反窜改集成电路的制作方法

专利名称：反窜改集成电路的制作方法
技术领域：
本发明是关于保护集成电路(IC)，更具体而言是关于防止IC的逆工程的方案。本发明在保护IC特别有用，该IC用在电缆和卫星电视译码器中以防止非授权用户接收电视广播。本发明在保护应用在其它方面的保密IC的保护也同样有用，这些方面包括终端和电子现金交易的小型卡，允许存取控制，电子游戏或类似物。
由于连续普及的付费电视市场，这里存在着巨大的经济动机使熟称为“海盗”的未授权的人修改设置端盒(即译码器)的存取控制以允许接收电视节目却不付需要的用户费用。这些修改的译码器被不谨慎的个人从各种市场上所购买和使用，非法地接收和观看电视信号。
为了生产修改的译码器，海盗必须从结构精巧的译码器中获取专门的知识，这通常仅为授权的制造者所知。译码器典型包括保密(即保密编码)处理器，它包括信息例如在解码编码电视信号或其它节目服务信号(例如音频或数据)使用的密码键。由于保密处理器执行存取控制功能，它就成为海盗注意的焦点。依此，海盗将使用各种技术以企图从保密处理器获得信息。
一个通常进攻(attack)的技术被熟称为“尝试”。保密处理器包括一集成电路，它是由有源和无源元件的整体作为一个单块装置制造的，这包括在半导体材料单块内交叉连接的晶体管，电阻，电容和二极管。IC可以位于装在译码器板上的壳体内，或可以做为埋装在小型卡内的微模块的一部分。在尝试时，IC例如超大规模集成(VLSI)电路经受了侵略性的进攻，通过打开盖而暴露IC或芯片、在打开盖过程中，封装或围绕IC的成分材料被系统地移去。然后测试电流和其它参数的尝试以监视芯片的有源元件的电信号。
海盗可以执行如下的打开盖子步骤以准备测试芯片。首先，芯片从译码器板上移去，使芯片始终在IC包装内。一般而言，这是芯片固定在大板上的情况。其次，通过使用IC封装的X射线可以确定在IC封装的封装成分内的芯片的位置。第三，可使用机械磨床以尽可能多地移去芯片周围和上表面的封装材料。第四，使用化学浸蚀或等离子浸蚀移去仍然复盖在要被尝试的芯片的区域的封装部分。一些化学蚀刻剂在封装材料上的作用如此之好使得磨的步骤经常可以跳过。
译码器板可以是计算机板例如在个人计算机(PC)上使用的那些板。典型地，芯片需要从电池或其它电源获得直流以维持易失存储器例如随机存取存储器(RAM)的内容。在这种情况下，在从板上移开之前，电池线焊到芯片两侧正极管脚(如Vbatt)和负极管脚(如Vss)。芯片然后带着电池线从板上移去。如果电源中断，芯片通过擦去(例如失去)存储器内存储的关键信息而“自毁坏”。通过测量连接到电池的板上的踪迹的电阻，海盗可以识别适当的电池管脚，和然后关闭主电压(Vcc)，通过踪迹的电压读取来核实。
IC必须从译码器板上移去，这是因为在顺序开盖过程中海盗使用的设备并不能容装大解码器板的大足迹。使用化学磨蚀剂的商用开盖站仅能容装相对小的译码器板，真实情况是，由于IC必须放在小室内以保护操作者离开有毒的腐蚀剂。经常，要在小室内建立真空以防止腐蚀剂液体和逃逸的溅洒。这样的小室典型地被限制了尺寸，这是由于增加的费用和相关的抽吸较大的小室真空所费的时间。
替换地，IC可以以微模式提供，它是插在由微元件例如电阻，电容，和/或晶体管组成的小型电路上。微模式的芯片可以在基片阵列上制造。基片阵列的一表面包括接触点，而芯片用线连接到相对表面，微模式是在卡的洞穴内运载。通常，海盗从卡体中取出微模式和定位微模式以获得存取接触面。接触面被粘到接触表面，暴露的芯片表面允许移去用来固定芯片在卡体内的环氧树脂粘着剂。
当芯片由于芯片自身的因素做成较小的形式或相当小的板时，海盗的任务更容易完成、本发明的目标在于使海盗从板或微模块中移去IC，或从小型卡中移去微模块更加困难。
在通常的芯片设计中，包括应用特定的IC的设计，海盗在执行上述四个步骤时一般并没有遇到显著的障碍、从板上移去芯片并使电池线始终接触一般被认为是最精巧的操作。这样，只要不发生电源的短路和开路，由不起化学作用的保护层的包敷层保护的未受损坏的芯片能被海盗剥露。进而，连接导线的损坏也很容易避免。在保护封装包装内的从芯片的连接片到包装连接片之间的连接线位于在装置的周围。一旦芯片暴露而且没有造成电源对芯片的短路和开路，尝试就能开始。如果能防止或者能阻碍芯片从它所连接的板或微模块移去，海盗所做的就更困难或能给于阻止。
在in com m only-assign U.S.Patent 4,933,898，issued June 12，1990 to Gilberg etal，entitled Secure In tegrated CircuitChip With Conductive Shield，中讨论了一种阻止尝试的方法。Gilberg等人提示使用一种或多种导电层复盖IC的保密区域。该导电层覆盖要观察的区域和阻止加载电源信号到IC。海盗移去这些层的一个会造成保密区域部件的功能的损失。然而，该方法并不直接论述从译码器板或小型卡中移去IC的问题。
依此，希望提供一种装置，它阻止由海盗对IC芯片的窜改。特别是，使得从译码器板，微模式基片或小型卡体上移去IC而不损坏IC的海盗的任务更加困难。进而，该装置应与现存芯片设计是兼容的和实施是廉价的。
值得称道的是提供一装置，它使聚焦的离子束沉积更困难。使用离子束沉积装置注入带电的原子或分子至芯片，和典型地使用小真空室去保持芯片。如果芯片留在板上或微模式基片上，由于板或基片的出气(即，由于热吸收气体的释放)，使小室的真空很困难。这就使海盗从板上或微模块上移去芯片更困难和冒险，由于抽真空小室所需的时间增加，海盗处理的费用要增加。
本发明提供的装置具有上述和其它的优点。
依照本发明，现提供反窜改集成电路(IC)装置。该装置适配于使用运载有源元件例如处理器和需要恒定电源去操作的IC。如果电源中断，数据从保密处理器的易失存储器中擦去。
该反窜改集成电路(IC)装置包括IC体，在它被安装在译码器板或小型卡之前，它是包装IC的室。有源元件例如保密处理器被放置在其体内。
在第一个实施例中，提供一组与IC体相关的冗余管脚脚以连接从外部到IC体，使电源信号通过电路径到有源元件。该电源信号使有源元件起作用。一开关例如晶体管配置在IC体内，和通过至少一个冗余管脚脚接收电源信号。当电源信号到至少一个管脚脚被切断时，适配的开关中断电源信号到有源元件。例如，当IC体从译码器板或小型卡中移去时，电源信号可以被中断。当电源信号到至少一个管脚脚被中断时，该适配的开关造成电路径的短路或开路。该有源元件可以包括保密存储器例如RAM用以存储密码数据，这里当电源信号到至少一个管脚脚的中断造成消除密码数据。
在第二实施例中，提供与IC体相关的基本管脚脚，以连接电源信号到有源元件。第一备用管脚通过第一电气导电件例如轨迹电气地连接到第一第二基本管脚中的一个，和第二备用管脚通过第二导电件，电气地连接到第一备用管脚。在IC体的外侧至少部分处第一和第二导电件的至少一个延伸加长。电源信号通过包括第一和第二基本管脚和第一和第二备用管脚的串连路径连接到有源元件。
任选地，第一和第二导电件的至少一部分是埋在运载IC体的板内，微模块基片内，或小型卡内的至少一部分处，使得从板，微模块基片或小型卡内移去IC体会中断电源信号通过串连路径到有源元件的连接。有源元件可以包括用以存储保密数据的保密存储器，串联路径的电源信号的中断会造成保密数据的擦除。
在第三个实施例中，有源元件包括大量配置在体内的段、与IC体相关的相应的大量的管脚，通过至少在部分处的各自内部的电导通路径，将电源信号连接到各段，送到IC体。该电源信号使诸段起作用。管脚通过在IC体外部的至少部分处，延伸电导通路径，以接收电源信号。当电源信号不再通过大量管脚运载时，就中断大量的段，如果不是全部的话，也至少是一个的连接。
任选地，外部导电件至少部分地埋在运载IC体的板内，微模块基片内或小型卡内，使得从板，微模块基片或小型卡内移去所说的IC卡体中断通过大量管脚运载的电源信号。然而，导电件不需要隐芷。例如，IC可以在没有附加层的的两侧板内运载，这里导电轨迹可以位于板的上表面。在这种情况下，可使轨迹在IC下面布局。单纯在管脚或片上处理电源将产生问题。
有源元件段可以包括存储保密数据的保密存储器，这里，大量管脚的电源信号的中断造成擦除保密数据。


图1的简化图示出了依本发明的反窜改集成电路(IC)的第一实施例。
图2的简化图示出了依本发明的反窜改IC的第二实施例。
图3的简化图示出了依本发明的反窜改IC的第三实施例。
给出的反窜改集成电路(IC)，用于防止有源元件例如使用在电视译码器中的保密处理器被窃取(即逆工程)。特别是，对于从PC板，小型卡，或其它IC被安装的位置移去IC的企图，有源元件的电源信号将会中断和造成数据丢失。
图1的简化图示出了依本发明的反窜改集成电路(IC)的第一实施例。IC100包括有源元件例如是保密处理器一部分的保密随机存储器(RAM)130。保密处理器的中央处理单元(CPU)(未示出)可以从和到存储器130传送数据。RAM130是易失存储器，它需要持续的电源信号去维持它的内容。
导线或其它导电件151和管脚110连接带RAM130的电源150的正极端(例如Vbatt)。管脚110和电压源150是典型地从外部到IC100。在这里使用的术语“管脚”意指包括任何导电终端。类似地，导电件152和153，和管脚105连接到带RAM130的电源150的负端(例如Vss)。管脚105和110是基本管脚脚。在正常的操作模式中，电源信号从电池150的正端运载，经过管脚110和线151到达RAM，经过线152和153和管脚105返回电源的负端。当然，应当理解，电源150的极性可以相反。
依照本发明，提供的装置用以中断电源信号到RAM130。特别是，提供一个或多个第二或备用管脚115，120和125以运载电源信号分别到开关135，140和145。从电源150的正端提供的电源信号连接到导电件(线，导线或轨迹)160，它从管脚110到管脚125。管脚115和120也分枝到线160。虽然示出3个备用管脚，但可以提供任何数目，可取的是，仅需要使用一个备用管脚就能完成本发明的方案。
管脚115提供正电源信号通过线116到开关135。开关135通过线136连到线151，通过线137到线153。开关135可以包括晶体管例如场效应晶体管(FET)，对于在所属领域的技术人员值得欢迎的是，其它类型的开关晶体管也可以被使用。FET的特性是，栅压控制着进入晶体管的源电流量和流出晶体管的漏电流量。如果栅压低于阀值，没有电流流过晶体管。如果栅压超过阀值，电流流过晶体管。这样，晶体管作用如具有两模式的开关。在第一个模式中，晶体管具有低电阻，电流容易通过，而在第二模式时，晶体管具有高电阻，实质上没有电流通过。
如果开关135是晶体管，通过线116提供的电源信号能偏置到没有电流在线136和137流过的模式。类似地，通过管脚120和线121能偏置开关140，使得没有电流通过线141和142之间，和通过管脚125和线126能够偏置开关145，使得在线146和147之间没有电流通过。这表示IC100正常操作模式，这里开关135，140，145作为无穷大电阻。
在海盗企图从IC被安装的译码器板或小型卡上移去IC100时，图1的配置将产生极大的阻碍。首先，海盗需要在每一管脚105，110，115，120和125上维持有适当的电源信号。这样，不是仅需要两个电池连接例如通过管脚105和110提供需要的电源到存储器130，海盗必须通过备用管脚115，120和125提供一或多个附加的电池连接。由管脚105，110运载的电流一般是微安数量级，虽然管脚的最大容量典型的是比需要的大成千上万倍。在现有技术的水平，由管脚运载的电流可以支持具有约两千字节的随机存取存储器。
在实际中，在企图从板或小型卡中移去IC之前，海盗连接新电源(即电池)到IC100。在从板上移去之前，必须极其小心焊接电池到IC上。新的电池通过替代由板或小型卡提供导线或引线的导线和引线被连接，一旦IC被连接到新电池上，那末IC和旧电池之间的连接必须破坏，使得IC可以离开板。
当试图切断IC和旧电池之间的连接时，海盗将面临着各种问题。特别是，当试图使用加热断开对旧电池的焊接连时，对新电池的一个或者多个连接也被损坏，造成中断电源信号到IC100和擦除在易失存储器130内的数据。进而，如果在IC和新电池之间的连接是在不适当的温度下焊接的，公知为冷焊接接点的弱连接可能已经形成。当新连接被处理时，这样的接点特别容易损坏。
事实上，处理IC可在连接到IC包装的新电池引线上造成显著的压力。替换地，当IC装在微模块内时，压力可以引进到连接新电池到微模块的连接导线内。这些压力能造成管脚或其它连接元件完全地脱离IC包装。当这些发生时，在存储器130内的全部内容失去了。如果IC是由海盗不注意地处理，IC电池导线的偶然短路能够发生。使用本发明，这样短路也中断电流流向IC和造成存储器130内的数据的丢失。
为了避免电源信号到IC的开路和短路问题，海盗可以选取保留IC在译码器板内或在微模块内。在这种情况下，海盗可以企图切离包括IC的板部分。或者当IC由小型卡的微模块运载时，海盗可企图从微模块基片和小型卡体上切离微模块。这样的企图减少了海盗处理IC的时间和费用，但这将损坏板。破坏整个板的费用通常是显著的和这将是对海盗的显著的阻碍。如果板未被触动，海盗的特定的处理需要在湿的腐蚀剂打开封装的站中进行。进而，如果板能被容装在聚焦的离子束小室内，小室需要较长的时间去抽真空，这是由于需要排气，先前已经讨论过。
这样，通过增加必须连接到新电池以维持电源信号到IC100的管脚数，使海盗做的逆工程过程的拙劣工作和复制的IC无用功增加了。
进而，所有或部分导线或轨迹160可以埋芷在IC100被固定的板或小型卡下。典型地，译码器板包括多层结构，线160可以埋在板内，使得当IC从板上移去时，导通路径160并不损坏，但是到芯片的电流被中断，这是由于在线151和153之间的短路。例如，如果正常的电流不提供到管脚125，那末通过线126正常提供到开关145的电源信号将中断。在这种情况下，开关145将使电流流过线146和147之间，以此短路线151和153。
类似地，如果适当的电流不提供到管脚115和120，任一开关140和145分别短路电源信号到存储器130。这样，通过安排备用管脚115，120和125在例如围绕IC100外围的关键位置，这就可能为海盗提供多个陷井，他或她能造成电源信号到IC100的中断。
图1示出的配置在此仅仅是一例，值得欢迎的是，可以使用各种数目的备用管脚和线160的位置。例如线可以围绕IC100的周围延伸。替换地，电压源150的极性可以反转，和可以使用更多电源。进而，可以使用各种开关方案。例如，当线116上的电源信号中断时，开关135可以安排为开路(而不是短路)，这在线线151或153上发生。
图2的简化图示出了依本发明的反窜改IC的第二实施例。这里电源150信号通过大量串联连接的管脚和线连接到存储器130。特别是，电源的正极连接到管脚205，而电源的负极连接到管脚245。管脚205通过线207，管脚210，线212，管脚215，线217，管脚220，线222，管脚225，和线227连接到存储器130。管脚245通过线242，管脚240，线237，管脚235和线230连接到存储器130。中断电流到任一管脚将中断电源到存储器130和造成里边数据的丢失。
进而，通过连接一个正极偏置管脚或线到一负极偏置管脚或线，海盗能容易造成短路。例如，如果管脚225电气地连接到管脚235，横跨IC100的短路将发生。结果是，通过线227和230运载到存储器130的电源信号将被中断，因此造成存储器内的数据丢失。任选地，至少是一部分线或轨迹212，222和237能够埋芷在运载IC100的译码器板或小型卡之内。这使检测踪迹的存在更加困难。应当理解，图2的串联实施例仅仅是一个例子，和各种修改均是可能的。进而，这可以组合图1和2的实例，例如，在IC100内。部分地，在串联路径的形式中，通过附加管脚来延伸线160的路线。
图3的简化图示出了依本发明的反窜改IC第三实施例。这里IC100包括带有段362，364，366和368的分段存储器360。每一段从电压源150接收电源信号。这样，电源150对于每一存储器段是共同的。特别是，公共线310，它连接在管脚320和管脚345之间，连接电源150的正端通过管脚330和线331到段362，通过管脚335和线336到段366，通过管脚345和线346到段368，和通过管脚320和线321到段364。类似地，公共线305，它延伸在管脚315和管脚350之间，连接电源150负极线通过管脚325和线326到段362，通过管脚340和线341到段366通过管脚350和线351到段368，和通过管脚315和线316到段364。任选地，线305和310可以部分或完全地埋在运载IC100的译码器板或小型卡内，这使发现它的存在更加困难。
使用图3的配置，这可以看到，从译码器板或小型卡移开IC100将中断由线305和310的任一个提供的电流，以此中断提供到存储器段362，364，366和368的电源信号。进而，如果海盗使连接线305和310短路，到存储器段的电源信号将被中断。
图3的实施例可以多种方式修改。这可以组合图2和图3，例如，通过确定部分地在IC100内延伸的串联路径中的线305和310中任一个或两者的路径。替换地，通过提供中断存储器段的电源信号的短路或开路的开关也可以把图1的实施例结合进去。
依此，可以看出，这里存在着本发明的反窜改IC卡的多种可能的配置，它们可以防止非授权的从译码器板，小型卡或其它装置IC的位置中移去IC。电气连接导线被安排成，使得破坏或打开任一线，会中断提供线IC有源元件的电源信号，这样造成存储在易失性存储器内的数据的丢失。然而，通过中断在这样开关例如晶体管的偏置信号造成开路或短路也可以造成中断。海盗的IC逆工程的任务因此就更困难，消耗时间多，费用多。
虽然结合各种具体的实施例已经描述了发明，但对所属领域的技术人员而言，各种配合和修改可以做出而不脱离由权利要求书所确定的发明的精神和范围。
权利要求
1.反窜改集成电路(IC)装置包括IC体；设置在所说体内的有源元件；一组与所说IC体相关的管脚，它们用于将来自IC体外部的电源的一个信号通过电路径连接到所说的有源元件，以使有源元件起作用；设置在所说IC体内的开关；适配的开关通过至少一个所说的管脚接收所说电源信号；当到至少一个所说的管脚的电源信号被中断时，适配的开关中断到所说有源元件的电源信号。
2.权利要求1的装置，其中，当到至少一个所说的管脚的电源信号被中断时，适配的所说开关短路所说电路径。
3.权利要求1所说的装置，其中，当到至少一个所说的管脚的电源信号被中断时，适配的所说的开关开路所说的电路径。
4.前述权利要求之一的装置，其中，所说开关包括由所说电源信号偏置的晶体管。
5.前述权利要求之一的装置，其中，所说有源元件包括用于存储保密数据的安全存储器；和中断到至少一个所说管脚的电源信号造成擦除所说安全数据。
6.反窜改集成电路(IC)装置，包括IC体；在IC体内设置的有源元件；与所说IC体相关的第一和第二基本管脚，用于将来自IC体外部的电源的一个信号连接到所说的有源元件，以使所说有源元件起作用；通过第一导电件电气地连接到所说第一和第二基本管脚之一的第一备用管脚；通过第二导电件电气地连接到所说第一备用管脚的第二备用管脚；至少所说第一和第二导电件之一至少部分地延伸到所说IC体外边；通过包括所说第一和第二基本管脚和第一和第二备用管脚的串联路径，所说的电源信号被连接到所说的有源元件。
7.权利要求6的装置，其中，至少所说第一和第二导电件之一至少部分地埋在运载所说IC体的板内，使得从所说的板上移去IC体会中断通过所说串联路径到所说有源元件的电源信号的连接。
8.权利要求6的装置，其中，至少所说第一和第二导电件之一至少部分地埋在运载IC体的小型卡体之内，使得从小型卡体内移去所说IC体会中断通过串联连接路径到所说有源元件的电源信号的连接。
9.权利要求6的装置，其中，至少所说第一和第二导电件之一至少部分地埋在运载所说IC体的微模块基片之内，使得从所说微模块基片上移去所说IC体会中断通过所说串联路径到所说有源部件的电源信号的连接。
10.权利要求6至9之一的装置，其中，所说有源元件包括存储保密数据的安全存储器；和在所说串联路径的电源信号的中断将擦除所说保密数据。
11.反窜改集成电路(IC)装置，包括IC体；包括在所说体内配置有大量部分的有源元件；与所说IC体相关的相应大量的管脚，它们适配地通过是内部的，至少部分是内部的，连到所说IC体的各自内部导电路径把从外部到所说IC体的电源信号连到所说的部分，以使所说的部分起作用；所说的适配的管脚通过至少部分地延伸到所说IC体外部的外部导电路径去接收所说的电源信号；其中，当所说电源信号不再通过至少所说大量管脚的一个被运载时，将中断所说电源信号到至少一个所说大量部分的耦连。
12.权利要求11的装置，其中，当所说电源信号不再通过每一个所说大量管脚被运载时，中断所说连接电源信号到每一个所说大量的部分。
13.权利要求11或12的装置，其中，所说外部导电件至少部分地是埋在运载所说IC体的板内，使得从所说板移开所说IC体会中断在所说大量管脚内的所说电源信号的运载。
14.权利要求11或12的装置，其中，所说外部导电件至少部分地是埋在运载所说IC体的小型卡内，使得从所说小型卡体中移开IC体会中断在所说大量管脚内运载的电源信号。
15.权利要求11或12的装置，其中，至少所说第一和第二导电件之一至少部分地埋在运载所说IC体的微模块基片之内，使得从所说微模块基片移开所说IC体会中断通过所说串联路径到所说有源元件的电源信号的连接。
16.权利要求11至15中之一的装置，其中，所说有源元件段包括存储保密数据的安全存储器；和到所说大量管脚的电源信号的中断造成擦除所说保密数据。
全文摘要
反窜改集成电路(IC)装置适用于在IC中使用,该IC运载需要恒定电源信号操作的有源元件例如保密处理器。如果电源信号中断,数据从保密处理器的易失存储器中消失。该存储器位于在IC封装内。外部电源信号通过在壳体外部运载的但可以埋在运载IC的译码器板,微模块基片,或小型卡内的导电路径连接到存储器。导电路径可以直接运载电源信号到存储器,或它可以运载电源信号偏置晶体管。从译码器板,微模块基片或小型卡移开IC封装时通过造成短路或开路将打开导通路径和中断电源信号到存储器,结果是,在存储器内存储的数据将丢失。该装置因此阻止海盗对IC的窜改。
文档编号H01L23/58GK1197968SQ9810705
公开日1998年11月4日 申请日期1998年2月24日 优先权日1997年2月24日
发明者布兰特·坎德洛尔 申请人:通用仪器公司