本公开的各实施例涉及半导体设备。一种半导体设备,包括处理器单元、存储引导程序的存储器、复位控制器、和地址检查单元。该复位控制器基于复位请求控制用于该处理器单元的复位并且向将用于在复位释放后要执行的该引导程序的引导地址输出到该处理器单元。该地址检查单元对从该复位控制器输出的该引导地址执行篡改检查并且基于篡改检查结果输出引导地址错误信号。错误信号。错误信号。
【技术实现步骤摘要】
半导体设备
[0001]本专利技术涉及一种半导体设备,并且可以适用于例如用于执行引导程序的半导体设备。
技术介绍
[0002]近年来,汽车的安全性变得越来越重要。重要的是提高车载半导体设备的安全级别。
[0003]安全引导被认为是实现安全级别提高的技术中的一个。安全引导是用以在引导时确认程序认证以防止加载未经授权的程序的机制。安全引导是通过在复位释放后运行安全引导程序来实现的。安全引导程序存储在存储器中并且通过指定其起始地址来执行。在下文中,安全引导程序的起始地址被称为安全引导地址。
[0004]日本未审查专利申请公开第2008
‑
59300号(专利文件1)公开了一种用于在从低功耗模式返回到正常操作模式时从外部ROM或保存RAM读取引导程序的微型计算机。专利文献1的微型计算机具有地址切换电路,用于选择用于访问外部ROM中的引导程序的引导地址和用于访问保存RAM中的引导程序的引导地址。
技术实现思路
[0005]故障注入攻击是众所周知的安全攻击中的一者。将电压或噪声注入到设备中的故障注入攻击(Fault injection attack),可能会导致设备发生故障并且避开安全机制。故意注入半导体设备的噪声可能导致安全引导地址被篡改。例如,如果如专利文献1中公开的用于选择引导地址的地址切换电路被故意注入噪声,则可能选择非故意的引导地址。以此方式,引导地址被篡改,并且预期的安全引导可能无法执行。因此,可能无法验证要执行的程序的认证。此外,基于非故意引导地址的未授权程序可能会被执行。
[0006]从本说明书和附图的描述中,其他目的和新颖特征将变得显而易见。
[0007]根据一个实施例的半导体设备包括处理器单元、存储引导程序的存储器、复位控制器、和地址检查单元。复位控制器基于复位请求控制用于处理器单元的复位并且将用于在复位释放后要执行的引导程序的引导地址输出到处理器单元。地址检查单元对从复位控制器输出的引导地址执行篡改检查并且基于篡改检查结果输出引导地址错误信号。
[0008]在根据实施例的半导体设备中,可以提高半导体设备的安全级别。
附图说明
[0009]图1是示出根据第一实施例的半导体设备的配置示例的框图。
[0010]图2是示出根据第一实施例的地址检查单元的配置示例的框图。
[0011]图3是示出根据第一实施例的半导体设备的操作的流程图。
[0012]图4是示出根据第一实施例的修改示例的半导体设备的配置示例的框图。
[0013]图5是示出根据第一实施例的修改示例的地址检查单元的配置示例的框图。
[0014]图6是用于说明根据第一实施例的修改示例的地址检查单元的操作的时序图。
[0015]图7是用于说明根据第一实施例的修改示例的地址检查单元的操作的时序图。
[0016]图8是示出根据第二实施例的半导体设备的配置示例的框图。
[0017]图9是示出根据第二实施例的复位控制器的配置示例的框图。
[0018]图10是示出根据第二实施例的地址检查单元的配置示例的框图。
[0019]图11是示出根据第二实施例的半导体设备的操作的流程图。
[0020]图12是示出根据第二实施例的修改示例的处理器模块的配置示例的框图。
[0021]图13是示出根据第二实施例的修改示例的地址检查单元的配置示例的框图。
[0022]图14是示出根据第三实施例的半导体设备的配置示例的框图。
[0023]图15是示出根据第三实施例的复位控制器的配置示例的框图。
[0024]图16是示出根据第三实施例的地址检查单元的配置示例的框图。
[0025]图17是图示根据第三实施例的处理器模块的操作的流程图。
[0026]图18是示出根据第三实施例的修改示例的处理器模块的配置示例的框图。
[0027]图19是示出根据第三实施例的修改示例的地址检查单元的配置示例的框图。
具体实施方式
[0028]在下文中,将参考附图详细描述根据实施例的半导体设备。在说明书和附图中,相同或对应的形式元素由相同的附图标记表示,并且省略其重复描述。在附图中,为了便于描述,可以省略或简化配置。此外,至少一些实施例可以彼此任意组合。
[0029](第一实施例)
[0030]图1是示出根据第一实施例的半导体设备100的配置示例的框图。
[0031]本实施例的半导体设备100例如是具有安全引导功能的SoC(片上系统),并且是使用公知的半导体制造技术形成在一个半导体芯片上的半导体集成电路(LSI)。半导体设备100具有安全引导功能。
[0032]半导体设备100包括复位控制器(RSTC)10、处理器模块(PM)20、存储器(MEM)30、功能模块(FM)40和总线50。复位控制器20、处理器模块20、存储器30和功能模块40经由总线50彼此连接。
[0033]复位控制器10响应于从外部输入到半导体设备100的外部复位信号RES,生成用于半导体设备100的内部模块的复位信号RST。内部模块基于复位信号RST而被复位。响应于外部复位信号RES,复位信号RST被断言预定时段。当复位被释放时复位信号RST被否定。当复位被释放时,复位控制器10向处理器模块20输出安全引导地址BTA。安全引导地址BTA是在复位释放之后由处理器模块20执行的安全引导程序的起始地址。
[0034]处理器模块20包括处理器单元21和地址检查单元22。处理器单元21被配置为能够执行存储在存储器30中的程序。当复位被释放时,处理器单元21基于从复位控制器10输出的安全引导地址BTA访问存储器30,然后执行安全引导程序。
[0035]地址检查单元(ADCHK)22执行用于检查从复位控制器10输出的安全引导地址是否已经被篡改的篡改检查,并且基于检查结果来断言或否定引导地址错误信号ERR。处理器单元21基于错误信号ERR来确定是否执行安全引导程序。
[0036]存储器30存储由处理器模块20执行的程序。存储器30存储安全引导程序,用于检
查在复位释放后执行的程序的认证。例如,此类存储器30可以包括RAM(随机存取存储器)和ROM(只读存储器)。
[0037]功能模块40是用于执行特定处理的专用处理电路。此类功能模块40可以包括DMAC(直接存储器存取控制器)或图像处理电路。尽管图1中仅示出了一个功能模块,但是功能模块的数量不限于此。
[0038]如上面所描述的,总线50是半导体设备100的连接部件。例如,此类总线50可以包括符合AXI协议的AXI总线。总线50包括总线控制器(未示出)。例如,总线控制单元通过总线50接收由处理器单元21发出的存储器访问请求。总线控制单元基于来自处理器单元21的存储器访问请求来请求对存储器30的访问。
[0039]图2是示出根据本实施例的地址检查单元22的配置示例的框图。地址检查单元22包括比较电路2201。比较电路本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种半导体设备,包括:处理器单元;存储器,存储引导程序;复位控制器,被配置为基于复位请求控制用于所述处理器单元的复位,并且将用于在复位释放后要执行的所述引导程序的引导地址输出到所述处理器单元;以及地址检查单元,被配置为针对从所述复位控制器输出的所述引导地址执行篡改检查,并且基于篡改检查结果输出引导地址错误信号。2.根据权利要求1所述的半导体设备,其中所述地址检查单元包括引导地址期望值,并且将从所述复位控制器输出的所述引导地址与所述引导地址期望值进行比较,以生成所述篡改检查结果。3.根据权利要求1所述的半导体设备,其中所述处理器单元被配置为基于所述引导地址错误信号来确定是否执行所述引导程序。4.根据权利要求1所述的半导体设备,其中所述处理器单元被配置为当所述引导地址错误信号表明所述引导地址被篡改时,保持复位状态。5.根据权利要求1所述的半导体设备,还包括:总线,连接到所述处理器单元和所述存储器;其中所述处理器单元被配置为基于从所述复位控制器输出的所述引导地址生成存储器访问请求以输出到所述总线,并且其中所述地址检查单元被配置为针对由所述处理器单元生成的所述存储器访问请求中所包括的所述引导地址执行所述篡改检查。6.根据权利要求5所述的半导体设备,其中所述地址检查单元被配置为响应于当所述总线接收到所述存储器访问请求时发出的请求接收信号,而停止所述篡改检查。7.根据权利要求1所述的半导体设备,其中所述处理器单元是第一处理器单元,其中所述半导体设备还包括第二处理器单元,其中所述复位控制器包括:复位控制电路,被配置为基于所述复位请求来指示第一复位和第二复位并且生成复位标识信号以标识所指示的复位;以及...
【专利技术属性】
技术研发人员:森优树,久保悠司,森田浩史,
申请(专利权)人:瑞萨电子株式会社,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。