Beschreibung
Hardwareschutz in Form von zu Halbschalen tiefgezogenen Leiterplatten
Elektronikbaugruppen für hochsensible Datenverarbeitung und Datensicherung, wie sie zum Beispiel in Fahrtenschreibern für Nutzfahrzeuge aber auch in Geldinstituten, Geldautomaten, Flugzeugen und überall dort, wo sensible Daten gehandhabt werden, zum Einsatz kommen, sollen hardwaremäßig gegen Manipulation von außen, wie beispielsweise chemische oder physikalische Angriffe (zum Beispiel mechanisch, Laser, Feuer usw.), geschützt werden, so dass Daten nicht manipuliert werden können.
Bisher existiert eine Lösung, bei der die zuschützende Elektronikbaugruppe mittels einer so genannten Bohrschutzfolie rundum verpackt wird. Eine solche Bohrschutzfolie gibt es zum Beispiel von der Firma Gore als Fertigprodukt oder sie wird von der Firma Freudenberg als Folie mit Silberleitpastendruck J.\ angeboten. Die Folie ist nach innen zur Baugruppe elektrisch verbunden. Nachdem die Elektronikbaugruppe dreidimensional verpackt wurde, wird sie anschließend in einem Behälter mit Kunstharz eingegossen. Beim Versuch, die Verpackung zu öff- nen, werden an den Stellen, an denen die Angriffe erfolgen, die elektrischen Leiterzüge oder Widerstandsleitungen auf den Folien zwangsweise geschädigt und unterbrochen, was in der Elektronikbaugruppe dazu führt, dass die gespeicherten Daten unmittelbar gelöscht werden. Dadurch können die Daten nicht manipuliert werden und der Angriff von außen ist somit von entsprechenden Kontrollorganen erkennbar.
Bei diesem aus dem Stand der Technik bekannten Verfahren ergeben sich zwei Probleme. Einmal entspricht die Verwendung von Folie keinem elektronikgerechten Montageverfahren. Zum anderen wird die Folie auch oft schon beim Montieren beschädigt, so dass sich ein hoher Ausschuss ergibt.
Davon ausgehend liegt der Erfindung die Aufgabe zugrunde, einen Hardwareschutz für Elektronikbaugruppen anzugeben, der in eine elektronikgerechte Fertigung integriert werden kann.
Diese Aufgabe wird durch die in den unabhängigen Ansprüchen angegebenen Erfindungen gelöst. Vorteilhafte Ausgestaltungen ergeben sich aus den abhängigen Ansprüchen.
Dementsprechend weist ein Hardwareschutz für eine zu schützende Schaltung ein leitendes oder nicht leitendes, flächiges Substrat auf. Das flächige Substrat verläuft allerdings nicht eben, sondern verfügt über einen zurückspringenden zentralen Bereich, der, vorzugsweise vollständig, von vorspringenden Bereichen umgeben ist. An und/oder in dem Substrat sind Leiterstrukturen zum Detektieren eines Zugriffs auf die zu schützende Schaltung angeordnet. Bei einem unautorisierten Zugriff auf die Schaltung werden die Leiterstrukturen verletzt, so dass ein Kontakt hergestellt oder unterbrochen und der Zugriff auf die Schaltung damit detektiert wird.
Vorzugsweise verfügen die vorspringenden Bereiche über einen Rand, der parallel zum zurückspringenden zentralen Bereich verläuft. Mit diesem Rand lässt sich der Hardwareschütz flä- chig auf einem Schaltungsträger anordnen und dort verkleben oder verlöten bzw. allgemein kontaktieren.
Insbesondere ist das Substrat in Form einer Halbschale ausgestaltet.
Das Substrat ist vorzugsweise eine tiefgezogene Leiterplatte und/oder eine Folie.
Vorteilhaft bilden die Leiterstrukturen und die Isolationsab- stände des Flächensensors ein engmaschiges Gebilde in Form eines Gitters, in Form eines Netzes, mit Mäandern und/oder mit Sektoren , in denen die Leiterstrukturen z.B. in Form von
geometrischenb Strukturen verlaufen. Der Isolationsabstand zwischen zwei Verläufen der Leiterstrukturen in Form von Leiterzügen oder Leiterbahnen (die Maschenweite) entsprechen dabei herkömmlichen HDI (High Density Interconnection) - Struk- turen. Gleiches gilt für die Breite der Verläufe der Leiterstrukturen.
Besonders einfach und kostengünstig lassen sich die Leiterstrukturen durch Drucken herstellen. Dies erfolgt vorzugswei- se, solange das flächige Substrat noch eben, also noch nicht tiefgezogen ist.
Der Hardwareschütz weist insbesondere Anschlüsse zum Anschließen von Detektormitteln zum Detektieren von einer Ver- letzung der Leiterstrukturen auf.
Bei einem Verfahren zum Herstellen eines Hardwareschutzes einer der zuvor geschilderten Arten wird ein flächiges Substrat mit Leiterstrukturen zum Detektieren eines Zugriffs auf eine zu schützende Schaltung versehen. Zuvor oder bevorzugt danach wird das flächige Substrat in eine Form gebracht, in der es Λ einen zurückspringenden zentralen Bereich aufweist, der von vorspringenden Bereichen umgeben ist. Vorteilhafte Ausgestaltungen des Verfahrens ergeben sich aus den vorteilhaften Aus- gestaltungen des Hardwareschutzes und umgekehrt.
Eine Vorrichtung weist einen Hardwareschütz einer der zuvor geschilderten Arten und einen Schaltungsträger für eine zu schützende Schaltung auf. Der Hardwareschütz ist mit den vor- springenden Bereichen seines Substrats auf dem Schaltungsträger angeordnet, so dass sich zwischen dem zurückspringenden zentralen Bereich und dem Schaltungsträger ein Raum für die zu schützende Schaltung ergibt.
Der Schaltungsträger ist oder enthält vorzugsweise eine
Schaltungsträger-Leiterplatte. Diese ist oftmals auch an ihrer Rückseite zu schützen. Dazu weist die Vorrichtung insbe-
sondere einen zweiten Hardwareschutz nach einer der zuvor geschilderten Arten auf, der auf der dem ersten Hardwareschütz gegenüber liegenden Seite des Schaltungsträgers angeordnet ist.
Weiterhin enthält die Vorrichtung bevorzugt Detektormittel zum Detektieren einer Verletzung der Leiter strukturen durch einen unerlaubten Zugriff und/oder eine unautorisierte Manipulation. Damit auch die Detektormittel geschützt sind, kön- nen sie als Bestandteil der zu schützenden Schaltung ausgeführt sein.
Die Gesamtbaugruppe mit den Schaltungsträge xn findet insbesondere in einem Tachograph, einem Fahrdatenrecorder und/oder einem schienen- oder nichtschienen- gebundenen Fahrzeug Anwendung. Sie kann beispielsweise aber auch in Geldautomaten, Vorrichtungen für Geldinstitute und Flugzeugen zum Einsatz kommen. Insbesondere ist der Einsatz der Ge samtbaugruppe mit den Schaltungsträgern immer dann von Vorteil, wenn zu schüt- zende kryptographische Schlüssel (RSA, DES) zum Einsatz kommen . •: .-
Weitere Vorteile und Merkmale der Erfindung- ergeben sich aus der Beschreibung von Ausführungsbeispielen anhand der Zeich- nung. Dabei zeigt:
Figur 1 eine Ausführungsform einer Vorrichtung mit einem
Schaltungsträger, auf dessen einer Seite ein Hardwareschutz angeordnet ist und auf dessen der einen Seite gegenüber liegenden Seite ein. zweiter Hardwareschutz angeordnet ist;
Figur 2 ein alternatives Ausführungsbeispiel einer Vorrichtung mit einem Schaltungsträger, auf dessen einer Seite ein Hardwareschutz angeordnet ist und auf dessen der einen Seite gegenüber liegenden Seite ein zweiter Hardwareschütz angeordnet iL st;
Figur 3 ein Substrat mit Leiterstrukturen, aus dem ein Hardwareschutz hergestellt wird.
In Figur 1 erkennt man einen Hardwareschutz 10 mit einem flächigen Substrat 11, 12, das einen zurückspringenden zentrralen Bereich 11 aufweist, der vollständig von vorspringenden Bereichen 12 umgeben ist. An und in dem Substrat 11, 12 sirxd Leiterstrukturen 13, 14 angeordnet. Dazu enthält das Substrat 11, 12 zwei Prepregs 15, 16. Das erste Prepreg 15 bildet die Seite des Substrats 11, 12, die in die Richtung weist, int die der zentrale Bereich 11 zurück springt. An der Seite des Prepregs 15, die in die Richtung weist, in die die den zentralen Bereich 11 umgebenden Bereiche 12 vorspringen, ist die erste Leiterstruktur 13 der beiden bereits erwähnten Leiterstrukturen 13, 14 angeordnet.
An ihr ist wiederum das zweite Prepreg 16 angeordnet, an dessen der ersten Leiterstruktur 13 gegenüberliegenden Seite; die zweite Leiterstruktur 14 angeordnet ist.
-ts .W
Der Hardwareschütz 10 verfügt über Anschlüsse 17 zum Kontaktieren der Leiterstrukturen 13, 14 mit weiteren Hardwareschutz-Leiterstrukturen und mit Detektormitteln zum Detekitie- ren von Verletzungen der Leiterstrukturen 13, 14.
Der Hardwareschütz 10 ist mit seinen vorspringenden Bereichen 12, insbesondere mit deren Rändern, an einem Schaltungsträger 20 für eine zu schützende Schaltung 21 angeordnet. Im in Fi- gur 1 dargestellten Ausführungsbeispiel ist der Schaltung-s- träger 20 als Mehrlagenleiterplatte ausgestaltet.
Im Bereich, in dem die zum zentralen Bereich parallel verlaufenden Ränder der vorspringenden Bereiche 12 am Schaltung-s- träger 20 angeordnet sind, weist der Schaltungsträger 20 seinerseits zum Schutz der zu schützenden Schaltung 21 Schal— tungsträger-Leiterstrukturen 22 auf, durch die ein stirnsei-
tiges Anbohren des Schaltungsträgers 20 registrierbar ist. Diese sind über die Anschlüsse 17 mit den Leiterstrukturen 13, 14 des Hardwareschutzes 10 verbunden.
Weiterhin verfügt der Schaltungsträger 20 über Ein- und Ausgabeanschlüsse 23 außerhalb des Schutzbereiches, die über Leitungen mit der zu schützenden Schaltung 21 verbunden sind, die durch die Lagen der Schaltungsträger-Leiterstrukturen 22 hindurch führen .
Auf der dem Hardwareschutz gegenüber liegenden Seite ist am Schaltungsträger 20 ein zweiter Hardwareschutz 30 angeordnet. Der zweite Hardwareschutz 30 ist analog dem ersten Hardwareschutz 10 aufgebaut und verfügt ebenso über einen zurück- springenden zentralen Bereich 31, der von vorspringenden Bereichen 32 umgeben ist. Sein Substrat ist z.B. mit Prepregs 35, 36 aufgebaut, zwischen denen eine erste Leiterstruktur 33 angeordnet ist, die über Anschlüsse 37 mit einer zweiten Leiterstruktur 34 verbunden ist, die an der dem Prepreg 35 und der Leiterstruktur 33 abgewandten Seite des Prepregs 36 angeordnet ist. Der zweite Hardwareschufcz 30 ist gegenüber dem ersten Hardwareschutz 10 um einen definierten Winkel gedreht angeordnet .
Die Ausführungsform nach Figur 2 unterscheidet sich von der nach Figur 1 dadurch, dass die beiden Hardwareschutze 10, 30 nicht an der Mehrlagenleiterplatte des Schaltungsträgers 20, sondern direkt aneinander angeordnet sind. Der Schaltungsträger 20 enthält über seine Mehrlageneiterplatte hinaus in die- sem Fall noch Träger 24, mit denen die zu schützende Schaltung 21 und die Mehrlagenleiterplatte des Schaltungsträgers 20 im Raum gehalten werden, der sich zwischen den zurückspringenden zentralen Bereichen 11, 31 der Hardwareschutze 10, 30 ergibt.
In Figur 3 erkennt man ein flächiges Substrat 41, 42, 44 mit einem rechteckigen, zentralen Bereich 41, der an seinen vier
Kanten von Bereichen 42, 44 umgeben ist. Die Bereiche 42, 44 weisen ihrerseits jeweils einen dem zentralen Bereich 41 benachbarten Bereich auf, der gegenüber diesem in einem Tiefziehverfahren angewinkelt wird, und einen vom zentralen Be- reich 41 entfernten Rand, der seinerseits gegenüber dem dem zentralen Bereich 41 benachbarten Bereich des Bereiches 42 so angewinkelt wird, dass er wieder parallel zum zentralen Bereich 41 verläuft. Zwischen dem den zentralen Bereich 41 umgebenden Bereichen 42 sind Aussparungen 43 vorgesehen, die sich über ein Tiefziehen der Bereiche 42, 44 erschließen, so dass diese an ihren aufeinander stoßenden Kanten miteinander verschweißt werden können. Das gesamte Substrat 41, 42, 44 in Form von vorstrukturierten und anschließend tiefgezogenen Bohrschutzlagen ist mit einer mäandrierenden Leiterstruktur bedruckt.
Der hardwaremäßiger Manipulationsschutz wird also in ein oder zwei dreidimensionale Halbschalen integriert, welche beispielsweise als Tiefziehteil oder Tiefziehteile ausgeformt sind und die zu stützende Schaltung mit ihrer Baugruppe entweder ganz umschließen.. (Figur 2) oder auf der Leiterplatte 20 der zu schützenden Baugruppe der Schaltung 21 montiert werden (Figur 1) .
Wird in einer besonderen Ausführungsform nur eine dreidimensionale Halbschale verwendet, kann anstelle der zweiten Halbschale die ebene Leiterplatte 20 als Ersatz für die zweite Halbschale verwendet werden. Dann werden auf der der ersten Halbschale zugewandten Seite die Elektronikbauelemente ange- ordnet und auf der abgewandten Seite wird der Hardwareschutz mit seinen Leiterstrukturen angeordnet.
Für den letztgenannten Fall ist auch ein zusätzlicher Hardwareschutz in die für die Baugruppe verwendete Leiterplatte 20 zu integrieren, etwa indem diese in dem Bereichen, in denen sie mit dem Hardwareschutz durch Löten oder Kleben verbunden ist, selbst ein Leiterstrukturnetz 22 aufweist. Dies
lässt sich beispielsweise dadurch realisieren, dass die Leiterplatte 20 als Mehrlagenleiterplatte ausgeführt ist, die in den angesprochenen Bereichen mehrere, übereinander angeordnete Leiterlagen enthält, die vor einem stirnseitigen Anbohren schützen.
Die Ausgestaltung der Halbschalen 11, 12; 31, 32 des Hardwareschutzes 10 kann einmal dahingehend ausgeführt werden, dass sie aus einem tiefgezogenen Leiterplattenmaterial wie zum Beispiel glasfaserverstärktem FR4-Prepreg gefertigt sind, welches im Ausgangszustand noch nicht ausgehärtet ist. Andererseits ist die Verwendung von Folien möglich, insbesondere RCC-Folien (Resin Coatet Copper, teilweise Kupfer vorstrukturiert) oder anderweitig tiefziehgeeigneten Folien mit oder ohne MetallbeSchichtung.
Vor dem Tiefziehen mit anschließendem Aushärten wird ein- oder beidseitig ein engmaschiges Leitungs- bzw. Widerstandsnetzwerk strukturiert. Die Ausgestaltung des Schutznetzwerkes aus Leiterstrukturen 13, 14; 33, 34 kann einmal als strukturiertes metallisches Leitungsnetzwerk zum Beispiel fotolithographisch durch Ätzen oder andere geeignete Verfahren erfolgen. Es kann andererseits auch als Widerstandsnetzwerk mit Leiterstrukturen ausgeführt werden, wobei vorzugsweise Kar- bon-gefüllte HarzSysteme in Sieb- oder Widerstandsdruck ein- oder beidseitig aufgebracht werden und so die Schutzstruktur erzeugt wird.
Ein derartiges Widerstandsnetzwerk kann aber auch durch Di- rektprinting mit Karbontinte oder ähnliche geeignete Verfahren aufgebracht werden.
Die Gestaltung der Tiefziehteile 11, 12; 31, 32 für den Hardwareschutz kann zum einen so sein, dass diese ähnlich Mehrla- genleiterplatten ausgeführt sind, wobei die zur Schutzverdrahtung notwendigen Leitungen der Baugruppenseite zugewandt sind und keine nach außen führenden elektrischen Durchkontak-
tierungen auf die Außenseite der Halbschalen aufweisen. Dazu können alle für die Funktionen der Hardwareschutzschalen und der Baugruppe notwendigen Durchkontaktierungen innerhalb des Schutznetzwerkes liegen und entweder als vergrabene Durchkon- taktierungen (Burried Vias) ausgeführt werden. Und/oder die notwendigen Aufbaulagen für die Subbaugruppenverdrahtung werden als SBU-Aufbauten {Sequential Build Up) mit lasergebohrten oder anderweitig erzeugten Micro-Via-Durchkontaktierungen ausgeführt .
Für den Fall, dass die Hardwareschutz-Tiefziehschalen direkt ein- oder beidseitig auf die Leiterplatte 20 des Schaltungsträgers der zu schützenden Schaltung aufgebracht werden, ist diese entsprechend den obigen Ausführungen als Mehrlagenlei- terplatte mit einem entsprechenden Hardwareschutznetz 22 gegen stirnseitige Angriffe zu gestalten.
Die Leiterstrukturen des schalenförmigen Hardwareschutzes weisen Kontaktierpads in Array-Anordnung auf, welche dazu dienen, später entweder die beiden die Elektronikbaugruppe der zu schützenden Schaltung umhüllenden Hardwareschutzschalen untereinander, mit dem Schaltungsträger der zu schützenden Schaltung oder auf der Mehrlagenleiterplatte des Schaltungsträgers der zu schützenden Schaltung elektrisch mitein- ander zu verbinden.
Die Hardwareschützschalen beinhalten eine oder mehrere leitende Lagen (Schichten) . Diese sind beispielsweise als mehrlagige Kupferlagen ausgeführt, welche jeweils sehr fein strukturierte Leiterzüge der Leiterstrukturen 13, 14; 33, 34 enthalten, welche einmal engmaschig die gesamte Lagenfläche überdecken und sich aber auch von Lage zu Lage bedingt durch die Ausgestaltung der Leiterzüge erstrecken.
Die Leiterbreiten der einen Lage überdecken dabei Isolations- abstände und einen Teil der zugehörigen Leiterbahnen der dazugehörigen und durch das Dielektrikum getrennten Lagen.
Sie sind ebenfalls wieder über Burried Vias oder μm-Vias zur Baugruppe nach Innen durchverdrahtet .
Die Ausgestaltung einer Lage zum Beispiel in X-Richtung mit einer derartigen Mäanderstruktur aus dünnen Kupfer- Leiterbahnen und der darunter oder darüber liegenden Lage in Y-Richtung mit einer derartigen Struktur getrennt durch die Dielektrikumslage ergibt einen hardwaremäßigen Schutz der Schaltung gegen mechanische Manipulation dadurch, dass diese Leiterzüge nach innen mit der Baugruppe verschaltet sind und somit bedingt durch die ultrafeine Strukturierung beschädigt werden. Damit erfolgt eine Leitungsunterbrechung, welche in der Schaltung registriert wird. Alternativ können auch zwei Netzwerke verwendet werden und ein durch eine Manipulation erzeugter Kurzschluss der beiden Netzwerke registriert werden.
Die Ausführung der Leiterstrukturen 13, 14; 33, 34 als Feinstleiter kann vorzugsweise in Karbondruck (Widerstandspastendruck) , als Leitpaste 4Silberleitplaste) oder als Tintendruck mit Karbontinte in allen erdenklichen Strukturen erfolgen, welche großflächig über mindestens eine Lage ein engmaschiges Netz erzeugen und welche nach innen an die Schal- tung elektrisch angeschlossen werden.
Wenigstens eine der beiden Hardwareschützschalen 11, 12; 31, 32 kann auch in "Flex-Rigid"-Technologie ausgeführt sein bzw. es kann eine Flex-Leitung zur Datenübertragung angebracht sein.
Der Dielektrikumsabstand der Hardwareschutzlagen in den Hardwareschutzschalen soll so gewählt sein, dass auch bei stirnseitigem Anbohren eine Schädigung der darüber und der darun- ter liegenden Schutzlage erfolgt und somit der Schutzmechanismus ausgelöst wird.
Die elektrische Verbindung und mechanische Verbindung der Hardwareschutzschalen untereinander bzw. mit dem Schaltungsträger der zu schützenden Schaltung kann durch Löten mit anschließender Versiegelung des Lötspaltes durch Kleber, Lami- nieren, durch Kontaktierklebung oder ein ähnliches Verfahren erfolgen. Herkömmliche Verbindungsverfahren sind ebenso verwendbar .
Der beschriebene Hardwareschütz weist den Vorteil eines in die Hardwareschutzschalen und gegebenenfalls in die Mehrlagenleiterplatte des Schaltungsträgers der zu schützenden Schaltung integrierten Sensorsystems auf, welches mit nahezu herkömmlicher "High Tech"-Leiterplattentechnologie gefertigt werden kann und auf herkömmlichen Bestücklinien und Elektro- nikbaugruppen-Fertigungen bestückt und verarbeitet werden kann. Zum anderen liegt ein Vorteil darin, ein sicheres, kostengünstiges und für die Montage ohne Mehraufwand zu verarbeitendes Sicherheitssystem direkt in der Elektronikbaugruppe bereitzustellen und zu integrieren, das zuverlässig Hardware- attacken detektiert.
3- A-