CN111916400A

CN111916400A - 基于衬底耦合容性puf的芯片防半侵入式攻击方法

Info

Publication number: CN111916400A
Application number: CN202010709482.3A
Authority: CN
Inventors: 万美琳; 彭定洋; 张寅�; 贺章擎; 彭旷; 胡永明; 顾豪爽
Original assignee: Hubei University
Current assignee: Hubei University
Priority date: 2020-07-22
Filing date: 2020-07-22
Publication date: 2020-11-10
Anticipated expiration: 2040-07-22
Also published as: CN111916400B

Abstract

本发明公开基于衬底耦合容性PUF的芯片防半侵入式攻击方法，所述方法是先在芯片衬底下方引入金属层对光子和电磁信号进行有效屏蔽；再采用芯片内部基于衬底‑氧化层‑金属层电容耦合脉冲失配检测的衬底耦合容性PUF实时检测芯片下方金属层的完整性；衬底耦合容性PUF结构包括:由衬底‑氧化层‑金属层构成电容、由P+扩散区构成的衬底电压检测点、采样放大电路，金属层是铜、铝或导电的光、电磁屏蔽层，采样放大电路用于检测不同位置衬底电压检测点的耦合电压大小并输出设定的PUF；本发明可防止金属层被破坏，不额外引入新的工艺流程，完全与CMOS工艺兼容，具有完备的半侵入式攻击防护，可有效提升安全芯片的半侵入式攻击防护以及整个芯片的硬件安全性防护能力。

Description

基于衬底耦合容性PUF的芯片防半侵入式攻击方法

技术领域

本发明涉及基于衬底耦合容性PUF的芯片防半侵入式攻击方法，具体涉及一种基于衬底电容耦合脉冲失配检测的衬底耦合容性PUF，以及基于该衬底耦合容性PUF的芯片防半侵入式攻击结构及防护方法，应用用于安全芯片物理安全防护，属于硬件信息安全技术领域。

背景技术

物理不可克隆函数(Physical Unclonable Function,简称PUF)最早由Pappu于2001年3月在《Physical One-Way Funct1ns))中提出，随后很快就出现了基于光学、电磁学和电子学等原理的多种PUF结构，并被广泛的用于身份认证、安全密钥生成和防伪技术等领域。随着集成电路技术的迅速发展，采用PUF技术的集成电路芯片也很快出现，并在芯片安全和防伪领域得到广泛的应用。PUF电路主要通过捕获芯片在制造过程中不可避免产生的工艺偏差，从而生成无限多的，具有唯一性和不可克隆性的输出，这些输出不可预测，即使芯片制造商也无法复制，因此极大的提高了芯片的安全级别。但于此同时，现有的PUF结构仅仅用来提供无法直接观测的密钥，都不具有完备的防破解功能，尤其无法防止半侵入式攻击。

在CMOS的加工生产工艺中，现有的绝大多数芯片的下方(Back side)只包含衬底，无其他金属层和介质层，无法引入防护和检测电路，使其极易受多种光、电磁半侵入式攻击，这个弊端已经成为芯片的侵入后门。半侵入式攻击方式主要是：从芯片下方利用激光或电磁场主动引起电路的变化甚至错误，或者被动接收电路泄漏或反射的光子、电磁波旁路信息，进而分析出芯片敏感信息。半侵入式攻击不破坏芯片内部电路结构，攻击手段繁多，发展极为迅速，现今已经破解多种密钥存储和生成结构，破解的芯片类型包括多种嵌入式处理器、FPGA和专用加解密芯片，破解的芯片工艺覆盖180～28nm多个CMOS工艺节点，对安全芯片的威胁极大。

通常半侵入式攻击主要分为主动光致攻击、磁致攻击、光子反射探测攻击和光子辐射旁路攻击等多种方式。各种攻击方式及原理分别介绍如下：

主动光致攻击是指利用波长大于1.1μm的红外激光，透过芯片下方硅基衬底照射敏感晶体管，通过温度差引起热释电效应，以改变导通晶体管两端的电压差，进而引起芯片微小电流变化来定位晶体管的状态，如附图1(a)所示；或者通过高能激光引起光电离使截止的晶体管导通而引入电路错误，通过分析芯片的工作状况得到敏感信息，如图1(b)所示。

主动磁致攻击通过引入高能电磁脉冲(Electromagnetic Pulse,EMP)改变晶体管状态进而引入错误，通过分析电路的错误工作情况得到敏感信息，如图1(c)所示。

光子反射探测攻击是向晶体管沟道发射激光，由于晶体管沟道内的电场会影响光子的反射情况，通过检测晶体管反射的光子数量可以得到晶体管的状态，进一步的，通过对反射的光子数量进行统计并滤波，可以有效地滤除噪声并实时检测电路的动态工作状态，如图1(d)所示。

光子辐射旁路攻击通过统计晶体管在经过饱和区所发射的光子辐射情况，定位晶体管最终状态或者相邻电路操作的翻转情况，实现对敏感信息的破解，如图1(e)所示。

对于半侵入式攻击，由于CMOS工艺中芯片下方防护层和防护电路的缺失，导致其防护措施极为有限，处于攻多守少的状态。如何在芯片衬底下方引入与CMOS工艺兼容的防护层和检测电路，是安全芯片半侵入式攻击防护亟需解决的关键问题，对保障芯片的物理安全具有重要意义。现有半侵入式攻击防护研究主要集中于采用衬底电压检测电路和衬底防护层进行防护。

(1)衬底电压检测电路

如附图2所示，为参考研究[286F2/Cell Distributed Bulk-Current Sensor andSecure Flush Code Eraser Against Laser Fault Injection Attack onCryptographic Processor.IEEE Journal of Solid-State Circuits,2018,53(11):3174-3182]提出的衬底电压检测电路，当外部激光或电磁错误注入发生时，衬底电压发生变化，采样管导通，检测电路将产生对应的攻击标志信号。如图3所示为参考发明[Systemsand Methods for Detecting and Preventing Optical Attacks.U.S.Patent,No.9,559,066B2,Jan.2017]提出的衬底电压检测电路，利用较大面积的扩散区检测外部激光或电磁错误注入引起的衬底电压变化。此类检测单元能够有效检测大功率激光或EMP错误注入时导致的衬底电压变化。但缺点也非常明显，首先是检测范围非常有限，每3-5个数字逻辑单元就需要添加一个检测单元，大大增加了防护成本；其次是该种检测单元只能检测大功率激光或者EMP错误注入导致的衬底电压较大范围变化，而对于其他非错误注入类半侵入式攻击，其衬底电压变化很小甚至不变化，该种电路将无法检测。

(2)衬底防护层

简单增加激光或者电磁场注入检测电路对半侵入式攻击防护的种类有限，电路防护成本高。因此，部分研究致力于解决芯片下方无法引入防护层且无法与芯片内部检测电路连接的问题，提供了一些方案。

如图4(a)所示，参考研究[Nanopyramid:An Optical Scrambler AgainstBackside Probing Attacks.44th International Symposium for Testing and FailureAnalysis]在金属层和晶体管有源区之间添加随机的硅金字塔结构，对光子进行散射，扰乱反射光，以防止光子反射探测攻击。该种防护结构需要对工艺进行修改，无法兼容标准CMOS工艺，且无法防止光致和磁致错误攻击以及光子辐射旁路攻击，实际应用有限。

如图4(b)所示，参考研究[IC Security and Quality Improvement byProtection of Chip Backside against Hardware Attacks.MicroelectronicsReliability,2018,88-89:22-25]和[Assessment of a Chip BacksideProtection.Journal of Hardware and Systems Security,2018,2(4):345-352]在衬底下方加入TiO2-Ti-TiO2光反射层，并在芯片内部添加发光管和光接收管，当下方反射层被破坏后，光接收管光强度也将发生变化。该种方法类似于侵入式攻击防护，能够有效地防护各类主动和被动光致、磁致攻击，但每个二极管的功耗较高，在mW级别，而且需要多个发射和接收管进行多点定位，相关控制算法复杂，防护成本和功耗均较高。

如图4(c)所示，参考研究[A Novel Structure for Backside ProtectionAgainst Physical Attacks on Secure Chips or SiP.2018IEEE 68th ElectronicComponents and Technology Conference(ECTC),IEEE,2018]在衬底随机挖出大小不等的孔洞，通过在孔洞中注入金属实现衬底防护层与检测电路的连接，但其在衬底端打孔洞并注入金属成本非常高，不适合大规模量产，而且攻击者可以结合反向工程、聚焦离子束(Focused Ion Beam,FIB)重建攻击确定和维持金属孔洞以及连接线的分布，然后再采用半侵入式攻击对去除金属孔洞后的衬底进行攻击。

综合如上所述的半侵入攻击防护研究现状，可得出的结论是：现有的PUF不具有半侵入式攻击防护的能力，而现有的半侵入式攻击防护措施无法同时对所有的光致和磁致攻击进行防护，无法将防护层的特性实时反映至芯片内部的检测电路中，无法与CMOS工艺兼容，进而无法真正解决芯片衬底下方安全后门的问题。

发明内容

本发明针对背景技术所述不足，提出基于衬底耦合容性PUF的芯片防半侵入式攻击方法，是一种基于衬底耦合容性物理不可克隆函数(Physical Unclonable Function,PUF)的防护体系，通过在芯片下方由封装引入金属层或者其他导电的光、电磁屏蔽层，对光子和电磁信号进行屏蔽，并采用基于衬底-氧化层-金属层电容耦合脉冲失配检测的容性PUF实时检测芯片下方金属层的完整性，能够在屏蔽光子和电磁半侵入式攻击的同时，避免金属层被侵入式攻击破坏，进而实现完备的半侵入式攻击防护。

为了达到上述目的，本发明采用以下方案：

一种基于衬底耦合容性PUF的芯片防半侵入式攻击方法，包括如下措施：

首先，采用金属层覆盖芯片衬底下方，对光和电磁信号进行屏蔽；

其次，采用基于衬底-氧化层-金属层电容耦合脉冲失配检测的衬底耦合容性PUF检测金属层的完整性，防止对光和电磁信号进行屏蔽的金属层被外部侵入式攻击破坏。

进一步地，当侵入式攻击破坏金属层时，衬底耦合容性PUF的输出值将发生改变，进而转变为芯片密钥的变化或者使芯片自毁，以真正同时实现芯片下方半侵入式攻击防护和侵入式攻击防护。

本发明还公开了一种防半侵入式攻击的基于衬底耦合容性PUF结构，是一种基于衬底电容耦合脉冲失配检测的衬底耦合容性PUF，包括：衬底-氧化层-金属层构成的电容和由P+扩散区构成的衬底电压检测点，通过在金属层上施加脉冲电压，衬底-氧化层-金属层构成的电容将使金属层上的脉冲电压耦合至P+扩散区构成的衬底电压检测点上，采样放大电路将检测不同位置衬底电压检测点的耦合电压大小，根据其大小关系产生特定的PUF输出。

优选地，所述金属层是在芯片封装时由封装工艺植入的，无需在CMOS工艺中引入，且完全与CMOS工艺兼容。

优先地，所述金属层是厚度≥200nm的铜或者铝层，或者是导电的光、电磁屏蔽层。

进一步地，所述衬底下方金属层破坏导致的衬底-氧化层-金属层的电容变化将转变为PUF输出的变化，实现对衬底下方金属层完整性的实时检测。

进一步地，所述衬底耦合容性PUF的输出值可以作为芯片安全的标志信号，当芯片内部电路发现其值发生改变时，芯片改变内部的密钥值或者自毁。

更进一步地，所述衬底耦合容性PUF的输出值也可以直接作为芯片内部的密钥值或者与根密钥共同运算得到芯片内部实际使用的密钥，衬底耦合容性PUF输出值的改变将直接反映至输出密钥的改变。

本发明的有益效果是：

本发明采用金属层(或者是其它导电的光、电磁屏蔽层)对光子和电磁信号进行有效屏蔽，能够防护所有半侵入式攻击，并采用基于衬底-氧化层-金属层电容耦合脉冲失配检测的衬底耦合容性PUF实时检测芯片下方金属层的完整性，能够防止金属层被破坏，且不额外引入新的工艺流程，完全与CMOS工艺兼容，能够实现完备的半侵入式攻击防护。

采用本发明技术方案，将有效提升安全芯片的半侵入式攻击防护能力，进而提升整个芯片的硬件安全性。

附图说明

图1是现有针对安全芯片的半侵入式攻击类型；

图2是参考研究的衬底电压检测单电路结构示意图；

图3是参考发明的衬底电压检测单元版图结构示意图；

图4是参考发明或研究的衬底防护层结构示意图；

图5是本发明一种基于衬底耦合容性PUF的芯片结构示意图；

图6是本发明衬底耦合容性PUF检测芯片下方金属层侵入式攻击示意图；

图7(a)～7(d)是本发明衬底耦合容性PUF的COMSOL器件建模和仿真图。

具体实施方式

以下结合附图对本发明具体实施例作进一步说明，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，旨在用于解释本发明，而不能理解为对本发明的限制，凡在本发明的精神和原则之内所做的任何修改、等同替换或改进等，均应包含在本发明的权利要求范围之内，本技术方案中未详细述及的，均为公知技术。

参考附图5～7，由于厚度≥200nm的铜或者铝金属层具有较好的光、电磁屏蔽效果，因此图5的实施例中，在芯片衬底下方添加了厚度为200nm的铜或者铝金属层，该金属层将对各类光、电磁半侵入式攻击进行有效防护。

另一方面，为了防止攻击者采用侵入式攻击的方式去除该金属层，并再用光、电磁半侵入式攻击对安全芯片进行攻击，本发明实施例中，将采用衬底耦合容性PUF对金属层完整性进行检测，具体方案如下：

由于不同位置金属层、氧化层和衬底的材料特性失配是随机的，每个衬底-氧化层-金属层耦合电容容值和脉冲失配检测容性PUF单元的输出也是随机的；当外部攻击破坏衬底下方金属层后，如图6所示，对应衬底-氧化层-金属层耦合电容C_som将发生变化，改变相邻两个P+扩散区电压检测点到金属层之间原有的电容失配ΔC_som，衬底下方金属层脉冲耦合至衬底P+电压检测点电压差值ΔV_PN将发生变化，进而使PUF单元的输出KDi发生改变，实现了对衬底下方金属层完整性的检测。

具体量化分析如下，当衬底下方金属层电压V_M以K V/s的速率进行突变时，忽略两个检测点之间电阻R_dd的影响，对单条支路进行分析有：

公式(1)中：C_som为衬底-氧化层-金属层耦合电容，R_db为电压检测点到GND钳制点的体电阻，R_bc为电容边界到电压检测点之间的体电阻，Vx为衬底-氧化层-金属层耦合电容上端电压。

由此得到检测点V_N或V_P的电压为：

公式(2)中，K为V_M的上升速度，t为时间；当在t₀时刻输入信号完成跃变后，V_M保持为固定值，V_X将以τ＝(R_bc+R_db)C_som的时间常数进行衰减，对应检测点电压V_N或V_P为：

由此得到脉冲发生前后检测点的电压为：

可以看出，衬底下方金属层电压突变将直接耦合至衬底P+扩散区电压检测点，对衬底下方金属层的外部攻击破坏所导致的衬底-氧化层-金属层耦合电容C_som的变化将直接导致相邻检测点V_N或V_P的电压变化，从而使采样放大器的输入ΔV_PN发生变化，改变PUF原有的输出值KDi，进而使芯片自毁或改变密钥。

如图7(a)所示，为本发明防半侵入式攻击防护体系的外部侵入式攻击实际器件模型，当衬底厚度为100μm，长度为301μm，宽度为1μm时，衬底下方金属层脉冲电压能够通过衬底-氧化层-金属层电容有效耦合至衬底P+扩散区电压检测点，衬底下方金属层2ns内0-3.3V的脉冲电压在衬底电压检测点引起的脉冲幅值约为300mV，持续时间约为3ns，如图7(b)所示。若底部被外部侵入式攻击去除面积为0.3×1μm²的金属层，如图7(c)和7(d)所示，将导致最近的电位检测点2约1.3mV的脉冲电压变化，可以被片内放大器有效分辨出来，进而发出攻击标志信号，使芯片自毁或改变密钥，防止攻击者进一步采用半侵入式攻击的方式获取敏感信息。

通过以上实施例可以看出，衬底耦合脉冲失配检测容性PUF具有较高的灵敏度，保证了本发明防半侵入式攻击防护体系对外部侵入式和半侵入式攻击的有效防护能力。

在采用上述防护体系后，将使芯片衬底下方金属层(或其他导电光、电磁屏蔽层)同时具有半侵入式攻击和侵入式攻击的防护能力，真正解决了芯片衬底下方安全后门的问题。

本发明采用金属层(或者是其它导电的光、电磁屏蔽层)对光子和电磁信号进行有效屏蔽，能够防护所有半侵入式攻击，并采用基于衬底-氧化层-金属层(或者是其它导电的光、电磁屏蔽层)电容耦合脉冲失配检测的衬底耦合容性PUF实时检测芯片下方金属层(或者是其它导电的光、电磁屏蔽层)的完整性，能够防止金属层(或者是其它导电的光、电磁屏蔽层)被破坏，且不额外引入新的工艺流程，完全与CMOS工艺兼容，能够实现完备的半侵入式攻击防护。

Claims

1.一种基于衬底耦合容性PUF的芯片防半侵入式攻击方法，是针对安全芯片半侵入式攻击的防护方法；其特征在于，包括如下措施：

其次，采用基于衬底-氧化层-金属层电容耦合脉冲失配检测方法，检测衬底耦合容性PUF检测金属层的完整性；当侵入式攻击破坏金属层时，衬底耦合容性PUF的输出值将发生改变，进而转变为芯片密钥的变化或者使芯片自毁。

2.如权利要求1所述一种基于衬底耦合容性PUF的芯片防半侵入式攻击方法，其特征在于：所述衬底耦合容性PUF的输出值可直接作为芯片内部的密钥值或者与根密钥共同运算得到芯片内部实际使用的密钥，衬底耦合容性PUF输出值的改变将直接反映至输出密钥的改变。

3.如权利要求1所述一种基于衬底耦合容性PUF的芯片防半侵入式攻击方法，其特征在于：所述金属层采用铜或铝金属层，或者是导电的光、电磁屏蔽层。

4.一种防半侵入式攻击的基于衬底耦合容性PUF结构，是一种基于衬底电容耦合脉冲失配检测的衬底耦合容性PUF，其特征在于：所述基于衬底耦合容性PUF包括：电容、衬底检测点、采样放大电路；所述电容由衬底-氧化层-金属层构成，所述衬底电压检测点由P+扩散区构成；所述采样放大电路用于检测不同位置衬底电压检测点的耦合电压大小，并根据其大小关系产生设定的PUF输出；

工作中：

当在金属层上施加脉冲电压时，衬底-氧化层-金属层构成的电容将使金属层上的脉冲电压耦合至P+扩散区构成的衬底电压检测点上；

所述衬底下方金属层破坏导致的衬底-氧化层-金属层的电容变化将转变为PUF输出的变化，实现对衬底下方金属层完整性的实时检测。

5.如权利要求4所述一种防半侵入式攻击的基于衬底耦合容性PUF结构，其特征在于，设定：所述金属层是厚度≥200nm的铜或者铝层，或者是导电的光、电磁屏蔽层。

6.如权利要求4所述一种防半侵入式攻击的基于衬底耦合容性PUF结构，其特征在于：所述金属层是在芯片封装时由封装工艺植入，且与CMOS工艺兼容。