一種芯片測(cè)試模式的防護(hù)方法
【專利摘要】本發(fā)明提出一種抵御非法進(jìn)入芯片測(cè)試模式的防護(hù)方法。在對(duì)進(jìn)入芯片測(cè)試模式有安全要求的各種安全芯片中，如電子身份證、金融卡、社?？?、公交卡芯片等，本發(fā)明可以保護(hù)芯片的測(cè)試模式不被非法侵入，從而提高對(duì)芯片內(nèi)部資源的安全保護(hù)強(qiáng)度。
【專利說明】一種芯片測(cè)試模式的防護(hù)方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明主要應(yīng)用于信息安全【技術(shù)領(lǐng)域】，是ー種適用于安全芯片的防攻擊技木。【背景技術(shù)】
[0002]芯片通常都會(huì)有測(cè)試電路，用來對(duì)芯片制造的缺陷進(jìn)行篩選，以便交給最終用戶的芯片產(chǎn)品都能正確可靠地工作。因此，測(cè)試電路是芯片必不可少的組成部分。為提高測(cè)試效率和減少測(cè)試電路的設(shè)計(jì)復(fù)雜度，測(cè)試電路往往不需要任何權(quán)限控制即可訪問內(nèi)部所有資源。因此，在有安全要求的芯片中，完成測(cè)試任務(wù)后，必須將測(cè)試電路可靠地、不可逆地予以廢止，防止非法用戶通過重新進(jìn)入測(cè)試模式來盜取用戶的重要數(shù)據(jù)。
[0003]通常，廢止芯片測(cè)試電路功能、防止重新進(jìn)入測(cè)試模式的方法就是將某個(gè)控制信號(hào)放置到劃片槽，在芯片測(cè)試完成后通過劃片方式將其劃斷。但是，侵入式攻擊技術(shù)的迅速發(fā)展使得非法用戶利用FIB等手段攻擊芯片的能力得到了很大提高。非法用戶能夠通過FIB等手段來重新恢復(fù)劃片槽內(nèi)已劃斷信號(hào)的連接，從而有可能恢復(fù)測(cè)試模式電路的功能，并以此非法獲取用戶重要數(shù)據(jù)。所以，對(duì)芯片測(cè)試模式的保護(hù)也是安全芯片設(shè)計(jì)中不可忽視的ー個(gè)重要組成部分。

【發(fā)明內(nèi)容】

[0004]本發(fā)明公開ー種芯片測(cè)試模式的保護(hù)方法，在芯片內(nèi)部和劃片槽中放置結(jié)構(gòu)對(duì)稱電路，通過芯片內(nèi)部嵌入的隨機(jī)信號(hào)發(fā)生源為芯片內(nèi)部和劃片槽中放置的結(jié)構(gòu)對(duì)稱電路提供隨機(jī)輸入信號(hào)，芯片在姆次隨機(jī)輸入信號(hào)發(fā)生變化后，會(huì)在極短的時(shí)間內(nèi)對(duì)芯片內(nèi)部和劃片槽中的結(jié)構(gòu)對(duì)稱電路的輸出信號(hào)進(jìn)行比對(duì)檢測(cè)，井根據(jù)檢測(cè)結(jié)果判斷芯片的測(cè)試電路是否被非法攻擊，保護(hù)芯片工作。
[0005]在芯片完成最終測(cè)試、篩選前，劃片槽與芯片同處一片晶體圓片上，劃片槽內(nèi)的結(jié)構(gòu)對(duì)稱電路提供與芯片內(nèi)部結(jié)構(gòu)對(duì)稱電路同樣的電氣特性和時(shí)序信號(hào)，在相同的隨機(jī)輸入信號(hào)作用下，芯片內(nèi)部和劃片槽中的結(jié)構(gòu)對(duì)稱電路輸出信號(hào)對(duì)稱，芯片正常測(cè)試；當(dāng)芯片的測(cè)試、篩選完成后，通過劃片將劃片槽內(nèi)的對(duì)稱電路劃掉，芯片檢測(cè)不到對(duì)稱的輸出信號(hào)，則判斷芯片已測(cè)試完畢，測(cè)試模式失效，芯片不能夠再重新被進(jìn)入，防止芯片被非法攻擊。
[0006]通過芯片內(nèi)部嵌入的隨機(jī)信號(hào)發(fā)生源為芯片內(nèi)部和劃片槽中放置的結(jié)構(gòu)對(duì)稱電路提供隨機(jī)輸入信號(hào)，由于隨機(jī)輸入信號(hào)不可重復(fù)和不可預(yù)測(cè)，當(dāng)劃片槽內(nèi)的結(jié)構(gòu)對(duì)稱電路被劃掉后，無法通過采集和重放劃片槽內(nèi)的結(jié)構(gòu)對(duì)稱電路的輸入、輸出信號(hào)與芯片內(nèi)部的結(jié)構(gòu)對(duì)稱電路的輸入、輸出信號(hào)進(jìn)行對(duì)稱，避免對(duì)芯片的非法攻擊。
[0007]如圖1所示，本發(fā)明采用ー種對(duì)芯片的測(cè)試模式進(jìn)行保護(hù)的電路，由結(jié)構(gòu)對(duì)稱的電路A和電路B，信號(hào)檢測(cè)電路C，隨機(jī)信號(hào)發(fā)生源電路D，測(cè)試保護(hù)電路E組成。其中，結(jié)構(gòu)対稱的電路A和電路B分別設(shè)置在劃片槽內(nèi)和芯片內(nèi)，在芯片內(nèi)部設(shè)置的隨機(jī)信號(hào)發(fā)生源電路D是隨機(jī)信號(hào)發(fā)生源，用來給電路A和電路B輸入同樣的隨機(jī)輸入信號(hào)。芯片內(nèi)部的信號(hào)檢測(cè)電路C比對(duì)電路A和電路B的輸出信號(hào)。測(cè)試保護(hù)電路E根據(jù)信號(hào)檢測(cè)電路C的輸出檢測(cè)結(jié)果來確定測(cè)試電路是否被非法攻擊，并采取對(duì)應(yīng)的操作。如果檢測(cè)電路C得到対稱的輸出結(jié)果，則不會(huì)輸出不對(duì)稱指示信號(hào)，保護(hù)電路E也不會(huì)被觸發(fā)而采取保護(hù)操作，即，不會(huì)影響測(cè)試電路功能進(jìn)入；如果檢測(cè)電路C得到不對(duì)稱的輸出結(jié)果，則輸出不對(duì)稱指示信號(hào)去觸發(fā)保護(hù)電路E采取保護(hù)操作，即，永久禁止測(cè)試電路功能被重新進(jìn)入。
[0008]在芯片完成最終測(cè)試、篩選前，隨機(jī)信號(hào)發(fā)生源D在電路A和電路B的輸入端施加同樣的隨機(jī)輸入信號(hào)時(shí)，檢測(cè)電路C開始檢測(cè)結(jié)構(gòu)対稱的電路A和電路B的輸出。此時(shí)，劃片槽內(nèi)的電路A能夠提供與電路B —樣的時(shí)序信號(hào)，檢測(cè)電路C得到対稱的輸出結(jié)果，保護(hù)電路E不會(huì)妨礙芯片的正常測(cè)試、篩選。
[0009]當(dāng)芯片的測(cè)試、篩選工作完成后，通過劃片將劃片槽內(nèi)的電路A永久地、不可逆地劃掉。在攻擊者采用攻擊技術(shù)恢復(fù)劃片槽內(nèi)的電路A吋，恢復(fù)的電路將很難達(dá)到與芯片內(nèi)部的電路B対稱的時(shí)序。所以，通過攻擊技術(shù)恢復(fù)劃片槽內(nèi)A的做法將被信號(hào)檢測(cè)電路C檢測(cè)到，并輸出不對(duì)稱指示信號(hào)去觸發(fā)保護(hù)電路E采取保護(hù)操作，即，永久禁止測(cè)試電路功能被重新進(jìn)入。使攻擊失效。
[0010]電路A和電路B的輸入信號(hào)來自片內(nèi)的隨機(jī)信號(hào)發(fā)生源電路D。由于隨機(jī)信號(hào)的不可重復(fù)和不可預(yù)測(cè)性，在芯片劃片后，攻擊者也無法通過對(duì)暴露在芯片外部的隨機(jī)輸入信號(hào)進(jìn)行采集和重放，無法與芯片內(nèi)部的結(jié)構(gòu)對(duì)稱電路的輸入、輸出信號(hào)進(jìn)行對(duì)稱，使得攻擊失效。
[0011]本發(fā)明是以兩個(gè)對(duì)稱電路A、B為例來進(jìn)行闡述的，但本發(fā)明不限于兩個(gè)對(duì)稱電路的情況，可以是多個(gè)、多組對(duì)稱電路，放置的位置也不限于芯片的ー側(cè)的劃片槽，可以是多側(cè)劃片槽放置。電路A、B有兩個(gè)輸入和ー個(gè)輸出，但不限于兩個(gè)輸入和ー個(gè)輸出，可以有多個(gè)輸入多個(gè)輸出信號(hào)。
【專利附圖】

【附圖說明】
[0012]圖1采用本發(fā)明的測(cè)試模式保護(hù)電路實(shí)現(xiàn)示意圖【具體實(shí)施方式】
[0013]下面，以在芯片的ー側(cè)劃片槽內(nèi)放置對(duì)稱電路的方法為例，來說明本發(fā)明的【具體實(shí)施方式】。
[0014]本發(fā)明的測(cè)試模式保護(hù)電路的硬件實(shí)現(xiàn)如圖1所示。
[0015]本發(fā)明采用在芯片的劃片槽中放置電路A的方式，并在芯片內(nèi)部也放置同樣的對(duì)稱電路B。然后,在芯片內(nèi)部對(duì)兩個(gè)対稱的電路施加隨機(jī)輸入信號(hào),并對(duì)兩個(gè)對(duì)稱電路的輸出進(jìn)行比對(duì)。并根據(jù)比對(duì)結(jié)果來判斷芯片的測(cè)試電路是否被攻擊。如果檢測(cè)電路C得到対稱的輸出結(jié)果，則不會(huì)輸出不對(duì)稱指示信號(hào)，保護(hù)電路E也不會(huì)被觸發(fā)而采取保護(hù)操作，即，不會(huì)影響測(cè)試電路功能進(jìn)入；如果檢測(cè)電路C得到不對(duì)稱的輸出結(jié)果，則輸出不對(duì)稱指示信號(hào)去觸發(fā)保護(hù)電路E采取保護(hù)操作，即，永久禁止測(cè)試電路功能被重新進(jìn)入。由于采用在劃片槽放置電路的方式，所以通過片外FIB重新連接或其它片外分立電路器件復(fù)制等手段在芯片外復(fù)制劃片槽內(nèi)電路A很難達(dá)到與芯片內(nèi)部的電路B対稱的時(shí)序，也就無法恢復(fù)測(cè)試電路的功能。同時(shí)，由于采用內(nèi)嵌隨機(jī)信號(hào)發(fā)生源D為對(duì)稱電路提供隨機(jī)輸入信號(hào)，因此，攻擊者無法通過對(duì)對(duì)稱電路A的輸入、輸出信號(hào)的采集和重放來攻擊測(cè)試電路。[0016]在芯片完成最終測(cè)試、篩選前，由于劃片槽與芯片本身同處一片晶體圓片(wafer)上，所以，劃片槽內(nèi)的對(duì)稱電路A能夠提供與片內(nèi)對(duì)稱電路B—祥的電氣特性和時(shí)序信號(hào)。在相同的輸入信號(hào)作用下，片內(nèi)檢測(cè)電路C在指定的時(shí)刻不會(huì)檢測(cè)到對(duì)稱電路A和B有不対稱的信號(hào)輸出。保護(hù)電路E不會(huì)影響測(cè)試電路正常工作。當(dāng)芯片的測(cè)試、篩選完成后，通過劃片將劃片槽內(nèi)的對(duì)稱電路A永久地、不可逆地劃掉后，芯片的檢測(cè)電路C就不再擁有對(duì)稱的兩路信號(hào)輸入，使得檢測(cè)電路C在指定的時(shí)刻，能夠檢測(cè)到芯片已加工、測(cè)試完畢，測(cè)試模式保護(hù)電路E開始起作用，測(cè)試模式電路功能將被永久廢止，不能夠再重新被進(jìn)入。
[0017]當(dāng)芯片被劃片后，電路A被劃掉，此時(shí)，內(nèi)部檢測(cè)電路C將檢測(cè)到電路A和電路B已不再對(duì)稱了，即，芯片已被劃片，檢測(cè)電路C將輸出這ー結(jié)果，進(jìn)而觸發(fā)內(nèi)部保護(hù)電路永久地、不可逆地廢止測(cè)試模式電路功能。由于通過片外的電路復(fù)制或重新連接的做法很難完成電路A的功能和時(shí)序，因此，攻擊者無法再對(duì)芯片測(cè)試模式電路進(jìn)行有效的攻擊。
[0018]由于電路A和電路B的輸入信號(hào)來自于片內(nèi)的隨機(jī)信號(hào)發(fā)生電路D,其輸出的隨機(jī)信號(hào)不可重復(fù)和不可預(yù)測(cè)。攻擊者使用之前采集到的電路A的信號(hào)對(duì)電路C進(jìn)行重放攻擊時(shí)，片內(nèi)的檢測(cè)電路C將檢測(cè)到這種重放攻擊行為，并觸發(fā)測(cè)試保護(hù)電路E開始起作用，使其攻擊無效。
[0019]本發(fā)明包括但不限于此【具體實(shí)施方式】。本發(fā)明是以兩個(gè)對(duì)稱電路A、B為例進(jìn)行闡述的，但本發(fā)明不只限于兩個(gè)對(duì)稱電路的情況，可以是多個(gè)、多組對(duì)稱電路。放置的位置也不限于芯片的ー側(cè)的劃片槽，可以是多側(cè)劃片槽放置。電路A、B有兩個(gè)輸入和ー個(gè)輸出，但不限于兩個(gè)輸入和ー個(gè)輸出，可以有多個(gè)輸入多個(gè)輸出信號(hào)。
【權(quán)利要求】
1.一種芯片測(cè)試模式的保護(hù)方法，其特征在于在芯片內(nèi)部和劃片槽中放置結(jié)構(gòu)對(duì)稱電路，通過芯片內(nèi)部嵌入的隨機(jī)信號(hào)發(fā)生源為芯片內(nèi)部和劃片槽中放置的結(jié)構(gòu)對(duì)稱電路提供隨機(jī)輸入信號(hào)，芯片在每次隨機(jī)輸入信號(hào)發(fā)生變化后，對(duì)芯片內(nèi)部和劃片槽中的結(jié)構(gòu)對(duì)稱電路的輸出信號(hào)進(jìn)行比對(duì)檢測(cè)，井根據(jù)檢測(cè)結(jié)果判斷芯片的測(cè)試電路是否被非法攻擊，保護(hù)芯片工作。
2.如權(quán)利要求1所述的ー種芯片測(cè)試模式的保護(hù)方法，其特征在于在芯片完成最終測(cè)試、篩選前，劃片槽與芯片同處一片晶體圓片上，劃片槽內(nèi)的結(jié)構(gòu)對(duì)稱電路提供與芯片內(nèi)部結(jié)構(gòu)對(duì)稱電路同樣的電氣特性和時(shí)序信號(hào)，在相同的隨機(jī)輸入信號(hào)作用下，芯片內(nèi)部和劃片槽中的結(jié)構(gòu)對(duì)稱電路輸出信號(hào)對(duì)稱，芯片正常測(cè)試；當(dāng)芯片的測(cè)試、篩選完成后，通過劃片將劃片槽內(nèi)的對(duì)稱電路劃棹，芯片檢測(cè)不到對(duì)稱的輸出信號(hào)，則判斷芯片已測(cè)試完畢，測(cè)試模式失效，芯片不能夠再重新被進(jìn)入，防止芯片被非法攻擊。
3.如權(quán)利要求1所述的ー種芯片測(cè)試模式的保護(hù)方法，其特征在于通過芯片內(nèi)部嵌入的隨機(jī)信號(hào)發(fā)生源為芯片內(nèi)部和劃片槽中放置的結(jié)構(gòu)對(duì)稱電路提供隨機(jī)輸入信號(hào)，由于隨機(jī)輸入信號(hào)不可重復(fù)和不可預(yù)測(cè)，當(dāng)劃片槽內(nèi)的結(jié)構(gòu)對(duì)稱電路被劃掉后，無法通過采集和重放劃片槽內(nèi)的結(jié)構(gòu)對(duì)稱電路的輸入、輸出信號(hào)與芯片內(nèi)部的結(jié)構(gòu)對(duì)稱電路的輸入、輸出信號(hào)進(jìn)行對(duì)稱，避免對(duì)芯片的非法攻擊。
4.如權(quán)利要求1所述的ー種芯片測(cè)試模式的保護(hù)方法，其特征在于如果檢測(cè)結(jié)果是對(duì)稱的輸出結(jié)果，則不會(huì)輸出不對(duì)稱指示信號(hào)，不會(huì)影響測(cè)試電路功能進(jìn)入；如果檢測(cè)結(jié)果是不對(duì)稱的輸出結(jié)果，則輸出不對(duì)稱指示信號(hào)去觸發(fā)保護(hù)操作，禁止測(cè)試電路功能被重新進(jìn)入。
5.一種芯片測(cè)試模式的保護(hù)電路，其特征在于由結(jié)構(gòu)對(duì)稱的電路A和電路B，信號(hào)檢測(cè)電路C，隨機(jī)信號(hào)發(fā)生源電路D，測(cè)試保護(hù)電路E組成；其中，結(jié)構(gòu)對(duì)稱的電路A和電路B分別設(shè)置在劃片槽內(nèi)和芯片內(nèi)，在芯片內(nèi)部設(shè)置的隨機(jī)信號(hào)發(fā)生源電路D是隨機(jī)信號(hào)發(fā)生源，用來給電路A和電路B輸入同樣的隨機(jī)輸入信號(hào)；芯片內(nèi)部的信號(hào)檢測(cè)電路C比對(duì)電路A和電路B的輸出信號(hào)；測(cè)試保護(hù)電路E根據(jù)信號(hào)檢測(cè)電路C的輸出檢測(cè)結(jié)果來確定測(cè)試電路是否被非法攻擊，并采取對(duì)應(yīng)的操作。
6.芯片測(cè)試模式的保護(hù)電路，其特征在于如果檢測(cè)電路C得到対稱的輸出結(jié)果，則不會(huì)輸出不對(duì)稱指示信號(hào)，保護(hù)電路E也不會(huì)被觸發(fā)而采取保護(hù)操作，S卩，不會(huì)影響測(cè)試電路功能進(jìn)入；如果檢測(cè)電路C得到不對(duì)稱的輸出結(jié)果，則輸出不對(duì)稱指示信號(hào)去觸發(fā)保護(hù)電路E采取保護(hù)操作，禁止測(cè)試電路功能被重新進(jìn)入。
【文檔編號(hào)】G06F21/70GK103530575SQ201210236252
【公開日】2014年1月22日 申請(qǐng)日期:2012年7月4日 優(yōu)先權(quán)日:2012年7月4日
【發(fā)明者】王連成, 蘇楊, 陳波濤 申請(qǐng)人:北京中電華大電子設(shè)計(jì)有限責(zé)任公司