具有防篡改保护的集成电路及其方法技术

公开了具有防篡改保护的集成电路及其方法。集成电路包括具有多个状态电路的篡改传感器。多个状态电路中的每一个具有提供相应逻辑状态的相应输出。当正确操作时，相应的逻辑状态响应于时钟信号而被切换。相应的逻辑状态无法响应于相应的故障注入来切换。篡改传感器具有响应于多个状态电路的相应逻辑状态的差异来提供故障信号的输出。另外，集成电路包括受保护电路以及篡改响应电路。篡改响应电路连接到篡改传感器以及受保护电路。篡改响应电路响应于故障信号来执行保护操作以保护受保护电路。

【技术实现步骤摘要】
具有防篡改保护的集成电路及其方法
本专利技术总体上涉及安全电路，更具体而言，涉及用于安全集成电路的防篡改保护电路。
技术介绍
黑客试图获得对诸如智能卡控制器之类的密码集成电路的访问，来试图窃取有价值的用户数据、密码等。黑客使用的一种技术是注入电气故障以使得电路以可供黑客访问集成电路的存储器和其它资源的方式故障。故障注入是对安全电路的严重威胁。存在多种用于在密码电路内注入故障的方法。这些方法中有激光、电压和电磁(EM)故障注入。激光故障注入由于其高空间和时间分辨率而成为流行的方法。然而，使用激光进行故障注入具有局限性。用于在芯片中路由信号的金属层数量的增加以及不断进步的对策增加了激光攻击的低效性。还通过将电压尖峰直接注入到目标集成电路的衬底中来利用电压尖峰注入。电压尖峰注入相对于尖峰的强度产生地弹(groundbounces)或电压降。经由目标电磁脉冲的EM故障注入更通常地用于意图破坏集成电路内的逻辑电路行为的有针对性的攻击。已知两种类型的EM注入平台被安装以将故障引入到电路中。谐波EM注入平台产生可被调制以产生故障的正弦EM波。谐波EM注入可能干扰集成电路的内部时钟的行为，并且偏置真正的随机数发生器。另外，已表明用高压脉冲发生器和注入器产生的EM脉冲(EMP)注入创造从密码分析的角度可利用的故障。EMP注入在期望的时间和目标集成电路上的位置产生单个但强大的EMP，该EMP在目标集成电路的电源接地网络中产生突然的电流，从而产生电压降、地弹和定时故障。这些故障注入形式中的每一种都难以防御。随着设备在我们的环境中变得更小且更普遍，易受安全漏洞影响变得越来越重要且更难以应对。附图说明图1示出根据一些实施例的用于在电磁脉冲中断期间对集成电路进行密码认证的方法的流程图。图2示出用于中断逻辑电路行为的电磁故障注入期间的内部电压振荡的时序图。图3示出集成电路器件中的电磁脉冲感应磁场的图。图4以框图形式示出可供黑客使用来实现图3的故障注入的电磁脉冲故障注入系统。图5以图形形式示出电磁故障注入毛刺分析。图6以框图形式示出根据一些实施例的示例性安全集成电路。图7以框图形式示出根据一些实施例的保持时间和建立时间违规检测电路。图8以框图形式示出根据一些实施例的保持时间和建立时间违规检测电路。图9以框图形式示出根据一些实施例的用于检测故障注入的篡改传感器电路。图10以图形形式示出图5的叠加视图以及根据一些实施例的集成电路上的篡改传感器电路分布。图11以框图形式示出根据一些实施例的集成电路布局上的篡改传感器电路的分布。在以下的描述中，在不同附图中使用相同的附图标记来表示相似或相同的部件。除非另有说明，否则词“耦合”及其相关联的动词形式包括通过本领域已知的方式的直接连接和间接电连接，并且除非另有说明，否则对直接连接的任何描述也暗示使用合适形式的间接电连接的替代实施例。具体实施方式在一种形式中，集成电路包括具有多个状态电路的篡改传感器。多个状态电路中的每一个具有提供相应逻辑状态的相应输出。当正确操作时，相应的逻辑状态响应于时钟信号而被切换。相应的逻辑状态无法响应于相应的故障注入来切换。篡改传感器具有响应于多个状态电路的相应逻辑状态的差异来提供故障信号的输出。另外，集成电路包括受保护电路以及篡改响应电路。篡改响应电路连接到篡改传感器以及受保护电路。篡改响应电路响应于故障信号来执行保护操作以保护受保护电路。在又一个实施例中，篡改传感器检测故障注入。多个状态电路中的每一个具有提供相应逻辑状态的相应输出。当篡改传感器正确操作时，相应的逻辑状态响应于时钟信号而切换。相应的逻辑状态无法响应于相应的故障注入来切换。比较电路对多个状态电路的输出进行比较。该比较电路提供相应输出。篡改响应电路连接到寄存器，该寄存器具有与比较电路的输出相连的输入。篡改响应电路还连接到用于接收时钟信号的时钟输入以及响应于多个状态电路的相应逻辑状态的差异而提供故障信号的输出。图1示出根据一些实施例的用于在电磁脉冲中断期间对集成电路进行密码认证的方法100的流程图。在框102处，利用密码证书将主固件开发和调试访问委托给授权开发者。密码认证在框104处执行。在框106处，在密码认证期间将诸如电磁(EM)脉冲(EMP)的故障注入施加于集成电路。故障注入也可以通过电压毛刺和时钟毛刺来实现。在框108处判定EMP是否在验证签名期间引起中断。在框108处的签名验证的过程期间，在框110处施加后续的EMP。响应于在框106或框110处检测到足够强度的EMP来中断集成电路，签名被确定为无效，并且固件完整性被保护。响应于篡改传感器确定签名是有效的，固件引导过程继续。图2示出根据一些实施例的用于中断逻辑电路行为的EM故障注入期间的内部/局部电压振荡的时序图。曲线图200示出了电源电压(Vdd)与其标称值(阈值210和212)的偏差的波形220。用于引起集成电路中的故障的方法是使用EMP。在图2的例子中，在约100纳秒(ns)的时间处注入EMP并引起Vdd的振荡。当偏差在预定限制之外时，Vdd振荡导致时序违规，其中阈值210是指定保持违规限制的上限，并且阈值212是指定设置违规限制的下限。作为电压毛刺的结果，EMP产生定时故障。阈值210描绘+50mV的高Vdd偏差和-50mV的低Vdd偏差。意图使用EMP中断逻辑电路行为的有针对性的攻击向具有篡改传感器的集成电路装置提供脉冲。因此，产生大于阈值210(偏差>50mV)的电源电压偏差的EMP注入在篡改传感器中引起保持时间故障。产生小于阈值212(偏差<-50mV)的电源电压偏差的EMP注入在篡改传感器中引起保持时间故障。图3示出根据一些实施例的集成电路器件中的EMP感应磁场分布的图。图300示出了接近集成电路的有源表面的EM探针310。在一个示例中，EMP注入在靠近目标设备和/或目标设备的一部分的附近产生强烈且突然的磁场变化。EMP探针310具有一个直径为100微米(μm)的单匝环路并且在目标装置中感应出随着与注入的距离增加而减小的磁场。如图300所示，由EMP探针310引起的故障可以高度局部化。图4以框图形式示出根据一个实施例的EMP故障注入系统400，其可用于注入图3所示类型的局部EMP。EMP故障注入系统400包括目标设备410、电源415、主计算机系统420、脉冲发生器430以及EMP探针440。主计算机420连接到电源415、脉冲发生器430、EMP探测器440以及目标设备410。在一个示例中，主计算机420在目标设备410上执行EMP扫描。主计算机系统420被用来向目标设备410提供无效的引导固件。脉冲发生器430将EMP提供给EMP探针440，来将故障注入目标设备410。EMP探针440是定位在目标装置410上方的小型化EMP注入器。EMP探针440在从脉冲发生器430接收到脉冲时使电容器组(bank)向线圈放电，由此产生EMP。脉冲发生器430等待预定时间(毛刺偏移)，并且在由目标设备410断言触发信号时发出脉冲。主计算机系统402与目标设备410通信并监视目标设备410的行为。在一个示例中，电源415是可中断电源，其使得主计算机系统420能够中断到目标设备420的供电，以强制目标设备重新引本文档来自技高网...

【技术保护点】
1.一种集成电路，包括：篡改传感器，该篡改传感器具有多个状态电路，每个状态电路具有相应的输出端，所述相应的输出端提供相应的逻辑状态并且在正常操作时响应于时钟信号来切换所述相应的逻辑状态，并且无法响应于相应的故障注入来切换所述相应的逻辑状态，其中所述篡改传感器具有响应于所述多个状态电路的所述相应的逻辑状态的差异来提供故障信号的输出端；受保护电路；以及篡改响应电路，该篡改响应电路耦合到所述篡改传感器和所述受保护电路，用于响应于所述故障信号执行保护操作以保护所述受保护电路。

【技术特征摘要】
2017.06.02 US 15/612,8411.一种集成电路，包括：篡改传感器，该篡改传感器具有多个状态电路，每个状态电路具有相应的输出端，所述相应的输出端提供相应的逻辑状态并且在正常操作时响应于时钟信号来切换所述相应的逻辑状态，并且无法响应于相应的故障注入来切换所述相应的逻辑状态，其中所述篡改传感器具有响应于所述多个状态电路的所述相应的逻辑状态的差异来提供故障信号的输出端；受保护电路；以及篡改响应电路，该篡改响应电路耦合到所述篡改传感器和所述受保护电路，用于响应于所述故障信号执行保护操作以保护所述受保护电路。2.如权利要求1所述的集成电路，其特征在于，所述受保护电路包括数据处理器，并且所述保护操作包括阻止调试操作。3.如权利要求1所述的集成电路，其特征在于，所述保护操作还包括向所述受保护电路提供存储器擦除操作。4.如权利要求1所述的集成电路，其特征在于，所述保护操作还包括提供用于使密码认证操作的结果无效的无效操作。5.如权利要求1所述的集成电路，其特征在于，所述篡改传感器还检测保持时间违规。6.如权利要求5所述的集成电路，其特征在于，所述篡改传感器使用第一寄存器检测所述保持时间违规，所述第一寄存器具有数据输入端和耦合到所述数据输入端的互补输出端以及真输出端。7.如权利要求1所述的集成电路，其特征在于，所述篡改传感器还检测建立时间违规。8.如权利要求7所述的集成电路，其特征在于，所述篡改传感器使用第二寄存器电路检测所述建立时间违规，所述第二寄存器电路具有第二寄存器以及第一延迟元件，所述第一延迟元件具有耦合到所述第二寄存器的数据输入端的输入端，并且所述第一延迟元件具有耦合到所述第二寄存器的互补输入端的输出端，并且所述第二寄存器具有输出端。9.如权利要求1所述的集成电路，其特征在于，所述篡改传感器包括：第一寄存器，该第一寄存器响应于所述时钟信号来计时并检测保持时间违规；第二寄存器，该第二寄存器响应于所述时钟信号来计时并检测建立时间违规；比较电路，该比较电路比较所述第一寄存器的输出与所述第二寄存器的输出；以及输出寄存器，该输出寄存器响应于所述时钟信号而计时，检测保持时间违规并检测建立时间违规，并且具有耦合到所述比较电路的所述输出端的数据输入端以及用于提供所述故障信号的输出端。10.如权利要求9所述的集成电路，其特征在于，所述比较电路接收所述第一寄存器和所述第二寄存器的真输出。11.如权利要求9所述的集成电路，其特征在于，所述比较电路接收所述第一寄存器和所述第二寄存器的互补输出。12.如权利要求9所述的集成电路，其特征在于，所述第一寄存器和所述第二寄存器以小于与预期故障注入区相关的预定距离的距离在所述集成电路上被分开。13.如权利要求9所述的集成电路，其特征在于，所述第一寄存器和所述第二寄存器在所述集成电路上并置在四个单位单元组中，用于局部检测所述相应的故障注入。14.如权利要求13所述的集成电路，其特征在于，所述四个单位单元组跨所述集成电路分布成阵列。15.如权利要求1所述的集成电路，其特征在于，所述篡改传感器响应于具有超过预定大小的绝对值的电磁脉冲注入来进一步检测所述相应的故障注入。16.如权利要求1所述的集成电路，其特征在于，所述篡改传感器还在所述相应的故障注入通过电压毛刺被引入时检测所述故障注入。17.如权利要求1所述的集成电路，其特征在于，所述篡改传感器还在所述相应的故障注入通过时钟毛刺被引入时检测所述相应的故障注入。18.一种用于检测故障注入的篡改传感器，包括：多个状态电路，每个状态电路具有相应的输出端，所述相应的输出端提供相应的逻辑状态并且当正常操作时响应于时钟信号来切换所述相应的逻辑状态，并且无法响应于相应的故障注入来切换所述相应的逻辑状态；比较电路，该比较电路用于对所述多个状态电路的输出进行比较，其中，所述比较电路提供相应的输出；以及篡改响应电路，该篡改响应电路耦合到寄存器，该寄存器具有耦合到所述比较电路的输出端的输入端、用于接收时钟信号的时钟输入端、以及响应于所述多个状态电路中的所述相应的逻辑状态的差异而提供故障信号的输出端。19.如权利要求18所述的篡改传感器，其特征在于，所述多个状态电路响应于所述相应的故障注入来检测建立时间违规和保持时间违规。20.如权利要求19所述的篡改传感器，其特征在于，所述多个状态电路是具有用于检测所述建立时间违规和所述保持...

【专利技术属性】
技术研发人员：J·艾琳斯，S·艾哈迈德，L·林德逊，
申请(专利权)人：硅实验室股份有限公司，
类型：发明
国别省市：美国,US