专利名称:用于使电子集成电路外壳免受物理或化学侵入的设备的制作方法
用于使电子集成电路外壳免受物理或化学侵入的设备本发明涉及形成用于这样的集成电路的外壳,使得可能检测到对所述外壳的物理侵入(ingression)。具体地,本发明应用于在物理攻击(例如,通过在集成电路的外壳被侵入的情况下,损坏所述集成电路中所包含的保密内容)的情况下保护可能被包含在所述集成电路中的保密内容。定义关于词汇,芯片表示从硅晶片切割的实际集成电路。衬底表示微型PCB( “印刷电路版”),其使能外部连接件或接线柱以及“芯片”自身之间的连接。部件表示由衬底、芯片和将其全部覆盖的外壳构成的组件。印刷电路板PCB表示其上放置有部件的电子板。芯片通常在被称作“管芯附着(die attach),,的操作过程中被放置在衬底上(除了所谓的“倒装芯片(flip-chip)”技术之外)并且凭借导电环氧树脂胶被胶合。具体地,在衬底与“芯片”之间的连接以多种方式发生,这取决于所选择的技术。例如,在传统的背景下,进行有线连接,这在于凭借导线将衬底连接到芯片,所述导线被搁在衬底侧的焊盘上以及芯片侧的接线柱上。对于被称作“倒装芯片”的技术,凭借导电球形成芯片与衬底之间的电气连接,所述导电球被焊接在部件下面并且位于衬底上。根据所选择的技术,部件与印刷电路板(PCB)之间的电气连接以多种方式形成, 例如,借助被称作BGA( “球栅阵列”)的封装上的导电球。因此,考虑到非倒装芯片BGA芯片,任何来自印刷电路板PCB的信号(尤其是敏感信号(sensitive signal))将经过导电球,然后通过衬底,经过接线柱,沿着互连线前行,然后到接线柱,以最终被传送至芯片。
现有技术存在专用于信息安全的多种类型的集成电路,并且现今常用的是,将电子系统或计算机系统的安全性建立在执行安全功能的集成电路的基础上。一种公知的实例是芯片卡,其设置有具有保护诸如密钥的敏感信息的功能的集成电路。例如,这些密钥保护银行交易、电话缴费或远程购买交易。然而,用于芯片卡的集成电路仅具有单个输入/输出引脚。因此,容易对该引脚上运转的(circulating)数据进行加密,从而这样说来保护外壳是没有用的。专用于安全的电路的另一个实例是TPM( “可信平台模块”),其由大型计算机公司首创,现今存在于几乎所有的专业笔记本电脑上,并且这些TPM今后将可能装配在全世界范围内销售的所有个人计算机上。复杂的安全电路(尤其是TPM电路)具有比用于芯片卡的电路更大数量的输入/ 输出(对于TPM而言,存在观个引脚)。因此,对部件进行保护要求对在如此众多的输入/ 输出上运转的敏感信息进行保护,从而攻击者无法获得信息或者将所述信息设为他所期望的值。因此,可以看到,就用于芯片卡的电路的情况而言适合的加密方案将不再适合于复杂的安全电路的情况,这是由于针对实时地对20个左右的信号或甚至更多信号进行加密和解密所必需的计算能力对必需的性能和成本来说将会是难以负荷的。因此,需要一种用于保护设置有众多输入/输出的复杂电路的新方案。此外,已经注意到的是,用于对集成电路进行物理和电气分析的设备快速地发展。 具体地,这些设备包括电子扫描显微镜、聚焦式离子束(FIB)设备或通过结(junction)分析光子发射的设备(也被称作“Emiscopes”)。这些类别的装备基本是旨在为了集成电路的发展,又可以被一些人用作针对电路安全进行攻击的强大手段。然而,在这种背景下,重要的是要注意,对于所有这些设备,在实施攻击之前必需打开外壳。因此,回应于这种问题的一种方式在于这样的原理,即通过使电路外壳免受物理侵入来保护整个电路。在某些情况下,保护外壳可能相对简单,例如,为了进行“板上芯片 (Chip on Board)”型封装或者当安全部件是芯片卡微模块时,将树脂涂层堆积在集成电路上面(top) ο这就是在FR 2 888 975A中进行的,其利用保护层覆盖芯片的整个表面,所述保护层布置在芯片的每一侧以利用保护层覆盖芯片的整体。当然,考虑到将要保护的表面积, 这种结构是昂贵的。另外,这是相对无效的,因为为了绕过(bypass)保护装置需要的只是去除保护层,而保护层的位置是清楚的且非常明显。然而,这种保护是无效的,因为简单的化学攻击使得有可能去除在将电路放置在支撑件上时堆积的树脂涂层并且接近(access)实际的集成电路(芯片)。如果在最终将集成电路安装在其支撑件上期间,整合体(integrator)已经提供了额外的保护,则在其他实现方式中,使外壳免受物理侵入会更复杂。例如,已知的是,利用可变类型的堆积物、遮盖物或覆盖物(树脂堆积物、金属遮盖物)来覆盖电路。这些堆积物、 遮盖物或覆盖物可能非常简单,由于保护只是被动的,由此提供了最小程度的机械保护。另外已知的是更复杂的外部保护手段,采用其中传送了电信号的导电电路的形式,旨在通过安全机制检验该信号来检测对覆盖物的任何侵入,所述导电电路通常被布置在防止进入的材料(树脂、凝胶等)中。这种提供高水平安全性的涂层的一个具有高度代表性的实例是WL Gore&Associates公司的名为“篡改回应安全壳体(tamper-respondent security enclosure) ”的产品。然而,对于将电路集成到最终产品中的人而言,这种外部保护选择表现出相当多的缺陷。事实上-由此受保护的部件的集成度实现起来明显更复杂,因为其需要额外的元件(例如遮盖物)、用于安置遮盖物的额外的加工、用于安装遮盖物并干燥树脂的额外的时间;-由于所需要的额外材料和额外的制造步骤,导致制造成本较高;-对最终产品的成品率产生负面影响;-从安全角度来说,风险较高,这是因为对最终产品的功能性修改可能涉及重新考虑该保护;-必须由验证实验室(certifyinglaboratories)确认所述外部保护。本发明的目的本发明的一个总体目的在于,提出一种用于保护集成电路外壳的设备和方法,其能够克服现有技术中已知的保护系统的缺点。另外,本发明更具体的目的在于,提出一种对集成电路外壳进行简单且有效保护的设备,使得可能检测用于接近集成电路的敏感区的外壳的任何开口。本发明的另一个目的在于,提出一种以低成本生产的保护设备。
发明内容
本发明的原理涉及以特定图案布置含有导电材料的易损元件,所述易损元件以与侵入检测电路形成的连续整体的方式被引入。因此,与上述文献FR 2 888 975A相反,目的在于仅保护敏感区的紧邻的周围,也就是说,有可能用于传送敏感信息的区域。为此,具有非常小直径的微滴(droplet)或易损区被形成在敏感区的周围。这些微滴通过布置在衬底上或者嵌入在衬底中的电路相互连接。这些微滴具有非常小的尺寸并且以攻击者不可预测的方式定位,从而敏感区附近的任何机械或化学侵入将必然损坏一个或更多个微滴或连接这些微滴的电路。检测电路传导一信号,这样可能验证检测电路的电气连续性。所使用的信号可以具有多种形式,静态或动态(即,不断变化的形状)。例如,通过比较所述检测电路的输入和输出来验证检测电路的电气连续性。安全策略决定这种验证过程和对侵入尝试的潜在检测的结果,一种可能的结果是,例如,删除集成电路中储存的密钥。为了实现这种原理,本发明涉及一种电子集成电路,所述电子集成电路包括附着于衬底的电子芯片,其组件受外壳保护,所述电子芯片设置有与布置在所述衬底上的连接焊盘连接的输入/输出接线柱,该电路还设置有至少一个侵入检测装置,所述至少一个侵入检测装置能够检测到所述外壳内部的机械和/或化学侵入和/或接近所述集成电路的敏感区的尝试,其特征在于,所述侵入检测装置包括检测电路,所述检测电路被嵌入在衬底中和/或放置在衬底上并且被布置成在所述集成电路的一些敏感区紧邻的附近经过,从而对接近任何一个所述敏感区的任何尝试都造成所述检测电路的电状态(闭合/断开)发生变化。为此,所述检测电路包括易损区,所述易损区布置在所述敏感区的紧邻的附近,从而在敏感区附近的任何物理或化学接近都造成相邻易损区的损坏并且检测到对所述电路的侵入。有利地,所述易损区以导电树脂的微滴的形式实现,被布置在所述敏感区的附近。优选地,导电树脂的微滴具有小于大约1000微米的尺寸并且所述微滴与要受到保护的所述敏感区分开50微米左右的间隔。根据本发明的一个实施方案,所述检测电路的易损区随机地分布在所述集成电路的所述衬底中或布置在所述衬底上。作为变体的实施方案,检测电路的易损区在衬底上分布成导电散布图案,特别是格子(grid)形式的图案。靠近所述敏感区的所述散布图案的一些接合点随后通过导电引线而升至所述衬底的表面并且设置有易损区。根据本发明的一个实施方案,所述侵入检测电路直接布置在芯片上,以作为布置在衬底上的替代方式或附加方式,所述侵入检测电路连接到所述芯片的输入/输出接线柱。
有利地,所述检测电路以所述敏感区附近的电气断开的电路形式实现,从而由导电液体产生的化学攻击造成所述敏感区附近的所述电路闭合,并且因此检测到所述化学攻击。作为变体,所述检测电路以所述敏感区附近的电气闭合的电路形式实现,从而由导电液体产生的化学攻击造成所述敏感区附近的所述电路断开,并且因此检测到所述化学攻击。在阅读以下的详细描述和附图的基础上将更好地理解本发明,其中-
图1以正视和剖视示出安装在连接于支撑件的衬底上的集成电路外壳的示意性传统结构;-图2以正视和剖视示出安装在衬底上的芯片的更详细视图,其中凭借互连件和连接焊盘在芯片和衬底之间形成有线连接;-图3以平面图示出图2中的设备;-图4以正视和剖视示出与图2的视图类似的视图,但是包括根据本发明的侵入检测电路;-图5以平面图示出图4中的设备。参照图1。该图示出单个芯片1,该芯片1是通过从硅晶片切割得到的并且包括用于将芯片电气连接到周围环境的电气接线柱或端子2。芯片附着于衬底3(任何类型的绝缘材料),凭借球矩阵BGA 5,衬底3自身被焊接到印刷电路板4。印刷电路板4包括合适直径的焊垫(lands)(未示出)。这些球之间的间距通常在mm范围内。焊料球5形成芯片1的接线柱2和印刷电路板4的导电迹线之间的电气接合。如图2和图3中更详细示出的,芯片1的接线柱2通过导线7连接到衬底3的焊盘6,导线7通常由金或铝制成。另外,每个焊盘6均通过集成在衬底3中的电路8连接到球5。因此,随后,导向连接焊盘6的信号被衬底中存在的电路8朝向BGA的对应球5传送。参照图4,图4以正视和剖视示出与图2的视图类似的视图,但是包括根据本发明的设置有易损区的侵入检测电路9。检测电路9嵌入在衬底3中或放置在其上,或者部分嵌入在衬底中而部分放置在衬底上。该检测电路9(并且尤其是对应于易损元件的部分)具有这样的任务,即确保部件上敏感元件的完整性并对其提供保护。这些敏感元件具体是包含敏感数据的存储器或者传送敏感信号的其他芯片或电路。检测电路9朝向易损元件升起,易损元件具体是以检测微滴10的形式实现,但当然,易损元件的其他实施方案在本领域技术人员的能力范围内。微滴堆积在衬底3的表面上,靠近被视为敏感的那些连接焊盘6,使得对敏感区的任何物理或化学攻击都将导致最近的易损元件损坏,将激活连接到检测电路的警报。如图5中所示,检测电路9将检测微滴相互连接,使得对电路或检测微滴之一的任何攻击将切断电路9,从而产生警报,该警报例如可以用来损毁芯片1的存储器中储存的保密内容。优选地,检测电路9嵌入衬底3的内层,并且因此被视为是不可触及的。该电路随后借助导电引线(feedthrough)(未示出)“升起(rise) ”至衬底3的表面。由此,一个微滴提供了 2个引线之间的连接,从而微滴集使检测电路闭合。清楚的是,为了确保对朝向敏感区的侵入的良好检测功效,考虑到制造成本要求,微滴10和连接焊盘6及其互连件必须具有尽可能小的尺寸。因此,采用当前用于形成电路的技术,可以容易获得的尺寸如下微滴10的直径为500 μ m左右,连接焊盘6的直径为200 μ m左右并且有线检测电路9的互连件的直径为 35 μ m左右。另外,堆积微滴的精度为25 μ m左右,并且微滴10与其所保护的最近的连接焊盘6之间的距离为50 μ m左右。应该注意的是,用于将芯片1胶合到衬底3上的产品通常凭借注射器以微滴或图案形式堆积在所述衬底的表面上。该产品例如是以商品名称“ablestik ablebond 印oxy 8290”而为人所知的导电树脂。因此,堆积微滴的这种方法和这种工具还可以用于在衬底3 上堆积导电树脂的微滴10。如上所述,包括布置在衬底上的芯片的部件的大部分敏感区通过附近的易损元件而被保护,易损元件例如以导电材料的微滴10的形式实现。现在将讨论得到期望的易损性的一些方式,特别是如果出现了对部件的机械和/或化学攻击。所述的概念保证了这样的保护原理,S卩,尝试获取外壳衬底上存在的芯片或信号的攻击者为了实现其目的必须首先以化学方式和/或机械方式完全去除惰性层(通常是成型树脂)。去除该惰性层的这种动作将使其面临至少一个易损元件破损的情况,从而触发对攻击的检测。关于引入机械易损性,当堆积小尺寸的易损区时,这是固有的,如当堆积小微滴10 的情况一样。这是因为,小尺寸的微滴将使易损区对于用于接近敏感元件的任何机械途径 (例如,通过铣削、钻孔等)高度敏感,并且对这种敏感元件采用的任何途径将涉及使微滴破裂的高度可能性。关于引入化学易损性,例如可能想像到易损元件(通常是微滴10)的化学组分近似于外壳的化学组分,这将会使其对损坏部件外壳的化学攻击敏感,该外壳(附图中未示出)包含且保护芯片及其衬底。因此,对外壳的化学攻击将对易损元件产生影响,在外壳溶解的同时或甚至在此之前,易损元件发生损坏或劣化。这将导致检测电路的反应和对攻击的检测。在外壳的化学组分与易损元件的化学组分不近似的情况下,另一方案涉及将易损元件的导电形式与绝缘形式混合。这种类型的实现方式的一个实施例将涉及使用导电环氧树脂和绝缘环氧树脂。因此,去除绝缘环氧树脂的尝试,将会造成同样去除导电环氧树脂的结果。使用环氧树脂是非常有趣的方案,这是因为用于堆积树脂的工具(使用针)是在集成电路封装流水线上已存在且可用的工具。使化学攻击变困难的最后一个手段涉及使侵犯者在选择攻击易损元件和/或外壳的产品时受到限制。这是因为,当外壳的化学组分包括大量二氧化硅时,有机溶剂是无效的。因此,在这些条件下,只可能使用诸如发烟硝酸的产品,发烟硝酸常用于破坏树脂并且从而攻击集成电路。考虑到硝酸或具有足够浓度来确保导电性的任何其他酸或者任何导电溶液,这足以在外壳中提供基于先验非闭合电路的检测机制。因此,由于攻击溶液的流动性和导电性,导致导电溶液的扩散将具有使检测电路闭合的效果,这将表示存在攻击。易损元件被堆积在电气绝缘的表面上,与为易损元件保留的连接点的位置分开。易损元件的位置和/或散布可以大不相同,这取决于要基于具体情况定义的安全级别以及针对每种情况最合适的技术选择。
例如,各易损元件10可以被定位于靠近敏感区,以在附近对其进行保护。对于使用有线互连件的情况,必须保护连接焊盘,所述连接焊盘是衬底与连接到芯片的导线的附着点。因此,易损元件被堆积成尽可能靠近这些连接焊盘。理想地,易损元件接触连接焊盘。因此,对于潜在的攻击者,尝试在不被检测到的情况下接近连接焊盘以攻击所述焊盘是非常困难的。因此,针对易损元件的一个散布图案可以是通常被称作“网状物”的图案。这是一种网络,其可以或多或少地被紧密编织,散布在衬底的全部或部分上。这样使得有可能保护衬底中传送的信号。由此形成的电路使得可能通过所述电路中导通的信号的改变来检测任何侵入。针对易损元件的另一个散布图案涉及以在衬底上分布的方式散布的易损元件的小点。例如,这些易损元件可以在整个衬底上随机地分布,或者只在衬底的一部分上分布 (如果所述部分特别敏感并将受到保护的话)。对于这种图案,大部分检测电路将被嵌入衬底中并且只有一些点将是外部的,这些点由堆积有诸如导电微滴的易损元件的点组成。由此形成的电路使得可能通过检测电路中导通的信号的改变来检测任何侵入。实施方案的第三实例涉及不保护衬底而是直接保护芯片。通常利用绝缘钝化层覆盖芯片。这样使得可能在其表面上堆积导电易损元件。然后,在芯片的接线柱2上发生检测电路的连接。一个非常简单的实现方式涉及两个连续接线柱之间的连接。由此,这样的检测电路能够保护位于这两个接线柱附近的第三敏感接线柱。这种类型的制造的优点在于, 通过堆积易损元件来连接两个接线柱是容易实现的。还可能在芯片表面上的任何位置形成钝化开口,从而允许微滴的堆积。类比于上面基于存在这样的电路所描述的方案,即所述电路先验地是断开的并且将通过攻击液体的流动性和导电性而闭合,检测电路实施方案的第四实例涉及直接通过采用所述攻击液体(例如,发烟硝酸)的导电性来保护芯片。这是以组成一个或更多个断开电路的布于芯片表面的接线柱的形式实现的。因为攻击液体的流动性和导电性,这些断开的电路将通过攻击液体的扩散而闭合。所述表面上的接线柱的密度是可变的,并且可以达到一高的数值,由此完全防止液体化学攻击。这最后一种方案存在两个益处第一个益处在于,由于芯片比外壳中的衬底高,因此对外壳的攻击将会事先更早地被位于芯片表面上的传感器检测到。第二个益处在于,这种机制还使芯片免受物理侵入。理想地,除了现今通常使用的诸如格栅(lattice)的其他机制之外,这种机制也可以被使用。本发明的优点根据本发明得到的用于保护集成电路的方法和集成电路满足了既定目标。所提出的在敏感区附近使用易损元件的方案使得可能几乎抵制了对集成电路的所有侵入性攻击, 而无论这些集成电路所使用的技术是哪一种。另外,使得加强了集成电路外壳区域中的保护成为可能,以具有易于获得并且有保证的安全性。此外,在一些情况下,例如当易损元件由环氧树脂制成时,用于堆积树脂的工具是已可用的并充分掌握的,从而可以设想到为了形成和闭合检测电路以对抗侵入而以极低成本和高成品率使用所述工具用于另一功能,即,堆积导电微滴的功能。
本发明的用途鉴于其多个优点,所描述的方案可以应用于意图用于大范围应用的集成电路,例如用于诸如IP语音电话、网络上保密数据的传输(认证、VPN技术)、安全认证令牌(“安全USB密钥”)之类的应用的敏感部件、专用于安全的部件、用于加密计算的部件。
权利要求
1.一种电子集成电路,所述电子集成电路包括附着于衬底C3)的电子芯片(1),其组件受外壳保护,所述电子芯片设置有与布置在所述衬底上的连接焊盘(6)连接的输入/输出接线柱O),该电路还设置有至少一个侵入检测装置(9、10),所述至少一个侵入检测装置 (9,10)能够检测所述外壳内部的机械和/或化学侵入和/或接近所述集成电路的敏感区的尝试,其特征在于,所述侵入检测装置(9、10)包括检测电路(9),所述检测电路(9)被嵌入在衬底C3)中和/或放置在衬底C3)上并且被布置成在所述集成电路的一些敏感区紧邻的附近经过,从而对接近任何一个所述敏感区的任何尝试都造成所述检测电路(9)的电状态 (闭合/断开)的变化。
2.根据权利要求1所述的集成电路,其特征在于,所述检测电路包括易损区(10),所述易损区(10)布置在所述敏感区的所述紧邻的附近,从而在敏感区附近的任何物理或化学接近都造成相邻易损区(10)的损坏并且检测到对所述电路的侵入。
3.根据权利要求2所述的集成电路,其特征在于,所述易损区以导电树脂的微滴(10) 的形式实现,被布置在所述敏感区的附近。
4.根据权利要求3所述的集成电路,其特征在于,导电树脂的微滴(10)具有小于大约 1000微米的尺寸并且所述微滴(10)与要受到保护的所述敏感区分开50微米左右的间隔。
5.根据权利要求1至4中任一项所述的集成电路,其特征在于,所述检测电路(9)的所述易损区(10)随机地分布在所述集成电路的所述衬底(3)中。
6.根据权利要求1至4中任一项所述的集成电路,其特征在于,所述衬底C3)包括导电散布图案,特别是格子形式的图案,靠近所述敏感区的所述散布图案的一些接合点通过导电引线而升至所述衬底的表面并且设置有易损区(10)。
7.根据之前权利要求中的任一项所述的集成电路,其特征在于,所述侵入检测电路直接布置在芯片( 上,以作为布置在衬底C3)上的替代方式或附加方式,所述侵入检测电路连接到所述芯片的输入/输出接线柱(2)。
8.根据权利要求1至7中任一项所述的集成电路,其特征在于,所述检测电路以所述敏感区附近的电气断开的电路形式实现,从而由导电液体产生的化学攻击造成所述敏感区附近的所述电路闭合,并且因此检测到所述化学攻击。
9.根据权利要求1至7中任一项所述的集成电路,其特征在于,所述检测电路以所述敏感区附近的电气闭合的电路形式实现,从而由导电液体产生的化学攻击造成所述敏感区附近的所述电路断开,并且因此检测到所述化学攻击。
全文摘要
本发明涉及一种电子集成电路,所述电子集成电路包括固定于衬底(3)上的电子芯片(1),其组件受外壳保护,所述电子芯片设置有与布置在所述衬底上的连接焊盘(6)连接的输入/输出接线柱(2),其中所述电路还设置有至少一个侵入检测装置(9、10),所述至少一个侵入检测装置(9、10)能够检测所述外壳内部的机械和/或化学侵入和/或接近所述集成电路的敏感区的尝试,其特征在于,所述侵入检测装置(9、10)包括检测电路(9),所述检测电路(9)被嵌入在衬底(3)中和/或放置在衬底(3)上并且被布置成在所述集成电路的一些敏感区紧邻的附近经过,从而对接近任何所述敏感区的任何尝试都造成所述检测电路(9)的电状态(闭合/断开)的变化。
文档编号G08B13/12GK102257516SQ200980146866
公开日2011年11月23日 申请日期2009年11月14日 优先权日2008年11月21日
发明者C·特雷姆利特, R·奎谷, Y·洛邑塞尔 申请人:美信法国有限公司