[发明专利]一种安全的加密芯片可测试性设计结构

说明书

本发明公开了一种保护加密芯片免受扫描攻击的可测试性设计结构。该安全的可测试性设计结构在常规扫描设计结构的基础上引入了密钥屏蔽逻辑、移位使能逻辑和安全扫描控制器。如果加密芯片在上电或复位后首先进入功能模式，在安全扫描控制器的控制下，密钥屏蔽逻辑允许加载密钥，但移位使能逻辑会禁止电路切换到测试模式，从而避免了加密信息的泄露；反之，如果加密芯片在上电或复位后首先进入测试模式，在安全扫描控制器的控制下，扫描移位和响应捕获能够正常进行，但密钥被隔离，从而保证了从扫描链移出的数据与密钥无关。本发明通过增加较少的硬件逻辑，在保证电路可测试性的前提下，能够抵御所有潜在的基于扫描的侧信道攻击。

技术领域

本发明属于硬件安全领域，更具体地，涉及一种用于保护加密芯片免受扫描攻击的可测试性设计结构。

背景技术

为了保护数据的完整性和机密性，加密算法在信息安全领域被广泛使用，其中高级加密标准AES加密算法是对称密钥加密中最流行的算法之一。在很多情况下，加密算法是在硬件中实现的，这是因为相对于软件实现而言，硬件实现有很多优点，例如可以提供很高的数据吞吐率。在加密算法的硬件实现中，密钥通常存储在模块内，并且不能轻易访问。由于加密芯片对故障是零容忍的，因此应对它进行严格测试，以确保其能够正常运行。扫描设计是工业界应用最广泛的可测试性设计技术，它通过把触发器改造成扫描单元并串联成链来控制和观察触发器的状态，从而使电路的可控性和可观察性得到明显改善，为芯片测试带来了极大的便利。然而，扫描设计为非法用户从加密芯片窃取密钥信息打开了一个后门，基于扫描的攻击严重威胁加密硬件的安全性。基于扫描的攻击一般过程如下：首先把加密芯片设置为功能模式，在输入端加载预先计算好的明文，实施一轮加密算法，中间加密结果存储在扫描链中。然后把电路切换到测试模式，通过扫描操作移出中间加密结果并在扫描链的输出端观察。获得一定数量的明文和相应的中间结果后再利用数学工具推导出密钥。基于扫描的攻击更容易执行，因此它的潜在威胁比基于侧信道参数(如时序，功耗和电磁辐射)的攻击更大。

发明内容

针对现有扫描技术的缺陷，本发明的目的在于提供一种安全的扫描设计方案，在保证电路可测试性的前提下，克服基于扫描的侧信道攻击。

为实现上述目的，本发明提供了一种安全的加密芯片可测试性设计方案。在这种安全方案中，加密芯片不能在功能模式和测试模式之间任意切换。如果加密芯片在上电或复位后首先进入功能模式，它不能跳转到测试模式。这确保了扫描链中的秘密信息不会被移出。如果加密芯片在上电或复位后首先进入测试模式，则禁止将密钥加载到加密核。即使系统测试控制信号发生变化，加密芯片仍然不能加载密钥，也就是不能进入正常的功能模式。在系统复位或重启之前，加密芯片无法在正常模式和测试模式之间切换。

本发明的安全扫描结构是在常规扫描设计的基础上加入了密钥屏蔽逻辑、移位使能逻辑和安全扫描控制器。常规的扫描链是把轮密钥生成器中的密钥寄存器和轮操作单元中的轮寄存器以及芯片中的其它触发器改造成扫描单元之后串联而成。这里的轮操作单元和轮密钥生成器是AES加密芯片的核心部件。本发明的安全扫描结构引入的测试控制逻辑描述如下：

1、安全扫描控制器：它由一个触发器，一个2位计数器，一个2输入或门，一个2输入与门组成和反向器组成。除了时钟输入信号之外，控制器还具有两个输入信号：系统复位信号(RST)和系统测试控制信号(TC)，以及一个输出信号:安控信号(Ctrl_Scy)。安控信号用来控制密钥屏蔽逻辑和移位使能逻辑。如果加密芯片在上电或复位后首先进入功能模式，安全扫描控制器输出安控信号值为“0”，否则值为“1”，在下一次系统复位或重启之前安全扫描控制器的输出不会改变。

2、密钥屏蔽逻辑：它由若干反相器和2输入或非门组成。密钥的每个比特通过反相器之后连接到一个与非门的输入端。此与非门的另一个输入则由安全扫描控制器生成的Ctrl_Scy信号馈送。如果Ctrl_Scy为“0”，则与非门的输出将取决于密钥的值，此时密钥可以正常加载。如果Ctrl_Scy为“1”，则无论密钥为何值，与非门的输出都将为“0”，此时密钥被屏蔽。