[发明专利]电路装置，包括这种电路装置的数据处理设备以及用于识别对这种电路装置的攻击的方法

说明书

技术领域

本发明涉及一种电路装置，具体涉及一种根据权利要求1的前序所 述的有源屏蔽。

本发明还涉及一种微控制器，具体涉及一种包括这种电路装置的 嵌入式安全控制器。

本发明还涉及一种数字处理设备，具体涉及一种包括这种电路装 置的嵌入式系统，例如芯片卡或智能卡。

本发明还涉及一种根据权利要求7的前序部分所述的用于识别对 至少一个电路装置的至少一个攻击的方法，具体是用于识别对至少一 个有源屏蔽的至少一个攻击的方法。

背景技术

在集成电路中，将实际的半导体组件布置在下平面，即所谓的有 源平面，而在位于更上方的平面(即，所谓的金属平面)上实现对半 导体组件的布线。根据电路的复杂程度，需要多个金属平面来执行完 整的布线。

通常，各个金属平面通过绝缘线彼此电绝缘。由于每个附加的金 属平面导致集成电路生产成本的相当大地增加，通常试图保持金属平 面的数目尽可能地低。

包括关键安全性(security-critical)电路组件的集成电路有更多需 求。这些需求涉及击退对集成电路的攻击，这些攻击的目标是隐蔽地 发现关键安全性组件的内部过程或其构造，由此获得操纵或未授权操 作的机会。这些攻击已知为探测、施压、FIB(聚焦离子束)等等。

尤其在关键安全性的情况下，受影响区由有源屏蔽覆盖，并在适 当的情况下，为其提供附加的金属平面。

在有源屏蔽的情况下，电路装置的区域覆盖有多种附加线，用于 监控电压和/或电流，以便能够检测物理攻击。因此，有源屏蔽是一种 具有用以限制或防止其攻击性使用的内置约束的防御系统。例如，在 现有技术文献US 6 496 119 B1、现有技术文献US 6 798 234 B2和现有 技术文献US 2005/0092848 A1中描述了有源屏蔽的一般功能。

在现有技术文献US 2005/0092848 A1中公开了一种在本技术领域 中描述的集成电路。将这种常见的集成电路被设计为在不需要附加金 属平面的情况下确保有源屏蔽的安全性。为实现这一目的，使用集成 电路中总是存在的数据线来构造有源屏蔽。具体地，可以将一组承载 常规数据的数据线切换为承载测试数据，反之亦然。

然而，所有屏蔽线的同时切换具有相当的功率强度，并且能影响 一些关键安全性电路的正确功能，例如，受有源屏蔽保护的存储器， 这是因为可能出现由屏蔽线切换所引起的高电流峰值。

此外，现有技术文献US 2005/0092848 A1提出使用能够可选加密 的预定的测试数据。例如，可以在随机数产生器的控制下，以不规则 的间隔传送所述测试数据。因此，根据现有技术文献US 2005/0092848 A1，基于确定性模式或伪随机模式来切换有源屏蔽线。

然而，例如，复制离线的可能性和观测模式可以使攻击者能够在 屏蔽线上靠近接收电路的一些点强加期望的模式，同时在其自身断点 之前自由执行操作。在这种情况下，评估设备将无法检测攻击。

发明内容

从上述缺点和不足开始，并考虑上述现有技术，本发明的目的是 进一步发展一种本技术领域中描述的类型的电路装置，以及一种在该 电路装置受到攻击的情况下需要较少的功率用于检查(具体用于识别) 的本技术领域中描述的类型的方法。

本发明的目的通过包括权利要求1的特征的电路装置、通过包括权 利要求5的特征的微控制器、通过包括权利要求6的特征的数据处理设 备以及通过包括权利要求7的特征的方法来实现。在各个从属权利要求 中，公开了本发明的有益实施例和有利改进。

本发明主要基于提供一种用于集成电路的低功率保护电路装置的 思想，具体提供一种具有低功率有源屏蔽的集成电路，更具体地提供 一种具有低功率随机有源屏蔽的集成电路。

在传统的有源屏蔽的正常操作状态下，发送设备将数据信号产生 设备所产生的新的或最近的测试数据施加到每条数据线，具体施加到 每条屏蔽线。

与此相反，根据本发明，仅选择数据线组的一部分(具体是屏蔽 线组中的至少一条屏蔽线)，来向其施加新的或最近的测试数据。为了 给数据线的所选部分施加新的或最近的测试数据，该电路装置有益地 包括至少一个数据线启用设备，其被设计为启用和禁用数据线组的所 选部分来承载新的或最近的测试数据。