JP2005134947A - Icカード用半導体装置及びicカードモジュール - Google Patents
Icカード用半導体装置及びicカードモジュール Download PDFInfo
- Publication number
- JP2005134947A JP2005134947A JP2003366860A JP2003366860A JP2005134947A JP 2005134947 A JP2005134947 A JP 2005134947A JP 2003366860 A JP2003366860 A JP 2003366860A JP 2003366860 A JP2003366860 A JP 2003366860A JP 2005134947 A JP2005134947 A JP 2005134947A
- Authority
- JP
- Japan
- Prior art keywords
- card
- terminal
- semiconductor device
- contact
- signal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- H—ELECTRICITY
- H01—ELECTRIC ELEMENTS
- H01L—SEMICONDUCTOR DEVICES NOT COVERED BY CLASS H10
- H01L2924/00—Indexing scheme for arrangements or methods for connecting or disconnecting semiconductor or solid-state bodies as covered by H01L24/00
- H01L2924/0001—Technical content checked by a classifier
- H01L2924/0002—Not covered by any one of groups H01L24/00, H01L24/00 and H01L2224/00
Landscapes
- Credit Cards Or The Like (AREA)
- Storage Device Security (AREA)
- Wire Bonding (AREA)
Abstract
【課題】 比較的簡易な構成でICカードのコンタクト端子の分離検出が可能なICカード用半導体装置を提供する。
【解決手段】 外部接続用の複数のコンタクト端子101を外面側に、複数のコンタクト端子と各別に接続する複数の導電配線を内面側に備えた絶縁性支持基板の内面側にフリップチップ接続してICカードモジュールを構成するICカード用半導体装置であって、コンタクト端子の1つと電気的に接続するためのセンサ入力端子105とセンサ出力端子104、及び、センサ出力端子104から所定の分離検出用信号SOUTを出力し、センサ入力端子105からの入力信号SINに基づいて、コンタクト端子101との電気的接続の遮断を検出する分離検出回路103を備えている。
【選択図】 図1
【解決手段】 外部接続用の複数のコンタクト端子101を外面側に、複数のコンタクト端子と各別に接続する複数の導電配線を内面側に備えた絶縁性支持基板の内面側にフリップチップ接続してICカードモジュールを構成するICカード用半導体装置であって、コンタクト端子の1つと電気的に接続するためのセンサ入力端子105とセンサ出力端子104、及び、センサ出力端子104から所定の分離検出用信号SOUTを出力し、センサ入力端子105からの入力信号SINに基づいて、コンタクト端子101との電気的接続の遮断を検出する分離検出回路103を備えている。
【選択図】 図1
Description
本発明は、ICカード用半導体装置及びICカードモジュールに関し、更に詳細には、接触型またはコンビネーション型ICカードにおいて、ICカードのモジュール部分を故意に剥がし、半導体装置の解析や内蔵データの改竄を行う不正行為を防止する耐タンパ技術に関する。
近年、インターネットを利用した技術の進歩は目覚しく、流通関連、金融関連等の分野に拡がりを見せている。これらの応用分野では特にセキュリティの確保が重要視されている。一方、かかる応用分野におけるICカードの積極的な利用も今後急速に拡大されるものと考えられ、同様にセキュリティの確保が重要課題となっている。例えば、ICカードにおけるセキュリティ技術としては、個人情報の流出、金融情報の改竄などを防ぐために、データを暗号処理する技術が進歩し、DES(Data Encryption Standard:秘密鍵暗号方式)暗号、RSA(公開鍵暗号方式:R. L. Rivest、A. Shamir、L. Adlemanの頭文字から命名)暗号等が使用されてきている。かかる暗号処理を適用するために、従来に比べてCPUを高速・高機能化したり、内蔵される不揮発性メモリを大容量化したり、また、高機能の暗号処理用プロセッサを内蔵するようになっている。
しかしながら、ICカードに使用されている半導体装置へ不適切な方法で、内部回路の解析、データの改竄などが行われる場合がある。例えば、ICカードの仕様外の電圧(電源電圧VCC、不揮発性メモリ電源VPP)や、仕様外のクロック周波数(CLK)を入力したり、或いは、半導体装置内部へのプロービング等により、半導体装置に様々な誤動作を起こさせることで、例えば内蔵されている不揮発性メモリのデータを偶発的に出力させる、または、電源上に重畳するノイズ波形を解析することで、鍵データなどの重要データを入手することが可能と言われている。これらの対策のために、様々な耐タンパの技術が考案されており、これらを半導体装置へ内蔵する必要性が生じている。
ICカード用の半導体装置を保護する方法としては、半導体装置の上位層に遮蔽膜を備える方法、または、遮蔽膜と同じ層にセンサ用の配線を配置しておき、遮蔽膜を剥離した場合、センサ線も同時に剥離されることを利用して遮蔽膜の剥離を検出する方法等がある。このような耐タンパ技術が知られているが、現在のところ耐タンパ技術には完全なものはないので、同じ半導体装置にも様々な、また複数の耐タンパ技術を使用することが望ましい。
ICカードのモジュールを保護する方式としては、下記の特許文献1及び特許文献2に開示されている方式がある。以下、これらの従来技術を、図8〜図10を参照して説明する。
図8に、ICカードモジュールの概略構造(断面図)を示す。半導体装置402、絶縁支持基板407、モールド樹脂404、コンタクト端子(モジュール端子ともいう。)405からなり、半導体装置402と、絶縁支持基板407はバンプ403を介してフェイスダウン(半導体装置表面を下方に向けて接続)でフリップチップ接続されており、さらに配線401、スルーホール406を通じてコンタクト端子405に接続されている。更に、モジュールはICカード基材408に接着固定されている。また特許文献1に記載されているように、フリップチップ法以外にワイヤボンデイング法による実装方法等がある。
図9に、ICカードモジュール501の外面側に設けられたコンタクト端子504の端子パターンを示す。ICカードの端子は、国際標準規格ISO7816(外部端子付きICカード規格:規格はISO7816‐1物理特性、ISO7816‐2外部端子の数、位置の規定、ISO7816‐3電気信号及び伝送プロトコル、ISO7816‐4共通コマンド等が有る)にて規格化されており、電源VCC、GND、不揮発性メモリ書き込み電源VPP、リセットRST、クロックCLK、入出力I/O、将来使用のためにRFU(Reserve of Future Use)1、RFU2の計8端子が規定されている。図9に示すICカードモジュール501は、絶縁支持基板503、コンタクト端子504、半導体装置505、絶縁部506、破断部502からなる。
図9に示すICカードモジュール501は、絶縁支持基板503に複数の破断部502を設けることにより、ICカードモジュール501がICカード基材から剥離した際に、モジュール501が破断して無効な状態になるように工夫されている。この従来技術の問題点は、コンタクト端子間に破断部を設ける必要があり、それがためにモジュールの形成が困難で、コンタクト端子間を短絡する可能性がある。
特許文献2の「個体識別情報記憶媒体」には、不正防止のための個人識別技術が開示されている。ICカードを使用する者が、ICカードの正当な保持者であるか否かを判別する方法である。先ず、ICカードに本人の写真を配布しておき、この写真データを取込みデータ化する。次に、使用時に使用者の撮像画像データと照合することで、ICカード保持者と使用者の適合を判定する方法が考えられている。しかしながら、上記の判定方法では、写真の張替え、複製行為が十分可能であり、ICカード保持者と使用者の適性判定は十分に機能しているとは言いがたく、写真剥離等の分解行為による不正を防止する手段が要求されている。この要求を満たすための分解行為を検出するための技術が提供されている。
図10に、当該従来技術によるICカードの概略構成図を示す。分解検知の手段としては環境外光の検知によって行う方法がある。当該従来技術によるICカードは、抵抗601、信号処理部602、カード603、フォトトランジスタ604、リセット端子605、データメモリ部606、写真607、透光608から構成されている。図10から分かるように、写真607が剥離されて透光608から光が透過し、フォトトランジスタ604の受光面に当るとフォトトランジスタ604が導通し始めて抵抗601を介して電流が流れ、フォトトランジスタ604のソース電位が低下する。ソース電位はリセット端子605に接続されており、リセット端子605が十分に小さな値となれば、データメモリ部606をリセットし、記憶データを消去する構成となっている。
特開平8−39977号公報
特開平1−299090号公報
近年、ICカードへの不適切な方法で、内部回路の解析、データの改竄などが行われる場合があり耐タンパ回路を集積する必要性が生じている。ICカードの実装方法には、ワイヤボンド法、フェイスダウンのフリップチップ法等があるが、半導体装置表面をコンタクト端子で保護し、プロービング等の解析から保護するという点で、フェイスダウンのフリップチップ法は、構造的により安全である。
しかしながら、コンタクト端子と半導体装置は、物理的に分離することは可能である。上記特許文献1に開示された従来技術では、ICカードのコンタクト端子の分離検出を行っていないが、近い技術として引用している。この技術は分離検出としてフォトトランジスタ604を利用する技術である。しかしながら、カード上に透光608があることが観察されると、写真張替えの際に遮光等により比較的容易に改竄され得る。
本発明は、これらの問題点に鑑みてなされたもので、比較的簡易な構成でICカードのコンタクト端子の分離検出が可能なICカードモジュール、及び、コンタクト端子の分離検出機能を具備するICカード用半導体装置を提供することを目的とする。
上記目的を達成するための本発明に係るICカード用半導体装置は、外部接続用の複数のコンタクト端子を外面側に、前記複数のコンタクト端子と各別に接続する複数の導電配線を内面側に備えた絶縁性支持基板の内面側にフリップチップ接続してICカードモジュールを構成するICカード用半導体装置であって、前記コンタクト端子の1つと電気的に接続するためのセンサ入力端子とセンサ出力端子、及び、前記センサ出力端子から所定の分離検出用信号を出力し、前記センサ入力端子からの入力信号に基づいて、前記コンタクト端子との電気的接続の遮断を検出する分離検出回路を備えていることを第1の特徴とする。
ICカード用半導体装置がフェイスダウンでフリップチップ実装されるICカードモジュールは構造的に半導体装置表面がコンタクト端子で覆われているので、ICカード用半導体装置が保護される構造となっているが、当該構造において、プロービング解析を行う場合は、必然的にコンタクト端子とICカード用半導体装置を分離する必要が生じる。
そこで、上記第1の特徴のICカード用半導体装置によれば、ICカードモジュールへの実装状態で、センサ出力端子とセンサ入力端子がコンタクト端子(より正確には導電配線)を介して電気的に短絡するように実装することで、分離検出回路が、自らセンサ出力端子から出力した分離検出用信号をセンサ入力端子から受信可能になるので、分離検出用信号と受信信号を比較することで、コンタクト端子とICカード用半導体装置の分離を検出できる。この結果、フリップチップ実装による構造的な解析困難さに加えて、コンタクト端子とICカード用半導体装置の分離検出を判定して、ICカード用半導体装置の内部回路に対して、プロービング解析やデータの改竄を不能或いは困難とする対応処置を施すことが可能となり、プロービング解析やデータの改竄を未然に防止することができる。
従って、従来の耐タンパ技術は半導体装置のみに適用されるものが多数であったが、上記第1の特徴のICカード用半導体装置は、フリップチップ実装によるICカードモジュール構造に着目して、コンタクト端子とICカード用半導体装置の分離検出を可能としている点に特徴がある。
また、好ましくは、上記第1の特徴の本発明に係るICカード用半導体装置において、前記分離検出回路が、所定のタイミングで前記分離検出用信号を前記センサ出力端子から前記コンタクト端子の1つに対して出力し、一定の遅延時間内に前記コンタクト端子の1つを経由して、前記センサ入力端子から出力した前記分離検出用信号と同レベルの入力信号を受信しない場合に、前記コンタクト端子との電気的接続の遮断を検出することを第2の特徴とする。これにより、コンタクト端子との電気的接続の遮断を検出でき、コンタクト端子とICカード用半導体装置の分離検出を判定して、ICカード用半導体装置の内部回路に対して、プロービング解析やデータの改竄を不能或いは困難とする対応処置を施すことが可能となり、プロービング解析やデータの改竄を未然に防止することができる。
更に好ましくは、上記何れかの特徴の本発明に係るICカード用半導体装置において、不揮発性メモリを内蔵し、前記電気的接続の遮断を検出した場合に、前記不揮発性メモリの所定の記憶データを消去することを第3の特徴とする。これにより、不揮発性メモリを内蔵されている暗号処理に用いる鍵データ等を消去することで、データの改竄を未然に防止できる。
更に好ましくは、上記何れかの特徴の本発明に係るICカード用半導体装置において、前記分離検出用信号が、電源投入後の初期応答期間中におけるリセット解除からカード応答信号が出力されるまでの期間に出力され、前記コンタクト端子との電気的接続の遮断の検出が実行されることを第4の特徴とする。これにより、初期応答期間中に検出処理が実行されるために、正常時におけるICカード用半導体装置の通常処理に影響を与えることなく、セキュリティを確保できる。
更に好ましくは、上記何れかの特徴の本発明に係るICカード用半導体装置において、前記分離検出回路が、所定の活性化信号によって活性化されることを第5の特徴とする。これにより、ICカード用半導体装置が未実装状態でのテスト(例えばウェハテスト)において、分離検出回路が不必要に分離検出するのを回避でき、実装後に、正常に分離検出機能を活性化させることができる。
更に好ましくは、上記何れかの特徴の本発明に係るICカード用半導体装置において、接触型インターフェース回路を備え、前記接触型インターフェース回路から出力される出力信号を前記コンタクト端子の1つに出力するための入出力端子または出力端子の1つが、前記センサ出力端子と兼用可能に設けられ、前記出力信号と前記分離検出用信号の何れか一方を選択して前記センサ出力端子に出力する出力選択回路を備えていることを第6の特徴とする。これにより、例えば、コンタクト端子の内の入出力端子を利用して、センサ出力端子とセンサ入力端子を電気的に接続して、コンタクト端子とICカード用半導体装置の分離を検出できる。ここで、入出力端子は、当然にICカード用半導体装置と電気的に接続していることから、外部から当該接続状況を確認しても、特殊な耐タンパ機能が設けられていることを外部から察知され難いという利点を有する。従って、より高度なセキュリティ機能を提供することができる。更に、上述の第4の特徴を兼ね備えた場合は、入出力端子が通常の入出力機能に供せられる前に入出力端子を用いた分離検出処理が実行できるので、都合がよい。
上記目的を達成するための本発明に係るICカードモジュールは、外部接続用の複数のコンタクト端子を外面側に、前記複数のコンタクト端子と各別に接続する複数の導電配線を内面側に備えた絶縁性支持基板の内面側に、上記第1乃至第6の何れかの特徴を備えたICカード用半導体装置をフリップチップ接続してなるICカードモジュールであって、前記ICカード用半導体装置に設けられた前記センサ出力端子と前記センサ入力端子が、前記コンタクト端子の内の1つの未使用端子に共通に接続していることを第1の特徴とする。これにより、上記第1乃至第6の何れかの特徴を備えたICカード用半導体装置による作用効果を奏するセキュリティ性の高いICカードモジュールを提供することができる。特に、センサ出力端子とセンサ入力端子が共通に接続するコンタクト端子として未使用端子を用いるので、ICカード用半導体装置及びICカードモジュールと接続する外部機器に影響を与えることなく、分離検出処理を実行できる。
また、本発明に係るICカードモジュールは、外部接続用の複数のコンタクト端子を外面側に、前記複数のコンタクト端子と各別に接続する複数の導電配線を内面側に備えた絶縁性支持基板の内面側に、上記第6の特徴を備えたICカード用半導体装置をフリップチップ接続してなるICカードモジュールであって、前記ICカード用半導体装置に設けられた前記センサ出力端子と前記センサ入力端子が、前記コンタクト端子の内の1つの入出力端子に共通に接続している
ことを第2の特徴とする。これにより、上記第6の特徴を備えたICカード用半導体装置による作用効果を奏するセキュリティ性の高いICカードモジュールを提供することができる。
ことを第2の特徴とする。これにより、上記第6の特徴を備えたICカード用半導体装置による作用効果を奏するセキュリティ性の高いICカードモジュールを提供することができる。
本発明に係るICカード用半導体装置(以下、適宜「本発明装置」という。)及びそれをフリップチップ実装したICカードモジュールの一実施の形態につき、図面に基づいて説明する。尚、本発明装置をフリップチップ実装したICカードモジュールの構造は、図8に示す従来の構造と同様であり、外部接続用の複数のコンタクト端子を外面側に、複数のコンタクト端子と各別に接続する複数の導電配線を内面側に備えた絶縁性支持基板の内面側に、本発明装置をフリップチップ接続した構造となっている。
〈第1実施形態〉
図1に、コンビネーション型ICカード用の本発明装置の機能ブロック図を示す。以下、図1を参照しながら本発明装置の機能並びに動作の説明を行う。
図1に、コンビネーション型ICカード用の本発明装置の機能ブロック図を示す。以下、図1を参照しながら本発明装置の機能並びに動作の説明を行う。
コンタクト端子部101は、電源VCC、リセットRST、クロックCLK、GND、不揮発性メモリ書き込み用電源VPP、入出力I/O、更に将来使用のための2つの未使用端子RFU1、RFU2の計8つのコンタクト端子で構成され、夫々、上記絶縁性支持基板の外面側に設けられ、内面側の導電配線を介して、本発明装置の各種端子とフリップチップ接続によって電気的に接続可能となっている。図1では、本発明に係るコンタクト端子分離検出機能に係る部分だけを図示している。
本発明装置102は、図1では、コンビネーション型ICカード用を想定しているが、接触型ICカードのものでも構わない。本発明装置102は、制御用CPU107、ROM108、データを一時的に保持し、またはプログラムの実行可能なRAM109、ICカードOS(Operating System)、CM(Card manager)、アプリケーション、暗号の鍵データ、個人情報、製造情報等を記録する不揮発性メモリ110、接触型インターフェース111、非接触型インターフェース112から構成されるマイコン部106と、コンタクト端子との電気的接続の遮断を検出する分離検出回路103を備えている。図示していないが、暗号処理用のコプロセッサを更に備えていても構わない。
分離検出回路103は、CPU107からレジスタ設定可能な設定用Dフリップフロップ113と、その出力(分離検出信号:SOUT信号)を外部へ導出するセンサ出力端子(以下、SOUT端子と表記する。)104と、外部から入力可能なセンサ入力端子(以降SIN端子と表記)105と、SIN端子105からの入力信号(SIN信号)をクロックCLKでサンプリング可能な検出用Dフリップフロップ114、更にサンプリングされた検出信号をCPU107で読み取り可能に出力する3ステートバッファ115とで構成されている。本第1実施形態では、SOUT端子104とSIN端子105は、コンタクト端子部101の1つの未使用端子RFU2に、フリップチップ接続によって、バンプ及び上記絶縁性支持基板の内面側に設けられた導電配線を介して電気的に接続している。
コンタクト端子の接続確認を行う場合は、SOUT端子104に設定用Dフリップフロップ113によりREGWR信号の立ち上がり時に、分離検出用信号として“H”(高レベル)を設定し、SIN端子105から入力される“H”の入力信号を、検出用Dフリップフロップ114で一旦保持し、REGRD信号により3ステートバッファ115を活性化してデータバスDB上に出力し、その出力信号をCPU107で読み取ることでコンタクト端子の接続状態を確認できる。また同様に、SOUT端子104に設定用Dフリップフロップ113によりREGWR信号の立ち上がり時に、分離検出用信号として“L” (低レベル)を設定し、SIN端子105から入力される“L”の入力信号を、検出用Dフリップフロップ114で一旦保持し、REGRD信号により3ステートバッファ115を活性化して、データバスDB上に出力し、その出力信号をCPU107で読み取ることでコンタクト端子の接続状態を確認できる。
また、分離検出回路103は、上記機能を活性化するEN信号(フラグ)を入力信号として受け付ける。EN信号の構成は、特に図示していないが、通常のマイコン106のレジスタ設定にて構成可能である。具体的には、設定用Dフリップフロップ113と検出用Dフリップフロップ114の活性化をEN信号により行う構成とする。EN信号の利用方法としてはウェハテスト等での分離検出回路103を非活性化するために使用する。コンタクト端子で覆われず未実装状態のウェハテストにおいて、分離検出回路103を非活性化し、上記コンタクト端子の分離検出機能を停止させておくことも可能である。
RFU端子を利用する場合は、ICカードの実動作には直接影響しないので、任意のタイミングでモジュールの分離検出を行うことができる。先ず、CPU107からEN信号を“H”に設定することで、分離検出回路103を活性化する。次ぎに、設定用Dフリップフロップ113へ“H”を書き込むことでSOUT端子104から、“H”出力を行う。次ぎに、SIN端子105の状態は検出用Dフリップフロップ114に保持されるので、CPU107で読み取ることで、コンタクト端子の接続状態を検出する。“H”が読み取れれば、モジュールは接続されていると判定する。より確実には、SOUT端子から分離検出信号を“H”、“L”、“H”と順番に出力させ、SIN端子105を介して同様の入力信号を検出することで、接続を確認できる。以上の方法で、コンタクト端子の分離検出を行うことが可能である。分離状態の検出後の動作については、以下の第2実施形態で説明する。
〈第2実施形態〉
図2に、本発明装置102の第2実施形態の機能ブロック図を示す。第1実施形態と共通する部分には、共通の符号を付して説明する。
図2に、本発明装置102の第2実施形態の機能ブロック図を示す。第1実施形態と共通する部分には、共通の符号を付して説明する。
第2実施形態では、第1実施形態と異なり、SIN端子204とSOUT端子203をコンタクト端子の内の未使用端子RFU1、RFU2ではなく、ICカード規格(ISO7816)で既に存在するI/O端子に接続する。そのため、SOUT端子203は、I/O端子との接続用に本発明装置102側に設けられた第1I/O端子と兼用され、SIN端子204は、I/O端子との接続用に本発明装置102側に設けられた第2I/O端子と兼用される。本第2実施形態では、分離検出回路201に、第1実施形態の分離検出回路103に加えて、出力選択回路202が設けられている。出力選択回路202は、接触型インターフェース回路111から出力される出力信号と設定用Dフリップフロップ113から出力される分離検出用信号の何れか一方を選択して、SOUT端子203に出力可能な構成となっている。図3に、出力選択回路202の具体的な回路構成を示す。
上記構成によれば、特殊な端子を利用する必要がなく、またコンタクト端子のRFU端子に接続線がないので、通常の実装形態と何らの変わりがないため、よりセキュリティが向上している。
上記のように、設定用Dフリップフロップ113に設定された分離検出用信号は、出力選択回路202を介してSOUT端子203(第1I/O端子と兼用)から出力される。このとき、I/O端子本来の接触型インターフェース回路111から出力される出力信号(IN信号)と、分離検出用信号(SOUT信号)の切り換えは、検出回路を活性化するためのEN信号によって切り換えている。またSOUT信号を出力するためには、I/O端子を出力状態とするために、SEL信号を“L”とし出力状態にしておかねばならない。SEL信号は通常のマイコンと同様、CPU107によるレジスタ設定が可能である。
ICカード規格(ISO7816)で設定されている端子構成として、モジュール強度を向上させるために、各コンタクト端子に対して半導体装置上で夫々2PAD以上のPAD端子を用意し、夫々に金バンプを施してフリップチップ接続させている構造のICカードにおいては、I/O端子の2PAD端子を分離独立させて動作させることが考えられる。I/O端子の2PAD端子の夫々に、図2に示す第1I/O端子、第2I/O端子を設定することで、図2に示す第2実施形態の構成は容易に可能であり、また、他のコンタクト端子の接続状況との差異を判別しがたいという利点もあり、より高いセキュリティ が期待できる。
尚、第2実施形態において、各コンタクト端子に対して半導体装置上で夫々1PADだけが用意されている場合は、SOUT端子203は、本発明装置102側に設けられたI/O端子と兼用されるが、SIN端子204は、独立して設ける必要がある。
図4に、本発明装置102のコンタクト端子の分離検出処理の動作タイミングを示している。接触型ICカードの初期応答は、ISO7816にて規格化されている。初期応答では、ICカードへVCC印加後、外部からクロック(CLK)供給され、続いてリセット(RST)解除が行われる。RST解除から所定期間後、ICカード側から、リーダライタ装置等のICカードと接続しデータの送受信を行う外部の装置(以下、接続装置と称す。)へ、ATR信号(answer to reset)が返信される。この間、CLK供給開始から、RST解除までは40000CLKサイクル以下、RST解除からATR返信開始までは2000〜110000CLKサイクル以下と規定されている。ATR信号の返信まではCPU107はウォーミングアップ期間である。ウォーミングアップ期間後、ICカードがATR信号を接続装置に返信するまでの間は、I/O端子は未使用の期間がある。この期間にコンタクト端子の分離検出を行うことが可能である。図3に示す出力選択回路202において、SEL信号を“H”に設定しI/O端子を“Hz”(高インピーダンス)状態とする。次に、CPU107からEN信号を“H”に設定することで分離検出回路201を活性化し、設定用Dフリップフロップ113へ“H”を書き込む。設定用Dフリップフロップ113の出力Qは“H”となり、図3に示す出力選択回路202のSOUT信号が“H”となる。SEL信号を再度“L”に設定し、EN信号が“H”であることから出力選択回路202の出力は“H”となり、SOUT端子203(第1I/O端子と兼用)からコンタクト端子(I/O端子)へ出力される。次に、SIN端子204(第2I/O端子と兼用)を介して受信し検出用Dフリップフロップ114で保持された入力信号を3ステートバッファ115、データバスDBを経由してCPU107で読み取る。“H”状態が検出されれば、コンタクト端子は接続されていると判定する。より確実には、SOUT端子から“H”、“L”、“H”と順番に出力させ、SIN端子204から同様の信号を検出することで、コンタクト端子の接続を確認できる。接続が検出されれば、RST解除から2000CLK〜110000CLKサイクル内でATR信号を接続装置に返信し、通信の確立を図る。ここで、コンタクト端子の接続が検出されなければ、後述するセキュリティ保護ルーチンに分岐する。
図5に、コンタクト端子分離検出処理における本発明装置102に内蔵されたCPU107の処理手順を示す。RST解除後、CPUウォーミングアップを開始し(ステップS11)、ウォーミングアップが終了すると、上記のように分離検出用信号(SOUT信号)、入力信号(SIN信号)を用いてコンタクト端子の分離または接続の検出を行う(ステップS12)。コンタクト端子の接続が確認されれば、接続装置へATR信号の返信を行い(ステップS13)、接続装置との接続を確立する。次ぎに、ICカードと接続装置の通信等の処理を実行し(ステップS14)、終了する。
上記ステップS12で、コンタクト端子の分離が検出されると、セキュリティ保護ルーチン(ステップS15)へ分岐し、図6に示すセキュリティ保護処理を実行する。
次に、本発明装置102のハードウェア内部の構造とともにセキュリティ保護について以下に説明する。本発明装置102のハードウェア構造はCPU107、ROM108、RAM109、不揮発性メモリ110、接触型インターフェース111(UART:Universal Asynchronous Receiver Transmitter)、非接触型インターフェース112からなるマイコン部106を備えて構成されている。接触型インターフェース111は、出力選択回路202を通じて2つの第1及び第2I/O端子から出力されており、コンタクト端子部101の所定のコンタクト端子(第2実施形態では入出力I/O)に接続されている。CPU107は、データバスDBを介して、ROM108、一時的なデータ保存、プログラム実行が可能なRAM109、ICカードOS(Operating System)、CM(Card manager)、アプリケーション、暗号の鍵データ、個人情報、製造情報等を記録する不揮発性メモリ110、また外部通信のインターフェースとしての接触型インターフェース111と非接触型インターフェース112に、夫々接続している。
図6に示すように、セキュリティ保護ルーチンでは、本発明装置102は、ステップS21でATR信号の返信を中断し、接続装置との通信を停止する。ATR信号の返信は、不揮発性メモリ110内のATR信号の内容を接触型インターフェース111(UART)を通じて返信する必要がある。ステップS21において、CPU107はこの処理を停止する。ISO規格で規格化された接触型ICカードの通信プロトコルでは、接続装置がATR信号の返信を受けない場合は所定の時間を待って通信を停止する。
次に、ステップS22で、分離検出信号(SOUT信号)を“H”状態(または“L”状態)に固定し、ISO規格では、唯一の通信端子であるI/O端子を使用不可とする。上記EN信号を設定し、分離検出回路103を活性化した後に、CPU107から設定用Dフリップフロップ113へ“H”データ(または“L”データ)を書き込むことで、I/O端子を固定することが可能である。
ステップS23で、重要データの不正な流出を防ぐために、ICカード内部の重要データを消去する。当該重要データとして考えられるのは、鍵データ、個人情報、製造情報、CM(カードマネージャ:カードのテナント管理、ポリシ管理等を行い、アプリケーションの実行権限をもつ)等である。CPU107から不揮発性メモリ消去コマンドを不揮発性メモリ110に対して発行することで、不揮発性メモリ110のデータを消去することが可能である。
ステップS24で、更にハードウェアの機能を停止する。ハードウェアの機能を停止する手段としては、(A)内部クロックを停止すること、(B)リセット信号(ローアクテイブ)を“L”に固定すること、または、(C)内部電源供給を停止すること等が挙げられる。これらの回路構成を図7(A)〜(C)に示す。
SD信号(フラグ)の構成は、特に図示していないが、通常のマイコン106のレジスタ設定にて構成可能である。CPU107からSD信号を“H”とすることで、内部クロックを停止すること、リセット信号(ローアクテイブ)を“L”固定すること、更に、内部電源供給を停止することが、夫々可能である。以上のような方法で、機密情報を保護することが可能となる。またこれらの回路はSD信号(フラグ)を個別に設定することで、個別に機能停止させることも可能である。
SD信号(フラグ)の構成は、特に図示していないが、通常のマイコン106のレジスタ設定にて構成可能である。CPU107からSD信号を“H”とすることで、内部クロックを停止すること、リセット信号(ローアクテイブ)を“L”固定すること、更に、内部電源供給を停止することが、夫々可能である。以上のような方法で、機密情報を保護することが可能となる。またこれらの回路はSD信号(フラグ)を個別に設定することで、個別に機能停止させることも可能である。
尚、上記各実施形態で説明した分離検出回路103は、必ずしも図1、図2に例示した回路構成に限定されるものではない。分離検出信号をセンサ出力端子から出力し、センサ入力端子からその信号を入力可能な回路構成であれば種々のものが採用可能である。また、上記第2実施形態における出力選択回路202は、必ずしも図3に例示した回路構成に限定されるものではない。同様の選択機能を有する種々の回路構成が採用可能である。
以上、詳細に説明したように、本発明装置を利用すれば、以下のような効果を奏する。即ち、半導体解析技術を利用して、ICカードに保存されている鍵データや、その他の個人情報を取得するという不正行為に対して有効である。ICカードモジュールからモジュールの端子部分(コンタクト端子)が分離されることを検出し得る回路構成を備えることにより、コンタクト端子が分離された状態で、半導体解析を実施した場合に、コンタクト端子の分離を検出し、鍵データの消去、または個人情報の消去等を行いICカードの重要情報の保護を行い、セキュリティの向上に貢献し得る。
また、本発明装置は、コンタクト端子の分離検出をICカードの初期応答時に実行することを特徴としている。電源電圧はICカードの初期応答において、最初に供給されることが想定されており、通信が確立するまでは、例えばI/O端子は状態が定まらないため“Hz”(ハイインピーダンス)状態でありコンタクト端子の分離検出に利用可能であり、I/O端子による接続検出を短時間に行うことが可能である。これらの動作は通信に影響を与えないという利点がある。
また、本発明装置は、ICカードモジュールへの実装前のウェハ段階では、分離検出回路を非活性化してウェハテストを実行可能にするとともに、モジュールに実装された後は、分離検出回路を活性化させるための機能を持つ。本機能により、半導体装置の製造時の前半、後半の各工程で、適正な状態を容易に設定し得る効果がある。
101: コンタクト端子部
102: ICカード用半導体装置
103: 分離検出回路
104: センサ出力端子
105: センサ入力端子
106: マイコン部
107: 制御用CPU
108: ROM
109: RAM
110: 不揮発性メモリ
111: 接触型インターフェース
112: 非接触型インターフェース
113: 設定用Dフリップフロップ
114: 検出用Dフリップフロップ
115: 3ステートバッファ
201: 分離検出回路
202: 出力選択回路
203: センサ出力端子
204: センサ入力端子
401: 配線
402: 半導体装置
403: バンプ
404: モールド樹脂
405: コンタクト端子
406: スルーホール
407: 絶縁支持基板(絶縁性支持基板)
408: カードコア部(ICカード基材)
501: ICカードモジュール
502: 破断部
503: 絶縁支持基板
504: コンタクト端子
505: 半導体装置
506: 絶縁部
601: 抵抗
602: 信号処理部
603: カード
604: フォトトランジスタ
605: リセット端子
606: データメモリ部
607: 写真
608: 透光
VCC: 電源端子(コンタクト端子)
RST: リセット端子(コンタクト端子)
CLK: クロック端子(コンタクト端子)
GND: 接地端子(コンタクト端子)
VPP: 不揮発性メモリ書き込み用電源端子(コンタクト端子)
I/O: 入出力端子(コンタクト端子)
RFU1、RFU2: 未使用端子(コンタクト端子)
DB:データバス
102: ICカード用半導体装置
103: 分離検出回路
104: センサ出力端子
105: センサ入力端子
106: マイコン部
107: 制御用CPU
108: ROM
109: RAM
110: 不揮発性メモリ
111: 接触型インターフェース
112: 非接触型インターフェース
113: 設定用Dフリップフロップ
114: 検出用Dフリップフロップ
115: 3ステートバッファ
201: 分離検出回路
202: 出力選択回路
203: センサ出力端子
204: センサ入力端子
401: 配線
402: 半導体装置
403: バンプ
404: モールド樹脂
405: コンタクト端子
406: スルーホール
407: 絶縁支持基板(絶縁性支持基板)
408: カードコア部(ICカード基材)
501: ICカードモジュール
502: 破断部
503: 絶縁支持基板
504: コンタクト端子
505: 半導体装置
506: 絶縁部
601: 抵抗
602: 信号処理部
603: カード
604: フォトトランジスタ
605: リセット端子
606: データメモリ部
607: 写真
608: 透光
VCC: 電源端子(コンタクト端子)
RST: リセット端子(コンタクト端子)
CLK: クロック端子(コンタクト端子)
GND: 接地端子(コンタクト端子)
VPP: 不揮発性メモリ書き込み用電源端子(コンタクト端子)
I/O: 入出力端子(コンタクト端子)
RFU1、RFU2: 未使用端子(コンタクト端子)
DB:データバス
Claims (8)
- 外部接続用の複数のコンタクト端子を外面側に、前記複数のコンタクト端子と各別に接続する複数の導電配線を内面側に備えた絶縁性支持基板の内面側にフリップチップ接続してICカードモジュールを構成するICカード用半導体装置であって、
前記コンタクト端子の1つと電気的に接続するためのセンサ入力端子とセンサ出力端子、及び、
前記センサ出力端子から所定の分離検出用信号を出力し、前記センサ入力端子からの入力信号に基づいて、前記コンタクト端子との電気的接続の遮断を検出する分離検出回路を備えていることを特徴とするICカード用半導体装置。 - 前記分離検出回路が、所定のタイミングで前記分離検出用信号を前記センサ出力端子から前記コンタクト端子の1つに対して出力し、一定の遅延時間内に前記コンタクト端子の1つを経由して、前記センサ入力端子から出力した前記分離検出用信号と同レベルの入力信号を受信しない場合に、前記コンタクト端子との電気的接続の遮断を検出することを特徴とする請求項1に記載のICカード用半導体装置。
- 不揮発性メモリを内蔵し、前記電気的接続の遮断を検出した場合に、前記不揮発性メモリの所定の記憶データを消去することを特徴とする請求項1または2に記載のICカード用半導体装置。
- 前記分離検出用信号は、電源投入後の初期応答期間中におけるリセット解除からカード応答信号が出力されるまでの期間に出力され、前記コンタクト端子との電気的接続の遮断の検出が実行されることを特徴とする請求項1〜3の何れか1項に記載のICカード用半導体装置。
- 前記分離検出回路は、所定の活性化信号によって活性化されることを特徴とする請求項1〜4の何れか1項に記載のICカード用半導体装置。
- 接触型インターフェース回路を備え、
前記接触型インターフェース回路から出力される出力信号を前記コンタクト端子の1つに出力するための入出力端子または出力端子の1つが、前記センサ出力端子と兼用可能に設けられ、
前記出力信号と前記分離検出用信号の何れか一方を選択して前記センサ出力端子に出力する出力選択回路を備えていることを特徴とする請求項1〜5の何れか1項に記載のICカード用半導体装置。 - 外部接続用の複数のコンタクト端子を外面側に、前記複数のコンタクト端子と各別に接続する複数の導電配線を内面側に備えた絶縁性支持基板の内面側に、請求項1〜6の何れか1項に記載のICカード用半導体装置をフリップチップ接続してなるICカードモジュールであって、
前記ICカード用半導体装置に設けられた前記センサ出力端子と前記センサ入力端子が、前記コンタクト端子の内の1つの未使用端子に共通に接続していることを特徴とするICカードモジュール。 - 外部接続用の複数のコンタクト端子を外面側に、前記複数のコンタクト端子と各別に接続する複数の導電配線を内面側に備えた絶縁性支持基板の内面側に、請求項6に記載のICカード用半導体装置をフリップチップ接続してなるICカードモジュールであって、
前記ICカード用半導体装置に設けられた前記センサ出力端子と前記センサ入力端子が、前記コンタクト端子の内の1つの入出力端子に共通に接続していることを特徴とするICカードモジュール。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003366860A JP2005134947A (ja) | 2003-10-28 | 2003-10-28 | Icカード用半導体装置及びicカードモジュール |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003366860A JP2005134947A (ja) | 2003-10-28 | 2003-10-28 | Icカード用半導体装置及びicカードモジュール |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2005134947A true JP2005134947A (ja) | 2005-05-26 |
Family
ID=34645027
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003366860A Withdrawn JP2005134947A (ja) | 2003-10-28 | 2003-10-28 | Icカード用半導体装置及びicカードモジュール |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2005134947A (ja) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007109010A (ja) * | 2005-10-13 | 2007-04-26 | Fujitsu Ltd | データ記憶装置 |
JP2008219058A (ja) * | 2008-06-18 | 2008-09-18 | Seiko Instruments Inc | 集積回路モジュール |
JP2008269120A (ja) * | 2007-04-18 | 2008-11-06 | Hitachi Ltd | 外部記憶装置及び情報漏洩防止方法 |
-
2003
- 2003-10-28 JP JP2003366860A patent/JP2005134947A/ja not_active Withdrawn
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007109010A (ja) * | 2005-10-13 | 2007-04-26 | Fujitsu Ltd | データ記憶装置 |
JP2008269120A (ja) * | 2007-04-18 | 2008-11-06 | Hitachi Ltd | 外部記憶装置及び情報漏洩防止方法 |
JP2008219058A (ja) * | 2008-06-18 | 2008-09-18 | Seiko Instruments Inc | 集積回路モジュール |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9578763B1 (en) | Tamper detection using internal power signal | |
US8522051B2 (en) | Protection for circuit boards | |
JP4212068B2 (ja) | Icカードおよびicチップモジュール | |
JP3776401B2 (ja) | マルチモード・スマートカード・システム及びこれに関連する方法 | |
US6910638B2 (en) | Smart card that can be configured for debugging and software development using secondary communication port | |
US20110122563A1 (en) | Anti-tamper protected enclosure | |
KR20070067002A (ko) | 지문 기반 스마트카드 | |
EP3537337B1 (en) | User authentication system and method for enrolling fingerprint reference data | |
US20070271544A1 (en) | Security sensing module envelope | |
EP1610382A2 (en) | Semiconductor apparatus with self-security function | |
JP2005134947A (ja) | Icカード用半導体装置及びicカードモジュール | |
US20060050876A1 (en) | Integrated circuit with coded security signal, security process, corresponding security device and signal coded using a dynamic key | |
JP2002213911A (ja) | 実装パッケージ | |
KR101680141B1 (ko) | 자동 시작 애플리케이션을 시간 제한으로 사용하는 디바이스 | |
US20050015629A1 (en) | Portable non-volatile memory device and data security method of same | |
JP2003233790A (ja) | デジタル回路部品保護方法及び保護構成 | |
US7389542B2 (en) | Authentication system having a semiconductor device containing data which are difficult to analyze through illegitimate access, and semiconductor device therefor | |
KR101042349B1 (ko) | 보안 기능이 구비된 반도체 칩 및 그 동작 방법 | |
JP4836995B2 (ja) | 集積回路モジュール | |
CN218830396U (zh) | 基于结构监测识别的防拆式摄像头模组 | |
JP3328188B2 (ja) | 集積回路装置及びこれを用いたicカード | |
JP4181068B2 (ja) | 集積回路モジュール | |
KR20090037714A (ko) | 반도체 집적 회로 및 그것의 검사 방법 | |
JPS6274696A (ja) | Icカードの製造方法 | |
KR200480291Y1 (ko) | 금융 단말기의 물리적 탐침 방지를 위한 장치의 커버 디바이스 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A300 | Withdrawal of application because of no request for examination |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20070109 |