[发明专利]集成电路数据保护

说明书

提供了用于在集成电路中提供数据保护的技术。根据这些技术的一种示例方法包括：确定已经对与集成电路相关联的软件或固件进行了未经授权的更新；以及响应于确定已经对软件或固件进行了未经授权的更新，来破坏防重放计数器(ARC)值，所述ARC值是在集成电路的一次性可编程存储器中维护的并且由集成电路用于保护非易失性存储器的内容。

背景技术

计算设备通常将用户或企业所拥有的敏感数据与固件或操作系统软件一起存储在计算设备或安全模块制造商所拥有的计算设备上。固件或软件所有者可能将软件加载到计算设备上，该软件改变安全措施(security measure)，例如，移除暴力(brute force)攻击缓解措施，禁用安全启动/信任启动，和/或在计算设备上加载其它固件或软件。

发明内容

根据本公开内容的一种用于在集成电路中提供数据保护的示例方法包括：确定已经对与集成电路相关联的软件或固件进行了未经授权的更新；以及响应于确定已经对软件或固件进行了未经授权的更新，来破坏防重放计数器(ARC)值，所述ARC值是在集成电路的一次性可编程存储器中维护的并且由集成电路用于保护非易失性存储器的内容。

这样的方法的实现方式可以包括以下特征中的一个或多个特征。确定已经对与集成电路相关联的软件或固件进行了未经授权的更新包括：检测对集成电路上的软件的改变；响应于检测到对集成电路上的软件的改变，来认证用户和软件中的至少一者；以及响应于用户和软件中的至少一者未被认证，来确定对集成电路上的软件的改变是未经授权的。对用户的认证包括：确定用户是否已经被认证；以及响应于用户尚未被认证，执行至少一个认证过程来认证用户。对软件的认证包括：通过使用从与集成电路相关联的硬件唯一密钥(HUK)推导出的密钥，将基于密码的消息认证码(CMAC)算法应用于软件，来确定用于软件的消息认证码(MAC)；以及将MAC与先前确定的MAC进行比较，以确定MAC是否与先前确定的MAC匹配。对ARC值的破坏还包括：利用在易失性存储器中维护的当前ARC值来更新被存储在一次性可编程存储器中的ARC值。对ARC值的破坏包括：确定存储ARC值的一次性可编程存储器的要被设置的第一比特数量；确定一次性可编程存储器的包括第一比特数量的第一比特集合的位置；以及通过设置一次性可编程存储器的第一比特集合来更新被存储在一次性可编程存储器中的ARC值。确定一次性可编程存储器的要设置的第一比特数量还包括：基于已经在一次性可编程存储器中设置的第二比特数量，来确定一次性可编程存储器的要设置的第一比特数量。对一次性可编程存储器的要被设置的第一比特数量的确定还包括：从在一次性可编程存储器中尚未被设置的第二比特集合中随机地选择一次性可编程存储器的第一比特集合。

根据本公开内容的一种示例集成电路包括：用于确定已经对与集成电路相关联的软件或固件进行了未经授权的更新的单元；以及用于响应于确定已经对软件或固件进行了未经授权的更新，来破坏防重放计数器(ARC)值的单元，所述ARC值是在集成电路的一次性可编程存储器中维护的并且由集成电路用于保护非易失性存储器的内容。