本發(fā)明涉及芯片物理完整性檢測領(lǐng)域。

背景技術(shù)：
芯片的侵入式攻擊，也稱為物理攻擊，是指攻擊者通過物理手段(如借助特殊的儀器設(shè)備)，對芯片內(nèi)部所展開的信息窺探和惡意破壞行為。包括剝離、探針、聚焦離子束FIB等?，F(xiàn)階段針對物理攻擊的解決辦法之一是頂層金屬檢測。當芯片遭受物理攻擊時，頂層金屬會遭到破壞，檢測裝置會檢測到頂層金屬受到破壞而發(fā)出報警信號。現(xiàn)有的頂層金屬檢測一般采用上拉電阻式檢測方式或下拉電阻式檢測方式。上拉電阻檢測方式指金屬檢測線網(wǎng)一端接地，另一端通過一個大阻值的上拉電阻接到電源?？刂破鲗饘贆z測線網(wǎng)連接上拉電阻的端點的電位進行檢測。下拉電阻檢測方式的電路結(jié)構(gòu)類似。通過檢測點的電位變化可知金屬檢測線網(wǎng)的完整性。當金屬檢測線網(wǎng)是完整的，金屬線網(wǎng)的阻值與上拉電阻的阻值相比很小，所以檢測點電位為0。當金屬檢測線網(wǎng)受到破壞而斷路時，檢測點電位為1。上拉(或下拉)電阻電平檢測方式存在一些缺點：1)上拉(或下拉)電阻阻值大，占用面積大。2)上拉(或下拉)電阻不能直接放在標準單元區(qū)域，版圖物理實現(xiàn)困難。3)漏電大，正常時從電源到地一直有電流。為解決上述的檢測方式存在的缺點，本發(fā)明提供了一種采用鏈式結(jié)構(gòu)的芯片物理完整性檢測裝置和系統(tǒng)。

技術(shù)實現(xiàn)要素：
本發(fā)明所要解決的技術(shù)問題是為了減小完整性檢測裝置的面積，準確檢測芯片物理完整性是否遭到破壞，提出一種芯片物理完整性檢測裝置與系統(tǒng)。為了解決上述技術(shù)問題，本發(fā)明提供的技術(shù)方案如下：一種芯片物理完整性檢測裝置，包括金屬檢測線網(wǎng)和多個電平檢測模塊，所述金屬檢測線網(wǎng)一端接地，在所述金屬檢測線網(wǎng)上設(shè)置多個檢測點，每個檢測點連接一個電平檢測模塊，所述電平檢測模塊，用于檢測與其連接的檢測點的電位，當所述檢測點的電位異常時，輸出異常信號。進一步地，所述多個電平檢測模塊分為一個或者多個組；每組電平檢測模塊依次相連組成一條鏈式檢測電路。進一步地，所述鏈式檢測電路中有一個或者多個電平檢測模塊檢測到電位異常，則所述鏈式檢測電路輸出異常信號。進一步地，所述檢測點設(shè)置在金屬檢測線網(wǎng)覆蓋的關(guān)鍵區(qū)域。進一步地，關(guān)鍵區(qū)域包括存儲器區(qū)域、加解密算法區(qū)域、密鑰區(qū)域，安全地址區(qū)域。進一步地，所述電平檢測模塊還用于當接收到前級的電平檢測模塊輸出的異常信號時，輸出異常信號。進一步地，所述電平檢測模塊包括：第一上拉器件TIEH、數(shù)據(jù)選擇器MUX、保持電路HOLD、異或門XOR、第二上拉器件TIEH、第一寄存器FF、或門OR和第二寄存器FF，所述數(shù)據(jù)選擇器MUX的高選通輸入端與所述第一上拉器件TIEH的輸出端相連，所述數(shù)據(jù)選擇器MUX的低選通輸入端與所述檢測點相連，所述數(shù)據(jù)選擇器MUX的選擇控制端口SEL接入檢測頻率控制信號，所述數(shù)據(jù)選擇器MUX的輸出端通過保持電路HOLD與所述異或門XOR的第一輸入端相連，所述異或門XOR的第二輸入端接入所述檢測頻率控制信號，所述第一寄存器FF的數(shù)據(jù)輸入端D與所述第二上拉器件 TIEH的輸出端相連，所述第一寄存器FF的觸發(fā)信號輸入端與所述異或門XOR的輸出端相連，所述第一寄存器FF的數(shù)據(jù)輸出端Q與所述或門OR的第一輸入端相連，所述或門OR的第二輸入端與前級電平檢測模塊第二寄存器FF的數(shù)據(jù)輸出端相連，所述或門OR的輸出端與所述第二寄存器FF的數(shù)據(jù)輸入端D相連，所述第二寄存器FF的觸發(fā)信號輸入端接入時鐘信號，所述第二寄存器FF的數(shù)據(jù)輸出端Q與后級電平檢測模塊中或門OR的第二輸入端相連；所述第一寄存器FF和第二寄存器FF的使能信號端EN分別接入系統(tǒng)控制信號，控制所述第一寄存器FF和/或第二寄存器FF的復位和/或正常工作，當檢測點的電位異常或者前級電平檢測模塊中的第二寄存器FF輸出異常信號，則所述第二寄存器FF的數(shù)據(jù)輸出端Q輸出異常信號。進一步地，所述檢測點電位異常為電位懸空，所述前級電平檢測模塊中的第二寄存器FF輸出異常信號為輸出“1”，所述第一寄存器FF和第二寄存器FF為上升沿觸發(fā)，所述第二寄存器FF的數(shù)據(jù)輸出端Q輸出異常信號為輸出“1”。芯片物理完整性檢測系統(tǒng)包括控制器和所述的檢測裝置，所述電平檢測模塊輸出的異常信號傳遞至控制器。進一步地，所述控制器根據(jù)異常信號將所述芯片的存儲器清零和/或停止芯片當前工作和/或復位系統(tǒng)。當金屬檢測線網(wǎng)任意一處檢測點的電位懸空，都會被與之相連的電平檢測模塊檢測到并輸出異常檢測值，異常檢測值會單獨發(fā)送給控制器或者沿著鏈式檢測電路傳遞下去給控制器，控制器立即進行相應的安全應對機制，如存儲器清零、芯片停止工作等，無需上拉或者下拉電阻，減小了完整性檢測裝置的面積。附圖說明圖1為本發(fā)明實施例的芯片物理完整性檢測系統(tǒng)的結(jié)構(gòu)示意圖；圖2為本發(fā)明實施例的電平檢測模塊的結(jié)構(gòu)示意圖。具體實施方式為使本發(fā)明的目的、技術(shù)方案和優(yōu)點更加清楚明白，下文中將結(jié)合附圖對本發(fā)明的實施例進行詳細說明。需要說明的是，在不沖突的情況下，本申請中的實施例及實施例中的特征可以相互任意組合。如圖1所示，本發(fā)明實施例的芯片物理完整性檢測裝置，包括金屬檢測線網(wǎng)和多個電平檢測模塊，所述金屬檢測線網(wǎng)一端接地，在所述金屬檢測線網(wǎng)上設(shè)置多個檢測點，每個檢測點連接一個電平檢測模塊，所述電平檢測模塊，用于檢測與其連接的檢測點的電位，當所述檢測點的電位異常時，輸出異常信號。本發(fā)明實施例中的金屬檢測線網(wǎng)可以覆蓋全芯片，也可以只覆蓋住關(guān)鍵區(qū)域。關(guān)鍵區(qū)域主要包括存儲器區(qū)域、加解密算法區(qū)域、密鑰區(qū)域，安全地址區(qū)域。芯片可以劃分成不同區(qū)域，各個區(qū)域的金屬檢測線網(wǎng)的形狀可以不同。金屬檢測線網(wǎng)一端接地，且在金屬檢測線網(wǎng)上離散分布一些檢測點，所述檢測點可以設(shè)置在金屬檢測線網(wǎng)覆蓋的關(guān)鍵區(qū)域和/或關(guān)鍵地址。電平檢測模塊與檢測點一一對應，電平檢測模塊的檢測輸入端與金屬檢測線網(wǎng)的檢測點相連，電平檢測模塊可以檢測到檢測點的電位是正常還是異常。設(shè)置多個檢測點，還可以對受到攻擊的位置做出判斷，檢測點正常電位為0，異常電位為懸空，沿電流方向，第一個被檢測到電位為懸空的檢測點，輸出異常信號，則受到攻擊的位置在上一個檢測點和電位懸空的檢測點之間。本發(fā)明實施例的還提供一種芯片物理完整性檢測系統(tǒng)，除了包括上述檢測裝置外，還包括一控制器，所述電平檢測模塊輸出的異常信號傳遞至控制器。所述控制器根據(jù)異常信號將所述芯片的存儲器清零和/或停止芯片當前工作和/或復位系統(tǒng)。本發(fā)明實施例的檢測裝置或檢測系統(tǒng)中的多個電平檢測模塊分為一個或者多個組；每組電平檢測模塊依次相連組成一條鏈式檢測電路，在檢測系統(tǒng) 中鏈式檢測電路的輸出信號連接到芯片的控制器。所述鏈式檢測電路中有一個或者多個電平檢測模塊檢測到電位異常，則所述鏈式檢測電路輸出異常信號。一條鏈式檢測電路中的電平檢測模塊個數(shù)不限。如圖2所示，電平檢測模塊由數(shù)字標準單元構(gòu)成。電平檢測模塊的檢測頻率受檢測頻率控制信號控制。檢測頻率可以根據(jù)不同時刻、不同應用動態(tài)調(diào)整。所述電平檢測模塊包括：所述電平檢測模塊包括：第一上拉器件TIEH、數(shù)據(jù)選擇器MUX、保持電路HOLD、異或門XOR、第二上拉器件TIEH、第一寄存器FF、或門OR和第二寄存器FF，所述數(shù)據(jù)選擇器MUX的高選通輸入端與所述第一上拉器件TIEH的輸出端相連，所述數(shù)據(jù)選擇器MUX的低選通輸入端與所述檢測點相連，所述數(shù)據(jù)選擇器MUX的選擇控制端口SEL接入檢測頻率控制信號，所述數(shù)據(jù)選擇器MUX的輸出端通過保持電路HOLD與所述異或門XOR的第一輸入端相連，所述異或門XOR的第二輸入端接入所述檢測頻率控制信號，所述第一寄存器FF的數(shù)據(jù)輸入端D與所述第二上拉器件TIEH的輸出端相連，所述第一寄存器FF的觸發(fā)信號輸入端與所述異或門XOR的輸出端相連，所述第一寄存器FF的數(shù)據(jù)輸出端Q與所述或門OR的第一輸入端相連，所述或門OR的第二輸入端與前級電平檢測模塊第二寄存器FF的數(shù)據(jù)輸出端相連，所述或門OR的輸出端與所述第二寄存器FF的數(shù)據(jù)輸入端D相連，所述第二寄存器FF的觸發(fā)信號輸入端接入時鐘信號，所述第二寄存器FF的數(shù)據(jù)輸出端Q與后級電平檢測模塊中或門OR的第二輸入端相連；所述第一寄存器FF和第二寄存器FF的使能信號端EN分別接入系統(tǒng)控制信號，控制所述第一寄存器FF和/或第二寄存器FF的復位和/或正常工作，當檢測點的電位異?；蛘咔凹夒娖綑z測模塊中的第二寄存器FF輸出異常信號，則所述第二寄存器FF的數(shù)據(jù)輸出端Q輸出異常信號。本發(fā)明實施例中所述檢測點電位異常為電位懸空，所述前級電平檢測模塊中的第二寄存器FF輸出異常信號為輸出“1”，所述第一寄存器FF和第二寄存器FF為上升沿觸發(fā)，所述第二寄存器FF的數(shù)據(jù)輸出端Q輸出異常信號為輸出“1”。數(shù)據(jù)選擇器MUX201，它的選擇控制端口SEL連接檢測頻率控制信號FRE_CTRL。當選擇控制端口SEL為高電平時，數(shù)據(jù)選擇器MUX201輸出值為高選通輸入端的值；當選擇控制端口SEL為低電平時，數(shù)據(jù)選擇器MUX201輸出值為低選通輸入端的值。第一上拉器件TIEH和第二上拉器件TIEH，輸出高電平。保持電路HOLD202，即雙穩(wěn)態(tài)電路。在沒有外來觸發(fā)信號的作用下，電路始終處于原來的穩(wěn)定狀態(tài)。在外加輸入觸發(fā)信號作用下，雙穩(wěn)態(tài)電路從一個穩(wěn)定狀態(tài)翻轉(zhuǎn)到另一個穩(wěn)定狀態(tài)。異或門XOR203，比較數(shù)據(jù)選擇器MUX201的輸出值和頻率檢測控制信號FRE_CTRL。如果檢測輸入端detect_point電位正常為0時，數(shù)據(jù)選擇器MUX201輸出值和頻率檢測控制信號FRE_CTRL的波形一致，異或門XOR203輸出值為0；如果檢測輸入端detect_point電位懸空時，異或門XOR203輸出值為1。第一寄存器FF204，D端為數(shù)據(jù)輸入端，Q為數(shù)據(jù)輸出端。當異或門XOR203輸出變?yōu)?時，第一寄存器FF204的輸出一直為1。或門OR205，第一寄存器FF204的輸出端和前級輸入端data_in至少一個為1時，或門輸出值為1。第二寄存器FF206，D端為數(shù)據(jù)輸入端，Q為數(shù)據(jù)輸出端。當時鐘有效沿到來時，對輸入端值進行采樣并輸出。兩個或兩個以上的電平檢測模塊依次相連，每個電平檢測模塊的輸出端第二寄存器FF206的數(shù)據(jù)輸出端data_out接到下一個電平檢測模塊的或門OR205的前級輸入端data_in。這樣一系列的電平檢測模塊就構(gòu)成了一條鏈式檢測電路。鏈式檢測電路中的任意一級模塊對應的檢測點電位異常時，該級模塊輸出異常信號，并且異常信號會沿著鏈式檢測電路傳遞下去，前級輸出異常信號，則本級輸出異常信號，鏈式檢測電路輸出的報警信號變?yōu)橛行?這里沿電流方向，電流先經(jīng)過的相對于電流后經(jīng)過的為前級)。所以任意一個檢測 點的電位異常，都會通過鏈式結(jié)構(gòu)傳遞下去最后發(fā)出報警信號。鏈式檢測電路最后一級模塊輸出的報警信號會連接到控制器，可以假定報警信號有效即鏈式檢測電路輸出為高電平，則控制器立即進行相應的安全應對機制，如芯片停止工作，存儲器清零等。本發(fā)明實施例的優(yōu)勢在于：1，電平檢測模塊采用數(shù)字標準單元構(gòu)成，相比于目前的上拉或下拉式電阻的檢測方式，具有面積小，漏電流小，物理版圖易于實現(xiàn)的優(yōu)點。2，檢測結(jié)果信號采用鏈式電路進行傳送。金屬檢測線網(wǎng)任意一處檢測點的電位懸空，都會被與之相連的電平檢測模塊檢測到并輸出異常檢測值，異常檢測值會沿著鏈式檢測電路傳遞下去最后發(fā)出報警信號給控制器，控制器立即進行相應的安全應對機制。雖然本發(fā)明所揭露的實施方式如上，但所述的內(nèi)容只是為了便于理解本發(fā)明而采用的實施方式，并非用以限定本發(fā)明。任何本發(fā)明所屬技術(shù)領(lǐng)域內(nèi)的技術(shù)人員，在不脫離本發(fā)明所揭露的精神和范圍的前提下，可以在實施的形式上及細節(jié)上作任何的修改與變化，但本發(fā)明的專利保護范圍，仍須以所附的權(quán)利要求書所界定的范圍為準。