CN109583246B - 一种芯片物理安全检测装置及方法 - Google Patents

Abstract

本申请公开了一种芯片物理安全检测装置及方法，应用于物理层保护电路，所述物理层保护电路被分为m组，每组n条覆盖线相互平行且长度和宽度相同，n、m均为自然数，装置包括随机数发生器和信号时序检测器，随机数发生器用于产生一组随机数并将其输入到每组n条覆盖线的输入端；信号时序检测器用于选择每组两条或两条以上的覆盖线的输出信号或所述输出信号的放大信号进行时序差异检测，当检测出的时序差异大于预设时序差异阈值时，判断芯片遭到攻击。本申请通过对每组两条或两条以上的覆盖线的输出信号或输出信号的放大信号进行时序差异检测，准确地判断出覆盖线是否遭到切断后又重新连接，提高了芯片的安全性，加大了FIB的攻击难度。

Description

一种芯片物理安全检测装置及方法

技术领域

本发明涉及但不限于信息安全检测技术领域，尤其涉及一种芯片物理安全检测装置及方法。

背景技术

芯片的侵入式攻击，也称为物理攻击，是指攻击者通过物理手段(如借助特殊的仪器设备)，对芯片内部所展开的信息窥探和恶意破坏行为，包括剥离、探针、聚焦离子束(Focused Ion Beam，FIB)等。现阶段芯片物理安全防护的一种普遍方法是顶层覆盖金属检测。当芯片遭受物理攻击时，顶层覆盖的金属线网会遭到破坏，检测装置会检测到顶层金属受到破坏而发出报警信号。目前常用的检测手段有：对顶层覆盖的金属线(后文简称覆盖线)中信号进行加密、随机化等，及对连线的连续节点进行检测等。这些方法主要是针对覆盖线被切断或者注入错误信号时的防护方法。

要提高FIB的难度，就要求覆盖线尽可能窄、间距尽可能小，但是，在深亚微米工艺中对金属密度的要求越来越高，金属密度过大，会大幅提升线间的短路概率，严重影响产品的成品率。与此同时，FIB技术只要有2x2微米(um)的区域就可以探测下一层金属了，而且，覆盖线切断后还可以通过FIB进行连接，这就相当于把原有的覆盖线平移一定的距离，从而腾出一片空白区，那就可以在芯片上任意地打孔或开窗了，由于此时的覆盖线并没有断，传输信号没有错，现有的检测装置并不会报警。因此，现有的芯片物理安全检测方法不能检测出这种攻击，防攻击能力较弱。

发明内容

本发明实施例提供了一种芯片物理安全检测装置及方法，能够准确地判断芯片顶层的覆盖线是否遭到切断后又重新连接。

为了达到本发明目的，本发明实施例的技术方案是这样实现的：

本发明实施例提供了一种芯片物理安全检测装置，应用于物理层保护电路，所述物理层保护电路被分为m组，每组n条覆盖线相互平行且长度和宽度相同，所述n、m均为自然数，所述装置包括随机数发生器和信号时序检测器，其中：

随机数发生器，用于产生一组随机数，并将产生的随机数输入到每组n条覆盖线的输入端；

信号时序检测器，用于选择每组两条或两条以上的覆盖线的输出信号或所述输出信号的放大信号进行时序差异检测，当检测出的时序差异大于预设的时序差异阈值时，判断芯片遭到攻击。

在一实施例中，所述输出信号的放大信号具体为：

将所述每组两条或两条以上的覆盖线的输出信号反复k次通过各自所属的所述覆盖线后的最终的输出信号，其中，所述k为大于1的自然数。

在一实施例中，所述芯片物理安全检测装置还包括顶层覆盖检测器，其中：

顶层覆盖检测器，用于检测所述覆盖线的输出信号与输入到所述覆盖线的随机数是否相同，如果所述覆盖线的输出信号与输入到所述覆盖线的随机数不同，则判断芯片遭到攻击。

在一实施例中，所述芯片物理安全检测装置还包括报警电路，所述顶层覆盖检测器包括顶层覆盖检测电路和第一仲裁电路，所述信号时序检测器包括信号时序检测电路和第二仲裁电路，其中：

所述顶层覆盖检测电路的一个输入端和所述随机数发生器相连，所述顶层覆盖检测电路的另一个输入端和所述信号时序检测电路的一个输出端相连；所述顶层覆盖检测电路的一个输出端与所述第一仲裁电路的一个输入端相连，所述顶层覆盖检测电路的另一个输出端和所述信号时序检测电路的输入端相连；

所述信号时序检测电路的另一个输出端和所述第二仲裁电路的输入端相连；所述第一仲裁电路的另一个输入端相连和所述随机数发生器相连；所述第一仲裁电路的输出端和所述第二仲裁电路的输出端均连接至所述报警电路。

在一实施例中，所述顶层覆盖检测电路包括输入开关电路、输入缓冲器、输出缓冲器和输出开关电路；

所述输入开关电路包括与所述随机数发生器相连的第一输入端和与所述信号时序检测器的输出信号相连的第二输入端，所述输入开关电路的输出端与输入缓冲器的输入端相连接，输入缓冲器的输出端与覆盖线的一端相连，覆盖线的另一端与输出缓冲器的输入端相连，输出缓冲器的输出端与输出开关电路的输入端相连，输出开关电路的一个输出端和所述第一仲裁电路的一个输入端相连，所述第一仲裁电路的另一个输入端与所述随机数发生器相连，所述输出开关电路的另一个输出端和所述信号时序检测电路的输入端相连；

所述输入开关电路的控制端及所述输出开关电路的控制端均和一外部控制电路相连接。

在一实施例中，所述信号时序检测电路包括线网切换电路、时序检测缓冲器和计数器，其中：

所述线网切换电路的输入端与至少两个所述顶层覆盖检测电路的输出端相连，所述线网切换电路的输出端与至少两个所述时序检测缓冲器的输入端相连接，所述至少两个时序检测缓冲器的输出端与所述第二仲裁电路的至少两个输入端相连，所述至少两个时序检测缓冲器的输出端还通过所述计数器，与所述至少两个所述顶层覆盖检测电路的输入端相连。

本发明实施例还提供了一种芯片物理安全检测方法，应用于物理层保护电路，所述物理层保护电路被分为m组，每组n条覆盖线相互平行且长度和宽度相同，所述n、m均为自然数，包括：

产生一组随机数；

将产生的随机数输入到每组n条覆盖线的输入端；

选择每组两条或两条以上的覆盖线的输出信号或所述输出信号的放大信号进行时序差异检测，当检测出的时序差异大于预设的时序差异阈值时，判断芯片遭到攻击。

在一实施例中，所述输出信号的放大信号具体为：

将所述每组两条或两条以上的覆盖线的输出信号反复k次通过各自所属的覆盖线后的最终的输出信号，其中，所述k为大于1的自然数。

在一实施例中，所述选择的覆盖线为每组相邻的两条所述覆盖线。

在一实施例中，所述方法还包括：

检测所述覆盖线的输出信号与输入到所述覆盖线的随机数是否相同，如果所述覆盖线的输出信号与输入到所述覆盖线的随机数不同，则判断芯片遭到攻击。

本发明实施例的技术方案，具有如下有益效果：

本发明实施例提供的芯片物理安全检测装置及方法，通过对每组两条或两条以上的覆盖线的输出信号或所述输出信号的放大信号进行时序差异检测，准确地判断出所述覆盖线是否遭到切断后又重新连接，提高了芯片的安全性，加大了FIB的攻击难度。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1为本发明实施例的一种芯片物理安全检测装置的结构示意图；

图2为本发明实施例的另一种芯片物理安全检测装置的结构示意图；

图3为本发明实施例的又一种芯片物理安全检测装置的结构示意图；

图4为本发明实施例的一种芯片物理安全检测装置中的顶层覆盖检测电路的结构示意图；

图5为本发明实施例的一种芯片物理安全检测装置中的信号时序检测电路的结构示意图；

图6为本发明实施例的一种芯片物理安全检测方法的流程示意图；

图7为本发明实施例的一种顶层覆盖检测方法的流程示意图；

图8为本发明实施例的一种信号时序检测方法的流程示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明白，下文中将结合附图对本发明的实施例进行详细说明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互任意组合。

如图1所示，根据本发明实施例的一种芯片物理安全检测装置，应用于物理层保护电路，所述物理层保护电路被分为m组，每组n条覆盖线相互平行且长度和宽度相同，所述n、m均为自然数，包括随机数发生器101和信号时序检测器102，其中：

随机数发生器101，用于产生一组随机数，并将产生的随机数输入到每组n条覆盖线的输入端；

信号时序检测器102，用于选择每组两条或两条以上的覆盖线的输出信号或所述输出信号的放大信号进行时序差异检测，当检测出的时序差异大于预设的时序差异阈值时，判断芯片遭到攻击。

在一实施例中，所述选择的覆盖线为每组相邻的两条所述覆盖线。

当芯片没有被攻击时，一组覆盖线中的任意两条覆盖线的时序一致，因此，当信号时序检测器102检测出一组平行且长度和宽度一致的覆盖线中任意两条覆盖线的时序存在差异且存在的差异超过预先设置的时序差异阈值时，可判断出所述芯片受到了攻击。由于相邻两条覆盖线的时序差异可能会比较小，本发明实施例的信号时序检测器102可通过对相邻两条覆盖线的输出信号的放大信号进行时序差异检测。

在本发明的一实施例中，所述随机数发生器101还用于：

按照预设的变化规律(例如，所述预设的变化规律可以为递增、循环、取反等)对所述随机数进行变化，并将变化后的随机数输入到所述每组n条覆盖线的输入端。

在本发明的一实施例中，所述输出信号的放大信号具体为：

将所述每组两条或两条以上的覆盖线的输出信号反复k次通过各自所属的覆盖线后的最终的输出信号，其中，所述k为大于1的自然数。

本发明实施例并不限制信号时序检测器102具体的如何对所述两条或两条以上的覆盖线的输出信号进行信号放大，例如，所述信号时序检测器102可以设置一计数器，其初始值为k，在CPU控制电路的控制下，使得所述两条或两条以上的覆盖线的输出信号通过k次各自所属的覆盖线后再进行时序差异检测，通过多次通过所述覆盖线实现了对时序差异的迭代放大。本发明实施例的信号时序检测器102也可以使用其它任意的对所述两条或两条以上的覆盖线的输出信号的信号放大的方法。

在本发明的一实施例中，所述信号时序检测器102中检测的时序具体为：所述覆盖线的RC电路时间常数τ，τ＝RC，其中，R为覆盖线的等效电阻值，C为覆盖线的等效电容值。

在电子电路中，时间常数τ表示过度反应的时间过程常数。在电阻、电容的电路中，时间常数(或信号时序延迟常数)τ是电阻和电容的乘积，即τ＝RC(τ的单位为秒)。采用目前先进的FIB攻击手段，把芯片防护中的覆盖线切断后再连接，由于连线没有断，传输信号没有错，可以顺利的接收到。但是，FIB连线使用的材料与芯片内部原有连线的材料不同，这就导致接触电阻、连线电阻的变化；连线平移带来的位置变化、线间绝缘层的变化，会导致连线间寄生电容的改变，由此会导致RC整体的变化，从而影响信号的时序。本发明实施例的一种信号时序检测器102，通过判断一组覆盖线间时序的差异变化，对芯片最顶层覆盖线进行有效检测从而确认覆盖线是否被破坏，进而判断芯片是否遭受到攻击。

在本发明的一实施例中，如图2所示，所述芯片物理安全检测装置还包括顶层覆盖检测器103，其中：

顶层覆盖检测器103，用于检测所述覆盖线的输出信号与输入到所述覆盖线的随机数是否相同，如果所述覆盖线的输出信号与输入到所述覆盖线的随机数不同，则判断芯片遭到攻击。

每条覆盖线通过多次折叠走线，将整个芯片顶层覆盖。所述覆盖线的两端为约定好的固定值或采用比较有规律的变化(如递增、循环)，所述顶层覆盖检测器103判断输入到覆盖线的随机数是否等于覆盖线的输出信号，每组覆盖线在等待保证信号传输完成的时间后，通过比对n*m条覆盖线两端的逻辑值是否相等来判断芯片是否遭到攻击。通过将顶层覆盖检测和信号时序检测相结合，大大提高了芯片的安全性，加大了FIB的攻击难度。

在本发明的一实施例中，如图3所示，所述芯片物理安全检测装置还包括报警电路，所述顶层覆盖检测器103包括顶层覆盖检测电路和第一仲裁电路，所述信号时序检测器102包括信号时序检测电路和第二仲裁电路，其中：

所述顶层覆盖检测电路的一个输入端和所述随机数发生器101相连，所述顶层覆盖检测电路的另一个输入端和所述信号时序检测电路的一个输出端相连；所述顶层覆盖检测电路的一个输出端与所述第一仲裁电路的一个输入端相连，所述顶层覆盖检测电路的另一个输出端和所述信号时序检测电路的输入端相连；

所述信号时序检测电路的另一个输出端和所述第二仲裁电路的输入端相连；所述第一仲裁电路的另一个输入端相连和所述随机数发生器101相连；所述第一仲裁电路的输出端和所述第二仲裁电路的输出端均连接至所述报警电路。

本发明所述的随机数发生器101，用于产生随机的检测输入信号。本发明中的随机数发生器101，在使能控制信号EN的指示下，从真随机源得到一组随机数，通过编码电路产生一组，与源数据无关的随机量(即检测输入信号)，分别发送到顶层覆盖检测电路与第一仲裁电路。

在本发明的一实施例中，所述芯片物理安全检测装置在CPU控制电路的控制下，在一个检测周期内，依次完成顶层覆盖检测和信号时序检测。

如图4所示，CPU控制电路产生使能控制信号EN，当EN＝1时，所述芯片物理安全检测装置进入覆盖检测模式。随机数发生器101产生检测输入信号，送入顶层覆盖检测电路中；顶层覆盖检测电路接收到检测输入信号，通过覆盖线后产生对应的检测输出信号，送入第一仲裁电路中，第一仲裁电路判定对应的检测输入信号和检测输出信号。如果检测输入信号和检测输出信号数据相同，则输出低电平；如果检测输入信号和检测输出信号数据不同，则输出高电平。最后，第一仲裁电路将仲裁结果输送到报警电路中，顶层覆盖检测结束。

当EN＝0时，所述芯片物理安全检测装置进入信号时序检测模式。信号时序检测电路依次选择两个相邻的检测输出信号(即被选的两个相邻的顶层覆盖检测电路的输出端连接信号时序检测电路的输入端)，信号时序检测电路输出成对的时序检测信号送入对应的顶层覆盖检测电路中进行迭代放大(即让时序检测信号多次经过相同的覆盖线，放大相邻信号之间的时序差异)，待k次迭代放大后，把输出的成对时序检测信号送入第二仲裁电路中。第二仲裁电路对时序检测信号进行判定。如果第二仲裁电路接收到时序平衡的两个时序检测信号，则输出低电平；如果第二仲裁电路接收到时序有偏差的信号，则输出高电平。最后，第二仲裁电路将仲裁结果输送到报警电路中，上述两个仲裁电路中，当其中任意一个仲裁电路输出高电平时，报警电路均产生报警信号。

本发明所述的顶层覆盖检测电路，根据芯片面积，分组进行顶层覆盖设计，每一组包含相同的顶层覆盖检测电路、相同宽度和条数的覆盖线。本发明以一组为例，进行设计说明。示例性的，本发明中的一组覆盖设计包含8条平行的、宽度和长度一致的顶层覆盖线及对应的顶层覆盖检测电路。

在本发明的一实施例中，如图5所示，所述顶层覆盖检测电路包括输入开关电路、输入缓冲器、输出缓冲器和输出开关电路；

所述输入开关电路包括与所述随机数发生器101相连的第一输入端和与所述信号时序检测器102的输出信号相连的第二输入端，所述输入开关电路的输出端与输入缓冲器的输入端相连接，输入缓冲器的输出端与覆盖线的一端相连，覆盖线的另一端与输出缓冲器的输入端相连，输出缓冲器的输出端与输出开关电路的输入端相连，输出开关电路的一个输出端和所述第一仲裁电路的一个输入端相连，所述第一仲裁电路的另一个输入端与所述随机数发生器101相连，所述输出开关电路的另一个输出端和所述信号时序检测电路的输入端相连；

所述输入开关电路的控制端及所述输出开关电路的控制端均和一外部控制电路(例如，所述外部控制电路可以为所述CPU控制电路)相连接。

当使能控制信号EN为高电平时，所述芯片物理安全检测装置进入顶层覆盖检测模式(即数据完整性检测，通过对数据传输的正确性检测，来判定芯片是否被攻击)。随机数发生器101的输出端分别连接输入开关电路的输入端及第一仲裁电路的一个输入端，输入开关电路的输出端连接输入缓冲器(buffer)的输入端，输入缓冲器的输出端和覆盖线一端连接，输出缓冲器的输入端和覆盖线的另一端连接，输出缓冲器的输出端与输出开关电路的输入端连接，此时输出开关电路的输出端与第一仲裁电路的另一个输入端连接，在第一仲裁电路中进行检测输入信号与检测输出信号的数据对比，当检测输入信号和检测输出信号数据相同时，第一仲裁电路输出低电平，当检测输入信号和检测输出信号数据不同时，第一仲裁电路输出高电平，判定芯片受到攻击；

当使能控制信号EN为低电平时，所述芯片物理安全检测装置进入信号时序检测模式，此时，输入开关电路的输入端连接信号时序检测电路的输出端，输入开关电路的输出端连接输入缓冲器的输入端，输入缓冲器的输出端和覆盖线一端连接，输出缓冲器的输入端和覆盖线的另一端连接，输出缓冲器的输出端与输出开关电路的输入端连接，此时输出开关电路的输出端与和信号时序检测电路的输入端连接，经过多次迭代放大后，输出的时序检测信号进入第二仲裁电路中，当第二仲裁电路收到时序平衡的两个信号时，输出低电平，判定芯片没有被攻击；当第二仲裁电路收到时序有偏差的两个信号时，输出高电平，判定芯片受到攻击。

在本发明的一实施例中，如图6所示，所述信号时序检测电路包括线网切换电路、时序检测缓冲器和计数器，其中：

所述线网切换电路的输入端与至少两个所述顶层覆盖检测电路的输出端相连，所述线网切换电路的输出端与至少两个所述时序检测缓冲器的输入端相连接，所述至少两个时序检测缓冲器的输出端与所述第二仲裁电路的至少两个输入端相连，所述至少两个时序检测缓冲器的输出端还通过所述计数器，与所述至少两个所述顶层覆盖检测电路的输入端相连。

本发明所述的信号时序检测电路，用于检测一组平行且长度和宽度一致的覆盖线中两条或两条以上的覆盖线的时序差异(没有被攻击时，一组覆盖线中相邻两条覆盖线的时序一致)，从而判断芯片是否被攻击；由于时序差异可能会比较小，因此，本发明中的信号时序检测电路在计数器的控制下，使得检测信号多次通过覆盖线，从而实现了对时序差异放大，迭代放大之后送入第二仲裁电路中进行判定。计数器的值(计数值为k，k≥1)即迭代次数，由第一次出厂设置检测得到。

所述线网切换电路从一组覆盖检测输出信号中依次选择两个相邻覆盖线的检测输出信号(此处用检测输出信号1和检测输出信号2来举例说明)进入信号时序检测模式。被选中的两个检测输出信号通过时序检测缓冲器后，在计数器(计数器值为k，k≥1)的控制下进入对应的顶层覆盖检测电路的输入端(即对应的顶层覆盖检测电路中的输入开关电路)，进入下一轮迭代放大。经过k次迭代放大之后，输出的时序检测信号进入第二仲裁电路中进行判断，如果第二仲裁电路接收到时序平衡的两个信号，输出低电平；如果第二仲裁电路接收到时序有偏差的两个信号，输出高电平。

本发明所述的第一仲裁电路的一个输入端与随机数发生器101的输出端连接，第一仲裁电路的另一个输入端与顶层覆盖检测电路中的输出开关电路的输出端连接，从而进行检测输入信号与检测输出信号的数据对比，当检测输入信号和检测输出信号数据相同时，第一仲裁电路输出低电平；当检测输入信号和检测输出信号数据不同时，第一仲裁电路输出高电平；第一仲裁电路的输出端与报警电路的一个输入端连接，即第一仲裁电路把覆盖检测模式的对比结果输送到报警电路中。

本发明所述的第二仲裁电路对两个相邻的时序检测信号的差异进行判定，当第二仲裁电路接收到时序平衡的两个信号时，输出低电平；当第二仲裁电路接收到时序有偏差的两个信号时，输出高电平。第二仲裁电路的输出端与报警电路的另一个输入端连接，即第二仲裁电路把信号时序检测模式的对比结果输送到报警电路中。

本发明所述的报警电路的输入端分别与第一仲裁电路和第二仲裁电路的输出端连接，根据两种模式的检测结果综合给出报警信号。当第一仲裁电路和第二仲裁电路中任意一个输出高电平时(包括三种情况：(1)第一仲裁电路输出高电平，第二仲裁电路输出低电平；(2)第一仲裁电路输出低电平，第二仲裁电路输出高电平；(3)第一仲裁电路输出高电平，第二仲裁电路输出高电平)，判定芯片被攻击，报警电路报警；当第一仲裁电路和第二仲裁电路均输出低电平时，判定芯片没有被攻击，报警电路不报警。

如图6所示，根据本发明实施例的一种芯片物理安全检测方法，应用于物理层保护电路，所述物理层保护电路被分为m组，每组n条覆盖线相互平行且长度和宽度相同，所述n、m均为自然数，所述方法包括如下步骤：

步骤601：产生一组随机数；

步骤602：将产生的随机数输入到每组n条覆盖线的输入端；

在本发明的一实施例中，所述方法还包括：

按照预设的变化规律(例如，所述预设的变化规律可以为递增、循环、取反等)对所述随机数进行变化，并将变化后的随机数输入到所述每组n条覆盖线的输入端。

步骤603：选择每组两条或两条以上的覆盖线的输出信号或所述输出信号的放大信号进行时序差异检测，当检测出的时序差异大于预设的时序差异阈值时，判断芯片遭到攻击。

当芯片没有被攻击时，一组覆盖线中任意两条覆盖线的时序一致，因此，当检测出一组平行且长度和宽度一致的覆盖线中任意两条覆盖线的时序存在差异且存在的差异超过预先设置的时序差异阈值时，可判断出所述芯片受到了攻击。由于相邻两条覆盖线的时序差异可能会比较小，本发明实施例可通过对相邻两条覆盖线的输出信号的放大信号进行时序差异检测。

在本发明的一实施例中，所述输出信号的放大信号具体为：

将所述每组两条或两条以上的覆盖线的输出信号反复k次通过各自所属的覆盖线后的最终的输出信号，其中，所述k为大于1的自然数。

本发明实施例并不限制具体的如何对所述两条或两条以上的覆盖线的输出信号的信号放大的方法，例如，可以设置一计数器，其初始值为k，在CPU控制电路的控制下，使得所述两条或两条以上的覆盖线的输出信号通过k次各自所属的覆盖线后再进行时序差异检测，通过多次通过所述覆盖线实现了对时序差异的迭代放大。本发明实施例也可以使用其它任意的对所述两条或两条以上的覆盖线的输出信号的信号放大的方法。

在本发明的一实施例中，所述时序差异检测中检测的时序具体为：所述覆盖线的RC电路时间常数τ，τ＝RC，其中，R为覆盖线的等效电阻值，C为覆盖线的等效电容值。

在电子电路中，时间常数τ表示过度反应的时间过程常数。在电阻、电容的电路中，时间常数(或信号时序延迟常数)τ是电阻和电容的乘积，即τ＝RC(τ的单位为秒)。采用目前先进的FIB攻击手段，把芯片防护中的覆盖线切断后再连接，由于连线没有断，传输信号没有错，可以顺利的接收到。但是，FIB连线使用的材料与芯片内部原有连线的材料不同，这就导致接触电阻、连线电阻的变化；连线平移带来的位置变化、线间绝缘层的变化，会导致连线间寄生电容的改变，由此会导致RC整体的变化，从而影响信号的时序。本发明实施例的一种芯片物理安全检测装置及方法，通过判断一组覆盖线间时序的差异变化，对芯片最顶层覆盖线进行有效检测从而确认覆盖线是否被破坏，进而判断芯片是否遭受到攻击。

在本发明的一实施例中，所述方法还包括：

检测所述覆盖线的输出信号与输入到所述覆盖线的随机数是否相同，如果所述覆盖线的输出信号与输入到所述覆盖线的随机数不同，则判断芯片遭到攻击。

每条覆盖线通过多次折叠走线，将整个芯片顶层覆盖。所述覆盖线的两端为约定好的固定值或采用比较有规律的变化(如递增、循环)，判断输入到覆盖线的随机数是否等于覆盖线的输出信号，每组覆盖线在等待保证信号传输完成的时间后，通过比对n*m条覆盖线两端的逻辑值是否相等来判断芯片是否遭到攻击。通过将顶层覆盖检测和信号时序检测相结合，大大提高了芯片的安全性，加大了FIB的攻击难度。

本发明实施例提供的芯片物理安全检测方法，包含顶层覆盖检测和信号时序检测两部分。整个芯片分为m组顶层覆盖，每组顶层覆盖包含n条平行且长度、宽度相同的覆盖线，这里，以一组为例展开具体说明。在CPU的控制下，完成一组覆盖线的顶层覆盖检测和信号时序检测，为一个检测周期。

(1)顶层覆盖检测模式：如图7所示，在CPU控制电路的控制下，使能控制信号EN＝1，顶层覆盖检测电路的输入开关电路(输入开关电路1、输入开关电路2…输入开关电路n)接随机数发生器101的输出端，输出开关电路(输出开关电路12、输出开关电路22…输出开关电路n2)接第一仲裁电路，使得系统进入顶层覆盖检测模式。随机数发生器101产生一组输入检测信号，通过输入开关电路，进入对应的输入缓冲器，穿过覆盖线和输出缓冲器，通过输出开关电路，进入第一仲裁电路。第一仲裁电路进行检测输入信号与检测输出信号的数据对比，当检测输入信号和检测输出信号数据相同时，第一仲裁电路输出低电平，当检测输入信号和检测输出信号数据不同时，第一仲裁电路输出高电平；最后，第一仲裁电路把覆盖检测模式的对比结果输送到报警电路中，顶层覆盖检测结束。

(2)信号时序检测模式：顶层覆盖结束，使能控制信号EN＝0，在CPU控制电路的控制下，线网切换电路依次选择两个相邻覆盖线的输出检测信号，进入信号时序检测模式。如图8所示，这里，以前两路覆盖检测为例进行具体说明：通过线网切换电路后，被选的顶层覆盖检测电路的输入开关电路(输入开关电路1、输入开关电路2)接时序检测电路中时序检测缓冲器(时序检测缓冲器1、时序检测缓冲器2)的输出端，输出开关电路(输出开关电路12、输出开关电路22)通过线网切换电路后，接时序检测电路中时序检测缓冲器(时序检测缓冲器1、时序检测缓冲器2)的输入端；在计数器(计数器值为k，k≥1)的控制下，信号在对应的覆盖线上反复多次进行放大，经过k次迭代放大之后，输出的时序检测信号进入第二仲裁电路中进行判断。当第二仲裁电路接收到时序平衡的两个信号时，输出低电平；当第二仲裁电路接收到时序有偏差的两个信号时，输出高电平；最后，第二仲裁电路把信号时序检测模式的对比结果输送到报警电路中。通过线网切换电路依次选择两个相邻的输出检测信号进行时序检测，待一组覆盖线全部检测完毕，信号时序检测结束，即一个检测周期结束。在CPU控制电路的控制下，开启新的检测周期，继续进行上述步骤，对芯片进行检测。

本发明实施例的芯片物理安全检测装置及方法，包含顶层覆盖检测和信号时序检测两部分，其中，顶层覆盖检测实现了数据完整性检测，信号时序检测对于切断后再恢复的连线可以进行很好的检测，在顶层覆盖检测的基础上加入信号时序检测，能够更好的检测出FIB对芯片的攻击，大大提高了芯片的安全性，加大了FIB的攻击难度。此外，本发明的芯片物理安全检测装置可以采用全数字逻辑电路，结构简单，便于后端实现，隐蔽性好，安全性大幅提高。

本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成，所述程序可以存储于计算机可读存储介质中，如只读存储器、磁盘或光盘等。可选地，上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现，相应地，上述实施例中的各模块/单元可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (7)

1.一种芯片物理安全检测装置，应用于物理层保护电路，所述物理层保护电路被分为m组，每组n条覆盖线相互平行且长度和宽度相同，所述n、m均为自然数，其特征在于，所述装置包括随机数发生器、信号时序检测器、顶层覆盖检测器和报警电路，其中：

随机数发生器，用于产生一组随机数，并将产生的随机数输入到每组n条覆盖线的输入端；

信号时序检测器，用于放大和检测每组相邻两条或多条覆盖线的输出信号时序差异，从而判断芯片是否遭到攻击；

顶层覆盖检测器，用于检测所述覆盖线的输出信号与输入到所述覆盖线的随机数是否相同，如果所述覆盖线的输出信号与输入到所述覆盖线的随机数不同，则判断芯片遭到攻击；

报警电路，用于当判断芯片遭到攻击时，产生报警信号；

所述顶层覆盖检测器包括顶层覆盖检测电路和第一仲裁电路，所述信号时序检测器包括信号时序检测电路和第二仲裁电路；所述顶层覆盖检测电路的一个输入端和所述随机数发生器相连，所述顶层覆盖检测电路的另一个输入端和所述信号时序检测电路的一个输出端相连；所述顶层覆盖检测电路的一个输出端与所述第一仲裁电路的一个输入端相连，所述顶层覆盖检测电路的另一个输出端和所述信号时序检测电路的输入端相连；所述信号时序检测电路的另一个输出端和所述第二仲裁电路的输入端相连；所述第一仲裁电路的另一个输入端相连和所述随机数发生器相连；所述第一仲裁电路的输出端和所述第二仲裁电路的输出端均连接至所述报警电路。

2.根据权利要求1所述的芯片物理安全检测装置，其特征在于，所述输出信号的放大信号具体为：

将所述每组两条或两条以上的覆盖线的输出信号反复k次通过各自所属的所述覆盖线后的最终的输出信号，其中，所述k为大于1的自然数。

3.根据权利要求1所述的芯片物理安全检测装置，其特征在于，所述顶层覆盖检测电路包括输入开关电路、输入缓冲器、输出缓冲器和输出开关电路；

所述输入开关电路包括与所述随机数发生器相连的第一输入端和与所述信号时序检测器的输出信号相连的第二输入端，所述输入开关电路的输出端与输入缓冲器的输入端相连接，输入缓冲器的输出端与覆盖线的一端相连，覆盖线的另一端与输出缓冲器的输入端相连，输出缓冲器的输出端与输出开关电路的输入端相连，输出开关电路的一个输出端和所述第一仲裁电路的一个输入端相连，所述第一仲裁电路的另一个输入端与所述随机数发生器相连，所述输出开关电路的另一个输出端和所述信号时序检测电路的输入端相连；

所述输入开关电路的控制端及所述输出开关电路的控制端均和一外部控制电路相连接。

4.根据权利要求3的芯片物理安全检测装置，其特征在于，所述信号时序检测电路包括线网切换电路、时序检测缓冲器和计数器，其中：

所述线网切换电路的输入端与至少两个所述顶层覆盖检测电路的输出端相连，所述线网切换电路的输出端与至少两个所述时序检测缓冲器的输入端相连接，所述至少两个时序检测缓冲器的输出端与所述第二仲裁电路的至少两个输入端相连，所述至少两个时序检测缓冲器的输出端还通过所述计数器，与所述至少两个所述顶层覆盖检测电路的输入端相连。

5.一种芯片物理安全检测装置的芯片物理安全检测方法，应用于物理层保护电路，所述物理层保护电路被分为m组，每组n条覆盖线相互平行且长度和宽度相同，所述n、m均为自然数，其特征在于，所述芯片物理安全检测装置包括随机数发生器、信号时序检测器、顶层覆盖检测器和报警电路，顶层覆盖检测器包括顶层覆盖检测电路和第一仲裁电路，所述信号时序检测器包括信号时序检测电路和第二仲裁电路，信号时序检测电路包括线网切换电路、时序检测缓冲器和计数器；所述芯片物理安全检测方法包括：

在一个检测周期内，完成一组覆盖线的顶层覆盖检测和信号时序检测；其中，顶层覆盖检测包括：

随机数发生器产生一组随机数，并将产生的随机数输入到每组n条覆盖线的输入端；

顶层覆盖检测器检测所述覆盖线的输出信号与输入到所述覆盖线的随机数是否相同，如果所述覆盖线的输出信号与输入到所述覆盖线的随机数不同，则判断芯片遭到攻击；

信号时序检测包括：

线网切换电路从一组覆盖线中依次选择两个或多个相邻的输出检测信号进入信号时序检测模式；

在计数器的控制下，被选中的两个或多个输出检测信号通过时序检测缓冲器后，分别与顶层覆盖检测电路的输入端相连，对覆盖线的时序进行迭代放大；

经过k次迭代放大之后，时序检测缓冲器的输出端与所述第二仲裁电路的输入端相连，所述第二仲裁电路对接收到的信号时序进行判断，如果接收到的信号时序有偏差，则判断芯片遭到攻击。

6.根据权利要求5所述的芯片物理安全检测方法，其特征在于，所述输出信号的放大信号具体为：

将所述每组两条或两条以上的覆盖线的输出信号反复k次通过各自所属的覆盖线后的最终的输出信号，其中，所述k为大于1的自然数。

7.根据权利要求5所述的芯片物理安全检测方法，其特征在于，所述选择的覆盖线为每组相邻的两条所述覆盖线。

Images