ホーム > 特許ランキング > 新唐科技股▲ふん▼有限公司
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2022-11-09
(45)【発行日】2022-11-17
(54)【発明の名称】デジタル故障注入検出器
(51)【国際特許分類】
G06F 21/75 20130101AFI20221110BHJP
H01L 21/822 20060101ALI20221110BHJP
H01L 27/04 20060101ALI20221110BHJP
【FI】
G06F21/75
H01L27/04 H
H01L27/04 L
【請求項の数】
14
(21)【出願番号】P 2021019528
(22)【出願日】2021-02-10
(65)【公開番号】P2021131856
(43)【公開日】2021-09-09
【審査請求日】2021-02-10
(31)【優先権主張番号】16/792,913
(32)【優先日】2020-02-18
(33)【優先権主張国・地域又は機関】US
(73)【特許権者】
【識別番号】508197206
【氏名又は名称】新唐科技股▲ふん▼有限公司
(74)【代理人】
【識別番号】110000291
【氏名又は名称】弁理士法人コスモス国際特許商標事務所
(72)【発明者】
【氏名】キルシュナー,ユヴァル
(72)【発明者】
【氏名】ハーシュマン,ジヴ
(72)【発明者】
【氏名】ゴーラン,タミル
【審査官】青木 重徳
(56)【参考文献】
【文献】特開2011-165732(JP,A)
【文献】特開2001-085528(JP,A)
【文献】米国特許出願公開第2018/0232542(US,A1)
【文献】中国特許出願公開第109815038(CN,A)
【文献】米国特許出願公開第2005/0236683(US,A1)
【文献】中国特許出願公開第105391542(CN,A)
【文献】米国特許出願公開第2016/0013792(US,A1)
【文献】米国特許出願公開第2018/0091149(US,A1)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/75
H01L 21/822
(57)【特許請求の範囲】
【請求項1】
セキュア集積回路(IC)であって、機能回路、および、
故障注入攻撃に対抗する前記機能回路を保護する保護回路、を有し、前記保護回路は、複数のデジタル検出セル、および、保護ロジックを有し、
前記検出セルは、それぞれが、対応する入力、および、出力を有し、且つ、出力入力接続の方式で、少なくとも一つのチェーンを形成し、故障注入攻撃に対応するために、前記チェーン中の所定の検出セルが設置されて、前記チェーン中の後続の検出セルの入力を駆動する出力を切り替え、これにより、パルスを、前記チェーンに沿って伝播させ、および、
前記保護ロジックは、前記チェーンから前記パルスを受信するとともに、反応動作を起動し、
前記検出セルは、インバーターを有し、
前記チェーン中の偶数検出セルの前記インバーターは、第二ロジックレベルを駆動するよりも、第一ロジックレベルを駆動する方が強い駆動強度を有し、および、前記チェーン中の奇数検出セルの前記インバーターは、前記第一ロジックレベルを駆動するよりも、前記第二ロジックレベルを駆動する方が強い駆動強度を有することを特徴とするセキュアIC。
【請求項2】
前記機能回路は、ライブラリから選択される複数の標準セルから実施され、前記検出セルは、さらに、前記ライブラリから選択される標準セルを有する、ことを特徴とする請求項1に記載のセキュアIC。
【請求項3】
前記検出セルの少なくとも一つは、前記故障注入攻撃がないことに関連する正常なロジックレベルを駆動するとき、弱い駆動強度を有し、および、前記故障注入攻撃の存在に関連する異常なロジックを駆動するとき、強い駆動強度を有することを特徴とする請求項1に記載のセキュアIC。
【請求項4】
前記検出セルの少なくとも一つは、前記入力と前記インバーター間に接続される対応するコイルを有することを特徴とする請求項1に記載のセキュアIC。
【請求項5】
前記検出セルの少なくとも一つにおいて、前記インバーターは、光学故障注入に敏感であるアクティブ領域を有し、前記インバーターに結合される前記コイルは、前記アクティブ領域の上設置されるとともに、光学的放射を前記アクティブ領域に導くように形成されることを特徴とする請求項4に記載のセキュアIC。
【請求項6】
前記検出セルの少なくとも一つは、光学故障注入に敏感であるアクティブ領域を有する半導体デバイスを有し、且つ、さらに、前記光学故障注入から、前記アクティブ領域を覆うする金属層を有することを特徴とする請求項1に記載のセキュアIC。
【請求項7】
少なくとも一つの前記検出セルが第一パルス幅を有する前記パルスを受信するように設置されてろとともに、前記第一パルス幅より大きい第二パルス幅を有する前記パルスを出力することを特徴とする請求項1に記載のセキュアIC。
【請求項8】
集積回路(IC)中の機能回路を保護する方法であって、前記方法は、前記IC中の対応する入力、および、出力を有する複数のデジタル検出セルを操作するとともに、出力入力接続の方式で、少なくとも一つのチェーンを形成する工程と、
故障注入攻撃に対応するために、前記チェーン中の所定の検出セルの出力を切り替えて、前記チェーン中の後続の検出セルの入力を駆動して、これにより、パルスを、前記チェーンに沿って伝播させる工程、および、
前記チェーンから前記パルスを受信するとともに、反応動作を起動する工程、を有し、
前記検出セルは、インバーターを有し、
前記チェーン中の偶数検出セルの前記インバーターは、第二ロジックレベルを駆動するよりも、第一ロジックレベルを駆動する方が強い駆動強度を有し、および、前記チェーン中の奇数検出セルの前記インバーターは、前記第一ロジックレベルを駆動するよりも、前記第二ロジックレベルを駆動するほうが強い駆動強度を有することを特徴とする方法。
【請求項9】
前記機能回路は、ライブラリから選択される複数の標準セルから実施され、前記検出セルは、さらに、前記ライブラリから選択される標準セルを有することを特徴とする請求項8に記載の方法。
【請求項10】
少なくとも一つの前記検出セルは、前記故障注入攻撃がないことに関連する正常なロジックレベルを駆動するとき、弱い駆動強度を有し、および、前記故障注入攻撃の存在に関連する異常なロジックを駆動するとき、強い駆動強度を有することを特徴とする請求項8に記載の方法。
【請求項11】
一つ以上の前記検出セルは、前記入力と前記インバーター間に接続されるコイルを有することを特徴とする請求項8に記載の方法。
【請求項12】
前記検出セルの少なくとも一つにおいて、前記インバーターは、光学故障注入に敏感であるアクティブ領域を有し、前記インバーターに結合される前記コイルは、前記アクティブ領域に設置されるとともに、光学的放射を前記アクティブ領域に導くように成形される、ことを特徴とする請求項11に記載の方法。
【請求項13】
前記検出セルの少なくとも一つは、光学故障注入に敏感であるアクティブ領域を有する半導体デバイスを有し、且つ、前記ICは、さらに、前記光学故障注入から、前記アクティブ領域を覆う金属層を有することを特徴とする請求項8に記載の方法。
【請求項14】
前記検出セルの少なくとも一つは、第一パルス幅を有する前記パルスを受信し、且つ、前記第一パルス幅より大きい第二パルス幅を有する前記パルスを出力することを特徴とする請求項8に記載の方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、電子回路のデータセキュリティに関するものであって、特に、故障注入攻撃(fault injection attack)を検出する方法、および、システムに関するものである。
【背景技術】
【0002】
故障注入攻撃は、セキュア電子回路(たとえば、暗号回路)から情報にアクセスしたり、情報を分析したり、あるいは、抽出するのに用いられる技術のグループである。故障注入攻撃は、通常、回路、あるいは、回路の一部に、その論理状態を変化させるとともに、攻撃者が、回路、あるいは、回路が保存する情報に浸透するのを手助けする方式で、その行為を変化させることに関与する。たとえば、信号線に物理的に接触することにより、高出力レーザー、あるいは、電磁気パルスを加えることにより、あるいは、電源やその他の外部のインターフェース上に故障を引き起こすことにより、故障注入攻撃が発動される。故障注入攻撃を検出、および/または、軽減する各種技術は、従来の技術である。
【発明の概要】
【発明が解決しようとする課題】
【0003】
本発明は、デジタル故障注入検出器を提供する。ここで記述される本発明の一実施形態は、機能回路、および、故障注入攻撃に対抗する機能回路を保護する保護回路を有するセキュア集積回路(IC)を提供する。保護回路は、複数のデジタル検出セル、および、保護ロジックを有する。検出セルは、対応する入力、および、出力を有し、且つ、出力入力接続の方式で、少なくとも一つのチェーンを形成する。故障注入攻撃に対応するため、チェーン中の所定の検出セルが設置されて、チェーン中の後続の検出セルの入力を駆動する一出力を切り替え(toggle)、これにより、パルスを、チェーンに沿って伝播させる。保護ロジックがチェーンからパルスを受信し、反応動作を起動するように設置される。
【課題を解決するための手段】
【0004】
いくつかの実施形態において、機能回路は、ライブラリ(library)から選択される複数の標準セルから実施され、且つ、検出セルは、さらに、ライブラリから選択される標準セルを有する。いくつかの実施形態において、検出セルは、インバーターを有する。一実施形態において、チェーン中の偶数検出セル中のインバーターは、駆動強度を有し、この駆動強度は、第一ロジックレベルを駆動する方が、第二ロジックレベルを駆動するよりも強く、および、チェーン中の奇数検出セル中のインバーターは、駆動強度を有し、この駆動強度は、第二ロジックレベルを駆動する方が、第一ロジックレベルを駆動するより強い。別の実施形態において、少なくとも一つの検出器セルは、故障注入攻撃がないことに関連する正常なロジックレベルを駆動するとき、弱い駆動強度を有し、および、故障注入攻撃の存在に関連する異常なロジックを駆動するとき、強い駆動強度を有する。
【0005】
さらに別の実施形態において、一つ以上の検出セルは、入力とインバーター間に接続される対応するコイルを有する。例示的な実施形態において、少なくとも一つの検出セル中、インバーターはアクティブ領域を有し、このアクティブ領域は、光学故障注入に敏感であり、且つ、インバーターに結合されるコイルは、アクティブ領域の上に設置されるとともに、光学的放射をアクティブ領域に導くように、成形される。
【0006】
開示される実施形態において、少なくとも一つの検出セルは、光学故障注入に敏感であるアクティブ領域を有する半導体デバイスを有し、且つ、ICは、さらに、光学故障注入からアクティブ領域を覆う金属層を有する。別の実施形態において、少なくとも一つの検出セルが設置されて、第一パルス幅を有するパルスを受信するとともに、第一パルス幅より大きい第二パルス幅を有するパルスを出力する。
【0007】
本発明の一実施形態は、さらに、集積回路(IC)中の機能回路を保護する方法を提供する。本方法は、IC中で、複数のデジタル検出セルを操作する工程を有し、この検出セルは、対応する入力、および、出力を有し、且つ、出力入力接続の方式で、少なくとも一つのチェーンを形成する。故障注入攻撃に対応するため、チェーン中の所定の検出セルの出力が切り替えられて、チェーン中の後続の検出セルの入力を駆動し、これにより、パルスを、チェーンに沿って伝播させる。パルスは、チェーンから受信されるとともに、反応動作が起動される。
【0008】
以下の実施形態の詳細な記述と図面を併せれば、本発明が完全に理解できる。
【発明の効果】
【0009】
本発明により、故障注入攻撃が効果的に検出される。
【図面の簡単な説明】
【0010】
【図1】本発明の一実施形態によるデジタル故障注入検出回路を有するセキュア集積回路(IC)を概略的に説明するブロック図である。
【図2】本発明の複数の実施形態による故障注入検出セルを概略的に説明するブロック図である。
【図3】本発明の複数の実施形態による故障注入検出セルを概略的に説明するブロック図である。
【図4】本発明の一実施形態による故障注入検出セルの三次元 (3‐D)配置を示す図である。
【図5】本発明の一実施形態による故障注入検出の方法を概略的に説明するフローチャートである。
【発明を実施するための形態】
【0011】
ここで記述される本発明の複数の実施形態は、故障注入攻撃から保護する改善された方法、および、装置を提供する。開示される技術は、各種タイプの集積回路(IC)、たとえば、セキュア暗号プロセッサ、あるいは、セキュア不揮発性メモリ(NVM)デバイスで実行される。
【0012】
いくつかの実施形態において、セキュアICは、機能回路、および、故障注入攻撃に対抗する機能回路を保護する保護回路を有する。保護回路は、複数のデジタル検出回路を有し、本文では、検出セルとも称され、この検出セルは、IC領域中の少なくとも一部上に分布される。検出セルは、出力入力接続の方式で、少なくとも一つのチェーン、たとえば、単一チェーン、複数のチェーン、あるいは、ツリートポロジーを形成する。
【0013】
各検出セルが設置されて、その付近で発生する故障注入攻撃を示す特徴、たとえば、電磁気(EM)パルス、および/または、光学 (たとえば、レーザー)パルスを検出し、且つ、攻撃を受けるとき、各検出セルのロジック出力が、デフォルト値から異常値に切り替えられる。チェーン中の特定の検出セルに影響を与える故障注入攻撃に対応するため、検出セルが設置されて、その出力を切り替えるとともに、異常な出力で、チェーン中の後続の検出セルの入力を駆動し、これにより、パルスを、チェーンに沿って伝播させる。保護回路は、さらに、チェーンからパルスを受信すると共に、反応動作を起動する保護ロジックを有する。
【0014】
いくつかの実施形態において、検出セルは、デジタル標準セル、つまり、機能回路を設計するのに用いられる同じデジタル設計ライブラリから描かれるセルを用いて実施される。この実施は、機能回路の感度に関連して、故障注入攻撃に対する検出セルの感度を精確に制御することを可能にする。よって、個別の検出セル、および、保護回路全体の検出確率、および、誤警報確率を確実に調整することができる。標準セルを用いた実施は、また、検出ロジックを、標準セルを効果的に攻撃する任意の故障注入方法に対して敏感にさせるとともに、非標準の検出セルと比較して、検出ロジックを不明瞭にする。
【0015】
検出セルの各種例が、ここで記述される。各検出セルが、インバーター (NOTゲート)を有するいくつかの実施形態において、チェーン中の第一インバーターの入力が、常数のロジックレベルに設定されるとともに、チェーン中の最後のインバーターの出力が、フリップフロップ (FF)の入力に接続される。このFFの出力は、保護ロジックをトリガーして、反応動作を起動する。いくつかの実施形態において、各検出セルは、EM放射に対する高い感度を達成するため、対応するインバーターの入力に結合されるコイルを有する。
【0016】
いくつかの実施形態において、インバーターの駆動強度が、故意に不均衡になり、インバーターが異常なロジックレベルを出力時に、高い電流を駆動するように設置されている。このような駆動強度の不均衡は、故障注入に対する検出セルの感度を増加させるもう一つの方法である。不均衡なインバーターのもう一つの長所は、インバーター出力のパルスが、入力のパルスより広いことである。その結果、パルスは、チェーンに沿って伝播する過程で、徐々に長くなることにより、保護ロジックを確実にトリガーする。
【0017】
いくつかの実施形態において、インバーターは、光学的放射に敏感であるアクティブ領域を有し、且つ、照射時、インバーター出力を、異常なロジックレベルに切り替える。このアクティブ領域は、EM故障注入の検出の代わり、あるいは、追加として、光学故障注入の検出に用いられる。一実施形態において、インバーターに結合されるコイルは、アクティブ領域上に設置されるとともに、光学的放射をアクティブ領域に導くように成形されている。複数の金属層のスタックを用いたこのような検出セルの例示的な実施が、ここで記述される。
【0018】
同様に、インバーターは、アクティブ領域を有し、照射時、インバーター出力で、デフォルト正常ロジックレベルを増強する。一実施形態において、このアクティブ領域は、一つ以上の金属層により遮蔽される。
【0019】
検出セル、および、保護回路の各種追加例が、ここで記述される。開示される方法、および、システムは、故障注入攻撃の検出において、非常に効果的である。同時に、開示される保護スキームは、容易に実施でき、IC設計と保護プロセスの不可分の一部となる。
【0020】
システム記述
図1は、本発明の一実施形態によるデジタル故障注入検出回路を有するセキュア集積回路(IC)20を説明するブロック図である。セキュアIC20は、たとえば、暗号化動作を実行するために用いられるセキュアプロセッサ、感度の高い情報を保存するために用いられるセキュアメモリ、あるいは、その他の任意の適切なタイプのICを有する。
図1は、本発明の一実施形態によるデジタル故障注入検出回路を有するセキュア集積回路(IC)20を説明するブロック図である。セキュアIC20は、たとえば、暗号化動作を実行するために用いられるセキュアプロセッサ、感度の高い情報を保存するために用いられるセキュアメモリ、あるいは、その他の任意の適切なタイプのICを有する。
【0021】
IC20は、機能回路24を有する。用語“機能回路”は、IC20の指定機能、たとえば、各種処理、および/または、データ保存操作を実行するように設置された回路のことである。このほか、IC20は、機能回路24を故障注入攻撃から保護する保護回路を有する。
【0022】
以下の記述は、二種の故障注入攻撃、つまり、電磁気(EM)故障注入、および、光学故障注入に言及する。典型的なEM故障注入攻撃において、強いEMパルスが、ICのターゲット領域に加えられる。EMパルスは、ターゲット領域で金属の相互接続を経由する信号の論理状態を変化させる磁界を誘発する。たとえば、EMパルスは、クロック信号を切り替え、リセット信号をアクティブにする、あるいは、データ値を変更する。
【0023】
一般の光学故障注入攻撃において、短く、且つ、強い光線のパルスが、通常は、背面から、ICのターゲット領域に与えられる。このようなパルスは、たとえば、トランジスタのアクティブ領域に衝突し、トランジスタの状態を変化させるとともに、その論理値を切り換える。
【0024】
図1の例において、保護回路は、デジタル検出セル36、および、38の複数のチェーン28、対応するチェーン28に接続される一つ以上のフリップフロップ(FF)40、および、FFに接続される保護ロジック32を有する(チェーン28中の奇数検出セル36と偶数検出セル38間の可能な差異は、以下でさらに説明される)。
【0025】
この例において、各検出セルは、対応するインバーター (NOTゲート)、および、インバーターの入力に接続される対応コイルを有する。コイルが結合されて、その付近のEM放射を感知する。EM放射に関連する磁界は、コイルを横切る電圧を誘発する。各インバーターが設置されて、正常な条件下で、デフォルト正常ロジックレベルを出力するとともに、その出力を、異常なロジックレベルに切り替え、可能な故障注入攻撃を感知するのに反応する。コイルは、故障注入の指示であるEM放射に対する検出セルの感度を増加させる。
【0026】
図1の例において、各チェーン28は、カスケードで接続される奇数個の検出セルを有し、即ち、一検出セルの出力は、チェーン中の次の検出セルの入力を駆動する。チェーン28中の第一検出セルの入力は、固定ロジック “0”レベル、たとえば、ICの接地テストピンに接続される。チェーン中の最後の検出セルの出力は、非同期、アクティブロー設定のFF40の入力を駆動する。FF40の出力は、保護ロジック32をトリガーする。IC20のリセット後、FF40中に保存される値は、通常は、 “0”に初期化(リセット)される。
【0027】
図1の配置は、それぞれ、対応するFF40を用いてロジック32をトリガーする複数の異なるチェーン28を示す。この配置は、純粋に例として描写される。別の実施形態において、検出セル36、および、38は、その他の任意の適切なトポロジー、たとえば、単一チェーン、ツリートポロジー、あるいは、複数のツリーで接続される。
【0028】
検出セル36、および、38は、IC20中の適当な任意の位置に設置され、たとえば、IC領域全体に均一に分布される、ICの保護が必要な特定領域に集中する、一部の機能回路24間で交錯する、あるいは、その他の任意の適切な方式で設置される。通常、保護回路の検出確率は単位面積当たりの検出セルの密度により、決定される。検出セルは、直線、グリッドパターン、蛇状(serpentine)、あるいは、ジグザグ配置、らせん配置、あるいは、その他の任意の適切な幾何学形で設置される。
【0029】
互いの検出セル間を接続する金属コンダクタは、通常、論理入力数(fan-in)1、論理出力数(fan-out)1を有し、且つ、通常は、最小長さである。よって、検出セル間の相互接続は、非常に小さいキャパシタンスを有し、且つ、これにより、EM放射に対し高い感度を有する。
【0030】
正常な条件下で、つまり、攻撃の疑いがないとき、所定チェーン28中のインバーターは、正常なロジックレベルを出力し、正常なロジックレベルは、 “1”と “0”の間で切り換わる。奇数セル36中のインバーターは、通常、ロジック “1”を出力し、偶数セル38中のインバーターは、通常、ロジック “0”を出力する。チェーン中の最後のロジックセルは、通常、ロジック “0”を出力するため、FF40が設定されない。
【0031】
今、EM故障注入攻撃が、チェーン28中の特定検出セル (36、あるいは、38)の付近で試さられているという場合を考慮する。攻撃のEMビームは、検出セルのコイル中の電圧を誘発して、検出セルの出力を異常なロジックレベルを切り替させる。 (奇数セル36は、その出力を“0”から “1”に切り替える。偶数セル38は、その出力を“1”から “0”に切り替える)
【0032】
よって、EM故障注入攻撃の事象中、少なくとも一つの検出セルは、異常なロジックレベルのパルスを出力する。このパルスは、チェーン28中の次の検出セルの入力を駆動して、次の検出セルも、その出力を切り替えると共に、異常なロジックレベルのパルスを生成する。異常なロジックレベルのパルスは、一検出セルから次に伝播し、最終的に、チェーンの末端でFF40を設定するとともに、保護ロジック32をトリガーする。
【0033】
FF40によりトリガーされるとき、保護ロジック32は、適当な任意の反応動作、たとえば、IC20のハードウェアのリセット、攻撃が疑われるIC20のファームウェアへの指示(たとえば、マスク不可能割り込み- NMIを用いる)、ホストやユーザーへの警報の出す、機能回路24の一部、あるいは、全部のシャットダウン、あるいは、IC20からの極秘データの消去、を実行、あるいは、起動する。
【0034】
例の検出セルの配置
いくつかの実施形態において、検出セル36、および、38は、デジタル標準セル、即ち、機能回路24を設計するのに用いられる同じデジタル設計ライブラリから描かれるセルを用いて実行される。ある実施形態において、奇数検出セル36と偶数検出セル38は異なり、二種の専用の標準セルは、設計ライブラリに定義される。
いくつかの実施形態において、検出セル36、および、38は、デジタル標準セル、即ち、機能回路24を設計するのに用いられる同じデジタル設計ライブラリから描かれるセルを用いて実行される。ある実施形態において、奇数検出セル36と偶数検出セル38は異なり、二種の専用の標準セルは、設計ライブラリに定義される。
【0035】
いくつかの実施形態において、検出セルの攻撃(EM、あるいは、光)に対する感度は、インバーターの駆動強度における不均衡を故意に生成することにより増加する。具体的に、インバーターは、通常なロジックレベルの出力時に特定の電流を出力するように設定されて、異常なロジックレベルの出力時により高電流を駆動する(さらに高い駆動強度)ように設定されている。いくつかのタイプの検出セルをチェーンに混合することが可能であるとともに、各タイプの利点を享受することができる。
【0036】
図1の例を参照すると、奇数検出セル36の出力の正常なロジックレベルは “1”であり、異常なロジックレベル (攻撃の表示)は“0”である。一方、偶数検出セル38において、出力の正常なロジックレベルは “0”であり、異常なロジックレベルは“1”である。これにより、いくつかの実施形態において、検出セル36のインバーターは、“1”を出力するときより、“0”を出力するときの方が、強い駆動強度を有するように設定され、且つ、検出セル38のインバーターは、“0”を出力するときよりも、 “1”を出力するときの方が、強い駆動強度を有するように設定される。
【0037】
不均衡な駆動強度を有するインバーターを用いるとき、異常なロジックレベルの大きい駆動強度のために、インバーター出力のパルスの上昇時間は速い。一方、正常なロジックレベルの小さい駆動強度のために、パルスの減衰時間は遅い。その結果、チェーン28に沿って、一検出セルから次に伝播するたびにパルスの幅は増加させる。よって、攻撃が検出される第一検出セルの入力の初期パルスが狭くても、パルスがFF40に到達するとき、長く、且つ、きちんと定義される可能性が高い。
【0038】
図2は、本発明の一実施形態による故障注入検出セル56を説明するブロック図である。この種の検出セルは、上の図1の検出セル36、および/または、38を実行するのに用いることができる。図2の例において、検出セル56は、インバーター64の入力に結合されるコイル60を有する。(この図は、チェーン中の前述の検出セルのインバーター64も示され、出力はコイル60に結合される)。
【0039】
この例において、コイル60は、IC20の相対的に大きい領域を囲む単一平面ループを有する。このようなコイルは、たとえば、一つ、あるいは、二つのIC20の金属層に属する金属トレースを用いて製造される。
【0040】
図3は、本発明の別の実施形態による故障注入検出セル68を説明するブロック図である。この種の検出セルも、上の図1の検出セル36、および/または、38を実行するのに用いることができる。図3のこの例において、検出セル68は、インバーター76の入力に結合されるコイル72を有する。(この図は、チェーン中の検出セルのインバーター76も示され、出力はコイル72に結合される)
【0041】
この例において、コイル72は、複数のループ (巻線)を有し、IC20の相対的に小さい領域を囲む。このようなコイルは、たとえば、IC20の複数の金属層 (たとえば、“金属 1” “金属2” “金属3”および“最上方の金属” 層)に属する金属トレースを用いて製造される。層間の相互接続は、たとえば、ビアホール (“vias”)を用いて実施される。コイル72は、相対して高いインダクタンスと低キャパシタンスを有する。
【0042】
コイル(60、あるいは、72)を用いることにより、検出セル(36、38、56、あるいは、68)が設計されて、機能回路24よりもEM攻撃に対してさらに敏感になる。別の実施形態において、検出セルが設計されて、たとえば、コイルを省略することにより、EM攻撃に対する感度が機能回路と同じくらいである。このような実施において、EM放射は、インバーター間の相互接続により感知され、通常は、機能回路中の相互接続と同じ感度を有する。
【0043】
光学故障注入の感知
いくつかの実施形態において、検出セル(たとえば、セル36、38、56、あるいは、68)のインバーター(たとえば、インバーター64、あるいは、76)が光学的放射を感知するように設定され、光学パルス (たとえば、レーザーパルス)の感知に対し、電気パルスを出力するように反応する。通常に、光学パルスは、インバーター中の半導体デバイスのアクティブ領域 (たとえば、ダイオード、あるいは、トランジスタ)により感知される。
いくつかの実施形態において、検出セル(たとえば、セル36、38、56、あるいは、68)のインバーター(たとえば、インバーター64、あるいは、76)が光学的放射を感知するように設定され、光学パルス (たとえば、レーザーパルス)の感知に対し、電気パルスを出力するように反応する。通常に、光学パルスは、インバーター中の半導体デバイスのアクティブ領域 (たとえば、ダイオード、あるいは、トランジスタ)により感知される。
【0044】
例示的な実施形態において、光学的放射に敏感であるアクティブ領域は、インバーター中の逆バイアスPNダイオードである。逆バイアスダイオードに衝突するレーザーパルスにより、ダイオードを通過する逆電流パルスが発生する。
【0045】
たとえば、二個のトランジスタを有するCMOSインバーターを考慮する。所定の時間で、一個のトランジスタはオンで、且つ、もう一個のトランジスタはオフである。OFFトランジスタのドレインは、逆バイアスPN接合(ドレインからバルクへの寄生ダイオード)を有する。この逆バイアスダイオードに衝突するレーザーパルスは、ダイオードをオンにし、よって、インバーター出力を切り替える。
【0046】
いくつかの実施形態において、アクティブ領域を故意に増加させて、インバーターの光学的放射への感度を増加させる (検出セルの感度も、これにより増加)。CMOSインバーターの例において、光学パルスに対応するため、インバーター出力を切り替える可能性を増加させるため、OFFトランジスタのドレイン領域 (インバーターセル出力に接続されるトランジスタのアクティブ領域)は、ONトランジスタのドレイン領域よりさらに大きく作られる。本文中、用語 “OFFトランジスタ”は、正常な条件下でオフであるトランジスタのことであり、すなわち、攻撃がないとき、インバーターは、自身のデフォルト正常ロジックレベルを出力する。各インバーターのOFFトランジスタの特性、たとえば、図1の奇数検出セル36と偶数検出セル38間のOFFトランジスタの特性は異なる。
【0047】
光学故障注入攻撃が、IC20の後ろ側から作動されるとき、全トランジスタは等しく露出される (しかし、異なるアクティブ領域尺寸が用いられて、光エネルギーに対する感度を制御する)。一方、光学故障注入攻撃が、ICの前側から作動されるとき、攻撃の影響は、攻撃とトランジスタ間の金属層の位置によって決まる。一つ以上の金属層により被覆されるトランジスタ、あるいは、その一部は、通常、正面からの光学パルスに対し、感受性が低く、逆の場合も同じである。
【0048】
いくつかの実施形態において、検出セル中の金属層のレイアウトは、光学攻撃に対する検出セルの感度を増加させるように設計される。たとえば、上記のCMOSインバーターにおいて、OFFトランジスタのドレイン上方の領域は、故意に、光学パルスを到達させるように金属がないように保たる。付加的、あるいは、選択的に、ONトランジスタのドレイン上方の領域は、故意に、光学パルスを遮蔽するように金属で遮蔽される。
【0049】
図4は、本発明の一実施形態による故障注入検出セル80の三次元 (3‐D)配置を示す図である。検出セル80は、複数のループ84で形成されるコイルを有し、本例中では五個のループを有する。ループは、対応する金属層上で一個の上にもう一個があるように実施される。金属層間を隔てる誘電層は、明瞭にするため図示されていない。ループ84間の相互接続は、隣接する金属層を接続するビア88を用いて実行される。
【0050】
図の下方の斜線領域92は、検出セル80のインバーター中のOFFトランジスタのアクティブ領域を示す。インバーターのその他の素子は、明瞭にするため図示されていない。この実施において、コイルの金属ループは、 “光トンネル”としても作用し、光トンネルは成形されて、光学的放射を領域92に導く。この例において、コイルの3‐D形状は、立方体、あるいは、箱型である。別の実施形態において、コイルの3‐D形状は、円錐形、角錐形、漏斗形、あるいは、領域92に向かって徐々に狭くなるその他の任意の形状であることが可能。この種の形状は、さらに大きな角度領域から光線を集光することができる。
【0051】
図1~図4で示される電子装置、および、回路の配置は、例示的な配置であり、概念を明瞭にするためだけである。別の実施形態において、その他の任意の適切な配置が用いられる。たとえば、奇数検出セルと偶数検出セルが異なることは必要ではない。
【0052】
各種実施形態において、開示される任意の電子装置、および、回路は、任意の適当なハードウェア、たとえば、一つ以上の個別部品、一つ以上の特定用途向け集積回路(ASIC)、および/または、一つ以上のフィールドプログラマブルゲートアレイ(FPGA)を用いて実施される。
【0053】
故障注入検出方法
図5は、本発明の一実施形態による故障注入検出の方法を説明するフローチャートである。本方法は、IC20の保護回路により実施される。
図5は、本発明の一実施形態による故障注入検出の方法を説明するフローチャートである。本方法は、IC20の保護回路により実施される。
【0054】
検出工程96において、この方法は、特定チェーン28中のある検出セル (36、あるいは、38)で、故障注入攻撃 (EM、あるいは、光)を検出することから開始される。上で説明されるように、検出に対して、検出セルは、そのデフォルト論理状態から、異常な論理状態に切り替え、よって、電気パルスを、チェーン中の次の検出セルに出力する。
【0055】
伝播工程100で、パルスは、チェーン28に沿って、位置検出セルから次の検出セルに伝播する。トリガー工程104で、チェーン28中の最終の検出セルは、FF40を設定して、保護ロジック32をトリガーする。応答工程108で、保護ロジック32は、適当な反応動作を起動する。
【0056】
本発明では好ましい実施例を前述の通り開示したが、これらは決して本発明に限定するものではなく、当該技術を熟知する者なら誰でも、本発明の思想を脱しない範囲内で各種の変形を加えることができる。
【符号の説明】
【0057】
20…セキュア集積回路
24…機能回路
28…チェーン
32…保護ロジック
36…奇数検出セル
38…偶数検出セル
40…インバーター
56…検出セル
60…コイル
64…インバーター
68…検出セル
72…コイル
76…インバーター
80…検出セル
84…複数のループ
88…ビア
92…領域
96~108…工程
24…機能回路
28…チェーン
32…保護ロジック
36…奇数検出セル
38…偶数検出セル
40…インバーター
56…検出セル
60…コイル
64…インバーター
68…検出セル
72…コイル
76…インバーター
80…検出セル
84…複数のループ
88…ビア
92…領域
96~108…工程
【図1】
【図2】
【図3】
【図4】
【図5】