본 발명의 목적은 의도치 않은 관찰 또는 조작에 대한 보호 기능이 더 강화된 집적 회로용 보호 회로를 제공하는데 있다.
상기 목적은 청구항 제 1항에 나타난 특징을 갖는 집적 회로를 위한 보호 회로에 의해 달성된다. 본 발명의 바람직한 개선예는 종속항의 대상이다.
본 발명에 따른 보호 회로는 적어도 하나의 보호 평면에서 집적 회로의 상부 또는 하부에 배치된다. 여기서, 상기 보호 회로는 하나 이상의 도체 스트립을 가지며, 상기 도체 스트립에는 시간에 따라 변하는 상이한 신호들이 공급된다. 상기 신호들은 도체 스트립에 의해 전달되어, 하나 이상의 검출기에 의해 분석된다. 상기 검출기에 의해 수신된 검사될 신호는 각각 예정 신호인 기준 신호와 비교된다. 하나 이상의 검출기가 두드러진 차이를 검출하게 될 경우, 상기 검출기에는 집적 회로를 안전 모드로 전환시키는 경보 신호가 발생한다. 그렇게 되면 상기 모드에서 예컨대 메모리 셀의 내용이 소거될 수 있으며, 그 결과 제어 프로그램 및 저장된 데이터는 더이상 판독되거나 해석될 수 없다.
다수의 도체 스트립에 의해 도전되어, 순차적으로 다양한 검출기에 의해 분석되는 다수의 상이한 신호들을 사용함으로써, 판독 또는 조작이 시도되는 동안 외부로부터 정확한 방식으로 모든 경보 발생 신호를 공급하고 검출기들에 대해 이들의 존재를 시뮬레이션하는 것은 거의 불가능하다. 예컨대 집적 스위칭 회로가 기계적으로 위로부터 평평하게 마모됨으로써, 집적 스위칭 회로의 아래에 놓인 회로 평면이 보일 정도가 되면, 상기 회로 평면 위에 놓인 보호 회로의 도체 스트립들이 가장 먼저 영향을 받게 되고, 그 결과 하나 이상의 검출기에 의해 검출되는 신호 전송이 변경되거나 중단된다. 소형 니들에 의해 개별 도체 스트립들이 탭핑(tapping)됨으로써 예컨대 신호 형태, 신호 발진 제어 또는 그와 유사한 것들의 변화가 나타나는 경우에도 동일한 상황이 전개된다. 이러한 모든 변화들은 상이한 검출기의 오류 검출에 규칙적으로 영향을 미친다.
따라서, 본 발명에 따라 단지 개별 신호들 뿐만 아니라, 다수의 상이한 신호들도 시뮬레이션 되어야만 한다. 엄밀히 집적 회로의 매우 제한된 공간적 조건을 고려해 볼 때, 다수의 시뮬레이션 신호들을 특정하게 상이한 검출기에 공급하는 것은 거의 불가능하다. 따라서, 상기 집적 회로를 거의 둘러싸는 보호는 그 위에 배치된 보호 회로에 의해 제공된다.
바람직하게는, 상기 집적 회로는 상기 집적 회로의 상부에 있는 보호 회로와 하부에 있는 보호 회로에 의해 샌드위치 방식으로 둘러싸임으로써, 관찰 또는 조작이 보호 회로에 의해 상부 및 하부로부터 차단된다.
검출기는 전송 신호들의 평가시 인테그리티(integrity)를 분석하도록 형성되며, 이는 특히 CRC 검사, 수평 체크섬 비교, 패리티 검사 또는 다른 서명 비교에 의해 이루어질 수 있다는 것이 입증되었다. 전송 신호와 예정 신호, 다시 말해 기준 신호의 인테그리티 값의 인테그리티 비교에 의해, 검출기가 유사(quasi) 단락되는 보호 회로의 조작이 억제될 수 있으며, 오류를 검출하기 위한 순수 동일성 비교를 수행하는 검출기에 하나의 동일한 신호가 기준 신호 및 전송 신호로서 제공된다.
상이한 도체 스트립에 공급되는 상이한 신호들은 공동의 신호 발생기 또는 다수의 개별 신호 발생기에 의해 구현될 수 있다. 바람직하게는 각각의 검출기가 거기에 할당된 발생기로부터 예정 신호, 즉 기준 신호의 형태 및 방식에 대한 정보들을 얻을 수 있도록 하나 이상의 발생기가 검출기에 접속된다. 따라서, 상기 발생기는 다이나믹하게 그것의 전송 신호들을 변화시키고, 이러한 변화가 검출기에 전달되어, 외부의 공격시 신호들의 시뮬레이션을 더욱 어렵게 한다. 왜냐하면, 신호들의 시간적 파형이 고려되기 때문이다.
도체 스트립이 다수의 회로 평면위로 연장됨으로써, 다수의 회로 평면을 통해 보호 회로의 구조를 보거나 상이한 신호들의 발생, 신호 전달 및 검출 방식을 보는 것이 훨씬 더 어려워져서, 외부로부터의 시뮬레이션이 불가능할 정도로 보호될 집적 회로가 잘 커버될 수 있는 것이 특히 바람직한 것으로 밝혀졌다. 결과적으로, 외부의 개입에 의한 보호 회로의 모든 변화는 오류의 검출을 야기하며, 이 때 도체 스트립 형성의 매우 복잡한 3차원 구조 또는 그러한 구조의 특성에 의해 시뮬레이션이 매우 복잡하거나 거의 불가능하다. 따라서, 분명히 보호 회로의 하나의 회로 평면은 상기 보호 회로의 다른 회로 평면이 분석되는 것을 보호한다. 그럼으로써 집적 회로를 위한 매우 광범위하고 안전한 보호 회로가 제공된다.
상기 보호 회로의 바람직한 실시예에 따르면, 상기 보호 회로의 도체 스트립은 보호될 집적 회로를 거의, 이상적으로는 완전히 평면으로 커버함으로써, 상기 보호 회로를 통해 집적 스위칭 회로를 들여다 볼 때, 예컨대 보어와 같은 것을 통해 보호 회로의 도체 스트립을 손상시키지 않으면서 보호 회로에 직접 도달하는 것은 불가능하도록 형성된다. 이러한 광범위한 또는 완전한 커버링은 다수의 회로 평면위에 또는 다수의 회로 평면내에 도체 스트립을 형성하는 방법을 통해 매우 간단하고 안전하게 구현된다. 왜냐하면, 한 평면에 있는 도체 스트립들이 서로 충분한 간격을 두고 배치될 수 있고, 그 결과 누화(crosstalk)가 방지되며 도체 스트립들간의 영역이 보호 회로의 다른 회로 평면 내에 있는 도체 스트립에 의해 직접 커버될 수 있음으로써, 집적 스위칭 회로 또는 상기 집적 회로의 중요한 부품들이 완전히 커버될 수 있기 때문이다.
예컨대 보어에 의해 집적 회로에 도달하는 것이 시도될 경우, 도체 스트립 중 하나가 손상될 수 있으며, 이에 따라 신호 변화가 나타날 수 있다. 상기 도체 스트립이 상기 보어의 크기에 상응하거나 더 작은 도체 스트립 폭으로 형성될 경우, 모든 보어가 도체 스트립을 차단(단속)함으로써 매우 안전하게 오류 신호가 검출될 수 있다. 또한 상기 보어가 다양한 도체 스트립들 사이를 단락시킬 수 있고, 상기 단락은 전체적인 신호 파괴로서 상응하는 검출기를 통해 검출된 오류 신호를 보다 더 안전하게 검출된다. 여기서, 상기 도체 스트립 폭은 사용된 특정한 칩 기술에서 최소의 도체 스트립 폭에 상응하도록 선택된다. 상기 도체 스트립이 한편으로는 매우 좁은 폭을 가지고, 다른 한편으로는 상이한 회로 평면위로 연장되며, 상기 평면을 최대한 커버하도록 형성됨으로써, 보호 회로 내로의 기계적 개입에 대한 보호 작용이 충분히 이루어진다. 이러한 개입은 보오링(boring) 또는 플레이닝(plaining)을 통해 이루어질 수 있다.
본 발명의 한 바람직한 실시예에 따르면, 회로 평면 내에 있는 보호 회로의 하나 이상의 검출기는 상기 보호 회로의 도체 스트립을 갖는 최상부 회로 평면의 하부에 배치되고 상기 도체 스트립에 의해 원하지 않은 접근으로부터 보호된다. 이러한 체계적 구조에 의해, 보호 회로의 검출기를 위한 보호 회로의 도체 스트립, 그리고 집적 회로를 위한 검출기를 갖는 도체 스트립에 의한 단계적(cascaded) 보호가 제공된다.
이러한 배치에 의해, 하나 이상의 검출기의 관찰 또는 조작이 위에 놓인 라인을 통한 보호에 의해 억제되며, 이에 따라 도체 스트립을 통하지 않고 검출기 내에 직접 신호가 저장될 수 있는 또 다른 접근 가능성이 배제된다.
이에 상응하는 방식으로, 보호 회로의 상부에 놓인 도체 스트립을 통해 보호되는 하나 이상의 발생기가 회로 평면내에 배치되는 것이 바람직한 것으로 증명된다. 따라서, 상기와 같이 배치된 보호 회로의 검출기 또는 발생기는 인가되지 않은 접근에 대한 보호 회로의 보호 효과를 증대시키는 수단인 것으로 증명된다.
상이한 신호들이 개별 발생기에 의해 서로 완전히 독립적으로 발생될 경우, 이러한 신호들은 체계적으로 서로 종속되지 않으므로 신호 파형이 본질적으로 상이한 것이 보장된다. 그 결과 전체적으로 시뮬레이션하기가 매우 복잡하고 많은 비용이 들며, 이는 다수의 상이한 신호들이 목적에 맞게 올바른 도체 스트립들 또는 올바른 검출기들로 결합되어야만 하기 때문에도 더욱 그러하다. 이는 집적 스위칭 회로의 극도로 제한된 공간적 치수에 있어서는 거의 불가능한 일이다. 따라서, 상기 방식의 보호 회로는 집적 스위칭 회로의 보호에 특히 효과적인 것으로 증명된다.
본 발명의 변형예에서는 상기 도체 스트립에 다수의 검출기가 할당되며, 상기 검출기는 각각의 검출기 고유의 위치에 있는 도체 스트립에서 신호를 탭핑하여 모니터링한다. 따라서, 이러한 방식의 실시예에서 도체 스트립은 다수의 도체 스트립 섹션으로 분할되며, 상기 도체 스트립 섹션들은 거기에 할당된 검출기에 의해 모니터링된다. 따라서, 상기 도체 스트립 섹션들은 모니터링된 도체 스트립의 기능을 갖는다. 그러나 상이한 도체 스트립 섹션들을 갖는 전체 도체 스트립이 여러번 모니터링됨으로써, 상기 도체 스트립으로의 개입이 적절한 개입 예방 조치를 통해 하나의 검출기에 의해 포착될 수 없었다 하여도, 전체 도체 스트립에 있는 다른 검출기 또는 다른 검출기의 일부가 모니터링된 신호의 변화를 검출하고 경보를 발생시킬 것이다. 따라서, 도체 스트립상에 상기 검출기를 여분으로 배치함으로써 보호 회로의 보호 효과가 증대된다.
통상적으로, 단지 수적 재구성의 방식으로 가능한 한 많은 신호 라인과 가능한 한 많은 신호 발생기 또는 검출기를 제공하여 외부의 접근을 방해하는 것이 바람직하다. 그러나 개별 신호의 개수가 많으면 하드웨어 비용이 상승하고, 그 결과 안전 조치들로 인해 회로 비용이 상당히 증가하기 때문에, 전술한 방법은 집적 스위칭 회로의 크기에 따라 한계를 갖는다.
따라서, 본 발명의 또다른 변형예에서는 전술한 보호 신호 발생이 멀티플렉서 및 디멀티플렉서와 결합된다. 이를 통해, 시간적인 다중 방식에 의해 보호 실드의 상이한 도체 스트립이 상이한 시간에 동일한 발생기 출력부 및 검출기 입력부에 접속된다. 이러한 방식으로, 발생기 및 검출기의 개수가 실드 세그먼트의 수 보다 더 작다.
이러한 배치의 또 다른 장점은, 검출기에 관련 발생기의 기준 신호를 공급하는 기준 라인의 수가 감소된다는데 있으며, 이에 따라 칩 면적이 상당히 절약된다.
멀티플렉서 및 디멀티플렉서는 중앙에서 동시에 제어되거나, 또는 공통의 클럭 시스템의 선행 클럭 주기의 수에 따라 그들의 상태가 좌우된다. 특히 바람직한 것은 멀티플렉서 채널의 무작위적 또는 의사 무작위적 제어이다. 실제의 무작위적 제어는 특정 제어 신호들을 통한 멀티플렉서 및 디멀티플렉서의 연속 동기화를 필요로 한다. 의사 무작위적 제어에 의해, 멀티플렉서 및 디멀티플렉서로부터 공간상 가까운 곳에서 동일한 제어 신호가 국부적으로 생성된다.
보호 회로의 특히 바람직한 한 실시예에 따르면, 검출기가 다수일 경우 상기 검출기들이 서로 교차 결합되도록 형성된다. 이를 통해, 하나의 검출기가 오류 및 집적 스위칭 회로의 허용되지 않은 접근을 검출하자마자, 상기 집적 스위칭 회로가 광범위한 안전 모드로 전환되도록 제어된다. 이러한 교차 결합에 의해, 개별 검출기들이 응답확인 기능 또는 감시 기능의 범주에서 다른 검출기의 기능성 또는 다른 검출기의 존재 여부를 검사하고, 이를 통해 보호 회로 및 집적 칩으로의 허용되지 않은 개입이 검출되어, 이에 상응하는 집적 스위칭 회로의 안전 모드를 트리거링하는 것도 가능하다.
검출기와 더불어 발생기도 교차 결합하는 것이 바람직한 것으로 증명되며, 그로 인해 고장 또는 발생기로의 개입이 검출될 수 있다. 또한 상기 발생기가 검출기와 교차 결합됨으로써, 상기 발생기가 상기 발생기로부터 송출된 신호에 대한 정보들을 예컨대 신호의 시간에 따른 파형, 신호 레벨, 신호 형태 등을 상기 발생기에 할당된 검출기로 전달한다. 이를 통해, 상이한 신호들의 가변성 및 보호 회로의 자유도가 훨씬 더 증가되고, 이는 외부에 의한 개입을 더 어렵게 만들기 때문에 집적 스위칭 회로로의 인지 불가능한 공격을 막는 보호 회로의 효과가 증대된다.
따라서, 본 발명에 따른 보호 회로의 기본 개념은, 상기 보호 회로의 부품을 더이상 국부적으로 집중시켜서 배치하는 것이 아니라 분산시켜서, 더 큰 영역에 걸쳐서 분포시키고, 복제하며 차별화시켜 형성하는 것이다. 이에 따라, 도체 스트립을 통한 신호의 생성과 수송 및 신호의 모니터링이 다수의 여분 유닛들로 분할됨으로써, 보호 회로 또는 보호될 집적 스위칭 회로의 인지 불가능한 관찰 또는 조작에 대한 안전도가 더욱 증대된다.
본 발명에 따른 집적 회로용 보호 회로 및 그 장점은 하기의 실시예에서 도면을 참고로 더 자세히 설명된다.
도 1은 집적 회로를 위한 보호 회로의 구조를 개략적으로 도시한 것이다. 여기에는 서로 분리되어 평행하게 연장되는 세 개의 도체 스트립(10, 11, 12)이 도시되어 있다. 상기 도체 스트립(10, 11, 12)은 와인딩 패턴으로 뻗으며 집적 회로의 회로 평면내의 특정 영역을 커버한다.
상기 도체 스트립(10, 11, 12)은 각각 고유의 신호 발생기(20, 21, 22)에 접속된다. 상기 신호 발생기(20, 21, 22)를 통해 서로 독립적이고 기본적으로 상이한 신호들이 도체 스트립(10, 11, 12)에 공급된다. 공급된 신호들은 상기 도체 스트립(10, 11, 12)를 순환하고 상기 도체 스트립(10, 11, 12)의 단부에서 각각의 도체 스트립에 할당된 검출기(30, 31, 32)에 의해 분석된다.
상기 분석의 범주에서 상기 도체 스트립(10, 11, 12)을 통해 수신된 상이한 신호들은 발생기(20, 21, 22)와 상기 발생기에 할당된 검출기(30, 31, 32) 사이의 접속 라인(13, 14, 15)에 의해 전달된 기준 신호와 비교된다. 상기 기준 신호는 도체 스트립(10, 11, 12)들을 순환하고 난 후의 신호의 모습을 직접 나타내거나 또는 상기 신호들로부터 기준 신호를 위해 필요한 정보들을 검출하는데 있어 필수적인 정보들을 제공한다.
상기 기준 신호들이 도체 스트립(10, 11, 12)에 의해 얻어진 신호들과 비교됨으로써, 상기 검출기(30, 31, 32)에서 평가가 이루어진다. 비교 결과 상이한 점이 확인되면, 집적 회로를 위한 제어 신호로서 경보 신호가 발생하여, 각각의 검출기(30, 31, 32) 위에 배치된 경보 라인(4)을 통해 집적 회로로 유도된다.
상기 경보 신호에 의해 집적 회로가 안전 모드로 지칭되는 상태로 전환된다. 이러한 안전 모드에서는 예컨대 메모리 셀의 내용은 더이상 판독될 수 없다. 왜냐하면, 안전 모드로 전환된 직후에 상기 메모리 셀의 내용이 완전히 소거됨에 따라, 그 속에 포함되어 있는 정보들은 복구할 수 없도록 제거된다. 따라서, 프로그램 메모리 및 데이터 메모리에 포함되어 있는 집적 회로의 중요한 정보들, 예컨대 코드 키 또는 핀 넘버 또는 사용자의 개인 정보들을 더이상 판독하거나 조작할 수 없게 된다.
상기 도체 스트립(10, 11, 12), 신호 발생기(20, 21, 22) 및 검출기(30, 31, 32)가 다중으로 분산되어 형성됨으로써, 예컨대 플레이닝 공정이나 보오링 공정 등을 기초로 하여 보호될 집적 회로에 대한 더 상세한 정보들을 얻기 위해 외부 신호들을 공급하여 보호 회로를 속이는 것은 매우 어렵다..
단지 하나의 신호만이 시뮬레이션되는 것이 아니라, 동시에 다수의 상이한 신호들을 공간적으로 매우 제한된 영역에 배치된 상이한 검출기의 상이한 장소에서 시뮬레이션 되야 하기 때문에, 신호 변동과 그에 따른 오류 및 보호될 집적 회로를 포함하는 보호 회로로의 접근이 검출되지 않으면서 상기 집적 회로에 접근하는 것은 거의 불가능하다. 검출기(30)가 공급된 도체 스트립(10)의 신호의 오류 특성을 검출해야 될 경우, 상기 검출기(30)는 다른 검출기(31, 32)와 별개로, 경보 라인(4)을 통해 집적 회로에 경보 신호를 공급함으로써 안전 모드가 트리거링된다.
상기 도체 스트립(10, 11, 12)가 평행한 와인딩 패턴으로 형성됨으로써, 평면을 커버하는 폐쇄된 도체 스트립 구조물이 제공되며, 상기 구조물이 그 아래에 놓인 집적 회로 또는 상기 집적 회로의 적어도 하나의 영역을 상기 도체 스트립(10, 11, 12)을 통한 접근으로부터 보호한다. 만약 기계적 수단으로 상기 도체 스트립(10, 11, 12) 아래에 놓인 집적 회로에 도달하려고 한다면, 상기 도체 스트립(10, 11, 12) 중 하나가 손상되거나, 심지어는 상기 도체 스트립을 통해 전달된 신호가 두드러지게 변화될 정도로 완전히 파손될 수 밖에 없다. 이러한 두드러진 변화는 상기 도체 스트립에 할당된 검출기(30, 31, 32)를 통해 오류로서 식별되고, 그에 상응하는 경보 신호가 송신된다.
상기 도체 스트립(10, 11, 12)은 보호 회로의 회로 평면(2, 3)을 손상시키는 임의의 드릴링에 의해 도체 스트립의 파손이 유도될 정도로 좁은 폭으로 형성된다. 이를 위해, 개별 도체 스트립(10, 11, 12)들의 간격을 매우 작게 선택하고 상기 도체 스트립들을 하나 이상의 회로 평면에 좁은 와인딩 형태로 배치하여야 한다. 따라서, 이러한 파손된 도체 스트립(10, 11, 12)에서는 신호가 완전히 손상되어 외부의 공격을 받은 것으로 해석됨으로써, 관찰 또는 조작이 방지됨에 따라 파손이 매우 안전하게 일어난다.
상기 발생기(20, 21, 22)를 통해 발생된 신호들은 대개는 특정한 디지털 신호들이지만, 신호 변동에 있어서 상기 도체 스트립(10, 11, 12)을 통해 전송되는 도중에 발생하는 변동이 명백히 나타나는 신호 아날로그 신호이기도 하다.
도 2에는 또 다른 보호 회로의 형성이 개략적으로 도시된다. 여기서는, 단 1개의 관련 스트립 도체 구조물이 도시되며, 상기 구조물은 하나의 신호 발생기(20)를 통해 형성된 신호를 상기 도체 스트립 구조물에 공급하기 위한 공급 지점(9)을 나타낸다.
상기 도체 스트립 구조물에는, 도체 스트립 구조물을 통해 전송된 신호의 배출(outfed)을 위한 4개의 위치가 제공된다. 각각의 배출 위치에는 배출된 신호를 증폭시키기 위한 증폭기(43, 44, 45, 46)가 제공된다. 이러한 증폭된 신호는 검출기(33, 34, 35, 36)에 공급된다. 상기 도체 스트립 구조물은 각각의 탭핑 지점(tapping poing)에 따라, 공급 지점(9)과 검출기(33)에 대한 증폭기(43)의 탭핑 지점 사이에 있는 도체 스트립(10a), 공급 지점(9)과 검출기(34)에 대한 증폭기(44)의 탭핑 지점 사이에 있는 도체 스트립(10b), 공급 지점(9)과 검출기(35)에 대한 증폭기(45)의 탭핑 지점 사이에 있는 도체 스트립(10c), 그리고 공급 지점(9)과 검출기(36)에 대한 증폭기(46)의 탭핑 지점 사이에 있는 도체 스트립(10d)을 형성한다.
각각의 검출기는 다른 검출기와는 독립적으로 작동하고, 상기 검출기의 경보 라인(4)을 통해 집적 회로가 안전 모드로 전환되도록 제어될 수 있다.
발생기(20)는 접속 라인(16, 17, 18, 19)을 통해 검출기(33, 34, 35, 36)에 접속되고, 상기 검출기에 도체 스트립(10a, 10b, 10c, 10d)을 모니터링하기 위한 기준 신호에 대한 특수한 정보들이 공급된다. 소프트웨어로 제어되는 방식에서, 상기 발생기(20)는 공급된 신호의 형태를 무작위로 선택하고 해당 접속 라인(16, 17, 18, 19)을 통해 검출기로 공급된 신호의 형태를 시그널링한다. 검출기들(33, 34, 35)은 상기 발생기(20)로부터 접속 라인(16, 17, 18, 19)을 통해 상기 검출기에 공급된 신호를 탭핑 지점으로부터 공급된 도체 스트립(10a, 10b, 10c, 10d)의 신호와 비교함으로써 평가한다. 두드러진 차이, 즉 오류가 검출되면, 각각의 검출기(33, 34, 35, 36)는 다른 검출기와는 독립적으로 경보 라인(4)을 통해 경보를 발생시킴으로써, 집적 회로를 안전 모드로 전환시킨다.
상기 도체 스트립(10a, 10b, 10c, 10d)가 중복되어 형성됨으로써, 도체 스트립 시스템의 도체 스트립으로의 개입에 의해 단지 1개의 도체 스트립(10a, 10b, 10c, 10d)에서만 신호가 변동되는 것이 아니라, 다수의 도체 스트립(10a, 10b, 10c, 10d)에서 동시에 신호 변동이 발생할 수 있다. 따라서, 의도하지 않은 관찰 또는 조작의 경우 단지 검출기의 신호뿐만 아니라, 상기 도체 스트립 시스템의 특히 모든 검출기(33, 34, 35, 36)의 다수의 신호에 하나의 시뮬레이트된 정확한 신호가 제공된다. 상기 신호는 그 형태, 종류 및 시간적 파형에 있어서 발생기(20)로부터 접속 라인(16, 17, 18, 19)을 통해 검출기(33, 34, 35, 36)에 직간접적으로 공급된 기준 신호와 일치해야 한다. 이 경우, 도시된 발생기(20)는 소프트웨어로 제어되어 공급 지점(9)에 공급된 신호를 다이내믹하게 변경시키고, 이를 통해 보호 회로, 그리고 상기 보호 회로에 의해 보호된 집적 스위칭 회로(1)의 관찰 또는 조작을 차단하는 상태에 있다.
도 3에는 상부에 배치된 보호 회로를 갖는 집적 회로(1)의 층별 구조가 도시되어 있다. 도 3에서 집적 회로의 하부면에 놓이는 상응하는 제 2 보호 회로는 도시되지 않았다. 상기 집적 회로(1)의 다른 면에 있는 상기 제 2 보호 회로는 여기에 도시된 보호 회로와 같은 구조를 갖는다.
보호 회로는 집적 회로(1)의 상부에 배치되어 있다. 상기 보호 회로는 층층이 겹쳐진 두 개의 회로 평면(2, 3)을 보여주며, 상기 회로 평면(2, 3)은 절연층(5)에 의해 서로 분리되고, 보호될 집적 회로(1)와도 분리된다. 이러한 절연층에 의해 도체 스트립(10, 11)과 집적 회로(1) 간에 전기적 단락이 방지된다.
제 1 회로 평면(2)에는 도체 스트립(10)이 스트립형상으로 형성되고 스트립형상 절연 영역(6)에 의해 서로 분리된다. 상기 도체 스트립(10)들은 제 1 회로 평면(2)내에서 서로 평행하게 배치된다. 상기 회로 평면(2)의 상부에 제 2 회로 평면(3)이 배치되며, 상기 제 2 회로 평면(3)은 서로 평행하게 배치된 스트립형 도체 스트립(11)을 보여준다. 또한 상기 도체 스트립(11)은 절연 영역(6)에 의해 서로 분리됨으로써 서로에 대해 절연된다. 상기 도체 스트립(10)은 도체 스트립(11)와 상호 작용하면서 보호될 집적 회로를 완전히 커버하도록 배치된다. 이러한 완전한 커버링은 제 1 및 제 2 회로 평면(2)을 들여다 볼 때, 보호될 집적 회로의 각 지점 또는 집적 회로(1)의 보호될 각 지점이 도체 스트립 (10) 또는 도체 스트립 (11) 중 하나에 의해 덮이거나, 또는 도체 스트립 (10)과 도체 스트립 (11) 모두에 의해 커버될 경우에 이루어진다.
상기 보호될 집적 회로(1)에 접근하려면 우선 보호 회로를 침투해야 하고, 이 때 회로 평면(2, 3)이 쪼개지며 집적회로가 완전하게 커버되기 때문에 도체 스트립(10, 11) 중 적어도 하나는 손상될 수 밖에 없다. 예컨대 도체 스트립의 완전한 파손을 의미하거나 회로 평면(2, 3) 내에 있는 도체 스트립 사이의 단락 또는 회로 평면(2, 3)들 사이의 단락, 또는 단지 도체 스트립(10, 11)이 부분적으로 손상된 상태에서의 단락을 형성할 수 있는 전술한 손상으로 인해, 전송된 신호가 명백하게 변화되며, 상기 신호는 할당된 검출기에 의해 예정 기준 신호와 비교되어 오류 신호 및 보호 회로 또는 보호될 집적 스위칭 회로(1)로의 공격으로서 해석된다. 이에 따라, 집적 회로(11)에 경보 신호가 전송된다. 이러한 경보 신호에 의해, 상기 집적 회로(1)는 안전 모드로 전환된다.
제 1 회로 평면(2)에는 도 3에는 도시되지 않은 발생기(20, 21, 22) 또는 이에 상응하는 검출기(30 내지 36)가 상부에 놓이는 회로 평면(3)에 의해 보호되는 상기 제 1 회로 평면(2)에 배치되어 있으며, 상기 회로 평면(3) 내에는 상기 제 1 회로 평면(2)에 상응하게 도체 스트립(11)이 놓여 있다. 특히 이러한 구조는 제 1 회로 평면(2) 위에 전체적으로 분포되어 있고, 이에 따라 보호 회로가 공격을 받을 가능성이 분명히 제한된다.
도 4에는 8개의 도체 스트립(40 ... 47)을 갖는 본 발명의 한 개선예가 도시되어 있다. 이러한 8개의 도체 스트립(40 ... 47)은 각각 네 개의 도체 스트립(40 ... 43 또는 44 ... 47)를 포함하는 두 그룹으로 분할된다. 2개의 그룹 각각에는 단지 1개의 신호 발생기(60 또는 62) 및 1개의 신호 검출기(61 또는 63)가 할당된다. 상기 신호 발생기(60, 62)의 신호들은 각각 디멀티플렉서(50 또는 52)를 통해 도체 스트립 그룹(40 ... 43)에 공급되고, 도체 스트립을 통해 전달된 신호들은 멀티플렉서(51 또는 53)를 통해 각각신호 검출기(61 또는 63)에 공급된다.
신호 검출기(61, 63)에 필요한 기준 신호를 공급할 수 있게 하기 위해, 본 발명에서는 각 도체 스트립 그룹당 단 1개의 접속 라인(48 또는 49)이 필요하다. 또한 신호 검출기(61, 63)는 멀티플렉서(51, 53)를 통해 수신된 신호가 예정 신호와 일치하지 않을 경우, 경보 라인(4)을 통해 그 사실을 알린다.
두 개의 도체 스트립 그룹(40 ... 43 또는 44 ... 47)을 갖는 실시예에서, 디멀티플렉서(50, 52) 및 멀티플렉서(51, 53)를 제어하는 두 개의 상이한 가능성을 보여준다. 도 2의 상부에 도시된 도체 스트립 그룹(40 ... 43)에서는 디멀티플렉서(50)와 멀티플렉서가 도체 스트립(40 ... 43) 중 하나를 선택하기 위한 난수(true random number) 발생기(70)에 의해 공동으로 제어된다. 아래에 도시된 도체 스트립 그룹(44 ... 47)에서는 관련 디멀티플렉서(52)와 관련 멀티플렉서(53)가 상이하지만 동일한 형태로 형성된 두 개의 의사 난수(pseudo-random number) 발생기(71, 72)에 의해 제어되며, 상기 의사 난수 발생기(71, 72)는 그들의 동일한 구조로 의해 클럭 주기에서 동일한 시점에 동일한 난수를 공급한다. 그러나, 원칙적으로는 디멀티플렉서 및 멀티플렉서를 클럭 신호 자체에 의해 제어하는 것도 가능하다. 이렇게 하는 것이 회로 기술적으로는 더 간단하지만 안전에 있어서는 더 위험하다.
주어진 칩 면적에서 보호 회로의 전술한 본 발명에 따른 개선예에 의해, 가능한한 가늘면서 서로 가깝게 나란히 놓인 도체 스트립들에 의한 상기 칩 상부 표면의 가능한 한 완전한 커버링과 가능한 한 적은 회로 기술 비용에 대한 요구 사이에 적절한 절충이 이루어질 수 있다.