PROCEDIMIENTO Y DISPOSITIVO PARA ADMINISTRAR UN DISPOSITIVO DE MEMORIA.

Procedimiento y dispositivo para administrar un dispositivo de memoria [001] La invención se refiere en general al campo de la administración de una memoria de datos que presenta varias palabras de memoria agrupadas en páginas de memoria y en la que, para escribir o regrabar una palabra de memoria, se requiere un acceso de lectura y/o borrado y/o escritura a toda la página de memoria en la que se halla la palabra de memoria en cuestión. La invención se refiere en particular al procesamiento de transacciones con, respectivamente, al menos una operación de escritura atómica, de tal modo que, en caso de interrumpirse una transacción, el contenido de la memoria se restaura a un estado que existiría si, al menos en lo relativo a sus operaciones de escritura atómicas, la transacción nunca hubiese tenido lugar. El campo de la invención se define más detalladamente en el preámbulo de la reivindicación 1. [002] Los sistemas compactos de recursos limitados, como los que se emplean por ejemplo en forma de tarjetas chip o módulos de mando para diversos aparatos, deben presentar por una parte un gran rendimiento con bajos costes y pequeñas dimensiones y garantizar por otra parte un funcionamiento seguro incluso en condiciones ambientales desfavorables. El requisito mencionado en segundo lugar motiva en particular que un corte de corriente repentino o cualquier otro fallo de funcionamiento no deba en ningún caso producir una corrupción de datos no prevista. Especialmente en relación con las tarjetas chip, éste es un requisito importante, porque en los sistemas de las tarjetas chip están en juego frecuentemente intereses de seguridad considerables y porque la separación encauzada de la tensión de alimentación de las tarjetas chip constituye un procedimiento de ataque bien conocido. [003] Las consideraciones de seguridad mencionadas se tratan por ejemplo en la especificación de la JavaCard de la empresa Sun Microsystems Inc. El documento "JavaCard 2.1.1 Runtime Environment (JCRE) Specification", revisión 1.0 del 18 de mayo de 2000 (disponible en http://java.sun.com/ products/javacard), especifica en la sección 7 una serie de requisitos concernientes a la administración de transacciones y accesos de escritura atómicos. Además, en el documento "JavaCard 2.1.1 Application Programming Interface", revisión 1.0 del 18 de mayo de 2000 (disponible también en la dirección indicada), se especifican métodos para iniciar, confirmar y cancelar una transacción, así como para la copia y el llenado atómicos y no atómicos de zonas. [004] Ya se conocen procedimientos de administración de memoria y tarjetas chip correspondientes a este estándar JavaCard. En un estado actual de la técnica de la solicitante, al menos interno de la empresa, se emplean tarjetas chip cuya memoria de datos está formada por una EEPROM registrable octeto a octeto. Al realizar una operación de escritura atómica durante una transacción se salva en primer lugar en una memoria tampón de recuperación (en inglés: commit buffer) el contenido original de las palabras de memoria que se van a sobrescribir. A continuación se sobrescriben octeto a octeto las palabras de memoria de la memoria de datos EEPROM. Si no es posible concluir con éxito este proceso de escritura, por ejemplo debido a un corte repentino de la alimentación de corriente, en el siguiente arranque de la tarjeta chip se utiliza la información almacenada en la memoria tampón de recuperación para restaurar el estado original de la memoria de datos. Si la transacción concluye con éxito, se borra esta información. [005] Este sistema con memoria de datos EEPROM pone además a disposición las operaciones de escritura no atómicas predefinidas según la especificación JavaCard durante una transacción en curso. En estas operaciones de escritura, los datos a escribir se graban sin protección de transacción directamente en las palabras de memoria de la memoria de datos EEPROM. Tales procesos de escritura no atómicos utilizan muy pocos recursos, porque no se requiere un espacio adicional en la memoria tampón de recuperación y además quedan suprimidos los procesos de transferencia de datos, escritura y administración necesarios para la protección de transacción. Una operación de escritura no atómica concluida con éxito dentro de una transacción no se anula ni en el caso de una posible interrupción posterior de la transacción, porque los datos almacenados en la memoria tampón de recuperación se refieren sólo a las palabras de memoria modificadas por las operaciones de escritura atómicas de la transacción. Aquí se presupone no obstante que las áreas de memoria afectadas por los procesos de escritura atómicos y no atómicos dentro de una transacción no se solapan. [006] Sin embargo, esta ejecución de la interfaz para programas de aplicación JavaCard presupone una memoria de datos registrable octeto a octeto y no puede trasladarse a otras técnicas de almacenamiento en las que los bits de una palabra de memoria se ponen individualmente en un único valor binario, por ejemplo el valor 1, pero respectivamente sólo pueden borrarse todos los bits de una página de memoria completa al otro valor binario, por ejemplo el valor 0. Esta limitación se encuentra por ejemplo en tarjetas chip cuya memoria de datos está configurada como una, así llamada, memoria FLASH. [007] Sin embargo, la utilización de memorias FLASH es deseable en particular para tarjetas chip de alto rendimiento, por ejemplo tarjetas chip que funcionen con técnica de 32 bits, porque, en comparación con las EEPROM convencionales, las memorias FLASH tienen considerables ventajas en lo que se refiere al tiempo de escritura, la tensión de programación necesaria y la densidad de almacenamiento alcanzable. Por lo tanto, existe la necesidad de poner la funcionalidad arriba descrita a disposición también de memorias de datos que empleen tecnología FLASH u otras tecnologías de almacenamiento con características similares. 2   [008] Según la nueva versión 2.2 de la especificación JavaCard, aparecida en junio de 2002, se admiten, en comparación con la versión 2.1.1, libertades considerablemente mayores en el tratamiento de operaciones de escritura no atómicas durante las transacciones en curso. Ahora, en caso de interrumpirse la transacción, ya no es necesario conservar el efecto de una operación de escritura no atómica concluida con éxito. Por regla general es más bien admisible que las áreas de memoria afectadas por operaciones de escritura no atómicas dentro de una transacción presenten un estado cualquiera, indefinido, tras una interrupción de la transacción o un suceso de corte (tear). Este comportamiento se describe en las secciones 7.5 y 7.6 del documento "JavaCard 2.2 Runtime Environment (JCRE) Specification", junio de 2002 (disponible en http://java.sun.com/products/javacard). [009] Sin embargo, una excepción a esta regla general la constituyen los accesos de escritura a áreas de datos críticas para la seguridad, por ejemplo accesos de escritura a contadores de intentos fallidos como los realizados por el método javacard.framework.pin.check. Una llamada de este método hace que un número de identificación personal (PIN = personal identification number) introducido por el usuario se compare con un número de identificación almacenado en la tarjeta chip. En caso de un intento fallido, o sea una falta de coincidencia entre los dos números, se disminuye el contador de intentos fallidos, como se describe en la página 98 del documento "JavaCard 2.2 Application Programming Interface" de junio de 2002. [0010] Si el acceso de escritura al contador de intentos fallidos se realiza durante una transacción en curso, el nuevo valor indicado por el contador de intentos fallidos no debe volver a modificarse en manera alguna en caso de producirse un suceso tear y el proceso de recuperación subsiguiente. Esto es válido también si el contador de intentos fallidos se halla en una página de memoria afectada por procesos de escritura atómicos durante la transacción. Por lo tanto, en la elección de palabras del presente documento, la escritura del contador de intentos fallidos es siempre un proceso de escritura irrevocable y no atómico, incluso aunque para ello se utilice en algunas configuraciones otra designación - por ejemplo system direct write (sistema de escritura directa) - por motivos relacionados con la técnica de implementación. [0011] En la elección de palabras del presente documento, el concepto operación de escritura no atómica debe entenderse en el sentido de la versión 2.1.1 de la especificación JavaCard, o sea como operación de escritura cuyo efecto se conserva en cualquier circunstancia, incluso en caso de una interrupción de la transacción. Por el contrario, las operaciones de escritura que podrían designarse como no atómicas según la versión... [Seguir leyendo]

1. Procedimiento para administrar una memoria de datos (12) de un soporte de datos portátil, en el que - la memoria de datos (12) está prevista con tecnología Flash o con una tecnología con características similares, - la memoria de datos (12) presenta un gran número de palabras de memoria (24, 26, 28), que están agrupadas en páginas de memoria (30, 32), - la memoria de datos (12) necesita, para la escritura de una palabra de memoria (24, 26, 28), en primer lugar leer y almacenar temporalmente toda la página de memoria en la que se halla la palabra de memoria, a continuación modificar la palabra de memoria en los datos almacenados temporalmente, borrar por completo la página de memoria y finalmente escribir de nuevo la página de memoria con los datos modificados, - el procedimiento soporta transacciones con, respectivamente, al menos una operación de escritura atómica, - al realizar una transacción se almacena en una memoria tampón de recuperación (14) respectivamente al menos una imagen de memoria (36) de cada página de memoria (30, 32) afectada por una operación de escritura atómica, estando la memoria tampón de recuperación (14) configurada también con tecnología Flash o con una tecnología con características similares y mostrando la imagen de memoria (36) el contenido de la página de memoria (30, 32) sin el efecto de la operación de escritura atómica, para, en caso de una interrupción de la transacción, permitir una recuperación del contenido de la memoria por lo que se refiere a la al menos una operación de escritura atómica de la transacción, caracterizado porque - el procedimiento soporta además operaciones de escritura atómicas y no atómicas dentro de una transacción, - creándose en la memoria tampón de recuperación (14) en el caso de una operación de escritura no atómica en una transacción ya comenzada, al menos cuando exista en la memoria tampón de recuperación (14) una imagen de memoria (36) de una página de memoria (30, 32) afectada por la operación de escritura no atómica dentro de la misma transacción, a partir de la imagen de memoria (36) existente, una imagen de memoria (44) modificada de acuerdo con la operación de escritura no atómica y que contiene las informaciones de la imagen de memoria original (36), habiendo sido modificadas no obstante las palabras de memoria por y según la operación de escritura no atómica a realizar dentro de la transacción y, en caso de un proceso de recuperación, escribiéndose de nuevo en la página de memoria (30, 32) la imagen de memoria modificada (44), de modo que, en caso de una recuperación del contenido de la memoria, se conservan los efectos en el contenido de la memoria de operaciones de escritura no atómicas concluidas con éxito dentro de la transacción. 2. Procedimiento según la reivindicación 1, en el que la imagen de memoria (36) existente en la memoria tampón de recuperación (14) se conserva al menos hasta que se ha creado la imagen de memoria modificada (44) y la misma se ha escrito con éxito en la memoria tampón de recuperación (14). 3. Procedimiento según la reivindicación 1 o la reivindicación 2, en el que la memoria tampón de recuperación (14) contiene en todo momento como máximo una imagen de memoria válida (36, 44) de cada página de memoria (30, 32). 4. Procedimiento según una de las reivindicaciones 1 a 3, en el que, en caso de una operación de escritura no atómica que afecte a una parte de una página de memoria (32) de la que no haya ninguna imagen de memoria en la memoria tampón de recuperación (14), en la memoria tampón de recuperación (14) se almacena una imagen de memoria temporal de la página de memoria (32), para, en caso de un fallo de la operación de escritura no atómica, permitir una recuperación de, al menos, la parte de la página de memoria (32) no afectada por la operación de escritura no atómica. 5. Procedimiento según una de las reivindicaciones 1 a 4, en el que, en caso de una operación de escritura no atómica que afecte a toda una página de memoria (32) de la que no haya ninguna imagen de memoria en la memoria tampón de recuperación (14), la página de memoria (32) afectada se sobrescribe sin ser salvada. 6. Procedimiento según una de las reivindicaciones 1 a 5, que pone a disposición métodos según la especificación JavaCard versión 2.2 o versión 2.1.1 en relación con la administración de transacciones y en relación con operaciones de escritura atómicas y no atómicas. 7. Procedimiento según una de las reivindicaciones 1 a 6, en el que, para escribir una parte de una página de memoria (30, 32) de la memoria de datos (12), en dicha la memoria de datos (12) se lee toda la página de memoria (30, 32) y se almacena temporalmente esta última, se borra toda la página de memoria (30, 32), se modifica la parte a escribir de los datos almacenados temporalmente y toda la página de memoria (30, 32) se escribe de nuevo con los datos modificados. 8. Procedimiento según una de las reivindicaciones 1 a 7, en el que está prevista una memoria caché para reunir en una sola página de memoria (30, 32) los efectos de múltiples operaciones de escritura atómicas, escribiéndose de nuevo en la página de memoria (30, 32) correspondiente una entrada (50) existente en la memoria caché a más tardar al producirse una confirmación de la transacción.   9. Procedimiento según una de las reivindicaciones 1 a 7, que además soporta operaciones de escritura libres durante transacciones en curso, que se realizan con una eficacia mayor que las operaciones de escritura no atómicas correspondientes, y en el que, en caso de una recuperación del contenido de la memoria a consecuencia de una interrupción de la transacción, no se conservan necesariamente los efectos en el contenido de la memoria de operaciones de escritura libres concluidas con éxito. 10. Procedimiento según la reivindicación 9, en el que está prevista una memoria caché para reunir en una sola página de memoria (30, 32) los efectos de múltiples operaciones de escritura atómicas y/o libres, escribiéndose de nuevo en la página de memoria (30, 32) correspondiente una entrada (50) existente en la memoria caché a más tardar al producirse una confirmación de la transacción. 11. Procedimiento según la reivindicación 8 o la reivindicación 10, en el que la memoria caché sirve además de memoria intermedia para la creación de la imagen de memoria modificada (44) en la memoria tampón de recuperación (14). 12. Procedimiento según una de las reivindicaciones 1 a 11, que se realiza mediante una unidad de proceso de un microcontrolador de una tarjeta chip, presentando la tarjeta chip además la memoria de datos (12), la memoria tampón de recuperación (14) y una memoria de programa, que contiene instrucciones de programa para el mando del microcontrolador. 13. Microcontrolador con una unidad de proceso y varias zonas de memoria, en el que las zonas de memoria ponen a disposición una memoria de datos (12), prevista con tecnología Flash o con una tecnología con características similares, una memoria tampón de recuperación (14), configurada también con tecnología Flash o con una tecnología con características similares, y una memoria de programa y en el que la memoria de programa contiene instrucciones de programa que hacen que la unidad de proceso ejecute un procedimiento según una de las reivindicaciones 1 a 12. 14. Soporte de datos portátil, en particular tarjeta chip, con un microcontrolador según la reivindicación 13. 11   12   13   14     16   REFERENCIAS CITADAS EN LA DESCRIPCIÓN La lista de referencias citada por el solicitante lo es solamente para utilidad del lector, no formando parte de los documentos de patente europeos. Aún cuando las referencias han sido cuidadosamente recopiladas, no pueden excluirse errores u omisiones y la OEP rechaza toda responsabilidad a este respecto. Documentos de patente citados en la descripción 17