[发明专利]敏感数据处理装置及方法

说明书

本发明涉及一种敏感数据处理装置以及一种在至少一个处理单元和一个存储装置之间安全地传送敏感数据的方法。本发明进一步涉及一种带有集成存储区的集成电路，该存储区用于安全地存储敏感数据。而且，本发明还涉及一种处理敏感数据的博彩机。

数据安全对于商业活动的许多方面是一个重要的问题，特别是当其涉及存储的专有或机密数据时。例如，存储在闪存（或者其他形式的电子存储器）中的计算机程序源代码可以作为有价值的专有信息。专有信息的另一个示例可以是一种博彩机的账面数据。

例如，一个微处理器系统可以作为一种片上系统（SOC）来实现，该片上系统包括访问片上和片外存储器二者的一个处理器。如果软件是安全的且相关指令和数据全部保持在片上而不暴露在外部视野中，则可以实现安全计算。但是，一旦数据被传送至片外，它将变得易受攻击且一个给定计算的安全性可能会受到损害。例如，一个攻击者可能访问一个不受保护的片外存储器，且检查所存储的数据，可能会检测秘密信息。该攻击者甚至可能修改所存储的数据并且由此搅乱另一个安全计算。

为了避免对存储在一个外部存储器中数据的未经授权的访问和/或操纵，这些数据可以根据一种密码方法进行处理。

密码方法和系统可以用于通过以多种方式安全地存储状态信息来保护一个个人通信装置中的状态信息。一种方法可以是向该状态信息写入一个快照且计算其校验和，例如，用一个单向散列函数。结果存储在该装置的一个防篡改存储单元中。因此，如果某人试图改变该状态信息，该结果的校验和将与存储在该个人装置中的校验和值不匹配。另一种方法可以是在该装置中使用一个单调的、持久的计数器，每当有一个状态改变，该状态信息就与使用一个装置密钥来加密的当前计数器的值一起存储。这样，如果没有该密钥，就没有可能改变该加密的状态信息。

US2003/0079122A1公开了采用一种外部防篡改存储装置来存储重要状态信息的想法。引入了认证计数器的想法。所述专利申请US2003/0079112A1公开了在一个外部防篡改安全令牌（如智能卡）中可以实现的一种认证计数器，该令牌可以被安全处理器用于完整性保护其状态存储。为了进行这项工作，该安全处理器需要能够认证该外部安全令牌。为此目的，专利申请US2003/0079122A1公开了采用一种公共密钥基础设施（PKI）。

然而，设立一种公共密钥基础设施是相当复杂的，因为它涉及在装置制造商和外部安全令牌制造商之间的协调和协议。它还给外部安全令牌或存储器强加了许多处理负荷。

先进的博彩机与钱款打交道。因此，需要一种安全系统使得该博彩机不可能操纵用于个人利益的账面数据。该安全系统应当防止对该博彩过程产生会损害博彩机的供货商的影响。

该系统的一次意外掉电之后，博彩者想要在其博彩账户上保存其账面钱款而不希望丢失这笔钱款，由于这个事实，账面数据应当存储在一种外部非易失或电池供电的存储器中。为避免某人能在该外部存储器中读取所存储的数据和操纵其内容，上述这些密码方法装置就要在博彩机中实现用以实质上保护存储内容。然而，这些介绍的装置和方法都没有在保护博彩机中的敏感数据方面获得满意的效果。

文件US6,209,098公开了一种在多芯片模块中实现的电路，该电路包括一个第一集成电路芯片和一个第二集成电路芯片且通过一个互连连接在一起。该第一和第二集成电路芯片均包括一个密码引擎，该密码引擎与该互连和一个用于保存密钥信息的非易失存储单元进行连接。这些密码引擎只用于加密被输出的经过该互连的流出信息，或者只用于解密从该互连接收的流入信息。这是为了防止对经过该互连传输的信息的物理欺骗攻击而提供的。

存在以下要求：通过解决或指出一个或多个与这些传统安全技术相关的缺点或不足来提供改进的数据安全性，或者至少提供一种对于这种传统安全技术的有用的替代方案。

本发明的第一个目标是提供一种处理敏感数据的装置，该装置消除了上述那些缺点。

本发明的第二个目标是提供一种用于在处理单元和存储装置之间安全地传送数据的方法。

本发明的第三个目标是增强一种存储装置，使其能够安全地将数据传送至一种任意连接的装置。

本发明的第四个目标是提供一种安全标准提高的用于处理其中的敏感数据的博彩机。

本发明提供了一种如权利要求1所述的用于安全数据交换的集成电路、一种根据权利要求2所述的用于处理敏感数据的装置、一种根据权利要求8所述的用于安全传送敏感数据的方法以及一种在权利要求13中所述的博彩机。本发明的优选实施例在从属权利要求中制定。