文献标识码: A
DOI:10.16157/j.issn.0258-7998.2017.07.007
中文引用格式: 王敏,刘莹,邵瑾,等. 基于FIB技术攻击芯片主动屏蔽层[J].电子技术应用,2017,43(7):28-31.
英文引用格式: Wang Min,Liu Ying,Shao Jin,et al. Attack chip′s active shield based on FIB technology[J].Application of Electronic Technique,2017,43(7):28-31.
0 引言
针对安全芯片的攻击方法很多,大致可以分为三类:非侵入式攻击、半侵入式攻击和侵入式攻击。其中,侵入式攻击也称作物理攻击,需要直接接触芯片元器件的内部,会对芯片造成永久破坏。该攻击方式通常先要去除芯片封装,暴露出硅晶粒,可以通过逆向工程分析半导体器件的结构和功能,提取芯片版图,恢复出芯片门级电路结构;或者通过扫描电子显微镜或聚焦离子束显微镜(Focused Ion beam,FIB)对安全芯片电路和金属走线进行切割、连接和修改等。对此,安全芯片一般会在芯片顶层添加主动屏蔽层,防止侵入式物理探测和篡改攻击: 当主动屏蔽层的有源屏蔽线被探测或切断时,主动屏蔽层的检测电路检测到屏蔽线上传输的信号发生变化,即刻产生报警信号,使芯片进入复位或中断等安全工作状态,以抵抗侵入式攻击获取安全芯片内部存储的关键数据和敏感信息,进一步保障产品的安全性[1,3-4]。
本文提出了一种基于FIB技术攻击芯片主动屏蔽层的方法,对现有静态或动态检测的主动屏蔽层的安全芯片,均可实施侵入式攻击,探测芯片数据总线信号获取芯片内部敏感信息。所提出的主动屏蔽层攻击方法可操作性很强,对芯片的攻击和安全防护设计具有重要的指导作用和现实意义。
1 主动屏蔽层原理和FIB技术
1.1 主动屏蔽层原理
主动屏蔽层是在安全芯片的顶层形成一层保护层,通过实时监测该保护层的信号是否受到破坏而产生报警信号,以抵抗侵入式物理攻击[5]。主动屏蔽层由有源屏蔽层和检测传感器构成:有源屏蔽层一般采用平行等势线、蛇形走线、螺旋线、皮亚诺曲线、随机哈密顿回路等拓扑结构, 由一层或多层金属走线形成,布满整个芯片,遮蔽屏蔽层下方的物理结构隐藏加密模块、存储器模块等关键组件,填充空白区域等;同时有源屏蔽层也作为传感网络层,在有源屏蔽线上注入检测信号,检测传感器通过对比初始检测信号与经过有源屏蔽线传输后的检测信号的一致性来判断安全芯片是否受到侵入式攻击。
图1所示为有源屏蔽层布线示例图,该有源屏蔽层由5根有源屏蔽线一笔连通蛇形布线组成。有源屏蔽线中间没有任何短路、断路或分支,可实现尽可能高密度的安全检测信号通路;布线后的版图都是重复的随机图形样式,具有极大的迷惑性[6]。
如图2所示为检测传感器电路结构图,DIN为有源屏蔽层的输入检测信号,DOUT为经过有源屏蔽线传输后的输出检测信号,比较器通过比对DIN和DOUT信号是否相等,分析判定主动屏蔽层是否存在短路、断路等现象,从而实现检测侵入式攻击。
1.2 FIB技术
聚焦粒子束(FIB)显微镜系统是利用电子透镜将离子束进行加速、聚集轰击样品表面实现加工的显微精细切割仪器,目前商用系统的离子束多为液体金属离子镓(因为镓元素具备低熔点、低蒸汽压及良好的抗氧化能力)。FIB使用离子枪对液态金属镓进行加速、聚焦,照射样品表面产生二次电子信号获取电子图像;使用强电流离子束对样品表面原子进行剥离,实现微、纳米级表面形貌加工;或者以物理溅射的方式搭配化学气体反应,有选择性地剥除金属、氧化硅层或淀积金属层[2]。侵入式攻击中的FIB 攻击技术,通过切割芯片内部的金属互连线或破坏芯片控制电路,从而屏蔽芯片某些安全保护机制;此外FIB攻击技术可将传输安全保护状态的金属信号线连到地或电源上,实现对芯片某些安全功能的操控。
FIB技术的基本功能可分为4种:
(1)离子束成像:FIB使用高速离子束轰击样品表面,激发出二次电子、中性原子、二次离子和光子等,收集这些信号进行处理显示出样品的表面形貌。目前聚焦离子束系统的成像分辨率已达5~10 nm。
(2)离子束刻蚀:FIB使用高能离子束(常为几十K eV)轰击样品时,将动量传递给样品中的原子或分子,产生溅射效应。因此选择合适的离子束流, 可以对不同材料的样品实施高速微区刻蚀,对纳米级、微米量级尺寸的材料进行加工。
(3)离子束淀积:FIB使用离子束的能量激发化学反应,在样品局部区域作导体或非导体的沉积,常见的金属沉积有铂和钨两种材料。
(4)离子注入:FIB通过精确定位和控制,直接在半导体材料和器件上特定区域或点进行离子注入,精确控制注入的深度和广度,节省生产成本和加工时间。
综上,FIB技术在集成电路工业领域主要应用于金属线路修改和布局验证、半导体元器件失效分析、生产线工艺异常分析、集成电路工艺监控(例如光刻胶的切割)、透射电子显微镜样片制作等。随着半导体工艺尺寸不断缩小、工艺制程不断复杂化,FIB技术表现出很强的应用潜力,可用于集成电路工艺在线监控,微区精密离子注入实现无掩模纳米级工艺生产,刻蚀和淀积相结合对微电路进行修补等。
2 使用FIB攻击主动屏蔽层
2.1 攻击方案概述
根据1.1节所述,主动屏蔽层是安全芯片抵抗侵入式攻击的第一道屏障,对主动屏蔽层的攻击方法常见如下:由于主动屏蔽层均采用数根有源屏蔽线进行全芯片范围金属绕线,找寻到有源屏蔽线的起始点和终止点,并将其依序对应连接上,主动屏蔽层的抗攻击防护失效,此时攻击者探测或切割除连接上的起始、终止点以外的其他所有有源屏蔽绕线,检测电路都无法检测到异常并产生相应预警信号。通常安全芯片在做主动屏蔽层金属绕线设计时,会着重将屏蔽线的起始点和终止点进行深度隐藏,加大攻击难度。对此,本文提出了一种简易直观的攻击主动屏蔽层的方法,适用于攻击任何静态或动态检测的主动屏蔽层。
本文提出的主动屏蔽层攻击方法是:将预探测或修改的芯片关键信号金属走线上方的有源屏蔽线切断去除,暴露出底下关键信号的金属走线(通常芯片关键信号均使用低层金属走线,无法使用探针台直接扎针探测),需将该关键信号引出并做一个十字金属管脚(十字PAD),便于探针扎针探测;然后将切断的有源屏蔽线绕开所引出的关键信号进行重新连接,避免主动屏蔽层检测到信号异常产生报警信号。该攻击方案简易直观,可操作性极强,无论是对静态还是动态检测的主动屏蔽层,均可切开有源屏蔽层,探测攻击到屏蔽线下方的信号连线。
该主动屏蔽层攻击方法主要包括5个步骤:(1)定位:找到预攻击的关键信号在芯片上的位置,并精确定位到该关键信号上覆盖有源屏蔽线的位置。(2)切割屏蔽线:使用FIB设备对有源屏蔽线进行切割。(3)暴露出预攻击的关键信号金属连线:继续使用FIB设备向下切割,直到预攻击的关键信号线露出时停止切割。(4)引出关键信号:使用FIB设备对暴露出来的关键信号进行金属淀积,引出关键信号,并做一个金属十字PAD,以便于探针扎针探测。(5)重新连接有源屏蔽线:将切断的有源屏蔽线绕开所引出的关键信号进行重新连接,避免主动屏蔽层检测到屏蔽线断路而报警。
理论依据:使用FIB将切断的有源屏蔽线以铂金(Pt)进行金属淀积重新连接,对原有源屏蔽线的信号传输延时影响微小,可忽略不计。以之后章节将提及的一款安全芯片为例,使用核舰HJ110 nm工艺制造,芯片尺寸为3.5 mm×3 mm,主动屏蔽层的一根有源屏蔽线金属绕线长度约为0.19 m,电阻值为9.8 kΩ。使用FIB进行铂金淀积,铂金的电阻率为10~20(Ω·μm),根据如下电阻计算公式:
式中,R为淀积铂金的电阻值,ρ为电阻率,S为金属横截面积,L为金属长度,w为金属宽度,h为金属高度。设L=10 μm,w=1 μm,h=1 μm,则计算R=100~200 Ω,远远小于有源屏蔽线的电阻值,因此使用FIB进行铂金淀积对原有源屏蔽线的信号传输延时影响甚微。
2.2 攻击实验介绍
本文对市场上比较常见的一款安全芯片进行主动屏蔽层攻击实验,该芯片使用顶层金属做主动屏蔽层的有源屏蔽线,蛇形绕线如图1所示,布满整颗芯片。攻击方案:对安全芯片存储器RAM的数据总线进行探测监听,切开RAM数据总线金属连线上方的有源屏蔽线,将露出的数据信号金属连线引出做一个十字PAD,再将切断的有源屏蔽线进行重新连接,最后使用探针台对数据总线信号进行探测监听。
2.2.1 定位
将安全芯片开盖,根据前期芯片分析,寻找到芯片RAM的数据总线位置,观察数据总线走线情况和其上方有源屏蔽线的走线情况,尽量选择最容易进行切割的走线部分。如图3 所示,白色方框内的有源屏蔽线部分是本次选取的攻击线段。所选取切割的有源屏蔽线绕线方式详见图4:A点和B点均在有源屏蔽线1线上,选取A、B两点作为切割点,选取C、D两点作为重新连接点,将C和D两点重新连接上的有源屏蔽线1线仍然是一条连通的信号线。
2.2.2 切割屏蔽线
使用FIB设备将2.2.1中所选取的有源屏蔽线段进行切割,切割完的芯片主动屏蔽层如图5所示。
2.2.3 暴露关键信号连线
继续使用FIB设备向下缓慢切割芯片,直到露出预攻击的RAM存储器数据总线信号连线,如图6所示,停止切割芯片。
2.2.4 引出关键信号
将2.2.3节中所暴露出的RAM数据信号走线,使用FIB设备做金属淀积,将该信号引出并做一个十字PAD,如图7所示,以便于探针扎针进行探测攻击。
2.2.5 重新连接屏蔽线
将2.2.2节中切断的有源屏蔽线,绕开所引出的RAM数据信号走线进行重新连接,如图7所示,避免主动屏蔽层检测到屏蔽线断开产生报警信号。
2.3 攻击结果
2.3.1 探测RAM输出数据信号
根据2.2节所述,将安全芯片RAM数据总线上方的有源屏蔽线切断,把数据信号引出,然后将切断的屏蔽线绕开引出的数据信号走线重新连接。给安全芯片上电,主动屏蔽层没有产生报警信号;使用探针台的探针和十字PAD连接, 并将探针的另一端和示波器相连进行信号采集,图8所示为示波器所采集到的安全芯片RAM数据总线信号。本论文所提出的主动屏蔽层攻击方法可以成功攻击芯片主动屏蔽层,避开主动屏蔽层的检测报警机制,探测捕获到芯片存储器数据总线信号上的传输信息。
2.3.2 激活芯片测试模式
测试电路是安全芯片必不可少的组成部分。为提高测试效率、降低电路设计复杂度,测试电路一般可以访问芯片内部所有资源,测试模式的安全级别非常高;一旦攻击者侵入芯片测试模式,可对存储器或引导程序进行恶意篡改,盗取芯片内部关键数据,因此安全芯片完成测试后须将测试电路可靠地、不可逆地予以废止[7]。现有技术通常将某个控制信号放置到划片槽,在芯片测试完成后通过划片方式将其划断,此后安全芯片不能再进入测试模式;划片槽内信号走线采用注入层N阱,增大了用FIB 等手段重新连接已划断信号的难度,而该控制信号在芯片内部仍然采用低层金属走线,走线上方有主动屏蔽层覆盖保护,使得攻击者难以恢复测试电路再次进入芯片测试模式。
使用本论文所提出的主动屏蔽层攻击方法,避开主动屏蔽层的检测报警机制,将通过划片已被划断的控制信号在芯片内部的金属走线部分使用FIB进行连接,恢复安全芯片的测试模式,从而获取芯片敏感信息。如图9所示为重新连接上的测试模式信号,切开A和B两点的有源屏蔽线,将下方露出来的被划片切断的测试模式控制信号进行金属淀积相连;将B点两侧使用FIB切断以避免信号短路;再将有源屏蔽线的C和D两点进行连接避免主动屏蔽层报警。给安全芯片上电,主动屏蔽层没有产生报警信号,芯片可进入测试模式操作。
3 结论
该论文中所提出的主动屏蔽层攻击方法,通过将预探测的关键信号上方的有源屏蔽线切断,引出关键信号进行探测监听,并将切断的有源屏蔽线绕开引出的关键信号重新连接,避免主动屏蔽层报警。该攻击方法简单直观,可操作性极强,无论是静态还是动态检测的主动屏蔽层,该方案均可实施攻击,为侵入式攻击芯片提供了极大的便利,同样也为芯片安全防护设计提供了重要指导意义。
参考文献
[1] 张赟,赵毅强,刘军伟,等.一种抗物理攻击防篡改检测技术[J].微电子学与计算机,2016,33(4):121-124.
[2] 张继成,唐永建,吴卫东.聚焦离子束系统在微米/纳米加工技术中的应用[J].材料导报,2006,20(f11):40-43.
[3] 徐敏.抗物理攻击安全芯片关键技术研究[D].天津:天津大学,2012.
[4] 刘文娟.基于安全存储的抗攻击关键技术研究[D].天津:天津大学,2014.
[5] 张颖,潘亮等.一种高安全芯片有源屏蔽物理保护结构的设计方法:中国,103646137[P].2013.
[6] 王勇,张萍等.有源屏蔽线的布线方法:中国,105574241[P].2015.
[7] 王连成,苏扬,陈波涛.一种芯片测试模式的防护方法:中国,103530575A[P].2014.
作者信息:
王 敏1,2,刘 莹3,邵 瑾1,2,胡晓波1,2,刘 亮1,2,赵东艳1,2,张海峰1,2,尹国龙1,4
(1.北京智芯微电子科技有限公司,国家电网公司重点实验室电力芯片设计分析实验室,北京100192;
2.北京智芯微电子科技有限公司,北京市电力高可靠性集成电路设计工程技术研究中心,北京100192;
3.国家电网公司 信息通信部,北京100088;4.国网宁夏电力公司,宁夏 银川750001)