专利名称:一种针对破坏性攻击可信平台模块芯片的防护结构的制作方法
技术领域:
本实用新型涉及一种集成电路的安全防护技术,尤其涉及的是一种关于可信平台模块芯片的针对激光切割、微探针和聚焦离子束等破坏性物理攻击的硬件防护结构。
背景技术:
随着目前互联网电子商务得以广泛应用,病毒、黑客和计算机犯罪使得人们对网络安全产生了信任恐慌,因而严重制约了电子商务的发展。因此人们通过增强现有的PC终端体系结构的安全性来实现“可信计算”,以保证整个系统的安全,其技术核心是称为可信平台模块(TPM)的安全芯片。TPM实际上是一个含有密码运算部件和存储部件的系统级芯片。随着TPM的应用,基于软件的攻击变得越来越困难,因此对于TPM芯片的物理攻击将会变得越来越频繁和常见。
芯片的基本构造是在多层设计,在外层设计为多层的金属层,层与层之间设置有绝缘材料,这些金属层多用来元器件的布置,设计走线等等。根据是否破坏集成电路芯片的物理封装可以将集成电路芯片的攻击技术分为两大类破坏性攻击和非破坏性攻击。
破坏性攻击和芯片反向工程在最初的步骤上是一致的使用发烟硝酸去除包裹裸片的环氧树脂,即封装层;用丙酮/去离子水/异丙醇完成清洗;氢氟酸超声浴进一步去除芯片的各层金属。在去除芯片封装之后,通过金丝键合恢复芯片功能焊盘与外界的电气连接,最后可以使用手动微探针获取感兴趣的信号。对于深亚微米以下的CMOS产品,通常具有3层以上的金属连线,为了解芯片的内部结构,可能要逐层探测和去除以获得重构芯片版图设计所需的信息。在了解内部信号走线的基础上,聚焦离子束(FIB)修补技术甚至可用于将感兴趣的信号连到芯片的外面供进一步观察。
非破坏性攻击主要针对具有微处理器的产品,其手段主要包括软件攻击、窃听技术和故障产生技术等。软件攻击使用微处理器的通用通讯接口,寻求安全协议、加密算法以及他们物理实现的弱点;窃听技术采用高时域精度的方法,分析电源接口在微处理器正常工作过程中产生的各种电磁辐射的模拟特征;故障产生技术通过产生异常的应用环境条件,使处理器产生故障,从而可以获得额外的访问途径。
集成电路芯片的攻击一般从破坏性的反向工程开始,其结论可以用于开发廉价和快速的非破坏性攻击手段,这是最常见的也是最有效的集成电路芯片攻击模式之一。
为防止上述微探针对总线信号的探测,现有技术的安全芯片即专用于构建硬件安全和保护核心数据的硬件芯片从生产阶段就需要增加对抗手段,例如在芯片的金属层中选其最外层设置为一层细密的金属网格,其网格细密度在微米量级,在利用反向工程使用破坏性攻击显示出关键连接层前,由于关键连接层上部还包裹有一层防护金属网格,能够起到阻止直接使用微探针读取信号的作用,而且细密的金属网格也增加了对芯片各层架构的识读难度。
但是,现有技术中目前针对该金属网格已经出现了使用激光切割、微探针和FIB实现突破金属网格的技术手段,针对特别重要的核心信息,使用激光切割、微探针和FIB等技术可以破坏各层金属网格而不致破坏芯片的内部结构,然后再使用上述技术手段进行成功攻击。
因此,现有技术的芯片技术依然不能对保存有重要的核心数据的芯片进行有效保护,因而存在缺陷,还有待于改进和发展。
实用新型内容本实用新型的目的在于提供一种针对破坏性攻击可信平台模块芯片的防护结构,通过在分布为防护网格的金属线上设置的探测器和对应安全保护措施,能够针对激光切割、微探针和FIB等破坏性物理攻击起到安全防护作用。
本实用新型的技术方案如下一种针对破坏性攻击可信平台模块芯片的防护结构,其中,在所述芯片的金属层中设置有至少一层金属线,绕远分布设置;以及在所述金属线的两端还设置有电信号产生模块,一探测电路,用于探测所述金属线的导通性及在所述金属线受到破坏性攻击时,由一中央处理器控制所述芯片的核心数据执行安全保护措施。
所述的防护结构,其中,所述探测器还连接监测所述电信号产生模块。
所述的防护结构,其中,所述金属线设置在所述金属层的最顶层或者邻近顶层的第二层。
所述的防护结构,其中,所述金属线设置为多层。
所述的防护结构,其中,所述金属线是铝或铝合金线。
所述的防护结构,其中,所述安全措施包括触发所述芯片的存储器的清零或复位操作。
本实用新型所提供的一种针对破坏性攻击可信平台模块芯片的防护结构,由于采用了在金属线防护网上设置的探测器,实现了对TPM芯片重要核心数据的有效保护,防止了非法用户使用破坏性攻击方法监听总线上的信号获取重要程序和数据。
图1所示为本实用新型防护结构施加了电信号后对防护网状态的检测;
图2所示为本实用新型防护结构施加了电信号后对产生电信号模块状态的检测;图3为本实用新型的防护结构的第一较佳实施例的电路原理图;图4为本实用新型防护结构的第二较佳实施例的电路原理图。
具体实施方式
以下结合附图,将对本实用新型的较佳实施例进行较为详细的说明。
本实用新型可用于集成电路芯片的设计中,用于对TPM芯片的程序和数据存储区域进行保护,防止非法用户使用破坏性攻击TPM芯片以获取重要数据。
本实用新型提供了一种针对破坏性攻击可信平台模块芯片的防护结构,其中,在所述芯片的金属层内设置有至少一层金属线,绕远分布设置;以及在所述金属线的两端还设置有电信号产生模块,一探测电路,用于探测所述金属线的导通性及在所述金属线受到破坏性攻击时,由一中央处理器控制所述芯片的核心数据执行安全保护措施。
以下是一个具体的实施例,如图1所示,在TPM安全芯片中,电信号产生模块对防护网施加电信号,防护网状态检测单元检测防护网的电信号变化,正常情况下返回安全状态的信息给中央处理器;当防护网受到攻击时,防护网状态检测单元检测到防护网的电信号发生异常变化,则返回非安全状态的信息给中央处理器,中央处理器控制所述TPM芯片的核心数据执行安全保护措施。
本实用新型所述的防护结构中,所述探测器还连接监测所述电信号产生模块,如图2所示的,在TPM安全芯片中,电信号产生模块对防护网施加电信号,电信号产生模块状态检测单元检测电信号产生模块的状态,正常情况下返回安全状态的信息给中央处理器;当电信号产生模块受到攻击时,电信号产生模块状态检测单元检测到电信号产生模块发生异常变化,则返回非安全状态的信息给中央处理器,中央处理器控制所述TPM芯片的核心数据执行安全保护措施。
在集成电路芯片的设计中,由于每个代工厂的具体工艺可做的金属层是确定的,而在布线时对于多数金属层都会留下许多空闲的未布线的层空间甚至整个金属层,利用这些未布线的空间有针对性的添加一定形状的金属线来形成针对部分空间或者是全部空间的防护网。防破坏性攻击的TPM安全芯片至少在芯片的一层金属上添加金属线形成针对芯片部分空间或者是全部空间的一个或者多个防护网,使芯片空间中的金属线有意绕远,以便更全面地保护关键区域。
本实用新型所述的防护结构中,所述金属线设置在所述金属层的最顶层或者邻近顶层的第二层。为了防止微探针对芯片攻击,一般优先把防护网放置在工艺所确定的金属线层次的最顶层或者邻近顶层的第二层,因为在一般情况下,越到顶层,布线的密度越小,可以用来放置防护网的空间越大,到最顶层,绝大部分甚至是全部都可以用来放置防护网,这样保护的空间范围更大。本实用新型的所述防护网可以设计为多层,以用于在受到破坏性攻击时,能够监测到被攻击的操作。
针对现有技术的微探针攻击问题,通过防护网的设置来防止对下层信号线的探测。集成电路测试台可通过微探针将芯片上的信号与外界相连,通常微探针的目标尺寸一般在1微米左右,尖端小于0.1微米的探针台价格在几十万美元之上,且极难获得。通过仔细布置各层的防护网,可以防止微探针对关键信号线的直接探测,增加微探针攻击的成本,并且在探测器探测到被攻击的可能时,可以通过安全包括措施对芯片进行保护。
本实用新型所述的防护结构,所述金属线设置为多层。需要保护的信号线放在各层金属线的最下层,以便更多层的防护网来进行保护。针对现有技术的聚焦离子束攻击,通过防护网来使其定位变得更加困难甚至是不可能。因为本实用新型可以布置面积较大的防护网,并且防护网可以布置地在不同位置看起来是相同的,而FIB技术的定位是人工的,所以能给FIB攻击造成很大的困惑;同时,把信号线放在最低层,其上面各层都采取一定的防护网,也会使FIB的成本大大增加,所以这种方法在一定程度上防止了FIB攻击的可能。
本实用新型所述的防护结构中,所述金属线的防护网采用的是铝或铝合金线,由于铝或铝合金线被广泛应用在集成电路设计中,但不排除使用其它的金属线材作为防护网,也应是本实用新型请求保护范围之内。
本实用新型所述的安全保护措施包括触发所述芯片的存储器的清零或复位操作。针对现有技术的激光切割攻击,在防护网设置的基础上增加了探测器,以防止对防护网的切割。通过探测防护网上电信号状态或者探测产生此电信号的模块的状态,通过电信号状态的变化以判断是否存在攻击并做进一步的应对措施,这种应对措施可以是将核心数据进行清零操作或者重置为出厂状态。探测金属防护网的被攻击情况及时对核心数据进行重置,可以实现对重要核心数据的有效保护,防止非法用户使用微探针监听总线上的信号获取重要程序和数据。
本实用新型所述的芯片的网格防护结构,可以采用至少一层防护措施,如图3所示的,即由金属线组成单一的网格B0,其信号连通情况做为一控制信号输入到CPU中。当其网格被切断时,电路向CPU发出中断命令,使芯片进行自我保护。但是其缺点也比较明显,使用FIB技术可以轻易突破其防护由于网格上任意两点都可以相互连接而不会使CPU产生中断,攻击者可以在合适的位置连接金属线以使其中一部分网格线短接起来,此时不会向CPU发送控制信号,并使该网格的一小部分同整个网格不相关了,从而可以任意切割这部分已经不相关的网格,导致其保护失效。
本实用新型的另一较佳实施例中,在正常的程序FLASH或EEPROM和数据FLASH或EEPROM的全芯片擦除信号是通过芯片内的微处理控制器CPU来分别控制的。本实用新型所设计的网格探测器电路如图4所示,方框B0和B1分别代表的是IC芯片版图上的网格电路,其采用不同走向和层次,绕远设置,下面的电阻R0、R1均大于10M欧姆,通过信号输出点A点和B点连接到判断电路,A点在正常状态下在低电平,B点在高电平,所述判断电路包括与A点连接的反向元器件110,以及一与门元器件120,由判断电路输出接到CPU的中断信号线上。正常工作时,A点的电平为0,B点电平为1;当网格被切断时,A点或B点的信号电平翻转,就会产生探测信号,如A点电平为1或B点电平为0,通过判断电路处理后即输出为电平为0,从而导致信号变化;为防止意外中断的发生,此探测信号被送到计数器中,只有信号维持足够长的时间使系统确认确实是受到攻击而不是内部延时时,如果探测信号被送到图4所示的CPU中断信号上,CPU就会发出指令将所有的FLASH或EEPROM存储器内数据擦除,即清零,或采用其他方式的安全保护措施。
本实用新型所提供的方法在很大程度上防止了攻击者对TPM芯片进行破坏性攻击,同时在所述防护网的基础上施加电信号,进一步增加攻击者的难度和成本。
以上所述仅为本实用新型的较佳实施例,并非用来限定本实用新型,任何熟悉本技术及其领域的人,在不脱离本实用新型的精神和范畴内,可能作出各种修改或变更,因此本实用新型的保护范围应以权利要求书所要求保护的范围为准。
权利要求1.一种针对破坏性攻击可信平台模块芯片的防护结构,其特征在于,在所述芯片的金属层中设置有至少一层金属线,绕远分布设置;以及在所述金属线的两端还设置有电信号产生模块,一探测电路,用于探测所述金属线的导通性及在所述金属线受到破坏性攻击时,由一中央处理器控制所述芯片的核心数据执行安全保护措施。
2.根据权利要求1所述的防护结构,其特征在于,所述探测器还连接监测所述电信号产生模块。
3.根据权利要求1所述的防护结构,其特征在于,所述金属线设置在所述金属层的最顶层或者邻近顶层的第二层。
4.根据权利要求1所述的防护结构,其特征在于,所述金属线设置为多层。
5.根据权利要求1-4任意权项所述的防护结构,其特征在于,所述金属线是铝或铝合金线。
专利摘要本实用新型涉及一种针对破坏性攻击可信平台模块芯片的防护结构,其特征在于,在所述芯片的金属层中设置有至少一层金属线,绕远分布设置;以及在所述金属线的两端还设置有电信号产生模块,一探测电路,用于探测所述金属线的导通性及在所述金属线受到破坏性攻击时,由一中央处理器控制所述芯片的核心数据执行安全保护措施。因此可以实现对可信平台模块芯片重要核心数据的有效保护,防止了非法用户使用破坏性物理攻击方法监听总线上的信号获取重要程序和数据。
文档编号H01L23/58GK2881758SQ20052006442
公开日2007年3月21日 申请日期2005年9月9日 优先权日2005年9月9日
发明者李丽仙, 王华彬 申请人:深圳兆日技术有限公司