芯片攻击保护的制作方法

专利名称：芯片攻击保护的制作方法
技术领域：
本发明涉及保护芯片免受攻击，并且尤其涉及保护芯片免受通过芯片基底的攻
击ο
背景技术：
通过介绍，安全芯片易受到对芯片的物理结构上的攻击。尤其是，攻击者寻求修改 电路以获得存储在芯片中的信息和/或改变芯片的操作特性为有利于攻击者的特性。攻击 典型地为探测形式，并且近来为聚焦离子束(FIB)修改。能够询问互连迹线和其它电路元 件，或向它们注入信号。可以将电路改线，使其损坏或报废。存在取决于物理修改的许多可 能的攻击。对攻击最普通的防御是使用屏蔽物。在防止观察电路并使得攻击更耗时上，无源屏蔽物是典型地有效的。然而，可以移 除无源屏蔽物，而不影响器件的操作。无源屏蔽物通常由多层电路中金属互连的较上层构 成。然而，无源屏蔽物中，屏蔽物中的缺口不被探测。有源屏蔽物看起来类似于无源屏蔽物。然而，有源屏蔽物中的缺口典型地被探测 并且经常导致损坏芯片。避开有源屏蔽物是可能的，但是避开典型地是更难和耗时的，并且 一般限于受到攻击的芯片的小数量的小的选择区域。一般需要复杂的知识和经验以使有源 屏蔽物攻击成功。现在参照图1，其是正经受聚焦离子束(FIB)背面攻击的芯片10的横截面视图。 出现了新形式的FIB攻击，由此攻击不是通过芯片10的正面12，而是通过硅基底经由芯片 10的反面14。新形式的攻击一般称作FIB背面攻击。FIB背面攻击从FIB对倒装器件进行 电路修改或在多层叠层芯片的较下金属层上进行电路修改的需求发展而来。例如，对于具 有七层或更多层的芯片设计，例如经由反面14到达较下金属层比从正面12通过许多互连 层钻探要容易。下面描述典型的攻击。对芯片10进行反向工程，以揭露芯片10的布局并标识要攻击的芯片10的点。基 于攻击者的经验，攻击者典型地选择可以给出破坏芯片10所需的秘密信息的有用的电路 节点。然后一般从封装(未示出)移除芯片10并优选地将其安装成使得芯片10正常地 操作。提供功率和操作信号的优选构件是多个丝焊16的形式。典型地使用物理研磨技术将芯片10从反面14减薄到约50或100微米。一般从反面14在攻击要发生的区域中铣磨深的沟槽18。将芯片10局部减薄到数 个微米(3-10微米)，在正好达到有源器件(注入的掺杂阱)时停止减薄。减薄的横向面积 典型地在50-200平方微米的范围中。
一般在深的沟槽18中沉积薄的绝缘层并且施加各种导航技术来找出攻击的确切位置。典型地铣磨至芯片10的多个单独的迹线20。一般在单独的迹线20上沉积多个金 属接触部22以用于攻击过程中。然后可以针对秘密数据内容测量迹线20或将其切断为损 坏的电路部分。有源屏蔽物(未示出)典型地用于保护芯片10的正面12免受攻击。然而，在芯 片10的反面14上放置有源屏蔽物以防止经由基底通过反面14的攻击是尤其的困难。主 要困难归因于在正面12上的处理器(未示出)和反面14上的屏蔽物之间建立通信。需要 通信，使得在反面14上的攻击导致关闭芯片10，这一般由正面12上的处理器执行。一般必 须通过芯片10利用过孔(未示出)将反面14上的屏蔽物连接到正面12上的处理器。过 孔因此是明显的并且易于受到攻击，例如，但不限于，通过将过孔短路或通过模仿有源屏蔽 物的信号。另外，过孔一般需要非常深入芯片10中，由此使得背面屏蔽物的制造非常困难。 此外，过孔的制造一般与当前的处理技术不兼容。相信下述引用代表了该技术的状态KSmmerling等的美国公开专利申请2001/0033012 ；K6mmerling等的 pct 公开专利申请 wo 01/50530 ；Hideki Takagi 禾口 Ryutaro Maeda 在由 Institute of Physics Publishing, UK 出片反的 Journal of Micromechanics and Microengineering 中在卷 15 的 290—295 页上题 为“Aligned room-temperature bonding of silicon wafers in vacuum by argon beam surface activation" ^ Anders Hanneborg、Martin Nese 禾口 Per 0hlckers在由 Institute of Physics Publishing, UK 出版的 Journal of Micromechanics and Microengineering 中在卷 1 的 139-144页上的题为"Silicon-to-silicon anodic bonding with a borosilicate glass layer”的文章。于此，通过引用并入了所有上述引用的和遍及本说明书的公开，以及那些引用中 所述的所有引用的公开。

发明内容
本发明寻求提供一种系统和方法用于保护两个侧面上的安全微处理器免受攻击。以下内容中简要描述了三个优选实施例。本发明的一个优选实施例使用部署于芯 片反面上的与所述芯片的正面无线接触的有源电路。本发明的另一优选实施例使用部署于 芯片反面上的与所述芯片的正面无线接触的无源电路。本发明的再一优选实施例包括两个 背靠背连接以提供相互保护的两个芯片。在以下发明内容和本发明的具体实施方式
中对这 三个实施例进行了更详细的描述。根据本发明的优选实施例，保护系统优选地包括两个电路，部署于芯片的正面上 的正面电路和部署于芯片的反面上的反面电路。每个电路典型地包括其中的天线。反面电 路优选地包括屏蔽装置以屏蔽芯片的反面。正面电路优选地经由天线传输交流信号至反面 电路，由此给反面电路提供功率。典型地整流由反面电路接收的信号。整流的信号一般用 于给检验器供电，检验器检验屏蔽装置的完整性。如果屏蔽装置是原样的，典型地经由天线发送回波信号至正面电路。屏蔽装置中的缺口一般导致回波信号的改变或中止。正面电路 中的信号分析器优选地基于回波信号中的改变或中止来探测屏蔽装置中的缺口。正面电路 中的芯片控制器典型地响应于对缺口的探测来执行对集成电路的动作，诸如芯片重设。根据本发明的最优选的实施例，仅使用无源部件来实施反面电路。无源部件的使 用使得通常理解的通信不可能。然而，仍然能够实现通信，例如通过实施反面电路作为响应 于由正面电路传输的信号的谐振电路。反面电路的天线典型地是感应器。电路的其它无源 部件典型地包括使用简单的电路印刷技术增加的电容器和电阻器。电阻器典型地形成为覆 盖一些蜿蜒路径中的大的面积的长的薄的导电迹线。包括天线和电容器的其它部件也典型 地形成屏蔽物的部分。如果屏蔽物是原样的，则反面电路一般以优选地具有谐振频率和Q 因子的信号响应于正面电路的信号。如果屏蔽物有缺口，则谐振频率和/或Q因子会优选 地改变。如果屏蔽物完全裂开，则反面电路将一般根本不能响应。正面电路中的信号分析 器优选地基于回波信号的谐振频率和/或Q因子的改变或回波信号的中止来探测屏蔽装置 中的缺口。正面电路中的芯片控制器一般响应于对缺口的探测来执行对集成电路的动作， 诸如芯片重设。根据本发明的可选的优选实施例，两个芯片背靠背连接到一起用于对彼此提供保 护。有源屏蔽物优选地部署于两个芯片中的每一个的正面上。两个芯片然后典型地机械地 连接，优选地通过将每个芯片的反面直接键合到一起。因此，一个芯片的有源屏蔽物一般保 护另一芯片的背面，并且反之亦然。两个芯片典型地通过物理数据连接连接，其中两个芯片 之间的数据是加密的。可选地，可以使用天线装置通过无线连接将两个芯片连接。根据本发明的另一优选实施例，如果屏蔽物是原样的，则基于屏蔽物执行的函数 来检验屏蔽物的完整性。根据本发明的可选的优选实施例，通过在集成电路的多晶硅层中的间隙之间部署 金属硅化物以防止基于红外导航的攻击来处理背面攻击。根据本发明的另一可选的优选实施例，有源屏蔽物包括在集成电路的多晶硅层 中。根据本发明的优选实施例，从而提供了。根据本发明的另一优选实施例，还提供了 一种芯片安全系统，用于保护芯片免受背面攻击，所述芯片具有第一表面和在所述第一表 面反面的第二表面，所述第一表面包括部署于其上的集成电路，所述系统包括部署于所述 第一表面上的第一天线；部署于所述第一表面上的信号生成器，所述信号生成器操作地连 接到所述第一天线，所述信号生成器用于提供由所述第一天线传输的输出信号；部署于所 述第二表面上的电路装置，所述电路装置包括第二天线，以无线地接收由所述第一天线传 输的所述输出信号，由此向电路装置提供功率；以及屏蔽装置，以至少部分地屏蔽所述第二 表面，其中，所述电路装置用于从所述第二天线至所述第一天线无线地传输回波信号，使得 所述屏蔽装置中的缺口导致所述回波信号中的改变或所述回波信号的中止；部署于所述第 一表面上的信号分析器，所述信号分析器操作地连接到所述第一天线，所述信号分析器用 于从所述回波信号中的所述改变或所述回波信号的所述中止来探测所述屏蔽装置中的缺 口 ；以及部署于所述第一表面上的芯片控制器，所述芯片控制器操作地连接到所述信号分 析器，所述芯片控制器用于响应于由所述信号分析器对缺口的探测来执行对所述集成电路 的动作。
此外，根据本发明的优选实施例，所述天线包含在所述屏蔽装置中。进一步，根据本发明的优选实施例，所述芯片控制器的动作包括重设所述集成电 路的至少一部分。另外，根据本发明的优选实施例，所述输出信号包括射频信号。还有，根据本发明的优选实施例，所述电路装置包括有源电路部件，所述电路装置 包括整流器，以整流由所述第二天线接收的所述输出信号；检验器，操作地连接到所述整 流器，所述检验器用于检验所述屏蔽装置的完整性；以及报告器，操作地连接到所述检验器 和所述第二天线，所述报告器用于使用所述回波信号经由所述第二天线和第一天线将关于 所述屏蔽装置的完整性报告回所述信号分析器。此外，根据本发明的优选实施例，所述回波信号是脉冲信号。进一步，根据本发明的优选实施例，所述回波信号是连续信号。另外，根据本发明的优选实施例，所述报告器用于通过对所述输出信号进行幅度 调制来形成所述回波信号。还有，根据本发明的优选实施例，所述电路装置包括无源电路部件并且不包括有 源电路部件。此外，根据本发明的优选实施例，所述电路装置包括具有关联的谐振频率的谐振 电路。进一步，根据本发明的优选实施例，所述回波信号具有Q因子。另外，根据本发明的优选实施例，所述输出信号包括扫频频率信号，使得当所述扫 频频率信号在所述谐振频率处时，所述回波信号为最大值。还有，根据本发明的优选实施例，所述输出信号同时包括一系列频率。此外，根据本发明的优选实施例，所述信号生成器通过生成白噪声来形成所述一 系列频率。进一步，根据本发明的优选实施例，所述信号分析器用于分析所述回波信号的所 述谐振频率和所述Q因子中的至少一个中的改变，以探测所述屏蔽装置中的缺口。另外，根据本发明的优选实施例，所述谐振电路包括感应器、电容器及电阻器，所 述第二天线包括在所述感应器中。还有，根据本发明的优选实施例，所述电容器包括在屏蔽装置中。此外，根据本发明的优选实施例，所述电路装置形成在机械地连接到所述第二表 面的膜上。进一步，根据本发明的优选实施例，所述膜是塑料膜。根据本发明的另一优选实施例，还提供了一种芯片安全系统，包括两个芯片，所述 芯片中的每一个包括第一表面和在所述第一表面反面的第二表面；部署于所述第一表面 上的集成电路；部署于所述第一表面上的屏蔽物；以及部署于所述第一表面上的屏蔽物管 理器，所述屏蔽物管理器用于检验所述屏蔽物的完整性和用于响应对所述屏蔽物中的缺口 的探测来执行对所述集成电路的动作，其中，所述芯片经由所述芯片中的每一个的所述第 二表面机械地连接到一起。另外，根据本发明的优选实施例，所述芯片通过直接键合机械地连接到一起。还有，根据本发明的优选实施例，所述芯片通过氩束表面激活键合键合到一起。
此外，根据本发明的优选实施例，所述芯片中的一个的所述集成电路操作地连接 到所述芯片中的另一个的所述集成电路。进一步，根据本发明的优选实施例，所述系统包括基底，其中，所述一个芯片的所 述集成电路经由所述基底电连接到所述另一芯片的所述集成电路。另外，根据本发明的优选实施例，所述一个芯片以倒装法安装于所述基底上。还有，根据本发明的优选实施例，所述另一芯片经由球焊连接电连接到所述基底。此外，根据本发明的优选实施例，所述芯片中的每一个的所述集成电路用于使得 所述一个芯片的所述集成电路和所述另一芯片的所述集成电路之间的通信被加密。进一步，根据本发明的优选实施例，使用会话密钥加密所述通信。另外，根据本发明的优选实施例，所述芯片中的每一个的所述集成电路包括由所 述芯片共享的秘密处，用于所加密的通信中。还有，根据本发明的优选实施例，所述芯片一起的厚度在200微米和400微米之 间。此外，根据本发明的优选实施例，所述芯片中的每一个包括硅。根据本发明的另一优选实施例，提供了一种芯片安全系统，包括具有第一表面和 第二表面的芯片装置；包括第一屏蔽物和第二屏蔽物的多个屏蔽物，所述第一屏蔽物部署 于所述第一表面上，所述第二屏蔽物部署于所述第二表面上；部署于所述第一表面和所述 第二表面中的一个上的集成电路；屏蔽物管理器，与所述集成电路部署于所述芯片装置的 相同表面上，所述屏蔽物管理器操作地连接到所述屏蔽物和所述集成电路，所述屏蔽物管 理器包括生成数的数生成器，所述屏蔽物管理器用于发送所述数至所述第一屏蔽物，所述 第一屏蔽物用于对所述数执行第一函数，由此，如果所述第一屏蔽物是原样的，则产生第一 值，所述第二屏蔽物用于接收所述第一值和对所述第一值执行第二函数，如果所述第二屏 蔽物是原样的，则产生第二值，所述屏蔽物管理器包括检验模块，以接收所述第二值；以 及基于由所述数生成器生成的所述数来检验所述第二值的有效性，以确定所述屏蔽物的完 整性。进一步，根据本发明的优选实施例，其中所述检验模块用于使用所述第一函数和 所述第二函数以所述数作为计算的输入执行所述计算；以及将所述计算的结果与所述第二 值比较，以确定所述屏蔽物的完整性。另外，根据本发明的优选实施例，所述芯片装置包括唯一的芯片。还有，根据本发明的优选实施例，所述芯片装置包括彼此机械地连接的多个芯片。此外，根据本发明的优选实施例，所述芯片通过直接键合机械地连接到一起。进一步，根据本发明的优选实施例，所述第一表面和所述第二表面基本彼此平行 地部署于所述芯片装置的相反侧面上。根据本发明的另一优选实施例，还提供了一种芯片安全系统，包括具有第一表面 和第二表面的芯片装置；包括第一屏蔽物和第二屏蔽物的多个屏蔽物，所述第一屏蔽物部 署于所述第一表面上，所述第二屏蔽物部署于所述第二表面上；部署于所述第一表面上的 集成电路；以及部署于所述第一表面上的屏蔽物管理器，所述屏蔽物管理器操作地连接到 所述屏蔽物和所述集成电路，所述屏蔽物管理器包括多个生成数的数生成器，所述屏蔽物 管理器用于基于所述数发送测试数据至所述第二屏蔽物，所述第二屏蔽物用于执行函数，如果所述第二屏蔽物是原样的，则产生值，所述屏蔽物管理器包括检验模块，以接收所述 值；以及对所述值执行操作，以确定所述第二屏蔽物的完整性。另外，根据本发明的优选实施例，所述测试数据等于所述数，并且其中，所述检验 模块用于使用所述函数以所述数作为计算的输入执行所述计算；以及将所述计算的结果 与所述值比较，以确定所述第二屏蔽物的完整性。还有，根据本发明的优选实施例，所述芯片装置包括唯一的芯片。此外，根据本发明的优选实施例，所述芯片装置包括彼此机械地连接的多个芯片。进一步，根据本发明的优选实施例，所述芯片通过直接键合机械地连接到一起。另外，根据本发明的优选实施例，所述第一表面和所述第二表面基本彼此平行地 部署于所述芯片装置的相反侧面上。还有，根据本发明的优选实施例，所述芯片装置包括第一芯片和第二芯片，所述第 一芯片包括所述第一表面和第三表面，所述第一表面在所述第三表面反面，所述第二芯片 包括第二表面和第四表面，所述第二表面在所述第四表面反面，其中，所述芯片经由所述第 三表面和所述第四表面机械地连接到一起。根据本发明的另一优选实施例，还提供了一种集成电路保护系统，包括具有表面 的硅基底；部署于所述硅基底的所述表面上的集成电路，所述集成电路包括包括多个结 构的第一层，所述结构包括至少一个双层结构，所述至少一个双层结构包括多结晶硅子层 和金属硅化物子层；以及包括多个金属元件的第二层，所述第一层比所述第二层更靠近所 述表面；以及包括多结晶硅子层和金属硅化物子层的屏蔽物装置，所述屏蔽物装置部署于 所述第一层中，使得所述屏蔽物装置不执行所述集成电路中的电子功能。此外，根据本发明的优选实施例，所述屏蔽物装置部署于所述第一层中，使得当红 外显微镜通过所述硅基底对所述集成电路成像时，由所述红外显微镜看到的至少一个所述 金属元件的视图被至少部分地模糊。进一步，根据本发明的优选实施例，所述屏蔽物装置部署于所述第一层中，使得当 红外显微镜通过所述硅基底对所述集成电路成像时，由所述红外显微镜看到的至少一个所 述金属元件的视图被阻挡。另外，根据本发明的优选实施例，其中所述一个金属元件形成用于输送将被加密 的数据的总线。还有，根据本发明的优选实施例，所述一个金属元件形成所述集成电路的防御机 构的信号迹线。此外，根据本发明的优选实施例，所述屏蔽物装置部署于所述第一层中，使得当红 外显微镜通过所述硅基底对所述集成电路成像时，由所述红外显微镜看到的所述第一层以 外的视图被至少部分地模糊。进一步，根据本发明的优选实施例，所述屏蔽物装置部署于所述第一层中，使得当 红外显微镜通过所述硅基底对所述集成电路成像时，由所述红外显微镜看到的所述第一层 以外的视图被阻挡。另外，根据本发明的优选实施例，所述第一层规定平面，所述屏蔽物装置部署于所 述第一层中，使得所述屏蔽物装置和所述结构中的至少一个形成区，所述区包括至少一个 间隙，所述间隙具有平行于所述平面测得的小于约550纳米的最小尺度。
还有，根据本发明的优选实施例，所述间隙具有平行于所述平面测得的小于约550 纳米的最小尺度。此外，根据本发明的优选实施例，所述屏蔽物装置包括多个屏蔽物元件，每个所述 屏蔽物元件包括多结晶硅子层和金属硅化物子层。进一步，根据本发明的优选实施例，所述金属硅化物是硅化钨。根据本发明的另一优选实施例，还提供了一种集成电路保护系统，包括具有表面 的硅基底；以及部署于所述硅基底的所述表面上的集成电路，所述集成电路包括包括多 个结构的第一层，所述多个结构包括至少一个双层结构，所述至少一个双层结构具有多结 晶硅子层和金属硅化物子层；以及包括多个金属元件的第二层，所述第一层比所述第二层 更靠近所述表面；包括多结晶硅子层和金属硅化物子层的屏蔽物装置，所述屏蔽物装置部 署于所述第一层中；以及操作地连接到所述屏蔽物装置的缺口探测电路，使得由所述缺口 探测电路探测所述屏蔽物装置中的缺口，所述缺口探测电路用于响应于对所述缺口的探测 来对所述集成电路的另一部分执行动作。根据本发明的另一优选实施例，还提供了一种用于制造芯片安全系统的方法，所 述方法包括设置两个芯片，每个芯片具有第一表面和在所述第一表面反面的第二表面； 在所述第一表面上部署集成电路、部署的屏蔽物及屏蔽物管理器，所述屏蔽物管理器用于 检验所述屏蔽物的完整性和用于响应于对所述屏蔽物中的缺口的探测来执行对所述集成 电路的动作；以及经由所述芯片中的每一个的所述第二表面将所述芯片机械地连接到一 起。根据本发明的另一优选实施例，还提供了一种用于保护集成电路的方法，包括设 置具有表面的硅基底；于所述硅基底的所述表面上部署部署的集成电路，所述集成电路包 括包括多个结构的第一层，所述多个结构包括至少一个双层结构，所述至少一个双层结构 具有多结晶硅子层和金属硅化物子层；以及包括多个金属元件的第二层，所述第一层比所 述第二层更靠近所述表面；以及部署屏蔽物装置于所述第一层中，使得所述屏蔽物装置不 执行所述集成电路中的电子功能，所述屏蔽物装置包括多结晶硅子层和金属硅化物子层。根据本发明的另一优选实施例，还提供了一种用于保护集成电路的方法，包括设 置具有表面的硅基底；于所述硅基底的所述表面上部署集成电路，所述集成电路包括包 括多个结构的第一层，所述多个结构包括至少一个双层结构，所述至少一个双层结构具有 多结晶硅子层和金属硅化物子层；以及包括多个金属元件的第二层，所述第一层比所述第 二层更靠近所述表面；包括多结晶硅子层和金属硅化物子层的屏蔽物装置，所述屏蔽物装 置部署于所述第一层中；以及操作地连接到所述屏蔽物装置的缺口探测电路，使得由所述 缺口探测电路探测所述屏蔽物装置中的缺口，所述缺口探测电路用于响应于对所述缺口的 探测来对所述集成电路的另一部分执行动作。


结合附图从下述详细描述将会更全面地理解和评价本发明，其中图1是遭受聚焦离子束(FIB)攻击的芯片的横截面视图；图2是根据本发明的优选实施例构成和操作的芯片安全系统的横截面视图；图3是形成在附着到芯片的薄膜上的图2的系统的背面屏蔽物反面电路的正交视图；图4是图2的系统的背面屏蔽物的简化的电路图；图5是针对图4的背面屏蔽物的回波信号电压对照扫频信号频率的曲线图；图6是图4的背面屏蔽物的简化的电路布局的视图；图7是与图2的系统一起使用的可选的优选的背面屏蔽物的简化的电路图；图8是图7的背面屏蔽物的正面电路的简化的电路布局的视图；图9是图7的背面屏蔽物的反面电路的简化的电路布局的视图；图10是根据本发明的优选实施例构成和操作的双芯片安全系统的横截面视图；图11是图10的双芯片安全系统的一个芯片的放大的横截面视图；图12是示出制造图10的双芯片安全系统的优选步骤的流程图；图13是具有内部屏蔽物检查子系统的图10的双芯片安全系统的横截面视图；图14是根据本发明的可选的优选实施例构成和操作的芯片安全系统的横截面视 图；图15是根据本发明的另一可选的优选实施例构成和操作的集成电路保护系统的 平面视图；图16a是通过图15的线XVIA的横截面视图；图16b是通过图15的线XVIB的横截面视图；图17是根据本发明的另一可选的优选实施例构成和操作的集成电路保护系统的 平面视图；图18a是通过图17的线XVIIIA的横截面视图；以及图18b是通过图17的线XVIIIB的横截面视图。
具体实施例方式现在参照图2，其是根据本发明的优选实施例构成和操作的芯片安全系统M的横 截面视图。芯片安全系统M —般用于保护芯片沈免受背面攻击。芯片沈典型地为硅芯 片。然而，本领域技术人员会理解，能够利用任何合适的芯片材料来实施本发明的系统和方 法。芯片沈典型地具有表面28和在表面28反面的表面30。表面28优选地包括部署于 其上的集成电路32。为简化起见使用术语“部署于其上”。然而，集成电路制造领域的技术 人员会理解，集成电路典型地部分形成在芯片材料内(例如但不限于，通过对芯片材料掺 杂)，和部分地形成在芯片材料顶部上，典型地在金属和绝缘层中。然而，如说明书和权利要 求书中使用的术语“部署于其上”规定为包括部署于表面上和/或表面中。集成电路32优选地由有源屏蔽物34(如图2中“正面侧有源屏蔽物”所示)保 护。如说明书和权利要求书中使用的有源屏蔽物规定为具有内建约束以限制或防止对由有 源屏蔽物保护的下面电路的访问的防御系统。有源屏蔽物34典型地包括物理屏蔽物(未示出)，使得物理屏蔽物的缺口导致在 有源屏蔽物34保护的集成电路32上执行的动作。执行的动作典型地包括重设集成电路 32，但是无论如何，行动以防止利用缺口来从缺口获得一些利益。芯片安全系统M还优选地包括具有正面电路38和反面电路40的背面屏蔽物36。 正面电路38典型地部署于表面观上。反面电路40典型地部署于表面30上。正面电路38和反面电路40之间的通信优选地经由参照图4-9更详细地描述的无线链接。优选地由反 面电路40执行物理屏蔽。典型地由正面电路38和反面电路40的组合执行对缺口的探测。 则正面电路38典型地对集成电路32执行动作，诸如探测到缺口时重设集成电路32。现在参照图3，其是形成在附着到芯片沈的膜42上的图2的系统M的反面电路 40的正交视图。根据本发明的最优选实施例，反面电路40形成在膜42上。然后优选地将 膜42机械地连接到表面30，典型地使用合适的粘接剂。本领域技术人员已知用于在膜上形 成电路的技术。薄膜42典型地是塑料膜，例如但不限于，诸如Mylar的聚酯膜，其可从DuPont Teijin Films U. S. Limited Partnership, Discovery Drive, P. 0. Box411, Hopewell, VA 23860 USA商业地得到。然而，本领域普通技术人员会理解，反面电路40能够直接形成在芯片沈的表面30 上，例如但不限于，使用光刻和其它合适的集成电路形成技术。发明人相信使用薄膜42代替直接在芯片沈上形成反面电路40与现存芯片产品
更兼容。现在参照图4，其是图2的芯片安全系统M的背面屏蔽物36的简化的电路图。部署于表面28上的正面电路38优选地包括天线44、信号生成器46、信号分析器 48及芯片控制器50。信号生成器46和信号分析器48优选地操作地连接到天线44，典型地 经由直接有线连接。信号分析器48优选地操作地连接到芯片控制器50，典型地经由直接有 线连接。芯片控制器50优选地操作地连接到集成电路32，典型地经由直接有线连接。附加地参照图5，其是针对图4的背面屏蔽物的回波电压信号电压对照扫频信号 频率的曲线图。信号生成器46 —般用于提供由天线44传输的输出信号52。输出信号52典型地 是射频信号。输出信号52优选地包括具有频率&的固定的频率信号66和在&附近从频 率至频率f2变化的扫频信号68。固定的频率信号66 —般具有传输功率到反面电路40 的主功能。扫频信号68 —般用于分析功能，以下详细描述。以下参照反面电路40更详细 地描述的重要性。反面电路40优选地部署于表面30上。反面电路40典型地包括无源电路部件，无 源电路部件包括天线54、电容器56及电阻器58。反面电路40优选地不包括有源电路部件。 使用无源部件而不使用有源部件的优点之一是反面电路40的制造简单得多。如说明书和权利要求中使用的术语“无源部件”规定为不需要电源来处理通过该 部件的信号的部件和当施加电信号时其中部件的基本特性不改变的部件。如说明书和权利要求中使用的术语“有源部件”规定为其中部件的基本特性在供 电的电路中能够改变的部件，例如，用于执行放大或容许信号的多重切换。反面电路40 —般用于响应输出信号52，由此无线地从天线M到天线44传输回波 信号62。反面电路40是谐振电路，其一般包括电容器56和电阻器58及天线M的形式的 感应器。反面电路40具有关联的谐振频率&。图5中通过范例方式示出了回波信号62对扫频频率信号68的响应。回波信号62 的幅度70 —般根据输出信号52的扫频频率信号68的频率变化。当扫频频率信号68在谐 振频率&处时，回波信号62的幅度70典型地最大。
根据本发明的可选的优选实施例，输出信号52包括一系列频率(同时)，使得不 需要扫频频率信号68来获得Q因子。包括该系列频率的输出信号52典型地由生成白噪声 (甚至遍及谱的功率扩展)的信号生成器46形成。回波信号62不是白噪声信号，但是回波 信号62谱的基本形状为钟形曲线。回波信号52 —般具有品质因子⑴因子)，其是谐振频率峰的锐度的度量。术语 “谐振频率”和“Q因子”对电子工程领域的普通技术人员是已知的。谐振频率典型地由电 路的电感和电容规定。Q因子典型地由电路的电感、电容及电阻规定。典型地在幅度70是最大幅度一半的地方选择频率和f2。换句话说，和f2是 离开fo的标准偏差。频率范围必须足够高，以容许在天线44和天线M之间的有效耦合， 而且足够低，使得可以使用典型地用于智能卡中的传统CMOS技术。天线54、电容器56及电阻器58 —般形成屏蔽装置60来屏蔽表面30。尤其是，电 阻器58优选地形成在表面30的大部分上的蜿蜒路径中。参照图6更详细地描述屏蔽装置 60。屏蔽装置60中的缺口一般导致回波信号62中的改变或回波信号62的中止。例 如，部分地切割屏蔽装置60可以引起谐振频率和/或Q因子中的改变，取决于屏蔽装置60 的哪个元件受到影响。例如，如果天线M或电容器56受到影响，则谐振频率和Q因子都可 能改变。如果电阻器58受到影响，则Q因子可能改变。如说明书和权利要求中使用的术语“缺口”规定为部分切割或完全切断屏蔽装置 60的部分。因为输出信号52 —般包括扫频频率信号68，其是可变频率信号，所以即使没有出 现缺口，回波信号62也会是可变(改变的)信号。因此，与对扫频频率信号68的先前扫频 相比，屏蔽装置60中的部分切割可以引起回波信号62中的改变。典型地在正面电路38中由天线44接收回波信号62。优选地由信号分析器48分 析回波信号62。信号分析器48典型地在分析之前将回波信号62转换成数字信号。信号分 析器48 —般用于从回波信号62中的改变或回波信号62的中止来探测屏蔽装置60中的缺 口。尤其是，信号分析器48典型地分析回波信号62的谐振频率和Q因子中的改变以探测 屏蔽装置60中的缺口。因为输出信号52是扫频频率信号，所以信号分析器48优选地将当 前扫频的回波信号62与先前扫频的回波信号62比较。谐振频率和Q因子是可以用于探测屏蔽装置60中的缺口的电磁性质的范例。本 领域普通技术人员会理解，可以分析回波信号62的其它合适的电磁性质来探测屏蔽装置 60中的缺口，特别是随温度改变和时间稳定的参数，诸如观察信号随时间的相位。芯片控制器50 —般用于响应于由信号分析器48对缺口的探测来对集成电路32 执行动作，典型地包括重设集成电路32。应当注意，攻击者不能模仿反面电路是重要的。可想得到的攻击可能是特性化反 面电路40，然后放置模仿电路到反面电路40的顶部上，使得芯片沈的反面易受攻击。通过 优选地随机地个性化反面电路40能遏制提议的攻击。本领域普通技术人员会理解，在下述情况下可以不需要有源屏蔽物34 能够由正 面电路38探测芯片沈的正面侧的缺口，例如但不限于，确保正面电路38的天线44覆盖正 面电路38的足够的表面，使得天线44中的缺口导致对集成电路32执行的动作。
现在参照图6，其是图4的背面屏蔽物36的简化的电路布局的视图。正面电路38 —般建立在包括顶层72和底层76的两或多层中。顶层72典型地包 括形成在顶层72的周边附近的天线44。底层76典型地包括信号生成器46、信号分析器48 及芯片控制器50。信号生成器46和信号分析器48 —般经由多个引脚74连接到天线44， 该引脚从顶层72延伸到底层76。芯片控制器50 —般经由一个或多个引脚78连接到集成 电路32ο集成电路制造领域的普通技术人员会理解，底层76可以由子层形成。类似地，顶 层72可以由子层形成。本领域普通技术人员会理解，顶层72的一些元件可以部署于底层 76中，并且反之亦然。类似地，如果实用的话，说明书中示出的所有电路布局都可以由子层形成，并且每 层的元件可以恰当地与图中所示的不同地装置。类似地，反面电路40 —般建立在包括顶层80和底层82的两或多层中。顶层80典型地包括天线54、电容器56的顶部一半84及电阻器58的一半。天线 54典型地形成在顶层80的周边附近并且优选地与正面电路38的顶层72的天线44对准， 以最大地耦合天线44和天线Μ。底层82典型地包括电容器56的底部一半86和电阻器58的另一半。电容器56 的顶部一半84和底部一半86优选地由薄层电介质材料分开，该电介质材料优选地为二氧化硅。电阻器58典型地划分成两部分，使得电阻器58的相邻的条带一般在底层82和顶 层80之间交替。相邻的条带优选地在顶层80和底层82之间与引脚(未示出)连接。在 顶层80和底层82之间划分电阻器58 —般容许电阻器58的条带靠在一起，由此提供用于 屏蔽装置60的较紧密的布置。电阻器58优选地由铝迹线形成。本领域普通技术人员会理解，类似地，能够在顶层80和底层82之间划分天线Μ。 底层82中的电容器56的底部一半86典型地经由引脚88连接到顶层80中的天线Μ。屏蔽装置60优选地包括天线54、电容器56及电阻器58。单独的金属层80、82优选地比传统的金属层薄，以提高电阻器58的迹线的电阻。 金属层的厚度典型地在100纳米的量级。应当注意，屏蔽装置60不必覆盖芯片沈的表面30的整个表面。屏蔽装置60典型 地仅需要覆盖表面30的足够的部分以防止攻击。通过非限制性范例，背面FIB编辑(edit) 需要铣磨大的孔用于通路。一般需要打开芯片沈的至少50微米乘50微米的部分。因此， 一般考虑潜在的攻击来设计优选地包括天线54、电容器56及电阻器58的屏蔽装置60的条 带。然而，针对更高级的攻击技术超前计划和使得屏蔽装置60的条带比最小的设计需要更 靠近是明智的。以下大体描述形成正面电路38和反面电路40的过程。首先，典型地为硅晶片的晶片优选地制作得尽可能的薄。晶片的底面一般被抛光 成平的。然而，底面不必如顶面那样完美。其次，通常在晶片的顶面上和/或中形成正面电路38。典型地使用如集成电路生 产领域的普通技术人员所知的传统集成电路技术来形成正面电路38。第三，一般在反面上沉积二氧化硅的薄层。二氧化硅层将反面电路40与硅基底绝缘。第四，优选地使用红外显微法将反面电路40与正面电路38对准。然后典型地使 用激光切割对准标记到基底中。第五，一般使用传统的光刻技术来规定第一金属层，即底层82，其典型地使用激光 切割标记对准。然后，优选地在底层82的顶部上沉积中间层电介质材料。接下来，在中间层的顶部上形成第二金属层，即顶层80。最后，优选地利用用于钝化的二氧化硅和氮化硅的层覆盖顶层80。应当注意，不必精确地对准反面电路40和正面电路38，并且一般不优选地，此工 艺变化使得攻击者更难于仿效反面电路40的动作。实际上，工艺优选地包括内建的随机变 化，以防止复制反面电路40的参数用于攻击另一器件。正面电路38的信号分析器48优选地教导初始测试过程中要接受的参数。现在参照图7，其是用于与图2的芯片安全系统M —起使用的可选的优选背面屏 蔽物90的简化的电路图。背面屏蔽物90典型地包括正面电路92和反面电路94。正面电 路92优选地部署于表面观上。反面电路94优选地部署于表面30上。正面电路92典型地包括天线96、信号生成器98、信号分析器100及芯片控制器 102。信号生成器98和信号分析器100优选地操作地连接到天线96，典型地经由直接有线 连接。信号生分析器100优选地操作地连接到芯片控制器102，典型地经由直接有线连接。 芯片控制器102优选地操作地连接到集成电路32，典型地经由直接有线连接。信号生成器98典型地用于提供由天线96传输的输出信号104。输出信号104典 型地是射频信号。输出信号104优选地是固定频率的信号，其经由感应传输功率给反面电 路94。反面电路94典型地包括天线106、整流器108、检验器110、屏蔽装置112及报告 器114。反面电路94优选地包括有源电路部件，有源电路部件典型地包括在整流器108、检 验器110及报告器114中。整流器108和报告器114 一般操作地连接到天线106。检验器 110优选地操作地连接到整流器108、报告器114及屏蔽装置112。反面电路94优选地形成在在薄膜42上(图3)，薄膜然后连接到芯片26，例如使 用粘接剂。然而，本领域普通技术人员会理解，反面电路94可以在芯片制造过程中形成在 芯片沈中和/或上。天线106优选地无线接收由天线96传输的输出信号104，由此提供功率给反面电 路94。对于许多应用，应当注意，输出信号104的频率优选地足够高，以容许在天线96、106 之间有效地耦合，并且足够低，使得可以使用典型地用于智能卡中的传统CMOS技术。整流器108优选地整流由天线106接收的输出信号104，以向检验器110和报告器 114提供直流(DC)电力供给。检验器110 —般用于通过检验屏蔽装置112中的缺口来检验屏蔽装置112的完整 性。参照图9更详细低描述屏蔽装置112。如说明书和权利要求中使用的术语“缺口”规定为部分地切割或完全切断屏蔽装 置112的部分。检验器110和屏蔽装置112典型地以与本领域技术人员所知的正面有源屏蔽物类似的方式形成。报告器114优选地经由天线106和天线96使用回波信号118报告回信号分析器 100关于屏蔽装置112的完整性。根据背面屏蔽物90的最优选的实施例，当检验器110没有在屏蔽装置112中探测 到缺口时，报告器114典型地仅发送回波信号118。然而，如果检验器110在屏蔽装置112 中探测到缺口，则报告器114典型地不发送回回波信号118。因此，检验器110对屏蔽装置 112中的缺口的探测典型地导致回波信号118的中止。根据背面屏蔽物90的可选的优选实施例，报告器114依赖于屏蔽装置112的完整 性状态来改变回波信号118。因此，对屏蔽装置112中的缺口的探测典型地导致回波信号 118中的改变。典型地由天线96在正面电路92中接收回波信号118。优选地由信号分析器100 分析回波信号118。信号分析器100典型地在分析前将回波信号118转换成数字信号。信 号分析器100 —般用于从回波信号118中的改变或回波信号118的中止来探测屏蔽装置 112中的缺口。回波信号118典型地是脉冲信号，由此报告器114发送周期脉冲到信号分析器 100。可选地，回波信号118是通过幅度或频率调制输出信号104而形成的连续信号。芯片控制器102优选地用于响应于信号分析器100对缺口的探测来执行对集成电 路32的动作，典型地重设集成电路32。现在参照图8，其是图7的背面屏蔽物90的正面电路92的简化的电路布局的视 图。正面电路92典型地以形成正面电路38的基本相同的方式形成在多层120中，如参照 图6描述的。现在参照图9，其是图7的背面屏蔽物90的反面电路94的简化的电路布局的视 图。反面电路94典型地由三或更多层122形成。屏蔽装置112典型地由天线106和蜿蜒路径屏蔽物116形成。层122的顶层IM 一般包括天线106和屏蔽物116的一半。层122的中间层1 一般包括屏蔽物116的另一 半。屏蔽物116优选地由与图6的电阻器58基本相同的相邻条带形成。层122的底层128 典型地包括整流器108、检验器110及报告器114。优选地使用多个金属条带将整流器108、 检验器110及报告器114130彼此连接。检验器典型地经由两个金属条带134和两个引脚 132连接到顶层124中的屏蔽物116和中间层126中的屏蔽物116。整流器108和报告器 114 一般经由多个金属条带136和两个引脚138连接到天线106。应当注意，反面电路94和正面电路92 (图8) —般不需要彼此精确地对准。误差界 限典型地在数10微米的量级。如果能够在反面电路94已经对准后对实际可接受的范围编 程，则较大的变化是可接受的。反面电路94的晶体管优选地以形成用于薄膜晶体管(TFT) 显示器中的晶体管的基本相同的方式制作在多晶硅中，由此降低了成本和复杂性。现在参照图10-12。图10是根据本发明的优选实施例构成和操作的双芯片安全系 统140的横截面视图。双芯片安全系统140优选地包括两个芯片，即芯片142和芯片144。 图11是图10的双芯片安全系统140的芯片142的放大的横截面视图。图12是示出制造 图10的双芯片安全系统140的优选步骤的流程图。芯片142、144中的每一个典型地具有表面146和表面146反面的表面148(框156)。芯片142、144中的每一个典型地由减薄的硅片形成。芯片142、144 一起的厚度优选 地在200微米和400微米之间。每个芯片142、144的表面146典型地部署于集成电路150、 屏蔽物152及屏蔽物管理器巧4上(框158)。典型地作为集成电路150的部分实施屏蔽物 管理器154。屏蔽物管理器15优选地用于检验屏蔽物152的完整性和用于响应于对屏蔽物 152中的缺口的探测来执行对集成电路150的动作。优选地作为有源屏蔽物来实施屏蔽物 152和屏蔽物管理器154。芯片保护领域的普通技术人员知道如何生产用于集成电路的有 源屏蔽物。屏蔽物152典型地形成在每个芯片142、144的金属互联的顶层中。芯片142和芯片144 一般经由每个芯片142、144的表面148机械地连接在一起， 优选地通过直接键合。换句话说，芯片142、144优选地与朝外的集成电路150、屏蔽物152 及屏蔽物管理器巧4背靠背连接(框160)。因此，芯片142、144形成单芯片装置176，其中 每个芯片142、144的表面146基本在芯片装置176的相反侧彼此平行。每个芯片的表面148典型地包括二氧化硅层，其被加厚并且然后通过在芯片142、 144之间施加电压被键合。施加的电压一般键合氧到单层中。一旦芯片142、144已经被键 合，则不能分开芯片142、144，除非典型地毁坏芯片142、144的集成电路150。优选地通过氩束表面激活键合执行键合。Hideki Takagi和Ryutaro Maeda在 由 Institute of Physics Publishing, UK 出版的 Journal of Micromechanics and Microengineering 中在卷 15 的 290-295 页上题为"Aligned room-temperature bonding of silicon wafers in vacuum by argon beam surface activation，，1 了Μ + 键合晶片的尤其有用的工艺。描述的技术具有数个优点。首先，该技术是在室温，使得技术 与集成电路晶片兼容。其次，该技术在晶片之间提供约2微米的好的对准。另外，不必进行 特别的表面制备和不需要高压，由此最小化了静态放电损坏的风险。优选地使用多个接触焊盘166将芯片144以倒装法安装于基底162上，由此容许 表面146的整个区域用于连接到基底162。芯片142典型地经由多个球焊连接164电连接 到基底162。因此，芯片142、144中的每一个的集成电路150经由基底162电连接。芯片142的集成电路150和芯片144的集成电路150之间的通信优选地是加密的， 典型地使用以会话密钥172加密的包170。芯片142、144中的每一个的集成电路150优选 地包括由芯片142、144共享的秘密处168，用于加密的通信中。芯片142上的秘密处168优 选地不同于芯片144上的秘密处168。另外，芯片142、144中的每一个的秘密处168典型地 在两个芯片142、144之间共享，使得需要对芯片142、144都进行反向工程以有用地攻击芯 片。可以使用用于芯片之间的无线通信的感应耦合来有效地执行安全考虑。双芯片安全系统140具有胜过背面保护的安全优点的附加的优点。首先，制造商 制作具有共同特征(诸如相同的核心和操作系统)的一系列器件，通过仅改变芯片的一侧， 制造商能够具有不同的存储配置或不同的消费者ROM代码，由此节省了开发时间和成本。 其次，电路面积的量可以翻倍，而无需增加芯片的长度和宽度。例如，智能卡芯片一般限于 5mm 乘 5mm。现在参照图13，其是具有内部屏蔽物(inter-shield)检验子系统174的图10的 双芯片安全系统140的横截面视图。内部屏蔽物检验子系统174优选地用于使得，如果屏 蔽物152的任一个如由屏蔽物管理器确定的形成有缺口，则典型地响应于对断定的缺口的探测对两个集成电路150执行动作，诸如两个集成电路150的重设。优选地由屏蔽物152、 屏蔽物管理器巧4及集成电路150执行内部屏蔽物检验子系统174的操作，以下将描述它。为简化描述，现在将芯片142、144的表面146作为芯片装置176的顶面178和底 面180描述。顶面178是芯片142的表面146。底面180是芯片144的表面146。每个屏蔽物管理器154典型地操作地连接到与屏蔽物管理器巧4相邻的屏蔽物 152和集成电路150中的每一个。每个屏蔽物管理器巧4 一般经由球焊连接164、基底162 及接触焊盘166(图10)操作地连接到芯片装置176的另一侧上的屏蔽物152。本领域普通 技术人员会理解，可以经由任何合适的有线和/或无线连接将屏蔽物管理器巧4和/或屏 蔽物152彼此直接地连接或经由诸如一个或两个集成电路150的另外的元件将屏蔽物管理 器IM和/或屏蔽物152间接地连接。每个屏蔽物管理器巧4典型地包括用于生成数的数生成器，或优选地用于生成随 机数的随机数生成器，或更优选地分别用于生成伪随机数或真随机数的伪随机数生成器或 真随机数生成器。另外，每个屏蔽物管理器巧4 一般包括检验模块184。以下现在描述检验 模块184的操作及内部屏蔽物检验子系统174的其它方面。为简化描述，参照部署于顶面 178上的屏蔽物管理器巧4描述内部屏蔽物检验子系统174。部署于顶面178上的屏蔽物管理器154的数生成器182典型地用于生成数P。部 署于顶面178上的屏蔽物管理器巧4 一般用于发送数P至部署于底面180上的屏蔽物152。 部署于底面180上的屏蔽物152优选地用于对数P执行函数Π，如果部署于底面180上的 屏蔽物152是原样的，则产生值Q。作为部署于底面180上的屏蔽物152的物理布线的结 果，优选地由部署于底面180上的屏蔽物152执行函数f 1。如果布线被形成缺口，则优选地 自动地不执行函数fl，并且因此一般不从值P产生值Q。值Q—般路由(典型地通过直接 布线)到部署于顶面178上的屏蔽物152，使得部署于顶面178上的屏蔽物152优选地用于 接收值Q。部署于顶面178上的屏蔽物152优选地用于对值Q执行函数f2，如果部署于顶 面178上的屏蔽物152是原样的，则典型地产生值R。类似地，作为部署于顶面178上的屏 蔽物152的物理布线的结果，优选地由部署于顶面178上的屏蔽物152执行函数f2。值R 典型地路由到部署于顶面178上的屏蔽物管理器154。部署于顶面178上的屏蔽物管理器154的检验模块184 —般用于执行下述功能。首先，从部署于顶面178上的屏蔽物152接收值R。其次，基于数P通过使用函数f 1和函数f2执行计算、以数P作为计算的输入来检 验值R的有效性。计算优选地为fl(f2(P))。然而，根据本发明的可选的优选实施例，检验 模块184包括查找表格，其包括映射可能的值P和R的多个输入-输出对。第三，将计算的结果(或在查找表格中找到的值)与值R比较以确定屏蔽物152 的完整性。如果计算的结果(或在查找表格中找到的值)等于R，则典型地断定屏蔽物152 是原样的。优选地周期地重复从由数生成器182生成P至由检验模块184比较的上述步骤， 以确定屏蔽物152的前进完整性。如果部署于顶面178上的屏蔽物管理器巧4没有从屏蔽 物152接收到及时的值或将结果与值R比较的步骤未通过，则一般由部署于顶面178上的 屏蔽物管理器巧4对部署于顶面178上的集成电路150执行动作，诸如芯片重设或改变非 易失性存储器的内容以影响集成电路150的功能(例如但不限于，使集成电路150 “记住”该事件，或在寄存器中设定使得集成电路150删除诸如密钥的某些信息的标志)。应当注意，典型地作为与关联的集成电路150相同的集成电路的部分实施每个屏 蔽物管理器154。本领域普通技术人员会理解，能够首先由部署于顶面178上的屏蔽物管理器巧4 将数P发送至部署于顶面178上的屏蔽物152，然后将产生的值发送至部署于底面180上的 屏蔽物152。以由部署于顶面178上的屏蔽物管理器巧4检验屏蔽物152的类似方式，底面180 的屏蔽物管理器巧4优选地检验部署于顶面178上的屏蔽物152和部署于底面180上的屏 蔽物152。部署于底面180上的屏蔽物管理器巧4的数生成器182优选地用于生成数Z。如 果屏蔽物152是原样的，则部署于顶面178上的屏蔽物152和部署于底面180上的屏蔽物 152优选地分别执行函数f3和f4。优选地，在每次由一个屏蔽物管理器巧4执行检验操作时生成新的数(P或Z)。根据本发明的可选的优选实施例，屏蔽物管理器巧4独立地检查每个屏蔽物152。 仅通过范例方式，部署于顶面178上的屏蔽物管理器巧4发送值P至部署于底面180上的 屏蔽物152。将由部署于底面180上的屏蔽物152产生的值Q路由至部署于顶面178上的 屏蔽物管理器154，用于使用函数fl (或查找表格)检验。另外，由部署于顶面178上的屏 蔽物管理器巧4将值P或不同的值发送至部署于顶面178上的屏蔽物152。部署于顶面 178上的屏蔽物152产生路由回部署于顶面178上的屏蔽物管理器巧4的值，用于使用函数 f2(或查找表格)检验。以与由部署于顶面178上的屏蔽物管理器巧4执行的检验类似的 方式，部署于底面180上的屏蔽物管理器巧4独立地检验屏蔽物152。根据本发明的另一优选实施例，使用分组密码来执行函数fl、f2、f3及f4，分组密 码是，例如但不限于，具有固定钥匙的AES，其中每个函数fl、f2、f3及f4优选地与不同的 固定的钥匙关联。根据本发明的另一优选实施例，函数fl、f2、f3及f4是散列函数。内部屏蔽物检验子系统174的芯片装置176具有两个芯片142、144，两个芯 片142、144通过直接键合背靠背机械地连接。然而，本领域普通技术人员会理解，可 以利用其它的芯片装置来实施内部屏蔽物检验子系统174，例如但不限于，诸如背驮式 (piggy-back)芯片装置的非背靠背多芯片装置或包括唯一的芯片从而在芯片上形成电路 之前由单片材料形成芯片装置的芯片装置。应当理解，如果不包括部署于底面180上的集成电路150，则典型地不需要部署于 底面180上的屏蔽物管理器154。部署于顶面178上的屏蔽物管理器巧4优选地使用上述 方法检验两个屏蔽物152的完整性。现在参照图14，其是根据本发明的可选的优选实施例构成和操作的芯片安全系统 186的横截面视图。芯片安全系统186优选地包括具有顶面190和底面192的芯片装置 188。顶面190和底面192典型地基本彼此平行并且优选地部署在芯片装置188的相反的 侧面上。芯片装置188优选地包括唯一的芯片，使得在芯片上形成电路之前由单片材料形 成芯片装置。然而，本领域普通技术人员会理解，可以利用多个彼此机械地连接的芯片来实施 芯片安全系统186，优选地通过直接键合或利用其它的芯片装置，例如但不限于，诸如背驮式芯片装置的非背靠背多芯片装置。芯片安全系统186典型地包括多个屏蔽物196和屏蔽物管理器198。屏蔽物管理 器198典型地部署于顶面190上。屏蔽物管理器198 —般用于检验屏蔽物196的完整性。 一个屏蔽物196部署于顶面190上。另一屏蔽物196部署于底面192上。芯片安全系统186还典型地包括一般部署于顶面190上的附加集成电路200。屏蔽物管理器198优选地操作地连接到屏蔽物196和集成电路200。根据芯片安全系统186的优选实施例，芯片安全系统186不包括部署于底面192 上的集成电路。然而，本领域普通技术人员会理解，芯片安全系统186能够包括部署于底面 192上的集成电路。集成电路200优选地操作地连接到屏蔽物管理器198。屏蔽物管理器 198优选地操作地连接到屏蔽物196，典型地经由任何合适的有线和/或无线连接。屏蔽物 198典型地包括数生成器202以生成数P，或优选地随机数生成器用于生成随机数，或最优 选地分别用于生成伪随机数或真随机数的伪随机数生成器或真随机数生成器。屏蔽物管理器198 —般用于发送测试数据至部署于底面192上的屏蔽物196。测 试数据优选地是数P。部署于底面上的屏蔽物196典型地用于对测试数据执行函数f5(典 型地作为屏蔽物196的布线的函数)，如果部署于底面192上的屏蔽物196是原样的则产生 值Q。值Q优选地路由回屏蔽物管理器198。屏蔽物管理器198典型地包括检验模块204， 检验模块204优选地用于接收值Q ；以及对值Q执行操作以确定部署于底面192上的屏蔽 物196的完整性。由检验模块204执行的操作典型地包括使用函数f5利用数P作为计算 的输入来执行计算(或使用合适的查找表格)；及将计算的结果(或在查找表格中找到的 结果)与值Q比较，以确定部署于底面192上的屏蔽物196的断定的完整性。根据本发明的可选的优选实施例，由屏蔽物管理器198发送的测试数据不等于数 P，测试数据由屏蔽物管理器198基于数P生成。例如，典型地使用数P作为函数f7的输入 由屏蔽物管理器198来确定测试数据。部署于底面192上的屏蔽物196然后一般对测试数 据执行函数f8以产生P，函数f8是f7的反函数。值P然后典型地发送回屏蔽物管理器198 用于与原始生成的数比较。屏蔽物管理器198优选地通过发送数P至部署于顶面190上的屏蔽物196来确定 部署于顶面190上的屏蔽物196的断定的完整性。部署于顶面190上的屏蔽物196典型地 对数P执行函数f6，如果部署于顶面190上的屏蔽物196是原样的则产生值R。值R然后 优选地路由至用于接收值R的屏蔽物管理器198。屏蔽物管理器198 —般通过利用数P重 新执行函数f6 (或通过使用合适的查找表格)来检验值R。根据本发明的另一优选实施例，使用分组密码来执行函数f6和f7，分组密码是， 例如但不限于，具有固定钥匙的AES，其中每个函数f6和f7优选地与不同的固定钥匙关联。 根据本发明的另一优选实施例，函数f6和f7是散列函数。现在参照图15、16a及16b。图15是根据本发明的另一可选的优选实施例构成和 操作的集成电路保护系统106的平面视图。图16a是通过图15的线XVIA的横截面视图。 图16b是通过图15的线XVIB的横截面视图。如上述，用于安全芯片的屏蔽物保护可以是无源的或有源的。无源屏蔽物典型地 企图使攻击更困难，但是不主动地探测缺口并以阻止攻击的方式反作用。有源屏蔽物一般 探测并阻止攻击。系统206优选地用于提供无源屏蔽物，其在层208中使用多结晶硅(多晶娃)层°多晶硅层典型地存在于许多集成电路芯片中。大多数集成电路使用多结晶硅用于 栅和其它连接。许多集成电路，尤其是使用非易失性存储器的那些，典型地使用两层多结晶 硅层。并且典型地，至少一个多结晶硅层包括双层结构，为掺杂的多结晶硅层的较下部分和 为诸如硅化钨的金属硅化物层的较上部分。施加金属硅化物作为减小双层叠层的薄层电阻 的方法。对芯片的背面的攻击典型地使用技术找出要攻击的特征。该技术一般是导航方 案。一个重要并必要的导航技术使用红外照明和成像以观察并因此找出要攻击的结构。典 型地使用具有聚焦离子束系统的背面编辑FIB机器来执行攻击，该离子束系统包括作为导 航方法的红外相机。称作Vectravision的背面编辑FIB机器可从FEI Company of 5350 NE Dawson Creek Drive,Hillsboro,Oregon 971 ，USA 商业地得到。另一称作 OptiFIB 的背 面编辑 FIB 机器可从 Credence Systems Corp. , of 1421 California Circle Milpitas, CA 95035，USA商业地得到。应当注意，硅化钨对包括近红外的光是不透明的，而硅，包括多结晶硅，则不是。多 结晶硅双层结构之间的任何开口区域和/或多晶硅层中的其它电路结构容许在开口区域 中的顶导航，并因此容许攻击。系统206典型地通过以多结晶硅双层材料填充所有开口区域或选择的区域来模 糊并优选地阻挡导航器件观察诸如金属互连的多晶硅层以外的电路特征，多结晶硅双层材 料包括诸如硅化钨的金属硅化物的子层。现在更详细地描述系统206。系统206优选地包括具有表面212的硅基底210。系统206还优选地包括部署于 硅基底210的表面212上的集成电路214。集成电路214典型地包括层208，层208优选地 包括多个结构216，结构216典型地包括一个或多个双层结构218(仅示出一个)；以及诸 如多个金属接触部220的其它结构。双层结构218优选地包括多结晶硅子层222和金属硅 化物子层224。金属硅化物子层2M典型地由硅化钨形成。本领域普通技术人员会理解，可 以使用其它合适的金属硅化物用于金属硅化物子层224，例如但不限于，硅化钽。集成电路214还包括层226，层2 包括多个金属元件228。层208比层2 更靠 近表面212。系统206还包括屏蔽物装置230，该屏蔽物装置包括多结晶硅子层232和金属硅化 物子层234。金属硅化物子层234典型地由硅化钨形成。本领域普通技术人员会理解，可以 使用其它合适的金属硅化物用于金属硅化物子层234，例如但不限于，硅化钽。屏蔽物装置230典型地包括多个屏蔽物元件236，每个屏蔽物元件236优选地包括 多结晶硅子层232和金属硅化物子层234。屏蔽物装置230优选地部署于层208中，使得屏蔽物装置230不执行集成电路 214中的电子功能；以及当红外显微镜238通过硅基底210对集成电路214成像时，通过红 外显微镜238看到的层208以外的诸如一个或多个金属元件2 的集成电路特征的视图至 少部分地被模糊并优选地被阻挡。为使屏蔽物装置230有效，屏蔽物装置230必须优选地覆盖足够的区域，使得模糊 并优选地阻挡层208以外的集成电路214的视图。屏蔽物装置230典型地部署成使得屏蔽物层208以外的集成电路214的所有元件。根据本发明的可选的优选实施例，优选地仅屏 蔽物层208以外的由集成电路214的设计者断定为易受攻击的特定特征，例如但不限于用 于传送会被加密的数据的总线；和/或集成电路214的防御机构的信号迹线。屏蔽物装置230优选地部署于层208中，使得屏蔽物装置230和一个或多个结构 216形成区M2。区242优选地包括多个间隙M0。间隙240足够小以防止红外显微镜238 对层208以外的集成电路214成像是重要的。因此，通过范例方式，如果使用的红外波长为 约1100纳米(硅的带边)，则间隙MO典型地需要小于顶波长的一半，即约550纳米。更 精确地，间隙240具有平行于由层208规定的平面测得的最小尺度，最小尺度小于约550纳 米。优选地使用本领域技术人员所知的技术，例如但不限于，光刻制造方法，将集成电 路214和屏蔽物装置230部署于层中的硅基底210上。现在参照图17、18a及18b。图17是根据本发明的另一可选的优选实施例构成和 操作的集成电路保护系统244的平面视图。图18a是通过图17的线XVIIIA的横截面视图。 图18b是通过图17的线XVIIIB的横截面视图。系统244优选地包括具有表面M8的硅 基底246 ；以及部署于硅基底246的表面248上的集成电路250。集成电路250优选地包括 层252、另一层254、屏蔽物装置256以及缺口探测电路258。层252优选地包括多个结构沈0，结构260包括一个或多个双层结构262 (仅示出 一个)。每个结构262优选地具有多结晶硅子层264和金属硅化物子层沈6。层2M优选地包括多个金属元件沈8。层252比层2M更靠近表面M8。屏蔽物装置256优选地包括多结晶硅子层270和金属硅化物子层272。屏蔽物装 置256优选地部署于层252中。金属硅化物子层272形成电路迹线。屏蔽物装置256典型 地遵循硅基底M6的表面M8以上的缠绕路径，不被层252中的其它特征覆盖。金属硅化物子层272典型地由硅化钨形成。本领域普通技术人员会理解，可以使 用其它合适的金属硅化物，例如但不限于，硅化钽。缺口探测电路258操作地连接到屏蔽物装置256，使得由缺口探测电路258探测 屏蔽物装置256中的缺口。缺口探测电路258优选地用于响应于对缺口的探测对集成电路 的另一部分执行动作，诸如芯片重设或改变非易失性存储器的内容以影响集成电路250的 功能(例如但不限于，使集成电路250 “记住”该事件，或在寄存器中设定使得集成电路250 删除诸如密钥的某些信息的标志)。因此，屏蔽物装置256优选地提供防止攻击的主动保护。优选地使用本领域技术人员所知的技术，例如但不限于，光刻制造方法，将系统 244部署于层中的硅基底246上。应当理解，也可以以在单个实施例中组合本发明的多个特征，为清楚，该多个特征 是在分开的实施例的上下文中描述的。相反，也可以分开地或以任何合适的子组合提供本 发明的多个特征，为简洁，该多个特征是在单个实施例的上下文中描述的。本领域技术人员 还应当理解，本发明不限于以上特定地示出和描述的。相反，本发明的范围仅由以下权利要 求规定。
权利要求
1.一种芯片安全系统，包含两个芯片，所述芯片中的每一个包含第一表面和在所述第一表面反面的第二表面；部署于所述第一表面上的集成电路；部署于所述第一表面上的屏蔽物；以及部署于所述第一表面上的屏蔽物管理器，所述屏蔽物管理器用于检验所述屏蔽物的完 整性和用于响应于对所述屏蔽物中的缺口的探测来执行对所述集成电路的动作，其中，所 述芯片经由所述芯片中的每一个的所述第二表面机械地连接到一起。
2.根据权利要求1所述的系统，其中，所述芯片通过直接键合机械地连接到一起。
3.根据权利要求2所述的系统，其中，所述芯片通过氩束表面激活键合键合到一起。
4.根据权利要求1所述的系统，其中，所述芯片中的一个的所述集成电路操作地连接 到所述芯片中的另一个的所述集成电路。
5.根据权利要求4所述的系统，还包含基底，其中，所述一个芯片的所述集成电路经由 所述基底电连接到所述另一芯片的所述集成电路。
6.根据权利要求5所述的系统，其中，所述一个芯片以倒装法安装于所述基底上。
7.根据权利要求6所述的系统，其中，所述另一芯片经由球焊连接电连接到所述基底。
8.根据权利要求4所述的系统，其中，所述芯片中的每一个的所述集成电路用于使得 所述一个芯片的所述集成电路和所述另一芯片的所述集成电路之间的通信被加密。
9.根据权利要求8所述的系统，其中，使用会话密钥加密所述通信。
10.根据权利要求8所述的系统，其中，所述芯片中的每一个的所述集成电路包括由所 述芯片共享的秘密处，用于所加密的通信中。
11.根据权利要求1所述的系统，其中，所述芯片一起的厚度在200微米和400微米之间。
12.根据权利要求1-11中的任一项所述的系统，其中，所述芯片中的每一个包括硅。
13.一种芯片安全系统，包括具有第一表面和第二表面的芯片装置；包括第一屏蔽物和第二屏蔽物的多个屏蔽物，所述第一屏蔽物部署于所述第一表面 上，所述第二屏蔽物部署于所述第二表面上；部署于所述第一表面和所述第二表面中的一个上的集成电路；以及屏蔽物管理器，与所述集成电路部署于所述芯片装置的相同表面上，所述屏蔽物管理 器操作地连接到所述屏蔽物和所述集成电路，所述屏蔽物管理器包括生成数的数生成器， 所述屏蔽物管理器用于发送所述数至所述第一屏蔽物，所述第一屏蔽物用于对所述数执行 第一函数，由此，如果所述第一屏蔽物是原样的，则产生第一值，所述第二屏蔽物用于接收 所述第一值和对所述第一值执行第二函数，如果所述第二屏蔽物是原样的，则产生第二值， 所述屏蔽物管理器包括检验模块，以接收所述第二值；以及基于由所述数生成器生成的 所述数来检验所述第二值的有效性，以确定所述屏蔽物的完整性。
14.根据权利要求13所述的系统，其中，其中所述检验模块用于使用所述第一函数和 所述第二函数以所述数作为计算的输入执行所述计算；以及将所述计算的结果与所述第二 值比较，以确定所述屏蔽物的完整性。
15.根据权利要求13或权利要求14所述的系统，其中，所述芯片装置包括唯一的芯片。
16.根据权利要求13或权利要求14所述的系统，其中，所述芯片装置包括彼此机械地 连接的多个芯片。
17.根据权利要求16所述的系统，其中，所述芯片通过直接键合机械地连接到一起。
18.根据权利要求13所述的系统，其中，所述第一表面和所述第二表面基本彼此平行 地部署于所述芯片装置的相反侧面上。
19.一种芯片安全系统，包含具有第一表面和第二表面的芯片装置；包括第一屏蔽物和第二屏蔽物的多个屏蔽物，所述第一屏蔽物部署于所述第一表面 上，所述第二屏蔽物部署于所述第二表面上；部署于所述第一表面上的集成电路；以及部署于所述第一表面上的屏蔽物管理器，所述屏蔽物管理器操作地连接到所述屏蔽物 和所述集成电路，所述屏蔽物管理器包括生成数的数生成器，所述屏蔽物管理器用于基于 所述数发送测试数据至所述第二屏蔽物，所述第二屏蔽物用于执行函数，如果所述第二屏 蔽物是原样的，则产生值，所述屏蔽物管理器包括检验模块，以接收所述值；以及对所述 值执行操作，以确定所述第二屏蔽物的完整性。
20.根据权利要求19所述的系统，其中，所述测试数据等于所述数，并且其中，所述检 验模块用于使用所述函数以所述数作为计算的输入执行所述计算；以及将所述计算的结 果与所述值比较，以确定所述第二屏蔽物的完整性。
21.根据权利要求19所述的系统，其中，所述芯片装置包括唯一的芯片。
22.根据权利要求19所述的系统，其中，所述芯片装置包括彼此机械地连接的多个芯片。
23.根据权利要求22所述的系统，其中，所述芯片通过直接键合机械地连接到一起。
24.根据权利要求19所述的系统，其中，所述第一表面和所述第二表面基本彼此平行 地部署于所述芯片装置的相反侧面上。
25.根据权利要求13-24中的任一项所述的系统，其中，所述芯片装置包括第一芯片和 第二芯片，所述第一芯片包括所述第一表面和第三表面，所述第一表面在所述第三表面反 面，所述第二芯片包括第二表面和第四表面，所述第二表面在所述第四表面反面，其中，所 述芯片经由所述第三表面和所述第四表面机械地连接到一起。
26.一种集成电路保护系统，包括具有表面的硅基底；部署于所述硅基底的所述表面上的集成电路，所述集成电路包括包括多个结构的第一层，所述结构包括至少一个双层结构，所述至少一个双层结构包 括多结晶硅子层和金属硅化物子层；以及包括多个金属元件的第二层，所述第一层比所述第二层更靠近所述表面；以及包括多结晶硅子层和金属硅化物子层的屏蔽物装置，所述屏蔽物装置部署于所述第一 层中，使得所述屏蔽物装置不执行所述集成电路中的电子功能。
27.根据权利要求沈所述的系统，其中，所述屏蔽物装置部署于所述第一层中，使得当 红外显微镜通过所述硅基底对所述集成电路成像时，由所述红外显微镜看到的至少一个所 述金属元件的视图被至少部分地模糊。
28.根据权利要求沈所述的系统，其中，所述屏蔽物装置部署于所述第一层中，使得当 红外显微镜通过所述硅基底对所述集成电路成像时，由所述红外显微镜看到的至少一个所 述金属元件的视图被阻挡。
29.根据权利要求27或权利要求观所述的系统，其中，其中所述一个金属元件形成用 于输送将被加密的数据的总线。
30.根据权利要求27或权利要求观所述的系统，其中，所述一个金属元件形成所述集 成电路的防御机构的信号迹线。
31.根据权利要求沈所述的系统，其中，所述屏蔽物装置部署于所述第一层中，使得当 红外显微镜通过所述硅基底对所述集成电路成像时，由所述红外显微镜看到的所述第一层 以外的视图被至少部分地模糊。
32.根据权利要求沈所述的系统，其中，所述屏蔽物装置部署于所述第一层中，使得当 红外显微镜通过所述硅基底对所述集成电路成像时，由所述红外显微镜看到的所述第一层 以外的视图被阻挡。
33.根据权利要求沈所述的系统，其中，所述第一层规定平面，所述屏蔽物装置部署于 所述第一层中，使得所述屏蔽物装置和所述结构中的至少一个形成区，所述区包括至少一 个间隙，所述间隙具有平行于所述平面测得的小于约550纳米的最小尺度。
34.根据权利要求33所述的系统，其中，所述间隙具有平行于所述平面测得的小于约 550纳米的最小尺度。
35.根据权利要求沈所述的系统，其中，所述屏蔽物装置包括多个屏蔽物元件，每个所 述屏蔽物元件包括多结晶硅子层和金属硅化物子层。
36.根据权利要求沈所述的系统，其中，所述金属硅化物是硅化钨。
37.一种集成电路保护系统，包括具有表面的硅基底；以及部署于所述硅基底的所述表面上的集成电路，所述集成电路包括包括多个结构的第一层，所述多个结构包括至少一个双层结构，所述至少一个双层结 构具有多结晶硅子层和金属硅化物子层；以及包括多个金属元件的第二层，所述第一层比所述第二层更靠近所述表面；包括多结晶硅子层和金属硅化物子层的屏蔽物装置，所述屏蔽物装置部署于所述第一 层中；以及缺口探测电路，操作地连接到所述屏蔽物装置，使得由所述缺口探测电路探测所述屏 蔽物装置中的缺口，所述缺口探测电路用于响应于对所述缺口的探测来对所述集成电路的 另一部分执行动作。
38.一种用于制造芯片安全系统的方法，所述方法包括设置两个芯片，每个芯片具有第一表面和在所述第一表面反面的第二表面；在所述第一表面上部署集成电路、部署的屏蔽物及屏蔽物管理器，所述屏蔽物管理器 用于检验所述屏蔽物的完整性和用于响应于对所述屏蔽物中的缺口的探测来执行对所述 集成电路的动作；以及经由所述芯片中的每一个的所述第二表面将所述芯片机械地连接到一起。
39.一种用于保护集成电路的方法，包括设置具有表面的硅基底；于所述硅基底的所述表面上部署集成电路，所述集成电路包括 包括多个结构的第一层，所述多个结构包括至少一个双层结构，所述至少一个双层结 构具有多结晶硅子层和金属硅化物子层；以及包括多个金属元件的第二层，所述第一层比所述第二层更靠近所述表面；以及 部署屏蔽物装置于所述第一层中，使得所述屏蔽物装置不执行所述集成电路中的电子 功能，所述屏蔽物装置包括多结晶硅子层和金属硅化物子层。
40. 一种用于保护集成电路的方法，包括 设置具有表面的硅基底；以及于所述硅基底的所述表面上部署集成电路，所述集成电路包括 包括多个结构的第一层，所述多个结构包括至少一个双层结构，所述至少一个双层结 构具有多结晶硅子层和金属硅化物子层；以及包括多个金属元件的第二层，所述第一层比所述第二层更靠近所述表面； 包括多结晶硅子层和金属硅化物子层的屏蔽物装置，所述屏蔽物装置部署于所述第一 层中；以及缺口探测电路，操作地连接到所述屏蔽物装置，使得由所述缺口探测电路探测所述屏 蔽物装置中的缺口，所述缺口探测电路用于响应于对所述缺口的探测来对所述集成电路的 另一部分执行动作。
全文摘要
一种用于保护芯片的系统，芯片的第一表面上部署有集成电路，所述系统包括部署于第一表面上的第一天线、信号分析器、芯片控制器及信号生成器，信号生成器用于提供由第一天线传输的输出信号；部署于芯片第二表面上的电路装置，其包括屏蔽装置和接收输出信号的第二天线，所述电路装置用于从所述第二天线传输回波信号至所述第一天线，使得所述屏蔽装置中的缺口导致用于由信号分析器探测的所述回波信号中的改变或所述回波信号的中止；以及部署于第一表面上的芯片控制器，用于响应对缺口的探测来执行对集成电路的动作。还包括相关装置和方法。
文档编号H01Q1/52GK102063584SQ20101052696
公开日2011年5月18日 申请日期2006年12月11日 优先权日2006年1月24日
发明者I·曼廷, J·沃克 申请人:Nds有限公司