(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2022-03-03
(54)【発明の名称】信号のパルス幅改ざんの検出
(51)【国際特許分類】
G01R 31/28 20060101AFI20220224BHJP
【FI】
G01R31/28 Z
【審査請求】未請求
【予備審査請求】未請求
(21)【出願番号】P 2021539595
(86)(22)【出願日】2020-01-08
(85)【翻訳文提出日】2021-07-07
(86)【国際出願番号】 GB2020050037
(87)【国際公開番号】W WO2020144478
(87)【国際公開日】2020-07-16
(32)【優先日】2019-01-10
(33)【優先権主張国・地域又は機関】US
(81)【指定国・地域】
(71)【出願人】
【識別番号】500395107
【氏名又は名称】アーム・リミテッド
(74)【代理人】
【識別番号】100108453
【氏名又は名称】村山 靖彦
(74)【代理人】
【識別番号】100110364
【氏名又は名称】実広 信哉
(74)【代理人】
【識別番号】100133400
【氏名又は名称】阿部 達彦
(72)【発明者】
【氏名】ヤナマダラ、スッバーヤ チョウダリー
(72)【発明者】
【氏名】リエン、ミカエル イヴ マリー
【テーマコード(参考)】
2G132
【Fターム(参考)】
2G132AA00
2G132AB20
2G132AC03
2G132AD10
2G132AE11
2G132AE14
2G132AG09
2G132AH07
2G132AL01
2G132AL31
(57)【要約】
【解決手段】 センサシステムは、被試験信号の制御下で電圧源に制御可能に接続された電荷蓄積装置を有するセンサと、電荷蓄積装置に結合され、電荷蓄積装置の電圧に従って被試験信号のパルス幅が閾値量よりも大きく変化したか否かを判定する読み出し回路とを含むことができる。場合によっては、被試験信号のパルス幅が変化したか否かの判定は、電圧が比較電圧に関する条件を満たすか否かの判定を含むことができる。場合によっては、被試験信号のパルス幅が変化したか否かの判定は、遅延チェーンを介した伝搬遅延に基づくことができ、伝搬遅延は電圧に依存する。
【選択図】
図2A
【特許請求の範囲】
【請求項1】
センサシステムであって、
被試験信号の制御下で電圧源に制御可能に接続された電荷蓄積装置を備えるセンサと、
前記電荷蓄積装置に結合され、前記電荷蓄積装置の電圧に従って前記被試験信号のパルス幅が閾値量より大きく変化したか否かを判定する読み出し回路と、を備え、
前記電荷蓄積装置の前記電圧は、前記被試験信号のパルス幅に関連する、センサシステム。
【請求項2】
前記電荷蓄積装置は、少なくとも1つのスイッチによって前記電圧源に制御可能に接続される、請求項1に記載のセンサシステム。
【請求項3】
前記電荷蓄積装置は、前記少なくとも1つのスイッチが前記被試験信号によって閉じられたときに充電する、請求項2に記載のセンサシステム。
【請求項4】
前記センサは、前記電荷蓄積装置と並列に結合された放電スイッチを更に備える、請求項1~3のいずれか一項に記載のセンサシステム。
【請求項5】
前記放電スイッチは、前記被試験信号の反転信号によって制御される、請求項4に記載のセンサシステム。
【請求項6】
前記少なくとも1つのスイッチに結合された調整回路を更に備え、前記調整回路は、コマンド信号及び前記被試験信号を受信し、過渡的に除去された被試験信号を前記少なくとも1つのスイッチに出力するように結合される、請求項2~5のいずれか一項に記載のセンサシステム。
【請求項7】
前記読み出し回路は、前記電圧が比較電圧に関する条件を満たすか否かを判定することによって、前記被試験信号の前記パルス幅が前記閾値量よりも大きく変化したか否かを判定する、請求項1~6のいずれか一項に記載のセンサシステム。
【請求項8】
前記比較電圧は基準電圧である、請求項7に記載のセンサシステム。
【請求項9】
前記比較電圧は、別のセンサの別の電荷蓄積装置からの電圧である、請求項7に記載のセンサシステム。
【請求項10】
前記比較電圧は、同じセンサからのものであるが、別の時間からのものである、請求項7に記載のセンサシステム。
【請求項11】
前記読み出し回路は、遅延チェーンを含み、前記読み出し回路は、前記遅延チェーンを介した伝搬遅延に基づいて、前記被試験信号の前記パルス幅が前記閾値量よりも大きく変化したか否かを判定し、前記伝搬遅延は前記電圧に依存する、請求項1~6のいずれか一項に記載のセンサシステム。
【請求項12】
前記読み出し回路は比較器を含む、請求項1~11のいずれか一項に記載のセンサシステム。
【請求項13】
前記被試験信号は、クロック信号、リセット信号、制御信号、ステータス信号、コマンドバス信号、又はデータバス信号である、請求項1~12のいずれか一項に記載のセンサシステム。
【請求項14】
信号のパルス幅改ざんを検出するための方法であって、
被試験信号のパルスのエッジを受信することであって、前記エッジが正のエッジ又は負のエッジである、受信することと、
前記被試験信号のパルスの持続時間中に電荷蓄積装置を電圧源に結合することと、
前記電荷蓄積装置から電圧値を読み出すことと、
前記被試験信号の前記パルスの逆極性のエッジを受信した後に、前記電荷蓄積装置を前記電圧源から切断することと、
前記電圧値が比較電圧に関する条件を満たすか否かを判定することによってパルス幅改ざんの発生を判定することと、を含む、方法。
【請求項15】
前記被試験信号はクロック信号である、請求項14に記載の方法。
【発明の詳細な説明】
【背景技術】
【0001】
電子システムの改ざん又はハッキングにより、無許可のユーザが機密情報にアクセスできるようになる可能性がある。このような改ざんは、意図しない方法による機密情報へのアクセスを含み得る。無許可のユーザ又は攻撃者がこのような機密情報を取得するために使用する可能性のある技術の1つは、集積回路(IC)に設計を実装することによる脆弱性を利用することである。例えば、攻撃者がサイドチャネル分析攻撃又は故障利用攻撃を実行できるようになる脆弱性が存在する可能性がある。
【0002】
攻撃者による攻撃は、クロック信号又は他の制御信号などのタイムベースの操作を含むことができ、これらのいずれかが機密性の高い操作の機能を決定することができる。タイムベースの操作は、一般にクロック操作攻撃と呼ばれる。クロック操作攻撃では、攻撃者は、システムのセキュリティを侵害するために使用され得るシステムの意図しない動作を引き起こす目的で、タイムベースを操作する。予想されるパルス幅を有する他の信号(例えば、一部の制御信号)が同様に操作される場合にも、同様の効果が発生する。
【発明の概要】
【発明が解決しようとする課題】
【0003】
信号のパルス幅改ざんの検出が提供される。信号を監視し、信号のパルス幅に関して信号の改ざんが発生したか否かを判定するために電子システムで使用することができるセンサ及びセンサを使用する方法が本明細書に記載される。監視対象の信号は、クロック信号(例えば、システムクロック又は暗号化クロック)及び制御信号(例えば、リセット)を含むことができるが、これらに限定されない。監視対象の信号は、「被試験信号(signal under test)」と呼ばれてもよい。
【0004】
本明細書に記載のセンサシステムは、被試験信号(signal under test、SUT)の制御下で電圧源に制御可能に接続された電荷蓄積装置(charge storage device、CSD)を備えるセンサと、CSDに結合された読み出し回路とを含むことができる。SUTは、電圧源へのCSDの接続を直接又は間接的に制御できる。読み出し回路は、CSDの電圧に従って被試験信号のパルス幅が閾値量より大きく変化したか否かを判定することができる。CSDの電圧は、SUTのパルス幅に関連する。したがって、読み出し回路は、CSDの電圧に直接又は間接的に基づいて、SUTのパルス幅が改ざんされたか否かを判定することができる。例えば、読み出し回路は、CSDから読み出された電圧(「CSD電圧」)が比較電圧に関する条件を満たすか否かを判定することにより、SUTのパルス幅における変化を判定することができる。条件は、CSD電圧と比較電圧との差が所定量より大きいか否かであり得る。読み出し回路は比較器を含むか、又は比較器に結合されてもよい。別の例として、読み出し回路は、遅延チェーンを含むことができ、又遅延チェーンを介した伝搬遅延(CSD電圧に依存する)に基づいてSUTのパルス幅の変化を判定することができる。
【0005】
センサを動作させる方法は、被試験信号のパルス幅の少なくとも1つのデューティサイクルをキャプチャすることと、そのデューティサイクルを評価して改ざんが発生したか否かを判定することと、を含むことができる。デューティサイクルの評価は、CSD電圧が比較電圧に関する条件を満たすか否かを判定することを含むことができる。場合によっては、センサイネーブル信号を使用して、センサがいつ動作するかを制御する。センサは、周期的かつ事前に決定されたスケジュール、ランダムスケジュール、トリガーイベント、トリガーコマンド、又はトリガー環境若しくは動作条件に基づいて(パルス幅改ざんを監視するために)動作することができる。
【0006】
場合によっては、複数のセンサを使用して被試験信号を監視し、複数のセンサのそれぞれのCSD電圧を相互に比較して、電圧が許容範囲内で一貫していることを確保する。場合によっては、複数のセンサを使用して異なる被試験信号を監視し、電圧値を比較して相対的な一貫性をチェックする。場合によっては、単一のセンサの、又は複数のセンサからのCSD電圧をプリセット値と比較する。
【0007】
この概要は、発明を実施するための形態において以下に更に記載される簡略化された形態で概念の選択を導入するために提供される。本概要は、クレームに記載された対象の主要な特徴又は本質的な特徴を特定することを意図するものではなく、また、特許請求される主題の範囲を限定するために使用されることを意図するものでもない。
【図面の簡単な説明】
【0008】
【
図1】
図1は、本明細書に記載のパルス幅検出を組み込むことができる電子システムの一例を示す図である。
【0009】
【
図2A】
図2Aは、パルス幅改ざんを検出するためのセンサの実装例を示す図である。
図2Aは単一のスイッチを使用した実装を示し、
図2Bは2つのスイッチを使用した実装を示す。
【
図2B】
図2Bは、パルス幅改ざんを検出するためのセンサの実装例を示す図である。
図2Aは単一のスイッチを使用した実装を示し、
図2Bは2つのスイッチを使用した実装を示す。
【0010】
【
図2C】
図2Cは、平衡クロックツリーネットワークの実装例を示す図である。
【0011】
【
図3】
図3は、調整回路を備えたセンサの実装例を示す図である。
【0012】
【
図4】
図4は、本明細書に記載の感知システムを使用するパルス幅検出方法のプロセスフローを示す図である。
【0013】
【
図5】
図5は、電子システムにおける信号ツリーの実装例を示す図である。
【0014】
【
図6】
図6は、V
CSD値を比較するための比較器の実装例を示す図である。
【0015】
【0016】
【
図8A】
図8Aは、改ざん監視の対象となり得る信号の例示的な波形を示す図である。
【0017】
【発明を実施するための形態】
【0018】
信号のパルス幅改ざんの検出が提供される。信号を監視し、信号のパルス幅に関して信号の改ざんが発生したか否かを判定するために電子システムで使用することができるセンサ及びセンサを使用する方法が本明細書に記載される。監視対象の信号は、クロック信号(例えば、システムクロック又は暗号化クロック)、制御信号、リセット信号、ステータス信号、コマンドバス信号、及びデータバス信号を含むことができるが、これらに限定されない。監視対象の信号は、「被試験信号」と呼ばれてもよい。
【0019】
本明細書に記載のセンサ及びそれを使用する方法は、集積回路(IC)、システムオンチップ(SOC)、又は一貫したパルス幅を有するタイムベース又は他の周期信号を提供する少なくとも1つの信号を含むボードレベルシステムなどの任意の電子システムに実装され得る。
【0020】
図1は、本明細書に記載のパルス幅検出を組み込むことができる例示的な電子システムを示す。例示的な電子システム100は、非安全パワードメイン102及び安全パワードメイン104を有することができ、ここでパワードメインはそれらのドメイン内の回路への電力供給機構を表す。すなわち、電子システム100は、互いに関連しても関連しなくてもよい複数のタイムベースを含むことができる。例えば、非安全パワードメイン102動作用のタイムベースは、Sys Clk1 106及びSys Clk2 108などのシステムクロックを含み得るが、これらに限定されない。安全パワードメイン104動作用のタイムベースは、機密回路(例えば、被保護ブロック114)に電力を供給するための絶縁型電源を提供するための電荷分配システムを制御するために使用され得る安全パワータイムベース(SPTB)110と、暗号化(暗号)クロック112とを含み得るが、これらに限定されない。また、電子システム100は、リセット信号などの制御信号を含む他の信号(図示せず)を生成又は使用することができ、これらの信号は、一貫したパルス幅を有する予想される周期的な挙動を有し得る。
【0021】
被保護ブロック114の一例は、AESなどの暗号化操作を実装する標準的な暗号化セルであり得る。安全パワードメイン104は、非安全パワードメイン102から派生してもよく、非安全パワードメイン102から独立してもよく、又は非安全パワードメイン102から分離されてもよい。被保護回路ブロック114は、安全パワードメイン104の一部として、時間の一部又は時間全体にわたって、部分的又は全体的に電力を供給され得る。例えば、安全パワードメイン104は、保護電荷蓄積装置、及び被保護ブロック114への電力を制御するための制御スイッチから構成される電源を含み得る。場合によっては、複数の電源(例えば、コンデンサシステムを形成する複数のコンデンサ)を使用して、安全パワードメイン104に電力を供給することができる。コンデンサシステムの出力は、被保護ブロック114への入力となり得る。
【0022】
記載されたセンサ及び検出方法は、機密情報を抽出するために使用されるクロック操作攻撃を検出できることが有益であり得るため、安全パワードメインを組み込んだシステムに適する。例えば、記載されたセンサ及び検出方法は、SPTBの操作又は改ざんを検出するのに適する。しかしながら、本明細書に記載のセンサシステムは、非安全パワードメイン102又は安全パワードメイン104内の任意のタイムベースに対して実装することができる。更に、複数の検出システム及び/又はセンサを使用して、電子システム100内の複数の信号の操作を検出することができる。
【0023】
図2A及び
図2Bは、パルス幅改ざんを検出するためのセンサの実装例を示す。
図2Aは単一のスイッチを使用した実装を示し、
図2Bは2つのスイッチを使用した実装を示す。
図2Aを参照すると、センサ200Aは、被試験信号206の直接又は間接制御下で電圧源204に制御可能に接続された電荷蓄積装置202を含むことができる。いくつかの実装形態では、クロック信号を被試験信号206として使用することができる。多くの場合、クロック信号は、平衡クロックツリーネットワークとして構築され、またクロック信号は、電荷蓄積装置202が電圧源204に接続されるか否かを直接又は間接的に制御することができる。
【0024】
図2Cは、平衡クロックツリーネットワーク220の実装例を示す。クロックソース信号222は、電荷蓄積装置202を電圧源204に直接制御可能に接続することができる(例えば、ソースでタップされることによって)。あるいは、クロックソース信号222は、例えば、分岐の1つでタップされることによって、電荷蓄積装置202を電圧源204に間接的に制御可能に接続することができる。例えば、平衡クロックツリーネットワーク224の分岐の1つは、制御信号として使用することができる(たとえ、この例示的なシナリオにおいてクロックソース信号222が意図された被試験信号であるとしても)。直接/間接制御とは、使用されているのが被試験信号であるか派生信号であるかを指し、被試験信号をセンサ及びスイッチ回路に結合することを可能にする調整回路(
図3に関して以下に説明するように)又は他の構成要素があるか否かを指すものではないことを理解されたい。
【0025】
読み出し回路208は、電荷蓄積装置202に結合され、電荷蓄積装置の電圧に従って被試験信号のパルス幅が閾値量よりも大きく変化したか否かを判定することができる。電荷蓄積装置202の電圧は、被試験信号206のパルス幅に関連する。読み出し回路208は、被試験信号206のパルス幅が閾値量よりも大きく変化したか否かを判定し、これは信号の改ざんを示すことができる。例えば、電荷蓄積装置202の電圧は、被試験信号206のパルス幅に関連しているため、読み出し回路208は、電荷蓄積装置202から読み出された電圧(V
CSD)が比較電圧に関する条件を満たすか否かを判定することにより、被試験信号206のパルス幅が改ざんされたか否かを判定することができる。条件は、電荷蓄積装置の電圧と比較電圧との差が所定量より大きいか否かであり得る。
図6に関して説明するように、比較電圧は、基準電圧であってもよく、又は別のセンサの別の電荷蓄積装置からの電圧であってもよい。場合によっては、比較電圧は、電荷蓄積装置の電圧であってもよいが、異なる時点(例えば、同じセンサであるが別の時点)からのものである。
【0026】
場合によっては、電荷蓄積装置202から電圧を直接読み出す代わりに、読み出し回路208は、電圧変化の影響を監視することによって、電荷蓄積装置の電圧を間接的に読み出すことができる。直接監視の場合、電圧は、アナログ測定回路を使用して直接測定できる。間接監視の場合、読み出し回路208は、いくつかの例として、電圧によって供給される発振器の周波数を測定することができ、又は電荷蓄積装置202の電圧によって電力を供給されるゲートのチェーンを介した伝搬遅延を測定することができる。ゲートのチェーンの伝搬遅延は、電荷蓄積装置202の電圧に比例する。したがって、場合によっては、読み出し回路208は遅延チェーンを含み、そして、遅延チェーンを介した伝搬遅延に基づいて、被試験信号のパルス幅が閾値量よりも大きく変化したか否かを判定することができる。
【0027】
電圧源204は、センサ200の一部であってもよく、又はセンサ200の外部にあってもよい。被試験信号206は、例えば、SPTB、暗号クロック、リセット信号、又は任意の他のパルス信号であり得る。被試験信号206は、電圧源204と電荷蓄積装置202を制御可能に接続するために、スイッチS1 210に入力を提供することができる。例えば、S1 210が閉じられている場合、電荷蓄積装置202は、充電することができる。任意選択で、第2スイッチS2 212は、
図2Bに示すセンサ200Bのために提供されるように、センサ200に含まれてもよい。
図2A及び
図2Bの両方を参照すると、第3スイッチS3 214は、電荷蓄積装置202と並列に結合することができる。S3 214が閉じられると、電荷蓄積装置202内の電荷は、部分的に又は完全に放電することができる。
【0028】
スイッチS1、S2、及びS3はそれぞれ、被試験信号206の特性によって制御することができる。例えば、S1 210とS2 212は両方とも、被試験信号206によって制御することができ、S3 214は、被試験信号の逆信号(例えば、反転された被試験信号)によって制御することができる。
【0029】
図2A及び
図2Bでは、電荷蓄積装置202はコンデンサとして示されているが、電荷を保持できる他の装置を電荷蓄積装置に使用することもできる。
【0030】
センサは、被試験信号を継続的に監視する必要があってもなくてもよい。コマンド信号は、被試験信号の監視を制御するために使用することができる。場合によっては、調整回路をセンサの入力に結合して、被試験信号の監視を制御し、よりクリーンなスイッチングのために過渡信号を除去することができる。
図3は、調整回路を備えたセンサの実装例を示す。調整回路300は、例えば、ラッチ装置であり得る。調整回路300を使用して、入力被試験信号306の正のエッジ又は負のエッジをラッチし、センサ302が被試験信号を受信する前に過渡信号を除去することができる。調整回路は、コマンド信号304及び被試験信号306(
図2A及び
図2Bの信号206に関して説明したような信号であり得る)を受信するように結合することができる。調整回路300は、プロセッサからコマンド信号304を受信することができる。プロセッサは、電子システムの内部又は電子システムの外部のいずれにあってもよい。調整回路300がプロセッサからコマンド信号304を受信すると、被試験信号の監視が開始する。
【0031】
コマンド信号を送信する決定は、周期的かつ事前に決定されたスケジュール、ランダムスケジュール、イベントによるトリガー、コマンドによるトリガー、又は環境若しくは動作条件によるトリガーという方法の1つ以上によって決定することができる。被試験信号を監視するためのコマンド信号304を受信すると、調整回路300は、被試験信号306の正のエッジ又は負のエッジをラッチし、そして、過渡的に除去された(transient-removed)被試験信号308をセンサ302に出力することができる。場合によっては、インバータ310を調整回路300の出力に結合して、過渡的に除去された被試験信号308を受信し、反転された被試験信号312をスイッチS3(例えば、
図2A又は
図2BのスイッチS3 214)に提供することができる。インバータは、電荷蓄積装置C1の両端間の電圧を、C1が充電された後に測定できるように、適切な遅延時間で設計することができる。
【0032】
パルス幅改ざんを検出する方法は、被試験信号のパルス幅のデューティサイクルをキャプチャし、そのデューティサイクルを評価することを含むことができる。
図4は、本明細書に記載の感知システムを使用するパルス幅検出方法のプロセスフローを示す。プロセス400は、例えば
図2A及び
図2Bに関して説明したように、センサ及び読み出し回路を備えたセンサシステムによって実行することができる。特定の例では、
図3に示すような調整回路300を使用して、センサシステムがいつ監視を開始するかを制御することができる。すなわち、センサシステムが調整回路を含む場合、監視を開始するためのコマンド信号がプロセッサによって送信されると、方法400が開始する。もちろん、監視は任意の適切な機構によって制御することができ、トリガーさえ必要としない(例えば、センサシステムは、電子システムに対する電力があるときはいつでも動作することができる)。
【0033】
センサシステムが被試験信号(SUT)の監視を開始すると(402)、センサは、被試験信号のパルス幅の正のエッジ又は負のエッジを受信することができる(404)。パルス幅の正のエッジ又は負のエッジを受信すると、スイッチS1及び(任意選択で)S2が閉じ、S3が開き、電荷蓄積装置(CSD)が充電を開始できるようになる(406)。CSDは、センサがパルス幅の逆極性のエッジを受信するまで充電を継続する(408)。パルス幅の逆極性のエッジを受信すると、スイッチS1及び(任意選択で)S2が開く(410A)。スイッチS3は、反転された被試験信号を受信し、したがってわずかな遅延の後に閉じることがあり(410B)、それによりCSDに放電を開始させる。CSDは、パルス幅の第1の負のエッジを受信した後に放電するか、又はCSDは、指定された数の複数のパルスサイクルのために電荷を蓄積することができる。CSDが指定された数の複数のパルスサイクルのために電荷を蓄積する場合、それは指定された数の複数のパルスサイクルの最終パルスの負のエッジで放電を開始する。いずれの場合でも、被試験信号に起因する動作410Aと動作410Bとの間で、読み出し回路はCSDから電圧VCSDをキャプチャする(412)。読み出し回路は、例えば、インバータを介した被試験信号の信号経路によって引き起こされる遅延のために(又は、スイッチS3をいつ切り替えるかを制御する他の回路のために)、すべてのスイッチが開いている間に電圧VCSDをキャプチャすることができる。場合によっては、読み出し回路は、CSDが電荷を蓄積している間に電圧を読み出し、その結果、被試験信号のパルスの持続時間の間、スイッチが閉じられている間に電圧が評価される。VCSDがキャプチャされると、読み出し回路はVCSDを評価し、改ざんが発生したか否かを判定する(414)。上記のように、次にCSDは放電する(410B)。
【0034】
図5は、電子システムにおける信号ツリーの実装例を示す。
図5に示す信号ツリーは、電子システムを介して分岐し得る信号の例示的な経路を反映する。記載されたセンサは、ツリー内の分岐のうちのいずれか1つに結合されてもよい。場合によっては、複数のセンサを電子システム500全体に配置して、被試験信号を監視することができる。被試験信号は、例えば、電子システムが配置されているマザーボード若しくは他の基板(図示せず)上の回路によって、又はオンチップクロックジェネレータを介して生成されたタイムベース502であり得る。センサ504は、信号ツリーの分岐前に(オンチップかオフチップかにかかわらず)タイムベース502を監視するように配置することができる。場合によっては、センサ506は、分岐505A上に配置することができる。あるいは、複数のセンサ、例えば、センサ506及び508は、同じ分岐(例えば、505A)上に、又は分岐505A上のセンサ508及び分岐505C上のセンサ510のように、ツリー全体の異なる分岐に配置することができる。
【0035】
タイムベース502は、信号ツリー構成に従って、電子システム500内の複数の機能ブロックに分配することができ、それにより、異なる分岐は、元のタイムベース又は元のタイムベースの変形を使用して動作することができる。信号ツリー内の各センサは、そのセンサのVCSD値を受信する読み出し回路に結合することができる。単一の分岐について各センサから読み出された電圧(例えば、センサ506及び508を介して)を比較して、各センサのVCSDの値が許容範囲内にあるか否かを判定することができる。
【0036】
場合によっては、例えば、異なるタイムベースを監視するために、異なる分岐(例えば、505A及び505C)上に配置された複数のセンサ(例えば、508及び510)を評価することができる。各センサの読み出し回路は、各センサのVCSDを測定し、パルス幅などのタイムベース特性の相対的な一貫性をチェックすることができる。
【0037】
場合によっては、単一の読み出し回路を複数のセンサに切り替え可能に結合することができる。
【0038】
場合によっては、複数のセンサは、それらのVCSDを互いに比較するか、又はメモリに記憶されたプリセット基準値若しくはプリセット基準値のセットと比較することができる。1つ以上の読み出し回路は、複数のセンサからのVCSD値を比較して、値が閾値量内であるか否かを判定するために使用できる単一の比較器回路を含むことができる。
【0039】
図6は、V
CSD値を比較するための比較器の実装例を示す。比較器システム600は、複数の入力を受信するために選択的に結合された比較器602を含むことができる。コントローラ(図示せず)は、スイッチング機構604を使用して、比較器602への入力を選択的に制御することができる。スイッチング機構604は、スイッチのアレイであり得る。コントローラは、専用コントローラ又は電子システムの一部であり得る。入力は、電子システム全体の様々なセンサから(対応する読み出し回路を介して)キャプチャされたV
CSD値であり得る。場合によっては、メモリに記憶された1つ以上のプリセット値は、比較器602の基準電圧として使用されてもよい。
【0040】
コントローラは、比較器への入力を選択的に制御して、信号ツリー内の異なる分岐上のV
CSD値、信号ツリーの同じ分岐上のV
CSD値、又はV
CSD値をプリセット基準値と比較することができる。場合によっては、以前のV
CSD値を比較器への入力として使用して、現在のV
CSD値をそのV
CSD値と比較する(これは、スイッチング機構604を介して比較器602に選択的に結合されたレジスタ又は記憶ユニットに記憶され得る。
図6において多数のV
CSD値がV
CSD1、V
CSD2、...、V
CSDnとして表される。V
CSD値間の差が閾値よりも大きい場合、比較器602は、電子システムに改ざんの可能性を警告するために「警告」信号を出力する。その後、電子システムは、攻撃による被害を軽減するための対策を開始することができる。あるいは、比較器システム600は、同時に複数の入力を選択的に比較するために、多数の比較器(図示せず)を含むことができる。例えば、比較器システム600は、複数の入力からの電圧を2つずつで比較するための多数の2入力比較器を含むことができる。
【0041】
図7は、V
CSD対時間のグラフを示す。V
CSDの値は、CSDの充電が許可されている時間に直接関連する。
図7を参照すると、グラフはV
CSDの値の電圧閾値範囲T
clk_max及びT
clk_minを示す。V
CSDの値がこれらの閾値の間にある場合、被試験信号は、改ざんされていないと見なすことができる。図示のように、V
CSDは、V
CSDが最大動作限界に達する飽和点に達するまで時間とともに増加し、これは、CSDの物理的制約によって決定される。パルス幅が予想よりも短い場合、CSDは完全に充電することが許可されず、V
CSDは閾値量を下回る。逆に、パルス幅が予想よりも長い場合、CSDは閾値量を超えて充電される。
【0042】
図8Aは、改ざん監視の対象となり得る信号の例示的な波形を示し、
図8B及び
図8Cは、
図8Aに示す信号のパルス幅改ざんの例を示す。改ざんは、
図8B及び
図8Cの両方のデューティサイクル3に示されている。
図8Bにおいて、短縮されたデューティサイクルは予測より低いV
CSDにつながる。
図8Cにおいて、延長されたデューティサイクルは予測より高いV
CSDにつながる。
【0043】
主題は構造的特徴及び/又は動作に固有の言語で記載されているが、添付の特許請求の範囲で定義される主題は、必ずしも上記の特定の特徴又は動作に限定されないことを理解されたい。むしろ、上記の特定の特徴及び動作は、特許請求の範囲を実施する例として開示されており、他の同等の特徴及び動作は、特許請求の範囲内にあることが意図されている。
【国際調査報告】