-
Die
Erfindung betrifft einen integrierten Schaltkreis mit einer auftrennbaren
Leitungsstruktur, die in einem aufgetrennten Zustand einen Zugriff
auf mindestens einen Schaltungsteil des integrierten Schaltkreises
verhindert.
-
Integrierte
Schaltkreise können
als Schaltungsteile einen oder mehrere Datenspeicher enthalten,
die Daten beispielsweise in binärer
Form speichern. Die Datenspeicher können beispielsweise als ROM,
EPROM oder als EEPROM ausgeführt
sein. Üblicherweise
werden hierbei bestimmte Daten während
des Fertigungsprozesses in den Datenspeicher bzw. Schaltungsteil
des integrierten Schaltkreises geschrieben bzw. programmiert, die
nach der Herstellung des Schaltkreises bzw. bei dessen bestimmungsgemäßen Gebrauch
nicht mehr verändert
werden dürfen.
In bestimmten Fällen
kann sogar ein Auslesen dieser Daten unerwünscht sein.
-
Um
einen derartigen ungewollten Schreib- und/oder Lese-Zugriff auf
den entsprechenden Schaltungsteil bzw. auf die darin enthaltenen
Daten zu verhindern, sind verschiedene Technologien und Verfahren
bekannt.
-
Eine
weit verbreitete Möglichkeit
ist der Zugriffsschutz durch Verwendung eines Passworts. Wenn jedoch
ein versuchter, vergeblicher Zugriff innerhalb des integrierten
Schaltkreises nicht abspeicherbar ist, kann das Passwort so lange
verändert
werden, bis ein Zugriff schließlich
möglich
wird. Wenn die Zugriffsfreigabe nach Eingabe des richtigen Passworts
als Bit-Wert in einem dynamischen Speicherelement, beispielsweise
einem Flip-Flop, gespeichert wird, besteht durch gezielte Veränderung
einer Betriebsspannung des integrierten Schaltkreises zusätzlich die
Möglichkeit,
den Speicherinhalt des Speicherelements zu kippen und derart einen
unerlaubten Zugriff zu ermöglichen.
-
Wenn
EEPROMS als Datenspeicher verwendet werden, wird der Programmierzugriff
in der Regel durch sogenannte Verriegelungs- bzw. Lock-Bits verhindert.
Hierzu wird eine zugeordnete Speicherzelle des EEPROMS programmiert.
Wenn ein Zugriff auf den integrierten Schaltkreis erfolgt, wird
zuerst der Wert dieser Zelle ausgelesen und bewertet. Ist der Wert
beispielsweise "1", wird der Zugriff
gesperrt bzw. verhindert. Die Zugriffsfreigabe wird hierbei wiederum üblicherweise
als Bit-Wert in einem dynamischen Speicherelement gespeichert, wodurch,
wie bereits oben beschrieben, ein unerlaubter Zugriff durch gezielte
Veränderung
der Betriebsspannung des integrierten Schaltkreises möglich wird.
-
Insbesondere
bei sogenannten Chipkarten-Anwendung, beispielsweise bei Bankkarten,
werden einseitige und zweiseitige Authentifizierungsmechanismen
verwendet, die auf sogenannten Krypto-Algorithmen basieren. Dies
setzt jedoch voraus, dass auf dem integrierten Schaltkreis entsprechende Schaltungsteile
vorhanden sein müssen,
die derartige Krypto-Algorithmen unterstützen. Dadurch nimmt die erforderliche
Chipfläche
und der notwendige Energiebedarf zu. Auch hier besteht wiederum
die Gefahr des unerlaubten Zugriffs durch Veränderung der Betriebsspannung,
wenn das Ergebnis des Authentifizierungsverfahrens in einem dynamischen
Speicherelement vorgehalten wird.
-
In
der ISO WD 18000-6 WD Mode 3 vom 01.02.2003 ist ein Verfahren beschrieben,
bei dem die Daten verschlüsselt
auf dem integrierten Schaltkreis abgespeichert werden. Die Entschlüsselung dieser
Daten ist nur unter Verwendung von externen Entschlüsselungsinformationen
möglich,
die beispielsweise auf einem Rechner abgelegt sind, auf den ein
sicherer Zugriff über
ein Netzwerk möglich ist.
-
Eine
weitere Möglichkeit
des Zugriffsschutzes ist der Einsatz sogenannter Fuse-Strukturen
zur Speicherung von nur einmalig beschreibbaren Speicherbereichen.
Hierbei wird jedem Bit eines abzuspeichernden Datums eine Fuse der
Struktur zugeordnet, die beim Programmieren in Abhängigkeit von
der Wertigkeit des zu programmierenden Bits zerstört bzw.
aufgetrennt wird oder intakt bleibt. Voraussetzung hierfür ist jedoch
ein Halbleiter-Prozess, der derartige Fuses zur Verfügung stellen
kann. Weiterhin nimmt der Platzbedarf mit der Zunahme der Größe der zu
speichernden Daten ebenfalls stark zu.
-
Neben
der Speicherung von Bitwerten mit Hilfe von Fuse-Strukturen kann
auch die Zugriffssteuerung mit Hilfe einer Fuse-Struktur oder einer
Leitungsstruktur erfolgen, wobei im aufgetrennten bzw. zerstörten Zustand
der Fuse oder der Leitung der Zugriff verhindert wird. Üblicherweise
erfolgt das Auftrennen in einem speziell hierfür vorgesehnen Fertigungsschritt
auf Waferebene.
-
Der
Erfindung liegt als technisches Problem die Bereitstellung eines
integrierten Schaltkreises mit einer auftrennbaren Leitungsstruktur,
die in einem aufgetrennten Zustand einen Zugriff auf mindestens einen
Schaltungsteil des integrierten Schaltkreises verhindert, sowie
eines Wafers zugrunde, die eine einfache und sichere Zugriffssteuerung
ermöglichen, die
einfach realisierbar sind und möglichst
keine zusätzlichen
Fertigungsschritte auf Waferebene benötigen.
-
Die
Erfindung löst
dieses Problem durch die Bereitstellung eines integrierten Schaltkreises
mit den Merkmalen des Anspruchs 1 sowie eines Wafers mit den Merkmalen
des Anspruchs 10.
-
Erfindungsgemäß ist die
Leitungsstruktur derart positioniert, dass sie bei einer Vereinzelung des
integrierten Schaltkreises aus einem Wafer aufgetrennt wird. Somit
wird bei dem auf Waferebene stattfindenden Vereinzelungsschritt
gleichzeitig auch der Zugriff auf einen oder mehrere Schaltungsteile gesperrt.
Ein getrennter Fertigungsschritt, bei dem eine Leitungsstruktur
bzw. eine Fuse zerstört
bzw. aufgetrennt wird, kann entfallen. Durch das Auftrennen kann
ein Schreib- und/oder Lese-Zugriff verhindert werden. Möglich ist
auch das Sperren bestimmter Operation oder Kommandos, wie beispielsweise bestimmter
Testroutinen, die lediglich auf Waferebene ablaufen dürfen. Aufgrund
der Zerstörung
der Leitungsstruktur ist es nach der Vereinzelung praktisch unmöglich, die
verbleibenden Leitungsteile nachträglich zu kontaktieren, um einen
unbefugten Zugriff, beispielsweise durch Anlegen von Potentialen,
zu ermöglichen.
-
In
einer Weiterbildung des integrierten Schaltkreises nach Anspruch
2 ist die Leitungsstruktur in einem Ritzrahmen des Wafers positioniert.
Bei einer derartigen Positionierung der Leitungsstruktur wird durch
diese kein zusätzlicher
Raum in einem Funktionsbereich mit hoher Integrationsdichte des
integrierten Schaltkreises benötigt.
Dies ermöglicht eine
kostengünstige
und einfache Fertigung.
-
In
einer Weiterbildung des integrierten Schaltkreises nach Anspruch
3 umfasst der mindestens eine Schaltungsteil einen Speicher, insbesondere
ein EEPROM. Auf diese Weise lässt
sich das EEPROM einfach und wirkungsvoll vor unbefugten Zugriffen
sichern.
-
In
einer Weiterbildung des integrierten Schaltkreises nach Anspruch
4 verbindet die auftrennbare Leitungsstruktur einen Ausgangs-Schaltungsknoten
mit einem Eingangs-Schaltungsknoten des integrierten Schaltkreises.
Auf diese Weise lassen sich komplexere, dynamische Sicherungsmechanismen
implementieren, die einen unbefugten Zugriff durch statisches Anlegen
eines Potentials an den Eingangs-Schaltungsknoten
verhindern. Vorteilhaft ist gemäß einer
Weiterbildung nach Anspruch 5 der Eingangs-Schaltungsknoten mit
einem Pull-Up-Widerstand
oder einem Pull-Down-Widerstand versehen und/oder der Ausgangs-Schaltungsknoten
als Open-Drain-Anschluss ausgeführt.
Der Eingangs-Schaltungsknoten liegt folglich nach einer Vereinzelung
auf definiertem Potential. Der Zustand des Eingangs kann einmal,
beispielsweise während einer
Initialisierung des Schaltkreises, oder mehrfach eingelesen bzw.
abgetastet werden. Eine mehrfache Abtastung kann beispielsweise
mit einer Taktfrequenz erfolgen, die aus einem internen Oszillatortakt abgeleitet
ist, oder durch externe Taktsignale getrieben werden. Wenn der Ausgangs-Schaltungsknoten als
Open-Drain-Anschluss
ausgeführt
ist, besteht auf Waferebene die Möglichkeit, zusätzlich externe
Prüfmittel
mit den Schaltungsknoten zu kontaktieren.
-
In
einer Weiterbildung des integrierten Schaltkreises nach Anspruch
6 umfasst der integrierte Schaltkreis zusätzlich eine Signalerzeugungseinheit,
die zur Erzeugung eines Ausgangssignals am Ausgangs-Schaltungsknoten
ausgebildet ist, eine Signalerfassungseinheit, die zur Erfassung
eines Eingangssignals am Eingangs-Schaltungsknoten ausgebildet ist,
und eine mit der Signalerzeugungseinheit und der Signalerfassungseinheit
gekoppelte Auswerteeinheit, die zum Vergleichen des Ausgangssignals
mit dem Eingangssignal und zur Erzeugung eines Zugriffsfreigabesignals
ausgebildet ist, wobei das Zugriffsfreigabesignal gesetzt wird,
wenn das Ausgangssignal mit dem Eingangssignal übereinstimmt. Eine Übereinstimmung
kann auch dann vorliegen, wenn das Eingangssignal im Vergleich zum
Ausgangssignal invertiert ist. Die dy namische Erfassung der am Eingangs-Schaltungsknoten
anliegenden Zustände
verhindert einen unbefugten Zugriff, falls durch Manipulation ein
statisches Signal an den Eingangs-Schaltungsknoten angelegt wird.
Vorteilhaft erzeugt gemäß Anspruch
7 die Signalerzeugungseinheit das Ausgangssignal in Abhängigkeit von
Nachrichten, die durch den integrierten Schaltkreis empfangen werden.
Alternativ oder in Kombination erzeugt die Signalerzeugungseinheit
gemäß Anspruch
8 das Ausgangssignal in Abhängigkeit
vom Zustand von Speicherzellen, die sich im integrierten Schaltkreis
befinden. Eine Vorhersage bzw. Emulation des eine Freigabe bewirkenden,
an den Eingangs-Schaltungsknoten anzulegenden Signals wird folglich
drastisch erschwert.
-
In
einer Weiterbildung des integrierten Schaltkreises nach Anspruch
9 weist die auftrennbare Leitungsstruktur mindestens ein Pad oder
Kontaktfläche
auf, das zur Kontaktierung mit einer Programmiervorrichtung ausgebildet
ist, wobei das Pad bei einer Vereinzelung des integrierten Schaltkreises
aus dem Wafer zerstört
wird. Dies ermöglicht
eine einfache elektrische Kontaktierung des integrierten Schaltkreises
auf Waferebene, da das Pad eine ausreichende Kontaktfläche zur
Verfügung
stellt. Nach der Vereinzelung ist eine Kontaktierung praktisch ausgeschlossen.
-
Der
erfindungsgemäße Wafer
nach Anspruch 10 umfasst mindestens einen integrierten Schaltkreis
nach einem der Ansprüche
1 bis 9.
-
Eine
vorteilhafte Ausführungsform
der Erfindung ist in der Zeichnung dargestellt und wird nachfolgend
beschrieben.
-
Die
einzige Figur zeigt schematisch eine Draufsicht auf einen Ausschnitt
aus einem Wafer WF, auf dem integrierte Schaltkreise IC angeordnet
sind, sowie eine Programmiervorrichtung PV zur Initialisierung und
Programmierung der integrierten Schaltkreise IC auf Waferebene.
Selbst verständlich
sind auf dem Wafer WF mehrere, gleichartige integrierte Schaltkreise
IC angeordnet, wobei jedoch aus Gründen der einfacheren Darstellung
lediglich zwei integrierte Schaltkreise IC gezeigt sind.
-
Der
integrierte Schaltkreis IC ist ein Transponder, d.h. ein sogenannter
Radio-Frequency-Identification(RFID)-Schaltkreis. Er umfasst einen
Schaltungsteil in Form eines Speicherbereichs SB, der als EEPROM
ausgeführt
ist, eine auftrennbare Leitungsstruktur LS, die einen Ausgangs-Schaltungsknoten AS
mit einem Eingangs-Schaltungsknoten ES verbindet, eine Signalerzeugungseinheit
SG zur Erzeugung eines Ausgangssignals am Ausgangs-Schaltungsknoten
AS, eine Signalerfassungseinheit SE zur Erfassung eines Eingangssignals
am Eingangs-Schaltungsknoten
ES und eine mit der Signalerzeugungseinheit SG und der Signalerfassungseinheit
SE gekoppelte Auswerteeinheit AE zum Vergleichen des Ausgangssignals
mit dem Eingangssignal und Erzeugung eines Zugriffsfreigabesignals.
-
Der
Eingangs-Schaltungsknoten ES ist mit einem nicht gezeigten Pull-Down-Widerstand beschaltet
und der Ausgangs-Schaltungsknoten AS ist als Open-Drain-Anschluss
ausgeführt.
Die Schaltungsknoten AS und ES werden im fertig konfektionierten
integrierten Schaltkreis IC nicht als von einem Benutzer kontaktierbare
Anschlüsse
ausgeführt.
-
Die
auftrennbare Leitungsstruktur LS weist in etwa mittig zwischen dem
Ausgangs-Schaltungsknoten AS und dem Eingangs-Schaltungsknoten ES
ein Pad PD auf, das zur Kontaktierung mit der Programmiervorrichtung
PV dient. Zur Kontaktierung mit der Programmiervorrichtung PV ist
weiterhin ein Bezugspotentialanschluss BA vorgesehen, der ebenfalls
als Pad ausgebildet ist.
-
Die
Programmiervorrichtung PV dient unter anderem zur Initialisierung
bzw. Programmierung des Speicherbereichs SB. Dies setzt voraus,
dass ein entsprechender Programmierzugriff im Transponder freigeschaltet
ist. Wenn der Programmierzugriff freigeschaltet bzw. möglich ist,
werden die im Speicherbereich SB abzulegenden Daten von der Programmiervorrichtung
in herkömmlicher,
nicht gezeigter Weise in den Speicherbereich SB programmiert.
-
Bei
inaktivem Ausgangs-Schaltungsknoten AS befindet sich dieser in einem
hochohmigen Zustand, da er als Open-Drain-Anschluss ausgeführt ist.
Aufgrund des Pull-Down-Widerstandes am Eingangs-Schaltungsknoten ES wird der Eingang
auf Bezugspotential d.h. Masse gezogen. Dies entspricht dem Zustand
bei aufgetrennter Leitungsstruktur LS. Eine Programmierung und/oder
ein Auslesen des Speicherbereichs SB ist gesperrt. Auf diese Weise kann
bereits auf Waferebene überprüft werden,
ob der integrierte Schaltkreis IC bei einem Auftrennen der Leitungsstruktur
LS einen Zugriff tatsächlich
verhindert.
-
Zur
Freischaltung werden zwei Prüfspitzen PS1
und PS2 der Programmiervorrichtung PV mit dem Pad PD der Leitungsstruktur
LS bzw. dem Bezugspotentialanschluss BA kontaktiert. Die erste Prüfspitze
PS1 verbindet einen Anschluss A1 der Programmiervorrichtung PV mit
dem Pad PD der Leitungsstruktur LS und die zweite Prüfspitze
PS2 verbindet den Bezugspotentialanschluss BA des integrierten Schaltkreises
IC mit einem Bezugspotential-Anschluss A2 der Programmiervorrichtung
PV. Der Anschluss A1 ist intern mit einem Pull-Up-Widerstand beschaltet,
der derart dimensioniert ist, dass er bei inaktivem Ausgangs-Schaltungsknoten
AS das Potential des Eingangs-Schaltungsknotens ES auf einen Versorgungsspannungspegel
zieht, d.h. er ist niederohmiger als der Pull-Down-Widerstand des
Eingangs-Schaltungsknotens ES. Erst wenn der Ausgangs-Schaltungsknoten
AS aktiv wird, zieht dessen nicht gezeigter Ausgangstransistor das
Potential des Eingangs-Schaltungsknotens
ES wieder auf Masse.
-
Im
einfachsten Fall kann nun eine Freigabe erfolgen, wenn das Potential
des Eingangs-Schaltungsknotens ES statisch auf Versorgungsspannungsniveau
liegt. Ein verbesserter Schutz vor unbefugtem Zugriff kann jedoch
durch eine dynamische Erzeugung des am Eingangs-Schaltungsknoten ES anliegenden Signals
erzielt werden. Hierzu wird durch die Signalerzeugungseinheit SG
ein dynamisches Signal am Ausgangs-Schaltungsknoten AS erzeugt,
welches bei intakter Leitungsstruktur LS und kontaktierter Programmiervorrichtung
PV ein entsprechendes Signal am Eingangs-Schaltungsknoten AS bewirkt
und durch die Signalerfassungseinheit SE erfasst wird. Die Auswerteeinheit
AE vergleicht die beiden Signale und erzeugt ein Zugriffsfreigabesignal,
d.h. ermöglicht
einen Zugriff, wenn das Ausgangssignal mit dem Eingangssignal übereinstimmt.
-
Das
Ausgangssignal kann beispielsweise anhand von Nachrichten erzeugt
werden, die durch den integrierten Schaltkreis IC bzw. den Transponder empfangen
werden. Alternativ oder zusätzlich
kann die Signalerzeugungseinheit das Ausgangssignal in Abhängigkeit
vom Zustand von Speicherzellen erzeugt, die sich im integrierten
Schaltkreis IC befinden.
-
Eine
weitere Möglichkeit
ist eine Zugriffssteuerung in mehreren, beispielsweise zwei Ebenen. Hierbei
bestimmt der Inhalt einer nicht gezeigten, hierfür speziell vorgesehenen Speicherzelle
eine Zugriffsebene, wobei der Inhalt der Speicherzelle nach der
Waferebene noch von einem Benutzer einmalig verändert werden kann. Auf Waferebene,
bei intakter Leitungsstruktur LS, wird der Inhalt dieser Speicherzelle
auf beispielsweise den Zustand "1" bzw. programmiert
gesetzt. Nach dem Auftrennen der Leitungsstruktur LS ist dann beispielsweise
noch ein Lese zugriff aber kein Schreibzugriff mehr möglich. Durch
gezielte Bestrahlung durch den Benutzer mit UV-Licht kann der Inhalt
der Speicherzelle im Falle eines EEPROMS nun lediglich vom Zustand "1" in den Zustand "0" überführt werden.
Ein erneutes Überführen in
den Zustand "1" ist aufgrund der
durchtrennten Leitungsstruktur LS nicht mehr möglich. Ist der Zustand der
Speicherzelle "0", ist weder Schreiben
noch Lesen möglich.
-
Wenn
die integrierten Schaltkreise IC des Wafers vereinzelt werden, erfolgt
dies durch einen Ritz- bzw. Sägeschritt
entlang eines Ritzrahmens RR des Wafers WF. Durch diesen Vereinzelungsschritt wird
die Leitungsstruktur LS einschließlich des Pads PD und des Bezugsanschlusses
BA zerstört.
Das Potential des Eingangs-Schaltungsknotens ES wird nun im Betriebsfall
durch den Pull-Down-Widerstand statisch auf Masse gezogen, wodurch
der Zugriff, wie oben beschrieben, vollständig oder teilweise gesperrt wird.
-
Da
das Pad PD sowie der Bezugsanschluss BA durch den Vereinzelungsschritt
ebenfalls entfernt werden, ist die Möglichkeit der nachträglichen
Kontaktierung, um unbefugt auf den Speicherbereich zuzugreifen,
stark erschwert, da eine zur Freigabe notwendige Kontaktierung nunmehr
lediglich an den verbleibenden freien Leitungsenden der Leitungsstruktur
LS möglich
ist, die einen sehr kleinen Querschnitt aufweisen und praktisch
nicht mehr auffindbar sind.
-
Das
gezeigte Ausführungsbeispiel
ermöglicht
eine einfache und sichere Zugriffssteuerung, die einfach realisierbar
ist und keinen zusätzlichen
Fertigungsschritt auf Waferebene benötigt.