-
Die
Erfindung betrifft eine elektronische Datenverarbeitungseinrichtung,
umfassend einen zugriffsgesicherten Speicher, dafür vorgesehen,
sichere Daten zu speichern, im Besonderen Daten im Zusammenhang
mit einem Kapitaltransfer, und ein Datenverarbeitungsteil, verbunden
mit dem Speicher über
einen Bus und dafür
vorgesehen, die sicheren Daten zu verarbeiten, wobei die elektronische
Datenverarbeitungseinrichtung weiter einen Schaltkreis zur Erkennung
von und zum Schutz vor Manipulation umfasst, mit dem Bus verbunden
und dafür
vorgesehen, eine Manipulationsbedingung zu erkennen, und dafür, bei Erkennen
der Manipulationsbedingung ein Manipulationssignal zu erzeugen,
wobei der Schaltkreis zur Erkennung von und zum Schutz vor Manipulation
mit einem Manipulationssequenzer verbunden ist, der dafür vorgesehen
ist, das Verarbeitungsteil bei Empfang des Manipulationssignals
zu deaktivieren, wobei der Speicher ein Sicherheitsregister (3-a) umfasst,
dafür vorgesehen,
Schlüssel
zum Verschlüsseln
der sicheren Daten zu speichern, und einen Speicherabschnitt, dafür vorgesehen,
von dem Datenverarbeitungsteil verarbeitete sichere Daten temporär zu speichern.
-
Eine
solche elektronische Datenverarbeitungseinrichtung ist aus EP-A-1
160 647 bekannt und wird zum Beispiel in einem ATM („Automatic
Teller Machine",
Geldausgabeautomat) oder einer POS („Point of Sales", Bezahlvorrichtung)
verwendet. Der Zugriff auf den Speicher und das Verarbeitungsteil des
Terminals muss sorgfältig
gegen Manipulationshandlungen gesichert werden, um einen unberechtigten
Zugriff auf den Speicher oder das Datenverarbeitungsteil zu verhindern.
Manipulationshandlungen können
jeder Art sein, z.B. das Aufbrechen der Einrichtung, um Zugriff
auf den Bus oder den Speicher zu erhalten. Um eine solche Manipulationshandlung zu
erkennen, weisen die bekannten Einrichtungen einen Schaltkreis zur
Erkennung von und zum Schutz vor Manipulation, welcher bei Erkennung
einer Manipulationshandlung ein Manipulationssignal erzeugt, um
das Verarbeitungsteil zu deaktivieren, wodurch verhindert wird,
dass die in dem Speicher gespeicherten Daten abgerufen werden können. US-A-4,882,752
beschreibt eine Datenverarbeitungseinrichtung, welche ebenfalls
mit einem Schaltkreis zur Erkennung von und zum Schutz vor Manipulation
ausgerüstet
ist. Letzterer Schaltkreis erzeugt Manipulationssignale, unter deren
Steuerung sichere Daten gelöscht
werden.
-
Ein
Nachteil der bekannten elektronischen Datenverarbeitungseinrichtungen
ist, dass der Deaktivierungsvorgang das Taktsignal des Datenverarbeitungsteils
benötigt
und somit synchron mit der Datenverarbeitung angewendet werden muss.
Demzufolge können
der Prozessor und der Bus immer dafür noch benutzt werden, Daten
abzurufen, bevor der Deaktivierungsvorgang beendet ist. Da das Taktsignal
des Datenverarbeitungsteils benutzt wird, muss letzteres immer noch
funktionsfähig
sein, um die in dem Speicher gespeicherten geschützten Daten zu löschen.
-
Es
ist eine Aufgabe der vorliegenden Erfindung, ein elektronisches
Datenübertragungs-Terminal
zu verwirklichen, welches effizienter ist und einen besseren Manipulationsschutz
bietet.
-
Zu
diesem Zweck ist eine elektronische Datenverarbeitungseinrichtung
gemäß der vorliegenden Erfindung
dadurch gekennzeichnet, dass der Manipulationssequenzer einen internen
Taktgenerator umfasst, welcher dafür vorgesehen ist, bei Empfang des
Manipulationssignals einen Manipulationsimpuls und eine Serie von
Taktimpulsen zu erzeugen, wobei der Manipulationssequenzer dafür vorgesehen
ist, gesteuert von dem Manipulationsimpuls die Sicherheitsdaten
zu löschen,
die in dem Sicherheitsregister gespeichert sind, und dafür, gesteuert
von der Serie von Taktimpulsen die verarbeiteten sicheren Daten zu
löschen,
die in dem Speicherabschnitt gespeichert sind. Das Vorliegen eines
internen Taktgenerators ermöglicht es,
nicht länger
das Taktsignal des Datenverarbeitungsteils zu benutzen und somit
nicht länger von
der Funktionsfähigkeit
des Datenverarbeitungsteils abhängig
zu sein. Überdies
kann der Taktgenerator in einem sicheren Bereich innerhalb des Halbleiters
angeordnet werden, wodurch die Wahrscheinlichkeit verringert wird,
dass der interne Taktgenerator durch eine solche Manipulationshandlung
beschädigt
werden könnte.
Da das Sicherheitsregister gesteuert von dem Manipulationsimpuls
gelöscht wird,
können
die gesicherten Daten gesteuert von einem einzelnen Impuls schnell
gelöscht
werden, wodurch es nahezu unmöglich
gemacht wird, auf die sicheren Daten zuzugreifen, wenn einmal eine
Manipulationsbedingung erkannt worden ist. Die Löschung der sicheren Daten,
welche von dem Verarbeitungsteil verarbeitet werden, wird dann gesteuert von
der Serie von Taktimpulsen durchgeführt, wodurch ein synchroner
Löschvorgang
ermöglicht
wird. Es ist somit ein Aufteilen der Löschvorgänge möglich, wodurch ein effizienteres
Löschen
ermöglicht
wird.
-
Eine
erste bevorzugte Ausführungsform
einer erfindungsgemäßen elektronischen
Datenverarbeitungseinrichtung ist dadurch gekennzeichnet, dass der
Manipulationssequenzer dafür
vorgesehen ist, den Manipulationsimpuls asynchron zu erzeugen, bezogen
auf die Serie von Taktimpulsen. Dies ermöglicht es, unabhängig von
dem Prozessor und der Taktserie zu arbeiten.
-
Vorzugsweise
weist der Manipulationsimpuls eine Dauer von längstens 1 ms auf. Auf diese
Weise wird das Löschen
des Sicherheitsregisters schnell realisiert, weil ein Unbefugter
zweifellos eine Zeit von mehr als 1 ms benötigen wird, um auf dieses Register zuzugreifen.
-
Eine
zweite bevorzugte Ausführungsform
einer erfindungsgemäßen elektronischen
Datenverarbeitungseinrichtung ist dadurch gekennzeichnet, dass der
Schaltkreis zur Erkennung von und zum Schutz vor Manipulation dafür vorgesehen
ist, mehrere Manipulationsbedingungen zu erkennen, und dafür, jeder
Manipulationsbedingung einen Identifikationscode zuzuordnen, der
die erkannte Manipulationsbedingung identifiziert, wobei der Manipulationssequenzer
mit einem Mittel zur Manipulationsfestlegung ausgestattet ist, dafür vorgesehen,
auf der Basis des Identifikationscodes jede der Manipulationsbedingungen
festzulegen, und dafür,
jeder der Manipulationsbedingungen eine Stufe der Manipulationsbedingungspriorität zuzuordnen,
wobei die Stufe der Manipulationsbedingungspriorität ausgewählt wird aus
einer Reihe von Prioritätsstufen,
umfassend wenigstens einen ersten und einen zweiten Prioritätswert,
wobei der Manipulationssequenzer dafür vorgesehen ist, die Stufe
der Manipulationsbedingungspriorität zu empfangen, und dafür, bei Empfang
des ersten Prioritätswerts
sofort den Manipulationsimpuls und die Serie von Taktimpulsen zu
erzeugen, und dafür,
bei Empfang des zweiten Prioritätswerts
die Erzeugung des Manipulationsimpulses und der Serie von Taktimpulsen über eine
vorbestimmte Zeitspanne zu halten. Durch Einstellen eines Prioritätswertes können unnötige Löschungen
vermieden werden, ohne die Zuverlässigkeit der Einrichtung zu
beeinträchtigen.
-
Eine
dritte bevorzugte Ausführungsform
einer erfindungsgemäßen elektronischen
Datenverarbeitungseinrichtung ist dadurch gekennzeichnet, dass der
Schaltkreis zur Erkennung von und zum Schutz vor Manipulation mit
einem Manipulationsanfragegenerator ausgestattet ist, welcher dafür vorgesehen
ist, ein Anfragesignal zu erzeugen, wenn die vorbestimmte Zeitspanne
abgelaufen ist, wobei der Schaltkreis zur Erkennung von und zum
Schutz vor Manipulation weiter dafür vorgesehen ist, gesteuert von
dem Anfragesignal zu prüfen,
ob die Manipulationsbedingung, welche die Erzeugung des Manipulationssignals
verursacht hat, bestehen bleibt, und dafür, ein Aktivierungssignal zu
erzeugen, wenn die Manipulationsbedingung bleibt, und ein Deaktivierungssignal,
wenn die Manipulationsbedingung nicht geblieben ist, wobei der Manipulationssequenzer
dafür vorgesehen
ist, die Erzeugung des gehaltenen Manipulationsimpulses und der
Taktimpulse gesteuert von dem Deaktivierungssignal zu deaktivieren,
und dafür, die
Erzeugung des gehaltenen Manipulationsimpulses und der Taktimpulse
gesteuert von dem Aktivierungssignal zu aktivieren. Auf diese Weise
findet die Löschung
nur statt, wenn die Manipulationsbedingung in der Tat bestehen bleibt,
nachdem die vorbestimmte Zeitspanne abgelaufen ist.
-
Vorzugsweise
ist der Schaltkreis zur Erkennung von und zum Schutz vor Manipulation
dafür vorgesehen,
den Zugriff durch das Datenverarbeitungsteil auf den Speicher zu
deaktivieren, solange das Manipulationssignal aktiv bleibt. Auf
diese Weise könnte
das Datenverarbeitungsteil einige Operationen nicht durchführen, solange
die Manipulationsbedingung bestehen bleibt. Dies wird zum Beispiel
realisiert, indem der Bus blockiert wird.
-
Vorzugsweise
umfasst der Schaltkreis zur Erkennung von und zum Schutz vor Manipulation
ein Register, welches dafür
vorgesehen ist, Manipulationsstatusdaten zu speichern. Auf diese
Weise können
Daten, welche einige Informationen über die Manipulationshandlung
bereitstellen, gespeichert werden und später zu Analysezwecken verwendet
werden.
-
Die
Erfindung wird nun unter Bezugnahme auf die Zeichnungen, welche
eine bevorzugte Ausführungsform
eines erfindungsgemäßen elektronischen
Datenverarbeitungsteils veranschaulichen, detaillierter beschrieben.
-
In
den Zeichnungen:
-
veranschaulicht 1 schematisch
eine elektronische Datenverarbeitungseinrichtung; und
-
2 veranschaulicht
detaillierter den Schaltkreis zur Erkennung von und zum Schutz vor Manipulation.
-
In
den Zeichnungen ist denselben oder entsprechenden Elementen dieselbe
Bezugsziffer zugeordnet.
-
Die
elektronische Datenverarbeitungseinrichtung, die in 1 veranschaulicht
ist, umfasst einen Bus 2, mit welchem ein Datenverarbeitungsteil 1 und
ein Speicher 3 verbunden sind, um eine Daten- und Befehlsübertragung
zwischen ihnen über
den Bus zu ermöglichen.
Das Datenverarbeitungsteil wird vorzugsweise durch einen oder mehrere
Mikroprozessoren gebildet. In einer am meisten bevorzugten Ausführungsform
eines Terminals gemäß der vorliegenden
Erfindung umfasst das Datenverarbeitungsteil mindestens zwei Mikroprozessoren.
Einer ist dafür
vorgesehen, sichere Daten zu verarbeiten, und ein anderer ist dafür vorgesehen,
Anwendungsdaten zu verarbeiten. Der Speicher 3 ist dafür vorgesehen, sichere
Daten und Anwendungsdaten zu speichern. Die sicheren Daten, welche
die Verschlüsselungscodes
umfassen, werden in einem Sicherheitsregister 3-a gespeichert,
während
die verarbeiteten sicheren Daten vorübergehend in einem RAM-Teil 3-b gespeichert
werden.
-
Wenn
die Einrichtung einen nur dafür
reservierten Mikroprozessor umfasst, um die sicheren Daten zu verarbeiten,
ist der RAM-Teil vorzugsweise in mindestens zwei Teile unterteilt,
wobei einer dieser Teile für
die Speicherung der verarbeiteten sicheren Daten vorgesehen ist
und auf diesen nur durch den reservierten Mikroprozessor zugegriffen
werden kann. Auf diese Weise wird vermieden, dass derselbe Mikroprozessor
die sicheren Daten ebenso wie die Anwendungsdaten verarbeitet, wodurch
ermöglicht
wird, die sicheren Daten klar zu isolieren und den Zugriff darauf
schwieriger zu machen.
-
Ferner
ist mit dem Bus 2 eine Eingabe/Ausgabe-Schnittstelle 4 verbunden.
Die Schnittstelle ist mit einer Benutzerschnittstelle 5 verbunden,
welche zum Beispiel durch ein Kartenlesegerät und eine Tastatur gebildet
wird. Ferner ist mit dem Bus ein Schaltkreis 6 zur Erkennung
von und zum Schutz vor Manipulation verbunden.
-
Vorzugsweise
sind der Bus 2, das Datenverarbeitungsteil 1,
der Speicher 3 und der Schaltkreis zur Erkennung von und
zum Schutz vor Manipulation in demselben Halbleiterelement integriert.
Dies ermöglicht
es, einen Zugriff auf die einzelnen Komponenten schwieriger zu machen,
wodurch die Sicherheit des Terminals verbessert wird. Ferner wird
die Herstellung der Einrichtung effizienter gemacht.
-
2 veranschaulicht
den Schaltkreis 6 zur Erkennung von und zum Schutz vor
Manipulation detaillierter. Dieser Schaltkreis umfasst eine Erfassungseinheit 10,
welche mehrere Eingänge
aufweist und einen Manipulationssequenzer umfasst. Eine Anzahl dieser
mehreren Eingänge
empfangen Manipulationssignale, welche von Detektoren erzeugt werden,
die innerhalb der Terminals angeordnet sind. So wird zum Beispiel
ein erster Detektor durch Blindtasten gebildet, die in der Tastatur
angeordnet sind. Diese Blindtasten werden durch eine unberechtigte Öffnung der
Tastatur aktiviert. So befinden sich die Blindtasten zum Beispiel
dauerhaft in einem aktiven oder heruntergedrückten Zustand. Wenn jemand
die Tasten anhebt, um Zugriff zu dem Speicher oder dem Verarbeitungsteil
zu erhalten, verlassen die Blindtasten ihren aktiven Zustand und
geraten in einen inaktiven Zustand, wodurch ein Signal erzeugt wird,
welches eine Manipulationsbedingung anzeigt. Dieses Signal könnte durch
eine fallende oder steigende Flanke eines Steuersignals gebildet
werden.
-
Ein
zweiter Detektor könnte
durch druckempfindliche Kontakte gebildet werden, welche innerhalb
des Gehäuses
des Terminals angeordnet sind. Diese Kontakte sind dafür vorgesehen,
eine Öffnung
des Gehäuses
zu erkennen, zum Beispiel weil ihr Widerstandswert eines leitfähigen Polymers
sich in Funktion des angewendeten Drucks verändert. Diese Veränderung
des Widerstandswertes verändert
dann die Stärke
eines Stromes, welcher durch diesen Detektor fließt, wodurch
ein Manipulationsbedingungssignal erzeugt wird, welches einem Eingang der
Erfassungseinheit 10 zugeführt wird.
-
Ein
dritter Detektor könnte
durch eine JTAG (Joint Test Application Group) gebildet werden.
Verschiedene Tests könnten
regelmäßig auf
dem Terminal durchgeführt
werden, um das normale Funktionieren des Terminals zu überprüfen, oder
sogar eine Überprüfung auf
das Vorliegen fremder Objekte. Wenn diese Tests ein negatives Ergebnis
aufweisen, könnte
dies zu einer Manipulationsbedingung führen, welche der Erfassungseinheit 10 zugeführt wird.
Ferner könnten
spezielle Chiptests auf externen Signalen durchgeführt werden,
um den Betrieb des Terminals zu überprüfen. Dasselbe
könnte
durchgeführt werden,
um zu überprüfen, ob
die Software richtig läuft.
Jeder auf diese Weise erkannte Fehler zeigt dann eine Manipulationsbedingung
an, welche einem Eingang der Erfassungseinheit 10 zugeführt wird.
-
Die
Temperatur könnte
durch einen vierten Detektor ebenfalls erfasst werden und eine Manipulationsbedingung
liefern, wenn sie zu niedrig oder zu hoch wird.
-
Ein
fünfter
Detektor könnte
es anzeigen, wann immer das Terminal auf einen Testmodus geschaltet
wird, und eine Manipulationsbedingung auslösen. Dieser Modus darf nur
vom Siliciumhersteller angewendet werden, um das Terminal, insbesondere das
Halbleiterelement, nach der Herstellung zu testen. Im normalen Betrieb
sollte diese Bedingung nicht auftreten. Im Gegensatz zu anderen
Manipulationsbedingungen führt
diese Bedingung zu der Tatsache, dass nach dem Löschen, wie hier später noch
ausgeführt
wird, auf die sicheren Daten zugegriffen werden kann, um den Terminaltest
zu ermöglichen.
-
Eine
besondere Bedingung wird bereitgestellt, welche einen zusätzlichen
Funktionstest beim Siliciumhersteller ermöglicht oder welche angewendet
werden kann, um den Urladecode des internen ROM auszuschalten. Wenn
dieser Modus aktiv ist, wird auf die Kontrollaussage des Signals
eine Manipulationsbedingung erzeugt, oder abhängig davon, ob das Signal aktiv
oder zurückgesetzt
ist. Wenn das Signal aktiv ist, startet der Mikroprozessor, welcher die
sicheren Daten verarbeitet, von einem externen Speicher, aber auf
den internen RAM kann nicht zugegriffen werden.
-
Die
Erfassungseinheit 10 weist einen weiteren Eingang auf,
welcher mit einem Ausgang eines Batterieüberwachungsschaltkreises 11 verbunden ist.
Letzterer ist dafür
vorgesehen zu überwachen,
ob die von der Batterie gelieferte Spannung noch ausreichend ist,
um einen normalen Betrieb des Terminals zu ermöglichen. Wenn dies nicht der
Fall ist, wird eine Manipulationsbedingung gebildet, welche der
Einheit 10 zur Erkennung von und zum Schutz vor Manipulation
zugeführt
wird. Insbesondere überwacht
der Batterieüberwachungsschaltkreis,
ob die Spannung des Permanentspeicherbereichs zu niedrig wird.
-
Die
Erfassungseinheit 10 ist dafür vorgesehen, den Ursprung
der Manipulationsbedingung zu identifizieren, da die verschiedenen
Manipulationsbedingungen der Einheit als verschiedene Eingaben zugeführt werden.
Es könnte
also möglich
sein, statt mehrerer Eingänge
einen Serieneingang zu haben und jedem Manipulationsbedingungssignal,
welches der Erfassungseinheit 10 zugeführt wird, ein Attribut hinzuzufügen, welches
die Manipulationsbedingung kennzeichnet. In Abhängigkeit von der Manipulationsbedingung
kann die Erfassungseinheit entweder unmittelbar ein Manipulationssignal
erzeugen oder die Bedingung für
eine vorbestimmte Zeit zurückstellen,
um zu überprüfen, ob
die Manipulationsbedingungen bestehen bleiben. Diese Zeitdauer könnte für jede Manipulationsbedingung
unterschiedlich sein. Zu diesem Zweck umfasst die Erfassungseinheit 10 einen
oder mehrere Zähler.
-
Wenn,
wie in 2 veranschaulicht, die Einheit 10 zur
Erkennung von und zum Schutz vor Manipulation mehrere Eingänge aufweist,
werden die Attribute in Funktion des vorgesehenen Eingangs zugewiesen.
Zu diesem Zweck wird innerhalb der Einheit 10 zur Speicherung
dieser Codes ein Register bereitgestellt. Der Empfang eines Manipulationsbedingungssignals
an einem bestimmten Eingang verursacht den Abruf des Attributs,
welches diesem Eingang zugewiesen ist, aus dem Register. Das abgerufene
Attribut wird dann dem Manipulationsbedingungssignal für die weitere
Verarbeitung hinzugefügt. Wenn
ein Serieneingang verwendet wird, wird der Code durch die Manipulationsbedingung
selbst geliefert, wodurch ein Hinweis auf deren Ursprung geliefert
wird.
-
Wenn
das Manipulationssignal einmal erzeugt worden ist, wird der Sequenzer
initialisiert. Der Sequenzer umfasst einen internen Taktgenerator, welcher
dafür vorgesehen
ist, bei Empfang des Manipulationssignals einen Manipulationsimpuls
und eine Serie von Taktimpulsen zu erzeugen. Dieser interne Taktgenerator
arbeitet unabhängig
von dem Taktgenerator des Datenverarbeitungsteils und ist innerhalb der
Erfassungseinheit 10 untergebracht. Der Manipulationsimpuls
bewirkt, dass die Verschlüsselungscodes
der sicheren Daten, welche im Sicherheitsregister gespeichert sind,
gelöscht
werden.
-
Die
Frequenz des internen Taktgenerators hängt von Verfahrensparametern,
Spannung und Temperatur ab. Die Frequenz liegt in einem Bereich von
1 bis 10 MHz, vorzugsweise 5 MHz.
-
Wann
immer eine Manipulationsbedingung auftritt, wird gesteuert von der
Serie von Taktimpulsen eine RAM-Löschvorrichtung 12 aktiviert,
und der Speicher 3 wird von dem Bus 2 getrennt,
indem letzterer und das Verarbeitungsteil 1 derart deaktiviert werden,
dass nur die RAM-Löschvorrichtung
Zugriff auf den Speicher hat. Jeder Zugriff auf den Speicher durch
den Prozessor ist blockiert. Die RAM-Löschvorrichtung
löscht
die verarbeiteten sicheren Daten, welche im Speicher gespeichert
sind, zum Beispiel durch Überschreiben
mit ungültigen
Daten, zum Beispiel Nullen, zumindest an jenen Stellen, wo die sicheren
Daten gespeichert sind. Wenn dieser Löschvorgang dann beendet ist,
gibt die RAM-Löschvorrichtung
den Bus wieder frei und hält
den Speicher in einem Rücksetzzustand.
Die Taktimpulse weisen vorzugsweise eine Frequenz von 5 MHz auf,
um die Speicherinhalte schnell zu löschen, so dass die Löschung in
weniger als 1 Millisekunde realisiert werden kann. Die zum Löschen des
Registerinhalts benötigte
Zeit wird auch durch die angewendete Technologie bestimmt, um das
Register zu verwirklichen. Wenn die RAM-Löschvorrichtung während der
Manipulationsbedingung betrieben wird, wird der Speicher nach dem
Löschverfahren
zurückgesetzt.
Wenn eine aktive Manipulationsbedingung auf einem zurückgesetzten
System vorliegt, wird das Löschverfahren
erneut ausgelöst.
Wenn der Speicher einen dafür
reservierten Teil zum Speichern von sicheren Daten umfasst, wird
dieser Teil gelöscht,
solange die Manipulationsbedingung aktiv ist, und bis zum nächsten Zurücksetzen.
Der Teil, welcher die Anwendungsdaten umfasst, wird nur in dem Moment
gelöscht,
wenn die Manipulationsbedingung zum ersten Mal auftritt, und wird
bis zum Zurücksetzen
nicht mehr gelöscht. Dieses
Merkmal ist von Vorteil, weil es ermöglicht, dass es immer noch
möglich
ist, unter Verwendung der JTAG-Schnittstelle den Urladecode in den
Chip herunterzuladen.
-
Gesteuert
von der Serie von Taktimpulsen wird das Verarbeitungsteil 1,
insbesondere jenes, welches die sicheren Daten verarbeitet, zurückgesetzt
und verbleibt mit einer Kontrollaussage versehen. Alle Verschlüsselungscodes
in dem DES/3-DES(Data Encryption Standard)-Hauptspeicher werden
gelöscht,
ebenso wie die Sicherheitsregister. Dies wird durch den Rücksetzschaltkreis 15 nach
Empfang der zweiten Taktimpulse realisiert.
-
Wie
bereits erwähnt,
könnten
den Manipulationsbedingungen Attribute zugewiesen werden, oder sie
könnten
durch ihren entsprechenden Eingang des Schaltkreises 10 identifiziert
werden. Wenn solche Manipulationsbedingungen verfügbar sind,
ist der Manipulationssequenzer mit einem Mittel zur Manipulationsfestlegung
ausgestattet, welches dafür vorgesehen
ist, den zugewiesenen Eingang oder das Attribut festzulegen. Das
Mittel zur Festlegung ordnet jeder Manipulationsbedingung eine Stufe
der Manipulationsbedingungspriorität zu, welche die Prioritätsstufe
der betreffenden Manipulationsbedingung anzeigt. Die Prioritätsstufe
ist aus einer Reihe von Prioritätsstufen
ausgewählt,
welche wenigstens einen ersten und einen zweiten Prioritätswert umfasst. So
könnte
zum Beispiel die erste Prioritätsstufe
eine hohe Priorität
und die zweite Prioritätsstufe
eine niedrige Priorität
anzeigen. Natürlich
könnten
mehr als zwei Werte verwendet werden, um die Prioritäten in solcher
Weise in eine Rangfolge zu bringen. Zum Beispiel könnte einer
Manipulationsbedingung, welche von den Blindtasten stammt, ein hoher
Prioritätswert
gegeben werden, während
einer Manipulationsbedingung, welche von einer zu hohen Temperatur stammt,
eine niedrige Prioritätsstufe
gegeben werden könnte.
Die Prioritätswerte
werden zum Beispiel in einem Register gespeichert.
-
Wenn
der Manipulationssequenzer einem Manipulationssignal einen Prioritätswert zugeordnet hat,
bestimmt dieser Wert, ob die Erzeugung des Manipulationsimpulses
aufrecht erhalten wird oder nicht. Wenn der Prioritätswert hoch
ist, werden der Manipulationsimpuls und die Taktimpulse natürlich unmittelbar
erzeugt. Wenn andererseits der Prioritätswert niedrig ist, wird eine
Zeitperiode in Gang gesetzt, zum Beispiel durch Stellen eines Zählers, während der
die Erzeugung des Manipulationsimpulses und der Serie von Taktimpulsen
aufrecht erhalten wird. Wenn mehr als zwei Werte verwendet werden,
könnte
die jedem Wert zugeordnete Zeitperiode unterschiedlich sein. Die
Verwendung jener Prioritätswerte ermöglicht es,
einen Unterschied zu machen zwischen schweren Manipulationsbedingungen,
welche ein sofortiges Handeln erfordern, und weniger schweren Manipulationsbedingungen,
welche schädlich
sein könnten
und wieder verschwinden, wodurch ein unnötiges Löschen der geschützten sicheren
Daten vermieden wird.
-
Wenn
eine Zeitperiode eingestellt worden ist, erzeugt ein Manipulationsanfragegenerator,
welcher ein Teil des Schaltkreises zur Erkennung von und zum Schutz
vor Manipulation ist, ein Anfragesignal, wenn die Zeitperiode abgelaufen
ist. Dies wird zum Beispiel ausgelöst, wenn der Zähler seinen
Endwert erreicht hat. Das Anfragesignal bewirkt, dass der Schaltkreis
zur Erkennung von und zum Schutz vor Manipulation überprüft, ob die
Manipulationsbedingung, welche die Erzeugung des Manipulationssignals
verursacht hat, noch bestehen bleibt, nachdem die Zeitperiode abgelaufen
ist. Dies wird zum Beispiel realisiert, indem der richtige Eingang
der Einheit 10 überprüft wird.
Wenn das Manipulationssignal an diesem Eingang noch vorliegt, welcher
der Erkennung von und dem Schutz vor Manipulation zugewiesen ist,
oder welcher bewirkt hat, dass das Manipulationssignal erzeugt wird,
wird ein Aktivierungssignal erzeugt, um den Manipulationsschaltkreis
zu aktivieren, den Manipulationsimpuls und die Taktserie zu erzeugen
und die Aufrechterhaltung dieser Erzeugung zu beenden. Wenn andererseits
das Manipulationssignal nicht mehr vorliegt, wird ein Deaktivierungssignal
erzeugt, und die Erzeugung des aufrecht erhaltenen Manipulationsimpulses
und des Taktsignals wird deaktiviert. Dies wird zum Beispiel realisiert,
indem das Manipulationssignal in einem Register gespeichert wird
und indem das Register freigegeben bzw. gelöscht wird.
-
Der
Schaltkreis 6 zur Erkennung von und zum Schutz vor Manipulation
umfasst auch ein Register 14 zum Speichern von Manipulationsstatusdaten.
Diese Informationen sind nützlich
für Reparaturzwecke,
weil sie ermöglichen
zu überwachen,
warum ein Terminal in den Manipulationszustand geraten ist oder
was den Manipulationszustand in der Vergangenheit bewirkt hat. Wenn
ein unberechtigter Benutzer versuchte, das Terminal zu öffnen und
es wieder zu schließen,
wäre das
Terminal manipuliert, und der Ursprung könnte aus jenen Registern abgerufen werden.
Ferner wird ein Sicherheitsregister 13 bereitgestellt,
welches vorzugsweise batteriebetrieben ist und automatisch gelöscht wird,
wann immer eine Manipulationsbedingung aktiv ist. Dieses Sicherheitsregister
kann benutzt werden, um einen Stammcode zur Verschlüsselung
des internen und externen Speichers zu speichern.