0 引言

    針對(duì)安全芯片的攻擊方法很多，大致可以分為三類：非侵入式攻擊、半侵入式攻擊和侵入式攻擊。其中，侵入式攻擊也稱作物理攻擊，需要直接接觸芯片元器件的內(nèi)部，會(huì)對(duì)芯片造成永久破壞。該攻擊方式通常先要去除芯片封裝，暴露出硅晶粒，可以通過(guò)逆向工程分析半導(dǎo)體器件的結(jié)構(gòu)和功能，提取芯片版圖，恢復(fù)出芯片門(mén)級(jí)電路結(jié)構(gòu)；或者通過(guò)掃描電子顯微鏡或聚焦離子束顯微鏡(Focused Ion beam，F(xiàn)IB)對(duì)安全芯片電路和金屬走線進(jìn)行切割、連接和修改等。對(duì)此，安全芯片一般會(huì)在芯片頂層添加主動(dòng)屏蔽層，防止侵入式物理探測(cè)和篡改攻擊: 當(dāng)主動(dòng)屏蔽層的有源屏蔽線被探測(cè)或切斷時(shí)，主動(dòng)屏蔽層的檢測(cè)電路檢測(cè)到屏蔽線上傳輸?shù)男盘?hào)發(fā)生變化，即刻產(chǎn)生報(bào)警信號(hào)，使芯片進(jìn)入復(fù)位或中斷等安全工作狀態(tài)，以抵抗侵入式攻擊獲取安全芯片內(nèi)部存儲(chǔ)的關(guān)鍵數(shù)據(jù)和敏感信息，進(jìn)一步保障產(chǎn)品的安全性^{[1，3-4]}。

    本文提出了一種基于FIB技術(shù)攻擊芯片主動(dòng)屏蔽層的方法，對(duì)現(xiàn)有靜態(tài)或動(dòng)態(tài)檢測(cè)的主動(dòng)屏蔽層的安全芯片，均可實(shí)施侵入式攻擊，探測(cè)芯片數(shù)據(jù)總線信號(hào)獲取芯片內(nèi)部敏感信息。所提出的主動(dòng)屏蔽層攻擊方法可操作性很強(qiáng)，對(duì)芯片的攻擊和安全防護(hù)設(shè)計(jì)具有重要的指導(dǎo)作用和現(xiàn)實(shí)意義。

1 主動(dòng)屏蔽層原理和FIB技術(shù)

1.1 主動(dòng)屏蔽層原理

    主動(dòng)屏蔽層是在安全芯片的頂層形成一層保護(hù)層，通過(guò)實(shí)時(shí)監(jiān)測(cè)該保護(hù)層的信號(hào)是否受到破壞而產(chǎn)生報(bào)警信號(hào)，以抵抗侵入式物理攻擊^[5]。主動(dòng)屏蔽層由有源屏蔽層和檢測(cè)傳感器構(gòu)成：有源屏蔽層一般采用平行等勢(shì)線、蛇形走線、螺旋線、皮亞諾曲線、隨機(jī)哈密頓回路等拓?fù)浣Y(jié)構(gòu), 由一層或多層金屬走線形成，布滿整個(gè)芯片，遮蔽屏蔽層下方的物理結(jié)構(gòu)隱藏加密模塊、存儲(chǔ)器模塊等關(guān)鍵組件，填充空白區(qū)域等；同時(shí)有源屏蔽層也作為傳感網(wǎng)絡(luò)層，在有源屏蔽線上注入檢測(cè)信號(hào)，檢測(cè)傳感器通過(guò)對(duì)比初始檢測(cè)信號(hào)與經(jīng)過(guò)有源屏蔽線傳輸后的檢測(cè)信號(hào)的一致性來(lái)判斷安全芯片是否受到侵入式攻擊。

    圖1所示為有源屏蔽層布線示例圖，該有源屏蔽層由5根有源屏蔽線一筆連通蛇形布線組成。有源屏蔽線中間沒(méi)有任何短路、斷路或分支，可實(shí)現(xiàn)盡可能高密度的安全檢測(cè)信號(hào)通路；布線后的版圖都是重復(fù)的隨機(jī)圖形樣式，具有極大的迷惑性^[6]。

    如圖2所示為檢測(cè)傳感器電路結(jié)構(gòu)圖，DIN為有源屏蔽層的輸入檢測(cè)信號(hào)，DOUT為經(jīng)過(guò)有源屏蔽線傳輸后的輸出檢測(cè)信號(hào)，比較器通過(guò)比對(duì)DIN和DOUT信號(hào)是否相等，分析判定主動(dòng)屏蔽層是否存在短路、斷路等現(xiàn)象，從而實(shí)現(xiàn)檢測(cè)侵入式攻擊。

1.2 FIB技術(shù)

    聚焦粒子束（FIB）顯微鏡系統(tǒng)是利用電子透鏡將離子束進(jìn)行加速、聚集轟擊樣品表面實(shí)現(xiàn)加工的顯微精細(xì)切割儀器，目前商用系統(tǒng)的離子束多為液體金屬離子鎵（因?yàn)殒壴鼐邆涞腿埸c(diǎn)、低蒸汽壓及良好的抗氧化能力）。FIB使用離子槍對(duì)液態(tài)金屬鎵進(jìn)行加速、聚焦，照射樣品表面產(chǎn)生二次電子信號(hào)獲取電子圖像；使用強(qiáng)電流離子束對(duì)樣品表面原子進(jìn)行剝離，實(shí)現(xiàn)微、納米級(jí)表面形貌加工；或者以物理濺射的方式搭配化學(xué)氣體反應(yīng)，有選擇性地剝除金屬、氧化硅層或淀積金屬層^[2]。侵入式攻擊中的FIB 攻擊技術(shù)，通過(guò)切割芯片內(nèi)部的金屬互連線或破壞芯片控制電路，從而屏蔽芯片某些安全保護(hù)機(jī)制；此外FIB攻擊技術(shù)可將傳輸安全保護(hù)狀態(tài)的金屬信號(hào)線連到地或電源上，實(shí)現(xiàn)對(duì)芯片某些安全功能的操控。

    FIB技術(shù)的基本功能可分為4種：

    (1)離子束成像：FIB使用高速離子束轟擊樣品表面，激發(fā)出二次電子、中性原子、二次離子和光子等，收集這些信號(hào)進(jìn)行處理顯示出樣品的表面形貌。目前聚焦離子束系統(tǒng)的成像分辨率已達(dá)5～10 nm。

    (2)離子束刻蝕：FIB使用高能離子束(常為幾十K eV)轟擊樣品時(shí)，將動(dòng)量傳遞給樣品中的原子或分子，產(chǎn)生濺射效應(yīng)。因此選擇合適的離子束流, 可以對(duì)不同材料的樣品實(shí)施高速微區(qū)刻蝕，對(duì)納米級(jí)、微米量級(jí)尺寸的材料進(jìn)行加工。

    (3)離子束淀積：FIB使用離子束的能量激發(fā)化學(xué)反應(yīng)，在樣品局部區(qū)域作導(dǎo)體或非導(dǎo)體的沉積，常見(jiàn)的金屬沉積有鉑和鎢兩種材料。

    (4)離子注入：FIB通過(guò)精確定位和控制，直接在半導(dǎo)體材料和器件上特定區(qū)域或點(diǎn)進(jìn)行離子注入，精確控制注入的深度和廣度，節(jié)省生產(chǎn)成本和加工時(shí)間。

    綜上，F(xiàn)IB技術(shù)在集成電路工業(yè)領(lǐng)域主要應(yīng)用于金屬線路修改和布局驗(yàn)證、半導(dǎo)體元器件失效分析、生產(chǎn)線工藝異常分析、集成電路工藝監(jiān)控（例如光刻膠的切割）、透射電子顯微鏡樣片制作等。隨著半導(dǎo)體工藝尺寸不斷縮小、工藝制程不斷復(fù)雜化，F(xiàn)IB技術(shù)表現(xiàn)出很強(qiáng)的應(yīng)用潛力，可用于集成電路工藝在線監(jiān)控，微區(qū)精密離子注入實(shí)現(xiàn)無(wú)掩模納米級(jí)工藝生產(chǎn)，刻蝕和淀積相結(jié)合對(duì)微電路進(jìn)行修補(bǔ)等。

2 使用FIB攻擊主動(dòng)屏蔽層

2.1 攻擊方案概述

    根據(jù)1.1節(jié)所述，主動(dòng)屏蔽層是安全芯片抵抗侵入式攻擊的第一道屏障，對(duì)主動(dòng)屏蔽層的攻擊方法常見(jiàn)如下：由于主動(dòng)屏蔽層均采用數(shù)根有源屏蔽線進(jìn)行全芯片范圍金屬繞線，找尋到有源屏蔽線的起始點(diǎn)和終止點(diǎn)，并將其依序?qū)?yīng)連接上，主動(dòng)屏蔽層的抗攻擊防護(hù)失效，此時(shí)攻擊者探測(cè)或切割除連接上的起始、終止點(diǎn)以外的其他所有有源屏蔽繞線，檢測(cè)電路都無(wú)法檢測(cè)到異常并產(chǎn)生相應(yīng)預(yù)警信號(hào)。通常安全芯片在做主動(dòng)屏蔽層金屬繞線設(shè)計(jì)時(shí)，會(huì)著重將屏蔽線的起始點(diǎn)和終止點(diǎn)進(jìn)行深度隱藏，加大攻擊難度。對(duì)此，本文提出了一種簡(jiǎn)易直觀的攻擊主動(dòng)屏蔽層的方法，適用于攻擊任何靜態(tài)或動(dòng)態(tài)檢測(cè)的主動(dòng)屏蔽層。

    本文提出的主動(dòng)屏蔽層攻擊方法是：將預(yù)探測(cè)或修改的芯片關(guān)鍵信號(hào)金屬走線上方的有源屏蔽線切斷去除，暴露出底下關(guān)鍵信號(hào)的金屬走線（通常芯片關(guān)鍵信號(hào)均使用低層金屬走線，無(wú)法使用探針臺(tái)直接扎針探測(cè)），需將該關(guān)鍵信號(hào)引出并做一個(gè)十字金屬管腳（十字PAD），便于探針扎針探測(cè)；然后將切斷的有源屏蔽線繞開(kāi)所引出的關(guān)鍵信號(hào)進(jìn)行重新連接，避免主動(dòng)屏蔽層檢測(cè)到信號(hào)異常產(chǎn)生報(bào)警信號(hào)。該攻擊方案簡(jiǎn)易直觀，可操作性極強(qiáng)，無(wú)論是對(duì)靜態(tài)還是動(dòng)態(tài)檢測(cè)的主動(dòng)屏蔽層，均可切開(kāi)有源屏蔽層，探測(cè)攻擊到屏蔽線下方的信號(hào)連線。

    該主動(dòng)屏蔽層攻擊方法主要包括5個(gè)步驟：（1）定位：找到預(yù)攻擊的關(guān)鍵信號(hào)在芯片上的位置，并精確定位到該關(guān)鍵信號(hào)上覆蓋有源屏蔽線的位置。（2）切割屏蔽線：使用FIB設(shè)備對(duì)有源屏蔽線進(jìn)行切割。（3）暴露出預(yù)攻擊的關(guān)鍵信號(hào)金屬連線：繼續(xù)使用FIB設(shè)備向下切割，直到預(yù)攻擊的關(guān)鍵信號(hào)線露出時(shí)停止切割。（4）引出關(guān)鍵信號(hào)：使用FIB設(shè)備對(duì)暴露出來(lái)的關(guān)鍵信號(hào)進(jìn)行金屬淀積，引出關(guān)鍵信號(hào)，并做一個(gè)金屬十字PAD，以便于探針扎針探測(cè)。（5）重新連接有源屏蔽線：將切斷的有源屏蔽線繞開(kāi)所引出的關(guān)鍵信號(hào)進(jìn)行重新連接，避免主動(dòng)屏蔽層檢測(cè)到屏蔽線斷路而報(bào)警。

    理論依據(jù)：使用FIB將切斷的有源屏蔽線以鉑金（Pt）進(jìn)行金屬淀積重新連接，對(duì)原有源屏蔽線的信號(hào)傳輸延時(shí)影響微小，可忽略不計(jì)。以之后章節(jié)將提及的一款安全芯片為例，使用核艦HJ110 nm工藝制造，芯片尺寸為3.5 mm×3 mm，主動(dòng)屏蔽層的一根有源屏蔽線金屬繞線長(zhǎng)度約為0.19 m，電阻值為9.8 kΩ。使用FIB進(jìn)行鉑金淀積，鉑金的電阻率為10～20（Ω·μm），根據(jù)如下電阻計(jì)算公式：

式中，R為淀積鉑金的電阻值，ρ為電阻率，S為金屬橫截面積，L為金屬長(zhǎng)度，w為金屬寬度，h為金屬高度。設(shè)L=10 μm，w=1 μm，h=1 μm，則計(jì)算R=100～200 Ω，遠(yuǎn)遠(yuǎn)小于有源屏蔽線的電阻值，因此使用FIB進(jìn)行鉑金淀積對(duì)原有源屏蔽線的信號(hào)傳輸延時(shí)影響甚微。

2.2 攻擊實(shí)驗(yàn)介紹

    本文對(duì)市場(chǎng)上比較常見(jiàn)的一款安全芯片進(jìn)行主動(dòng)屏蔽層攻擊實(shí)驗(yàn)，該芯片使用頂層金屬做主動(dòng)屏蔽層的有源屏蔽線，蛇形繞線如圖1所示，布滿整顆芯片。攻擊方案：對(duì)安全芯片存儲(chǔ)器RAM的數(shù)據(jù)總線進(jìn)行探測(cè)監(jiān)聽(tīng)，切開(kāi)RAM數(shù)據(jù)總線金屬連線上方的有源屏蔽線，將露出的數(shù)據(jù)信號(hào)金屬連線引出做一個(gè)十字PAD，再將切斷的有源屏蔽線進(jìn)行重新連接，最后使用探針臺(tái)對(duì)數(shù)據(jù)總線信號(hào)進(jìn)行探測(cè)監(jiān)聽(tīng)。

2.2.1 定位

    將安全芯片開(kāi)蓋，根據(jù)前期芯片分析，尋找到芯片RAM的數(shù)據(jù)總線位置，觀察數(shù)據(jù)總線走線情況和其上方有源屏蔽線的走線情況，盡量選擇最容易進(jìn)行切割的走線部分。如圖3 所示，白色方框內(nèi)的有源屏蔽線部分是本次選取的攻擊線段。所選取切割的有源屏蔽線繞線方式詳見(jiàn)圖4：A點(diǎn)和B點(diǎn)均在有源屏蔽線1線上，選取A、B兩點(diǎn)作為切割點(diǎn)，選取C、D兩點(diǎn)作為重新連接點(diǎn)，將C和D兩點(diǎn)重新連接上的有源屏蔽線1線仍然是一條連通的信號(hào)線。

2.2.2 切割屏蔽線

    使用FIB設(shè)備將2.2.1中所選取的有源屏蔽線段進(jìn)行切割，切割完的芯片主動(dòng)屏蔽層如圖5所示。

2.2.3 暴露關(guān)鍵信號(hào)連線

    繼續(xù)使用FIB設(shè)備向下緩慢切割芯片，直到露出預(yù)攻擊的RAM存儲(chǔ)器數(shù)據(jù)總線信號(hào)連線，如圖6所示，停止切割芯片。

2.2.4 引出關(guān)鍵信號(hào)

    將2.2.3節(jié)中所暴露出的RAM數(shù)據(jù)信號(hào)走線，使用FIB設(shè)備做金屬淀積，將該信號(hào)引出并做一個(gè)十字PAD，如圖7所示，以便于探針扎針進(jìn)行探測(cè)攻擊。

2.2.5 重新連接屏蔽線

    將2.2.2節(jié)中切斷的有源屏蔽線，繞開(kāi)所引出的RAM數(shù)據(jù)信號(hào)走線進(jìn)行重新連接，如圖7所示，避免主動(dòng)屏蔽層檢測(cè)到屏蔽線斷開(kāi)產(chǎn)生報(bào)警信號(hào)。

2.3 攻擊結(jié)果

2.3.1 探測(cè)RAM輸出數(shù)據(jù)信號(hào)

    根據(jù)2.2節(jié)所述，將安全芯片RAM數(shù)據(jù)總線上方的有源屏蔽線切斷，把數(shù)據(jù)信號(hào)引出，然后將切斷的屏蔽線繞開(kāi)引出的數(shù)據(jù)信號(hào)走線重新連接。給安全芯片上電，主動(dòng)屏蔽層沒(méi)有產(chǎn)生報(bào)警信號(hào)；使用探針臺(tái)的探針和十字PAD連接, 并將探針的另一端和示波器相連進(jìn)行信號(hào)采集，圖8所示為示波器所采集到的安全芯片RAM數(shù)據(jù)總線信號(hào)。本論文所提出的主動(dòng)屏蔽層攻擊方法可以成功攻擊芯片主動(dòng)屏蔽層，避開(kāi)主動(dòng)屏蔽層的檢測(cè)報(bào)警機(jī)制，探測(cè)捕獲到芯片存儲(chǔ)器數(shù)據(jù)總線信號(hào)上的傳輸信息。

2.3.2 激活芯片測(cè)試模式

    測(cè)試電路是安全芯片必不可少的組成部分。為提高測(cè)試效率、降低電路設(shè)計(jì)復(fù)雜度，測(cè)試電路一般可以訪問(wèn)芯片內(nèi)部所有資源，測(cè)試模式的安全級(jí)別非常高；一旦攻擊者侵入芯片測(cè)試模式，可對(duì)存儲(chǔ)器或引導(dǎo)程序進(jìn)行惡意篡改，盜取芯片內(nèi)部關(guān)鍵數(shù)據(jù)，因此安全芯片完成測(cè)試后須將測(cè)試電路可靠地、不可逆地予以廢止^[7]?，F(xiàn)有技術(shù)通常將某個(gè)控制信號(hào)放置到劃片槽，在芯片測(cè)試完成后通過(guò)劃片方式將其劃斷，此后安全芯片不能再進(jìn)入測(cè)試模式；劃片槽內(nèi)信號(hào)走線采用注入層N阱，增大了用FIB 等手段重新連接已劃斷信號(hào)的難度，而該控制信號(hào)在芯片內(nèi)部仍然采用低層金屬走線，走線上方有主動(dòng)屏蔽層覆蓋保護(hù)，使得攻擊者難以恢復(fù)測(cè)試電路再次進(jìn)入芯片測(cè)試模式。

    使用本論文所提出的主動(dòng)屏蔽層攻擊方法，避開(kāi)主動(dòng)屏蔽層的檢測(cè)報(bào)警機(jī)制，將通過(guò)劃片已被劃斷的控制信號(hào)在芯片內(nèi)部的金屬走線部分使用FIB進(jìn)行連接，恢復(fù)安全芯片的測(cè)試模式，從而獲取芯片敏感信息。如圖9所示為重新連接上的測(cè)試模式信號(hào)，切開(kāi)A和B兩點(diǎn)的有源屏蔽線，將下方露出來(lái)的被劃片切斷的測(cè)試模式控制信號(hào)進(jìn)行金屬淀積相連；將B點(diǎn)兩側(cè)使用FIB切斷以避免信號(hào)短路；再將有源屏蔽線的C和D兩點(diǎn)進(jìn)行連接避免主動(dòng)屏蔽層報(bào)警。給安全芯片上電，主動(dòng)屏蔽層沒(méi)有產(chǎn)生報(bào)警信號(hào)，芯片可進(jìn)入測(cè)試模式操作。

3 結(jié)論

    該論文中所提出的主動(dòng)屏蔽層攻擊方法，通過(guò)將預(yù)探測(cè)的關(guān)鍵信號(hào)上方的有源屏蔽線切斷，引出關(guān)鍵信號(hào)進(jìn)行探測(cè)監(jiān)聽(tīng)，并將切斷的有源屏蔽線繞開(kāi)引出的關(guān)鍵信號(hào)重新連接，避免主動(dòng)屏蔽層報(bào)警。該攻擊方法簡(jiǎn)單直觀，可操作性極強(qiáng)，無(wú)論是靜態(tài)還是動(dòng)態(tài)檢測(cè)的主動(dòng)屏蔽層，該方案均可實(shí)施攻擊，為侵入式攻擊芯片提供了極大的便利，同樣也為芯片安全防護(hù)設(shè)計(jì)提供了重要指導(dǎo)意義。

參考文獻(xiàn)

[1] 張赟，趙毅強(qiáng)，劉軍偉，等.一種抗物理攻擊防篡改檢測(cè)技術(shù)[J].微電子學(xué)與計(jì)算機(jī)，2016，33(4)：121-124.

[2] 張繼成，唐永建，吳衛(wèi)東.聚焦離子束系統(tǒng)在微米/納米加工技術(shù)中的應(yīng)用[J].材料導(dǎo)報(bào)，2006，20(f11)：40-43.

[3] 徐敏.抗物理攻擊安全芯片關(guān)鍵技術(shù)研究[D].天津：天津大學(xué)，2012.

[4] 劉文娟.基于安全存儲(chǔ)的抗攻擊關(guān)鍵技術(shù)研究[D].天津：天津大學(xué)，2014.

[5] 張穎，潘亮等．一種高安全芯片有源屏蔽物理保護(hù)結(jié)構(gòu)的設(shè)計(jì)方法：中國(guó)，103646137[P]．2013.

[6] 王勇，張萍等．有源屏蔽線的布線方法：中國(guó)，105574241[P]．2015.

[7] 王連成，蘇揚(yáng)，陳波濤．一種芯片測(cè)試模式的防護(hù)方法：中國(guó)，103530575A[P]．2014.

作者信息：

王  敏1，2，劉  瑩3，邵  瑾1，2，胡曉波1，2，劉  亮1，2，趙東艷1，2，張海峰1，2，尹國(guó)龍1，4

（1.北京智芯微電子科技有限公司，國(guó)家電網(wǎng)公司重點(diǎn)實(shí)驗(yàn)室電力芯片設(shè)計(jì)分析實(shí)驗(yàn)室，北京100192；

2.北京智芯微電子科技有限公司，北京市電力高可靠性集成電路設(shè)計(jì)工程技術(shù)研究中心，北京100192；

3.國(guó)家電網(wǎng)公司 信息通信部，北京100088；4.國(guó)網(wǎng)寧夏電力公司，寧夏 銀川750001）