FR2888330A1 - Circuit integre comportant un mode de test securise par detection de l'etat d'un signal de commande - Google Patents

Circuit integre comportant un mode de test securise par detection de l'etat d'un signal de commande Download PDF

Info

Publication number
FR2888330A1
FR2888330A1 FR0507281A FR0507281A FR2888330A1 FR 2888330 A1 FR2888330 A1 FR 2888330A1 FR 0507281 A FR0507281 A FR 0507281A FR 0507281 A FR0507281 A FR 0507281A FR 2888330 A1 FR2888330 A1 FR 2888330A1
Authority
FR
France
Prior art keywords
circuit
state
signal
control
cells
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
FR0507281A
Other languages
English (en)
Other versions
FR2888330B1 (fr
Inventor
David Hely
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
STMicroelectronics SA
Original Assignee
STMicroelectronics SA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by STMicroelectronics SA filed Critical STMicroelectronics SA
Priority to FR0507281A priority Critical patent/FR2888330B1/fr
Priority to US11/484,359 priority patent/US7694197B2/en
Priority to US11/484,355 priority patent/US7577886B2/en
Publication of FR2888330A1 publication Critical patent/FR2888330A1/fr
Application granted granted Critical
Publication of FR2888330B1 publication Critical patent/FR2888330B1/fr
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G01MEASURING; TESTING
    • G01RMEASURING ELECTRIC VARIABLES; MEASURING MAGNETIC VARIABLES
    • G01R31/00Arrangements for testing electric properties; Arrangements for locating electric faults; Arrangements for electrical testing characterised by what is being tested not provided for elsewhere
    • G01R31/28Testing of electronic circuits, e.g. by signal tracer
    • G01R31/317Testing of digital circuits
    • G01R31/31719Security aspects, e.g. preventing unauthorised access during test
    • GPHYSICS
    • G01MEASURING; TESTING
    • G01RMEASURING ELECTRIC VARIABLES; MEASURING MAGNETIC VARIABLES
    • G01R31/00Arrangements for testing electric properties; Arrangements for locating electric faults; Arrangements for electrical testing characterised by what is being tested not provided for elsewhere
    • G01R31/28Testing of electronic circuits, e.g. by signal tracer
    • G01R31/317Testing of digital circuits
    • G01R31/3181Functional testing
    • G01R31/3185Reconfiguring for testing, e.g. LSSD, partitioning
    • G01R31/318533Reconfiguring for testing, e.g. LSSD, partitioning using scanning techniques, e.g. LSSD, Boundary Scan, JTAG

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Logic Circuits (AREA)
  • Semiconductor Integrated Circuits (AREA)
  • Design And Manufacture Of Integrated Circuits (AREA)

Abstract

L'invention concerne un circuit électronique comprenant des cellules configurables (2a, 2w, 2z) pilotées par des signaux de commande pour adopter soit un mode de fonctionnement standard dans lequel elles s'intègrent à un circuit logique (LOG), soit un mode de test dans lequel elles fournissent des informations sur ce circuit logique.Le circuit de l'invention comprend un circuit espion (31) propre à détecter une excitation anormale de certains des conducteurs (K1-K4, K21-K23) sur lesquels transitent les signaux de commande, empêchant ainsi une extraction frauduleuse de données hors des cellules configurables (2a, 2w, 2z). Le circuit espion comprend un circuit de combinaison logique (311) et une cellule de détection d'état (312).

Description

CIRCUIT INTEGRE COMPORTANT UN MODE DE TEST SECURISE PAR DETECTION
DE L ' ETAT D'UN SIGNAL DE COMMANDE L'invention concerne, de façon générale, les circuits électroniques intégrés synchrones munis de moyens de logique combinatoire, de bascules, et de moyens de test.
Plus précisément, l'invention concerne un circuit électronique comprenant une pluralité de cellules logiques; une pluralité de cellules configurables; une pluralité de conducteurs de commande reliés, pour partie d'entre eux au moins, aux cellules configurables et sur lesquels circulent sélectivement des signaux de commande reçus et / ou émis en fonctionnement par un circuit de commande tel qu'un contrôleur d'accès, les cellules configurables adoptant sélectivement, en fonction des signaux de commande, soit un état fonctionnel dans lequel les cellules configurables sont fonctionnellement reliées à des cellules logiques avec lesquelles elles coopèrent pour former au moins un circuit logique, soit dans un état chaîné dans lequel les cellules configurables sont fonctionnellement connectées en chaîne pour former un registre à décalage.
I1 est aujourd'hui bien connu de vérifier le fonctionnement correct des éléments fonctionnels d'un circuit intégré en imposant et / ou en déterminant, à des instants prédéfinis, des valeurs de données présentes en certains points internes de ce circuit intégré.
Une telle technique de test des chemins internes d'un circuit intégré (désignée par "scanpath" ou "internai scan method" en langue anglaise) est par exemple décrite dans la publication Dl (M. Williams et J. Angel, intitulée "Enhancing Testability of LSI Circuits Via Test Points and Additional Logic, IEEE Transactions on Computers, vol. C-22, no.l; Janvier 1973").
Selon cette technique, chacune des bascules du circuit logique, dont il est utile de connaître l'état et / ou d'imposer le contenu durant le fonctionnement standard du circuit intégré, est dotée à son entrée d'un multiplexeur.
Les différentes bascules et les multiplexeurs qui leur sont associés constituent ainsi autant de cellules configurables dont les accès sont contrôlés par ces multiplexeurs.
Les multiplexeurs de ces différentes cellules configurables sont collectivement commandés par un contrôleur d'accès ou "contrôleur TAP" ("TAP" pour "Test Access Port" en langue anglaise) qui, en fonction d'un mode de fonctionnement choisi, utilise cet ensemble de cellules configurables soit comme un circuit fonctionnel standard, intégré au circuit logique qu'il forme avec les cellules logiques, soit comme un circuit de test.
Pour ce faire, le contrôleur TAP reçoit sur différents conducteurs de commande, et / ou adresse sur différents conducteurs de commande par lesquels il est relié aux différentes cellules configurables, des signaux de commande, tels qu'un signal de commande de passage en mode de test, un signal de commande de chaînage ou encore un signal de commande de propagation de données, qui autorisent à modifier et / ou modifient les chemins de circulation des données au sein du circuit intégré et qui permettent ainsi la capture de ces données par le contrôleur, en vue de leur analyse ultérieure.
En mode de fonctionnement standard, le contrôleur TAP pilote donc les multiplexeurs des cellules configurables de manière que les bascules de ces cellules soient connectées à des cellules logiques environnantes pour définir un ou plusieurs sous-ensembles fonctionnels du circuit intégré.
Dans le mode de test, qui est normalement déclenché à réception par le contrôleur TAP du signal de commande de passage en mode de test, ce contrôleur produit un signal de commande de chaînage pour connecter en série les bascules des cellules configurables de manière à former un registre à décalage.
Ce registre comporte notamment une entrée série et une sortie série respectivement connectées à une sortie et à une entrée du contrôleur TAP, ainsi qu'une entrée d'horloge recevant le signal de commande de propagation de données pour cadencer le flot de données.
Dans un premier temps, le contrôleur TAP charge en série des données dans les bascules des cellules configurables par l'entrée du registre à décalage que forment ces cellules.
Puis, le contrôleur TAP change la commutation des multiplexeurs pour former le circuit fonctionnel, et commande l'exécution d'un ou plusieurs cycles d'horloge par ce circuit fonctionnel. Dans cette phase, les données chargées dans les bascules des cellules configurables sont traitées par le circuit fonctionnel.
Le contrôleur change alors une nouvelle fois la commutation des multiplexeurs pour former à nouveau le registre à décalage et récupère, en série sur la sortie de ce registre à décalage, les données mémorisées dans les bascules des cellules configurables durant le dernier cycle d'horloge.
En dépit de l'intérêt confirmé de cette technique de test, son application pratique peut en certaines circonstances s'avérer problématique, notamment sur les circuits intégrés qui traitent des données secrètes.
En effet, dans la mesure où l'activation du mode de test peut permettre à un fraudeur de lire le contenu des bascules des cellules configurables, cette technique de test présente a priori l'inconvénient de rendre de tels circuits très vulnérables à une utilisation frauduleuse.
Par exemple, en stoppant à divers moments un processus de chargement interne de données secrètes dans le circuit intégré et en déchargeant le contenu du registre à décalage, un fraudeur pourra obtenir des informations sur des données secrètes, voire les reconstituer.
En activant le mode de test, un fraudeur pourra également accéder en écriture aux bascules des cellules configurables pour insérer des données frauduleuses, ou bien pour placer le circuit intégré dans une configuration non autorisée. Il pourra ainsi par exemple accéder à un registre contrôlant un organe sécuritaire tel qu'un capteur pour le désactiver. Il pourra également injecter une donnée erronée en vue d'obtenir de l'information sur une donnée secrète.
La fraude peut en fait adopter deux stratégies différentes, dont la première consiste à prendre le contrôle du contrôleur TAP et à observer sur les plots externes le contenu des cellules du registre à décalage, et dont la seconde consiste à prendre le contrôle des cellules configurables en les excitant par micro-sondage de manière à simuler le pilotage de ces cellules par les signaux de commande qu'émet le contrôleur TAP.
Une tentative de fraude conforme à la deuxième stratégie peut être bloquée par une technique qui fait l'objet d'une demande de brevet D2 (FR04/00837) précédemment déposée par le Déposant. Le circuit électronique comprend un circuit d'espionnage relié un à ensemble de plusieurs conducteurs de commande dont un premier au moins est assigné à la transmission du signal de commande de chaînage configurant les cellules configurables en registre à décalage, dont un second au moins est assigné à la transmission du signal de commande de passage en mode de test qui active le circuit de commande, et dont un troisième au moins est assigné à la transmission du signal de mode indiquant le mode de fonctionnement du contrôleur. Le circuit d'espionnage est un circuit de logique combinatoire, comprenant un ensemble de portes logiques; le circuit d'espionnage combine l'ensemble des signaux reçus et produit un signal de sortie représentatif d'une tentative d'intrusion si le signal de commande de passage en mode de test ou le signal de mode est inactif, alors que le signal de commande de chaînage est actif.
Le circuit de D2 est certes efficace pour détecter une éventuelle intrusion dans le circuit et une tentative de prise de contrôle du registre à décalage. Toutefois, la mise en oeuvre du circuit de logique combinatoire comme circuit d'espionnage entraîne un surcoût non négligeable pour la fabrication de ce circuit. En particulier, le processus de placement-routage des composants élémentaires sur le silicium devient plus complexe, avec un risque d'erreur accru. Ceci est du au fait que le placement-routage du circuit d'espionnage doit être fait manuellement, après le placement / routage automatique des autres composants élémentaires, car le circuit d'espionnage est unique en son genre et très différent des autres composants du circuit intégré. Il faut ainsi, manuellement, identifier tous les conducteurs, placer le circuit d'espionnage à proximité des autres composants élémentaires, router certains des conducteurs vers le circuit d'espionnage de manière appropriée, s'assurer que les connexions ajoutées manuellement ne perturbent pas le fonctionnement des autres composants élémentaires du fait de rayonnements parasites éventuels induits par les connexions manuelles, etc. De plus, si le placement / routage doit être réitéré pour optimiser le circuit global, il est nécessaire de réitérer le placement / routage manuel du circuit d'espionnage après chaque placement / routage automatique des autres composants du circuit global.
Le but de l'invention est de proposer un circuit électronique comprenant un circuit d'espionnage ayant la fonction globale décrite ci-dessus mais réalisé différemment, conçu pour faire échec à une tentative de fraude de manière aussi efficace que le circuit électronique de D2, mais qui est plus facile et moins coûteux à mettre en oeuvre, notamment au niveau du processus de placement-routage sur le circuit électronique.
A cette fin, le circuit électronique selon l'invention, par ailleurs conforme à la définition générique qu'en donne le préambule ci-dessus, est essentiellement caractérisé par le fait que le circuit d'espionnage comprend: É un circuit de combinaison, opérant une combinaison logique des signaux reçus sur l'ensemble de conducteurs de commande, et délivrant au moins un signal de sortie dans un premier état si le signal de commande de passage en mode de test ou le signal de mode est inactif, alors que le signal de commande de chaînage est actif, et É une cellule de détection d'état qui produit un signal d'état représentatif de l'état logique du signal de sortie.
Selon un mode avantageux de mise en oeuvre, la cellule de détection d'état est réalisée selon un schéma similaire au schéma d'une cellule configurable, les signaux appliqués sur ses entrées de données et de sélection sont par contre différents. La cellule de détection d'état comprend ainsi une première entrée et une deuxième entrée sur lesquelles sont appliquées une première donnée et une deuxième donnée de valeurs logiques différentes, une entrée de sélection sur laquelle est appliqué le signal de sortie du circuit de combinaison, et une sortie sur laquelle est produite le signal d'état égal soit à la première donnée soit à la deuxième donnée en fonction de la valeur du signal de sortie du circuit de combinaison.
Comme la cellule de détection d'état du circuit d'espionnage est réalisée de manière similaire à une cellule configurable du circuit électronique, contrairement à D2, aucune étape manuelle n'est nécessaire. La cellule de détection peut par ailleurs être intégrée à la liste des composants élémentaires du circuit avant les étapes automatiques de placement / routage. Le placement / routage automatique pourra être paramétrisé de façon à ce que la ou les cellules de détection soient proches des cellules configurables les plus sensibles, de telle sorte que les cellules de détection et les cellules configurables soient reliées au même conducteur transportant le signal de commande de chaînage. Aucune étape de placement / routage manuel n'est plus nécessaire pour la mise en uvre du circuit selon l'invention. On évite ainsi tous les inconvénients d'une étape de placement / routage manuel: difficulté de mise en uvre, difficulté d'intégration, erreur de placement / routage, perturbation des autres composants précédemment placés et routés, etc. Selon un premier mode de réalisation de l'invention, le circuit électronique comprend un unique circuit d'espionnage, relié d'une part aux conducteurs sur lesquels transitent le signal de commande de passage en mode test et le signal de mode, et d'autre part à un conducteur sur lequel transite le signal de commande de chaînage. Dans un exemple, le circuit d'espionnage peut être relié directement à une borne de sortie du circuit de commande sur laquelle est produit le signal de commande de chaînage. Dans un autre exemple, le circuit d'espionnage peut être relié à une entrée de sélection d'une cellule configurable sur laquelle est appliqué le signal de commande de chaînage. Dans un autre exemple encore, le circuit d'espionnage est relié à un conducteur reliant la borne du circuit de commande sur laquelle est produit le signal de commande de chaînage et l'entrée de sélection d'une cellule configurable.
Selon un deuxième mode de réalisation, le circuit électronique comprend plusieurs circuits d'espionnage, chacun étant relié un à ensemble de plusieurs conducteurs de commande dont le premier conducteur au moins est choisi parmi un groupe de plusieurs conducteurs de commande assignés à la transmission du signal de commande de chaînage, le dit premier conducteur étant différent d'un circuit d'espionnage à l'autre. On teste ainsi simultanément plusieurs conducteurs sur lesquels transite le signal de commande de chaînage.
On peut par exemple prévoir autant de circuits d'espionnage qu'il est prévu de conducteurs susceptibles d'acheminer le signal de commande de chaînage. Le circuit est ainsi sécurisé au mieux puisque tous les conducteurs susceptibles de transmettre le signal de commande de chaînage sont testés.
Quel que soit le mode de réalisation particulier choisi, il est avantageux de prévoir que le signal de sortie du circuit d'espionnage soit acheminé aux cellules configurables et remette à zéro les bascules des cellules configurables lorsqu'il adopte son état représentatif d'une tentative d'intrusion.
D'autres caractéristiques et avantages de l'invention ressortiront clairement de la description qui en est faite ci-après, à titre indicatif et nullement limitatif, en référence à l'unique figure annexée, qui est un schéma illustrant un circuit électronique selon l'invention.
Comme annoncé précédemment, l'invention concerne un circuit électronique doté de moyens de test internes.
Un tel circuit comprend typiquement une pluralité de cellules logiques telles que les cellules 10 à 15, une pluralité de cellules configurables telles que les cellules 2a, 2w, et 2z, une pluralité de conducteurs de commande tels que les conducteurs Kl à K5 et K21 à K23, ainsi éventuellement qu'un circuit de commande tel qu'un contrôleur d'accès CTAP, qui peut aussi, toutefois, être externe au circuit électronique considéré.
Chacune des cellules configurables telles que 2a, 2w, et 2z comprend au moins un multiplexeur 21 et au moins une bascule 22.
Les conducteurs de commande Kl à K5 et K21 à K23, dont certains au moins sont reliés aux cellules configurables 2a, 2w, et 2z, servent à la transmission de signaux de commande sélectivement reçus et / ou émis en fonctionnement par le circuit de commande CTAP, tels qu'un signal de commande de passage en mode de test TESTENABLE qui active le circuit de commande CTAP, un signal de commande de chaînage SCAN_ENABLE qui chaîne les cellules configurables sous forme d'un registre à décalage, un signal de commande CLK qui permet la propagation de données dans les cellules configurables, et un signal de mode SHIFT DR qui indique le mode de fonctionnement, standard ou test, du circuit de commande.
En fonction de ces signaux de commande ou de certains au moins d'entre eux, les cellules configurables 2a, 2w, et 2z adoptent soit un mode de fonctionnement standard, dans lequel elles sont fonctionnellement reliées à certaines au moins des cellules logiques 10 à 15 avec lesquelles elles coopèrent pour former un circuit logique LOG, soit un mode de test dans lequel ces cellules configurables 2a, 2w, 2z sont fonctionnellement connectées l'une à l'autre en chaîne pour former un registre à décalage.
Le passage des cellules configurables du mode de fonctionnement standard au mode de test est effectué par le pilotage des multiplexeurs 21 au moyen de certains au moins des signaux de commande délivrés par le circuit de commande CTAP.
Le registre à décalage 2a à 2z présente notamment une entrée de données SRI pilotée par une sortie du circuit de commande CTAP, une sortie de données SRO, reliée à une entrée du circuit de commande CTAP, et une entrée d'horloge (non spécifiquement représentée) pour recevoir le signal CLK propre à cadencer le flot de données dans ce registre à décalage.
Pour lancer un test, un signal TEST_ENABLE de commande de passage en mode de test doit d'abord être adressé au circuit de commande CTAP sur le conducteur de commande K4.
Le circuit de commande CTAP configure alors les cellules configurables 2a à 2z en registre à décalage par l'émission du signal de commande de chaînage SCAN_ENABLE.
Puis, par émission du signal de commande de propagation CLK, le circuit de commande CTAP charge en série des données de test dans les bascules 22 de ces cellules configurables à travers l'entrée SRI du registre à décalage.
Puis, par désactivation du signal de commande de chaînage SCAN ENABLE, le circuit de commande CTAP reconfigure les cellules configurables 2a à 2z en élément fonctionnel du circuit logique LOG et commande l'exécution d'un ou plusieurs cycles d'horloge par cet élément fonctionnel, qui traite les données de test.
Par réactivation du signal de commande de chaînage SCAN ENABLE, le circuit de commande CTAP reconfigure à nouveau les cellules configurables 2a à 2z en registre à décalage.
Enfin, par émission du signal de commande de propagation CLK, le circuit de commande CTAP récupère, à la sortie SRO de ce registre, les données mémorisées dans les bascules 22 et issues du traitement des données de test par le circuit logique LOG.
Pour éviter notamment qu'un fraudeur ne puisse simuler une telle procédure de test en appliquant directement des signaux de commande sur les conducteurs K1 à K5 et K21 à K23, et / ou des données sur l'entrée SRI, et ne puisse récupérer ainsi frauduleusement les données mémorisées dans les bascules 22 et issues du traitement des données de test par le circuit logique LOG, le circuit électronique de l'invention comprend un circuit d'espionnage 31.
Le circuit d'espionnage 31 est relié un à ensemble de plusieurs conducteurs de commande K21, K4, K5 dont un premier au moins K21 est assigné à la transmission du signal de commande de chaînage SCAN_ENABLE configurant les cellules configurables en registre à décalage, dont un second au moins K4 est assigné à la transmission du signal de commande de passage en mode de test TEST_ENABLE qui active le circuit de commande, et dont un troisième au moins K5 est assigné à la transmission du signal SHIFT DR de mode indiquant le mode de fonctionnement du circuit de commande.
Le circuit d'espionnage comprend un circuit de combinaison 311 et une cellule de détection d'état 312.
Le circuit de combinaison 311 a pour fonction de réaliser une combinaison logique des signaux reçus sur l'ensemble de conducteurs de commande K21, K4, K5, et de délivrer au moins un signal de sortie OUT dans un premier état si le signal de commande de passage en mode de test TEST_ENABLE ou le signal de mode SHIFT_DR est inactif, alors que le signal de commande de chaînage SCAN_ENABLE est actif.
La cellule de détection d'état 312 a pour fonction de produire un signal d'état ETAT représentatif de l'état logique du signal de sortie OUT.
Le circuit d'espionnage 31 a ainsi pour fonction de délivrer un signal de sortie ETAT1 dont l'état est représentatif d'une absence d'anomalie ou au contraire d'une tentative d'intrusion.
Plus précisément, le signal de sortie ETAT1 du circuit d'espionnage 31 adopte un état représentatif d'une absence d'anomalie ou d'une tentative d'intrusion selon que la combinaison des signaux transitant sur les conducteurs de commande K21, K4, K5, espionnés correspond, ou non, à une combinaison de signaux de commande observable dans un état de fonctionnement autorisé du circuit électronique.
Le circuit d'espionnage 31 exploite ainsi la cohérence existant normalement entre les états que prennent au cours du temps les différents signaux de commande internes du circuit électronique pour avertir, en cas de détection d'une rupture de cette cohérence, que l'un des conducteurs de commande sur lequel transite normalement un signal de commande astreint à cette cohérence a fait l'objet d'une attaque visant à le forcer à une valeur différente de celle que prévoit cette même cohérence.
Le circuit de combinaison 311 comprend, dans l'exemple représenté, une porte logique 31la de type NON-ET et une porte logique 311b de type ET. Le choix des types de portes utilisées dépend naturellement des polarités des signaux logiques de commande. La porte 31la comprend deux entrées connectées respectivement aux conducteurs K4 et K5, qui sont actifs à 1, et la porte 311b comprend deux entrées connectées respectivement à la sortie de la porte 311a et au conducteur K21. La porte 311b produit sur une sortie un signal OUT qui est actif si et seulement si le signal sur le conducteur K21 est actif alors que les signaux sur les conducteurs K4 et K5 sont inactifs.
La cellule de détection d'état 312 est réalisée selon un schéma électronique similaire au schéma électronique des cellules configurables 2a à 2z, et est reliée de manière similaire au circuit de command CTAP et au circuit d'horloge. La cellule de détection 312 d'état comprend ainsi une première entrée et une deuxième entrée sur lesquelles sont appliquées une première donnée et une deuxième donnée constantes et de valeurs logiques différentes, une entrée de sélection sur laquelle est appliqué le signal de sortie du circuit de combinaison, et une sortie sur laquelle est produite le signal d'état (ETAT) égal soit à la première donnée soit à la deuxième donnée en fonction de la valeur du signal de sortie (OUT) du circuit de combinaison.
Dans un premier mode de réalisation de l'invention, le circuit électronique comprend un unique circuit d'espionnage, relié à un conducteur sur lequel transite le signal de commande de chaînage. Par exemple, le circuit d'espionnage est relié au conducteur K21 (cf la figure unique), lui-même relié à des entrées de sélection de cellules configurables. Dans un autre exemple (non représenté), le circuit d'espionnage 31 est relié au conducteur K2, en sortie du circuit de commande.
Dans un deuxième mode de réalisation, le circuit électronique comprend plusieurs circuits d'espionnage 31, 32, 33 (trois seulement sont représentés), tous réalisés de préférence selon des schémas identiques. Chaque circuit d'espionnage 31, 32, 33, ... est relié un à ensemble de plusieurs conducteurs de commande dont le premier conducteur au moins est choisi parmi un groupe de plusieurs conducteurs K21, K22, K23 de commande assignés à la transmission du signal de commande de chaînage SCANENABLE, le dit premier conducteur étant différent d'un circuit d'espionnage à l'autre. Les autres conducteurs arrivant sur chaque circuit d'espionnage sont respectivement un conducteur K4 acheminant le signal de commande TESTENABLE de passage en mode test et un conducteur K5 acheminant le signal de mode SHFT DR.
Dans tous les cas, le signal de sortie ETAT1, ETAT2, ETAT3, ..., du ou des circuits d'espionnage 31, 32, 33 est avantageusement acheminé aux cellules configurables 2a, 2w, et 2z et remet à zéro les bascules 22 de ces cellules configurables lorsqu'il adopte son état représentatif d'une tentative d'intrusion.
2888330 15
NOMENCLATURE
LOG: circuit de logique combinatoire à 15: cellules logiques du circuit LOG 2a à 2w, 2z: cellules configurables 21, 22: multiplexeur et bascule d'une cellule configurable ou d'une cellule d'état CTAP: circuit de commande tel qu'un contrôleur d'accès K1, K2, K3, K4, K5: conducteurs de commande K21, K22, K23: conducteurs de commande 31, 32, 33: circuits d'espionnage 311: circuit de combinaison 312: cellule de détection d'état CLK: signal d'horloge, ou de propagation de données SCANENABLE: signal de commande de chaînage TESTENABLE: signal de commande de passage en mode de test SHIFT DR: signal de mode du contrôleur SRI, SRO: signaux entrée, sortie du registre à décalage ETAT1, ETAT2, ETAT3: signaux d'état: signaux de sortie des circuits d'espionnage 31, 32, 33, représentatifs d'une absence d'anomalie ou d'une tentative d'intrusion

Claims (1)

16 REVENDICATIONS
1. Circuit électronique, caractérisé en ce qu'il comprend - une pluralité de cellules logiques (10-15); - une pluralité de cellules configurables (2a, 2w, 2z); - une pluralité de conducteurs de commande (K1-K5, K21- K23) reliés, pour partie d'entre eux au moins, aux cellules configurables (2a, 2w, 2z) et sur lesquels circulent sélectivement des signaux de commande (TEST ENABLE, SCAN ENABLE, CLK) reçus et / ou émis en fonctionnement par un circuit de commande (CTAP) tel qu'un contrôleur d'accès, les cellules configurables (2a, 2w, 2z) adoptant sélectivement, en fonction des signaux de commande, soit un cellules configurables des cellules logiques état fonctionnel dans lequel les sont fonctionnellement reliées à (10 à 15) avec lesquelles elles coopèrent pour former au dans un état chaîné moins un circuit logique, soit dans lequel les cellules configurables sont fonctionnellement connectées en chaîne pour former un registre à décalage; - un circuit d'espionnage (31) relié à un ensemble de plusieurs conducteurs de commande (K21, K4, K5) dont un premier au moins (K21) est assigné à la transmission du signal de commande de chaînage (SCAN_ENABLE) configurant les cellules configurables en registre à décalage, dont un second au moins (K4) est assigné à la transmission du signal de commande de passage en mode de test (TEST ENABLE) qui active le circuit de commande, et dont un troisième au moins (K5) est assigné à la transmission d'un signal (SHIFT_DR) de mode du contrôleur, le circuit d'espionnage comprenant: É un circuit de combinaison, opérant une combinaison logique des signaux reçus sur l'ensemble de conducteurs de commande (K21, K4, K5), et délivrant au moins un signal de sortie (OUT) dans un premier état si le signal (TEST_ENABLE) de commande de passage en mode de test ou le signal de mode du contrôleur est inactif, alors que le signal de commande de chaînage (SCAN ENABLE) est actif, et É une cellule de détection d'état qui produit un signal d'état (ETAT) représentatif de l'état logique du signal de sortie (OUT).
2. Circuit selon la revendication 1, dans lequel la cellule de détection d'état est réalisée selon un schéma similaire au schéma d'une cellule configurable, la cellule de détection d'état comprenant une première entrée et une deuxième entrée sur lesquelles sont appliquées une première donnée et une deuxième donnée de valeurs logiques différentes, une entrée de sélection sur laquelle est appliqué le signal de sortie du circuit de combinaison, et une sortie sur laquelle est produite le signal d'état (ETAT) égal soit à la première donnée soit à la deuxième donnée en fonction de la valeur du signal de sortie (OUT) du circuit de combinaison.
3. Circuit selon la revendication 1 ou 2, comprenant plusieurs circuits d'espionnage, chacun étant relié un à ensemble de plusieurs conducteurs de commande (K21 ou K22 ou K23, K4, K5) dont le premier conducteur au moins (K21 ou K22 ou K23) est choisi parmi un groupe de plusieurs conducteurs (K21, K22, K23) de commande assignés à la transmission du signal de commande de chaînage (SCAN ENABLE), le dit premier conducteur étant différent d'un circuit d'espionnage à l'autre.
4. Circuit selon l'une des revendications 1 à 3, dans lequel le signal de sortie du ou des circuits d'espionnage est acheminé aux cellules configurables et remet à zéro une bascule de ces cellules configurables lorsqu'il est actif.
FR0507281A 2005-07-08 2005-07-08 Circuit integre comportant un mode de test securise par detection de l'etat d'un signal de commande Expired - Fee Related FR2888330B1 (fr)

Priority Applications (3)

Application Number Priority Date Filing Date Title
FR0507281A FR2888330B1 (fr) 2005-07-08 2005-07-08 Circuit integre comportant un mode de test securise par detection de l'etat d'un signal de commande
US11/484,359 US7694197B2 (en) 2005-07-08 2006-07-10 Integrated circuit comprising a test mode secured by detection of the state of a control signal
US11/484,355 US7577886B2 (en) 2005-07-08 2006-07-10 Method for testing an electronic circuit comprising a test mode secured by the use of a signature, and associated electronic circuit

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
FR0507281A FR2888330B1 (fr) 2005-07-08 2005-07-08 Circuit integre comportant un mode de test securise par detection de l'etat d'un signal de commande

Publications (2)

Publication Number Publication Date
FR2888330A1 true FR2888330A1 (fr) 2007-01-12
FR2888330B1 FR2888330B1 (fr) 2007-10-05

Family

ID=36123107

Family Applications (1)

Application Number Title Priority Date Filing Date
FR0507281A Expired - Fee Related FR2888330B1 (fr) 2005-07-08 2005-07-08 Circuit integre comportant un mode de test securise par detection de l'etat d'un signal de commande

Country Status (1)

Country Link
FR (1) FR2888330B1 (fr)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2958063A1 (fr) * 2010-03-26 2011-09-30 Thales Sa Dispositif permettant de securiser un bus de type jtag

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1089083A1 (fr) * 1999-09-03 2001-04-04 Sony Corporation CIrcuits à semiconducteurs avec circuits de chemin de balayage
US20030204801A1 (en) * 2002-04-30 2003-10-30 Motorola, Inc. Method and apparatus for secure scan testing
US20030218475A1 (en) * 2000-09-11 2003-11-27 Berndt Gammel Circuit configuration and method for detecting an unwanted attack on an integrated circuit

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1089083A1 (fr) * 1999-09-03 2001-04-04 Sony Corporation CIrcuits à semiconducteurs avec circuits de chemin de balayage
US20030218475A1 (en) * 2000-09-11 2003-11-27 Berndt Gammel Circuit configuration and method for detecting an unwanted attack on an integrated circuit
US20030204801A1 (en) * 2002-04-30 2003-10-30 Motorola, Inc. Method and apparatus for secure scan testing

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
HELY D ET AL: "Test Control for Secure Scan Designs", TEST SYMPOSIUM, 2005. EUROPEAN TALLINN, ESTONIA 22-25 MAY 2005, PISCATAWAY, NJ, USA,IEEE, 22 May 2005 (2005-05-22), pages 190 - 195, XP010801332, ISBN: 0-7695-2341-2 *
WILLIAMS M J Y ET AL: "ENHANCING TESTABILITY OF LARGE-SCALE INTEGRATED CIRCUITS VIA TEST POINTS AND ADDITIONAL LOGIC", IEEE TRANSACTIONS ON COMPUTERS, IEEE SERVICE CENTER, LOS ALAMITOS, CA, US, vol. C-22, no. 1, January 1973 (1973-01-01), pages 46 - 60, XP009037345, ISSN: 0018-9340 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2958063A1 (fr) * 2010-03-26 2011-09-30 Thales Sa Dispositif permettant de securiser un bus de type jtag
EP2372595A1 (fr) * 2010-03-26 2011-10-05 Thales Dispositif permettant de sécuriser un bus de type JTAG

Also Published As

Publication number Publication date
FR2888330B1 (fr) 2007-10-05

Similar Documents

Publication Publication Date Title
EP2280364B1 (fr) Détecteur d'injection de fautes dans un circuit intégré
US8495758B2 (en) Method and apparatus for providing scan chain security
US7739568B1 (en) Scan testing system for circuits under test
FR2839156A1 (fr) Circuit et procede utilisant de multiples chaines d'acces serie pour le test de cirucuits integres
EP1560033A1 (fr) Circuit intégré comportant un mode de test sécurisé par initialisation du dit mode de test
EP0490738B1 (fr) Circuit intégré avec contrÔleur de test périphérique
EP0578540B1 (fr) Procédé pour tester le fonctionnement d'un circuit intégré spécialisé, et circuit intégré spécialisé s'y rapportant
US20130275824A1 (en) Scan-based capture and shift of interface functional signal values in conjunction with built-in self-test
EP1560032B1 (fr) Procédé de sécurisation du mode de test d'un circuit intégré par détection d'intrusion
EP1821111B1 (fr) Circuit électronique comprenant un mode de test sécurisé par l'utilisation d'un identifiant, et procédé associé.
EP1688753B1 (fr) Sécurisation du mode de test d'un circuit intégré
US7694197B2 (en) Integrated circuit comprising a test mode secured by detection of the state of a control signal
EP1877811B1 (fr) Circuit integre comportant un mode de test securise par detection de l etat chaine des cellules configurables du circuit integre
EP1876459A1 (fr) Circuit électronique comprenant un mode de test sécurisé par insertion de données leurres dans la chaîne de test, procédé associé
FR2888330A1 (fr) Circuit integre comportant un mode de test securise par detection de l'etat d'un signal de commande
EP1560031B1 (fr) Sécurisation du mode de test d'un circuit intégré
EP1159628B1 (fr) Procede de test de circuits integres avec acces a des points de memorisation du circuit
EP1813952B1 (fr) Test de scan
EP1818677B1 (fr) Circuit électronique comprenant un mode de test sécurisé par rupture d'une chaîne de test
EP1742075B1 (fr) Procédé de test d'un circuit électronique comprenant un mode de test sécurisé par l'utilisation d'une signature, et circuit électronique associé.
EP2069814B1 (fr) Registre scan parametrique, circuit numerique et procede de test d'un circuit numerique a l'aide d'un tel registre
EP0426531A1 (fr) Système de test d'un microprocesseur
FR2753274A1 (fr) Circuit comprenant des moyens de test structurel sans plot de test dedie au test
FR2666902A1 (fr) Circuit integre avec registre de test peripherique.
FR2901616A1 (fr) Systeme de diagnostics et procede de simulation pour un tel systeme

Legal Events

Date Code Title Description
ST Notification of lapse

Effective date: 20090331