JP2009505205A - 秘密情報を含む集積回路の試験 - Google Patents
秘密情報を含む集積回路の試験 Download PDFInfo
- Publication number
- JP2009505205A JP2009505205A JP2008525699A JP2008525699A JP2009505205A JP 2009505205 A JP2009505205 A JP 2009505205A JP 2008525699 A JP2008525699 A JP 2008525699A JP 2008525699 A JP2008525699 A JP 2008525699A JP 2009505205 A JP2009505205 A JP 2009505205A
- Authority
- JP
- Japan
- Prior art keywords
- circuit
- coupled
- scan chain
- integrated circuit
- scan
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- G—PHYSICS
- G01—MEASURING; TESTING
- G01R—MEASURING ELECTRIC VARIABLES; MEASURING MAGNETIC VARIABLES
- G01R31/00—Arrangements for testing electric properties; Arrangements for locating electric faults; Arrangements for electrical testing characterised by what is being tested not provided for elsewhere
- G01R31/28—Testing of electronic circuits, e.g. by signal tracer
- G01R31/317—Testing of digital circuits
- G01R31/31719—Security aspects, e.g. preventing unauthorised access during test
-
- G—PHYSICS
- G01—MEASURING; TESTING
- G01R—MEASURING ELECTRIC VARIABLES; MEASURING MAGNETIC VARIABLES
- G01R31/00—Arrangements for testing electric properties; Arrangements for locating electric faults; Arrangements for electrical testing characterised by what is being tested not provided for elsewhere
- G01R31/28—Testing of electronic circuits, e.g. by signal tracer
- G01R31/317—Testing of digital circuits
- G01R31/3181—Functional testing
- G01R31/3185—Reconfiguring for testing, e.g. LSSD, partitioning
- G01R31/318533—Reconfiguring for testing, e.g. LSSD, partitioning using scanning techniques, e.g. LSSD, Boundary Scan, JTAG
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Tests Of Electronic Circuits (AREA)
- Semiconductor Integrated Circuits (AREA)
- Storage Device Security (AREA)
- Design And Manufacture Of Integrated Circuits (AREA)
- Testing Or Measuring Of Semiconductors Or The Like (AREA)
Abstract
未許可のアクセスに対して安全を確保されなければならない情報を含む機能回路(12a−c)を備えた集積回路(10)。この集積回路は、機能回路(12a−c)に結合された試験アクセス回路(14,16)と、この試験アクセス回路(14、16)に結合された複数のヒューズ・エレメントを備える。ヒューズ・エレメント(18)は、複数のヒューズ・エレメントにおける第1のヒューズ・エレメント(18)が断線状態であり、複数のヒューズ・エレメントにおける第2のヒューズ・エレメント(18)が非断線状態の場合だけ、試験アクセス回路(14,16)を経由して機能回路(12a−c)を一貫してアクセスできるようにする回路構成に接続される。その結果、第1のヒューズ・エレメント(18)の全てを選択的に断線した後に、集積回路を試験することができる。試験の後、第2のヒューズ・エレメントの少なくとも一部が断線される。その結果、どのヒューズ・エレメントが第1のヒューズ・エレメントであり、どのヒューズ・エレメントが第2のヒューズ・エレメントであるか知らない人は、集積回路を、安全が確保された情報にアクセスする危険がある試験アクセスが可能な状態に戻すのに困難に直面する。
Description
本発明は集積回路の試験に関し、特に、不正アクセスから保護されなければならない秘密の情報を含む集積回路の試験に関する。
試験容易性および秘密性は、矛盾する設計上の要求を集積回路に課している。試験容易性は、スキャンチェーンからの試験刺激に応答してスキャンチェーンに捕捉される回路素子からの応答信号に、回路素子の予想される誤りが現れるように、各回路素子をスキャンチェーンに結合することを必要とする。このように、スキャンチェーンを用いて試験刺激を印加して試験応答をシフトさせることで、集積回路を容易に試験することが可能である。しかしながら、このことは、回路素子内の秘密情報の影響を受けた信号が、スキャンチェーンを通じて容易にアクセスできることも意味する。
一方で、秘密性は、秘密情報を有する回路部分がスキャンチェーンに捕捉される応答に決して影響を与えない回路構成によって達成することができる。この方法は、これらの回路を試験できる可能性を、正常な機能的条件下で、回路全体の機能的応答を観察することに限定してしまう。このように、全ての状況下で回路が適切に動作するという保証を与えることはできず、また、長期の、従って高価な試験を行った後でしかそのような保証はできない。
特許文献1は、スキャンチェーンと、スキャンチェーンからデータの読み出しを防止するためのヒューズとを具えた集積回路を開示している。例えば、ヒューズを試験制御回路に位置させて、ヒューズが一旦断線されると、試験動作モードへの切り替えを防止することができる。ヒューズはまた、スキャンチェーンのシフトパス内の複数の位置に配置して、ヒューズを断線すると、スキャンチェーンへのアクセスをできなくすることもできる。従来、ヒューズは断線する前は導電接続を与え、断線後は開回路を与える。あるいは、アンチヒューズ、すなわち、断線前は開回路を与え、断線後は導電接続を与える回路を用いてもよい。本明細書では、「ヒューズ・エレメント」は、ヒューズまたはアンチヒューズおよびヒューズ・エレメントを断線することによって状態を変化させることができる任意の素子を意味するために用い、例えば、電流チャネルに隣接したフローティングゲートの充電(放電)を含む。ヒューズ・エレメントの「断線」は、ヒューズ・エレメントの状態に影響を及ぼす任意の状態変化を表すために用いる。
特許文献1に記載の集積回路は、ヒューズまたはアンチヒューズを修復することによる攻撃に対して脆弱である。特定の高度な装置を用いれば、断線されたヒューズおよびアンチヒューズを、元の状態に戻すこと、すなわち、ヒューズを修復することが可能である。すなわち、「断線」は可逆的な動作となり、ヒューズ・エレメントを非断線状態(元の状態または修復された状態)とし、あるいは、断線状態(ヒューズ・エレメントが非断線状態から断線された後の)とすることができる。このように、上述のような高度の装置を用いて、全てのヒューズ・エレメントを非断線状態に修復することによって、その回路を、秘密データをスキャンチェーンを通じて読み出すことができる状態に戻すことができる。
とりわけ、ヒューズ・エレメントの修復後のアクセスに対して脆弱でないヒューズ・エレメントによって、スキャンチェーンを介する秘密情報へのアクセスを阻止する集積回路を構成することが、本発明の目的である。
請求項1によれば、集積回路を試験する方法が提供される。この方法は、試験前に第1のヒューズ・エレメントを断線するステップと、試験後に第2のヒューズ・エレメントを断線させるステップを含む。この集積回路は、すべての第1のヒューズ・エレメントが断線状態にあり、かつ、全ての第2のヒューズ・エレメントが非断線状態にあるときのみ、試験アクセス回路への一貫したアクセスを許可するように構成される。再び試験をするためには、第2のヒューズ・エレメントだけが修復されなければならない。また、第1のヒューズ・エレメントのいずれかを修復すると、試験が不可能になる。しかし、これらの第2のヒューズ・エレメントを第1のヒューズ・エレメントと容易に区別することはできないため、どのヒューズ・エレメントを修復することが必要で、どのヒューズ・エレメントは修復が必要ではないかを知ることは可能ではない。好ましくは、第1のヒューズ・エレメントと第2のヒューズ・エレメントとの数の合計が大きいことが好ましく、例えば16以上、好ましくは64以上として、修復が必要なヒューズ・エレメントを特定するために、相当な数の試行錯誤が必要になるようにする。
上記の方法を支持するために、一実施形態においては、第1および第2のヒューズ・エレメントと、第1のヒューズ・エレメントが断線状態であり、第2のヒューズ・エレメントが非断線状態の場合のみ一貫してアクセス可能となる試験アクセス回路とを含む集積回路が提供される。また、他の実施形態においては、次第に多くのヒューズ・エレメントのサブセットを断線させることにより、異なる機能回路を試験アクセス可能にするとともに、他の機能回路をアクセス不能にする。他の実施形態においては、集積回路は、全てのヒューズ・エレメントの状態に関する情報を、スキャンチェーンへの一貫したアクセスを制御する単一信号に結合する。さらに他の実施形態では、ヒューズ・エレメントの異なる非空集合が、断線および非断線の所要の組み合わせが使用される場合にのみスキャンチェーンが正常に動作するように、スキャンチェーンの異なる部分を制御する。従って、スキャンチェーンは、集積回路の単一ポイントを攻撃することによっては、動作させることはできない。
一実施形態においては、スキャンチェーンへの一貫したアクセスは、単にアクセス(要するにシフトインおよび/またはシフトアウト)を阻止することによって不可能にできる。さらに他の実施形態では、たとえヒューズ・エレメントの正確で適切な組み合わせが断線されず、他のヒューズ・エレメントが断線されていない場合でも、スキャンチェーンは活性状態のままであるが、ヒューズ・エレメントの正確で適切な組み合わせが断線されない場合には、試験データがスキャンチェーン内のスキャンセルを通過する回数が試験データのシフト中に時間的に変化する。この回数の変化は、試験シフト・クロッキングに応答してなされ、変化を生じさせるために外部からの命令を要しない。従って、一貫したアクセスは不可能にされる。試験データがスキャンセルを通過する回数は、例えば、スキャンセルを通じて試験データをループバックさせること、スキャンセルを迂回させること、または、異なる外部端子の対の間に結合された異なるスキャンチェーン間で試験データを交換することによって変化させることができる。
これらの、および、他の目的および本発明の有利な態様は、以下の図を使用した非制限的な実施形態の記載から明らかになる。
図1は、機能回路12a−c、スキャンチェーン14、試験制御回路16およびヒューズ・エレメント18を備えた集積回路10を示す。試験制御回路16は、外部試験インタフェース17と結合される入力部およびスキャンチェーン14と結合される制御出力部を有する(接続は示していない)。スキャンチェーン14は、外部試験インタフェース17の試験データ入力部と結合される入力部および外部試験インタフェース17の試験データ出力と結合される出力部を有する。ヒューズ・エレメント18は、試験制御回路16およびスキャンチェーン14と結合される。スキャンチェーン14は、機能的な論理機能回路12a-cの入力部および出力部と結合される。機能回路12a-cおよびスキャンチェーン14の間に単一の入力および出力線が示されているが、実際には多くの回線が並列に設けられている。
図は、ヒューズ・エレメント18の使用を説明するための集積回路の形態に限定して描かれている。任意の外部接続を有する任意の数の機能回路12a-cが示されている。実際には、例えば、機能回路12a−cの集積回路外部入力部および出力部の間に結合されるバウンダリスキャンチェーン、同一の試験データ入力部および出力部の間に結合される複数の平行スキャンチェーン、機能回路および試験インタフェースの入出力のための集積回路10の端子の共用等、多くの追加の試験構成が存在し得る。
少なくとも機能回路12a-cの1つは、「秘密」情報、すなわち集積回路 10から取り出されるべきではない情報を含む。概して、この情報は暗号鍵または識別コードであり、これらは、関連する機能回路12a−cの不揮発性メモリに格納することができ、または、この機能回路12a-cにプログラムするか、または、機能回路12a-cに実装した回路によって規定することができる。一般に、製造された集積回路の各々は各自一意の秘密情報を有するが、秘密情報は1つのクラスのすべての集積回路に対して同じものとしてもよい。
動作中において、回路は、通常の機能モードおよび試験モードの間で切り替えられることができる。通常の機能モードでは、スキャンチェーン14のフリップフロップは、機能回路12a-cの入力部および出力部の間に結合されたフリップフロップとして機能する。試験モードでは、スキャンチェーンのフリップフロップの入力部はスキャンチェーンの他のフリップフロップの出力部と結合されて、直列シフトレジスタを形成する。
いくつかのヒューズ・エレメント18が断線されたとき、集積回路を試験モードで従来のスキャン試験プロトコルによって試験することができる。この種のプロトコルの一例では、回路は先ずシフトモード動作に入る。このモードでは、スキャンチェーンのフリップフロップが直列に結合され、試験データ入力部からの試験刺激がスキャンチェーン14を通して直列にシフトされ、さらにスキャンチェーン14から機能回路12a−cの入力部に供給される。その後、回路は、キャプチャモードに入る。このモードでは、スキャンチェーン14のフリップフロップの入力部が機能回路12a-cの出力部と結合され、これらのフリップフロップが機能回路12a−cからの試験応答を捕捉する。この後に、回路はシフトモードに戻り、スキャンチェーン14のフリップフロップがもう一度シフトレジスタを形成し、そして、スキャンチェーン14は、捕捉したデータを集積回路10の試験データ出力部へシフトすることができる。
ヒューズ・エレメント18の異なるいくつかは、断線されないときにそれぞれ従来の試験動作を可能(イネーブル)および不能(ディセーブル)にさせる機能を有する。ヒューズ・エレメント18は、試験の間、異なる動作モード間の切替えを可能または不能にするために、試験制御回路16に接続しても良い。一例では、ヒューズ・エレメント18は、キャプチャモードへの切替を不能にするように構成される。他の例では、ヒューズ・エレメント18は、スキャンチェーン14から回路へ、および/または、試験制御回路16へ、試験クロックの供給を不能または可能にするように構成される。ヒューズ・エレメント18は、例えば、スキャンチェーン14を通過するシフト経路を遮断若しくは確立するか、または、スキャンチェーン14の一部をバイパスすることによって通常のシフトを可能または不能にするために、スキャンチェーン14に結合されても良い。
ヒューズ・エレメントは、ヒューズおよび/またはアンチヒューズとすることができる。本願明細書で使われる、ヒューズ/アンチヒューズとは、断線前の状態を修復するのに、導電材料の堆積などの物理的な修復が必要とされるような導電接続/非導電(断線)接続を与える状態をもたらすことができる電気的な接続である。断線は、例えば、ヒューズ/アンチヒューズの両端に高電圧を印加することによって、または、例えば、レーザビームや電気によりヒューズ/アンチヒューズを加熱することによって実行できる。
図2は、複数のヒューズ20a-bを有する回路を示す。この回路は、電源接続VddおよびVssの間に結合された複数のヒューズ20a-bおよび抵抗素子22a-bの直列回路を備える。2つの直列回路のみを示しているが、いくつの直列構成であってもよい。この回路は、これらの直列回路のヒューズ20a-bおよび抵抗素子22a-b間のそれぞれのノードと結合された入力部を有するANDゲート24を備える。ANDゲート24のいくつかの入力は反転であり、他の入力は非反転である。ANDゲート24は、試験回路26の可能化/不能化制御入力部と結合される出力部を有する。回路26は、論理ローの可能化/不能化制御信号を受信した場合は、通常の試験動作を不能にし、論理ハイの可能化/不能化制御信号を受信した場合は、通常の試験動作を可能にするように構成される。試験回路26は、キャプチャモードへの切替え、試験クロック信号の供給、クロック信号の供給、クロック信号の供給、接続スキャンチェーン14を経る試験データの通過などを可能にする回路とすることができる。
直列回路の一部において、直列回路のヒューズ20a-bは、ノードを電源接続Vdd、Vssのうちの1つと結合する。残りの直列回路において、ヒューズ20a-bは、ノードを電源接続Vdd,Vssの他の一つと結合する。それゆえに、通常の試験動作は、第一型の接続を有するヒューズ20a-bが損傷を受け、第2型の接続を有するヒューズが無傷である場合だけ可能にされる。本願明細書において、第一型の接続を有するヒューズ20a-bは、高い電源接続VddとANDゲート24の非反転入力部に接続されたヒューズ20a−b、及び、低い電源接続VssとANDゲート24の反転入力部に接続されたヒューズ20a−bである。逆に、第2型の接続を有するヒューズ20a-bは、低い電源接続VssとANDゲート24の非反転入力部に接続されたヒューズ、及び、高い電源接続VddとANDゲート24の反転入力部に接続されたヒューズ20a−bである。
ヒューズ20a−bの一部または全部の代わりに、アンチヒューズを用いることができる。ヒューズおよびアンチヒューズは、共通にヒューズ・エレメントと呼ぶものとする。ヒューズ・エレメントとアンチヒューズは、同様に、試験の前に断線されていなければならないか否かに応じて、第1型および第2型に区別することができる。第1型の接続を有するアンチヒューズ20a-bは、高い電源接続VddとANDゲート24の反転入力部に接続されたアンチヒューズ20a−b、及び、低い電源接続VssとANDゲート24の非反転入力部に接続されたアンチヒューズである。逆に、第2型の接続を有するアンチヒューズ20a-bは、低い電源接続VssとANDゲート24の反転入力部に接続されたアンチヒューズ20a−b、及び、高い電源接続VddとANDゲート24の非反転入力部に接続されたアンチヒューズ20a-bである。
集積回路10の製造の後、全てのヒューズ・エレメント20a-bは、無傷状態である。試験前に、第2型の接続を有するヒューズ・エレメント20a-bが断線されるが、第1型の接続を有するヒューズ・エレメントは断線されない。集積回路は、このとき試験の準備ができている。試験の後、第1型の接続を有するヒューズ・エレメント20a−bの少なくとも一部も断線される。
その結果、ヒューズ・エレメントが第1型の接続を有するのか第2型の接続を有するのかを知らない第三者は、再度試験を可能にするために、断線したヒューズ・エレメントのうちどれを修復すべきか、どれを修復すべきでないかについて、予測することができない。明らかなように、ヒューズ・エレメントを、その端子の電圧がヒューズ・エレメントの型について何の情報も提供しないように接続することにより、ヒューズ・エレメントの型を決定することはさらに困難となる。
図の実施例では、これは、断線時に高論理レベルの入力信号を生成するヒューズ・エレメントに対してANDゲートの反転および非反転入力部を使用することにより、および/または、断線時に低論理レベルの入力信号を生成するヒューズ・エレメントに対してANDゲートの反転および非反転入力部を使用することにより、実現される。反転入力部は、ヒューズ・エレメントとANDゲート(または他の多入力論理回路)の入力部との間に奇数の反転回路のチェーンを挿入することによって実現することができる。非反転入力部は、ヒューズ・エレメントとANDゲート(または他の複数入力論理回路)の入力部との間に偶数の反転回路のチェーンを挿入するまたは反転回路を挿入しないことによって実現することができる。ゼロより大きい偶数を用いることによって、第1型および第2型のヒューズを区別することは、より難しくなる。
明らかなように、例えば、ANDゲート24とその反転/非反転入力部を含む集積回路の一部を、回路を破壊することなく容易に取り除くことのできない被覆領域の下に置くことや、ANDゲートを集積回路の異なる領域に分散させること、等によって、接続の型を決定することを難しくすることができる。
当然ながら、反転および非反転入力部を有するANDゲート24は、この効果を有する回路の一例に過ぎない。ヒューズ20a−bの予め定められた1つの組み合わせ、または、少数の組み合わせのうちの1つ組み合わせが無傷であり、他のヒューズが断線されているときのみ試験可能とする他の任意の回路を使用することができる。また、代わりにヒューズ20a−bの少なくとも一部を、試験に影響を与えないように接続してももちろん良い。これも、修復しなければならないヒューズを特定することをより難しくする。
当然ながら、反転および非反転入力部を有するANDゲート24は、この効果を有する回路の一例に過ぎない。ヒューズ20a−bの予め定められた1つの組み合わせ、または、少数の組み合わせのうちの1つ組み合わせが無傷であり、他のヒューズが断線されているときのみ試験可能とする他の任意の回路を使用することができる。また、代わりにヒューズ20a−bの少なくとも一部を、試験に影響を与えないように接続してももちろん良い。これも、修復しなければならないヒューズを特定することをより難しくする。
図2に示した例のように、ヒューズの効果を1つの信号に結合する回路を使用する必要はない。代わりに、異なるヒューズが回路内の異なる場所において効果を有するが、それらの組み合わせ効果は、適切な組み合わせのヒューズが断線/非断線である場合にのみ、適切な試験を可能とする回路を用いることもできる。この方法は、回路の局部的改ざんに対する脆弱性がより低くなるという効果がある。修復を防止するために、予め定めた第1の位置でスキャンチェーンに影響を及ぼすヒューズが断線されており、かつ、予め定めた第2の位置でスキャンチェーンに影響を及ぼすヒューズが断線されていない構成にあるときのみ試験が許可されなければならない。スキャンチェーンに沿った各位置の個々のヒューズの代わりに、ヒューズの集合を使用することができる。これを実現するために、例えば、図2のような回路を使用することができる。
図2aは、スキャンスフリップフロップ28を有するスキャンチェーンが、それぞれのヒューズ18に結合された変更回路29を含む実施例を示す。この回路では、各変更回路29は、対応するヒューズ/アンチヒューズ18が断線されていない場合は、第1の方法で、スキャンチェーンを流れる試験データに影響を及ぼすように構成され、対応するヒューズ/アンチヒューズ18が断線されている場合は、第2の方法で影響を与えるように構成されている。変更回路29の組み合わせは、選択されたヒューズの組み合わせが断線されたときのみ、それらの組み合わせ効果が変更をもたらさないように選択される。
ヒューズ/アンチヒューズ18が断線されている場合、変更回路29は、例えば、変更されていないデータを転送し、ヒューズ/アンチヒューズ18が断線されていない場合は、連続した試験データビットと時間依存擬似ランダム・シーケンスとの排他的論理和の結果を転送する。この場合、異なる変更回路29の疑似ランダム・シーケンスは、それらの組み合わせ効果が、両変更回路29を通してシフトされた後のデータが変更されないままとなるように、スキャンチェーン内のそれらの距離に対応した量だけ互に時間シフトしたものとすることができる。より複雑な実施例では、時間シフトした排他的論理和が常に0になるように選択された、異なる疑似ランダム・シーケンスが、異なる変更回路29に使用されても良い。このように、それらの組み合わせ効果は、両変更回路29を通してシフトされた後のデータが変更されないままにすることである。さらに他の実施例では、異なるフリップフロップがスキャンチェーンの異なるステージで並列に使用され、その結果、スキャンチェーンの一部に沿って、並列分岐が可能になる。この実施例では、変更回路29が異なる分岐間でデータを切り替え、その結果、切り替えの適切な組み合わせが成された場合にのみ、データは並列の分岐を超えて伝播する。
図2bは、異なる状態で動作を可能にするために使用される回路の一例を示す。複数のANDゲート24は、それぞれ異なる状態で動作を可能にするために設けられ、ANDゲートは、スキャンチェーン(図示せず)が秘密情報を含む一つ以上の機能回路(図示せず)の異なる一組にアクセスすることを可能にする。図からわかるように、ANDゲートは少なくとも部分的に同じ(アンチ)ヒューズから信号を受け取る。ANDゲートへの接続は、最初に、第1のANDゲートから可能化信号を発生するために、選択された第1の(アンチ)ヒューズが断線されていなければならず、次に、第2のANDゲートから可能化信号を発生するために、第2の(アンチ)ヒューズが断線されていなければならない(これにより同時に第1のANDゲートが不能にされる)ように構成することが望ましい。
このように、3クラスの(アンチ)ヒューズがある。第1のANDゲートは、3つのクラス全てに接続され、第1のクラスの(アンチ)ヒューズが断線されている場合にのみ、論理1を出力する。第2のANDゲートは、3つのクラス全てに接続され、第1および第2のクラスの(アンチ)ヒューズが断線されている場合にのみ、論理1を出力する。3つ以上のANDゲートをこのような方法で使用して、断線されなければならないアンチヒューズのさらに多数の組を規定することができることを理解されたい。
図2について述べたように、ANDゲートおよび特定の接続が単に説明の便宜上示されている。試験アクセスに対して同じ効果を有する他の回路も使用することができる。さらに、全ての(アンチ)ヒューズからの信号は、両ANDゲート24と結合されているが、これは必要ではないことを理解されたい。
秘密情報を有する回路への試験アクセスが、全体として、可能化および不能化される実施例を示してきたが、このことは必要ではないことを理解されたい。その代わりに、集積回路は複数の異なる状態を提供し、それぞれの状態において、秘密情報のそれぞれの部分についてのみ試験アクセスを可能とすることができる(異なる状態についてのそれぞれの部分は異なっているが、重複は排除しない)。この場合には、試験中に、毎回追加的に複数のヒューズまたはアンチヒューズを断線することによって、集積回路をこれらの状態の連続する一つの状態に設定することが望ましい。異なる状態での動作を可能にするために、同じ(アンチ)ヒューズを使用するのが望ましい。
図3は、試験データ入力/出力として、および、機能回路12a-bの入力/出力として多重化されている外部接続部32、34を有する集積回路を示す。マルチプレクサ30が、集積回路10の多重化された出力部に設けられる。各マルチプレクサ30は、機能回路12a-cの出力部と結合された第1の入力部およびスキャンチェーン14a,bの出力部と結合された第2の入力部を有する。マルチプレクサ30の出力部は、集積回路10の外部端子34と結合される。マルチプレクサ30の制御入力部(図示せず)は、試験制御回路16と結合される。多くの入力端子は、機能回路12a-cの入力部およびスキャンチェーンの入力部と並列に結合される。加えて、端子32は、交互に入力部および出力部として機能するように切り替えて使用される。多重化された入力部32と出力部34は、例示としてのみ示していることを理解されたい。実際には、はるかに多数の端子があっても良く、それらのいくつか、あるいは、全ては、試験入力部および出力部として多重化されても良い。
複数のスキャンチェーン14a-bが示されている。完全性のために、各機能回路12a-bは、全てのスキャンチェーン14a-bと結合されて示される。ただし、各機能回路12a−bはスキャンチェーンの1つのみと結合された入力部および出力部を有することが当然好ましい。
この集積回路は、集積回路の外部端子のどれに、スキャンチェーン14a−bの入力部および/または出力部が結合されるかを決定することを困難にする構造とすることが好ましい。これは、試験入力中にシフトインされる試験データと試験出力中にシフトアウトされる試験データの間の1対1関係が、例えば、少なくとも、正しいヒューズ・エレメントの組み合わせ(図示せず)がそれぞれ無傷/断線でないために試験が許可されないとき、または、適切な鍵が与えられているときに、得られないようにすることによって行われる。試験データ入出力を隠すために様々な回路を用いることができる。
図4は、名目上の順序で左から右に示されるスキャンフリップフロップ40a−eを有するスキャンチェーンの一部を示す。試験データはスキャンチェーンを経てシフトされる。シフトのために使用される回路接続のみを示している。本図および以後の図のスキャンチェーンにおいて、全てまたは大部分のスキャンフリップフロップ40a−eが、機能回路(図示せず)の入力部に結合された出力部および/または機能回路(図示せず)の出力部に結合された機能入力部、ならびに、試験制御回路に結合され、データを機能回路から読み出すのか、スキャンチェーンの前段のスキャンフリップフロップ40a−eから読み出すのかを制御する制御入力部(図示せず)を有する。
ループ42、バイパス46および論理ゲート44が、スキャンチェーンに加えられている。ループ・マルチプレクサ43は、スキャンチェーンの第1のスキャンフリップフロップ40aに結合された第1の入力部、および、スキャンチェーンの名目順で第1のスキャンフリップフロップに隣接した第2のフリップフロップ40bの入力部に結合された出力部を備える。ループ・マルチプレクサ43の第2の入力部は、名目順で第2のスキャンフリップフロップの次に位置するスキャンフリップフロップ40cの出力部に結合される。バイパス・マルチプレクサ47は、スキャンチェーンの第4のスキャンフリップフロップ40dの出力部に結合された第1の入力部、および、スキャンチェーンの名目順で第4のスキャンフリップフロップ40dに隣接した第5のスキャンフリップフロップ40eの入力部と結合された出力部を備える。ループ・マルチプレクサ43の第2の入力部は、名目順で第4のスキャンフリップフロップ40dの前段のスキャンフリップフロップ40cの出力部に結合される。ORゲート44は、スキャンチェーンの名目順で連続するフリップフロップ40c,40dのそれぞれの出力部および入力部に結合された第1の入力部および出力部を有する。
許可制御回路49は、ループ・マルチプレクサ43およびバイパス・マルチプレクサ47の制御入力部、および、ORゲート44の第2の入力部に結合された制御線48を有する。
動作中において、許可制御回路49は、例えばヒューズ・エレメント(図示せず)の正しい組み合わせがそれぞれ無傷/断線でないために、または、適切な鍵が設けられているときに、試験が許可されないかを検知する。許可制御回路49が、試験が許可されることを検知したとき、許可制御回路49は、制御線48に論理レベルを有する定常信号を供給して、ループ・マルチプレクサ43、ORゲート44およびバイパス・マルチプレクサ47がスキャンフリップフロップ40a−eからの試験データを名目順にシフトさせて通過させるようにする。
許可制御回路49が、試験は許可されないと検知した場合は、許可制御回路49は制御線48に時変信号(例えば、ランダムまたは擬似ランダム信号)を供給する。その結果、ループ・マルチプレクサ43は、時々試験データをループバックさせ、実効的にスキャンチェーンを長くする。バイパス・マルチプレクサ47は、時々、スキャンチェーンを短くさせる。また、ORゲート44は時々試験データを論理1で上書きする。このように、試験データに応答する信号変化がスキャンチェーンを通過するが、もはや入力部と出力部における試験データのストリーム間に1対1関係は存在しない。データがスキャンチェーンをシフトする間、集積回路の外部端子に接続されスキャンチェーン内のデータに応答する機能回路12a−cの出力部は外部端子に接続されたままであるため、試験チェーンにおけるデータシフトがこれらの外部端子に信号変化を生じさせる。これは、出力信号を出力する集積回路の外部端子を他の外部端子(例えば、試験データに応答して信号変化を生じる機能回路12a−cの出力部と結合された端子)から区別することを難しくする。
ループ・マルチプレクサ43、バイパス・マルチプレクサ47およびORゲート44の構成およびそれらの接続は、単に例として示しているだけである。実際には、異なる数のスキャンフリップフロップを含むループおよびバイパスを使用することもでき、ループおよび/またはバイパスは重複させることもできる。論理ゲートは、スキャンチェーンのいかなる位置でも使用することができ、ANDゲートまたはXOR(排他的論理和)ゲートのような他の種類の論理ゲートを使用することもでき、さらに、複数の論理ゲートを設けることもできる。好ましくは、ループ、バイパスおよび論理ゲートの組み合わせが使われる。その理由は、スキャンチェーンの構造を再構築することをより難しくするからである。
図5は、より複雑なループが加えられたスキャンチェーンの部分を示す。本実施例では、許可制御回路(図示せず)が適切な制御信号を供給するときに、線形フィードバックシフトレジスタ(LFSR)が形成される。いくつかのスキャンフリップフロップ40の前に、複数のXORゲート52がスキャンチェーン内に設けられている。ANDゲート50は、対応する制御信号が許可制御回路(図示せず)から制御線48に受信された場合に、スキャンフリップフロップ40からXORゲートの入力部へ信号をフィードバックするために設けられている。LFSRの一例のみが示されており、スキャンチェーンに沿って、より多くのおよび/または異なる位置にXORを含む他のLFSRを使用することもできることが認められるべきである。フィードバックされる論理パルスに応答して長い繰返し周期を有する反復シーケンスを生成することが可能なLFSRを使用することが好ましい。長いシーケンスを生成するのための接続の例がLFSR技術から既知である。また、許可が検知されない間、許可制御回路(図示せず)がフィードバックをスイッチオンしたままにしておけば十分であり、フィードバックの切り替えをオン、オフする必要はない点に注意されたい。LFSRは、たとえ、論理1または論理0のみを含む試験データが供給されても、スキャンチェーンをシフトされるデータに論理信号変化を生成するように配置されたORゲート44やXORゲートのような、1つ以上の論理ゲートを含むスキャンチェーンの一部分の後に配置することが好ましい。この場合、LFSRは論理1に応答し、広範囲な擬似ランダムパターンを生成する。
図6は、許可制御回路の一実施例の一部を示す。許可制御回路は、鍵生成回路66、第1のフリップフロップ60を有する第1のシフトレジスタ、第2のフリップフロップを有する第2のシフトレジスタ、および、XORゲート64(排他的論理和ゲート)を含む。鍵生成回路66は、第1のシフトレジスタの入力部と結合された出力部を有する。第2のシフトレジスタは、集積回路の外部端子と結合された入力部を有する。各XORゲート64は、対応する第1および第2のフリップフロップ60、62の一組と結合された入力部および制御線48と結合された出力部を有する。制御線は、図4に示すように、例えばスキャンチェーンと結合される。比較的短い第1および第2のシフトレジスタが示されているが、もっと長いシフトレジスタを使用しても良く、および/または、追加の制御信号を生成するために、もっと多くのXORゲートを接続しても良い。
動作中において、鍵生成回路66(例えば疑似ランダムジェネレータ)は、第1のシフトレジスタに対して連続ビットの鍵を出力する。外部入力部からのビットは、第2のシフトレジスタを通じてシフトされる。XORゲート64は、第1および第2のシフトレジスタからの対応するビットを比較する。第1および第2のシフトレジスタからのビットが一致する場合、XORゲート64がスキャンチェーンを通常動作させる信号を制御線48に供給し、試験データのフィードバックおよび/またはバイパスおよび/または上書きを抑制する。第1および第2のシフトレジスタからのビットが一致しない場合、時間依存信号が制御線に現れ、スキャンチェーンを通常のシフト動作から逸脱させる。
望ましくは、第1および第2のシフトレジスタは、許可制御回路によって制御されるスキャンチェーン(図示せず)と同じクロックを有することが好ましい。一つの代替手段として、このクロックを分周したものを第1および第2のシフトレジスタのクロックとして使用することができる。同一または関連するクロック信号を使用することによって、試験のためのスキャンシフトの間中新しいビットを一致して供給し続けることができる。このような方法で、非常に長い連続した鍵を使用することができ、不正アクセスをすることをより難しくする。加えて、これは自動的にスキャンチェーンに時変制御信号を提供し、それによってスキャンチェーンを識別することを難しくする。
鍵のビットをシフトさせるために、1つのシフトレジスタのみを使用することを示したが、複数のシフトレジスタを並列に使用することもでき、および/または、制御線48上の制御信号は、外部鍵データおよび内部鍵データの2ビット以上を比較した結果として生成することができることが、理解されるべきである。許可制御回路は、複数のスキャンチェーンを制御するために、単一の鍵比較を使用することができる。あるいは、異なるスキャンチェーン用に、複数の鍵の比較が並列に使用されても良い。他の代替手段として、異なるスキャンチェーン用の異なる鍵を照合するために、1つの鍵比較回路を使用しても良い。
1つの代替手段として、許可制御回路において従来の静的な鍵照合方法を使用しても良く、言い換えれば、一旦完全な鍵が読み込まれると、第1および第2のシフトレジスタがシフトするのを止めることができる。この場合、外部鍵が許可制御回路に読み込まれ、許可制御回路がこの鍵が正しいか否かを検出する。許可制御回路は、鍵が正しいと判断すると、スキャンチェーンが通常どおりに機能するように、制御線48に制御信号を設定する。そうでない場合には、許可制御回路は、擬似ランダム発生器などのような、時間依存信号発生器、または、真性ランダム発生器からの信号を制御線48に供給する。これの方法は、任意の鍵照合技術を使用することができる効果がある。しかし、鍵の長さと試験のために必要とされる所要時間との間で、妥協が必要とされる。
図6aは、第1および第2のシフトレジスタを含む構造を、スキャンチェーンへのアクセスを可能または不能にするためにも使用することができる実施例を示す。それぞれ鍵データおよび鍵参照データをシフトインするために、第1および第2のシフトレジスタは、同一または関連するクロック信号でクロックされる。本実施例では、比較回路67およびセット/リセット・メモリ回路68が設けられる。比較回路67は、第1および第2のシフトレジスタに結合された入力部と、セット/リセット・メモリ回路68のセット入力部に結合された出力部を有する。セット/リセット・メモリ回路68は、パワーアップ時に、あるいは、集積回路のリセット時にリセットされるように構成される。セット/リセット・メモリ回路68は、スキャンチェーン(図示せず)のイネーブル回路69の可能化/不能化制御入力部と結合される。動作中において、一旦セット/リセット・メモリ回路68がセットされると、セット/リセット・メモリ回路68が、スキャンチェーンへの入力および/またはスキャンチェーンからの出力を不能にする。セット/リセット・メモリ回路68は、第1および第2のシフトレジスタの、鍵データと参照データとの間で不整合が発生したときに、比較回路67によってセットされる。セット/リセット・メモリ回路68は、安定な比較結果が得られる時のみ「セット」が起こるようにクロックされることが好ましい。
鍵の比較は、少なくとも試験応答を捕捉する後まで、無期限に継続されることが好ましい。鍵生成回路は、少なくともスキャンチェーンを通してデータをシフトさせるために必要となる時間の間、反復しない参照シーケンスを生成することが望ましい。
たとえ、他の比較器回路64が使用されない場合であっても、すなわち、スキャンチェーンに他のいかなる変化も成されない場合にも、イネーブル回路69を有する構成を適用することができることに注意されたい。この実施例は、試験データがスキャンチェーンによってシフトされる間継続する鍵の比較を連続的に行う。このようにすると、試験の開始を比較が終了するのを待って行う必要がないので、時間短縮が得られる。このように、非常に長いキーを、長い遅延を招くことなく使用することができる。また、この構造は、(たとえスキャンチェーン内のイネーブル回路を可能にしなくても)スキャンチェーン内のイネーブル回路以外のイネーブル回路を可能にするために使用することができることにも注意されたい。このように、例えば、集積回路の安全機能は、鍵および参照データの不整合が発生した後に使用不能にすることができた。これは、集積回路の不正使用および/または不正アクセスを防止する効果がある。しかしながら、スキャンチェーンにおいてイネーブル回路を使用する効果は、通常の試験アクセスを秘密情報へのアクセスを防止するために制限する必要がない点にある。
図7は、第1、第2および第3のスキャンチェーンを有する回路を示し、各スキャンチェーンは、シフトレジスタとして結合した一組のスキャンフリップフロップ40a−40e,70,72を有する。各々のスキャンチェーンは、集積回路に試験データを供給して、集積回路から試験結果を受け取るために、集積回路の異なる外部端子の対と結合される。スワッピング回路74a-cは、対となるスキャンチェーンのスキャンフィリップフロップの間に結合される。スワッピング回路74a−cは、2つの入力部と2つの出力部を有し、許可制御回路49からの制御回信号の制御のもとで、第1および第2の入力部からの入力信号を、第1および第2の出力部にそれぞれ供給するか、第2および第1の出力部に交差して供給する。各スワッピング回路74a-cは、相互に逆の制御を行う、一対のマルチプレクサとして実現されるが、他の回路とすることも可能である。
動作中において、許可制御回路49が試験を許可するときには、スワッピング回路74a-cが試験データをスキャンチェーンに沿って平行に通過させるようにする。許可制御回路49が試験を許可しないときには、時変制御信号(例えば、擬似ランダム信号)をスワッピング回路74a−cに送り、時々試験データを1つのスキャンチェーンから他のスキャンチェーンへ交差して供給するようにする。このようにして、スキャンチェーンのどの出力がどの入力に対応するかを不明にする。
試験が許可されるときは、許可制御回路49は、スワッピング回路74a-cが、試験データをスキャンチェーンに沿って平行に通過するようにさせることが望ましい。しかしながら、これは、必ずしも必要ではない。他の実施例では、試験が許可された場合にも、許可制御回路49は、スワッピング回路74a−cに、スキャンチェーン間の接続を所定の時変態様でスワッピングさせる。
実質的に、これは、スキャンチェーンの入力部および出力部として使用される外部端子が、シフト中に時間の関数として変化することを意味する。試験データがシフトインされるときに、このスワッピングの形態が使用された場合は、特定のスキャンチェーンからの試験のための試験データが拡大したビット範囲で集積回路に供給され、異なるスキャンチェーンの外部端子に供給されなければならない。同様に、試験データがシフトアウトされるときに、このスワッピングの形態が使用された場合は、特定のスキャンチェーンからの試験結果が拡張したビットの範囲に集められ、異なるスキャンチェーンの外部端子から収集されなければならない。これは、スキャンチェーンを識別することをさらにより難しくする。
スキャンチェーン間の接続のスワッピングを行う所定の時変態様は、例えば、リセット信号に応答して開始させることができる。また、所定の鍵が供給されたことを検知して、定期的に繰り返すスワッピングパターンを開始することができる。このように、外部の試験装置を、スワッピングの所定の時変態様に同期させることができる。
試験中において、いくつかのスキャンチェーンを、シフトインおよびシフトアウトのために並列に用いることができる点に注意されたい。この場合、異なるスキャンチェーンの試験データを、混合しなければならず、また、異なるスキャンチェーンの試験結果を収集しなければならない。
望ましくは、許可制御回路は、試験データのシフトインの間および試験結果のシフトアウトの間、スワッピングを起こすように構成される。しかし、代わりに、シフトインまたはシフトアウトのみの間、スワッピングを可能にしても良い。このようにしても、依然、スキャンチェーンを識別することは困難である。
望ましくは、許可制御回路は、試験データのシフトインの間および試験結果のシフトアウトの間、スワッピングを起こすように構成される。しかし、代わりに、シフトインまたはシフトアウトのみの間、スワッピングを可能にしても良い。このようにしても、依然、スキャンチェーンを識別することは困難である。
最も簡単な形態では、スワッピングは、スキャンチェーンの出力部と集積回路の外部端子との間のスワッピング回路だけで実現することができる。このように、異なる外部端子へのスキャンチェーンの出力部の接続を時間的に変化させることができ、これによって、どの外部端子が使用されているか識別することをより難しくする。しかしながら、スキャンチェーンの異なる部分間の「内部」スワッピング回路を使用することは、機能回路の制御を識別することをより困難にし、かつ、関連する外部端子を識別することがさらにより困難となるという更なる効果がある。
もちろん、スワッピングを、スキャンチェーンにループ、バイパスおよび論理ゲートを付加する構成と組み合わせることもできる。ある形態の時間依存する能動論理ゲートおよび/またはLFSR構造を使用することは、スキャンチェーンを調べるために供給される任意の試験パターンを混乱させるので、特に有利である。2入力2出力のスワッピング回路を示したが、代わりに、nが2以上の整数であるn入力、n出力のスワッピング回路(例えば、クロスバースイッチ)を使用して、異なる回数の異なる交換を実現すること、あるいは、スワッピングよりもより複雑な接続の入れ替えを実現することが可能であり、スキャンチェーンを識別することをさらにより難しくする。図では、スワッピング回路を異なるスキャンチェーンの対応する位置(両チェーンのm番目のスキャンフリップフロップに接続された入力部)に置くことを示唆しているが、これは必要ではない。
スワッピングはまた、図6の許可制御回路と結合して、ビットが第2のシフトレジスタと一つ以上のスキャンチェーンとの間で交換されるようにしてもよい。
スキャンチェーンに対する開示された変更に加えて、許可が与えられない限り、秘密情報が任意のスキャンチェーンに読み込まれる、および/または、そのスキャンチェーンからシフトされることを防止するために、他のセキュリティ機構を使用することができることに注意されたい。このように、許可情報が利用できない限り、提案された方法は、スキャンチェーンへの接続を決定することを難しくすることに役立つ。あるいは、開示された変更は、秘密情報のアクセスおよび/または識別を防止するために、単独で使用してもよい。この場合、秘密情報が読み出され、あるいは、シフトされることを防止すために、別のセキュリティ機構は設けられない。
スキャンチェーンに対する開示された変更は、適切な鍵が設けられているかどうか、または、適切なヒューズおよび/またはアンチヒューズが回復されているかどうか決めることをより難しくするために用いてもよい。反対に、ヒューズおよび/またはアンチヒューズの適切な組み合わせの存在は、スキャンチェーンの変更を不能にするために、または、それらを試験データへの体系的なアクセスを可能にする所定の構成に設定するために使用しても良い。
Claims (13)
- 集積回路の試験方法において、該集積回路は、
機能回路と、
前記機能回路に結合された試験アクセス回路と、
前記試験アクセス回路に結合された複数のヒューズ・エレメントとを備え、前記複数のヒューズ・エレメントが、前記複数のヒューズ・エレメントに含まれる第1のヒューズ・エレメントが断線状態であり、前記複数のヒューズ・エレメントに含まれる第2のヒューズ・エレメントが非断線状態である場合のみ、前記機能回路に前記試験アクセス回路を介して一貫してアクセス可能にする回路構成に接続されており、
前記試験方法は、
前記第1および前記第2のヒューズ・エレメントの全てを非断線状態とした前記集積回路を得るステップと、
前記第1のヒューズ・エレメントの全てを選択的に断線し、前記第2のヒューズ・エレメントの全てを非断線のままとするステップと、
その後、前記試験アクセス回路を使用して試験を実行するステップと、
その後、前記第2のヒューズ・エレメントの少なくとも一部を断線するステップと
を含むことを特徴とする試験方法。 - 請求項1に記載の試験方法において、
前記集積回路は、前記試験アクセス回路に結合された他の機能回路を備え、前記複数のヒューズ・エレメントが、前記第2のヒューズ・エレメントのうちの1つ以上のヒューズ・エレメントから成る所定のサブセットのヒューズ・エレメントのみが断線されている場合で、前記第1のヒューズ・エレメントが断線状態のときに、前記他の機能回路に試験アクセス回路を介して一貫してアクセス可能にする回路構成に接続されており、
前記試験方法は、
前記試験を実行するステップの後に、前記第2ヒューズ・エレメントの前記サブセットを断線するステップと、
その後、前記試験アクセス回路を使用してさらに試験を実行するステップと、
その後、前記サブセットに属さない第2のヒューズ・エレメントの少なくとも一部を断線するステップと
を含む試験方法。 - 機能回路と、前記機能回路に結合された試験アクセス回路と、前記試験アクセス回路に結合された複数のヒューズ・エレメントとを備え、前記複数のヒューズ・エレメントが、前記複数のヒューズ・エレメントに含まれる第1のヒューズ・エレメントが断線状態であり、前記複数のヒューズ・エレメントに含まれる第2のヒューズ・エレメントが非断線状態である場合のみ、前記機能回路に前記試験アクセス回路を介して一貫してアクセス可能にする回路構成に接続されていることを特徴とする集積回路。
- 請求項3に記載の集積回路において、
前記試験アクセス回路に結合された他の機能回路を備え、前記複数のヒューズ・エレメントが、前記第2のヒューズ・エレメントのうちの1つ以上のヒューズ・エレメントから成る所定のサブセットのヒューズ・エレメントのみが断線されている場合で、前記第1のヒューズ・エレメントが断線状態のときに、前記他の機能回路に試験アクセス回路を介して一貫してアクセス可能にする回路構成に接続されていることを特徴とする集積回路。 - 請求項3に記載の集積回路において、
スキャンチェーンと、前記スキャンチェーンに沿って互に異なる位置で前記スキャンチェーン(14)に結合された複数のデータ変更回路と、前記データ変更回路のそれぞれに結合された第1および第2のヒューズ・エレメントとを備えたことを特徴とする集積回路。 - 請求項3に記載の集積回路において、
一貫したアクセシビリティを可能にするために、前記第1および前記第2のヒューズ・エレメントのそれぞれに結合された入力部と、前記試験アクセス回路に結合された出力部とを有する論理回路を備え、該論理回路は、前記複数のヒューズ・エレメントに含まれる前記第1のヒューズ・エレメントが断線状態であり、前記複数のヒューズ・エレメントに含まれる前記第2のヒューズ・エレメントが非断線状態の場合のみ、第1の出力部信号を生成するように構成されたことを特徴とする集積回路。 - 請求項3に記載の集積回路において、外部端子を備え、
前記試験アクセス回路は、前記機能回路に結合され且つ前記外部端子の間に結合されたスキャンチェーンを備え、該スキャンチェーンはスキャンセルを備え、前記集積回路は、前記スキャンチェーンに結合されたスキャンチェーン変更回路と前記ヒューズ・エレメントとを備え、前記スキャンチェーン変更回路は、前記第1のヒューズ・エレメントの全てが断線状態ではない場合、あるいは、前記第1のヒューズ・エレメントの全てが非断線状態ではない場合であれば、試験データの時間的に連続するそれぞれの部分が、前記外部端子間の一方向にシフトする間に、前記スキャンチェーンを通る前記試験データのシフトに影響を与える信号に応答して、前記スキャンチェーンを通る途中で前記スキャンセルを横切る回数の差に影響を与えるように構成されたことを特徴とする集積回路。 - 請求項7に記載の集積回路において、
前記スキャンチェーン変更回路は、前記スキャンセルの入力部に結合された出力部と、制御入力部と、前記スキャンチェーン内で前記スキャンセルに先行する第1の他のスキャンセルに結合された信号入力部、および、前記スキャンセルまたはスキャンチェーン内で前記スキャンセルの後方に位置する第2の他のスキャンセルの出力部に結合された信号入力部とを有する多重化回路と、
前記多重化回路の制御入力部に結合された出力部を有する時間依存信号生成回路と
を備えたことを特徴とする集積回路。 - 請求項7に記載の集積回路において、前記スキャンチェーン変更回路は、
制御入力部と、スキャンチェーン内で前記スキャンセルの後方に位置する第1の他のスキャンセルに結合された信号出力部と、前記スキャンセルの出力部およびスキャンチェーン内で前記スキャンセルの前方に位置する第2の他のスキャンセルの出力部に結合された信号入力部とを有する多重化回路と、
前記多重化回路の前記制御入力部に結合された出力部を有する時間依存信号生成回路と
を備えたことを特徴とする集積回路。 - 請求項7に記載の集積回路において、前記スキャンチェーン変更回路は、
前記スキャンセルの出力部に結合された入力部と、制御入力部と、それぞれが直接的に、または、1つ以上のスキャンセルを経由して、前記外部端子のそれぞれ1つと結合された複数の出力部を有するスイッチング回路であって、制御入力部からの制御信号により選択される前記出力部の一つに前記試験データを選択的に送信する該スイッチング回路と、
前記スイッチング回路の制御入力部に結合された出力部を有する時間依存信号生成回路と
を備えることを特徴とする集積回路。 - 請求項10に記載の集積回路において、
前記スキャンチェーンを含む複数のスキャンチェーンを備え、各スキャンチェーンは、前記集積回路の各外部端子対の間に結合された入力部および出力部を有し、前記スイッチング回路は、前記スキャンチェーンの第1の部分の出力部と前記スキャンチェーンの第2の部分の入力部との間の接続を選択的に交換するように配置され、前記交換は時間依存信号生成回路による制御のもとで選択されることを特徴とする集積回路。 - 請求項7に記載の集積回路において、
前記スキャンチェーン変更回路は、
前記スキャンセルに結合され、前記スキャンセルへの、または、前記スキャンセルからの試験データを1つ以上の外部端子へシフトさせる代替経路を制御可能に付与するルーティング回路と、
時間依存信号生成回路と、
前記時間依存信号生成回路に結合された入力部を有する第1のシフトレジスタと、
前記集積回路の外部からの鍵信号を受信するための入力部を有する第2のシフトレジスタと、
第1および第2のシフトレジスタの対応する段の出力部に結合され、かつ、出力部が前記ルーティング回路の制御入力部に結合された比較回路と
を備えたことを特徴とする集積回路。 - 請求項7に記載の集積回路において、
前記スキャンセルに結合され、前記スキャンセルへの、または、前記スキャンセルからの試験データを1つ以上の外部端子へシフトさせる代替経路を制御可能に付与するルーティング回路と、
時間依存信号生成回路と、
前記時間依存性の信号生成回路と結合された入力部を有する第1のシフトレジスタと、
前記集積回路の外部からの鍵信号を受信するための入力部を有する第2のシフトレジスタと、
それぞれが前記第1および第2のシフトレジスタの対応するそれぞれの一対の段の出力部に結合された入力部と、前記ルーティング回路のそれぞれの制御入力部に結合された出力部とを有する複数の比較回路、と
を備えたことを特徴とする集積回路。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP05107361 | 2005-08-10 | ||
PCT/IB2006/052746 WO2007017838A1 (en) | 2005-08-10 | 2006-08-09 | Testing of an integrated circuit that contains secret information |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2009505205A true JP2009505205A (ja) | 2009-02-05 |
Family
ID=37508307
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008525699A Withdrawn JP2009505205A (ja) | 2005-08-10 | 2006-08-09 | 秘密情報を含む集積回路の試験 |
Country Status (7)
Country | Link |
---|---|
US (1) | US9041411B2 (ja) |
EP (1) | EP1915632B1 (ja) |
JP (1) | JP2009505205A (ja) |
CN (1) | CN101238382B (ja) |
AT (1) | ATE427501T1 (ja) |
DE (1) | DE602006006065D1 (ja) |
WO (1) | WO2007017838A1 (ja) |
Families Citing this family (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2007017838A1 (en) * | 2005-08-10 | 2007-02-15 | Nxp B.V. | Testing of an integrated circuit that contains secret information |
ATE545869T1 (de) * | 2008-08-08 | 2012-03-15 | Nxp Bv | Schaltung mit einem testfähigen schaltkreis an einen privilegierten informationslieferungsschaltkreis gekoppelt |
WO2010104543A2 (en) * | 2008-12-31 | 2010-09-16 | Arizona Board Of Regents, For And On Behalf Of Arizona State University | Integrated circuits secure from invasion and methods of manufacturing the same |
US8230495B2 (en) * | 2009-03-27 | 2012-07-24 | International Business Machines Corporation | Method for security in electronically fused encryption keys |
JP2010266417A (ja) * | 2009-05-18 | 2010-11-25 | Sony Corp | 半導体集積回路、情報処理装置、および情報処理方法、並びにプログラム |
CN102565684A (zh) * | 2010-12-13 | 2012-07-11 | 上海华虹集成电路有限责任公司 | 基于安全的扫描链控制电路、扫描链测试电路及使用方法 |
US9222973B2 (en) * | 2011-01-20 | 2015-12-29 | International Business Machines Corporation | Protecting chip settings using secured scan chains |
US8775108B2 (en) * | 2011-06-29 | 2014-07-08 | Duke University | Method and architecture for pre-bond probing of TSVs in 3D stacked integrated circuits |
EP2677327A1 (en) * | 2012-06-21 | 2013-12-25 | Gemalto SA | Method for producing an electronic device with a disabled sensitive mode, and method for transforming such an electronic device to re-activate its sensitive mode |
US9188643B2 (en) * | 2012-11-13 | 2015-11-17 | Globalfoundries Inc. | Flexible performance screen ring oscillator within a scan chain |
US20140355658A1 (en) * | 2013-05-30 | 2014-12-04 | Avago Technologies General Ip (Singapore) Pte. Ltd. | Modal PAM2/PAM4 Divide By N (Div-N) Automatic Correlation Engine (ACE) For A Receiver |
EP2911086A1 (en) * | 2014-02-19 | 2015-08-26 | Renesas Electronics Europe GmbH | Integrated circuit with parts activated based on intrinsic features |
US9097765B1 (en) | 2014-05-08 | 2015-08-04 | International Business Machines Corporation | Performance screen ring oscillator formed from multi-dimensional pairings of scan chains |
US9128151B1 (en) | 2014-05-08 | 2015-09-08 | International Business Machines Corporation | Performance screen ring oscillator formed from paired scan chains |
CN106556792B (zh) * | 2015-09-28 | 2021-03-19 | 恩智浦美国有限公司 | 能够进行安全扫描的集成电路 |
US10095889B2 (en) * | 2016-03-04 | 2018-10-09 | Altera Corporation | Techniques for protecting security features of integrated circuits |
US10168386B2 (en) | 2017-01-13 | 2019-01-01 | International Business Machines Corporation | Scan chain latency reduction |
US10481205B2 (en) | 2017-07-27 | 2019-11-19 | Seagate Technology Llc | Robust secure testing of integrated circuits |
US10527674B2 (en) | 2017-08-21 | 2020-01-07 | International Business Machines Corporation | Circuit structures to resolve random testability |
US20230288477A1 (en) * | 2022-03-14 | 2023-09-14 | Duke University | Dynamic scan obfuscation for integrated circuit protections |
CN117521168A (zh) * | 2023-11-20 | 2024-02-06 | 海光云芯集成电路设计(上海)有限公司 | 芯片、芯片的信息安全保护方法及电子设备 |
Family Cites Families (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR2656939B1 (fr) * | 1990-01-09 | 1992-04-03 | Sgs Thomson Microelectronics | Verrous de securite pour circuit integre. |
US5264742A (en) * | 1990-01-09 | 1993-11-23 | Sgs-Thomson Microelectronics, S.A. | Security locks for integrated circuit |
US5357572A (en) * | 1992-09-22 | 1994-10-18 | Hughes Aircraft Company | Apparatus and method for sensitive circuit protection with set-scan testing |
US5787091A (en) * | 1995-06-13 | 1998-07-28 | Texas Instruments Incorporated | Shared redundancy programming of memory with plural access ports |
US5898776A (en) * | 1996-11-21 | 1999-04-27 | Quicklogic Corporation | Security antifuse that prevents readout of some but not other information from a programmed field programmable gate array |
EP0992809A1 (de) * | 1998-09-28 | 2000-04-12 | Siemens Aktiengesellschaft | Schaltungsanordnung mit deaktivierbarem Scanpfad |
DE10056591A1 (de) * | 2000-11-15 | 2002-05-23 | Philips Corp Intellectual Pty | Verfahren zum Schutz einer Schaltungsanordnung zum Verarbeiten von Daten |
US6766486B2 (en) * | 2000-12-05 | 2004-07-20 | Intel Corporation | Joint test action group (JTAG) tester, such as to test integrated circuits in parallel |
US6948098B2 (en) * | 2001-03-30 | 2005-09-20 | Cirrus Logic, Inc. | Circuits and methods for debugging an embedded processor and systems using the same |
US7395435B2 (en) * | 2002-09-20 | 2008-07-01 | Atmel Corporation | Secure memory device for smart cards |
WO2007017839A2 (en) * | 2005-08-10 | 2007-02-15 | Nxp B.V. | Testing of an integrated circuit that contains secret information |
WO2007017838A1 (en) * | 2005-08-10 | 2007-02-15 | Nxp B.V. | Testing of an integrated circuit that contains secret information |
US8281198B2 (en) * | 2009-08-07 | 2012-10-02 | Via Technologies, Inc. | User-initiatable method for detecting re-grown fuses within a microprocessor |
-
2006
- 2006-08-09 WO PCT/IB2006/052746 patent/WO2007017838A1/en active Application Filing
- 2006-08-09 DE DE602006006065T patent/DE602006006065D1/de active Active
- 2006-08-09 EP EP06780333A patent/EP1915632B1/en active Active
- 2006-08-09 CN CN200680029234.2A patent/CN101238382B/zh active Active
- 2006-08-09 US US12/063,151 patent/US9041411B2/en active Active
- 2006-08-09 JP JP2008525699A patent/JP2009505205A/ja not_active Withdrawn
- 2006-08-09 AT AT06780333T patent/ATE427501T1/de not_active IP Right Cessation
Also Published As
Publication number | Publication date |
---|---|
US9041411B2 (en) | 2015-05-26 |
US20100264932A1 (en) | 2010-10-21 |
WO2007017838A1 (en) | 2007-02-15 |
EP1915632A1 (en) | 2008-04-30 |
EP1915632B1 (en) | 2009-04-01 |
CN101238382B (zh) | 2012-03-28 |
ATE427501T1 (de) | 2009-04-15 |
CN101238382A (zh) | 2008-08-06 |
DE602006006065D1 (de) | 2009-05-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2009505205A (ja) | 秘密情報を含む集積回路の試験 | |
JP2009505059A (ja) | 秘密情報を含む集積回路の試験 | |
KR100721895B1 (ko) | 판독/기입 방지의 전기적 퓨즈 구조 | |
EP1499906B1 (en) | Method and apparatus for secure scan testing | |
US5357572A (en) | Apparatus and method for sensitive circuit protection with set-scan testing | |
Lee et al. | Securing scan design using lock and key technique | |
US8495758B2 (en) | Method and apparatus for providing scan chain security | |
US7620864B2 (en) | Method and apparatus for controlling access to and/or exit from a portion of scan chain | |
US11693052B2 (en) | Using embedded time-varying code generator to provide secure access to embedded content in an on-chip access architecture | |
US6601202B2 (en) | Circuit configuration with deactivatable scan path | |
US9746519B2 (en) | Circuit for securing scan chain data | |
Rahman et al. | Dynamically obfuscated scan chain to resist oracle-guided attacks on logic locked design | |
Agila et al. | Resilient DFS architecture for enabling trust in IC manufacturing and testing | |
EP2316041B1 (en) | Circuit with testable circuit coupled to privileged information supply circuit | |
Ahlawat | Security and testability issues in moders VLSI chips | |
KR20050016386A (ko) | 보안 스캔 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A761 | Written withdrawal of application |
Free format text: JAPANESE INTERMEDIATE CODE: A761 Effective date: 20090831 |