WO2016114267A1

WO2016114267A1 - オンチップモニタ回路及び半導体チップ

Info

Publication number: WO2016114267A1
Application number: PCT/JP2016/050725
Authority: WO
Inventors: 真永田; ジャン－リュックダンジェ; 藤本　大介; シヴァムバザン
Original assignee: 国立大学法人神戸大学; テレコム・パリ・テック
Priority date: 2015-01-13
Filing date: 2016-01-12
Publication date: 2016-07-21
Also published as: EP3246717A4; US20180004944A1; US10776484B2; EP3246717A1; EP3246717B1; JPWO2016114267A1; JP6555486B2

Abstract

　入力信号に対してセキュリティ機能処理を行ってセキュリティ機能信号を出力するセキュリティ機能モジュールを備えた半導体チップに実装されたオンチップモニタ回路であって、上記半導体チップの信号波形をモニタするモニタ回路を備えたオンチップモニタ回路において、上記半導体チップのテストを行うウィンドウ期間を指定するデータを記憶する第１の記憶手段と、上記セキュリティ機能モジュールに所定のテスト信号を入力したときに、上記ウィンドウ期間において上記モニタ回路を動作させるように制御する制御手段とを備える。セキュリティが必要な半導体チップにおけるオンチップモニタ回路を用いて、セキュリティ機能モジュールを備えた半導体チップの製造段階で悪意のある回路を埋め込む、例えばトロイの木馬などのセキュリティ攻撃を防止できる。

Description

オンチップモニタ回路及び半導体チップ

　本発明は、例えば大規模集積回路（ＬＳＩ）などの、入力信号を暗号化して暗号信号を出力する暗号モジュールを備えた半導体チップ上に実装され、上記半導体チップの信号波形をモニタする、例えばアナログフロントエンド回路などのモニタ回路を備えたオンチップモニタ回路と、当該オンチップモニタ回路を備えた半導体チップと、当該半導体チップをテストする半導体チップテストシステムと、当該半導体チップをテストする半導体チップのテスト方法とに関する。

　近年集積回路のサブミクロン以下への急速な微細化が進み、製造欠陥が増加する傾向にある。このような欠陥は製造段階でのマスクや材料のばらつきにより発生する。そのため、複雑な集積回路の信頼性の高いテストと診断が重要となっている。

　集積回路におけるセキュリティと信頼性はここ１０年で注目が集まっている研究分野である。セキュリティにより安全性を保つためには、物理実装を悪用する物理攻撃やサイドチャネル攻撃に耐性のある暗号化コアが必要になる。一方で、製造段階で悪意のある回路を埋め込むトロイの木馬（トロイ）にも注目が集まっている。セキュリティが鍵となる製品ではセキュリティ・信頼性が出荷前に検査すべき性能指標となりうる。

　ハードウェアセキュリティの技術分野においては、複雑なシステムオンチップ（ＳｏＣ）ではセキュリティが重要なアプリケーションにおいては組み込みの暗号化コアに処理を任せる。しかし、単に暗号化コアを埋め込んだだけでは安全性は保証されない。デバイスが安全であるというためにはいくつかの脅威やポリシーに対してテストを行う必要がある。脅威の一つとして、サイドチャネル攻撃（Side-Channel Attacks：ＳＣＡ）（例えば、非特許文献１、２、５参照）があげられる。サイドチャネル攻撃は、消費電力や電磁波放射、処理時間などの意図しない物理デバイスからの放射情報を悪用して行われる。

　サイドチャネル攻撃の理論や実装は広く学会で議論されているが、サイドチャネル攻撃の解析のための標準的な測定環境については明示されていない。最も一般的な消費電力測定手法としては、グランド（ＧＮＤ）端子と半導体チップのグランド（ＧＮＤ）の間に１Ω程度の抵抗を挿入する低抵抗法がある。この手法はローサイド法とも呼ばれる（例えば、非特許文献５参照）。電源でも同様に、電源電圧（Ｖｃｃ）端子と半導体チップの電源電圧（Ｖｃｃ）の間に低抵抗を挿入するハイサイド法が提案されている。両者の測定手法は実装コストが低いがデメリットが存在する。ローサイド法は信号レベルが低いことが問題となりハイサイド法は電源供給源からの大きな電源ノイズにさらされることになる。これらはＳＮＲ（Signal-to-noise ratio）が低くなることを意味する。挿入する抵抗はローパスフィルタとして振る舞うため信号の高周波成分が抑制される。

　電磁界（ＥＭ：Electro-Magnetic）プローブもまた高精度なサイドチャネル攻撃の手法として用いられる（例えば、非特許文献６参照）。電磁界プローブによる測定は低ノイズの可能性があるが、測定位置に依存する。また、電磁界プローブの測定帯域は数ＧＨｚ程度であり、低抵抗法よりも広帯域である。

特表２０１１－５１４０４６号公報

Eric Brier et al., "Correlation Power Analysis with a Leakage Model," CHES 2004, Vol. 3156 of LNCS, pp. 16-29, Springer, in August, 2004. Cambridge, MA, U.S.A. Suresh Chari et al., "Template Attacks,", CHES 2002, Vol. 2523 of LNCS, pp. 13-28, Springer, in August 2002, San Francisco Bay, Redwood City, CA, U.S.A. Daisuke Fujimoto et al., "Side-Channel Leakage on Silicon Substrate of CMOS Cryptographic Chip," HOST 2014, IEEE Computer Society,May 2014, Arlington, VA, U.S.A. Suvadeep Hajra et al., "Snr to success rate: Reaching the limit of non-profiling dpa," Cryptology ePrint Archive, Report 2013/865, 2013, ［平成２６年１２月１０日検索］、インターネット<URL: http://eprint.iacr.org/.> Paul C. Kocher et al., "Differential Power Analysis," In Proceedings of CRYPTO’99, Vol. 1666 of LNCS, pp. 388-397, Springer-Verlag, 1999. Laurent Sauvage et al., "Electro-Magnetic Attacks Case Studies on Non-Protected and Protected Cryptographic Hardware Accelerators," IEEE EMC, Special session #4 on Modeling/Simulation Validation and use of FSV, in July 25-30, 2010, Fort Lauderdale, Florida, CA, U.S.A., ［平成２６年１２月１０日検索］、インターネット<URL: http://emc2010.org/>. U.S. Department Of Defense, Defense science board task force on high performance microchip supply, ［平成２６年１２月１０日検索］、インターネット<URL: http://www.acq.osd.mil/dsb/reports/2005-02-HPMS_Report_Final.pdf.>. Michael Muehlberghuber et al., "Red Team vs. Blue Team Hardware Trojan Analysis, Detection of a Hardware Trojan on an Actual ASIC," Proceedings of the 2nd International Workshop on Hardware and Architectural Support for Security and Privacy (HASP 2013), Article No. 1, 2013

　上述の電磁界プローブの最大の課題は、測定の再現性に関して、（１）半導体チップ及び評価ボードに対する三次元空間のプローブ位置制御、及び（２）空間電磁波や物理振動などの周囲環境の安定化、である。プローブ位置や電磁界の変動により情報漏洩の評価値が変化する。さらに、評価ボードの回路設計や物理レイアウト設計によって変化することも無視できない。このように、半導体チップのハードウェアセキュリティに係るテスト項目としてサイドチャネル漏洩量を検定するためには、適切な測定方法の選定と測定環境の管理が重要な課題となる。

　上述の標準的なテストフローでは、セキュリティ評価の手法は提供されていないという問題点があった。特に、暗号モジュールを備えた半導体チップの製造段階で悪意のある回路を埋め込む、例えばトロイの木馬などのセキュリティ攻撃を防止することが望まれているが、セキュリティ評価の手法は提供されていない。

　本発明の目的は、セキュリティが必要な半導体チップにおけるオンチップモニタ回路を用いて、暗号モジュールを備えた半導体チップの製造段階で悪意のある回路を埋め込む、例えばトロイの木馬などのセキュリティ攻撃を防止することができるように当該半導体チップをテストするためのオンチップモニタ回路を提供することにある。

　また、本発明の別の目的は、上記オンチップモニタ回路を備えた半導体チップ、上記半導体チップ及びテスト装置を備えた半導体チップテストシステム、及び半導体チップのテスト方法を提供することにある。

　第１の発明に係るオンチップモニタ回路は、入力信号に対してセキュリティ機能処理を行ってセキュリティ機能信号を出力するセキュリティ機能モジュールを備えた半導体チップに実装されたオンチップモニタ回路であって、上記半導体チップの信号波形をモニタするモニタ回路を備えたオンチップモニタ回路において、
　上記半導体チップのテストを行うウィンドウ期間を指定するデータを記憶する第１の記憶手段と、
　上記セキュリティ機能モジュールに所定のテスト信号を入力したときに、上記ウィンドウ期間において上記モニタ回路を動作させるように制御する制御手段とを備えたことを特徴とする。

　上記オンチップモニタ回路において、上記制御手段は、
　リセット信号を受信した後、クロック信号を計数して計数値のデータを出力する計数手段と、
　上記ウィンドウ期間を指定するデータを、上記計数値のデータと比較して各データが一致するときに上記モニタ回路を動作させるように制御する比較手段とを備えたことを特徴とする。

　また、上記オンチップモニタ回路において、上記ウィンドウ期間は、上記セキュリティ機能モジュールの情報漏洩が最大になる時間期間であることを特徴とする。

　さらに、上記オンチップモニタ回路において、入力される遅延コードを記憶する第２の記憶手段をさらに備え、
　上記制御手段は、上記遅延コードに対応する遅延時間だけ上記ウィンドウ期間のタイミングを遅延させることを特徴とする。

　またさらに、上記オンチップモニタ回路において、上記遅延コードは、上記セキュリティ機能モジュールの情報漏洩が最大になるタイミングを指定する遅延量を示すことを特徴とする。

　また、上記オンチップモニタ回路において、上記モニタ回路は、上記半導体チップの基板電位又は上記セキュリティ機能モジュールの電源電位の信号波形をモニタすることを特徴とする。

　さらに、上記オンチップモニタ回路において、上記制御手段は、上記半導体チップのテスト終了後に、上記モニタ回路の動作を停止させることを特徴とする。

　さらに、上記オンチップモニタ回路において、上記制御手段は、上記半導体チップのテスト終了後に、上記第１の記憶手段と上記第２の記憶手段の少なくとも１つに所定値を記憶することで論理的に書き換え不能にすることを特徴とする。

　またさらに、上記オンチップモニタ回路において、上記セキュリティ機能モジュールは暗号モジュールであることを特徴とする。

　第２の発明に係る半導体チップは、入力信号に対してセキュリティ機能処理を行ってセキュリティ機能信号を出力するセキュリティ機能モジュールを備えた半導体チップにおいて、
　上記オンチップモニタ回路を備えたことを特徴とする。

　第３の発明に係る半導体チップテストシステムは、
　上記半導体チップと、
　上記半導体チップをテストするテスト装置とを備えた半導体チップテストシステムであって、
　上記テスト装置は、
　上記セキュリティ機能モジュールからの情報漏洩期間が上記ウィンドウ期間に含まれるようにテスト信号を発生して上記半導体チップに出力するテスト信号発生手段と、
　上記モニタ回路からの信号波形に基づいてセキュリティ機能モジュールからの情報漏洩を定量化してセキュリティ評価の判断を行う判断手段とを備えたことを特徴とする。

　第４の発明に係る半導体チップのテスト方法は、入力信号に対してセキュリティ機能処理を行ってセキュリティ機能信号を出力するセキュリティ機能モジュールを備えた半導体チップに実装されたオンチップモニタ回路であって、上記半導体チップの信号波形をモニタするモニタ回路を備えたオンチップモニタ回路を用いた上記半導体チップのテスト方法において、
　上記半導体チップのテストを行うウィンドウ期間を指定するデータを第１の記憶手段に記憶するステップと、
　上記セキュリティ機能モジュールに所定のテスト信号を入力したときに、上記ウィンドウ期間において上記モニタ回路を動作させるように制御するステップとを含むことを特徴とする。

　上記半導体チップのテスト方法において、
　入力される遅延コードを第２の記憶手段に記憶するステップと、
　上記遅延コードに対応する遅延時間だけ上記ウィンドウ期間のタイミングを遅延させるステップをさらに含むことを特徴とする。

　また、上記半導体チップのテスト方法において、
　上記セキュリティ機能モジュールからの情報漏洩期間が上記ウィンドウ期間に含まれるようにテスト信号を発生して上記半導体チップに出力するステップと、
　上記モニタ回路からの信号波形に基づいてセキュリティ機能モジュールからの情報漏洩を定量化してセキュリティ評価の判断を行うステップとをさらに含むことを特徴とする。

　さらに、上記半導体チップのテスト方法において、上記半導体チップのテスト終了後に、上記モニタ回路の動作を停止させるステップをさらに含むことを特徴とする。

　さらに、上記半導体チップのテスト方法において、
　上記半導体チップのテスト終了後に、上記第１の記憶手段と上記第２の記憶手段の少なくとも１つに所定値を記憶することで論理的に書き換え不能にするステップをさらに含むことを特徴とする。

　またさらに、上記半導体チップのテスト方法において、上記セキュリティ機能モジュールは暗号モジュールであることを特徴とする。

　本発明に係るオンチップモニタ回路等によれば、セキュリティが必要な半導体チップにおけるオンチップモニタ回路を用いて、セキュリティ機能モジュールを備えた半導体チップの製造段階で悪意のある回路を埋め込む、例えばトロイの木馬などのセキュリティ攻撃を防止することができるように当該半導体チップをテストするためのオンチップモニタ回路等を提供できる。

実施形態１に係るオンチップモニタ回路の基本的な構成を示す回路図である。実施形態１に係るオンチップモニタ回路の基本的な構成を示す回路図である。被測定対象の半導体チップのレイアウトを示す平面図である。実施形態１に係るプロトタイプ半導体チップテストシステムの構成を示すブロック図である。図３Ａプロトタイプ半導体チップテストシステムの外観を示す写真である。図３の半導体チップテストシステムによる漏洩解析結果であって、選択されたプレインテキストに対するＳＮＲを示すグラフである。図３の半導体チップテストシステムによる漏洩解析結果であって、各測定に対する推定エントロピーを示すグラフである。図３の半導体チップテストシステムによる高周波成分解析の相関解析攻撃法のうち１Ω（ハイサイド）法を用いて得られた解析結果であって、周波数領域の相関値を示すグラフである。図３の半導体チップテストシステムによる高周波成分解析の相関解析攻撃法のうちオンチップモニタ法を用いて得られた解析結果であって、周波数領域の相関値を示すグラフである。実施形態１に係る別の半導体チップテストシステムの構成を示すブロック図である。図６Ａの半導体チップテストシステムの動作を示す各信号のタイミングチャートである。図６Ａの半導体チップテストシステムによる半導体チップのテスト処理を示すフローチャートである。図６Ａの半導体チップテストシステムにおいてプローブカードを半導体チップに接続する場合の概略外観図である。実施形態１に係る実施例において用いた、オンチップモニタ回路２０を備えた半導体チップ１０の構成を示すブロック図である。図９のオンチップモニタ回路２０の実験結果であって、接地側電源電圧Ｖｓｓの電源ラインのノイズ波形を示すグラフである。図９のオンチップモニタ回路２０の実験結果であって、アクティブ暗号モジュール数に対する論理ゲート数を示すグラフである。図９のオンチップモニタ回路２０の実験結果であって、アクティブ暗号モジュール数に対するノイズ電圧Ｖｎｏｉｓｅを示すグラフである。実施形態２に係る、オンチップモニタ回路を有する暗号機能付きシステムＬＳＩチップの構成を示す平面図である。実施形態２の変形例に係る、オンチップモニタ回路を有する暗号機能付きシステムＬＳＩチップの構成を示す平面図である。実施形態２に係る暗号機能付きシステムＬＳＩチップのオンチップモニタ回路の実施例１のブロック図である。図１５Ａのアナログフロントエンド回路の第１の回路例を示す回路図である。図１５Ａのアナログフロントエンド回路の第２の回路例を示す回路図である。図１５Ａのオンチップモニタ回路の動作を示す各信号のタイミングチャートである。実施形態２に係る暗号機能付きシステムＬＳＩチップのオンチップモニタ回路の実施例２のブロック図である。図１７のオンチップモニタ回路の動作の変形例を示す各信号のタイミングチャートである。図１５Ａのオンチップモニタ回路を有する暗号機能付きシステムＬＳＩチップのテスト処理を示すフローチャートである。実施形態２の変形例に係るオンチップモニタ回路の構成を示す回路図である。実施形態２に係る半導体チップテストシステムの全体構成のうちの特徴部分を示すブロック図である。

　以下、本発明に係る実施形態について図面を参照して説明する。なお、以下の各実施形態において、同様の構成要素については同一の符号を付している。

実施形態１．
１－１．はじめに
　暗号等のセキュリティ機能を有する半導体チップについて、その電源ノイズがセキュリティ機能の内部回路動作と強く相関することが知られている。ハードウェアセキュリティにかかる半導体チップ技術要件として、電源ノイズによるサイドチャネル情報漏洩の定量化や抑制手段の搭載が求められる。実施形態１では、オンチップのノイズ測定手段（オンチップモニタ回路）をサイドチャネル情報漏洩の定量的な診断やテストに応用する。オンチップモニタ回路によるノイズ波形の取得とサイドチャネル漏洩の標準的な評価環境を示すとともに、半導体チップのセキュリティに関するテストフローへの組込みを提案する。

　実施形態では、オンチップモニタ回路のハードウェアセキュリティ応用、とりわけサイドチャネル漏洩のオンチップ測定法を提案し、既存の測定法に比べた優位性を明らかにする。また、オンチップモニタ回路を用いたサイドチャネル漏洩の標準テスト環境を提案する。さらに、半導体チップのハードウェアセキュリティに関するテストフローへのサイドチャネル漏洩評価とハードウェアトロイ検出とを統合した半導体チップテストシステムを提案する。

１－２．オンチップ電源ノイズ測定
　図１Ａは実施形態１に係るオンチップモニタ回路２０の基本的な構成を示す回路図である。図１Ａにおいて、オンチップモニタ回路２０は、サンプリングスイッチＳＷ１及びキャパシタＣ１にてなるサンプルホールド回路１と、ユニティーゲインアンプ２とを備えて構成される。埋め込み型のサンプルホールド回路１により、半導体チップ内部の電源ノイズ等のオンチップ波形を取得する。サンプルホールド回路１は、被測定アナログ電圧をサンプリングクロックに従って捕捉し、そのＤＣ電圧を保持し半導体チップ１０の外部回路に出力する。サンプリングスイッチＳＷ１とキャパシタＣ１は高電圧（３．３Ｖ）の素子を用いて構成し、１．８Ｖの暗号化コアの電源電圧（Ｖｄｄ）は直接にサンプルホールド回路１に接続し、出力のＤＣ電圧を、利得１のユニティーゲインアンプ（ＵＧＡ）２でバッファリングして出力する。

　図１Ｂは実施形態１に係るオンチップモニタ回路２０Ａの基本的な構成を示す回路図である。グラウンド電圧（Ｖｓｓ）やシリコン基板電圧（Ｖｓｕｂ）は０Ｖであるため、図１Ｂに示すように、ＰチャンネルＭＯＳトランジスタＱ１，Ｑ２にてなるＰ型のソースフォロア回路３により入力電圧をサンプルホールド回路１に適合した電位までシフトさせる必要がある。

　図１Ａ及び図１Ｂのオンチップモニタ回路２０，２０Ａは半導体のテストフローに組み込むことを念頭において作成しており、自動テスト装置（Automatic Test Equipment：ＡＴＥ）に容易に組み込むことができ、設計コストを削減できる。ここで、オンチップモニタ回路２０，２０Ａの動作に必要な高精度なサンプルタイミングの生成や、広い電圧範囲でのアナログ／デジタル変換（以下、Ａ／Ｄ変換という。）には、自動テスト装置（ＡＴＥ）に具備される機能を利用する。これにより、チップ内蔵による電源電流、チップ面積及びチップ端子の消費を防止することができる。

　半導体チップ内部で観測される電源ノイズ波形は、半導体チップの動的な消費電力の変化に追従し、秘密情報を扱う論理処理の回路動作を反映する。さらに、ハードウェアトロイや悪意ある回路の動作による消費電力も含まれる。非常に小さな電圧変動の測定であるが、埋め込み型のサンプルホールド回路１により半導体チップ内部でその場観測するため、位置や環境の影響を受け難い。また、自動テスト装置（ＡＴＥ）はテスト環境としての一般性や安定性に優れている。このように、オンチップモニタ回路２０と自動テスト装置（ＡＴＥ）の協調によるサイドチャネル漏洩評価は、半導体チップのハードウェアセキュリティに係るテストに有用である。

　次いで、図２及び図３を参照して、プロトタイプ半導体チップテストシステムについて以下に説明する。

　図２は被測定対象の半導体チップのレイアウトを示す平面図であり、図３Ａは実施形態１に係るプロトタイプ半導体チップテストシステムの構成を示すブロック図であり、図３Ｂは図３Ａプロトタイプ半導体チップテストシステムの外観を示す写真である。

　提案手法を実証するため、図２に示すように、０．１８μｍＣＭＯＳプロセスで埋め込み型のサンプルホールド回路１と暗号化回路を搭載した半導体チップを試作した。図２において、ＡＥＳ－Ａ，ＡＥＳ－Ｂは暗号モジュールであり、ＳｗｉｔｃｈはサンプリングスイッチＳＷ１であり、ＵＧＡはユニティーゲインアンプ２である。

　オンチップモニタ回路２０を用いた電源ノイズ評価の対象としてＡＥＳ（Advanced Encryption Standard）暗号回路を選択した。ＡＥＳ暗号モジュールは１ラウンドを１クロックサイクルで処理する実装であり、その内部の論理構造である「Ｓ－ｂｏｘ」の実装は合成体実装である。サイドチャネル測定法の評価を主眼とするため、サイドチャネル攻撃への対策回路は実装していない。オンチップモニタ回路２０の入力チャネルはチップ内の異なる２カ所でＡＥＳ暗号モジュールの電源ノード（Ｖｄｄ）と接続しており、どちらかを選択できる。サンプルホールド回路１の電源ドメインは３．３Ｖで、ＡＥＳ暗号モジュールの１．８Ｖからは分離されている。電源配線とグラウンド配線をいずれも分離することにより電源ドメイン間のノイズ結合を排除し、再現性の高い測定を実現できる。

　プロトタイプ半導体チップテストシステムの構成を示す図３Ａにおいて、半導体チップ１０は、暗号モジュール（ＡＥＳ）１１，１２と、サンプルホールド回路１及びユニティーゲインアンプ２とを備えたオンチップモニタ回路２０とを備える。半導体チップ１０の周辺回路又は装置として、Ａ／Ｄ変換回路１３と、フィールドプログラマブルゲートアレイ（ＦＰＧＡ）１４と、遅延ライン１５とを備える。

　図３Ａにおいて、サンプリングタイミングは暗号モジュール１１，１２のＡＥＳコアのクロック信号（ＣＬＫ）と同期したトリガ信号を用いて発生し、ＦＰＧＡ１４のボード上の遅延ライン（ＤＬ）１５を用いて遅延を制御する。サンプルホールド回路１によりバッファされたＤＣ信号出力はオンボード上のＡ／Ｄ変換回路（ＡＤＣ）１３によりデジタルコードへと変換される。ＦＰＧＡ１４により遅延ライン（ＤＬ）１５とＡ／Ｄ変換回路１３を制御し、電圧波形の取得を行い、デジタルコードをデータ処理のためのパーソナルコンピュータ１６へと転送する。このＦＰＧＡ１４は同時にＡＥＳ暗号回路の暗号処理の制御も行う。

１－３．オンチップモニタとハードウェアセキュリティ
　以下、ハードウェアセキュリティの視点から、オンチップモニタを用いたサイドチャネル漏洩の評価法について述べる。これにより、テスト対象となる暗号化回路のサイドチャネル攻撃に対する脆弱性（もしくは堅牢性）を確認する。オンチップモニタによる評価法と比較するため、１Ωを電源ラインに挿入したハイサイド測定法と磁界プローブ測定法もあわせて行う。

　第一に、時間領域波形からの秘密情報漏洩の程度を評価する。暗号モジュール１１，１２のＡＥＳコアへの入力に対して測定波形が持つ情報のＳＮＲは（１）式で示される。

　ここで、Ｅ［・］は引数の時間平均値を示す関数であり、Ｖａｒ［・］は引数の分散を示す関数である。Ｔは測定した波形であり、Ｘは暗号モジュール１１，１２のＡＥＳコアの入力である平文（プレインテキスト）のうち攻撃に用いる１バイトの部分平文である。ここでは、高いＳＮＲは情報漏洩の程度が高く、攻撃者に利用され易いことを意味する（例えば、非特許文献４参照）。測定手法によって攻撃可能性が変化することを確かめるために、実際の攻撃手法である相関解析攻撃（Correlation power analysis：ＣＰＡ）法（例えば、非特許文献１参照）を用いて行う。ＣＰＡはサイドチャネル漏洩の測定波形Ｔと予測した漏洩モデルＬとのピアソンの相関係数ρを取って攻撃する。

　第二に、周波数成分について評価する。周波数成分毎にＣＰＡ攻撃を行い、周波数成分に対する情報漏洩の程度を評価する。もしも、オンチップモニタによる波形について高周波成分での情報漏洩が観測されれば、オフチップの測定手法は周波数帯域が狭いため、この成分については測定が難しいことになる。

１－４．漏洩解析
　図４Ａは図３の半導体チップテストシステムによる漏洩解析結果であって、選択されたプレインテキストに対するＳＮＲを示すグラフであり、図４Ｂは図３の半導体チップテストシステムによる漏洩解析結果であって、各測定に対する推定エントロピーを示すグラフである。

　暗号モジュール１１，１２の電源ノイズについて、異なる平文で５０，０００波形取得する。動作周波数は２４ＭＨｚとした。前述のとおり、オンチップモニタ回路２０、１Ω（ハイサイド）法、および２カ所の場所の異なる点での電磁界プローブにより測定を行った。それぞれの測定について（１）式で示されるＳＮＲをプロットしたものを図４Ａに示す。１６個の部分鍵に分けた時のそれぞれの１バイトで最もＳＮＲが高い点をそれぞれの測定についてプロットしている。オンチップモニタ回路２０による測定では他の測定よりＳＮＲが高いことが明らかである。

　続いて、最初に攻撃で特定された１バイトの秘密鍵に着目する。暗号モジュール１１，１２の電源ノイズに対して１０，０００波形ずつを用いて５回攻撃し、正解鍵に相当するバイト値の相関値が、予測される全ての候補バイト値の中で、高い方から何番目に位置するか、順位を求める。この順位の平均を推定エントロピーとする。この順位が速く１に近づくものは最も攻撃可能性が高く、すなわち電源ノイズ波形による情報漏洩の程度が高いことを意味する。同じ暗号モジュール１１，１２のＡＥＳコアに対して４種類の測定を行い、推定エントロピーを図４Ｂのように導出した。オンチップモニタ回路２０を用いた攻撃では１，２００波形と少ない波形数で鍵を特定できることがわかる。他方、１Ω測定法とＥＭ測定法ＥＭ１では２，０００波形、ＥＭ測定法ＥＭ２では３，１００波形が必要である。これらの評価からオンチップモニタ回路２０を用いた測定はＳＮＲが最も高く、情報漏洩の程度が高いと言える。

１－５．高周波成分解析
　図５Ａは図３の半導体チップテストシステムによる高周波成分解析の相関解析攻撃法のうち１Ω（ハイサイド）法を用いて得られた解析結果であって、周波数領域の相関値を示すグラフである。また、図５Ｂは図３の半導体チップテストシステムによる高周波成分解析の相関解析攻撃法のうちオンチップモニタ法を用いて得られた解析結果であって、周波数領域の相関値を示すグラフである。

　サイドチャネル情報漏洩の発生する周波数成分（あるいは周波数帯域）について評価する。前節と同様の測定波形に対して、ＦＦＴを用いて周波数領域に変換し、ＣＰＡを行った結果を図５Ａ及び図５Ｂに示す。オンチップモニタ回路２０による電源ノイズ波形に対する周波数毎の攻撃結果から、低い周波数と高い周波数の両者で多くの漏洩があることがわかる。具体的には、３００ＭＨｚ，６２０ＭＨｚ，８００ＭＨｚ，１ＧＨｚと広い範囲で情報漏洩を確認できている。これに対し、高い周波数では１Ω法を用いた測定ではノイズが多く評価が不十分である。これは、１Ω法では１Ωと回路の静電容量がローパスフィルタとして作用し、情報漏洩の高周波成分を抑制するためである。

　このように、オンチップモニタ回路２０によるサイドチャネル情報漏洩の評価は、高速な暗号回路においても有用と考えられる。また、一般に、情報漏洩の発生する周波数は回路方式やデバイスの実装方式により変化する。オンチップモニタ回路２０により広い周波数領域で情報漏洩の程度を評価することで、半導体チップにおけるハードウェアセキュリティと具現化技術の関係を定量的に見極めることも可能になる。

１－６．オンチップモニタを用いたサイドチャネル情報漏洩の標準評価環境
１－６－１．サイドチャネル情報漏洩の評価
　半導体チップにおけるサイドチャネル情報漏洩の標準評価手段として、オンチップモニタ回路（ＯＣＭ）２０の利用を提案する。前章のとおり、オンチップモニタ回路２０による測定はその他の測定法に比べて高いＳＮＲを得ることから、情報漏洩の程度をより小さいレベルまで評価できる。漏洩評価の不確かさの要因として、プロセスばらつきと環境ノイズが考えられる。オンチップモニタ回路２０によるオンチップ測定は、環境ノイズの影響を受けにくい。一方、プロセスばらつきは製造テクノロジに応じて普遍的に存在する。ＯＣＭを用いた測定について、適切な較正によりばらつきの影響を低減できる。

　オンチップモニタ回路２０はチップ内のあらゆる位置での電圧が取得可能である。代表的な測定対象として、暗号モジュール１１，１２の電源電圧端子（Ｖｄｄ）があげられる。しかしながら、被測定回路とオンチップモニタ回路２０の物理的な配置及び配線に制約があり、オンチップモニタ回路２０からのプローブ配線の引き回しなどの障壁もある。代替の測定対象として、シリコン基板の電位変動、すなわち基板ノイズが考えられる。基板ノイズは、電源ノイズと同様に、その波形がチップ内部のデジタル回路の動作と強く相関することが知られている（例えば、非特許文献３参照）。基板ノイズは距離により大きく減衰するが、チップのあらゆる場所から観測可能であり、被測定回路の近傍にプローブ位置を限定する必要がない。すなわち、オンチップモニタ回路の配置位置の近傍において、同一チップ上の別の位置に配置された暗号モジュール１１，１２の基板ノイズを観測可能であり、その物理設計を変更すること無く、サイドチャネル漏洩量の評価が可能となる。

　このように、オンチップモニタ回路２０による基板ノイズの測定は、シリコン基板を経由したサイドチャネル漏洩の標準評価手段になり得る。半導体チップにおけるオンチップモニタ回路２０の搭載フローの自動化、オンチップモニタ回路２０が占有するチップ面積やピン数の縮小、及びオンチップモニタ回路２０の特性ばらつきの検出と較正手法が確立されれば、セキュリティ用途の応用が進むと考えられる。

１－６－２．ハードウェアトロイの検知
　半導体チップに悪意あるトロイが混入するシナリオとして、ウェハプロセスの製造者がマスクを改変し悪意ある回路や構造を埋め込むことが考えられる（例えば、非特許文献７参照）。サイドチャネル情報の測定によるトロイ検知手法では、基準となる動作モデル（golden model）が必要であることが知られており、その導出法は未解決の技術課題である。オンチップモニタ回路２０の活用により、真正であることの保証されたチップにおいて再現性の高い電源ノイズあるいは基板ノイズの測定データを収集し、これをもとに基準データあるいは動作モデルを構築することが考えられる。

　サイドチャネル情報の測定によるトロイ検知では、基準データからの微小な変化を確定的に測定する必要があり、測定環境に対する依存性や、周囲環境からの混入ノイズの影響が課題となる。オンチップモニタ回路２０によるサイドチャネル漏洩量の評価は、この問題を解決する一つの解となり得るものであり、オンチップモニタ回路２０による物理的なトロイ動作の検知に向けた研究の取組みが必要である。

１－７．ハードウェアセキュリティに向けた半導体チップのテスト手法
１－７－１．テスト環境
　図６Ａは実施形態１に係る別の半導体チップテストシステムの構成を示すブロック図である。また、図６Ｂは図６Ａの半導体チップテストシステムの動作を示す各信号のタイミングチャートである。図６Ａにおいて、被測定デバイス（ＤＵＴ）１００は、システムオンチップ（ＳｏＣ）１０１と、暗号モジュール１０２と、サンプルホールド回路１、選択スイッチ回路１０５及びユニティーゲインアンプ１０８を備えたオンチップモニタ回路２０と、選択ロジック回路１０６と、バイアス電圧発生器１０７とを備えて構成される。また、自動テスト装置（ＡＴＥ）３００は、デジタル信号発生回路３０１と、任意波形発生器（ＡＷＧ：Arbitrary Waveform Generator）３０２と、Ａ／Ｄ変換回路３０３とを備えて構成される。

　半導体チップのテスト環境を図６Ａのように拡張する。複数の入力チャネルを持ったサンプルホールド回路１を有するオンチップモニタ回路２０とミックストシグナル拡張機能を有する自動テスト装置３００とを統合することで、セキュリティ向け半導体ＩＣチップにおける機能・性能のテストに加えて、サイドチャネル情報漏洩に関するセキュリティ要件の定量評価を規定することができる。被測定デバイス（ＤＵＴ：Device Under Test）１００は自動テスト装置３００の生成する入力テストベクタに対して処理結果を出力する。自動テスト装置３００は被測定デバイス１００の出力値と期待値を比較して、ハードウェアセキュリティの要件を満たす／満たさない、の判定や半導体チップのパス／フェイルの判定を行う。

　一般に、半導体チップのテストに用いられるテストベクタは全てのフリップフロップの動作を包含するように生成される。これにより、機能及び性能のテストにおいてハードウェアトロイが起動する可能性が増し、セキュリティ要件に関するテストにおけるトロイ検知の可能性を大きくできる。

　当該のテストベクタはオンチップモニタ回路２０も制御し、被測定デバイス１００の電源配線や基板電位、あるいはオンチップモニタ回路２０近傍の基板電位を入力とするサンプリング回路１を選択的に動作させる。サイドチャネル漏洩の評価では、暗号モジュール１０２の動作時間におけるノイズ波形を取得する。自動テスト装置３００の発生するサンプリングタイミングで電圧を保持し、自動テスト装置３００のＡ／Ｄ変換回路３０３によりデジタル値化する。オンチップモニタ回路２０と暗号モジュール１０２はシステムクロックに同期しており、着目するクロックサイクルにおいて、システムクロックに対してオンチップモニタ回路２０のサンプリングタイミングをずらしながら繰り返し電圧値を捕捉し、電圧波形を取得する（図６Ｂ参照）。

１－７－２．テストフロー
　図７は図６Ａの半導体チップテストシステムによる半導体チップのテスト処理を示すフローチャートである。半導体チップのテストフローを図７のように拡張することで、オンチップモニタ回路２０を用いたハードウェアセキュリティに関する評価項目を組込むことができる。半導体チップのテスト処理は、較正処理（Ｓ１）と、波形測定処理（Ｓ２）と、波形検出処理（Ｓ３）とを含む。

　ステップＳ１において、まず、オンチップモニタ回路２０の振幅特性を較正する。当該較正処理では、ステップＳ１１において被測定デバイス１００にアクセスして、ステップＳ１２においてサンプルホールド回路１の較正を行う。

　次いで、ステップＳ２において波形測定処理を実行する。すなわち、被測定デバイス１００の各種の機能及び性能をｎ個のテストベクタにより評価する。このうち、ハードウェアセキュリティに関する評価項目として、例えば暗号モジュール１０２におけるサイドチャネル漏洩量のテストをｉ番目のテストベクタにより行う（Ｓ１３～Ｓ２０）。このテストベクタには、オンチップモニタ回路２０の制御に係る信号セットが含まれ、着目するクロックサイクル区間において波形取得を行う。このとき、波形取得範囲の分割数ｋが波形の時間分解能を決定し、クロック信号に対してサンプリング時間をｊだけ遅延させた時間毎に電圧値を得る。このテストベクタ（ｉ）における、ハードウェアセキュリティの要件を満たす／満たさない、の判定は取得したノイズ波形の評価を含めて行う。すなわち、波形検出処理（Ｓ３）では、関数値の評価（Ｓ２１）と、波形の評価（Ｓ２２）と、被測定デバイス１００に対して、ハードウェアセキュリティの要件を満たす／満たさない、の判定（Ｓ２３）を行う。

　オンチップモニタ回路２０の波形取得特性は振幅レベルが既知の正弦波信号に対する入出力特性に基づいて較正する。正弦波は自動テスト装置３００の任意波形発生器３０２より出力する。オンチップモニタ回路２０の波形取得特性は、オンチップモニタ回路２０を構成するサンプルホールド回路１等の入出力特性と、自動テスト装置３００によるサンプリングタイミング発生の時間分解能やタイミング精度から定まる。半導体チップの製造に伴うデバイスばらつきは、オンチップモニタ回路２０のオフセット直流電圧や利得のずれを引き起こすが、いずれも正弦波による較正により取り除くことができる。

　サイドチャネル情報漏洩の評価、ハードウェアトロイの検出、あるいは半導体チップの真正性（模造や改竄の有無）のチェックには、あらかじめ真正性の保証された被測定デバイス１００において、同じテストベクタ（ｉ）で着目したクロックサイクル区間について取得した電源ノイズ波形を基準波形（Golden model）とする。真正性の確認されているウェハや半導体チップの集合における基準波形の平均とばらつきをデータベースとして保持し、被評価半導体チップを含むウェハ全面の電源ノイズや基板ノイズの波形の平均とばらつきと比較する。この両者に、オンチップモニタ回路２０の較正後の特性ばらつき、温度や電源電圧などの測定環境ばらつき、などを考慮しても有意な差が認められる場合に、ハードウェアセキュリティとしての要件を満足しないと判断する。

１－７－３．テストコスト
　図８は図６Ａの半導体チップテストシステムにおいてプローブカードを半導体チップに接続する場合の概略外観図である。すなわち、半導体チップのハードウェアセキュリティ要件に関するオンチップモニタ回路２０を用いたテスト手法の実装コストを最小化する構想を図８に示す。プローブカード２００は、その最上面において、パッド２０１～２０３，２１１～２１３及び各パッドに接続されて被測定デバイス１００のパッド１２１～１２３，１３１～１３３に接続されるプローブ２２１～２２３，２３１～２３３を備える。なお、パッド２０１～２０３，２１１～２１３は自動テスト装置３００に接続される。すなわち、ウェハレベルのテストアクセスを前提としたオンチップモニタ回路２０専用パッド１２１～１２３，１３１～１３３を備えることで、被評価半導体チップのコア回路への入出力パッドへの影響を最小化し、半導体チップのアセンブリ工程にかかわる入出力パッドと分離する。上述したように、オンチップモニタ回路２０による測定対象をその近傍の基板ノイズとすることで、オンチップモニタ回路２０及び専用パッド１２１～１２３，１３１～１３３の物理配置をチップの未使用領域のみに限定できる。

　オンチップモニタ回路２０の波形取得に係る実行時間もテストコストの要因である。オンチップモニタ回路２０による波形取得は、被測定デバイス１００と共にサンプルホールド回路１等を繰り返し動作させ、着目するクロックサイクル区間の範囲でサンプリングタイミングを変更する。時間分解能を０．１ｎｓとした場合、クロックサイクル区間が１００ｎｓ（例えば１０ｎｓクロックサイクル×１０サイクル区間）であれば１，０００回のサンプリングが必要となる。総時間長はテストベクタの長さとアナログデジタル変換器の変換時間に依存し、テストベクタの工夫、回路の並列化、自動テスト装置３００のリソースの高スループット化、等により改善できるが、半導体チップ面積や装置価格等とのトレードオフになる。

１－８．まとめ
　以上説明したように、実施形態１では、オンチップモニタ回路２０のハードウェアセキュリティ応用、とりわけサイドチャネル漏洩のオンチップ測定法を提案した。オンボードの抵抗器や磁界プローブを用いで電源電流を測定する従来手法に比較して、格段に高い再現性が得られる。セキュリティ機能を有する半導体チップにオンチップモニタ回路２０を搭載することで、サイドチャネル情報漏洩の定量的な評価やハードウェアトロイの検出に応用できる。

　図９は実施形態１に係る実施例において用いた、オンチップモニタ回路２０を備えた半導体チップ１０の構成を示すブロック図である。また、図１０は図９のオンチップモニタ回路２０の実験結果であって、接地側電源電圧Ｖｓｓの電源ラインのノイズ波形を示すグラフである。

　図９において、半導体チップ１０上に複数の暗号モジュール（ＡＥＳコア）１１，１２，１１Ａ，１２Ａ，…が埋め込まれて設けられ、各暗号モジュール（ＡＥＳコア）１１，１２，１１Ａ，１２Ａ，…に対して、正の電源電圧Ｖｄｄを供給する電源ラインと、接地側の電源電圧Ｖｓｓを供給する電源ラインとが接続されている。オンチップモニタ回路２０は、情報漏洩の観点からＡＥＳ動作の最も重要なクロックサイクルの間において、接地側の電源電圧Ｖｓｓの電源ラインの電圧Ｖｓｓを測定する。ここで、当該クロックサイクルで測定されたノイズの大きさは、図１０に示すように、ノイズ電圧Ｖｎｏｉｓｅとして得られる。

　図１１は図９のオンチップモニタ回路２０の実験結果であって、アクティブ暗号モジュール数に対する論理ゲート数を示すグラフである。また、図１２は図９のオンチップモニタ回路２０の実験結果であって、アクティブ暗号モジュール数に対するノイズ電圧Ｖｎｏｉｓｅを示すグラフである。

　図１１から明らかなように、１個の暗号モジュール（ＡＥＳコア）当たりの論理ゲート数は設計に応じて変化するが、概ね１２．８２４ｋｇａｔｅｓ／ｃｏｒｅである。図１２から明らかなように、１個の暗号モジュール（ＡＥＳコア）当たりのノイズ電圧Ｖｎｏｉｓｅはオンチップの接地側電源ラインの電圧Ｖｓｓの測定から、０．７５ｍＶ／ｃｏｒｅに達する。概ね２ｍＶのノイズ電圧Ｖｎｏｉｓｅがバックグラウンドノイズとして存在し、ノイズ電圧Ｖｎｏｉｓｅの測定において最小測定可能ノイズ電圧として認識される。

　ノイズ電圧Ｖｎｏｉｓｅが０．７５ｍＶ／ｃｏｒｅの線形関係で変化すると仮定した場合、０．７５ｍＶ／１２８２４の除算演算から、１ゲート当たり概ね６０ｎＶ／ｇａｔｅのノイズ電圧Ｖｎｏｉｓｅとなる。この場合において、故意に挿入された所望されない回路の発見のためには、１０μＶの電圧分解能であれば、検出可能なゲート数のしきい値はおよそ１００となる。例えば非特許文献８によれば、トロイの木馬の回路のゲート数は１９０であって小型の暗号モジュール（ＡＥＳコア）の原回路の約２．５％に相当する。従って、実施形態１に係るオンチップモニタ回路２０を用いて確実に、例えばトロイの木馬等の回路を検出することができるといえる。

実施形態２．
　図１３は実施形態２に係る、オンチップモニタ回路２０を有する暗号機能付きシステムＬＳＩチップ４００の構成を示す平面図である。実施形態２は、図１３に示すように、各種機能モジュール４０１に加えて暗号モジュール４０２を有するシステムＶＬＳＩチップ４００において、オンチップモニタ回路２０を備えたことを特徴としている。図１３において、システム入力信号は信号伝達経路４０３を介して暗号モジュール４０２に到達した後、所定のシステム出力信号を出力する。このとき、例えば、オンチップモニタ回路２０を用いて、例えば自動テスト装置３００からのモニタ制御信号に応答して、観測対象２５であるシリコン基板の電位を測定して、その測定結果のモニタ出力信号を出力する。

　以上のように構成されたシステムＬＳＩチップ４００においては、暗号モジュール４０２が各種機能モジュール４０１ともに埋没しているため、攻撃者が同定できないので、暗号モジュール４０２の回路構成やチップ内の物理配置は分からない。また、オンチップモニタ回路２０はその近傍のシリコン基板の電位を観測しており、暗号モジュール４０２に至る明示的なプロービング配線を持たないので攻撃者がその信号伝達経路４０３を辿れないという特有の利点がある。

　図１４は実施形態２の変形例に係る、オンチップモニタ回路を有する暗号機能付きシステムＬＳＩチップの構成を示す平面図である。図１４に示すように、オンチップモニタ回路２０は暗号モジュール４０２内部の電源配線やグラウンド配線を観測してもよい。暗号モジュール４０２に至るプロービング配線の信号伝達経路４０３はＶＬＳＩ内部配線に紛らせることで追跡困難とすることもできる。

　図１５Ａは実施形態２に係る暗号機能付きシステムＬＳＩチップのオンチップモニタ回路２０の実施例１のブロック図である。図１５Ａにおいて、オンチップモニタ回路２０は、ウィンドウレジスタ２１と、クロックカウンタ２２と、コンパレータ２３と、アナログフロントエンド回路２４とを備えて構成される。

　まず、ウィンドウレジスタ２１には、例えば自動テスト装置からの、ウィンドウ期間を指定する所定のプリロード値（例えば、ウィンドウを開けるときは例えば１の値を与え、閉じるときは例えば０の値を与える値であって、例えば「０００００１１１１１１０００００」などのデジタルデータである）がロードされて一時的に格納される。次いで、例えば自動テスト装置からのリセット信号によるリセット以降のウィンドウ期間において、クロックサイクル数をクロックカウンタ２２で計数し、プリロードしたウィンドウレジスタ値とコンパレータ２３で比較し、両者が一致したときにサンプリングパルスを発生してアナログフロントエンド回路２４に出力する。これにより、観測タイミングを自己決定するオンチップモニタ回路２０を実現することができる。ここで、アナログフロントエンド回路２４は、観測対象のシリコン基板の電位（図１３）又は暗号モジュール４０２の内部電源ノード（図１４）を、上記所定のウィンドウ期間において波形観測を行う。ここで、ウィンドウ期間は、暗号モジュール４０２の暗号処理において特有の情報漏洩にかかる時間期間で観測対象の信号波形を測定するものとし、ハードウェアセキュリティの要件を満たす／満たさない、の判定を行うことができるように構成すれば、さらに、悪意者からの攻撃を防止できる。

　図１５Ｂは図１５Ａのアナログフロントエンド回路の第１の回路例を示す回路図である。また、図１５Ｃは図１５Ａのアナログフロントエンド回路の第２の回路例を示す回路図である。図１５Ａのオンチップモニタ回路２０のアナログフロントエンド回路２４は、図１５Ｂのサンプルホールド型（ＳＨ）や、図１５Ｃのコンパレータ型（ＳＦ＋ＬＣ）等のいずれの回路構成でもよい。なお、図１５Ｃのアナログフロントエンド回路２４は、２個のＰチャンネルＭＯＳトランジスタＱ１１，Ｑ１２にてなるソースフォロア回路３と、ラッチコンパレータ４とを備えて構成される。

　図１６は図１５Ａのオンチップモニタ回路２０の動作を示す各信号のタイミングチャートである。システムＶＬＳＩチップ４００の長大な動作テスト時間において、暗号モジュール４０２のサイドチャネル情報漏洩が最大になるクロックサイクルで、オンチップモニタ回路２０のサンプリングパルスを発生するように、ウィンドウレジスタ値を設定することを特徴とする。なお、クロックサイクル数（Ｎ）は、システムリセットを基準（Ｎ＝０）として計数する。

　図１７は実施形態２に係る暗号機能付きシステムＬＳＩチップのオンチップモニタ回路２０Ａの実施例２のブロック図である。図１７のオンチップモニタ回路２０Ａは、図１５Ａのオンチップモニタ回路２０に比較して、遅延コードを一時的に格納する遅延レジスタ２６と、当該遅延コードに対応した遅延時間だけトリガ信号を遅延させることでウィンドウ期間の開始タイミングを遅延させてサンプリングパルス（φ）を発生する遅延発生器２７とをさらに備えたことを特徴としている。当該実施例２では、クロックカウンタ２２により計数されるクロック計数値と、ウィンドウレジスタ２１に格納されたウィンドウレジスタ値の一致するクロックサイクルにおいて、遅延発生器２７により遅延レジスタ値により指定された遅延時間だけ遅延したタイミングでサンプリングパルス（φ）を発生する。

　図１８は図１７のオンチップモニタ回路２０Ａの動作を示す各信号のタイミングチャートである。図１８に示すように、指定された遅延コード（図１７）により、暗号モジュールの情報漏洩が発生するクロックサイクル中で、情報漏洩が最大又は最も顕著となる（開始）タイミングと、オンチップモニタのサンプリングタイミングを一致させるため、あらかじめ制御された遅延時間を付加することができる。

　図１９は、図１５Ａのオンチップモニタ回路２０を有する暗号機能付きシステムＬＳＩチップのテスト処理を示すフローチャートである。

　図１９において、まず、ステップＳ３１において、ウィンドウレジスタ２１に所定のプリロード値Ｎｗを設定する。次いで、ステップＳ３２において、情報漏洩サイクルがウィンドウレジスタと一致する（Ｎｌｅａｋ＝Ｎｗを満足する。これに代えて、Ｎｗ内にＮｌｅａｋが少なくとも含まればよい）ように構成したテストベクタを生成して入力する。なお、システムＶＬＳＩチップ４００の機能試験用途のテストベクタ生成フローに当該条件を埋め込む。さらに、ステップＳ３３において、ターゲットの半導体チップのテストを繰り返し実行し、情報漏洩サイクルにおける情報漏洩を定量化し、ハードウェアセキュリティの要件を満たす／満たさない（すなわち、例えばトロイの木馬などの悪意の回路が含まれているか、暗号モジュール４０２から情報漏洩されているか否かなどのセキュリティ評価）の判定を行って判定結果を出力する。テストが終了すれば、ステップＳ３４では、ウィンドウレジスタ２１にゼロ（あるいはダミー値）に設定して当該テスト処理を終了する。

　なお、図１７のオンチップモニタ回路２０Ａを用いるときは、ステップＳ３１において、あらかじめ情報漏洩が最も顕著となるタイミングを評価して抽出し、遅延発生器２７の遅延量を遅延レジスタ２６に設定してもよい。

　また、ステップＳ３４において、ウィンドウレジスタ２１及び遅延レジスタ２６の少なくとも１つには、悪意者には既知ではないゼロ値又はダミー値を設定し、論理的に「変更不能」として終了してもよい。なお、論理的に変更不能とするには、以下の方法が考えられる。
（１）遅延レジスタ２６を、ワンタイムメモリ（一回のみ書換え可能なメモリ）を用いて構成する。
（２）隠れビットを設定して、当該隠れビットが”１”のときに書換え不能となるよう制御する。

　図２０は実施形態２の変形例に係るオンチップモニタ回路２０Ｂの構成を示す回路図である。図２０に示すように、ソースフォロア回路３及びラッチコンパレータ４とを備えたオンチップモニタ用アナログフロントエンド回路２４の後段に、例えばＣＰＡを行うためのＳＮＲ演算器５を備えてもよい。

　図２１は実施形態２に係る半導体チップテストシステムの全体構成のうちの特徴部分を示すブロック図である。図２１に示すように、暗号モジュール４０２の組み合わせロジック４１０における所定のクリティカルパス遅延量をデジタル的に調整可能な遅延発生器２７を用いてモニタサンプリングタイミングを発生することで、シリコン基板の電位又は電源のノイズ波形をあらかじめ情報漏洩が最も顕著となるタイミングを評価して抽出することができる。テスト終了後は、キル信号パッド２９を介して入力されるキル信号を用いて、もしくはウィンドウレジスタ２１（図１５Ａ，図１７）にゼロ値又はダミー値を設定することで暗号モジュール４０２のテストを不能とすることができる。

　以上の実施形態及び変形例においては、暗号モジュールを備えた半導体チップについて説明しているが、本発明はこれに限らず、例えばＰＲＮＧ（疑似ランダム数生成器）やＰＵＦ（素子ばらつきなど物理コピー不能な機能）によるセキュリティＩＤ生成機能や、デジタル署名機能の改竄に対する対策の機能、個体識別機能などのセキュリティ機能を有し、入力信号に対してセキュリティ機能処理を行ってセキュリティ機能信号を出力するセキュリティ機能モジュールであってもよい。

　以上の実施形態及び変形例においては、半導体チップのテスト終了後に、ウィンドウレジスタ２１及び遅延レジスタ２６の少なくとも１つには、悪意者には既知ではないゼロ値又はダミー値を設定し、論理的に「変更不能」として終了してオンチップモニタ回路２０の動作を停止させているが、本発明はこれに限らず、半導体チップのテスト終了後に、強制的にオンチップモニタ回路２０の動作を停止させてもよい。

　以上詳述したように、本発明に係るオンチップモニタ回路等によれば、セキュリティが必要な半導体チップにおけるオンチップモニタ回路を用いて、セキュリティ機能モジュールを備えた半導体チップの製造段階で悪意のある回路を埋め込む、例えばトロイの木馬などのセキュリティ攻撃を防止することができるように当該半導体チップをテストするためのオンチップモニタ回路等を提供できる。

１…サンプルホールド回路、
２…ユニティーゲインアンプ、
３…ソースフォロア回路、
４…コンパレータ、
５…演算器、
１０…半導体チップ、
１１，１２，１１Ａ，１２Ａ…暗号モジュール、
１３…Ａ／Ｄ変換回路、
１４…フィールドプログラマブルゲートアレイ（ＦＰＧＡ）、
１５…遅延ライン、
１６…パーソナルコンピュータ、
２０，２０Ａ，２０Ｂ…オンチップモニタ回路、
２１…ウィンドウレジスタ、
２２…クロックカウンタ、
２３…コンパレータ、
２４，２４Ａ…アナログフロントエンド回路、
２５…観測対象、
２６…遅延レジスタ、
２７…遅延発生器、
２８…キルスイッチ、
２９…キル信号パッド、
１００…被測定デバイス（ＤＵＴ）、
１０１…システムオンチップ（ＳｏＣ）、
１０２…暗号モジュール、
１０３，１０４…ソースフォロア回路、
１０５…選択スイッチ回路、
１０６…選択ロジック回路、
１０７…バイアス電圧発生器、
１２１～１２３，１３１～１３３…パッド、
２００…プローブカード、
２０１～２０３，２１１～２１３…パッド、
２２１～２２３，２３１～２３３…プローブ、
３００…自動テスト装置（ＡＴＥ）、
３０１…デジタル信号発生回路、
３０２…任意波形発生器（ＡＷＧ）、
３０３…Ａ／Ｄ変換回路、
４００…システムＬＳＩチップ、
４０１…機能モジュール、
４０２…暗号モジュール、
４０３…信号伝達経路、
Ｃ１～Ｃ３…キャパシタ、
Ｑ１～Ｑ１２…ＭＯＳトランジスタ、
Ｓ１…較正処理、
Ｓ２…波形測定処理、
Ｓ３…波形検出処理、
ＳＷ１、ＳＷ１１～ＳＷ１３…サンプリングスイッチ。

Claims

　入力信号に対してセキュリティ機能処理を行ってセキュリティ機能信号を出力するセキュリティ機能モジュールを備えた半導体チップに実装されたオンチップモニタ回路であって、上記半導体チップの信号波形をモニタするモニタ回路を備えたオンチップモニタ回路において、
　上記半導体チップのテストを行うウィンドウ期間を指定するデータを記憶する第１の記憶手段と、
　上記セキュリティ機能モジュールに所定のテスト信号を入力したときに、上記ウィンドウ期間において上記モニタ回路を動作させるように制御する制御手段とを備えたことを特徴とするオンチップモニタ回路。
　上記制御手段は、
　リセット信号を受信した後、クロック信号を計数して計数値のデータを出力する計数手段と、
　上記ウィンドウ期間を指定するデータを、上記計数値のデータと比較して各データが一致するときに上記モニタ回路を動作させるように制御する比較手段とを備えたことを特徴とする請求項１記載のオンチップモニタ回路。
　上記ウィンドウ期間は、上記セキュリティ機能モジュールの情報漏洩が最大になる時間期間であることを特徴とする請求項１又は２記載のオンチップモニタ回路。
　入力される遅延コードを記憶する第２の記憶手段をさらに備え、
　上記制御手段は、上記遅延コードに対応する遅延時間だけ上記ウィンドウ期間のタイミングを遅延させることを特徴とする請求項１～３のうちのいずれか１つに記載のオンチップモニタ回路。
　上記遅延コードは、上記セキュリティ機能モジュールの情報漏洩が最大になるタイミングを指定する遅延量を示すことを特徴とする請求項４記載のオンチップモニタ回路。
　上記モニタ回路は、上記半導体チップの基板電位又は上記セキュリティ機能モジュールの電源電位の信号波形をモニタすることを特徴とする請求項１～５のうちのいずれか１つに記載のオンチップモニタ回路。
　上記制御手段は、上記半導体チップのテスト終了後に、上記モニタ回路の動作を停止させることを特徴とする請求項１～６のうちのいずれか１つに記載のオンチップモニタ回路。
　上記制御手段は、上記半導体チップのテスト終了後に、上記第１の記憶手段と上記第２の記憶手段の少なくとも１つに所定値を記憶することで論理的に書き換え不能にすることを特徴とする請求項４記載のオンチップモニタ回路。
　上記セキュリティ機能モジュールは暗号モジュールであることを特徴とする請求項１～８のうちのいずれか１つに記載のオンチップモニタ回路。
　入力信号に対してセキュリティ機能処理を行ってセキュリティ機能信号を出力するセキュリティ機能モジュールを備えた半導体チップにおいて、
　請求項１～９のうちのいずれか１つに記載のオンチップモニタ回路を備えたことを特徴とする半導体チップ。
　請求項１０記載の半導体チップと、
　上記半導体チップをテストするテスト装置とを備えた半導体チップテストシステムであって、
　上記テスト装置は、
　上記セキュリティ機能モジュールからの情報漏洩期間が上記ウィンドウ期間に含まれるようにテスト信号を発生して上記半導体チップに出力するテスト信号発生手段と、
　上記モニタ回路からの信号波形に基づいてセキュリティ機能モジュールからの情報漏洩を定量化してセキュリティ評価の判断を行う判断手段とを備えたことを特徴とする半導体チップテストシステム。
　入力信号に対してセキュリティ機能処理を行ってセキュリティ機能信号を出力するセキュリティ機能モジュールを備えた半導体チップに実装されたオンチップモニタ回路であって、上記半導体チップの信号波形をモニタするモニタ回路を備えたオンチップモニタ回路を用いた上記半導体チップのテスト方法において、
　上記半導体チップのテストを行うウィンドウ期間を指定するデータを第１の記憶手段に記憶するステップと、
　上記セキュリティ機能モジュールに所定のテスト信号を入力したときに、上記ウィンドウ期間において上記モニタ回路を動作させるように制御するステップとを含むことを特徴とする半導体チップのテスト方法。
　入力される遅延コードを第２の記憶手段に記憶するステップと、
　上記遅延コードに対応する遅延時間だけ上記ウィンドウ期間のタイミングを遅延させるステップをさらに含むことを特徴とする請求項１２記載の半導体チップのテスト方法。
　上記セキュリティ機能モジュールからの情報漏洩期間が上記ウィンドウ期間に含まれるようにテスト信号を発生して上記半導体チップに出力するステップと、
　上記モニタ回路からの信号波形に基づいてセキュリティ機能モジュールからの情報漏洩を定量化してセキュリティ評価の判断を行うステップとをさらに含むことを特徴とする請求項１２又は１３記載の半導体チップのテスト方法。
　上記半導体チップのテスト終了後に、上記モニタ回路の動作を停止させるステップをさらに含むことを特徴とする請求項１２～１４のうちのいずれか１つに記載の半導体チップのテスト方法。
　上記半導体チップのテスト終了後に、上記第１の記憶手段と上記第２の記憶手段の少なくとも１つに所定値を記憶することで論理的に書き換え不能にするステップをさらに含むことを特徴とする請求項１３記載の半導体チップのテスト方法。
　上記セキュリティ機能モジュールは暗号モジュールであることを特徴とする請求項１２～１６のうちのいずれか１つに記載の半導体チップのテスト方法。