專利名稱:用于阻攔對安全asic 的物理攻擊的篡改檢測對策的制作方法
技術領域:
本發(fā)明總地涉及一種集成電路,并且更具體地說�����,本發(fā)明涉及將篡改檢測對策加入安全ASIC以阻攔物理攻擊的系統(tǒng)、設備以及方法���。篡改檢測對策建構了主動網(wǎng)格(active mesh)以覆蓋安全ASIC中的敏感區(qū)域�,并且通過時變代碼來驅動或配置主動網(wǎng)格��,從而對手可能不是很容易旁路主動網(wǎng)格并且攻擊敏感區(qū)域�。
背景技術:
專用集成電路(ASIC)可用于對安全敏感應用中的敏感數(shù)據(jù)進行處理、存儲以及通信�����,該安全敏感應用包括對有價值資產(chǎn)的信任操作�。此敏感數(shù)據(jù)可以包括賬號���、訪問碼���、私人信息、財務交易/平衡�����、權限管理、計量數(shù)據(jù)(例如能量�、單位)、保密程序算法以及其它信息�����。到此為止�,這種類型的安全ASIC已經(jīng)應用于許多種應用,例如電子銀行�、商業(yè)交易、付費電視訪問控制�、消費品認證或需要保護敏感區(qū)域的任何應用。竊賊或對手可能企圖通過篡改ASIC內的敏感區(qū)域來獲得對安全ASIC中的敏感數(shù)據(jù)的訪問��。為了阻攔這些篡改企圖��,敏感區(qū)域被金屬的遮蔽層選擇性地覆蓋�����,或者包含在包圍了整個ASIC的遮蔽封裝內��。對手需要探查通過遮蔽層或封裝以獲得對敏感區(qū)域和數(shù)據(jù)的未授權訪問�。在傳統(tǒng)的安全ASIC中,遮蔽層被配置為覆蓋敏感區(qū)域的傳導軌跡的網(wǎng)絡���。這些軌跡的每一條具有兩個端節(jié)點��,并且這兩個節(jié)點的一個節(jié)點由靜態(tài)邏輯電平(例如高電平或低電平)所驅動���,而另一個節(jié)點由感測電路所監(jiān)控��。當所檢測的電平與靜態(tài)邏輯電平不一致時�,軌跡被損壞以開路或短路到另一條軌跡����,因而,在遮蔽層上檢測到物理攻擊���。然而�����,上述篡改檢測對策通過監(jiān)控靜態(tài)邏輯電平僅檢測到遮蔽層中的傳導軌跡的開路或短路。使用聚焦離子束(FIB)機器連同侵入探查容易使這一對策無效���。當對手應用FIB機器來探查軌跡時�����,每個軌跡上的靜態(tài)邏輯電平可以被追蹤和被破解����,之后,對手可以將靜態(tài)邏輯電平直接應用在端節(jié)點上用于感測���,以旁路傳導軌跡��。更直接地��,對手甚至可以將軌跡的兩端短路以繞過這一對策�。由于剽竊技術越來越復雜��,從而這種簡單的對策不能用于有效地阻攔篡改企圖�����。結果是��,需要有競爭力的篡改檢測對策以相對較低的成本來防止對安全ASIC的未授權訪問�,具體地,防止對有利益的交易中所包括的安全ASIC的未授權的訪問�����。
發(fā)明內容
本發(fā)明的各個實施例總地涉及一種集成電路,并且更具體地說�,本發(fā)明涉及將篡改檢測對策加入安全ASIC以阻攔物理攻擊的系統(tǒng)、設備以及方法�����。具體地���,篡改檢測對策建構了主動網(wǎng)格以覆蓋安全ASIC中的敏感區(qū)域�?�;跁r變代碼來控制和監(jiān)控主動網(wǎng)格���,從而對手不能容易旁路主動網(wǎng)格并且攻擊敏感區(qū)域�。本發(fā)明的一個方面是一種篡改檢測方法��。通過隨機數(shù)字發(fā)生器(RNG)生成多個時變隨機數(shù)字���,并且根據(jù)這些隨機數(shù)字驅動和配置主動網(wǎng)格�。在篡改檢測周期期間�,關于由RNG直接提供的所述多個隨機數(shù)字來監(jiān)控所述主動網(wǎng)絡��。一有篡改企圖,則生成標記信號并且所述標記信號用于開始之后的反篡改動作���。本發(fā)明的一個方面是一種基于包括多根傳導金屬線的主動網(wǎng)格的篡改檢測系統(tǒng)��。所述篡改檢測系統(tǒng)還包括RNG�����、網(wǎng)格驅動器以及篡改感測單元���。所述RNG生成包括多個位的至少一個時變隨機數(shù)字。所述網(wǎng)格驅動器根據(jù)所述至少一個隨機數(shù)字以時變驅動模式來驅動所述主動網(wǎng)格�。所述篡改感測單元監(jiān)控從所述多根金屬線選擇的所有傳導金屬線,關于所述多個位中的相應位來校驗所述電壓�,以及生成標記信號。本發(fā)明的一個方面是一種基于包括多個電容器的主動網(wǎng)格的篡改檢測系統(tǒng)�。所述篡改檢測系統(tǒng)還包括RNG、網(wǎng)格驅動器以及篡改感測單元�。所述RNG生成至少兩個時變隨機數(shù)字。所述網(wǎng)格驅動器根據(jù)所述至少兩個隨機數(shù)字從所述多個電容器選擇至少兩個電容器����。所述篡改感測單元比較這兩個所選擇的電容器的電容量,檢測所述電容量之間的差異���,以及生成標記信號�����。已經(jīng)在此發(fā)明內容部分中一般性地描述了本發(fā)明的某些特征和優(yōu)點����;然而,在本申請中給出了附加特征��、優(yōu)點以及實施例����,或者根據(jù)本申請的附圖、說明書以及權利要求書��,附加特征���、優(yōu)點以及實施例對本領域技術人員而言將是顯而易見的�。因此����,應理解的是,本發(fā)明的范圍不應受在此發(fā)明內容部分中公開的特定實施例的限制。
將對本發(fā)明的實施例做出參考����,可以在附圖中示出這些實施例的示例��。這些附圖意圖是說明性的��,而非限制性的���。盡管在這些實施例的上下文中一般性地描述了本發(fā)明���,然而應理解的是,其不意圖將本發(fā)明的范圍限制到這些特定實施例���。圖(“FIG”)IA示出了根據(jù)本發(fā)明的各實施例的�����、包括由三個主動網(wǎng)格所保護的三個敏感區(qū)域的安全ASIC芯片的示例圖像��。圖1B示出根據(jù)本發(fā)明的各實施例的安全ASIC芯片中的敏感區(qū)域的示例截面�。圖2A示出根據(jù)本發(fā)明的各實施例的主動網(wǎng)格的示例配置��。圖2B示出根據(jù)本發(fā)明的各實施例的篡改的主動網(wǎng)格的示例配置����。圖3A示出根據(jù)本發(fā)明的各實施例的���、應用于主動網(wǎng)格上的驅動電壓的示例時序圖。圖3B示出根據(jù)本發(fā)明的各實施例的����、應用于主動網(wǎng)格上的驅動電壓的另一個示例時序圖。圖4示出根據(jù)本發(fā)明的各實施例的���、基于電容器組的主動網(wǎng)格的示例圖���。圖5示出根據(jù)本發(fā)明的各實施例的、基于主動網(wǎng)格的時變控制的篡改檢測系統(tǒng)的示例方框圖��。圖6示出根據(jù)本發(fā)明的各實施例的篡改檢測方法的示例流程圖���。
具體實施例方式在下面的描述中�����,為便于解釋�,給出了具體細節(jié),以便提供對本發(fā)明的理解���。然而���,對本領域技術人員而言很明顯的是,也可以在沒有這些具體細節(jié)的情況下實現(xiàn)本發(fā)明����。本領域技術人員將認識到��,可以以各種方式并使用各種結構來執(zhí)行在下文中描述的本發(fā)明的實施例����。本領域技術人員還將認識到,由于附加修改�、應用以及實施例為本發(fā)明可以提供實用性的附加領域,從而附加修改���、應用以及實施例也在本發(fā)明的范圍內�����。因此�,下文描述的實施例是對本發(fā)明的特定實施例的說明并意欲避免模糊本發(fā)明。說明書中對“一個實施例”或“實施例”的引用意味著結合該實施例所描述的特定特征����、結構、特性或功能包括在本發(fā)明的至少一個實施例中����。在說明書中的各個位置中出現(xiàn)的用語“在一個實施例中”、“在實施例中”等不一定均指代相同實施例����。此外,附圖中的組件之間或方法步驟之間的連接不限于直接地實現(xiàn)的連接���。替代地�,可以通過附加中間組件或方法步驟的連接來修改或以其他方式改變在附圖中示出的組件之間或方法步驟之間的連接���,而不偏離本發(fā)明的教導�����。本發(fā)明的各實施例涉及將篡改檢測對策加入安全ASIC以阻攔入侵攻擊的系統(tǒng)�、設備以及方法�����。使用位于包含在安全ASIC中的敏感區(qū)域上方的至少一個金屬層來形成主動網(wǎng)格。主動網(wǎng)格可以包括通過隨機生成的滾動碼所驅動的直線����。主動網(wǎng)格還可以被配置成電容器組,并且在篡改檢測周期期間根據(jù)滾動碼隨機選擇并比較至少一個電容器群���。結果是����,在安全ASIC中的主動網(wǎng)格中加入時變網(wǎng)格配置和/或時變驅動模式����,以有效地增強安全ASIC的安全級別并降低其被篡改的機會�����。圖1A示出了根據(jù)本發(fā)明的各實施例的���、包括由三個主動網(wǎng)格所保護的三個敏感區(qū)域的安全ASIC芯片的示例圖像100���。安全ASIC100包括三個敏感區(qū)域���,在這三個敏感區(qū)域中以保密工藝來處理或存儲敏感數(shù)據(jù)。主動網(wǎng)格102-106布置在這些敏感區(qū)域上方����。對手必須打破這些主動網(wǎng)格來獲得對下方的電路和信號的訪問。在本發(fā)明的各實施例中�����,將由主動網(wǎng)格下方的安全ASIC100可靠地檢測到對這些主動網(wǎng)格的任何物理攻擊�����。在某些實施例中����,主動網(wǎng)格不限于僅覆蓋敏感區(qū)域。主動網(wǎng)格可以覆蓋非敏感區(qū)域作為偽裝來迷惑對手���。在另一個實施例中���,整個ASIC僅由一個主動網(wǎng)格所覆蓋。圖1B示出根據(jù)本發(fā)明的各實施例的安全ASIC芯片中的敏感區(qū)域的示例截面150��。安全ASIC芯片設立在ASIC基板152上,在ASIC基板152上可以制造PMOS晶體管154和NMOS晶體管156�����。在大多數(shù)最先進的ASIC中��,基板由硅制成��。晶體管154和156用于設立對敏感數(shù)據(jù)進行處理的信號處理電路����。在IC基板152上方按序制造多個多晶硅層(例如多晶1、多晶2)和金屬層(例如金屬1-5),作為晶體管154和156的柵極和/或互連��。分別的多個多晶硅層和金屬層隨著各ASIC芯片的制造工藝而改變�����。主動網(wǎng)格102-106可以集成在至少一個金屬層中��,并且它們的相關驅動和感測電路包含在下方的信號調理電路中�。中間金屬和多晶硅層用于將主動網(wǎng)格102-106耦合到驅動和感測電路����。在某些實施例中���,主動網(wǎng)格102-106不限于一個金屬層,而是可由兩個或更多個金屬層形成��。本領域技術人員了解到�����,盡管可以由頂部金屬層下方的任何其他金屬層形成主動網(wǎng)格102-106����,然而優(yōu)選使用頂部金屬層形成主動網(wǎng)格102-106。在某些實施例中���,多晶硅層用于耦合主動網(wǎng)格102-106���,但是并非直接形成主動網(wǎng)格102-106。圖2A示出根據(jù)本發(fā)明的各實施例的主動網(wǎng)格的示例配置200���。主動網(wǎng)格包括從左到右覆蓋下方敏感區(qū)域的12根直接傳導金屬線�。這12根金屬線可選地由它們左端節(jié)點上的邏輯低電平和邏輯高電平靜態(tài)地驅動�。在右端節(jié)點處監(jiān)控電壓電平,并且在此特定實施例中�,根據(jù)相應驅動電壓在邏輯低電平和邏輯高電平之間交替���。
圖2B示出根據(jù)本發(fā)明的各實施例的篡改的主動網(wǎng)格的示例配置250。在12根傳導金屬線中����,物理攻擊主動網(wǎng)格以獲得對安全ASIC中的下方敏感區(qū)域進行未授權訪問的對手損壞六根線(從上開始數(shù)的第6-11根線),從而使這六根線開路����。如果對手沒有采取任何措施來掩護攻擊,則通過監(jiān)控這六根線的右端節(jié)點處的電壓����,一般容易識別這種篡改企圖。然而����,在本實施例中,對手分別將偶數(shù)線和奇數(shù)線短路���,并將這兩組線耦合到兩根附近的并未動過的偶數(shù)線和奇數(shù)線。結果是�,在此配置下,可以成功地偽裝篡改企圖��,而并未被檢測到。圖3A示出根據(jù)本發(fā)明的各實施例的�、應用于主動網(wǎng)格上的驅動電壓的示例時序圖300。通過邏輯低電平和邏輯高電平分別驅動奇數(shù)線和偶數(shù)線����,并且此驅動模式在時間周期T0-T9上保持穩(wěn)定。由于其可預言性和穩(wěn)定性�����,從而基于這種驅動模式的安全IC容易旁路(例如圖2B )����,并且容易受到未授權訪問的攻擊。圖3B示出根據(jù)本發(fā)明的各實施例的��、應用于主動網(wǎng)格上的驅動電壓的另一個示例時序圖300���。主動網(wǎng)格包括從左到右覆蓋安全ASIC中的敏感區(qū)域的12根傳導直線��。隨機性和不可預測性被引入主動網(wǎng)格的驅動模式��。這12根線的驅動電壓基于無規(guī)律邏輯電平�,而并未使用交替靜態(tài)電平,這些無規(guī)律邏輯電平也是時變的�����??梢愿鶕?jù)12-b 二進制數(shù)來生成這些線的無規(guī)律邏輯電平,并且最高有效位和最低有效位分別與頂部和底部導線(線I和12)相關聯(lián)���。此12-b 二進制數(shù)在時間TO為000000010000 ;并且在之后的八個篡改檢測周期期間按序變化為001000000001����、001000100000����、000101010001、000000001000��、000000000000�、000000001000 以及000000000010 ;并在時間T9處達到000000000010。結果是����,不僅在一個周期內在多根導線之間加入了隨機性和不可預測性,并且針對每根單獨導線的連續(xù)周期期間也加入了隨機性和不可預測性���。時變驅動模式給對手施加了很大的挑戰(zhàn)����。大多數(shù)傳統(tǒng)篡改企圖依賴的是使被攻擊的區(qū)域旁路的方法�����,但是這一方法在企圖攻擊采用時變驅動模式的主動網(wǎng)格中沒有用���。此夕卜���,為了實施這種驅動模式,需要附加數(shù)字電路模塊并可以將附加數(shù)字電路模塊集成在現(xiàn)有ASIC基板上�。電路模塊的成本和電力可以保持在合理的水平上。圖4示出根據(jù)本發(fā)明的各實施例的��、基于電容器組的主動網(wǎng)格400的示例圖����。主動網(wǎng)格400包括以6欄和4行布置的24個相同的電容器(C1-C24),并且保護在此主動網(wǎng)格下方的敏感區(qū)域�����。選擇兩個金屬層以形成電容器組,并且每個電容器的頂部電極和底部電極經(jīng)由中間金屬和多晶硅層路由到下方ASIC基板上的電子器件�。通過電容器的面積和將這兩個金屬層分開的介電層的厚度,來確定每個電容器的電容量����。在篡改檢測周期期間,隨機選擇電容器群用于比較�。并未動過的電容器對內的兩個電容器共享基本相等的電容量。一有篡改企圖�,所述電容器的至少一個電容量由于電容器面積或介電厚度的變化而變?yōu)椴煌怠=Y果是����,該對中的兩個電容器的電容量彼此不同。所選擇的電容器對內的這種差異指示發(fā)生了篡改企圖并且影響了所選擇的電容器對內的至少一個電容器���。在本發(fā)明的各個實施例中��,在一個篡改檢測周期期間可以選擇并監(jiān)控一組電容器對��?�?梢葬槍θ恐鲃泳W(wǎng)格400映射每個電容器對內的差異���,因此�,該差異用于指示篡改企圖的位置和受到影響的區(qū)域��。在某些實施例中��,僅隨機選擇有限數(shù)量(例如4個)電容器對用于比較�����,以獲得快速檢測速率����??梢噪S時間改變電容器的選擇,以得到時變網(wǎng)格配置��。在連續(xù)篡改檢測周期期間�,隨機選擇多個電容器對。對于對手而言�����,預測將會監(jiān)控哪些電容器非常困難���,結果是�,對手不能對篡改企圖正確地生成偽裝信號。不管時變網(wǎng)格配置對篡改企圖的魯棒性�,時變網(wǎng)格配置都可能需要模擬信號處理器。與用于生成驅動模式的數(shù)字電路模塊相比較����,模擬信號處理器可能消耗更多電力。圖5示出根據(jù)本發(fā)明的各實施例的���、基于主動網(wǎng)格502的時變控制的篡改檢測系統(tǒng)500的示例方框圖����。篡改檢測系統(tǒng)500包括主動網(wǎng)格502���、隨機數(shù)字發(fā)生器(RNG)504����、網(wǎng)格驅動器506以及篡改感測單元508����。在連續(xù)的篡改檢測周期期間,由時變網(wǎng)格配置和/或驅動模式控制主動網(wǎng)格502�,從而對手不能容易地預測并損壞反篡改對策。主動網(wǎng)格502包括布置在安全ASIC的敏感區(qū)域上方的導線或電容器的陣列�����。使用最初存在于安全ASIC中作為互連材料的金屬層,來形成主動網(wǎng)格502��。使用中間金屬和多晶硅層�����,將每根導線的兩端節(jié)點和每個電容器的兩個電極路由到位于ASIC基板內的金屬層下方的集成電路�����。RNG504生成至少一個隨機數(shù)字510��,以用時變網(wǎng)格配置和/或驅動模式來驅動主動網(wǎng)格502���。在一個實施例中,生成12-b 二進制隨機數(shù)字�,以驅動在主動網(wǎng)格502中包含的十二根平行導線的各自端節(jié)點。每一位與在各自端節(jié)點處應用的邏輯電平相關聯(lián)��。監(jiān)控每根導線的另一端節(jié)點處的邏輯電平并將該邏輯電平與RNG504所提供的12-b 二進制數(shù)字中的相應位相比較�。在另一個實施例中,通過RNG504生成介于I和24之間的四對隨機數(shù)字510����。每個隨機數(shù)字與被用作主動網(wǎng)格502的6X4個電容器組中的一個電容器相關聯(lián)���。比較每對中的電容器,并且電容器的電容量中的差異可以與篡改企圖相關聯(lián)�。在上述兩個實施例中,在連續(xù)篡改檢測周期期間�,隨機數(shù)字510改變,因此����,可以相應對驅動模式和網(wǎng)格配置進行隨機編程。網(wǎng)格驅動器506耦合在RNG504與主動網(wǎng)格506之間��。在某個檢測周期中����,網(wǎng)格驅動器506從RNG504接收到至少一個隨機數(shù)字510,確定驅動模式和網(wǎng)格配置��,并相應地控制主動網(wǎng)格502�。基于隨機數(shù)字510���,網(wǎng)格驅動器506用時變驅動模式和/或時變網(wǎng)格配置來控制主動網(wǎng)格502���。在一個實施例中�����,網(wǎng)格驅動器506還可以包括狀態(tài)機���,以控制驅動模式和網(wǎng)格配置的暫態(tài)變化。還可包含高速緩沖存儲器或數(shù)據(jù)寄存器���,以存儲按序地用來配置或驅動主動網(wǎng)格502的多個隨機數(shù)字510����。篡改感測單元508耦合RNG504和主動網(wǎng)格502 二者����。在某個篡改檢測周期期間���,篡改感測單元508從RNG504接收隨機數(shù)字510��,確定感測節(jié)點��,并且根據(jù)隨機數(shù)字510來校驗感測節(jié)點處的輸出�����。在一個實施例中���,根據(jù)隨機數(shù)字510�,由時變驅動模式來驅動主動網(wǎng)格502中的多根平行導線�����。篡改感測單元508可以選擇多根導線用于監(jiān)控或掃描經(jīng)過所有可用導線����。在每個檢測周期期間,將感測節(jié)點處的輸出與由RNG504直接提供的隨機數(shù)字510中的相應位進行比較��,并且它們之間的不一致很有可能與篡改企圖相關聯(lián)���。這一時變驅動模式可以用于檢測和阻攔許多篡改企圖����,篡改企圖例如為將一個特定感測節(jié)點短路到一根附近的導線并將恒定電壓應用在所感測的線上����。
在另一個實施例中��,根據(jù)RNG504所提供的隨機數(shù)字510�����,通過網(wǎng)格驅動器506從主動網(wǎng)格510選擇電容器對����。篡改感測單元508包括至少一個電容量比較器��,該電容器比較器耦合到根據(jù)隨機數(shù)字510所選擇的一個電容器對��。一有篡改企圖����,則通過電容量比較器檢測到電容器對中的兩個電容量之間的差異。篡改感測單元508輸出指示是否檢測到篡改企圖的標記信號�。在本發(fā)明的各實施例中����,篡改企圖可以被正確的識別為主動網(wǎng)格502內的某根線或某個電容器。之后�����,可以應用標記信號,以使能包括擦除敏感數(shù)據(jù)�、觸發(fā)不可屏蔽中斷、將值寫入標記寄存器�、跳過被篡改的功能塊、重置安全ASIC以及運行專用代碼的多個動作����。主動網(wǎng)格502集成在ASIC基板上方的金屬層中,而隨機數(shù)字發(fā)生器504��、網(wǎng)格驅動器506以及篡改感測單元508實現(xiàn)在ASIC基板上����。主動網(wǎng)格經(jīng)由使用中間金屬和多晶硅層所形成的路由路徑而耦合到篡改檢測系統(tǒng)500中的這些集成電路。主動網(wǎng)格502中的導線和電容器經(jīng)由也包含在ASIC基板中的模擬開關耦合到下方的集成電路�。在一個實施例中,對于每根導線��,模擬開關包含在網(wǎng)格驅動器506中����,控制為將時變驅動模式耦合到該線的端節(jié)點。另一個模擬開關包含在篡改感測單元508中�����,并耦合用于感測該線的另一個端節(jié)點處的電壓。在另一個實施例中�,主動網(wǎng)格502中的所有電容器的一個相應電極共享接地。另一個電極耦合到相應模擬開關����。這些模擬開關根據(jù)隨機數(shù)字510被網(wǎng)格驅動器506使能,并用于將電容器耦合到篡改感測單元508中的電容量比較器�����。因此���,這些模擬開關可以被看作網(wǎng)格驅動器506的一部分或篡改感測單元508的一部分����。本領域技術人員也了解到���,主動網(wǎng)格502也可被實施為以與示例電容器組400類似的配置進行布置的電阻器陣列��。根據(jù)RNG510生成的至少一個隨機數(shù)字來選擇電阻器,并將電阻器配置為形成電阻器橋或串�����。網(wǎng)格驅動器506可以以特定方式驅動電阻器橋或串,例如根據(jù)至少一個隨機數(shù)字的時變驅動模式�����。篡改感測單元508監(jiān)控電阻器橋或串內的節(jié)點處的電壓����,以校驗節(jié)點處的電壓是否與電阻器橋或串的配置和驅動模式一致。因而���,對電阻器陣列(即主動網(wǎng)格502)中的每個電阻器識別篡改位置���。圖6示出根據(jù)本發(fā)明的各實施例的篡改檢測方法的示例流程圖600。篡改檢測方法600基于使用時變代碼(即隨機數(shù)字)來驅動或配置主動網(wǎng)格�����。從ASIC基板上方的金屬層制造主動網(wǎng)格����,并且主動網(wǎng)格用于保護下方的敏感電路區(qū)域。在一個實施例中���,主動網(wǎng)格包括由一個金屬層制成的平行傳導金屬線�����。在另一個實施例中����,主動網(wǎng)格包括由至少兩個金屬層制成的電容器組。在步驟604處���,通過RNG生成隨機數(shù)字���,并且此數(shù)字隨著篡改檢測周期而改變。在每個檢測周期期間��,在步驟606處�����,根據(jù)隨機數(shù)字驅動或配置主動網(wǎng)格�。在某些實施例中,通過隨機數(shù)字隨機確定電容器組中的導線或電容器對的驅動模式���,并且當隨機數(shù)字在檢測周期上改變時變?yōu)椴豢深A測的���。在步驟608處,監(jiān)控配置的主動網(wǎng)格�。對于導線,感測到電壓電平并且基于隨機數(shù)字用驅動模式校驗電壓電平����。對于電容器組,在電容器比較器中比較任意選擇的電容器對中的兩個電容器�����。在步驟610處���,來自步驟608的監(jiān)控結果用于確定之后的步驟�。當監(jiān)控結果與隨機數(shù)字一致時�����,步驟610跟隨從步驟604開始的另一個篡改檢測周期���。然而��,當監(jiān)控結果與隨機數(shù)字不一致時���,在步驟612處檢測到篡改企圖��。結果是�����,篡改檢測處理終止�����,并且輸出標記信號以使能一系列的反篡改動作��。 盡管本發(fā)明允許各種修改和替代形式���,然而在附圖中已經(jīng)示出本發(fā)明的特定示例并且在本申請中已經(jīng)詳細描述了本發(fā)明的特定示例。然而���,應該理解�����,本發(fā)明不限于公開的特定形式�����,反之���,本發(fā)明覆蓋落入所附權利要求書的范圍內的所有修改��、等同以及替代。
權利要求
1.一種檢測安全專用集成電路(ASIC)中的篡改企圖的方法����,包括如下步驟: 生成隨時間改變的多個隨機數(shù)字; 根據(jù)所述多個隨機數(shù)字驅動和配置主動網(wǎng)格����,所述主動網(wǎng)格覆蓋所述安全ASIC中的敏感區(qū)域; 關于所述多個隨機數(shù)字來監(jiān)控所述主動網(wǎng)絡�����;以及 生成指示所述篡改企圖的標記信號�。
2.按權利要求1所述的檢測所述篡改企圖的方法,其中所述主動網(wǎng)格是由所述安全ASIC的基板上方的至少一個金屬層制成的��,并且經(jīng)由中間金屬和多晶硅層路由到所述基板中的集成電路����。
3.按權利要求1所述的檢測所述篡改企圖的方法����,包括多根傳導金屬線��。
4.按權利要求3所述的檢測所述篡改企圖的方法����,其中所述多個隨機數(shù)字中的至少一個隨機數(shù)字包括多個位,并且驅動和配置所述主動網(wǎng)格的步驟還包括如下步驟: 以所述多個位中的一位確定的邏輯電平來驅動所述多根傳導金屬線中的每根傳導金屬線的第一端節(jié)點��。
5.按權利要求4所述的檢測所述篡改企圖的方法����,其中監(jiān)控所述主動網(wǎng)格的步驟還包括如下步驟: 監(jiān)控從所述多根傳導金屬線選擇的至少一根傳導金屬線的第二端節(jié)點處的電壓; 關于所述多個位中的相應位來校驗所述電壓��;以及 生成標記信號�����。
6.按權利要求1所述的檢測所述篡改企圖的方法����,其中所述主動網(wǎng)格包括多個電容器。
7.按權利要求6所述的檢測所述篡改企圖的方法,其中所述多個隨機數(shù)字包括第一隨機數(shù)字和第二隨機數(shù)字�����,并且驅動和配置主動網(wǎng)格的步驟還包括如下步驟: 根據(jù)所述第一隨機數(shù)字和所述第二隨機數(shù)字從所述多個電容器選擇第一電容器和第二電容器��。
8.按權利要求7所述的檢測所述篡改企圖的方法�,其中監(jiān)控所述主動網(wǎng)格的步驟還包括如下步驟: 比較所述第一電容器和所述第二電容器的電容量; 檢測所述電容量的差異����;以及 生成標記信號��。
9.一種保護安全專用集成電路(ASIC)中的敏感區(qū)域的桌改檢測系統(tǒng)���,包括: 主動網(wǎng)格����,包括多根傳導金屬線��,所述主動網(wǎng)格覆蓋所述敏感區(qū)域���; 隨機數(shù)字發(fā)生器(RNG)�����,生成至少一個隨機數(shù)字�����,所述至少一個隨機數(shù)字包括多個位并且隨時間改變����; 網(wǎng)格驅動器,耦合在所述主動網(wǎng)格與所述RNG之間����,所述網(wǎng)格驅動器根據(jù)所述至少一個隨機數(shù)字以時變驅動模式來驅動所述主動網(wǎng)格,其中以所述多個位中的一位確定的邏輯電平來驅動所述多根傳導金屬線中的每根傳導金屬線的第一端節(jié)點���;以及 篡改感測單元���,稱合到所述主動網(wǎng)格與所述RNG 二者,所述篡改感測單元監(jiān)控從所述多根金屬線選擇的至少一根傳導金屬線的第二端節(jié)點處的電壓,關于所述多個位中的相應位來校驗所述電壓��,以及生成標記信號��。
10.按權利要求9所述的篡改檢測系統(tǒng)����,其中所述主動網(wǎng)格是由所述安全ASIC的基板上方的至少一個金屬層制成的���,并且經(jīng)由中間金屬和多晶硅層路由到所述基板中的集成電路。
11.按權利要求9所述的篡改檢測系統(tǒng)��,其中所述RNG�、所述網(wǎng)格驅動器以及所述篡改感測單元是集成在所述安全ASIC的所述基板中的。
12.按權利要求9所述的篡改檢測系統(tǒng)���,其中所述網(wǎng)格驅動器還包括狀態(tài)機��,用于控制所述驅動模式的暫態(tài)變化����。
13.按權利要求9所述的篡改檢測系統(tǒng)����,還包括從高速緩沖存儲器和數(shù)據(jù)寄存器所選擇的存儲器�,用于暫存所述至少一個隨機數(shù)字。
14.按權利要求9所述的篡改檢測系統(tǒng)����,還包括多個模擬開關,所述多個模擬開關被控制為將所述多根傳導金屬線耦合到所述RNG、所述網(wǎng)格驅動器以及所述篡改感測單元��。
15.一種保護安全專用集成電路(ASIC)中的敏感區(qū)域的篡改檢測系統(tǒng)��,包括: 主動網(wǎng)格���,包括多個電容器����,所述主動網(wǎng)格覆蓋所述敏感區(qū)域�����,所述多個電容器中的電容器共享基本相等的電容量���; 隨機數(shù)字發(fā)生器(RNG)�,生成第一隨機數(shù)字和第二隨機數(shù)字��,所述第一隨機數(shù)字和所述第二隨機數(shù)字隨時間改變�; 網(wǎng)格驅動器,耦合在所述主動網(wǎng)格與所述RNG之間��,所述網(wǎng)格驅動器根據(jù)所述第一隨機數(shù)字和所述第二隨機數(shù)字以時變配置來建構所述主動網(wǎng)格���,其中根據(jù)所述第一隨機數(shù)字和所述第二隨機數(shù)字 從所述多個電容器選擇第一電容器和第二電容器���;以及 篡改感測單元�����,耦合到所述主動網(wǎng)格與所述RNG 二者�,所述篡改感測單元比較所述第一電容器和所述第二電容器的電容量��,檢測所述電容量的差異�,以及生成標記信號。
16.按權利要求15所述的篡改檢測系統(tǒng)����,其中所述主動網(wǎng)格是由所述安全ASIC的基板上方的至少兩個金屬層制成的,并且經(jīng)由中間金屬和多晶硅層路由到所述基板中的集成電路�����。
17.按權利要求15所述的篡改檢測系統(tǒng)���,其中所述RNG、所述網(wǎng)格驅動器以及所述篡改感測單元是集成在所述安全ASIC的所述基板中的���。
18.按權利要求15所述的篡改檢測系統(tǒng)���,其中所述篡改感測單元還包括電容量比較器���。
19.按權利要求15所述的篡改檢測系統(tǒng),其中所述RNG生成用于選擇另外兩個電容器的另外兩個不同的隨機數(shù)字�����,在所述第一電容器和所述第二電容器被監(jiān)控的相同篡改檢測周期期間比較這兩個電容器以用于篡改檢測�。
20.按權利要求15所述的篡改檢測系統(tǒng),還包括多個模擬開關���,所述多個模擬開關被控制為將所述多個電容器耦合到所述RNG����、所述網(wǎng)格驅動器以及所述篡改感測單元�����。
全文摘要
本發(fā)明的各實施例總地涉及一種集成電路���,并且更具體地說����,本發(fā)明的各實施例涉及將篡改檢測對策加入安全ASIC以阻攔物理攻擊的系統(tǒng)、設備以及方法��。該篡改檢測對策建構了主動網(wǎng)格以覆蓋安全ASIC中的敏感區(qū)域�。通過隨機數(shù)字發(fā)生器(RNG)生成多個時變隨機數(shù)字,并且根據(jù)這些隨機數(shù)字驅動并配置主動網(wǎng)格���。在篡改檢測周期期間���,關于由RNG直接提供的所述多個隨機數(shù)字來監(jiān)控所述主動網(wǎng)絡。一有篡改企圖�,則生成標記信號并且所述標記信號用于開始之后的反篡改動作??梢曰跁r變代碼來控制和監(jiān)控主動網(wǎng)格,因此�,對手不能容易旁路主動網(wǎng)格并且攻擊敏感區(qū)域。
文檔編號G06F21/55GK103093143SQ201210405578
公開日2013年5月8日 申請日期2012年10月23日 優(yōu)先權日2011年10月24日
發(fā)明者S·C·亞納馬達拉, A·他尼庫拉 申請人:馬克西姆綜合產(chǎn)品公司