電源装置を装備したチップ
本発明は、機密データを記憶するためのメモリ(M)と、電圧および/または電流を印加するための電源装置(FC)と、他の装置からの、および/または他の装置へのデータの伝送のためのインタフェースとを装備したチップに関する。メモリ内のデータを安全にするため、電源装置(FC)はチップの、組み込まれた構成要素として形成されている。好ましくは電源装置(FC)は、限定されかつ再充填不可能である燃料貯蔵を有する燃料電池として装備されており、したがってメモリ内のデータは限定された寿命の間だけ保持されることができる。他の実施形態によれば電源装置(FC)から供給される電圧は、チップへの権限のないアクセスの場合にメモリ内のデータを能動的に消去するのにも使用することができる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、請求項1の上位概念の特徴による電源装置を装備したチップに関する。
【背景技術】
【0002】
チップすなわち多種多様な種類の組み込まれた回路装置等のための電力供給は通常、外部電源から印加される動作電圧によって行なわれる。外部電源は通常、電力供給網または電気装置に使用される電池もしくは蓄電池への接続である。
【0003】
電池もしくは蓄電池の代わりに燃料電池装置を使用することもできる。燃料電池は通常第1と第2の電極装置で構成され、これらのうち一方はアノードとして、そしてもう一方はカソードとして使用される。これら2つの電極装置の間には、触媒被覆を備えたプロトン透過性の膜として使用される、触媒性質を有する膜/電極接合体(MEA)が存在する。さらにこの種の燃料電池は、燃料、通常は水素、を供給するための燃料供給装置と反応物質、通常は酸素、を供給するための反応物質供給装置とを有する。反応物質は発電のために、燃料に由来しかつ膜を透過したプロトンと反応する。燃焼最終生成物、通常は水、は燃料電池装置から排出される。
【0004】
チップはしばしば、機密データを記憶するための組み込まれたメモリを有する。この種の機密データは、例えば口座の口座アクセス情報でもよいし、個人の識別情報でもよい。チップが権限のない者達の手に渡れば、そのチップに含まれるデータが権限のない者によって読み出されかつ悪用される可能性があるという危険が基本的に存在する。
【0005】
チップを不正操作に対し安全にするには、せいぜい条件付きで適用可能な解決策しかなく
、それは例えば、チップの容器すなわちパッケージに組み込まれる穿孔防止フィルム(Bohrschutzfolien)である。
【0006】
WO02/058219からは、供給された媒体のエネルギーを吸収するためにその表面が形成されているエネルギー蓄積装置が一般に周知であり、その際、エネルギーは隣接する半導体装置に蓄積される。エネルギーは光または電磁波を発生するために該装置によって使用される。消費されるのはこの装置の場合にはしたがって表面エネルギーである。
【発明の開示】
【発明が解決しようとする課題】
【0007】
本発明の課題は、チップに記憶されたデータがより良好に安全にされる、殊に権限のないアクセスに対してより良好に安全にされる、電源装置を装備したチップを提供することである。
【課題を解決するための手段】
【0008】
この課題は、特許請求項1の特徴を有する電源装置と機密データを記憶するための組み込まれたメモリとを装備したチップによって解決される。
【0009】
有利な形態は、従属請求項の対象である。
【0010】
それに応じて電圧および/または電流を印加するための電源装置と、他の装置からの、および/または他の装置へのデータの伝送のためのインタフェースとを備えた、殊に機密データを記憶するためのチップは、その電源装置が該チップの構成要素、殊に組み込まれた構成要素、である場合に特に有利である。したがってチップの動作上重要な構成要素、例えばデータを有するメモリ、はメモリ内のデータのセキュリティに使用可能である独自の電源装置にアクセスすることができる。
【0011】
このようなチップの第1の特に有利な実施形態によれば、メモリにはデータを保持するための保持電圧が印加されており、その際、データは保持電圧がなくなると消去され、かつその際、保持電圧は殊に専ら前記電源装置から供給される。好ましくは、外部の、すなわち組み込まれていない電源装置を備えた構成に変更することも可能である。この実施形態によって、例えばRAM(ランダムアクセスメモリ)内のデータが、電源装置が十分な保持電圧を供給することができるのと同じ長さだけ記憶される。最終的にこのことによって機密データの寿命ないしはチップ全体の寿命は限定されており、その際、その持続時間は電源装置の適当な寸法によってあらかじめ設定可能である。したがって、例えば銀行顧客により銀行取引に使用されるスマートカードをある最長の機能持続時間に限定することができる。したがって使用可能性の制限は、カードに印刷された期限の注記および場合によっては中央データバンクにおける停止の注記によってばかりではなく、チップないしはカードの普遍の最長寿命によっても保証される。
【0012】
好ましくは第1の実施形態とも組み合わせ可能である第2の実施形態によればチップは次のように構成されている、つまり保持電圧の印加のために安全導体(Sicherungsleiter)によりメモりと電源装置とが互いに接続されるようにであり、その際、チップが損傷されると安全導体が断線するように該安全導体はチップ内に延在して配置されている。したがってチップすなわちチップのパッケージの機械的な損傷は安全導体の中断をもたらし、これにより保持電圧の即刻中断という結果になる。それによりメモリ内の機密データは消失するかないしは消去される。したがって、個別の組み込まれた回路装置を露出させてから導体路に直接アクセするためにチップを開けることは排除される。
【0013】
第3の有利な実施形態によればチップは、権限のないアクセスの場合にチップの、動作に重要な構成要素を破壊するための安全回路を有する。その際好ましくは、組み込まれた電源装置が安全回路のための動作電圧を供給する。好ましくは、外部の、すなわち組み込まれていない電源装置を備えた装置への切替も可能である。これと組み合わせてかあるいはこれに対して代替的に、権限のないアクセスの場合のメモリ、殊にROM(Read Only Memory)、内のデータの消去のための安全回路を備えたチップが形成されていてもよく、その際、電源装置は安全回路のための動作電圧を供給する。したがってこのような実施形態によればチップは、独自の電源装置にアクセスする安全回路を有する。したがって、外部電源を有する回路装置からチップを取り外すことは安全回路の機能性を妨げない。
【0014】
上記装置、殊に安全回路はカスタマイズ可能な形態に応じてチップ内の殊に暗号化されたデータの保護を可能にする。データを読み出そうとする権限のない試みの場合には、チップにおけるエネルギーはRAMおよび/またはROMを消去するのに使用される。例えば第1の実施形態によるRAMの場合にはデータの保持にはエネルギーが必要であり、したがってエネルギーの損失もしくは遮断はデータの消去をもたらす。例えば第3の実施形態によるROMの場合にはエネルギーは不要であり、したがって前記エネルギーを用いて能動的な消去が行なわれる。
【0015】
安全回路は組み合わせもしくは代替としてセンサ、例えばガスセンサ、超音波センサ、磁場センサ、光センサ、バイオセンサ等、が装備されていてもよく、このセンサは、チップが動作を損なう環境に置かれかつセンサのための相応する作動の判定基準が満たされるかまたは代替的に、前提された周囲条件が欠落する場合に、警報装置を作動させるかまたは安全回路のその他の機能を活動化させる。その際にはさらにチップではセキュリティ上重要でかつ機密のデータが消去されるか、あるいはまた全てのデータが消去される。
【0016】
この第3の実施形態の変形形態によれば安全回路は印加される動作電圧の監視のために形成されており、かつ動作電圧の中断の場合にデータを消去する。したがってチップをその動作環境から取り出すことは動作電圧の中断に基づいて安全回路が活動化され、この安全回路は固有の電源装置を用いてメモリ内のデータを消去する。
【0017】
上記変形形態とも組み合わせ可能である第3の実施形態の別の変形形態によれば安全回路は、燃料が用いられる、電源装置としての燃料電池を動作させるための反応物質のための障壁から形成されており、その際、該障壁の損傷によって反応物質が該燃料電池に達する。換言すれば電源装置は、燃料、殊に水素、が組み込まれている燃料電池から形成されている安全回路のための電圧の供給のために、しかしながら、燃料電池には反応物質、例えば酸素、が不足する。障壁は、チップの安全にすべき構成要素の周囲の固有の保護カバーによって形成されていてもよく、最も簡単な場合にはチップのパッケージによって形成されていてもよい。障壁すなわちパッケージの損傷によって空気およびしたがって酸素が進入し、その結果、燃料電池は活動化され、電圧が消去電圧として安全回路に印加される。
【0018】
はじめの2つの実施形態が、チップのメモリ内のデータを保持するための固有の保持電圧を供給するという基本原則に基づいているのに対し、第3の実施形態の変形形態は、組み込まれて供給される電圧を用いて権限のないアクセスの場合にメモリ内のデータを能動的に消去する安全回路を定めている。メモリとはこの場合には、記憶が行なわれる任意の構造のことをいう。
【0019】
異なる実施形態に従って動作するチップは好ましくは、チップの全般的な機能を動作させるための動作電圧を外部電源から印加するための保持電圧用接点を有する。この実施形態によって、少ない容量のみを有する組み込まれた電源装置を用意することが可能となる、というのも大量の電力を消費する機能はチップの動作の際に外部電源によって供給されることができるからである。通常の方法で動作電圧は、例えば接点を介してかまたは電磁誘導により供給される。殊にこの実施形態の場合には、外部電源からの動作電圧がなくなった場合に、チップに組み込まれている電源装置が、電源装置からの動作電圧の供給のための非常用電力回路との接続においても使用されることは有利である。それにより、外部からの動作電圧の殊に短時間の障害を緩衝することができる。
【0020】
全ての実施形態の場合には電源装置は、特に有利な実施形態によると、あらかじめ設定された量の燃料を有する燃料電池である。この燃料は例えばパラジウム溜め(Palladiumspeicher)に蓄えられる。燃料電池の使用はとりわけ、増大する貯蔵時間に基づいた電力−ないしは容量損失が他の電源の場合より少ないという利点をもたらす。あらかじめ設定される量の燃料は好ましくは限定されることによって、限定された量のみの燃料がチップの、すなわちメモリの内容の、限定された寿命のための電流量の供給のために供給される。このことは、消費された燃料の充填が不可能であるように燃料電池が構成されていることが好ましいことを意味する。したがって、メモリ内の機密データのための保持電圧の供給のための電源装置としての燃料電池を用いた実施形態の場合には殊に、チップ全体の寿命はあらかじめ設定された最長タイムスパンに対して調整可能である。保持電圧がなくなるかないしは最小限必要な電圧閾値を下回ると、揮発性メモリ内の機密データは消失する。
【0021】
好ましくは殊にそのデータが機密データであるチップは、殊に該チップの動作に必要な鍵またはそのようなものを含む。例えばこのようなチップにその製造の際に鍵、例えば暗号鍵もしくは乱数を備えさせることができ、その際この機密データはチップの動作に、または該チップにそれ以外に記憶されたデータの評価に必要である。誤動作または権限のないアクセスの場合には、チップまたは該チップに記憶されたデータを使用不能にするためにこれら機密データは消去されるかあるいは偽データで上書きされる。このような手順の際にチップだけが該チップの鍵ないしは該チップの相応の機密データを識別する。
【0022】
チップ自体が該チップ自体のみが識別する鍵を生成することも可能である。このような鍵のこの生成は好ましくは乱数発生器の使用下にチップの製造時もしくはそれより後の時点に行なわれる。好ましくは電源装置は鍵が記憶されているメモリ領域をカバーする、すなわち電源装置はこのメモリ領域を保護する。その際、チップの動作に必要でありかつメモリに記憶された鍵の生成のための、殊にチップの製造時または初回の活動化時の鍵の生成のための、乱数発生器を備えたチップが有利とされる。
【0023】
特に有利な実施形態によれば電源装置によって、機密データを含む殊にメモリ領域は保証ないしは供給され、その結果、それに対して外部バッテリまたは類似物を不要にすることができる。この実施形態の場合にも電源装置としての燃料電池を用いた変形形態は特に有利とされる。
【0024】
データの消去または重要な動作部品の破壊の代わりに、別の有利な実施形態によれば、メモリへのまたはチップもしくは類似物への権限のないアクセスの場合にメモリ領域への偽データの導入(Aufspielen)が行なわれてもよい。その際このデータの権限のない読み出しによって、権限のない者にはこのデータは手のつけようがないこと、場合によってはそれどころか損害を被るかあるいは適当な監視によって確認可能でもあることがもたらされる。
【0025】
電源装置、殊に電源装置としての燃料電池を他の構成要素とともにチップのパッケージ内に配置する方法以外に、電源装置が本来のメモリの、組み込まれた構成要素である実施形態が特に有利とされる。
【0026】
特に有利な使用分野は、機密データを記憶するためのメモリと、限定された期間にわたってのみのメモリ内のデータの記憶のための電流量が限定された電源装置とを有するこのようなチップを備えた殊に身分証明書およびクレジットカードである。
【0027】
好ましくは、例示した各実施形態は、その技術的な特徴に関して同時に別の実施形態を形成しながら、相互に組み合わされることができる。
次に本発明の実施例を図面につき詳説する。
【発明を実施するための最良の形態】
【0028】
図1は、第1の簡単な実施形態を概略的に部分断面図で示す。基本原則から、その示された実施例はスマートカードが組み込まれたクレジットカードを示している。
【0029】
本来のプロセッサCのほかにチップ内には電源装置、殊に電源装置FCも組み込まれている。基本的には例えば、通常の電池のような種類の任意の電源装置を使用することができる。しかしながら特に好ましくは燃料電池FCが電源装置として使用される。電源装置FCは動作電圧UBをプロセッサCに供給する。動作電圧UBは電源装置FCとプロセッサC間の相応の接続導体を介してプロセッサCに印加される。
【0030】
プロセッサCは、その示した実施例の場合にはインタフェースKを用いて外部装置へのデータの伝送のために接続されている自体公知の様式の任意の組み込まれた回路装置であることができる。その示されたインタフェースKは、チップないしはスマートカードの表面における接点バンクによって形成されている。
【0031】
チップには、データの揮発性の一時記憶もしくは持続記憶のためのメモリMが組み込まれている。プロセッサCへのメモリMの組込みのほかに、メモリMは独自の組立て部品としてプロセッサCとともにかつ電源装置FCとともに提供されてもよい。メモリMは直接電源装置FCと直結されてもよいし、その組立て部品の構成要素として形成されてもよい。
【0032】
この示したチップは、チップに組み込まれた電源装置FCにより動作電圧UBがプロセッサCに独自に電圧供給されるという利点をもたらす。動作電圧UBはその際には殊に、メモリMに記憶されたデータのための保持電圧として使用されることができる。
【0033】
例えば、燃料電池FCの面積1mm2および厚さ1μmのパラジウム膜から成る第1の電極を製造工程中に燃料である殊に水素で飽和させることができる。このような装置における有利な目的は、この水素で済ますことである、つまり水素のための何かある追加の供給装置または相応のエネルギー源を用意しないことである。酸素供給は好ましくは周囲空気を介して行なわれる。例えば自給自足のマイクロシステム、例えば警報装置またはインテリジェントプラスター(intelligentes Pflaster)を形成するために、水素を一度加えることによって、クロック動作半導体回路にこのようにしてチップに組み込まれたこの電源を用意しうることが好ましい。
【0034】
水素を一度加えることによって、この記載した例の場合には第1の計算に従いかつ水素の拡散条件に応じて、数百μAのオーダーの電流の強さの10秒間持続する電流の流れを発生させることができる。代替的に、水素の後充填が可能である形態が定められてもよい。簡単な半導体回路ないしはチップにはこのようにして、例えば警報装置を形成するために、組み込まれた電源を用意することができる。これによりチップ上では、例えばプロセッサCのような回路装置を動作させるために、あるいはメモリMに長時間にわたって保持電圧を供給するために十分なエネルギー量が使える。
【0035】
したがってチップ上のこのような組み込まれた燃料電池を用いて、メモリ、例えばRAM(ランダムアクセスメモリ/Random Access Memory)および/またはFPGA(Field Programmable Gate Array/書替え可能ゲートアレイ)をチップ上で維持することができる。
【0036】
上記データが機密データでありかつメモリMが保持電圧の中断によりそのデータが消失するかまたは消去される揮発性メモリである限り、チップの破損は、動作電圧UBないしは保持電圧の中断の場合に不可避的に機密データも失われるというさらなる利点をもたらす。したがって直接燃料電池FCへのもしくはメモリMの電圧供給領域への不正操作がもしあれば直ちに、データは消失されることになり、というのもその保持のためのエネルギーが失われるからである。
【0037】
例としてのデジタル信号処理のためのチップ(DSPチップ)は例えば、デジタル信号処理用の部品のために225mm2とさらに燃料電池FCのために約1cm2×100μmのチップサイズを有する。動作周波数13.2MHz、動作電圧1.0Vおよび電力消費29mWでは最近のチップの場合には動作可能状態での待機電力(Stand−By−Power)350μWと見積もることができるであろう。動作可能ではないスリープ状態では消費電力は600nWと見積もることができるであろう。この仮定で燃料電池FCは、700日間の期間にわたって700nWの電力を供給することになる。したがってクレジットカードまたはバンクカードの構成要素としてチップが使用される場合にはメモリ内の機密データは700日間の期間にわたって保持されることができる。その後でデータは保持電圧がないために失われ、かつチップを備えたカードはさらなる使用には役に立たなくなる。したがってカードの紛失または公式の終了日なしで行なわれたカードの破棄は、専ら限定されたセキュリティ上のリスクである。
【0038】
図2は組み込まれた回路装置、例えばEPROM(Erasable Programmable Read−Only Memory/消去可能なプログラム可能リードオンリーメモリ)と組み込まれた電源装置FCとしての燃料電池FCとが備えられたチップの第2の実施形態を示している。データ伝送のための外部インタフェースKとして、例えばチップについては通常のコンタクトピンKが使用される。2つの更なるコンタクトピンを介して組み込まれた回路装置EPROMは外部電源extと、動作電圧UBの供給のために接続される。インタフェースはその他の自体公知の方法で、例えばケーブル接続または、例えばブルートゥース規格に従ったかもしくは電磁誘導インタフェース装置による、無線接続の形で用意されてもよい。
【0039】
チップはデータを記憶するためのメモリMも有する。データとは機密の個々のデータ値のほかに、組み込まれた回路装置もしくは外部装置の動作のためのソースコードないしはプログラムコードを含む他のあらゆる形式のデータのこともいう。メモリMは、保持電圧UAの印加のための保持電圧用接点を有する。保持電圧UAは、組み込まれた電源装置FCつまり燃料電池FCにより供給される。電圧ピン(Spannungspol)に関しての電源装置FCとメモリMの例えば直線状の接続のほかに他の電圧ピンの接続が安全導体SLを介して行なわれる。安全導体SLは、チップのパッケージ壁部の内側を沿う蛇行する経路に沿ったできるだけ細い電線として導かれている。安全導体SLはその場合には、パッケージの破壊によって強制的に安全導体SLも損傷しかつそれによりメモリMのための保持電圧UAが中断されるように配置かつレイアウトされている。したがってチップのパッケージの損傷は、保持電圧UAの中断およびこれに伴うメモリ内に記憶されたデータの強制的な消去という結果を生ずる。
【0040】
この示した実施形態の場合には動作電圧UBの供給のために外部接点のほかに、内部の組み込まれた電源装置FCへの接続を有する非常用電力回路NSが用意されている。したがって外部からの動作電圧UBがなくなった場合には、組み込まれた回路装置の動作に必要な動作電圧は組み込まれた電源装置FCにより供給される。
【0041】
図3に示した第3の実施形態によればチップは同様に組み込まれた回路装置、ここでは例えばランダムアクセスメモリRAM(Random Access Memory)、を有する。回路装置への動作電圧UBの印加のため、かつ外部の装置からの、および/または外部の装置へのデータの伝送のためにチップは1つ以上の相応するインタフェースKをコンタクトピンの形で有する。さらにチップは電源装置FC、好ましくはこの場合にも燃料電池、を有する。
【0042】
メモリM内のデータのセキュリティのためにチップは安全回路すなわち消去回路LSを有する。安全回路LSは、権限のないアクセスの際にメモリの内容すなわちメモリM内のデータを消去するのに使用される。動作電圧UBが中断された場合にメモリM内に持続的に記憶されたデータの消去をも可能にするために、安全回路LSは適当な接点を介してチップに組み込まれた電源装置FCと接続されている。したがって電源装置FCは、記憶されたデータを消去するための消去電圧ULSとしての電圧を供給する。
【0043】
例示した実施形態の安全回路LSは、消去の判定基準としてチップに印加される外部からの動作電圧UBを監視する。外部からの動作電圧UBが中断するかあるいは該動作電圧があらかじめ設定した閾値未満に降下した場合に、安全回路LSはメモリM内のデータの消去のために活動化される。安全回路LSの活動化のために、わかりやすく示すために電磁スイッチの略図が描かれている。しかしこれ以外にも任意の他の、特に電子的なスイッチング−もしくは制御機構が使用可能である。
【0044】
したがってこの実施形態では、チップへの権限のないアクセスが行なわれると、組み込まれた電源装置FCのエネルギーは、例えば小さな電流パルスをチップすなわち該チップの回路構成要素を介して導くのに使用される。電流パルスはその際、メモリM内のデータまたは場合によっては、組み込まれたプログラミング可能な回路装置EPROMのプログラミングされたデータが消去される程度の強さである。
【0045】
動作電圧UBがなくなるという消去の判定基準のほかに別の消去の判定基準を考慮することが可能である。例えばチップのパッケージの破損または外部の電磁場への影響を安全回路LSのための消去の判定基準として使用することができる。
【0046】
図示したチップはさらに内部時計CLを有し、したがって万が一の不正操作または不正操作の試みをこの内部時計CLに基づいて後戻りすることができる。内部時計CLを用いて、あらかじめ設定した時間の経過後に能動的な消去を行なうこともできる。
【0047】
はじめの2つの実施形態がデータのセキュリティとしてメモリMのための内部の保持電圧UAという構想が定められているのに対し、第3の実施形態の構想は、内部の電源装置FCからメモリの内容を消去するための消去電圧ULSとしての電圧を権限のないアクセスの際に供給することを定めている。これら2つの構想を組み合わせることも可能である。このような組み合わせの場合には例えば内部の電源装置FCにより供給される電圧がメモリMのための保持電圧UAとして、またメモリM内のデータを能動的に消去するための安全回路LSのための消去電圧ULSとしての電圧としても供給されることができる。
【0048】
メモリ内のデータを消去するための安全回路LSのための消去電圧ULSとしての電圧の印加を含む第3の実施形態の構想に対して代替的もしくは付加的に安全回路LSによって、すなわち電源装置FCにより供給される電圧によってチップの重要な構成要素の破壊を行なうこともできる。例えば、チップの機能にとって重要な導体路または組み込まれた回路構造が持続的に破壊される程度の強さの電流パルスが電源装置FCから与えられることができる。
【0049】
第4の、図4に基づいて略図が描かれた実施形態の場合にはここでもチップは組み込まれた回路装置Cを有する。この回路装置は外部の装置と、データの交換のためならびに外部からの動作電圧UBの印加のためにインタフェースKを介して接続されている。さらにチップは燃料電池FCの形の電源装置FCを有する。燃料電池FCから与えられる電圧は、これまた安全回路LSへの供給に使用される。付加的もしくは代替的にこの供給電圧ULSは、機密データを含む組み込まれたメモリMのための保持電圧UAとしても使用することができる。
【0050】
組み込まれた回路装置Cと燃料電池FCとの装置は、この示した実施形態の場合にはスペースで取り囲まれており、取付部Hによって距離をおいたパッケージWの内壁に固定されている。このスペースには反応物質、つまり例えば酸素O2は存在しない。好ましくは該スペース内は真空であり、したがってパッケージが損傷すると周囲空気が突如高速で該スペース内に進入する。この周囲空気には燃料電池に必要な反応物質O2が含まれる。燃料電池自体は専ら燃料、例えば水素H+を有する。したがってパッケージの損傷によって燃料電池FCは活動化し、さらにこの燃料電池は安全回路LSに消去電圧ULSとしての電圧を供給しかつメモリM内のデータの消去を引き起こす。
【0051】
したがってこの構想の場合には、燃料電池への反応物質の進入を可能にするには障壁Bが破壊されなければならない。したがって暴力または物体Gによるパッケージつまり障壁Bの損傷によりメモリM内のデータの消去が引き起こされる。
【0052】
この実施形態に対して多くの変形形態も可能である。上記実施形態との組み合わせのほかにこの変形形態には、例えば同じくチップのパッケージに組み込まれた反応物質溜めに対する障壁といった単独の変形形態もある。このような実施形態によって、パッケージの損傷が保護雰囲気下または真空空間内で行なわれたとしても、パッケージの損傷によりデータの消去も引き起こされる。
【0053】
上記構想が回路、殊に集積回路、例えばそれら自体知られている集積回路、へのひとまとめの供給に使用されることは有利である。例えばこのエネルギーは、チップ上のデータを保持するためにも利用することができる。例えば日立の8メガビットSDRAMはこのために電圧1.2Vで電流6μAを必要とする。もう一例はマキシム社(MAXIM)のDS1374であり、この場合にはデータを保持しかつ電圧損失の場合に何者かが内部のレジスタを上書きするのを阻止するのに電圧1.3Vおよび電流1μAが必要である。その際エネルギーはスーパーキャップ(Super−CAP)またはバッテリによって外部から供給される。上記構想によればこのエネルギーは内部で用意されてもよい。このDS1374は、バッテリ保護されたタイムカウンタ、警報機能、プログラミング可能な方形波信号発振器(Rechtecksignalgeber)および電源投入−リセット機能(Einschalt−Ruecksetzfunktion)を10ピンパッケージに有する。該回路装置は印加される動作電圧を監視しかつ電圧損失の場合に内部レジスタを上書きから保護し、プロセッサリセットを実施しかつ接続されたバッテリによる保護給電へと切り替えることによってデータの損傷が防止される。節電モードでは発振器はその機能を、減じられた電力消費で維持する。動作電圧が通常状態に戻った場合に該回路装置はプロセッサを更なる時間にわたってリセット状態に維持し、その間に動作条件が安定する。再充電可能なバッテリによる回路装置へのバックアップ給電(Stuetzversorgung)のために任意選択の外部の維持保護回路(Erhaltungsschutzschaltung)が使用可能である。
【0054】
マキシム社(MAXIM)の更なる回路装置DS1672によれば、外部からの低い供給電圧のための一次のリアルタイムクロックが電圧監視装置および電源異常スイッチ(Stromausfallschalter)に接続されている。カウンタが二線式インタフェースを介してプロセッサと通信しかつ秒をカウントし、この秒からソフトウェアアルゴリズムが時刻、日、月そして年を算出する。回路装置は供給電圧を監視し、電源異常の場合にデータメモリをその計時について保護し、プロセッサにリセット命令を与え、かつデータ損失を防ぐため、これまた外部バッテリによって用意された非常用電源に切り替える。経済運転の場合には発振器は、顕著に減少した供給電圧1.3Vおよび消費電流400nA未満でもなお時間を測定する。
【図面の簡単な説明】
【0055】
【図1】組み込まれた電源装置を有するチップを備えた、第1の実施例の第1の実施形態を示す図であ る。
【図2】チップ内の構成要素への権限のない機械的なアクセスを阻止するための安全導体を付加的に備えた、第1の実施例の第2の実施形態を示す図である。
【図3】チップが組み込まれた電源装置のほかに該電源装置によって電圧が印加される安全回路を有する更なる実施形態、同時に第2の実施例の第1の実施形態を示す図である。
【図4】安全回路が備えられた、更なる実施形態を示す図である。
【技術分野】
【0001】
本発明は、請求項1の上位概念の特徴による電源装置を装備したチップに関する。
【背景技術】
【0002】
チップすなわち多種多様な種類の組み込まれた回路装置等のための電力供給は通常、外部電源から印加される動作電圧によって行なわれる。外部電源は通常、電力供給網または電気装置に使用される電池もしくは蓄電池への接続である。
【0003】
電池もしくは蓄電池の代わりに燃料電池装置を使用することもできる。燃料電池は通常第1と第2の電極装置で構成され、これらのうち一方はアノードとして、そしてもう一方はカソードとして使用される。これら2つの電極装置の間には、触媒被覆を備えたプロトン透過性の膜として使用される、触媒性質を有する膜/電極接合体(MEA)が存在する。さらにこの種の燃料電池は、燃料、通常は水素、を供給するための燃料供給装置と反応物質、通常は酸素、を供給するための反応物質供給装置とを有する。反応物質は発電のために、燃料に由来しかつ膜を透過したプロトンと反応する。燃焼最終生成物、通常は水、は燃料電池装置から排出される。
【0004】
チップはしばしば、機密データを記憶するための組み込まれたメモリを有する。この種の機密データは、例えば口座の口座アクセス情報でもよいし、個人の識別情報でもよい。チップが権限のない者達の手に渡れば、そのチップに含まれるデータが権限のない者によって読み出されかつ悪用される可能性があるという危険が基本的に存在する。
【0005】
チップを不正操作に対し安全にするには、せいぜい条件付きで適用可能な解決策しかなく
、それは例えば、チップの容器すなわちパッケージに組み込まれる穿孔防止フィルム(Bohrschutzfolien)である。
【0006】
WO02/058219からは、供給された媒体のエネルギーを吸収するためにその表面が形成されているエネルギー蓄積装置が一般に周知であり、その際、エネルギーは隣接する半導体装置に蓄積される。エネルギーは光または電磁波を発生するために該装置によって使用される。消費されるのはこの装置の場合にはしたがって表面エネルギーである。
【発明の開示】
【発明が解決しようとする課題】
【0007】
本発明の課題は、チップに記憶されたデータがより良好に安全にされる、殊に権限のないアクセスに対してより良好に安全にされる、電源装置を装備したチップを提供することである。
【課題を解決するための手段】
【0008】
この課題は、特許請求項1の特徴を有する電源装置と機密データを記憶するための組み込まれたメモリとを装備したチップによって解決される。
【0009】
有利な形態は、従属請求項の対象である。
【0010】
それに応じて電圧および/または電流を印加するための電源装置と、他の装置からの、および/または他の装置へのデータの伝送のためのインタフェースとを備えた、殊に機密データを記憶するためのチップは、その電源装置が該チップの構成要素、殊に組み込まれた構成要素、である場合に特に有利である。したがってチップの動作上重要な構成要素、例えばデータを有するメモリ、はメモリ内のデータのセキュリティに使用可能である独自の電源装置にアクセスすることができる。
【0011】
このようなチップの第1の特に有利な実施形態によれば、メモリにはデータを保持するための保持電圧が印加されており、その際、データは保持電圧がなくなると消去され、かつその際、保持電圧は殊に専ら前記電源装置から供給される。好ましくは、外部の、すなわち組み込まれていない電源装置を備えた構成に変更することも可能である。この実施形態によって、例えばRAM(ランダムアクセスメモリ)内のデータが、電源装置が十分な保持電圧を供給することができるのと同じ長さだけ記憶される。最終的にこのことによって機密データの寿命ないしはチップ全体の寿命は限定されており、その際、その持続時間は電源装置の適当な寸法によってあらかじめ設定可能である。したがって、例えば銀行顧客により銀行取引に使用されるスマートカードをある最長の機能持続時間に限定することができる。したがって使用可能性の制限は、カードに印刷された期限の注記および場合によっては中央データバンクにおける停止の注記によってばかりではなく、チップないしはカードの普遍の最長寿命によっても保証される。
【0012】
好ましくは第1の実施形態とも組み合わせ可能である第2の実施形態によればチップは次のように構成されている、つまり保持電圧の印加のために安全導体(Sicherungsleiter)によりメモりと電源装置とが互いに接続されるようにであり、その際、チップが損傷されると安全導体が断線するように該安全導体はチップ内に延在して配置されている。したがってチップすなわちチップのパッケージの機械的な損傷は安全導体の中断をもたらし、これにより保持電圧の即刻中断という結果になる。それによりメモリ内の機密データは消失するかないしは消去される。したがって、個別の組み込まれた回路装置を露出させてから導体路に直接アクセするためにチップを開けることは排除される。
【0013】
第3の有利な実施形態によればチップは、権限のないアクセスの場合にチップの、動作に重要な構成要素を破壊するための安全回路を有する。その際好ましくは、組み込まれた電源装置が安全回路のための動作電圧を供給する。好ましくは、外部の、すなわち組み込まれていない電源装置を備えた装置への切替も可能である。これと組み合わせてかあるいはこれに対して代替的に、権限のないアクセスの場合のメモリ、殊にROM(Read Only Memory)、内のデータの消去のための安全回路を備えたチップが形成されていてもよく、その際、電源装置は安全回路のための動作電圧を供給する。したがってこのような実施形態によればチップは、独自の電源装置にアクセスする安全回路を有する。したがって、外部電源を有する回路装置からチップを取り外すことは安全回路の機能性を妨げない。
【0014】
上記装置、殊に安全回路はカスタマイズ可能な形態に応じてチップ内の殊に暗号化されたデータの保護を可能にする。データを読み出そうとする権限のない試みの場合には、チップにおけるエネルギーはRAMおよび/またはROMを消去するのに使用される。例えば第1の実施形態によるRAMの場合にはデータの保持にはエネルギーが必要であり、したがってエネルギーの損失もしくは遮断はデータの消去をもたらす。例えば第3の実施形態によるROMの場合にはエネルギーは不要であり、したがって前記エネルギーを用いて能動的な消去が行なわれる。
【0015】
安全回路は組み合わせもしくは代替としてセンサ、例えばガスセンサ、超音波センサ、磁場センサ、光センサ、バイオセンサ等、が装備されていてもよく、このセンサは、チップが動作を損なう環境に置かれかつセンサのための相応する作動の判定基準が満たされるかまたは代替的に、前提された周囲条件が欠落する場合に、警報装置を作動させるかまたは安全回路のその他の機能を活動化させる。その際にはさらにチップではセキュリティ上重要でかつ機密のデータが消去されるか、あるいはまた全てのデータが消去される。
【0016】
この第3の実施形態の変形形態によれば安全回路は印加される動作電圧の監視のために形成されており、かつ動作電圧の中断の場合にデータを消去する。したがってチップをその動作環境から取り出すことは動作電圧の中断に基づいて安全回路が活動化され、この安全回路は固有の電源装置を用いてメモリ内のデータを消去する。
【0017】
上記変形形態とも組み合わせ可能である第3の実施形態の別の変形形態によれば安全回路は、燃料が用いられる、電源装置としての燃料電池を動作させるための反応物質のための障壁から形成されており、その際、該障壁の損傷によって反応物質が該燃料電池に達する。換言すれば電源装置は、燃料、殊に水素、が組み込まれている燃料電池から形成されている安全回路のための電圧の供給のために、しかしながら、燃料電池には反応物質、例えば酸素、が不足する。障壁は、チップの安全にすべき構成要素の周囲の固有の保護カバーによって形成されていてもよく、最も簡単な場合にはチップのパッケージによって形成されていてもよい。障壁すなわちパッケージの損傷によって空気およびしたがって酸素が進入し、その結果、燃料電池は活動化され、電圧が消去電圧として安全回路に印加される。
【0018】
はじめの2つの実施形態が、チップのメモリ内のデータを保持するための固有の保持電圧を供給するという基本原則に基づいているのに対し、第3の実施形態の変形形態は、組み込まれて供給される電圧を用いて権限のないアクセスの場合にメモリ内のデータを能動的に消去する安全回路を定めている。メモリとはこの場合には、記憶が行なわれる任意の構造のことをいう。
【0019】
異なる実施形態に従って動作するチップは好ましくは、チップの全般的な機能を動作させるための動作電圧を外部電源から印加するための保持電圧用接点を有する。この実施形態によって、少ない容量のみを有する組み込まれた電源装置を用意することが可能となる、というのも大量の電力を消費する機能はチップの動作の際に外部電源によって供給されることができるからである。通常の方法で動作電圧は、例えば接点を介してかまたは電磁誘導により供給される。殊にこの実施形態の場合には、外部電源からの動作電圧がなくなった場合に、チップに組み込まれている電源装置が、電源装置からの動作電圧の供給のための非常用電力回路との接続においても使用されることは有利である。それにより、外部からの動作電圧の殊に短時間の障害を緩衝することができる。
【0020】
全ての実施形態の場合には電源装置は、特に有利な実施形態によると、あらかじめ設定された量の燃料を有する燃料電池である。この燃料は例えばパラジウム溜め(Palladiumspeicher)に蓄えられる。燃料電池の使用はとりわけ、増大する貯蔵時間に基づいた電力−ないしは容量損失が他の電源の場合より少ないという利点をもたらす。あらかじめ設定される量の燃料は好ましくは限定されることによって、限定された量のみの燃料がチップの、すなわちメモリの内容の、限定された寿命のための電流量の供給のために供給される。このことは、消費された燃料の充填が不可能であるように燃料電池が構成されていることが好ましいことを意味する。したがって、メモリ内の機密データのための保持電圧の供給のための電源装置としての燃料電池を用いた実施形態の場合には殊に、チップ全体の寿命はあらかじめ設定された最長タイムスパンに対して調整可能である。保持電圧がなくなるかないしは最小限必要な電圧閾値を下回ると、揮発性メモリ内の機密データは消失する。
【0021】
好ましくは殊にそのデータが機密データであるチップは、殊に該チップの動作に必要な鍵またはそのようなものを含む。例えばこのようなチップにその製造の際に鍵、例えば暗号鍵もしくは乱数を備えさせることができ、その際この機密データはチップの動作に、または該チップにそれ以外に記憶されたデータの評価に必要である。誤動作または権限のないアクセスの場合には、チップまたは該チップに記憶されたデータを使用不能にするためにこれら機密データは消去されるかあるいは偽データで上書きされる。このような手順の際にチップだけが該チップの鍵ないしは該チップの相応の機密データを識別する。
【0022】
チップ自体が該チップ自体のみが識別する鍵を生成することも可能である。このような鍵のこの生成は好ましくは乱数発生器の使用下にチップの製造時もしくはそれより後の時点に行なわれる。好ましくは電源装置は鍵が記憶されているメモリ領域をカバーする、すなわち電源装置はこのメモリ領域を保護する。その際、チップの動作に必要でありかつメモリに記憶された鍵の生成のための、殊にチップの製造時または初回の活動化時の鍵の生成のための、乱数発生器を備えたチップが有利とされる。
【0023】
特に有利な実施形態によれば電源装置によって、機密データを含む殊にメモリ領域は保証ないしは供給され、その結果、それに対して外部バッテリまたは類似物を不要にすることができる。この実施形態の場合にも電源装置としての燃料電池を用いた変形形態は特に有利とされる。
【0024】
データの消去または重要な動作部品の破壊の代わりに、別の有利な実施形態によれば、メモリへのまたはチップもしくは類似物への権限のないアクセスの場合にメモリ領域への偽データの導入(Aufspielen)が行なわれてもよい。その際このデータの権限のない読み出しによって、権限のない者にはこのデータは手のつけようがないこと、場合によってはそれどころか損害を被るかあるいは適当な監視によって確認可能でもあることがもたらされる。
【0025】
電源装置、殊に電源装置としての燃料電池を他の構成要素とともにチップのパッケージ内に配置する方法以外に、電源装置が本来のメモリの、組み込まれた構成要素である実施形態が特に有利とされる。
【0026】
特に有利な使用分野は、機密データを記憶するためのメモリと、限定された期間にわたってのみのメモリ内のデータの記憶のための電流量が限定された電源装置とを有するこのようなチップを備えた殊に身分証明書およびクレジットカードである。
【0027】
好ましくは、例示した各実施形態は、その技術的な特徴に関して同時に別の実施形態を形成しながら、相互に組み合わされることができる。
次に本発明の実施例を図面につき詳説する。
【発明を実施するための最良の形態】
【0028】
図1は、第1の簡単な実施形態を概略的に部分断面図で示す。基本原則から、その示された実施例はスマートカードが組み込まれたクレジットカードを示している。
【0029】
本来のプロセッサCのほかにチップ内には電源装置、殊に電源装置FCも組み込まれている。基本的には例えば、通常の電池のような種類の任意の電源装置を使用することができる。しかしながら特に好ましくは燃料電池FCが電源装置として使用される。電源装置FCは動作電圧UBをプロセッサCに供給する。動作電圧UBは電源装置FCとプロセッサC間の相応の接続導体を介してプロセッサCに印加される。
【0030】
プロセッサCは、その示した実施例の場合にはインタフェースKを用いて外部装置へのデータの伝送のために接続されている自体公知の様式の任意の組み込まれた回路装置であることができる。その示されたインタフェースKは、チップないしはスマートカードの表面における接点バンクによって形成されている。
【0031】
チップには、データの揮発性の一時記憶もしくは持続記憶のためのメモリMが組み込まれている。プロセッサCへのメモリMの組込みのほかに、メモリMは独自の組立て部品としてプロセッサCとともにかつ電源装置FCとともに提供されてもよい。メモリMは直接電源装置FCと直結されてもよいし、その組立て部品の構成要素として形成されてもよい。
【0032】
この示したチップは、チップに組み込まれた電源装置FCにより動作電圧UBがプロセッサCに独自に電圧供給されるという利点をもたらす。動作電圧UBはその際には殊に、メモリMに記憶されたデータのための保持電圧として使用されることができる。
【0033】
例えば、燃料電池FCの面積1mm2および厚さ1μmのパラジウム膜から成る第1の電極を製造工程中に燃料である殊に水素で飽和させることができる。このような装置における有利な目的は、この水素で済ますことである、つまり水素のための何かある追加の供給装置または相応のエネルギー源を用意しないことである。酸素供給は好ましくは周囲空気を介して行なわれる。例えば自給自足のマイクロシステム、例えば警報装置またはインテリジェントプラスター(intelligentes Pflaster)を形成するために、水素を一度加えることによって、クロック動作半導体回路にこのようにしてチップに組み込まれたこの電源を用意しうることが好ましい。
【0034】
水素を一度加えることによって、この記載した例の場合には第1の計算に従いかつ水素の拡散条件に応じて、数百μAのオーダーの電流の強さの10秒間持続する電流の流れを発生させることができる。代替的に、水素の後充填が可能である形態が定められてもよい。簡単な半導体回路ないしはチップにはこのようにして、例えば警報装置を形成するために、組み込まれた電源を用意することができる。これによりチップ上では、例えばプロセッサCのような回路装置を動作させるために、あるいはメモリMに長時間にわたって保持電圧を供給するために十分なエネルギー量が使える。
【0035】
したがってチップ上のこのような組み込まれた燃料電池を用いて、メモリ、例えばRAM(ランダムアクセスメモリ/Random Access Memory)および/またはFPGA(Field Programmable Gate Array/書替え可能ゲートアレイ)をチップ上で維持することができる。
【0036】
上記データが機密データでありかつメモリMが保持電圧の中断によりそのデータが消失するかまたは消去される揮発性メモリである限り、チップの破損は、動作電圧UBないしは保持電圧の中断の場合に不可避的に機密データも失われるというさらなる利点をもたらす。したがって直接燃料電池FCへのもしくはメモリMの電圧供給領域への不正操作がもしあれば直ちに、データは消失されることになり、というのもその保持のためのエネルギーが失われるからである。
【0037】
例としてのデジタル信号処理のためのチップ(DSPチップ)は例えば、デジタル信号処理用の部品のために225mm2とさらに燃料電池FCのために約1cm2×100μmのチップサイズを有する。動作周波数13.2MHz、動作電圧1.0Vおよび電力消費29mWでは最近のチップの場合には動作可能状態での待機電力(Stand−By−Power)350μWと見積もることができるであろう。動作可能ではないスリープ状態では消費電力は600nWと見積もることができるであろう。この仮定で燃料電池FCは、700日間の期間にわたって700nWの電力を供給することになる。したがってクレジットカードまたはバンクカードの構成要素としてチップが使用される場合にはメモリ内の機密データは700日間の期間にわたって保持されることができる。その後でデータは保持電圧がないために失われ、かつチップを備えたカードはさらなる使用には役に立たなくなる。したがってカードの紛失または公式の終了日なしで行なわれたカードの破棄は、専ら限定されたセキュリティ上のリスクである。
【0038】
図2は組み込まれた回路装置、例えばEPROM(Erasable Programmable Read−Only Memory/消去可能なプログラム可能リードオンリーメモリ)と組み込まれた電源装置FCとしての燃料電池FCとが備えられたチップの第2の実施形態を示している。データ伝送のための外部インタフェースKとして、例えばチップについては通常のコンタクトピンKが使用される。2つの更なるコンタクトピンを介して組み込まれた回路装置EPROMは外部電源extと、動作電圧UBの供給のために接続される。インタフェースはその他の自体公知の方法で、例えばケーブル接続または、例えばブルートゥース規格に従ったかもしくは電磁誘導インタフェース装置による、無線接続の形で用意されてもよい。
【0039】
チップはデータを記憶するためのメモリMも有する。データとは機密の個々のデータ値のほかに、組み込まれた回路装置もしくは外部装置の動作のためのソースコードないしはプログラムコードを含む他のあらゆる形式のデータのこともいう。メモリMは、保持電圧UAの印加のための保持電圧用接点を有する。保持電圧UAは、組み込まれた電源装置FCつまり燃料電池FCにより供給される。電圧ピン(Spannungspol)に関しての電源装置FCとメモリMの例えば直線状の接続のほかに他の電圧ピンの接続が安全導体SLを介して行なわれる。安全導体SLは、チップのパッケージ壁部の内側を沿う蛇行する経路に沿ったできるだけ細い電線として導かれている。安全導体SLはその場合には、パッケージの破壊によって強制的に安全導体SLも損傷しかつそれによりメモリMのための保持電圧UAが中断されるように配置かつレイアウトされている。したがってチップのパッケージの損傷は、保持電圧UAの中断およびこれに伴うメモリ内に記憶されたデータの強制的な消去という結果を生ずる。
【0040】
この示した実施形態の場合には動作電圧UBの供給のために外部接点のほかに、内部の組み込まれた電源装置FCへの接続を有する非常用電力回路NSが用意されている。したがって外部からの動作電圧UBがなくなった場合には、組み込まれた回路装置の動作に必要な動作電圧は組み込まれた電源装置FCにより供給される。
【0041】
図3に示した第3の実施形態によればチップは同様に組み込まれた回路装置、ここでは例えばランダムアクセスメモリRAM(Random Access Memory)、を有する。回路装置への動作電圧UBの印加のため、かつ外部の装置からの、および/または外部の装置へのデータの伝送のためにチップは1つ以上の相応するインタフェースKをコンタクトピンの形で有する。さらにチップは電源装置FC、好ましくはこの場合にも燃料電池、を有する。
【0042】
メモリM内のデータのセキュリティのためにチップは安全回路すなわち消去回路LSを有する。安全回路LSは、権限のないアクセスの際にメモリの内容すなわちメモリM内のデータを消去するのに使用される。動作電圧UBが中断された場合にメモリM内に持続的に記憶されたデータの消去をも可能にするために、安全回路LSは適当な接点を介してチップに組み込まれた電源装置FCと接続されている。したがって電源装置FCは、記憶されたデータを消去するための消去電圧ULSとしての電圧を供給する。
【0043】
例示した実施形態の安全回路LSは、消去の判定基準としてチップに印加される外部からの動作電圧UBを監視する。外部からの動作電圧UBが中断するかあるいは該動作電圧があらかじめ設定した閾値未満に降下した場合に、安全回路LSはメモリM内のデータの消去のために活動化される。安全回路LSの活動化のために、わかりやすく示すために電磁スイッチの略図が描かれている。しかしこれ以外にも任意の他の、特に電子的なスイッチング−もしくは制御機構が使用可能である。
【0044】
したがってこの実施形態では、チップへの権限のないアクセスが行なわれると、組み込まれた電源装置FCのエネルギーは、例えば小さな電流パルスをチップすなわち該チップの回路構成要素を介して導くのに使用される。電流パルスはその際、メモリM内のデータまたは場合によっては、組み込まれたプログラミング可能な回路装置EPROMのプログラミングされたデータが消去される程度の強さである。
【0045】
動作電圧UBがなくなるという消去の判定基準のほかに別の消去の判定基準を考慮することが可能である。例えばチップのパッケージの破損または外部の電磁場への影響を安全回路LSのための消去の判定基準として使用することができる。
【0046】
図示したチップはさらに内部時計CLを有し、したがって万が一の不正操作または不正操作の試みをこの内部時計CLに基づいて後戻りすることができる。内部時計CLを用いて、あらかじめ設定した時間の経過後に能動的な消去を行なうこともできる。
【0047】
はじめの2つの実施形態がデータのセキュリティとしてメモリMのための内部の保持電圧UAという構想が定められているのに対し、第3の実施形態の構想は、内部の電源装置FCからメモリの内容を消去するための消去電圧ULSとしての電圧を権限のないアクセスの際に供給することを定めている。これら2つの構想を組み合わせることも可能である。このような組み合わせの場合には例えば内部の電源装置FCにより供給される電圧がメモリMのための保持電圧UAとして、またメモリM内のデータを能動的に消去するための安全回路LSのための消去電圧ULSとしての電圧としても供給されることができる。
【0048】
メモリ内のデータを消去するための安全回路LSのための消去電圧ULSとしての電圧の印加を含む第3の実施形態の構想に対して代替的もしくは付加的に安全回路LSによって、すなわち電源装置FCにより供給される電圧によってチップの重要な構成要素の破壊を行なうこともできる。例えば、チップの機能にとって重要な導体路または組み込まれた回路構造が持続的に破壊される程度の強さの電流パルスが電源装置FCから与えられることができる。
【0049】
第4の、図4に基づいて略図が描かれた実施形態の場合にはここでもチップは組み込まれた回路装置Cを有する。この回路装置は外部の装置と、データの交換のためならびに外部からの動作電圧UBの印加のためにインタフェースKを介して接続されている。さらにチップは燃料電池FCの形の電源装置FCを有する。燃料電池FCから与えられる電圧は、これまた安全回路LSへの供給に使用される。付加的もしくは代替的にこの供給電圧ULSは、機密データを含む組み込まれたメモリMのための保持電圧UAとしても使用することができる。
【0050】
組み込まれた回路装置Cと燃料電池FCとの装置は、この示した実施形態の場合にはスペースで取り囲まれており、取付部Hによって距離をおいたパッケージWの内壁に固定されている。このスペースには反応物質、つまり例えば酸素O2は存在しない。好ましくは該スペース内は真空であり、したがってパッケージが損傷すると周囲空気が突如高速で該スペース内に進入する。この周囲空気には燃料電池に必要な反応物質O2が含まれる。燃料電池自体は専ら燃料、例えば水素H+を有する。したがってパッケージの損傷によって燃料電池FCは活動化し、さらにこの燃料電池は安全回路LSに消去電圧ULSとしての電圧を供給しかつメモリM内のデータの消去を引き起こす。
【0051】
したがってこの構想の場合には、燃料電池への反応物質の進入を可能にするには障壁Bが破壊されなければならない。したがって暴力または物体Gによるパッケージつまり障壁Bの損傷によりメモリM内のデータの消去が引き起こされる。
【0052】
この実施形態に対して多くの変形形態も可能である。上記実施形態との組み合わせのほかにこの変形形態には、例えば同じくチップのパッケージに組み込まれた反応物質溜めに対する障壁といった単独の変形形態もある。このような実施形態によって、パッケージの損傷が保護雰囲気下または真空空間内で行なわれたとしても、パッケージの損傷によりデータの消去も引き起こされる。
【0053】
上記構想が回路、殊に集積回路、例えばそれら自体知られている集積回路、へのひとまとめの供給に使用されることは有利である。例えばこのエネルギーは、チップ上のデータを保持するためにも利用することができる。例えば日立の8メガビットSDRAMはこのために電圧1.2Vで電流6μAを必要とする。もう一例はマキシム社(MAXIM)のDS1374であり、この場合にはデータを保持しかつ電圧損失の場合に何者かが内部のレジスタを上書きするのを阻止するのに電圧1.3Vおよび電流1μAが必要である。その際エネルギーはスーパーキャップ(Super−CAP)またはバッテリによって外部から供給される。上記構想によればこのエネルギーは内部で用意されてもよい。このDS1374は、バッテリ保護されたタイムカウンタ、警報機能、プログラミング可能な方形波信号発振器(Rechtecksignalgeber)および電源投入−リセット機能(Einschalt−Ruecksetzfunktion)を10ピンパッケージに有する。該回路装置は印加される動作電圧を監視しかつ電圧損失の場合に内部レジスタを上書きから保護し、プロセッサリセットを実施しかつ接続されたバッテリによる保護給電へと切り替えることによってデータの損傷が防止される。節電モードでは発振器はその機能を、減じられた電力消費で維持する。動作電圧が通常状態に戻った場合に該回路装置はプロセッサを更なる時間にわたってリセット状態に維持し、その間に動作条件が安定する。再充電可能なバッテリによる回路装置へのバックアップ給電(Stuetzversorgung)のために任意選択の外部の維持保護回路(Erhaltungsschutzschaltung)が使用可能である。
【0054】
マキシム社(MAXIM)の更なる回路装置DS1672によれば、外部からの低い供給電圧のための一次のリアルタイムクロックが電圧監視装置および電源異常スイッチ(Stromausfallschalter)に接続されている。カウンタが二線式インタフェースを介してプロセッサと通信しかつ秒をカウントし、この秒からソフトウェアアルゴリズムが時刻、日、月そして年を算出する。回路装置は供給電圧を監視し、電源異常の場合にデータメモリをその計時について保護し、プロセッサにリセット命令を与え、かつデータ損失を防ぐため、これまた外部バッテリによって用意された非常用電源に切り替える。経済運転の場合には発振器は、顕著に減少した供給電圧1.3Vおよび消費電流400nA未満でもなお時間を測定する。
【図面の簡単な説明】
【0055】
【図1】組み込まれた電源装置を有するチップを備えた、第1の実施例の第1の実施形態を示す図であ る。
【図2】チップ内の構成要素への権限のない機械的なアクセスを阻止するための安全導体を付加的に備えた、第1の実施例の第2の実施形態を示す図である。
【図3】チップが組み込まれた電源装置のほかに該電源装置によって電圧が印加される安全回路を有する更なる実施形態、同時に第2の実施例の第1の実施形態を示す図である。
【図4】安全回路が備えられた、更なる実施形態を示す図である。
【特許請求の範囲】
【請求項1】
−データを記憶するためのメモリ(M)と、
−電圧および/または電流を印加するための電源装置(FC,ext)と、
−他の装置からの、および/または他の装置へのデータの伝送のためのインタフェース(K,ext)とを
装備したチップにおいて、
−該電源装置(FC)がチップの構成要素であることを特徴とするチップ。
【請求項2】
−メモリ(M)にデータを保持するための保持電圧(UA)が印加されており、その際、データは保持電圧(UA)がなくなると消去され、かつ
−保持電圧(UA)が専ら電源装置(FC)から供給される、請求項1記載のチップ。
【請求項3】
保持電圧(UA)の印加のために安全導体(SL)がメモり(M)と電源装置(FC)とを互いに接続し、その際、チップが損傷されると安全導体(SL)が断線するように該安全導体(SL)がチップ内に延在して配置されている、請求項2記載のチップ。
【請求項4】
権限のないアクセスの場合にチップの、動作に重要な構成要素を破壊するための安全回路(LS)を有し、その際、電源装置(FC)が安全回路のための電圧を供給する、請求項1から3までのいずれか一項に記載のチップ。
【請求項5】
権限のないアクセスの場合のメモリ(M)内のデータの消去のための安全回路(LS)が備えられた、請求項1から4までのいずれか一項に記載のチップ。
【請求項6】
電源装置(FC)が安全回路のための電圧を供給する、請求項4または5記載のチップ。
【請求項7】
安全回路(LS)が、印加される、殊に外部からの動作電圧(UB)の監視のために形成されておりかつ安全回路(LS)が動作電圧の中断の場合にチップの、動作に重要な構成要素を破壊するかないしはメモリM内のデータを消去する、請求項4,5または6記載のチップ。
【請求項8】
安全回路(LS)が燃料、殊に水素(H+)、が用いられる、電源装置(FC)としての燃料電池を動作させるための更なる燃料、殊に反応物質(O2)、のための障壁(B)から形成されており、その際、該障壁の損傷によって該更なる燃料が該燃料電池に達する、請求項4から7までのいずれか一項に記載のチップ。
【請求項9】
チップの機能を動作させるための動作電圧(UB)を外部電源から印加するための保持電圧用接点(ext)が備えられた、請求項1から8までのいずれか一項に記載のチップ。
【請求項10】
外部電源からの動作電圧(UB)がなくなった場合の電源装置(FC)からの動作電圧(UB)の供給のための非常用電力回路(NS)が備えられた、請求項9記載のチップ。
【請求項11】
電源装置(FC)が殊にあらかじめ設定された量の燃料(H+)を有する燃料電池である、請求項1から9までのいずれか一項に記載のチップ。
【請求項12】
電源装置(FC)が、チップのすなわちメモリ(M)の内容の、限定された寿命のための電流量の供給のための限定された量の燃料(H+)を有する燃料電池である、請求項1から10までのいずれか一項に記載のチップ。
【請求項13】
電源装置(FC)がメモリ(M)の組み込まれた構成要素である、請求項8,11または12記載のチップ。
【請求項14】
データとして機密データ、殊にチップの動作に必要な鍵、がメモリ(M)に記憶されている、請求項1から13までのいずれか一項に記載のチップ。
【請求項15】
チップの動作に必要でありかつメモリ(M)に記憶された鍵の生成のための、殊にチップの製造時または初回の活動化時の鍵の生成のための、乱数発生器が備えられた、請求項14記載のチップ。
【請求項16】
メモリまたはチップへの権限のないアクセスの場合にメモリ(M)への偽データの導入のための安全回路(LS)が備えられた、請求項1から15までのいずれか一項に記載のチップ。
【請求項17】
安全回路(LS)が、チップが動作を損なう環境に置かれかつセンサのための相応する作動の判定基準が満たされるかまたは前提された周囲条件が欠落する場合に、警報装置を作動させるかまたは安全回路のその他の機能を活動化させるための少なくとも1つのセンサを有する、請求項4から8までのいずれか一項に記載のチップ。
【請求項18】
機密データを記憶するためのメモリ(M)と、限定された期間にわたってのメモリ(M)内のデータの記憶のための電流量が限定された電源装置(FC)とを有する、請求項1から17までのいずれか一項に記載のチップを備えた身分証明書、殊にクレジットカード。
【請求項1】
−データを記憶するためのメモリ(M)と、
−電圧および/または電流を印加するための電源装置(FC,ext)と、
−他の装置からの、および/または他の装置へのデータの伝送のためのインタフェース(K,ext)とを
装備したチップにおいて、
−該電源装置(FC)がチップの構成要素であることを特徴とするチップ。
【請求項2】
−メモリ(M)にデータを保持するための保持電圧(UA)が印加されており、その際、データは保持電圧(UA)がなくなると消去され、かつ
−保持電圧(UA)が専ら電源装置(FC)から供給される、請求項1記載のチップ。
【請求項3】
保持電圧(UA)の印加のために安全導体(SL)がメモり(M)と電源装置(FC)とを互いに接続し、その際、チップが損傷されると安全導体(SL)が断線するように該安全導体(SL)がチップ内に延在して配置されている、請求項2記載のチップ。
【請求項4】
権限のないアクセスの場合にチップの、動作に重要な構成要素を破壊するための安全回路(LS)を有し、その際、電源装置(FC)が安全回路のための電圧を供給する、請求項1から3までのいずれか一項に記載のチップ。
【請求項5】
権限のないアクセスの場合のメモリ(M)内のデータの消去のための安全回路(LS)が備えられた、請求項1から4までのいずれか一項に記載のチップ。
【請求項6】
電源装置(FC)が安全回路のための電圧を供給する、請求項4または5記載のチップ。
【請求項7】
安全回路(LS)が、印加される、殊に外部からの動作電圧(UB)の監視のために形成されておりかつ安全回路(LS)が動作電圧の中断の場合にチップの、動作に重要な構成要素を破壊するかないしはメモリM内のデータを消去する、請求項4,5または6記載のチップ。
【請求項8】
安全回路(LS)が燃料、殊に水素(H+)、が用いられる、電源装置(FC)としての燃料電池を動作させるための更なる燃料、殊に反応物質(O2)、のための障壁(B)から形成されており、その際、該障壁の損傷によって該更なる燃料が該燃料電池に達する、請求項4から7までのいずれか一項に記載のチップ。
【請求項9】
チップの機能を動作させるための動作電圧(UB)を外部電源から印加するための保持電圧用接点(ext)が備えられた、請求項1から8までのいずれか一項に記載のチップ。
【請求項10】
外部電源からの動作電圧(UB)がなくなった場合の電源装置(FC)からの動作電圧(UB)の供給のための非常用電力回路(NS)が備えられた、請求項9記載のチップ。
【請求項11】
電源装置(FC)が殊にあらかじめ設定された量の燃料(H+)を有する燃料電池である、請求項1から9までのいずれか一項に記載のチップ。
【請求項12】
電源装置(FC)が、チップのすなわちメモリ(M)の内容の、限定された寿命のための電流量の供給のための限定された量の燃料(H+)を有する燃料電池である、請求項1から10までのいずれか一項に記載のチップ。
【請求項13】
電源装置(FC)がメモリ(M)の組み込まれた構成要素である、請求項8,11または12記載のチップ。
【請求項14】
データとして機密データ、殊にチップの動作に必要な鍵、がメモリ(M)に記憶されている、請求項1から13までのいずれか一項に記載のチップ。
【請求項15】
チップの動作に必要でありかつメモリ(M)に記憶された鍵の生成のための、殊にチップの製造時または初回の活動化時の鍵の生成のための、乱数発生器が備えられた、請求項14記載のチップ。
【請求項16】
メモリまたはチップへの権限のないアクセスの場合にメモリ(M)への偽データの導入のための安全回路(LS)が備えられた、請求項1から15までのいずれか一項に記載のチップ。
【請求項17】
安全回路(LS)が、チップが動作を損なう環境に置かれかつセンサのための相応する作動の判定基準が満たされるかまたは前提された周囲条件が欠落する場合に、警報装置を作動させるかまたは安全回路のその他の機能を活動化させるための少なくとも1つのセンサを有する、請求項4から8までのいずれか一項に記載のチップ。
【請求項18】
機密データを記憶するためのメモリ(M)と、限定された期間にわたってのメモリ(M)内のデータの記憶のための電流量が限定された電源装置(FC)とを有する、請求項1から17までのいずれか一項に記載のチップを備えた身分証明書、殊にクレジットカード。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公表番号】特表2007−535743(P2007−535743A)
【公表日】平成19年12月6日(2007.12.6)
【国際特許分類】
【出願番号】特願2007−509891(P2007−509891)
【出願日】平成17年2月2日(2005.2.2)
【国際出願番号】PCT/EP2005/001033
【国際公開番号】WO2005/109552
【国際公開日】平成17年11月17日(2005.11.17)
【出願人】(501409670)マイクロナス・ゲーエムベーハー (23)
【氏名又は名称原語表記】Micronas GmbH
【Fターム(参考)】
【公表日】平成19年12月6日(2007.12.6)
【国際特許分類】
【出願日】平成17年2月2日(2005.2.2)
【国際出願番号】PCT/EP2005/001033
【国際公開番号】WO2005/109552
【国際公開日】平成17年11月17日(2005.11.17)
【出願人】(501409670)マイクロナス・ゲーエムベーハー (23)
【氏名又は名称原語表記】Micronas GmbH
【Fターム(参考)】
[ Back to top ]