用於隱藏相關聯處理電路的功率消耗特性的隔離電路及方法

2023-05-30 11:44:31

專利名稱：用於隱藏相關聯處理電路的功率消耗特性的隔離電路及方法
技術領域：
本發明涉及一種用於耦合於電源與處理電路之間以將功率提供至處理電路，同時隱藏該處理電路的功率消耗特性的隔離電路及方法。
背景技術：
已知的是，提供處理電路，其使用需要被保護以免於未經授權的訪問的秘密數據 來執行數據處理操作。舉例而言，已知提供使用利用秘密數據(諸如密鑰)的特定加密及 解密算法來執行加密及解密的處理電路。作為特定實例，高級加密標準(AES)所規定的算 法利用密鑰來執行加密及解密操作。可使用密鑰對未加密的輸入數據(稱作明文)加密以 產生加密數據(稱作密文)，或替代地可輸入加密密文，且然後使用密鑰對其解密，以產生 相應的未加密明文。通常將用以執行這類加密和解密操作的處理電路提供為集成電路的部分，此集成 電路的一個特定實例為智慧卡。對於這類集成電路，已開發各種技術以設法避免經由非侵襲性攻擊訪問集成電路 內的安全數據的非法嘗試。設法訪問此秘密數據的一種已知技術為差分功率分析(DPA)。該 DPA技術設法針對各種不同輸入數據，從對處理電路的功率消耗特性的觀察中提取秘密數 據(諸如較早提及的密鑰)。可觀察到的一種常見功率消耗特性是電流特徵(signature)， 可通過將電路耦合至集成電路的功率輸入端子來檢測該電流特徵，然後攻擊者觀察電流特 徵如何針對各種不同輸入數據加以變化。由於普遍已知集成電路執行什麼算法，因此可能製作集成電路的操作的模型，並 藉此產生用於密鑰的各種不同猜測的仿真電流特徵。接著，可嘗試讓用於密鑰的各種猜測 的仿真電流特徵與電路中觀察到的實際電流特徵相關，以藉此設法確定密鑰。具體而言，若 一個特定的猜測的密鑰的相關係數高於針對密鑰的任何其它猜測所獲得的相關係數，則這 表示該特定的猜測的密鑰為實際密鑰。US 2007/0176670(其全部內容以引用的方式結合到本文中)論述了在軟體級 與硬體級上提出的多種技術，以設法使得差分功率分析技術無效。該專利然後描述了智 能卡的電荷泵技術，其包括電容器，其循環連接至功率源以對該電容器充電、連接至處理 裝置以對該處理裝置供電，且然後接地以對該電容器放電。該電荷泵系統可包括三個這 類電容器，以使得在其中一個電容器正在充電時，另一個電容器對處理裝置供電，且第三 個電容器正放電。所述電荷泵系統設法通過從處理裝置的內部操作將功率消耗去相關 (de-correlating)而阻擋暴露處理裝置中的密鑰的嘗試。根據US 2007/0176670中所描述的電荷泵技術，應了解當電容器耦合至處理裝置 以對該處理裝置供電時，電容器在該供電操作期間的放電程度將視處理裝置的活動而定， 且因此在將電容器接著連接至地時的啟動電壓電平將不同。然後，接地的電容器的放電將 遵循指數式衰變，且因此將永不會實際達到接地電位。因此在放電過程結束時，所達到的最終電壓電平將視啟動放電操作時的初始電壓而定，且因此在將電容器重連接至功率源以對電容器再充電時，啟動電壓將視放電過程開始時初始電壓是什麼樣子而不同。此外，在將電容器連接至功率源時，該電壓電平可被使用DPA執行非侵襲性攻擊的某人觀察到，且因此可觀察到在放電期間結束時所達到的該最終電壓的任何細微差異。 因此，若有足夠數量的數據樣本輸入至智慧卡，則仍有可能通過DPA技術來提取密鑰。在US 2007/0176670中，用以對電容器充電、使用電容器對處理裝置供電及將電 容器接地的時段皆相等，且因此這限制了對電容器放電可消耗的時間量。因此，採用US 2007/0176670中所描述的技術，如果要增加放電時段的長度以設法減少在放電時段結束時 所達到的最終電壓的變化，則將必須增加充電時段與供電時段二者，這將是不期望的。具體 而言，若規定較長的供電時段，則將必須提供較大的電容器，這將增加面積開銷。此外，較大 的電容器放電耗時較長，藉此需要較大的放電電晶體來對電容器放電，從而進一步增加面 積開銷。若不使用較大的放電電晶體，則由於要對較大的電容器放電，所以這將使放電時間 的增加的長度降低效率。或者，為了支持一個以上的放電階段，將需要提供額外的電容器及相關聯的開關 元件。舉例而言，若提供六個電容器及相關聯的開關元件，則每一電容器可能經過一個充電 階段、一個供電階段及四個放電階段。然而，此方法將在尺寸及功率消耗(由於提供額外組 件)兩方面顯著增加電荷泵電路的成本。此外，應注意，即使通過以上技術中的任一者延長了放電時段，但仍將存在在放電 階段結束時所達到的最終電壓的差異(其依賴於在啟動放電階段時跨越電容器的初始電 壓)，且因此該方法並未消除提供給攻擊者仍使用DPA技術來設法探知密鑰的可能性的先 前提及的問題。因此，將期待提供一種設法隱藏處理電路的功率消耗特性以使DPA技術無效的改 良技術。

發明內容
從第一方面來看，本發明提供用於耦合於電源與處理電路之間以將功率提供至處 理電路、同時隱藏該處理電路的功率消耗特性的隔離電路，該隔離電路包含多個子電路， 每一子電路包含電容器；第一開關，其被配置為在所述電容器與所述電源之間提供第一 連接；第二開關，其被配置為在所述電容器與所述處理電路的輸出之間提供第二連接；第 三開關，其被配置為跨越(across)所述電容器提供第三連接以對所述電容器部分放電；及 控制電路，其被配置為控制所述多個子電路，以使得在每一子電路中，所述第一開關、所述 第二開關及所述第三開關被按重複序列O^peating sequence)置於活動狀態；所述多個 子電路中的每一個進一步包含比較器，其被配置為在第三開關的活動狀態期間達到跨越 所述電容器的預定非零電壓差時，將所述第三開關置於打開狀態。根據本發明，所述多個子電路中的每一個包括與第三開關相關聯的比較器。所述 比較器不允許第三開關在第三開關的整個活動狀態期間對電容器放電，而是通過一旦已達 到預定非零電壓，就將第三開關置於打開狀態，從而在跨越電容器的電壓差達到預定非零 電壓時停止放電過程。因此，在第三開關的活動狀態期間對電容器放電所用的時間長度將 根據在啟動第三開關的活動狀態時跨越電容器的初始電壓而改變。然而，在第三開關的活動狀態結束時跨越電容器的最終電壓將在所有情況下皆相等，即為預定非零電壓差。因此，對於每一重複序列，通過接入隔離電路與電源之間的連接可觀察到的功率消耗特性將相同，而不考慮處理電路所消耗的功率。因此，這避免了通過DPA技術探知處理 電路所使用的任何秘密數據。此外，當與US 2007/0176670中所描述的技術相比時，應了解本發明的隔離電 路消耗的功率顯著小於該專利中所描述的電荷泵子系統所消耗的功率。具體而言，在US 2007/0176670中的電荷泵的每次充電、使用及放電循環中，跨越電容器的電壓達到電源電 壓，並且接著經放電至接近地的電壓。然而，在電容器用於對處理裝置供電的使用階段期 間，電壓將下降相對小的量。舉例而言(僅出於說明的目的)，若將電容器充電至約1.1伏 特的電源電壓電平，則可預期在使用階段期間，電容器上的電壓將降至約1伏特，該準確電 壓降依賴於處理裝置所執行的操作。因此，在隨後的放電階段期間，發生電容器上的顯著的 電壓降，之後，隨後的充電過程將不必要地消耗大量功率。然而，根據本發明，考慮到在使用階段結束時的最低預期電壓，並允許比較器有足 夠時間操作，可將所述預定非零電壓差選為處於儘可能高的電壓電平。在實踐中已發現，可 將之後在放電階段期間發生的電壓降保持得相對小，藉此顯著地降低隨後需要將電容器充 電恢復到電源電壓電平時的功率消耗。作為特定實例，若電源電壓為1. 1伏特，且在使用階段期間該電壓降至約1伏特， 則可足以將預定非零電壓差設定為0. 95伏特。因此可看出，當與驅動處理電路所消耗的功 率相比時，與放電過程相關聯的功率開銷僅為50%。相比之下，鑑於使用US 2007/0176670 的技術時的類似電源電壓，假定在放電階段之後所達到的最終電壓接近0伏特，則可看出 等效功率開銷約為1000%。因此，應了解本發明的隔離電路在保護處理電路不受DPA技術影響的方面更有 效，同時也比已知現有技術的技術消耗顯著降低的功率。在一個實施例中，該隔離電路進一步包含與跨越所述電容器的所述第三開關串聯 置放的放電調諧電路，該放電調諧電路響應於來自控制電路的控制信號，以使在第三開關 的活動狀態期間電容器的放電速率能夠變化。此方法提供顯著的靈活性，因為其可使相同 的隔離電路能夠供多種不同處理電路使用，這些電路可(例如)以不同速度操作。根據處 理電路的操作速度，放電調諧電路使得能夠根據需要加快或減慢電容器的放電速率，而無 需改變第三開關的活動狀態的持續時間。比較器可採取多種形式。然而，在一個實施例中，比較器包含運算放大器 (op-amp)，其在第一輸入處接收跨越所述電容器的電壓差的指示，且在第二輸入處接收所 述預定非零電壓的指示。可以多種方式將比較器所使用的預定非零電壓的指示提供至比較器。舉例而言， 此指示可以是作為比較器的輸入的硬連線指示。然而，在一個實施例中，隔離電路進一步包 含參考電壓產生元件，該元件可編程以提供所述預定非零電壓的指示。此舉通過允許相同 的隔離電路供多種不同的處理電路使用，並使得能夠考慮到使用隔離電路的處理電路而在 適當情況下對預定非零電壓進行編程，而再次提供了顯著的靈活性。該控制電路可以多種方式控制每一子電路的重複序列。在一實施例中，對於每一 子電路，控制電路控制重複序列以確保在所述子電路中每次僅提供所述第一連接、所述第二連接及所述第三連接中的一個。此外，在一實施例中，控制電路控制所述多個子電路，以使得子電路的重複序列彼此成相位關係。在一實施例中，該相位關係確保在任何時間點上隔離電路至多提供一個第 一連接、一個第二連接及一個第三連接。然而，並非必需以該方式安排相位關係，且在替代實施例中，該相位關係確保第一開關、第二開關及第三開關中的至少一個的活動狀態在多個子電路之間重迭。在一個特定實施例中，至少第二開關的活動狀態在多個子電路之間重迭，以使得處理電路從所述多個子電路中的至少兩個接收其功率歷經至少某些時段。此方法的益處在 於，在隔離電路對處理電路供電的時間期間，該處理電路的功率消耗特性在多個電容器上 散布，藉此進一步使該功率消耗特性模糊。然而，活動狀態的該重迭不需要限制於第二開關 的活動狀態，且替代地亦可在必要時重迭充電操作及放電操作。在一實施例中，該多個子電路包含至少三個子電路。然而，儘管提供至少三個子電路就控制電路如何控制操作的各個充電、使用及放電階段而言改良了靈活性，但並非必需 提供至少三個子電路。舉例而言，在一個實施例中，所述第一開關、第二開關及第三開關的 活動狀態並不都具有相同的持續時間，且所述多個子電路包含至少兩個子電路。在一個特 定實施例中，在一個子電路具有處於活動狀態的第二開關時，第二子電路經過第三開關的 活動狀態與第一開關的活動狀態二者(亦即，第一開關及第三開關的活動狀態的累積時段 與第二開關的活動狀態的時段相同)。通過該方法，可實現本發明的益處，但不需要提供三 個或三個以上的子電路，藉此降低隔離電路的尺寸及成本。從第二方面來看，本發明提供一種集成電路，其包含處理電路及根據本發明的第一方面的隔離電路。通過以此方式構造集成電路，則通過將跨越功率輸入的電路耦合至集 成電路來執行DPA分析的任何嘗試均將失敗，因為隔離電路防止觀察到處理電路的功率消 耗特性。在一實施例中，處理電路使用至少一個密鑰來執行加密及解密操作。通過使用本 發明實施例的集成電路，隔離電路防止使用DPA技術推導出密鑰。儘管在一實施例中，集成電路內的整個處理電路經由隔離電路耦合至電源，但這 並非在所有實施例中均是必需的。舉例而言，在一實施例中，集成電路可包含直接耦合至電 源的附加處理電路。在該附加處理電路不對任何秘密數據執行操作的情況下這可能(例 如)是適當的，且因此不需要防止觀察該附加處理電路的功率消耗特性。 該集成電路可採取多種形式，但在一實施例中，該集成電路為智慧卡。
從第三方面來看，本發明提供用於耦合在電源裝置與處理裝置之間以將功率提供 至處理裝置、同時隱藏該處理裝置的功率消耗特性的隔離電路，該隔離電路包含多個子電 路裝置，每一子電路裝置包含電容器裝置；第一開關裝置，其用於在所述電容器裝置與所 述電源裝置之間提供第一連接；第二開關裝置，其用於在所述電容器裝置與所述處理裝置 的輸出之間提供第二連接；第三開關裝置，其用於跨越所述電容器裝置提供第三連接以對 所述電容器裝置進行部分放電；及控制裝置，其用於控制所述多個子電路裝置，以使得在每 一子電路裝置中，所述第一開關裝置、所述第二開關裝置及所述第三開關裝置被按重複序 列置於活動狀態；所述多個子電路裝置中的每一個進一步包含比較器裝置，其用於在第 三開關裝置的活動狀態期間達到跨越所述電容器裝置的預定非零電壓差時，將所述第三開關裝置置於打開狀態。從第四方面來看，本發明提供一種採用多個子電路來使電源與處理電路互連以將 功率提供至處理電路、同時隱藏該處理電路的功率消耗特性的方法，該方法包含在多個子 電路中的每一個中執行重複序列，其包含以下步驟將電源連接至電容器以對所述電容器 充電；從電容器斷開電源；將所述電容器連接至所述處理電路的輸出；從所述輸出斷開所 述電容器；使所述電容器短路以對所述電容器進行部分放電；以及在達到跨越所述電容器 的預定非零電壓差時停止所述電容器的短路。


僅以舉例的方式，參考在附圖中所圖示的本發明的實施例來進一步描述本發明， 在各附圖中圖1為根據本發明的一個實施例的集成電路的方塊圖；圖2為更詳細地圖示根據本發明的一個實施例的圖1的隔離電路結構的方塊圖；圖3更詳細地圖示了根據本發明的第一實施例的圖2中的每一子電路的結構；圖4更詳細地圖示了根據本發明的第二實施例的圖2中的每一子電路的結構；圖5圖示了根據本發明的一個實施例，在不同充電、供電及分流階段期間跨越每 一子電路的電容器的電壓如何變化，且進一步圖示了將在集成電路與電源之間的接口處觀 察到的相應電流特徵；圖6A及圖6B將根據現有技術的技術執行的分流操作與根據本發明實施例執行的 分流操作進行比較；圖7A及圖7B圖示了根據本發明實施例的、可由圖2的控制電路產生的兩個開關 序列以驅動圖2中所圖示的三個子電路中的每一個；圖8圖示了根據本發明的替代實施例的、在僅利用隔離電路內的兩個子電路時， 可由控制電路產生的開關序列；圖9圖示了在對不結合用於隱藏晶片內的處理電路的功率消耗特性的機構的芯 片執行DPA分析時，可獲得的相關係數；及圖10圖示了在對包括根據本發明實施例的隔離電路的晶片執行DPA分析時，可產 生的相關係數。
具體實施例方式圖1為圖示根據本發明的實施例的集成電路的方塊圖。在此實例中，集成電路採 取晶片10的形式，在一特定實施例中其可為智慧卡。晶片10包括電路15，該電路15的電 流特徵將被隱藏，以使得無法在晶片10與電源40之間的觀察點45處觀察到電流特徵。具 體而言，電路15使用某秘密數據來執行數據處理操作，攻擊者可使用DPA技術設法確定該 秘密數據，這類技術通常涉及在位置45處在電源線路之間放置包括電阻元件的分析電路， 以根據晶片10從電源汲取的功率獲得電流特徵信息。分析電路使用電路15的模型，該模型已由關於電路正在執行的操作的可用信息 (例如，加密/解密標準所執行的基本加密及解密操作通常是公知的)及關於電路的基本 結構的任何已知信息(例如，在將第一操作的結果轉發給第二操作之前將對第一操作的結果進行鎖存的知識等)導出。通過使用該模型，則對於提供給晶片10的每一輸入數據項而言，可由多個猜測的秘密數據中的每一個的模型產生經模型化的電流特徵(通常將秘密數 據分解為8位數據塊(chunk)以使此過程可管理)，且之後分析電路可設法使在觀察點45 處觀察到的實際電流特徵與那些各種經模型化的電流特徵相關。若對許多不同的輸入數據 項重複此過程，則已發現可能識別秘密數據，因為該秘密數據將是顯現為與在觀察點45處 所觀察到的實際電流特徵具有最高相關係數的猜測的秘密數據。在圖1的實例中，秘密數據採取在電路15所執行的加密及解密操作期間使用的密 鑰20的形式。在一特定實例中，電路15根據高級加密標準(AES)執行加密及解密操作，其 中在編碼操作期間，密鑰用以對明文編碼以產生輸出密文；且在解碼操作期間，密鑰用以從 經編碼的密文獲得明文。為了防止DPA技術有效，需要將可在觀察點45處觀察到的功率消耗特性與電路15 的操作所產生的實際功率消耗特性解耦。具體而言，如在點45處觀察到的功率消耗特性理 想地應是數據獨立的。根據本發明的實施例，通過使用隔離電路25來達到這一點，下文將 更詳細地描述隔離電路25的操作。應注意，隔離電路25可與晶片10內的所有電路結合使 用，或替代地可僅與晶片10內的電路的子集一起使用，亦即，利用諸如密鑰20之類的秘密 數據的該電路。因此，如圖1中的虛線框30所示，在一些實施例中可存在不需要隱藏其電 流特徵的電路，且因此其可直接耦合至電源40，而非經由隔離電路25耦合。圖2為更詳細地圖示根據一個實施例的隔離電路25的結構的方塊圖。在此實例 中，電源40被示為在圖的左手側，且處理電路15被示為在右手側。提供三個子電路100、 105、110 (本文中亦稱作開關蓋模塊)，且以相同方式構造每一個子電路。具體而言，每一開 關蓋模塊具有跨越電源線連接的電容器150，且該電容器150用以將操作電壓提供至處理 電路15。此外，提供充電電路120、邏輯供電電路130及分流電路140。這三個電路中的每 一個均按重複序列相繼地被置於活動狀態。因此，充電電路120首先被置於活動狀態，此時邏輯供電電路130及分流電路140 處於不活動狀態。充電電路120包括開關，其在活動狀態開始時閉合，且在活動狀態結束時 打開。因此，在充電電路的活動狀態期間，從電源40對電容器150充電。在充電電路的活 動狀態結束時，由在充電電路中被置於打開狀態的開關將電容器從電源40斷開。然後，邏輯供電電路130進入活動狀態，且包括開關，該開關在邏輯供電電路的活 動狀態開始時閉合，且在邏輯供電電路的活動狀態結束時打開。因此，在邏輯供電電路的活 動狀態期間，電容器150對處理電路15供電，且在此過程期間，電容器150上的電壓將略微 下降，其中下降量取決於在該時段期間處理電路15所執行的實際操作。在邏輯供電電路130的活動狀態之後，分流電路140進入活動狀態。分流電路140 也包括開關，該開關在分流電路140的活動狀態開始時閉合，藉此使電容器150開始放電。 然而，此外，分流電路140包括比較器，其將電容器上的電壓與參考電壓145進行比較。當 電容器上的電壓大於參考電壓145時，開關保持閉合且電容器持續放電。然而，一旦電容器 150上的電壓差達到參考電壓145，則比較器發出輸出信號，該信號使分流電路內的開關進 入打開狀態，藉此停止電容器的進一步放電。因此，當分流電路140的開關在分流電路的活動狀態開始時閉合時，該開關將在 活動時段結束之前再次打開，開關打開的準確時間取決於在啟動分流電路的活動狀態時電容器150上存在的初始電壓。因此，在分流電路的活動狀態結束時，電容器150上的電壓差將是同樣的(即為參考電壓145)，而不管在啟動分流電路的活動狀態時電容器150上的電 壓如何。因此，當該過程接著返回到充電電路120的活動狀態時，此時將在電源40與晶片10之間的觀察點45處存在的電壓將始終相同，且因此在觀察點處獲得的任何電流特徵對 於充電電路、邏輯供電電路及分流電路的每一重複序列而言將完全等同。此舉藉此阻止了 由DPA技術獲得任何有用信息，且具體而言保護了處理電路15所使用的密鑰不會由這類 DPA技術推導出來。提供控制電路160以用於向各種子電路100、105、110發出開關序列控制信號。在一實施例中，充電電路120、邏輯供電電路130及分流電路140中的每一個的活動狀態具有 相同的持續時間，且控制電路160以相位關係向三個子電路發出控制信號，以使得在任何 時間點處子電路之一中的充電電路是活動的，子電路中的另一個中的邏輯供電電路130是 活動的，且子電路中的第三個中的分流電路是活動的。因此，在此實施例中，在任何時間點 上，對一個電容器充電，將一個電容器用於將電源電壓提供給處理電路15，且對一個電容器 放電。然而，並非必需使控制電路160以上述方式操作各種子電路，且如稍後將更詳細地論述的那樣，相位關係可允許各種子電路的活動狀態之間的某重迭，且充電電路、邏輯供 電電路及分流電路的活動狀態的持續時間實際上不需要等同。提供參考電壓產生器145以產生將輸入至分流電路140的參考電壓。在一實施例中，此參考電壓產生器是可編程的，以使得所產生的參考電壓的準確值可變化，例如，考慮 到將使用隔離電路的處理電路。舉例而言，若第一處理電路平均比第二處理電路消耗更多 功率，則在隔離電路供第一處理電路使用的情況下，在分流階段開始時電容器上存在的電 壓將平均低於隔離電路供第二處理電路使用的情況下的狀況。通過提供可編程的參考電壓 產生器，若隔離電路供第一處理電路使用，則可設定較低的參考電壓，而若隔離電路供第二 處理電路使用，則可設定較高的參考電壓。圖3更詳細地圖示了根據本發明的一個實施例的提供在充電電路120、邏輯供電 電路130及分流電路140內的組件。在此實例中，由PMOS電晶體200提供充電電路120內 的開關，該PMOS電晶體200在其閘極輸入202處接收充電觸發信號Si。當充電觸發信號轉 至低電壓電平時，電晶體200接通以提供開關的閉合狀態，且相反，當充電觸發信號轉至高 電壓電平時，電晶體斷開以提供開關的打開狀態。如可從圖3看出的那樣，邏輯供電電路130亦包括PMOS電晶體205，其以相同方式 操作，但由邏輯供電觸發信號S2在其間極輸入207處對其進行驅動。在分流電路140內提供開關210，其在示例性實施例中由並聯的多個NMOS電晶體 提供。這些NMOS電晶體的閘極從與門215接收其輸入，與門215又從比較器220接收其第 一輸入，且從分流觸發信號S3接收其第二輸入217。電容器220在一個輸入處接收電容器 150上的電壓，且在第二輸入222處接收參考電壓產生器145所產生的參考電壓。在分流電路140的活動狀態的持續時間內將分流觸發信號S3設定為邏輯1 (高) 電平。當電容器150的電壓高於參考電壓時，比較器220亦輸出邏輯1信號，從而使得與門 215輸出邏輯1值，藉此接通NMOS電晶體以形成開關210的閉合狀態。因此，電容器150在此時間期間放電。然而，一旦電容器150的電壓達到參考電壓，來自比較器220的輸出即轉至邏輯零 電平，從而使得與門215輸出邏輯零信號，藉此斷開NMOS電晶體以使得開關210進入其打 開狀態。接著，對於分流電路140的其餘活動狀態將不再發生電容器150的進一步放電。圖4圖示出開關蓋(switching cap)模塊的替代實施例。如可從圖3與圖4的比 較可見，唯一差別是提供與跨越電容器150的開關210串聯提供的放電調諧電路230。如同 開關210 —樣，放電調諧電路230由多個NMOS電晶體形成。在此實例中，提供四個NMOS晶 體管，且每一 NMOS電晶體的閘極(gate)由控制電路所產生的四位分流強度信號的位之一 驅動。因此，若該四位分流強度信號為1111，則將接通放電調諧電路230中的所有電晶體， 且因此開關210中的所有NMOS電晶體用以對電容器放電，藉此允許電容器的強放電。然 而，通過適當選擇分流強度信號，可斷開放電調諧電路中的電晶體中的一個或多個，藉此減 少在分流電路的活動狀態期間執行任何有效放電操作的開關210中的電晶體的數目。
通過提供此放電調諧電路，相同隔離電路可供以不同速度操作的多種不同處理電 路使用。具體而言，通過考慮處理電路的操作速度適當選擇分流強度信號可增加或減少放 電操作的速度。圖5為圖示出電容器上的電壓在充電電路、邏輯供電電路及分流電路的活動狀態 的重複序列期間如何變化的圖。如線300所示，在充電電路的活動狀態期間，電容器上的電 壓增加至電源電壓電平，在此實例中，該電源電壓電平為1. 1伏特。接著，在邏輯供電電路 130的活動狀態期間，電容器用以對處理電路供電。因此，由於處理電路執行其操作所消耗 的功率導致電壓將緩慢降低，電壓藉此會沿線305變化。然而，應注意，電壓降低的準確量 將取決於處理電路正執行的實際處理操作，且具體而言取決於正被操縱的數據值。因此，即 使處理電路在邏輯供電電路的每一活動狀態期間執行相同的加密或解密操作，實際消耗功 率將取決於正被處理的值，且這可導致跨越電容器的電壓降變化，如線305的任一側虛線 所示。因此，在邏輯供電電路130的活動狀態結束時，電容器150上的最終電壓將略微改變， 但在圖5中所示的實例中其預期為約1伏特。在分流電路140的活動狀態期間，對電容器150上的電壓進行放電，直至其達到參 考電壓電平為止，在圖5的實例中，該參考電壓電平為0. 95伏特。如可在圖5中清楚地看 出的那樣，不管在分流循環開始時電壓如何，所達到的最終電壓將始終為0.95伏特。因此， 在下一充電階段期間，路徑315將等同於路徑300，從而使得將電容器上的電壓從參考電壓 電平充電直至電源電壓電平。其後，在隨後的邏輯供電電路及分流電路活動狀態期間，電壓 遵循路徑320、325。如可看出的那樣，儘管路徑315將等同於路徑300，但由於處理電路所 消耗的功率的差異，路徑320及325與路徑305及310可略有差別。在圖5的頂部部分中，提供可在觀察點45處觀察到的電流特徵的指示。僅當充電 電路120活動時，才能完全獲得任何電流特徵(因為在其它時間充電電路使觀察點與處理 電路隔離)，且應注意，由於充電路徑300、315的相同性質，所以電流特徵350與360完全相 同。因此，完全隱藏了處理電路的功率消耗信息，且因此使用DPA技術無法獲得有用的電流 特徵信息。具體而言，應了解，在觀察點處獲得的電流特徵為完全地數據獨立的，且因此阻 止進行有效的差分功率分析。圖6A圖示了在US 2007/0176670的先前論述的現有技術的分流操作期間，在對電容器放電時發生的電壓降的指數性質，其中電容器在放電操作期間耦合至地以設法將電壓 放電至零。然而，如從圖6A明顯看出的那樣，電壓從未實際上達到零，且此外在任何實際系 統中，僅存在執行分流操作所允許的有限時間量。事實上，在US 2007/0176670中，分流操 作的時段與充電操作的時段相同，並與當由電容器驅動處理裝置時隨後的供電操作的時段 相同。因此，應了解的是，在分流階段結束時，所達到的最終電壓將有變化，該變化將取決於 在分流操作開始時的啟動電壓。圖6B圖示了根據本發明實施例的分流電路所執行的放電操作。具體而言，如先前所論述的，電壓將被放電至預定參考電壓(在此實例中為0. 95伏特)，且儘管達到該電壓電 平所需時間可根據啟動電壓而變化，但在所有狀況下都會在分流時段結束(由圖6B中的時 間X指示)之前達到該電壓。相比之下，當在圖6A的圖解中考慮時間X時，可看出根據在分流操作開始時的初 始電壓，所達到的最終電壓仍有顯著變化。由於一旦再進入充電階段，使用DPA技術的攻 擊者即可獲得此信息，所以這使得能夠獲得數據依賴的特定電流特徵信息。因此，在使用 US2007/0176670的現有技術時，仍有可能使用DPA技術成功獲得密鑰。相比之下，如先前參考圖5所論述的，在使用根據本發明實施例的技術時，不可能 獲得密鑰，因為在充電階段期間所觀察到的電流特徵始終相同。圖7A為表格，其示出了控制電路160對圖2中所示的各種子電路100、105、110發 出的充電序列控制信號。在此實例中，充電電路、邏輯供電電路及分流電路的活動狀態的持 續時間皆等同，且控制電路160管理相位關係，以使得在任何時間點上一個子電路使其充 電電路處於活動狀態，一個子電路使其邏輯供電電路處於活動狀態，且一個子電路使其分 流電路處於活動狀態。圖7B圖示了根據替代實施例的控制電路160可產生的開關序列。此外，提供三個 開關蓋模塊，且此外在為那些模塊中的每一個提供的開關序列之間存在相位關係。然而，在 此實例中，充電電路、邏輯供電電路及分流電路的活動狀態的持續時間不同，且因此存在一 個子電路中的邏輯供電電路的活動狀態與另一子電路中的邏輯供電電路的活動狀態重迭 的時段。按這樣的方式在不同子電路之間重迭階段(Phase)的一個益處在於，存在由開關 蓋模塊中的兩個中的電容器對處理電路進行供電的時段，藉此在多個電容器上散布關於該 處理電路的功率消耗的任何信息。這進一步模糊了關於處理電路正消耗的功率的任何信 肩、ο儘管在圖7B中，只有重迭的邏輯供電電路的活動狀態，但應了解，原則上可在必 要時重迭任何電路的活動狀態。在先前所描述的實施例中，假定在隔離電路中存在至少三個子電路。然而，圖8圖 示了在只提供兩個子電路的情形下，控制電路可使用的開關方案。具體而言，如從圖8可 見，選擇充電操作及分流操作的時段以使得在邏輯供電電路活動的時段期間可容納兩個操 作。因此，當一個子電路中的電容器用於對處理電路供電時，由分流電路對另一子電路中的 電容器放電，且由充電電路對其再充電。此方法使得能夠通過減少實現隔離電路所必需的 組件的數目來減少隔離電路的尺寸及成本。圖9為示意性地示出了對不提供隔離電路的晶片使用DPA技術所獲得的相關係數 如何隨輸入數據樣本的數目而變化的圖解。在此實例中，假定電路使用密鑰來執行解密，且因此提供密文作為輸入，且產生明文作為輸出。由於低數目的輸入密文，所以存在大量的 噪聲，且因此在最大相關係數與最小相關係數之間存在廣泛分布。然而，隨著輸入密文的 數目增加，最大相關係數與最小相關係數之間的間隙減小。更重要的是，可看出到輸入密 文的數目達到4000時，正確密鑰開始顯現為具有最大相關係數(此點稱作「洩露平均時間 (MTD)，，)，且小於IO4個輸入密文時可明顯觀察到正確密鑰。圖10圖示了在晶片結合有根據本發明實施例的隔離電路時，使用DPA技術可獲得 的相關係數。可看出，即便在已使用IO7個輸入密文之後，正確密鑰仍未顯現為具有最高相 關係數的猜測密鑰，而無法被檢測出。因此，應了解，本發明實施例的技術提供了用於防止 經由DPA技術獲得秘密數據的特別有效的機制。儘管已在本文中描述了本發明的特定實施例，但顯而易見，本發明並不限於此，且可在本發明的範疇內進行許多修改及添加。舉例而言，在不脫離本發明的範疇的情況下，以 下從屬權利要求的特徵可與獨立權利要求的特徵進行各種組合。
權利要求
隔離電路，其用於耦合在電源與處理電路之間，以將功率提供給處理電路，同時隱藏該處理電路的功率消耗特性，隔離電路包含多個子電路，每一子電路包含電容器；第一開關，其被配置為在所述電容器與所述電源之間提供第一連接；第二開關，其被配置為在所述電容器與所述處理電路的輸出之間提供第二連接；第三開關，其被配置為跨越所述電容器提供第三連接以對所述電容器進行部分地放電；及控制電路，其被配置為控制所述多個子電路，從而使得在每一子電路中，所述第一開關、所述第二開關及所述第三開關被按照重複序列置於活動狀態；所述多個子電路中的每一個進一步包含比較器，其被配置為當在第三開關的活動狀態期間達到跨越所述電容器的預定非零電壓差時，將所述第三開關置於打開狀態。
2.如權利要求1中所述的隔離電路，進一步包含與跨越所述電容器的所述第三開關串 聯置放的放電調諧電路，該放電調諧電路響應於來自控制電路的控制信號，以使得在第三 開關的活動狀態期間電容器的放電速率能夠變化。
3.如權利要求1中所述的隔離電路，其中比較器包含運算放大器，其在第一輸入處接 收跨越所述電容器的電壓差的指示，且在第二輸入處接收所述預定非零電壓的指示。
4.如權利要求1中所述的隔離電路，進一步包含參考電壓產生元件，其可編程以提供 所述預定非零電壓的指示。
5.如權利要求1中所述的隔離電路，其中對於每一子電路，控制電路控制重複序列以 確保在該子電路中每次僅提供所述第一連接、所述第二連接及所述第三連接中的一個。
6.如權利要求1中所述的隔離電路，其中所述控制電路控制所述多個子電路，從而使 得子電路的重複序列彼此成相位關係。
7.如權利要求6中所述的隔離電路，其中相位關係確保在任何時間點上，隔離電路至 多提供一個第一連接、一個第二連接及一個第三連接。
8.如權利要求6中所述的隔離電路，其中相位關係確保第一開關、第二開關及第三開 關中的至少一個的活動狀態在多個子電路之間重迭。
9.如權利要求8中所述的隔離電路，其中至少第二開關的活動狀態在多個子電路之間 重迭，從而使得在至少一些時段內，處理電路從所述多個子電路中的至少兩個接收其功率。
10.如權利要求1中所述的隔離電路，其中所述多個子電路包含至少三個子電路。
11.如權利要求6中所述的隔離電路，其中所述第一開關、所述第二開關及所述第三開 關的活動狀態不都具有相同的持續時間，且所述多個子電路包含至少兩個子電路。
12.—種集成電路，其包含處理電路；及如權利要求1中所述的隔離電路。
13.如權利要求12中所述的集成電路，其中所述處理電路使用至少一個密鑰來執行加 密及解密操作。
14.如權利要求12中所述的集成電路，進一步包含直接耦合至所述電源的附加處理電路。
15.如權利要求12中所述的集成電路，其中所述集成電路是智慧卡，且所述處理電路 使用至少一個密鑰來執行加密及解密操作。
16.隔離電路，其用於耦合在電源裝置與處理裝置之間，以將功率提供給處理裝置，同 時隱藏該處理裝置的功率消耗特性，隔離電路包含多個子電路裝置，每一子電路裝置包含 電容器裝置；第一開關裝置，其用於在所述電容器裝置與所述電源裝置之間提供第一連接； 第二開關裝置，其用於在所述電容器裝置與所述處理裝置的輸出之間提供第二連接； 第三開關裝置，其用於跨越所述電容器裝置提供第三連接，以對所述電容器裝置進行 部分地放電；及控制裝置，其用於控制所述多個子電路裝置，從而使得在每一子電路裝置中，所述第一 開關裝置、所述第二開關裝置及所述第三開關裝置被按照重複序列置於活動狀態； 所述多個子電路裝置中的每一個進一步包含比較器裝置，其用於當在第三開關裝置的活動狀態期間達到跨越所述電容器裝置的預 定非零電壓差時，將所述第三開關裝置置於打開狀態。
17.一種採用多個子電路使電源與處理電路互連以將功率提供給處理電路、同時隱藏 該處理電路的功率消耗特性的方法，所述方法包含在多個子電路中的每一個中執行重複序 列，其包含以下步驟將電源連接至電容器以對所述電容器充電； 從電容器斷開電源；將所述電容器連接至所述處理電路的輸出； 從所述輸出斷開所述電容器；使所述電容器短路以對所述電容器進行部分地放電；及 當達到跨越所述電容器的預定非零電壓差時，停止所述電容器的短路。
全文摘要
本發明提供一種用於隱藏相關聯處理電路的功率消耗特性的隔離電路及方法。該隔離電路包含多個子電路及控制電路。每一子電路包含電容器，被配置為在所述電容器與所述電源之間提供第一連接的第一開關，被配置為在所述電容器與所述處理電路的輸出之間提供第二連接的第二開關，被配置為跨越所述電容器提供第三連接以對所述電容器進行部分地放電的第三開關；控制電路被配置為控制多個子電路，以使在每一子電路中，第一開關、第二開關及第三開關被按照重複序列置於活動狀態；所述多個子電路中的每一個進一步包含比較器，其被配置為當在第三開關的活動狀態期間達到跨越所述電容器的預定非零電壓差時，將第三開關置於打開狀態。
文檔編號H02M3/07GK101800471SQ201010113359
公開日2010年8月11日 申請日期2010年2月3日 優先權日2009年2月3日
發明者C·A·託庫納加, D·T·布勞夫 申請人:密執安大學評議會