本发明涉及用于禁止非法使用,进入或者类似的一个安全系统, 这个安全系统包括一些安全设备,每一个所述安全设备包括一个芯片, 这个芯片中的逻辑电路具有能够提供到安全系统的授权的功能。 上述类型的安全系统可以用于许多应用,例如禁止不经授权就进 入安全房间,例如在收费电视中的应用,在银行系统中的应用,等等。 所使用的安全设备一般用包括一个芯片的所谓智能卡做成。很清楚, 从被提供给许多不同个人的许多智能卡来说,这个类型的安全系统是 很容易受到个人或者诈骗者的攻击。目前对一个智能卡的攻击包括一 个过程,这个过程中,在一个分析阶段,对这个智能卡的芯片进行探 测以发现进行攻击的一个方法。在进行攻击的这个过程中,分析这个 芯片的布局设计来识别能够访问被包括在这个芯片中的数据的合适探 测点。其后,在一个准备阶段来计划进行攻击,并且最后在实际进行 攻击的阶段,读取这个芯片中的内容。虽然第一和第二步骤通常将花 费几个月,但是第三步骤将在一天内就能够完成。这意味着一旦第一 次破解了一个智能卡后,就能够很容易地进行第二次攻击。很清楚, 这在安全系统中是一个很严重的问题。因为,一旦一个智能卡已经被 识别为已经被破解,并且已经被控制系统所关闭,但是这个个人可以 在一个相对较短的时间内对另一个卡进行再一次攻击,由此进行获得 隐私或者进行诈骗。 另外,在现有安全系统中被使用的智能卡一般被提供了具有相同 基本硅片线路设计的一个芯片,即使这些智能卡被用于不同的应用。 如果例如,当对一特定类型的智能卡进行攻击而窃取了其银行信息时, 也可以使用窃取这个银行智能卡所获得的知识来用于从相同类型的智 能卡中读取安全信息,即使这个智能卡是用于一个不同的应用中,例 如在一个收费电视系统中。 本发明的目的是提供上述类型的一个安全系统,其中被一个人进 行攻击的脆弱性大大减小,并且其中对这个安全设备进行再一次的攻 击所需要的时间被大大增加了。 为了实现这个目的,本发明提供了上述类型的一个安全系统,其 特征在于在至少一部分所述安全设备中,一个安全设备的芯片具有一 个唯一的芯片线路设计。 使用这个方式,可以获这样一个安全系统,其中至少一部分安全 设备,优选是全部安全设备,被提供了一个芯片,这个芯片的安全设 备的电路设计是随机的。这意味着每一个安全设备的安全功能的硬件 实现都是不同的。 根据本发明的一个优选实施方式,以FPGA的技术来实现安全设 备所述部分的芯片的所述逻辑电路,其中这个设计是可以在FPGA电 路中进行编程的,编程可以在一个易挥发性存储器中,也可以在一个 非挥发性存储器中。 本发明进一步提供了一组安全设备来用于本发明的一个安全系 统,其中每一个所述安全设备包括一个芯片,这个芯片具有向一个安 全设备的所有者提供授权的功能的逻辑电路,其中在至少一部分所述 安全设备中,每一个安全设备的芯片具有唯一的线路图设计。 最后,本发明提供了一个方法来制造用于本发明的安全系统的一 个安全设备,其中使用了具有一个芯片的安全设备,所述芯片具有提 供到安全系统的授权的功能的逻辑电路,其中在至少一部分所述安全 设备中,一个安全设备的芯片具有一个唯一的线路图设计。 通过参考附图,将进一步详细描述本发明,其中在附图中,示意 性地显示了系统的一个实施方式和本发明的一个方法。 图1示意性地显示了包括本发明的一个安全系统的一个实施方式 的一个收费电视系统。 图2示意性地显示了在图1系统中,被用作安全设备的一个智能 卡的内部结构。 图3显示了本发明的这个方法的一个实施方式的一个图。 图1通过示例仅仅显示了一个广播系统,其中3个广播设备1-3 被连接到一个复用器单元4。复用器单元4包括用于对广播设备1-3 所提供的广播信号进行扰码,编码和压缩的装置,这样所获得的数字 数据流被复用到一个数字传送系统中。在所显示的这个实施方式中, 在进行传输前,用调制器5来对这个数字数据流进行调制。包括复用 器单元4和调制器5的这个设备的操作员负责将这个信号传送到公众 的接收设备,在图1所显示的示例中,是一个电视设备6。一个或者 多个广播设备1-3可以是根据收费电视的概念而工作的私人广播设 备,收费电视隐含了订阅的过程。这意味着希望观看由一特定广播设 备所广播的节目的人必须订阅这样的广播节目,并且付适当的费用。 如示意图所显示的,这个信号的传输可以通过一个或者多个电信 信道来传送,包括一个卫星链路7,陆地链路8或者一个电缆系统9。 访问广播设备1-3所提供的任何一个广播信号需要一个解码器 10,解码器10通常包括没有显示的、以一个固有的方式与智能卡11 进行合作的一个有条件的访问模块。智能卡11是在图1所显示的广播 系统中实现的一个安全系统的一个安全设备,这个安全设备用于禁止 没有订购这个广播的个人对收费电视进行非授权的访问。每一个用户 被提供了一个智能卡11,每一个智能卡11具有一个唯一的密钥和/或 者地址。例如,这个安全系统可以用本质上已知的一个方式、使用ECM 或者EMM来向授权用户提供对收费电视信号的访问,这个授权用户 具有能够提供对安全系统进行授权访问的装置的一个智能卡11。 如上面所解释的,这样一个安全系统能够被个人以拷贝一个原始 智能卡,由此提供数量很大的盗版智能卡的方式来进行攻击。为了大 大增加对一个智能卡进行再一次攻击所需要的时间,所描述的安全系 统具有安全设备或者智能卡11,每一个智能卡包括其逻辑电路具有以 一个传统的方式提供到系统的授权访问的功能的一个芯片。这个逻辑 电路可能包括电路来保存一个唯一的密钥,和/或者提供授权所需要的 算法和逻辑,例如,对在一个安全系统中(例如eurocrypt)所使用的 密钥层结构进行解密的算法。 图2以一个示意图的方式显示了一个智能卡11的内部结构,智能 卡11的这个芯片包括一个中央处理单元12,一个EEPROM电路13, 一个RAM电路14,一个安全单元15和随机总线和逻辑电路16。在 所描述的实施方式中,仅在安全单元15中提供了唯一的电路线路设计 图,其中例如,具有一个加密引擎和用于保存一个密钥的、易挥发性 存储部件。关于一个智能卡的这个结构的进一步解释,可以参考相同 申请人的欧洲专利申请97202854.2。 根据一个优选实施方式,这个安全单元的实现使用的是FPGA技 术(现场可编程门阵列)。安全单元5的FPGA电路被根据图3的图、 以一个通常的方式来对智能卡进行个性化定制。为了使智能卡11个性 化,唯一的信息被保存在这个安全单元中,这个唯一的信息包括一个 唯一的密钥,在安全系统中所使用的一个密钥解密算法或者类似的。 通常,按照如下的方法来对FPGA进行编程。首先,用一个高级语言, 例如C或者VHDL来写用于个性化的唯一信息。首先编译高级语言。 其后,这个信息被输入到一个合成工具以产生高级语言代码的一个逻 辑实现。这个逻辑实现一般包括逻辑电路,例如与门,或门,D寄存 器等等,这些门被组合在一起来产生正确的加密功能。其后,逻辑实 现被输入到一个构成一个特定FPGA的实际程序的一个布线程序。这 个文件将规定哪一个单元在FPGA内被互联,并且每一个单元是如何 被编程的。然后,依据所使用的特定FPGA技术,实际的程序文件在 加电后被载入到FPGA电路中,或者熔丝烧结在FPGA电路中。 一般,一个合成工具可以对相同的功能产生很多变化。在现有应 用中,这个合成工具被设计成产生具有最小数目门的逻辑,这显示具 有最佳的功率效率,具有最佳的速度性能或者上面两个的折衷。 根据本发明,一个变化因素,例如一个随机数,被引入到合成工 具中,以使合成工具所提供的线路图设计可以随芯片而变化。如图3 的图所示意性显示的,一个变化因素,例如一个随机数被输入到合成 工具,并且这产生了对该变化因素产生一组唯一的逻辑的合成工具。 一个新的变化因素被用于对安全系统的每一个智能卡11进行个性化。 使用这个方法,这个安全系统的智能卡11的安全单元15具有一个唯 一的逻辑电路线路图。 类似地,一个变化因素可以被输入到线路图设计工具中,这产生 对逻辑电路的线路图设计的进一步随机化。 另外,也可以在编译步骤中引入一个变化因素,以使到合成工具 的输入也是一个可变的输入。所有可能的变化均可以被分别使用或者 混合使用。 使用本发明的这个方法,个性化的步骤将一个唯一的密钥,密钥 的逻辑实现和/或者解密功能引入到智能卡11中,而这将产生对每一 个智能卡11是唯一的逻辑电路的线路图。使用这个方法,对一个安全 系统的每一次攻击所需要的时间被大大增加了,以使个人不能够使用 在对一第一智能卡进行攻击的一个分析阶段和一个准备阶段中所获得 的信息来对另一个智能卡进行攻击。 作为一个替代的方法,不是仅在安全单元中使用FPGA技术,而 是可以使用FPGA技术来制造智能卡的更多部分或者整个芯片,然后 可以使用上述的方法来进行随机化。 在一个优选实施方式中,使用了一个易挥发性FPGA,其中这个 FPGA程序被保存在智能卡11的RAM 14中,它被一个电池所供电, 正如安全单元15中的密钥的挥发性保存一样。在智能卡中包括本身已 知的保护陷阱将导致如果一个个人没有成功地克服这个芯片的活力保 护策略(thew protection strategy),芯片将导致RAM存储器中内容 的丢失和安全单元15中挥发性存储器中内容的丢失。由此,FPGA电 路中的程序就丢失。使用这个方法,通过攻击一个卡,也不能够收集 关于攻击另一个卡的任何信息。 尽管通过参考一个收费电视系统,在上面描述了本发明,但是, 本发明的安全系统可以在使用安全设备的任何安全系统中所使用,以 对安全设备的所有者提供授权,例如用于保护房间,建筑物,或者类 似的不被非授权进入的安全系统,银行卡等等。另外,尽管优选向每 一个智能卡提供一个唯一的线路图设计,也能够向一组卡提供一个唯 一的线路图设计。 所以,本发明不局限于上面所描述的实施方式,它们可以在权利 要求书的范围内进行很多变化。