文獻(xiàn)標(biāo)識(shí)碼: A
DOI:10.16157/j.issn.0258-7998.2017.07.007
中文引用格式: 王敏,劉瑩,邵瑾,等. 基于FIB技術(shù)攻擊芯片主動(dòng)屏蔽層[J].電子技術(shù)應(yīng)用,2017,43(7):28-31.
英文引用格式: Wang Min,Liu Ying,Shao Jin,et al. Attack chip′s active shield based on FIB technology[J].Application of Electronic Technique,2017,43(7):28-31.
0 引言
針對(duì)安全芯片的攻擊方法很多,大致可以分為三類:非侵入式攻擊、半侵入式攻擊和侵入式攻擊。其中,侵入式攻擊也稱作物理攻擊,需要直接接觸芯片元器件的內(nèi)部,會(huì)對(duì)芯片造成永久破壞。該攻擊方式通常先要去除芯片封裝,暴露出硅晶粒,可以通過(guò)逆向工程分析半導(dǎo)體器件的結(jié)構(gòu)和功能,提取芯片版圖,恢復(fù)出芯片門(mén)級(jí)電路結(jié)構(gòu);或者通過(guò)掃描電子顯微鏡或聚焦離子束顯微鏡(Focused Ion beam,F(xiàn)IB)對(duì)安全芯片電路和金屬走線進(jìn)行切割、連接和修改等。對(duì)此,安全芯片一般會(huì)在芯片頂層添加主動(dòng)屏蔽層,防止侵入式物理探測(cè)和篡改攻擊: 當(dāng)主動(dòng)屏蔽層的有源屏蔽線被探測(cè)或切斷時(shí),主動(dòng)屏蔽層的檢測(cè)電路檢測(cè)到屏蔽線上傳輸?shù)男盘?hào)發(fā)生變化,即刻產(chǎn)生報(bào)警信號(hào),使芯片進(jìn)入復(fù)位或中斷等安全工作狀態(tài),以抵抗侵入式攻擊獲取安全芯片內(nèi)部存儲(chǔ)的關(guān)鍵數(shù)據(jù)和敏感信息,進(jìn)一步保障產(chǎn)品的安全性[1,3-4]。
本文提出了一種基于FIB技術(shù)攻擊芯片主動(dòng)屏蔽層的方法,對(duì)現(xiàn)有靜態(tài)或動(dòng)態(tài)檢測(cè)的主動(dòng)屏蔽層的安全芯片,均可實(shí)施侵入式攻擊,探測(cè)芯片數(shù)據(jù)總線信號(hào)獲取芯片內(nèi)部敏感信息。所提出的主動(dòng)屏蔽層攻擊方法可操作性很強(qiáng),對(duì)芯片的攻擊和安全防護(hù)設(shè)計(jì)具有重要的指導(dǎo)作用和現(xiàn)實(shí)意義。
1 主動(dòng)屏蔽層原理和FIB技術(shù)
1.1 主動(dòng)屏蔽層原理
主動(dòng)屏蔽層是在安全芯片的頂層形成一層保護(hù)層,通過(guò)實(shí)時(shí)監(jiān)測(cè)該保護(hù)層的信號(hào)是否受到破壞而產(chǎn)生報(bào)警信號(hào),以抵抗侵入式物理攻擊[5]。主動(dòng)屏蔽層由有源屏蔽層和檢測(cè)傳感器構(gòu)成:有源屏蔽層一般采用平行等勢(shì)線、蛇形走線、螺旋線、皮亞諾曲線、隨機(jī)哈密頓回路等拓?fù)浣Y(jié)構(gòu), 由一層或多層金屬走線形成,布滿整個(gè)芯片,遮蔽屏蔽層下方的物理結(jié)構(gòu)隱藏加密模塊、存儲(chǔ)器模塊等關(guān)鍵組件,填充空白區(qū)域等;同時(shí)有源屏蔽層也作為傳感網(wǎng)絡(luò)層,在有源屏蔽線上注入檢測(cè)信號(hào),檢測(cè)傳感器通過(guò)對(duì)比初始檢測(cè)信號(hào)與經(jīng)過(guò)有源屏蔽線傳輸后的檢測(cè)信號(hào)的一致性來(lái)判斷安全芯片是否受到侵入式攻擊。
圖1所示為有源屏蔽層布線示例圖,該有源屏蔽層由5根有源屏蔽線一筆連通蛇形布線組成。有源屏蔽線中間沒(méi)有任何短路、斷路或分支,可實(shí)現(xiàn)盡可能高密度的安全檢測(cè)信號(hào)通路;布線后的版圖都是重復(fù)的隨機(jī)圖形樣式,具有極大的迷惑性[6]。
如圖2所示為檢測(cè)傳感器電路結(jié)構(gòu)圖,DIN為有源屏蔽層的輸入檢測(cè)信號(hào),DOUT為經(jīng)過(guò)有源屏蔽線傳輸后的輸出檢測(cè)信號(hào),比較器通過(guò)比對(duì)DIN和DOUT信號(hào)是否相等,分析判定主動(dòng)屏蔽層是否存在短路、斷路等現(xiàn)象,從而實(shí)現(xiàn)檢測(cè)侵入式攻擊。
1.2 FIB技術(shù)
聚焦粒子束(FIB)顯微鏡系統(tǒng)是利用電子透鏡將離子束進(jìn)行加速、聚集轟擊樣品表面實(shí)現(xiàn)加工的顯微精細(xì)切割儀器,目前商用系統(tǒng)的離子束多為液體金屬離子鎵(因?yàn)殒壴鼐邆涞腿埸c(diǎn)、低蒸汽壓及良好的抗氧化能力)。FIB使用離子槍對(duì)液態(tài)金屬鎵進(jìn)行加速、聚焦,照射樣品表面產(chǎn)生二次電子信號(hào)獲取電子圖像;使用強(qiáng)電流離子束對(duì)樣品表面原子進(jìn)行剝離,實(shí)現(xiàn)微、納米級(jí)表面形貌加工;或者以物理濺射的方式搭配化學(xué)氣體反應(yīng),有選擇性地剝除金屬、氧化硅層或淀積金屬層[2]。侵入式攻擊中的FIB 攻擊技術(shù),通過(guò)切割芯片內(nèi)部的金屬互連線或破壞芯片控制電路,從而屏蔽芯片某些安全保護(hù)機(jī)制;此外FIB攻擊技術(shù)可將傳輸安全保護(hù)狀態(tài)的金屬信號(hào)線連到地或電源上,實(shí)現(xiàn)對(duì)芯片某些安全功能的操控。
FIB技術(shù)的基本功能可分為4種:
(1)離子束成像:FIB使用高速離子束轟擊樣品表面,激發(fā)出二次電子、中性原子、二次離子和光子等,收集這些信號(hào)進(jìn)行處理顯示出樣品的表面形貌。目前聚焦離子束系統(tǒng)的成像分辨率已達(dá)5~10 nm。
(2)離子束刻蝕:FIB使用高能離子束(常為幾十K eV)轟擊樣品時(shí),將動(dòng)量傳遞給樣品中的原子或分子,產(chǎn)生濺射效應(yīng)。因此選擇合適的離子束流, 可以對(duì)不同材料的樣品實(shí)施高速微區(qū)刻蝕,對(duì)納米級(jí)、微米量級(jí)尺寸的材料進(jìn)行加工。
(3)離子束淀積:FIB使用離子束的能量激發(fā)化學(xué)反應(yīng),在樣品局部區(qū)域作導(dǎo)體或非導(dǎo)體的沉積,常見(jiàn)的金屬沉積有鉑和鎢兩種材料。
(4)離子注入:FIB通過(guò)精確定位和控制,直接在半導(dǎo)體材料和器件上特定區(qū)域或點(diǎn)進(jìn)行離子注入,精確控制注入的深度和廣度,節(jié)省生產(chǎn)成本和加工時(shí)間。
綜上,F(xiàn)IB技術(shù)在集成電路工業(yè)領(lǐng)域主要應(yīng)用于金屬線路修改和布局驗(yàn)證、半導(dǎo)體元器件失效分析、生產(chǎn)線工藝異常分析、集成電路工藝監(jiān)控(例如光刻膠的切割)、透射電子顯微鏡樣片制作等。隨著半導(dǎo)體工藝尺寸不斷縮小、工藝制程不斷復(fù)雜化,F(xiàn)IB技術(shù)表現(xiàn)出很強(qiáng)的應(yīng)用潛力,可用于集成電路工藝在線監(jiān)控,微區(qū)精密離子注入實(shí)現(xiàn)無(wú)掩模納米級(jí)工藝生產(chǎn),刻蝕和淀積相結(jié)合對(duì)微電路進(jìn)行修補(bǔ)等。
2 使用FIB攻擊主動(dòng)屏蔽層
2.1 攻擊方案概述
根據(jù)1.1節(jié)所述,主動(dòng)屏蔽層是安全芯片抵抗侵入式攻擊的第一道屏障,對(duì)主動(dòng)屏蔽層的攻擊方法常見(jiàn)如下:由于主動(dòng)屏蔽層均采用數(shù)根有源屏蔽線進(jìn)行全芯片范圍金屬繞線,找尋到有源屏蔽線的起始點(diǎn)和終止點(diǎn),并將其依序?qū)?yīng)連接上,主動(dòng)屏蔽層的抗攻擊防護(hù)失效,此時(shí)攻擊者探測(cè)或切割除連接上的起始、終止點(diǎn)以外的其他所有有源屏蔽繞線,檢測(cè)電路都無(wú)法檢測(cè)到異常并產(chǎn)生相應(yīng)預(yù)警信號(hào)。通常安全芯片在做主動(dòng)屏蔽層金屬繞線設(shè)計(jì)時(shí),會(huì)著重將屏蔽線的起始點(diǎn)和終止點(diǎn)進(jìn)行深度隱藏,加大攻擊難度。對(duì)此,本文提出了一種簡(jiǎn)易直觀的攻擊主動(dòng)屏蔽層的方法,適用于攻擊任何靜態(tài)或動(dòng)態(tài)檢測(cè)的主動(dòng)屏蔽層。
本文提出的主動(dòng)屏蔽層攻擊方法是:將預(yù)探測(cè)或修改的芯片關(guān)鍵信號(hào)金屬走線上方的有源屏蔽線切斷去除,暴露出底下關(guān)鍵信號(hào)的金屬走線(通常芯片關(guān)鍵信號(hào)均使用低層金屬走線,無(wú)法使用探針臺(tái)直接扎針探測(cè)),需將該關(guān)鍵信號(hào)引出并做一個(gè)十字金屬管腳(十字PAD),便于探針扎針探測(cè);然后將切斷的有源屏蔽線繞開(kāi)所引出的關(guān)鍵信號(hào)進(jìn)行重新連接,避免主動(dòng)屏蔽層檢測(cè)到信號(hào)異常產(chǎn)生報(bào)警信號(hào)。該攻擊方案簡(jiǎn)易直觀,可操作性極強(qiáng),無(wú)論是對(duì)靜態(tài)還是動(dòng)態(tài)檢測(cè)的主動(dòng)屏蔽層,均可切開(kāi)有源屏蔽層,探測(cè)攻擊到屏蔽線下方的信號(hào)連線。
該主動(dòng)屏蔽層攻擊方法主要包括5個(gè)步驟:(1)定位:找到預(yù)攻擊的關(guān)鍵信號(hào)在芯片上的位置,并精確定位到該關(guān)鍵信號(hào)上覆蓋有源屏蔽線的位置。(2)切割屏蔽線:使用FIB設(shè)備對(duì)有源屏蔽線進(jìn)行切割。(3)暴露出預(yù)攻擊的關(guān)鍵信號(hào)金屬連線:繼續(xù)使用FIB設(shè)備向下切割,直到預(yù)攻擊的關(guān)鍵信號(hào)線露出時(shí)停止切割。(4)引出關(guān)鍵信號(hào):使用FIB設(shè)備對(duì)暴露出來(lái)的關(guān)鍵信號(hào)進(jìn)行金屬淀積,引出關(guān)鍵信號(hào),并做一個(gè)金屬十字PAD,以便于探針扎針探測(cè)。(5)重新連接有源屏蔽線:將切斷的有源屏蔽線繞開(kāi)所引出的關(guān)鍵信號(hào)進(jìn)行重新連接,避免主動(dòng)屏蔽層檢測(cè)到屏蔽線斷路而報(bào)警。
理論依據(jù):使用FIB將切斷的有源屏蔽線以鉑金(Pt)進(jìn)行金屬淀積重新連接,對(duì)原有源屏蔽線的信號(hào)傳輸延時(shí)影響微小,可忽略不計(jì)。以之后章節(jié)將提及的一款安全芯片為例,使用核艦HJ110 nm工藝制造,芯片尺寸為3.5 mm×3 mm,主動(dòng)屏蔽層的一根有源屏蔽線金屬繞線長(zhǎng)度約為0.19 m,電阻值為9.8 kΩ。使用FIB進(jìn)行鉑金淀積,鉑金的電阻率為10~20(Ω·μm),根據(jù)如下電阻計(jì)算公式:
式中,R為淀積鉑金的電阻值,ρ為電阻率,S為金屬橫截面積,L為金屬長(zhǎng)度,w為金屬寬度,h為金屬高度。設(shè)L=10 μm,w=1 μm,h=1 μm,則計(jì)算R=100~200 Ω,遠(yuǎn)遠(yuǎn)小于有源屏蔽線的電阻值,因此使用FIB進(jìn)行鉑金淀積對(duì)原有源屏蔽線的信號(hào)傳輸延時(shí)影響甚微。
2.2 攻擊實(shí)驗(yàn)介紹
本文對(duì)市場(chǎng)上比較常見(jiàn)的一款安全芯片進(jìn)行主動(dòng)屏蔽層攻擊實(shí)驗(yàn),該芯片使用頂層金屬做主動(dòng)屏蔽層的有源屏蔽線,蛇形繞線如圖1所示,布滿整顆芯片。攻擊方案:對(duì)安全芯片存儲(chǔ)器RAM的數(shù)據(jù)總線進(jìn)行探測(cè)監(jiān)聽(tīng),切開(kāi)RAM數(shù)據(jù)總線金屬連線上方的有源屏蔽線,將露出的數(shù)據(jù)信號(hào)金屬連線引出做一個(gè)十字PAD,再將切斷的有源屏蔽線進(jìn)行重新連接,最后使用探針臺(tái)對(duì)數(shù)據(jù)總線信號(hào)進(jìn)行探測(cè)監(jiān)聽(tīng)。
2.2.1 定位
將安全芯片開(kāi)蓋,根據(jù)前期芯片分析,尋找到芯片RAM的數(shù)據(jù)總線位置,觀察數(shù)據(jù)總線走線情況和其上方有源屏蔽線的走線情況,盡量選擇最容易進(jìn)行切割的走線部分。如圖3 所示,白色方框內(nèi)的有源屏蔽線部分是本次選取的攻擊線段。所選取切割的有源屏蔽線繞線方式詳見(jiàn)圖4:A點(diǎn)和B點(diǎn)均在有源屏蔽線1線上,選取A、B兩點(diǎn)作為切割點(diǎn),選取C、D兩點(diǎn)作為重新連接點(diǎn),將C和D兩點(diǎn)重新連接上的有源屏蔽線1線仍然是一條連通的信號(hào)線。
2.2.2 切割屏蔽線
使用FIB設(shè)備將2.2.1中所選取的有源屏蔽線段進(jìn)行切割,切割完的芯片主動(dòng)屏蔽層如圖5所示。
2.2.3 暴露關(guān)鍵信號(hào)連線
繼續(xù)使用FIB設(shè)備向下緩慢切割芯片,直到露出預(yù)攻擊的RAM存儲(chǔ)器數(shù)據(jù)總線信號(hào)連線,如圖6所示,停止切割芯片。
2.2.4 引出關(guān)鍵信號(hào)
將2.2.3節(jié)中所暴露出的RAM數(shù)據(jù)信號(hào)走線,使用FIB設(shè)備做金屬淀積,將該信號(hào)引出并做一個(gè)十字PAD,如圖7所示,以便于探針扎針進(jìn)行探測(cè)攻擊。
2.2.5 重新連接屏蔽線
將2.2.2節(jié)中切斷的有源屏蔽線,繞開(kāi)所引出的RAM數(shù)據(jù)信號(hào)走線進(jìn)行重新連接,如圖7所示,避免主動(dòng)屏蔽層檢測(cè)到屏蔽線斷開(kāi)產(chǎn)生報(bào)警信號(hào)。
2.3 攻擊結(jié)果
2.3.1 探測(cè)RAM輸出數(shù)據(jù)信號(hào)
根據(jù)2.2節(jié)所述,將安全芯片RAM數(shù)據(jù)總線上方的有源屏蔽線切斷,把數(shù)據(jù)信號(hào)引出,然后將切斷的屏蔽線繞開(kāi)引出的數(shù)據(jù)信號(hào)走線重新連接。給安全芯片上電,主動(dòng)屏蔽層沒(méi)有產(chǎn)生報(bào)警信號(hào);使用探針臺(tái)的探針和十字PAD連接, 并將探針的另一端和示波器相連進(jìn)行信號(hào)采集,圖8所示為示波器所采集到的安全芯片RAM數(shù)據(jù)總線信號(hào)。本論文所提出的主動(dòng)屏蔽層攻擊方法可以成功攻擊芯片主動(dòng)屏蔽層,避開(kāi)主動(dòng)屏蔽層的檢測(cè)報(bào)警機(jī)制,探測(cè)捕獲到芯片存儲(chǔ)器數(shù)據(jù)總線信號(hào)上的傳輸信息。
2.3.2 激活芯片測(cè)試模式
測(cè)試電路是安全芯片必不可少的組成部分。為提高測(cè)試效率、降低電路設(shè)計(jì)復(fù)雜度,測(cè)試電路一般可以訪問(wèn)芯片內(nèi)部所有資源,測(cè)試模式的安全級(jí)別非常高;一旦攻擊者侵入芯片測(cè)試模式,可對(duì)存儲(chǔ)器或引導(dǎo)程序進(jìn)行惡意篡改,盜取芯片內(nèi)部關(guān)鍵數(shù)據(jù),因此安全芯片完成測(cè)試后須將測(cè)試電路可靠地、不可逆地予以廢止[7]?,F(xiàn)有技術(shù)通常將某個(gè)控制信號(hào)放置到劃片槽,在芯片測(cè)試完成后通過(guò)劃片方式將其劃斷,此后安全芯片不能再進(jìn)入測(cè)試模式;劃片槽內(nèi)信號(hào)走線采用注入層N阱,增大了用FIB 等手段重新連接已劃斷信號(hào)的難度,而該控制信號(hào)在芯片內(nèi)部仍然采用低層金屬走線,走線上方有主動(dòng)屏蔽層覆蓋保護(hù),使得攻擊者難以恢復(fù)測(cè)試電路再次進(jìn)入芯片測(cè)試模式。
使用本論文所提出的主動(dòng)屏蔽層攻擊方法,避開(kāi)主動(dòng)屏蔽層的檢測(cè)報(bào)警機(jī)制,將通過(guò)劃片已被劃斷的控制信號(hào)在芯片內(nèi)部的金屬走線部分使用FIB進(jìn)行連接,恢復(fù)安全芯片的測(cè)試模式,從而獲取芯片敏感信息。如圖9所示為重新連接上的測(cè)試模式信號(hào),切開(kāi)A和B兩點(diǎn)的有源屏蔽線,將下方露出來(lái)的被劃片切斷的測(cè)試模式控制信號(hào)進(jìn)行金屬淀積相連;將B點(diǎn)兩側(cè)使用FIB切斷以避免信號(hào)短路;再將有源屏蔽線的C和D兩點(diǎn)進(jìn)行連接避免主動(dòng)屏蔽層報(bào)警。給安全芯片上電,主動(dòng)屏蔽層沒(méi)有產(chǎn)生報(bào)警信號(hào),芯片可進(jìn)入測(cè)試模式操作。
3 結(jié)論
該論文中所提出的主動(dòng)屏蔽層攻擊方法,通過(guò)將預(yù)探測(cè)的關(guān)鍵信號(hào)上方的有源屏蔽線切斷,引出關(guān)鍵信號(hào)進(jìn)行探測(cè)監(jiān)聽(tīng),并將切斷的有源屏蔽線繞開(kāi)引出的關(guān)鍵信號(hào)重新連接,避免主動(dòng)屏蔽層報(bào)警。該攻擊方法簡(jiǎn)單直觀,可操作性極強(qiáng),無(wú)論是靜態(tài)還是動(dòng)態(tài)檢測(cè)的主動(dòng)屏蔽層,該方案均可實(shí)施攻擊,為侵入式攻擊芯片提供了極大的便利,同樣也為芯片安全防護(hù)設(shè)計(jì)提供了重要指導(dǎo)意義。
參考文獻(xiàn)
[1] 張赟,趙毅強(qiáng),劉軍偉,等.一種抗物理攻擊防篡改檢測(cè)技術(shù)[J].微電子學(xué)與計(jì)算機(jī),2016,33(4):121-124.
[2] 張繼成,唐永建,吳衛(wèi)東.聚焦離子束系統(tǒng)在微米/納米加工技術(shù)中的應(yīng)用[J].材料導(dǎo)報(bào),2006,20(f11):40-43.
[3] 徐敏.抗物理攻擊安全芯片關(guān)鍵技術(shù)研究[D].天津:天津大學(xué),2012.
[4] 劉文娟.基于安全存儲(chǔ)的抗攻擊關(guān)鍵技術(shù)研究[D].天津:天津大學(xué),2014.
[5] 張穎,潘亮等.一種高安全芯片有源屏蔽物理保護(hù)結(jié)構(gòu)的設(shè)計(jì)方法:中國(guó),103646137[P].2013.
[6] 王勇,張萍等.有源屏蔽線的布線方法:中國(guó),105574241[P].2015.
[7] 王連成,蘇揚(yáng),陳波濤.一種芯片測(cè)試模式的防護(hù)方法:中國(guó),103530575A[P].2014.
作者信息:
王 敏1,2,劉 瑩3,邵 瑾1,2,胡曉波1,2,劉 亮1,2,趙東艷1,2,張海峰1,2,尹國(guó)龍1,4
(1.北京智芯微電子科技有限公司,國(guó)家電網(wǎng)公司重點(diǎn)實(shí)驗(yàn)室電力芯片設(shè)計(jì)分析實(shí)驗(yàn)室,北京100192;
2.北京智芯微電子科技有限公司,北京市電力高可靠性集成電路設(shè)計(jì)工程技術(shù)研究中心,北京100192;
3.國(guó)家電網(wǎng)公司 信息通信部,北京100088;4.國(guó)網(wǎng)寧夏電力公司,寧夏 銀川750001)