密码芯片的物理攻击与防护对策

1、微电子学研究所微电子与纳电子学系X Tsinghua University微电子学研究所微电子与纳电子学系微电子学研究所微电子与纳电子学系密码 芯片的物理攻击与防护 对策微电子学研究所微电子与纳电子学系微电子学研究所微电子与纳电子学系淸华大学微电子学研究所许军2012年8戸27日内客提要密码 芯片面临的 安全性挑战 各种常见的物理攻击技术分析 针对不同 物理攻击手段的 防护 对策 总结与展望微电子学研究所微电子与纳电子学系微电子学研究所微电子与纳电子学系微电子学研究所微电子与纳电子学系闯容提要密码 芯片面临的 安全性挑战微电子学研究所微电子与纳电子学系微电子学研究所微电子与纳电子学系(Eave

2、sdropping )窃听攻击方法近年来，涉及信息安全的密码芯片面临着越来 越严重的安全性挑战，已经出现了各种不同层次、 不同水平的攻击手段，概括起来主要可以划分为以 下几种：(1)(2)软件攻击方法(Software Attacks )A非被坏 性攻击(3)故障生成方法(Fault Generation) (4)微区探测方法(Microprobing )破坏性 攻击W兹丿场微电子学研究所切gU金矗微电子与纳电子学系I 一T(1)斓听攻击方法VddPFETDVinS这种攻击方法既不需打开芯片的封装，也不需 耍操纵芯片的工作过程，只需通过检测、分析密码 芯片正常工作时泄漏出来的各种电磁辐射估号的

3、组 成、电源供电电流的起伏涨落、各种借号线上的泄 漏电流以及各种通讯协议的时序等，就可以分析破 解获讶密码芯片中的相关加密信息。 有时也称之为“旁路攻击方法 例如：功耗分析方法 包括：简草功耗分析 差分功耗分析 (一阶、髙阶)CMOS电路结构 NFET(2) 软件攻击方法这种攻击方法圭耍是利用 密码芯片的通讯协议、 密码算法及其电路实现过程中存在的各种安全性漏 洞，采用正常的标准通讯接口对密码芯片进行攻击, 从而获取芯片中相关的加 WtfrMo 例如：软件审举搜索法等(3) 故障生成方法这种 攻击方法通过使密码 芯片工作在特殊的 外 部环境应力条件下(例如髙低遍、电源电压拉佈和 峰值冲击、时钟

4、相位跳变、电离辐射、违反通讯协 议以及强制局部电路复位等), 来诱发关键器件的 失效行为，扰乱电路中的加密系绽，从而激发芯片 的内部故障，最终获取芯片的相关加密估息。微电子学研究所微电子与纳电子学系(4)微区探测方法这种攻击方法需要打开密码芯片的封装，然后 利用微探针探测芯片內 部的关键数据通道等相关结构，从而截获芯片的相关加密信息。这是一种破坏性的物理攻击方法，如果它与芯片的光学反向工程技术相配合,甚至最终可以宪成蓬个密码电路芯片的版置构O矍物卩了/ f微电子与纳电子学系淀人2 Tsinghua Universityo,最终完成密码感乡卩Pu乂 f微电子与纳电子学系0將歹 Tsinghua

5、University(6)对于传统的ROM存储阵列，在去除各种覆盖 层之后，根据其场裟边界和扩散 区形状及分布情况, 即可确定和获取ROM 存储阵列 中的编码借息;it0bijIhokhh)1)1)N(j(0b)blol0(5l 微电子学研究所微电子与纳电子学系微电子学研究所微电子与纳电子学系000同拒邛丽诟瓯1工上门仃心【微电子学研究所微电子与纳电子学系晶硅和金属后的扩散区形，右侧中绿色为多晶硅示为一个16 X 10的ROM存储阵列，左侧为去除多字线，蓝色为金属数据线，無色为接地线。Tsinghua University(7)对于釆用离子注入方法改变MOS器件阈值电压进行ROM编码的存储阵列

6、,其编码估息无法通过扩微电子学研究所微电子与纳电子学系微电子学研究所微电子与纳电子学系散区的形状及分布情况获爲，但是还可以采用去除多晶 硅字线之后对器件有源 区表面进行晶体染色的 方法来显示，这种晶体染色的方法利用不同浓度掺杂区域具有不同的腐蚀速卒,来区别具*不同阈值电压的瑟髓 N嫁丿微电子学研究所I 一T内（大（金属薄膜或绝（8）对于EEPROM和Flash等不挥发存储器，可以通 过对普通的SEM进行增强改造，增加电压衬度函 数，利用初始电子（例如：25kV, 5nA）轰击芯片 中 相应的 目 标位Jt产生二次电子，再借助维/仪和探 测器记录二次电子的数愛及其能量，就可以显示出芯 片中不同位

7、置处电场及电势的区别，由此就可以确定 EEPROM或Flash存储单元中存储的估息;部修正与更改。缘层），从而实现对密码芯片内部电路连接关系的局（9）釆用 聚集离子束技术还可以在微区范 约在几十纳米）去除或淀积某些材料矍物卩了/ f微电子与纳电子学系淀人2 Tsinghua University常见的物理攻击技术分析:从上面介绍的物理攻击步骤中我们可以看到，攻 击者对于密码芯片 中相关加密估恵的物理攻击手段基 本上可以分为 以下三个层次:(1) 焊盘宜接访问：充分利用 电路芯片中原有的封 装Pad和內部预留的测试Pad, 宜接访问CPU或存储 器的数据总线，获讶相关的符储信息；(2) 微睦探测

8、截获：在无法宜接访问的侪况下，可 以利用澈光局部切割和微区探针检测的方法，对芯片 中的关键数据通道进行探测和估息截获；间接分析获得：通过芯片的反向解剖工程，进 行电路版图鷲构，同时借助各种辅助分析手段间揍获 得芯片中 存储的估息。W兹丿场微电子学研究所切gU金矗微电子与纳电子学系I 一T澤卅屮心券卅屮卡沽5朗常廉单聲尊矗畀*%讯g 堆4UFW兹丿场微电子学研究所切gU金矗微电子与纳电子学系I 一TW兹丿场微电子学研究所切gU金矗微电子与纳电子学系I 一T针对上述三个层次的物理攻击手段，我们可以分 别采取不同的应对防护措施。前从电路设计:审度采(1) 针对“焊盘宜接访问”的防护措施： 这种攻击手

9、段最为低劣， 取的诸多隔离和加密措施 已经可以疽效地防范和 抵御, 但是在电路设计中仍需注意: 在密码芯片的设计中尽畳不要保留(戒少保留) 内部测试用的Pad;尤其是芯片内部各类数据总线上提供给片上测试 用的并行/串行转换器电路等测试结构在宪成测试 功能后也必须他底毁坏；还可以尽畳将这些内部测试用Pad以及辅助测试 电路结构安排在相邻芯片之间的切割道中。W兹丿场微电子学研究所切gU金矗微电子与纳电子学系I 一T瑟髓 N嫁丿微电子学研究所矍物卩了/ f微电子与纳电子学系淀人2 Tsinghua University(2) 针对“微眩探测截获”的防护措施：这种微实探测截获手段具有校强的攻击性，针对

10、 这种攻击，电路设计师在电路设计中除了采取传统的 防护措施之外，还应特别注意： 尽采用 高端的 先进工艺技术来制 造芯片； 尽畳将相关的数据总线、控制总线等关键数据通 道设计在多层金属互连布线的底层；在各类关键数据通道布线的上方尽可能设计多层 必要的 电源、地线和时钟估号线网 络；在上述底层关键数据通道布线的顶层或中间层设 计密集的金属传感器网络,在电路毎次启动的过 程中首先检测传感器网络否发生断路或短路， 从而触发内部电路报警(例如终止处理器的运行 或完成Flash存储估息的他底擦除等)o微电子学研究所微电子与纳电子学系所示为在多层金属布线的顶层戒中间层设计(SENSEOGNDSENSE的密

11、集金属传感器网络，用于检测是否出现微区局部 切割等物理攻击。VCCO亘左图为出现物理攻击时的情形，传感网络将触发电路报警并釆取抵御措施。亘(3) 针对“反向解剖工程”的防护措施:这种反向 解剖 分析手段对于密码芯片具有最大的威胁性，针对这种攻击，电路设计师在电路设计中可 釆取的应对措施包括： 尽采用 高端的 先进工艺技术来制 造芯片； 芯片中固化的ROM 存储阵列尽可能釆用 两种反型的离子注入掺杂来调itMOS晶体管的开启电压； 电路中用到的不挥发存储器尽可能选用SONOS等 结构的电荷俘获型存储器，进免使用传统的浮栅 型不挥发存储器； 在多层金属布线的顶层和中间层设计大査的冗余 金属防护结构

12、； 尽采用 不逑明且不易被各种酸碱腐蚀液去除的 表面钝化保护材料。瑟髓 N嫁丿微电子学研究所矍物卩了/ f微电子与纳电子学系淀人2 Tsinghua University关于芯片表面物理防护的等级: 普通的钝化保护：通常为二氧化硅. 氮化硅等绝缘 介质或聚酰亚脸等高分子聚合物材料，其特点是工 艺技术兼容性好、寄生效应小、物理化学性质稳定, 存在问题是材料本身透明、易于腐蚀去除； 中等的物理防护：我面可以选用合适的难熔金属薄 膜等不逑明材料，能够抵御各种可见光、X射线、 红外线、紫外线的穿透，存在问题是可能会带来校 大的寄生效应，对于FIB刻蚀也是无能为力的；. 不透明材料，負岂够耐受各先进的物

13、理防护:坚种酸、械溶液腐蚀且难以去除(或者在去除的同时 将弓I起芯片内部器件或电路结构的破坏), 工艺放 术兼容性好、寄生效应小(? ? ? ) o微电子学研究所微电子与纳电子学系彳虧乡卩Pu乂 f微电子与纳电子学系淀人2 Tsinghua Universityi针对以上分析的各种常见的密码芯片物理解剖 攻击方法，我们提出了一种“在顶层互连a孔处及 其附近进行下层 电路结构与金属布线的加 密处理并 同 时覆盖大面积顶层金属阵列和传感网 络交错结构” 的抗物理解剖技术，该技术的基本思想就是利用前集成 电路制 造工艺中业 已成煎的多层金属 布线工 艺技术，达到如下几点抗物理攻击的目的： 利用芯片表

14、面大面积的顶层金属阵列覆盖，可以 阻挡各种宜接的显微照相技术的实施，包括普通 显微照相技术、红外显微照相技术、x射线显微 照相技术等，阻止攻击者对密码芯片基体结构、 电路功竟邑分块、焊盘弓I脚定义的直观判 断；当攻击者试利用FIB或激光切 割技术局部去除表面金属层从而探测芯片内 部关键数据通道时，金 属传感网 络将触发电路报警并采取相应的终止处 理器运行或擦除Flash存储信息等抵卿措施； 在大面积顶层金属阵列的下方可设置大量的互连通孔，当攻击者试图通过化学腐蚀或干法刻蚀等 多种薄膜剥离技术对顶层金属进行逐层剥离时， 将会使通孔处及其附近的下层电路结构和金属布 码芯片电路的完推恢复和版图證构；

15、 利用顶层金属阵列的覆盖，对通孔处及其附近的 下层金属布线和电路结构可进行必耍的加密处理, 从而进一步提高密码芯片抗物理攻击的強度。线受到 不同 程度的侵蚀和破坏，从而难以实现密微电子学研究所微电子与纳电子学系Tsinghua University微电子学研究所微电子与纳电子学系微电子学研究所微电子与纳电子学系内容提要微电子学研究所微电子与纳电子学系微电子学研究所微电子与纳电子学系总结与展望微电子学研究所微电子与纳电子学系微电子学研究所微电子与纳电子学系微电子学研究所微电子与纳电子学系顶层设置网 状金属传感器和加密金属阵列可能是近期 密码芯片物理防护的一个有效措施。攻击与防御是密码芯片研究领域

16、 中的 两个永恒 的主题，任何一种防护对策都有可维4艮快面临衙的 攻击技术的挑战。从物理防护的升度来看，未来戒许可以利用SIP技术进一步实现密码芯片的攻击触发自毁功能。微电子学研究所微电子与纳电子学系参考文献：S. Blythe, et al,u Layout Reconstruction of Complex Silicon Chips J IEEE Journal of Solid-State Circuits, 28(2)，pp.l38145, February 1993.FIPS PUB 140-1, u Security Requirements for Cryptographic Modules/5 National Institute of Standards and Technology, U.S. Department of Commerce，11 January 1994.Oliver Komme