[发明专利]防止对存储器中指令的不正当使用

说明书

一般来讲，本发明涉及对存储器中记录的敏感指令的不正当、即非法使用的防范措施。具体来讲，本发明涉及到防止对例如设在智能卡中的微控制器(也称为微控制机)或任何其它便携式电子装置的只读存储器ROM中的保密数据项进行写、读或修改。

许多智能卡可能含有敏感数据或程序，知道这些数据或程序会导致这样的后果、即发现制造厂家的工业技术秘密、编程技术或工具、如应用程序接口(API)等。在很多情况下，智能卡引用一种安全性矩阵，根据该矩阵，以读方式、特别是针对ROM存储器中数据的任何访问，都会被位于卡的微控制器的非易失性EEPROM(电可擦可编程只读存储器)或RAM(随机存取存储器)中的指令、或者连接着微控制器的任何其它RAM存储器、例如在卡之外且包含在接受该卡的终端中的RAM存储器中的指令所禁止。在这种情况下，显然只能借助于本身写在ROM存储器中的指令读取ROM存储器中的数据。

但是，已了解能访问或修改保密数据项的指令的地址的黑客能够获取保密数据项。

为了说明这种可能性，图1表示按照先有技术的含有出自INTEL(注册商标)的80C51微处理器的微控制器中的EEPROM存储器和ROM存储器中的部分内容的实例。微控制器的程序计数器的计数例如对于在ROM存储器中含有的各单元的地址，从Adr0＝0到AdrM＝1000地变化，对于在EEPROM存储器中含有的各单元的地址，从Adr(M+1)＝1001到AdrP＝2000地变化，其中M＜＜P。因而，存储器中的数据指针DPTR的值可在0到P之间变化。

假设在ROM存储器中，位于地址Adrm＝100的“危险”指令[MOVC A，@A+DPTR]相当于移动指针DPTR的当前值在EEPROM存储器中指向的“公开”数据项、如代码字节CB，以便将数据项转移到微控制器的中央处理器(CPU)中的累加器A。数据项CB被写在地址Adrp处，其中M+1≤p≤P。返回指令RET位于ROM存储器中的地址Adr(m+1)处，而紧接着是传送指令MOVC。

在EEPROM存储器中没有任何攻击者序列COM的正常情况下，当运行了写在存储器(特别是在地址Adrm之前的ROM存储器的地址)中的第一部分程序(未示出)之后，指针DPTR收到p值。为了读取数据项CB并传送到累加器A，执行地址Adrm处的操作指令MOVC，数据项CB在返回指令RET之后的第二部分程序中被使用。

一个企图获取位于ROM存储器中的地址Adrn处的保密数据项DS的黑客，例如m+1＜n＝200＜M，他还了解指令MOVC的地址Adrm，为了将指针DPTR改到所需的n值，在EEPROM存储器中写了一个短执行命令序列COM。序列COM包括三个连续的指令。第一条指令[CLRA]将累加器A的内容设置为零。第二条指令[MOV DPTR，n]将数据指针DPTR设置到对应于地址Adrn的n值。第三条指令[CALLm]调用一个过程调用，用于直接执行ROM存储器中在地址Adrm处的指令MOVC。

在所调用的“危险”指令执行期间，带有n值的指针DPTR指向地址Adrn处的数据DS，所需的保密数据项DS被传送到累加器A，并且可容易地被黑客获取。在返回指令RET之后，任何指令的执行，例如黑客在EEPROM中紧接着调用指令[CALL m]写的[MOVX@Ri，A]的执行，使他能够通过清空累加器的内容，例如在微控制器外面的外部RAM存储器中，获得从ROM存储器中读取的保密数据项DS。

本发明的目的是：在不阻止把“危险”指令写在ROM存储器中的前提下，抑制这类危险，以便防止不正当使用这种危险指令的结果。

为此，有一种方法，用于保护写在存储装置中的指令序列中包含的操作指令，防止控制装置发出的执行命令对序列指令的结束作出响应而访问操作指令的执行结果，该方法的特征在于：所述序列包括在操作指令之后立即执行的、对与所述操作指令的至少一个操作数有关的条件的测试，当满足该条件时，操作指令执行的结果从存储装置转移到控制装置，当不满足该条件时，不执行序列指令的结束。