WO2017138773A1 - Security semiconductor chip and method for operating same - Google Patents

Security semiconductor chip and method for operating same Download PDF

Info

Publication number
WO2017138773A1
WO2017138773A1 PCT/KR2017/001491 KR2017001491W WO2017138773A1 WO 2017138773 A1 WO2017138773 A1 WO 2017138773A1 KR 2017001491 W KR2017001491 W KR 2017001491W WO 2017138773 A1 WO2017138773 A1 WO 2017138773A1
Authority
WO
WIPO (PCT)
Prior art keywords
semiconductor chip
pull
switch
data
down resistor
Prior art date
Application number
PCT/KR2017/001491
Other languages
French (fr)
Korean (ko)
Inventor
고형호
최병덕
Original Assignee
한양대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한양대학교 산학협력단 filed Critical 한양대학교 산학협력단
Priority to US16/076,473 priority Critical patent/US10778679B2/en
Priority to CN201780010930.7A priority patent/CN108701192B/en
Priority claimed from KR1020170018692A external-priority patent/KR102666954B1/en
Publication of WO2017138773A1 publication Critical patent/WO2017138773A1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/76Architectures of general purpose stored program computers
    • G06F15/78Architectures of general purpose stored program computers comprising a single central processing unit
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities

Definitions

  • It relates to a security-enhanced semiconductor chip and its operation method, and more particularly to the detection of a physical attack on the semiconductor chip.
  • a highly time sensitive XOR gate for probe attempt detectors proposes a technique for detecting a probing capacitance delay that occurs when probing an internal data bus after depackaging of a semiconductor chip.
  • the present invention is to provide a security semiconductor chip for detecting a physical attack, and to perform a countermeasure according to the attack detection and its operation method.
  • the semiconductor chip is packaged together with at least one data bus for transmitting data processed through the semiconductor chip, the at least one data bus is in a state that the light from the outside is blocked by the package, the package A potential generating block for detecting an event that fails to block light from the outside, and a switch for blocking transmission of at least some data of the at least one data bus when the event is detected.
  • the potential generating block includes an energy harvesting element that generates energy using the light when exposed to light from the outside.
  • the potential generating block comprises at least one photodiode that generates a current when exposed to light from the outside, a capacitor that stores charge by at least a portion of the current, and wherein the charge is from the capacitor. And a pull-down resistor to cause the discharge.
  • the switch is turned on by a potential difference across the pull-down resistor during the discharge of the charge through the pull-down resistor to ground at least some data of the at least one data bus.
  • the transmission is interrupted by discharging.
  • the pull-down resistor comprises an active device whose resistance value is programmable by setting.
  • increasing the pull-down resistance setpoint reduces the amount of discharge current required to turn on the switch so that the switch is turned on relatively easily, and when the pull-down resistance setpoint is lowered The amount of discharge current required to turn on the switch increases, making the switch relatively difficult to turn on.
  • the at least one photodiode comprises a plurality of photodiodes that are cascaded at least in part.
  • the at least one photodiode includes a plurality of photodiodes hierarchically connected in a tree structure.
  • the at least one data bus comprises a plurality of data buses each transmitting data in parallel, the plurality of data buses sharing the potential generating block.
  • a protection device embedded in a semiconductor chip packaging includes a potential generating block that detects an event in which the package fails to block light from the outside, and at least some data transmission paths in the semiconductor chip when the event is detected. It includes a switch to cut off.
  • the potential generating block comprises at least one photodiode that generates a current when exposed to light from the outside, a capacitor that stores charge by at least a portion of the current, and wherein the charge is from the capacitor. And a pull-down resistor to cause the discharge.
  • the switch is turned on by a potential difference across the pull-down resistor in the process of discharging the charge through the pull-down resistor to ground the transfer path by grounding a portion of the transfer path. Block it.
  • the pull-down resistor comprises an active device whose resistance value is programmable by setting.
  • increasing the pull-down resistance setpoint reduces the amount of discharge current required to turn on the switch so that the switch is turned on relatively easily, and when the pull-down resistance setpoint is lowered The amount of discharge current required to turn on the switch increases, making the switch relatively difficult to turn on.
  • the at least one photodiode includes a plurality of photodiodes hierarchically connected in a tree structure.
  • a method in which a semiconductor chip detects a damage to a packaging may include a pull-down of a potential generating block embedded in an on-chip module form when light penetrates from outside the packaging of the semiconductor chip due to the damage of the packaging. Generating a potential difference across the resistor, and at least a portion of the data transfer path in the semiconductor chip is grounded by the potential difference to block data transfer.
  • the present invention it is possible to detect a physical attack and to perform a countermeasure according to the attack detection.
  • FIG. 1 is a block diagram illustrating a security semiconductor chip according to an embodiment.
  • FIG. 2 is a schematic view of a portion of a secure semiconductor chip according to an embodiment.
  • FIG. 3 is an exemplary diagram for describing an operation of a security semiconductor chip according to an exemplary embodiment.
  • FIG. 4 is an exemplary diagram for describing an operation of a security semiconductor chip according to an exemplary embodiment.
  • FIG. 5 is a timing diagram illustrating a method of detecting damage to a packaging by a semiconductor chip according to an exemplary embodiment.
  • FIG. 6 is a diagram illustrating an example of an on-chip photodiode of a security device of a semiconductor chip according to an embodiment.
  • FIG. 7 is a flowchart illustrating a method of detecting damage to a packaging by a semiconductor chip according to an exemplary embodiment.
  • first or second may be used to describe various components, but such terms should be interpreted only for the purpose of distinguishing one component from another component.
  • first component may be referred to as a second component
  • second component may also be referred to as a first component.
  • semiconductor chips include energy harvesting elements in a package.
  • the energy harvesting device may include an on-chip photo diode.
  • the depackaging attack causes the voltage generation of the photodiode to detect the penetration of light into the packaging.
  • energy harvesters accumulate light energy from ambient light to trigger a protective trigger signal even when the package is removed or damaged, even when the chip is not powered.
  • the secure semiconductor chip 100 may include a potential generating block 110, a switch 120, and a data bus 130.
  • the security semiconductor chip 100 may detect an abnormal state such as a depackaging attack by collecting optical energy as described above.
  • the potential generating block 110 may be configured to generate a potential difference when more than a predetermined level of light energy is collected using a structure capable of collecting light energy.
  • the potential generating block 110 collects the light energy penetrated into the packaging by using an energy harvesting element or a photodiode, and uses at least a portion of the collected light energy to supply a capacitor and a pull-down resistor. The potential difference can be generated by this.
  • the potential generating block 110 includes at least one photodiode that generates a current when exposed to light from outside, a capacitor that stores charge by at least a portion of the current, and a full-charge that causes the charge to be discharged from the capacitor. It may include a down resistor.
  • the switch 120 may block the data output of the data bus 130 of the semiconductor chip by using the potential difference generated by the capacitor and the pull-down resistor. For example, the switch 120 is turned off when no light energy is collected to allow the data output of the data bus 130 to proceed normally, and the light energy is collected and depackaged by the potential generating block 110. When an abnormal state such as the like is detected, the data output of the data bus 130 may be blocked so as not to proceed normally.
  • one potential generation block 110 may be configured to be shared by the plurality of data buses 130.
  • a structure in which the potential generating block 110 is connected to the plurality of switches 120 corresponding to each of the plurality of data buses 130 may be selected.
  • the secure semiconductor chip may include a potential generation block 210, a switch 220, and a data bus 230.
  • the potential generating block 210 may include a photodiode 211, a capacitor 212, and a pull-down resistor 213.
  • the photodiode 211 when it is exposed to light from the outside, charge is stored in the capacitor 212 using the generated current.
  • the discharge current by the pull-down resistor 213 is generated by the voltage difference between the upper node of the capacitor 212 and the ground.
  • the protection circuit for the semiconductor chip may be operated through the switch 220 in consideration of an abnormal state such as depacking in the semiconductor chip.
  • an abnormal state such as depacking in the semiconductor chip.
  • the voltage at the node of the upper node of the capacitor 212 gradually increases, and the voltage of the upper node of the capacitor 212 is increased.
  • a protective measure may be performed on the semiconductor chip.
  • the output of the second inverter inv2 is forced to be low so that the outputs of the data bus 230 are all low. can do.
  • the PAD output of the internal data may be blocked to prevent the data input 240 of the data bus 230 from being transmitted to the data output 250 so that the data output may not be leaked by an external attack. .
  • the blocking of the data transmission path as described above is one of various embodiments of protection measures performed when a package removal or a damage event occurs, and a package damage or removal situation of a semiconductor chip to a semiconductor chip through optical energy harvesting.
  • protective measures that differ in electrical state from circuits before the city.
  • a protective measure for the semiconductor chip data erasing, data scrambling, destruction or deactivation of the semiconductor chip may be performed. Protection measures are therefore not to be construed as limited to the examples set forth explicitly herein.
  • the protection The circuit may not work. If the charge generated by the energy harvesting is small enough to not make a sufficient potential difference across the capacitor 212, the protection circuit may not operate because it is not regarded as an abnormal state such as depackaging in the semiconductor chip.
  • This operating threshold is related to the sensitivity of how sensitive the circuit is to take protective action. Sensitivity may be set appropriately to prevent the protection circuit from operating unnecessarily by dark current that may temporarily occur during normal operation or by X-rays radiating from outside the semiconductor packaging and penetrating the package. Can be.
  • the pull-down resistor 213 is configured to adjust the timing at which the protection circuit starts to operate in accordance with the intensity of light being sensed. For example, when the resistance value of the pull-down resistor 213 increases, the discharge current decreases, so that the data output blocking through the switch 220 may proceed even if the current generated by the photodiode 211 is relatively small. On the contrary, when the resistance value of the pull-down resistor 213 decreases, the discharge current increases, so that the data output blocking through the switch 220 may proceed when the current generated by the photodiode 211 is relatively large.
  • the operation timing of the protection circuit may be adjusted according to the magnitude of the current.
  • the size of the resistance value of the pull-down resistor 213 may be designed to a suitable value based on the characteristics of the semiconductor chip, the type of packaging, the environment in which the semiconductor chip is used, and the like.
  • one potential generation block 210 may be configured to be shared by the plurality of data buses 230.
  • the structure in which the potential generating block 210 is connected to the plurality of switches 220 corresponding to each of the plurality of data buses 230 may be selected.
  • FIG. 3 is an exemplary diagram for describing an operation of a security semiconductor chip according to an exemplary embodiment.
  • the secure semiconductor chip of FIG. 3 may be part of the secure semiconductor chip shown in FIG. 2, for example.
  • the secure semiconductor chip may include a photodiode 311, a capacitor 312, a pull-down resistor 313, a switch 320, and a data bus 330.
  • FIG. 3 exemplarily illustrates an operation of a security semiconductor chip before a security attack such as depacking occurs.
  • the voltage at the upper node of the capacitor 312 is maintained at a value close to ground.
  • the voltage at the top node of the capacitor 312 can be maintained at a value close to ground through a structure that is discharged through the pull-down resistor 313 even when a small current is generated temporarily.
  • the node and the switch top of the capacitor 312 (The voltage at the gate terminal of 320 is maintained at a value close to ground.
  • the pulse train provided at the data input 340 of the data bus 330 may be normally transmitted to the pad data output 350 of the internal data. have.
  • FIG. 4 is an exemplary diagram for describing an operation of a security semiconductor chip according to an exemplary embodiment.
  • the secure semiconductor chip of FIG. 4 may be part of the secure semiconductor chip shown in FIG. 2, for example.
  • the secure semiconductor chip may include a photodiode 311, a capacitor 312, a pull-down resistor 313, a switch 320, and a data bus 330, as described in FIG. 3. have.
  • FIG. 4 exemplarily illustrates an operation of a secure semiconductor chip after a security attack such as depacking occurs.
  • a security attack such as depacking occurs.
  • the photo energy of the photodiode 311 allows the photosensitive energy to be reduced. Will rise.
  • the current generated by the photodiode 211 is designed to be larger than the current discharged through the pull-down resistor 213, so that the node and the switch 320 at the upper end of the capacitor 312.
  • the voltage at the gate terminal of increases gradually.
  • the data bus 230 is assumed through the switch 320.
  • FIG. 5 is a timing diagram illustrating a method of detecting damage to a packaging by a semiconductor chip according to an exemplary embodiment.
  • V PD refers to a voltage formed at the upper node of the capacitor using the current generated by the photodiode
  • CLK refers to a clock signal
  • the de-photodiode by the packaging attack begins to rise the V PD at a first time 510 to start generating the current and voltage is raised for a period of time
  • the rise of V PD is stopped at the second time point 520 where the current generated by the photodiode is equal to the current discharged through the pull-down resistor.
  • the threshold voltage may be selected as a value between the V PD value at the first time point 510 and the V PD value at the second time point 520.
  • the switch to cut off the output of the data bus based on the threshold voltage can be turned on.
  • the output of the data bus can be forced all low as described above.
  • the PAD outputs PAD0, PAD1, PAD2, and PAD3 of the four data buses output only low signals without outputting normal data after a certain time due to the operation of the cutoff switch. In this way, the internal data can be prevented from being leaked.
  • FIG. 6 is a diagram illustrating an example of an on-chip photodiode of a security device of a semiconductor chip according to an embodiment.
  • the on-chip photodiode of FIG. 6 may be used, for example, to implement the potential generating block 110 of the secure semiconductor chip 100 of FIG. 1.
  • the on-chip photo diode may include a tree structure in which a plurality of photo diodes are cascaded to easily generate a high voltage required for driving a circuit.
  • a tree structure in which a plurality of photo diodes are cascaded to easily generate a high voltage required for driving a circuit.
  • the light energy penetrating inside the packaging is collected through such a structure, at least a part of the collected light energy may be transferred to a capacitor to generate a potential difference.
  • the photodiode can be replaced or used together with any device that can perform the same or similar function.
  • a structure in which it is applied or modified may be used to suit the embodiment.
  • the photosensitive performance and detailed design of the on-chip photodiode can be optimized in consideration of the characteristics of the pull-down resistor and the disconnect switch.
  • FIG. 7 is a flowchart illustrating a method of detecting damage to a packaging by a semiconductor chip according to an exemplary embodiment.
  • the method of FIG. 7 may be implemented as a method of operating the secure semiconductor chip 100 of FIG. 1.
  • step 710 light may penetrate from outside the packaging of the semiconductor chip. Since the penetration of light refers to a case in which the packaging of the semiconductor chip is damaged by a depackaging attack or other abnormal situation, it is desirable to take measures to fundamentally block hacking attempts that may occur after the packaging of the semiconductor chip.
  • a potential difference across the pull-down resistor may be generated by the potential generating block. That is, since it is considered that a security attack such as depacking occurs due to light penetration in step 710, a potential difference for the protection circuit operation may be generated in the potential generating block.
  • the current generated by the photodiode is designed to be greater than the current discharged through the pull-down resistor, thereby gradually increasing the voltage at the capacitor top node and the gate terminal of the disconnect switch.
  • the data transfer path in the semiconductor chip may be blocked using the potential difference.
  • the pad outputs of each data bus can be forced low so that normal data outputs are not delivered.
  • data erase, data scrambling, destruction or deactivation of the semiconductor chip may be performed additionally or alternatively as necessary.
  • the protection measures for the semiconductor chip are limited to the examples explicitly described herein. It should not be.
  • an energy harvesting device such as a photo-diode operates a trigger circuit such as to initialize or erase security data by harvesting ambient light energy.
  • the light response of the illuminance and the PN junction of the CMOS is 0.5W / m 2 , 0.5A ⁇ cm ⁇ 2 / W ⁇ cm ⁇ 2, respectively.
  • a 100 ⁇ m 2 photodiode can generate 2.5 nA photocurrent.
  • the time required for the protection circuit operation is about 72ms.
  • the device described above may be implemented as a hardware component of a memory, a memory as a control software component, and / or a combination of hardware components and software components.
  • the devices and components described in the embodiments may be, for example, processors, controllers, arithmetic logic units (ALUs), digital signal processors, microcomputers, field programmable arrays (FPAs), It may be implemented using one or more general purpose or special purpose computers, such as a programmable logic unit (PLU), microprocessor, or any other device capable of executing and responding to instructions.
  • ALUs arithmetic logic units
  • FPAs field programmable arrays
  • PLU programmable logic unit
  • microprocessor or any other device capable of executing and responding to instructions.
  • the software may include a computer program, code, instructions, or a combination of one or more of the above, and configure the processing device to operate as desired, or process it independently or collectively. You can command the device.
  • Software and / or data may be any type of machine, component, physical device, virtual equipment, computer storage medium or device in order to be interpreted by or to provide instructions or data to the processing device. Or may be permanently or temporarily embodied in a signal wave to be transmitted.
  • the software may be distributed over networked computer systems so that they may be stored or executed in a distributed manner.
  • Software and data may be stored on one or more computer readable recording media.
  • Memory operation control method is implemented in the form of program instructions that can be executed by various computer means may be recorded on a computer readable medium.
  • the computer readable medium may include program instructions, data files, data structures, etc. alone or in combination.
  • the program instructions recorded on the media may be those specially designed and constructed for the purposes of the embodiments, or they may be of the kind well-known and available to those having skill in the computer software arts.
  • Examples of computer-readable recording media include magnetic media such as hard disks, floppy disks, and magnetic tape, optical media such as CD-ROMs, DVDs, and magnetic disks, such as floppy disks.
  • Examples of program instructions include not only machine code generated by a compiler, but also high-level language code that can be executed by a computer using an interpreter or the like.
  • the hardware device described above may be configured to operate as one or more software modules to perform the operations of the embodiments, and vice versa.

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Semiconductor Integrated Circuits (AREA)

Abstract

Disclosed is a security semiconductor chip. When a physical attack such as a depackaging attack occurs, the semiconductor chip can detect the physical attack. A semiconductor chip according to one embodiment comprises an energy harvesting element inside a package. The energy harvesting element may comprise, for example, an on-chip photodiode. A depackaging attack causes the generation of a voltage of a photodiode, and thus a change in physical state of the packaging can be detected.

Description

보안 반도체 칩 및 그 동작 방법Security semiconductor chip and its operation method
보안이 강화된 반도체 칩 및 그 동작 방법에 연관되며, 보다 특정하게는 반도체 칩에 대한 물리적 공격의 감지에 연관된다.It relates to a security-enhanced semiconductor chip and its operation method, and more particularly to the detection of a physical attack on the semiconductor chip.
반도체 칩에 대한 다양한 물리적 공격 및 소프트웨어 공격은 SoC (System on Chip)를 이용한 제품 및 이를 이용한 응용 서비스에 위협이 된다. 이러한 물리적 공격의 예로, 이를테면 디패키징 (De-packaging), FIB (Focused ion beam)를 이용한 회로 변형, 마이크로 프로빙 (micro-probing), 전력 분석 (power analysis), EMA (Electromagnetic Analysis), 전압/주파수/온도 조절 공격 방식 (fault injection) 등 다양한 것들이 알려져 있다.Various physical attacks and software attacks on semiconductor chips are threats to products using SoC (System on Chip) and application services using them. Examples of such physical attacks include de-packaging, circuit modifications using focused ion beams (FIBs), micro-probing, power analysis, electromagnetic analysis (EMA), voltage / frequency Various things are known, including fault injection and temperature injection.
물리적 공격을 감지하고 이로부터 회로를 보호하기 위한 기술들이 소개되고 있으며, 이를테면 아래에 서술하는 몇몇 선행기술 문헌들을 통해 이전의 시도들을 이해할 수 있다.Techniques for detecting physical attacks and protecting circuits from them have been introduced, for example, some of the prior art documents described below can help to understand previous attempts.
기술문헌 "A Highly time sensitive XOR gate for probe attempt detectors" (S. Manich, et al., IEEE Trans. Circuits Syst., II: Exp. Briefs, vol. 60, no. 11, pp. 786-790, Nov. 2013)은 반도체 칩에 대한 디패키징 후 내부의 데이터 버스를 프로빙 (probing) 하는 경우에 발생되는 프로빙 커패시턴스 딜래이 (probing capacitance delay)를 발견하는 기술이 제시되었다.A highly time sensitive XOR gate for probe attempt detectors (S. Manich, et al., IEEE Trans. Circuits Syst., II: Exp. Briefs, vol. 60, no. 11, pp. 786-790, Nov. 2013) proposes a technique for detecting a probing capacitance delay that occurs when probing an internal data bus after depackaging of a semiconductor chip.
본 발명은 물리적 공격을 감지하고, 공격 감지에 따른 대응 조치를 수행하는 보안 반도체 칩 및 그 동작 방법을 제공하기 위한 것이다.The present invention is to provide a security semiconductor chip for detecting a physical attack, and to perform a countermeasure according to the attack detection and its operation method.
일측에 따르면, 반도체 칩은 상기 반도체 칩을 통해 처리되는 데이터를 전송하는 적어도 하나의 데이터 버스, 상기 적어도 하나의 데이터 버스와 함께 패키징되어 외부로부터의 빛이 패키지에 의해 차단되는 상태에 있고, 상기 패키지가 상기 외부로부터의 빛을 차단하지 못하는 이벤트를 검출하는 전위 생성 블록, 및 상기 이벤트가 검출되는 경우 상기 적어도 하나의 데이터 버스 중 적어도 일부 데이터의 전송을 차단하는 스위치를 포함한다.According to one side, the semiconductor chip is packaged together with at least one data bus for transmitting data processed through the semiconductor chip, the at least one data bus is in a state that the light from the outside is blocked by the package, the package A potential generating block for detecting an event that fails to block light from the outside, and a switch for blocking transmission of at least some data of the at least one data bus when the event is detected.
일실시예에서, 상기 전위 생성 블록은, 상기 외부로부터의 빛에 노출되는 경우 상기 빛을 이용하여 에너지를 발생시키는 에너지 하베스팅 소자를 포함한다.In one embodiment, the potential generating block includes an energy harvesting element that generates energy using the light when exposed to light from the outside.
일실시예에서, 상기 전위 생성 블록은, 상기 외부로부터의 빛에 노출되는 경우 전류를 발생시키는 적어도 하나의 포토 다이오드, 상기 전류의 적어도 일부에 의한 전하를 저장하는 커패시터, 및 상기 전하가 상기 커패시터로부터 방전되도록 하는 풀-다운 저항을 포함한다.In one embodiment, the potential generating block comprises at least one photodiode that generates a current when exposed to light from the outside, a capacitor that stores charge by at least a portion of the current, and wherein the charge is from the capacitor. And a pull-down resistor to cause the discharge.
일실시예에서, 상기 스위치는 상기 풀-다운 저항을 통해 상기 전하가 방전되는 과정에서 상기 풀-다운 저항 양단에 발생하는 전위차에 의해 턴-온되어 상기 적어도 하나의 데이터 버스 중 적어도 일부 데이터를 그라운드 방전 시킴으로써 상기 전송을 차단한다.In one embodiment, the switch is turned on by a potential difference across the pull-down resistor during the discharge of the charge through the pull-down resistor to ground at least some data of the at least one data bus. The transmission is interrupted by discharging.
일실시예에서, 상기 풀-다운 저항은 설정에 의해 저항 값이 프로그램 가능한 능동 소자를 포함한다.In one embodiment, the pull-down resistor comprises an active device whose resistance value is programmable by setting.
일실시예에서, 상기 풀-다운 저항 설정치를 높이는 경우 상기 스위치를 턴-온 하기 위해 요구되는 방전 전류량이 감소하여 상기 스위치는 상대적으로 쉽게 턴-온되고, 상기 풀-다운 저항 설정치를 낮추는 경우 상기 스위치를 턴-온 하기 위해 요구되는 방전 전류량이 증가하여 상기 스위치는 상대적으로 어렵게 턴-온된다.In one embodiment, increasing the pull-down resistance setpoint reduces the amount of discharge current required to turn on the switch so that the switch is turned on relatively easily, and when the pull-down resistance setpoint is lowered The amount of discharge current required to turn on the switch increases, making the switch relatively difficult to turn on.
일실시예에서, 상기 적어도 하나의 포토 다이오드는 적어도 일부 부분에서 캐스캐이드 연결되는 복수 개의 포토 다이오드를 포함한다.In one embodiment, the at least one photodiode comprises a plurality of photodiodes that are cascaded at least in part.
일실시예에서, 상기 적어도 하나의 포토 다이오드는 트리 구조로 계층적 연결되는 복수 개의 포토 다이오드를 포함한다.In one embodiment, the at least one photodiode includes a plurality of photodiodes hierarchically connected in a tree structure.
일실시예에서, 상기 적어도 하나의 데이터 버스는 병렬적으로 각각 데이터를 전송하는 복수 개의 데이터 버스를 포함하고, 상기 복수 개의 데이터 버스는 상기 전위 생성 블록을 공유(share)한다.In one embodiment, the at least one data bus comprises a plurality of data buses each transmitting data in parallel, the plurality of data buses sharing the potential generating block.
다른 일측에 따르면, 반도체 칩 패키징 내에 임베드되는 보호 장치는 상기 패키지가 상기 외부로부터의 빛을 차단하지 못하는 이벤트를 검출하는 전위 생성 블록, 및 상기 이벤트가 검출되는 경우 상기 반도체 칩 내의 적어도 일부 데이터 전송 경로를 차단하는 스위치를 포함한다.According to another aspect, a protection device embedded in a semiconductor chip packaging includes a potential generating block that detects an event in which the package fails to block light from the outside, and at least some data transmission paths in the semiconductor chip when the event is detected. It includes a switch to cut off.
일실시예에서, 상기 전위 생성 블록은, 상기 외부로부터의 빛에 노출되는 경우 전류를 발생시키는 적어도 하나의 포토 다이오드, 상기 전류의 적어도 일부에 의한 전하를 저장하는 커패시터, 및 상기 전하가 상기 커패시터로부터 방전되도록 하는 풀-다운 저항을 포함한다.In one embodiment, the potential generating block comprises at least one photodiode that generates a current when exposed to light from the outside, a capacitor that stores charge by at least a portion of the current, and wherein the charge is from the capacitor. And a pull-down resistor to cause the discharge.
일실시예에서, 상기 스위치는 상기 풀-다운 저항을 통해 상기 전하가 방전되는 과정에서 상기 풀-다운 저항 양단에 발생하는 전위차에 의해 턴-온되어 상기 전송 경로 중 일부를 그라운드 시킴으로써 상기 전송 경로를 차단한다.In one embodiment, the switch is turned on by a potential difference across the pull-down resistor in the process of discharging the charge through the pull-down resistor to ground the transfer path by grounding a portion of the transfer path. Block it.
일실시예에서, 상기 풀-다운 저항은 설정에 의해 저항 값이 프로그램 가능한 능동 소자를 포함한다.In one embodiment, the pull-down resistor comprises an active device whose resistance value is programmable by setting.
일실시예에서, 상기 풀-다운 저항 설정치를 높이는 경우 상기 스위치를 턴-온 하기 위해 요구되는 방전 전류량이 감소하여 상기 스위치는 상대적으로 쉽게 턴-온되고, 상기 풀-다운 저항 설정치를 낮추는 경우 상기 스위치를 턴-온 하기 위해 요구되는 방전 전류량이 증가하여 상기 스위치는 상대적으로 어렵게 턴-온된다.In one embodiment, increasing the pull-down resistance setpoint reduces the amount of discharge current required to turn on the switch so that the switch is turned on relatively easily, and when the pull-down resistance setpoint is lowered The amount of discharge current required to turn on the switch increases, making the switch relatively difficult to turn on.
일실시예에서, 상기 적어도 하나의 포토 다이오드는 트리 구조로 계층적 연결되는 복수 개의 포토 다이오드를 포함한다. In one embodiment, the at least one photodiode includes a plurality of photodiodes hierarchically connected in a tree structure.
다른 일측에 따르면, 반도체 칩이 패키징의 손상을 감지하는 방법은 상기 패키징의 손상에 의해 상기 반도체 칩의 패키징 외부로부터 빛이 침투하는 경우, 온-칩 모듈 형태로 임베드된 전위 생성 블록이 풀-다운 저항 양단에 전위차를 발생시키는 단계, 및 상기 전위차에 의해 상기 반도체 칩 내의 데이터 전송 경로 중 적어도 일부가 그라운드 되어 데이터 전송이 차단되는 단계를 포함한다.According to another aspect of the present invention, a method in which a semiconductor chip detects a damage to a packaging may include a pull-down of a potential generating block embedded in an on-chip module form when light penetrates from outside the packaging of the semiconductor chip due to the damage of the packaging. Generating a potential difference across the resistor, and at least a portion of the data transfer path in the semiconductor chip is grounded by the potential difference to block data transfer.
본 발명에 따르면, 물리적 공격을 감지하고, 공격 감지에 따른 대응 조치를 수행할 수 있다.According to the present invention, it is possible to detect a physical attack and to perform a countermeasure according to the attack detection.
도 1은 일실시예에 따른 보안 반도체 칩을 설명하기 위한 블록도이다.1 is a block diagram illustrating a security semiconductor chip according to an embodiment.
도 2는 일실시예에 따른 보안 반도체 칩의 일부를 개략적으로 보여주는 도면이다.2 is a schematic view of a portion of a secure semiconductor chip according to an embodiment.
도 3은 일실시예에 따른 보안 반도체 칩의 동작을 설명하기 위한 예시적인 도면이다.3 is an exemplary diagram for describing an operation of a security semiconductor chip according to an exemplary embodiment.
도 4는 일실시예에 따른 보안 반도체 칩의 동작을 설명하기 위한 예시적인 도면이다.4 is an exemplary diagram for describing an operation of a security semiconductor chip according to an exemplary embodiment.
도 5는 일실시예에 따른 반도체 칩이 패키징의 손상을 감지하는 방법을 설명하기 위한 타이밍 다이어그램이다.FIG. 5 is a timing diagram illustrating a method of detecting damage to a packaging by a semiconductor chip according to an exemplary embodiment.
도 6은 일실시예에 따른 반도체 칩의 보안 장치의 온 칩 포토 다이오드를 예시적으로 보여주는 도면이다.6 is a diagram illustrating an example of an on-chip photodiode of a security device of a semiconductor chip according to an embodiment.
도 7은 일실시예에 따른 반도체 칩이 패키징의 손상을 감지하는 방법을 설명하기 위한 흐름도이다.7 is a flowchart illustrating a method of detecting damage to a packaging by a semiconductor chip according to an exemplary embodiment.
이하에서, 실시예들을 첨부된 도면을 참조하여 상세하게 설명한다. 그러나, 권리범위는 이러한 실시예들에 의해 제한되거나 한정되는 것은 아니다. 각 도면에 제시된 동일한 참조 부호는 동일한 부재를 나타낸다.Hereinafter, embodiments will be described in detail with reference to the accompanying drawings. However, the scope of rights is not limited or limited by these embodiments. Like reference numerals in the drawings denote like elements.
아래 설명에서 사용되는 용어는, 연관되는 기술 분야에서 일반적이고 보편적인 것으로 선택되었으나, 기술의 발달 및/또는 변화, 관례, 기술자의 선호 등에 따라 다른 용어가 있을 수 있다. 따라서, 아래 설명에서 사용되는 용어는 기술적 사상을 한정하는 것으로 이해되어서는 안 되며, 실시예들을 설명하기 위한 예시적 용어로 이해되어야 한다.The terminology used in the description below has been selected to be general and universal in the art to which it relates, although other terms may vary depending on the development and / or change in technology, conventions, and preferences of those skilled in the art. Therefore, the terms used in the following description should not be understood as limiting the technical spirit, and should be understood as exemplary terms for describing the embodiments.
또한 특정한 경우는 출원인이 임의로 선정한 용어도 있으며, 이 경우 해당되는 설명 부분에서 상세한 그 의미를 기재할 것이다. 따라서 아래 설명에서 사용되는 용어는 단순한 용어의 명칭이 아닌 그 용어가 가지는 의미와 명세서 전반에 걸친 내용을 토대로 이해되어야 한다.In addition, in certain cases, there is a term arbitrarily selected by the applicant, and in this case, the meaning thereof will be described in detail in the corresponding description. Therefore, the terms used in the following description should be understood based on the meanings of the terms and the contents throughout the specification, rather than simply the names of the terms.
제1 또는 제2 등의 용어를 다양한 구성요소들을 설명하는데 사용될 수 있지만, 이런 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 해석되어야 한다. 예를 들어, 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소는 제1 구성요소로도 명명될 수 있다.Terms such as first or second may be used to describe various components, but such terms should be interpreted only for the purpose of distinguishing one component from another component. For example, the first component may be referred to as a second component, and similarly, the second component may also be referred to as a first component.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다.When a component is referred to as being "connected" to another component, it should be understood that there may be a direct connection or connection to that other component, but there may be other components in between.
단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 명세서에서, "포함하다" 또는 "가지다" 등의 용어는 설명된 특징, 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 존재함으로 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.Singular expressions include plural expressions unless the context clearly indicates otherwise. As used herein, the terms "comprise" or "have" are intended to designate that the described feature, number, step, operation, component, part, or combination thereof exists, but includes one or more other features or numbers, It is to be understood that it does not exclude in advance the possibility of the presence or addition of steps, actions, components, parts or combinations thereof.
위에서 언급한 바와 같이, 반도체 칩에 대한 다양한 물리적 공격 및 소프트웨어 공격은 반도체 칩의 보안 또는 안정성 측면에서 위협이 될 수 있다. 특히, 반도체 칩의 디패키징을 통해 반도체 칩 내부의 데이터 버스에 접근하는 경우 데이터가 해킹 등에 노출될 수 있으므로 이러한 경우 데이터 유출을 원천적으로 차단할 수 있는 구조를 구비하는 것이 바람직하다.As mentioned above, various physical attacks and software attacks on a semiconductor chip can be a threat in terms of security or stability of the semiconductor chip. In particular, when accessing the data bus inside the semiconductor chip through depackaging of the semiconductor chip, data may be exposed to hacking, etc. In this case, it is desirable to have a structure that can prevent data leakage.
일반적으로, 디패키징이 발생하면 반도체 칩의 패키징 외부로부터의 빛이 패키징 내부로 침투하게 된다. 특수한 사례로서, 암실 등의 제한적 환경에서 디패키징이 발생하는 경우 디패키징 자체로 인한 빛의 침투는 일어나지 않을 수 있으나 데이터 버스에 접근하거나 칩 내부의 구조를 관찰하는 과정에서 포톤이 감지될 수 있다.In general, when depackaging occurs, light from outside the packaging of the semiconductor chip penetrates into the packaging. As a special case, when depackaging occurs in a limited environment such as a dark room, light penetration due to the depackaging itself may not occur, but photons may be detected while accessing the data bus or observing the structure inside the chip.
따라서, 디패키징 공격 또는 기타 비정상적인 상황에 의해 반도체 칩 내부에 빛이 침투하는 상황에서 감광 소자를 통해 이상 상태를 감지하고 필요시 대응 조치를 수행하는 구조가 제안된다. 예를 들어, 반도체 칩은 패키지 내에 에너지 하베스팅 소자를 포함한다. 예시적으로 에너지 하베스팅 소자는 온-칩 포토 다이오드를 포함할 수 있다. 디패키징 공격은 포토 다이오드의 전압 생성을 야기하므로 패키징 내부로의 빛의 침투를 감지할 수 있다. 에너지 하베스팅 기법을 이용하기 때문에 칩에 전원이 공급되지 않는 경우라도 패키지가 제거되거나 손상되는 경우 에너지 하베스터(energy harvester)가 주변 빛으로부터 광에너지를 축적하여 보호 트리거 신호를 동작시킨다. 이하에서 도면들을 참고하여 다양한 실시예들을 더 상세히 설명한다.Therefore, a structure for detecting an abnormal state through a photosensitive device and performing a countermeasure when necessary when a light penetrates inside a semiconductor chip by a depacking attack or other abnormal situation is proposed. For example, semiconductor chips include energy harvesting elements in a package. By way of example, the energy harvesting device may include an on-chip photo diode. The depackaging attack causes the voltage generation of the photodiode to detect the penetration of light into the packaging. Using energy harvesting techniques, energy harvesters accumulate light energy from ambient light to trigger a protective trigger signal even when the package is removed or damaged, even when the chip is not powered. Hereinafter, various embodiments will be described in more detail with reference to the drawings.
도 1은 일실시예에 따른 보안 반도체 칩을 설명하기 위한 블록도이다. 일실시예에서, 보안 반도체 칩(100)은 전위 생성 블록(110), 스위치(120) 및 데이터 버스(130)를 포함할 수 있다. 보안 반도체 칩(100)은 위에서 설명된 바와 같이 광 에너지를 수집하는 방식으로 디패키징 공격 등의 이상 상태를 감지할 수 있다.1 is a block diagram illustrating a security semiconductor chip according to an embodiment. In one embodiment, the secure semiconductor chip 100 may include a potential generating block 110, a switch 120, and a data bus 130. The security semiconductor chip 100 may detect an abnormal state such as a depackaging attack by collecting optical energy as described above.
일실시예에서, 전위 생성 블록(110)은 광 에너지를 수집할 수 있는 구조를 이용하여 일정 수준 이상의 광 에너지가 수집되는 경우 전위차를 발생시키도록 구성될 수 있다. 예를 들어, 전위 생성 블록(110)은 에너지 하베스팅 소자 또는 포토 다이오드 등을 이용하여 패키징 내부에 침투한 광 에너지를 수집하고, 수집된 광 에너지의 적어도 일부를 이용하여 커패시터 및 풀-다운 저항에 의해 전위차를 발생시키도록 할 수 있다.In one embodiment, the potential generating block 110 may be configured to generate a potential difference when more than a predetermined level of light energy is collected using a structure capable of collecting light energy. For example, the potential generating block 110 collects the light energy penetrated into the packaging by using an energy harvesting element or a photodiode, and uses at least a portion of the collected light energy to supply a capacitor and a pull-down resistor. The potential difference can be generated by this.
구체적으로, 전위 생성 블록(110)은 외부로부터의 빛에 노출되는 경우 전류를 발생시키는 적어도 하나의 포토 다이오드, 전류의 적어도 일부에 의한 전하를 저장하는 커패시터 및 전하가 상기 커패시터로부터 방전되도록 하는 풀-다운 저항을 포함할 수 있다.Specifically, the potential generating block 110 includes at least one photodiode that generates a current when exposed to light from outside, a capacitor that stores charge by at least a portion of the current, and a full-charge that causes the charge to be discharged from the capacitor. It may include a down resistor.
일실시예에서, 스위치(120)는 커패시터 및 풀-다운 저항에 의해 발생한 전위차를 이용하여 반도체 칩의 데이터 버스(130)의 데이터 출력을 차단할 수 있다. 예를 들어, 스위치(120)는 광 에너지가 수집되지 않은 상태에서는 턴-오프 되어 데이터 버스(130)의 데이터 출력이 정상적으로 진행되도록 하고, 전위 생성 블록(110)에 의해 광 에너지가 수집되어 디패키징 등의 이상 상태가 감지되는 경우 데이터 버스(130)의 데이터 출력이 정상적으로 진행되지 않도록 차단할 수 있다.In one embodiment, the switch 120 may block the data output of the data bus 130 of the semiconductor chip by using the potential difference generated by the capacitor and the pull-down resistor. For example, the switch 120 is turned off when no light energy is collected to allow the data output of the data bus 130 to proceed normally, and the light energy is collected and depackaged by the potential generating block 110. When an abnormal state such as the like is detected, the data output of the data bus 130 may be blocked so as not to proceed normally.
일실시예에서, 보안 반도체 칩(100)이 복수 개의 데이터 버스(130)를 포함하는 경우 하나의 전위 생성 블록(110)을 복수 개의 데이터 버스(130)가 공유하도록 구성될 수 있다. 예를 들어, 전위 생성 블록(110)이 복수 개의 데이터 버스(130) 각각에 대응하는 복수 개의 스위치(120)에 연결되는 구조가 선택될 수 있다.In one embodiment, when the secure semiconductor chip 100 includes a plurality of data buses 130, one potential generation block 110 may be configured to be shared by the plurality of data buses 130. For example, a structure in which the potential generating block 110 is connected to the plurality of switches 120 corresponding to each of the plurality of data buses 130 may be selected.
도 2는 일실시예에 따른 보안 반도체 칩의 일부를 개략적으로 보여주는 도면이다. 일실시예에서, 보안 반도체 칩은 전위 생성 블록(210), 스위치(220) 및 데이터 버스(230)를 포함할 수 있다.2 is a schematic view of a portion of a secure semiconductor chip according to an embodiment. In one embodiment, the secure semiconductor chip may include a potential generation block 210, a switch 220, and a data bus 230.
일실시예에서, 전위 생성 블록(210)은 포토 다이오드(211), 커패시터(212), 풀-다운 저항(213)을 포함할 수 있다. 예를 들어, 포토 다이오드(211)가 외부로부터의 빛에 노출되는 경우 전류를 발생시키면, 발생된 전류를 이용하여 커패시터(212)에 전하가 저장된다. 전하의 저장으로 인하여 커패시터(212) 상단 노드의 전압이 상승하면, 커패시터(212) 상단 노드 및 그라운드 간의 전압 차에 의해 풀-다운 저항(213)에 의한 방전 전류가 발생하게 된다.In one embodiment, the potential generating block 210 may include a photodiode 211, a capacitor 212, and a pull-down resistor 213. For example, when the photodiode 211 generates a current when it is exposed to light from the outside, charge is stored in the capacitor 212 using the generated current. When the voltage at the upper node of the capacitor 212 rises due to the storage of charge, the discharge current by the pull-down resistor 213 is generated by the voltage difference between the upper node of the capacitor 212 and the ground.
여기서, 커패시터(212) 상단 노드의 전압이 상승하여 임계 전압 이상이 되면, 반도체 칩에 디패키징 등의 이상 상태가 발생한 것으로 간주하여 스위치(220) 등을 통해 반도체 칩에 대한 보호 회로가 동작할 수 있다. 예를 들어, 포토 다이오드(211)에서 발생시키는 전류가 풀-다운 저항(213)을 통해 방전되는 전류보다 큰 경우 커패시터(212) 상단 노드의 전압이 점차 상승하게 되고, 커패시터(212) 상단 노드의 전압이 임계 전압 이상이 되면 반도체 칩에 대한 보호 조치가 수행될 수 있다.Here, when the voltage of the upper node of the capacitor 212 rises above the threshold voltage, the protection circuit for the semiconductor chip may be operated through the switch 220 in consideration of an abnormal state such as depacking in the semiconductor chip. have. For example, when the current generated by the photodiode 211 is greater than the current discharged through the pull-down resistor 213, the voltage at the node of the upper node of the capacitor 212 gradually increases, and the voltage of the upper node of the capacitor 212 is increased. When the voltage is above the threshold voltage, a protective measure may be performed on the semiconductor chip.
제시된 실시예에서는, 반도체 칩에 대한 보호 조치의 예로서, 스위치(220)에 의해 데이터 버스(230)의 데이터 출력이 정상적으로 진행되지 않도록 차단하는 내용이 제시되었다. 커패시터(212) 상단 노드의 전압이 상승하여 스위치(220)가 턴-온 되면, 예를 들어 제2 인버터(inv2)의 출력을 강제적으로 로우로 만들어 데이터 버스(230)의 출력이 모두 로우가 되도록 할 수 있다. 이러한 방식으로 내부 데이터의 패드(PAD) 출력을 차단하여 데이터 버스(230)의 데이터 입력(240)이 데이터 출력(250)에 전달되지 않도록 하여 데이터 출력이 외부의 공격에 의해 유출되지 않도록 할 수 있다.In the illustrated embodiment, as an example of a protective measure for the semiconductor chip, a description has been given of blocking the data output of the data bus 230 from being normally performed by the switch 220. When the voltage of the upper node of the capacitor 212 rises and the switch 220 is turned on, for example, the output of the second inverter inv2 is forced to be low so that the outputs of the data bus 230 are all low. can do. In this manner, the PAD output of the internal data may be blocked to prevent the data input 240 of the data bus 230 from being transmitted to the data output 250 so that the data output may not be leaked by an external attack. .
다만 상기와 같은 데이터 전송 경로의 차단은 패키지 제거나 손상 이벤트가 발생하는 경우에 수행되는 보호 조치의 다양한 실시예 중 하나이며, 광 에너지 하베스팅을 통해 보호 회로가 반도체 칩에 대한 패키지 손상이나 제거 상황 시 이전의 회로와 전기적 상태를 다르게 하는 보호 조치에는 다른 예들이 있을 수 있다. 예시적으로, 반도체 칩에 대한 보호 조치의 다른 실시예로서, 데이터 소거, 데이터 스크램블링, 반도체 칩의 파괴 또는 비활성화 등이 수행될 수 있다. 따라서 보호 조치는 여기에 명시적으로 설명된 예시들로 국한되어 해석되지 않는다.However, the blocking of the data transmission path as described above is one of various embodiments of protection measures performed when a package removal or a damage event occurs, and a package damage or removal situation of a semiconductor chip to a semiconductor chip through optical energy harvesting. There may be other examples of protective measures that differ in electrical state from circuits before the city. For example, as another embodiment of a protective measure for the semiconductor chip, data erasing, data scrambling, destruction or deactivation of the semiconductor chip may be performed. Protection measures are therefore not to be construed as limited to the examples set forth explicitly herein.
포토 다이오드(211)에서 발생시키는 전류가 풀-다운 저항(213)을 통해 흘러서 만드는 전위차가 일정 수준의 임계치 (이 임계치는 트랜지스터 스위치의 턴-온 임계치에 연관될 수 있음)보다 작은 경우는, 보호 회로가 동작하지 않을 수 있다. 에너지 하베스팅에 의해 발생하는 전하가 커패시터(212) 양단에 충분한 전위차를 만들지 못할 정도로 작다면 반도체 칩에 디패키징 등의 이상 상태가 발생한 것으로 보지 않아 보호 회로는 동작하지 않을 수 있다. 이러한 동작 임계치는 회로가 얼마나 민감하게 보호 조치를 취하는지의 민감도에 연관된다. 반도체 칩이 정상적인 동작 중에 일시적으로 발생할 수 있는 암전류(dark current) 또는 반도체 패키징 외부로부터 라디에이팅하여 패키지를 투과하는 X-ray 등에 의해서는 보호 회로가 불필요하게 작동하는 것을 막도록 민감도가 적절히 설정될 수 있다.If the current difference generated by the photodiode 211 flows through the pull-down resistor 213 is less than a certain level threshold (this threshold may be related to the turn-on threshold of the transistor switch), the protection The circuit may not work. If the charge generated by the energy harvesting is small enough to not make a sufficient potential difference across the capacitor 212, the protection circuit may not operate because it is not regarded as an abnormal state such as depackaging in the semiconductor chip. This operating threshold is related to the sensitivity of how sensitive the circuit is to take protective action. Sensitivity may be set appropriately to prevent the protection circuit from operating unnecessarily by dark current that may temporarily occur during normal operation or by X-rays radiating from outside the semiconductor packaging and penetrating the package. Can be.
일실시예에서, 풀-다운 저항(213)은 감지되는 빛의 세기에 따라 보호 회로가 동작하기 시작하는 시점을 조정할 수 있도록 구성된다. 예를 들어, 풀-다운 저항(213)의 저항 값이 증가하면 방전 전류가 감소하므로 포토 다이오드(211)에서 발생시키는 전류가 상대적으로 작더라도 스위치(220)를 통한 데이터 출력 차단이 진행될 수 있다. 반대로, 풀-다운 저항(213)의 저항 값이 감소하면 방전 전류가 증가하므로 포토 다이오드(211)에서 발생시키는 전류가 상대적으로 큰 경우에 스위치(220)를 통한 데이터 출력 차단이 진행될 수 있다.In one embodiment, the pull-down resistor 213 is configured to adjust the timing at which the protection circuit starts to operate in accordance with the intensity of light being sensed. For example, when the resistance value of the pull-down resistor 213 increases, the discharge current decreases, so that the data output blocking through the switch 220 may proceed even if the current generated by the photodiode 211 is relatively small. On the contrary, when the resistance value of the pull-down resistor 213 decreases, the discharge current increases, so that the data output blocking through the switch 220 may proceed when the current generated by the photodiode 211 is relatively large.
즉, 풀-다운 저항(213)을 프로그래머블(programmable)하게 구현하여 방전 전류의 크기를 제어함으로써 전류의 발생 크기에 따른 보호 회로의 동작 시점을 조정할 수 있다. 풀-다운 저항(213)의 저항 값의 크기는 반도체 칩의 특성, 패키징의 종류, 및 반도체 칩이 이용되는 환경 등에 기초하여 적합한 값으로 설계될 수 있으며, 프로그래머블하게 구현될 수 있다.That is, by operating the pull-down resistor 213 programmable to control the magnitude of the discharge current, the operation timing of the protection circuit may be adjusted according to the magnitude of the current. The size of the resistance value of the pull-down resistor 213 may be designed to a suitable value based on the characteristics of the semiconductor chip, the type of packaging, the environment in which the semiconductor chip is used, and the like.
일실시예에서, 보안 반도체 칩이 복수 개의 데이터 버스(230)를 포함하는 경우 하나의 전위 생성 블록(210)을 복수 개의 데이터 버스(230)가 공유하도록 구성될 수 있다. 예를 들어, 전위 생성 블록(210)이 복수 개의 데이터 버스(230) 각각에 대응하는 복수 개의 스위치(220)에 연결되는 구조가 선택될 수 있다.In one embodiment, when the secure semiconductor chip includes a plurality of data buses 230, one potential generation block 210 may be configured to be shared by the plurality of data buses 230. For example, the structure in which the potential generating block 210 is connected to the plurality of switches 220 corresponding to each of the plurality of data buses 230 may be selected.
도 3은 일실시예에 따른 보안 반도체 칩의 동작을 설명하기 위한 예시적인 도면이다. 도 3의 보안 반도체 칩은 예를 들어 도 2에 도시된 보안 반도체 칩의 일부일 수 있다. 일실시예에서, 보안 반도체 칩은 포토 다이오드(311), 커패시터(312), 풀-다운 저항(313), 스위치(320) 및 데이터 버스(330)를 포함할 수 있다.3 is an exemplary diagram for describing an operation of a security semiconductor chip according to an exemplary embodiment. The secure semiconductor chip of FIG. 3 may be part of the secure semiconductor chip shown in FIG. 2, for example. In one embodiment, the secure semiconductor chip may include a photodiode 311, a capacitor 312, a pull-down resistor 313, a switch 320, and a data bus 330.
도 3에는 디패키징 등의 보안 공격이 발생하기 전의 보안 반도체 칩의 동작이 예시적으로 도시된다. 패키징이 손상되지 않은 정상적인 환경에서는 포토 다이오드(311)의 양단이 오픈된 상태와 실질적으로 동일하므로, 커패시터(312) 상단 노드의 전압은 그라운드에 근접한 값으로 유지된다. 위에서 설명되었던 것처럼, 일시적으로 작은 전류가 발생하더라도 풀-다운 저항(313)을 통해 방전되는 구조를 통해 커패시터(312) 상단 노드의 전압이 그라운드에 근접한 값으로 유지될 수 있다.3 exemplarily illustrates an operation of a security semiconductor chip before a security attack such as depacking occurs. In a normal environment in which the packaging is not damaged, since the both ends of the photodiode 311 are substantially the same as the open state, the voltage at the upper node of the capacitor 312 is maintained at a value close to ground. As described above, the voltage at the top node of the capacitor 312 can be maintained at a value close to ground through a structure that is discharged through the pull-down resistor 313 even when a small current is generated temporarily.
즉, 디패키징 등의 보안 공격이 발생하기 전에는 포토 다이오드(211)에서 발생시키는 전류가 풀-다운 저항(213)을 통해 방전되는 전류보다 작도록 설계되기 때문에, 커패시터(312) 상단 노드 및 스위치(320)의 게이트 단자의 전압이 그라운드에 근접한 값으로 유지된다.That is, since the current generated by the photodiode 211 is designed to be smaller than the current discharged through the pull-down resistor 213 before the security attack such as depacking occurs, the node and the switch (top of the capacitor 312) ( The voltage at the gate terminal of 320 is maintained at a value close to ground.
결과적으로 스위치(320)가 턴-오프 된 상태가 유지되므로, 데이터 버스(330)의 데이터 입력(340)에서 제공되는 펄스 트레인은 내부 데이터의 패드(PAD) 데이터 출력(350)에 정상적으로 전달될 수 있다.As a result, since the switch 320 remains turned off, the pulse train provided at the data input 340 of the data bus 330 may be normally transmitted to the pad data output 350 of the internal data. have.
도 4는 일실시예에 따른 보안 반도체 칩의 동작을 설명하기 위한 예시적인 도면이다. 도 4의 보안 반도체 칩은 예를 들어 도 2에 도시된 보안 반도체 칩의 일부일 수 있다. 일실시예에서, 보안 반도체 칩은 도 3에서 설명된 바와 동일하게 포토 다이오드(311), 커패시터(312), 풀-다운 저항(313), 스위치(320) 및 데이터 버스(330)를 포함할 수 있다.4 is an exemplary diagram for describing an operation of a security semiconductor chip according to an exemplary embodiment. The secure semiconductor chip of FIG. 4 may be part of the secure semiconductor chip shown in FIG. 2, for example. In one embodiment, the secure semiconductor chip may include a photodiode 311, a capacitor 312, a pull-down resistor 313, a switch 320, and a data bus 330, as described in FIG. 3. have.
도 4에는 디패키징 등의 보안 공격이 발생한 이후의 보안 반도체 칩의 동작이 예시적으로 도시된다. 패키징이 손상되어 빛이 패키징 내부로 침투한 환경에서는 포토 다이오드(311)에 의해 광 에너지의 감광이 가능하므로, 포토 다이오드(311)에 의해 발생한 전류로 인하여 커패시터(312) 상단 노드의 전압이 점진적으로 상승하게 된다.4 exemplarily illustrates an operation of a secure semiconductor chip after a security attack such as depacking occurs. In the environment where the packaging is damaged and light penetrates into the packaging, the photo energy of the photodiode 311 allows the photosensitive energy to be reduced. Will rise.
즉, 디패키징 등의 보안 공격이 발생한 경우 포토 다이오드(211)에서 발생시키는 전류가 풀-다운 저항(213)을 통해 방전되는 전류보다 크도록 설계되어, 커패시터(312) 상단 노드 및 스위치(320)의 게이트 단자의 전압이 점진적으로 상승하게 된다.That is, when a security attack such as depacking occurs, the current generated by the photodiode 211 is designed to be larger than the current discharged through the pull-down resistor 213, so that the node and the switch 320 at the upper end of the capacitor 312. The voltage at the gate terminal of increases gradually.
커패시터(312) 상단 노드 및 스위치(320)의 게이트 단자의 전압이 상승하여 임계 전압 이상이 되면, 반도체 칩에 디패키징 등의 이상 상태가 발생한 것으로 간주하여 스위치(320)를 통해 데이터 버스(230)의 데이터 출력이 정상적으로 진행되지 않도록 차단할 수 있다. 즉, 스위치(220)가 턴-온 되면, 예를 들어 제2 인버터(inv2)의 출력을 강제적으로 로우로 만들어 데이터 버스(230)의 출력이 모두 로우가 되도록 할 수 있다. 이러한 방식으로 내부 데이터의 패드(PAD) 출력을 차단하여 데이터 버스(330)의 데이터 입력(440)이 데이터 출력(450)에 전달되지 않도록 하여 데이터 출력이 외부의 공격에 의해 유출되지 않도록 할 수 있다.When the voltage at the upper node of the capacitor 312 and the gate terminal of the switch 320 rises above the threshold voltage, an abnormal state such as depackaging occurs in the semiconductor chip, and thus, the data bus 230 is assumed through the switch 320. You can block the data output from proceeding normally. That is, when the switch 220 is turned on, for example, the output of the second inverter inv2 may be forced low so that the outputs of the data bus 230 are all low. In this manner, the PAD output of the internal data may be blocked to prevent the data input 440 of the data bus 330 from being transmitted to the data output 450 so that the data output may not be leaked by an external attack. .
도 5는 일실시예에 따른 반도체 칩이 패키징의 손상을 감지하는 방법을 설명하기 위한 타이밍 다이어그램이다.FIG. 5 is a timing diagram illustrating a method of detecting damage to a packaging by a semiconductor chip according to an exemplary embodiment.
예시적으로, 4개의 데이터 버스의 PAD 출력(PAD0, PAD1, PAD2, PAD3)이 도시된다. VPD는 포토 다이오드에 의해 발생한 전류를 이용하여 커패시터 상단 노드에 형성되는 전압을 의미하고, CLK는 클럭 신호를 의미한다.By way of example, the PAD outputs PAD0, PAD1, PAD2, and PAD3 of four data buses are shown. V PD refers to a voltage formed at the upper node of the capacitor using the current generated by the photodiode, and CLK refers to a clock signal.
도 5에 예시적으로 도시된 VPD의 추이를 살펴보면, 디패키징 공격에 의해 포토 다이오드가 전류를 생성하기 시작하는 제1 시점(510)에서 VPD가 상승하기 시작하고, 일정한 시간 동안 전압이 상승하여 포토 다이오드에서 발생시키는 전류가 풀-다운 저항을 통해 방전되는 전류와 동일해지는 제2 시점(520)에 VPD의 상승이 멈추게 된다.Illustrated in FIG ever look at the trend of the V PD shown, the de-photodiode by the packaging attack begins to rise the V PD at a first time 510 to start generating the current and voltage is raised for a period of time As a result, the rise of V PD is stopped at the second time point 520 where the current generated by the photodiode is equal to the current discharged through the pull-down resistor.
여기서, 제1 시점(510)의 VPD 값 및 제2 시점(520)의 VPD 값 사이의 값으로 임계 전압이 선택될 수 있다. 즉, 임계 전압을 기준으로 데이터 버스의 출력을 차단하는 스위치가 턴-온 되도록 할 수 있다. 차단 스위치가 턴-온 되면, 위에서 설명한 바와 같이 데이터 버스의 출력을 강제적으로 모두 로우가 되도록 할 수 있다. 도시된 예에서, 4개의 데이터 버스의 PAD 출력(PAD0, PAD1, PAD2, PAD3)이 차단 스위치의 작동으로 인하여 일정 시점 이후부터 정상적인 데이터를 출력하지 않고 모두 로우 신호만을 출력하는 것을 확인할 수 있다. 이러한 방식으로 내부 데이터의 유출을 원천적으로 차단할 수 있게 된다.Here, the threshold voltage may be selected as a value between the V PD value at the first time point 510 and the V PD value at the second time point 520. In other words, the switch to cut off the output of the data bus based on the threshold voltage can be turned on. When the disconnect switch is turned on, the output of the data bus can be forced all low as described above. In the illustrated example, it can be seen that the PAD outputs PAD0, PAD1, PAD2, and PAD3 of the four data buses output only low signals without outputting normal data after a certain time due to the operation of the cutoff switch. In this way, the internal data can be prevented from being leaked.
도 6은 일실시예에 따른 반도체 칩의 보안 장치의 온 칩 포토 다이오드를 예시적으로 보여주는 도면이다. 도 6의 온 칩 포토 다이오드는 예를 들어 도 1의 보안 반도체 칩(100)의 전위 생성 블록(110)을 구현하는 데 이용될 수 있다.6 is a diagram illustrating an example of an on-chip photodiode of a security device of a semiconductor chip according to an embodiment. The on-chip photodiode of FIG. 6 may be used, for example, to implement the potential generating block 110 of the secure semiconductor chip 100 of FIG. 1.
도시된 바와 같이, 일실시예에 따른 온 칩 포토 다이오드는 회로 구동에 필요한 고전압을 용이하게 발생시키기 위하여 복수 개의 포토 다이오드가 캐스캐이드 연결되는 트리(tree) 구조를 포함할 수 있다. 이러한 구조를 통해 패키징 내부에 침투한 광 에너지가 수집되면, 수집된 광 에너지의 적어도 일부를 커패시터에 전달하여 전위차를 발생시키도록 할 수 있다. 이러한 트리 구조의 온 칩 포토 다이오드를 채용함으로써 DC-DC 변환기 없이도 회로 구동에 필요한 전압을 생성할 수 있다는 이점이 있다.As shown, the on-chip photo diode according to an embodiment may include a tree structure in which a plurality of photo diodes are cascaded to easily generate a high voltage required for driving a circuit. When the light energy penetrating inside the packaging is collected through such a structure, at least a part of the collected light energy may be transferred to a capacitor to generate a potential difference. By employing the tree-on-chip photodiode, there is an advantage that a voltage required to drive a circuit can be generated without a DC-DC converter.
포토 다이오드는 이와 동일하거나 유사한 기능을 수행할 수 있는 임의의 소자에 의해 대체되거나 함께 이용될 수 있다. 또한, 도 6에 명시적으로 도시된 구조 이외에도 실시예에 적합하게 이를 응용하거나 변형한 구조가 이용될 수 있다.The photodiode can be replaced or used together with any device that can perform the same or similar function. In addition to the structure explicitly shown in FIG. 6, a structure in which it is applied or modified may be used to suit the embodiment.
위에서 설명된 바와 같이, 온 칩 포토 다이오드에서 발생시키는 전류가 풀-다운 저항을 통해 방전되는 전류보다 큰 경우에 커패시터 상단 노드의 전압이 상승하여 차단 스위치가 턴-온 될 수 있다. 따라서, 온 칩 포토 다이오드의 감광 성능 및 세부적인 설계는 풀-다운 저항 및 차단 스위치의 특성을 고려하여 최적화될 수 있다. As described above, when the current generated by the on-chip photodiode is greater than the current discharged through the pull-down resistor, the voltage at the upper node of the capacitor may increase, so that the cutoff switch may be turned on. Therefore, the photosensitive performance and detailed design of the on-chip photodiode can be optimized in consideration of the characteristics of the pull-down resistor and the disconnect switch.
도 7은 일실시예에 따른 반도체 칩이 패키징의 손상을 감지하는 방법을 설명하기 위한 흐름도이다. 예를 들어, 도 7의 방법은 도 1의 보안 반도체 칩(100)를 동작시키는 방법으로서 실시될 수 있다.7 is a flowchart illustrating a method of detecting damage to a packaging by a semiconductor chip according to an exemplary embodiment. For example, the method of FIG. 7 may be implemented as a method of operating the secure semiconductor chip 100 of FIG. 1.
단계(710)에서, 반도체 칩의 패키징 외부로부터 빛이 침투할 수 있다. 이러한 빛의 침투는 디패키징 공격 또는 기타 비정상적인 상황에 의해 반도체 칩의 패키징이 손상된 경우를 의미하므로, 반도체 칩의 패키징 이후 발생할 수 있는 해킹 시도 등을 원천적으로 차단하기 위한 조치가 수행되는 것이 바람직하다.In step 710, light may penetrate from outside the packaging of the semiconductor chip. Since the penetration of light refers to a case in which the packaging of the semiconductor chip is damaged by a depackaging attack or other abnormal situation, it is desirable to take measures to fundamentally block hacking attempts that may occur after the packaging of the semiconductor chip.
위에서도 언급되었던 바와 같이, 암실과 같은 제한적인 환경에서 디패키징이 발생하는 경우 디패키징 자체로 인한 빛의 침투는 일어나지 않을 수 있으나 데이터 버스에 접근하거나 칩 내부의 구조를 관찰하는 과정에서 포톤이 감지될 수 있다.As mentioned above, if depackaging occurs in a confined environment such as a darkroom, light infiltration due to the depacking itself may not occur, but photons may be detected in the process of accessing the data bus or observing the structure inside the chip. Can be.
단계(720)에서, 전위 생성 블록에 의해 풀-다운 저항 양단에 전위차를 발생시킬 수 있다. 즉, 단계(710)에서 빛의 침투가 발생하여 디패키징 등의 보안 공격이 발생한 것으로 간주된 상황이므로, 전위 생성 블록에서 보호 회로 동작을 위한 전위차를 발생시킬 수 있다.In step 720, a potential difference across the pull-down resistor may be generated by the potential generating block. That is, since it is considered that a security attack such as depacking occurs due to light penetration in step 710, a potential difference for the protection circuit operation may be generated in the potential generating block.
예를 들어, 포토 다이오드에서 발생시키는 전류가 풀-다운 저항을 통해 방전되는 전류보다 크도록 설계되어, 커패시터 상단 노드 및 차단 스위치의 게이트 단자의 전압을 점진적으로 상승시킬 수 있다.For example, the current generated by the photodiode is designed to be greater than the current discharged through the pull-down resistor, thereby gradually increasing the voltage at the capacitor top node and the gate terminal of the disconnect switch.
단계(730)에서, 전위차를 이용하여 반도체 칩 내의 데이터 전송 경로가 차단될 수 있다. 예를 들어, 각 데이터 버스의 패드 출력을 강제적으로 로우로 만들어 정상적인 데이터 출력이 전달되지 않도록 할 수 있다. 또한, 반도체 칩에 대한 보호 조치로서, 필요에 따라 추가적으로 또는 대안적으로 데이터 소거, 데이터 스크램블링, 반도체 칩의 파괴 또는 비활성화가 수행될 수 있다. 위에서도 언급했듯이, 여기서는 회로 보호 동작 방법에 관해, 데이터 버스의 데이터 출력을 차단하는 방식 등 일부 실시예들에 대해 설명되었으나, 반도체 칩에 대한 보호 조치는 여기에 명시적으로 설명된 예에 국한되어 해석되어서는 안 된다.In step 730, the data transfer path in the semiconductor chip may be blocked using the potential difference. For example, the pad outputs of each data bus can be forced low so that normal data outputs are not delivered. In addition, as a protective measure for the semiconductor chip, data erase, data scrambling, destruction or deactivation of the semiconductor chip may be performed additionally or alternatively as necessary. As mentioned above, while some embodiments have been described with respect to the method of operating a circuit protection, such as a method of blocking the data output of the data bus, the protection measures for the semiconductor chip are limited to the examples explicitly described herein. It should not be.
이상에서 설명한 실시예에 따르면 칩의 패키지가 손상되거나 제거되었을 때 예시적으로 포토-다이오드와 같은 에너지 하베스팅 소자가 주위의 빛 에너지를 하베스팅하여 보안 데이터를 초기화하거나 지우는 등 트리거 회로를 동작시킨다. 일반 실내에서 조도와 CMOS의 P-N 정션의 빛에 대한 반응도는 각각 0.5W/m2, 0.5A·cm-2/W·cm-2이다. 예시적인 환경을 가정하면, 100um2 면적의 포토다이오드는 2.5nA의 광전류를 생성할 수 있다. 공급 전압 1.8V와 10pF의 커패시터를 가정하면 보호회로 동작에 요구되는 시간은 약 72ms이다. 커패시터가 모두 충전되면 18uA 전류가 10us 동안 트리거 회로에 보고하기 위해 공급된다. 이러한 광 에너지 하베스팅을 통해 SRAM의 내용을 지우는 등의 보호 연산을 매우 빠른 시간 이내 (이를 테면 0.1초 미만)에 수행할 수 있게 된다. 따라서 패키지의 적어도 일부를 제거하거나 침습적 마이크로프로빙 공격을 수행하는 등의 물리적 공격은 상기한 실시예들에 의해 효과적으로 방지된다.According to the exemplary embodiment described above, when a chip package is damaged or removed, an energy harvesting device such as a photo-diode operates a trigger circuit such as to initialize or erase security data by harvesting ambient light energy. In a typical room, the light response of the illuminance and the PN junction of the CMOS is 0.5W / m 2 , 0.5A · cm −2 / W · cm −2, respectively. Assuming an exemplary environment, a 100 μm 2 photodiode can generate 2.5 nA photocurrent. Assuming a supply voltage of 1.8V and a capacitor of 10pF, the time required for the protection circuit operation is about 72ms. When all capacitors are charged, 18uA current is supplied to report to the trigger circuit for 10us. This optical energy harvesting allows protection operations, such as erasing the contents of an SRAM, to be performed in a very short time (eg less than 0.1 second). Thus, physical attack such as removing at least a portion of the package or performing an invasive microprobing attack is effectively prevented by the embodiments described above.
이상에서 설명된 장치는 메모리의 하드웨어 구성요소, 메모리를 제어 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어 구성요소의 조합으로 구현될 수 있다. 예를 들어, 실시예들에서 설명된 장치 및 구성요소는, 예를 들어, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPA(field programmable array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적 컴퓨터를 이용하여 구현될 수 있다.The device described above may be implemented as a hardware component of a memory, a memory as a control software component, and / or a combination of hardware components and software components. For example, the devices and components described in the embodiments may be, for example, processors, controllers, arithmetic logic units (ALUs), digital signal processors, microcomputers, field programmable arrays (FPAs), It may be implemented using one or more general purpose or special purpose computers, such as a programmable logic unit (PLU), microprocessor, or any other device capable of executing and responding to instructions.
소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로(collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상 장치(virtual equipment), 컴퓨터 저장 매체 또는 장치, 또는 전송되는 신호 파(signal wave)에 영구적으로, 또는 일시적으로 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨터 시스템 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.The software may include a computer program, code, instructions, or a combination of one or more of the above, and configure the processing device to operate as desired, or process it independently or collectively. You can command the device. Software and / or data may be any type of machine, component, physical device, virtual equipment, computer storage medium or device in order to be interpreted by or to provide instructions or data to the processing device. Or may be permanently or temporarily embodied in a signal wave to be transmitted. The software may be distributed over networked computer systems so that they may be stored or executed in a distributed manner. Software and data may be stored on one or more computer readable recording media.
실시예에 따른 메모리 동작 제어 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.Memory operation control method according to an embodiment is implemented in the form of program instructions that can be executed by various computer means may be recorded on a computer readable medium. The computer readable medium may include program instructions, data files, data structures, etc. alone or in combination. The program instructions recorded on the media may be those specially designed and constructed for the purposes of the embodiments, or they may be of the kind well-known and available to those having skill in the computer software arts. Examples of computer-readable recording media include magnetic media such as hard disks, floppy disks, and magnetic tape, optical media such as CD-ROMs, DVDs, and magnetic disks, such as floppy disks. Magneto-optical media, and hardware devices specifically configured to store and execute program instructions, such as ROM, RAM, flash memory, and the like. Examples of program instructions include not only machine code generated by a compiler, but also high-level language code that can be executed by a computer using an interpreter or the like. The hardware device described above may be configured to operate as one or more software modules to perform the operations of the embodiments, and vice versa.
실시예들이 비록 한정된 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다. 그러므로, 다른 구현들, 다른 실시예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.Although the embodiments have been described with reference to the accompanying drawings, those skilled in the art can make various modifications and variations from the above description. For example, the described techniques may be performed in a different order than the described method, and / or components of the described systems, structures, devices, circuits, etc. may be combined or combined in a different form than the described method, or other components. Or even if replaced or substituted by equivalents, an appropriate result can be achieved. Therefore, other implementations, other embodiments, and equivalents to the claims are within the scope of the claims that follow.

Claims (16)

  1. 반도체 칩에 있어서,In a semiconductor chip,
    상기 반도체 칩을 통해 처리되는 데이터를 전송하는 적어도 하나의 데이터 버스;At least one data bus for transmitting data to be processed through the semiconductor chip;
    상기 적어도 하나의 데이터 버스와 함께 패키징되어 외부로부터의 빛이 패키지에 의해 차단되는 상태에 있고, 상기 패키지가 상기 외부로부터의 빛을 차단하지 못하는 이벤트를 검출하는 전위 생성 블록; 및A potential generating block packaged together with the at least one data bus to detect an event in which light from the outside is blocked by a package and the package fails to block light from the outside; And
    상기 이벤트가 검출되는 경우 상기 적어도 하나의 데이터 버스 중 적어도 일부 데이터의 전송을 차단하는 스위치A switch to block transmission of at least some data of the at least one data bus when the event is detected
    를 포함하는 반도체 칩.Semiconductor chip comprising a.
  2. 제1항에 있어서,The method of claim 1,
    상기 전위 생성 블록은, 상기 외부로부터의 빛에 노출되는 경우 상기 빛을 이용하여 에너지를 발생시키는 에너지 하베스팅 소자를 포함하는 반도체 칩.The dislocation generating block includes an energy harvesting element that generates energy by using the light when exposed to light from the outside.
  3. 제1항에 있어서,The method of claim 1,
    상기 전위 생성 블록은,The potential generating block,
    상기 외부로부터의 빛에 노출되는 경우 전류를 발생시키는 적어도 하나의 포토 다이오드;At least one photodiode generating a current when exposed to light from the outside;
    상기 전류의 적어도 일부에 의한 전하를 저장하는 커패시터; 및A capacitor that stores charge by at least a portion of the current; And
    상기 전하가 상기 커패시터로부터 방전되도록 하는 풀-다운 저항A pull-down resistor that causes the charge to discharge from the capacitor
    를 포함하는 반도체 칩.Semiconductor chip comprising a.
  4. 제3항에 있어서,The method of claim 3,
    상기 스위치는 상기 풀-다운 저항을 통해 상기 전하가 방전되는 과정에서 상기 풀-다운 저항 양단에 발생하는 전위차에 의해 턴-온되어 상기 적어도 하나의 데이터 버스 중 적어도 일부 데이터를 그라운드 방전 시킴으로써 상기 전송을 차단하는 반도체 칩.The switch is turned on by a potential difference across the pull-down resistor during the discharge of the charge through the pull-down resistor to ground the at least some data of the at least one data bus. Semiconductor chip to cut off.
  5. 제4항에 있어서,The method of claim 4, wherein
    상기 풀-다운 저항은 설정에 의해 저항 값이 프로그램 가능한 능동 소자인 반도체 칩.And the pull-down resistor is an active device whose resistance value is programmable by setting.
  6. 제5항에 있어서,The method of claim 5,
    상기 풀-다운 저항 설정치를 높이는 경우 상기 스위치를 턴-온 하기 위해 요구되는 방전 전류량이 감소하여 상기 스위치는 상대적으로 쉽게 턴-온되고, 상기 풀-다운 저항 설정치를 낮추는 경우 상기 스위치를 턴-온 하기 위해 요구되는 방전 전류량이 증가하여 상기 스위치는 상대적으로 어렵게 턴-온되는 반도체 칩.Increasing the pull-down resistance set point reduces the amount of discharge current required to turn on the switch so that the switch is turned on relatively easily, and turning the switch on when lowering the pull-down resistor set point. The amount of discharge current required to increase the semiconductor chip is relatively difficult to turn on.
  7. 제3항에 있어서,The method of claim 3,
    상기 적어도 하나의 포토 다이오드는 적어도 일부 부분에서 캐스캐이드 연결되는 복수 개의 포토 다이오드를 포함하는 반도체 칩.And the at least one photodiode comprises a plurality of photodiodes cascaded at least in part.
  8. 제3항에 있어서,The method of claim 3,
    상기 적어도 하나의 포토 다이오드는 트리 구조로 계층적 연결되는 복수 개의 포토 다이오드를 포함하는 반도체 칩.The at least one photodiode includes a plurality of photodiodes hierarchically connected in a tree structure.
  9. 제1항에 있어서,The method of claim 1,
    상기 적어도 하나의 데이터 버스는 병렬적으로 각각 데이터를 전송하는 복수 개의 데이터 버스를 포함하고, 상기 복수 개의 데이터 버스는 상기 전위 생성 블록을 공유(share)하는 반도체 칩.And said at least one data bus comprises a plurality of data buses each transferring data in parallel, said plurality of data buses sharing said potential generating block.
  10. 반도체 칩 패키징 내에 임베드되는 보호 장치에 있어서,A protective device embedded in a semiconductor chip packaging,
    상기 패키지가 상기 외부로부터의 빛을 차단하지 못하는 이벤트를 검출하는 전위 생성 블록; 및A potential generating block for detecting an event in which the package fails to block light from the outside; And
    상기 이벤트가 검출되는 경우 상기 반도체 칩 내의 적어도 일부 데이터 전송 경로를 차단하는 스위치A switch to block at least some data transmission paths in the semiconductor chip when the event is detected
    를 포함하는 장치.Device comprising a.
  11. 제10항에 있어서,The method of claim 10,
    상기 전위 생성 블록은,The potential generating block,
    상기 외부로부터의 빛에 노출되는 경우 전류를 발생시키는 적어도 하나의 포토 다이오드;At least one photodiode generating a current when exposed to light from the outside;
    상기 전류의 적어도 일부에 의한 전하를 저장하는 커패시터; 및A capacitor that stores charge by at least a portion of the current; And
    상기 전하가 상기 커패시터로부터 방전되도록 하는 풀-다운 저항A pull-down resistor that causes the charge to discharge from the capacitor
    를 포함하는 장치.Device comprising a.
  12. 제11항에 있어서,The method of claim 11,
    상기 스위치는 상기 풀-다운 저항을 통해 상기 전하가 방전되는 과정에서 상기 풀-다운 저항 양단에 발생하는 전위차에 의해 턴-온되어 상기 전송 경로 중 일부를 그라운드 시킴으로써 상기 전송 경로를 차단하는 장치.And the switch is turned on by a potential difference across the pull-down resistor in the process of discharging the charge through the pull-down resistor to block the transfer path by grounding a portion of the transfer path.
  13. 제12항에 있어서,The method of claim 12,
    상기 풀-다운 저항은 설정에 의해 저항 값이 프로그램 가능한 능동 소자인 장치.Wherein the pull-down resistor is an active element whose resistance value is programmable by setting.
  14. 제13항에 있어서,The method of claim 13,
    상기 풀-다운 저항 설정치를 높이는 경우 상기 스위치를 턴-온 하기 위해 요구되는 방전 전류량이 감소하여 상기 스위치는 상대적으로 쉽게 턴-온되고, 상기 풀-다운 저항 설정치를 낮추는 경우 상기 스위치를 턴-온 하기 위해 요구되는 방전 전류량이 증가하여 상기 스위치는 상대적으로 어렵게 턴-온되는 장치.Increasing the pull-down resistance set point reduces the amount of discharge current required to turn on the switch so that the switch is turned on relatively easily, and turning the switch on when lowering the pull-down resistor set point. The amount of discharge current required to make the switch turn on relatively difficult.
  15. 제11항에 있어서,The method of claim 11,
    상기 적어도 하나의 포토 다이오드는 트리 구조로 계층적 연결되는 복수 개의 포토 다이오드를 포함하는 장치.And the at least one photodiode comprises a plurality of photodiodes hierarchically connected in a tree structure.
  16. 반도체 칩이 패키징의 손상을 감지하는 방법에 있어서,In the method in which the semiconductor chip detects the damage of the packaging,
    상기 패키징의 손상에 의해 상기 반도체 칩의 패키징 외부로부터 빛이 침투하는 경우, 온-칩 모듈 형태로 임베드된 전위 생성 블록이 풀-다운 저항 양단에 전위차를 발생시키는 단계; 및When light penetrates from outside the packaging of the semiconductor chip due to the damage of the packaging, the potential generating block embedded in the on-chip module form generating a potential difference across the pull-down resistor; And
    상기 전위차에 의해 상기 반도체 칩 내의 데이터 전송 경로 중 적어도 일부가 그라운드 되어 데이터 전송이 차단되는 단계At least a portion of the data transfer path in the semiconductor chip is grounded by the potential difference to block data transfer
    를 포함하는 방법.How to include.
PCT/KR2017/001491 2016-02-12 2017-02-10 Security semiconductor chip and method for operating same WO2017138773A1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
US16/076,473 US10778679B2 (en) 2016-02-12 2017-02-10 Secure semiconductor chip and operating method thereof
CN201780010930.7A CN108701192B (en) 2016-02-12 2017-02-10 Secure semiconductor chip and method for operating the same

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
KR10-2016-0016587 2016-02-12
KR20160016587 2016-02-12
KR1020170018692A KR102666954B1 (en) 2016-02-12 2017-02-10 Secure semiconductor chip and operating method thereof
KR10-2017-0018692 2017-02-10

Publications (1)

Publication Number Publication Date
WO2017138773A1 true WO2017138773A1 (en) 2017-08-17

Family

ID=59563171

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/KR2017/001491 WO2017138773A1 (en) 2016-02-12 2017-02-10 Security semiconductor chip and method for operating same

Country Status (1)

Country Link
WO (1) WO2017138773A1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019211726A1 (en) 2018-04-29 2019-11-07 Trilicon Llc Hardware-based system for cybersecurity protection of microprocessor systems
CN112214804A (en) * 2020-10-16 2021-01-12 天津津航计算技术研究所 Micro-system chip for preventing vacuum packaging cap opening cracking

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4910707A (en) * 1984-09-27 1990-03-20 Siemens Aktiengesellschaft EEPROM with protective circuit
KR100252563B1 (en) * 1990-10-04 2000-04-15 매클린토크 샤운 엘 Integrated circuit chip
KR20040049117A (en) * 2002-12-05 2004-06-11 삼성전자주식회사 Semiconductor integrated circuit with security function
KR20050066558A (en) * 2003-12-26 2005-06-30 매그나칩 반도체 유한회사 Semiconductor device for reinforcing security by using photo detection circuit
KR20080112803A (en) * 2007-06-22 2008-12-26 삼성전자주식회사 Semiconductor device and method for detecting abnormal operation

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4910707A (en) * 1984-09-27 1990-03-20 Siemens Aktiengesellschaft EEPROM with protective circuit
KR100252563B1 (en) * 1990-10-04 2000-04-15 매클린토크 샤운 엘 Integrated circuit chip
KR20040049117A (en) * 2002-12-05 2004-06-11 삼성전자주식회사 Semiconductor integrated circuit with security function
KR20050066558A (en) * 2003-12-26 2005-06-30 매그나칩 반도체 유한회사 Semiconductor device for reinforcing security by using photo detection circuit
KR20080112803A (en) * 2007-06-22 2008-12-26 삼성전자주식회사 Semiconductor device and method for detecting abnormal operation

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019211726A1 (en) 2018-04-29 2019-11-07 Trilicon Llc Hardware-based system for cybersecurity protection of microprocessor systems
US11182509B2 (en) 2018-04-29 2021-11-23 Trilicon Llc Hardware-based system for cybersecurity protection of microprocessor systems
CN112214804A (en) * 2020-10-16 2021-01-12 天津津航计算技术研究所 Micro-system chip for preventing vacuum packaging cap opening cracking

Similar Documents

Publication Publication Date Title
US10778679B2 (en) Secure semiconductor chip and operating method thereof
US7087938B2 (en) ESD protective circuit with collector-current-controlled triggering for a monolithically integrated circuit
CN112204728B (en) Fault injection attack detection in integrated circuits
TWI425732B (en) Integrated circuit and bank of input/out (i/o) cells, and method for compensating for electrostatic discharge (esd) at an integrated circuit
US7969763B2 (en) Detector circuit for detecting an external manipulation of an electrical circuit, circuit arrangement comprising a plurality of detector circuits, memory device and method for operating a detector circuit
US20070297105A1 (en) Active ESD Protection
WO2017138773A1 (en) Security semiconductor chip and method for operating same
WO2015012667A1 (en) Device and method for testing randomness
US20120243133A1 (en) Electrostatic discharge protection circuit
CN105047663A (en) Integrated circuit having an esd protection structure and photon source
US7573691B2 (en) Electrical over stress robustness
CN104242286B (en) A kind of low leakage type power clamp ESD protective circuit
US11769740B2 (en) Detection of laser-based security attacks
TWI790970B (en) Secure integrated circuit
CN206685382U (en) Electronic chip
TW201906132A (en) Novel electrostatic discharge protection circuit
WO2014119834A1 (en) Circuit for detecting optical fault injection using buffers on reset signal path
Matsuda et al. An IC-level countermeasure against laser fault injection attack by information leakage sensing based on laser-induced opto-electric bulk current density
WO2015053441A1 (en) Apparatus and method for generating identification key
CN109492437B (en) Chip with circuit for detecting attacks on the chip
US6456472B1 (en) ESD protection in mixed signal ICs
CN110071127A (en) Image sensor apparatus, imaging sensor and the method for reducing static discharge
WO2015053440A1 (en) Apparatus and method for generating identification key
US9785508B2 (en) Method and apparatus for configuring I/O cells of a signal processing IC device into a safe state
KR100587089B1 (en) Electrostatic protection device for semiconductor device

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 17750465

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 17750465

Country of ref document: EP

Kind code of ref document: A1