[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP5387144B2 - 誤動作発生攻撃検出回路および集積回路 - Google Patents

誤動作発生攻撃検出回路および集積回路 Download PDF

Info

Publication number
JP5387144B2
JP5387144B2 JP2009132544A JP2009132544A JP5387144B2 JP 5387144 B2 JP5387144 B2 JP 5387144B2 JP 2009132544 A JP2009132544 A JP 2009132544A JP 2009132544 A JP2009132544 A JP 2009132544A JP 5387144 B2 JP5387144 B2 JP 5387144B2
Authority
JP
Japan
Prior art keywords
circuit
output
level
detection circuit
signal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2009132544A
Other languages
English (en)
Other versions
JP2010279003A (ja
Inventor
浩美 信方
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sony Corp
Original Assignee
Sony Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sony Corp filed Critical Sony Corp
Priority to JP2009132544A priority Critical patent/JP5387144B2/ja
Priority to EP10004800A priority patent/EP2259487B1/en
Priority to CN2010101889908A priority patent/CN101924629B/zh
Priority to US12/786,612 priority patent/US8350574B2/en
Publication of JP2010279003A publication Critical patent/JP2010279003A/ja
Application granted granted Critical
Publication of JP5387144B2 publication Critical patent/JP5387144B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K19/00Record carriers for use with machines and with at least a part designed to carry digital markings
    • G06K19/06Record carriers for use with machines and with at least a part designed to carry digital markings characterised by the kind of the digital marking, e.g. shape, nature, code
    • G06K19/067Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components
    • G06K19/07Record carriers with conductive marks, printed circuits or semiconductor circuit elements, e.g. credit or identity cards also with resonating or responding marks without active components with integrated circuit chips
    • G06K19/073Special arrangements for circuits, e.g. for protecting identification code in memory
    • G06K19/07309Means for preventing undesired reading or writing from or onto record carriers
    • G06K19/07363Means for preventing undesired reading or writing from or onto record carriers by preventing analysis of the circuit, e.g. dynamic or static power analysis or current analysis
    • GPHYSICS
    • G09EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
    • G09CCIPHERING OR DECIPHERING APPARATUS FOR CRYPTOGRAPHIC OR OTHER PURPOSES INVOLVING THE NEED FOR SECRECY
    • G09C1/00Apparatus or methods whereby a given sequence of signs, e.g. an intelligible text, is transformed into an unintelligible sequence of signs by transposing the signs or groups of signs or by replacing them by others according to a predetermined system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/002Countermeasures against attacks on cryptographic mechanisms
    • H04L9/004Countermeasures against attacks on cryptographic mechanisms for fault attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/12Details relating to cryptographic hardware or logic circuitry

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Microelectronics & Electronic Packaging (AREA)
  • Semiconductor Integrated Circuits (AREA)
  • Storage Device Security (AREA)

Description

本発明は、FIA攻撃等を回避するための誤動作発生攻撃検出回路および集積回路に関するものである。
ICカードでは、ホストコンピュータとデータのやり取りを行うとき、その過程でICカードに格納されている秘密情報が漏れても問題を発生させないために、やり取りするデータには暗号化したデータを用いる。
この暗号化の方法として、現在最も多く用いられているのはDES(Data Encryption Standard)である。DESでは、データの暗号化にはICカードの所有者とホストコンピュータが同じ鍵を所有し、データの送信側はデータをその鍵で暗号化して送信し、データの受信者は同じ鍵で復号化してメッセージを取り出す。
通信の過程で悪意の第三者が盗聴しても、鍵を有していない限りは復号化してメッセージを取り出すことは困難である。
また、暗号化・復号化の時に使う鍵は、ICカード内のEEPROM等の不揮発性メモリに格納され、暗号化・復号化時にはCPUを介さないで直接ICカード内の暗号エンジンに転送される。
このような制御により、ICカードの所有者やICカードの開発エンジニアすら鍵データを取り出すことが不可能な構成を採ってセキュリティを保持している。
しかし、ICカードの消費電流を測定し、それに統計処理を施して鍵を取り出すという攻撃方法(DPA:Differential Power Analysis)が P.Kocher らにより報告された。
この攻撃は、消費電流波形の統計処理で暗号鍵が取得できるという、非常に強力な攻撃方法で、様々な防御方法が提案されている。
そして、DPA攻撃と並んで対策が要求される攻撃方法に、DFA(Differential Fault Analysis)がある。
この攻撃方法は、モールドを除去したチップ(Chip)に対して、暗号演算を実行しつつレーザ(Laser)照射等を行って論理回路の出力変化やレジスタ(Register)のビット(bit)反転等を発生させる。
そして、その出力文の誤演算結果を正しい演算結果と比較して解析することにより、鍵データを取得する攻撃方法である。
この攻撃を、CPUに対して行って秘密情報を取得する攻撃方法は、FIA( Fault Induction Attack )と呼ばれ、これも脅威となる。
これは、CPUが命令実行中に、CPUブロック内のプログラムカウンタ(Program Counter)やレジスタおよび論理回路にレーザ照射を行ってこれらの値を変化させる。これにより、誤った命令の実行や誤った処理結果の生成等を引き起こし、これらを用いて機密データを取り出す攻撃である。
ここで、レーザ照射によって、論理回路の出力やレジスタ格納値が変化するメカニズムについて説明する。
[レーザ照射と内部光電効果による自由電子の発生]
現在、半導体で最も多く使われている材料は、シリコン(Si)である。シリコンは、4本の結合手を持ち、隣接する4個のシリコンと共有結合する。
n型半導体は、たとえば図1(a)に示すように、この中に5本の結合手を持つ周期表で5族の不純物、たとえばリン(P)を微量加えたもので、このとき、リンの原子では共有結合に供さない1個の電子が余り、リン原子の周りを回っている。このとき、この電子にあるエネルギー以上の光が照射されると、電子は光のエネルギーを得てリン原子の束縛から離れて自由に移動できる“自由電子”になる。これを、“内部光電効果”と呼ぶ。
これを、図1(b)のエネルギーバンド図に関連付けて説明する。
リン原子核の束縛を受けている電子のエネルギー準位は価電子帯( Valence Band )と呼ばれ、何らかのエネルギーを得てリン原子核の束縛から解放されて自由に動きまわれる電子のエネルギー準位は伝導帯( Conduction Band )と呼ばれる。そして、この2つのエネルギーの間は禁制帯と呼ばれ、そのエネルギー差はバンドギャップ(Eg)と呼ばれる。価電子帯の電子に光を照射して伝導帯に遷移させるためには、シリコンのバンドギャップ(約1.1eV)以上のエネルギーの光を照射する必要がある。
これを満たす光の波長λ[m]は、光の周波数をν[Hz]、光速をc[m/s]、プランク定数をh[J・s]とすると、次の(1)式により(2)式のようになる。
[数1]
Eg<hν=hc/λ ・・(1)
[数2]
λ<hc/Eg=6.63×10-34×3.0×108/(1.1×1.6×10-19)≒1130×10-9 [m]=1130[nm] ・・(2)
可視光の波長は(赤:780nm〜紫:380nm)であるため、可視光は全て含まれる。
レーザは、位相の揃った光であり、高いエネルギーを持つ。一方で、半導体チップは、たとえば5層のメタル配線層を配置し、その下にトランジスタが配置されている。
レーザ光は、図2に示すように、メタル配線層(MT)に当たると反射する。
メタル配線層の隙間を通過した光は、直進・回折・下層のメタル間で反射をし、最終的に照射光の一部が複雑な経路を経てトランジスタTrに到達して内部光電効果により発生した自由電子で誤動作を発生させる。
設計者は、DFA/FIA攻撃を意識して、各層で信号配線の無い領域には遮光を目的としたダミーのメタルパターンを配置し、トランジスタ層への光の到達を極力防御しているが、完全には防御し切れない。
また、チップの裏面からのレーザ照射では、レーザ光の一定割合は裏面で反射されるが、一部はトランジスタ層へ到達して誤動作を発生させる。このバックサイドからの攻撃に対しては、配線層の工夫では対処できない。
[レーザ照射による 論理回路の出力変化の原理]
たとえば、図3(a)に示すように、入力レベルがロー(Low)レベル、出力レベルがハイ(High)レベルのインバータ(Inverter)INVに(2)式を満たす光が入射した場合、次のような現象となる。
インバータのNMOSトランジスタNTで内部光電効果により発生した自由電子が出力端に現われ、出力電圧を下げる作用を働く。
一方で、インバータINVの入力レベルはローレベルであるため、PMOSトランジスタPTはONしていて、出力端子の電圧が下がると、電源端子より電流を供給する。この結果、インバータINVの出力は、この2つの作用によって決まる電圧に保持される。この出力電圧は、レーザ光の照射が終わると、内部光電効果による自由電子の供給も止まるため、PMOSトランジスタPTのON電流によりハイレベルに戻る。
レーザ光が照射されている期間に、このインバータINVの出力信号が入力されている回路で、この信号をローレベルと認識し、この先の信号パスにレジスタ回路が配置されていて、レーザ照射中にレジスタへのデータ取り込みが行われた場合、誤動作となる。
すなわち、この回路では誤データが取り込まれて、誤演算結果の出力や間違った制御を実行する。
[レーザ照射によるレジスタビット反転の原理]
レジスタは、たとえば図4(a)に示すような構成を有している。このレジスタ回路は、インバータINV1〜INV7、および転送ゲートTM1〜TM4により構成されている。
なお、データ反転の説明は、最も簡単な図4(b)に示すレジスタ回路に関連付けて行う。
このレジスタ回路は、2つのインバータINV1とINV2で構成され、インバータ1の出力をインバータINV2の入力に接続し、インバータINV2の出力をインバータ1の入力に接続した構成を採っている。
インバータINV1の出力がハイレベルのとき、インバータINV2のNMOSトラジスNT2がONして、インバータINV2の出力はローレベルとなり、インバータINV1のゲートに入力される。
そして、インバータINV1ではPMOSトランジスタPT1がONしてインバータINV1はハイレベルを出力する。これにより、インバータINV1の出力はハイレベル、インバータINV2の出力はローレベルを安定的に保持する。
このレジスタ回路にレーザ光が照射されたとき、通常2つのインバータINV1、INV2は隣接して配置され、レーザ光のビーム径および散乱・回折を考慮した到達範囲はこれより十分に大きい。
このため、両方のインバータに照射されるか、共にされないかのどちらかになる。そして、レーザ光が照射された場合、両方のNMOSトランジスタNT1,NT2で内部光電効果により自由電子が発生して出力端に供給される。
2個のインバータのうち、入力がローレベルで出力がハイレベルのインバータINV1の出力は、前記論理回路の出力変化で説明したインバータと同じ動作が起こり、その出力は中間電位になって他方のインバータINV2の入力に供給される。
インバータINV2では、入力が中間電位になることにより、両方のトランジスタPT2、NT2がON状態となり、さらにNMOSトランジスタNT2で内部光電効果により自由電子も供給され、これらの作用のバランスする電圧に落ち着く。
そして、この出力の中間電位がインバータINV1の入力に供給され、NMOSトランジスタNT1もONするようになり、貫通電流とNMOSトランジスタNT1の内部光電効果による自由電子の供給のバランスする電圧に落ち着く。
これにより、両方のインバータINV1、INV2の入出力電圧はレーザ照射前の格納データに関係なく共に中間電位になる。
レーザ照射が止まると、NMOSトランジスタでの内部光電効果による自由電子の発生は止まる。そして、2つのインバータINV1,INV2の入出力は共に中間電位である。しかしその微妙な電位差にポジティブフィードバックが働いて、一方はハイレベル、他方はローレベルに落ち着く。そして、照射前と異なる値の場合に、DFA攻撃があったと認識されて、対応処理が行われる。照射前と同じ値の場合には、DFA攻撃は無かったものとして通常の処理が行われる。
一方で、レーザ光のビーム径の外側でも、散乱や回折によってある程度の領域までレーザ光は届く。
しかし、ビーム径の数倍の領域ではその強度は弱くなり、レジスタ回路を構成するインバータのNMOSトランジスタに到達して、内部光電効果によって自由電子が発生しても、PMOSトランジスタのON電流の方が大きくなる。その結果、インバータの出力端の電圧はローレベルに近い電圧に収束するようになる。この領域では、レーザ光は到達していても、その強度が弱いため、レジスタの格納データの反転は起こらない。
中間の領域では、ビームの中心からの距離の関数として状態は変化していく。
次に、この誤動作を利用して、暗号回路の鍵等のセキュア情報を取り出す攻撃方法を説明する。
攻撃は、たとえば図5に示す手順で行う。
ステップST1において、硝酸水にチップを入れて、モールドを溶かしてチップを取り出す。
ステップST2において、チップをたとえばセラミックパッケージにボンディングする。
ステップST3において、レーザ照射装置にチップをセットし、レーザビームが攻撃の開始位置になるようにセットする。
ステップST4において、CPUからチップに信号を与えつつ、レーザの照射位置をスキャンし、出力を取り込む。
そして、誤データの発生する箇所をピックアップする。
ステップST5において、ステップST4で誤動作が発生した箇所を、タイミングも考慮しつつ詳細に攻撃し、出力を取り込む。
そして、攻撃結果から、解析が可能なものを選択して解析する。
たとえば、共通鍵暗号の1つであるDES(Data Encryption Standard)暗号の演算中に、レーザ照射により演算データにビット反転等が発生すると、間違った演算結果が出力される。これを、同じ平文で通常演算した結果と比較して、その差異から鍵を取り出す(図6参照)。
Rレジスタの1ビットが反転すると、この誤データがF関数に入力されることにより、誤データのビット数は増加する。そして、この誤データビット数は、ラウンドを重ねる度に増加する。
一方で、DFA攻撃を用いた解析の面からは、エラーのビット数は少ない方が好ましく、攻撃は最後のラウンドで、少数ビットのビット反転が望ましい。
理想的には、図6に示すように、最終ラウンドで、Rレジスタデータのみが反転している状況であれば確実にエラービットに対応するSub Sboxの鍵は特定できる。実際には、攻撃結果がこのようになる可能性は非常に低いが、多数回の攻撃の中で1回でもこの状況が発生した場合には、それから対応する鍵が求まってしまう所がDFA攻撃の脅威である。
また、図7(a)に示されるように、IC回路10が、CPU11、マスクROM(Mask ROM)12、EEPROM13、RAM14、暗号回路15、および入出力回路16により構成されているものとする。また、図7(b)に示すような暗号実行命令のサブルーチンがマスクROM12のA000H番地から格納されているものとする。
この動作は、EEPROM13に格納されている暗号鍵“Key”とRAM14に格納されている平文“Message”をCPU11が内部レジスタRegA,Bを介して暗号回路15内のレジスタにセットして暗号演算を実行する。そして、演算終了後に暗号文を取り出してレジスタRegAを介して外部に出力する。
このプログラムにおいて、プログラムカウンタP.C.がA002番地になった時に、プログラムカウンタP.C.のビットb2にレーザ照射によるビット反転が起こり、プログラムカウンタP.C.がA006番地に変化したとする。
A006番地の命令は、レジスタRegAの格納データの外部への出力であり、本来は暗号文の出力を想定している。しかし、A001番地の命令実行後にA006番地の命令実行を行う場合、レジスタRegAの格納データは暗号鍵であり、これがA006番地の命令実行によって外部に出力されてしまう。
これは、FIA攻撃を説明するためのプログラム例である。もしこのようなプログラムで上記タイミングでFIA攻撃が成功した場合、攻撃者は暗号鍵を得てしまう。実際には、攻撃を考慮しつつプログラムを記述するので、このようなプログラムは考えられない。しかし、仮にこのプログラムが記述されている場合、この攻撃が起こる確率は極めて低いが、多数回の攻撃の中で一度でもこの攻撃が成功してしまうと鍵が取り出されてしまう点がFIA攻撃の脅威である。
この原理を用いた攻撃のうち、暗号へのDFA攻撃に対する対策としては、特許文献1〜4に記載された技術が提案されている。
特許文献1に記載された技術では、暗号回路を2個配置し、演算終了後に両演算結果を比較して攻撃の有無を検知する。同じ演算を2回行って結果を比較して攻撃の有無を検知する。
特許文献2に記載された技術では、暗号演算後に復号演算を行って、演算結果を平文と比較して攻撃の有無を検知する。
特許文献3に記載された技術では、暗号演算の中間値を保持し、暗号演算後復号化を途中まで実行し、中間値と比較して攻撃の有無を検知する。
特許文献4に記載された技術では、暗号演算の中間値を保持し、暗号演算後、中間値から再度暗号演算し、結果を比較して攻撃の有無を検知する。
特開平10−154976号公報 特開2002−261751号公報 特表2005−503069号公報 特表2005−522912号公報
しかし、これらの対策は、暗号回路の回路規模および動作電流が2倍になる、演算時間が長くなる等のデメリットが生じる。また、CPU等の暗号回路以外の回路への攻撃であるFIAに対しても何らかの対策が必要となる。
本発明は、レーザ照射により、暗号回路やCPU等のセキュリティLSIの構成要素の回路で、誤動作が発生する前に、確実にレーザ照射を検知して、DFA,FIA攻撃を回避することが可能な誤動作発生攻撃検出回路および集積回路を提供することにある。
本発明の第1の観点の誤動作発生攻撃検出回路は、光の照射を検知可能で、出力ノードのレベルが光照射によって変化し、光照射によって変化する上記出力ノードのレベルに応じた信号を出力する少なくとも1つのセンサ回路と、上記センサ回路の出力により、ハイレベルに相当する電圧とローレベルに相当する電圧との間の中間電圧を検出し検出信号を出力する検出回路と、を有し、上記センサ回路は、出力ノードからハイレベルの信号を出力するように入力が固定され、光の照射によって上記出力ノードのレベルが変化する論理回路と、上記論理回路の出力ノードのレベル変化に応じた信号を出力するトランジスタと、を含み、上記検出回路は、上記センサ回路の出力信号レベルがあらかじめ設定したレベルに達すると上記検出信号を出力する。
本発明の第2の観点の集積回路は、少なくとも制御系と、誤動作発生攻撃を検出する誤動作発生攻撃検出回路と、が集積され、上記誤動作発生攻撃検出回路は、光の照射を検知可能な少なくとも1つのセンサ回路と、上記センサ回路の出力により、ハイレベルに相当する電圧とローレベルに相当する電圧との間の中間電圧を検出し検出信号を出力する検出回路と、を有し、上記センサ回路は、出力ノードのレベルが光照射によって変化し、光照射によって変化する上記出力ノードのレベルに応じた信号を出力し、上記検出回路は、上記センサ回路の出力信号レベルがあらかじめ設定したレベルに達すると上記検出信号を上記制御系に出力し、上記制御系は、初期化時にフラグがセットされているか否かをチェックし、フラグがセットされていない場合には通常動作を行い、フラグがセットされている場合にはシステムリセットを実行する機能を有し、上記検出回路による検出信号を受けるとフラグをセットした後に所定の処理を行う
本発明によれば、レーザ照射により、暗号回路やCPU等のセキュリティLSIの構成要素の回路で、誤動作が発生する前に、確実にレーザ照射を検知して、DFA,FIA攻撃を回避することができる。
光電効果と自由電子について説明するための図である。 レーザ光の半導体への到達経路の例を示す図である。 インバータへのレーザ照射について説明するための図である。 レジスタへのレーザ照射について説明するための図である。 DFA/FIA攻撃手順を説明するための図である。 DFA攻撃について説明するための図である。 FIA攻撃について説明するための図である。 本発明の第1の実施形態に係るFIA検出回路の構成例を示す図である。 FIA検出回路のセンサ回路と検出回路の配置例を示す第1図である。 FIA検出回路のセンサ回路と検出回路の配置例を示す第2図である。 本実施形態に係るFIA検出回路が採用される集積回路(IC回路)の構成例を示す図である。 図8の回路の動作タイミングを示す図である。 本第1の実施形態に係るFIAエリア検出回路の構成例を示す図である。 プルダウントランジスタの静特性を示す図である。 本第1の実施形態に係るセンサ回路の他の構成例を示す図である。 PMOSトランジスタの静特性を示す図である。 図15のセンサ回路を採用したFIAエリア検出回路の構成例を示す図である。 本第1の実施形態に係るFIA検出回路の他の構成例を示す図である。 図18の動作タイミングを示す図である。 図18のセンサ回路を採用したFIAエリア検出回路の構成例を示す図である。 本第1の実施形態に係る図18のセンサ回路の他の構成例を示す図である。 図21のセンサ回路を採用したFIAエリア検出回路の構成例を示す図である。 本第1の実施形態に係るFIA検出回路のさらに他の構成例を示す図である。 図23のFIA検出回路の強いレーザ光照射時の動作タイミングを示す図である。 図23のFIA検出回路の弱いレーザ光の複数回照射時の動作タイミングを示す図である。 図23のFIA検出回路を採用したFIAエリア検出回路の構成例を示す図である。 本第1の実施形態に係る図23のFIA検出回路の他の構成例を示す図である。 図27のFIA検出回路を採用したFIAエリア検出回路の構成例を示す図である。 本発明の第2の実施形態に係るFIA検出回路の構成例を示す図である。 図29のFIA検出回路の強いレーザ光照射時の動作タイミングを示す図である。 図29のFIA検出回路の弱いレーザ光の複数回照射時の動作タイミングを示す図である。 本第2の実施形態に係るFIA検出回路の他の構成例を示す図である。 図32のFIA検出回路の強いレーザ光照射時の動作タイミングを示す図である。 図32のFIA検出回路の弱いレーザ光の複数回照射時の動作タイミングを示す図である。 図32のFIA検出回路を採用したFIAエリア検出回路の構成例を示す図である。 プルダウン抵抗の静特性とインバータの閾値との関係を示す図である。 本第2の実施形態に係るFIA検出回路で複数のセンサ回路が一定間隔で配置され、センサ回路の各々に検出回路が接続される場合と複数のセンサ回路に1つの検出回路が接続されている構成例を模式的に示す図である。 図37の動作タイミングを示す図である。 FIAが検知されると、ICを以後使用不可にする方法としてインフューズを用いる方法を採用したフューズ回路の構成例を示す図である。 図39の動作タイミングを示す図である。
以下、本発明の実施形態を図面に関連付けて説明する。
なお、説明は以下の順序で行う。
1.第1の実施形態
2.第2の実施形態
3.第3の実施形態
本実施形態の誤動作発生攻撃検出回路(FIAまたはDFA検出回路)においては、基本的に、以下に示す特徴を有するように構成される。
DFA/FIAを検出するためのセンサ回路と中間電圧検出回路により構成される専用回路を所定の間隔で配置し、対をなす両回路は、レーザ光の1ショットで同時に影響を受けない距離だけ離す。
論理回路およびレジスタ回路をDFA/FIAセンサとして所定の間隔で配置する。
電源投入時にレジスタを所定の値にセットし、この出力が変化した場合、所定の処理を行う。
ハイレベルを出力するように入力を固定した論理回路の出力を、中間電圧を検出する回路に入力する構成を採る。そして、この出力で中間電圧が検出されたら、所定の処理を行う。
ここで、中間電圧とは、ハイレベルに相当する電圧、たとえば電源電圧と、ローレベルに相当する電圧、たとえば基準電位(たとえばグランド電位)との間の電圧をいう。
ハイレベルを出力するように入力を固定した論理回路の電源部を、抵抗を介して電源端子に接続する構成を採り、その結線部または出力部を、中間電圧を検出する中間電圧検出回路に入力する構成を採る。
そして、この出力で中間電圧が検出されたら、所定の処理を行う。
レジスタの出力を、中間電圧を検出する回路に入力する構成を採り、電源投入時にレジスタを所定の値にセットする。そして、この出力で中間電圧が検出されたら、所定の処理を行う。
レジスタ回路の電源部を抵抗を介して電源端子に接続する構成を採り、その結線部または出力部を、中間電圧を検出する回路に入力する構成を採り、電源投入時にレジスタを所定の値にセットする。そして、この出力で貫通電流による中間電圧が検出されたら、所定の処理を行う。
複数のセンサ回路の出力を接続して1個の中間電圧を検出する回路に入力する構成を採る。
n+拡散とp−well(またはp基盤)で構成される光電変換素子としてのフォトダイオード(Photo Diode:PD)と数個のトランジスタで光センサを構成し、これを所定の間隔で配置する。
ダイオードの逆方向リークを考慮し、所定の時間間隔でフォトダイオードのカソードを正の電圧に充電する。
フォトダイオードで構成されるセンサ回路の出力電圧を基準電圧と比較し、低い場合は、攻撃があったものとして所定の処理を行う。
基準電圧は、事前評価において、レジスタとフォトダイオードで構成される光センサ回路にレーザ光を照射して、フォトダイオードで構成される光センサ回路が必ず先に検出する電圧を選択する。
フォトダイオードで構成されるセンサ回路の出力信号をプルダウン(Pull Down)し、この電圧がハイレベルの場合は、攻撃があったものとして所定の処理を行う。
複数のフォトダイオードで構成されるセンサ回路の出力を結線し、同時にプルダウンする。この出力電圧がハイレベルの場合は、攻撃があったものとして所定の処理を行う。
LSI内にフラグビットを配置し、CPUは、電源投入時にそのフラグをチェックし、フラグがセットされていない場合は通常動作を行い、フラグがセットされている場合はシステムリセットを実行する仕様とする。そして、FIA検出回路で攻撃が検出された場合、このフラグをセットした後に所定の処理を行う仕様とする。
フラグビットには、不揮発性メモリ内の指定されたビットを用いる。
フラグビットには、インフューズを用いる。
FIA検出回路としては、前記のフォトダイオードを用いたセンサ回路を用いる。
以下、上記構成を採用した各実施形態について説明する。
<1.第1の実施形態>
図8は、本発明の第1の実施形態に係るFIA検出回路の構成例を示す図である。
図9(a),(b)、および図10は、FIA検出回路のセンサ回路と検出回路の配置例を示す図である。
本第1の実施形態に係るFIA検出回路100は、センサ回路110および中間電圧検出回路(単に検出回路というときもある)120を有する。
FIA攻撃のFIA検出回路100を、図9(a),(b)、および図10に示すように、センサ回路110と中間電圧検出回路120に分け、1回のレーザ照射で到達する領域の直径以上離して配置する。
このように、FIA検出回路100は、センサ回路110と検出回路120を分け、レーザビームの1ショットに両方が同時に含まれないように配置する。
その接続方法は、図9(a),(b)、および図10に示すような方法が採用可能である。
図9(a)の例では、1つの中間電圧検出回路120に1個のセンサ回路110を接続する。
図9(b)の例では、1つの中間電圧検出回路120に2個のセンサ回路110を接続する。
図10の例では、1つの中間電圧検出回路120に3個のセンサ回路110を接続する。
図示していないが、1つの中間電圧検出回路120に4個以上のセンサ回路110を接続する構成も採用することが可能である。
これにより、センサ回路110がレーザ照射により検出レベルに達しているとき、中間電圧検出回路120は誤動作せず、確実にレーザ照射を検出でき、攻撃を受けた場合の所定の処理が実行できる。
センサ回路110は、電源VCCと基準電位VSSとの間にPMOSトランジスタPT111およびNMOSトランジスタNT111が直列に接続されたインバータ111、およびオープンドレイン(Open Drain)のPMOSトランジスタPT112を有する。
インバータ111は論理回路を形成する。また、基準電位VSSは、たとえばグランドGNDである。
PMOSトランジスタPT111およびNMOSトランジスタNT111のゲートは、基準電位であるグランドGNDに接続されている。
これにより、論理回路を形成するインバータ111は、ハイレベルを出力ノードから出力するように構成されている。
また、PMOSトランジスタPT112は、通常のPMOSトランジスタより、チャネル幅(W)が大きく設定されている。
中間電圧検出回路120は、D型フリップフロップ(DFF)回路121、およびチャネル長(L長)の長いNMOSトランジスタNT121を有する。
DFF回路121のD入力は電源VCCに接続され、クロック端子がセンサ回路110のPMOSトランジスタPT112のドレイン側に接続されている。
このように、センサ回路110は、入力をローレベルとしたインバータ111を用い、その出力をオープンドレインのPMOSトランジスタPT112のゲートに入力した構成を有する。
そして、中間電圧検出回路120は、DFF回路121と、プルダウン(Pull Down)抵抗として用いている、たとえばL長の大きいNMOSトランジスタNT121が入力線に接続された構成を採っている。
図11は、本実施形態に係るFIA検出回路100が採用される集積回路(IC回路)の構成例を示す図である。
このIC回路200は、FIA検出回路100、並びに、制御系であるCPU210、マスクROM(Mask ROM)220、EEPROM230、RAM240、暗号回路250、および入出力回路260を有する。
このIC回路200の基本的な構成および機能は、FIA検出回路100を有する以外は、図7(a)のIC回路と同様である。したがって、その詳細は省略する。
図12は、図8の回路の動作タイミングを示す図である。
FIA検出回路100の動作は、まず、たとえばCPU210の初期化時にDFF回路121をクリアしておく。
これにより、中間電圧検出回路120の出力信号“SFIA”はローレベルとなる。
一方で、センサ回路110では、インバータ111はハイレベルの信号を出力し、これがゲートに入力されるPMOSトランジスタPT112はOFF状態で、出力はハイインピーダンス(High Impedance)状態である。
中間電圧検出回路120のプルダウンNMOSトランジスタNT121によってDFF回路121へのクロック入力信号“Sig2”はローレベルに保持されている。
この状態で、センサ回路110のインバータ111にレーザ光が照射され、NMOSトランジスタNT111のドレイン端で内部光電効果により発生した自由電子によって信号線“Sig1”の電圧レベルが下げられたとき、次のようになる。
この電圧レベルがPMOSトランジスタPT111の閾値をVthpとしたとき、(VCC−Vthp)以下に下がったとき、出力のPMOSトランジスタPT112はONし、クロック入力信号“Sig2”の電圧は上昇する。
そして、DFF回路121のクロック入力の閾値より上昇した場合には、DFF回路121の“D”入力、すなわち電源VCCレベルの信号がDFF回路121に取り込まれる。
その結果、出力信号“SFIA”はハイレベルに変化し、CPU210に対してFIA攻撃の検出を知らせる。
内部光電効果によって発生した自由電子が少なければ、センサ回路110出力のPMOSトランジスタPT112はONしないか、ONしてもそのON電流は小さい。
したがって、クロック入力信号“Sig2”はDFF回路121のクロック入力の閾値以上には上がらず、出力信号“SFIA”はローレベルのまま変化しない。
中間電圧検出回路120のみにレーザ光が照射された場合、DFF回路121内で内部光電効果により出力信号“SFIA”がハイレベルに反転して、CPU210に対してFIA攻撃の検出を知らせても、これは一般的な光センサと同じで問題ない。
また、この中間電圧検出回路120は、隣接して別の検出回路につながるセンサ回路110が配置されることを想定している。
このため、ここでのレーザ光の照射は、この中間電圧検出回路120で認識されなくても、隣接して配置されているセンサ回路110につながる中間電圧検出回路120で、攻撃は認識される。
次に、このセンサ回路110を複数個配置し、その出力を結線してDFF回路121のクロック入力信号“Sig2”とするFIAエリア検出回路の構成について説明する。
図13は、本第1の実施形態に係るFIAエリア検出回路の構成例を示す図である。
図13のFIAエリア検出回路100Aは、例としてn個のセンサ回路110−1,110−2,・・110−nを有する場合を示している。
図14は、プルダウントランジスタの静特性を示す図である。
この場合、プルダウン抵抗として用いているNMOSトランジスタNT121に流れる電流は、接続されているセンサ回路111−1〜111−nの電流の合計となり、クロック入力信号“Sig2”の電圧は合計の電流値に比例して高くなる。
仮にセンサ回路1個の電流は小さくてDFF回路121のクロック入力の閾値を超えないレベルでも、1回の照射で複数個が同時に照射され、これが同じ検出回路に接続されている場合は次のようになる可能性がある。
すなわち、図14に示すように、その合計電流でクロック入力信号“Sig2”の電圧レベルは高くなり、DFF回路121をセットできるようになる可能性がある。
この場合、FIAの感度が向上したのと等価になる。
図15(a)および(b)は、本第1の実施形態に係るセンサ回路の他の構成例を示す図である。
感度を向上させる別の方法として、センサ回路に図15(a)および(b)に示すような構成を用いる方法を採用することが可能である。
図15(a),(b)のセンサ回路110A,110Bは、図8のセンサ回路110に対して、電源側にゲートを接地したL長の大きいチャネル抵抗の高いPMOSトランジスタPT113を挿入した構成を有する。
出力のPMOSトランジスタPT112のゲートは、図15(a)のセンサ回路110Aでは、追加したPMOSトランジスタPT113のドレインとPMOSトランジスタPT111のソースの接続点に接続されている。
図15(b)のセンサ回路110Bでは、出力のPMOSトランジスタPT112のゲートは、PMOSトランジスタPT111のドレインとNMOSトランジスタNT111のドレイン同士の接続点であるインバータ111の出力ノードに接続されている。
この場合、入力はローレベルであるため、2つのPMOSトランジスタPT111、PT113はON、NMOSトランジスタNT111はOFF状態となっている。
通常動作時は、電流は流れないため、各出力ノードは電源VCCレベルになり、信号“Sig1”がゲートに入力されるPMOSトランジスタPT112はOFFし、問題ない。
このセンサ回路110Aにレーザ光が照射された場合、内部光電効果によって発生した自由電子が流れ、信号“Sig1”の電圧レベルは降下する。そして、その電圧がオープンドレインの出力PMOSトランジスタPT112の閾値Vthpより低下した場合、出力PMOSトランジスタPT112はONする。
追加したPMOSトランジスタPT113のL長が十分大きい場合、図16に示すように、信号“Sig1”の電圧は図8の“Sig1”電圧より低くなり、出力のPMOSトランジスタPT112の電流は大きくなる。
この結果、中間電圧検出回路120のNMOSトランジスタNT121のドレイン電圧は図8の場合に比べて高くなり、検出感度は上がったことになる。
図17は、図15のセンサ回路を採用したFIAエリア検出回路の構成例を示す図である。
このFIAエリア検出回路100Bにおいては、図15(b)のセンサ回路110Bを採用しており、図13の構成に対して感度が更に上がる。
図18は、本第1の実施形態に係るFIA検出回路の他の構成例を示す図である。
図19は、図18の動作タイミングを示す図である。
図18のFIA検出回路100Cと図8の検出回路100と異なる点は以下のとおりである。
図18のFIA検出回路100Cは、センサ回路100Cが、論理回路としてインバータ111が、レジスタ(ラッチ)112に置き換えられている。
レジスタ112は、2つのCMOSインバータ111C−1と111C−2の入出力同士を交差結合して構成される。
インバータ111C−1は、電源VCCと基準電位VSSとの間にPMOSトランジスタPT111−1およびNMOSトランジスタNT111−1が直列に接続され、そのドレイン同士の接続点により出力ノードND111が形成されている。
インバータ111C−2は、電源VCCと基準電位VSSとの間にPMOSトランジスタPT111−2およびNMOSトランジスタNT111−2が直列に接続され、そのドレイン同士の接続点により出力ノードND112が形成されている。
インバータ111C−1の出力ノードND111がインバータ111C−2の入力であるPMOSトランジスタPT111−2およびNMOSトランジスタNT111−2のゲート、並びに、出力のPMOSトランジスタPT112のゲートに接続されている。
インバータ111C−2の出力ノードND112がインバータ111C−1の入力であるPMOSトランジスタPT111−1およびNMOSトランジスタNT111−1のゲートに接続されている。
このように、レジスタをセンサとして用いる場合は、図8のインバータ111をレジスタ112に置き換えた形になり、レジスタ112の格納値はCPU210の初期化時に“1”をセットする。
これで、通常使用時は、オープンドレインの出力PMOSトランジスタPT112のゲートにはレジスタ112の出力信号“Sig1”から電源VCCレベルが供給されてOFF状態となる。これにより、中間電圧検出回路120側ではプルダウンのNMOSトランジスタNT121によりDFF回路121のクロック入力はローレベルに保持される。
センサ回路110Cにレーザ光が照射された場合、インバータ111C−1のNMOSトランジスタNT111−1で内部光電効果により発生した自由電子によりインバータ111C−1で電流が流れる。
その結果、出力ノードND111の信号“Sig1”の電圧は降下して中間電圧になる。
出力ノードND111の中間電圧はインバータ111C−2の入力に印加される。
インバータ111C−2では内部光電効果による自由電子の他にPMOSトランジスタPT111−2およびNMOSトランジスタNT111−2がONし、出力ノードND112に中間電圧を発生する。
そして、この中間電圧がインバータ111C−1の入力に印加され、インバータ111−1においても自由電子の他にPMOSトランジスタPT111−1およびNMOSトランジスタNT111−1の両方がONする。
この状態では、照射前の保持データに関わらず両方の出力はほぼ同じ中間電位になる。
インバータ111C−1の出力の中間電圧は、インバータ111C−1の入力が中間電位になっている分だけ、レジスタではなくインバータ111を用いた図8の場合より低くなっている。
これにより、オープンドレインのPMOSトランジスタPT112の電流は大きくなり、中間電圧検出回路120のNMOSトランジスタNT121のドレイン・ソース間電圧Vdsが大きくなることにより、信号“Sig2”のレベルが高くなる。
そして、信号“Sig2”の電圧がDFF回路121のクロック入力の閾値より大きければ、出力信号“SFIA”はハイレベルになる。
図20は、図18のセンサ回路を採用したFIAエリア検出回路の構成例を示す図である。
このように、このセンサ回路110Cを複数個配置し、その出力を結線してDFF回路121のクロック入力信号“Sig2”とするFIAエリア検出回路100Dを構成することができる。
図20のFIAエリア検出回路100Dは、例としてn個のセンサ回路110C−1,110C−2,・・110C−nを有する場合を示している。
この場合、PMOSトランジスタPT112の電流の合計が大きくなるに従って中間電圧検出回路120のNMOSトランジスタNT121のドレイン電圧は大きくなる。
したがって、1回のレーザ照射で、個々のセンサ回路に到達する光量は小さくても、DFF回路121のクロック入力の閾値を越えてDFF回路121の出力をハイレベルとすることが可能となり、感度は上がる。
図21(a)および(b)は、本第1の実施形態に係る図18のセンサ回路の他の構成例を示す図である。
感度を向上させる別の方法として、センサ回路に図21(a)および(b)に示すような構成を用いる方法がある。
図21(a)、(b)のセンサ回路110D,110Eは、図18のセンサ回路110Cに対して、電源側にゲートを接地したL長の大きいチャネル抵抗の高いPMOSトランジスタPT113Cを挿入した構成を有する。
出力PMOSトランジスタPT112のゲートは、図21(a)のセンサ回路110Dでは、追加したPMOSトランジスタPT113のドレインとPMOSトランジスタPT111−1,PT111−2のソースに接続されている。
図21(b)のセンサ回路110Eでは、出力PMOSトランジスタPT112のゲートは、PMOSトランジスタPT111のドレインとNMOSトランジスタNT111のドレイン同士の接続点である出力ノードND111に接続されている。
図21(a),(b)のセンサ回路110D,110Eに置き換えた構成を採れば、感度は向上する。
通常使用時は、レジスタ112の格納値はCPU210の初期化時にハイレベルにセットするだけで、その後はレジスタ112の値は変化しないため、出力の信号“Sig1”はVCCレベルを出力する。その結果、オープンドレインのPMOSトランジスタPT112はOFF状態で問題ない。
このレジスタ112にレーザ光が照射されると、図18の動作説明の通り、インバータ111C−1,111C−2の両入力は中間電位となって両出力トランジスタで貫通電流が流れ、信号“Sig1”の電圧は降下する。
両方のインバータ111C−1,111C−2の入力が中間電位となって両方の出力に貫通電流が流れる分だけ、図15のインバータ111にPMOSトランジスタ113を付加した構成より電流は多くなり、信号“Sig1”の電圧降下は大きくなる。
その結果、オープンドレインのPMOSトランジスタPT112の電流は多くなり、図15の構成を用いた場合より信号“Sig2” の電圧は高くなってDFF回路121のクロック入力の閾値を超える可能性が高くなる。
図22は、図21のセンサ回路を採用したFIAエリア検出回路の構成例を示す図である。
このFIAエリア検出回路100Eにおいては、図21(b)のセンサ回路110Eを採用しており、図20の構成に対して感度が更に上がる。
上記方法は、複数回のレーザ光の照射が行われても、個々のまたは複数個のセンサ回路で受けたレーザ光の照射の強度によって検出が行われる。
同一箇所に弱い照射が複数回実行されても、個々の照射強度が弱ければ検出されることはない。
これを解決する方法を図23〜図28の回路図および動作タイミング図に関連付けて説明する。
まず、図23に関連付けてその原理を説明する。
図23は、本第1の実施形態に係るFIA検出回路のさらに他の構成例を示す図である。
図24は、図23のFIA検出回路の強いレーザ光照射時の動作タイミングを示す図である。
図25は、図23のFIA検出回路の弱いレーザ光の複数回照射時の動作タイミングを示す図である。
図23のFIA検出回路100Fは、センサ回路は図21(a)のセンサ回路110Dが採用されている。
そして、FIA検出回路100Fは、上述した各FIA検出回路およびFIAエリア検出回路と、中間電圧検出回路120Eの構成が異なる。
センサ回路110Dは、レジスタ112と抵抗の接点がPMOSトランジスタPT112のゲートに接続されている。
このセンサ回路110Dは、レジスタ112の格納値がどちらでもよく、電源投入時に格納値をセットする必要が無い。また、ノイズ等によりレジスタ112の 格納値の反転が起こっても、検出結果に影響しない。
中間電圧検出回路120Eは、キャパシタまたはドレイン/ソースを接地したNMOSトランジスタからなる保持容量としてのキャパシタC121と、プリチャージ用NMOSトランジスタNT122と、2個のインバータ122,123により構成される。
DFF回路は取り除かれているが、これは、キャパシタC121がレーザ光の照射情報を保持しているためである。
そして、電源投入時のCPU210の初期化時および所定の間隔で 制御信号“PC”をハイレベルにしてNMOSトランジスタNT122をONし、信号線“Sig”をローレベルに設定する。このとき、出力信号“SFIA”はローレベルとなっている。
ここで、たとえば図24に示すように、強度の強いレーザ光が照射された場合、レジスタ112での貫通電流による電圧降下でセンサ回路の出力のPMOSトランジスタPT112はONし、キャパシタC121を充電する。
そして、キャパシタC121の電位がインバータ122のハイレベル側の回路閾値“VIH”を超えたとき、検出回路120Eの出力端子“TFIA”はハイレベルに遷移し、CPU210に対して所定の処理の実行を要求する。
そして、所定の処理が終了するまで、キャパシタC121の電圧は変化しないため、出力信号“SFIA”からハイレベルの信号を出力し続ける。
レーザ光の照射強度が弱い場合、センサ回路110Dの出力PMOSトランジスタPT112のゲート電圧が(VCC-Vth)以下になる程度より強いレベルであると、出力のPMOSトランジスタPT112はONして電流が流れ、キャパシタC121を充電する。
しかし、1回の照射でキャパシタの電位がインバータ122の回路閾値の“VIH”を超えない場合、検出回路120Eの出力端子“TFIA”はローレベルのままである。
そして、照射が終わった後もキャパシタC121の電荷は保持され、再び同じセンサ回路110Dに照射された場合、前回の照射直後のキャパシタC121の電位から充電は開始される。
そして、合計の充電電荷によるキャパシタC121の電圧がインバータ122のハイレベル側の回路閾値“VIH”を超えたとき、検出回路120Eの出力端子“TFIA”はハイレベルとなり、CPU210に対して所定の処理の実行を要求する。
このように、弱い照射でも、複数回の照射で出力信号“SFIA”をセットすることが可能となる。
図26は、図23のFIA検出回路を採用したFIAエリア検出回路の構成例を示す図である。
このFIAエリア検出回路100Gにおいては、図23のFIA検出回路120Eを採用しており、図23の構成に対して感度が更に上がる。
この構成を採れば、個々のセンサ回路110E−1〜110E−nで受けるレーザ光の強度は弱くても、各センサ回路110E−1〜110E−nの出力電流の合計で、出力信号“SFIA”をセットできる。
図27は、本第1の実施形態に係る図23のFIA検出回路の他の構成例を示す図である。
図27のFIA検出回路100Hは、センサ回路として図15(b)のセンサ回路110Bが採用されている。
その他の構成は図23の回路と同様である。
図28は、図27のFIA検出回路を採用したFIAエリア検出回路の構成例を示す図である。
このFIAエリア検出回路100Iにおいては、図27の構成に対して感度が更に上がる。
このように、出力としてハイレベルを出力する論理回路をセンサとする構成でも同様の概念が適用でき、図27、図28の構成が採用される。
<2.第2の実施形態>
次に、第2の実施形態としてフォトダイオードをセンサ回路に適用したFIA検出回路について説明する。
図29(a)および(b)は、本発明の第2の実施形態に係るFIA検出回路の構成例を示す図である。図29(a)はFIA検出回路の回路構成を、図29(b)はセンサ回路のプロセス断面図をそれぞれ示している。
本第2の実施形態に係るFIA検出回路100Jは、センサ回路110Jにフォトダイオード(PD)113が用いられ、その蓄積電荷をNMOSトランジスタNT112、NT113,NT114を用いて検出する構成を採っている。
フォトダイオード113は、n+ 拡散層のカソードとp型基盤またはp型ウェル114のアノードのPN接合で構成され、アノードは接地され、カソード“ca”は制御信号“PCR”で制御されるNMOSトランジスタNT113を介して電源線に接続される。
ドレインが電源線、ソースが出力信号“Sig1”の出力のノードND113に接続されるNMOSトランジスタNT112のゲートにカソード信号が入力されている。
そして、PN接合部115では、電荷が存在しない空乏層116と呼ばれる領域が発生し、この領域がキャパシタC111として電荷を蓄積する。
レーザ光の照射による内部光電効果で発生する自由電子もこの領域に蓄積されて充電電荷を変化させ、NMOSトランジスタNT112を流れる電流値を変化させる。
また、出力信号“Sig1”は、ゲートが電源VCCに接続され、プルダウン抵抗として用いているL長の大きいNMOSトランジスタNT114のドレインに接続されている。そして、これらでセンサ回路110Jが構成されている。
検出回路120Jは、コンパレータ回路124、およびDFF回路125を有する。
センサ回路110Jの出力信号“Sig1”は、検出回路120Jのコンパレータ回路124で基準電圧“Vref”と比較され、その比較結果“Sig2”がDFF回路125のクロックに入力される。
DFF回路125は、CPU210の初期化時に制御信号“/RST”がローレベルとなって初期化され、出力信号“SFIA”はローレベルに設定される。
そして、コンパレータ回路124の出力信号“Sig2”がハイレベルに変化したとき、DFF回路125の出力信号“SFIA”はハイレベルに変化して、レーザ光の照射による攻撃を知らせる。
図30は、図29のFIA検出回路の強いレーザ光照射時の動作タイミングを示す図である。
図31は、図29のFIA検出回路の弱いレーザ光の複数回照射時の動作タイミングを示す図である。
CPU210の初期化時に、制御信号“/RST”をローレベルにして検出回路120JのDFF回路125の出力信号“SFIA”をローレベルにする。これと並行して、制御信号“PCR”を一定期間ハイレベルとし、フォトダイオード113のカソード“ca”を(VCC−Vthp)にプリチャージする。
そして、このカソード電圧により、出力電圧は(VCC−2Vth)となってコンパレータ回路124の一方に入力される。
コンパレータ回路124の他方の入力が基準電圧“Vref”の値の設定において、事前にレーザ光照射の評価を行って、IC回路200内で誤動作が発生する時にこのセンサ回路も同時に出力信号“SFIA”が反転する電圧を求める。
基準電圧“Vref”の値は、それより高い電圧に設定しておく。これにより、IC回路内の回路が誤動作を起こす前に所定の処理を実行できる。
フォトダイオード113は、そのn+ 拡散層にシリコンのバンドギャップ以上の光が照射された場合、n+ 拡散層内の多数キャリアの電子は光のエネルギーを得て、内部光電効果により不純物原子核の束縛から放たれて自由電子となり、信号線電圧を降下させる。
一方、光が照射されていない場合、フォトダイオード113の逆方向リークによりカソード電圧“ca”は降下する。ただし、定期的なプリチャージにより、センサ回路110Jの出力信号“Sig1”は基準電圧“Vref”を下回らず、DFF回路125の出力信号“SFIA”はローレベルのままである。
フォトダイオード113に光が照射された場合、内部光電効果により発生した自由電子によりカソード電圧(ノード)“ca”の電圧は降下する。これがゲートに入力されるNMOSトランジスタNT112はOFFして動作電流は減少していき、プルダウン抵抗であるNMOSトランジスタNT114によって出力信号“Sig1”の電圧は降下する。
そして、基準電圧“Vref”より下がった場合、コンパレータ回路124の出力信号“Sig2”はハイレベルとなり、出力信号“SFIA”はハイレベルに反転する。
次に、レーザ光強度が弱い場合の動作について説明する。
FIA攻撃は、レーザのビーム径程度の距離ずつスキャンし、エラーの発生した箇所をさらに少ない距離ずつスキャンして解析に有用なエラーデータを収集する。
ビーム径から外れているが、回折・内部反射等によりレーザ光が到達する領域では、弱いレーザ光を複数回照射される。
この場合、1回目の照射では弱いながらも内部光電効果による自由電子によりカソード電圧Vcaは降下し、これに伴って出力信号“Sig1”の電圧レベルも降下する。
しかし、この電圧が、比較基準電圧“Vref”より高い場合、コンパレータ回路124の出力信号“Sig2”はローレベルのままで、出力信号“SFIA”もローレベルのままである。
そして、1回の照射が終わった後、カソードに発生した自由電子はそのままキャパシタC111に保持される。
したがって、カソード電圧Vca,信号Sig1の電圧も1回目の照射が終わった直後の電圧を保持する。
そして、続いて2回目の弱い照射が行われた場合、再び内部光電効果による自由電子が発生し、カソード電圧Vcaは1回目の自由電子との合計の電荷による電圧となる。出力信号“Sig1”の電圧レベルも1回目の照射終了時の電圧から、カソードに発生する自由電子の量に応じて降下する。
そして、2回目の照射で出力信号“Sig1”の電圧レベルが基準電圧“Vref”より降下した場合、信号“Sig1”はハイレベルとなってDFF回路125の出力信号“SFIA”は ハイレベルになる。
複数回の照射で信号“SFIA”がハイレベルに反転するような領域のレーザ光強度は弱く、同じ強度のレーザ光が本来の論理回路やレジスタ回路に照射されても、論理の反転やレジスタの格納値の反転が起こることはない。
図32(a)および(b)は、本発明の第2の実施形態に係るFIA検出回路の他の構成例を示す図である。図32(a)はFIA検出回路の回路構成を、図32(b)はセンサ回路のプロセス断面図をそれぞれ示している。
図33は、図32のFIA検出回路の強いレーザ光照射時の動作タイミングを示す図である。
図34は、図32のFIA検出回路の弱いレーザ光の複数回照射時の動作タイミングを示す図である。
このFIA検出回路100Kは、センサ回路110Kにフォトダイオード(PD)113が用いられ、トランジスタがPMOSトランジスタPT114,PT115が用いられている。
この構成の場合、フォトダイオード113のn+拡散層のカソードは、その端子をドレインとし、制御信号“/PC”で制御され、そのソースが電源端子に接続されたプリチャージ用のPMOSトランジスタPT114に接続されている。また、フォトダイオード113のカソードがゲートに接続され、ソースは電源端子、ドレインは出力端子としてオープンとなっている出力PMOSトランジスタPT115に接続されている。
そして、検出回路120Kは、ノイズフィルタとしてのキャパシタC121Kおよびプルダウン抵抗として用いたL長の大きいNMOSトランジスタNT121Kが信号“Sig1”のラインに接続されている。この信号“Sig1”はインバータ122K,123K2段を通った後、DFF回路125Kのクロック入力に供給されている。
回路動作は、まずCPU210の初期化時に制御信号“/RST”をローレベルにしてレジスタを初期化すると共に、制御信号“/PC”をローレベルにしてフォトダイオード113のカソードを電源電圧VCCに充電する。
このとき、オープンドレインの出力PMOSトランジスタPT115はOFF状態で、出力信号“Sig1”は検出回路120Kのプルダウン抵抗のNMOSトランジスタNT121Kによってグランドレベルに保持される。このとき、DFF回路125Kのクロック入力“Sig2”もグランドレベルとなる。
この状態で、強いレーザがフォトダイオード113のカソードに照射された場合(図33)、内部光電効果による自由電子によりカソード電圧は降下し、その電圧が(VCC−Vthp)以下に下がるとオープンドレインのPMOSトランジスタPT115はONし、出力信号“Sig1”の電圧は上昇する。
そして、初段のインバータ122Kの閾値を超えると、DFF回路125Kのクロック入力がハイレベルに立上り、DFF回路125Kの出力信号“SFIA”はハイレベルとして出力される。
レーザ光の強度が弱い場合(図34)、フォトダイオード113のカソードでは内部光電効果による自由電子が発生してカソード電圧を下げる。しかし、たとえばカソード電圧が(VCC-Vthp)以下に下がらない場合、出力PMOSトランジスタPT115はOFF状態である。これにより、出力信号は、検出回路120Kの プルダウンのNMOSトランジスタNT121Kによりグランドレベルに保持されたままとなる。
1回目のレーザ光の照射が終了した後、カソードに蓄積された自由電子はそのまま保持され、2回目の弱いレーザ光の照射時には、蓄積された電荷に、新たに発生した自由電子が加算され、それに伴ってカソード電圧は降下を再開する。
そして、カソード電圧が(VCC−Vthp)より下がると 出力のPMOSトランジスタPT115はONし、出力信号“Sig1”の電圧は徐々に上昇していく。
そして、インバータ122Kの閾値を超えた段階でインバータ122Kの出力は反転し、DFF回路125Kのクロック入力信号“Sig2”は立上り、DFF回路125Kの出力信号“SFIA”はハイレベルとして出力される。
このようにして、弱いレーザ光の光照射でも、この照射によって発生した自由電子はカソードに蓄積されていき、複数回のレーザ光の照射よってその電圧値が(VCC−Vthp)より下がれば出力のPMOSトランジスタPT115はONする。さらに自由電子が蓄積されて、出力信号“Sig1”が 初段のインバータ122Kの閾値を超えた段階でDFF回路125Kの出力信号“SFIA”はハイレベルで出力される。
図35は、図32のFIA検出回路を採用したFIAエリア検出回路の構成例を示す図である。
図36は、プルダウン抵抗の静特性とインバータの閾値との関係を示す図である。
PMOSトランジスタを用いたセンサ回路110Kでは、フォトダイオード113のカソード電圧が(VCC−Vthp)以上の場合は出力のPMOSトランジスタPT115はOFF状態で(VCC−Vthp)以下になったときPMOSトランジスタPT115がONする。 カソード電圧に応じた電流を流す構成であるため、図35に示すように、複数のセンサ回路110K−1〜110K−nの出力を接続して1個の検出回路120Lに入力する構成が採用可能である。
また、この検出回路120Lでは、最終段にDFF回路を配置していない。
第1の実施形態のように、センサにインバータやレジスタを用いる場合、レーザ光照射が停止するとインバータ の出力は元に戻り、レジスタの出力はほぼ半分の確率で元に戻ってしまうため、最終段にDFF回路を配置して検出結果を保持する構成を採っている。 しかし、フォトダイオード113を用いる場合、内部光電効果によって発生した電荷はフォトダイオードで構成されるキャパシタC111に保持されているため、レーザ光照射が停止した後も検出結果が出力される構成を採る。
したがって、ここではDFF回路を配置しない構成を用いて説明する。そして、リーク補償のためのフォトダイオードのプリチャージ制御を、NAND NAD1,NAD2で検出回路120Lの出力信号“SFIA”との論理を採って行っている。
レーザ光照射を検出して出力信号“SFIA”がハイレベルになっているときはプリチャージを行わず、カソードの電荷が保持される制御を加えている。
この構成で、複数個のセンサ回路110K−1〜110K―nに弱いレーザ光が照射された場合、センサ回路のフォトダイオード113の各カソードでは自由電子が発生してキャパシタC111に蓄積され、これによってカソード電圧は降下する。
そして、このカソード電圧が(VCC−Vthp)以下になったとき、出力PMOSトランジスタPT115はONして電流を流し、この電流よって検出回路120LのNMOSトランジスタNT121Kのドレイン電圧は上昇する。
プルダウン抵抗としてのNMOSトランジスタNT121Kの静特性をたとえば図36に示すものとする。
そして、簡単のために、3個のセンサ回路にほぼ同じ強度のレーザ光が照射され、この照射強度での1個のセンサ回路の出力電流を“I0”とする。
このとき、センサ回路110K−1〜110K−3からは“3I0”の電流が流れ、出力信号“Sig”は、センサからの出力電流に比例した電圧値となる。
これが検出回路120Lのインバータ122Kのハイレベル側の閾値“VIH”を超えるとハイレベルと判定されて、検出回路120Lの出力信号“SFIA”はレーザ光照射を示すハイレベルとして出力される。
このように、同時に複数個のセンサ回路にレーザ光が照射されていて、それらのセンサ回路110K−1〜110K−nの出力が1個の検出回路に入力されている場合、個々のセンサ回路の受けるレーザの照射強度は弱くても、レーザ照射を認識することができる。
図37は、本第2の実施形態に係るFIA検出回路で複数のセンサ回路が一定間隔で配置され、センサ回路の各々に検出回路が接続される場合と複数のセンサ回路に1つの検出回路が接続されている構成例を模式的に示す図である。
図38は、図37の動作タイミングを示す図である。
センサ回路110K−0〜110K−7が、図37に示すように、一定間隔で配置されている。
ここでは、4個のセンサ回路110K−0〜110K−3には各々1個の検出回路120−0〜120−3が配置され、続く3個のセンサ回路110K−4〜110K−6はその出力が結線されて1つの検出回路120M−456に接続されている場合を例に説明する。
この例は、検出回路120Kに入力されるセンサ回路110Kの出力が1個の場合と複数個の場合の比較を行うためのものである。
そして、レーザは、このセンサ回路の並びに沿って図の上からスキャンされ、太い破線BL1はレーザのビーム径、細い破線BL2は、回折・反射等により、レーザ光が到達する領域とする。すなわち、センサ回路110Kはレーザの照射のビーム径から外れ、照射される強度は弱いものとする。この時のタイミングを図37に示している。



今、センサ回路“110K−3に着目すると、センサ回路110K−3は Shot_3 と Shot_4で弱い照射を受ける。
フォトダイオード113のカソードでは、shot_3 の照射により電圧降下を起こすが、(VCC−Vthp)以下に至らず、出力のPMOSトランジスタPT115はOFF状態を保っている。
Shot_3 の照射が終わった後、フォトダイオード113のカソード電圧は保持され、続く Shot_4 の照射でカソード電圧は Shot_3 の終了電圧から降下を開始する。
そして、(VCC−Vthp)より下がったときにPMOSトランジスタPT115はONし、出力電流によって信号“Sig3”のレベルは上昇する。
しかし、Shot_4 照射の段階でインバータ122Kの閾値を超えないため、出力信号“SFIA3”はローレベルのままである。
一方、その先のセンサ回路では、センサ回路110K−4は Shot_4 と Shot_5 で、センサ回路110K−5は Shot_5 と Shot_6 で、センサ回路110K−6は Shot_6 と Shot_7 で弱い照射を受ける。
まず、Shot_4 でセンサ回路110K−4が照射を受け、カソード電圧“ca4”が降下するが、(VCC−Vthp)以下まで下がらないため、出力のPMOSトランジスタ115はOFF状態である。
次に、Shot_5 でセンサ回路110K−4とセンサ回路110K−5が照射を受ける。
センサ回路110K−4ではフォトダイオード113のカソード電圧“ca4”は(VCC−Vthp)以下に降下して出力のPMOSトランジスタPT115はONして電流“I0”が流れ、出力信号“Sig456”の電圧は上昇する。
しかし、インバータ122Kの閾値を超えないため、検出回路120K−456の出力信号“SFIA456”はローレベルのままである。センサ回路110K−5では、カソード電圧“ca5”が降下するが、(VCC−Vhtp)以下まで下がらないため、出力のPMOSトランジスタPT115はOFF状態である。
そして、Shot_6 でセンサ回路110K−5とセンサ回路110K−6が照射を受けるが、このとき、センサ回路110K−4は照射を受けないがこれまでの照射で出力のPMOSトランジスタPT115から電流“I0”が流れている。
そして、センサ回路110K−5では、カソード電圧“ca5”は(VCC−Vthp)以下に降下して出力のPMOSトランジスタPT115はONして電流“I0”が流れる。
そして、センサ回路110K−4の電流と併せて“2I0”の電流が流れるが、出力信号“Sig456”の電圧はインバータ122Kの閾値を超えないため、検出回路120−456の出力信号“SFIA456”はローレベルのままである。
同時に、センサ回路110K−6では、カソード電圧“ca6”が降下するが、(VCC−Vhtp)以下まで下がらないため、出力のPMOSトランジスタPT115はOFF状態である。
Shot_7 ではセンサ回路110K−6とセンサ回路110K−7が照射を受ける。このとき、センサ回路110K−4,110K−5は照射を受けないが これまでの照射で出力のPMOSトランジスタPT115から各々電流“I0”が流れている。
そして、センサ回路110K−6では、カソード電圧“ca6”は(VCC−Vthp)以下に降下して出力のPMOSトランジスタPT115はONして電流“I0”が流れ、センサ回路110K−4,110K−5の電流と併せて“3I0”の電流が流れる。
そして、出力信号“Sig456”の電圧はインバータ122Kの閾値を超え、検出回路120K−456の出力信号“SFIA456”はハイレベルに反転する。
センサ回路110K−7では、カソード電圧“ca7”が降下するが、(VCC−Vhtp)以下まで下がらないため、出力のPMOSトランジスタPT115はOFF状態である。
以上のように、論理回路やレジスタ回路が誤動作を起こさないような、強度の弱いレーザ光の照射でも、レーザ照射を検知して、異常信号を出力することが可能となる。
すなわち、複数個のセンサ回路が1個の検出回路に入力される構成を採り、同時に複数のセンサ回路が照射を受けたり、個々のセンサ回路が複数回の照射を受ける場合、レーザ照射を検知して、異常信号を出力することが可能となる。
<3.第3の実施形態>
次に、本発明の第3の実施形態として、FIAが検知されると、ICを以後使用不可にする方法について説明する。
通常、ICはモールドに封入され、通常使用においてレーザ光が半導体素子に当たることはない。
FIA攻撃が可能となるのは、図5に示すように、モールドを除去して半導体表面を露出させている状態の時である。これは、明らかに攻撃を目的とした不正な使い方であるため、レーザ照射による誤動作を検知したら、そのICを以後使用不可の状態にしても問題ない。従来は、たとえばレジスタ回路をセンサ回路とし、この格納値の変化で攻撃を検知していた。
一方で、たとえばRFモジュール等を搭載した非接触ICカードは、ICにアンテナを接続してカードに封入し、磁力線の発生源に近づけることにより、磁気をアンテナで受けて電力に変換してICを動作させている。
ICで発生される電力は距離の2乗に反比例し、変換電圧が所定の電圧以上である間はIC内の回路に供給され続けている。
ICカードが磁力線発生源に近づけられ、変換電圧が所定の電圧値になるとICは動作を開始し、ICカードが磁力線発生源から遠ざけられて、変換電圧が所定の電圧値以下になるまで電力は回路に供給され続けている。
供給電圧が所定の電圧より若干高い程度の状態で、ノイズ等によりレーザ光のセンサとして用いているレジスタの保持内容が反転するよう場合、これは通常の使用状態であるため、これでICを以後使用不可の状態にするのは問題である。
本第2の実施形態において、図32や図35の場合、フォトダイオード113をキャパシタC111として用い、これとプリチャージ用途および増幅用途の2個のトランジスタのみでセンサ回路は構成されている。
そして、攻撃の情報が格納されるのは、キャパシタC111を形成しているフォトダイオード113のカソード部分であるため、ノイズに対しては強い。
検出回路は、たとえば図35の構成の場合、ノイズフィルタ用途のキャパシタC121Kにより、検出回路120Lへのノイズはブロックされる。
他の回路はプルダウン抵抗としてのNMOSトランジスタNT121Kと2個のインバータ122K、123K、2個のNAND回路NAD1,NAD2のみであり、検出回路120Lもノイズに対して強い構成となっている。
したがって、ノイズによってFIA検知信号“SFIA”がハイレベルになる可能性はほとんどない。したがって、検知出力信号“SFIA”がハイレベルになった場合、そのICを以後使用不可としても問題ない。
FIAが検知されると、ICを以後使用不可にする方法として、以下の構成を採ることが可能である。
不揮発性メモリ内に、FIAのフラグビットを格納し、製品出荷時はこのビットはリセット状態の値に設定されているものとする。
そして、CPU210(図11)は、電源投入時の初期化時にこのFIAフラグビットを読出し、その値がリセット状態であれば通常の初期化動作を行い、セット状態であれば直ちに、または、初期化動作終了後にリセットする仕様とする。
そして、CPU210の初期化動作後、FIAを検知して検知信号“SFIA”がハイレベルになると、FIAフラグビットをセットする仕様とする。これにより、以後、電源を投入しても、FIAフラグビットはセットされているため、通常動作を開始する前にリセットがかかり、事実上使用不可の状態となる。
不揮発性メモリを用いないでフラグセットを行う方法としては、たとえば特開2003−59283号公報に記載されているようなインフューズを用いる方法がある。
図39は、FIAが検知されると、ICを以後使用不可にする方法としてインフューズを用いる方法を採用したフューズ回路の構成例を示す図である。
図40は、図39の動作タイミングを示す図である。
図39のフューズ回路300は、(n+1)入力のNOR回路301、2入力NOR回路302、遅延回路303、2入力AND回路304、2入力NOR回路305,306、NMOSトランジスタNT301、抵抗R301、およびフューズF301を有する。
フューズ回路300は、プルダウン抵抗R301とNMOSトランジスタNT301をグランドとフューズF301の一端との間に並列に接続し、その接続点であるノード“VF”をフューズF301を介して電源VCCに接続した構成を採っている。
そして、通常動作時は、NMOSトランジスタNT301のゲート入力“SFIA”はローレベルでNMOSトランジスタNT301はOFF状態となる。
フューズF301が切断あるいは高抵抗化されていない場合はノード“VF”はハイレベル、切断されている場合はローレベルを出力する。
複数のFIA検出回路からの出力信号“SFIAk”は、NOR回路301でNORされた後、信号“CPU_Init”とNOR回路302でNORされて出力信号“SFIA”となる。
また、この信号“SFIA”は、フューズF301の溶断に必要な時間を発生する遅延回路を通った信号“SFIA_dly”およびフューズF301の出力信号“SVF”と論理を採って、出力信号“/SFIA_Fail”を生成する。
信号“CPU_Init”は、CPU210の初期化時にハイレベルを出力する信号で、この期間はフューズ回路300のNMOSトランジスタNT301をOFF状態に制御する。
CPU210の初期化終了後、レーザ照射を検知して、入力信号“SFIAk”のうちの1つでもハイレベルに反転すると、NMOSトランジスタNT301の入力信号“SFIA”はハイレベルとなってNMOSトランジスタNT301はONし、フューズ端子であるノード“VF”はグランドレベルとなる。
これにより、フューズF301の両端にVCCが印加され、遅延回路303の遅延時間より短い時間でフューズF301は溶断され、あるいは高抵抗化される。
そして、遅延回路303の遅延時間経過後、出力信号“/SFIA_Fail”はローレベルとなってCPU210に報知される。
フューズF301の溶断後あるいは高抵抗化後は、電源投入後は、ノード“VF”は常にローレベルを示すため、出力信号“/SFIA_Fail”はローレベルとなってリセット要求し、CPU210は通常動作を行えなくなる。
また、図23、図26の構成は、レジスタの格納値のノイズ等による反転に関係なく、FIA攻撃を検知できる。
すなわち、電源が不安定状態でも、ノイズ等によって誤ってFIA攻撃と認識する恐れは無い。
したがって、この構成にも、第3の実施形態を適用することが可能となる。
以上説明したように、本実施形態によれば、以下の効果を得ることができる。
暗号演算回路に関しては、回路規模の増大や演算時間の増大をもたらさない。
センサ回路の感度は高いため、CPU回路や暗号処理回路の論理回路やレジスタ回路が誤動作を起こす前に攻撃を検知して所定の処理を行うことができる。
ICの自己破壊動作により、攻撃に多数のICが必要となり、攻撃の難易度が上がる。
100,100A〜100K・・・FIA(エリア)検出回路,110A〜110K・・・センサ回路、120,120C〜120L・・・検出回路、200・・・IC回路、210・・・CPU,220・・・マスクROM(Mask ROM)、230・・・EEPROM、240・・・RAM、250・・・暗号回路、260・・・入出力回路、300・・・フューズ回路、301,302,305,304・・・OR回路、303・・・遅延回路、304・・・AND回路、NT301・・・NMOSトランジスタ、R301・・・抵抗、F301・・・フューズ。

Claims (13)

  1. 光の照射を検知可能で、出力ノードのレベルが光照射によって変化し、光照射によって変化する上記出力ノードのレベルに応じた信号を出力する少なくとも1つのセンサ回路と、
    上記センサ回路の出力により、ハイレベルに相当する電圧とローレベルに相当する電圧との間の中間電圧を検出し検出信号を出力する検出回路と、を有し、
    上記センサ回路は、
    出力ノードからハイレベルの信号を出力するように入力が固定され、光の照射によって上記出力ノードのレベルが変化する論理回路と、
    上記論理回路の出力ノードのレベル変化に応じた信号を出力するトランジスタと、を含み、
    上記検出回路は、
    上記センサ回路の出力信号レベルがあらかじめ設定したレベルに達すると上記検出信号を出力する
    誤動作発生攻撃検出回路。
  2. 上記論理回路は、
    電源部が抵抗を介して電源に接続され、当該結線部または上記出力ノードが上記トランジスタの制御端子に接続されている
    請求項1記載の誤動作攻撃検出回路。
    誤動作発生攻撃検出回路。
  3. 光の照射を検知可能で、出力ノードのレベルが光照射によって変化し、光照射によって変化する上記出力ノードのレベルに応じた信号を出力する少なくとも1つのセンサ回路と、
    上記センサ回路の出力により、ハイレベルに相当する電圧とローレベルに相当する電圧との間の中間電圧を検出し検出信号を出力する検出回路と、を有し、
    上記センサ回路は、
    あらかじめハイレベルの信号がセットされ、光の照射によって上記出力ノードのレベルが変化するレジスタと、
    上記レジスタの出力ノードのレベル変化に応じた信号を出力するトランジスタと、を含み、
    上記検出回路は、
    上記センサ回路の出力信号レベルがあらかじめ設定したレベルに達すると上記検出信号を出力する
    誤動作発生攻撃検出回路。
  4. 上記レジスタは、
    電源部が抵抗を介して電源に接続され、当該結線部または上記出力ノードが上記トランジスタの制御端子に接続されている
    請求項3記載の誤動作攻撃検出回路。
  5. 光の照射を検知可能で、出力ノードのレベルが光照射によって変化し、光照射によって変化する上記出力ノードのレベルに応じた信号を出力する少なくとも1つのセンサ回路と、
    上記センサ回路の出力により、ハイレベルに相当する電圧とローレベルに相当する電圧との間の中間電圧を検出し検出信号を出力する検出回路と、を有し、
    上記センサ回路は、
    光電変換素子と、
    上記光電変換素子の蓄積電荷に応じた信号を出力する出力用トランジスタと、
    上記光電変換素子の電荷蓄積のノードをプリチャージするプリチャージ用トランジスタと、を少なくとも含む光センサ部と、
    上記出力用トランジスタの出力信号に応じた信号を出力するトランジスタと、を含み、
    上記検出回路は、
    上記センサ回路の出力信号レベルがあらかじめ設定したレベルに達すると上記検出信号を出力する
    誤動作発生攻撃検出回路。
  6. 上記検出回路は、
    上記センサ回路の出力信号電圧と基準電圧とを比較し、当該出力信号電圧が基準電圧により低い場合に上記検出信号を出力する
    請求項5記載の誤動作攻撃検出回路。
  7. 上記検出回路は、
    上記センサ回路の出力信号をプルダウンし、当該信号電圧がハイレベルの場合に上記検出信号を出力する
    請求項5記載の誤動作攻撃検出回路。
  8. 複数のセンサ回路を有し、
    上記複数のセンサ回路の出力が上記検出回路の入力に共通に接続されている
    請求項1から7のいずれか一に記載の誤動作攻撃検出回路。
  9. 上記検出回路の検出信号を受けて所定の処理を行う制御系を有し、
    上記制御系は、
    初期化時にフラグがセットされているか否かをチェックし、フラグがセットされていない場合には通常動作を行い、フラグがセットされている場合にはシステムリセットを実行する機能を有し、
    上記検出回路による検出信号を受けるとフラグをセットした後に所定の処理を行う
    請求項1から7のいずれか一に記載の誤動作攻撃検出回路。
  10. 光の照射を検知可能で、出力ノードのレベルが光照射によって変化し、光照射によって変化する上記出力ノードのレベルに応じた信号を出力する複数のセンサ回路と、
    上記センサ回路の出力により、ハイレベルに相当する電圧とローレベルに相当する電圧との間の中間電圧を検出し検出信号を出力する検出回路と、を有し、
    上記複数のセンサ回路の出力が上記検出回路の入力に共通に接続され、
    上記検出回路は、
    上記センサ回路の出力信号レベルがあらかじめ設定したレベルに達すると上記検出信号を出力する
    誤動作発生攻撃検出回路。
  11. 光の照射を検知可能で、出力ノードのレベルが光照射によって変化し、光照射によって変化する上記出力ノードのレベルに応じた信号を出力する少なくとも1つのセンサ回路と、
    上記センサ回路の出力により、ハイレベルに相当する電圧とローレベルに相当する電圧との間の中間電圧を検出し検出信号を出力する検出回路と、
    上記検出回路の検出信号を受けて所定の処理を行う制御系と、を有し、
    上記検出回路は、
    上記センサ回路の出力信号レベルがあらかじめ設定したレベルに達すると上記検出信号を出力し、
    上記制御系は、
    初期化時にフラグがセットされているか否かをチェックし、フラグがセットされていない場合には通常動作を行い、フラグがセットされている場合にはシステムリセットを実行する機能を有し、
    上記検出回路による検出信号を受けるとフラグをセットした後に所定の処理を行う
    誤動作攻撃検出回路。
  12. 少なくとも制御系と、
    誤動作発生攻撃を検出する誤動作発生攻撃検出回路と、が集積され、
    上記誤動作発生攻撃検出回路は、
    光の照射を検知可能な少なくとも1つのセンサ回路と、
    上記センサ回路の出力により、ハイレベルに相当する電圧とローレベルに相当する電圧との間の中間電圧を検出し検出信号を出力する検出回路と、を有し、
    上記センサ回路は、
    出力ノードのレベルが光照射によって変化し、光照射によって変化する上記出力ノードのレベルに応じた信号を出力し、
    上記検出回路は、
    上記センサ回路の出力信号レベルがあらかじめ設定したレベルに達すると上記検出信号を上記制御系に出力し、
    上記制御系は、
    初期化時にフラグがセットされているか否かをチェックし、フラグがセットされていない場合には通常動作を行い、フラグがセットされている場合にはシステムリセットを実行する機能を有し、
    上記検出回路による検出信号を受けるとフラグをセットした後に所定の処理を行う
    集積回路。
  13. 少なくとも制御系と、
    誤動作発生攻撃を検出する誤動作発生攻撃検出回路と、が集積され、
    上記誤動作発生攻撃検出回路は、
    光の照射を検知可能で、出力ノードのレベルが光照射によって変化し、光照射によって変化する上記出力ノードのレベルに応じた信号を出力する少なくとも1つのセンサ回路と、
    上記センサ回路の出力により、ハイレベルに相当する電圧とローレベルに相当する電圧との間の中間電圧を検出し検出信号を出力する検出回路と、を有し、
    上記センサ回路は、
    出力ノードからハイレベルの信号を出力するように入力が固定され、光の照射によって上記出力ノードのレベルが変化する論理回路と、
    上記論理回路の出力ノードのレベル変化に応じた信号を出力するトランジスタと、を含み、
    上記検出回路は、
    上記センサ回路の出力信号レベルがあらかじめ設定したレベルに達すると上記検出信号を上記制御系に出力する
    集積回路。
JP2009132544A 2009-06-01 2009-06-01 誤動作発生攻撃検出回路および集積回路 Expired - Fee Related JP5387144B2 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2009132544A JP5387144B2 (ja) 2009-06-01 2009-06-01 誤動作発生攻撃検出回路および集積回路
EP10004800A EP2259487B1 (en) 2009-06-01 2010-05-06 Circuit for detecting malfunction generation attack and integrated circuit using the same
CN2010101889908A CN101924629B (zh) 2009-06-01 2010-05-25 用于检测误动作发生攻击的电路以及使用其的集成电路
US12/786,612 US8350574B2 (en) 2009-06-01 2010-05-25 Circuit for detecting malfunction generation attack and integrated circuit using the same

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009132544A JP5387144B2 (ja) 2009-06-01 2009-06-01 誤動作発生攻撃検出回路および集積回路

Publications (2)

Publication Number Publication Date
JP2010279003A JP2010279003A (ja) 2010-12-09
JP5387144B2 true JP5387144B2 (ja) 2014-01-15

Family

ID=42671941

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009132544A Expired - Fee Related JP5387144B2 (ja) 2009-06-01 2009-06-01 誤動作発生攻撃検出回路および集積回路

Country Status (4)

Country Link
US (1) US8350574B2 (ja)
EP (1) EP2259487B1 (ja)
JP (1) JP5387144B2 (ja)
CN (1) CN101924629B (ja)

Families Citing this family (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8255702B1 (en) * 2009-12-03 2012-08-28 Altera Corporation Programmable logic device with improved security
JP5519308B2 (ja) * 2010-02-05 2014-06-11 ルネサスエレクトロニクス株式会社 半導体集積回路及びデータ処理システム
JP5776927B2 (ja) * 2011-03-28 2015-09-09 ソニー株式会社 情報処理装置及び方法、並びにプログラム
JP5857726B2 (ja) * 2011-12-20 2016-02-10 富士通株式会社 温度センサ、暗号化装置、暗号化方法、及び個体別情報生成装置
US9081929B2 (en) * 2012-01-06 2015-07-14 New York University Systems, processes and computer-accessible medium for providing logic encryption utilizing fault analysis
US9559066B2 (en) * 2014-06-12 2017-01-31 Broadcom Corporation Systems and methods for detecting and preventing optical attacks
US9531384B1 (en) * 2014-12-01 2016-12-27 University Of South Florida Adiabatic dynamic differential logic for differential power analysis resistant secure integrated circuits
WO2016115280A1 (en) 2015-01-14 2016-07-21 Virta Laboratories, Inc. Anomaly and malware detection using side channel analysis
KR102341264B1 (ko) 2015-02-02 2021-12-20 삼성전자주식회사 래치를 이용한 레이저 검출기 및 이를 포함하는 반도체 장치
US10255462B2 (en) * 2016-06-17 2019-04-09 Arm Limited Apparatus and method for obfuscating power consumption of a processor
CN114968651A (zh) * 2016-06-24 2022-08-30 国民技术股份有限公司 具有攻击防护结构的系统
CN108008235B (zh) * 2017-11-17 2021-02-26 珠海格力电器股份有限公司 直流母线短路检测方法、装置及检测电路
US11082202B2 (en) * 2018-06-01 2021-08-03 Arm Limited Fault injection attack detection in integrated circuits
US11145608B2 (en) * 2019-03-20 2021-10-12 Qualcomm Incorporated Detection of laser-based security attacks
CN112098043B (zh) * 2019-06-17 2022-04-15 光宝科技新加坡私人有限公司 用于检测激光发射器的故障检测电路
CZ308895B6 (cs) * 2020-03-19 2021-08-11 České vysoké učení technické v Praze Zapojení standardní buňky CMOS se sníženou datovou závislostí statické spotřeby
CN113711222B (zh) * 2020-08-07 2022-06-10 深圳市汇顶科技股份有限公司 用于芯片的激光注入攻击检测电路和安全芯片
CN114815952B (zh) * 2021-01-18 2024-03-01 瑞昱半导体股份有限公司 能应用于通过动态电压改变来进行系统保护的集成电路

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10154976A (ja) * 1996-11-22 1998-06-09 Toshiba Corp タンパーフリー装置
US6108419A (en) * 1998-01-27 2000-08-22 Motorola, Inc. Differential fault analysis hardening apparatus and evaluation method
GB2365153A (en) * 2000-01-28 2002-02-13 Simon William Moore Microprocessor resistant to power analysis with an alarm state
JP2002261751A (ja) 2001-03-02 2002-09-13 Hitachi Ltd 暗号処理方法
JP3843777B2 (ja) 2001-08-10 2006-11-08 ソニー株式会社 半導体記憶装置
FR2829331B1 (fr) 2001-09-04 2004-09-10 St Microelectronics Sa Procede de securisation d'une quantite secrete
FR2838262B1 (fr) 2002-04-08 2004-07-30 Oberthur Card Syst Sa Procede de securisation d'une electronique a acces crypte
US6970386B2 (en) * 2003-03-03 2005-11-29 Emosyn America, Inc. Method and apparatus for detecting exposure of a semiconductor circuit to ultra-violet light
DE10328860B4 (de) * 2003-06-26 2008-08-07 Infineon Technologies Ag Vorrichtung und Verfahren zum Verschlüsseln von Daten
US20080235796A1 (en) * 2005-08-19 2008-09-25 Nxp B.V. Circuit Arrangement with Non-Volatile Memory Module and Method for Registering Attacks on Said Non-Volatile Memory Switch
JP2008021524A (ja) * 2006-07-12 2008-01-31 Tokai Rika Co Ltd 非接触スイッチ
JP2008289086A (ja) * 2007-05-21 2008-11-27 Panasonic Corp 半導体装置
JP2008293144A (ja) * 2007-05-23 2008-12-04 Panasonic Corp 半導体集積回路及びicカード
US8410583B2 (en) * 2007-09-04 2013-04-02 Nds Limited Security chip
JP5261088B2 (ja) * 2008-09-09 2013-08-14 富士通株式会社 不正操作検知回路、不正操作検知回路を備えた装置、及び不正操作検知方法

Also Published As

Publication number Publication date
EP2259487A1 (en) 2010-12-08
CN101924629B (zh) 2013-07-24
CN101924629A (zh) 2010-12-22
US8350574B2 (en) 2013-01-08
US20100301873A1 (en) 2010-12-02
EP2259487B1 (en) 2012-08-22
JP2010279003A (ja) 2010-12-09

Similar Documents

Publication Publication Date Title
JP5387144B2 (ja) 誤動作発生攻撃検出回路および集積回路
US8089285B2 (en) Implementing tamper resistant integrated circuit chips
US10607033B2 (en) Physical uncloneable function circuit
Helfmeier et al. Breaking and entering through the silicon
US7969763B2 (en) Detector circuit for detecting an external manipulation of an electrical circuit, circuit arrangement comprising a plurality of detector circuits, memory device and method for operating a detector circuit
Skorobogatov Physical attacks and tamper resistance
Shahrjerdi et al. Shielding and securing integrated circuits with sensors
AU783858B2 (en) Anti tamper encapsulation for an integrated circuit
US20230352426A1 (en) Detection of laser-based security attacks
US9306573B2 (en) Apparatus and method for detecting and preventing laser interrogation of an FPGA integrated circuit
Jain et al. Special session: Novel attacks on logic-locking
Matsuda et al. On-chip substrate-bounce monitoring for laser-fault countermeasure
JP2008198700A (ja) 半導体集積回路装置
US7119703B2 (en) Die anti-tampering sensor
Skorobogatov Fault attacks on secure chips
Yamashita et al. Redshift: Manipulating signal propagation delay via continuous-wave lasers
JP2007310640A (ja) 半導体集積回路およびそれを用いたicカード
JP4987584B2 (ja) 半導体集積回路およびそれを用いたicカード
He et al. Comprehensive laser sensitivity profiling and data register bit-flips for cryptographic fault attacks in 65 nm fpga
Roy et al. Polymorphic Sensor to Detect Laser Logic State Imaging Attack
Petryk et al. Optical Fault Injection Attacks against Radiation-Hard Registers
Faour et al. Implications of Physical Fault Injections on Single Chip Motes
EP2541599A1 (en) Security semiconductor product
Zamiri Azar et al. Multilayer Approach to Logic Locking
Weiner et al. Defeating microprobing attacks using a resource efficient detection circuit

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20120223

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130625

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130819

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130910

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130923

R151 Written notification of patent or utility model registration

Ref document number: 5387144

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees