專利名稱:一種針對破壞性攻擊可信平臺模塊芯片的防護(hù)結(jié)構(gòu)的制作方法
技術(shù)領(lǐng)域:
本實(shí)用新型涉及一種集成電路的安全防護(hù)技術(shù),尤其涉及的是一種關(guān)于可信平臺模塊芯片的針對激光切割���、微探針和聚焦離子束等破壞性物理攻擊的硬件防護(hù)結(jié)構(gòu)����。
背景技術(shù):
隨著目前互聯(lián)網(wǎng)電子商務(wù)得以廣泛應(yīng)用,病毒�、黑客和計(jì)算機(jī)犯罪使得人們對網(wǎng)絡(luò)安全產(chǎn)生了信任恐慌,因而嚴(yán)重制約了電子商務(wù)的發(fā)展�。因此人們通過增強(qiáng)現(xiàn)有的PC終端體系結(jié)構(gòu)的安全性來實(shí)現(xiàn)“可信計(jì)算”,以保證整個(gè)系統(tǒng)的安全�����,其技術(shù)核心是稱為可信平臺模塊(TPM)的安全芯片����。TPM實(shí)際上是一個(gè)含有密碼運(yùn)算部件和存儲部件的系統(tǒng)級芯片。隨著TPM的應(yīng)用����,基于軟件的攻擊變得越來越困難��,因此對于TPM芯片的物理攻擊將會(huì)變得越來越頻繁和常見���。
芯片的基本構(gòu)造是在多層設(shè)計(jì)�,在外層設(shè)計(jì)為多層的金屬層����,層與層之間設(shè)置有絕緣材料,這些金屬層多用來元器件的布置,設(shè)計(jì)走線等等��。根據(jù)是否破壞集成電路芯片的物理封裝可以將集成電路芯片的攻擊技術(shù)分為兩大類破壞性攻擊和非破壞性攻擊���。
破壞性攻擊和芯片反向工程在最初的步驟上是一致的使用發(fā)煙硝酸去除包裹裸片的環(huán)氧樹脂��,即封裝層����;用丙酮/去離子水/異丙醇完成清洗��;氫氟酸超聲浴進(jìn)一步去除芯片的各層金屬��。在去除芯片封裝之后���,通過金絲鍵合恢復(fù)芯片功能焊盤與外界的電氣連接���,最后可以使用手動(dòng)微探針獲取感興趣的信號。對于深亞微米以下的CMOS產(chǎn)品���,通常具有3層以上的金屬連線���,為了解芯片的內(nèi)部結(jié)構(gòu)�,可能要逐層探測和去除以獲得重構(gòu)芯片版圖設(shè)計(jì)所需的信息���。在了解內(nèi)部信號走線的基礎(chǔ)上�����,聚焦離子束(FIB)修補(bǔ)技術(shù)甚至可用于將感興趣的信號連到芯片的外面供進(jìn)一步觀察�。
非破壞性攻擊主要針對具有微處理器的產(chǎn)品����,其手段主要包括軟件攻擊、竊聽技術(shù)和故障產(chǎn)生技術(shù)等����。軟件攻擊使用微處理器的通用通訊接口,尋求安全協(xié)議�、加密算法以及他們物理實(shí)現(xiàn)的弱點(diǎn);竊聽技術(shù)采用高時(shí)域精度的方法�����,分析電源接口在微處理器正常工作過程中產(chǎn)生的各種電磁輻射的模擬特征���;故障產(chǎn)生技術(shù)通過產(chǎn)生異常的應(yīng)用環(huán)境條件���,使處理器產(chǎn)生故障,從而可以獲得額外的訪問途徑�����。
集成電路芯片的攻擊一般從破壞性的反向工程開始�,其結(jié)論可以用于開發(fā)廉價(jià)和快速的非破壞性攻擊手段,這是最常見的也是最有效的集成電路芯片攻擊模式之一�����。
為防止上述微探針對總線信號的探測�,現(xiàn)有技術(shù)的安全芯片即專用于構(gòu)建硬件安全和保護(hù)核心數(shù)據(jù)的硬件芯片從生產(chǎn)階段就需要增加對抗手段,例如在芯片的金屬層中選其最外層設(shè)置為一層細(xì)密的金屬網(wǎng)格��,其網(wǎng)格細(xì)密度在微米量級���,在利用反向工程使用破壞性攻擊顯示出關(guān)鍵連接層前����,由于關(guān)鍵連接層上部還包裹有一層防護(hù)金屬網(wǎng)格����,能夠起到阻止直接使用微探針讀取信號的作用��,而且細(xì)密的金屬網(wǎng)格也增加了對芯片各層架構(gòu)的識讀難度��。
但是�����,現(xiàn)有技術(shù)中目前針對該金屬網(wǎng)格已經(jīng)出現(xiàn)了使用激光切割���、微探針和FIB實(shí)現(xiàn)突破金屬網(wǎng)格的技術(shù)手段,針對特別重要的核心信息����,使用激光切割、微探針和FIB等技術(shù)可以破壞各層金屬網(wǎng)格而不致破壞芯片的內(nèi)部結(jié)構(gòu)�����,然后再使用上述技術(shù)手段進(jìn)行成功攻擊��。
因此��,現(xiàn)有技術(shù)的芯片技術(shù)依然不能對保存有重要的核心數(shù)據(jù)的芯片進(jìn)行有效保護(hù)�,因而存在缺陷�,還有待于改進(jìn)和發(fā)展���。
實(shí)用新型內(nèi)容本實(shí)用新型的目的在于提供一種針對破壞性攻擊可信平臺模塊芯片的防護(hù)結(jié)構(gòu),通過在分布為防護(hù)網(wǎng)格的金屬線上設(shè)置的探測器和對應(yīng)安全保護(hù)措施���,能夠針對激光切割���、微探針和FIB等破壞性物理攻擊起到安全防護(hù)作用。
本實(shí)用新型的技術(shù)方案如下一種針對破壞性攻擊可信平臺模塊芯片的防護(hù)結(jié)構(gòu)��,其中����,在所述芯片的金屬層中設(shè)置有至少一層金屬線,繞遠(yuǎn)分布設(shè)置�;以及在所述金屬線的兩端還設(shè)置有電信號產(chǎn)生模塊,一探測電路����,用于探測所述金屬線的導(dǎo)通性及在所述金屬線受到破壞性攻擊時(shí),由一中央處理器控制所述芯片的核心數(shù)據(jù)執(zhí)行安全保護(hù)措施���。
所述的防護(hù)結(jié)構(gòu)�,其中���,所述探測器還連接監(jiān)測所述電信號產(chǎn)生模塊�。
所述的防護(hù)結(jié)構(gòu),其中��,所述金屬線設(shè)置在所述金屬層的最頂層或者鄰近頂層的第二層�。
所述的防護(hù)結(jié)構(gòu),其中����,所述金屬線設(shè)置為多層。
所述的防護(hù)結(jié)構(gòu)�,其中,所述金屬線是鋁或鋁合金線��。
所述的防護(hù)結(jié)構(gòu)��,其中�����,所述安全措施包括觸發(fā)所述芯片的存儲器的清零或復(fù)位操作����。
本實(shí)用新型所提供的一種針對破壞性攻擊可信平臺模塊芯片的防護(hù)結(jié)構(gòu),由于采用了在金屬線防護(hù)網(wǎng)上設(shè)置的探測器,實(shí)現(xiàn)了對TPM芯片重要核心數(shù)據(jù)的有效保護(hù)����,防止了非法用戶使用破壞性攻擊方法監(jiān)聽總線上的信號獲取重要程序和數(shù)據(jù)�����。
圖1所示為本實(shí)用新型防護(hù)結(jié)構(gòu)施加了電信號后對防護(hù)網(wǎng)狀態(tài)的檢測�;
圖2所示為本實(shí)用新型防護(hù)結(jié)構(gòu)施加了電信號后對產(chǎn)生電信號模塊狀態(tài)的檢測;圖3為本實(shí)用新型的防護(hù)結(jié)構(gòu)的第一較佳實(shí)施例的電路原理圖��;圖4為本實(shí)用新型防護(hù)結(jié)構(gòu)的第二較佳實(shí)施例的電路原理圖����。
具體實(shí)施方式
以下結(jié)合附圖,將對本實(shí)用新型的較佳實(shí)施例進(jìn)行較為詳細(xì)的說明�。
本實(shí)用新型可用于集成電路芯片的設(shè)計(jì)中,用于對TPM芯片的程序和數(shù)據(jù)存儲區(qū)域進(jìn)行保護(hù)�,防止非法用戶使用破壞性攻擊TPM芯片以獲取重要數(shù)據(jù)。
本實(shí)用新型提供了一種針對破壞性攻擊可信平臺模塊芯片的防護(hù)結(jié)構(gòu)�,其中,在所述芯片的金屬層內(nèi)設(shè)置有至少一層金屬線���,繞遠(yuǎn)分布設(shè)置��;以及在所述金屬線的兩端還設(shè)置有電信號產(chǎn)生模塊����,一探測電路,用于探測所述金屬線的導(dǎo)通性及在所述金屬線受到破壞性攻擊時(shí)��,由一中央處理器控制所述芯片的核心數(shù)據(jù)執(zhí)行安全保護(hù)措施�。
以下是一個(gè)具體的實(shí)施例,如圖1所示���,在TPM安全芯片中�����,電信號產(chǎn)生模塊對防護(hù)網(wǎng)施加電信號�����,防護(hù)網(wǎng)狀態(tài)檢測單元檢測防護(hù)網(wǎng)的電信號變化���,正常情況下返回安全狀態(tài)的信息給中央處理器;當(dāng)防護(hù)網(wǎng)受到攻擊時(shí)�,防護(hù)網(wǎng)狀態(tài)檢測單元檢測到防護(hù)網(wǎng)的電信號發(fā)生異常變化,則返回非安全狀態(tài)的信息給中央處理器���,中央處理器控制所述TPM芯片的核心數(shù)據(jù)執(zhí)行安全保護(hù)措施�。
本實(shí)用新型所述的防護(hù)結(jié)構(gòu)中,所述探測器還連接監(jiān)測所述電信號產(chǎn)生模塊�����,如圖2所示的�����,在TPM安全芯片中��,電信號產(chǎn)生模塊對防護(hù)網(wǎng)施加電信號��,電信號產(chǎn)生模塊狀態(tài)檢測單元檢測電信號產(chǎn)生模塊的狀態(tài)��,正常情況下返回安全狀態(tài)的信息給中央處理器�����;當(dāng)電信號產(chǎn)生模塊受到攻擊時(shí)�,電信號產(chǎn)生模塊狀態(tài)檢測單元檢測到電信號產(chǎn)生模塊發(fā)生異常變化���,則返回非安全狀態(tài)的信息給中央處理器��,中央處理器控制所述TPM芯片的核心數(shù)據(jù)執(zhí)行安全保護(hù)措施��。
在集成電路芯片的設(shè)計(jì)中�����,由于每個(gè)代工廠的具體工藝可做的金屬層是確定的��,而在布線時(shí)對于多數(shù)金屬層都會(huì)留下許多空閑的未布線的層空間甚至整個(gè)金屬層�,利用這些未布線的空間有針對性的添加一定形狀的金屬線來形成針對部分空間或者是全部空間的防護(hù)網(wǎng)。防破壞性攻擊的TPM安全芯片至少在芯片的一層金屬上添加金屬線形成針對芯片部分空間或者是全部空間的一個(gè)或者多個(gè)防護(hù)網(wǎng)����,使芯片空間中的金屬線有意繞遠(yuǎn),以便更全面地保護(hù)關(guān)鍵區(qū)域�。
本實(shí)用新型所述的防護(hù)結(jié)構(gòu)中,所述金屬線設(shè)置在所述金屬層的最頂層或者鄰近頂層的第二層��。為了防止微探針對芯片攻擊��,一般優(yōu)先把防護(hù)網(wǎng)放置在工藝所確定的金屬線層次的最頂層或者鄰近頂層的第二層�,因?yàn)樵谝话闱闆r下,越到頂層�,布線的密度越小,可以用來放置防護(hù)網(wǎng)的空間越大���,到最頂層����,絕大部分甚至是全部都可以用來放置防護(hù)網(wǎng),這樣保護(hù)的空間范圍更大����。本實(shí)用新型的所述防護(hù)網(wǎng)可以設(shè)計(jì)為多層,以用于在受到破壞性攻擊時(shí)�����,能夠監(jiān)測到被攻擊的操作��。
針對現(xiàn)有技術(shù)的微探針攻擊問題���,通過防護(hù)網(wǎng)的設(shè)置來防止對下層信號線的探測。集成電路測試臺可通過微探針將芯片上的信號與外界相連�,通常微探針的目標(biāo)尺寸一般在1微米左右,尖端小于0.1微米的探針臺價(jià)格在幾十萬美元之上��,且極難獲得�����。通過仔細(xì)布置各層的防護(hù)網(wǎng),可以防止微探針對關(guān)鍵信號線的直接探測��,增加微探針攻擊的成本���,并且在探測器探測到被攻擊的可能時(shí)���,可以通過安全包括措施對芯片進(jìn)行保護(hù)。
本實(shí)用新型所述的防護(hù)結(jié)構(gòu)���,所述金屬線設(shè)置為多層��。需要保護(hù)的信號線放在各層金屬線的最下層����,以便更多層的防護(hù)網(wǎng)來進(jìn)行保護(hù)����。針對現(xiàn)有技術(shù)的聚焦離子束攻擊,通過防護(hù)網(wǎng)來使其定位變得更加困難甚至是不可能�。因?yàn)楸緦?shí)用新型可以布置面積較大的防護(hù)網(wǎng),并且防護(hù)網(wǎng)可以布置地在不同位置看起來是相同的����,而FIB技術(shù)的定位是人工的����,所以能給FIB攻擊造成很大的困惑���;同時(shí)�����,把信號線放在最低層����,其上面各層都采取一定的防護(hù)網(wǎng)��,也會(huì)使FIB的成本大大增加��,所以這種方法在一定程度上防止了FIB攻擊的可能�。
本實(shí)用新型所述的防護(hù)結(jié)構(gòu)中���,所述金屬線的防護(hù)網(wǎng)采用的是鋁或鋁合金線�����,由于鋁或鋁合金線被廣泛應(yīng)用在集成電路設(shè)計(jì)中��,但不排除使用其它的金屬線材作為防護(hù)網(wǎng)���,也應(yīng)是本實(shí)用新型請求保護(hù)范圍之內(nèi)����。
本實(shí)用新型所述的安全保護(hù)措施包括觸發(fā)所述芯片的存儲器的清零或復(fù)位操作���。針對現(xiàn)有技術(shù)的激光切割攻擊�����,在防護(hù)網(wǎng)設(shè)置的基礎(chǔ)上增加了探測器��,以防止對防護(hù)網(wǎng)的切割�����。通過探測防護(hù)網(wǎng)上電信號狀態(tài)或者探測產(chǎn)生此電信號的模塊的狀態(tài)�,通過電信號狀態(tài)的變化以判斷是否存在攻擊并做進(jìn)一步的應(yīng)對措施����,這種應(yīng)對措施可以是將核心數(shù)據(jù)進(jìn)行清零操作或者重置為出廠狀態(tài)。探測金屬防護(hù)網(wǎng)的被攻擊情況及時(shí)對核心數(shù)據(jù)進(jìn)行重置,可以實(shí)現(xiàn)對重要核心數(shù)據(jù)的有效保護(hù)���,防止非法用戶使用微探針監(jiān)聽總線上的信號獲取重要程序和數(shù)據(jù)�。
本實(shí)用新型所述的芯片的網(wǎng)格防護(hù)結(jié)構(gòu)�,可以采用至少一層防護(hù)措施,如圖3所示的�,即由金屬線組成單一的網(wǎng)格B0,其信號連通情況做為一控制信號輸入到CPU中���。當(dāng)其網(wǎng)格被切斷時(shí)��,電路向CPU發(fā)出中斷命令��,使芯片進(jìn)行自我保護(hù)����。但是其缺點(diǎn)也比較明顯�����,使用FIB技術(shù)可以輕易突破其防護(hù)由于網(wǎng)格上任意兩點(diǎn)都可以相互連接而不會(huì)使CPU產(chǎn)生中斷���,攻擊者可以在合適的位置連接金屬線以使其中一部分網(wǎng)格線短接起來,此時(shí)不會(huì)向CPU發(fā)送控制信號�,并使該網(wǎng)格的一小部分同整個(gè)網(wǎng)格不相關(guān)了��,從而可以任意切割這部分已經(jīng)不相關(guān)的網(wǎng)格�,導(dǎo)致其保護(hù)失效����。
本實(shí)用新型的另一較佳實(shí)施例中,在正常的程序FLASH或EEPROM和數(shù)據(jù)FLASH或EEPROM的全芯片擦除信號是通過芯片內(nèi)的微處理控制器CPU來分別控制的�����。本實(shí)用新型所設(shè)計(jì)的網(wǎng)格探測器電路如圖4所示��,方框B0和B1分別代表的是IC芯片版圖上的網(wǎng)格電路����,其采用不同走向和層次,繞遠(yuǎn)設(shè)置�,下面的電阻R0、R1均大于10M歐姆���,通過信號輸出點(diǎn)A點(diǎn)和B點(diǎn)連接到判斷電路��,A點(diǎn)在正常狀態(tài)下在低電平���,B點(diǎn)在高電平�,所述判斷電路包括與A點(diǎn)連接的反向元器件110�����,以及一與門元器件120�����,由判斷電路輸出接到CPU的中斷信號線上����。正常工作時(shí),A點(diǎn)的電平為0��,B點(diǎn)電平為1�;當(dāng)網(wǎng)格被切斷時(shí),A點(diǎn)或B點(diǎn)的信號電平翻轉(zhuǎn)���,就會(huì)產(chǎn)生探測信號��,如A點(diǎn)電平為1或B點(diǎn)電平為0�����,通過判斷電路處理后即輸出為電平為0�����,從而導(dǎo)致信號變化��;為防止意外中斷的發(fā)生��,此探測信號被送到計(jì)數(shù)器中���,只有信號維持足夠長的時(shí)間使系統(tǒng)確認(rèn)確實(shí)是受到攻擊而不是內(nèi)部延時(shí)時(shí),如果探測信號被送到圖4所示的CPU中斷信號上��,CPU就會(huì)發(fā)出指令將所有的FLASH或EEPROM存儲器內(nèi)數(shù)據(jù)擦除�,即清零,或采用其他方式的安全保護(hù)措施���。
本實(shí)用新型所提供的方法在很大程度上防止了攻擊者對TPM芯片進(jìn)行破壞性攻擊����,同時(shí)在所述防護(hù)網(wǎng)的基礎(chǔ)上施加電信號�,進(jìn)一步增加攻擊者的難度和成本。
以上所述僅為本實(shí)用新型的較佳實(shí)施例��,并非用來限定本實(shí)用新型,任何熟悉本技術(shù)及其領(lǐng)域的人����,在不脫離本實(shí)用新型的精神和范疇內(nèi),可能作出各種修改或變更��,因此本實(shí)用新型的保護(hù)范圍應(yīng)以權(quán)利要求書所要求保護(hù)的范圍為準(zhǔn)����。
權(quán)利要求1.一種針對破壞性攻擊可信平臺模塊芯片的防護(hù)結(jié)構(gòu),其特征在于����,在所述芯片的金屬層中設(shè)置有至少一層金屬線,繞遠(yuǎn)分布設(shè)置�����;以及在所述金屬線的兩端還設(shè)置有電信號產(chǎn)生模塊���,一探測電路���,用于探測所述金屬線的導(dǎo)通性及在所述金屬線受到破壞性攻擊時(shí),由一中央處理器控制所述芯片的核心數(shù)據(jù)執(zhí)行安全保護(hù)措施����。
2.根據(jù)權(quán)利要求1所述的防護(hù)結(jié)構(gòu)�����,其特征在于,所述探測器還連接監(jiān)測所述電信號產(chǎn)生模塊�����。
3.根據(jù)權(quán)利要求1所述的防護(hù)結(jié)構(gòu)����,其特征在于,所述金屬線設(shè)置在所述金屬層的最頂層或者鄰近頂層的第二層�����。
4.根據(jù)權(quán)利要求1所述的防護(hù)結(jié)構(gòu)�,其特征在于,所述金屬線設(shè)置為多層�。
5.根據(jù)權(quán)利要求1-4任意權(quán)項(xiàng)所述的防護(hù)結(jié)構(gòu),其特征在于�,所述金屬線是鋁或鋁合金線。
專利摘要本實(shí)用新型涉及一種針對破壞性攻擊可信平臺模塊芯片的防護(hù)結(jié)構(gòu)�,其特征在于���,在所述芯片的金屬層中設(shè)置有至少一層金屬線,繞遠(yuǎn)分布設(shè)置����;以及在所述金屬線的兩端還設(shè)置有電信號產(chǎn)生模塊,一探測電路�����,用于探測所述金屬線的導(dǎo)通性及在所述金屬線受到破壞性攻擊時(shí)����,由一中央處理器控制所述芯片的核心數(shù)據(jù)執(zhí)行安全保護(hù)措施。因此可以實(shí)現(xiàn)對可信平臺模塊芯片重要核心數(shù)據(jù)的有效保護(hù)��,防止了非法用戶使用破壞性物理攻擊方法監(jiān)聽總線上的信號獲取重要程序和數(shù)據(jù)�。
文檔編號H01L23/58GK2881758SQ20052006442
公開日2007年3月21日 申請日期2005年9月9日 優(yōu)先權(quán)日2005年9月9日
發(fā)明者李麗仙, 王華彬 申請人:深圳兆日技術(shù)有限公司