密码芯片的物理攻击与防护对策

微电子学研究所 微电子与纳电子学系
近年来，涉及信息安全的密码芯片面临着越来 越严重的安全性挑战，已经出现了各种不同层次、 不同水平的攻击手段，概括起来主要可以划分为以 下几种： （1）窃听攻击方法（Eavesdropping） （2）软件攻击方法（Software Attacks） 非破坏 性攻击 破坏性 攻击
微电子学研究所 微电子与纳电子学系
物理攻击手段的主要步骤： （1）获取相关的密码电路芯片，这是对其实施各种 物理攻击的必要前提； （2）利用机械切割或化学腐蚀手段，打开芯片的封 装结构，再辅以聚焦离子束等微区刻蚀技术，对其 关键引出端口（例如电源、时钟信号，各种控制、 地址与数据信号总线以及芯片内部预留的测试焊盘 等）重新进行超声键合； （3）给密码电路芯片重新加载，必要时可以采用外 部的时钟和地址信号发生器，首先对密码芯片内部 的各类不挥发存储器直接进行访问和扫描读出，获 得其相关的存储信息；
微电子学研究所 微电子与纳电子学系
内容提要 密码芯片面临的安全性挑战 各种常见的物理攻击技术分析 针对不同物理攻击手段的防护对策 总结与展望
微电子学研究所 微电子与纳电子学系
物理攻击手段所需的主要设备条件： 进行密码芯片的物理攻击必须具备一定的硬件设 备条件，主要包括：化学腐蚀工作台、微区探针测试 台、超声压焊机、光学共焦显微镜、扫描电子显微镜 （SEM）、聚焦离子束（FIB）设备、激光微区切割 设备、微区精密定位装置（微动工作台）、CCD摄 像机、多通道示波器、时钟信号发生器、图形发生器、 逻辑分析仪、直流稳压电源，以及一台用于各种信号 采集和数据处理的高性能计算机。
微电子学研究所 微电子与纳电子学系
关于芯片表面物理防护的等级： • 普通的钝化保护：通常为二氧化硅、氮化硅等绝缘 介质或聚酰亚胺等高分子聚合物材料，其特点是工 艺技术兼容性好、寄生效应小、物理化学性质稳定， 存在问题是材料本身透明、易于腐蚀去除； • 中等的物理防护：表面可以选用合适的难熔金属薄 膜等不透明材料，能够抵御各种可见光、X射线、 红外线、紫外线的穿透，存在问题是可能会带来较 大的寄生效应，对于FIB刻蚀也是无能为力的； • 先进的物理防护：坚固、不透明材料，能够耐受各 种酸、碱溶液腐蚀且难以去除（或者在去除的同时 将引起芯片内部器件或电路结构的破坏），工艺技 术兼容性好、寄生效应小（？？？）。
微电子学研究所 微电子与纳电子学系
（2）针对“微区探测截获”的防护措施： 这种微区探测截获手段具有较强的攻击性，针对 这种攻击，电路设计师在电路设计中除了采取传统的 防护措施之外，还应特别注意： • 尽量采用高端的先进工艺技术来制造芯片； • 尽量将相关的数据总线、控制总线等关键数据通 道设计在多层金属互连布线的最底层； • 在各类关键数据通道布线的上方尽可能设计多层 必要的电源、地线和时钟信号线网络； • 在上述底层关键数据通道布线的顶层或中间层设 计密集的金属传感器网络，在电路每次启动的过 程中首先检测传感器网络是否发生断路或短路， 从而触发内部电路报警（例如终止处理器的运行 或完成Flash存储信息的彻底擦除等）。
微电子学研究所 微电子与纳电子学系
内容提要 密码芯片面临的安全性挑战 各种常见的物理攻击技术分析 针对不同物理攻击手段的防护对策 总结与展望
微电子学研究所 微电子与纳电子学系
针对上述三个层次的物理攻击手段，我们可以分 别采取不同的应对防护措施。 （1）针对“焊盘直接访问”的防护措施： 这种攻击手段最为低劣，目前从电路设计角度采 取的诸多隔离和加密措施已经可以有效地防范和抵御， 但是在电路设计中仍需注意： • 在密码芯片的设计中尽量不要保留（或少保留） 内部测试用的Pad； • 尤其是芯片内部各类数据总线上提供给片上测试 用的并行/串行转换器电路等测试结构在完成测试 功能后也必须彻底毁坏； • 还可以尽量将这些内部测试用Pad以及辅助测试 电路结构安排在相邻芯片之间的切割道中。
微电子学研究所 微电子与纳电子学系
•
•
•
当攻击者试图利用FIB或激光切割技术局部去除表 面金属层从而探测芯片内部关键数据通道时，金 属传感网络将触发电路报警并采取相应的终止处 理器运行或擦除Flash存储信息等抵御措施； 在大面积顶层金属阵列的下方可设置大量的互连 通孔，当攻击者试图通过化学腐蚀或干法刻蚀等 多种薄膜剥离技术对顶层金属进行逐层剥离时， 将会使通孔处及其附近的下层电路结构和金属布 线受到不同程度的侵蚀和破坏，从而难以实现密 码芯片电路的完整恢复和版图重构； 利用顶层金属阵列的覆盖，对通孔处及其附近的 下层金属布线和电路结构可进行必要的加密处理， 从而进一步提高密码芯片抗物理攻击的强度。
微电子学研究所 微电子与纳电子学系
（2）软件攻击方法 这种攻击方法主要是利用密码芯片的通讯协议、 密码算法及其电路实现过程中存在的各种安全性漏 洞，采用正常的标准通讯接口对密码芯片进行攻击， 从而获取芯片中相关的加密信息。 例如：软件穷举搜索法等 （3）故障生成方法 这种攻击方法通过使密码芯片工作在特殊的外 部环境应力条件下（例如高低温、电源电压拉偏和 峰值冲击、时钟相位跳变、电离辐射、违反通讯协 议以及强制局部电路复位等），来诱发关键器件的 失效行为，扰乱电路中的加密系统，从而激发芯片 的内部故障，最终获取芯片的相关加密信息。
微电子学研究所 微电子与纳Fra bibliotek子学系常见的物理攻击技术分析： 从上面介绍的物理攻击步骤中我们可以看到，攻 击者对于密码芯片中相关加密信息的物理攻击手段基 本上可以分为以下三个层次： （1）焊盘直接访问：充分利用电路芯片中原有的封 装Pad和内部预留的测试Pad，直接访问CPU或存储 器的数据总线，获得相关的存储信息； （2）微区探测截获：在无法直接访问的情况下，可 以利用激光局部切割和微区探针检测的方法，对芯片 中的关键数据通道进行探测和信息截获； （3）间接分析获得：通过芯片的反向解剖工程，进 行电路版图重构，同时借助各种辅助分析手段间接获 得芯片中存储的信息。
微电子学研究所 微电子与纳电子学系
（4）对于那些没有预留测试焊盘、无法进行超声键 合的关键路径，则首先需要利用FIB或激光微区切割 手段去除芯片局部区域的钝化保护层，然后采用微 区精密定位装置操纵微探针来探测芯片内部的关键 数据通道，从而截获芯片的相关加密信息；
右图所示为利用激光微区切割技术去除局部钝化 层后可进行微探针测试的八条金属数据总线。
微电子学研究所 微电子与纳电子学系
针对以上分析的各种常见的密码芯片物理解剖 攻击方法，我们提出了一种“在顶层互连通孔处及 其附近进行下层电路结构与金属布线的加密处理并 同时覆盖大面积顶层金属阵列和传感网络交错结构” 的抗物理解剖技术，该技术的基本思想就是利用目 前集成电路制造工艺中业已成熟的多层金属布线工 艺技术，达到如下几点抗物理攻击的目的： • 利用芯片表面大面积的顶层金属阵列覆盖，可以 阻挡各种直接的显微照相技术的实施，包括普通 显微照相技术、红外显微照相技术、X射线显微 照相技术等，阻止攻击者对密码芯片整体结构、 电路功能分块、焊盘引脚定义的直观判断；
微电子学研究所 微电子与纳电子学系
密码芯片的物理攻击与防护对策
清华大学微电子学研究所 许军 2012年8月27日
微电子学研究所 微电子与纳电子学系
内容提要
密码芯片面临的安全性挑战 各种常见的物理攻击技术分析 针对不同物理攻击手段的防护对策 总结与展望
微电子学研究所 微电子与纳电子学系
内容提要
密码芯片面临的安全性挑战 各种常见的物理攻击技术分析 针对不同物理攻击手段的防护对策 总结与展望
微电子学研究所 微电子与纳电子学系
（5）利用光学共焦显微镜或SEM，配合逐层化学腐 蚀方法，读出芯片的不同层次结构，从而进一步识 别、还原出各电路元件的连接关系，最终完成密码 电路芯片的光学反向工程；
微电子学研究所 微电子与纳电子学系
（6）对于传统的ROM存储阵列，在去除各种覆盖 层之后，根据其场区边界和扩散区形状及分布情况， 即可确定和获取ROM存储阵列中的编码信息；
在上述几种攻击方法中，第一、第二种方法属于 非破坏性的攻击方法，第三种方法则介于破坏性与非 破坏性之间，它们共同的特点是攻击方法便捷、攻击 过程快速，攻击成本也比较低，同时具有较强的隐蔽 性和欺骗性，不易引起被攻击者的警觉。但是这几种 攻击方法也容易受到各种抗攻击技术措施的抵御。 目前针对这几种非破坏性的攻击方法，从加密算 法和电路设计层面已经发展出了多种有效的抵御攻击 措施，包括：掩码技术，功耗平衡技术，利用真随机 数发生器实现的时钟扰乱技术等。 最后一种攻击方法属于破坏性的攻击方法，也就 是我们下面将要讨论的物理攻击手段，它的攻击技术 比较复杂，攻击成本也比较高，但是其给信息安全芯 片带来的危害性也最大。
微电子学研究所 微电子与纳电子学系
（8）对于EEPROM和Flash等不挥发存储器，可以通 过对普通的SEM进行增强改造，增加一个电压衬度函 数，利用初始电子（例如：2.5kV，5nA）轰击芯片 中相应的目标位置产生二次电子，再借助能谱仪和探 测器记录二次电子的数量及其能量，就可以显示出芯 片中不同位置处电场及电势的区别，由此就可以确定 EEPROM或Flash存储单元中存储的信息； （9）采用聚集离子束技术还可以在微区范围内（大 约在几十纳米）去除或淀积某些材料（金属薄膜或绝 缘层），从而实现对密码芯片内部电路连接关系的局 部修正与更改。
图示为一个16×10的ROM存储阵列，左侧为去除多 晶硅和金属后的扩散区图形，右侧图中绿色为多晶硅 字线，蓝色为金属数据线，黑色为接地线。
微电子学研究所 微电子与纳电子学系
（7）对于采用离子注入方法改变MOS器件阈值电压 进行ROM编码的存储阵列，其编码信息无法通过扩 散区的形状及分布情况获得，但是还可以采用去除多 晶硅字线之后对器件有源区表面进行晶体染色的方法 来显示，这种晶体染色的方法利用不同浓度掺杂区域 具有不同的腐蚀速率，来区别具有不同阈值电压的 MOS晶体管；
微电子学研究所 微电子与纳电子学系
（4）微区探测方法 这种攻击方法需要打开密码芯片的封装，然后 利用微探针探测芯片内部的关键数据通道等相关结 构，从而截获芯片的相关加密信息。这是一种破坏 性的物理攻击方法，如果它与芯片的光学反向工程 技术相配合，甚至最终可以完成整个密码电路芯片 的版图重构。
微电子学研究所 微电子与纳电子学系
（3）故障生成方法（Fault Generation）
（4）微区探测方法（Microprobing）
微电子学研究所 微电子与纳电子学系
（1）窃听攻击方法 这种攻击方法既不需打开芯片的封装，也不需 要操纵芯片的工作过程，只需通过检测、分析密码 芯片正常工作时泄漏出来的各种电磁辐射信号的组 成、电源供电电流的起伏涨落、各种信号线上的泄 漏电流以及各种通讯协议的时序等，就可以分析破 解获得密码芯片中的相关加密信息。 有时也称之为“旁路攻击方法” 例如：功耗分析方法 包括：简单功耗分析 差分功耗分析 （一阶、高阶） CMOS电路结构
微电子学研究所 微电子与纳电子学系
下图所示为在多层金属布线的顶层或中间层设计 的密集金属传感器网络，用于检测是否出现微区局部 切割等物理攻击。
左图为出现物理攻击时 的情形，传感网络将触发电 路报警并采取抵御措施。
微电子学研究所 微电子与纳电子学系
（3）针对“反向解剖工程”的防护措施： 这种反向解剖分析手段对于密码芯片具有最大的 威胁性，针对这种攻击，电路设计师在电路设计中可 采取的应对措施包括： • 尽量采用高端的先进工艺技术来制造芯片； • 芯片中固化的ROM存储阵列尽可能采用两种反型 的离子注入掺杂来调整MOS晶体管的开启电压； • 电路中用到的不挥发存储器尽可能选用SONOS等 结构的电荷俘获型存储器，避免使用传统的浮栅 型不挥发存储器； • 在多层金属布线的顶层和中间层设计大量的冗余 金属防护结构； • 尽量采用不透明且不易被各种酸碱腐蚀液去除的 表面钝化保护材料。