JP6555486B2 - オンチップモニタ回路及び半導体チップ - Google Patents

オンチップモニタ回路及び半導体チップ Download PDF

Info

Publication number
JP6555486B2
JP6555486B2 JP2016569363A JP2016569363A JP6555486B2 JP 6555486 B2 JP6555486 B2 JP 6555486B2 JP 2016569363 A JP2016569363 A JP 2016569363A JP 2016569363 A JP2016569363 A JP 2016569363A JP 6555486 B2 JP6555486 B2 JP 6555486B2
Authority
JP
Japan
Prior art keywords
chip
monitor circuit
semiconductor chip
test
security function
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016569363A
Other languages
English (en)
Other versions
JPWO2016114267A1 (ja
Inventor
真 永田
真 永田
ジャン−リュック・ダンジェ
藤本 大介
大介 藤本
シヴァム・バザン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Kobe University NUC
Original Assignee
Kobe University NUC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Kobe University NUC filed Critical Kobe University NUC
Publication of JPWO2016114267A1 publication Critical patent/JPWO2016114267A1/ja
Application granted granted Critical
Publication of JP6555486B2 publication Critical patent/JP6555486B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/556Detecting local intrusion or implementing counter-measures involving covert channels, i.e. data leakage between processes
    • GPHYSICS
    • G01MEASURING; TESTING
    • G01RMEASURING ELECTRIC VARIABLES; MEASURING MAGNETIC VARIABLES
    • G01R31/00Arrangements for testing electric properties; Arrangements for locating electric faults; Arrangements for electrical testing characterised by what is being tested not provided for elsewhere
    • G01R31/28Testing of electronic circuits, e.g. by signal tracer
    • G01R31/2851Testing of integrated circuits [IC]
    • G01R31/2884Testing of integrated circuits [IC] using dedicated test connectors, test elements or test circuits on the IC under test
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/22Detection or location of defective computer hardware by testing during standby operation or during idle time, e.g. start-up testing
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01LSEMICONDUCTOR DEVICES NOT COVERED BY CLASS H10
    • H01L21/00Processes or apparatus adapted for the manufacture or treatment of semiconductor or solid state devices or of parts thereof
    • H01L21/70Manufacture or treatment of devices consisting of a plurality of solid state components formed in or on a common substrate or of parts thereof; Manufacture of integrated circuit devices or of parts thereof
    • H01L21/77Manufacture or treatment of devices consisting of a plurality of solid state components or integrated circuits formed in, or on, a common substrate
    • H01L21/78Manufacture or treatment of devices consisting of a plurality of solid state components or integrated circuits formed in, or on, a common substrate with subsequent division of the substrate into plural individual devices
    • H01L21/82Manufacture or treatment of devices consisting of a plurality of solid state components or integrated circuits formed in, or on, a common substrate with subsequent division of the substrate into plural individual devices to produce devices, e.g. integrated circuits, each consisting of a plurality of components
    • H01L21/822Manufacture or treatment of devices consisting of a plurality of solid state components or integrated circuits formed in, or on, a common substrate with subsequent division of the substrate into plural individual devices to produce devices, e.g. integrated circuits, each consisting of a plurality of components the substrate being a semiconductor, using silicon technology
    • HELECTRICITY
    • H01ELECTRIC ELEMENTS
    • H01LSEMICONDUCTOR DEVICES NOT COVERED BY CLASS H10
    • H01L27/00Devices consisting of a plurality of semiconductor or other solid-state components formed in or on a common substrate
    • H01L27/02Devices consisting of a plurality of semiconductor or other solid-state components formed in or on a common substrate including semiconductor components specially adapted for rectifying, oscillating, amplifying or switching and having potential barriers; including integrated passive circuit elements having potential barriers
    • H01L27/04Devices consisting of a plurality of semiconductor or other solid-state components formed in or on a common substrate including semiconductor components specially adapted for rectifying, oscillating, amplifying or switching and having potential barriers; including integrated passive circuit elements having potential barriers the substrate being a semiconductor body
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/10Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols with particular housing, physical features or manual controls
    • GPHYSICS
    • G01MEASURING; TESTING
    • G01RMEASURING ELECTRIC VARIABLES; MEASURING MAGNETIC VARIABLES
    • G01R31/00Arrangements for testing electric properties; Arrangements for locating electric faults; Arrangements for electrical testing characterised by what is being tested not provided for elsewhere
    • G01R31/28Testing of electronic circuits, e.g. by signal tracer
    • G01R31/317Testing of digital circuits
    • G01R31/31719Security aspects, e.g. preventing unauthorised access during test

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Power Engineering (AREA)
  • Computer Security & Cryptography (AREA)
  • Condensed Matter Physics & Semiconductors (AREA)
  • Software Systems (AREA)
  • Quality & Reliability (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Manufacturing & Machinery (AREA)
  • Semiconductor Integrated Circuits (AREA)
  • Tests Of Electronic Circuits (AREA)
  • Testing Of Individual Semiconductor Devices (AREA)

Description

本発明は、例えば大規模集積回路(LSI)などの、入力信号を暗号化して暗号信号を出力する暗号モジュールを備えた半導体チップ上に実装され、上記半導体チップの信号波形をモニタする、例えばアナログフロントエンド回路などのモニタ回路を備えたオンチップモニタ回路と、当該オンチップモニタ回路を備えた半導体チップと、当該半導体チップをテストする半導体チップテストシステムと、当該半導体チップをテストする半導体チップのテスト方法とに関する。
近年集積回路のサブミクロン以下への急速な微細化が進み、製造欠陥が増加する傾向にある。このような欠陥は製造段階でのマスクや材料のばらつきにより発生する。そのため、複雑な集積回路の信頼性の高いテストと診断が重要となっている。
集積回路におけるセキュリティと信頼性はここ10年で注目が集まっている研究分野である。セキュリティにより安全性を保つためには、物理実装を悪用する物理攻撃やサイドチャネル攻撃に耐性のある暗号化コアが必要になる。一方で、製造段階で悪意のある回路を埋め込むトロイの木馬(トロイ)にも注目が集まっている。セキュリティが鍵となる製品ではセキュリティ・信頼性が出荷前に検査すべき性能指標となりうる。
ハードウェアセキュリティの技術分野においては、複雑なシステムオンチップ(SoC)ではセキュリティが重要なアプリケーションにおいては組み込みの暗号化コアに処理を任せる。しかし、単に暗号化コアを埋め込んだだけでは安全性は保証されない。デバイスが安全であるというためにはいくつかの脅威やポリシーに対してテストを行う必要がある。脅威の一つとして、サイドチャネル攻撃(Side-Channel Attacks:SCA)(例えば、非特許文献1、2、5参照)があげられる。サイドチャネル攻撃は、消費電力や電磁波放射、処理時間などの意図しない物理デバイスからの放射情報を悪用して行われる。
サイドチャネル攻撃の理論や実装は広く学会で議論されているが、サイドチャネル攻撃の解析のための標準的な測定環境については明示されていない。最も一般的な消費電力測定手法としては、グランド(GND)端子と半導体チップのグランド(GND)の間に1Ω程度の抵抗を挿入する低抵抗法がある。この手法はローサイド法とも呼ばれる(例えば、非特許文献5参照)。電源でも同様に、電源電圧(Vcc)端子と半導体チップの電源電圧(Vcc)の間に低抵抗を挿入するハイサイド法が提案されている。両者の測定手法は実装コストが低いがデメリットが存在する。ローサイド法は信号レベルが低いことが問題となりハイサイド法は電源供給源からの大きな電源ノイズにさらされることになる。これらはSNR(Signal-to-noise ratio)が低くなることを意味する。挿入する抵抗はローパスフィルタとして振る舞うため信号の高周波成分が抑制される。
電磁界(EM:Electro-Magnetic)プローブもまた高精度なサイドチャネル攻撃の手法として用いられる(例えば、非特許文献6参照)。電磁界プローブによる測定は低ノイズの可能性があるが、測定位置に依存する。また、電磁界プローブの測定帯域は数GHz程度であり、低抵抗法よりも広帯域である。
特表2011−514046号公報
Eric Brier et al., "Correlation Power Analysis with a Leakage Model," CHES 2004, Vol. 3156 of LNCS, pp. 16-29, Springer, in August, 2004. Cambridge, MA, U.S.A. Suresh Chari et al., "Template Attacks,", CHES 2002, Vol. 2523 of LNCS, pp. 13-28, Springer, in August 2002, San Francisco Bay, Redwood City, CA, U.S.A. Daisuke Fujimoto et al., "Side-Channel Leakage on Silicon Substrate of CMOS Cryptographic Chip," HOST 2014, IEEE Computer Society,May 2014, Arlington, VA, U.S.A. Suvadeep Hajra et al., "Snr to success rate: Reaching the limit of non-profiling dpa," Cryptology ePrint Archive, Report 2013/865, 2013, [平成26年12月10日検索]、インターネット<URL: http://eprint.iacr.org/.> Paul C. Kocher et al., "Differential Power Analysis," In Proceedings of CRYPTO’99, Vol. 1666 of LNCS, pp. 388-397, Springer-Verlag, 1999. Laurent Sauvage et al., "Electro-Magnetic Attacks Case Studies on Non-Protected and Protected Cryptographic Hardware Accelerators," IEEE EMC, Special session #4 on Modeling/Simulation Validation and use of FSV, in July 25-30, 2010, Fort Lauderdale, Florida, CA, U.S.A., [平成26年12月10日検索]、インターネット<URL: http://emc2010.org/>. U.S. Department Of Defense, Defense science board task force on high performance microchip supply, [平成26年12月10日検索]、インターネット<URL: http://www.acq.osd.mil/dsb/reports/2005-02-HPMS_Report_Final.pdf.>. Michael Muehlberghuber et al., "Red Team vs. Blue Team Hardware Trojan Analysis, Detection of a Hardware Trojan on an Actual ASIC," Proceedings of the 2nd International Workshop on Hardware and Architectural Support for Security and Privacy (HASP 2013), Article No. 1, 2013
上述の電磁界プローブの最大の課題は、測定の再現性に関して、(1)半導体チップ及び評価ボードに対する三次元空間のプローブ位置制御、及び(2)空間電磁波や物理振動などの周囲環境の安定化、である。プローブ位置や電磁界の変動により情報漏洩の評価値が変化する。さらに、評価ボードの回路設計や物理レイアウト設計によって変化することも無視できない。このように、半導体チップのハードウェアセキュリティに係るテスト項目としてサイドチャネル漏洩量を検定するためには、適切な測定方法の選定と測定環境の管理が重要な課題となる。
上述の標準的なテストフローでは、セキュリティ評価の手法は提供されていないという問題点があった。特に、暗号モジュールを備えた半導体チップの製造段階で悪意のある回路を埋め込む、例えばトロイの木馬などのセキュリティ攻撃を防止することが望まれているが、セキュリティ評価の手法は提供されていない。
本発明の目的は、セキュリティが必要な半導体チップにおけるオンチップモニタ回路を用いて、暗号モジュールを備えた半導体チップの製造段階で悪意のある回路を埋め込む、例えばトロイの木馬などのセキュリティ攻撃を防止することができるように当該半導体チップをテストするためのオンチップモニタ回路を提供することにある。
また、本発明の別の目的は、上記オンチップモニタ回路を備えた半導体チップ、上記半導体チップ及びテスト装置を備えた半導体チップテストシステム、及び半導体チップのテスト方法を提供することにある。
第1の発明に係るオンチップモニタ回路は、入力信号に対してセキュリティ機能処理を行ってセキュリティ機能信号を出力するセキュリティ機能モジュールを備えた半導体チップに実装されたオンチップモニタ回路であって、上記半導体チップの信号波形をモニタするモニタ回路を備えたオンチップモニタ回路において、
上記半導体チップのテストを行うウィンドウ期間を指定するデータを記憶する第1の記憶手段と、
上記セキュリティ機能モジュールに所定のテスト信号を入力したときに、上記ウィンドウ期間において上記モニタ回路を動作させるように制御する制御手段とを備えたことを特徴とする。
上記オンチップモニタ回路において、上記制御手段は、
リセット信号を受信した後、クロック信号を計数して計数値のデータを出力する計数手段と、
上記ウィンドウ期間を指定するデータを、上記計数値のデータと比較して各データが一致するときに上記モニタ回路を動作させるように制御する比較手段とを備えたことを特徴とする。
また、上記オンチップモニタ回路において、上記ウィンドウ期間は、上記セキュリティ機能モジュールの情報漏洩が最大になる時間期間であることを特徴とする。
さらに、上記オンチップモニタ回路において、入力される遅延コードを記憶する第2の記憶手段をさらに備え、
上記制御手段は、上記遅延コードに対応する遅延時間だけ上記ウィンドウ期間のタイミングを遅延させることを特徴とする。
またさらに、上記オンチップモニタ回路において、上記遅延コードは、上記セキュリティ機能モジュールの情報漏洩が最大になるタイミングを指定する遅延量を示すことを特徴とする。
また、上記オンチップモニタ回路において、上記モニタ回路は、上記半導体チップの基板電位又は上記セキュリティ機能モジュールの電源電位の信号波形をモニタすることを特徴とする。
さらに、上記オンチップモニタ回路において、上記制御手段は、上記半導体チップのテスト終了後に、上記モニタ回路の動作を停止させることを特徴とする。
さらに、上記オンチップモニタ回路において、上記制御手段は、上記半導体チップのテスト終了後に、上記第1の記憶手段と上記第2の記憶手段の少なくとも1つに所定値を記憶することで論理的に書き換え不能にすることを特徴とする。
またさらに、上記オンチップモニタ回路において、上記セキュリティ機能モジュールは暗号モジュールであることを特徴とする。
第2の発明に係る半導体チップは、入力信号に対してセキュリティ機能処理を行ってセキュリティ機能信号を出力するセキュリティ機能モジュールを備えた半導体チップにおいて、
上記オンチップモニタ回路を備えたことを特徴とする。
第3の発明に係る半導体チップテストシステムは、
上記半導体チップと、
上記半導体チップをテストするテスト装置とを備えた半導体チップテストシステムであって、
上記テスト装置は、
上記セキュリティ機能モジュールからの情報漏洩期間が上記ウィンドウ期間に含まれるようにテスト信号を発生して上記半導体チップに出力するテスト信号発生手段と、
上記モニタ回路からの信号波形に基づいてセキュリティ機能モジュールからの情報漏洩を定量化してセキュリティ評価の判断を行う判断手段とを備えたことを特徴とする。
第4の発明に係る半導体チップのテスト方法は、入力信号に対してセキュリティ機能処理を行ってセキュリティ機能信号を出力するセキュリティ機能モジュールを備えた半導体チップに実装されたオンチップモニタ回路であって、上記半導体チップの信号波形をモニタするモニタ回路を備えたオンチップモニタ回路を用いた上記半導体チップのテスト方法において、
上記半導体チップのテストを行うウィンドウ期間を指定するデータを第1の記憶手段に記憶するステップと、
上記セキュリティ機能モジュールに所定のテスト信号を入力したときに、上記ウィンドウ期間において上記モニタ回路を動作させるように制御するステップとを含むことを特徴とする。
上記半導体チップのテスト方法において、
入力される遅延コードを第2の記憶手段に記憶するステップと、
上記遅延コードに対応する遅延時間だけ上記ウィンドウ期間のタイミングを遅延させるステップをさらに含むことを特徴とする。
また、上記半導体チップのテスト方法において、
上記セキュリティ機能モジュールからの情報漏洩期間が上記ウィンドウ期間に含まれるようにテスト信号を発生して上記半導体チップに出力するステップと、
上記モニタ回路からの信号波形に基づいてセキュリティ機能モジュールからの情報漏洩を定量化してセキュリティ評価の判断を行うステップとをさらに含むことを特徴とする。
さらに、上記半導体チップのテスト方法において、上記半導体チップのテスト終了後に、上記モニタ回路の動作を停止させるステップをさらに含むことを特徴とする。
さらに、上記半導体チップのテスト方法において、
上記半導体チップのテスト終了後に、上記第1の記憶手段と上記第2の記憶手段の少なくとも1つに所定値を記憶することで論理的に書き換え不能にするステップをさらに含むことを特徴とする。
またさらに、上記半導体チップのテスト方法において、上記セキュリティ機能モジュールは暗号モジュールであることを特徴とする。
本発明に係るオンチップモニタ回路等によれば、セキュリティが必要な半導体チップにおけるオンチップモニタ回路を用いて、セキュリティ機能モジュールを備えた半導体チップの製造段階で悪意のある回路を埋め込む、例えばトロイの木馬などのセキュリティ攻撃を防止することができるように当該半導体チップをテストするためのオンチップモニタ回路等を提供できる。
実施形態1に係るオンチップモニタ回路の基本的な構成を示す回路図である。 実施形態1に係るオンチップモニタ回路の基本的な構成を示す回路図である。 被測定対象の半導体チップのレイアウトを示す平面図である。 実施形態1に係るプロトタイプ半導体チップテストシステムの構成を示すブロック図である。 図3Aプロトタイプ半導体チップテストシステムの外観を示す写真である。 図3の半導体チップテストシステムによる漏洩解析結果であって、選択されたプレインテキストに対するSNRを示すグラフである。 図3の半導体チップテストシステムによる漏洩解析結果であって、各測定に対する推定エントロピーを示すグラフである。 図3の半導体チップテストシステムによる高周波成分解析の相関解析攻撃法のうち1Ω(ハイサイド)法を用いて得られた解析結果であって、周波数領域の相関値を示すグラフである。 図3の半導体チップテストシステムによる高周波成分解析の相関解析攻撃法のうちオンチップモニタ法を用いて得られた解析結果であって、周波数領域の相関値を示すグラフである。 実施形態1に係る別の半導体チップテストシステムの構成を示すブロック図である。 図6Aの半導体チップテストシステムの動作を示す各信号のタイミングチャートである。 図6Aの半導体チップテストシステムによる半導体チップのテスト処理を示すフローチャートである。 図6Aの半導体チップテストシステムにおいてプローブカードを半導体チップに接続する場合の概略外観図である。 実施形態1に係る実施例において用いた、オンチップモニタ回路20を備えた半導体チップ10の構成を示すブロック図である。 図9のオンチップモニタ回路20の実験結果であって、接地側電源電圧Vssの電源ラインのノイズ波形を示すグラフである。 図9のオンチップモニタ回路20の実験結果であって、アクティブ暗号モジュール数に対する論理ゲート数を示すグラフである。 図9のオンチップモニタ回路20の実験結果であって、アクティブ暗号モジュール数に対するノイズ電圧Vnoiseを示すグラフである。 実施形態2に係る、オンチップモニタ回路を有する暗号機能付きシステムLSIチップの構成を示す平面図である。 実施形態2の変形例に係る、オンチップモニタ回路を有する暗号機能付きシステムLSIチップの構成を示す平面図である。 実施形態2に係る暗号機能付きシステムLSIチップのオンチップモニタ回路の実施例1のブロック図である。 図15Aのアナログフロントエンド回路の第1の回路例を示す回路図である。 図15Aのアナログフロントエンド回路の第2の回路例を示す回路図である。 図15Aのオンチップモニタ回路の動作を示す各信号のタイミングチャートである。 実施形態2に係る暗号機能付きシステムLSIチップのオンチップモニタ回路の実施例2のブロック図である。 図17のオンチップモニタ回路の動作の変形例を示す各信号のタイミングチャートである。 図15Aのオンチップモニタ回路を有する暗号機能付きシステムLSIチップのテスト処理を示すフローチャートである。 実施形態2の変形例に係るオンチップモニタ回路の構成を示す回路図である。 実施形態2に係る半導体チップテストシステムの全体構成のうちの特徴部分を示すブロック図である。
以下、本発明に係る実施形態について図面を参照して説明する。なお、以下の各実施形態において、同様の構成要素については同一の符号を付している。
実施形態1.
1−1.はじめに
暗号等のセキュリティ機能を有する半導体チップについて、その電源ノイズがセキュリティ機能の内部回路動作と強く相関することが知られている。ハードウェアセキュリティにかかる半導体チップ技術要件として、電源ノイズによるサイドチャネル情報漏洩の定量化や抑制手段の搭載が求められる。実施形態1では、オンチップのノイズ測定手段(オンチップモニタ回路)をサイドチャネル情報漏洩の定量的な診断やテストに応用する。オンチップモニタ回路によるノイズ波形の取得とサイドチャネル漏洩の標準的な評価環境を示すとともに、半導体チップのセキュリティに関するテストフローへの組込みを提案する。
実施形態では、オンチップモニタ回路のハードウェアセキュリティ応用、とりわけサイドチャネル漏洩のオンチップ測定法を提案し、既存の測定法に比べた優位性を明らかにする。また、オンチップモニタ回路を用いたサイドチャネル漏洩の標準テスト環境を提案する。さらに、半導体チップのハードウェアセキュリティに関するテストフローへのサイドチャネル漏洩評価とハードウェアトロイ検出とを統合した半導体チップテストシステムを提案する。
1−2.オンチップ電源ノイズ測定
図1Aは実施形態1に係るオンチップモニタ回路20の基本的な構成を示す回路図である。図1Aにおいて、オンチップモニタ回路20は、サンプリングスイッチSW1及びキャパシタC1にてなるサンプルホールド回路1と、ユニティーゲインアンプ2とを備えて構成される。埋め込み型のサンプルホールド回路1により、半導体チップ内部の電源ノイズ等のオンチップ波形を取得する。サンプルホールド回路1は、被測定アナログ電圧をサンプリングクロックに従って捕捉し、そのDC電圧を保持し半導体チップ10の外部回路に出力する。サンプリングスイッチSW1とキャパシタC1は高電圧(3.3V)の素子を用いて構成し、1.8Vの暗号化コアの電源電圧(Vdd)は直接にサンプルホールド回路1に接続し、出力のDC電圧を、利得1のユニティーゲインアンプ(UGA)2でバッファリングして出力する。
図1Bは実施形態1に係るオンチップモニタ回路20Aの基本的な構成を示す回路図である。グラウンド電圧(Vss)やシリコン基板電圧(Vsub)は0Vであるため、図1Bに示すように、PチャンネルMOSトランジスタQ1,Q2にてなるP型のソースフォロア回路3により入力電圧をサンプルホールド回路1に適合した電位までシフトさせる必要がある。
図1A及び図1Bのオンチップモニタ回路20,20Aは半導体のテストフローに組み込むことを念頭において作成しており、自動テスト装置(Automatic Test Equipment:ATE)に容易に組み込むことができ、設計コストを削減できる。ここで、オンチップモニタ回路20,20Aの動作に必要な高精度なサンプルタイミングの生成や、広い電圧範囲でのアナログ/デジタル変換(以下、A/D変換という。)には、自動テスト装置(ATE)に具備される機能を利用する。これにより、チップ内蔵による電源電流、チップ面積及びチップ端子の消費を防止することができる。
半導体チップ内部で観測される電源ノイズ波形は、半導体チップの動的な消費電力の変化に追従し、秘密情報を扱う論理処理の回路動作を反映する。さらに、ハードウェアトロイや悪意ある回路の動作による消費電力も含まれる。非常に小さな電圧変動の測定であるが、埋め込み型のサンプルホールド回路1により半導体チップ内部でその場観測するため、位置や環境の影響を受け難い。また、自動テスト装置(ATE)はテスト環境としての一般性や安定性に優れている。このように、オンチップモニタ回路20と自動テスト装置(ATE)の協調によるサイドチャネル漏洩評価は、半導体チップのハードウェアセキュリティに係るテストに有用である。
次いで、図2及び図3を参照して、プロトタイプ半導体チップテストシステムについて以下に説明する。
図2は被測定対象の半導体チップのレイアウトを示す平面図であり、図3Aは実施形態1に係るプロトタイプ半導体チップテストシステムの構成を示すブロック図であり、図3Bは図3Aプロトタイプ半導体チップテストシステムの外観を示す写真である。
提案手法を実証するため、図2に示すように、0.18μmCMOSプロセスで埋め込み型のサンプルホールド回路1と暗号化回路を搭載した半導体チップを試作した。図2において、AES−A,AES−Bは暗号モジュールであり、SwitchはサンプリングスイッチSW1であり、UGAはユニティーゲインアンプ2である。
オンチップモニタ回路20を用いた電源ノイズ評価の対象としてAES(Advanced Encryption Standard)暗号回路を選択した。AES暗号モジュールは1ラウンドを1クロックサイクルで処理する実装であり、その内部の論理構造である「S−box」の実装は合成体実装である。サイドチャネル測定法の評価を主眼とするため、サイドチャネル攻撃への対策回路は実装していない。オンチップモニタ回路20の入力チャネルはチップ内の異なる2カ所でAES暗号モジュールの電源ノード(Vdd)と接続しており、どちらかを選択できる。サンプルホールド回路1の電源ドメインは3.3Vで、AES暗号モジュールの1.8Vからは分離されている。電源配線とグラウンド配線をいずれも分離することにより電源ドメイン間のノイズ結合を排除し、再現性の高い測定を実現できる。
プロトタイプ半導体チップテストシステムの構成を示す図3Aにおいて、半導体チップ10は、暗号モジュール(AES)11,12と、サンプルホールド回路1及びユニティーゲインアンプ2とを備えたオンチップモニタ回路20とを備える。半導体チップ10の周辺回路又は装置として、A/D変換回路13と、フィールドプログラマブルゲートアレイ(FPGA)14と、遅延ライン15とを備える。
図3Aにおいて、サンプリングタイミングは暗号モジュール11,12のAESコアのクロック信号(CLK)と同期したトリガ信号を用いて発生し、FPGA14のボード上の遅延ライン(DL)15を用いて遅延を制御する。サンプルホールド回路1によりバッファされたDC信号出力はオンボード上のA/D変換回路(ADC)13によりデジタルコードへと変換される。FPGA14により遅延ライン(DL)15とA/D変換回路13を制御し、電圧波形の取得を行い、デジタルコードをデータ処理のためのパーソナルコンピュータ16へと転送する。このFPGA14は同時にAES暗号回路の暗号処理の制御も行う。
1−3.オンチップモニタとハードウェアセキュリティ
以下、ハードウェアセキュリティの視点から、オンチップモニタを用いたサイドチャネル漏洩の評価法について述べる。これにより、テスト対象となる暗号化回路のサイドチャネル攻撃に対する脆弱性(もしくは堅牢性)を確認する。オンチップモニタによる評価法と比較するため、1Ωを電源ラインに挿入したハイサイド測定法と磁界プローブ測定法もあわせて行う。
第一に、時間領域波形からの秘密情報漏洩の程度を評価する。暗号モジュール11,12のAESコアへの入力に対して測定波形が持つ情報のSNRは(1)式で示される。
Figure 0006555486
ここで、E[・]は引数の時間平均値を示す関数であり、Var[・]は引数の分散を示す関数である。Tは測定した波形であり、Xは暗号モジュール11,12のAESコアの入力である平文(プレインテキスト)のうち攻撃に用いる1バイトの部分平文である。ここでは、高いSNRは情報漏洩の程度が高く、攻撃者に利用され易いことを意味する(例えば、非特許文献4参照)。測定手法によって攻撃可能性が変化することを確かめるために、実際の攻撃手法である相関解析攻撃(Correlation power analysis:CPA)法(例えば、非特許文献1参照)を用いて行う。CPAはサイドチャネル漏洩の測定波形Tと予測した漏洩モデルLとのピアソンの相関係数ρを取って攻撃する。
第二に、周波数成分について評価する。周波数成分毎にCPA攻撃を行い、周波数成分に対する情報漏洩の程度を評価する。もしも、オンチップモニタによる波形について高周波成分での情報漏洩が観測されれば、オフチップの測定手法は周波数帯域が狭いため、この成分については測定が難しいことになる。
1−4.漏洩解析
図4Aは図3の半導体チップテストシステムによる漏洩解析結果であって、選択されたプレインテキストに対するSNRを示すグラフであり、図4Bは図3の半導体チップテストシステムによる漏洩解析結果であって、各測定に対する推定エントロピーを示すグラフである。
暗号モジュール11,12の電源ノイズについて、異なる平文で50,000波形取得する。動作周波数は24MHzとした。前述のとおり、オンチップモニタ回路20、1Ω(ハイサイド)法、および2カ所の場所の異なる点での電磁界プローブにより測定を行った。それぞれの測定について(1)式で示されるSNRをプロットしたものを図4Aに示す。16個の部分鍵に分けた時のそれぞれの1バイトで最もSNRが高い点をそれぞれの測定についてプロットしている。オンチップモニタ回路20による測定では他の測定よりSNRが高いことが明らかである。
続いて、最初に攻撃で特定された1バイトの秘密鍵に着目する。暗号モジュール11,12の電源ノイズに対して10,000波形ずつを用いて5回攻撃し、正解鍵に相当するバイト値の相関値が、予測される全ての候補バイト値の中で、高い方から何番目に位置するか、順位を求める。この順位の平均を推定エントロピーとする。この順位が速く1に近づくものは最も攻撃可能性が高く、すなわち電源ノイズ波形による情報漏洩の程度が高いことを意味する。同じ暗号モジュール11,12のAESコアに対して4種類の測定を行い、推定エントロピーを図4Bのように導出した。オンチップモニタ回路20を用いた攻撃では1,200波形と少ない波形数で鍵を特定できることがわかる。他方、1Ω測定法とEM測定法EM1では2,000波形、EM測定法EM2では3,100波形が必要である。これらの評価からオンチップモニタ回路20を用いた測定はSNRが最も高く、情報漏洩の程度が高いと言える。
1−5.高周波成分解析
図5Aは図3の半導体チップテストシステムによる高周波成分解析の相関解析攻撃法のうち1Ω(ハイサイド)法を用いて得られた解析結果であって、周波数領域の相関値を示すグラフである。また、図5Bは図3の半導体チップテストシステムによる高周波成分解析の相関解析攻撃法のうちオンチップモニタ法を用いて得られた解析結果であって、周波数領域の相関値を示すグラフである。
サイドチャネル情報漏洩の発生する周波数成分(あるいは周波数帯域)について評価する。前節と同様の測定波形に対して、FFTを用いて周波数領域に変換し、CPAを行った結果を図5A及び図5Bに示す。オンチップモニタ回路20による電源ノイズ波形に対する周波数毎の攻撃結果から、低い周波数と高い周波数の両者で多くの漏洩があることがわかる。具体的には、300MHz,620MHz,800MHz,1GHzと広い範囲で情報漏洩を確認できている。これに対し、高い周波数では1Ω法を用いた測定ではノイズが多く評価が不十分である。これは、1Ω法では1Ωと回路の静電容量がローパスフィルタとして作用し、情報漏洩の高周波成分を抑制するためである。
このように、オンチップモニタ回路20によるサイドチャネル情報漏洩の評価は、高速な暗号回路においても有用と考えられる。また、一般に、情報漏洩の発生する周波数は回路方式やデバイスの実装方式により変化する。オンチップモニタ回路20により広い周波数領域で情報漏洩の程度を評価することで、半導体チップにおけるハードウェアセキュリティと具現化技術の関係を定量的に見極めることも可能になる。
1−6.オンチップモニタを用いたサイドチャネル情報漏洩の標準評価環境
1−6−1.サイドチャネル情報漏洩の評価
半導体チップにおけるサイドチャネル情報漏洩の標準評価手段として、オンチップモニタ回路(OCM)20の利用を提案する。前章のとおり、オンチップモニタ回路20による測定はその他の測定法に比べて高いSNRを得ることから、情報漏洩の程度をより小さいレベルまで評価できる。漏洩評価の不確かさの要因として、プロセスばらつきと環境ノイズが考えられる。オンチップモニタ回路20によるオンチップ測定は、環境ノイズの影響を受けにくい。一方、プロセスばらつきは製造テクノロジに応じて普遍的に存在する。OCMを用いた測定について、適切な較正によりばらつきの影響を低減できる。
オンチップモニタ回路20はチップ内のあらゆる位置での電圧が取得可能である。代表的な測定対象として、暗号モジュール11,12の電源電圧端子(Vdd)があげられる。しかしながら、被測定回路とオンチップモニタ回路20の物理的な配置及び配線に制約があり、オンチップモニタ回路20からのプローブ配線の引き回しなどの障壁もある。代替の測定対象として、シリコン基板の電位変動、すなわち基板ノイズが考えられる。基板ノイズは、電源ノイズと同様に、その波形がチップ内部のデジタル回路の動作と強く相関することが知られている(例えば、非特許文献3参照)。基板ノイズは距離により大きく減衰するが、チップのあらゆる場所から観測可能であり、被測定回路の近傍にプローブ位置を限定する必要がない。すなわち、オンチップモニタ回路の配置位置の近傍において、同一チップ上の別の位置に配置された暗号モジュール11,12の基板ノイズを観測可能であり、その物理設計を変更すること無く、サイドチャネル漏洩量の評価が可能となる。
このように、オンチップモニタ回路20による基板ノイズの測定は、シリコン基板を経由したサイドチャネル漏洩の標準評価手段になり得る。半導体チップにおけるオンチップモニタ回路20の搭載フローの自動化、オンチップモニタ回路20が占有するチップ面積やピン数の縮小、及びオンチップモニタ回路20の特性ばらつきの検出と較正手法が確立されれば、セキュリティ用途の応用が進むと考えられる。
1−6−2.ハードウェアトロイの検知
半導体チップに悪意あるトロイが混入するシナリオとして、ウェハプロセスの製造者がマスクを改変し悪意ある回路や構造を埋め込むことが考えられる(例えば、非特許文献7参照)。サイドチャネル情報の測定によるトロイ検知手法では、基準となる動作モデル(golden model)が必要であることが知られており、その導出法は未解決の技術課題である。オンチップモニタ回路20の活用により、真正であることの保証されたチップにおいて再現性の高い電源ノイズあるいは基板ノイズの測定データを収集し、これをもとに基準データあるいは動作モデルを構築することが考えられる。
サイドチャネル情報の測定によるトロイ検知では、基準データからの微小な変化を確定的に測定する必要があり、測定環境に対する依存性や、周囲環境からの混入ノイズの影響が課題となる。オンチップモニタ回路20によるサイドチャネル漏洩量の評価は、この問題を解決する一つの解となり得るものであり、オンチップモニタ回路20による物理的なトロイ動作の検知に向けた研究の取組みが必要である。
1−7.ハードウェアセキュリティに向けた半導体チップのテスト手法
1−7−1.テスト環境
図6Aは実施形態1に係る別の半導体チップテストシステムの構成を示すブロック図である。また、図6Bは図6Aの半導体チップテストシステムの動作を示す各信号のタイミングチャートである。図6Aにおいて、被測定デバイス(DUT)100は、システムオンチップ(SoC)101と、暗号モジュール102と、サンプルホールド回路1、選択スイッチ回路105及びユニティーゲインアンプ108を備えたオンチップモニタ回路20と、選択ロジック回路106と、バイアス電圧発生器107とを備えて構成される。また、自動テスト装置(ATE)300は、デジタル信号発生回路301と、任意波形発生器(AWG:Arbitrary Waveform Generator)302と、A/D変換回路303とを備えて構成される。
半導体チップのテスト環境を図6Aのように拡張する。複数の入力チャネルを持ったサンプルホールド回路1を有するオンチップモニタ回路20とミックストシグナル拡張機能を有する自動テスト装置300とを統合することで、セキュリティ向け半導体ICチップにおける機能・性能のテストに加えて、サイドチャネル情報漏洩に関するセキュリティ要件の定量評価を規定することができる。被測定デバイス(DUT:Device Under Test)100は自動テスト装置300の生成する入力テストベクタに対して処理結果を出力する。自動テスト装置300は被測定デバイス100の出力値と期待値を比較して、ハードウェアセキュリティの要件を満たす/満たさない、の判定や半導体チップのパス/フェイルの判定を行う。
一般に、半導体チップのテストに用いられるテストベクタは全てのフリップフロップの動作を包含するように生成される。これにより、機能及び性能のテストにおいてハードウェアトロイが起動する可能性が増し、セキュリティ要件に関するテストにおけるトロイ検知の可能性を大きくできる。
当該のテストベクタはオンチップモニタ回路20も制御し、被測定デバイス100の電源配線や基板電位、あるいはオンチップモニタ回路20近傍の基板電位を入力とするサンプリング回路1を選択的に動作させる。サイドチャネル漏洩の評価では、暗号モジュール102の動作時間におけるノイズ波形を取得する。自動テスト装置300の発生するサンプリングタイミングで電圧を保持し、自動テスト装置300のA/D変換回路303によりデジタル値化する。オンチップモニタ回路20と暗号モジュール102はシステムクロックに同期しており、着目するクロックサイクルにおいて、システムクロックに対してオンチップモニタ回路20のサンプリングタイミングをずらしながら繰り返し電圧値を捕捉し、電圧波形を取得する(図6B参照)。
1−7−2.テストフロー
図7は図6Aの半導体チップテストシステムによる半導体チップのテスト処理を示すフローチャートである。半導体チップのテストフローを図7のように拡張することで、オンチップモニタ回路20を用いたハードウェアセキュリティに関する評価項目を組込むことができる。半導体チップのテスト処理は、較正処理(S1)と、波形測定処理(S2)と、波形検出処理(S3)とを含む。
ステップS1において、まず、オンチップモニタ回路20の振幅特性を較正する。当該較正処理では、ステップS11において被測定デバイス100にアクセスして、ステップS12においてサンプルホールド回路1の較正を行う。
次いで、ステップS2において波形測定処理を実行する。すなわち、被測定デバイス100の各種の機能及び性能をn個のテストベクタにより評価する。このうち、ハードウェアセキュリティに関する評価項目として、例えば暗号モジュール102におけるサイドチャネル漏洩量のテストをi番目のテストベクタにより行う(S13〜S20)。このテストベクタには、オンチップモニタ回路20の制御に係る信号セットが含まれ、着目するクロックサイクル区間において波形取得を行う。このとき、波形取得範囲の分割数kが波形の時間分解能を決定し、クロック信号に対してサンプリング時間をjだけ遅延させた時間毎に電圧値を得る。このテストベクタ(i)における、ハードウェアセキュリティの要件を満たす/満たさない、の判定は取得したノイズ波形の評価を含めて行う。すなわち、波形検出処理(S3)では、関数値の評価(S21)と、波形の評価(S22)と、被測定デバイス100に対して、ハードウェアセキュリティの要件を満たす/満たさない、の判定(S23)を行う。
オンチップモニタ回路20の波形取得特性は振幅レベルが既知の正弦波信号に対する入出力特性に基づいて較正する。正弦波は自動テスト装置300の任意波形発生器302より出力する。オンチップモニタ回路20の波形取得特性は、オンチップモニタ回路20を構成するサンプルホールド回路1等の入出力特性と、自動テスト装置300によるサンプリングタイミング発生の時間分解能やタイミング精度から定まる。半導体チップの製造に伴うデバイスばらつきは、オンチップモニタ回路20のオフセット直流電圧や利得のずれを引き起こすが、いずれも正弦波による較正により取り除くことができる。
サイドチャネル情報漏洩の評価、ハードウェアトロイの検出、あるいは半導体チップの真正性(模造や改竄の有無)のチェックには、あらかじめ真正性の保証された被測定デバイス100において、同じテストベクタ(i)で着目したクロックサイクル区間について取得した電源ノイズ波形を基準波形(Golden model)とする。真正性の確認されているウェハや半導体チップの集合における基準波形の平均とばらつきをデータベースとして保持し、被評価半導体チップを含むウェハ全面の電源ノイズや基板ノイズの波形の平均とばらつきと比較する。この両者に、オンチップモニタ回路20の較正後の特性ばらつき、温度や電源電圧などの測定環境ばらつき、などを考慮しても有意な差が認められる場合に、ハードウェアセキュリティとしての要件を満足しないと判断する。
1−7−3.テストコスト
図8は図6Aの半導体チップテストシステムにおいてプローブカードを半導体チップに接続する場合の概略外観図である。すなわち、半導体チップのハードウェアセキュリティ要件に関するオンチップモニタ回路20を用いたテスト手法の実装コストを最小化する構想を図8に示す。プローブカード200は、その最上面において、パッド201〜203,211〜213及び各パッドに接続されて被測定デバイス100のパッド121〜123,131〜133に接続されるプローブ221〜223,231〜233を備える。なお、パッド201〜203,211〜213は自動テスト装置300に接続される。すなわち、ウェハレベルのテストアクセスを前提としたオンチップモニタ回路20専用パッド121〜123,131〜133を備えることで、被評価半導体チップのコア回路への入出力パッドへの影響を最小化し、半導体チップのアセンブリ工程にかかわる入出力パッドと分離する。上述したように、オンチップモニタ回路20による測定対象をその近傍の基板ノイズとすることで、オンチップモニタ回路20及び専用パッド121〜123,131〜133の物理配置をチップの未使用領域のみに限定できる。
オンチップモニタ回路20の波形取得に係る実行時間もテストコストの要因である。オンチップモニタ回路20による波形取得は、被測定デバイス100と共にサンプルホールド回路1等を繰り返し動作させ、着目するクロックサイクル区間の範囲でサンプリングタイミングを変更する。時間分解能を0.1nsとした場合、クロックサイクル区間が100ns(例えば10nsクロックサイクル×10サイクル区間)であれば1,000回のサンプリングが必要となる。総時間長はテストベクタの長さとアナログデジタル変換器の変換時間に依存し、テストベクタの工夫、回路の並列化、自動テスト装置300のリソースの高スループット化、等により改善できるが、半導体チップ面積や装置価格等とのトレードオフになる。
1−8.まとめ
以上説明したように、実施形態1では、オンチップモニタ回路20のハードウェアセキュリティ応用、とりわけサイドチャネル漏洩のオンチップ測定法を提案した。オンボードの抵抗器や磁界プローブを用いで電源電流を測定する従来手法に比較して、格段に高い再現性が得られる。セキュリティ機能を有する半導体チップにオンチップモニタ回路20を搭載することで、サイドチャネル情報漏洩の定量的な評価やハードウェアトロイの検出に応用できる。
図9は実施形態1に係る実施例において用いた、オンチップモニタ回路20を備えた半導体チップ10の構成を示すブロック図である。また、図10は図9のオンチップモニタ回路20の実験結果であって、接地側電源電圧Vssの電源ラインのノイズ波形を示すグラフである。
図9において、半導体チップ10上に複数の暗号モジュール(AESコア)11,12,11A,12A,…が埋め込まれて設けられ、各暗号モジュール(AESコア)11,12,11A,12A,…に対して、正の電源電圧Vddを供給する電源ラインと、接地側の電源電圧Vssを供給する電源ラインとが接続されている。オンチップモニタ回路20は、情報漏洩の観点からAES動作の最も重要なクロックサイクルの間において、接地側の電源電圧Vssの電源ラインの電圧Vssを測定する。ここで、当該クロックサイクルで測定されたノイズの大きさは、図10に示すように、ノイズ電圧Vnoiseとして得られる。
図11は図9のオンチップモニタ回路20の実験結果であって、アクティブ暗号モジュール数に対する論理ゲート数を示すグラフである。また、図12は図9のオンチップモニタ回路20の実験結果であって、アクティブ暗号モジュール数に対するノイズ電圧Vnoiseを示すグラフである。
図11から明らかなように、1個の暗号モジュール(AESコア)当たりの論理ゲート数は設計に応じて変化するが、概ね12.824kgates/coreである。図12から明らかなように、1個の暗号モジュール(AESコア)当たりのノイズ電圧Vnoiseはオンチップの接地側電源ラインの電圧Vssの測定から、0.75mV/coreに達する。概ね2mVのノイズ電圧Vnoiseがバックグラウンドノイズとして存在し、ノイズ電圧Vnoiseの測定において最小測定可能ノイズ電圧として認識される。
ノイズ電圧Vnoiseが0.75mV/coreの線形関係で変化すると仮定した場合、0.75mV/12824の除算演算から、1ゲート当たり概ね60nV/gateのノイズ電圧Vnoiseとなる。この場合において、故意に挿入された所望されない回路の発見のためには、10μVの電圧分解能であれば、検出可能なゲート数のしきい値はおよそ100となる。例えば非特許文献8によれば、トロイの木馬の回路のゲート数は190であって小型の暗号モジュール(AESコア)の原回路の約2.5%に相当する。従って、実施形態1に係るオンチップモニタ回路20を用いて確実に、例えばトロイの木馬等の回路を検出することができるといえる。
実施形態2.
図13は実施形態2に係る、オンチップモニタ回路20を有する暗号機能付きシステムLSIチップ400の構成を示す平面図である。実施形態2は、図13に示すように、各種機能モジュール401に加えて暗号モジュール402を有するシステムVLSIチップ400において、オンチップモニタ回路20を備えたことを特徴としている。図13において、システム入力信号は信号伝達経路403を介して暗号モジュール402に到達した後、所定のシステム出力信号を出力する。このとき、例えば、オンチップモニタ回路20を用いて、例えば自動テスト装置300からのモニタ制御信号に応答して、観測対象25であるシリコン基板の電位を測定して、その測定結果のモニタ出力信号を出力する。
以上のように構成されたシステムLSIチップ400においては、暗号モジュール402が各種機能モジュール401ともに埋没しているため、攻撃者が同定できないので、暗号モジュール402の回路構成やチップ内の物理配置は分からない。また、オンチップモニタ回路20はその近傍のシリコン基板の電位を観測しており、暗号モジュール402に至る明示的なプロービング配線を持たないので攻撃者がその信号伝達経路403を辿れないという特有の利点がある。
図14は実施形態2の変形例に係る、オンチップモニタ回路を有する暗号機能付きシステムLSIチップの構成を示す平面図である。図14に示すように、オンチップモニタ回路20は暗号モジュール402内部の電源配線やグラウンド配線を観測してもよい。暗号モジュール402に至るプロービング配線の信号伝達経路403はVLSI内部配線に紛らせることで追跡困難とすることもできる。
図15Aは実施形態2に係る暗号機能付きシステムLSIチップのオンチップモニタ回路20の実施例1のブロック図である。図15Aにおいて、オンチップモニタ回路20は、ウィンドウレジスタ21と、クロックカウンタ22と、コンパレータ23と、アナログフロントエンド回路24とを備えて構成される。
まず、ウィンドウレジスタ21には、例えば自動テスト装置からの、ウィンドウ期間を指定する所定のプリロード値(例えば、ウィンドウを開けるときは例えば1の値を与え、閉じるときは例えば0の値を与える値であって、例えば「0000011111100000」などのデジタルデータである)がロードされて一時的に格納される。次いで、例えば自動テスト装置からのリセット信号によるリセット以降のウィンドウ期間において、クロックサイクル数をクロックカウンタ22で計数し、プリロードしたウィンドウレジスタ値とコンパレータ23で比較し、両者が一致したときにサンプリングパルスを発生してアナログフロントエンド回路24に出力する。これにより、観測タイミングを自己決定するオンチップモニタ回路20を実現することができる。ここで、アナログフロントエンド回路24は、観測対象のシリコン基板の電位(図13)又は暗号モジュール402の内部電源ノード(図14)を、上記所定のウィンドウ期間において波形観測を行う。ここで、ウィンドウ期間は、暗号モジュール402の暗号処理において特有の情報漏洩にかかる時間期間で観測対象の信号波形を測定するものとし、ハードウェアセキュリティの要件を満たす/満たさない、の判定を行うことができるように構成すれば、さらに、悪意者からの攻撃を防止できる。
図15Bは図15Aのアナログフロントエンド回路の第1の回路例を示す回路図である。また、図15Cは図15Aのアナログフロントエンド回路の第2の回路例を示す回路図である。図15Aのオンチップモニタ回路20のアナログフロントエンド回路24は、図15Bのサンプルホールド型(SH)や、図15Cのコンパレータ型(SF+LC)等のいずれの回路構成でもよい。なお、図15Cのアナログフロントエンド回路24は、2個のPチャンネルMOSトランジスタQ11,Q12にてなるソースフォロア回路3と、ラッチコンパレータ4とを備えて構成される。
図16は図15Aのオンチップモニタ回路20の動作を示す各信号のタイミングチャートである。システムVLSIチップ400の長大な動作テスト時間において、暗号モジュール402のサイドチャネル情報漏洩が最大になるクロックサイクルで、オンチップモニタ回路20のサンプリングパルスを発生するように、ウィンドウレジスタ値を設定することを特徴とする。なお、クロックサイクル数(N)は、システムリセットを基準(N=0)として計数する。
図17は実施形態2に係る暗号機能付きシステムLSIチップのオンチップモニタ回路20Aの実施例2のブロック図である。図17のオンチップモニタ回路20Aは、図15Aのオンチップモニタ回路20に比較して、遅延コードを一時的に格納する遅延レジスタ26と、当該遅延コードに対応した遅延時間だけトリガ信号を遅延させることでウィンドウ期間の開始タイミングを遅延させてサンプリングパルス(φ)を発生する遅延発生器27とをさらに備えたことを特徴としている。当該実施例2では、クロックカウンタ22により計数されるクロック計数値と、ウィンドウレジスタ21に格納されたウィンドウレジスタ値の一致するクロックサイクルにおいて、遅延発生器27により遅延レジスタ値により指定された遅延時間だけ遅延したタイミングでサンプリングパルス(φ)を発生する。
図18は図17のオンチップモニタ回路20Aの動作を示す各信号のタイミングチャートである。図18に示すように、指定された遅延コード(図17)により、暗号モジュールの情報漏洩が発生するクロックサイクル中で、情報漏洩が最大又は最も顕著となる(開始)タイミングと、オンチップモニタのサンプリングタイミングを一致させるため、あらかじめ制御された遅延時間を付加することができる。
図19は、図15Aのオンチップモニタ回路20を有する暗号機能付きシステムLSIチップのテスト処理を示すフローチャートである。
図19において、まず、ステップS31において、ウィンドウレジスタ21に所定のプリロード値Nwを設定する。次いで、ステップS32において、情報漏洩サイクルがウィンドウレジスタと一致する(Nleak=Nwを満足する。これに代えて、Nw内にNleakが少なくとも含まればよい)ように構成したテストベクタを生成して入力する。なお、システムVLSIチップ400の機能試験用途のテストベクタ生成フローに当該条件を埋め込む。さらに、ステップS33において、ターゲットの半導体チップのテストを繰り返し実行し、情報漏洩サイクルにおける情報漏洩を定量化し、ハードウェアセキュリティの要件を満たす/満たさない(すなわち、例えばトロイの木馬などの悪意の回路が含まれているか、暗号モジュール402から情報漏洩されているか否かなどのセキュリティ評価)の判定を行って判定結果を出力する。テストが終了すれば、ステップS34では、ウィンドウレジスタ21にゼロ(あるいはダミー値)に設定して当該テスト処理を終了する。
なお、図17のオンチップモニタ回路20Aを用いるときは、ステップS31において、あらかじめ情報漏洩が最も顕著となるタイミングを評価して抽出し、遅延発生器27の遅延量を遅延レジスタ26に設定してもよい。
また、ステップS34において、ウィンドウレジスタ21及び遅延レジスタ26の少なくとも1つには、悪意者には既知ではないゼロ値又はダミー値を設定し、論理的に「変更不能」として終了してもよい。なお、論理的に変更不能とするには、以下の方法が考えられる。
(1)遅延レジスタ26を、ワンタイムメモリ(一回のみ書換え可能なメモリ)を用いて構成する。
(2)隠れビットを設定して、当該隠れビットが”1”のときに書換え不能となるよう制御する。
図20は実施形態2の変形例に係るオンチップモニタ回路20Bの構成を示す回路図である。図20に示すように、ソースフォロア回路3及びラッチコンパレータ4とを備えたオンチップモニタ用アナログフロントエンド回路24の後段に、例えばCPAを行うためのSNR演算器5を備えてもよい。
図21は実施形態2に係る半導体チップテストシステムの全体構成のうちの特徴部分を示すブロック図である。図21に示すように、暗号モジュール402の組み合わせロジック410における所定のクリティカルパス遅延量をデジタル的に調整可能な遅延発生器27を用いてモニタサンプリングタイミングを発生することで、シリコン基板の電位又は電源のノイズ波形をあらかじめ情報漏洩が最も顕著となるタイミングを評価して抽出することができる。テスト終了後は、キル信号パッド29を介して入力されるキル信号を用いて、もしくはウィンドウレジスタ21(図15A,図17)にゼロ値又はダミー値を設定することで暗号モジュール402のテストを不能とすることができる。
以上の実施形態及び変形例においては、暗号モジュールを備えた半導体チップについて説明しているが、本発明はこれに限らず、例えばPRNG(疑似ランダム数生成器)やPUF(素子ばらつきなど物理コピー不能な機能)によるセキュリティID生成機能や、デジタル署名機能の改竄に対する対策の機能、個体識別機能などのセキュリティ機能を有し、入力信号に対してセキュリティ機能処理を行ってセキュリティ機能信号を出力するセキュリティ機能モジュールであってもよい。
以上の実施形態及び変形例においては、半導体チップのテスト終了後に、ウィンドウレジスタ21及び遅延レジスタ26の少なくとも1つには、悪意者には既知ではないゼロ値又はダミー値を設定し、論理的に「変更不能」として終了してオンチップモニタ回路20の動作を停止させているが、本発明はこれに限らず、半導体チップのテスト終了後に、強制的にオンチップモニタ回路20の動作を停止させてもよい。
以上詳述したように、本発明に係るオンチップモニタ回路等によれば、セキュリティが必要な半導体チップにおけるオンチップモニタ回路を用いて、セキュリティ機能モジュールを備えた半導体チップの製造段階で悪意のある回路を埋め込む、例えばトロイの木馬などのセキュリティ攻撃を防止することができるように当該半導体チップをテストするためのオンチップモニタ回路等を提供できる。
1…サンプルホールド回路、
2…ユニティーゲインアンプ、
3…ソースフォロア回路、
4…コンパレータ、
5…演算器、
10…半導体チップ、
11,12,11A,12A…暗号モジュール、
13…A/D変換回路、
14…フィールドプログラマブルゲートアレイ(FPGA)、
15…遅延ライン、
16…パーソナルコンピュータ、
20,20A,20B…オンチップモニタ回路、
21…ウィンドウレジスタ、
22…クロックカウンタ、
23…コンパレータ、
24,24A…アナログフロントエンド回路、
25…観測対象、
26…遅延レジスタ、
27…遅延発生器、
28…キルスイッチ、
29…キル信号パッド、
100…被測定デバイス(DUT)、
101…システムオンチップ(SoC)、
102…暗号モジュール、
103,104…ソースフォロア回路、
105…選択スイッチ回路、
106…選択ロジック回路、
107…バイアス電圧発生器、
121〜123,131〜133…パッド、
200…プローブカード、
201〜203,211〜213…パッド、
221〜223,231〜233…プローブ、
300…自動テスト装置(ATE)、
301…デジタル信号発生回路、
302…任意波形発生器(AWG)、
303…A/D変換回路、
400…システムLSIチップ、
401…機能モジュール、
402…暗号モジュール、
403…信号伝達経路、
C1〜C3…キャパシタ、
Q1〜Q12…MOSトランジスタ、
S1…較正処理、
S2…波形測定処理、
S3…波形検出処理、
SW1、SW11〜SW13…サンプリングスイッチ。

Claims (17)

  1. 入力信号に対してセキュリティ機能処理を行ってセキュリティ機能信号を出力するセキュリティ機能モジュールを備えた半導体チップに実装されたオンチップモニタ回路であって、上記半導体チップの信号波形をモニタするモニタ回路を備えたオンチップモニタ回路において、
    上記半導体チップのテストを行うウィンドウ期間を指定するデータを記憶する第1の記憶手段と、
    上記セキュリティ機能モジュールに所定のテスト信号を入力したときに、上記ウィンドウ期間において上記モニタ回路を動作させるように制御する制御手段とを備えたことを特徴とするオンチップモニタ回路。
  2. 上記制御手段は、
    リセット信号を受信した後、クロック信号を計数して計数値のデータを出力する計数手段と、
    上記ウィンドウ期間を指定するデータを、上記計数値のデータと比較して各データが一致するときに上記モニタ回路を動作させるように制御する比較手段とを備えたことを特徴とする請求項1記載のオンチップモニタ回路。
  3. 上記ウィンドウ期間は、上記セキュリティ機能モジュールの情報漏洩が最大になる時間期間であることを特徴とする請求項1又は2記載のオンチップモニタ回路。
  4. 入力される遅延コードを記憶する第2の記憶手段をさらに備え、
    上記制御手段は、上記遅延コードに対応する遅延時間だけ上記ウィンドウ期間のタイミングを遅延させることを特徴とする請求項1〜3のうちのいずれか1つに記載のオンチップモニタ回路。
  5. 上記遅延コードは、上記セキュリティ機能モジュールの情報漏洩が最大になるタイミングを指定する遅延量を示すことを特徴とする請求項4記載のオンチップモニタ回路。
  6. 上記モニタ回路は、上記半導体チップの基板電位又は上記セキュリティ機能モジュールの電源電位の信号波形をモニタすることを特徴とする請求項1〜5のうちのいずれか1つに記載のオンチップモニタ回路。
  7. 上記制御手段は、上記半導体チップのテスト終了後に、上記モニタ回路の動作を停止させることを特徴とする請求項1〜6のうちのいずれか1つに記載のオンチップモニタ回路。
  8. 上記制御手段は、上記半導体チップのテスト終了後に、上記第1の記憶手段と上記第2の記憶手段の少なくとも1つに所定値を記憶することで論理的に書き換え不能にすることを特徴とする請求項4記載のオンチップモニタ回路。
  9. 上記セキュリティ機能モジュールは暗号モジュールであることを特徴とする請求項1〜8のうちのいずれか1つに記載のオンチップモニタ回路。
  10. 入力信号に対してセキュリティ機能処理を行ってセキュリティ機能信号を出力するセキュリティ機能モジュールを備えた半導体チップにおいて、
    請求項1〜9のうちのいずれか1つに記載のオンチップモニタ回路を備えたことを特徴とする半導体チップ。
  11. 請求項10記載の半導体チップと、
    上記半導体チップをテストするテスト装置とを備えた半導体チップテストシステムであって、
    上記テスト装置は、
    上記セキュリティ機能モジュールからの情報漏洩期間が上記ウィンドウ期間に含まれるようにテスト信号を発生して上記半導体チップに出力するテスト信号発生手段と、
    上記モニタ回路からの信号波形に基づいてセキュリティ機能モジュールからの情報漏洩を定量化してセキュリティ評価の判断を行う判断手段とを備えたことを特徴とする半導体チップテストシステム。
  12. 入力信号に対してセキュリティ機能処理を行ってセキュリティ機能信号を出力するセキュリティ機能モジュールを備えた半導体チップに実装されたオンチップモニタ回路であって、上記半導体チップの信号波形をモニタするモニタ回路を備えたオンチップモニタ回路を用いた上記半導体チップのテスト方法において、
    上記半導体チップのテストを行うウィンドウ期間を指定するデータを第1の記憶手段に記憶するステップと、
    上記セキュリティ機能モジュールに所定のテスト信号を入力したときに、上記ウィンドウ期間において上記モニタ回路を動作させるように制御するステップとを含むことを特徴とする半導体チップのテスト方法。
  13. 入力される遅延コードを第2の記憶手段に記憶するステップと、
    上記遅延コードに対応する遅延時間だけ上記ウィンドウ期間のタイミングを遅延させるステップをさらに含むことを特徴とする請求項12記載の半導体チップのテスト方法。
  14. 上記セキュリティ機能モジュールからの情報漏洩期間が上記ウィンドウ期間に含まれるようにテスト信号を発生して上記半導体チップに出力するステップと、
    上記モニタ回路からの信号波形に基づいてセキュリティ機能モジュールからの情報漏洩を定量化してセキュリティ評価の判断を行うステップとをさらに含むことを特徴とする請求項12又は13記載の半導体チップのテスト方法。
  15. 上記半導体チップのテスト終了後に、上記モニタ回路の動作を停止させるステップをさらに含むことを特徴とする請求項12〜14のうちのいずれか1つに記載の半導体チップのテスト方法。
  16. 上記半導体チップのテスト終了後に、上記第1の記憶手段と上記第2の記憶手段の少なくとも1つに所定値を記憶することで論理的に書き換え不能にするステップをさらに含むことを特徴とする請求項13記載の半導体チップのテスト方法。
  17. 上記セキュリティ機能モジュールは暗号モジュールであることを特徴とする請求項12〜16のうちのいずれか1つに記載の半導体チップのテスト方法。
JP2016569363A 2015-01-13 2016-01-12 オンチップモニタ回路及び半導体チップ Active JP6555486B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2015004346 2015-01-13
JP2015004346 2015-01-13
PCT/JP2016/050725 WO2016114267A1 (ja) 2015-01-13 2016-01-12 オンチップモニタ回路及び半導体チップ

Publications (2)

Publication Number Publication Date
JPWO2016114267A1 JPWO2016114267A1 (ja) 2017-10-26
JP6555486B2 true JP6555486B2 (ja) 2019-08-07

Family

ID=56405811

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016569363A Active JP6555486B2 (ja) 2015-01-13 2016-01-12 オンチップモニタ回路及び半導体チップ

Country Status (4)

Country Link
US (1) US10776484B2 (ja)
EP (1) EP3246717B1 (ja)
JP (1) JP6555486B2 (ja)
WO (1) WO2016114267A1 (ja)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10444892B2 (en) * 2015-10-07 2019-10-15 Microchip Technology Incorporated Capacitance measurement device with reduced noise
DE102016201262A1 (de) * 2016-01-28 2017-08-17 Robert Bosch Gmbh Verfahren und Vorrichtung zum Bereitstellen eines Computerprogramms
US10680797B2 (en) * 2017-04-28 2020-06-09 University Of South Florida Security-adaptive voltage conversion as a lightweight counter measure against LPA attacks
CN107577965B (zh) * 2017-09-27 2019-07-02 天津津航计算技术研究所 一种门延时差异的fpga加密方法
US11308239B2 (en) * 2018-03-30 2022-04-19 Seagate Technology Llc Jitter attack protection circuit
US11170106B2 (en) 2018-05-10 2021-11-09 Robotic Research, Llc System for detecting hardware trojans in integrated circuits
CN109639275B (zh) * 2018-11-12 2023-04-14 北京精密机电控制设备研究所 一种高可靠模拟数字转换器自动化监测控制系统
US11322460B2 (en) 2019-01-22 2022-05-03 X-Celeprint Limited Secure integrated-circuit systems
US11251139B2 (en) 2019-01-22 2022-02-15 X-Celeprint Limited Secure integrated-circuit systems
US10970046B2 (en) 2019-02-22 2021-04-06 International Business Machines Corporation Random number generator compatible with complementary metal-oxide semiconductor technology
US11196575B2 (en) * 2019-04-24 2021-12-07 International Business Machines Corporation On-chipset certification to prevent spy chip
CN110197086B (zh) * 2019-06-17 2022-04-15 中国人民解放军陆军工程大学 一种集成电路旁路信号自差分放大采样方法与系统
US11880454B2 (en) 2020-05-14 2024-01-23 Qualcomm Incorporated On-die voltage-frequency security monitor
TWI769484B (zh) * 2020-07-13 2022-07-01 鴻海精密工業股份有限公司 晶片腳位連接狀態顯示方法、電腦裝置及儲存介質

Family Cites Families (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3276389B2 (ja) * 1992-03-06 2002-04-22 富士通株式会社 電圧測定装置
US6298458B1 (en) * 1999-01-04 2001-10-02 International Business Machines Corporation System and method for manufacturing test of a physical layer transceiver
AU2001292686A1 (en) * 2000-09-14 2002-03-26 Time Domain Corporation System and method for detecting an intruder using impulse radio technology
US7131034B2 (en) * 2002-11-12 2006-10-31 Sun Microsystems, Inc. On-chip measurement of signal state duration
KR100517554B1 (ko) * 2002-12-05 2005-09-28 삼성전자주식회사 보안 기능을 갖는 반도체 집적 회로
US20050066189A1 (en) * 2003-09-18 2005-03-24 MOSS Robert Methods and structure for scan testing of secure systems
WO2006028558A1 (en) * 2004-09-03 2006-03-16 Virgina Tech Intellectual Properties, Inc. Detecting software attacks by monitoring electric power consumption patterns
US20060050929A1 (en) * 2004-09-09 2006-03-09 Rast Rodger H Visual vector display generation of very fast moving elements
US7478294B2 (en) * 2005-06-14 2009-01-13 Etron Technology, Inc. Time controllable sensing scheme for sense amplifier in memory IC test
US7487419B2 (en) * 2005-06-15 2009-02-03 Nilanjan Mukherjee Reduced-pin-count-testing architectures for applying test patterns
JP2009071533A (ja) * 2007-09-12 2009-04-02 Advantest Corp 差動信号伝送装置および試験装置
JP5100286B2 (ja) * 2007-09-28 2012-12-19 東芝ソリューション株式会社 暗号モジュール選定装置およびプログラム
KR101436982B1 (ko) * 2007-10-12 2014-09-03 삼성전자주식회사 반도체 집적 회로 및 그것의 검사 방법
US20100246808A1 (en) * 2007-12-05 2010-09-30 Nec Corporation Side channel attack tolerance evaluation apparatus, method and program
FR2928060B1 (fr) 2008-02-25 2010-07-30 Groupe Des Ecoles De Telecommunications Get Ecole Nat Superieure Des Telecommunications Enst Procede de test de circuits de cryptographie, circuit de cryptographie securise apte a etre teste, et procede de cablage d'un tel circuit.
US7525331B1 (en) * 2008-03-06 2009-04-28 Xilinx, Inc. On-chip critical path test circuit and method
US8020138B2 (en) * 2008-06-02 2011-09-13 International Business Machines Corporation Voltage island performance/leakage screen monitor for IP characterization
JP2010134677A (ja) * 2008-12-04 2010-06-17 Renesas Electronics Corp マイクロコンピュータ及び組み込みソフトウェア開発システム
US8305725B2 (en) * 2009-08-21 2012-11-06 Motorola Solutions, Inc. Current limiting apparatus and method
US20130070651A1 (en) * 2010-05-27 2013-03-21 Kyocera Corporation Power line communication device, security level setting method, and storage medium storing security level setting program
JP2012182784A (ja) * 2011-02-09 2012-09-20 Elpida Memory Inc 半導体装置
US8614571B2 (en) * 2011-11-18 2013-12-24 Taiwan Semiconductor Manufacturing Co., Ltd. Apparatus and method for on-chip sampling of dynamic IR voltage drop
EP2972877B1 (en) 2013-03-15 2021-06-16 Power Fingerprinting Inc. Systems, methods, and apparatus to enhance the integrity assessment when using power fingerprinting systems for computer-based systems
CN105092930B (zh) * 2014-05-06 2020-10-30 恩智浦美国有限公司 片上电流测试电路
US9804222B2 (en) * 2014-11-14 2017-10-31 Allegro Microsystems, Llc Magnetic field sensor with shared path amplifier and analog-to-digital-converter
US9835680B2 (en) * 2015-03-16 2017-12-05 Taiwan Semiconductor Manufacturing Company, Ltd. Method, device and computer program product for circuit testing

Also Published As

Publication number Publication date
WO2016114267A1 (ja) 2016-07-21
JPWO2016114267A1 (ja) 2017-10-26
EP3246717A4 (en) 2018-10-10
US10776484B2 (en) 2020-09-15
EP3246717A1 (en) 2017-11-22
EP3246717B1 (en) 2022-03-23
US20180004944A1 (en) 2018-01-04

Similar Documents

Publication Publication Date Title
JP6555486B2 (ja) オンチップモニタ回路及び半導体チップ
Hoque et al. Golden-free hardware Trojan detection with high sensitivity under process noise
Salmani et al. On design vulnerability analysis and trust benchmarks development
Balasch et al. Electromagnetic circuit fingerprints for hardware trojan detection
Narasimhan et al. Hardware Trojan detection by multiple-parameter side-channel analysis
Li et al. At-speed delay characterization for IC authentication and Trojan horse detection
Narasimhan et al. Multiple-parameter side-channel analysis: A non-invasive hardware Trojan detection approach
Zhang et al. RON: An on-chip ring oscillator network for hardware Trojan detection
Ngo et al. Hardware Trojan detection by delay and electromagnetic measurements
Ngo et al. Method taking into account process dispersion to detect hardware Trojan Horse by side-channel analysis
Cha et al. Efficient Trojan detection via calibration of process variations
Nejat et al. A study on the efficiency of hardware Trojan detection based on path-delay fingerprinting
Majéric et al. Electromagnetic security tests for SoC
Jin et al. Real-time trust evaluation in integrated circuits
Weiner et al. A calibratable detector for invasive attacks
Kutzner et al. Hardware trojan design and detection: a practical evaluation
Yang et al. Golden-free hardware trojan detection using self-referencing
Hutter et al. Exploiting the difference of side-channel leakages
Karimi et al. On the effect of aging in detecting hardware trojan horses with template analysis
Liu et al. Scca: Side-channel correlation analysis for detecting hardware trojan
Lecomte et al. Thoroughly analyzing the use of ring oscillators for on-chip hardware trojan detection
Sharma et al. A state-of-the-art reverse engineering approach for combating hardware security vulnerabilities at the system and pcb level in iot devices
Fujimoto et al. A novel methodology for testing hardware security and trust exploiting on-chip power noise measurement
Giridharan et al. A MUX based Latch Technique for the detection of HardwareTrojan using Path Delay Analysis
Paul et al. Rihann: Remote iot hardware authentication with intrinsic identifiers

Legal Events

Date Code Title Description
A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20170829

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20170829

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180920

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190604

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190625

R150 Certificate of patent or registration of utility model

Ref document number: 6555486

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250