保護回路と半導体装置及び電子機器
【課題】従来はシールド線を部分的に切断又は剥離後、FIB加工等や適当な手段で物理解析を阻害しない迂回経路でシールド線に再接続する、あるいは外部から導体路をバイパスとしてシールド線に接続し、検出機能を無効にするような不正手段には脆弱であった。
【解決手段】半導体装置上の保護すべき領域を覆うように配線されかつ始点から終点に至る経路を1つのみ有する少なくとも1つのシールド線5を形成し、信号発生器2よりシールド線5に電気信号を与え、シールド線5に与えられた電気信号の変化を捉えたことを検出信号として出力する複数の検出器3を前記電気信号の変化が順番に伝播するように分散配置し、前記検出信号は判定器4に出力した順番に入力され前記検出信号の出力結果と前記検出信号が出力した順番とに基づいてシールド線5の状態を判定し、不正検知信号A1を出力することで、シールド線5の改竄を検出する保護回路を搭載する。
【解決手段】半導体装置上の保護すべき領域を覆うように配線されかつ始点から終点に至る経路を1つのみ有する少なくとも1つのシールド線5を形成し、信号発生器2よりシールド線5に電気信号を与え、シールド線5に与えられた電気信号の変化を捉えたことを検出信号として出力する複数の検出器3を前記電気信号の変化が順番に伝播するように分散配置し、前記検出信号は判定器4に出力した順番に入力され前記検出信号の出力結果と前記検出信号が出力した順番とに基づいてシールド線5の状態を判定し、不正検知信号A1を出力することで、シールド線5の改竄を検出する保護回路を搭載する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、半導体装置内部の機密情報を不正な手段による解析行為から保護することを目的とした保護回路及びこれを備えた半導体装置及び電子機器に関するものである。
【背景技術】
【0002】
近年、半導体装置の回路情報や内部情報には著しい度合いの機密性・秘匿性が求められるようになっている。とりわけICカードの分野における半導体装置はその安全性を特徴としているため、重要な情報については不正な解析を受けないように保護し、内部情報の改竄・コピーを防止する必要がある。そのような厳重な保護機能を達成する方法が講じられる例が増えてきた。以下に従来の技術を説明する。
【0003】
図23は、従来の保護回路の構成例を示す。図23において、500は制御回路、501は信号発生器、502は検出器、503はシールド線、504は参照信号線、S0はアラーム信号である。この保護回路では、保護すべき集積回路の上にシールド線503が配線されている。信号発生器501から任意の信号がシールド線503及び参照信号線504にそれぞれ与えられる。信号発生器501から供給された信号は、それぞれシールド線503、参照信号線504を通過した後に検出器502に与えられる。検出器502は、シールド線503から供給される信号と参照信号線504から供給される信号とを比較し、差異が認められればアラーム信号S0を出力する。保護される集積回路はこのアラーム信号S0に応答して安全モードに移行し、不当な解析や改竄を事実上不可能にする(特許文献1参照)。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特表2002−529928号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
上述の従来の技術では、シールド線503を部分的に切断又は剥離した後、FIB加工技術等の適当な手段で、物理解析を阻害しない迂回経路でシールド線を再接続する不正手段や、外部から導体路をバイパスとしてシールド線に接続し不正検出機能を無効にする不正手段に対しては脆弱である。
【0006】
本発明の目的は、耐タンパー性の高い保護回路及びこれを備えた半導体装置及び電子機器を提供することにある。
【課題を解決するための手段】
【0007】
上記課題を解決するには、シールド線の物理特性を監視し、物理特性が変化したことをシールド線経路の改竄として検出できる保護回路を実現すればよい。しかしながら、シールド線の物理特性は保護される下層の形状と電気的特性や層間膜の状態によって決定されるので、設計時にシールド線の物理特性の正確なモデルを作成することは困難であり、更に製造上の誤差や動作保証環境内の特性変動等が加わるので、保護回路を容易に実現することができない。本発明の保護回路は、いずれもシールド線の物理特性の正確なモデルは必要としないので、容易に実現しうるものであり、更により一層の耐タンパー性の向上を図るものである。
【0008】
本発明による第1の保護回路は、半導体装置上の保護すべき領域を覆うように配線されかつ始点から終点に至る経路を1つのみ有するシールド線と、このシールド線にシールド線の状態を走査する電気信号(以下、シールド線走査信号と呼ぶ)を与える信号発生器と、この信号発生器からシールド線に与えられたシールド線走査信号の変化を捉えて、シールド線走査信号が伝播したことを検出信号として出力する手段を有する複数の検出器と、全ての検出器による検出信号の出力結果と、検出信号が出力された順番とに基づいて、シールド線の状態を判定して不正検知信号を出力する手段を有する判定器とを備えたことを特徴とする。
【0009】
上記保護回路は、信号発生器から与えられたシールド線走査信号がシールド線の始点に近い分岐接続を持つ検出器から順番にシールド線走査信号が伝播するように接続されている。信号発生器より与えられたシールド線走査信号が検出器に伝播すると、検出信号が判定器に送られ、出力された順番に検出信号が判定器に入力される。全ての検出信号が判定器に入力されたかどうかと、判定器に入力された検出信号の順番とに基づいて不正検知信号を出力することにより、不正な手段で行われたシールド線経路の改竄を検出する。全ての検出器から検出信号が出力されたかどうかでシールド線の部分的切断、又は剥離状態を検出し、検出信号が出力される順番が異なるかどうかで、FIB加工技術等や適当な手段で、物理解析を阻害しない迂回経路でシールド線を再接続する、あるいは外部から導体路をバイパスとしてシールド線に接続されたことを検出し課題を解決する。
【0010】
更に、上記保護回路の判定器は、最初の検出器からの検出信号が入力してから他の検出器からの検出信号が入力する時間を計測する手段と、この時間計測結果を判定基準に加えて不正検知信号を出力する手段とを有することが好ましい。
【0011】
上記保護回路は、予め設定した時間以内にそれぞれの検出器からの検出信号の出力順番に従って、検出信号が判定器に入力されたかどうかで、不正検知信号を出力することにより、不正な手段で行われたシールド線経路の改竄を検出する。シールド線走査信号が検出器を伝播する順番と、判定器に検出信号が入力される時間との両方が変動しないように、FIB加工技術等や適当な手段で、物理解析を阻害しない迂回経路でシールド線を再接続する、あるいは外部から導体路をバイパスとしてシールド線に接続することは非常に困難であるので、耐タンパー性を格段に向上させることができる。
【0012】
本発明の第2の保護回路は、上記第1の保護回路の構成に加えて、検出器からの検出信号が判定器に入力する時間を調整する手段を有する時間調整器を更に備えたことを特徴とする。
【0013】
上記保護回路は、検出信号が出力されてから判定器に入力するまでの時間を任意に作り込むことができるので、検出器や判定器の配置や検出信号のレイアウト配線の自由度が大幅に向上し、設計をより容易にすることができる。時間調整器で作り込んだ時間まで考慮して、FIB加工技術等や適当な手段で、物理解析を阻害しない迂回経路でシールド線を再接続する、あるいは外部から導体路をバイパスとしてシールド線に接続することは非常に困難であり、耐タンパー性を格段に向上させることができる。
【0014】
更に上記時間調整器を、シールド線の経路途上に、シールド線走査信号が検出器に伝播する時間を調整できるように配置した構成がより好ましい。
【0015】
上記保護回路は、シールド線走査信号が検出器に伝播する時間を任意に作り込むことができるので、同様にレイアウトの自由度が大幅に向上し、設計をより容易にすることができ、予め作り込んだ伝播時間に合わせて、FIB加工技術等や適当な手段で、物理解析を阻害しない迂回経路でシールド線を再接続する、あるいは外部から導体路をバイパスとしてシールド線に接続することは非常に困難であり、耐タンパー性を格段に向上させることができるだけでなく、シールド線経路の途中にリピータ及びバッファアンプを含む時間調整器を挿入することで、長いシールド線を駆動する信号発生器の消費電流を抑え、またシールド線経路の始点から終点までのシールド線走査信号の伝播時間を最適に調整し、保護回路自体の検知動作を最適な消費電力で短時間に完了させることができる。
【0016】
本発明の第3の保護回路は、上記第1又は第2の保護回路の構成において、シールド線に保護され、かつ複数の検出器と接続された参照信号線を更に備え、信号発生器は、シールド線にシールド線の状態を走査する論理パターン信号(以下、シールド線走査パターン信号と呼ぶ)を与える手段と、シールド線走査パターン信号から符号化した参照信号を発生し、参照信号線に与える手段とを有し、検出器は、参照信号線に与えた参照信号を復号化して期待値パターン信号を発生する手段と、発生した期待値パターン信号とシールド線走査パターン信号との比較により、シールド線走査パターン信号が伝播したことを検出信号に出力する手段とを有することを特徴とする。
【0017】
上記保護回路は、シールド線走査パターン信号が検出器に伝播する順番を変動させずに、FIB加工技術等や適当な手段で、物理解析を阻害しない迂回経路でシールド線を再接続する、あるいは外部から導体路をバイパスとしてシールド線に接続するのを困難にすることに加えて、単純なシールド線走査信号ではなく、複雑なシールド線走査パターン信号であるために、シールド線を、物理解析を阻害しない程度に剥離し、適当なところからシールド線に強制印加する攻撃についても困難にする。更に参照信号は、シールド線走査パターン信号とは異なるので、シールド線と参照信号線との両方に都合のよい信号を印加することで、パターン比較検知を無効にする攻撃に対しても耐タンパー性を持つことができるので、耐タンパー性を格段に向上させることができる。
【0018】
また更に、上記保護回路の信号発生器に乱数発生器を備えることがより好ましい。ランダムにシールド線走査パターン信号を変更するとシールド線走査パターン信号を解析することが困難となり、耐タンパー性を更に向上させることができる。
【0019】
本発明の第4の保護回路は、上記第1から第3の保護回路のうちいずれか1つの保護回路の構成において、シールド線は異なる経路を持つ2つのシールド線が互いに交互に隣接するように配線されている特徴を備え、信号発生器は、シールド線の一方にシールド線走査信号を与え、他方に固定電位を与える手段と、シールド線走査信号と固定電位とを相互に切り替える手段とを有し、検出器は、検知対象のシールド線を相互に切り替える手段を更に有し、判定器は、各々のシールド線の判定結果に基づいて信号発生器と検出器とに切り替え信号を与える手段と、全てのシールド線の判定結果に基づいて不正検知信号を出力する手段とを有することを特徴とする。
【0020】
近年の半導体装置は、プロセスの微細化に伴い、配線層の最小幅と間隔とが非常に狭くなっており、シールド線の幅と間隔とは非常に狭い状態で製造でき、耐タンパー性が向上する一方で、シールド線間のカップリング容量が非常に大きくなるために、シールド線走査信号の変化がカップリング容量を介して伝播する。ゆえにシールド線に与えたシールド線走査信号をシールド線の始点から近い分岐に接続された検出器から順番に伝播させることが非常に困難となる。
【0021】
ところが、上記保護回路は、2つの異なる経路のシールド線を互いに交互に隣接させて、一方のシールド線を固定電位にすることにより、他方のシールド線に伝播するシールド線走査信号の変化がカップリング容量を介して伝播しなくなるので、シールド線に与えたシールド線走査信号をシールド線の始点から近い分岐に接続された検出器から順番に伝播させることができる。更に、隣接シールド線と短絡しないように、かつシールド線走査信号が順番に検出器に伝播するように、FIB加工技術等や適当な手段で、物理解析を阻害しない迂回経路でシールド線を再接続する、あるいは外部から導体路をバイパスとしてシールド線に接続することは非常に困難となり、耐タンパー性を更に格段に向上させることができる。
【0022】
本発明の第5の保護回路は、上記第1から第4の保護回路のうちいずれか1つの保護回路の構成において、シールド線は、互いに異なる配線層で形成された第1のシールド線と第2のシールド線とを有し、信号発生器は、第1のシールド線と第2のシールド線とにシールド線走査信号を与える手段を有し、検出器は、第1のシールド線と第2のシールド線との検知結果が出力される時間差を計測又は検出する手段と、その時間差と検知結果とに基づいて検出信号を出力する手段とを有することを特徴とする。
【0023】
上記保護回路では、第1のシールド線と第2のシールド線とのレイアウト形状や保護される下層の形状と電気的特性と層間膜の状態とにより、与えたシールド線走査信号が検知器に伝播するまでにある固有の時間差ができる。その時間差を検出器での検出信号が出力される時間差として計測又は検出し、予め設定された第1のシールド線と第2のシールド線とに異常がない状態の伝播の時間差と比較して検出信号を出力し、更に検出信号が判定器に入力する順番に基づいて不正検知信号を出力することで、不正な手段で行われたシールド線経路の改竄を検出する。
【0024】
第1のシールド線と第2のシールド線とに与えたシールド線走査信号の伝播する時間差を変動させることなく、かつ検出信号の出力順番を変動しないように、FIB加工技術等や適当な手段で、物理解析を阻害しない迂回経路でシールド線を再接続する、あるいは外部から導体路をバイパスとしてシールド線に接続することは非常に困難となり、耐タンパー性を更に格段に向上させることができる。
【0025】
更に、シールド線により保護されるべき秘匿信号配線層を第1のシールド線の配線層と第2のシールド線の配線層とで挟むように形成された構造を有するのがより好ましい。
【0026】
上記保護回路は、表面からはもとより裏面からのFIB加工技術等や適当な手段で、物理解析や迂回経路でシールド線を再接続することを困難にできるので、耐タンパー性を格段に向上させることができる。
【0027】
本発明による半導体装置は、上記保護回路を搭載してシールド線の改竄を監視し、異常を捕捉した場合、不正検知信号を出力して、半導体装置への不正な解析・情報の改竄を防止する動作を行う。これにより耐タンパー性を向上させることができる。
【0028】
上記全ての保護回路は、電源投入時に、検出器と判定器とに制御回路からの制御信号に応答して、検出信号と不正検知信号とを正常に出力できるかをテストする手段と、シールド線走査信号、又はシールド線走査パターン信号を与えてない時にシールド線を固定電位にする手段とを備えることがより好ましい。これにより、リバースエンジニアリングにおいて、不正検知信号線を特定し、シールド線を全面剥離して、特定した不正検知信号線に外部から正常な信号を強制印加して保護回路を無効化する手段を防ぐことができ、上記保護回路を搭載した半導体装置の動作中もシールド線に強制外部印加や、不正な加工や改竄を容易に監視することができ、半導体装置の他の動作に与える影響を少なくできる。以上のことから、耐タンパー性を格段に向上させた半導体装置を容易に提供することができる。
【0029】
更に、保護回路を構成する信号発生器とシールド線と検出器とのいずれか少なくとも1つ又は一部の機能を半導体装置の外部に配置して、電子機器に組み込み、電子機器全体で保護回路を構成し、秘匿データのある半導体装置を単体で取り出して、起動させると、即座に半導体装置への不正な解析・情報の改竄を防止する動作を行うようにすると、より好ましい。
【発明の効果】
【0030】
本発明によれば、半導体装置を覆うシールド線の改竄を検出する機能を持つ、より高い耐タンパー性の保護回路を容易に実現でき、当該保護回路を搭載することにより、半導体装置内部に保持された機密情報を不正な解析手段より保護し、より秘匿性のある半導体装置及び電子機器を容易に提供できる。
【図面の簡単な説明】
【0031】
【図1】本発明の第1の実施形態による保護回路の構成図である。
【図2】図1に示した保護回路が搭載される半導体装置のシールド線経路を模式的に示す図である。
【図3】図1に示した保護回路が搭載される半導体装置の断面構造を模式的に示す図である。
【図4】図1に示した保護回路が搭載される半導体装置の概略構成図である。
【図5】図1に示したシールド線から検出器への分岐配線例を示す図である。
【図6】第1の実施形態に係る検出器の一実施形態を模式的に示す図である。
【図7】図6に示した検出器の動作を説明するためのタイミング波形を示す図である。
【図8】第1の実施形態に係る判定器の一実施形態の構成図である。
【図9】第1の実施形態の変形例に係る判定器の構成図である。
【図10】本発明の第2の実施形態による保護回路の構成図である。
【図11】第2の実施形態の変形例による保護回路の構成図である。
【図12】図11に示した保護回路が搭載される半導体装置のシールド線経路を模式的に示す図である。
【図13】本発明の第3の実施形態による保護回路の構成図である。
【図14】第3の実施形態に係る検出器の構成図である。
【図15】本発明の第4の実施形態による保護回路の構成図である。
【図16】第4の実施形態に係るシールド線の一部分を拡大して模式的に示す図である。
【図17】第4の実施形態に係る検出器の構成図である。
【図18】第4の実施形態に係る判定器の構成図である。
【図19】本発明の第5の実施形態による保護回路の構成図である。
【図20】図19に示した保護回路が搭載される半導体装置の構成の一部分を拡大して模式的に示す斜視図である。
【図21】図19に示した保護回路が搭載される他の半導体装置の構成の一部分を拡大して模式的に示す斜視図である。
【図22】第5の実施形態に係る検出器の構成図である。
【図23】従来の保護回路の構成図である。
【発明を実施するための形態】
【0032】
以下、本発明を実施するための形態について、図面を参照しながら説明する。なお、同様の構成要素については各図面において同じ参照符号を付し、その説明は繰り返さない。
【0033】
《第1の実施形態》
図1に、第1の実施形態による保護回路の構成を示す。この保護回路は、半導体装置に搭載され、半導体装置内部の機密情報を不正な手段による解析行為から保護することを目的とする回路である。この保護回路は、保護する必要性がある必要かつ十分な半導体装置領域(保護領域)上を最上層の金属で覆うように始点SPから終点GPに至る経路を1つのみ有するシールド線5と、シールド線5の状態を走査する電気信号であるシールド線走査信号D1をシールド線5の始点SPから与える信号発生器2と、シールド線走査信号D1の変化を捉えて、シールド線走査信号D1が伝播したことを、検出信号(図1ではS1〜S7の7つ)に出力する複数の検出器3と、検出信号S1〜S7の出力結果と検出信号S1〜S7の出力された順番とに基づいて不正検知信号A1を出力する判定器4と、信号発生器2と検出器3と判定器4とを制御する制御回路1とで構成される。
【0034】
図2に、図1に示した保護回路が搭載される半導体装置のシールド線5の配線経路の例を示す。図2において、シールド線5は、半導体装置100における製造上の最上層の金属で、保護する必要性がある必要かつ十分な半導体装置100の保護領域上を覆うように配線されている。シールド線5は、一筆書きのトポロジーで配線されており、始点SPから終点GPに至る経路を1つのみ有する。シールド線5は、できるだけパッドを除く半導体装置全域を覆い隠すように配線することが好ましい。これにより、シールド線5を剥離せずに半導体装置100に対し不正な解析行為をすることが困難になる。更にできるだけ製造上許容される最小な配線幅と間隔とで配線することがより好ましい。これによりFIB加工技術でもシールド線5を切断せずに、シールド線5の間やシールド線5上に孔をあけ、下層との接続をもつパッドを形成することを困難にし、同時に、シールド線5の幅がマイクロプローブ端子より十分に狭いため、プローブ端子を立てることを困難にする。更には外部からのシールド線5への接続をも難しくすることができる。また、シールド線5の経路を90度配線や、45度配線や、90度配線で進行方向を45度方向にしたものや、それらの組み合わせの配線を駆使して、実現する複雑な形状と経路にしてもよい。
【0035】
図3に、図1に示した保護回路が搭載される半導体装置の断面構成の概略を示す。図3に示す半導体装置100では、半導体基板106の上にデバイス素子104が形成され、その上に複数層の配線層102が形成され、最上層にシールド配線層101が形成されている。図1に示したシールド線5はシールド配線層101に形成され、保護領域103(デバイス素子104と配線層102とを含む)上を覆うように配線される。図1に示した信号発生器2、検出器3、判定器4、制御回路1を構成する回路素子はデバイス素子104によって形成され、これらを接続する配線7〜13(図1参照)は配線層102によって形成されている。すなわち、信号発生器2、検出器3、判定器4、制御回路1及びこれらを接続する配線7〜13はシールド線5で保護されている。また、シールド配線層101と拡散層配線600やウェル層602や埋め込み層配線604とを組み合わせて、保護領域103から見て裏面からのシールド線を形成してもよい。例えば、半導体基板106の埋め込み層601にて埋め込み層配線604でシールド線5を形成してもよい。
【0036】
図4に示すように、保護回路の判定器4からの不正検知信号A1は、半導体装置100の機能モジュール6に供給される。機能モジュール6を構成する回路素子はデバイス素子104によって形成され、これらを接続する配線は配線層102によって形成されており、機能モジュール6もシールド線5で保護されている。
【0037】
図5に示すように、始点SPから終点GPまでの経路を1つのみ有するシールド線5を途中で分岐させて、終点GP1〜GPnのそれぞれに対して検出器3が接続されているものとする。シールド線走査信号D1が伝播する経路は複数X0〜Xnになるが、経路X1についてみると始点SPから終点GP1に至る経路は1つのみであり、経路Xnについてみると始点SPから終点GPnに至る経路は1つのみである。このような複数の経路X1からXnを構成するように分散配置した検出器3に、シールド線走査信号D1が始点SPからの経路X1〜Xnの長さに応じて順番に伝播するように接続されている。なお、配線13は、シールド線5で保護されている配線層102を使用しているが、拡散層配線600やウェル層602や埋め込み層配線604まで使用して裏面からの耐タンパー性を持たせてもよい。
【0038】
次に、以上のように構成された上記保護回路の動作について説明する。制御回路1からの制御信号に応答して、信号発生器2からシールド線5の始点SPへ、シールド線走査信号D1が与えられる。シールド線走査信号D1がシールド線5と配線13とを通り検出器3に伝播する。検出器3はシールド線走査信号D1の変化が伝播すると検出信号S1〜S7を出力する。
【0039】
図6に検出器3の一実施形態を、図7にその動作タイミングを示す。ただし、これ以外にも様々な実施形態があることは言うまでもない。
【0040】
図6において、検出器3はNMOSトランジスタ14と、入力バッファ回路15と、出力バッファ回路16とで構成される。17は、これらの要素14,15,16が共通に接続された配線である。
【0041】
図7によれば、最初にシールド線5を論理L状態にし、制御回路1からの制御信号CB1を論理LでNMOSトランジスタ14をオン状態に制御して、検出信号SnをLのリセット状態にする。つづいて、制御回路1からの制御信号CB1を論理H状態にしNMOSトランジスタ14をオフ状態に制御して検知動作許可状態にする。このとき、検出信号SnはL状態である。次に、制御回路1からの制御信号(配線7の信号)に応答し、信号発生器2は、シールド線5の始点SPにシールド線走査信号D1を与える。シールド線走査信号D1はLからHの信号遷移である。シールド線走査信号D1は、シールド線5と配線13とを伝播し、入力バッファ回路15及び出力バッファ回路16を経て、検出信号SnをLからHにして、その先に接続される判定器4にシールド線走査信号D1の信号遷移が伝播したことを伝える。ところが、シールド線5に切断箇所があると、シールド線走査信号D1の信号遷移が入力バッファ回路15まで伝播しないので、検出信号Snは論理Lを保持する。
【0042】
入力バッファ回路15は、アンテナ効果の保護回路と、入力ヒステリシスを有するバッファ回路のような貫通電流対策の手段とを備えた回路であることが好ましい。シールド線5は非常に長い配線であり、半導体装置100の保護領域103の面積によっては数十cm以上になることもあり、シールド線5に接続される素子は、アンテナ効果により製造中に破壊することがある。また、配線負荷が大きいために、シールド線走査信号D1の遷移がゆっくりで時間がかかるために、通常の入力バッファ回路では、貫通電流が非常に多く流れてしまい現実的な低消費電流にならない。したがって、入力バッファ回路15はアンテナ効果対策及び貫通電流対策の手段を備えることでより実用性が増す。
【0043】
このように検出器3から出力された検出信号Sn(nは自然数)は、始点SPから検出器3に伝播する経路の長さに応じた順番に検出信号が出力されて、検出信号が出力された順番に判定器4に入力される。判定器4は、全ての検出器3からの検出信号の出力結果と、検出信号Snの出力した順番とに基づいて不正の有無を判定し、不正検知信号A1を出力する。
【0044】
図8に、判定器4の最も簡単な一実施形態を示す。ただし、これ以外にも様々な実施形態があることは言うまでもない。図8において、判定器4はリセット付きシフトレジスタ18で構成される。最初に、リセット(RESET)信号にてシフトレジスタ18を初期化してリセット状態にする。このとき、不正検知信号A1は異常状態である。次にリセット状態を解除して、シールド線走査信号D1をシールド線5の始点SPより与え、検出器3からの検出信号S1から入力順番に正常状態の信号をシフトさせて最後の検出信号Snの入力で、不正検知信号A1に正常状態の信号が出力される。全ての検出器3が、シールド線走査信号D1の伝播を検知したことを知らせる検出信号S1〜Snが全て入力しないと、不正検知信号A1は異常状態のままである。また、入力する順番が変わると、シフト動作の順番が変わり、正常状態の信号は出力されず異常状態のままである。すなわち、シールド線走査信号D1が伝播したことを知らせる検出信号が全て入力し、かつ入力する順番が検出信号の出力順番と変わらない条件を満たした時のみ不正検知信号A1は正常状態の信号が出力される。
【0045】
以上のことより、検出信号が全て出力されるかどうかで、シールド線5の部分的切断、又は剥離状態を検出し、検出信号が判定器4に入力した順番が異なると、シールド線走査信号D1が順番どおりに検出器3に伝播しなかったことになり、シールド線5の経路が改竄されシールド線5の経路がショートカットされたことが検出できる。
【0046】
更に、偶発的にFIB加工技術等や適当な手段で、物理解析を阻害しない長い迂回経路でシールド線5の経路を改竄して検出信号の出力順番を変えないように再接続されてしまう場合があるが、通常このような保護回路での検知動作は、半導体装置の初期化動作で行われ、できるだけ短い許容時間内で検知動作を完了するように制御されるので、検知動作の許容時間内に検出信号が全て出力されて、判定器4に入力しないので特別な手段を有しなくとも検出できてしまう。もちろん、上記判定器4にタイマーを備えて、タイマーの時間で不正検知信号A1の出力を制御してもよい。
【0047】
以上のことより、FIB加工技術等や適当な手段で、物理解析を阻害しないよう迂回経路でシールド線5を再接続する、あるいは外部から導体路をバイパスとしてシールド線5に接続されたことを検出し、課題を解決することができる。
【0048】
〈第1の実施形態の変形例〉
第1の実施形態の変形例について説明する。この保護回路は、上記第1の実施形態の保護回路の構成において判定器4を、図9に示す判定器31に置き換えたものである。図9において、判定器31は、図8の判定器4と、最初に判定器31に入力される検出信号S1が到達してから、検出信号S2、S3、・・・・、Snがそれぞれ入力される時間を計測する時間計測器32と、判定器4の判定結果と時間計測器32の計測結果とに基づいて不正の有無を判定して不正検知信号A1を出力する判定回路33とで構成される。判定器4は、入力した検出信号S1〜Snを順次シフトした信号Q1〜Qnを時間計測器32へ与える。
【0049】
次に、以上のように構成された判定器31の動作について説明する。最初にリセット信号により判定器4と時間計測器32とをリセットする。このとき、不正検知信号A1は異常状態である。次にリセットを解除した後、最初に判定器4に入力される検出信号S1によってシフトした信号Q1を時間計測器32のトリガー信号にして時間計測器32をスタートさせる。次に、入力した検出信号S2によって判定器4においてシフトした信号Q2に応答して時間計測器32の結果を判定回路33に送り、以下順次入力する検出信号S3〜Snまで同様の動作を繰り返す。判定回路33には、予め検出信号S1が到達してから各検出信号S2〜Snが到達する時間範囲が設定されており、時間計測器32の結果と比較判定を逐次行う。比較判定が全てOKとなり、判定器4から正常状態の信号が判定回路33に入力された時のみ、不正検知信号A1は正常状態の信号が出力される。
【0050】
図9の判定器31を用いた保護回路は、検出信号S1が判定器31に入力してからそれぞれ検出信号S2からSnまでの入力時間範囲を規定しているので、それぞれの規定時間範囲に間に合うようにFIB加工技術等や適当な手段で、物理解析を阻害しないよう迂回経路でシールド線を再接続する、あるいは外部から導体路をバイパスとしてシールド線に接続することは非常に困難であり、耐タンパー性を格段に向上させることができる。
【0051】
また、ある任意の検出器3からの検出信号だけの入力時間の比較であってもよい。更に上記保護回路が搭載される半導体装置に不揮発メモリが搭載されているなら、不揮発メモリに予め設定した時間範囲を格納しておき、検知動作時に不揮発メモリから判定回路33に読み出して比較判定を行ってもよい。また、時間計測モードを設け、出荷検査時にそれぞれの検出信号の入力時間を測定し、その結果を判定回路33や不揮発メモリに格納し比較判定に使用してもよい。
【0052】
《第2の実施形態》
図10に、第2の実施形態による保護回路の構成を示す。図10に示すように、この保護回路は、上記第1の実施形態の保護回路の構成において、検出器3からの検出信号の伝播時間を調整する時間調整器20を更に備えた構成であり、時間調整器20と、検出信号S1〜S7と、時間調整された検出信号S1a〜S7aとはシールド線5によって保護されている。
【0053】
次に、上記保護回路の動作について説明する。検出器3からの検出信号(図10ではS1〜S7の7つ)が時間調整器20に入力され、時間調整器20によって検出信号S1〜S7が出力した順番に判定器4又は31に入力されるように時間調整された検出信号S1a〜S7aが判定器4又は31に入力される。判定器4又は31において、全ての検出信号S1〜S7の出力結果と出力の順番とに基づいて(判定器31の場合は最初に入力される検出信号S1aから他の検出信号S2a〜S7aが入力される時間も判定に加える。)、不正検知信号A1を出力し、不正な手段で行われたシールド線経路の改竄を検出する。
【0054】
上記保護回路では、シールド線走査信号D1が始点SPに近い分岐点に接続されている検出器3から順番に伝播する。検出器3からの検出信号S1〜S7が伝播した順番に出力されるが、判定器4又は31に入力する検出信号の順番も同じにするためには、検出器3の分散配置と判定器4又は31の配置とがある程度限定され、レイアウトの制約を受けてしまう。しかし、本実施形態によれば、時間調整器20により、検出信号S1a〜S7aの入力順番をシールド線走査信号D1が始点SPに近い分岐点に接続される検出器3に伝播する順番に合わせることができるので、複数の検出器3の配置と判定器4又は31の配置や配線のレイアウト自由度を大幅に広げることができ、上記保護回路を確実に動作するよう調整することができる。また、時間調整器20において、検出信号S1a〜S7aの判定器4又は31への入力時間を作り込むことは、シールド線走査信号D1がそれぞれの検出器3に伝播する時間に制約を与えることに等しく、その時間制約に合わせるように、FIB加工技術等や適当な手段で、物理解析を阻害しない迂回経路でシールド線を再接続する、あるいは外部から導体路をバイパスとしてシールド線に接続することは非常に困難である。
【0055】
以上のことより、本発明による上記保護回路は、高い耐タンパー性を持ち、かつレイアウトの自由度を広げ容易に実現できる。また時間調整器20は、製造後であっても任意の時間に調整できるようにトリミング調整手段を備えておくと、より好ましい。
【0056】
〈第2の実施形態の変形例〉
図11に、第2の実施形態の変形例による保護回路の構成を示す。図11の保護回路は、時間調整器20をシールド線150の経路途上に組み込んだ構成である。
【0057】
図12に、図11に示した保護回路が搭載される半導体装置のシールド線150の配線経路の例を示す。図12において、シールド線150は、半導体装置700における製造上の最上層の金属で、保護する必要性がある必要かつ十分な半導体装置700の保護領域上を覆うように配線されている。しかも、シールド線150は、時間調整器20を介して、始点SPから終点GPに至る経路を1つのみ有する。シールド線150が時間調整器20を保護しているが、時間調整器20の入力部と出力部とは最上層の配線で経路が切断されているように見える。経路が切断されている部分は、できるだけ製造上許容される最小な配線間隔であることが好ましい。
【0058】
上記保護回路は、シールド線150の経路を通るシールド線走査信号D1がそれぞれ分散配置された複数の検出器3に伝播する時間を調整する。シールド線走査信号D1がそれぞれ分散配置された複数の検出器3に伝播する時間を調整することは、検出信号S1〜S7が検出器3より判定器4に入力する順番を調整することになるので、検出器3の分散配置と判定器4又は31の配置や配線のレイアウト自由度を広げることができ、保護回路が確実に動作するよう調整することができる。時間調整器20によって調整されたシールド線走査信号D1がそれぞれの検出器3に伝播する時間に合わせるように、FIB加工技術等や適当な手段で、物理解析を阻害しない迂回経路でシールド線を再接続する、あるいは外部から導体路をバイパスとしてシールド線に接続することは非常に困難である。
【0059】
以上のことより、本発明による上記保護回路は、高い耐タンパー性を持ち、かつレイアウトの自由度を広げ容易に実現できる。また、時間調整器20に、リピーターやバッファアンプを含めた構成にすると、シールド線走査信号D1をある段の時間調整器20と次段の時間調整器20との間を安定した信号で供給できる。その積み重ねでシールド線150の経路を形成しているので、始点SPから終点GPまで信号を安定供給できる。更にシールド線走査信号D1の伝播時間を最適に調整でき、シールド線150を駆動する信号発生器2の消費電流を抑え、保護回路自体の検知動作を最適な消費電力で短時間に完了させることができる。これは、チップサイズの大きな半導体装置に搭載するには非常に有用である。
【0060】
《第3の実施形態》
図13に、第3の実施形態による保護回路の構成を示す。図13の保護回路は、、上記シールド線5の始点SPにシールド線走査パターン信号P1を与え、シールド線5によって保護された参照信号線51にシールド線走査パターン信号P1を符号化した参照信号T1を与える信号発生器52と、参照信号T1を復号して期待値パターンを発生し、シールド線走査パターン信号P1と比較して、シールド線走査パターン信号P1が伝播したことを検出信号(図13ではS1〜S7の7つ)に出力する複数の検出器53と、判定器4又は31と、制御回路1とで構成されている。
【0061】
次に、上記保護回路の動作について説明する。制御回路1の制御信号に応答して信号発生器52は、任意のシールド線走査パターン信号P1を発生し、これをシールド線5の始点SPより与え、同時にシールド線走査パターン信号P1を元に符号化して参照信号T1を参照信号線51に与える。そして、シールド線走査パターン信号P1と参照信号T1とが複数の検出器53に伝播される。
【0062】
図14は、検出器53の構成図である。図14の検出器53は、参照信号T1を復号化して期待値パターン信号を発生させる期待値パターン発生回路54と、シールド線走査パターン信号P1と期待値パターン信号とのパターンの比較を行い、一致/不一致を検出信号Snに出力する信号パターン比較回路55とで構成される。
【0063】
参照信号T1が検出器53に入力されると、期待値パターン発生回路54で復号化して期待値パターン信号を発生させ、シールド線走査パターン信号P1とパターン比較を行い、一致/不一致を検出信号Snに出力し、判定器4又は31にシールド線走査パターン信号P1の伝播を伝える。
【0064】
全ての検出信号S1〜S7の出力結果と、判定器4又は31に入力したその順番とに基づいて(判定器31の場合は最初に入力される検出信号S1から他の検出信号S2〜S7が入力される時間も判定に加える。)、不正検知信号A1を出力し、シールド線5の経路の不正な改竄を検出する。
【0065】
上記保護回路は、シールド線5に直接外部から、シールド線走査信号D1を印加して、検出器3に伝播する順番を合わせる不正手段を講じてくる場合でも、シールド線走査パターン信号P1を解析して同じタイミングで信号発生器52を再現することは困難である。また、期待値パターンは内部発生であるため、シールド線5と参照信号線51との両方に都合のよい信号を印加することで、パターン比較検知を無効にする攻撃に対しても耐タンパー性を発揮し、耐タンパー性を格段に向上させることができる。
【0066】
また、シールド線走査パターン信号P1はビット幅が大きいシリアルパターンであることが好ましい。また、参照信号Tについては、期待値パターン信号発生のトリガー信号で、参照信号Tをトリガーにする期待値パターン信号発生手段を備えてもよい。更にシールド線走査パターン信号P1のパターンの一部の抜き出しでもよく、検出器53での期待値パターン発生との比較は、パターンの全ての比較ではなく、部分的な比較でもよい。
【0067】
更には、信号発生器52に乱数発生器を備え、発生した乱数に基づいてシールド線走査パターン信号P1を発生させるようにすると、シールド線走査パターン信号P1を解析して再現するのは更に困難になるので、耐タンパー性を格段に向上させることができる。
【0068】
《第4の実施形態》
図15に、第4の実施形態による保護回路の構成を示す。図15の保護回路は、、保護する必要性がある必要かつ十分な半導体装置領域(保護領域)上を最上層の金属で覆うように始点SP1から終点GP1に至る経路を1つのみ有する第1のシールド線72と、同様に始点SP2から終点GP2に至る経路を1つのみ有する第2のシールド線73と、任意のシールド線走査信号D1又はD2を発生し、始点SP1からシールド線走査信号D1を与える時は、始点SP2に固定電位を与え、始点SP2からシールド線走査信号D2を与える時は、始点SP1に固定電位を与える信号発生器71と、検知対象を第1のシールド線72と第2のシールド線73とに相互に切り替える手段を備え、シールド線走査信号D1又はD2が伝播したことを、検出信号(図15ではS1〜S7の7つ)に出力する複数の検出器74と、検出信号S1〜S7の出力結果と出力した順番とに基づいて不正の有無を判定し、第1のシールド線72が正常と判定されると、信号発生器71と検出器74とに、検知対象を第2のシールド線73に切り替える切り替え信号SWを出力し、第1のシールド線72と第2のシールド線73との判定結果に基づいて、不正検知信号A1を出力する判定器75と、制御回路1とで構成されている。
【0069】
図16に、第1のシールド線72と第2のシールド線73との配線経路を示す。第1及び第2のシールド線72,73は、半導体装置の最上層の金属で保護領域を覆うように、かつ必ず隣接(第1のシールド線72と第2のシールド線73とが交互に隣接)するように配線しており、保護領域の端での折り返しで経路を交差させないと、交互に隣接できないので、第1のシールド線72と第2のシールド線73とに保護された配線層の配線76とそれを接続するビア77とで第1のシールド線72と第2のシールド線73との経路を交差させて、第1のシールド線72と第2のシールド線73とが交互に隣接する配線経路を形成している。
【0070】
次に、上記保護回路の動作について説明する。制御回路1の制御信号に応答して信号発生器71は、任意のシールド線走査信号D1を発生し、このシールド線走査信号D1を第1のシールド線72の始点SP1より与えると同時に、第2のシールド線73の始点SP2に固定電位を与え、複数の検出器74に順番に伝播させる。
【0071】
図17は、検出器74の構成図である。図17の検出器74は、第1のシールド線72からのシールド線走査信号D1を入力させるか、第2のシールド線73からのシールド線走査信号D2を入力させるかを選択する選択回路82と、この選択回路82により選択された信号SAを受け取る検出器3又は53とで構成される。判定器75からの切り替え信号SWにより選択回路82は、検知対象の第1のシールド線72又は第2のシールド線73のどちらかを選択し、シールド線走査信号D1又はD2のどちらかを検出器3に入力する。検出器3は、シールド線走査信号D1又はD2の伝播を検出信号Snに出力し、判定器75にシールド線走査信号D1又はD2の伝播を伝える。
【0072】
図18は、判定器75の構成図である。図18の判定器75は、スタート(START)信号に応答して動作を開始する判定器4又は31と、判定器4又は31の判定結果が正常状態となった場合は、切り替え信号SWを出力し、両シールド線72,73の判定結果に基づいて不正検知信号A1を出力する判定回路85とで構成される。第1のシールド線72について、検出信号S1〜S7の結果と判定器4又は31に入力した順番(判定器31の場合は最初に入力される検出信号S1から他の検出信号S2〜S7が入力される時間も判定に加える。)とに基づいて不正の有無を判定し、正常状態と判定されれば、判定回路85は、切り替え信号SWを出力し、信号発生器71の動作を任意のシールド線走査信号D2を発生させて、第2のシールド線73の始点SP2より与えると同時に第1のシールド線72の始点SP1に固定電位を与える動作に切り替え、検出器74の検知対象を第2のシールド線73に切り替えて、第2のシールド線73について、検出信号S1〜S7の出力結果と判定器4又は31に入力した順番(判定器31の場合は最初に入力される検出信号S1から他の検出信号S2〜S7が入力される時間も判定に加える。)とに基づいて不正の有無を判定し、正常状態と判定されれば、判定回路85は、切り替え信号SWを出力し、信号発生器71と検出器74とを切り替えて、第1のシールド線72を検知対象とするとともに、不正検知信号A1を正常状態の信号にする。それ以外は、不正検知信号A1は、異常状態のままである。
【0073】
上記保護回路は、第1のシールド線72と第2のシールド線73とが交互に隣接しているのでシールド線走査信号D1又はD2と固定電位の状態とが交互になることにより、隣接したシールド線と安易に短絡できないようになしている。したがって、不正なFIB加工の難易度を上げ、耐タンパー性をより向上させることになる。また、近年の半導体のプロセスの微細化に伴い、配線間隔は非常に狭くなり、シールド線の耐タンパー性が上がる。
【0074】
しかし、1つのシールド線経路でシールド線を形成すると、折り返したシールド線の隣接経路間のカップリング容量が非常に大きくなる。そのためにシールド線走査信号の変化がカップリング容量を介して伝播するので、シールド線に与えたシールド線走査信号を検出器に順番に到達させることが困難となり、本発明を実現しづらくなる。しかし、上記保護回路のように2つの異なる経路の第1及び第2のシールド線72,73を互いに隣接させて、一方のシールド線73又は72を固定電位にすることにより、他方のシールド線72又は73のシールド線走査信号D1又はD2の変化がカップリング容量を介して伝播しなくなるので、第1及び第2のシールド線72又は73に与えたシールド線走査信号D1又はD2を検出器74に確実に順番に到達させることができる。以上のことにより、プロセスの微細化の課題を解決し、耐タンパー性を更に格段に向上させることができる。
【0075】
また、上記保護回路をシールド線走査パターン信号にし、第3の実施形態で示したような参照信号線51を設けて、検出器74を構成する図6の検出器3を図14の検出器53に置き換えてもよい。更には、検出器74の選択回路82により選択されなかった方の固定電位を監視する手段を備えると、固定電位のシールド線に外部印加をしたり、これをフローティング状態にしたりするような不正な手段を更に検出でき、耐タンパー性を向上できるのでより好ましい。
【0076】
《第5の実施形態》
図19に、第5の実施形態による保護回路の構成を示す。図19の保護回路は、、保護する必要性がある必要かつ十分な半導体装置領域(保護領域)上を最上層の金属で覆うように始点SP1から終点GP1に至る経路を1つのみ有する第1のシールド線50と、同様の形状で、始点SP3から終点GP3に至る経路を1つのみ有し、弟1のシールド線50とは異なる配線層で形成する第2のシールド線42と、任意のシールド線走査信号D1を発生し、第1のシールド線50の始点SPと第2のシールド線42の始点SP3とに与える信号発生器41と、第1のシールド線50からのシールド線走査信号D1と第2のシールド線42からのシールド線走査信号D1との伝播した時間差が予め設定した時間範囲内になっているかどうかで、正常なシールド線経路で伝播したかを検出信号(図19ではS1〜S4の4つ)に出力する複数の検出器42と、判定器4又は31と、制御回路1とで構成されている。
【0077】
図20に、図19に示した保護回路が搭載される半導体装置の各層の斜視図を示す。図20に示す半導体装置110では、素子形成層113にデバイス素子104が形成され、その上に複数層の配線層102が形成され、最上層とその1つ下の層とでシールド配線層111が形成されている。図19に示した第1のシールド線50はシールド配線層111のうち最上層に形成され、第2のシールド線42はその下層に形成される。第1及び第2のシールド線50,42は、保護領域103(デバイス素子104と配線層102とを含む)上を覆うように配線される。図19に示した信号発生器41、検出器42、判定器4又は31、制御回路1を構成する回路素子はデバイス素子104によって形成され、これらを接続する配線は配線層102によって形成されている。
【0078】
図21に示すように、第2のシールド線42を保護領域103中に挿入し、配線層102を第1のシールド線50と第2のシールド線42とで挟み込んだ構造にしてもよい。更に、素子形成層113にある拡散層配線600やウェル層602を使用して第2のシールド線42の経路を形成してもよい。また、素子形成層113の下の埋め込み層601に埋め込み層配線604で第2のシールド線42を形成してもよい。図21に示すようなシールド線の構成は、裏面からの不正なFIB加工に対して耐タンパー性を持つことができる。
【0079】
次に、上記のように構成された保護回路の動作を説明する。制御回路1の制御信号に応答して、任意のシールド線走査信号D1を発生し、第1のシールド線50の始点SP1と第2のシールド線42の始点SP3とに同時にシールド線走査信号D1を与える。次に、第1のシールド線50を通るシールド線走査信号D1と第2のシールド線42を通るシールド線走査信号D1との間にレイアウトの状態の寄生成分の差異で僅かな差がついて、複数の検出器42に順番に伝播する。
【0080】
図22に、検出器42の構成図を示す。図22の検出器42は、前述の検出器3又は53と、第1のシールド線50からのシールド線走査信号D1が伝播したことを示す検出信号aと、第2のシールド線42からのシールド線走査信号D1が伝播したことを示す検出信号bとの立ち上がりの時間差を計測して、予め設定した時間内にあるかどうかを判定する時間差判定回路44と、この時間差判定回路44の結果と検出信号aと検出信号bとに基づいて、正常な第1のシールド線50及び第2のシールド線42を通過してシールド線走査信号D1が伝播したことを検出信号Snに出力する検出信号出力回路45とで構成される。
【0081】
上記保護回路が搭載される半導体装置に不揮発メモリが搭載されているなら、不揮発メモリに予め設定した時間範囲を格納しておき、検知動作時に不揮発メモリから時間差判定回路44に時間範囲を読み出して比較判定を行ってもよい。また、時間計測モードを設け、出荷検査時にそれぞれの検出信号の伝播時間差を測定し、その結果を時間差判定回路44や、不揮発メモリに格納して比較判定に使用してもよい。更に時間差判定回路44は、検出信号aの立ち上がりから検出信号bの立ち上がりまでを論理Hレベルの信号幅で検出した信号で時間差を抽出する手段を時間差の計測とし、時間差を抽出した信号をフィルター回路に通し、完全に信号が濾過されるかどうかで、予め設定した時間内かどうかを判定する手段を備えてもよい。この場合、フィルター定数が設定時間となる。フィルター定数は、製造後であっても調整できるようにトリミング調整手段を備えておくと、より実用性が増して好ましい。
【0082】
以上のようにして、図19の保護回路によれば、出力された検出信号S1〜S4の結果と出力した順番(判定器31の場合は最初に入力される検出信号S1から他の検出信号S2〜S4が入力される時間も判定に加える。)とに基づいて不正検知信号A1を出力し、第1のシールド線50又は第2のシールド線42の経路の不正な改竄を検出する。
【0083】
上記保護回路は、第1のシールド線50と第2のシールド線42との形状を同じにするように、FIB加工技術等や適当な手段で、物理解析を阻害しないよう迂回経路でシールド線を再接続する、あるいは外部から導体路をバイパスとしてシールド線に接続することは非常に困難であり、耐タンパー性を格段に向上させることができる。
【0084】
図21のように、第1のシールド線50と第2のシールド線42とで配線層102を挟むようにすれば、裏面からの不正な解析手段においても耐タンパー性を向上させることができる。また、僅かな時間差を容易に実現する1つの実施形態として第1のシールド線50と第2のシールド線42との形状を同一にすることが最も容易ではあるが、別形状であっても本発明の上記保護回路を実現できる。また信号発生器41から始点SP1と始点SP3とに同時にシールド線走査信号D1を与えているが、任意の時間差をつけて与えてもよいことは言うまでもない。更に、上記保護回路のシールド線走査信号をパターン信号にし、第3の実施形態で示したような参照信号線51を設けて、検出器42を構成する図6の検出器3を図14の検出器53に置き換えてもよい。
【0085】
次に、上記各実施形態の保護回路を半導体装置に搭載する場合について説明する。上記各実施形態の保護回路から出る不正検知信号A1に基づいて、半導体装置への不正な解析・情報の改竄を防止する動作、例えば、保護すべき重要データをメモリから消去、又は、半導体装置の動作を不能にし、再起動もできない制御を行うモードに移行するような制御手段を備える実施形態がより実用的である。
【0086】
また、上記全ての実施形態の保護回路は、半導体装置の起動時に、検出器が正常に動作するかどうかをチェックする。直接検出器に対して、あるいは、信号発生器を制御し、シールド線を介して、仮想的に異常状態と正常状態とを作り出し、検出器を動作させて判定器からの不正検知信号A1の状態を検査する。その結果、正常であれば、保護回路によるシールド線の不正改竄検出に移行し、異常を検出した場合は即座に半導体装置を動作させないようにする。保護すべき重要データをメモリから消去、又は、半導体装置の動作を不能にし、再起動もできない制御を行う。このようにすることにより、保護回路の不正検知信号A1のノードが特定されて、シールド線を剥離し、そのノードに固定電位を与える不正行為にも保護効力を発揮する耐タンパー性のより高い保護回路を実現できる。次に保護回路のシールド線の不正改竄検出に移行し、改竄を検出しなければ、シールド線には半導体装置の動作に影響が最も少ない固定電位を供給する手段を備えておくと半導体装置の動作が安定したものとなり、動作中のシールド線の加工をも困難にし、より実用的である。特に、第4の実施形態においては、異なるシールド経路で交互に隣接しているため、経路ごとに固定電位が異なれば、動作中にシールド線に短絡しないように加工するのは更に困難となる。更に全ての実施形態の保護回路において、固定電位を監視する手段を検出器に備え、判定器において、検出信号だけで判定させる手段を備えると不正な攻撃で半導体装置を誤動作させ、一時的にうまくやり過ごしても、常時シールド線の固定電位を監視できるので耐タンパー性を向上させることができる。また、半導体装置の待機状態から動作状態に移行するごとに固定電位をランダムに使い分けるとより好ましい。
【0087】
なお、半導体装置に搭載する保護回路は複数搭載しても、別の実施形態の保護回路と組み合わせてもよい。更に、保護回路を構成している信号発生器、シールド線、検出器、あるいはいずれか少なくとも1つ、又は各構成要素の一部を半導体装置の外部に配置構成して電子機器に組み込み、電子機器全体で保護回路を構成するようにすると、保護すべき重要データが搭載された半導体装置を単体で電子機器より取り外して起動すると、半導体装置内にある少なくとも判定器が不正検知信号A1を出力し、即座に不正な解析・情報の改竄を防止する動作、例えば、保護すべき重要データをメモリから消去、又は、半導体装置の動作を不能にし、再起動もできない制御を行うモードに移行するようにして耐タンパー性を向上させてもよい。
【産業上の利用可能性】
【0088】
本発明によれば、半導体装置を覆うシールド線の改竄を検出する機能を持つ、耐タンパー性のより高い保護回路を容易に実現でき、当該保護回路を搭載することにより、半導体装置内部に保持された機密情報を不正な解析手段より保護し、より秘匿性のある半導体装置及び電子機器を容易に提供できる。
【符号の説明】
【0089】
1,500 制御回路
2,41,52,71,501 信号発生器
3,42,53,74,502 検出器
4,31,75 判定器
5,72,73,150,503 シールド線
6 機能モジュール
14 NMOSトランジスタ
15 入力バッファ回路
16 出力バッファ回路
18 シフトレジスタ
20 時間調整器
32 時間計測器
33,85 判定回路
42 第2のシールド線
44 時間差判定回路
45 検出信号出力回路
50 第1のシールド線
51 参照信号線
54 期待値パターン発生回路
55 信号パターン比較回路
100,110,700 半導体装置
101,111 シールド配線層
102 配線層
103 保護領域
104 デバイス素子
106 半導体基板
113 素子形成層
600 拡散層配線
601 埋め込み層
602 ウェル層
604 埋め込み層配線
A1 不正検知信号
D1,D2 シールド線走査信号
GP,GP1,GP2,GP3 終点
P1 シールド線走査パターン信号
S0 アラーム信号
S1〜S7,Sn 検出信号
SP,SP1,SP2,SP3 始点
SW 切り替え信号
T1 参照信号
【技術分野】
【0001】
本発明は、半導体装置内部の機密情報を不正な手段による解析行為から保護することを目的とした保護回路及びこれを備えた半導体装置及び電子機器に関するものである。
【背景技術】
【0002】
近年、半導体装置の回路情報や内部情報には著しい度合いの機密性・秘匿性が求められるようになっている。とりわけICカードの分野における半導体装置はその安全性を特徴としているため、重要な情報については不正な解析を受けないように保護し、内部情報の改竄・コピーを防止する必要がある。そのような厳重な保護機能を達成する方法が講じられる例が増えてきた。以下に従来の技術を説明する。
【0003】
図23は、従来の保護回路の構成例を示す。図23において、500は制御回路、501は信号発生器、502は検出器、503はシールド線、504は参照信号線、S0はアラーム信号である。この保護回路では、保護すべき集積回路の上にシールド線503が配線されている。信号発生器501から任意の信号がシールド線503及び参照信号線504にそれぞれ与えられる。信号発生器501から供給された信号は、それぞれシールド線503、参照信号線504を通過した後に検出器502に与えられる。検出器502は、シールド線503から供給される信号と参照信号線504から供給される信号とを比較し、差異が認められればアラーム信号S0を出力する。保護される集積回路はこのアラーム信号S0に応答して安全モードに移行し、不当な解析や改竄を事実上不可能にする(特許文献1参照)。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特表2002−529928号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
上述の従来の技術では、シールド線503を部分的に切断又は剥離した後、FIB加工技術等の適当な手段で、物理解析を阻害しない迂回経路でシールド線を再接続する不正手段や、外部から導体路をバイパスとしてシールド線に接続し不正検出機能を無効にする不正手段に対しては脆弱である。
【0006】
本発明の目的は、耐タンパー性の高い保護回路及びこれを備えた半導体装置及び電子機器を提供することにある。
【課題を解決するための手段】
【0007】
上記課題を解決するには、シールド線の物理特性を監視し、物理特性が変化したことをシールド線経路の改竄として検出できる保護回路を実現すればよい。しかしながら、シールド線の物理特性は保護される下層の形状と電気的特性や層間膜の状態によって決定されるので、設計時にシールド線の物理特性の正確なモデルを作成することは困難であり、更に製造上の誤差や動作保証環境内の特性変動等が加わるので、保護回路を容易に実現することができない。本発明の保護回路は、いずれもシールド線の物理特性の正確なモデルは必要としないので、容易に実現しうるものであり、更により一層の耐タンパー性の向上を図るものである。
【0008】
本発明による第1の保護回路は、半導体装置上の保護すべき領域を覆うように配線されかつ始点から終点に至る経路を1つのみ有するシールド線と、このシールド線にシールド線の状態を走査する電気信号(以下、シールド線走査信号と呼ぶ)を与える信号発生器と、この信号発生器からシールド線に与えられたシールド線走査信号の変化を捉えて、シールド線走査信号が伝播したことを検出信号として出力する手段を有する複数の検出器と、全ての検出器による検出信号の出力結果と、検出信号が出力された順番とに基づいて、シールド線の状態を判定して不正検知信号を出力する手段を有する判定器とを備えたことを特徴とする。
【0009】
上記保護回路は、信号発生器から与えられたシールド線走査信号がシールド線の始点に近い分岐接続を持つ検出器から順番にシールド線走査信号が伝播するように接続されている。信号発生器より与えられたシールド線走査信号が検出器に伝播すると、検出信号が判定器に送られ、出力された順番に検出信号が判定器に入力される。全ての検出信号が判定器に入力されたかどうかと、判定器に入力された検出信号の順番とに基づいて不正検知信号を出力することにより、不正な手段で行われたシールド線経路の改竄を検出する。全ての検出器から検出信号が出力されたかどうかでシールド線の部分的切断、又は剥離状態を検出し、検出信号が出力される順番が異なるかどうかで、FIB加工技術等や適当な手段で、物理解析を阻害しない迂回経路でシールド線を再接続する、あるいは外部から導体路をバイパスとしてシールド線に接続されたことを検出し課題を解決する。
【0010】
更に、上記保護回路の判定器は、最初の検出器からの検出信号が入力してから他の検出器からの検出信号が入力する時間を計測する手段と、この時間計測結果を判定基準に加えて不正検知信号を出力する手段とを有することが好ましい。
【0011】
上記保護回路は、予め設定した時間以内にそれぞれの検出器からの検出信号の出力順番に従って、検出信号が判定器に入力されたかどうかで、不正検知信号を出力することにより、不正な手段で行われたシールド線経路の改竄を検出する。シールド線走査信号が検出器を伝播する順番と、判定器に検出信号が入力される時間との両方が変動しないように、FIB加工技術等や適当な手段で、物理解析を阻害しない迂回経路でシールド線を再接続する、あるいは外部から導体路をバイパスとしてシールド線に接続することは非常に困難であるので、耐タンパー性を格段に向上させることができる。
【0012】
本発明の第2の保護回路は、上記第1の保護回路の構成に加えて、検出器からの検出信号が判定器に入力する時間を調整する手段を有する時間調整器を更に備えたことを特徴とする。
【0013】
上記保護回路は、検出信号が出力されてから判定器に入力するまでの時間を任意に作り込むことができるので、検出器や判定器の配置や検出信号のレイアウト配線の自由度が大幅に向上し、設計をより容易にすることができる。時間調整器で作り込んだ時間まで考慮して、FIB加工技術等や適当な手段で、物理解析を阻害しない迂回経路でシールド線を再接続する、あるいは外部から導体路をバイパスとしてシールド線に接続することは非常に困難であり、耐タンパー性を格段に向上させることができる。
【0014】
更に上記時間調整器を、シールド線の経路途上に、シールド線走査信号が検出器に伝播する時間を調整できるように配置した構成がより好ましい。
【0015】
上記保護回路は、シールド線走査信号が検出器に伝播する時間を任意に作り込むことができるので、同様にレイアウトの自由度が大幅に向上し、設計をより容易にすることができ、予め作り込んだ伝播時間に合わせて、FIB加工技術等や適当な手段で、物理解析を阻害しない迂回経路でシールド線を再接続する、あるいは外部から導体路をバイパスとしてシールド線に接続することは非常に困難であり、耐タンパー性を格段に向上させることができるだけでなく、シールド線経路の途中にリピータ及びバッファアンプを含む時間調整器を挿入することで、長いシールド線を駆動する信号発生器の消費電流を抑え、またシールド線経路の始点から終点までのシールド線走査信号の伝播時間を最適に調整し、保護回路自体の検知動作を最適な消費電力で短時間に完了させることができる。
【0016】
本発明の第3の保護回路は、上記第1又は第2の保護回路の構成において、シールド線に保護され、かつ複数の検出器と接続された参照信号線を更に備え、信号発生器は、シールド線にシールド線の状態を走査する論理パターン信号(以下、シールド線走査パターン信号と呼ぶ)を与える手段と、シールド線走査パターン信号から符号化した参照信号を発生し、参照信号線に与える手段とを有し、検出器は、参照信号線に与えた参照信号を復号化して期待値パターン信号を発生する手段と、発生した期待値パターン信号とシールド線走査パターン信号との比較により、シールド線走査パターン信号が伝播したことを検出信号に出力する手段とを有することを特徴とする。
【0017】
上記保護回路は、シールド線走査パターン信号が検出器に伝播する順番を変動させずに、FIB加工技術等や適当な手段で、物理解析を阻害しない迂回経路でシールド線を再接続する、あるいは外部から導体路をバイパスとしてシールド線に接続するのを困難にすることに加えて、単純なシールド線走査信号ではなく、複雑なシールド線走査パターン信号であるために、シールド線を、物理解析を阻害しない程度に剥離し、適当なところからシールド線に強制印加する攻撃についても困難にする。更に参照信号は、シールド線走査パターン信号とは異なるので、シールド線と参照信号線との両方に都合のよい信号を印加することで、パターン比較検知を無効にする攻撃に対しても耐タンパー性を持つことができるので、耐タンパー性を格段に向上させることができる。
【0018】
また更に、上記保護回路の信号発生器に乱数発生器を備えることがより好ましい。ランダムにシールド線走査パターン信号を変更するとシールド線走査パターン信号を解析することが困難となり、耐タンパー性を更に向上させることができる。
【0019】
本発明の第4の保護回路は、上記第1から第3の保護回路のうちいずれか1つの保護回路の構成において、シールド線は異なる経路を持つ2つのシールド線が互いに交互に隣接するように配線されている特徴を備え、信号発生器は、シールド線の一方にシールド線走査信号を与え、他方に固定電位を与える手段と、シールド線走査信号と固定電位とを相互に切り替える手段とを有し、検出器は、検知対象のシールド線を相互に切り替える手段を更に有し、判定器は、各々のシールド線の判定結果に基づいて信号発生器と検出器とに切り替え信号を与える手段と、全てのシールド線の判定結果に基づいて不正検知信号を出力する手段とを有することを特徴とする。
【0020】
近年の半導体装置は、プロセスの微細化に伴い、配線層の最小幅と間隔とが非常に狭くなっており、シールド線の幅と間隔とは非常に狭い状態で製造でき、耐タンパー性が向上する一方で、シールド線間のカップリング容量が非常に大きくなるために、シールド線走査信号の変化がカップリング容量を介して伝播する。ゆえにシールド線に与えたシールド線走査信号をシールド線の始点から近い分岐に接続された検出器から順番に伝播させることが非常に困難となる。
【0021】
ところが、上記保護回路は、2つの異なる経路のシールド線を互いに交互に隣接させて、一方のシールド線を固定電位にすることにより、他方のシールド線に伝播するシールド線走査信号の変化がカップリング容量を介して伝播しなくなるので、シールド線に与えたシールド線走査信号をシールド線の始点から近い分岐に接続された検出器から順番に伝播させることができる。更に、隣接シールド線と短絡しないように、かつシールド線走査信号が順番に検出器に伝播するように、FIB加工技術等や適当な手段で、物理解析を阻害しない迂回経路でシールド線を再接続する、あるいは外部から導体路をバイパスとしてシールド線に接続することは非常に困難となり、耐タンパー性を更に格段に向上させることができる。
【0022】
本発明の第5の保護回路は、上記第1から第4の保護回路のうちいずれか1つの保護回路の構成において、シールド線は、互いに異なる配線層で形成された第1のシールド線と第2のシールド線とを有し、信号発生器は、第1のシールド線と第2のシールド線とにシールド線走査信号を与える手段を有し、検出器は、第1のシールド線と第2のシールド線との検知結果が出力される時間差を計測又は検出する手段と、その時間差と検知結果とに基づいて検出信号を出力する手段とを有することを特徴とする。
【0023】
上記保護回路では、第1のシールド線と第2のシールド線とのレイアウト形状や保護される下層の形状と電気的特性と層間膜の状態とにより、与えたシールド線走査信号が検知器に伝播するまでにある固有の時間差ができる。その時間差を検出器での検出信号が出力される時間差として計測又は検出し、予め設定された第1のシールド線と第2のシールド線とに異常がない状態の伝播の時間差と比較して検出信号を出力し、更に検出信号が判定器に入力する順番に基づいて不正検知信号を出力することで、不正な手段で行われたシールド線経路の改竄を検出する。
【0024】
第1のシールド線と第2のシールド線とに与えたシールド線走査信号の伝播する時間差を変動させることなく、かつ検出信号の出力順番を変動しないように、FIB加工技術等や適当な手段で、物理解析を阻害しない迂回経路でシールド線を再接続する、あるいは外部から導体路をバイパスとしてシールド線に接続することは非常に困難となり、耐タンパー性を更に格段に向上させることができる。
【0025】
更に、シールド線により保護されるべき秘匿信号配線層を第1のシールド線の配線層と第2のシールド線の配線層とで挟むように形成された構造を有するのがより好ましい。
【0026】
上記保護回路は、表面からはもとより裏面からのFIB加工技術等や適当な手段で、物理解析や迂回経路でシールド線を再接続することを困難にできるので、耐タンパー性を格段に向上させることができる。
【0027】
本発明による半導体装置は、上記保護回路を搭載してシールド線の改竄を監視し、異常を捕捉した場合、不正検知信号を出力して、半導体装置への不正な解析・情報の改竄を防止する動作を行う。これにより耐タンパー性を向上させることができる。
【0028】
上記全ての保護回路は、電源投入時に、検出器と判定器とに制御回路からの制御信号に応答して、検出信号と不正検知信号とを正常に出力できるかをテストする手段と、シールド線走査信号、又はシールド線走査パターン信号を与えてない時にシールド線を固定電位にする手段とを備えることがより好ましい。これにより、リバースエンジニアリングにおいて、不正検知信号線を特定し、シールド線を全面剥離して、特定した不正検知信号線に外部から正常な信号を強制印加して保護回路を無効化する手段を防ぐことができ、上記保護回路を搭載した半導体装置の動作中もシールド線に強制外部印加や、不正な加工や改竄を容易に監視することができ、半導体装置の他の動作に与える影響を少なくできる。以上のことから、耐タンパー性を格段に向上させた半導体装置を容易に提供することができる。
【0029】
更に、保護回路を構成する信号発生器とシールド線と検出器とのいずれか少なくとも1つ又は一部の機能を半導体装置の外部に配置して、電子機器に組み込み、電子機器全体で保護回路を構成し、秘匿データのある半導体装置を単体で取り出して、起動させると、即座に半導体装置への不正な解析・情報の改竄を防止する動作を行うようにすると、より好ましい。
【発明の効果】
【0030】
本発明によれば、半導体装置を覆うシールド線の改竄を検出する機能を持つ、より高い耐タンパー性の保護回路を容易に実現でき、当該保護回路を搭載することにより、半導体装置内部に保持された機密情報を不正な解析手段より保護し、より秘匿性のある半導体装置及び電子機器を容易に提供できる。
【図面の簡単な説明】
【0031】
【図1】本発明の第1の実施形態による保護回路の構成図である。
【図2】図1に示した保護回路が搭載される半導体装置のシールド線経路を模式的に示す図である。
【図3】図1に示した保護回路が搭載される半導体装置の断面構造を模式的に示す図である。
【図4】図1に示した保護回路が搭載される半導体装置の概略構成図である。
【図5】図1に示したシールド線から検出器への分岐配線例を示す図である。
【図6】第1の実施形態に係る検出器の一実施形態を模式的に示す図である。
【図7】図6に示した検出器の動作を説明するためのタイミング波形を示す図である。
【図8】第1の実施形態に係る判定器の一実施形態の構成図である。
【図9】第1の実施形態の変形例に係る判定器の構成図である。
【図10】本発明の第2の実施形態による保護回路の構成図である。
【図11】第2の実施形態の変形例による保護回路の構成図である。
【図12】図11に示した保護回路が搭載される半導体装置のシールド線経路を模式的に示す図である。
【図13】本発明の第3の実施形態による保護回路の構成図である。
【図14】第3の実施形態に係る検出器の構成図である。
【図15】本発明の第4の実施形態による保護回路の構成図である。
【図16】第4の実施形態に係るシールド線の一部分を拡大して模式的に示す図である。
【図17】第4の実施形態に係る検出器の構成図である。
【図18】第4の実施形態に係る判定器の構成図である。
【図19】本発明の第5の実施形態による保護回路の構成図である。
【図20】図19に示した保護回路が搭載される半導体装置の構成の一部分を拡大して模式的に示す斜視図である。
【図21】図19に示した保護回路が搭載される他の半導体装置の構成の一部分を拡大して模式的に示す斜視図である。
【図22】第5の実施形態に係る検出器の構成図である。
【図23】従来の保護回路の構成図である。
【発明を実施するための形態】
【0032】
以下、本発明を実施するための形態について、図面を参照しながら説明する。なお、同様の構成要素については各図面において同じ参照符号を付し、その説明は繰り返さない。
【0033】
《第1の実施形態》
図1に、第1の実施形態による保護回路の構成を示す。この保護回路は、半導体装置に搭載され、半導体装置内部の機密情報を不正な手段による解析行為から保護することを目的とする回路である。この保護回路は、保護する必要性がある必要かつ十分な半導体装置領域(保護領域)上を最上層の金属で覆うように始点SPから終点GPに至る経路を1つのみ有するシールド線5と、シールド線5の状態を走査する電気信号であるシールド線走査信号D1をシールド線5の始点SPから与える信号発生器2と、シールド線走査信号D1の変化を捉えて、シールド線走査信号D1が伝播したことを、検出信号(図1ではS1〜S7の7つ)に出力する複数の検出器3と、検出信号S1〜S7の出力結果と検出信号S1〜S7の出力された順番とに基づいて不正検知信号A1を出力する判定器4と、信号発生器2と検出器3と判定器4とを制御する制御回路1とで構成される。
【0034】
図2に、図1に示した保護回路が搭載される半導体装置のシールド線5の配線経路の例を示す。図2において、シールド線5は、半導体装置100における製造上の最上層の金属で、保護する必要性がある必要かつ十分な半導体装置100の保護領域上を覆うように配線されている。シールド線5は、一筆書きのトポロジーで配線されており、始点SPから終点GPに至る経路を1つのみ有する。シールド線5は、できるだけパッドを除く半導体装置全域を覆い隠すように配線することが好ましい。これにより、シールド線5を剥離せずに半導体装置100に対し不正な解析行為をすることが困難になる。更にできるだけ製造上許容される最小な配線幅と間隔とで配線することがより好ましい。これによりFIB加工技術でもシールド線5を切断せずに、シールド線5の間やシールド線5上に孔をあけ、下層との接続をもつパッドを形成することを困難にし、同時に、シールド線5の幅がマイクロプローブ端子より十分に狭いため、プローブ端子を立てることを困難にする。更には外部からのシールド線5への接続をも難しくすることができる。また、シールド線5の経路を90度配線や、45度配線や、90度配線で進行方向を45度方向にしたものや、それらの組み合わせの配線を駆使して、実現する複雑な形状と経路にしてもよい。
【0035】
図3に、図1に示した保護回路が搭載される半導体装置の断面構成の概略を示す。図3に示す半導体装置100では、半導体基板106の上にデバイス素子104が形成され、その上に複数層の配線層102が形成され、最上層にシールド配線層101が形成されている。図1に示したシールド線5はシールド配線層101に形成され、保護領域103(デバイス素子104と配線層102とを含む)上を覆うように配線される。図1に示した信号発生器2、検出器3、判定器4、制御回路1を構成する回路素子はデバイス素子104によって形成され、これらを接続する配線7〜13(図1参照)は配線層102によって形成されている。すなわち、信号発生器2、検出器3、判定器4、制御回路1及びこれらを接続する配線7〜13はシールド線5で保護されている。また、シールド配線層101と拡散層配線600やウェル層602や埋め込み層配線604とを組み合わせて、保護領域103から見て裏面からのシールド線を形成してもよい。例えば、半導体基板106の埋め込み層601にて埋め込み層配線604でシールド線5を形成してもよい。
【0036】
図4に示すように、保護回路の判定器4からの不正検知信号A1は、半導体装置100の機能モジュール6に供給される。機能モジュール6を構成する回路素子はデバイス素子104によって形成され、これらを接続する配線は配線層102によって形成されており、機能モジュール6もシールド線5で保護されている。
【0037】
図5に示すように、始点SPから終点GPまでの経路を1つのみ有するシールド線5を途中で分岐させて、終点GP1〜GPnのそれぞれに対して検出器3が接続されているものとする。シールド線走査信号D1が伝播する経路は複数X0〜Xnになるが、経路X1についてみると始点SPから終点GP1に至る経路は1つのみであり、経路Xnについてみると始点SPから終点GPnに至る経路は1つのみである。このような複数の経路X1からXnを構成するように分散配置した検出器3に、シールド線走査信号D1が始点SPからの経路X1〜Xnの長さに応じて順番に伝播するように接続されている。なお、配線13は、シールド線5で保護されている配線層102を使用しているが、拡散層配線600やウェル層602や埋め込み層配線604まで使用して裏面からの耐タンパー性を持たせてもよい。
【0038】
次に、以上のように構成された上記保護回路の動作について説明する。制御回路1からの制御信号に応答して、信号発生器2からシールド線5の始点SPへ、シールド線走査信号D1が与えられる。シールド線走査信号D1がシールド線5と配線13とを通り検出器3に伝播する。検出器3はシールド線走査信号D1の変化が伝播すると検出信号S1〜S7を出力する。
【0039】
図6に検出器3の一実施形態を、図7にその動作タイミングを示す。ただし、これ以外にも様々な実施形態があることは言うまでもない。
【0040】
図6において、検出器3はNMOSトランジスタ14と、入力バッファ回路15と、出力バッファ回路16とで構成される。17は、これらの要素14,15,16が共通に接続された配線である。
【0041】
図7によれば、最初にシールド線5を論理L状態にし、制御回路1からの制御信号CB1を論理LでNMOSトランジスタ14をオン状態に制御して、検出信号SnをLのリセット状態にする。つづいて、制御回路1からの制御信号CB1を論理H状態にしNMOSトランジスタ14をオフ状態に制御して検知動作許可状態にする。このとき、検出信号SnはL状態である。次に、制御回路1からの制御信号(配線7の信号)に応答し、信号発生器2は、シールド線5の始点SPにシールド線走査信号D1を与える。シールド線走査信号D1はLからHの信号遷移である。シールド線走査信号D1は、シールド線5と配線13とを伝播し、入力バッファ回路15及び出力バッファ回路16を経て、検出信号SnをLからHにして、その先に接続される判定器4にシールド線走査信号D1の信号遷移が伝播したことを伝える。ところが、シールド線5に切断箇所があると、シールド線走査信号D1の信号遷移が入力バッファ回路15まで伝播しないので、検出信号Snは論理Lを保持する。
【0042】
入力バッファ回路15は、アンテナ効果の保護回路と、入力ヒステリシスを有するバッファ回路のような貫通電流対策の手段とを備えた回路であることが好ましい。シールド線5は非常に長い配線であり、半導体装置100の保護領域103の面積によっては数十cm以上になることもあり、シールド線5に接続される素子は、アンテナ効果により製造中に破壊することがある。また、配線負荷が大きいために、シールド線走査信号D1の遷移がゆっくりで時間がかかるために、通常の入力バッファ回路では、貫通電流が非常に多く流れてしまい現実的な低消費電流にならない。したがって、入力バッファ回路15はアンテナ効果対策及び貫通電流対策の手段を備えることでより実用性が増す。
【0043】
このように検出器3から出力された検出信号Sn(nは自然数)は、始点SPから検出器3に伝播する経路の長さに応じた順番に検出信号が出力されて、検出信号が出力された順番に判定器4に入力される。判定器4は、全ての検出器3からの検出信号の出力結果と、検出信号Snの出力した順番とに基づいて不正の有無を判定し、不正検知信号A1を出力する。
【0044】
図8に、判定器4の最も簡単な一実施形態を示す。ただし、これ以外にも様々な実施形態があることは言うまでもない。図8において、判定器4はリセット付きシフトレジスタ18で構成される。最初に、リセット(RESET)信号にてシフトレジスタ18を初期化してリセット状態にする。このとき、不正検知信号A1は異常状態である。次にリセット状態を解除して、シールド線走査信号D1をシールド線5の始点SPより与え、検出器3からの検出信号S1から入力順番に正常状態の信号をシフトさせて最後の検出信号Snの入力で、不正検知信号A1に正常状態の信号が出力される。全ての検出器3が、シールド線走査信号D1の伝播を検知したことを知らせる検出信号S1〜Snが全て入力しないと、不正検知信号A1は異常状態のままである。また、入力する順番が変わると、シフト動作の順番が変わり、正常状態の信号は出力されず異常状態のままである。すなわち、シールド線走査信号D1が伝播したことを知らせる検出信号が全て入力し、かつ入力する順番が検出信号の出力順番と変わらない条件を満たした時のみ不正検知信号A1は正常状態の信号が出力される。
【0045】
以上のことより、検出信号が全て出力されるかどうかで、シールド線5の部分的切断、又は剥離状態を検出し、検出信号が判定器4に入力した順番が異なると、シールド線走査信号D1が順番どおりに検出器3に伝播しなかったことになり、シールド線5の経路が改竄されシールド線5の経路がショートカットされたことが検出できる。
【0046】
更に、偶発的にFIB加工技術等や適当な手段で、物理解析を阻害しない長い迂回経路でシールド線5の経路を改竄して検出信号の出力順番を変えないように再接続されてしまう場合があるが、通常このような保護回路での検知動作は、半導体装置の初期化動作で行われ、できるだけ短い許容時間内で検知動作を完了するように制御されるので、検知動作の許容時間内に検出信号が全て出力されて、判定器4に入力しないので特別な手段を有しなくとも検出できてしまう。もちろん、上記判定器4にタイマーを備えて、タイマーの時間で不正検知信号A1の出力を制御してもよい。
【0047】
以上のことより、FIB加工技術等や適当な手段で、物理解析を阻害しないよう迂回経路でシールド線5を再接続する、あるいは外部から導体路をバイパスとしてシールド線5に接続されたことを検出し、課題を解決することができる。
【0048】
〈第1の実施形態の変形例〉
第1の実施形態の変形例について説明する。この保護回路は、上記第1の実施形態の保護回路の構成において判定器4を、図9に示す判定器31に置き換えたものである。図9において、判定器31は、図8の判定器4と、最初に判定器31に入力される検出信号S1が到達してから、検出信号S2、S3、・・・・、Snがそれぞれ入力される時間を計測する時間計測器32と、判定器4の判定結果と時間計測器32の計測結果とに基づいて不正の有無を判定して不正検知信号A1を出力する判定回路33とで構成される。判定器4は、入力した検出信号S1〜Snを順次シフトした信号Q1〜Qnを時間計測器32へ与える。
【0049】
次に、以上のように構成された判定器31の動作について説明する。最初にリセット信号により判定器4と時間計測器32とをリセットする。このとき、不正検知信号A1は異常状態である。次にリセットを解除した後、最初に判定器4に入力される検出信号S1によってシフトした信号Q1を時間計測器32のトリガー信号にして時間計測器32をスタートさせる。次に、入力した検出信号S2によって判定器4においてシフトした信号Q2に応答して時間計測器32の結果を判定回路33に送り、以下順次入力する検出信号S3〜Snまで同様の動作を繰り返す。判定回路33には、予め検出信号S1が到達してから各検出信号S2〜Snが到達する時間範囲が設定されており、時間計測器32の結果と比較判定を逐次行う。比較判定が全てOKとなり、判定器4から正常状態の信号が判定回路33に入力された時のみ、不正検知信号A1は正常状態の信号が出力される。
【0050】
図9の判定器31を用いた保護回路は、検出信号S1が判定器31に入力してからそれぞれ検出信号S2からSnまでの入力時間範囲を規定しているので、それぞれの規定時間範囲に間に合うようにFIB加工技術等や適当な手段で、物理解析を阻害しないよう迂回経路でシールド線を再接続する、あるいは外部から導体路をバイパスとしてシールド線に接続することは非常に困難であり、耐タンパー性を格段に向上させることができる。
【0051】
また、ある任意の検出器3からの検出信号だけの入力時間の比較であってもよい。更に上記保護回路が搭載される半導体装置に不揮発メモリが搭載されているなら、不揮発メモリに予め設定した時間範囲を格納しておき、検知動作時に不揮発メモリから判定回路33に読み出して比較判定を行ってもよい。また、時間計測モードを設け、出荷検査時にそれぞれの検出信号の入力時間を測定し、その結果を判定回路33や不揮発メモリに格納し比較判定に使用してもよい。
【0052】
《第2の実施形態》
図10に、第2の実施形態による保護回路の構成を示す。図10に示すように、この保護回路は、上記第1の実施形態の保護回路の構成において、検出器3からの検出信号の伝播時間を調整する時間調整器20を更に備えた構成であり、時間調整器20と、検出信号S1〜S7と、時間調整された検出信号S1a〜S7aとはシールド線5によって保護されている。
【0053】
次に、上記保護回路の動作について説明する。検出器3からの検出信号(図10ではS1〜S7の7つ)が時間調整器20に入力され、時間調整器20によって検出信号S1〜S7が出力した順番に判定器4又は31に入力されるように時間調整された検出信号S1a〜S7aが判定器4又は31に入力される。判定器4又は31において、全ての検出信号S1〜S7の出力結果と出力の順番とに基づいて(判定器31の場合は最初に入力される検出信号S1aから他の検出信号S2a〜S7aが入力される時間も判定に加える。)、不正検知信号A1を出力し、不正な手段で行われたシールド線経路の改竄を検出する。
【0054】
上記保護回路では、シールド線走査信号D1が始点SPに近い分岐点に接続されている検出器3から順番に伝播する。検出器3からの検出信号S1〜S7が伝播した順番に出力されるが、判定器4又は31に入力する検出信号の順番も同じにするためには、検出器3の分散配置と判定器4又は31の配置とがある程度限定され、レイアウトの制約を受けてしまう。しかし、本実施形態によれば、時間調整器20により、検出信号S1a〜S7aの入力順番をシールド線走査信号D1が始点SPに近い分岐点に接続される検出器3に伝播する順番に合わせることができるので、複数の検出器3の配置と判定器4又は31の配置や配線のレイアウト自由度を大幅に広げることができ、上記保護回路を確実に動作するよう調整することができる。また、時間調整器20において、検出信号S1a〜S7aの判定器4又は31への入力時間を作り込むことは、シールド線走査信号D1がそれぞれの検出器3に伝播する時間に制約を与えることに等しく、その時間制約に合わせるように、FIB加工技術等や適当な手段で、物理解析を阻害しない迂回経路でシールド線を再接続する、あるいは外部から導体路をバイパスとしてシールド線に接続することは非常に困難である。
【0055】
以上のことより、本発明による上記保護回路は、高い耐タンパー性を持ち、かつレイアウトの自由度を広げ容易に実現できる。また時間調整器20は、製造後であっても任意の時間に調整できるようにトリミング調整手段を備えておくと、より好ましい。
【0056】
〈第2の実施形態の変形例〉
図11に、第2の実施形態の変形例による保護回路の構成を示す。図11の保護回路は、時間調整器20をシールド線150の経路途上に組み込んだ構成である。
【0057】
図12に、図11に示した保護回路が搭載される半導体装置のシールド線150の配線経路の例を示す。図12において、シールド線150は、半導体装置700における製造上の最上層の金属で、保護する必要性がある必要かつ十分な半導体装置700の保護領域上を覆うように配線されている。しかも、シールド線150は、時間調整器20を介して、始点SPから終点GPに至る経路を1つのみ有する。シールド線150が時間調整器20を保護しているが、時間調整器20の入力部と出力部とは最上層の配線で経路が切断されているように見える。経路が切断されている部分は、できるだけ製造上許容される最小な配線間隔であることが好ましい。
【0058】
上記保護回路は、シールド線150の経路を通るシールド線走査信号D1がそれぞれ分散配置された複数の検出器3に伝播する時間を調整する。シールド線走査信号D1がそれぞれ分散配置された複数の検出器3に伝播する時間を調整することは、検出信号S1〜S7が検出器3より判定器4に入力する順番を調整することになるので、検出器3の分散配置と判定器4又は31の配置や配線のレイアウト自由度を広げることができ、保護回路が確実に動作するよう調整することができる。時間調整器20によって調整されたシールド線走査信号D1がそれぞれの検出器3に伝播する時間に合わせるように、FIB加工技術等や適当な手段で、物理解析を阻害しない迂回経路でシールド線を再接続する、あるいは外部から導体路をバイパスとしてシールド線に接続することは非常に困難である。
【0059】
以上のことより、本発明による上記保護回路は、高い耐タンパー性を持ち、かつレイアウトの自由度を広げ容易に実現できる。また、時間調整器20に、リピーターやバッファアンプを含めた構成にすると、シールド線走査信号D1をある段の時間調整器20と次段の時間調整器20との間を安定した信号で供給できる。その積み重ねでシールド線150の経路を形成しているので、始点SPから終点GPまで信号を安定供給できる。更にシールド線走査信号D1の伝播時間を最適に調整でき、シールド線150を駆動する信号発生器2の消費電流を抑え、保護回路自体の検知動作を最適な消費電力で短時間に完了させることができる。これは、チップサイズの大きな半導体装置に搭載するには非常に有用である。
【0060】
《第3の実施形態》
図13に、第3の実施形態による保護回路の構成を示す。図13の保護回路は、、上記シールド線5の始点SPにシールド線走査パターン信号P1を与え、シールド線5によって保護された参照信号線51にシールド線走査パターン信号P1を符号化した参照信号T1を与える信号発生器52と、参照信号T1を復号して期待値パターンを発生し、シールド線走査パターン信号P1と比較して、シールド線走査パターン信号P1が伝播したことを検出信号(図13ではS1〜S7の7つ)に出力する複数の検出器53と、判定器4又は31と、制御回路1とで構成されている。
【0061】
次に、上記保護回路の動作について説明する。制御回路1の制御信号に応答して信号発生器52は、任意のシールド線走査パターン信号P1を発生し、これをシールド線5の始点SPより与え、同時にシールド線走査パターン信号P1を元に符号化して参照信号T1を参照信号線51に与える。そして、シールド線走査パターン信号P1と参照信号T1とが複数の検出器53に伝播される。
【0062】
図14は、検出器53の構成図である。図14の検出器53は、参照信号T1を復号化して期待値パターン信号を発生させる期待値パターン発生回路54と、シールド線走査パターン信号P1と期待値パターン信号とのパターンの比較を行い、一致/不一致を検出信号Snに出力する信号パターン比較回路55とで構成される。
【0063】
参照信号T1が検出器53に入力されると、期待値パターン発生回路54で復号化して期待値パターン信号を発生させ、シールド線走査パターン信号P1とパターン比較を行い、一致/不一致を検出信号Snに出力し、判定器4又は31にシールド線走査パターン信号P1の伝播を伝える。
【0064】
全ての検出信号S1〜S7の出力結果と、判定器4又は31に入力したその順番とに基づいて(判定器31の場合は最初に入力される検出信号S1から他の検出信号S2〜S7が入力される時間も判定に加える。)、不正検知信号A1を出力し、シールド線5の経路の不正な改竄を検出する。
【0065】
上記保護回路は、シールド線5に直接外部から、シールド線走査信号D1を印加して、検出器3に伝播する順番を合わせる不正手段を講じてくる場合でも、シールド線走査パターン信号P1を解析して同じタイミングで信号発生器52を再現することは困難である。また、期待値パターンは内部発生であるため、シールド線5と参照信号線51との両方に都合のよい信号を印加することで、パターン比較検知を無効にする攻撃に対しても耐タンパー性を発揮し、耐タンパー性を格段に向上させることができる。
【0066】
また、シールド線走査パターン信号P1はビット幅が大きいシリアルパターンであることが好ましい。また、参照信号Tについては、期待値パターン信号発生のトリガー信号で、参照信号Tをトリガーにする期待値パターン信号発生手段を備えてもよい。更にシールド線走査パターン信号P1のパターンの一部の抜き出しでもよく、検出器53での期待値パターン発生との比較は、パターンの全ての比較ではなく、部分的な比較でもよい。
【0067】
更には、信号発生器52に乱数発生器を備え、発生した乱数に基づいてシールド線走査パターン信号P1を発生させるようにすると、シールド線走査パターン信号P1を解析して再現するのは更に困難になるので、耐タンパー性を格段に向上させることができる。
【0068】
《第4の実施形態》
図15に、第4の実施形態による保護回路の構成を示す。図15の保護回路は、、保護する必要性がある必要かつ十分な半導体装置領域(保護領域)上を最上層の金属で覆うように始点SP1から終点GP1に至る経路を1つのみ有する第1のシールド線72と、同様に始点SP2から終点GP2に至る経路を1つのみ有する第2のシールド線73と、任意のシールド線走査信号D1又はD2を発生し、始点SP1からシールド線走査信号D1を与える時は、始点SP2に固定電位を与え、始点SP2からシールド線走査信号D2を与える時は、始点SP1に固定電位を与える信号発生器71と、検知対象を第1のシールド線72と第2のシールド線73とに相互に切り替える手段を備え、シールド線走査信号D1又はD2が伝播したことを、検出信号(図15ではS1〜S7の7つ)に出力する複数の検出器74と、検出信号S1〜S7の出力結果と出力した順番とに基づいて不正の有無を判定し、第1のシールド線72が正常と判定されると、信号発生器71と検出器74とに、検知対象を第2のシールド線73に切り替える切り替え信号SWを出力し、第1のシールド線72と第2のシールド線73との判定結果に基づいて、不正検知信号A1を出力する判定器75と、制御回路1とで構成されている。
【0069】
図16に、第1のシールド線72と第2のシールド線73との配線経路を示す。第1及び第2のシールド線72,73は、半導体装置の最上層の金属で保護領域を覆うように、かつ必ず隣接(第1のシールド線72と第2のシールド線73とが交互に隣接)するように配線しており、保護領域の端での折り返しで経路を交差させないと、交互に隣接できないので、第1のシールド線72と第2のシールド線73とに保護された配線層の配線76とそれを接続するビア77とで第1のシールド線72と第2のシールド線73との経路を交差させて、第1のシールド線72と第2のシールド線73とが交互に隣接する配線経路を形成している。
【0070】
次に、上記保護回路の動作について説明する。制御回路1の制御信号に応答して信号発生器71は、任意のシールド線走査信号D1を発生し、このシールド線走査信号D1を第1のシールド線72の始点SP1より与えると同時に、第2のシールド線73の始点SP2に固定電位を与え、複数の検出器74に順番に伝播させる。
【0071】
図17は、検出器74の構成図である。図17の検出器74は、第1のシールド線72からのシールド線走査信号D1を入力させるか、第2のシールド線73からのシールド線走査信号D2を入力させるかを選択する選択回路82と、この選択回路82により選択された信号SAを受け取る検出器3又は53とで構成される。判定器75からの切り替え信号SWにより選択回路82は、検知対象の第1のシールド線72又は第2のシールド線73のどちらかを選択し、シールド線走査信号D1又はD2のどちらかを検出器3に入力する。検出器3は、シールド線走査信号D1又はD2の伝播を検出信号Snに出力し、判定器75にシールド線走査信号D1又はD2の伝播を伝える。
【0072】
図18は、判定器75の構成図である。図18の判定器75は、スタート(START)信号に応答して動作を開始する判定器4又は31と、判定器4又は31の判定結果が正常状態となった場合は、切り替え信号SWを出力し、両シールド線72,73の判定結果に基づいて不正検知信号A1を出力する判定回路85とで構成される。第1のシールド線72について、検出信号S1〜S7の結果と判定器4又は31に入力した順番(判定器31の場合は最初に入力される検出信号S1から他の検出信号S2〜S7が入力される時間も判定に加える。)とに基づいて不正の有無を判定し、正常状態と判定されれば、判定回路85は、切り替え信号SWを出力し、信号発生器71の動作を任意のシールド線走査信号D2を発生させて、第2のシールド線73の始点SP2より与えると同時に第1のシールド線72の始点SP1に固定電位を与える動作に切り替え、検出器74の検知対象を第2のシールド線73に切り替えて、第2のシールド線73について、検出信号S1〜S7の出力結果と判定器4又は31に入力した順番(判定器31の場合は最初に入力される検出信号S1から他の検出信号S2〜S7が入力される時間も判定に加える。)とに基づいて不正の有無を判定し、正常状態と判定されれば、判定回路85は、切り替え信号SWを出力し、信号発生器71と検出器74とを切り替えて、第1のシールド線72を検知対象とするとともに、不正検知信号A1を正常状態の信号にする。それ以外は、不正検知信号A1は、異常状態のままである。
【0073】
上記保護回路は、第1のシールド線72と第2のシールド線73とが交互に隣接しているのでシールド線走査信号D1又はD2と固定電位の状態とが交互になることにより、隣接したシールド線と安易に短絡できないようになしている。したがって、不正なFIB加工の難易度を上げ、耐タンパー性をより向上させることになる。また、近年の半導体のプロセスの微細化に伴い、配線間隔は非常に狭くなり、シールド線の耐タンパー性が上がる。
【0074】
しかし、1つのシールド線経路でシールド線を形成すると、折り返したシールド線の隣接経路間のカップリング容量が非常に大きくなる。そのためにシールド線走査信号の変化がカップリング容量を介して伝播するので、シールド線に与えたシールド線走査信号を検出器に順番に到達させることが困難となり、本発明を実現しづらくなる。しかし、上記保護回路のように2つの異なる経路の第1及び第2のシールド線72,73を互いに隣接させて、一方のシールド線73又は72を固定電位にすることにより、他方のシールド線72又は73のシールド線走査信号D1又はD2の変化がカップリング容量を介して伝播しなくなるので、第1及び第2のシールド線72又は73に与えたシールド線走査信号D1又はD2を検出器74に確実に順番に到達させることができる。以上のことにより、プロセスの微細化の課題を解決し、耐タンパー性を更に格段に向上させることができる。
【0075】
また、上記保護回路をシールド線走査パターン信号にし、第3の実施形態で示したような参照信号線51を設けて、検出器74を構成する図6の検出器3を図14の検出器53に置き換えてもよい。更には、検出器74の選択回路82により選択されなかった方の固定電位を監視する手段を備えると、固定電位のシールド線に外部印加をしたり、これをフローティング状態にしたりするような不正な手段を更に検出でき、耐タンパー性を向上できるのでより好ましい。
【0076】
《第5の実施形態》
図19に、第5の実施形態による保護回路の構成を示す。図19の保護回路は、、保護する必要性がある必要かつ十分な半導体装置領域(保護領域)上を最上層の金属で覆うように始点SP1から終点GP1に至る経路を1つのみ有する第1のシールド線50と、同様の形状で、始点SP3から終点GP3に至る経路を1つのみ有し、弟1のシールド線50とは異なる配線層で形成する第2のシールド線42と、任意のシールド線走査信号D1を発生し、第1のシールド線50の始点SPと第2のシールド線42の始点SP3とに与える信号発生器41と、第1のシールド線50からのシールド線走査信号D1と第2のシールド線42からのシールド線走査信号D1との伝播した時間差が予め設定した時間範囲内になっているかどうかで、正常なシールド線経路で伝播したかを検出信号(図19ではS1〜S4の4つ)に出力する複数の検出器42と、判定器4又は31と、制御回路1とで構成されている。
【0077】
図20に、図19に示した保護回路が搭載される半導体装置の各層の斜視図を示す。図20に示す半導体装置110では、素子形成層113にデバイス素子104が形成され、その上に複数層の配線層102が形成され、最上層とその1つ下の層とでシールド配線層111が形成されている。図19に示した第1のシールド線50はシールド配線層111のうち最上層に形成され、第2のシールド線42はその下層に形成される。第1及び第2のシールド線50,42は、保護領域103(デバイス素子104と配線層102とを含む)上を覆うように配線される。図19に示した信号発生器41、検出器42、判定器4又は31、制御回路1を構成する回路素子はデバイス素子104によって形成され、これらを接続する配線は配線層102によって形成されている。
【0078】
図21に示すように、第2のシールド線42を保護領域103中に挿入し、配線層102を第1のシールド線50と第2のシールド線42とで挟み込んだ構造にしてもよい。更に、素子形成層113にある拡散層配線600やウェル層602を使用して第2のシールド線42の経路を形成してもよい。また、素子形成層113の下の埋め込み層601に埋め込み層配線604で第2のシールド線42を形成してもよい。図21に示すようなシールド線の構成は、裏面からの不正なFIB加工に対して耐タンパー性を持つことができる。
【0079】
次に、上記のように構成された保護回路の動作を説明する。制御回路1の制御信号に応答して、任意のシールド線走査信号D1を発生し、第1のシールド線50の始点SP1と第2のシールド線42の始点SP3とに同時にシールド線走査信号D1を与える。次に、第1のシールド線50を通るシールド線走査信号D1と第2のシールド線42を通るシールド線走査信号D1との間にレイアウトの状態の寄生成分の差異で僅かな差がついて、複数の検出器42に順番に伝播する。
【0080】
図22に、検出器42の構成図を示す。図22の検出器42は、前述の検出器3又は53と、第1のシールド線50からのシールド線走査信号D1が伝播したことを示す検出信号aと、第2のシールド線42からのシールド線走査信号D1が伝播したことを示す検出信号bとの立ち上がりの時間差を計測して、予め設定した時間内にあるかどうかを判定する時間差判定回路44と、この時間差判定回路44の結果と検出信号aと検出信号bとに基づいて、正常な第1のシールド線50及び第2のシールド線42を通過してシールド線走査信号D1が伝播したことを検出信号Snに出力する検出信号出力回路45とで構成される。
【0081】
上記保護回路が搭載される半導体装置に不揮発メモリが搭載されているなら、不揮発メモリに予め設定した時間範囲を格納しておき、検知動作時に不揮発メモリから時間差判定回路44に時間範囲を読み出して比較判定を行ってもよい。また、時間計測モードを設け、出荷検査時にそれぞれの検出信号の伝播時間差を測定し、その結果を時間差判定回路44や、不揮発メモリに格納して比較判定に使用してもよい。更に時間差判定回路44は、検出信号aの立ち上がりから検出信号bの立ち上がりまでを論理Hレベルの信号幅で検出した信号で時間差を抽出する手段を時間差の計測とし、時間差を抽出した信号をフィルター回路に通し、完全に信号が濾過されるかどうかで、予め設定した時間内かどうかを判定する手段を備えてもよい。この場合、フィルター定数が設定時間となる。フィルター定数は、製造後であっても調整できるようにトリミング調整手段を備えておくと、より実用性が増して好ましい。
【0082】
以上のようにして、図19の保護回路によれば、出力された検出信号S1〜S4の結果と出力した順番(判定器31の場合は最初に入力される検出信号S1から他の検出信号S2〜S4が入力される時間も判定に加える。)とに基づいて不正検知信号A1を出力し、第1のシールド線50又は第2のシールド線42の経路の不正な改竄を検出する。
【0083】
上記保護回路は、第1のシールド線50と第2のシールド線42との形状を同じにするように、FIB加工技術等や適当な手段で、物理解析を阻害しないよう迂回経路でシールド線を再接続する、あるいは外部から導体路をバイパスとしてシールド線に接続することは非常に困難であり、耐タンパー性を格段に向上させることができる。
【0084】
図21のように、第1のシールド線50と第2のシールド線42とで配線層102を挟むようにすれば、裏面からの不正な解析手段においても耐タンパー性を向上させることができる。また、僅かな時間差を容易に実現する1つの実施形態として第1のシールド線50と第2のシールド線42との形状を同一にすることが最も容易ではあるが、別形状であっても本発明の上記保護回路を実現できる。また信号発生器41から始点SP1と始点SP3とに同時にシールド線走査信号D1を与えているが、任意の時間差をつけて与えてもよいことは言うまでもない。更に、上記保護回路のシールド線走査信号をパターン信号にし、第3の実施形態で示したような参照信号線51を設けて、検出器42を構成する図6の検出器3を図14の検出器53に置き換えてもよい。
【0085】
次に、上記各実施形態の保護回路を半導体装置に搭載する場合について説明する。上記各実施形態の保護回路から出る不正検知信号A1に基づいて、半導体装置への不正な解析・情報の改竄を防止する動作、例えば、保護すべき重要データをメモリから消去、又は、半導体装置の動作を不能にし、再起動もできない制御を行うモードに移行するような制御手段を備える実施形態がより実用的である。
【0086】
また、上記全ての実施形態の保護回路は、半導体装置の起動時に、検出器が正常に動作するかどうかをチェックする。直接検出器に対して、あるいは、信号発生器を制御し、シールド線を介して、仮想的に異常状態と正常状態とを作り出し、検出器を動作させて判定器からの不正検知信号A1の状態を検査する。その結果、正常であれば、保護回路によるシールド線の不正改竄検出に移行し、異常を検出した場合は即座に半導体装置を動作させないようにする。保護すべき重要データをメモリから消去、又は、半導体装置の動作を不能にし、再起動もできない制御を行う。このようにすることにより、保護回路の不正検知信号A1のノードが特定されて、シールド線を剥離し、そのノードに固定電位を与える不正行為にも保護効力を発揮する耐タンパー性のより高い保護回路を実現できる。次に保護回路のシールド線の不正改竄検出に移行し、改竄を検出しなければ、シールド線には半導体装置の動作に影響が最も少ない固定電位を供給する手段を備えておくと半導体装置の動作が安定したものとなり、動作中のシールド線の加工をも困難にし、より実用的である。特に、第4の実施形態においては、異なるシールド経路で交互に隣接しているため、経路ごとに固定電位が異なれば、動作中にシールド線に短絡しないように加工するのは更に困難となる。更に全ての実施形態の保護回路において、固定電位を監視する手段を検出器に備え、判定器において、検出信号だけで判定させる手段を備えると不正な攻撃で半導体装置を誤動作させ、一時的にうまくやり過ごしても、常時シールド線の固定電位を監視できるので耐タンパー性を向上させることができる。また、半導体装置の待機状態から動作状態に移行するごとに固定電位をランダムに使い分けるとより好ましい。
【0087】
なお、半導体装置に搭載する保護回路は複数搭載しても、別の実施形態の保護回路と組み合わせてもよい。更に、保護回路を構成している信号発生器、シールド線、検出器、あるいはいずれか少なくとも1つ、又は各構成要素の一部を半導体装置の外部に配置構成して電子機器に組み込み、電子機器全体で保護回路を構成するようにすると、保護すべき重要データが搭載された半導体装置を単体で電子機器より取り外して起動すると、半導体装置内にある少なくとも判定器が不正検知信号A1を出力し、即座に不正な解析・情報の改竄を防止する動作、例えば、保護すべき重要データをメモリから消去、又は、半導体装置の動作を不能にし、再起動もできない制御を行うモードに移行するようにして耐タンパー性を向上させてもよい。
【産業上の利用可能性】
【0088】
本発明によれば、半導体装置を覆うシールド線の改竄を検出する機能を持つ、耐タンパー性のより高い保護回路を容易に実現でき、当該保護回路を搭載することにより、半導体装置内部に保持された機密情報を不正な解析手段より保護し、より秘匿性のある半導体装置及び電子機器を容易に提供できる。
【符号の説明】
【0089】
1,500 制御回路
2,41,52,71,501 信号発生器
3,42,53,74,502 検出器
4,31,75 判定器
5,72,73,150,503 シールド線
6 機能モジュール
14 NMOSトランジスタ
15 入力バッファ回路
16 出力バッファ回路
18 シフトレジスタ
20 時間調整器
32 時間計測器
33,85 判定回路
42 第2のシールド線
44 時間差判定回路
45 検出信号出力回路
50 第1のシールド線
51 参照信号線
54 期待値パターン発生回路
55 信号パターン比較回路
100,110,700 半導体装置
101,111 シールド配線層
102 配線層
103 保護領域
104 デバイス素子
106 半導体基板
113 素子形成層
600 拡散層配線
601 埋め込み層
602 ウェル層
604 埋め込み層配線
A1 不正検知信号
D1,D2 シールド線走査信号
GP,GP1,GP2,GP3 終点
P1 シールド線走査パターン信号
S0 アラーム信号
S1〜S7,Sn 検出信号
SP,SP1,SP2,SP3 始点
SW 切り替え信号
T1 参照信号
【特許請求の範囲】
【請求項1】
半導体装置上の保護すべき領域を覆うように配線されかつ始点から終点に至る経路を1つのみ有するシールド線と、
前記シールド線に信号を与える信号発生器と、
前記シールド線上の前記信号発生器からの信号の変化を捉えて検出信号として出力する手段を有する複数の検出器と、
少なくとも2つの前記検出器による前記検出信号の出力結果と、前記検出信号が出力された順番とに基づいて、不正検知信号を出力する手段を有する判定器とを備えたことを特徴とする保護回路。
【請求項2】
請求項1に記載の保護回路において、
前記判定器は、
最初の前記検出器から出力される前記検出信号が入力してから他の前記検出器から出力される前記検出信号が入力する時間を計測する手段と、
前記検出信号の出力結果と、前記検出信号が出力された順番と、前記時間計測の結果とに基づいて前記シールド線の状態を判定する手段とを更に有することを特徴とする保護回路。
【請求項3】
請求項1又は2に記載の保護回路において、
前記検出器からの前記検出信号が前記判定器に到達する時間を調整する手段を有する時間調整器を更に備えたことを特徴とする保護回路。
【請求項4】
請求項1〜3のいずれか1項に記載の保護回路において、
前記時間調整器は、前記シールド線の経路に組み込まれたことを特徴とする保護回路。
【請求項5】
請求項1〜4のいずれか1項に記載の保護回路において、
前記シールド線に覆われた参照信号線を更に備え、
前記信号発生器は、前記シールド線の状態を走査する論理パターン信号を発生し、前記シールド線に与える手段と、発生した論理パターンから符号化した信号を発生し前記参照信号線に与える手段を有し、
前記検出器は、前記符号化した信号を復号化して期待値パターン信号を発生し前記シールド線に与えられた前記論理パターンと比較して前記検出信号を出力する手段を有することを特徴とする保護回路。
【請求項6】
請求項5に記載の保護回路において、
前記信号発生器は乱数発生器を含み、
前記シールド線の状態を走査するランダムな論理パターン信号を発生する手段を更に備えたことを特徴とする保護回路。
【請求項7】
請求項1〜6のいずれか1項に記載の保護回路において、
始点から終点に至る経路を1つのみ有するシールド線を少なくとも2つのシールド線を互いに交互に隣接し、半導体装置上の保護すべき領域を覆うように配線されており、
前記信号発生器は、前記シールド線の一方に前記シールド線の状態を走査する電気信号を与え、かつ他方に固定電位を与える手段と、前記電気信号と前記固定電位を与えるシールド線を相互に切り替える手段とを有し、
前記検出器は、検知対象の前記シールド線を相互に切り替える手段を更に有し、
前記判定器は、前記シールド線の各々の判定結果に基づいて、前記信号発生器と前記検出器にシールド線切り替え信号を与える手段と、全ての前記シールド線の判定結果に基づいて、前記不正検知信号を出力する手段とを有することを特徴とする保護回路。
【請求項8】
請求項7に記載の保護回路において、
前記検出器に固定電位の異常を監視する手段を更に備えることを特徴とする保護回路。
【請求項9】
請求項1〜8のいずれか1項に記載の保護回路において、
前記シールド線は、互いに異なる配線層で形成された第1のシールド線と第2のシールド線とを有し、
前記信号発生器は、前記第1のシールド線と前記第2のシールド線とにシールド線の状態を走査する電気信号を与える手段を有し、
前記検出器は、前記第1のシールド線と前記第2のシールド線との前記シールド線の状態を走査する電気信号が伝播する時間差に基づいて検出信号を出力する手段を有することを特徴とする保護回路。
【請求項10】
請求項9に記載の保護回路において、
前記シールド線は、前記第1のシールド線の配線層と前記第2のシールド線の配線層とで、保護される信号線の配線層を挟んだ構造を有することを特徴とする保護回路。
【請求項11】
請求項1〜10のいずれか1項に記載の保護回路において、
前記シールド線の経路の全体又は一部、又は前記シールド線と前記検出器とを接続する配線経路の全体又は一部において、半導体配線層が使用されていることを特徴とする保護回路。
【請求項12】
請求項1〜11のいずれか1項に記載の保護回路を備えたことを特徴とする半導体装置。
【請求項13】
請求項12に記載の半導体装置において、
前記不正検知信号に応答して、不正な解析・情報の改竄を不能にするモードに移行することを特徴とする半導体装置。
【請求項14】
請求項13に記載の半導体装置において、
起動時に前記検出器と前記判定器の動作テストすることを特徴とする半導体装置。
【請求項15】
請求項13に記載の半導体装置において、
前記保護回路での検知動作をしない時に、前記シールド線を固定電位にして動作することを特徴とする半導体装置。
【請求項16】
請求項13に記載の半導体装置であって、前記信号発生器と前記シールド線と前記検出器とのいずれか少なくとも1つ、又は含まれる一部の手段を前記半導体装置の外部に配置した半導体装置と、
前記外部に配置した前記信号発生器と前記シールド線と前記検出器のいずれか少なくとも1つ、又は含まれる一部の手段とで保護回路をなすことを特徴とする電子機器。
【請求項1】
半導体装置上の保護すべき領域を覆うように配線されかつ始点から終点に至る経路を1つのみ有するシールド線と、
前記シールド線に信号を与える信号発生器と、
前記シールド線上の前記信号発生器からの信号の変化を捉えて検出信号として出力する手段を有する複数の検出器と、
少なくとも2つの前記検出器による前記検出信号の出力結果と、前記検出信号が出力された順番とに基づいて、不正検知信号を出力する手段を有する判定器とを備えたことを特徴とする保護回路。
【請求項2】
請求項1に記載の保護回路において、
前記判定器は、
最初の前記検出器から出力される前記検出信号が入力してから他の前記検出器から出力される前記検出信号が入力する時間を計測する手段と、
前記検出信号の出力結果と、前記検出信号が出力された順番と、前記時間計測の結果とに基づいて前記シールド線の状態を判定する手段とを更に有することを特徴とする保護回路。
【請求項3】
請求項1又は2に記載の保護回路において、
前記検出器からの前記検出信号が前記判定器に到達する時間を調整する手段を有する時間調整器を更に備えたことを特徴とする保護回路。
【請求項4】
請求項1〜3のいずれか1項に記載の保護回路において、
前記時間調整器は、前記シールド線の経路に組み込まれたことを特徴とする保護回路。
【請求項5】
請求項1〜4のいずれか1項に記載の保護回路において、
前記シールド線に覆われた参照信号線を更に備え、
前記信号発生器は、前記シールド線の状態を走査する論理パターン信号を発生し、前記シールド線に与える手段と、発生した論理パターンから符号化した信号を発生し前記参照信号線に与える手段を有し、
前記検出器は、前記符号化した信号を復号化して期待値パターン信号を発生し前記シールド線に与えられた前記論理パターンと比較して前記検出信号を出力する手段を有することを特徴とする保護回路。
【請求項6】
請求項5に記載の保護回路において、
前記信号発生器は乱数発生器を含み、
前記シールド線の状態を走査するランダムな論理パターン信号を発生する手段を更に備えたことを特徴とする保護回路。
【請求項7】
請求項1〜6のいずれか1項に記載の保護回路において、
始点から終点に至る経路を1つのみ有するシールド線を少なくとも2つのシールド線を互いに交互に隣接し、半導体装置上の保護すべき領域を覆うように配線されており、
前記信号発生器は、前記シールド線の一方に前記シールド線の状態を走査する電気信号を与え、かつ他方に固定電位を与える手段と、前記電気信号と前記固定電位を与えるシールド線を相互に切り替える手段とを有し、
前記検出器は、検知対象の前記シールド線を相互に切り替える手段を更に有し、
前記判定器は、前記シールド線の各々の判定結果に基づいて、前記信号発生器と前記検出器にシールド線切り替え信号を与える手段と、全ての前記シールド線の判定結果に基づいて、前記不正検知信号を出力する手段とを有することを特徴とする保護回路。
【請求項8】
請求項7に記載の保護回路において、
前記検出器に固定電位の異常を監視する手段を更に備えることを特徴とする保護回路。
【請求項9】
請求項1〜8のいずれか1項に記載の保護回路において、
前記シールド線は、互いに異なる配線層で形成された第1のシールド線と第2のシールド線とを有し、
前記信号発生器は、前記第1のシールド線と前記第2のシールド線とにシールド線の状態を走査する電気信号を与える手段を有し、
前記検出器は、前記第1のシールド線と前記第2のシールド線との前記シールド線の状態を走査する電気信号が伝播する時間差に基づいて検出信号を出力する手段を有することを特徴とする保護回路。
【請求項10】
請求項9に記載の保護回路において、
前記シールド線は、前記第1のシールド線の配線層と前記第2のシールド線の配線層とで、保護される信号線の配線層を挟んだ構造を有することを特徴とする保護回路。
【請求項11】
請求項1〜10のいずれか1項に記載の保護回路において、
前記シールド線の経路の全体又は一部、又は前記シールド線と前記検出器とを接続する配線経路の全体又は一部において、半導体配線層が使用されていることを特徴とする保護回路。
【請求項12】
請求項1〜11のいずれか1項に記載の保護回路を備えたことを特徴とする半導体装置。
【請求項13】
請求項12に記載の半導体装置において、
前記不正検知信号に応答して、不正な解析・情報の改竄を不能にするモードに移行することを特徴とする半導体装置。
【請求項14】
請求項13に記載の半導体装置において、
起動時に前記検出器と前記判定器の動作テストすることを特徴とする半導体装置。
【請求項15】
請求項13に記載の半導体装置において、
前記保護回路での検知動作をしない時に、前記シールド線を固定電位にして動作することを特徴とする半導体装置。
【請求項16】
請求項13に記載の半導体装置であって、前記信号発生器と前記シールド線と前記検出器とのいずれか少なくとも1つ、又は含まれる一部の手段を前記半導体装置の外部に配置した半導体装置と、
前記外部に配置した前記信号発生器と前記シールド線と前記検出器のいずれか少なくとも1つ、又は含まれる一部の手段とで保護回路をなすことを特徴とする電子機器。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】
【図21】
【図22】
【図23】
【公開番号】特開2011−258693(P2011−258693A)
【公開日】平成23年12月22日(2011.12.22)
【国際特許分類】
【出願番号】特願2010−131004(P2010−131004)
【出願日】平成22年6月8日(2010.6.8)
【出願人】(000005821)パナソニック株式会社 (73,050)
【Fターム(参考)】
【公開日】平成23年12月22日(2011.12.22)
【国際特許分類】
【出願日】平成22年6月8日(2010.6.8)
【出願人】(000005821)パナソニック株式会社 (73,050)
【Fターム(参考)】
[ Back to top ]