用于保护集成电路的方法以及相应的集成电路与流程

本发明的实施方式和实施例涉及集成电路，并且更具体地涉及保护集成电路免受故障注入攻击(根据本领域技术人员所熟知的术语dfa，“差分故障分析”)，并且最具体地免受借助于外部电磁辐射进行的故障注入攻击。

背景技术：

在本领域技术人员已知的攻击类型中，可以列举通过探测进行的攻击，这要求将探针插入电路的互连部分以便读取由各个部件发射的电信号，并且然后对它们进行分析以便获得关于操作电路的信息。

为了保护自身免受这种类型的攻击，常规地可能将保护屏蔽层放置在电路的互连部分的上部区域中。所述屏蔽层常规地包括金属迹线，使电信号在金属迹线中流动。因此，在插入读取探针时，金属迹线受损，并且所述信号可能不再在所述屏蔽层中流动。因此所述电路可以检测到入侵，并且例如生成报警信号从而采取适当的动作。

另一种已知的攻击类型是故障注入攻击，这包括在例如借助于生成电磁辐射的电磁注入线圈来注入故障，其方式为使得修改例如运算的临时结果的一个或多个位的值而不损伤电路的物理完整性。

响应于这些注入而分析所述电路的特性可以使得获得安全信息(如，例如，密钥)成为可能。

存在用于保护自身免受这种类型攻击的手段，如例如，包括对所执行的运算进行多次验证的加密运算。

然而，这些方案可以通过更复杂的故障注入方案(如例如，双重故障注入攻击)来克服。

技术实现要素：

因此，根据实施例，提出了使用硬件并以简单的方式来保护集成电路免受电磁故障注入攻击。

根据一方面，提出了一种用于保护集成电路免受借助于外部电磁辐射进行的故障注入攻击的方法，所述集成电路包括在其互连部分产生的金属屏蔽层。

根据这方面的一般特性，所述方法包括：经由所述金属屏蔽层来检测所述电磁辐射。

因此，一般为保护免受探测攻击而存在的屏蔽层有利地用于检测易于生成到电路内的故障注入的电磁场。

根据一种实施方式，所述检测包括：将所述屏蔽层置于接收天线配置中；以及检测大于在所述屏蔽层中流动的阈值的至少一个信号。

易于生成故障注入的电磁场实际上是具有大于阈值的强度的场，这表现为大于屏蔽层中的阈值的信号的流动。

并且这一阈值(其取决于每个电路)例如可在对集成电路进行表征的阶段期间借助于能够生成具有可调值的测试电磁辐射的测试电磁注入线圈确定的。

可以实现对所述检测的灵敏度的调整，所述调整包括将可变电阻器连接至金属屏蔽层。

在所述检测之前，可以对金属屏蔽层的完整性进行验证，所述验证包括检查屏蔽层中电流流动的可能的中断。

根据另一方面，提出了一种集成电路，所述集成电路包括保护设备，所述保护设备包括在所述集成电路的互连部分中产生的金属屏蔽层。

根据此另一方面的一般特性，所述电路包括检测装置，所述检测装置包括金属屏蔽层并且被配置成用于检测表示故障注入攻击的外部电磁辐射的存在。

表示故障注入攻击的电磁场常规地对应于振幅达到或超过预定阈值的电磁脉冲，这可能从一个电路到另一个电路而改变。

所述检测装置可以包括：第一命令装置，所述第一命令装置能够将屏蔽层置于接收天线配置中；接口模块，所述接口模块耦合至屏蔽层并且被配置成用于检测在所述天线中流动的第一电信号并且传递所述一控制信号；以及控制装置，所述控制装置被配置成用于接收所述第一控制信号。

根据一个实施例，所述集成电路包括被配置成用于验证所述屏蔽层的完整性的验证装置。

所述验证装置可以包括第二命令装置，所述第二命令装置被配置成用于向屏蔽层的输入端发射第二电信号，并且所述接口模块可以被配置成用于在屏蔽层的输出端处检测所述第二电信号的存在并且传递第二控制信号，并且所述控制装置被配置成用于接收所述第二控制信号。

集成电路还可以包括命令级，所述命令级可由控制装置配置，并且在第一配置中形成第一命令装置并且在第二配置中形成第二命令装置。

根据一个实施例，金属屏蔽层包括至少一条金属迹线，所述金属迹线包括第一端和第二端；并且所述可配置级包括连接在金属迹线的第一端子与地之间的第一晶体管、被配置成用于生成第二电信号的发生器、连接在第一端子与发生器之间的传输门、以及被配置成用于命令第一晶体管和传输门的控制装置，从而使得，在第一配置中第一晶体管被禁用并且传输门处于使能状态，并且在第二配置中第一晶体管被使能并且传输门被禁用。

根据一个实施例，接口模块包括：第一d触发器，所述第一d触发器包括连接至传递电源电压的电源端子的第一输入端、连接至第二端子的第一时钟输入端以及第一输出端；以及第二d触发器，所述第二d触发器包括连接至第一输出端的第二输入端、连接至传递时钟信号的时钟发生器的第二时钟输入端以及被配置成用于在第一输入端上接收到第一电信号或第二电信号之后分别传递第一控制信号或第二控制信号的第二输出端。

屏蔽层还可以包括：调节装置，所述调节装置被配置成用于改变所述屏蔽层的电阻；和/或保护装置，所述保护装置连接至所述金属迹线并且被配置成用于保护集成电路免受过电压。

屏蔽层可以包括多条金属迹线。

根据另一方面，提出了一种包括如以上所描述的集成电路的系统，所述系统可以是芯片卡或计算系统。

附图说明

通过研究实施方式和实施例的全部非限制性模式的详细描述，本发明的其它优点和特性将会更加清楚，并且其中所述附图包括：

-图1至图5展示了本发明的实施例。

具体实施方式

图1展示了包括保护设备dev的示例性集成电路ic，并且图2是在图1的剖面线ii-ii上的剖面图。

集成电路ic包括半导体衬底1，在所述半导体衬底中已经产生了多个部件10。

这里，所述部件尤其包括形成例如尤其旨在采用安全方式进行操作的密码电路cry的逻辑门。

衬底1由互连区域int(本领域技术人员通过首字母缩略词beol：“后段制程(backendofline)”已知)覆盖，包括若干金属层级，每个金属层级包括遮蔽在绝缘材料12(根据本领域技术人员熟知的术语“金属间电介质”)中的一条或多条金属迹线11。

金属层级的金属迹线11中的一些是经由通孔(为了简洁图中未表示)将密码电路cry的部件10中的至少某些部件链接在一起的互连迹线。

其他金属迹线常规地可以是用于重新分配集成电路ic的电源电压vdd、或者链接至地gnd的迹线。

在此示例中，集成电路包括六个金属化层级。金属化层级六n6(在此为最高层级)包括的屏蔽层shld，所述屏蔽层在此包括布置为形成矩形螺旋体的若干平行金属迹线。螺旋体的每条金属迹线的两端不直接经由通孔耦合至密码电路cry的部件，但是如将在以下看到的，耦合至验证装置2并且耦合至在衬底1中和衬底上产生的检测装置3。

此处，屏蔽层shld、验证装置2以及检测装置3形成了保护设备dev的一部分。

验证装置2被配置成用于在每条金属迹线中生成电信号并且用于接收此电信号以便验证屏蔽层的物理完整性。因此，在探测攻击的情况下，金属迹线被探针切断并且验证装置不再接收生成的信号。然后控制装置4可以生成报警信号。因此保护所述电路免受探测攻击。

检测装置3被配置成用于检测包括在屏蔽层中由外部电磁场或辐射感应出的电信号，并且如果合适则将信号调度至电路的控制装置4。响应于此信号，控制装置4还可以生成报警信号。

在此示例中，控制装置4由在集成电路ic的衬底1中产生的逻辑电路产生。尽管如此，仍可以想到使用例如在微控制器内的软件来实现控制装置4。

因此，在这种情况下，屏蔽层shld被用作接收天线，并且能够检测由在例如电磁故障注入攻击期间所使用的电磁注入线圈生成的特别强的电磁场。

此处，集成电路ic因此包括两个保护系统，这两个保护系统使用共同装置(即，屏蔽层shld)保护所述集成电路免受两种不同类型的攻击。就制作方法和生产成本而言，这是显著有利地。

图3是从电气观点着眼对根据本发明的实施例的保护设备dev的示意性表示，其包括验证装置2和检测装置3。

在此实施例中，屏蔽层shld包括单条金属迹线6。

检测装置3包括屏蔽层shld、接口模块5、控制装置4以及在第一配置中被配置成用于形成第一命令装置的可配置命令级cmd。

验证装置2包括屏蔽层shld、接口模块5、控制装置4以及在第二配置中被配置成用于形成第二命令装置的可配置命令级cmd。

控制装置4被配置成用于在逻辑命令信号sc1、sc2和sc3的基础上将可配置级cmd置于其第一配置中或者在其第二配置中。

可配置级cmd在此包括电连接至屏蔽层shld的第一端或第一端子60的传输门20(或根据本领域技术人员熟知的术语“通路门”)。

传输门20常规地包括nmos晶体管tr1和pmos晶体管tr2，将它们的源极电连接在一起并且将它们的漏极电连接在一起。

传输门20展示了特别可靠的优点，但是可能已经在此设想了任何其他类型的断路器。

晶体管tr1和tr2的漏极耦合至第一端子60，并且晶体管tr1和tr2的源极耦合至信号发生装置7，例如，此处为电流源。

此处，控制装置4耦合至晶体管tr1和tr2的门，并且因此通过信号sc1和sc2控制传输门20，信号sc2是信号sc1的互补信号。

因此，为了使能传输门20，并且因此将由信号发生装置7生成的第一信号s1发射至金属迹线6，信号sc1(此处为非零电位)由控制装置4应用至nmos晶体管tr1的门，并且信号sc2(此处为零电位)由控制装置4应用至pmos晶体管tr2的门。

可配置级(cmd)还包括耦合在第一端子60与地(gnd)之间的第三晶体管tr3，并且由控制装置4的信号sc3所控制。

接口模块5包括：第一“d”触发器50，所述第一“d”触发器常规地包括第一数据输入端d1、第一时钟输入端c1和第一输出端q1；以及第二“d”触发器51，所述第二“d”触发器51包括第二数据输入端d2、第二时钟输入端c2和第二输出端q2。

针对在各自的时钟输入端c1和c2上边缘的每次出现，触发器50和51将它们各自的数据输入端d1和d2复制到它们各自的输出端q1和q2。

第一触发器50的第一时钟输入端d1耦合至金属迹线6的第二端子61，并且第一数据输入端d1耦合至传递信号vdd的集成电路ic的电源端子。

第二数据输入端d2耦合至第一触发器50的第一输出端q1，并且第二时钟输入端c2耦合至传递信号clk的时钟信号发生器(未表示)，例如，用于步调所述密码电路cry的安全操作的时钟信号发生器。第二触发器51的第二输出端q2耦合至集成电路ic的控制装置4。

因此，在第一时钟输入端c1上出现信号时，信号vdd被复制到第一输出端q1并且发射到第二输入端d2。在时钟信号clk的每个边缘上，信号vdd因此也被复制到第二输出端q2并且发射到控制装置4。

由接口模块5输出的信号vdd可以因此被认为是控制信号ctr。

因此，借助于第二触发器51，接口模块5将有利地采用同步的方式(也就是说在发生时钟边缘时)传递控制信号ctr。

如以上所看到的，设备dev拥有包括第三晶体管tr3和传输门20的可配置命令级cmd，并且所述可配置命令级cmd可以借助控制信号sc1、sc2和sc3被配置为其第一配置或在其第二配置。

在第一配置中，通过将信号sc3(例如此处为零电位)应用至第三晶体管tr3的门而对所述第三晶体管进行禁用。这种配置使得可以验证屏蔽层(shld)的物理完整性。

为此，通过生成装置7和传输门20将第一信号s1发射至第一端子60。例如，信号s1可以是由传输门20到使能状态的非常短的转变所生成的dirac类型的电流脉冲。

如果切断金属迹线6，也就是说例如如果已经发生探测攻击，则第一信号s1未被发射至接口模块5，所述接口模块因此也不向控制装置4发射电压vdd或者控制信号ctr。在这种第一配置中，控制装置4被配置成用于在没有控制信号ctr的情况下生成报警信号。

如果不切断金属迹线6，也就是说如果未发生通过探测带来的攻击，则第一信号s1被发射至接口模块5，所述控制模块将控制信号ctr调度至控制装置4，因此控制装置不生成任何报警信号。

在第二配置中，传输门20被禁用并且第三晶体管tr3被使能。因此金属迹线6的第一端子60连接至地(gnd)。

因此，在这种第二配置中，金属迹线6充当接收天线。在由电磁故障注入攻击的情况下，也就是说，在存在跨屏蔽层(shld)的特别强电磁场时，电流在金属迹线60中生成并且被发射至接口模块5。然后接口模块5将控制信号ctr调度至控制装置4，所述控制装置在这种第二配置中生成报警信号。

常规地，在启动集成电路ic时，设备dev处于第一配置中，并且一旦已经执行验证就转到第二配置中。

设备dev还包括使得可以调节检测装置3的灵敏度的调节装置8。

此处的调节装置8包括并联耦合在地gnd与第二端子61之间的多个晶体管tr4、tr5和tr6。

晶体管由控制装置4经由信号sc4、sc5和sc6来命令。根据所期望的灵敏度，控制装置4使一个或多个晶体管处于使能状态中。因此调节装置8在此充当可变电阻器。

因此，通过调节电阻值，第二端子61上的由给定强度的电磁场的存在所导致的电位也发生变化。

换句话说，在接口模块5仅在第一时钟输入端c1上以及因此在第二端子61上的某个电位值之前才被触发的情况下，调节装置8使得可以为设备dev设定检测阈值。

通过以下方式在对设备dev进行表征的阶段期间通过以下方式获得检测阈值的值：借助于发射具有不同振幅的电磁脉冲的电磁注入线圈有意地进行故障注入攻击，并且确定脉冲允许故障注入之前的阈值振幅。

此后采用这种方式调节屏蔽层shld的电阻，从而使得低于阈值振幅的振幅的场不触发接口模块。

因此检测阈值对于每个电路而言是特定的。

这在当集成电路ic用在包括电磁干扰的环境中(例如，在接近其他电子装置时)时尤其有利，从而使得检测装置3不被所述干扰触发而仅被电磁攻击触发。

设备dev还包括被配置成用于保护装置dev免受过电压的保护装置9。

确实，在故障注入攻击期间，由注入线圈生成的电磁场的强度是不可预见的，并且在设备dev中生成过分显著的电流是可能的，并且这可能损坏电路。

保护装置9包括两对二极管90和91。

第一对二极管90包括串联安装的第一二极管d1和第二二极管d2，第一二极管d1的阳极连接至第一端子60，并且第二二极管d2的阴极连接至传递信号vdd的集成电路的电源端子。

第二对二极管91包括串联安装的第三二极管d3和第四二极管d4，第三二极管d3的阳极连接至地gnd，并且第四二极管d4的阴极连接至第二端子61。

以上描述并在图1至图3展示的集成电子电路ic常规地可以被集成为包括处理单元的系统，常规地是在计算机的或者在移动电话机的芯片卡的处理单元中，这需要实现安全操作。

图4和图5展示了包括安全处理单元的计算系统，在所述安全处理单元中产生根据本发明的实施例的集成电路(ic)。图4展示了芯片卡cc，并且图5展示了膝上型计算机cmp。芯片卡cc和膝上型计算机cmp包括例如包含根据本发明的实施例的集成电路的微处理器。

本发明的应用的示例并不局限于图4和图5所展示的那些示例，并且本领域技术人员将能够将以上描述的以及图1至图3中展示的本发明的实现方式和实施例应用至其它已知系统中。

此处展示的实现方式和实施例全部是非限制性的。注意，尽管以上描述了包括单个设备的集成电路，但是完全有可能设想一种包括在衬底中所产生的若干安全模块的集成电路，这些模块中的每个模块与具有在所述模块上方产生的屏蔽层的分离的保护设备相关联。

并且，尽管描述了包括单条金属迹线6的设备dev的电气图，应注意的是，在设备包括多条金属迹线的情况下，这些迹线中的每一条迹线将在第一配置中用作验证装置，而在第二配置中，这些迹线中的一条或者几条将被用作接收天线。