專利名稱:用于檢測和阻礙對(duì)安全系統(tǒng)的未授權(quán)訪問和惡意攻擊的系統(tǒng)和方法
用于檢測和阻礙對(duì)安全系統(tǒng)的未授權(quán)訪問和惡意攻擊的系 統(tǒng)和方法
相關(guān)申請(qǐng)的交叉引用
本申請(qǐng)要求于2011年8月29日提交的題目為“Systems and Methods for Detecting and Thwarting Unauthorized Access and Hostile Attacks on Secured Systems”的美國專利申請(qǐng)No. 13/220,012的優(yōu)先權(quán)��,在此以引用的方式將其主題并入本文����。技術(shù)領(lǐng)域
本發(fā)明通常涉及安全系統(tǒng),尤其涉及通過以下方式檢測篡改和阻止未授權(quán)訪問的 系統(tǒng)��、設(shè)備和方法在對(duì)布置在安全系統(tǒng)中的敏感區(qū)域之上的導(dǎo)線進(jìn)行耦合�����、驅(qū)動(dòng)和感測的 過程中并入可編程性和隨機(jī)性感測。
背景技術(shù):
安全系統(tǒng)一般指一種電子系統(tǒng)�����,該電子系統(tǒng)用于涉及在可信環(huán)境中對(duì)寶貴資產(chǎn)進(jìn) 行可信操作的應(yīng)用��。該電子系統(tǒng)可以包括集成電路���,所述集成電路包含用于在安全系統(tǒng)中 處理����、存儲(chǔ)或傳輸敏感數(shù)據(jù)的中央處理單元(CPU)核心��、存儲(chǔ)器以及輸入/輸出(1/0)外圍 設(shè)備�。這種敏感數(shù)據(jù)可以包含賬號(hào)、訪問碼����、私有信息、金融交易/結(jié)余����、權(quán)利管理、計(jì)量數(shù) 據(jù)(例如��,能量,單位)�、程序算法和其他信息。迄今為止�,安全系統(tǒng)已廣泛地應(yīng)用于安全關(guān)鍵 應(yīng)用(例如電子銀行、商業(yè)交易和付費(fèi)電視訪問控制)或任意要求敏感資產(chǎn)保護(hù)的應(yīng)用����。
小偷或黑客可能企圖通過篡改集成電路(例如,CPU核心����,存儲(chǔ)器和1/0外圍設(shè)備) 的敏感區(qū)域來訪問安全系統(tǒng)中的敏感數(shù)據(jù)。敏感區(qū)域一般由涂層材料的屏蔽層覆蓋��,另外�, 包含敏感區(qū)域的集成電路可以包裝在屏蔽封裝中。在未授權(quán)訪問期間��,為了獲得對(duì)敏感區(qū) 域和敏感數(shù)據(jù)的訪問�����,黑客不得不刺穿屏蔽層或屏蔽封裝�����。
為了檢測未授權(quán)訪問���,傳統(tǒng)安全系統(tǒng)包含基于屏蔽層的篡改檢測系統(tǒng)����,該屏蔽層 被配置成覆蓋敏感區(qū)域的導(dǎo)線跡線(trace)��。圖1示出了由導(dǎo)線跡線覆蓋的集成電路����。力 電路和感測電路集成在底層的集成電路中。所選跡線的一端可以由已知激勵(lì)(例如�����,邏輯高 或邏輯低)驅(qū)動(dòng)��,同時(shí)該跡線的另一端由感測電路監(jiān)控���。當(dāng)檢測到的電平與已知激勵(lì)不符 時(shí)���,該跡線被認(rèn)為是損壞的或短路至另一跡線,并且檢測到屏蔽層的篡改。
然而�����,這種檢測容易繞過�����,并且可能無法滿足隨著使用了最新技術(shù)的安全系統(tǒng)而 出現(xiàn)的嚴(yán)格安全要求�。上述篡改檢測方法僅僅檢測屏蔽層中導(dǎo)電跡線的開路或短路。此 外��,黑客可以破譯已知激勵(lì)的模式�,并且通過直接在用于感測的末端應(yīng)用感測激勵(lì)來繞過 跡線。更直截了當(dāng)?shù)?����,黑客甚至可以使跡線的兩端短路以避免篡改檢測�����。由于黑客技術(shù)變 得越來越精密�����,這樣簡單的篡改檢測方法不能滿足目的���,不得不以相對(duì)低的成本引進(jìn)競爭 性的防篡改方法以阻止對(duì)安全系統(tǒng)的未授權(quán)訪問����,尤其是對(duì)于涉及不菲交易的那些安全系 統(tǒng)更是如此�。發(fā)明內(nèi)容
本發(fā)明的各個(gè)實(shí)施例涉及通過以下方式檢測篡改和阻止未授權(quán)訪問的系統(tǒng)、設(shè)備 和方法在對(duì)布置在安全系統(tǒng)中的敏感區(qū)域之上的導(dǎo)線進(jìn)行耦合���、驅(qū)動(dòng)和感測的過程中并 入可編程性和隨機(jī)性感測�。經(jīng)由隨機(jī)數(shù)將可編程性和隨機(jī)性引入包含陣列配置�、驅(qū)動(dòng)激勵(lì)、 SENSE節(jié)點(diǎn)以及檢測模式在內(nèi)的系統(tǒng)參數(shù)中的至少一項(xiàng)����。
本發(fā)明的一個(gè)方面為包括安全網(wǎng)格網(wǎng)絡(luò)、隨機(jī)數(shù)發(fā)生器��、安全控制器和安全監(jiān)控 器的篡改檢測系統(tǒng)�����。安全網(wǎng)格網(wǎng)絡(luò)還包括多個(gè)安全元件�����,并且每個(gè)安全元件是由一條導(dǎo)電 金屬線制成的。隨機(jī)數(shù)發(fā)生器產(chǎn)生多個(gè)隨機(jī)數(shù)�����。安全控制器被耦合于隨機(jī)數(shù)發(fā)生器和安全 網(wǎng)格網(wǎng)絡(luò)之間����,根據(jù)從多個(gè)隨機(jī)數(shù)中選擇的至少一個(gè)隨機(jī)數(shù)而從安全網(wǎng)格網(wǎng)絡(luò)中選擇安全 元件子集,根據(jù)陣列配置形成安全陣列���,以及產(chǎn)生驅(qū)動(dòng)激勵(lì)以驅(qū)動(dòng)安全陣列�。安全監(jiān)控器被 耦合至安全網(wǎng)格網(wǎng)絡(luò)和安全控制器�;并被用于選擇至少一個(gè)SENSE節(jié)點(diǎn),根據(jù)檢測模式監(jiān) 控在SENSE節(jié)點(diǎn)處的輸出�,并產(chǎn)生指示是否檢測到篡改企圖的標(biāo)志信號(hào)。
本發(fā)明的另一方面為包括安全網(wǎng)格網(wǎng)絡(luò)����、隨機(jī)數(shù)發(fā)生器、安全控制器和安全監(jiān)控 器的篡改檢測系統(tǒng)���。具體地��,安全監(jiān)控器是基于混合檢測模式的�,在該混合檢測模式中可以 以模擬檢測模式或數(shù)字檢測模式驅(qū)動(dòng)和感測安全陣列��。
本發(fā)明的一個(gè)方面為檢測安全系統(tǒng)中的篡改企圖的方法�����。產(chǎn)生多個(gè)隨機(jī)數(shù)��。根據(jù) 從多個(gè)隨機(jī)數(shù)中選擇的至少一個(gè)隨機(jī)數(shù)而從多個(gè)安全元件中選擇安全元件子集���,并且所述 多個(gè)安全元件包含在安全網(wǎng)格網(wǎng)絡(luò)中����,所述安全網(wǎng)格網(wǎng)絡(luò)覆蓋安全系統(tǒng)中的集成電路的敏 感區(qū)域���。所選安全元件根據(jù)陣列配置串聯(lián)耦合以形成安全陣列��。隨后產(chǎn)生驅(qū)動(dòng)激勵(lì)以驅(qū)動(dòng) 安全陣列�����。從安全陣列中的末端節(jié)點(diǎn)和中間節(jié)點(diǎn)中選擇SENSE節(jié)點(diǎn)���,并根據(jù)與驅(qū)動(dòng)激勵(lì)相 關(guān)聯(lián)的檢測模式監(jiān)控在該SENSE節(jié)點(diǎn)處的輸出����。輸出用于指示是否檢測到篡改企圖的標(biāo)志 信號(hào)�。
已經(jīng)在該概要部分中概括地描述了本發(fā)明的某些特征和優(yōu)點(diǎn);然而����,附加特征、優(yōu) 點(diǎn)和實(shí)施例在本文中給出或者鑒于其附圖�、說明書和權(quán)利要求對(duì)于本領(lǐng)域普通技術(shù)人員將 會(huì)更加明顯。因此��,應(yīng)當(dāng)理解��,本發(fā)明的范圍不應(yīng)由該概要部分中公開的特定實(shí)施例來限定�����。
將參考本發(fā)明的實(shí)施例���,在附圖中示出了這些實(shí)施例的例子����。這些圖旨在是說明 性的,而非限制性的��。雖然通常在這些實(shí)施例的上下文中描述本發(fā)明�����,但是應(yīng)當(dāng)理解��,并非 旨在將本發(fā)明的范圍限于這些特定實(shí)施例�����。
圖(“FIG. ”)I示出了由導(dǎo)線跡線覆蓋的集成電路�����。
圖2示出了根據(jù)本發(fā)明各個(gè)實(shí)施例的在安全系統(tǒng)中的篡改檢測系統(tǒng)的示例性框 圖�。
圖3A示出了根據(jù)本發(fā)明各個(gè)實(shí)施例的集成電路塊中的敏感區(qū)域的示例性橫剖面��。
圖3B示出了根據(jù)本發(fā)明各個(gè)實(shí)施例的第一集成電路的示例性橫剖面�����,該第一集 成電路包含由第二集成電路覆蓋的敏感區(qū)域��。
圖3C示出了根據(jù)本發(fā)明各個(gè)實(shí)施例的集成電路的示例性橫剖面,該集成電路包含封裝在兩個(gè)印刷電路板(PCB)之間的敏感區(qū)域���。
圖4A示出了根據(jù)本發(fā)明各個(gè)實(shí)施例的安全網(wǎng)格網(wǎng)絡(luò)的示例性圖���。
圖4B示出了根據(jù)本發(fā)明各個(gè)實(shí)施例的安全網(wǎng)格網(wǎng)絡(luò)202中的安全元件的示例性 圖。
圖5A至圖5C示出了根據(jù)本發(fā)明各個(gè)實(shí)施例的安全陣列的三個(gè)示例性陣列配置��。
圖6A示出了根據(jù)本發(fā)明各個(gè)實(shí)施例的基于數(shù)字檢測模式的篡改檢測系統(tǒng)的示例 性框圖����。
圖6B示出了根據(jù)本發(fā)明各個(gè)實(shí)施例的以模擬模式驅(qū)動(dòng)安全陣列的安全控制器的 示例性框圖。
圖6C示出了另一根據(jù)本發(fā)明各個(gè)實(shí)施例的以模擬模式驅(qū)動(dòng)安全陣列的安全控制 器的示例框圖�。
圖6D為根據(jù)本發(fā)明各個(gè)實(shí)施例的模擬檢測電路的示例性框圖,該模擬檢測電路 可以包含在處于模擬模式的安全監(jiān)控器中���。
圖7A示出了根據(jù)本發(fā)明各個(gè)實(shí)施例的安全陣列的示例性陣列配置�,其包括被驅(qū) 動(dòng)用于模擬檢測模式的兩個(gè)安全元件����。
圖7B示出了根據(jù)本發(fā)明各個(gè)實(shí)施例的安全陣列的示例性陣列配置,其中�,安全元 件被篡改。
圖8示出了根據(jù)本發(fā)明各個(gè)實(shí)施例的篡改檢測方法的示例性流程圖��。
具體實(shí)施方式
在以下描述中,為了解釋的目的��,給出了具體的細(xì)節(jié)以提供對(duì)本發(fā)明的理解�����。然 而��,對(duì)于本領(lǐng)域的技術(shù)人員來說很明顯的是�����,可以在不具有這些細(xì)節(jié)的情況下實(shí)施該發(fā)明���。 本領(lǐng)域的技術(shù)人員將認(rèn)識(shí)到以下描述的本發(fā)明的實(shí)施例可以以多種方式以及使用各種結(jié) 構(gòu)來執(zhí)行。本領(lǐng)域的技術(shù)人員還將認(rèn)識(shí)到另外的修改�、應(yīng)用以及實(shí)施例也落在其范圍之內(nèi), 本發(fā)明也可以在其它領(lǐng)域中提供應(yīng)用�。因此,以下描述的實(shí)施例用于說明本發(fā)明的特定實(shí) 施例以及要避免使本發(fā)明模糊��。
說明書中對(duì)“一個(gè)實(shí)施例”或“實(shí)施例”的提及意味著結(jié)合該實(shí)施例描述的特定特 征���、結(jié)構(gòu)��、特性或功能包含在本發(fā)明的至少一個(gè)實(shí)施例中����。在說明書的各個(gè)地方中出現(xiàn)短語 “在一個(gè)實(shí)施例中”、“在實(shí)施例中”等未必都是指相同的實(shí)施例�����。
此外�,圖中組件之間的或方法步驟之間的連接不限于直接實(shí)現(xiàn)的連接。相反����,圖中 示出的組件之間的或方法步驟之間的連接可以通過向其增加中間組件或方法步驟而被修 改或改變,而不背離本發(fā)明的教導(dǎo)���。
并不是使用可預(yù)測激勵(lì)驅(qū)動(dòng)的導(dǎo)電跡線�,本發(fā)明引入了由可編程激勵(lì)驅(qū)動(dòng)的并且 在可編程模式下被檢測的可編程網(wǎng)格網(wǎng)絡(luò)��?����?删幊叹W(wǎng)格網(wǎng)絡(luò)包括安全元件陣列,每個(gè)安全 元件由位于敏感區(qū)域中的子區(qū)域之上的導(dǎo)電跡線形成����。根據(jù)陣列配置選擇并布置多個(gè)安全 元件以形成安全陣列。該陣列可以由某個(gè)激勵(lì)驅(qū)動(dòng)�,并根據(jù)從包括模擬模式、數(shù)字模式和混 合模式的組中選擇的檢測模式在所選擇的節(jié)點(diǎn)處被感測����。因此,本發(fā)明的各個(gè)實(shí)施例涉及 基于可編程性(尤其是陣列配置�����、驅(qū)動(dòng)激勵(lì)�、感測節(jié)點(diǎn)和檢測模式的可編程性)的防篡改系 統(tǒng)、設(shè)備和方法感測��。這樣的可編程性增強(qiáng)了安全系統(tǒng)的安全級(jí)別并減少了安全系統(tǒng)被篡改的機(jī)會(huì)�����。
圖2示出了根據(jù)本發(fā)明各個(gè)實(shí)施例的在安全系統(tǒng)中的篡改檢測系統(tǒng)的示例性框 圖200���。該篡改檢測系統(tǒng)包括安全網(wǎng)格網(wǎng)絡(luò)202、安全控制器204、隨機(jī)數(shù)發(fā)生器(RNG) 206 以及安全監(jiān)控器208���。根據(jù)由RNG 206提供的至少一個(gè)數(shù)在安全控制器204和監(jiān)控器208 中引入該篡改檢測系統(tǒng)的可編程性�����,以使得以隨機(jī)的方式來配置���、驅(qū)動(dòng)或感測安全網(wǎng)格或 陣列202感測,從而向任意的黑客篡改企圖施加挑戰(zhàn)���。
安全網(wǎng)格網(wǎng)絡(luò)202包括安全元件陣列���,該安全元件陣列覆蓋可以處理或存儲(chǔ)敏感 數(shù)據(jù)的敏感區(qū)域。在某個(gè)實(shí)施例中����,每一安全元件可以與一導(dǎo)線相關(guān)聯(lián),因此���,網(wǎng)絡(luò)202中 的每個(gè)安全元件可以模型化為電阻器����,該電阻器在該網(wǎng)絡(luò)上具有基本恒定的電阻Rse。
RNG 206產(chǎn)生多個(gè)隨機(jī)數(shù)210��,所述多個(gè)隨機(jī)數(shù)210包含用于選擇至少一個(gè)安全元 件的至少一個(gè)隨機(jī)數(shù)�����。在本發(fā)明的各個(gè)實(shí)施例中���,可以在一個(gè)檢測周期期間由RNG 206產(chǎn) 生多個(gè)隨機(jī)數(shù)210以與多個(gè)安全元件相關(guān)聯(lián)����。此外���,除了指定安全元件之外�����,隨機(jī)數(shù)210也 可以用于設(shè)定在安全控制器204和監(jiān)控器208中使用的參數(shù)��,并且包含驅(qū)動(dòng)激勵(lì)、SENSE(感 測)節(jié)點(diǎn)和檢測模式在內(nèi)的這些參數(shù)確定篡改檢測系統(tǒng)的可編程性�����。
安全控制器204耦合于RNG 206和安全網(wǎng)格網(wǎng)絡(luò)202之間。在某個(gè)檢測周期期 間����,安全控制器204從RNG 206接收多個(gè)隨機(jī)數(shù)210,選擇安全網(wǎng)格網(wǎng)絡(luò)204中的多個(gè)安全 元件���,形成安全陣列����,并用驅(qū)動(dòng)激勵(lì)驅(qū)動(dòng)安全陣列�����。結(jié)果����,安全網(wǎng)格網(wǎng)絡(luò)202在它的組織、驅(qū) 動(dòng)位置或驅(qū)動(dòng)方法方面被安全控制器204進(jìn)行隨機(jī)化和編程���。
根據(jù)隨機(jī)數(shù)210選擇安全元件是����,并且通過根據(jù)陣列配置布置這些安全元件來形 成安全陣列���。陣列配置不僅指所選擇的用于形成安全陣列的安全元件�����,而且也指這些元件 形成安全陣列的順序����。在某些實(shí)施例中,這些元件的順序是從RNG 206產(chǎn)生用于選擇安全 元件的這些隨機(jī)數(shù)210的順序�。
驅(qū)動(dòng)激勵(lì)可以從數(shù)字?jǐn)?shù)據(jù)序列和模擬電壓/電流電平中進(jìn)行選擇,并被應(yīng)用在安 全陣列中的力節(jié)點(diǎn)����。在一個(gè)實(shí)施例中,數(shù)字?jǐn)?shù)據(jù)序列和模擬電平都是根據(jù)由RNG 206提供 的隨機(jī)數(shù)210產(chǎn)生的���。在另一實(shí)施例中���,該驅(qū)動(dòng)激勵(lì)是在安全控制器204中內(nèi)部地確定的。
安全監(jiān)控器208耦合至安全網(wǎng)格網(wǎng)絡(luò)202�����,從安全陣列中選擇至少一個(gè)SENSE節(jié) 點(diǎn)�����,監(jiān)控在SENSE節(jié)點(diǎn)處的輸出���,并產(chǎn)生標(biāo)志信號(hào)212�。具體地��,安全監(jiān)控器208根據(jù)從模擬 檢測模式��、數(shù)字檢測模式和混合檢測模式中選擇的檢測模式來監(jiān)控輸出����。在本發(fā)明的各個(gè) 實(shí)施例中,SENSE節(jié)點(diǎn)和檢測模式的選擇也可以由RNG 206產(chǎn)生的隨機(jī)數(shù)210確定�����。由于 檢測模式和SENSE與陣列配置和驅(qū)動(dòng)激勵(lì)一致����,因此安全監(jiān)控器208可以接收到由安全控 制器204提供的相關(guān)聯(lián)的安全模式信號(hào)214。
可以從數(shù)字模式�����、模擬模式和混合模式中選擇檢測模式。安全控制器208中的檢 測模式與由安全控制器204產(chǎn)生的驅(qū)動(dòng)激勵(lì)一致�����。在數(shù)字模式中��,驅(qū)動(dòng)激勵(lì)與包括邏輯高 和邏輯低的數(shù)字?jǐn)?shù)據(jù)序列相關(guān)聯(lián)�,并被應(yīng)用于安全陣列中的至少一個(gè)FORCE (力)節(jié)點(diǎn)。對(duì) 至少一個(gè)SENSE節(jié)點(diǎn)而非FORCE節(jié)點(diǎn)處的輸出進(jìn)行感測��,并將其與激勵(lì)相比較����。在模擬模 式中,驅(qū)動(dòng)激勵(lì)可以與電流���、電源電壓Vdd或變化的電壓電平相關(guān)聯(lián)�����。在還將激勵(lì)應(yīng)用于安 全陣列中的至少一個(gè)FORCE節(jié)點(diǎn)上的同時(shí)����,基于該激勵(lì)的時(shí)機(jī)電壓電平對(duì)至少一個(gè)SENSE 節(jié)點(diǎn)的輸出進(jìn)行分析,并且該輸出用于確定是否存在由于篡改而引起的諸如開路或短路之 類的電屬性改變�。模擬模式特別用于在只有安全元件的一部分被繞過時(shí)檢測部分短路情況中的篡改企圖。在混合模式中���,在一個(gè)安全系統(tǒng)內(nèi),在不同檢測周期中使用模擬模式和數(shù)字 模式的�����。
SENSE節(jié)點(diǎn)不限于包含在包括所選安全元件的安全陣列中的節(jié)點(diǎn)���。位于安全陣列 上的SENSE節(jié)點(diǎn)處的輸出依賴于驅(qū)動(dòng)激勵(lì)����,并且標(biāo)志信號(hào)212與這種依賴性的有效性相關(guān) 聯(lián)�����。然而�����,當(dāng)SENSE節(jié)點(diǎn)并非位于安全陣列上時(shí)��,輸出與驅(qū)動(dòng)激勵(lì)并不相關(guān)����,并且標(biāo)志信號(hào) 212與這種非相關(guān)性的有效性相關(guān)聯(lián)����。
結(jié)果�����,標(biāo)志信號(hào)指示是否檢測到篡改和未授權(quán)訪問���。在檢測到篡改時(shí)�����,集成電路可 以進(jìn)一步使用標(biāo)志信號(hào)來使能一系列動(dòng)作����,包括擦除敏感數(shù)據(jù)�����、觸發(fā)不可屏蔽的中斷���、在標(biāo) 志寄存器中寫值����、重置電路以及運(yùn)行專用代碼。
隨機(jī)數(shù)210還可以用另外的方式標(biāo)識(shí)陣列配置��。隨機(jī)數(shù)210不是與安全元件相關(guān) 聯(lián)��,而是直接與陣列配置相關(guān)聯(lián)�����,即特定安全元件的特定組合�����。例如�,隨機(jī)數(shù)101與第一行 安全元件從左至右串聯(lián)耦合的陣列配置相關(guān)聯(lián)����。RNG 206每次產(chǎn)生與陣列配置相關(guān)聯(lián)的一 個(gè)隨機(jī)數(shù)。安全控制器204直接連接與該陣列配置相關(guān)聯(lián)的多個(gè)安全元件���。結(jié)果��,安全控 制器204還可以包括存儲(chǔ)器���,該存儲(chǔ)器存儲(chǔ)將每個(gè)隨機(jī)數(shù)與多個(gè)安全元件相關(guān)聯(lián)的查找表 以及連接這些安全元件的配置��。
在本發(fā)明的各個(gè)實(shí)施例中����,安全控制器204和監(jiān)控器208都包括多個(gè)用于訪問安 全元件的末端節(jié)點(diǎn)的模擬開關(guān)����,以使得這些末端節(jié)點(diǎn)可以耦合以形成安全陣列并分別被選 擇作為感測節(jié)點(diǎn)或力節(jié)點(diǎn)。
可以在包含敏感區(qū)域的集成電路的同一襯底上或封裝上制造安全網(wǎng)格網(wǎng)絡(luò)202����。 如下,基于該系統(tǒng)的示例性橫剖面公開了制造篡改檢測系統(tǒng)的三種示例性方法��。
圖3A示出了根據(jù)本發(fā)明各個(gè)實(shí)施例的集成電路塊中的敏感區(qū)域的示例性橫剖面 300�����。集成電路塊構(gòu)建在包含晶體管304和晶體管306的集成電路(IC)襯底302上���。安全 控制器204和監(jiān)控器208以及RNG 206是由這些晶體管制成的�����。從而�,在IC襯底302上連 續(xù)地制造多個(gè)多晶硅層(例如多晶硅1,多晶硅2)和金屬層(例如�����,金屬1-5)��,以作為晶體管 304和306的柵和/或互連���。安全網(wǎng)格網(wǎng)絡(luò)202可以集成到金屬層之中,并且網(wǎng)絡(luò)202中 的安全元件經(jīng)由中間金屬層耦合至底層的電子器件����。本領(lǐng)域的技術(shù)人員知道安全網(wǎng)格網(wǎng)絡(luò) 202優(yōu)選地是使用頂部金屬層形成的,然而���,安全網(wǎng)格網(wǎng)絡(luò)202可以由頂部金屬層下部的任 意金屬層形成��。
圖3B示出了根據(jù)本發(fā)明各個(gè)實(shí)施例的第一集成電路342的示例性橫剖面340�,該 第一集成電路342包含由第二集成電路344覆蓋的敏感區(qū)域�。安全網(wǎng)格網(wǎng)絡(luò)202可以由 第二集成電路中的金屬層制造�,該第二集成電路位于包含于第一集成電路中的敏感區(qū)域頂 上���。安全控制器204和監(jiān)控器208以及RNG 206可以集成在第一集成電路342和第二集成 電路344中的任一個(gè)上���。然而,當(dāng)安全網(wǎng)格網(wǎng)絡(luò)202和篡改檢測電路200的其余部分位于 兩個(gè)分離的襯底上時(shí)���,需要安排互連的路徑以通過兩個(gè)襯底342和344之間的接口 346和 348����。
圖3C示出了根據(jù)本發(fā)明各個(gè)實(shí)施例的集成電路382的示例性橫剖面380��,該集成 電路382包含被封裝在兩個(gè)印刷電路板(PCB) 384和386之間的敏感區(qū)域�����。該集成電路安 裝在PCB 386的襯底上��,并且經(jīng)由線392和線394超聲地接合至PCB 386�����。PCB 384在接口 388和接口 390處耦合至PCB 386以封裝集成電路382����?����?梢栽赑CB 384的金屬層中制造安全網(wǎng)格網(wǎng)絡(luò)202���,而篡改檢測電路的其余部分集成在集成電路382的襯底上。
在本發(fā)明的各個(gè)實(shí)施例中���,安全網(wǎng)格網(wǎng)絡(luò)202可以但不限制于形成在單個(gè)金屬層 之中��。安全網(wǎng)格網(wǎng)絡(luò)可以形成在多于一個(gè)的金屬層上�,并且需要某種布線方案以將網(wǎng)絡(luò)202 耦合至安全控制器204和監(jiān)控器208��。
圖4A示出了根據(jù)本發(fā)明各個(gè)實(shí)施例的安全網(wǎng)格網(wǎng)絡(luò)202的示例性圖���。安全網(wǎng)格 網(wǎng)絡(luò)202包括以X列和y行布置的N個(gè)相同安全元件402。安全元件402包括可以在單個(gè) 層或多于一個(gè)的金屬層上實(shí)現(xiàn)的導(dǎo)電金屬線��。導(dǎo)電金屬線可以為沿著元件的行�、列或?qū)?線方向被布線在元件上的直線,并且導(dǎo)電金屬線也可以布置為多種形狀����。
圖4B示出了根據(jù)本發(fā)明各個(gè)實(shí)施例的安全網(wǎng)格網(wǎng)絡(luò)202中的安全元件402的示 例性圖��。安全元件402包括一段蜷曲形狀的金屬線和兩個(gè)末端節(jié)點(diǎn)��。該兩個(gè)末端節(jié)點(diǎn)為節(jié) 點(diǎn)A和節(jié)點(diǎn)B��,節(jié)點(diǎn)A和節(jié)點(diǎn)B可以被耦合用于安全元件402的驅(qū)動(dòng)和感測或者可以耦合至 其它安全元件的末端節(jié)點(diǎn)�。
不管其配置如何����,每個(gè)安全元件與電阻Rse相關(guān)聯(lián)。篡改一般涉及移除部分或整個(gè) 網(wǎng)格網(wǎng)絡(luò)202或直接刺穿網(wǎng)絡(luò)202以訪問敏感區(qū)域����。結(jié)果,在篡改時(shí)����,對(duì)于被旁路、被損壞 或部分短路的安全元件�����,電阻Rse分別改變到O�����、無窮大或不同的值。
根據(jù)由RNG 206產(chǎn)生的隨機(jī)數(shù)選擇安全網(wǎng)格網(wǎng)絡(luò)202中的安全元件�����,并根據(jù)陣列 配置形成安全陣列�。圖5A-圖5C示出了根據(jù)本發(fā)明各個(gè)實(shí)施例的安全陣列的三個(gè)示例性 陣列配置502、504和506���。在陣列配置502中�����,安全陣列包括一個(gè)安全元件���。在陣列配置 504中,安全陣列包括行R1中的所有安全元件和行R2中的幾個(gè)安全元件�����。這些元件串聯(lián)耦 合�����,并且具體地�����,行R1中的安全元件從左至右連接���,而行R2中的那些安全元件從右至左連 接���。行R2中的元件在行R1中的那些元件之后,并且安全陣列在行R2的開始處結(jié)束����。在陣 列配置506中,安全陣列包括從所有行R1至Ry選擇的安全元件���,并且至少一個(gè)所選擇的安 全元件與每一行相關(guān)聯(lián)���。這些元件串聯(lián)耦合,并且未選擇的安全元件C2可以位于兩個(gè)所選 擇的元件(例如,C1和Cx)之間��??梢酝ㄟ^經(jīng)由除了用于元件C2的金屬層以外的金屬層進(jìn)行 布線來繞過該元件C2。
上述安全陣列采用串聯(lián)電阻串的優(yōu)選陣列配置。在該優(yōu)選配置中���,每個(gè)安全陣列 可以模型化為一系列電阻器���,每個(gè)電阻器表示一安全元件。安全陣列具有兩個(gè)末端節(jié)點(diǎn)��,并 且這兩個(gè)末端節(jié)點(diǎn)之間的電阻為包含在該安全陣列之中的安全元件電阻的總和�。在陣列配 置504和506中,中間節(jié)點(diǎn)位于每兩個(gè)串聯(lián)安全元件之間���。
在本發(fā)明的各個(gè)實(shí)施例中����,陣列配置502至506可以與二元狀態(tài)檢測模式相關(guān)聯(lián)��。 安全控制器204在一個(gè)FORCE節(jié)點(diǎn)上傳遞驅(qū)動(dòng)激勵(lì)��,安全監(jiān)控器206監(jiān)控來自另一 SENSE 節(jié)點(diǎn)的輸出�。FORCE節(jié)點(diǎn)是從兩個(gè)末端節(jié)點(diǎn)和中間節(jié)點(diǎn)中選擇的。SENSE節(jié)點(diǎn)與FORCE節(jié) 點(diǎn)不同����,并且可以不限制于末端節(jié)點(diǎn)或中間節(jié)點(diǎn)��。
二元狀態(tài)檢測模式是一種數(shù)字檢測模式,并且具體地�����,驅(qū)動(dòng)激勵(lì)是與時(shí)變二元模 式相關(guān)聯(lián)的數(shù)字信號(hào)���。當(dāng)從末端節(jié)點(diǎn)或中間節(jié)點(diǎn)中選擇SENSE節(jié)點(diǎn)時(shí)�����,所檢測到輸出與時(shí) 變二元模式相一致�����;否則��,當(dāng)SENSE節(jié)點(diǎn)不在電阻串的路徑中時(shí)���,所檢測到輸出可能不符合 該模式。當(dāng)檢測到意外輸出時(shí)��,由標(biāo)志信號(hào)對(duì)錯(cuò)誤進(jìn)行標(biāo)記�。
圖6A示出了根據(jù)本發(fā)明各個(gè)實(shí)施例的基于數(shù)字檢測模式的篡改檢測系統(tǒng)的示例 性框圖600。在篡改檢測系統(tǒng)600中,安全控制器204和安全監(jiān)控器208分別連接至安全陣列202的FORCE節(jié)點(diǎn)和SENSE節(jié)點(diǎn)���。安全控制器204用數(shù)字激勵(lì)來驅(qū)動(dòng)安全陣列202����,安全 監(jiān)控器208驗(yàn)證SENSE節(jié)點(diǎn)處的數(shù)據(jù)有效性���。
安全控制器204包括復(fù)用器610�。根據(jù)由RNG 206提供的隨機(jī)數(shù)210�����,由復(fù)用器 610選擇并耦合安全陣列中的安全元件��。復(fù)用器610包含被安全控制器204和安全監(jiān)控器 208使用的模擬開關(guān)����,以使得安全陣列中的末端節(jié)點(diǎn)和中間節(jié)點(diǎn)是可訪問的,從而形成安全 陣列并輸出標(biāo)志信號(hào)���。
安全控制器204還包括數(shù)字激勵(lì)產(chǎn)生器612���,該數(shù)字激勵(lì)產(chǎn)生器612還包括狀態(tài) 機(jī)602�、隨機(jī)比特產(chǎn)生器604和緩沖器606�。狀態(tài)機(jī)602對(duì)控制器204中的操作序列進(jìn)行控 制。隨機(jī)比特產(chǎn)生器604耦合至狀態(tài)機(jī)602����,并根據(jù)狀態(tài)機(jī)602產(chǎn)生隨機(jī)比特(即���,邏輯高 或邏輯低)的數(shù)字序列����。隨機(jī)比特產(chǎn)生器604也可以包含在隨機(jī)數(shù)發(fā)生器206中�����。緩沖器 606耦合至隨機(jī)比特產(chǎn)生器604以適當(dāng)?shù)仳?qū)動(dòng)安全陣列202����。
安全控制器204包括耦合至安全陣列202的SENSE節(jié)點(diǎn)的數(shù)字檢測電路。該數(shù)字 檢測電路檢測安全陣列的開路或短路狀況�����。在某個(gè)實(shí)施例中��,數(shù)字檢測電路為XNOR邏輯, 當(dāng)SENSE節(jié)點(diǎn)處的輸出與數(shù)字序列中的隨機(jī)比特不一致時(shí)該邏輯輸出邏輯高�����。
圖6B示出了根據(jù)本發(fā)明各個(gè)實(shí)施例的以模擬模式驅(qū)動(dòng)安全陣列202的安全控制 器的示例性框圖620�����。安全陣列202的兩個(gè)末端節(jié)點(diǎn)分別接地以及由包括電流源622的安 全控制器204驅(qū)動(dòng)�����。電流源622耦合至電壓源�,并產(chǎn)生電流IdkW注入安全陣列202。在一 個(gè)實(shí)施例中��,電流源622基于由RNG206控制的數(shù)模轉(zhuǎn)換器(DAC)�,并且所產(chǎn)生的電流Idk的 大小也由RNG 206產(chǎn)生的隨機(jī)數(shù)指定。
可以在SENSE節(jié)點(diǎn)處監(jiān)控輸出��,該感測節(jié)點(diǎn)是從耦合至電流源622的末端節(jié)點(diǎn) F0RCE-1 (力-1)和安全陣列202中的中間節(jié)點(diǎn)選擇的��。假定SENSE節(jié)點(diǎn)和地之間的電阻 為Rm�,輸出電壓可以由IdhxRan表不。在一個(gè)實(shí)施例中����,安全陣列202包含一個(gè)安全兀件, 在注入電流Idk的相同末端節(jié)點(diǎn)處的輸出電壓簡單地為IdkXRse����。
圖6C示出了根據(jù)本發(fā)明各個(gè)實(shí)施例的以模擬模式驅(qū)動(dòng)安全陣列202的安全控制 器的另一不例性框圖640�。安全陣列202包括串聯(lián)布置的多個(gè)安全兀件。安全控制器204 包含兩個(gè)緩沖器642和644�����,這兩個(gè)緩沖器可以分別將兩個(gè)末端節(jié)點(diǎn)F0RCE-1 (力-1)和 F0RCE-2 (力-2)耦合至電源電壓Vdd和地�����。在一些實(shí)施例中��,安全控制器204還可以包括 電壓發(fā)生器���,該電壓發(fā)生器產(chǎn)生除了電源電壓Vdd以外的電壓Vdk以驅(qū)動(dòng)安全陣列。電壓發(fā) 生器可以基于DAC���,該DAC根據(jù)由RNG 206提供的隨機(jī)數(shù)輸出電壓VDK��。
可以在從安全陣列202中的中間節(jié)點(diǎn)中選擇的SENSE節(jié)點(diǎn)處監(jiān)控輸出�����。在一個(gè)實(shí) 施例中�,安全陣列202包含兩個(gè)串聯(lián)的安全元件,在它們之間的中間節(jié)點(diǎn)處測試輸出電壓����。 因此,在沒有篡改企圖的情況下�,SENSE節(jié)點(diǎn)處的輸出電壓大約為1/2VDD,然而�����,在存在這樣 的企圖時(shí)�����,輸出電壓向Vdd或地移位���。
圖6D為根據(jù)本發(fā)明各個(gè)實(shí)施例的模擬檢測電路的示例性框圖660�����,該模擬檢測電 路可以包含在處于模擬模式的安全監(jiān)控器208中�����。模擬檢測電路660包括參考信號(hào)發(fā)生器 662和比較器664���,并檢測安全陣列中的電阻變化����。參考信號(hào)發(fā)生器650被耦合以接收由安 全控制器204提供的安全模式信號(hào)214�����,并根據(jù)陣列配置產(chǎn)生參考電壓VKEF��。安全模式信號(hào) 214也用于選擇感測節(jié)點(diǎn)���,并允許根據(jù)感測節(jié)點(diǎn)的位置產(chǎn)生電壓VKEF。在模擬模式中���,比較 器652可以由使能信號(hào)654使能以將感測節(jié)點(diǎn)處的輸出與參考電壓Vkef進(jìn)行比較�����。
篡改企圖一般與至少一個(gè)安全元件的開路電路����、完全短路或部分短路相關(guān)聯(lián)。安 全元件的電阻會(huì)改變�。相應(yīng)地,SENSE節(jié)點(diǎn)處的輸出電壓從參考電壓Vkef漂移�����。因此����,比較 器652用于檢測輸出電壓的漂移以及因此由篡改努力引起的電阻變化。
在本發(fā)明的各個(gè)實(shí)施例中�,比較器652檢測大于容許電壓Vth的輸出電壓漂移。該 電壓Vth足夠大以適應(yīng)由制造工藝引起的漂移��,同時(shí)被控制以檢測較小的篡改努力���。
圖7A示出了根據(jù)本發(fā)明各個(gè)實(shí)施例的安全陣列的示例性陣列配置700���,其包括被 驅(qū)動(dòng)用于模擬檢測模式的兩個(gè)安全元件702和704。這兩個(gè)安全元件是根據(jù)由RNG 206提 供的兩個(gè)隨機(jī)數(shù)選擇的��,并且它們可以物理地互相鄰近或間隔開。安全陣列700包括兩個(gè) 末端節(jié)點(diǎn)F0RCE-1 (力-1)和F0RCE-2 (力-2)以及一個(gè)中間節(jié)點(diǎn)SENSE (感測)�����。
陣列配置700與中間狀態(tài)檢測模式相關(guān)聯(lián)�,該中間狀態(tài)檢測模式為模擬檢測模 式。安全控制器204分別以高電壓和低電壓(例如�,Vdd和地)驅(qū)動(dòng)兩個(gè)末端節(jié)點(diǎn)(即,F(xiàn)0RCE-1 (力-1)和F0RCE-2 (力-2))���,并且安全監(jiān)控器206監(jiān)控來自感測節(jié)點(diǎn)的輸出�����。未被篡改的 安全陣列700與基本上為高電壓和低電壓的平均值的輸出相關(guān)聯(lián)����。
在某些實(shí)施例中��,元件702在篡改后是損壞的�、部分或完全短路�����。結(jié)果,在感測節(jié) 點(diǎn)處監(jiān)控的輸出從未被篡改的安全陣列中的高電壓和低電壓的平均電平分別變化至低電 壓(例如��,地)���、升高的電壓或高電壓(例如�,VDD)�。如果輸出在平均電平窗口之外,那么檢測到 篡改�����。
安全網(wǎng)格網(wǎng)絡(luò)202的某個(gè)陣列配置可以與安全控制器208中的模擬檢測模式和數(shù) 字檢測模式之間的優(yōu)選檢測模式相關(guān)聯(lián)��。圖7B示出了根據(jù)本發(fā)明各個(gè)實(shí)施例的安全元件 702被篡改的安全陣列的示例陣列配置720���。黑客刺穿元件702�����,并創(chuàng)建開路電路����。雖然數(shù) 字模式和模擬模式都可以被采用�,但是優(yōu)選的是模擬模式�。在二元狀態(tài)檢測模式中��,將驅(qū)動(dòng) 激勵(lì)應(yīng)用到節(jié)點(diǎn)F0RCE-1 (力-1)或F0RCE-2 (力-2)�。如果黑客可以使用一條線來使節(jié)點(diǎn) F0RCE-1 (力-1)和SENSE (感測)短路,從而繞過開路電路區(qū)域���,那么安全監(jiān)控器208可能無 法檢測到這種未授權(quán)訪問��。然而��,在中間狀態(tài)檢測模式中��,分別在節(jié)點(diǎn)F0RCE-1和F0RCE-2 上應(yīng)用高電壓和低電壓���。因此,當(dāng)黑客繞過元件702中的整個(gè)或部分線時(shí)����,安全監(jiān)控器208 檢測到節(jié)點(diǎn)SENSE處的輸出從高電壓和低電壓的平均值向高電壓偏移。
模擬檢測模式和數(shù)字檢測模式具有精確和節(jié)能的各自優(yōu)點(diǎn)���。在模擬模式中���,輸出 電壓的漂移一般直接與某種篡改企圖引起的破壞或影響相關(guān)聯(lián)。模擬模式允許更好的精 確度��,并且甚至檢測到數(shù)字模式不適用的篡改企圖(圖7B)��。然而�,模擬模式與靜態(tài)功耗相 關(guān)聯(lián),該靜態(tài)功耗不僅是由驅(qū)動(dòng)安全陣列202的需要引起的而且還是由使用模擬電路單元 (例如�����,電流源622)的傾向引起的����。相反地,數(shù)字模式一般與動(dòng)態(tài)功耗相關(guān)聯(lián)�����,可以通過使 用減慢的時(shí)鐘減小該動(dòng)態(tài)功耗�����??梢栽谝粋€(gè)篡改檢測系統(tǒng)中對(duì)模擬檢測模式和數(shù)字檢測模 式進(jìn)行組合以保持兩者的優(yōu)點(diǎn)。
混合檢測模式基于模擬檢測模式和數(shù)字檢測模式的組合����。在一個(gè)實(shí)施例中���,在一 個(gè)時(shí)鐘周期中采用模擬檢測模式,接著數(shù)字檢測模式用于隨后的時(shí)鐘周期���。結(jié)果�����,在該混合 檢測模式中組合了精確和節(jié)能的這兩個(gè)優(yōu)點(diǎn)���。
圖8示出了根據(jù)本發(fā)明各個(gè)實(shí)施例的篡改檢測方法的示例性流程圖。在步驟802��, 篡改檢測過程開始����。作為篡改檢測周期中的第一步驟,在步驟804����,隨機(jī)數(shù)發(fā)生器產(chǎn)生至少 一個(gè)隨機(jī)數(shù)。在步驟806����,在安全網(wǎng)格網(wǎng)絡(luò)中選擇至少一個(gè)安全元件����,以及在步驟808�����,根據(jù)陣列配置將所選安全元件串聯(lián)耦合以形成安全陣列�。在步驟806和808中��,安全網(wǎng)格網(wǎng)絡(luò) 被隨機(jī)化成安全陣列���。
在步驟810���,用驅(qū)動(dòng)激勵(lì)驅(qū)動(dòng)安全陣列,該驅(qū)動(dòng)激勵(lì)可以是邏輯高或邏輯低的數(shù)字 序列、模擬電壓或電流。在步驟812����,從安全陣列選擇輸出并根據(jù)檢測模式監(jiān)控該輸出。在 步驟814���,檢查所選節(jié)點(diǎn)處的輸出的有效性�。當(dāng)有效性得到確認(rèn)���,重復(fù)包括步驟810-814的 下一個(gè)檢測周期�����,然而�����,當(dāng)有效性檢查失敗時(shí)����,檢測周期終止以標(biāo)志檢測到篡改企圖����。
可以從由模擬模式、數(shù)字模式或混合模式組成的組中選擇檢測模式��。陣列配置����、驅(qū) 動(dòng)激勵(lì)和所選用于驅(qū)動(dòng)和感測的節(jié)點(diǎn)是與檢測模式相關(guān)聯(lián)的。此外,在每個(gè)檢測周期期間����, 這些變量可以由RNG 206隨機(jī)產(chǎn)生的隨機(jī)數(shù)確定。
在本發(fā)明的各個(gè)實(shí)施例中����,可編程性和隨機(jī)性增強(qiáng)了篡改檢測系統(tǒng)的靈敏性��,因 此增強(qiáng)了由安全網(wǎng)格網(wǎng)絡(luò)保護(hù)的敏感區(qū)域的安全級(jí)別����。篡改檢測系統(tǒng)并入了包含陣列配 置、驅(qū)動(dòng)激勵(lì)�、感測節(jié)點(diǎn)選擇和檢測模式在內(nèi)的變量。這些變量將可編程性和隨機(jī)性引入到 安全網(wǎng)格網(wǎng)絡(luò)�����,包含物理位置����、驅(qū)動(dòng)信號(hào)、檢測位置和檢測方法����。即使采用這些變量中的一 些變量而不是全部變量����,本發(fā)明也能夠得到黑客很少或沒有機(jī)會(huì)闖入的高度不可預(yù)知網(wǎng)格 網(wǎng)絡(luò)�。
雖然本發(fā)明易受各種修改和替換形式的影響,但是在附圖中已經(jīng)示出了本發(fā)明的 具體例子并且在本文中對(duì)其進(jìn)行了詳細(xì)描述���。然而��,應(yīng)當(dāng)理解�,本發(fā)明并不限于所公開的具 體形式��,相反地�����,本發(fā)明將覆蓋落入所附權(quán)利要求的范圍內(nèi)的所有修改�����、等價(jià)形式和替換形 式�����。
權(quán)利要求
1.一種安全系統(tǒng)中的桌改檢測系統(tǒng),包括 包括多個(gè)安全元件的安全網(wǎng)格網(wǎng)絡(luò)�,每個(gè)安全元件是由位于集成電路的敏感區(qū)域之上的導(dǎo)電金屬線制成的; 產(chǎn)生多個(gè)隨機(jī)數(shù)的隨機(jī)數(shù)發(fā)生器����; 耦合在所述隨機(jī)數(shù)發(fā)生器和所述安全網(wǎng)格之間的安全控制器,所述安全控制器通過以下方式對(duì)所述安全網(wǎng)格網(wǎng)絡(luò)進(jìn)行隨機(jī)化根據(jù)至少一個(gè)隨機(jī)數(shù)選擇所述多個(gè)安全元件的子集�����,根據(jù)陣列配置形成安全陣列��,以及產(chǎn)生驅(qū)動(dòng)激勵(lì)以在至少一個(gè)SENSE節(jié)點(diǎn)處驅(qū)動(dòng)所述安全陣列��;以及 耦合至所述安全網(wǎng)格網(wǎng)絡(luò)和所述安全控制器的安全監(jiān)控器����,所述安全監(jiān)控器選擇至少一個(gè)SENSE節(jié)點(diǎn)�,根據(jù)檢測模式監(jiān)控所述SENSE節(jié)點(diǎn)處的輸出,以及產(chǎn)生指示是否檢測到篡改企圖的標(biāo)志信號(hào)��,所述檢測模式是與所述驅(qū)動(dòng)激勵(lì)相關(guān)聯(lián)的���。
2.根據(jù)權(quán)利要求1所述的篡改檢測系統(tǒng)�����,其中�,當(dāng)所述多個(gè)隨機(jī)數(shù)在兩個(gè)連續(xù)檢測周期之間改變時(shí),所述安全陣列的所述陣列配置���、所述至少一個(gè)SENSE節(jié)點(diǎn)和至少一個(gè)FORCE節(jié)點(diǎn)中的至少一個(gè)相應(yīng)地由所述多個(gè)隨機(jī)數(shù)確定���。
3.根據(jù)權(quán)利要求1所述的篡改檢測系統(tǒng),其中�����,所述檢測模式是根據(jù)從所述多個(gè)隨機(jī)數(shù)中選擇的隨機(jī)數(shù)而從模擬檢測模式���、數(shù)字檢測模式和混合檢測模式中選擇的����。
4.根據(jù)權(quán)利要求1所述的篡改檢測系統(tǒng)�����,其中����,所述安全控制器和所述安全監(jiān)控器包括用于訪問所述安全元件的末端節(jié)點(diǎn)的模擬開關(guān)�,使得這些末端節(jié)點(diǎn)能夠被耦合以形成所述安全陣列���,并且能夠被選擇作為所述SENSE節(jié)點(diǎn)和FORCE節(jié)點(diǎn)�。
5.根據(jù)權(quán)利要求1所述的篡改檢測系統(tǒng)���,其中�,所述檢測模式為數(shù)字檢測模式�����,使得所述安全控制器還包括數(shù)字激勵(lì)產(chǎn)生器��,所述數(shù)字激勵(lì)產(chǎn)生器產(chǎn)生數(shù)字驅(qū)動(dòng)激勵(lì)以在所述FORCE節(jié)點(diǎn)處驅(qū)動(dòng)所述安全陣列����,并且所述安全監(jiān)控器還包括數(shù)字檢測電路�����,所述數(shù)字檢測電路檢測所述安全陣列的開路或短路狀況�����。
6.根據(jù)權(quán)利要求1所述的篡改檢測系統(tǒng),其中����,所述檢測模式為模擬檢測模式,使得所述安全控制器產(chǎn)生模擬驅(qū)動(dòng)激勵(lì)以驅(qū)動(dòng)所述安全陣列�,并且所述安全監(jiān)控器還包括模擬檢測電路,所述模擬檢測電路檢測所述安全陣列的電阻變化�����。
7.根據(jù)權(quán)利要求6所述的篡改檢測系統(tǒng)�,其中,所述模擬驅(qū)動(dòng)激勵(lì)是從電流和電壓中選擇的�,并且所述安全控制器還包括從電流源和電壓發(fā)生器中選擇的模擬激勵(lì)產(chǎn)生器。
8.—種檢測安全系統(tǒng)中的集成電路中的篡改企圖的方法�,包括以下步驟 (1)產(chǎn)生多個(gè)隨機(jī)數(shù); (2)對(duì)安全網(wǎng)格網(wǎng)絡(luò)進(jìn)行隨機(jī)化以形成安全陣列����,所述安全網(wǎng)格網(wǎng)絡(luò)包括布置在所述集成電路的敏感區(qū)域之上的多個(gè)安全元件; (3)產(chǎn)生驅(qū)動(dòng)激勵(lì)以驅(qū)動(dòng)所述安全陣列�����; (4)從所述安全陣列中的末端節(jié)點(diǎn)和中間節(jié)點(diǎn)中選擇SENSE節(jié)點(diǎn); (5)根據(jù)與所述驅(qū)動(dòng)激勵(lì)相關(guān)聯(lián)的檢測模式監(jiān)控SENSE節(jié)點(diǎn)處的輸出��;以及 (6)輸出指示是否檢測到篡改企圖的標(biāo)志信號(hào)�����。
9.根據(jù)權(quán)利要求8所述的檢測篡改企圖的方法�����,其中����,對(duì)安全網(wǎng)格網(wǎng)絡(luò)進(jìn)行隨機(jī)化以形成安全陣列還包括以下步驟 (a)根據(jù)至少一個(gè)隨機(jī)數(shù)選擇所述多個(gè)安全元件的子集,所述多個(gè)安全元件包含在覆蓋所述集成電路的敏感區(qū)域的安全網(wǎng)格網(wǎng)絡(luò)中���; (b)根據(jù)陣列配置將所選擇的安全元件串聯(lián)耦合以形成安全陣列����。
10.根據(jù)權(quán)利要求9所述的檢測篡改企圖的方法�����,其中�����,所述多個(gè)隨機(jī)數(shù)在兩個(gè)連續(xù)檢測周期之間改變����,所述安全陣列的所述陣列配置和所述至少一個(gè)SENSE節(jié)點(diǎn)相應(yīng)地由所述多個(gè)隨機(jī)數(shù)確定。
11.根據(jù)權(quán)利要求8所述的檢測篡改企圖的方法�,其中,所述SENSE節(jié)點(diǎn)是根據(jù)從所述多個(gè)隨機(jī)數(shù)中選擇的第一隨機(jī)數(shù)選擇的���。
12.根據(jù)權(quán)利要求8所述的檢測篡改企圖的方法�����,其中�,所述檢測模式是根據(jù)從所述多個(gè)隨機(jī)數(shù)中選擇的第二隨機(jī)數(shù)而從模擬檢測模式���、數(shù)字檢測模式和混合檢測模式中選擇的����。
13.根據(jù)權(quán)利要求8所述的檢測篡改企圖的方法����,其中�����,所述檢測模式為數(shù)字檢測模式�,使得所述驅(qū)動(dòng)激勵(lì)包括數(shù)字?jǐn)?shù)據(jù)序列��,并且所述SENSE節(jié)點(diǎn)處的輸出是與所述安全陣列的開路或短路狀況相關(guān)聯(lián)的���。
14.根據(jù)權(quán)利要求8所述的檢測篡改企圖的方法�,其中�����,所述檢測模式為模擬檢測模式����,使得產(chǎn)生模擬驅(qū)動(dòng)激勵(lì)以驅(qū)動(dòng)所述安全陣列,并且所述SENSE節(jié)點(diǎn)處的輸出是與所述安全陣列的電阻變化相關(guān)聯(lián)的����。
15.根據(jù)權(quán)利要求14所述的檢測篡改企圖的方法,其中�,所述模擬驅(qū)動(dòng)激勵(lì)是從電流和電壓中選擇的,并且所述安全控制器還包括從電流源和電壓發(fā)生器中選擇的模擬激勵(lì)產(chǎn)生器。
16.根據(jù)權(quán)利要求8所述的檢測篡改企圖的方法��,其中��,所述檢測模式為混合檢測模式����,使得所述驅(qū)動(dòng)激勵(lì)是從由數(shù)字?jǐn)?shù)據(jù)序列�、電壓和電流組成的組中選擇的,并且監(jiān)控所述輸出以指示從所述安全陣列的開路電路���、短路電路和電阻變化中選擇的狀況�。
17.根據(jù)權(quán)利要求8所述的檢測篡改企圖的方法�����,其中���,所述驅(qū)動(dòng)激勵(lì)是根據(jù)所述多個(gè)隨機(jī)數(shù)中的另一隨機(jī)數(shù)子集產(chǎn)生的����。
18.一種安全系統(tǒng)中的桌改檢測系統(tǒng)����,包括 包括多個(gè)安全元件的安全網(wǎng)格網(wǎng)絡(luò)���,每個(gè)安全元件是由位于集成電路的敏感區(qū)域之上的導(dǎo)電金屬線制成的; 產(chǎn)生多個(gè)隨機(jī)數(shù)的隨機(jī)數(shù)發(fā)生器���; 耦合在所述隨機(jī)數(shù)發(fā)生器和所述安全網(wǎng)格之間的安全控制器�,所述安全控制器通過以下方式對(duì)所述安全網(wǎng)格網(wǎng)絡(luò)進(jìn)行隨機(jī)化根據(jù)至少一個(gè)隨機(jī)數(shù)選擇所述多個(gè)安全元件的子集�,根據(jù)陣列配置形成安全陣列,以及產(chǎn)生驅(qū)動(dòng)激勵(lì)以在至少一個(gè)SENSE節(jié)點(diǎn)處驅(qū)動(dòng)所述安全陣列�;以及 耦合至所述安全網(wǎng)格網(wǎng)絡(luò)和所述安全控制器的安全監(jiān)控器,所述安全監(jiān)控器選擇至少一個(gè)SENSE節(jié)點(diǎn)�����,根據(jù)混合檢測模式監(jiān)控所述SENSE節(jié)點(diǎn)處的輸出��,以及產(chǎn)生指示是否檢測到篡改企圖的標(biāo)志信號(hào)����,所述檢測模式是與所述驅(qū)動(dòng)激勵(lì)相關(guān)聯(lián)的。
19.根據(jù)權(quán)利要求18所述的篡改檢測系統(tǒng)����,其中,所述安全控制器包括至少一個(gè)數(shù)字激勵(lì)產(chǎn)生器和至少一個(gè)模擬激勵(lì)產(chǎn)生器,并且所述安全監(jiān)控器包括至少一個(gè)數(shù)字檢測電路和至少一個(gè)模擬檢測電路���,所述至少一個(gè)數(shù)字檢測電路檢測所述安全陣列的開路或短路狀況�,所述至少一個(gè)模擬檢測電路檢測所述安全陣列的電阻變化��。
20.根據(jù)權(quán)利要求18所述的篡改檢測系統(tǒng)���,其中,所述數(shù)字激勵(lì)產(chǎn)生器和所述模擬激勵(lì)產(chǎn)生器都耦合至所述隨機(jī)數(shù)發(fā)生器���,并且所述驅(qū)動(dòng)激勵(lì)是根據(jù)由所述隨機(jī)數(shù)發(fā)生器產(chǎn)生的另一隨機(jī)數(shù)子集產(chǎn)生的���。
全文摘要
本發(fā)明的各個(gè)實(shí)施例涉及通過以下方式檢測篡改和防止未授權(quán)訪問的系統(tǒng)、設(shè)備和方法將可編程性和隨機(jī)性并入到對(duì)布置在安全系統(tǒng)中的敏感區(qū)域之上的導(dǎo)電線進(jìn)行耦合����、驅(qū)動(dòng)和感測的過程中。這樣的篡改檢測系統(tǒng)包括安全網(wǎng)格網(wǎng)絡(luò)�����、隨機(jī)數(shù)發(fā)生器��、安全控制器和安全監(jiān)控器。該安全網(wǎng)格網(wǎng)絡(luò)包含由導(dǎo)線制成的多個(gè)安全元件��。該安全控制器選擇安全元件的子集����,形成安全陣列,以及產(chǎn)生驅(qū)動(dòng)激勵(lì)���。該安全監(jiān)控器選擇SENSE節(jié)點(diǎn)�,監(jiān)控SENSE節(jié)點(diǎn)處的輸出��,以及產(chǎn)生指示篡改企圖出現(xiàn)的標(biāo)志信號(hào)�����。經(jīng)由隨機(jī)數(shù)將可編程性和隨機(jī)性引入到包含陣列配置��、驅(qū)動(dòng)激勵(lì)�����、SENSE節(jié)點(diǎn)以及檢測模式的系統(tǒng)參數(shù)中的至少一項(xiàng)��。
文檔編號(hào)G06F21/72GK103034818SQ201210311768
公開日2013年4月10日 申請(qǐng)日期2012年8月29日 優(yōu)先權(quán)日2011年8月29日
發(fā)明者J·馬, S·U·郭, I·A·喬杜里 申請(qǐng)人:馬克西姆綜合產(chǎn)品公司