下一个安全状态的影响的一个实施例300的表格。在安全状态机66不关心输入、篡改事件、或安全状态的情况下，该输入、篡改事件、或安全状态用“DC”(“不关心”)或“DM”(“没问题”)标记。

    参照图5，安全状态机66可以响应POSC 76，以将ICD 60的安全状态变到TRIGGERED状态，而不管来自PORC 78、PREC 80、NPREC 82、控制映像寄存器88、和当前安全状态的输入。类似地，安全状态机66可以响应PORC 78，以将ICD 60的安全状态从TRIGGERED状态变到NULL状态，而不管来自PREC 80、NPREC82、和控制映像寄存器88的输入。此外，安全状态机66可以响应控制映像寄存器88，以将ICD 60的安全状态从NULL状态推进到INITIALIZED状态并且从INITIALIZED状态推进到SECURED状态，而不管来自PORC 78、PREC 80、和NPREC 82的输入。安全状态机66也可以响应控制映像寄存器88，以当来自PREC 80和NPREC82的输入不指示篡改事件时，并且不管来自PORC 78的输入，将ICD60的安全状态从SECURED状态推进到TRIGGERED状态。另外，安全状态机66可以响应PREC 80和/或NPREC 82，以将ICD 60的安全状态从SECURED状态推进到TRIGGERED状态，而不管来自PORC 78和控制映像寄存器88的输入。

    因此，本发明的实施例供与ICD的时钟电路相隔离的电路设备之用，以控制该ICD的安全状态并且响应ICD的安全状态变到NULL或TRIGGERED状态而选择性地擦除主秘密数据的至少一部分。

    与本发明的实施例相一致，电路设备可以被实施作为通用门网表(generic gate netlists)，作为完全特殊目的或通用目的微处理器，或者按其它方式，如对于本领域的技术人员可能想到的那样。网表是电路设备的逻辑函数的布尔代数表示(门、标准单元)，类似于用于高水平程序应用的汇编代码表。电路设备也可以例如按在诸如Verilog或VHDL的硬件描述语言中描述的可综合形式实施。除网表和可综合实施之外，电路设备也可以在较低水平的物理描述中输送。电路设备组件可以按诸如GDSII的晶体管布局格式分布。电路设备的数字组件有时也按布局格式供给。将认识到，电路设备、以及与本发明相一致实施的其它逻辑电路可以按计算机数据文件，例如逻辑定义程序代码或设计结构，的形式分布，这些计算机数据文件在各种详细水平下定义实施这样的逻辑的电路设备的功能和/或布局。因此，尽管在全功能集成电路装置和利用这样的装置的计算机和系统中实施的电路设备的上下文中已经描述了本发明，但受益于本公开的本领域的技术人员将认识到，与本发明相一致的电路设备能够分布成各种形式的程序产品或设计结构，并且本发明同样地应用，而与用于实际执行分布的计算机可读或信号承载介质的具体类型无关。计算机可读或信号承载介质的例子包括，但不限于：物理的、可记录型介质(如易失性和非易失性存储器装置)、软盘、硬盘驱动器、CD-ROM、和DVD(等等)；和传输型介质，如数字和模拟通信链路。

    本领域的技术人员将认识到，在图1-5中表明的环境不用于限制本发明。在不脱离本发明的精神和范围的情况下，对于表明的实施例可以进行各种修改。例如，在不脱离本发明的精神和范围的情况下，可以使用其它可选择硬件环境。因此，主秘密电路可以包括较多或较少输出位，并且在这样的实施例中，在不脱离本发明的精神和范围的情况下，主秘密电路可以选择性地只擦除主秘密数据的一部分。在一个具体实施例中，安全状态机的输出是四位计数器，使得一位控制主密钥的擦除，一位控制引导记录的擦除，以及一位控制主秘密电路中的文件记录的擦除。因而，安全状态机的输出可以不配置成是反射码计数器，而是安全状态机的输出可以配置成位移计数器，如在现有技术中熟知的那样。类似地，逻辑可以布置在安全状态机与主秘密电路之间，并且在不脱离本发明的精神和范围的情况下，该逻辑可以响应ICD，以在各种安全状态下选择性地擦除主秘密数据的至少一部分。此外，本领域的技术人员将认识到，外部时钟信号仅仅在时钟电路外部，并因此可以布置在ICD内，或者否则与ICD通信，如在现有技术中熟知的那样。

    其它修改对于本领域的技术人员将是显然的。因此，本发明由下文所附的权利要求书决定。