用于抗攻击芯片的安全封装结构及封装完整性检测方法与流程

本发明涉及芯片抗攻击领域，尤其涉及一种利用低温共烧陶瓷(Low Temperature Co-fired Ceramic,LTCC)技术制作的安全封装结构及封装完整性检测方法。

背景技术：

集成电路正越来越广泛地应用在经济社会的各个方面，成为支撑经济社会发展的战略性、基础性和先导性产业。目前，集成电路的信息安全问题日益突出，各个领域都对集成电路信息安全提出越来越高的要求。随着微电子技术的不断发展，针对芯片的物理攻击手段不断被提出，其中，侵入式攻击作为物理攻击中最有效、最彻底的攻击手段，给集成电路安全带来了巨大的威胁。

侵入式攻击方式通过开盖、钻孔、腐蚀等手段实现对芯片封装的破坏，利用拍照、聚焦离子束FIB(Focused Ion beam)、微探针以及激光等技术，提取相关信息[1]。可见当芯片受到侵入式攻击后，对于攻击者者而言没有任何秘密可言。但是实施侵入式攻击需要一个前提，即芯片的封装需要被去除，将裸片暴露出来，攻击者才能采用FIB、微探针等后续攻击手段。因此可以基于封装层，提出安全封装结构，开展封装完整性监测技术研究，从封装层阻止攻击者开展后续攻击。

经过发明检索，已有中国专利提出类似用于抗攻击安全芯片的封装结构，专利CN103489835[2]提出为芯片裸片双面键合防腐材料的结构。但是该结构仅能实现增加封装去除难度的效果，仅仅提高了被动防护水平，攻击者仍然可以实现开盖、钻孔等攻击。

参考文献

1、叶世芬.安全芯片物理防护研究[D].浙江大学,2005。

2.张炜,宋小伟,张君迈.安全芯片及封装方法[P].中国专利：CN103489835B，2016-05-11。

技术实现要素：

为克服现有技术的不足，本发明旨在提出一种适用于抗攻击芯片的安全封装结构及其完整性检测方法，实现实时监测金属网络的完整性，监测封装的完整性，保障集成电路芯片的信息安全。本发明采用的技术方案是，用于抗攻击芯片的安全封装结构，由底座Z1、盖板Z2构成，底座Z1由LTCC(Low Temperature Co-fired Ceramic)技术制成，具有朝下的“凸”字形腔体，并由此具有三层表面：上表面层Z5、金属压焊盘PAD层Z4、芯片层Z3；上表面层Z5为底座Z1最上层的表面，形状为一矩形环，该表面具有一些用于构成闭合金属网络的金属导线，包括圆形金属点B、金属导线CD、金属导线GH、金属导线NO、金属导线RS、圆形金属点U，各金属导线及圆形金属点皆靠近上表面层Z5矩形环内侧，其中，圆形金属点B位于底座Z1上表面左下部，并处于PAD层Z4中PAD A的左侧横向延长线上，圆形金属点U位于底座Z1上表面左下部，并处于PAD层Z4中PAD V的左侧横向延长线上，粗金属导线CD位于底座Z1上表面左上部，与底座Z1左边平行，C、D分别为其两个端点，粗金属导线GH位于底座Z1上表面右上部，与底座Z1上边平行，G、H分别为其两个端点，粗金属导线NO位于底座Z1上表面右下部，与底座Z1右边平行，N、O分别为其两个端点，金属导线RS位于底座Z1上表面左下部，与底座Z1下边平行，R、S分别为其两个端点，C点与N点位于底座Z1纵向的中心处，G点与R点位于底座Z1横向的中心处，D、C、B、U、S五点共线，位置由上依次向下，D、G、H三点共线，位置由左依次向右，H、N、O三点共线，位置由上依次向下，S、R、O三点共线，位置由左依次向右；PAD层Z4为腔体第一层台阶表面，形状为一矩形环，环内含有多个金属PAD，用于与芯片PAD相连，特殊地，PAD A与PAD V为用于封装完整性检测的PAD，位于PAD层Z4左下角，分别与底座Z1下边平行，且PAD A位于PAD V上方，PAD A通过内部金属导线与上表面层Z5中圆形金属点B相连，PAD V通过内部金属导线与上表面层Z5中圆形金属点U相连；芯片层Z3为腔体最底层表面，为矩形区域，芯片层Z3用于将芯片贴合至封装底座Z1；底座Z1下表面的每个引脚与图1PAD层Z4中相应PAD一一对应连接；

盖板Z2由LTCC技术制成，为一内嵌金属导线的薄矩形板，其上表面不含任何金属导线，其下表面嵌入用于构成闭合金属网络的金属导线，包括圆形金属点B1、金属导线B1B2、金属导线EF、金属导线IJ、“S”形金属走线K、金属导线LM、金属导线PQ、金属导线U2U1、圆形金属点U1，圆形金属点B1位于盖板Z2下表面左上部，具体位置由底座Z1的圆形金属点B决定，当底座Z1与盖板Z2闭合时，圆形金属点B1需要与圆形金属点B贴合；圆形金属点U1位于盖板Z2下表面左上部，具体位置由底座Z1的圆形金属点U决定，当底座Z1与盖板Z2闭合时，圆形金属点U1需要与圆形金属点U贴合；粗金属导线B1B2位于盖板Z2下表面左上部，与盖板Z2左边平行，B1、B2分别为其两个端点，粗金属导线EF位于盖板Z2下表面左下部，与盖板Z2下边平行，E、F分别为其两个端点，粗金属导线IJ位于盖板Z2下表面右下部，与盖板Z2右边平行，I、J分别为其两个端点，粗金属导线LM位于盖板Z2下表面右下部，与盖板Z2右边平行，L、M分别为其两个端点，粗金属导线PQ位于盖板Z2下表面右上部，与盖板Z2上边平行，P、Q分别为其两个端点，粗金属导线U2U1位于盖板Z2下表面左上部，与盖板Z2左边平行，U2、U1分别为其两个端点，B2点与M点位于盖板Z2纵向的中心处，Q点与F点位于盖板Z2横向的中心处，U2、U1、B1、B2、E五点共线，位置由上依次向下，U2、Q、P三点共线，位置由左依次向右，P、M、L、J、I五点共线，位置由上依次向下，E、F、I三点共线，位置由左依次向右；同时下表面还嵌入“S”形金属走线K，布满粗金属导线内的区域；“S”形金属走线K的两端分别与粗金属导线LM的L端以及粗金属导线JI的J端相连；

使用时，需要将盖板Z2下表面与底座Z1上表面紧密贴合，特别地，盖板Z2与底座Z1贴合需要满足以下要求：Z1圆形金属点B需与Z2圆形金属点B1贴合，Z1金属导线C端与Z2金属导线B2端贴合，Z1金属导线D端与Z2金属导线E端贴合，Z1金属导线G端与Z2金属导线F端贴合，Z1金属导线H端与Z2金属导线I端贴合，Z1金属导线N端与Z2金属导线M端贴合，Z1金属导线O端与Z2金属导线P端贴合，Z1金属导线R端与Z2金属导线Q端贴合，Z1金属导线S端与Z2金属导线U2端贴合，Z1圆形金属点U需与Z2圆形金属点U1贴合。由此便形成一条闭合且唯一的金属通路1：底座Z1的PAD A-圆形金属点B-圆形金属点B1-金属导线B1B2-金属导线CD-金属导线EF-金属导线GH-金属导线IJ-“S”形金属走线K-金属导线LM-金属导线NO-金属导线PQ-金属导线RS-金属导线U2U1-圆形金属点U1-圆形金属点U-底座Z1的PAD V，该闭合金属通路1将用于封装完整性的检测。

适用于抗攻击芯片的安全封装结构完整性检测方法，需要所述芯片内嵌检测传感器，并配合闭合金属通路1才能实施封装完整性检测：芯片内嵌检测传感器，芯片PAD X1为检测传感器输出PAD，芯片PAD X2为检测传感器输入PAD；芯片PAD X1通过键合引线W1与底座Z1的PAD A相连，芯片PAD X2通过键合引线W2与底座Z1的PAD V相连；盖板Z2与底座Z1贴合后的安全封装结构与芯片将形成一条从芯片检测传感器输出端到检测传感器输入端的闭合金属通路2：芯片的PAD X1-键合引线W1-底座Z1的PAD A-圆形金属点B-圆形金属点B1-金属导线B1B2-金属导线CD-金属导线EF-金属导线GH-金属导线IJ-“S”形金属走线K-金属导线LM-金属导线NO-金属导线PQ-金属导线RS-金属导线U2U1-圆形金属点U1-圆形金属点U-底座Z1的PAD V-键合引线W2-芯片Y的PAD X2；封装完整性检测具体步骤为：由芯片检测传感器提供待测信号，并将该待测信号由芯片的PAD X1中通入闭合金属通路2；待测信号经过闭合金属通路2，最后到达芯片的PAD X2端，由PAD X2将该信号输入检测传感器；检测传感器实时检测PAD X2处的信号，一旦盖板Z2被移除或被破坏，则闭合金属通路2将被打断，在PAD X2处检测信号丢失，判定受到侵入式攻击；

一旦检测传感器判定受到侵入式攻击，则会输出ALARM报警信号，芯片检测到该信号后，立即启动销毁控制模块，对芯片内部的存储器所有地址进行顺序全0、全1或随机数覆写，即可将关键数据销毁，从而保障存储信息的安全。

本发明的特点及有益效果是：

安全封装结构，配合封装完整性检测方法，能够有效检测侵入式攻击中开盖、钻孔等破坏封装的过程，使得芯片具有足够的时间进行数据销毁等保护措施，攻击者即使破坏封装也无从获得有效信息，从而实现对侵入式攻击的有效检测和防御。

附图说明：

图1底座Z1俯视图。

图2底座Z1剖面图。

图3底座Z1仰视图。

图4盖板Z2正视图。

图5盖板Z2仰视图。

图6盖板Z2俯视图。

图7底座Z1与盖板Z2闭合俯视图。

图8底座Z1与盖板Z2闭合侧视图。

图9带芯片底座Z1俯视图。

图10带芯片底座Z1与盖板Z2闭合剖面图。

图11封装完整性检测波形图。

具体实施方式

本发明旨在提出一种适用于抗攻击芯片的安全封装结构及其完整性检测方法，该结构利用LTCC技术，在封装体内嵌入特定拓扑结构的金属网络，再配合芯片内部的监测传感器，实时监测金属网络的完整性，来监测封装的完整性。从封装层提出抗侵入式攻击的方法，保障了集成电路芯片的信息安全。

本发明提出一种适用于抗攻击芯片的安全封装结构及其完整性检测方法，利用该封装结构，并配合完整性检测方法，可以实时主动检测封装的完整性，判断封装是否受到攻击。当检测到攻击行为时，立即对芯片内部关键数据进行销毁，从而保障了集成电路信息安全。

本发明针对侵入式攻击需要破坏封装的特点，提出一种安全封装结构及其完整性检测方法，利用完整性检测方法对安全封装结构进行实时检测，判断安全封装结构是否完整，进而判断是否受到侵入式攻击。

1.安全封装结构

安全封装结构由两部分组成：底座Z1与盖板Z2。

如图1所示，是本发明提出的安全封装结构底座Z1俯视图。如图2所示，是本发明提出的安全封装结构底座Z1剖面图。底座Z1利用LTCC技术制成，LTCC技术可以将陶瓷材料与金属材料烧制在一起，形成内嵌金属网络的陶瓷封装结构。图1中，黑色粗线代表由LTCC技术制成的金属导线。如图1和图2，底座Z1具有朝下的“凸”字形腔体，并由此具有三层表面：上表面层Z5、PAD层Z4、芯片层Z3。上表面层Z5为底座Z1最上层的表面，由框线a1和框线a2之间的区域构成，该层形状为一矩形环，该表面具有一些用于构成闭合金属网络的金属导线，如图1中上表面层Z5黑色粗线所示。PAD层Z4为腔体第一层台阶表面，由框线a2和框线a3之间的区域构成，该层形状为一矩形环，环内含有多个金属PAD，用于与芯片PAD相连，如图1中PAD层Z4黑色粗线所示，例如PAD A与V。芯片层Z3为腔体最底层表面，由框线a3所围成的矩形区域构成，该层用于将芯片贴合至封装底座Z1。特殊地，PAD A通过内部金属导线与上表面层Z5中圆形金属点B相连，PAD V通过内部金属导线与上表面层Z5中圆形金属点U相连。如图3所示，是本发明提出的安全封装结构底座Z1仰视图。图3中黑色粗线代表封装结构引脚，每个引脚与图1PAD层Z4中相应PAD一一对应连接，例如图3中A1引脚与图1中PAD A通过内部导线连接，V1引脚与图1中PAD V通过内部导线连接，其它引脚与PAD依次对应。

如图4所示，是本发明提出的安全封装结构盖板Z2正视图。如图5所示，是本发明提出的安全封装结构盖板Z2仰视图。如图6所示，是本发明提出的安全封装结构盖板Z2俯视图。盖板Z2由LTCC技术制成，为一内嵌金属导线的薄矩形板。如图6，其上表面不含任何金属导线。如图5所示，其下表面嵌入用于构成闭合金属网络的金属导线，如图5中黑色粗线所示。同时下表面还嵌入“S”形金属走线K，布满粗金属导线内的区域。同时，“S”形金属走线K的两端分别与粗金属导线LM的L端以及粗金属导线JI的J端相连。

使用时，需要将盖板Z2下表面与底座Z1上表面紧密贴合，才能构成完整的安全封装结构，如图7和图8所示。特别地，盖板Z2与底座Z1贴合需要满足以下要求：Z1圆形金属点B需与Z2圆形金属点B1贴合，Z1金属导线C端与Z2金属导线B2端贴合，Z1金属导线D端与Z2金属导线E端贴合，Z1金属导线G端与Z2金属导线F端贴合，Z1金属导线H端与Z2金属导线I端贴合，Z1金属导线N端与Z2金属导线M端贴合，Z1金属导线O端与Z2金属导线P端贴合，Z1金属导线R端与Z2金属导线Q端贴合，Z1金属导线S端与Z2金属导线U2端贴合，Z1圆形金属点U需与Z2圆形金属点U1贴合。由此便形成一条闭合且唯一的金属通路1：底座Z1的PAD A-圆形金属点B-圆形金属点B1-金属导线B1B2-金属导线CD-金属导线EF-金属导线GH-金属导线IJ-“S”形金属走线K-金属导线LM-金属导线NO-金属导线PQ-金属导线RS-金属导线U2U1-圆形金属点U1-圆形金属点U-底座Z1的PAD V。该闭合金属通路1将用于封装完整性的检测。

2.封装完整性检测方法

封装完整性检测需要集成电路芯片内嵌检测传感器，并配合闭合金属通路1才能实施封装完整性检测。如图9所示，为芯片Y与底座Z1粘合后的俯视图。芯片内嵌检测传感器，芯片PAD X1为检测传感器输出PAD，芯片PAD X2为检测传感器输入PAD。芯片PAD X1通过键合引线W1与底座Z1的PAD A相连，芯片PAD X2通过键合引线W2与底座Z1的PAD V相连。如图10所示，为带芯片的底座Z1与盖板Z2闭合的剖面图。盖板Z2与底座Z1贴合后的安全封装结构与芯片Y将形成一条从芯片Y检测传感器输出端到检测传感器输入端的闭合金属通路2：芯片Y的PAD X1-键合引线W1-底座Z1的PAD A-圆形金属点B-圆形金属点B1-金属导线B1B2-金属导线CD-金属导线EF-金属导线GH-金属导线IJ-“S”形金属走线K-金属导线LM-金属导线NO-金属导线PQ-金属导线RS-金属导线U2U1-圆形金属点U1-圆形金属点U-底座Z1的PAD V-键合引线W2-芯片Y的PAD X2。

封装完整性检测原理为：由芯片Y检测传感器提供待测信号，并将该待测信号由芯片Y的PAD X1中通入闭合金属通路2。待测信号经过闭合金属通路2，最后到达芯片Y的PAD X2端，由PAD X2将该信号输入检测传感器。检测传感器实时检测PAD X2处的信号，一旦盖板Z2被移除或被破坏，则闭合金属通路2将被打断，在PAD X2处检测信号丢失，判定受到侵入式攻击。一旦检测传感器判定受到侵入式攻击，则会输出ALARM报警信号，芯片检测到该信号后，可以采取将关键数据销毁等手段，保障存储信息的安全。

封装完整性检测波形图如图11所示。芯片Y的PAD X1提供稳定的时钟信号，若安全封装结构保持完整，则在X2端能够检测到同样的时钟信号。当第3个时钟周期低电平期间，安全封装被破坏，金属通路2断开，则在X2端将无法检测到周期性时钟信号。当第四个时钟周期到来时，X2信号不发生改变，则判定受到侵入式攻击，ALARM信号输出高电平报警信号。