CN114814531A - 一种芯片安全测试电路及逻辑芯片 - Google Patents

Abstract

本发明公开一种芯片安全测试电路及逻辑芯片，该芯片安全测试电路包括设置于芯片上的允许测试管脚；测试管控模块，被配置为根据所述允许测试管脚的输入信号来控制输出的允许测试信号的输出状态，且仅当所述芯片经历全局复位后将输出的允许测试信号转换为有效状态；测试模式控制模块，被配置当所述测试管控模块输出的允许测试信号为有效状态时，根据所述芯片的测试模式接口的输入信号来控制所述芯片的进入测试模式，且仅在所述芯片经历全局复位时控制所述芯片退出测试模式。本发明通过设置一个允许测试管脚，在每次上电复位时选择测试模式和正常工作模式，避免了敏感数据在测试和正常工作两个模式之间的传递，从而达到信息安全的目标。

Description

一种芯片安全测试电路及逻辑芯片

技术领域

本发明涉及芯片安全测试技术领域，特别涉及一种芯片安全测试电路及逻辑芯片。

背景技术

数字逻辑芯片除了正常工作时的功能模式(正常工作模式)，通常还具有用于上产阶段筛选不良品或分析产品故障的测试模式。该模式下，芯片内部的寄存器和逻辑单元会以另外一种方式工作，使芯片内部的寄存器能够最大限度地通过芯片管脚观测状态或者施加控制。

对于工作模式下用于存储敏感信息(如密钥等)的寄存器，如果测试模式被不合理地加以利用则可能成为一种攻击手段，进而威胁信息安全。例如正常工作模式下，若敏感信息已经加载到寄存器，若此时芯片进入测试模式，且进入后加载有敏感信息的寄存器仍然保持其状态，则攻击者可以通过扫描移位，从芯片管脚获取敏感信息。又例如，若芯片从测试模式返回正常工作模式时寄存器保持其状态，则攻击者就存在机会将虚假的信息注入用于加载敏感信息的寄存器，从而操控芯片的信息安全资源。

目前可通过将存储秘密信息的电路排除在扫描测试之外，或利用熔丝永久性禁止测试来避免芯片处于测试模式时敏感数据被探测到，前者的缺点是测试覆盖率下降，而后者的缺点是设计复杂，扫描测试模式进入过程耗时长，增加扫描测试成本。

发明内容

鉴于以上所述现有技术的缺点，本发明的目的在于提供一种芯片安全测试电路及逻辑芯片，用于解决现有技术中的数字逻辑芯片安全测试时测试覆盖率下降或者设计复杂，扫描测试模式进入过程耗时长，增加扫描测试成本的技术问题。

为实现上述目的及其他相关目的，本发明提供一种芯片安全测试电路，包括：

允许测试管脚，设置于所述芯片上；

测试管控模块，与所述允许测试管脚耦接，所述测试管控模块被配置为根据所述允许测试管脚的输入信号来控制所述测试管控模块输出的允许测试信号的输出状态，且仅当所述芯片经历全局复位后所述测试管控模块输出的允许测试信号为有效状态；

测试模式控制模块，所述测试模式控制模块与所述测试管控模块的输出端及所述芯片的测试模式接口耦接，所述测试模式控制模块被配置当所述测试管控模块输出的允许测试信号为有效状态时，根据所述芯片的测试模式接口的输入信号来控制所述芯片的进入测试模式，且仅在所述芯片经历全局复位时控制所述芯片退出测试模式。

在一可选实施例中，所述芯片安全测试电路还包括第一阻止装置，设置于所述芯片的熔丝和熔丝加载寄存器之间，并与所述测试管控模块耦接，所述第一阻止装置被配置为仅当所述测试管控模块输出的允许测试信号为无效状态时，允许所述熔丝中存储的数据加载到所述熔丝加载寄存器中。

在一可选实施例中，所述芯片安全测试电路还包括第二阻止装置，设置于所述芯片的总线和敏感数据存储单元之间，并与所述测试管控模块耦接，所述第二阻止装置被配置为仅当所述测试管控模块输出的允许测试信号为无效状态时，允许所述总线向所述敏感数据存储单元存储数据。

在一可选实施例中，所述测试模式控制模块还被配置为当发生任何预设的禁止测试模式的事件时，使所述测试模式控制模块输出的允许测试信号转换为无效状态，以禁止所述芯片进入测试模式；其中，所述预设的禁止测试模式的事件包括所述允许测试管脚的输入状态为禁止测试，任何所述允许测试管脚上的电压跳变，熔丝加载值中出现禁止测试，和软件通过寄存器接口禁止测试。

在一可选实施例中，所述芯片的熔丝中在敏感信息之前设置有锁定位和禁止测试位，并且所述锁定位位于所述禁止测试位之前。

在一可选实施例中，所述测试模式控制模块包括用于检测所述允许测试管脚上的电压跳变的检测电路。

在一可选实施例中，所述测试模式控制模块包括用于检测所述允许测试管脚的输入信号上升沿、下降沿和低电平的检测电路。

在一可选实施例中，所述测试模式控制模块包括用于检测所述允许测试管脚的输入信号上升沿、下降沿和高电平的检测电路。

在一可选实施例中，所述测试模式控制模块包括第一逻辑与门，逻辑或门，第二逻辑与门及D触发器；

所述第一逻辑与门的第一输入端与所述测试模式接口连接，所述第一逻辑与门的第二输入端与所述测试管控模块的输出端连接，所述第一逻辑与门的输出端与所述逻辑或门的第一输入端连接；

所述逻辑或门的输出端与所述D触发器的数据输入端连接，所述逻辑或门的第二输入端与所述D触发器的第一数据输出端连接；

所述第二逻辑与门的一输入端与测试时钟连接，所述第二逻辑与门的第二输入端与所述D触发器的第二数据输出端连接，所述第二逻辑与门的输出端与所述D触发器的时钟输入端连接；

所述D触发器的复位输入端与复位信号连接，所述D触发器的第一数据输出端用于输出测试模式信号。

为实现上述目的及其他相关目的，本发明还提供一种芯片，所述芯片采用上述的芯片安全测试电路。

本发明的芯片安全测试电路由允许测试管脚，测试管控模块及测试模式控制模块构成，所述测试管控模块被配置为根据所述允许测试管脚的输入信号来控制所述测试管控模块输出的允许测试信号的输出状态，且仅当所述芯片经历全局复位后所述测试管控模块输出的允许测试信号为有效状态；所述测试模式控制模块与所述测试管控模块的输出端及所述芯片的测试模式接口耦接，所述测试模式控制模块被配置当所述测试管控模块输出的允许测试信号为有效状态时，根据所述芯片的测试模式接口的输入信号来控制所述芯片的进入测试模式，且仅在所述芯片经历全局复位时控制所述芯片退出测试模式通过在芯片上设置允许测试管脚。通过设置允许测试管脚，在每次上电复位时选择测试模式和正常工作模式，避免了敏感数据在测试和正常工作两个模式之间的传递，从而达到信息安全的目标。

本发明的芯片安全测试电路，通过在熔丝加载路径和敏感数据存储的加载路径上设置阻止装置，该阻止装置仅在允许测试信号变为无效状态时允许数据通过，从而可以确保芯片在允许测试的情况下，阻止敏感数据进入有风险的寄存器。

本发明的芯片安全测试电路，测试管控模块采用冗余及容错设计，能够检测允许测试管脚在全局复位后的状态改变，若发生改变即视为非法，禁止测试。

本发明的芯片安全测试电路，通过在所述芯片的熔丝中在密钥等敏感信息之前设置锁定位和禁止测试位，并将所述锁定位设置于所述禁止测试位之前，该锁定位可以禁止熔丝加载寄存器中的禁止测试位被软件修改，但是不影响熔丝加载；并且由于禁止测试位于密钥等敏感信息之前，芯片的测试模式会先于密钥等敏感信息加载到熔丝加载寄存器中而被禁止，从而避免密钥等敏感信息通过测试模式泄露。

附图说明

图1显示为本发明的具有芯片安全测试电路的逻辑芯片结构框图。

图2显示为本发明的测试管控模块的框图。

图3显示为本发明的熔丝功能映射示意图。

图4显示为本发明的测试模式控制模块的框图。

具体实施方式

以下通过特定的具体实例说明本发明的实施方式，本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的具体实施方式加以实施或应用，本说明书中的各项细节也可以基于不同观点与应用，在没有背离本发明的精神下进行各种修饰或改变。

请参阅图1-4。需要说明的是，本实施例中所提供的图示仅以示意方式说明本发明的基本构想，遂图式中仅显示与本发明中有关的组件而非按照实际实施时的组件数目、形状及尺寸绘制，其实际实施时各组件的型态、数量及比例可为一种随意的改变，且其组件布局型态也可能更为复杂。

逻辑芯片包含微处理器、微控制器、数字信号处理器、可编程逻辑器件等。逻辑芯片具备扫描测试逻辑，芯片工作在扫描测试状态时，可通过芯片管脚对片上逻辑单元施加激励、观测状态进行测试。

逻辑芯片上电复位后，内部的逻辑状态机自动读出熔丝内的密钥等敏感信息，并存储到熔丝加载寄存器中供芯片使用。之后的芯片工作过程中，也可能产生或者得到此类信息，并将其存储到指定的寄存器中。

芯片的信任链通常根据这些保密数据建立，通过用这些数据对数据进行加密或者签名，保护信息的私密性和完整性。这些加载寄存器中的敏感信息通常无法通过软件读取，因此在正常工作时不会被非法获取。芯片在测试模式时，熔丝加载寄存器及其他的存储有密钥等敏感信息的寄存器既可以通过扫描测试逻辑观测，又可以控制其数值，信息安全性受到严重威胁。

芯片进入测试模式时，需确保熔丝加载寄存器和其他的存储有密钥等敏感信息的寄存器中没有敏感数据，从而避免敏感信息被泄露。而在芯片从测试模式退出时，需确保加载寄存器和其他的存储有密钥等敏感信息的寄存器中的数据均被清除，从而保护敏感信息不被篡改。

基于此，本实施例通过设置一个允许测试管脚10，在每次上电复位时选择测试模式和正常工作模式，避免了敏感数据在测试和正常工作两个模式之间的传递，从而达到信息安全的目标。

图1示出了本实施例的具有芯片安全测试电路的逻辑芯片结构框图。如图1所示，所述芯片安全测试电路包括允许测试管脚10、测试管控模块20、测试模式控制模块30及加载阻止模块。所述芯片安全测试电路通过与逻辑芯片系统的上电复位模块50(与复位管脚51连接，用于输出供逻辑芯片进行全局复位的复位信号，以对逻辑芯片中的各记忆逻辑单元进行复位)和接口逻辑模块40来配合来实现在每次上电复位时选择测试模式和正常工作模式，避免了敏感数据在测试和正常工作两个模式之间的传递，从而达到信息安全的目标。

如图1所示，所述允许测试管脚10设置于所述逻辑芯片上，所述允许测试管脚10可以是专用引脚，也可以和其他功能共用。所述允许测试管脚10可以被耦接到控制器或其他设备的输出端，其中控制器或其他设备可以将所述允许测试管脚10设置为预定义值来改变所述测试管控模块20输出的允许测试信号的输出状态。

如图1所示，所述测试管控模块20与所述允许测试管脚10耦接，所述测试管控模块20被配置为根据所述允许测试管脚10的输入信号来控制所述测试管控模块20输出的允许测试信号的输出状态，且仅当所述芯片经历全局复位后所述测试管控模块20输出的允许测试信号为有效状态，以允许芯片进入测试模式。所述测试模式控制模块30还被配置为当发生任何预设的禁止测试模式的事件时，使所述测试模式控制模块30输出的允许测试信号转换为无效状态，以禁止所述芯片进入测试模式；其中，所述预设的禁止测试模式的事件包括所述允许测试管脚10的输入状态为禁止测试，任何所述允许测试管脚10上的电压跳变，熔丝加载值中出现禁止测试，和软件通过寄存器接口禁止测试。

具体地，如图1所示，所述测试管控模块20用于允许芯片进入测试模式，所述测试管控模块20的输出的复位值为1(当然也可以为0，本实施例将以位值为1为例来进行说明)，且只有芯片上电复位能使输出置1。发生任何禁止测试模式的事件均会使输出清零，禁止逻辑芯片进入测试模式。所述测试模式控制模块30的输入端除与所述允许测试管脚10耦接外，还分别与所述逻辑芯片的软件禁止模块80及熔丝加载寄存器63耦接，所述预设的禁止测试模式的事件包括所述允许测试管脚10的输入状态为禁止测试，任何所述允许测试管脚10上的电压跳变，熔丝加载寄存器63中的熔丝加载值中出现禁止测试，和软件(软件禁止模块80)通过寄存器(例如图2中的D触发器208)接口禁止测试。

图2示出了一具体示例中测试管控模块20的框图。所述测试管控模块20具有与允许测试管脚10连接的三个检测电路，分别用于检测所述允许测试管脚10的上升沿、下降沿和低电平，任何一项的发生均会关闭本次上电复位后的逻辑芯片的测试功能，也即将所述测试管控模块20输出的允许测试信号转换为无效状态。

需要说明的是，测试管控模块20采用冗余及容错设计，目的是检测允许测试管脚10在系统上电后的状态改变，若发生改变即视为非法，禁止测试。系统也可以利用这一特性将此允许测试管脚10用作攻击检测。图2中自上而下分别是下降沿检测、低电平检测、上升沿检测、主检测、软件禁止和熔丝禁止。

具体地，如图2所示，所述允许测试管脚10的信号的下降沿检测由第一反相器201和D触发器202实现。所述允许测试管脚10的信号经过第一反相器201连接至D触发器202的时钟端，该D触发器202的复位值为1，且D端口固定接低电平。系统上电后，若允许测试管脚10从高电平变为低电平，则D触发器202的时钟端会出现一个上升沿，该上升沿会使得D触发器202的输出状态转换成0，从而禁止测试。

所述允许测试管脚10的信号的低电平检测由第一反相器201和RS触发器203实现。所述允许测试管脚10的信号还经过所述第一反相器201连接至RS触发器203的复位端，该RS触发器203的复位值为1。系统上电后，若允许测试管脚10出现低电平，则RS触发器203的复位端有效，使得RS触发器203的输出状态转换成0，从而禁止测试。

所述允许测试管脚10的信号的上升沿检测由D触发器204实现。所述允许测试管脚10的信号连接至D触发器204的时钟端，该D触发器204的复位值为1，且D端口固定接低电平。系统上电后，若允许测试管脚10从低电平变为高电平，则D触发器204的时钟端会出现一个上升沿，该上升沿会使得D触发器204的输出状态转换成0，从而禁止测试。

所述允许测试管脚10的信号的主检测电路由逻辑与门205和D触发器206实现。所述允许测试管脚10的信号和D触发器206的输出通过逻辑与门205连接到D触发器206的D端，D触发器206的时钟端连接到系统时钟，D触发器206的复位值为1。系统上电后若允许测试管脚10保持为高电平，则D触发器206输出保持为高电平，若允许测试管脚10输入变为低电平，则D触发器206的输出也会转换成低电平，同时这个逻辑与门205会阻止D触发器206的D端变为高电平。

需要说明的是，由于主检测电路是由系统时钟驱动的，每个系统时钟的上升沿，在系统时钟的两个上升沿之间的信号跳变会漏检。因此通过下降沿检测、低电平检测、上升沿检测这三个作为冗余设计，可以有效地检测各种攻击行为。

所述测试管控模块20还允许软件通过触发器访问禁止测试模式，也即允许软件通过触发器将所述测试管控模块20输出的允许测试信号转换为无效状态。具体地，如图2所示，在允许测试管脚10之外，还可以通过软件主动禁止测试。D触发器208的使能信号来自总线71的写入信号，D端由D触发器208的(Q端)输出和写入数据通过逻辑与门207执行逻辑与运算得到，其中，D触发器208的时钟端连接到系统时钟，D触发器210的复位值为1。软件在进入安全运行状态之前，可主动关闭测试模式。此冗余设计的目的是应对阻止电路失效而带来的安全风险。若阻止电路因为故障或者受到攻击不能有效阻止敏感数据进入敏感信息存储单元，只要软件在写入密钥等敏感数据之前主动禁止测试，那么敏感信息存储单元中的密钥等敏感数据就不会通过测试模式泄露。

所述测试管控模块20还可通过响应熔丝加载值中出现禁止测试的配置关闭测试功能作出防御，也即熔丝禁止测试。通常情况下，在允许测试模式，也即所述测试管控模块20输出的允许测试信号为有效状态时，熔丝61的熔丝加载值为零(当然也可以为1)，但是在逻辑芯片出现异常时，如受到某种技术的攻击，熔丝61可能会被错误地加载，此时若熔丝加载值中出现禁止测试的配置(例如图3所示的情形)，则测试管控模块20仍可以通过将所述测试管控模块20将输出的允许测试信号转换为无效状态来关闭测试功能作出防御。

熔丝禁止测试是通过熔丝加载值禁止测试，在熔丝中定义一个位用于禁止测试，并将熔丝加载寄存器63连接至测试管控模块20。利用一个逻辑与门209将D触发器210的输出端Q和经第二反相器211反相后的熔丝加载值执行逻辑与运算后连接到D触发器210的D端，D触发器210的时钟端连接到系统时钟，D触发器210的复位值为1。若熔丝加载寄存器63的阻止电路因为故障或者受到攻击而失效。熔丝加载寄存器63中的禁止测试信号将关闭测试模式，避免数据从测试模式泄露的风险。

如图3所示，熔丝加载值中的禁止测试配置例如可通过如下方式实现：熔丝61加载按照字的自然顺序加载，从零开始依次递增。熔丝61的首个字包含可熔丝加载寄存器63的锁定信息，该锁定位可以禁止加载寄存器中的禁止测试位被软件修改，但是不影响熔丝61加载。禁止测试位放置于其后，禁止测试位加载后即不可修改。若熔丝61在允许测试的情况下被异常加载，由于密钥等敏感信息位于禁止测试位之后，逻辑芯片的测试功能会先于敏感信息加载到熔丝加载寄存器63中被禁止。

需要说明的是，上述电路也可以进行一些数字电路里的逻辑等价变换，并不限于图2中给出的具体示例，例如可以将D触发器20的D端固定接高电平，而将D触发器20的非Q端与逻辑与门的输入端连接。

在允许测试的情况下，也即在允许测试信号为有效状态的情况下，表示后续逻辑芯片随时有可能进入测试模式，在该情况下，任何熔丝加载寄存器63和敏感数据存储单元73中的信息，将面临泄露的风险。为此，如图1所示，所述芯片安全测试电路还设置有加载阻止模块，所述加载阻止模块包括第一阻止装置62和第二阻止装置72。所述第一阻止装置62设置于所述芯片的熔丝61和熔丝加载寄存器63之间，并与所述测试管控模块20耦接，所述第一阻止装置62被配置为仅当所述测试管控模块20输出的允许测试信号为无效状态时，允许所述熔丝61中存储的数据加载到所述熔丝加载寄存器63中。所述第二阻止装置72设置于所述芯片的总线71和敏感数据存储单元73之间，并与所述测试管控模块20耦接，所述第二阻止装置72被配置为仅当所述测试管控模块20输出的允许测试信号为无效状态时，允许所述总线71向所述敏感数据存储单元73存储数据。所述芯片安全测试电路通过在熔丝61加载路径和总线71敏感信息(密钥)的加载路径上设置阻止装置，该阻止装置仅在允许测试信号变为无效状态时允许数据通过，从而可以确保芯片在允许测试的情况下，阻止敏感数据进入有风险的寄存器(熔丝加载寄存器63和敏感数据存储单元73)。

而在禁止测试的情况下，也即在允许测试信号为无效状态的情况下，进入测试模式必须经历全局复位，而全局复位又会清除寄存器(熔丝加载寄存器63和敏感数据存储单元73)中的敏感数据。

如图1所示，所述测试模式控制模块30控制逻辑芯片工作模式，正常工作模式或者测试模式，所述测试模式控制模块30与所述测试管控模块20的输出端及所述芯片的测试模式接口41(例如JTAG、GPIO或两者的组合)连接，所述测试模式控制模块30通过接口逻辑模块40与所述芯片的测试模式接口41连接，所述测试模式控制模块30被配置当所述测试管控模块20输出的允许测试信号为有效状态时，根据所述芯片的测试模式接口41的输入信号来控制所述芯片的进入测试模式，且仅在所述芯片经历全局复位时控制所述芯片退出测试模式，也即所述测试模式控制模块30一旦进入测试模式，即锁定在测试模式，所述测试模式控制模块30的这种行为方式使得逻辑芯片从测试模式退出重新进入正常工作模式的过程中必须经历一次全局复位，阻止了信息从测试模式向正常工作模式的传递，从而达到信息安全的目标。图4示出了所述测试模式控制模块30的一具体示例。

如图4所示，所述测试模式控制模块30包括逻辑与门31，逻辑或门32，逻辑与门33及D触发器34；所述逻辑与门31的第一输入端通过接口逻辑模块40与所述测试模式接口41连接，所述逻辑与门31的第二输入端与所述测试管控模块20的输出端连接，所述逻辑与门31的输出端与所述逻辑或门32的第一输入端连接；所述逻辑或门32的输出端与所述D触发器34的数据输入端(D端)连接，所述逻辑或门32的第二输入端与所述D触发器34的第一数据输出端(Q端)连接；所述逻辑与门33的一输入端与测试时钟连接，所述逻辑与门33的第二输入端与所述D触发器34的第二数据输出端(非Q端)连接，所述逻辑与门33的输出端与所述D触发器34的时钟输入端连接；所述D触发器34的复位输入端与复位信号连接，所述D触发器34的第一数据输出端(Q端)用于输出测试模式信号。所述测试模式控制模块30通过输出信号改变逻辑芯片的工作模式，控制信号来自D触发器34，该D触发器34在输出测试模式时即关闭该D触发器34的时钟，避免该D触发器34的输出值发生改变。

综上所述，本发明的芯片安全测试电路由允许测试管脚，测试管控模块及测试模式控制模块构成，所述测试管控模块被配置为根据所述允许测试管脚的输入信号来控制所述测试管控模块输出的允许测试信号的输出状态，且仅当所述芯片经历全局复位后所述测试管控模块输出的允许测试信号为有效状态；所述测试模式控制模块与所述测试管控模块的输出端及所述芯片的测试模式接口和耦接，所述测试模式控制模块被配置当所述测试管控模块输出的允许测试信号为有效状态时，根据所述芯片的测试模式接口的输入信号来控制所述芯片的进入测试模式，且仅在所述芯片经历全局复位时控制所述芯片退出测试模式通过在芯片上设置允许测试管脚。通过设置允许测试管脚，在每次上电复位时选择测试模式和正常工作模式，避免了敏感数据在测试和正常工作两个模式之间的传递，从而达到信息安全的目标。本发明的芯片安全测试电路，通过在熔丝加载路径和敏感数据存储的加载路径上设置阻止装置，该阻止装置仅在允许测试信号变为无效状态时允许数据通过，从而可以确保芯片在允许测试的情况下，阻止敏感数据进入有风险的寄存器。本发明的芯片安全测试电路，测试管控模块采用冗余及容错设计，能够检测允许测试管脚在全局复位后的状态改变，若发生改变即视为非法，禁止测试。本发明的芯片安全测试电路，通过在所述芯片的熔丝中在密钥等敏感信息之前设置锁定位和禁止测试位，并将所述锁定位设置于所述禁止测试位之前，该锁定位可以禁止熔丝加载寄存器中的禁止测试位被软件修改，但是不影响熔丝加载；并且由于禁止测试位于密钥等敏感信息之前，芯片的测试模式会先于密钥等敏感信息加载到熔丝加载寄存器中而被禁止，从而避免密钥等敏感信息通过测试模式泄露。

在本文的描述中，提供了许多特定细节，诸如部件和/或方法的实例，以提供对本发明实施例的完全理解。然而，本领域技术人员将认识到可以在没有一项或多项具体细节的情况下或通过其他设备、系统、组件、方法、部件、材料、零件等等来实践本发明的实施例。在其他情况下，未具体示出或详细描述公知的结构、材料或操作，以避免使本发明实施例的方面变模糊。

还应当理解还可以以更分离或更整合的方式实施附图所示元件中的一个或多个，或者甚至因为在某些情况下不能操作而被移除或因为可以根据特定应用是有用的而被提供。

另外，除非另外明确指明，附图中的任何标志箭头应当仅被视为示例性的，而并非限制。此外，除非另外指明，本文所用的术语“或”一般意在表示“和/或”。在术语因提供分离或组合能力是不清楚的而被预见的情况下，部件或步骤的组合也将视为已被指明。

本发明所示实施例的上述描述(包括在说明书摘要中所述的内容)并非意在详尽列举或将本发明限制到本文所公开的精确形式。尽管在本文仅为说明的目的而描述了本发明的具体实施例和本发明的实例，但是正如本领域技术人员将认识和理解的，各种等效修改是可以在本发明的精神和范围内的。如所指出的，可以按照本发明所述实施例的上述描述来对本发明进行这些修改，并且这些修改将在本发明的精神和范围内。

本文已经在总体上将系统和方法描述为有助于理解本发明的细节。此外，已经给出了各种具体细节以提供本发明实施例的总体理解。然而，相关领域的技术人员将会认识到，本发明的实施例可以在没有一个或多个具体细节的情况下进行实践，或者利用其它装置、系统、配件、方法、组件、材料、部分等进行实践。在其它情况下，并未特别示出或详细描述公知结构、材料和/或操作以避免对本发明实施例的各方面造成混淆。

因而，尽管本发明在本文已参照其具体实施例进行描述，但是修改自由、各种改变和替换亦在上述公开内，并且应当理解，在某些情况下，在未背离所提出发明的范围和精神的前提下，在没有对应使用其他特征的情况下将采用本发明的一些特征。因此，可以进行许多修改，以使特定环境或材料适应本发明的实质范围和精神。本发明并非意在限制到在下面权利要求书中使用的特定术语和/或作为设想用以执行本发明的最佳方式公开的具体实施例，但是本发明将包括落入所附权利要求书范围内的任何和所有实施例及等同物。因而，本发明的范围将只由所附的权利要求书进行确定。

Claims (10)

1.一种芯片安全测试电路，其特征在于，包括：

允许测试管脚，设置于所述芯片上；

测试管控模块，与所述允许测试管脚耦接，所述测试管控模块被配置为根据所述允许测试管脚的输入信号来控制所述测试管控模块输出的允许测试信号的输出状态，且仅当所述芯片经历全局复位后所述测试管控模块输出的允许测试信号为有效状态；

测试模式控制模块，所述测试模式控制模块与所述测试管控模块的输出端及所述芯片的测试模式接口耦接，所述测试模式控制模块被配置当所述测试管控模块输出的允许测试信号为有效状态时，根据所述芯片的测试模式接口的输入信号来控制所述芯片的进入测试模式，且仅在所述芯片经历全局复位时控制所述芯片退出测试模式。

2.根据权利要求1所述的芯片安全测试电路，其特征在于，所述芯片安全测试电路还包括第一阻止装置，设置于所述芯片的熔丝和熔丝加载寄存器之间，并与所述测试管控模块耦接，所述第一阻止装置被配置为仅当所述测试管控模块输出的允许测试信号为无效状态时，允许所述熔丝中存储的数据加载到所述熔丝加载寄存器中。

3.根据权利要求1所述的芯片安全测试电路，其特征在于，所述芯片安全测试电路还包括第二阻止装置，设置于所述芯片的总线和敏感数据存储单元之间，并与所述测试管控模块耦接，所述第二阻止装置被配置为仅当所述测试管控模块输出的允许测试信号为无效状态时，允许所述总线向所述敏感数据存储单元存储数据。

4.根据权利要求1所述的芯片安全测试电路，其特征在于，所述测试模式控制模块还被配置为当发生任何预设的禁止测试模式的事件时，使所述测试模式控制模块输出的允许测试信号转换为无效状态，以禁止所述芯片进入测试模式；其中，所述预设的禁止测试模式的事件包括所述允许测试管脚的输入状态为禁止测试，任何所述允许测试管脚上的电压跳变，熔丝加载值中出现禁止测试，和软件通过寄存器接口禁止测试。

5.根据权利要求4所述的芯片安全测试电路，其特征在于，所述芯片的熔丝中在敏感信息之前设置有锁定位和禁止测试位，并且所述锁定位位于所述禁止测试位之前。

6.根据权利要求4所述的芯片安全测试电路，其特征在于，所述测试模式控制模块包括用于检测所述允许测试管脚上的电压跳变的检测电路。

7.根据权利要求6所述的芯片安全测试电路，其特征在于，所述测试模式控制模块包括用于检测所述允许测试管脚的输入信号上升沿、下降沿和低电平的检测电路。

8.根据权利要求6所述的芯片安全测试电路，其特征在于，所述测试模式控制模块包括用于检测所述允许测试管脚的输入信号上升沿、下降沿和高电平的检测电路。

9.根据权利要求1所述的芯片安全测试电路，其特征在于，所述测试模式控制模块包括第一逻辑与门，逻辑或门，第二逻辑与门及D触发器；

所述第一逻辑与门的第一输入端与所述测试模式接口连接，所述第一逻辑与门的第二输入端与所述测试管控模块的输出端连接，所述第一逻辑与门的输出端与所述逻辑或门的第一输入端连接；

所述逻辑或门的输出端与所述D触发器的数据输入端连接，所述逻辑或门的第二输入端与所述D触发器的第一数据输出端连接；

所述第二逻辑与门的一输入端与测试时钟连接，所述第二逻辑与门的第二输入端与所述D触发器的第二数据输出端连接，所述第二逻辑与门的输出端与所述D触发器的时钟输入端连接；

所述D触发器的复位输入端与复位信号连接，所述D触发器的第一数据输出端用于输出测试模式信号。

10.一种逻辑芯片，其特征在于，所述逻辑芯片采用如权利要求1-9中任意一项所述的芯片安全测试电路。

Images