具体实施方式

根据本公开的实施例，峰值电流检测器集成到例如电源管理集成电路(“PMIC”)的电源中，以检测施加于电源轨上的毛刺攻击。从电源接收电力的电子装置收到检测此类毛刺攻击的通知。例如，芯片上系统(“SoC”)等电子装置可以被配置成经由安全通信信道定期地检查电源的状态以获得检测到的峰值电流值，这允许安全电子装置检测那些攻击并相应地对威胁作出反应。在其它实施例中，电源可以被配置成从电子装置接收阈值，接着将此阈值与检测到的峰值电流值进行比较，以确定是否已出现毛刺攻击。然后，电源可以被配置成将加密消息发送到电子装置以指示已出现毛刺攻击。

对于集成电路(例如，SoC、微控制器、现场可编程门阵列(“FPGA”)等)而言，一种可能的恶意攻击情境为篡改提供到集成电路的电源电压以在装置内触发故障，这可能会导致对集成电路以及由集成电路控制的可能的其它装置的全部或部分访问。在一个或多个例子中，为了实施此类攻击，可以将电源更换为受攻击者完全控制的恶意电源。在一个或多个例子中，当集成电路与真正的电源通信时，恶意电源、毛刺机制、毛刺生成电路系统等可以用于连接到集成电路的电源端，而不是代替电源。

图2示出了描绘示例性体系结构的系统200，在所述体系结构中，电源耦合到电子装置以用于将电力提供到电子装置。电子装置可以实施于集成电路201上；并且电源202也可以实施于集成电路上。根据本公开的替代性实施例，整个系统200可以实施于单个集成电路上。集成电路201可以为其中防止经由电力攻击的黑客攻击至关重要的任何电子系统(例如，SoC、微处理器、微控制器、多媒体处理器、汽车领域中利用的处理器、FPGA或任何安全计算元件)。电源202可以包括电源管理集成电路(“PMIC”)，所述PMIC被配置成将已调节电力提供到集成电路201。

电源202可以被配置成通过至少一条电源线(在本文中也被称作“电力输出线”)将电力提供到集成电路201，并且在此非限制性例子中，提供了三条电源线，包括第一、第二和第三电源线203、204、205。系统200包括至少一个通信信道206，所述通信信道206提供电源202与集成电路201之间的通信。在一个或多个例子中，可以通过不止一个通信线路实施通信信道。根据本公开的替代性实施例，集成电路201可以使用电源线203、204、205中的一条或多条来提供通信信道的功能。在此例子中，如本领域的技术人员将熟悉的，可能需要适当的滤波以使供应的电力与通信信令分开。

电源202可以包括用于每条电源线的电压调节器电路207、208、209。电压调节器电路可以被配置成通过每条线提供不同的已调节电压。例如，第一电压调节器电路207可以被配置成提供1.8V，第二电压调节器电路208可以被配置成提供2.7V，并且第三电压调节器电路209可以被配置成提供3.3V。应了解，可以提供其它电压。电压调节器电路207、208、209可以处于控制器210的控制下，所述控制器210被配置成设置由调节器电路207、208、209输出的电压。

控制器210可以被配置成以加密方式通过通信信道206从集成电路201接收信令，所述加密方式如由加密/解密模块211和集成电路201的对应加密/解密模块213所提供的。例如，集成电路201与电源202之间的通信可以基于i2C通信方案。加密/解密模块211可以访问存储于安全存储器212中的预共享密钥，以用于在电源202与集成电路201之间建立安全通信。可以在制造时将预共享密钥编程到硬件中，可以在调试期间建立和存储预共享密钥，或在设置过程期间建立和存储预共享密钥，或在使用时或通过任何其它合适的方式获得预共享密钥。

集成电路201或具体而言，加密/解密模块213可以访问存储于安全存储器214中的预共享密钥，以用于在电源202与集成电路201之间建立安全通信。可以在制造时将预共享密钥编程到硬件中，可以在调试期间建立和存储预共享密钥，或在设置过程期间建立和存储预共享密钥，或在使用时或通过任何其它合适的方式获得预共享密钥。预共享密钥可以为对称或不对称类型。加密/解密模块213可以被配置成与集成电路201的控制器或处理器215通信。

在第EP19305481.4号欧洲专利申请中另外公开了前述PMIC与SoC的密码耦合，所述欧洲专利申请以引用的方式并入本文中。

集成电路201可以包括第一、第二和第三电源端，用以通过电源线203、204、205接收供应的电力。处理器215可以被配置成接收对通过电源线203、204、205中的一条或多条接收到的电力的测量。因此，集成电路201可以包括电压或功率传感器216、217、218，所述电压或功率传感器216、217、218耦合到相应的第一到第三电源端，用于确定由电源202供应的电压或电力。可以将来自所述传感器的电源信息提供到处理器215。

在一个或多个例子中，使用通信信道206的集成电路201被配置成基于存储于相应存储器212、214中的预共享加密密钥来提供电源202与集成电路201之间的加密通信。如将关于图6另外描述的，加密通信可以被配置成提供对电源202的认证。如果电源202通过认证，则集成电路201可以被配置成在正常模式下工作并且从电源202接收或持续从电源202接收电力。如果电源202未通过认证，则集成电路201可以被配置成进入篡改状态。

正常工作模式可以包括集成电路以第一功能性级别(例如完整功能性)工作。如本文中所使用，术语“篡改模式”和“篡改状态”是指集成电路的工作以某种预定或预编程的方式(例如，通过进入重置或安全模式，以(例如，相对于与正常工作模式相关联的第一功能性级别)降低的功能性级别工作，关闭、阻止自身从电源接收电力，和/或向外部系统传输错误、警告或故障消息)受到限制的任何集成电路工作模式。

本公开的实施例利用电源与集成电路之间的密码耦合，如关于图2所描述的。在以下描述中，关于PMIC将电力供应到SoC的系统实施方案描述了实施例。然而，本公开的实施例适用于以任何合适的电源配置和以如本文中先前所提及的任何集成电路来实施。

图3示出了耦合到集成电路30](例如，SoC)的电源(例如，PMIC)302。PMIC 302可以被配置成包括与电源202类似的组件，并且SoC 301可以被配置成包括与SoC 201类似的组件。本公开的实施例另外实施了耦合到一条或多条电源线的峰值检测器310，电力在所述电源线上从PMIC 302供应到SoC 301。为简单起见，在图3-图5B中，将关于单对电力线303(Vdd、GND)描述本公开的实施例。

图3描绘了本公开的实施例如何检测对电力线303进行毛刺攻击的尝试。根据本公开的实施例，峰值检测器310集成到PMIC 302中(即，峰值检测器310未被实施为PMIC 302外部的电路系统)，并且被配置成监测(例如，测量)与输出到电力输出线上的电压信号相关联的电流以便检测此类毛刺攻击的出现，从而使得此类毛刺攻击被在PMIC 302内实施的电路系统检测到。对此类毛刺攻击的检测以信号形式经由通信信道306从峰值检测器310传送到SoC 301。SoC 301可以被配置成以预定方式对关于此类毛刺攻击的检测作出反应。根据本公开的实施例，可以对此类毛刺攻击从PMIC 302中的峰值检测器310到SoC 301的传送进行加密，例如先前关于图2所描述的。

图4示出了根据本公开的某些实施例配置的PMIC 400的更详细框图。为简单起见，在此图中未详细描述SoC 301，并且已省略PMIC 400与SoC 301之间的电力线303的接地连接。PMIC 400可以被配置成执行此类电源的典型功能。例如，此类PMIC功能性401可以包括控制器和一个或多个电压调节器电路，类似于关于图2所描述的控制器210和电压调节器电路207-209。另外，PMIC 400可以配置有通信接口402，用于通过通信信道306与SoC 301通信。根据本公开的实施例，可以类似于如关于图2所描述的加密方式执行此类通信。

峰值检测器310被配置有耦合到在PMIC 400内实施的分流器404(例如，测量分流电阻器(R_Measure))的峰值电流检测器电路403。分流器404耦合到电力线303，以将电流变换成与峰值电流检测器电路403耦合的电压，所述峰值电流检测器电路403可以为适合于捕获电力线303上的短峰值的任何此类峰值电流检测器电路。例如，此峰值电流检测器电路可以通过在二极管上充电的电容器来实施，如本领域中众所周知的。实施例可以另外包括用以重置样本并保持存储空间(即，使电容器放电)的电路。可替换的是，此峰值电流检测器可以众所周知的方式通过运算放大器来实施。

可以由模数(“A/D”)转换器405将从峰值电流检测器电路403输出的电压值转换成数字值。然后，这些数字值可以由通信接口402通过通信信道306传送到SoC 301。如先前所描述的，通信接口402可以在将数字值传输到SoC 301之前对数字值进行加密。SoC 301可以被预编程为将这些数字值与预定阈值进行比较，以确定是否已检测到毛刺攻击。

本文中所公开的预定阈值可以被预编程到SoC或PMIC中。根据本公开的实施例，此类阈值可以表示希望由SoC从电源汲取的最大电流。在某些实施例中，此类阈值可以取决于SoC的特定工作模式。在某些工作模式下，SoC的计算负载可以更改SoC所需的功耗。因此，在本公开的某些实施例中，阈值可以由SoC动态地改变。以此方式，即使考虑到SoC的功耗可能会改变，本公开的实施例也能够检测毛刺攻击。

PMIC 400可以被配置成持续地或定期地发送表示由峰值电流检测器电路403测量的电压值的数字值，或峰值检测器310或通信接口402内的电路系统可以被配置成缓存这些数字值直至它们由SoC 301请求为止。可替换的是，系统可以被配置成使得响应于通信接口402通过通信信道306从SoC 301接收到的请求，由峰值检测器310生成数字值，例如关于图6所描述的。

图5A和图5B示出了本公开的实施例，在所述实施例中，在PMIC内执行峰值检测器电路的测量值与阈值的比较。

图5A示出了根据本公开的替代性实施例配置的PMIC 500的详细框图。为简单起见，在此图中未详细描述SoC 301。PMIC 500可以被配置成执行此类电源的典型功能。例如，此类PMIC功能性501可以包括控制器和一个或多个电压调节器电路，类似于关于图2所描述的控制器210和电压调节器电路207-209。另外，PMIC 500可以配置有通信接口502，用于通过通信信道306与SoC 301通信。根据本公开的实施例，可以类似于如关于图2所描述的加密方式执行此类通信。

在关于图5A和图5B的PMIC 500配置的实施例中，峰值检测器310被配置有耦合到在PMIC 500内实施的测量分流电阻器(R_Measure)504的峰值电流检测器电路503。分流电阻器504耦合到电力线303，以将电流变换成与峰值电流检测器电路503耦合的电压，所述峰值电流检测器电路503可以为适合于捕获电力线303上的短峰值的任何此类峰值电流检测器电路。例如，此峰值电流检测器电路可以通过在二极管上充电的电容器来实施，如本领域中众所周知的。实施例可以另外包括用以重置样本并保持存储空间(即，使电容器放电)的电路。可替换的是，此峰值电流检测器可以众所周知的方式通过运算放大器来实施。

由模拟比较器505比较从峰值电流检测器电路503输出的电压值，所述模拟比较器505被配置成将这些电压值与存储于阈值存储器或寄存器506中的阈值进行比较。此阈值可能已通过通信信道306从SoC 301传送。另外，可以加密方式通过通信信道306传输阈值，如关于图2类似地描述的。

由数模(“D/A”)转换器507将阈值转换成模拟值。随后由模拟比较器505(例如，运算放大器)将阈值的此模拟版本与电压值进行比较，所述模拟比较器505会将比较结果输出到通信接口502。

如果比较器505确定来自峰值电流检测器电路503的电压值超过阈值，则所述比较器505会输出对应的信号，所述信号由通信接口502通过通信信道306传输到SoC 301且所述信号可以加密方式传输。

SoC 301可以被预编程为响应于接收从PMIC 500接收到的指示电力线303上已出现可能的毛刺攻击的信号而采取适当的动作，例如通过进入篡改工作状态。

可替换的是，PMIC 500可以被配置成使得来自比较器505的信号被传递到PMIC功能性电路系统501，使得PMIC 500可以采取适当的动作，例如切断电压信号到电力输出线303上的输出或进行系统重置。

图5B示出了根据本公开的替代性实施例配置的PMIC 550的详细框图。为简单起见，在此图中未详细描述SoC 301。PMIC 550可以被配置成执行此类电源的典型功能。例如，此类PMIC功能性501可以包括控制器和一个或多个电压调节器电路，类似于关于图2所描述的控制器210和电压调节器电路207-209。另外，PMIC 550可以配置有通信接口502，用于通过通信信道306与SoC 301通信。根据本公开的实施例，可以类似于如关于图2所描述的加密方式执行此类通信。

在关于图5B的PMIC 550配置的实施例中，峰值检测器310被配置有耦合到在PMIC550内实施的测量分流电阻器(R_Measure)504的峰值电流检测器电路503。分流电阻器504耦合到电力线303，以将电流变换成与峰值电流检测器电路503耦合的电压，所述峰值电流检测器电路503可以为适合于捕获电力线303上的短峰值的任何此类峰值电流检测器电路。例如，此峰值电流检测器电路可以通过在二极管上充电的电容器来实施，如本领域中众所周知的。实施例可以另外包括用以重置样本并保持存储空间(即，使电容器放电)的电路。可替换的是，此峰值电流检测器可以众所周知的方式通过运算放大器来实施。

由模数(“A/D”)转换器508将从峰值电流检测器电路503输出的电压值转换成数字值，所述数字值将由比较器505进行比较，所述比较器505被配置成将这些电压值与存储于阈值存储器或寄存器506中的阈值进行比较。此阈值可能已通过通信信道306从SoC 301传送。另外，可以加密方式通过通信信道306传输阈值，如关于图2类似地描述的。

如果比较器505确定来自峰值电流检测器电路503的电压值超过阈值，则所述比较器505会输出对应的信号，所述信号由通信接口502通过通信信道306传输到SoC 301且所述信号可以加密方式传输。

SoC 301可以被预编程为响应于接收从PMIC 550接收到的指示电力线303上已出现可能的毛刺攻击的信号而采取适当的动作，例如通过进入篡改工作状态。

可替换的是，PMIC 505可以被配置成使得来自比较器505的信号被传递到PMIC功能性电路系统501，使得PMIC 505可以采取适当的动作，例如切断电压信号到电力输出线303上的输出或进行系统重置。

接下来参考图6，示出了可以关于先前在图2-图5B中描述的本公开的各种实施例实施的过程600的状态图。

在启动时，系统可以处于初始化(Init)状态601，其中可以认证PMIC与SoC之间的连接，如先前关于图2所描述的。在此初始化状态601期间，PMIC和SoC可以被预编程为在彼此之间传送一个或多个加密消息以提供PMIC的认证。如果PMIC通过认证(参见Auth：Pass路径)，则系统进入认证状态602，其中SoC可以被配置成在正常模式下工作并且从PMIC接收或持续从PMIC接收电力。如果PMIC未通过认证(参见Auth：Fail路径)，则SoC可以被配置成进入篡改工作状态605。因此，根据本公开的某些实施例，PMIC安全地耦合到SoC以防止黑客用恶意电源代替所述PMIC以执行攻击(例如，电源过大/不足、引入电力毛刺等)。然而，前述认证过程对于实施本公开的实施例来说不是必需的。

在系统已进入认证状态602时的另外的操作中，或在系统在正常模式下工作的任何时间，系统可以(例如，通过序列计数器)被配置成定期地进入GetPeak状态603，在所述GetPeak状态603下，SoC通过通信信道从PMIC发送对更新后的峰值电流值的请求。在PMIC没有在预定时间段(参见超时路径)内发送对此请求的响应或响应被破坏(参见破坏路径)(例如，响应并不符合预定的密码密钥交换)，则系统可以被配置成进入篡改状态605，这是因为可以假设已对PMIC尝试了某种恶意攻击。

然而，如果SoC的确从PMIC接收到峰值电流值(参见接收到路径)，则系统进入比较状态604，在所述比较状态604下，此值可以与阈值相比较，例如先前关于图4所描述的。在接收到的峰值电流值超过阈值(参见超过阈值路径)的情况下，系统可以进入篡改状态605。在接收到的峰值电流值小于或等于阈值(参见小于/等于阈值路径)的情况下，系统可以返回到认证状态602，或返回到系统继续进行正常操作的任何其它状态。可以在系统的整个操作中定期地重复前述测试循环。

根据本公开的某些实施例，代替SoC定期地请求峰值电流值，可以使更新后的峰值电流值的连续流从PMIC传送到SoC以用于与阈值进行比较。

根据关于图5A和图5B所描述的本公开的某些实施例，可以修改过程600，使得由比较器505在PMIC内执行比较状态604。

图7示出了展示系统200可以如何实施为设备700的一部分的简化示意图，其中集成电路201被配置成提供所述设备的功能性。设备700可以为车辆或用于车辆的雷达系统、多媒体系统、移动电话、路由器、交换器等。例如，确保设备700的安全可能是至关重要的。应了解，系统200还具有在前述示例性领域之外的应用，并且这些例子并不意图限制所述系统200的应用。

本公开的各方面提供了一种电源，包括：被配置成在电力输出线上输出电压信号的电路系统；被配置成监测与所述电压信号相关联的电流以发现出现毛刺的峰值检测器；以及被配置成从所述电源输出表示所述出现毛刺的信号的电路系统。被配置成输出所述信号的所述电路系统可以包括被配置成对所述信号进行加密的通信接口。所述峰值检测器可以包括峰值电流检测器电路，所述峰值电流检测器电路包括耦合到所述电力输出线的分流器。所述峰值检测器可以包括比较器，所述比较器被配置成将所述峰值电流检测器电路的输出与预定阈值进行比较。所述信号可以表示出现所述峰值电流检测器电路的所述输出超过所述阈值的情况。所述峰值检测器可以包括模数转换器，所述模数转换器被配置成产生表示所述峰值电流检测器电路的所述输出的数字信号，其中所述比较器被配置成将所述模数转换器的输出与所述预定阈值进行比较。所述峰值检测器可以包括：数模转换器，所述数模转换器被配置成将所述预定阈值转换成模拟值；以及模拟比较器，所述模拟比较器被配置成将所述模拟值与所述峰值电流检测器电路的所述输出进行比较。所述电源可以被实施为电源管理集成电路。

本公开的各方面提供了一种用于检测从电源管理集成电路(“PMIC”)给电压信号供电的电力输出线上出现的毛刺的方法，其中所述方法包括：由在所述PMIC内实施的峰值检测器监测与所述电压信号相关联的电流；对所述峰值检测器的输出进行加密；以及从所述PMIC传输加密输出。所述方法可以另外包括：由集成电路从所述PMIC接收所述加密输出；当从所述PMIC传输的所述加密输出指示与所述电压信号相关联的所述电流的电平超过预定阈值时，所述集成电路进入篡改工作状态，其中所述预定阈值表示希望由所述集成电路从所述PMIC汲取的最大电流。所述方法可以另外包括：将所述预定阈值从所述集成电路传输到所述PMIC；以及将来自所述峰值检测器的所述输出与所述预定阈值进行比较，其中从所述PMIC传输到所述集成电路的所述加密输出表示来自所述峰值检测器的所述输出与所述预定阈值的比较。所述方法可以另外包括：由所述集成电路将对来自所述峰值检测器的所述输出的请求发送到所述PMIC，其中从所述PMIC传输所述加密输出是响应于所述请求而执行的。所述方法可以另外包括在将所述集成电路的所述请求发送到所述PMIC之前对所述请求进行加密。

本公开的各方面提供了一种电源管理集成电路(“PMIC”)，包括：电压调节器电路，所述电压调节器电路被配置成将电压信号输出到电力输出线上；峰值检测器，所述峰值检测器被配置成测量所述电力输出线上的电流电平；以及通信接口，所述通信接口被配置成对来自所述峰值检测器的输出信号进行加密并且从所述PMIC传输加密输出信号。所述通信接口可以被配置成从所述PMIC外部的源接收表示阈值的通信信号。可以对所述通信信号进行加密，并且其中所述通信接口可以被配置成对所述通信信号进行解密以产生所述阈值。所述峰值检测器可以包括：数模转换器，所述数模转换器被配置成将所述阈值转换成模拟值；以及模拟比较器，所述模拟比较器被配置成将所述模拟值与来自所述峰值检测器的所述输出信号进行比较。所述峰值检测器可以包括：模数转换器，所述模数转换器被配置成将来自所述峰值检测器的所述输出信号转换成数字值；以及数字比较器，所述数字比较器被配置成将所述数字值与所述阈值进行比较。所述PMIC可以被配置成响应于所述电流电平超过所述阈值而切断所述电压信号到所述电力输出线上的输出。所述峰值检测器可以被配置成检测在所述电力输出线上出现的毛刺攻击。

已经描述了本公开的多个实施例。然而，应理解，在不脱离本公开的精神和范围的情况下，可以进行各种修改。因此，其它实施例在以下权利要求书的范围内。

除非明确陈述特定顺序，否则可以任何顺序执行图6中的指令、状态和/或流程图步骤和路径。同样，本领域的技术人员将认识到，虽然已论述了一个示例指令集/状态/路径，但是在本说明书中的材料可以多种方式组合以还产生其它例子，并且应在由此具体实施方式提供的上下文内来进行理解。

在一些示例实施例中，上文所描述的各种指令集/状态/路径实施为体现为可执行指令集的功能和软件指令，所述可执行指令集在计算机或以所述可执行指令编程且受所述可执行指令控制的机器上实现。例如，可以加载此类指令/状态/路径以用于在电源内的控制器(例如，PMIC内的控制器)和/或集成电路(例如，SoC)上执行。

在一个例子中，使本文中论述的一个或多个指令、状态、路径或步骤自动化。术语自动化或自动(和其类似变型)意味着使用计算机和/或机械/电气装置控制设备、系统和/或过程的操作，而不需要人类干预、观测、努力和/或决策。

应了解，据称将耦合的任何组件可以直接或间接地耦合或连接。在间接耦合的状况下，可以在据称将耦合的两个组件之间定位额外的组件。

除非上下文另外明确规定，否则单数形式“一(a/an)”以及“所述”包括多个提及物。如本文所使用，当在实体列表的上下文中使用时，术语“和/或”是指以单独或组合形式存在的实体。因此，例如，短语“A、B、C和/或D”分别包括A、B、C和D，而且还包括A、B、C和D的任何及所有组合和子组合。

本文中使用的标题仅用于组织目的，并且不意图用于限制说明书的范围。如本申请通篇所使用的，词语“可以”以准许性意义(即，意味着具有……的可能)而非强制性意义(即，意味着必须)来使用。类似地，词语“包括(include、including和includes)”意味着包括但不限于。

各种单元、电路或其它组件可以被描述为“被配置成”执行任务。在这些上下文中，“被配置成”是结构的广义引述，大体上意味着“具有”在工作期间执行任务的“电路系统”。因而，即使当单元/电路/组件当前不接通时，所述单元/电路/组件也可以被配置成执行任务。一般来说，形成对应于“被配置成”的结构的电路系统可以包括硬件电路。类似地，为描述的方便起见，各种单元/电路/组件可以被描述为执行任务。这些描述应被解释为包括词组“被配置成”。明显地，叙述被配置成执行一个或多个任务的单元/电路/组件并不意图援引35U.S.C.§112第六段对所述单元/电路/组件的解释。