（电路与系统专业论文）安全芯片物理防护研究.pdf

摘要 随着信息化的不断推进，信息安全成为事关国家安全和百姓生活的一个重 要话题。同时随着集成电路的不断发展，安全芯片在牛活中的应用越来越广，为 此研究安全芯片的物理防护问题成为追切需要。安全芯片的一个重要特征在于其 数据是在加密的情况下进行存储甚至运算，这使得其安全性大为加强。但是数据 不仅仅在使用过程中可能遭到窃取，在加密过程中也同样可能被窃取。因此光对 数据进行加密对数据的保护是远远不够的，我们必须对数据加密的过程和载体即 芯片电路进行研究来防范各种可能f _ 十 现的攻击。 如今对芯片的攻击技术已经卅i 仅仅是对芯片的解剖与反向提取，从简单功 耗分析s p a 到微分功耗分析d p a ，再到差分故障分析d f a ，对芯片的攻击手段在 不断进化的同时，我们也必须不断找到应对的方法。对一般的传感器对电路工作 环境的检测与保护，到自定时电路的应用，都在不断的完善着芯片的安全性。对 存储器的攻击也迫使我们采用更为灵活的编址方式，以及对总线数据的分析也迫 使我们对总线采取严格的保护措施，使其不至于暴露在攻击者的枪口之下。 由此本文提出了一系列措旌，并对目前一些安全措施进行改进，以构成个 严密的信息安全堡垒，以系统的观念来保护芯片的信息安全。 关键字：信息安全，物理防护，检测电路，简单功耗分析，复杂功耗分析 自定时电路 a b s t r a c t 叭t ht h ed e v e l o p m e n to f jn f o r m a t i o nt e c h n o l o g y ，i n f o r m a t l o n s ec l l r i t visb e c u m i n go n eo ft h em o s ti m p o r t a n tt o p i c sr e l a t e dw i t hn a t i o n s e c u r i t ya n dp e o p l el i f e ，w h i c h l e a d st ot h er e s u l t si nt h eu r g e n c yt o d e v e l o ps e c u r i t yc h i pt e c h n o l o g y n o w a d a y s ，s e c u r i t yt e c h n o l o g y i su s e d i nm o r ea n d 邛o r ec h i p s 。 o n eo ft h ei m p o r t a n tc h a r a c t e r so f i n f o r m a t i o n s e c l m it yc h i pist h a tt h ek e e pa n do p e r a t i o n o fd a t aa r eu n d e re n c r y p t i o n ， w h i c he n h a n c e st h el e v e lo fi n f o r m a t i o ns e c u r i t y b u t ，i nf a c t ，d a t ac a n b ea t t a c k e dd u r i n gn o to n l yt h es t o r a g eb u ta l s oe n c r y p t i o n s ot ok e e p d a t as e c u r e ，。n l ye n c r y p t i n gd a t ai sf a ro fe n o u g h ，t h ep r o c e s s a n dc a r r i e r o fe n c r v p t i o no p e r a t i o nm u s tb es t u d i e dt or e s i s ta l lk i n d so ft a m p e rt h a t m a y a r is e a tp r e s e n t ，t h et a m p e rt e c h n o i o g y t oc h i pi sn o t1 i m i t e d i n d i s s e c t i n na n dr e v e r s ee n g i n e e r i n g o t h e r w a y sm u s tb ed i s c o v e r e d t o r e s is tt h et a m p e rt e c h n o l o g yw h e ni td e v e l o p e df r o ms p a t od p aa n dd f a t h ed e s i g no fa l lk i n d so fs e n s o r sa n du t i l i z a t i o no f s e l f t i m e dc i r c u i t a r ea 1 1i n t h e p u r p o s e t oi m p r o v et h es e c u r i t y ，a t t h es a m e t i m s c r a m b i n g m e m o r ya n db u s i sa d o p t e di nam o r ef l e x i b l em e t h o d t oa v o i d h e i n ga t t a c k e d h e r e i n 、s e r i e so fm e a s u r e sb e s i d e st h em e t h o d sa b o v ea r et a k e na n d i m p r o v e dt oh u i i das o l i dc a s t l e t op r o t e c ti n f o r m a t i o ns e c u r i t yc h i p i n s y s t e mc o n c e p tio n k e y w o r d s ：i n f o r m a t i o ns e c u r it y ，t a m p e r r e s is t ，s e n s o r ，s p a ，d p a ， s e l f - t i m e dc i r c u i t 浙江太学硕士学位论j c 第1 章绪论 1 1 信息安全 近年来，我国信息化进程不断推进，信息系统在政府和大型行业、企业组织 中得到了日益广泛的应用。随着各部门对其信息系统不断增长的依赖性，信息系 统的脆弱性口盏暴露，由于信息系统遭受攻击使得其运转及运营受负面影响事件 不断出现，信息系统安全管理已经成为政府、行业、企业管理越来越关键的部分。 如何规范日趋复杂的信息系统的安全保障体系建设以及如何进行复杂信息系统 的安全评估是信息化进程中所面临的巨大挑战。而同时随着网络应用深入到国民 经济和人民生活的各个方面，随之而来的高技术犯罪或侵权行为也更加频繁。从 根本上讲，几乎所有的因特网信息服务都需要安全措施，特别需要证实服务对象 的真实身份。 而信息安全的目的就在于保证数据信息在确定的时间内，在确定的地点、条 件下只能被拥有使用权限的人( 或一组人) 所使用或识别。加密是实现信息安全 的一种重要手段，加密技术可使一些重要数据存储在不安全的计算机上，或在不 安全的信道上传送，只有持有合法密钥的一方才可以获得明文。然而仅仅考虑加 密算法是不足以确保数据安全性的，再好的加密算法也需要硬件的支撑，所以这 就必然需要从系统的角度来考虑数据的安全性。除了加密算法，还必须考虑在 数据加密和存储过程中的所可能发生的攻击行为，由此就提出了安全性对硬件 的要求 一般而言，信息安全至少应具有以下五个方面的特性： 1 机密性：防止未经授权的信息获取，如未经授权无法理解信息本身的真 止涵义( 加密信息) 等。 2 完整性：防止未经授权的信息更改( 修改、删除、增加) ，如未经授权无 法对信息进行任何形式的更改。一般用于防止对信息的主动、恶意的篡改。 3 可获取性：防止米经授权的信息截流( 在信息传输过程q 一的非法截取) 。 浙江太学硕士学位论文 4 真实性：真实性就是通过一一系列的技术手段验证信息的真实性。 5 持久性：指长时间信息保存的可靠性、准确性等。 正是从上述五个方面出发，伴随着集成电蹄技术的发展，安全芯片应运而生 了，其正应对了信息社会对安全性越来越高的要求，其所具有的高安全性和应用 灵活性使其在越来越多的领域得到应用，其中以智能卡的广泛应用为代表。然而 树大招风，当前安全芯片的j 泛使用也使其成为各类攻击的重要对象。 1 2 安全芯片 1 2 1 存储卡 访问逻辑应用数据 j 搦剥蓑莲厚l 赣 时钟c 书- i 和安全l l ：竺! 羔：别 控制线捆1 逻辑lr 数 wc兰e二孤丽i据vss c 翱一。l 竺竺i 它们也可以执行一些简单的加密功能，数据通过卡的i 0 口传入或传出 浙江大学硕士学位论文 1 2 2微处理器卡 顾名思义，微处理器卡芯片的心脏是微处理器，通常环绕它有四个刚加的功 能模块：掩膜r o m ，e e p r o m ，r a m 和一个i o 接口。电路框图如图2 2 所示。 协处理器工作存储器 i 0 时钟 控制线 v c c v s s 数据 存储器 与操作 系统 子程序 操作系统 图1 2 具有协处理器的接触微处理器卡的典型结构 掩膜r o m 中装有芯片的操作系统，对于同一生产批次的所有芯片来说 r o m 的内容都是相同的，而且在芯片的整个生命周期内都是不可更改的。 芯片中的e e p r o m 是非易失性存储器，数据和程序代码可以在操作系统的 控制下从e e p r o m 中读出或写入。 芯片中的r a m 是处理器的工作存储器，这个存储器是易失性的。当芯片的 电源关闭时，存储在r a m 里面的所有数据都会丢失。 串行i o 接口的功能部件通常只包含一个简单的寄存器，通过这个寄存器将 数据逐位输入或输出。 微处理器卡使用起来非常灵活。在最简单的情况下，它们只含有一个对单项 应削最优化的程序，因而仅能用于此项应用。然而，现代的智能卡操作系统允许 几个不同的应用组合装在一张卡里。这种情况下，r o m 中只装有操作系统的基 本指令，在卡制成后再把与应用有关的装用程序装进e e p r o m 中。目前，最新 开发的芯片甚至允许在卡已经被个人化并发行给持卡人之后再反过来把应用程 序装载到卡里。芯片中的专门的硬件和软件检测功能，确保各项独立应用的安全 性。因此，人们直在开发着专用的、优化的、具有高处理能力和大存储容量的 微处理器：甚片。 微处理器卡现在广泛应用于智能卡领域。由智能卡应用场合所限，其性能一 股都不需要太高，这样同时可以降低其成本。 浙江大学硕士学位论五 1 2 3 安全芯片应用系统 作为一种新的安全屏障，安全芯片已被应用引用到众多领域，尽管各种应用 系统千差力别，但系统中除了安全芯片这个安全核心部件外，还有外设、计算机、 应用软件等。卜面对这些部分作简单介绍。 外设：外设是系统中最基本的组件，除了提供对芯片的机械支承和电气接触， 对于特定场合还要增加一些附加功能。其基本功能是完成对芯片的发行、修改和 删除等读写操作，功能强的还可以进行数据处理、数据存储、数据加密。结构上， 可以是单独的整体，也可以作为部件形式嵌到其他系统中去。功能上，可以单独 具备发行、读写、显示、数据处理等功能，也可以与计算机或其他系统联合完成 对卡的操作。 计算机系统：根据系统功能的大小，采用的计算机系统可以是通用p c 机、 终端机，也可以是单片机组成的专用系统。完成的操作包括：对卡的读写控制、 发行管理、通讯等。 应用软件：安全芯片系统的硬件组成比较简单，关键在软件设计上，软件功 能主要有：芯片的读写控制、结果显示、数据管理、系统加密、系统通讯等。同 样个系统，软件设计的好坏，对性能影响很大，甚至关系到系统的成败。 1 3安全芯片的应用及其现状 安全芯片在国外的应用已有近二十年的历史，特别是在欧洲有很大规模的使 用。其中使用最普遍而且数量最大的是电话卡。 安全芯片在国内的应用和国外有相似之处，也有自身的特点。就目前的应用 状况而言，大致可以分成以下几类应用。 1 3 1各类智能卡 公用电话智能卡和移动电话s i m 是应用数量最大的智能卡，大约达到了总 发卡量的8 0 左右。因为电话智能卡属于一次性卡，加上i c 卡电话机的普及， 其卡片发行量得到了持续稳定的发展。移动电话s i m 卡也是l c 卡在电信方面的 重要应_ | = | j 。由于我国移动电话发展异常迅猛，s i m 卡的发行量达到了每年八百万 到千万片的规模。s i m 卡属于高档的微处理器卡，其销售额和公用电话i c 卡 4 浙江走学硕士学位i 告文 相比毫1 j 逊色。 目前各个商业银行发行的上亿张银行卡基本上还是磁条卡，由于信用额度有 限，现在发行的银行卡和真正意义卜的信用卡还有很火差距，称之为借计卡也许 更乃准确。而借汁卡更适合于用智能卡来实现脱机交易。同时智能卡的高安全性 也是磁卡所不能比拟的，这就使得作为安全认证和支付手段的智能卡，在只益兴 起的网上购物利电子商务方面将得到广泛的应用。 我闻的医疗和社会保险制度和体系正在逐步建立和完善，l c 卡作为一种数 据载体和资金支付工具，也得到了部分使用。据不完全统计，总的发卡量已超过 了三百万张。目前所用的卡型，以逻辑保密卡为主，少数城市正在尝试使用微处 理器p ，达到安全和一卡多用的目的。在不远的将来，劳动和社会保障卡将成为 i c 卡使用最多的应用之一。 国内还有一种比较特殊的卫生医疗相关的j c 卡应用，是在计划生育领域， 作为数据载体和控制手段在山东等地得到试用。 包括城市公交、地铁、轮渡、出租车、高速公路、桥梁和隧道等收费应用。 我同传统的纸票收费，浪费人力物力，难以做到高效、省时、按里程收费和及时 准确数据统计和资源的合理调度，也容易出现经济问题。如今在全国众多的城市 公交i h 已经作为电子月票和电子车票在使用。 在国内至少有以下应用属于i d 卡的范畴：居民身份证、驾驶证、行车证、 工商企业代码证等。单纯利用表面印刷技术己不能满足i d 卡安全防伪和数据量 增多的要求，而智能卡恰好能够满足这方面的要求。由于居民身份证和驾驶证涉 及到国家安全且数量巨大，所以国家倾向于使用自主设计和生产的产品，由于自 主设计利生产不是短时间能够解决的，所以很多省市衍生了一种所演驾驶员违章 考核卡的应用，发卡量已经达到了几百万张。 1 3 2高安全性的网络安全处理器 随着网络的飞速发展，尤其是虚拟专用网( v p n ) 和电子商务的广泛开展，使 人们在关注网络处理器的处羽速度之余，也越来越多地关注起网络处理器的安全 性，从而越来越多的安全技术被集成到网络处理器中，安全技术也成为如今的网 络处理器的一个买点。 网络安全处理器与微处理器卡用芯片的结构大致相同，也有c p u 、处理器 s 浙江走学硕士学位论文 和各类存储器，但是其c p u 各方面性能、协处理器种类及其存储器容量等各方 面都要比微处理器卡所用j 出片丰富的多。 1 3 3r f i d r f l d 是一种内建无线电技术的芯片，芯片中还可纪录一系列信息，如产品 别、何置、日期等，最大的好处是能提高物品管理效率，目前物品信息多记录在 条形码上，而冉以扫描仪扫瞄条形码取得信息，而r f i d 只需在一定范围内感应， 并可一次读取大量信息。 如今芯片成本下滑和共同标准的建立为r f i d 开拓更多应用。过去r f i dj 占 片成本较高，因此在部分高价或可回收的应用才有较多企业采用这种技术，如汽 车、i k 等：目前单片r f i d 芯片成本就集成电路制造技术发展而言，价格持续下滑 的空问还很大。 刁i 只企业，政府单位也可运用r f i d 技术提升效率。如海关部门运用一种 r f i d 技术开发的电子封条可以改善货柜的通关效率。 除上述应用外，安全一吕片的应用仍在不断扩充之中，包括用来应对黑客和病 毒的个人电脑用芯片都已逐渐步入应用阶段。 第2 章安全芯片电路结构与安全性 2 1安全芯片电路结构 安全芯片的电路结构随应用的不同而各具特色，但其电路部件主要有处理器 模块，存储器模块，安全模块，密码算法协处理器，接口电路等。下面以极具代 表性的智能卡芯片为例，说明其结构与安全性要求。如下图2 1 所示，芯片内部 主要集成了m c u ( 微处理器) 、r o m ( 只读存储器) 、r a m ( 读写存储器) 、e e p r o m ( 重复可擦写只读存储器) 、安全电路与传感器管理模块、c a u ( 密码运算协处 理器) 等功能部件，根据使用者对性能的不同要求，m c u 的性能以及存储器的 容量均有所不同，芯片的性能和应用场合均有所不同 无线接口界面if 数羰器 密码运算协处理器 图2 1 智能卡电路结构框图 安全芯片的微处理器工作频率和性能都无法与通用c p u 相提并论，而密码 运算通常计算量都非常大，因此为了提高芯片的性能，需要有一个密码运算协处 理器来减轻微处理器的工作量。同时由于加密运算需要一个高性能的随机数种 子，安全芯片内部一般都有一个真随机数发生器，其生成的真随机数序列的性能 对安全芯h 的安全性会有很大的影响，为此设计一个高性能的真随机数发生器 是寸一分必要的。同时安全芯片需要一个安全电路管理模块来管理从各个传感器 浙江大学硕士学位论文 和安伞电路传送过来的信号，以产生微处理器中断信号、并采取如抹除存储器中 数据等安全措旋来保护重要信息不被窃取。 2 2安全芯片物理攻击及其安全性 安全芯片的基本特性是为数据和程序提供一个安全的存储和操作环境。而从 另- 个方面讲，要建赢个具有完善的安全性能而不被任何人所渗透的完整系统 是不可能的，对于安全芯片系统也是如此。威胁安全芯片安全的因素主要来自两 个方丽：一种是客观存在的、非人为的对信息安全的威胁，主要表现为对信息载 体的干扰、破坏等，如强磁场对存于磁性介质上的数据的威胁，这种破坏通常不 会造成太大的损失；另。种是人为的威胁，具有主动性及蓄意性，是对信息安全 的主要威胁，关系到信息的机密性、完整性、可获取性及真实性等。但是对于每 一位攻击者而言，都会对他的行为做出利害分析，其所能获得的利益必须多于为 达此目的所消耗的时间、金钱和精力。 原则巳，对安全芯片的攻击分为三类：社会水平上的攻击；实体水平上的攻 击和逻辑水平上的攻击。实际中也会发生混合型的攻击，比如实体水平上的攻击 可以为逻辑水平上的攻击做准备，如差分故障分析。 2 2 1社会水平上的攻击 社会水平上的攻击主要是指用安全芯片工作的人们通过各种手段如安装摄 像头监视密码的键入来窃取。这种方法机器容易防护，只需在p i n 输入时用物 体遮挡即可。这种攻击手段不会造成大规模的损失，因为其仅对某一特定芯片起 作用。 2 2 2实体水平上的攻击 刑安全芯片实体水平上的攻击通常需要设备，这种攻击可分为静态攻击和动 态攻击。静态攻击是指芯片没有工作但电源可能接通的情况下，采用腐蚀剂、高 倍显微镜、照相机、操作台和探针等设备和材料对智能卡进行分析，这种攻击手 段没有时间限制，可以按照攻击者自己的步调来展开攻击。动态攻击则指芯片在 工作的状况下展开的攻击行为，此时必须要有足够快的数据采集和测量设备，如 高速a d c 和外围电路。 r 2 2 2 1 静态攻击 实体水、re 的静态攻击， 般采用侵入式攻击( i n v a s i v ea t t a c k ) 的手段米窃 取密码等可复用的信息，例如采j j ； 反向工程( r e v e r s ee n g i n e e r i n g ) 段来铁取安令 芯片的发计信息，以供动态攻击使用。例如安全芯片中应用最广的智能卡通常封装 稿一塑胶锉层上，四周是导电的接触区域，它的一面是芯片接口与读卡赫的接触区 域，砖掩膜固化存另面。颦胶镀层被层环氧树脂所覆盖。最终芯片按i s o 标准封装在卡片上。刮掉卡片塑胶就会露出环氧树脂，通过简单的化学试剂处理， 环氧利脂就很容易就会被溶掉，这样就会露出硅掩膜的表而，这样就有能保持芯 片内部完好。而芯片表面一般都有一层钝化层，只要把探测区域钝化层移除就可 以用探针来探测内部数据，这是十分危险的。更有甚者，通过光学的方法可以看 m 芯片内部的n 和p 区，这就相当于知道了电路的内部构造，由此而展开的攻 击将是致命的。图2 , 2 中的左图是r o m 存储器在多晶硅完整时的照片，右图则 是去除多晶硅等上层物质后露出的扩散层照片，从中可以轻易的读取r o m 中的 数据。 图2 2r o m 存储器解剖后的多晶硅与扩散区图片 下丽是几种常h j 的静态攻击方法： ( 1 1 通过扫描电子显微镜对存储器或芯片内部其它逻辑，真接进行分析读 取 ( 2 ) 通过测试探头读取存储器内容： f 3 ) 通过光学成像来探测芯片内部结构 浙江大学砸士学位论文 ( 4 ) 通过从外部无法获取的接口( 例如厂家测试点) 直接对存储器或处理器 进行直接数据存取； f 5 1 再激活安全芯片测试功能，等等。 2 2 _ 2 2 动态攻击 而在不解剖芯片的情况下，对芯片进行动态攻击，也是物理攻击的种手段， 被称之为非侵入式攻击( n o i n v a s i v ea t t a c k ) 。芯片以半导体逻辑为基础，逻辑门由 火量晶体管构成，当逻辑门上发生放电现象时，电子从硅衬底流过消耗能量，同 时产生电磁辐射。通过监测这些信息，利用统计方法和攻击者的经验对收集到的 信息进行分析来达到攻击的目的或窃取一定的信息给其他攻击手段使用的攻击 方法称为功耗分析。功耗分析技术的密钥搜索空间远远小于其它攻击技术且相对 费用低廉。在没有附加的安全措施下，安全芯片的处理器对所有指令必须具备基 本相同的电流损耗，否则基于电流损耗就可以做出有关处理命令的判断，一定数 量的秘密信息就可以从这些结沦中推出。功耗分析是实体水平的动态攻击最常用 也是威胁最大的方法，此外动态攻击还包括对总线的监听等攻击方式。 功耗分析技术主要分为简单功耗分析( s p a ) 、差分功耗分析( d p a ) 以及高阶 功耗分析。自从1 9 9 8 年6 月p a u l k o c h e r ，j o s h u aj a f f e 和b e n j a m i nj u n 发表了关 于简单功率分析( s p a ，s i m p l ep o w e ra n a l y s i s ) 和差分功率分析( d p a ，d i f f e r e n t i a l p o w e ra n a l y s i s ) 的研究成果以来，陆续的研究表明分析执行命令时微处理器的 电流损耗可以推出处理器执行的命令，甚至可以得到所处理的数据。简单功耗分 析就是指在芯片进行加密解密的过程中，真接测量芯片的能量消耗情况，在固定 的时刻，采样足够量的样本值，根据功耗曲线的特征及攻击者的经验直观地分析 出指令执行的顺序，把这些曲线与相应的密钥对应起来，从而达到攻击的日的， 通常被用米破解指令顺序及某些数据相关的算法。如图2 3 和图2 4 所示，简单 功耗分析的工作原理并不是太复杂，微处理器的电流损耗可以由测量串联在电源 回路1 l 的电阻上的电压降而确定，用一个高时间分辨率的模数转换器来测量。微 处理器随所处理的命令与数据的不同，其电流损耗也会有所不同。 浙江太学硕士学位论文 + 5 v 复位 时钟 厂b = 二一c羔r s t 怛叶丐 一 一世 恒 皿数据传送 图2 3 功率分析测量电路示意图 八j l 八胜一八 厂 厂 厂 厂 厂 厂 图2 4 微处理器在处理不同指令时的电流波形 d p a 攻击相比s p a 更加有效，其主要是通过统计分析和纠错技术从采集的能 量信息中抽取出和密钥相关的信息。可以从功耗曲线微小的变化分析处所需的关 键信息，但是需要搜集大量的信息，花费时间比较长。 通常情况下，进行简单功耗分析需要知道目标代码的应用细节，所以只有保 汪在一定的信噪比的情况下，简单功耗分析才能成功。差分功率分析对信噪比的 要求比简单功耗分析要小得多，但是差分功率分析需要得到大量的不同样本的能 量消耗值，以及所对应的样本如密文，进行统计分析才能得到相应的密钥。高阶 功耗分析的精度比前两种更高，但操作也更为复杂。用差分功耗分析技术先测量 微控制器处理已知数据的电流损耗，再测量未知数据时的电流损耗，测量应多次 重复以便取得平均值而排除噪音影蛹，一旦测量完成并计算出差别，有关未知数 据的结论即可由此结果得出。而高阶差分功率分析是差分功耗分析的进一步扩 充，测量的不仅是微控制器的电流损耗，还包括了依赖于处理器所执行的程序的 其他量，诸如芯片的电磁辐射。测量数据按如下方式收集：即对于已知和未知数 据二者的收集，然后使用和差分功耗分析技术中相同的方法去计算差别，即可计 算山秘密数据。通过功率分析可以得到微处理器执行的指令，而对于某些电路其 功耗与处理的数据值还具有密切的关系，如不同类型的存储器以及其在处理不同 数据时均会产生不同的功耗。相比而言简单功耗分析和差分功率分析比较常用的 浙江大学硕士学位论文 攻击手段，是加密r 作者研究的丰要问题。因此存设计安争芯片时考虑简单功率 分析和差分功率分析攻击非常必要。 2 2 3逻辑水平上的攻击 到日前为止，大多数已知的对安全芯片的攻击是在逻辑水平上的，其范围包 括经典的加密分析，以及利用智能卡操作系统中的已知故障和智能卡应用的可执 行代码中的特洛伊木马来攻击。本文论述范围只涉及智能卡硬件物理防护方面的 内容，所以这里只介绍相关的差分故障分析攻击手段。 引入故障最常见的方法，是由快速的时钟脉冲来触发时钟瀑操作，而电源的 调制也可以阻止某些部分电路工作( 例如e e p r o m 的写操作可以通过阻止相应 的电荷泵的丁作来阻l 上) ，或者利用微波辐射来引诱数据改变，由此所引发安全 危机也是我们要考虑的。 2 。3安全芯片攻击防护方法 基于以上攻击方法的分析，芯片的安全技术首先就要从设计的源头出发，使 其受攻击的可能性减至最小。首先可在芯片内设置光敏检测电路、电压检测电路、 温度检测电路蛆及频率检测电路等模块对芯片工作环境进行监控，在芯片遭受解 剖重新上电或者工作环境不够理想时，产生警告信息。为进一步加强安全性，对 于内部总线以及存储器等重要敏感电路部分，可以加上一层物理保护层，以阻止 入侵者利用探针等手段窃取信息，还可以对总线进行扰乱。此外为了防止其通过 功耗分析等攻击手段，可以通过设计随机扰动的电流源来提高抵抗功耗分析的能 力。具体实胞防护的方法有以下几种： 1 ) 通过烧断熔丝，使测试功能不可再激活； 2 ) 高低电压的检测； 3 )高低时钟工作频率的检测； 4 ) 高“氐温度的检测； 5 ) 防止地址和数据总线的截取； 6 ) 逻辑实施对物理存储器的保护( 存取密码等) ； 7 )总线搅乱和存储器的物理保护层等； 浙江大学硕士学住论文 8 )牛成随机功耗； 9 ) 时钟随机延迟及其伪操作； 1 0 ) ：占片具有唯一的编号，这个编号存储在写一次读多次w o r m ( w r i t e o n c e ，r e a dm u l t i p l e ) 存储器中。 第3 章环境监测保护电路设计 3 1 环境检测与保护电路 保口1 ，电路模块主要包括以下5 个模块：保护控制模块，频率检测保护模块， 电压检测保护模块，温度检测保护模块和光敏检测保护模块。芯片由这些检测电 路完成对工作环境的检测。保护电路结构如下图3 1 所示。 系统警告信号 图3 1 安全电路模块图 系统产生警告信息后，会切断芯片时钟或产生c p u 中断，阻止芯片操作 同时清除r a m 存储器内信息。 下面简要介绍一下各检测模块的情况 3 1 1电压检测电路 每块安全芯片都应有电压监控器。当供电电压低于或超过允许电压极限时， 就应该产生警告信号，然后关闭芯片时钟或电源，清除存储器荤要信息，使芯片 q i 能在边缘情况下工作。因为如果没有这个电压监控器，芯片就可能出现非正常 浙江大学硕士学位论叉 t 作状态，此时就可能出现例如程序计数器不稳定的情况，导致不受控制的跳转， 此时很有可能被利用差分故障分析技术来攻击芯片。 另一部分基于电压检测器的传感器是上电检测器，这个检测器用来在复位信 号之外单独识别加电状况，从而保证芯片在首先加电后总是出于规定的初始状 态。 3 1 2温度检测电路及其电路设计 对于安全芯片来说，温度同样是及其重要的一个外部环境因素，除了不正常 的工作温度对电路工作造成的影响，过高的温度也会烧坏芯片，同时过低的温度 也会埘存储器工作产生影响，因此我们需要一个温度感应器来对芯片的工作温度 进行腑控以保护芯片。 3 1 3频率检测电路 部分信息安全芯片例如智能卡采用外部时钟驱动，故其处理速度完全取决于 的外部，这就是说在理论上，是有可能让芯片中电路如微处理器以单步执行的 模式运行，这将为分析其工作提供明显的机会，特别是有关工作电流的消耗( 功 率分析) 和芯片表面电位的测量。同时过高的工作频率，也会使电路工作发生紊 乱。为了防止这种情况的发生，需要将时钟限定在一定的频率范围内。 此外这部分检测电路也必须处于保护层下，以防检测器被他人操控。 c lk 图3 2 低频检测电路 图3 2 1 一显示的是低频检测电路原理图，外部r s t 信号触发检测电路，检测合 格才输出新的c l k 与r s t 信号给内部电路使用。 3 1 4光敏检测电路 对于大多数的物理攻击一般都会采用芯片解剖等手段以观察芯片内部结构， 所以芯片的防解剖就显得非常的重要。为了防止电路在被解剖的环境下工作，可 以在芯片内部设计一个光敏检测电路，但是由于光敏检测电路容易被发现且容易 被蒙蔽，可以采用钝化层监控的方法来取代光敏检测电路。这种方法的安全性在 于监控电路位于钝化层下，一旦钝化层遭到破坏，用电阻测量或电容传感器电路 可以确定钝化层是否仍然存在，一旦检测到钝化层遭到破坏，则可触发芯片软件 的中断或导致芯片的全部硬件的关掉，从而可靠的防止芯片上各种类型的面态分 析。图3 3 是采用反偏光敏二极管来设计光敏检测电路的一个例子。 图3 3 光敏检测电路原理图 3 2 部分安全芯片安全模块电路设计 t 3 2 1电压检测电路设计 本电压检测电路采用t s m co 1 8 u r nm i x e d - s i g n a l 工艺设计，其标称工作电压 为18 v ，当供电电压处于1 ，2 v 26 v 之间视为正常工作范围，一旦超出该范围， 则产生告警信号。 s c h e m a t i c 电路图如图3 4 所示，电路利用电阻和晶体管分压电路的不同特 性，采用比较器对所得电压进行比较来产生告警信号，并采用于逻辑电路来矫正 波形并送出va l a r m 电压警告信号。当电源电压低于1 2 v 时，低压检测模块 浙盎兀士硕士掌位论工 中的l v t c 信号为低电平，反之则为商电、艮而当电源电压高于26 v 时，高压 榆测模块中的h v t c 为低电平，反之则为高电平。将h v t c 与l v t c 信号与逻 辑运算后得到告警信号，从上口j 以推断当电压处于1 2 v 到2 6 v 这一正常工作区 间日d 。，va l a r m 将为高电平。 图3 4 电压检测电路s c h e m a t i c 图 本电压检测电路的优点在于如下几个方面： 1 面积小，仅2 4 个c m o s 晶体管和一个电阻，最后的l a y o u t 面积仅约 6 0 0 u m 2 ； 2 功耗底，电流仅约为o 8 m a ； 3 c m o s 工艺实现。 其h s p i c e 网表仿真运行文件如下： + t h i si sv o l t a g ep r o t e c tm o d t i l e o p t i o np o s ta c c tb r i e f c 0 2 1 3 2l i s t o p t i o nb r i e f = 0 t i b h o m e 2 s t u d e n t y e s f c i r c u i t _ d e s i g n m o d e l s h s p i c e l 0 9 0 t 8 i t t 1 i b 。h o m e 2 s t u d e n t y e s f c i r c u i t _ d e s i g n r n o d e l s h s p i c e l o 9 0 18 1 。r e s t r a nl o n3 0 u p r o b e 浙江大学硕士学位论文 g l o b a lv d d ! g r i d ! v d dv d d ! g r i d ! p u l s e ( o303 0 u3 0 uo u3 0 u ) ? s u b c k tv p r o t e c t ：一l a r m 8 p i n i n f ov a l a r m ：o m p m l 4 p m l 4 dl v t c v d d ! v d d ! p c hw 2 2 ul = l s o 0 nm 2 1 m p m l 2 p m l 4 一dh v t c v d d ! v d d ! p c hw = 2 ul = 1 8 0 o nm 2 l m p m 9h v t c n m l 一d v d d ! v d d ! p c hw = 2 ul = 1 8 0 o nm = 1 m p m i5v a l a r mp m l 4 _ dv d d ! v d d ! p c hw = 2 ul = 1 8 0 o nm = 1 m p m on m o _ dv rv d d ! v d d ! p c hw 2 2 ul = 3 0 0 nm 2 1 m p m 4p m i _ sp m l i _ sv m h p m ii _ sp c hw = 2 ul = i8 0 o nm = 1 m p m11g n d ! g n d ! p m l1sg n d ! p c hw = 2 ul = i8 0 o nm = 1 m p m 5v m hv m hv d d ! v d d ! p c hw = 2 ul = 1 8 0 o nm = l m p m 8l v t c n m 4 一dv d d ! v d d ! p c h w 2 2 ul = 18 0 o nm 2 1 m p m 7g n d ! g n d ! v m lg n d ! p c hw = 2 ul = 1 8 0 o nm = 1 m p m 6v m lv m lv d d ! v d d ! p c hw = 2 ul = 1 8 0 o nm = i m p m 3n m 4 _ gv m lv d d ! v d d ! p c hw = 2 ul = 3 0 0 nm = i r r 0v rg n d17 1 4 2 3 2 k $ n r m p m in m i dv m hv d d ! v d d p c hw = 2 ul = 3 0 0 nm = 1 m p m 2n m 4 _ dv i iv d d ! v d d ! p c hw 5 2 ul 2 3 0 0 nm 2 1 m n m 6 p m l 4 一d l v t cn m 6 _ sg n d ! n c hw 2 2 ul 2 18 0 0 1 1m 。l m n m 8n m 6 _ sh v t cg n d ! g n d ! n c hw 2 2 ul 。18 0 o nm 。1 m n m 7va l a r mp m l 4 _ dg n d ! g r i d ! n c hw = 2 ul 。1 8 0 0 nm = i m n m 3v d d ! v d d ! v rv rn c hw = 2 ul = i8 0 o nm = l m n m 2h v t cn m l g n d ! g r i d ! n c hw 2 2 ul 2 1 8 0 o nm 2 l m n m 0n m 0 _ dn m odg n d ! g n d ! n c hw 。2 ul 2 18 0 o nm 2 l m n m ln m i d n m 吵g r i d ! g n d ! n c h w 2 2 u l 。1 8 0 o n m 2 1 m n m 9l v t cn m 4 _ dg n d ! g n d ! n c hw 2 2 ul = i 8 0 o nm 2 1 m n m 5n m 4 _ g n m 4 一gg n d g n d ! n c h w 2 2 ul 5 1 8 0 o nm 2 1 m n m 4n m 4 _ dn m 4gg r i d ! g n d ! n c hw 。2 ul 2 18 0 o nm 2 l f n d 8 浙江大学硕士学位论文 电路h s p i c e 仿真波形如下 ，罗， ? ? 一 一，”7 ，” ，一 ” ij z 1 1 i i i bt 帅) ( t i m e 】 图3 5v a l a r m 信号与电源电压对照图 芦 - ， _ ，_ ， ，j 一 。 巴，：。 ，二 一i i i i l i i i i ： f 卢一 m ( _ l i ) f n m e ) 图3 6 低压检测信号l v t c 与电源电压及比较电压对照图 芦 ，二j 一一。 ，? 一 一i；$ ；= 厂。 图3 7 高压检测信号h v t c 与电源电压及比较电压对照图 3 2 2温度检测电路设计 本电压检测电路采用t s m c0 1 8 u mm i x e d s i g n a l 工艺设计，设定其正常工 。 ， 。 ， 珏 。 ：2 、 iu-1)。f一； 5 v g罗一；、 作温度葩应j 为一2 0 8 0 ， 一旦温度超出该范蚓，则产生告警信号。 s c h e m a t i c 电路图如图3 8 所示，电路利用二极管的负温度特性，并列获得的 电压曲线分压，采用比较器对所得的不同电压曲线进行比较来产生告警信号，并 采刚于逻辑电路来矫正波形并送出t - a l a r m 电压警告信号。当环境温度低于 一2 0 时，低温检测模块；- _ | 的l t t c 信号为低电平，反之则为高电平。而当环境 温度高于8 0 时，高压榆测模块中的h t t c 为低电平，反之则为高电平。将h t t c 与l t t c 信号与逻辑运算后得到告警信号，从上可以推断当温度处于正常工作区： 间时，va l a r m 将为高电平。 图3 8 温度检测电路s c h e m a t i c 图 本强度检测电路的优点在于： 4 面积小，仅由1 9 个c m o s 管，两个二极管和五个电阻元件组成 5 功耗底，仿真值仅约为o 6 m a ； 6 温度线性度高； 7 c m o s 工艺实现。 其h s p i c e 网表仿真运行文件如下： + h i si sat e m p e r a t u r ep r o t e c tm o d u l e o p t i o np o s ta c c tb r i e f c o 。1 3 2l i s t o p t i o nb r i e f = o l i b h o m e 2 s t u d e n t y e s f c i r c u i l d e s i g n m o d e l s h s p i c e l 0 9 0 18 1 t t l i b 。h o m e 2 s t u d e n t y e s f c i r c u i l d e s i g n m o d e l s h s p i c e l 0 9 0 1 8 1 1r e s 浙江太学硕士学位论文 “a n1 0 n3 0 u d c t e m p - 2 01 2 01 p r o b e g l o b a lv d d ! g r i d ! v d dv d d ! g r i d11 8 v is u b c k t 屹尸r o t e c t 虻4 l a r m $ p i n i n t ova l a r m ：0 m p m l 4 p m l 4 一d l v t cv d d ! v d d ! p c hw = 2 ul = 1 8 0 o nm = i m p m l 2p m l 4 _ dh v t cv d d ! v d d ! p c hw = 2 ul 2 1 8 0 o nm = i m p m 9h v t c n m l 一d v d d ! v d d ! p c hw = 2 ul = i s o o nm = i m p m l5v a l a r mp m l 4 dv d d ! v d d ! p c hw = 2 ul = 1 8 0 o nm = i m p m on m odv rv d d ! v d d ! p c hw = 2 ul = 3 0 0 nm = i m p m 4p m l 1 一sp m l1 一sv m h p m l i _ sp c hw = 2 ul = 1 8 0 o nm = i m p m l lg r i d !