CN101772775A - 抗篡改半导体器件以及制造该抗篡改半导体器件的方法 - Google Patents
抗篡改半导体器件以及制造该抗篡改半导体器件的方法 Download PDFInfo
- Publication number
- CN101772775A CN101772775A CN200880101346A CN200880101346A CN101772775A CN 101772775 A CN101772775 A CN 101772775A CN 200880101346 A CN200880101346 A CN 200880101346A CN 200880101346 A CN200880101346 A CN 200880101346A CN 101772775 A CN101772775 A CN 101772775A
- Authority
- CN
- China
- Prior art keywords
- substrate
- layer
- semiconductor devices
- runs
- circuit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H01—ELECTRIC ELEMENTS
- H01L—SEMICONDUCTOR DEVICES NOT COVERED BY CLASS H10
- H01L23/00—Details of semiconductor or other solid state devices
- H01L23/57—Protection from inspection, reverse engineering or tampering
- H01L23/576—Protection from inspection, reverse engineering or tampering using active circuits
-
- H—ELECTRICITY
- H01—ELECTRIC ELEMENTS
- H01L—SEMICONDUCTOR DEVICES NOT COVERED BY CLASS H10
- H01L24/00—Arrangements for connecting or disconnecting semiconductor or solid-state bodies; Methods or apparatus related thereto
- H01L24/73—Means for bonding being of different types provided for in two or more of groups H01L24/10, H01L24/18, H01L24/26, H01L24/34, H01L24/42, H01L24/50, H01L24/63, H01L24/71
-
- H—ELECTRICITY
- H01—ELECTRIC ELEMENTS
- H01L—SEMICONDUCTOR DEVICES NOT COVERED BY CLASS H10
- H01L2224/00—Indexing scheme for arrangements for connecting or disconnecting semiconductor or solid-state bodies and methods related thereto as covered by H01L24/00
- H01L2224/01—Means for bonding being attached to, or being formed on, the surface to be connected, e.g. chip-to-package, die-attach, "first-level" interconnects; Manufacturing methods related thereto
- H01L2224/42—Wire connectors; Manufacturing methods related thereto
- H01L2224/47—Structure, shape, material or disposition of the wire connectors after the connecting process
- H01L2224/48—Structure, shape, material or disposition of the wire connectors after the connecting process of an individual wire connector
- H01L2224/4805—Shape
- H01L2224/4809—Loop shape
- H01L2224/48091—Arched
-
- H—ELECTRICITY
- H01—ELECTRIC ELEMENTS
- H01L—SEMICONDUCTOR DEVICES NOT COVERED BY CLASS H10
- H01L2224/00—Indexing scheme for arrangements for connecting or disconnecting semiconductor or solid-state bodies and methods related thereto as covered by H01L24/00
- H01L2224/73—Means for bonding being of different types provided for in two or more of groups H01L2224/10, H01L2224/18, H01L2224/26, H01L2224/34, H01L2224/42, H01L2224/50, H01L2224/63, H01L2224/71
- H01L2224/732—Location after the connecting process
- H01L2224/73251—Location after the connecting process on different surfaces
- H01L2224/73265—Layer and wire connectors
-
- H—ELECTRICITY
- H01—ELECTRIC ELEMENTS
- H01L—SEMICONDUCTOR DEVICES NOT COVERED BY CLASS H10
- H01L2924/00—Indexing scheme for arrangements or methods for connecting or disconnecting semiconductor or solid-state bodies as covered by H01L24/00
- H01L2924/095—Indexing scheme for arrangements or methods for connecting or disconnecting semiconductor or solid-state bodies as covered by H01L24/00 with a principal constituent of the material being a combination of two or more materials provided in the groups H01L2924/013 - H01L2924/0715
- H01L2924/097—Glass-ceramics, e.g. devitrified glass
- H01L2924/09701—Low temperature co-fired ceramic [LTCC]
-
- H—ELECTRICITY
- H01—ELECTRIC ELEMENTS
- H01L—SEMICONDUCTOR DEVICES NOT COVERED BY CLASS H10
- H01L2924/00—Indexing scheme for arrangements or methods for connecting or disconnecting semiconductor or solid-state bodies as covered by H01L24/00
- H01L2924/10—Details of semiconductor or other solid state devices to be connected
- H01L2924/11—Device type
- H01L2924/14—Integrated circuits
-
- H—ELECTRICITY
- H01—ELECTRIC ELEMENTS
- H01L—SEMICONDUCTOR DEVICES NOT COVERED BY CLASS H10
- H01L2924/00—Indexing scheme for arrangements or methods for connecting or disconnecting semiconductor or solid-state bodies as covered by H01L24/00
- H01L2924/30—Technical effects
- H01L2924/301—Electrical effects
- H01L2924/3011—Impedance
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Microelectronics & Electronic Packaging (AREA)
- Power Engineering (AREA)
- Physics & Mathematics (AREA)
- Condensed Matter Physics & Semiconductors (AREA)
- General Physics & Mathematics (AREA)
- Semiconductor Integrated Circuits (AREA)
Abstract
本发明涉及一种抗篡改半导体器件,该抗篡改半导体器件包括衬底(5),所述衬底(5)包括布置在所述衬底(5)的第一侧上的电子电路。在所述衬底(5)的与所述第一侧相对的第二侧上布置导电保护层(50,50a,50b)。至少三个贯穿衬底的连接(45)从所述衬底(5)的第一侧延伸至衬底(5)中并且与所述衬底(5)第二侧的导电保护层(50,50a,50b)电接触。在所述第一侧上布置安全电路,所述安全电路连接至贯穿衬底的导电连接(45),并且被布置用于:通过贯穿衬底的导电连接(45)来测量导电保护层(50,50a,50b)的至少两个电阻值(R12,R23,R34,R14,R13,R24)。所述安全电路还被布置用于将所测量的电阻值(R12,R23,R34,R14,R13,R24)与基准电阻值进行比较。
Description
技术领域
本发明涉及一种抗篡改(tamper-resistant)半导体器件以及涉及制造这种器件的方法。
背景技术
针对诸如智能卡、RFID标签、付费电视芯片之类应用的集成电路(IC)通常包含保密安全密钥并执行保密功能。IC需要在对抗目的在于从该IC取回数据的、来自外界的攻击方面是安全的。IC可以受到前侧和后侧攻击。在本描述中,将半导体器件的“前侧”定义为半导体器件上用于提供电路的那一侧。在本描述中,该侧还称作“衬底的第一侧”。同样地,将半导体器件的“后侧”定义为与前侧相对的那侧,在本描述中该侧还称作“衬底的第二侧”。后侧攻击可以包括多种分析技术,如光发射检测或光子发射检测、热红外检测、液晶检测、电压或电场检测、以及电磁检测方法。通常,这些方法与入侵攻击相结合使用,如,晶片减薄、激光切割和加热、聚焦离子束(FIB)技术。还从后侧使用光或激光闪光方法,以便强制信号翻转。当与数学攻击相结合使用上述方法中的任何一种方法时,这些攻击可以是非常强大的。由于许多先前提到的技术都是从IC的后侧进行的,因此良好地保护这些IC的后侧是很重要的。
WO 03/046802A2公开了一种半导体器件,该半导体器件包括被钝化层所覆盖的电路。为该半导体器件配置第一安全元件,该第一安全元件包括钝化层的本地区域并且具有第一电容。优选地,存在具有不同电容的多个安全元件。该半导体器件还包括:测量装置,用于测量第一电容的实际值;以及存储器,包括第一存储器元件,用于将所述实际值作为第一参考值存储在所述第一存储器元件中。该发明的半导体器件可以通过一种将电容的实际值存储为第一参考值的方法来初始化。可以通过对再次测量的实际值和第一参考值进行比较来检测对篡改钝化层的尝试。
已知半导体器件的缺点是:该半导体器件并不提供后侧保护。此外,可能使用传统的后侧工艺技术无法容易地制造在这种器件中实现的保护技术,这是因为这种保护技术要求特殊的钝化结构,所述特殊的钝化结构包括特殊的钝化层和用于测量电容或电感的测量电极,其中所述电容和电感的值是由钝化层来确定的。对于后侧工艺,这构成了非常复杂的解决方案。
发明内容
本发明的目的是提供一种在开始段落中阐述的所述类型的半导体器件,包括后侧保护,可以使用传统的后侧工艺技术来制造该后侧保护。
本发明由独立权利要求来限定。从属权利要求限定了有利实施例。
在第一方面,本发明涉及一种抗篡改半导体器件,包括:
-衬底,包括布置在所述衬底第一侧的电子电路;布置在所述衬底的、与所述第一侧相对的第二侧的导电保护层;
-至少三个贯穿衬底的导电连接,从所述衬底的第一侧延伸至所述衬底中,并且与所述衬底第二侧的导电保护层电接触;
-安全电路,布置在所述第一侧,连接至所述贯穿衬底的导电连接,并且被布置用于:
i)通过贯穿衬底的导电连接来测量导电保护层的至少两个电阻值,以提供安全码,以及
ii)将所述安全码与基准码进行比较。
根据本发明的半导体器件特征的效果是:实现了半导体器件的后侧保护,其中使用传统的后侧工艺技术可以容易地制造所述后侧保护。
首先,可以利用传统的工艺技术容易地在后侧提供导电保护层。如果需要,不需要对保护层进行图案化。然而,显然不排除以相对低的分辨率对保护层进行图案化。例如,可以对保护层应用打印技术。本发明的重要理解是:形成电阻测量的基础的保护层是导电的。更具体地,保护层比该保护层所应用到的衬底导电性更强。所述衬底通常是半导体衬底,然而基本上不排除诸如玻璃或陶瓷之类的其他衬底。更合适地,在采用硅半导体衬底的情况下,与保护层相邻的衬底区域被合适地低掺杂(n-)或(p-),或者甚至通过注入或照射为所述与保护层相邻的衬底区域给出更高的电阻率。
其次,根据本发明的半导体器件提供了一种电阻保护方案,与贯穿衬底的连接相结合使得能够实现(保护层的)后侧特性的前侧测量。因为存在许多电路,所以这允许更精确的测量。此外,贯穿衬底的连接的长度有效地短并且可以相对直接,使得从测量电路至保护层的路径较短。这防止了集成电路的互连结构内的相互作用使测量偏置,所述相互作用和效果对于任何连接来说很大程度上都是相同的。此外,在前侧使用电路允许在所述前侧限定一些电阻器或其他阻抗。这提供了另一种方式来提高安全码的安全级别。
第三,可以采用大多数IC工艺来毫无困难地制造所述贯穿衬底的导电连接,并且所述贯穿衬底的导电连接提供了与电阻保护层非常方便的电接触。可以在后侧工艺开始之前方便地制造所述贯穿衬底的连接。通过这样做,可以自动地实现导电保护层与导电贯穿衬底连接之间的接触。
第四,提供至少三个电连接使得可以实现在单个单片保护层上测量不同电阻值,而在现有技术中制造复杂地图案化的保护层以提供多个不同电阻。这种对不同电阻值的测量允许产生多个安全码。这样,这允许安全电路限定要测量哪个特定安全码。安全码的这种可能变化强烈地提高了安全级别:即使未授权的人员能够充分地检测电阻值,也不清楚如何复制安全码。尽管安全码的产生符合识别产业中的期望,也不排除安全码仅包括测量值集合,将所述安全码逐一地或相继地进与基准值进行比较。可以将安全码存储于芯片上存储器中,或者备选地存储在半导体器件外部的中央数据库中。
在根据本发明的半导体器件的实施例中,贯穿衬底连接的数目等于n,n≥3,并且在贯穿衬底连接对之间测量的电阻值的数目等于Z,其中Z符合以下等式:
2<Z≤(n!/((n-2)!*2!)。
为半导体器件制造的贯穿衬底的连接更多,可以从保护层测量的电阻值就更多。在2点电阻测量的情况下,上述公式给出了可能的电阻值的范围。
合适地,安全电路定义了特定条件下多个测量的指令以及可能地定义了后续信号处理,以定义安全码。可以利用散列函数等来对所述指令进行加密。测量的特定条件包括例如对电阻、施加在电阻上的电压、电阻测量的类型以及施加电压的方式的选择。电压施加的一个选项是提供电压扫描,另一选项是提供连续的电压。关于电压扫描,可能的测量方式是测量时间延迟。合适地,施加直流电。然而,不排除交流电。也不排除在一个方向上测量电阻之后在相反方向上测量。后者是一种检测任何滞后效应的方式。这些可以用于创建提高的安全级别。
在一个实施例中,按照两点连接测量电阻。在备选实施例中,执行多点电阻测量。不排除将安全电路布置为使得既能够实现两点电阻测量又能够实现多点电阻测量。在根据本发明的半导体器件的实施例中,安全电路包括从包括以下项目的组中选择的电路:
-两点电阻测量电路,以及
-四点电阻测量电路。
这些电路构成了针对电阻测量的最普遍使用的类型。现有技术中已知多种电阻测量技术。上述电路提供了可以用在根据本发明的抗篡改半导体器件中的方便的解决方案。四点电阻测量技术的示例是Van-Der-Pauw测量技术,该技术对于本领域技术人员而言是公知的。
所有需要在根据本发明的半导体器件中进行的是相对于保护层来适当地定位贯穿衬底的连接以及测量所述贯穿衬底的连接的可能组合之间的电阻。适当定位是产生电阻值的设计问题,所述电阻值良好地可测量并且允许独立电阻值之间的充分变化。例如这种适当定位依赖于电阻的材料以及应用的方式:作为涂层或悬置物的一部分,等等。此外,适当定位依赖于每个贯穿衬底的连接之间距离的变化。合适地,进行设计使得彼此相邻的第一和第二贯穿衬底的拦截彼此相距第一横向距离。然而,也彼此相邻的第一和第三贯穿衬底的连接彼此相距第二横向距离。所述第二横向距离与所述第一横向距离不同。所述第二横向距离相对于所述第一横向距离在20%至80%的范围内,如0.8、0.75、0.67、0.5、0.33、0.25或在这些比率中的一个或更多比率之间的任何范围。优选的是定义相连贯穿衬底的连接之间的、有限数目的距离。这是在变化数目之间的最优并且是在电阻值上的控制。具体地,一种选项是对在相距同样横向距离的邻居之间测量的电阻值进行参考测量。这样的参考测量可以用于由于温度变化而引起的补偿、校准或纠错。
在一个特定实施例中,电阻测量是相对于对诸如温度之类的环境参数具有相同灵敏度的另一电阻测量而进行的。这允许避免环境参数的影响,从而确保对于从相同保护层测量的所有电阻的环境参数的灵敏度是实质上相同的。
在根据本发明的半导体器件的实施例中,导电保护层对于至少红外光和可见光来说是不透明的。因为在不去除保护层的前提下使得来自后侧的光学检查方法不可能实现,所以这种测量提供了更高的安全级别。然而,这种尝试将导致所检测的电阻发生变化,该变化可以用于清除电子电路中的安全内容。备选地,该变化可以用于将电子电路去激活或重置。
在根据本发明的半导体器件的实施例中,衬底包括SOI衬底,所述SOI衬底包括:半导体衬底层、在所述衬底层上提供的掩埋绝缘层、以及在所述掩埋绝缘层上提供的有源层,所述有源层位于所述衬底的第一侧,所述半导体衬底层位于所述衬底的第二侧。然后在所述有源层中提供所述电子电路。所述贯穿衬底的连接从所述第一侧通过所述有源层和所述掩埋绝缘层延伸至所述半导体衬底层。在所述衬底的第二侧的所述半导体衬底层上提供所述导电保护层。所述掩埋绝缘层通常是氧化层,备选地可以是氮化物、氧氮化物、或其他。
本实施例的一个优点是允许贯穿衬底的连接的更高分辨率。在该实施例中,贯穿衬底的连接只需要从所述第一侧延伸至所述衬底层,这意味着贯穿衬底的连接(通孔)可以更短。在给定特定工艺的情况下,开口的最大可实现深度(对于制造贯穿衬底的连接而言所需的)依赖于开口的纵横比,其中所述纵横比被定义为开口的深度除以开口的最小横向尺寸。越浅的开口可以具有越小的横向尺寸,这可以使得芯片面积减小以及间接地节省成本。
另一优点是直观提高的可靠性以及制造的简化。不需要提供从贯穿衬底的连接至保护层的电接触。然而,利用掩埋绝缘层防止了创建通过衬底的一个或更多较高掺杂区域的路径。
电接触的不存在使得简化了减薄操作,这是因为两种材料(衬底和连接)的混合物的减薄可能导致减薄速度的差异。这种减薄速度方面的差异可能不利于可靠性,因为在减薄期间暴露的连接可能导致粘合性变差、通过连接的电路的污染、甚至连接的破裂。
在SOI衬底的一个特定实施例中,该衬底不需要被减薄得如同在体材料衬底的情况下一样多。因此,这在不需要减薄(例如,减薄到智能卡尺寸)衬底的应用中可能是非常有利的。对于智能卡而言,尺寸减薄通常延伸至30微米或更小。对于普通应用,衬底的总体厚度可以更大,在100-200微米的量级上。清楚的将是,最合适的是半导体衬底是相对高欧姆的,并且优选地并不掺杂有电荷载体。特定欧姆值或电荷载体浓度对于本领域技术人员来说将是清楚的。
SOI衬底的使用并不仅仅有利于本发明安全电路的制造。SOI衬底的使用还允许将安全电路集成到用于应用的器件中,在所述应用中目前为止并不将安全性看作是关键问题,如在识别应用中一样。一种示例是针对自动应用的高压电路。可以看出,掩埋绝缘层并不需要延伸通过半导体器件。例如,掩埋绝缘层可以是本地限定的SOI。
在实施例中,将衬底在其第二侧处经由导电粘合层安装在导电衬底载体上,其中所述导电衬底载体和所述导电粘合层一起形成导电保护层。IC通常安装于封装中。这样的封装包括衬底载体(例如,引线框架),用粘合层将所述半导体器件被安装到所述衬底载体上,此后半导体器件连接至衬底载体。最后提到的实施例是有利的,因为衬底载体和粘合层被有效地作为保护层重新使用。对于将半导体器件从衬底载体去除的尝试将直接影响安全电路所测量的电阻,该事件进而可以用于擦除电子电路中存储的保密数据。
在根据本发明的半导体器件的实施例中,导电保护层和贯穿衬底的连接形成了对衬底第二侧的一部分加以覆盖的区域。据此,本发明允许具体地保护该器件的特定区域。这种特定保护首先是光学保护。然而,很可能的是,一旦检测到对保护层或连接的损坏就可以将覆盖所限定区域的电路模块断电。这里,可以通过对保护层进行图案化以及还通过对所述连接进行定位,来限定所述区域。
在另一修改中,可以对保护层进行图案化,而第二侧上并未覆盖有保护层的空间可以用于其它用途,如集成电路的后侧接触。更具体地,贯穿衬底的连接被很好地限定在所述区域的外部,以便使得可以实现电路的信号传输或接地。
在根据本发明的半导体器件的实施例中,导电保护层完全覆盖衬底的第二侧。该实施例的优点是提供了非常简单的易于制造的解决方案。衬底的第二侧所需的唯一工艺步骤是沉积导电保护层,这是通过例如溅射来实现的。
在根据本发明的半导体器件的实施例中,导电保护层包括从包括以下项目的组中选择的材料:铝(Al)、钛钨(TiW)、氮化钛(TiN)、氮化钽(TaN),以及这些材料中任何材料的所有可能组合。这些材料是有利的,因为它们与大多数工艺技术兼容。
在实施例中,半导体器件还包括存储装置,所述存储装置用于存储基准电阻值,并且用于将所述基准电阻值提供给安全电路。在根据本发明的半导体器件用于其应用中之前,可以测量基准电阻值并方便地将所述基准电阻值存储在本实施例的存储装置中。为了从电子电路取回数据而破坏保护层的任何尝试都会导致安全电路所测量的电阻发生变化。可以将这些电阻与基准电阻相比较,该事件可以用于在检测到变化的情况下将电子电路中存储的保密数据擦除,或者备选地将电子电路重置或去激活。
在根据本发明的半导体器件的实施例中,电子电路包括非易失性存储器,所述非易失性存储器用于存储要保护的数据。诸如PROM、EPROM、EEPROM以及FLASH存储器之类的非易失性存储器特别易受到外部攻击的损害,并且很大程度上得益于本发明所提供的抗篡改。在根据本发明的半导体器件的另一实施例中,该器件还包括重置装置,所述重置装置用于响应于导电保护层的测量电阻改变来擦除非易失性存储器的内容。为了从电子电路器件取回数据而损坏保护层的任何尝试都可以被检测到,并且可以用于触发重置装置将非易失性存储器的内容擦除。
在根据本发明的半导体器件的实施例中,导电保护层包括提供伪随机或完全随机可变空间电导率的成分或材料。该实施例是有利的,因为通过该实施例实现了更高的保护级别。保护层电导率的可变性使得从贯穿衬底的连接来确定其电导率是非常困难的。越大的可变性导致越高的安全级别。在根据本发明的半导体器件的另一实施例中,导电保护层的可变性用于提取不可再现的器件特定密钥。当保护层电导率的可变性较大时,所测量的电阻值可以一起有利地形成器件特定密钥。该密钥可以用于加密用途,这使安全级别达到了甚至更高的级别。
优选地,在以上最后提到的两个实施例中,导电保护层包括锡(Sn)和铝(Al)的混合物,这导致了较大的电导率可变性。
如果黑客无论用何种手段能够取回并再现保护层的电特性和物理特性,则该黑客可以绕过根据本发明的半导体器件中的保护。在这种情况下,如果贯穿衬底的导电连接具有分布式或随机电导率,则可以得到半导体器件的非常有利的实施例。在该实施例中,黑客将仍然面对安全电路所测量的电阻仍然未知的的问题。如果黑客希望将来自一个半导体器件的所测量的特性用在另一器件上,则仍然无法绕过保护,从而获得了更高的保护级别。
在实施例中,半导体器件还包括在半导体器件的第一侧提供的至少一个发光器件和至少一个光感测器件,其中,所述发光器件被布置为朝向所述第二侧将包括对于所述衬底透明的波长范围内的光发射至衬底中;并且,所述光感测器件被布置为沿着通过衬底的通道以及在所述第二侧的反射来感测所发射的光的至少一小部分,以及被布置为输出表示第二侧的反射状态的信号,从而使得能够对损坏所述半导体器件第二侧的尝试进行检测。
本实施了构成了一种抗篡改半导体器件,其中,将根据本发明的两个保护方案与光学保护方案相结合。黑客可能能够确定安全电路所测量的电阻值,并再现在贯穿衬底的连接之间第二侧的相同电阻。然而,在该实施例中,黑客仍然面对以下问题:光感测器件检测到还充当反射层的保护层的不存在,并且在该检测之后可能仍然擦除电子装置的内容。
在第二方面,本发明涉及制造这种抗篡改半导体器件的方法,这些方法具有与半导体器件本身的优点相同的优点。在第一主要实施例中,该方法包括以下步骤:
-提供衬底,所述衬底具有第一侧以及与所述第一侧相对的第二侧;
-在所述衬底的第一侧提供电子电路;在所述衬底中提供至少三个贯穿衬底的导电连接,所述连接从所述衬底的第一侧延伸至所述衬底的第二侧,以及
-在所述第一侧上提供安全电路,并将所述电路连接至所述贯穿衬底的导电连接,所述安全电路被布置用于:
i)通过贯穿衬底的导电连接来测量导电保护层的至少两个电阻值,以及
ii)将所测量的电阻值与基准电阻值进行比较;
-在所述衬底的第二侧提供导电保护层。
该方法的该实施例方便地提供了一种抗篡改半导体器件。广泛地使用体材料衬底。SOI衬底要昂贵得多并且将仅用于必要的器件。
在第二主要实施例中,根据本发明的方法包括以下步骤:
-提供SOI衬底,所述SOI衬底包括:半导体衬底层、在所述衬底层上提供的掩埋氧化层、以及在所述掩埋氧化层上提供的有源层,所述有源层位于所述衬底的第一侧,以及所述半导体衬底层位于所述衬底的第二侧
-在所述有源层中所述衬底的第一侧提供电子电路;
-在所述衬底中提供所述至少三个贯穿衬底的导电连接,所述贯穿衬底的导电连接从所述衬底的第一侧延伸至所述半导体衬底层,以及
-在所述第一侧提供安全电路,并将所述电路连接至所述贯穿衬底的导电连接,所述安全电路被布置用于:
i)通过贯穿衬底的导电连接来测量导电保护层的至少两个电阻值,以及
ii)将所测量的电阻值与基准电阻值进行比较;
-在所述衬底的第二层提供导电保护层。
该方法的该实施例是非常有利的,因为该实施例依赖于SOI衬底的衬底层通常是非常良好的导电层的这一事实。因此,贯穿衬底的连接不需要完全通过衬底延伸至保护层。朝向衬底层的延伸建立了在贯穿衬底的连接之间的连接。从半导体器件的第一侧测量的电阻包括衬底层电阻与保护层电阻的某种并联连接。必须注意,保护层电阻相对于衬底层电阻越低,则保护层的损坏将对所测量的电阻影响越大。
参考以下描述的实施例,本发明的这些和其他方面将显而易见并且得以阐述。
附图说明
在附图中:
图1a示出了根据本发明第一实施例的抗篡改半导体器件;
图1b示出了图1a的抗篡改半导体器件的示意性顶视图;
图2示出了根据本发明第二实施例的抗篡改半导体器件;
图3a至3f示意了根据本发明的抗篡改半导体器件的制造工艺中的不同阶段;
图4a至4f示意了根据本发明的抗篡改半导体器件的另一制造工艺中的不同阶段;
图5a示出了铝锡成分的相图,该相图示出了不溶混性;
图5b示出了在加热处理之后不溶混金属微结构的示例,以及
图6示出了从本发明的抗篡改半导体器件获益的可能系统的示例。
具体实施方式
应该注意的是,上述实施例说明而非限制本发明,在不脱离所附权利要求范围的前提下,本领域普通技术人员将能够设计出许多备选实施例。在权利要求中,置于圆括号之间的任何参考标记不应被解释为限制权利要求。动词“包括”及其动词变化的使用并不排除存在除了权利要求中所陈述以外的元件或步骤。在元件之前的冠词“一个”或“一种”并不排除存在多个这样的元件。可以利用包括若干不同元件的硬件或者利用合适地编程的计算机来实现本发明。在列举了若干装置的设备权利要求中,可以由同一项硬件来体现这些装置中的一些。在互不相同的从属权利要求中描述特定手段并不表示不能有利地使用这些手段的组合。在附图中,由相同的参考数字或标记来指示相似或相应的特征。
在安全IC应用中,对抗来自后侧的攻击的集成电路(IC)的保护是必要的。发明人认识到需要一种针对这种问题的广泛用于工业上的解决方案。如随后在本描述中将更完备描述的,本发明提供了高度防伪的解决方案。简言之,通过利用保护层屏蔽IC的后侧来提供了该解决方案,其中,所述保护层屏蔽了各种攻击和评估方法,同时提供了攻击检测的可能性。
在本描述中,将半导体器件的“前侧”定义为半导体器件的用于提供电路的那一侧。在本描述中,该侧还称作“衬底的第一侧”。同样,将半导体器件的“后侧”定义为与所述前侧相对的那一侧,并且在本描述中所述“后侧”还称作“衬底的第二侧”。
图1a示出了根据本发明第一实施例的抗篡改半导体器件。该图示出了半导体衬底5。衬底5可以包括以下半导体材料和成分中的任何一种:如,硅(Si)、锗(Ge)、硅锗(SiGe)、砷化镓(GaAs)以及其他III-V族化合物(如,磷化铟(InP)、硫化镉(CdS))和其他II-VI族化合物,或包括这些材料和成分的组合。衬底5可以在其前侧包括例如晶体管、电容器、电阻器、二极管以及电感器,这些形成了电子电路的组件。在图中,省略了这些元件以便于理解本发明。这些元件覆盖有绝缘层30。绝缘层30可以包括诸如氧化硅(SiO2)、氮化硅(Si3N4)以及低k电介质(低kSi(SiLK)、含氢硅酸盐(HSQ,hydrogensilsesquioxane)、碳氧化硅(siliconoxicarbide)/黑钻石(SiOC))之类的材料以及这些材料中任何材料的所有可能组合。这些半导体器件还包括贯穿衬底的导电连接45,所述导电连接从前侧通过绝缘层30和衬底5延伸至衬底5的后侧。在随后提到这些连接45时,出于简要原因省略了这些连接45是导电的这一事实。此外,利用另一电绝缘层40使所述贯穿衬底的连接45与衬底50相隔离。优选地,贯穿衬底的连接45可以包括诸如具有氮化钽(TaN)阻挡层的铝(Al)、钨(W)、铜(Cu)之类的材料以及掺杂的多晶Si。在衬底5的后侧提供导电保护层50,所述导电保护层50在一些实施例中对于红外和可见光是不透明的。在随后提到保护层50时,出于简要原因省略了该保护层50是导电的这一事实。
在本发明中,保护层50可以包括诸如低温(<450℃)后端兼容导电涂覆材料(如,金属)之类的材料。优选地,导电保护层50包括与标准CMOS工艺兼容的材料,例如,从包括以下材料在内的组中选择的材料:铝(Al)、钨(W)、铜(Cu)、钛钨(TiW)、氮化钛(TiN)、氮化钽(TaN),以及这些材料中任何材料的所有可能组合。在一些实施例中,保护层50可以与衬底5隔离,但这并不是必需的。对于半导体器件的适当运作来说更重要的是(但仍不是必需的),贯穿衬底的连接45与衬底5隔离,使得连接45之间的电流路径靠近衬底5的后侧。导电保护层50的期望效果是该导电保护层50屏蔽IC使IC不受来自后侧的攻击和评估。在保护层50不透明的实施例中,保护层50的不透明性防止了光学检测方法。由于保护层50是导电的,所以阻止了诸如聚焦离子束之类的入侵方法。带电的波束很难通过导电层并且可能的反射被严重干扰。
在衬底5的前侧上提供安全电路(未示出),所述安全电路连接至贯穿衬底的导电连接45并且被布置为用于:
i)通过贯穿衬底的导电连接45来测量导电保护层50的至少两个电阻值,以及
ii)将所测量的电阻值与基准电阻值进行比较。
在图1a中,示出了在衬底5的前侧测量的任何电阻至少包括与保护层50的电阻Rp串联的、贯穿衬底的连接45的电阻Rc。还可以存在其他寄生电阻和电容,但是出于清楚原因省略了它们。
然而,在现有技术中,已知多种保护方案利用形成电阻网络的、复杂图案化的保护层,根据本发明的抗篡改半导体器件在简单性方面胜出,这是因为保护层50不包括复杂的图案。取而代之地,保护层50基本上由在与衬底平行的平面中考虑的“单片”构成。保护层50可以具有不同材料的子层。保护层50可以是任何形状的,只要它覆盖需要后侧保护的IC部分,并且只要它不具有以下这样的孔:所述孔的大小使得可以通过所述孔来进行后侧检查。就关注复杂度而言,根据本发明半导体器件的最具吸引力的实施例包括保护层50,所述保护层50完全覆盖衬底5的后侧,由于在后侧不需要光刻或其他图案化技术,这简化了制造工艺。
图1b示出了图1a的抗篡改半导体器件的示意性顶视图。发明人已经认识到,当向保护层50提供至少三个贯穿衬底的连接45时,可以从单个保护层5测量至少两个电阻值。所测量的电阻值是至少由保护层5的形状和贯穿衬底的连接45的位置来确定的。在图1b中,以示例的方式示出了四个贯穿衬底的连接CN1、CN2、CN3、CN4。在另一实施例中可以是两个以上的任何数目,这是由于这使得可以测量至少两个电阻值。可以在第一连接CN1与第二连接CN2之间测量第一电阻值R12。可以在第二连接CN2与第三连接CN3之间测量第二电阻值R23。可以在第三连接CN3与第四连接CN4之间测量第三电阻值R34。可以在第四连接CN4与第一连接CN1之间测量第四电阻值R41。可以在第一连接CN1与第三连接CN3之间测量第五电阻值R13,并且可以在第二连接CN2与第四连接CN4之间测量第六电阻值R24。在图1b给出的示例中,示意了所谓的两点电阻测量。备选地,可以使用4点电阻测量或Wan-Der-Pauw电阻测量。在这种情况下,可以需要更多的贯穿衬底的连接45,以便于测量至少两个电阻值。电阻的测量以及可以用于该测量的电路类型是本领域技术人员公知的。在以下参考中提供了与多种电阻测量技术有关的更多信息:
-Xiujun Li and G.C.M.Meijer,“A Smart and Accurate Interface forResistive Sensors”,IEEE Transactions on Instrumentation andMeasurement,Vol.50,No.6,December 2001,p.1648-1651;
-Van Der Pauw,L.J.(1958).“A method of measuring specificresistivity and Hall effect of discs of arbitrary shape”,Philips ResearchReports 13:p.1-9,以及
-Van Der Pauw,L.J.(1958).“A method of measuring the resistivityand Hall coefficient on lamellae of arbitrary shape”,Philips TechnicalReview 20:p.220-224。
通过利用穿过衬底5的连接45来从前侧接触保护层50,可以检测保护层50的存在,但还可以测量其电阻。如果足够精确地完成了电阻测量,则还可以检测保护层50是否已受到损坏。然后可以检测到小孔的制造以及其他损坏。例如,在保护层50中制造的孔导致所测量的电阻值R12、R23、R34、R41、R12、R24中一个或更多个电阻值的改变。通过在每当半导体器件启动时测量电阻,并将其与在生产期间已测量并存储在集成电路上的值相比较,可以进行反攻击测量,例如擦除电子电路中的(例如,存储在非易失性存储器中的)安全数据。
图2示出了根据本发明第二实施例的抗篡改半导体器件。该实施例与图1a的实施例的不同之处在于,并不在衬底5的后侧提供保护层50,而是用导电粘合层50a将衬底5安装在导电衬底载体50b上。这样,粘合层50a和导电衬底载体50b(在一些实施例中可以是引线框架)一起形成了保护层。尝试将集成电路从该集成电路的衬底载体50b去除导致安全电路(未示出)所测量的电阻发生变化。还在图2的抗篡改半导体器件的前侧为该抗篡改半导体器件提供接合焊盘70,所述接合焊盘70经由接合线80连接至衬底载体50b。此外,还在半导体器件上提供钝化层60,所述钝化层60在与衬底载体50b相连的接合焊盘70的位置处具有孔。以示例的方式,如同在例如智能卡应用中的情况一样,将组件安装到塑料卡100中。
通过向粘合材料中添加银颗粒可以使粘合材料呈现导电性,这在商业上可用作“Leitsilber”。向粘合材料中添加银成分的另一优点是,银颗粒的高度集中使得粘合材料在光学上不透明,这使得光学检查更为困难或甚至不可能。
在抗篡改半导体器件的另一实施例中,仅由粘合层50a来形成导电保护层50。在这种情况下,上面安装有该器件的衬底载体50b不需要是导电的。
图3a至3f示意了根据本发明的抗篡改半导体器件的制造工艺中的不同阶段。在图1a和1b的描述中所描述的还应用于图3a中所描述的,图3a示意了在衬底5的第一侧(前侧)处为衬底5提供电子电路(未示出)的工艺阶段。电子电路包括安全信息,其中需要保护该安全信息不受攻击。在该示例中,在电子电路上提供绝缘层30。图3b示意了提供多个开口的工艺阶段,其中所述开口从第一侧通过绝缘层30延伸至衬底5中。在图3c中,提供另一绝缘层(例如,氧化硅),该另一绝缘层覆盖衬底5的第一侧以及开口35的所有侧壁。在图3d中,以导电材料45来填充开口35,以形成导电连接。在图3e中,使用已知的工艺技术对衬底5的第二侧(后侧)进行减薄,以完成贯穿衬底的连接45的形成。在图3f中,在衬底5的后侧上提供保护层50,所述保护层50在减薄步骤之后与贯穿衬底的连接45进行电接触。例如,可以用溅射来提供保护层。溅射对于本领域普通技术人员来说是公知的。
在备选实施例中,在提供保护层50之前,在衬底5的后侧提供薄的电绝缘层(例如,SiO2、Si3N4)。在这种情况下,需要在贯穿衬底的连接45的位置处部分地蚀刻该薄的电绝缘层,以便实现与保护层50的电连接。
在图3f所示的阶段之后,通常执行多种后续工艺步骤,以便获得可以安装到其应用中的半导体器件。这些步骤之一是在整个半导体器件上提供钝化层(未示出)。这样的钝化层可以包括500nm的氧化硅(SiO2)第一层以及500nm的氮化硅(Si3N4)第二层。
图4a至4f示意了根据本发明的抗篡改半导体器件的另一制造工艺中的不同阶段。将仅在本实施例与图3a至3f所公开的实施例不同的方面来讨论本实施例。在图4a所示的工艺的阶段中,衬底5包括绝缘体上硅结构(SOI)衬底,该SOI衬底包括衬底层10、在衬底层10顶部上提供的掩埋氧化层15、以及在掩埋氧化层15顶部上提供的有源层20。有源层20包括之前描述的电子电路(未示出)。在图4b的阶段中,所形成的开口延伸至掩埋氧化层15。在图4c所示的阶段中,与图3c中的阶段相类似地提供绝缘层40。在图4d所示的阶段中,执行各向异性刻蚀,所述各向异性蚀刻将衬底5第一侧处以及开口35底部处的绝缘层40去除。在图4e所示的阶段中,与图3d相类似地提供贯穿衬底的连接45。图4f所示的阶段与图3a和3f相对应。在该阶段中,衬底5的衬底层10已经被减薄并且在所述衬底层10上提供了保护层50。
该方法的实施例是非常有利的,因为该方法基于以下事实:SOI衬底5的衬底层10通常是非常良好的传导层。因此贯穿衬底的连接45不需要完全地通过衬底5延伸至保护层50。朝向衬底层10的延伸建立了贯穿衬底的连接45之间的连接。从半导体器件的第一侧测量的电阻包括衬底层电阻与保护层电阻的某种并联连接。必须注意的是,保护层50的电阻相对于衬底层10的电阻而言越低,则保护层的损坏对安全电路的测量电阻造成的影响越大。贯穿衬底的连接45仅需要从第一侧延伸至衬底层10的事实意味着贯穿衬底的连接(通孔)45可以更短。在给定特定工艺的情况下,开口35的最大可实现深度(对于制造贯穿衬底的连接而言所需要的)依赖于开口35的纵横比,其中纵横比被定义为开口35的深度除以开口35的最小横向尺寸。较浅的开口35可以具有较小的横向尺寸,这可以使得芯片面积减小以及间接地节省成本。使用SOI衬底5的另一优点是:代替制造贯穿衬底的连接,衬底5并不总是需要被减薄得如同体材料衬底的情况下一样多。这依赖于应用:即,智能卡。
必须注意的是,图3a至4f示示的制造工艺仅仅是示例性的。本领域技术人员可以容易地想到这些方法的变体。
图5a示出了铝锡混合物的相图,该相图示出了不溶混性,图5b示出了加热处理之后不溶混金属微结构的示例。根据本发明的半导体器件的有利实施例是在保护层50的电导率在其整个面积上并不均匀的情况下得到的。这样的实施例表征了从保护层提取器件特定密钥,所示器件特定密钥可以用于加密目的。制造在其面积上具有可变电导率的保护层50的一种方式是使用铝(Al)和锡(Sn)的混合物。在该混合物中不形成金属间接合。在图5a的相图中示意了这一点。在将铝和锡的混合物溅射在表面上时,形成铝和锡的同质原子混合物的层。在将该层加热至大约250℃时,混合物将分成铝岛和锡岛,铝岛具有低电阻,锡岛具有高电阻。图5b示出了具有这种分立的岛的金属混合物的照片。这些岛存在的结果是,在将这种层用作如本发明的保护层50时,贯穿衬底的连接之间的导电路径变成是变化的并且在此之上是不可预测的。
图6示出了从本发明的抗篡改半导体器件受益的可能系统的示例。传统上,对保密芯片标识符或密钥编程并存储在诸如EEPROM或熔丝存储器之类的非易失性存储器中。存储在这些存储器上的数据并不是安全的,可以使用分析技术来读取这些数据。为了解决这种问题,提出了从后侧保护层特性中推导出加密密钥(的至少一部分)。在图6中示意了实现这一点的可能系统,该系统操作如下。依系统请求,由测量电路MC来车辆保护层50的电阻,并且由模拟数字转换器AD将该电阻转换成数字比特串STR1。在图6中将测量电路MC和模拟数字转换器AD示出为一个模块MC/AD。将该串STR1与来自EEPROM 120的助手数据HDta(以及可选地更多密钥数据)一起转换成临时存储在寄存器140中的加密密钥K。该寄存器140可以是例如SRAM或处于随机逻辑状态的双稳态触发器。密码处理器160将该数据转换成输出比特串STR2,所述输出比特串STR2经由输入输出接口IO被传送至外界。在完成该转换之后,从存储器140删除所述密钥。对于智能卡应用来说,上述系统含义如下。
从不发送保密密钥,而是发送密钥的散列函数。该散列函数依赖于存储体(bank)对智能卡的请求,这避免了总是发送相同的串。在所述存储体中,以安全的方式来存储信息。因此,从所发送的串中取回保密密钥是“不可能的”。
因此,本发明在第一方面提供了一种抗篡改半导体器件,该抗篡改半导体器件包括可以容易地使用传统的后侧工艺技术来制造的后侧保护。所需的是在该器件后侧的导电保护层以及从前侧延伸至衬底中并且与保护层电接触的至少三个贯穿衬底的导电连接。通过这样做,布置在器件前侧的安全电路可以测量单个单片保护层上的至少两个电阻值,而在现有技术中制造复杂图案化的保护层以提供多个不同电阻。在根据本发明的半导体器件中,可以检测到保护层的损坏,这是因为所测量的电阻值中的至少一个电阻值可以因损坏而发生改变。一旦检测到损坏,这可以擦除器件的电子电路中存储的安全数据,这使得黑客无法获得该数据。
本发明在第二方面提供了一种制造抗篡改半导体器件的方法。该方法的第一实施例包括使用体材料衬底,该方法的第二实施例包括使用SOI衬底。该方法的第二实施例具有的优点是:贯穿衬底的连接需要延伸至衬底中,或者晶片需要被减薄至如所延伸的一样薄。这基于以下理解:SOI衬底的衬底层通常也是导电层。然后通过衬底层获得在贯穿衬底的连接与保护层之间的电接触。
在不脱离权利要求所要求保护的本发明范围的前提下,根据本发明的半导体器件以及制造方法的各种变体是可能的。以下将概括几个示例。
并不改变保护层50中使用的材料,而是可以制造具有变化的厚度的层。备选地,可以为该层提供具有不同电阻的随机分布颗粒或者提供随机分布的间隙。
在贯穿衬底的连接45的电阻具有分布式或随机电导率的情况下,进一步提高了根据本发明的半导体器件的抗篡改性。如果黑客设法确定并再现了保护层50的特性,则黑客有效地绕过了保护。然而,当贯穿衬底的连接45具有分布式或随机电导率时,使得黑客无法从一个器件向另一器件应用所测量的特性。因此,得到了更高的安全级别。
制造具有可变电导率的贯穿衬底的连接45的一种方法是:以可变直径或长度来制造这些贯穿衬底的连接45。在备选方法中,可以在减薄步骤之后分配清洁步骤(该步骤是经常在减薄步骤之后进行的),这可以向保护层50产生接触电阻,该接触电阻是变化的并且具有随机行为。
本发明为半导体器件提供了后侧保护,其中可以通过使用传统后侧工艺技术来容易地制造所述后侧保护。本发明还涉及一种制造抗篡改半导体器件的方法。本发明可以应用于多种应用:智能卡、SIM卡移动电话、RFID、以及基本上需要安全IC的所有应用(如有价凭证、标识、药品、以及内容产业)。
Claims (19)
1.一种抗篡改半导体器件,包括:
-衬底(5),包括布置在所述衬底(5)的第一侧上的电子电路;布置在所述衬底(5)的与所述第一侧相对的第二侧上的导电保护层(50,50a,50b);
-至少三个贯穿衬底的导电连接(45),从所述衬底(5)的第一侧延伸至所述衬底(5)中,并且与所述衬底(5)的第二侧上的导电保护层(50,50a,50b)电接触;
-安全电路,布置在所述第一侧上,连接至所述贯穿衬底的导电连接(45),并且被布置用于:
i)通过贯穿衬底的导电连接(45)来测量所述导电保护层(50,50a,50b)的至少两个电阻值(R12,R23,R34,R14,R13,R24),以提供安全码,以及
ii)将所述安全码(R12,R23,R34,R14,R13,R24)与基准码进行比较。
2.根据权利要求1或2所述的抗篡改半导体器件,其中,所述衬底(5)包括SOI衬底,所述SOI衬底包括:半导体衬底层(10)、在所述衬底层(10)上提供的掩埋氧化层(15)、以及在所述掩埋氧化层(15)上提供的有源层(20),所述有源层(20)位于所述衬底(5)的第一侧,所述半导体衬底层(10)位于所述衬底(5)的第二侧,所述电子电路被提供在所述有源层(20)中,其中,所述贯穿衬底的连接(45)从所述第一侧通过所述有源层(20)和所述掩埋氧化层(15)延伸至所述半导体衬底层(10),并且其中所述导电保护层(50,50a,50b)是在所述衬底(5)的第二侧的所述半导体衬底层(10)上提供的。
3.根据权利要求1或2所述的抗篡改半导体器件,其中,将所述衬底(5)在所述衬底的第二侧处经由导电粘合层(50a)安装在导电衬底载体(50b)上,其中所述导电衬底载体(50b)和所述导电粘合层(50a)一起形成导电保护层(50)。
4.根据前述任一项权利要求所述的抗篡改半导体器件,其中,所述导电保护层(50,50a,50b)和所述贯穿衬底的连接一起形成对所述衬底(5)第二侧的至少一部分加以覆盖的区域。
5.根据权利要求5所述的抗篡改半导体器件,其中,所述保护层被图案化以形成所述区域,并且设计用于信号传输或接地的所述贯穿衬底的连接存在于所述区域的外部。
6.根据权利要求1至3中任一项所述的抗篡改半导体器件,其中,所述导电保护层(50,50a,50b)完全覆盖所述衬底(5)的第二侧。
7.根据权利要求1所述的抗篡改半导体器件,其中,贯穿衬底的连接(45)的数目等于n,n≥3,并且在贯穿衬底的连接(45)对之间测量的电阻值(R12,R23,R34,R14,R13,R24)的数目等于Z,其中Z符合以下等式:
2<Z≤(n!/((n-2)!*2!)
8.根据权利要求1所述的抗篡改半导体器件,其中,所述安全电路包括从包括以下项目的组中选择的电路:
-两点电阻测量电路,以及
-四点电阻测量电路。
9.根据权利要求1所述的抗篡改半导体器件,其中,相邻的第一和第二贯穿衬底的连接彼此相距第一距离,而相邻的第一和第三贯穿衬底的连接彼此相距与所述第一距离不相等的第二距离。
10.根据权利要求9所述的抗篡改半导体器件,其中,另一对相邻的贯穿衬底的连接彼此相距所述第一距离,并且所述电路被布置为使用所述另一对作为由所述第一和第二贯穿衬底的连接组成的对的参考。
11.根据权利要求1所述的抗篡改半导体器件,其中,所述安全电路还包括在所述衬底的第一侧的安全元件。
12.根据前述任一项权利要求所述的抗篡改半导体器件,其中,所述导电保护层(50,50a,50b)包括提供伪随机或完全随机可变空间电导率的成分或材料。
13.根据权利要求9所述的抗篡改半导体器件,其中,所述导电保护层(50)包括锡(Sn)和铝(A1)的混合物。
14.根据前述任一项权利要求所述的抗篡改半导体器件,所述半导体器件还包括在所述半导体器件的第一侧上提供的至少一个发光器件和至少一个光感测器件,其中,所述发光器件被布置为朝向所述第二侧将包括对于所述衬底透明的波长范围内的光发射至衬底(5)中;并且,所述光感测器件被布置为感测沿着穿过衬底(5)的通道以及在所述第二侧反射的所发射的光的至少一部分,以及被布置为输出表示第二侧的反射状态的信号,从而使得能够检测到利用所述半导体器件第二侧进行篡改的尝试。
15.一种识别物品,包括如权利要求1至14中任一项所述的抗篡改半导体器件。
16.一种制造根据前述任一项权利要求所述的半导体器件的方法,所述方法包括以下步骤:
-提供衬底(5),所述衬底(5)具有第一侧以及与所述第一侧相对的第二侧;
-在所述衬底(5)的第一侧上提供电子电路;
-在所述衬底(5)中提供至少三个贯穿衬底的导电连接(45),所述连接(45)从所述衬底(5)的第一侧延伸至所述衬底(5)的第二侧,以及
-在所述第一侧上提供安全电路,并将所述电路连接至所述贯穿衬底的导电连接(45),所述安全电路被布置用于:
i)通过贯穿衬底的导电连接(45)来测量导电保护层(50,50a,50b)的至少两个电阻值(R12,R23,R34,R14,R13,R24),以及
ii)将所测量的电阻值(R12,R23,R34,R14,R13,R24)与基准电阻值进行比较,
-在所述衬底(5)的第二侧上提供导电保护层(50,50a,50b)。
17.一种制造根据权利要求1至14中任一项所述的半导体器件的方法,所述方法包括以下步骤:
-提供SOI衬底,所述SOI衬底包括:半导体衬底层(10)、在所述衬底层(10)上提供的掩埋氧化层(15)、以及在所述掩埋氧化层(15)上提供的有源层(20),所述有源层(20)位于所述衬底(5)的第一侧,所述半导体衬底层(10)位于所述衬底(5)的第二侧;
-在所述衬底的第一侧在所述有源层(20)中提供电子电路;
-在所述衬底(5)中提供所述至少三个贯穿衬底的导电连接(45),所述连接(45)从所述衬底(5)的第一侧延伸至所述半导体衬底层(10),以及
-在所述第一侧上提供安全电路,并将所述电路连接至所述贯穿衬底的导电连接(45),所述安全电路被布置用于:
i)通过贯所述穿衬底的导电连接(45)来测量导电保护层(50,50a,50b)的至少两个电阻值(R12,R23,R34,R14,R13,R24),以及
ii)将所测量的电阻值(R12,R23,R34,R14,R13,R24)与基准电阻值进行比较;
-在所述衬底(5)的第二侧上提供导电保护层(50,50a,50b)。
18.一种对根据权利要求1至14中任一项所述的器件或根据权利要求15所述的物品进行认证的方法,所述方法包括以下步骤:
i)通过所述贯穿衬底的导电连接(45)来测量导电保护层(50,50a,50b)的至少两个电阻值(R12,R23,R34,R14,R13,R24),以提供安全码,以及
ii)将所述安全码(R12,R23,R34,R14,R13,R24)与基准码进行比较。
19.根据权利要求18所述的方法,其中,所述测量包括电阻值的相对测量。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP07113706 | 2007-08-02 | ||
| EP07113706.1 | 2007-08-02 | ||
| PCT/IB2008/053047 WO2009016589A2 (en) | 2007-08-02 | 2008-07-29 | Tamper-resistant semiconductor device and methods of manufacturing thereof |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101772775A true CN101772775A (zh) | 2010-07-07 |
| CN101772775B CN101772775B (zh) | 2013-07-10 |
Family
ID=40305002
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008801013463A Expired - Fee Related CN101772775B (zh) | 2007-08-02 | 2008-07-29 | 抗篡改半导体器件以及制造该抗篡改半导体器件的方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8143705B2 (zh) |
| EP (1) | EP2232412B1 (zh) |
| CN (1) | CN101772775B (zh) |
| WO (1) | WO2009016589A2 (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102412235A (zh) * | 2010-09-02 | 2012-04-11 | 佳能株式会社 | 半导体集成电路设备 |
| CN104657682A (zh) * | 2013-11-21 | 2015-05-27 | 恩智浦有限公司 | 电子篡改检测 |
| CN104659020A (zh) * | 2013-11-21 | 2015-05-27 | 恩智浦有限公司 | 结合随机化的互连层的电子设备 |
| CN108229224A (zh) * | 2016-12-22 | 2018-06-29 | 中芯国际集成电路制造(上海)有限公司 | 一种物理不可克隆芯片及其制造方法 |
Families Citing this family (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7162035B1 (en) | 2000-05-24 | 2007-01-09 | Tracer Detection Technology Corp. | Authentication method and system |
| US8171567B1 (en) | 2002-09-04 | 2012-05-01 | Tracer Detection Technology Corp. | Authentication method and system |
| US7995196B1 (en) | 2008-04-23 | 2011-08-09 | Tracer Detection Technology Corp. | Authentication method and system |
| FR2946775A1 (fr) * | 2009-06-15 | 2010-12-17 | St Microelectronics Rousset | Dispositif de detection d'amincissement du substrat d'une puce de circuit integre |
| US8938627B2 (en) * | 2009-07-07 | 2015-01-20 | International Business Machines Corporation | Multilayer securing structure and method thereof for the protection of cryptographic keys and code |
| FR2986356B1 (fr) * | 2012-01-27 | 2014-02-28 | St Microelectronics Rousset | Dispositif de protection d'un circuit integre contre des attaques en face arriere |
| US8957694B2 (en) * | 2012-05-22 | 2015-02-17 | Broadcom Corporation | Wafer level package resistance monitor scheme |
| DE102012215606A1 (de) * | 2012-09-03 | 2014-03-06 | Ihp Gmbh - Innovations For High Performance Microelectronics / Leibniz-Institut Für Innovative Mikroelektronik | Schichtstruktur für Halbleiterbauelement mit Schutzvorrichtung gegen physikalische und chemische Angriffe |
| DE102012219661A1 (de) | 2012-10-26 | 2014-04-30 | Ihp Gmbh - Innovations For High Performance Microelectronics / Leibniz-Institut Für Innovative Mikroelektronik | Individualisierte Spannungsversorgung von Bauelementen integrierter Schaltungen alsSchutzmaßnahme gegen Seitenkanalangriffe |
| FR2998419B1 (fr) | 2012-11-21 | 2015-01-16 | St Microelectronics Rousset | Protection d'un circuit integre contre des attaques |
| DE102013112931A1 (de) | 2013-11-22 | 2015-05-28 | Infineon Technologies Ag | Chipanordnung und Verfahren zum Überprüfen, ob ein Chip in einem vorgesehenen Chipträger angeordnet ist |
| FR3035267B1 (fr) * | 2015-04-20 | 2018-05-25 | Commissariat A L'energie Atomique Et Aux Energies Alternatives | Puce electronique comportant une face arriere protegee |
| KR102309203B1 (ko) * | 2015-04-23 | 2021-10-05 | 매그나칩 반도체 유한회사 | 반도체 칩의 위변조 방지 회로 및 방법 |
| US10140570B2 (en) * | 2015-08-18 | 2018-11-27 | William P Gulas | Microprocessor-controlled tamper detection system |
| US9959496B2 (en) * | 2015-08-18 | 2018-05-01 | Franklin J. Camper | Microprocessor-controlled tamper detection system |
| FR3048103B1 (fr) * | 2016-02-22 | 2018-03-23 | Stmicroelectronics (Rousset) Sas | Procede de detection d'un amincissement du substrat semi-conducteur d'un circuit integre depuis sa face arriere et circuit integre correspondant |
| FR3055471B1 (fr) | 2016-08-31 | 2018-09-14 | Stmicroelectronics (Crolles 2) Sas | Puce protegee contre les attaques face arriere |
| US9741671B1 (en) * | 2016-11-10 | 2017-08-22 | Nxp B.V. | Semiconductor die with backside protection |
| US10592698B2 (en) * | 2017-03-01 | 2020-03-17 | International Business Machines Corporation | Analog-based multiple-bit chip security |
| US10547461B2 (en) | 2017-03-07 | 2020-01-28 | Nxp B.V. | Method and apparatus for binding stacked die using a physically unclonable function |
| FR3069703B1 (fr) | 2017-07-27 | 2020-01-24 | Stmicroelectronics (Crolles 2) Sas | Puce electronique |
| FR3077678B1 (fr) | 2018-02-07 | 2022-10-21 | St Microelectronics Rousset | Procede de detection d'une atteinte a l'integrite d'un substrat semi-conducteur d'un circuit integre depuis sa face arriere, et dispositif correspondant |
| FR3082659A1 (fr) * | 2018-06-14 | 2019-12-20 | Stmicroelectronics (Research & Development) Limited | Puce electronique protegee |
| FR3096175B1 (fr) * | 2019-05-13 | 2021-05-07 | St Microelectronics Rousset | Procédé de détection d’une atteinte éventuelle à l’intégrité d’un substrat semi-conducteur d’un circuit intégré depuis sa face arrière, et circuit intégré correspondant |
| US11139256B2 (en) | 2019-08-21 | 2021-10-05 | Micron Technology, Inc. | Tamper-resistant integrated circuits, and related methods |
| WO2021041257A1 (en) * | 2019-08-23 | 2021-03-04 | Cryptography Research, Inc. | Anti-tamper shield based on strings of series resistors |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE3736882C2 (de) | 1987-10-30 | 1997-04-30 | Gao Ges Automation Org | Verfahren zur Echtheitsprüfung eines Datenträgers mit integriertem Schaltkreis |
| US5389738A (en) | 1992-05-04 | 1995-02-14 | Motorola, Inc. | Tamperproof arrangement for an integrated circuit device |
| US7005733B2 (en) | 1999-12-30 | 2006-02-28 | Koemmerling Oliver | Anti tamper encapsulation for an integrated circuit |
| DE10003112C1 (de) * | 2000-01-13 | 2001-07-26 | Infineon Technologies Ag | Chip mit allseitigem Schutz sensitiver Schaltungsteile vor Zugriff durch Nichtberechtigte durch Abschirmanordnungen (Shields) unter Verwendung eines Hilfschips |
| WO2001059544A2 (en) | 2000-02-14 | 2001-08-16 | Rainbow Technologies B.V., Netherlands | Security module system, apparatus and process |
| US6895509B1 (en) | 2000-09-21 | 2005-05-17 | Pitney Bowes Inc. | Tamper detection system for securing data |
| US6901343B2 (en) * | 2001-01-10 | 2005-05-31 | Matsushita Electric Industrial Co., Ltd. | Multilayer board in which wiring of signal line that requires tamper-resistance is covered by component or foil, design apparatus, method, and program for the multilayer board, and medium recording the program |
| DE10105725B4 (de) * | 2001-02-08 | 2008-11-13 | Infineon Technologies Ag | Halbleiterchip mit einem Substrat, einer integrierten Schaltung und einer Abschirmvorrichtung |
| JPWO2003015169A1 (ja) | 2001-08-07 | 2004-12-02 | 株式会社ルネサステクノロジ | 半導体装置およびicカード |
| WO2003046802A2 (en) * | 2001-11-28 | 2003-06-05 | Koninklijke Philips Electronics N.V. | Semiconductor device, card, methods of initializing, checking the authenticity and the identity thereof |
| DE10251317B4 (de) * | 2001-12-04 | 2006-06-14 | Infineon Technologies Ag | Halbleiterchip |
| DE10201645B4 (de) * | 2002-01-17 | 2007-04-26 | Infineon Technologies Ag | Verfahren zur Codierung und Authentifizierung von Halbleiterschaltungen |
| JP4338989B2 (ja) * | 2003-02-20 | 2009-10-07 | パナソニック株式会社 | メモリデバイス |
-
2008
- 2008-07-29 US US12/671,067 patent/US8143705B2/en not_active Expired - Fee Related
- 2008-07-29 CN CN2008801013463A patent/CN101772775B/zh not_active Expired - Fee Related
- 2008-07-29 WO PCT/IB2008/053047 patent/WO2009016589A2/en active Application Filing
- 2008-07-29 EP EP08807244.2A patent/EP2232412B1/en not_active Not-in-force
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102412235A (zh) * | 2010-09-02 | 2012-04-11 | 佳能株式会社 | 半导体集成电路设备 |
| US8878551B2 (en) | 2010-09-02 | 2014-11-04 | Canon Kabushiki Kaisha | Semiconductor integrated circuit device |
| CN102412235B (zh) * | 2010-09-02 | 2015-04-29 | 佳能株式会社 | 半导体集成电路设备 |
| CN104657682A (zh) * | 2013-11-21 | 2015-05-27 | 恩智浦有限公司 | 电子篡改检测 |
| CN104659020A (zh) * | 2013-11-21 | 2015-05-27 | 恩智浦有限公司 | 结合随机化的互连层的电子设备 |
| CN104659020B (zh) * | 2013-11-21 | 2018-01-12 | 恩智浦有限公司 | 结合随机化的互连层的电子设备 |
| CN104657682B (zh) * | 2013-11-21 | 2018-03-27 | 恩智浦有限公司 | 电子篡改检测 |
| CN108229224A (zh) * | 2016-12-22 | 2018-06-29 | 中芯国际集成电路制造(上海)有限公司 | 一种物理不可克隆芯片及其制造方法 |
| CN108229224B (zh) * | 2016-12-22 | 2020-03-10 | 中芯国际集成电路制造(上海)有限公司 | 一种物理不可克隆芯片及其制造方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2232412B1 (en) | 2019-03-06 |
| US20100187527A1 (en) | 2010-07-29 |
| US8143705B2 (en) | 2012-03-27 |
| WO2009016589A3 (en) | 2009-10-15 |
| EP2232412A2 (en) | 2010-09-29 |
| WO2009016589A2 (en) | 2009-02-05 |
| CN101772775B (zh) | 2013-07-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101772775B (zh) | 抗篡改半导体器件以及制造该抗篡改半导体器件的方法 | |
| EP2115652B1 (en) | Semiconductor device with backside tamper protection | |
| US7768005B2 (en) | Physically highly secure multi-chip assembly | |
| CN106067460B (zh) | 包括受保护的后表面的电子芯片 | |
| CN106685909B (zh) | 电子装置的网络单元、电子装置的网络及芯片认证装置的利用方法 | |
| US8659124B2 (en) | Physical structure for use in a physical unclonable function | |
| CN101924097B (zh) | 用于检测集成电路芯片的衬底变薄的器件 | |
| CN102257516B (zh) | 用于使电子集成电路外壳免受物理或化学侵入的设备 | |
| US20010003374A1 (en) | Semiconductor device comprising a security coating and smartcard provided with such a device | |
| FR2864667A1 (fr) | Protection d'une puce de circuit integre contenant des donnees confidentielles | |
| FR2971366A1 (fr) | Micro plaquette de semi-conducteur comprenant des moyens de protection contre une attaque physique | |
| US7122899B2 (en) | Semiconductor device and production process | |
| CN104641467A (zh) | 光电子半导体设备和载体复合件 | |
| CN111681996B (zh) | 高安全的芯片封装结构及封装方法 | |
| CN114342074A (zh) | 具有电容器的集成电路装置 | |
| CN209542789U (zh) | 集成电路 | |
| JP2520857B2 (ja) | 集積半導体回路 | |
| US6284627B1 (en) | Method for wiring semi-conductor components in order to prevent product piracy and manipulation, semi-conductors component made according to this method and use of said semi-conductor component in a chip card | |
| US7981716B2 (en) | Chip module having a protection device | |
| CN108109968A (zh) | 一种半导体器件及半导体器件的制造方法 | |
| US11387194B2 (en) | Method for detecting an attempt to breach the integrity of a semiconductor substrate of an integrated circuit from its back face, and corresponding integrated circuit | |
| US11894315B2 (en) | Electronic system in package comprising protected side faces | |
| Skorobogatov | Is Hardware Security prepared for unexpected discoveries? | |
| Paul | Microelectronic security measures |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20130710 Termination date: 20200729 |