物理不可克隆功能器件和方法
阅读说明:本技术 物理不可克隆功能器件和方法 (Physical unclonable function device and method ) 是由 F·拉罗萨 于 2021-03-24 设计创作,主要内容包括:本公开的实施例涉及物理不可克隆功能器件和方法。一种实施例系统包括物理不可克隆功能器件,其中该器件包括非易失性存储器单元的第一组件,每个非易失性存储器单元都具有被嵌入在半导体衬底中的选择晶体管以及具有电连接的控制栅极和浮置栅极的耗尽型状态晶体管,该状态晶体管具有属于公共随机分布的相应的有效阈值电压;以及处理电路,被配置为基于对第一组件的存储器单元的状态晶体管的有效阈值电压的读取,来向器件的输出接口传送输出数据组。(Embodiments of the present disclosure relate to physically unclonable function devices and methods. An embodiment system includes a physically unclonable function device, wherein the device includes a first assembly of non-volatile memory cells, each having a select transistor embedded in a semiconductor substrate and a depletion mode state transistor having electrically connected control and floating gates, the state transistors having respective effective threshold voltages belonging to a common random distribution; and processing circuitry configured to transfer the set of output data to an output interface of the device based on a reading of an effective threshold voltage of a state transistor of a memory cell of the first component.)
相关申请的交叉引用
本申请要求于2020年3月25日提交的法国申请No.2002929的权益,其申请内容通过引用整体并入本文。
技术领域
实施例器件和方法涉及物理不可克隆功能(PUF),并且特别涉及在集成电路内执行的物理不可克隆功能。
背景技术
物理不可克隆功能根据物理不可克隆功能的随机或部分随机物理特性自动生成唯一的不可预测码。这些物理特性可以由在物理不可克隆功能的制造期间的变化导致。
因此,克隆这种功能是非常困难的,甚至是不可能的。
此外,所生成的代码的内容是唯一的,因为它从一种物理不可克隆功能到另一种物理不可克隆功能不同,无法被预测并且例如可以取决于在功能接通期间的部件的特定配置。因此,例如,物理不可克隆功能可以由非易失性存储器产生,该非易失性存储器在接通期间的内容取决于存储器的部分随机物理特性,这些制造变化引起不同存储器的不同物理特性。
发明内容
一方面,需要物理不可克隆功能具有足够的鲁棒性,以便在重复使用之后以及在温度变化的情况下,特别是随着时间的推移保持不变。
另一方面,需要物理特性的随机变化易于标识,以便明确地区分不同的数据。
此外,需要物理不可克隆功能的实施例需要很少或不需要专用的制造步骤。
唯一的不可预测码通常包括一系列随机数据,并且主要被用作加密密钥。这些数据通常是秘密。
例如,可以使用随机存取或非易失性存储器、甚至环形振荡器或者甚至特定逻辑电路来产生物理不可克隆功能。
然而,在某些情况下,这些现有技术器件可以或多或少容易在集成电路内可检测,或者相对于温度变化或老化不是特别鲁棒,或者甚至对通过故障植入进行的攻击敏感,或者甚至具有惩罚性的表面足迹(footprint)。
因此,需要对外部变化和/或老化具有鲁棒性的物理不可克隆功能结构,其数据在读取时可以被清楚地辨别,同时很难被第三方攻击提取。也将有利的是,结构容易地使用现有技术进行生产、并且具有不是惩罚性的表面足迹。
根据一个方面,提出了一种系统,包括物理不可克隆功能器件,该器件包括:
-非易失性存储器单元的第一组件,各自具有被嵌入在半导体衬底中的选择晶体管以及具有电连接的控制栅极与浮置栅极的耗尽型状态晶体管,该状态晶体管具有属于公共随机分布的相应的有效阈值电压;以及
-处理电路,被配置为基于对第一组件的存储器单元的状态晶体管的有效阈值电压的读取,来向器件的输出接口传送输出数据组。
该组输出数据通常是由一系列随机数据形成的唯一的不可预测码,其可有利地用作加密/解密密钥。
这种具有嵌入式选择晶体管的非易失性存储器单元的结构特别紧凑。已经在专利申请US 2013/0228846中详细描述。
然而,在这种情况下,与常规单元相比,第一组件的存储器单元的状态晶体管是耗尽型的,并且具有电连接的控制栅极和浮置栅极。
这些特征是特别有利的,因为随后可以通过在控制栅极上施加零电压(例如通过将该控制栅极连接到地)来读取第一组件的存储器单元,这是因为状态晶体管通常是接通的。
此外,由于在读取期间在控制栅极上存在零电压,因此在栅极电介质中的读取期间不会产生应力(“读取应力”),这使得可以显著地减小甚至消除本领域技术人员已知为“读取干扰”的现象出现的风险,该现象可以通过存储位的逻辑值的改变来表现。
此外,状态晶体管为耗尽型,例如当存储器单元处于空白状态并且在控制栅极上施加零电压时,状态晶体管的“正常接通”性质与空白状态下的阈值电压的值以及该存储器单元相关联,例如,该值可以被选择为负或基本为零。
作为指示,该阈值电压可以为-1伏。
所有存储器单元的状态晶体管具有相同的理论阈值电压。然而,这些是有效阈值电压;换言之,例如由于制造中的随机物理因素,阈值电压的实际值,在随机分散之后稍有变化。
此外,这些单元提供了非常大的有效阈值电压的分散。
例如,所获得的有效阈值电压的分散等于-1伏加或减100%。
此外,公共随机分布有利地是未曾被写入的空白存储器单元的状态晶体管的有效阈值电压的分布,其中浮置栅极和命令栅极连接。
根据实施例,每个存储器单元包括被布置在状态晶体管的浮置栅极与衬底之间的栅极氧化物,该栅极氧化物的厚度大于8纳米,例如在8纳米至10纳米之间。
这样的厚栅极氧化物使得能够在老化方面获得物理不可克隆功能器件的良好鲁棒性。
根据实施例,处理电路包括被配置为执行读取状态晶体管的有效阈值电压的读取电路,并且非易失性存储器单元的第一组件被组织成相对于读取电路对称地布置的两个第一矩阵子组件,两个第一矩阵子组件的所有线或行是平行的。
此外,读取电路被配置为执行读取,该读取包括对称存储器单元对的状态晶体管的有效阈值电压的差分读取,对称存储器单元对分别位于两个第一矩阵子组件的同源列上的两个第一矩阵子组件中。
两个第一子组件的两个同源列被理解为具有相同列地址的列。
将第一组件分配到与在读取水平上的差分方法相关联的两个对称矩阵子组件中,在使分散能够在状态晶体管的有效阈值电压的公共随机分布内增加的意义上特别有利。
此外,特别优选的是,确保第一组件的存储器单元的可靠性,以便为了输出数据组的传送,仅保留内容可靠的存储器单元对,换言之,该存储器单元对在一次接通到另一次接通之间不容易发生变化。
此外,根据实施例,处理电路有利地包括存储器单元的第二组件,每个存储器单元都具有被嵌入在半导体衬底中的选择晶体管以及具有控制栅极和浮置栅极的耗尽型状态晶体管,第二组件的存储器单元旨在包含可靠性信息,可靠性信息表示第一组件的对称存储器单元对的内容的可靠性或不可靠性。
与第一组件的存储器单元不同,第二组件的存储器单元(旨在包含可靠性信息)不包括具有电连接的浮置栅极与控制栅极的状态晶体管。然而,这些状态晶体管也有利地为耗尽型。
因此,正如可以(如上所述)通过在控制栅极上施加零电压来读取第一组件的存储器单元,例如通过将该控制栅极连接到地,因为状态晶体管通常是接通的,还可以通过在控制栅极上施加零电压来读取第二组件的存储器单元,因为这样的单元的状态晶体管也有利地通常是接通的。
换言之,第二组件的存储器单元是具有状态晶体管和嵌入式选择晶体管的常规存储器单元,例如上述美国专利申请中描述的单元类型,但是其中例如,在沟道区域中植入砷以便获得耗尽型晶体管。
根据实施例,第二组件包括存储器单元的矩阵装置,该存储器单元的矩阵装置与第一组件的存储器单元的矩阵装置共享相同列。
这有利于解码,因为第一组件和第二组件共享相同的解码列。
此外,还有利的是,第二组件同样包括两个第二矩阵子组件,该两个第二子组件,分别分布在两个第一子组件的任一侧上。
此外,与存储器单元对相关联的可靠性信息被存储在第二组件的存储器单元中,该第二组件的存储器单元与第一组件的存储器单元对的对应的存储器单元位于相同列上。
这种可靠性信息的对称存储在第一子组件的任一侧上,使得读取更容易。
根据实施例,处理电路包括第一生成电路,该第一生成电路被配置为考虑存储器单元对的状态晶体管的有效阈值电压的差分读取器上的裕度值,来生成可靠性信息。
更准确地说,根据第一可能的变型,第一生成电路包括:
-上述读取电路,被配置为对第一组件的每个存储器单元对还执行:
·读取在一方面流经存储器单元对的第一存储器单元的电流与在另一方面流经存储器单元对的第二存储器单元的电流之间的差,以便获得第一二进制数据,流经存储器单元对的第一存储器单元的电流增加了表示裕度值的参考电流,
·读取在一方面流经第二存储器单元的电流与在另一方面流经第一存储器单元的电流之间的差,以便获得第二二进制数据,该流经第二存储器单元的电流增加了表示裕度值的参考电流,
-比较电路,被配置为将第一二进制数据或第二二进制数据中的一个二进制数据与第一二进制数据和第二二进制数据中的另一个二进制数据的逆进行比较,并且传送与该对存储器单元相关联的可靠性信息,其逻辑值取决于比较的结果,以及
-写入电路,用于将可靠性信息写入第二组件的对应存储器单元中。
尽管在该变型中,为第一组件的一对存储器单元存储了一段可靠性信息,但在另一种变型中,可以存储奇数段称为“临时”的可靠性信息,然后可以通过对临时可靠性信息的多数表决选择实际的可靠性信息。
更具体地说,根据该另一变型,第一生成电路包括
-读取电路,被配置为对第一组件的每对存储器单元执行:
a)第一读取,读取一方面流经存储器单元对的第一存储器单元的电流与另一方面流经存储器单元对的第二存储器单元的电流之间的差,以便获得第一二进制数据,流经存储器单元对的第一存储器单元的电流增加了表示裕度值的参考电流,
b)第二读取,读取一方面流经第二存储器单元的电流与另一方面流经第一单元的电流之间的差,以便获得第二二进制数据,该流经第二存储器单元的电流增加了表示裕度值的参考电流,
-比较电路,被配置为:
c)将第一二进制数据和第二二进制数据中的一个二进制数据与第一二进制数据和第二二进制数据中的另一个二进制数据的逆进行比较;以及
d)传送与存储器单元对相关联的一段临时可靠性信息,其逻辑值取决于比较的结果;以及
-写入电路,被配置为:
e)将该段临时可靠性信息写入第二组件的对应的存储器单元中;
-控制电路,被配置为通过读取、比较和写入,执行奇数次步骤a)、b)、c)、d)和e),以便获得奇数段临时存储的可靠性信息;以及
-选择电路,被配置为对临时可靠性信息的逻辑值执行多数表决,以便选择可靠性信息。
根据实施例,处理电路包括第二生成电路,第二生成电路被配置为,至少从存储器单元对的状态晶体管的有效阈值电压的差分读取以及存储器单元对的可靠性信息,生成该组输出数据。
尽管上述实施例为所述问题提供了令人满意的解决方案,但在某些情况下,结构的不对称因素可能影响物理不可克隆功能器件传送的输出数据组的随机性质。
此外,有利地,第二生成电路被配置为不仅从存储器单元对的状态晶体管的有效阈值电压的差分读取以及这些存储器单元对的可靠性信息生成输出数据组,也可以从存储器单元对所在的列的地址生成输出数据组。
此外,根据另一实施例,例如,可以使用存储器单元对所在列的地址的低权重位。
更精确地说,这两个生成电路因此可以包括
-读取电路,被配置为对每对存储器单元执行差分读取,以便获得具有第一逻辑值的第一段二进制信息;
-反相电路,被配置为根据该对所在的列的地址的低权重位的逻辑值来反相或不反相第一逻辑值,并传送具有第二逻辑值的第二段二进制信息;以及
-掩蔽电路,被配置为仅当存储器单元对与将其表示为可靠的一段可靠性信息相关联时,才将第二段二进制信息作为输出数据保留。
此外,特别有利的是,存储器单元的第一组件、存储器单元的第二组件以及处理电路位于相同集成电路内。
特别地,这引入了一种针对侵入性物理分析的高水平保护。
更准确地说,如果攻击者为了尽可能接近状态晶体管而攻击集成电路的背面,他将破坏垂直晶体管,因此将无法执行第一组件的存储器单元的状态晶体管的读取。
该系统可以形成片上系统,该片上系统进一步包括相同的集成电路;编码/解码电路,被配置为使用该组输出数据作为加密/解密密钥;控制电路,被配置为向相同集成电路传送控制逻辑信号和模拟电压信号;以及另一个非易失性存储器。
应该注意的是,在这种情况下,包含物理不可克隆功能器件的集成电路与其它非易失性存储器之间不存在二进制数据交换。
从包含物理不可克隆功能器件的集成电路发出的唯一数据是输出数据,但是它们对于攻击来说是极其困难的,甚至是不可能的,因为它们优选地同时在多条线(例如256条线)的总线上循环,并且在不同的金属层上。
根据另一方面,提出了一种方法,用于在属于如上所定义的系统的物理不可克隆功能器件的输出接口处自动生成唯一的不可预测码,该方法包括接通并且读取第一组件的存储器单元的状态晶体管的有效阈值电压,这些存储器单元的状态晶体管的控制栅极在读取期间接地。
根据另一方面,提出了一种方法,用于产生如上所述的不可克隆功能器件,包括在集成电路内产生该器件并且生成和存储可靠性信息,例如,在集成电路的测试阶段期间(缩写为“EWS”由本领域技术人员已知)。
附图说明
本发明的其他优点和特征将通过对本发明的实施例和实施方式的详细描述变得明显,这些实施例和实施方式不受任何限制,并且从附图中可以看出,其中:
图1示出了物理不可克隆功能器件;
图2示出了非易失性存储器单元的结构;
图3示出了在两个矩阵子组件中组织的非易失性存储器单元的组件;
图4示出了由包含感测放大器的读取电路执行的差分读取;
图5示出了考虑裕度值的差分读取;
图6示出了通过读取电路并且考虑裕度值执行的另一差分读取;
图7示出了能够生成掩码的可靠性信息的第一生成电路;
图8示出了被配置为生成输出数据组的第二生成电路;
图9示出了包括物理不可克隆功能器件的集成电路;
图10示出了包括物理不可克隆功能器件的另一集成电路;
图11示出了掩蔽电路;
图12示出了另一掩蔽电路;
图13示出了用于生成和存储可靠性信息的方法;
图14示出了用于自动生成不可预测唯一代码的方法;
图15示出了为每个数据存储临时可靠性信息的方法;以及
图16示出了对临时可靠性信息执行多数表决以确定可靠性信息的方法。
具体实施方式
在图1中,附图标记DIS表示物理不可克隆功能器件。
该器件DIS包括的第一组件1的非易失性存储器单元CEL,其结构将在下面更详细地返回说明。
器件DIS还包括处理电路MT,处理电路MT被配置为基于对第一组件1的存储器单元CEL的状态晶体管的有效阈值电压的读取,向输出接口INTS传送输出数据组SD。
在更详细地返回到处理电路MT的其它元件之前,现在更具体地参考图2,以便描述第一组件的非易失性存储器单元CEL的结构。
单元CEL包括状态晶体管T,状态晶体管T具有命令栅极或控制栅极CG和浮置栅极FG。在这种情况下,两个栅极CG和FG通过通孔或接触件电气连接,通孔或接触件不位于图2的平面内,但示意性地由两条虚线表示。
浮置栅极FG通过栅极氧化层OX与半导体衬底SUB分离,栅极氧化层OX的厚度有利地大于8纳米,例如在8到10纳米之间。
状态晶体管T的漏极D通过接触件CBL连接到位线。
晶体管T的控制栅极CG连接到栅极控制线。
状态晶体管的沟道具有浮置栅极,沟道包括植入的表面区CH,沟道通过嵌入衬底SUB中的选择晶体管ST连接到源极线SL。
晶体管ST具有嵌入在衬底中的垂直选择栅极,源极线SL也被嵌入。
选择晶体管ST的漏极D和状态晶体管T的源极S形成公共半导体区域。
如上所述,状态晶体管T的沟道包括植入在表面CH处的沟道,例如N掺杂,使得对应的存储器单元在耗尽模式下工作。
换言之,状态晶体管T是耗尽型的,当存储器单元处于空白状态并且在控制栅极上施加零电压时,状态晶体管的正常性质与存储器单元的空白状态中的阈值电压的值相关联,阈值电压的值可以被选择为负电压或者基本上为零。
在n型导电沟道的情况下,植入的掺杂剂可以是例如砷As,并且掺杂剂的浓度决定了空白状态下存储器单元的晶体管T的阈值电压。
此处,状态晶体管被配置为具有这样的负阈值电压。
可以调整植入的掺杂剂的剂量,以便获得负的理论阈值电压,例如-1伏。
第一组件的所有单元CEL的所有状态晶体管旨在具有相同的阈值电压。
这些是有效的阈值电压;换言之,阈值电压的实际值在随机分散之后略有变化,例如由于制造中的随机物理因素。这种类型的分散通常是已知的。
状态晶体管的控制栅极和浮置栅极电连接,由于这些随机物理因素,状态晶体管本质上具有更显著的可变性,因此比其他类型的电子元件(例如MOS晶体管或电阻器)具有更大的分布。
因此,第一组件1的单元CEL的晶体管T各自具有属于公共随机分布的有效阈值电压。
特别地,公共随机分布可以是空白状态下未曾被写入的存储器单元晶体管的阈值电压的分布。
再次参考图1,可以看出处理电路MT包括第二组件3的存储器单元CELM,每个存储器单元CELM还具有嵌入在半导体衬底中的选择晶体管和具有控制栅极和浮置栅极的状态晶体管。
实际上,存储器单元CELM与存储器单元CEL类似,只是状态晶体管的浮置栅极和控制栅极没有电连接。单元CELM的每个状态晶体管也有利地是以耗尽模式操作的晶体管。
这种存储器单元CELM例如是专利申请US 2013/0228846中更详细描述的单元类型,并且还具有例如上文所述的用于第一组件的存储器单元CEL的在通道区域中的砷植入物。
如下文更详细所述,这些存储器单元CELM旨在存储表示第一组件的存储器单元CEL的内容的可靠性或不可靠性的可靠性信息。
此外,处理电路MT包括被配置为生成可靠性信息的第一生成电路MGEN1。
处理电路MT还包括第二生成电路MGEN2,该第二生成电路被配置为至少从存储器单元CEL对的状态晶体管的有效阈值电压的读取生成输出数据SD的组,以及包含在第二组件3的这些存储器单元CELM中的可靠性信息。
我们将详细地返回到第一生成电路MGEN1、第二生成电路MGEN2以及第二组件的单元3的矩阵排列的操作结构示例。
现在更具体地参考图3,可以看出,在这个有利的实施例中,第一组件1非易失性存储器单元CEL被组织在两个第一矩阵子组件10L和10R中,这两个第一矩阵子组件相对于常规结构的读取电路LECT对称地布置并且本身是已知的,读取电路LECT通常包括“感测放大器”5。
两个第一矩阵子组件10L和10R的所有线或行是平行的。
这两个子组件10L、10R中的每个子组件的行解码由本身已知的常规结构的行解码器XDEC执行,而这两个第一子组件的解码列由关于感测放大器5对称布置的同样具有常规结构并且本身已知的两个列解码器YDEC执行。
此外,读取电路LECT被配置为对分别位于两个第一子组件10L和10R中的对称存储器单元对CELijL和CELijR或CELmpL和CELmpR的状态晶体管的有效阈值电压进行差分读取,这些对称存储器单元对位于这两个第一子组件的同源列上。
此外,第二组件3的这些存储器单元旨在包含表示第一组件的存储器单元对的内容的可靠性或不可靠性的可靠性信息。
此处,该可靠性信息是具有第一逻辑值(例如逻辑值0)的二进制数据,该逻辑值表示第一组件的给定存储器单元对的内容的不可靠性,或者具有第二逻辑值(例如逻辑值1)的二进制数据,该逻辑值表示给定存储器单元对的内容的可靠性。
因此,举例来说,在图3中,此处具有逻辑值0的可靠性信息Mij表示第一组件的存储器单元对CELijL和CELijR的内容bijL和bijR的不可靠性。
相比之下,具有逻辑值1的可靠性信息Mmp表示此处第一组件的存储器单元对CELmpL和CELmpR的内容bmpL和bmpR的可靠性。
所有这些可靠性信息形成掩码MSK。
现在更具体地参考图4,以便描述由包含感测放大器5的读取电路LECT执行的差分读取RD。
在图4所示的示例中,读取电路LECT被配置为测量状态晶体管T的对的有效阈值电压分别到两个存储器单元CELijL和CELijR之间的差。
读取电路经由相应的位线BLL和BLR耦合到晶体管T。
选择晶体管ST通过在相应的字线WLL和WLR上携带的信号在其栅极上被控制。
除了感测放大器5之外,读取电路还包括参考电流发生器51,其可以通过开关连接或不连接至感测放大器5。
在如图4所示的差分读取RD的背景中,有利地通过连接到地的状态晶体管的控制栅极执行不将参考电流发生器连接到感测放大器5。
感测放大器5被配置为放大在单元CELijL中流动的电流ICL与在单元CELijR中流动的电流ICR之间的差。
读取电流ICL和ICR表示相应单元CELijL和CELijR的浮置栅极晶体管的有效阈值电压,这些电流的差值表示在这些状态晶体管的有效阈值电压之间的差值。
因此,读取电路LECT能够测量布置在同源位线上的两个单元的状态晶体管对的有效阈值电压之差。
此外,通过非限制性示例,可以判定如果电流ICL大于电流ICR,则包含在这对单元中的数据DATAij具有逻辑值0,而如果电流ICL小于电流ICR,则该数据具有逻辑值1。
当然,可以采用相反的规定。
现在更具体地参考图5和图6,以便描述考虑裕度值的存储器单元对的状态晶体管的有效阈值电压的差分读取。
还在此处,这些差分读取也是通过连接到地的状态晶体管的控制栅极进行的。
图5示出了考虑到裕度值的第一差分读取RDM0。
更精确地说,在读取RDM0期间,由电流发生器51的一个电流发生器生成的附加电流IREF被加到流经单元CELijR的电流中。
这使得可以从某个裕度测量在有效阈值电压之间的差异。
裕度值对应于表示参考电压偏差的电流IREF。
根据读取电路LECT的精度来选择该裕度值。
作为指示,电流IREF的值可以等于2微安。
此外,在这种情况下,如果电流ICL大于电流ICR与电流IREF之总和,则存储的数据DATAij例如等于0。
图6示出了通过读取电路LECT并且考虑裕度值执行的另一差分读取RDM1。
更精确地说,在这种情况下,参考电流IREF被添加到在单元CELijL中流动的电流ICL中。
此外,例如,如果电流ICR大于电流ICL和电流IREF之总和,则DATAij等于1。
现在更具体地参考图7,以便描述能够生成掩码MSK的可靠性信息的第一生成电路MGEN1的结构的示例。
如图7所示,可靠性信息是通过考虑存储器单元对的状态晶体管的有效阈值电压的差分读取RDM0和RDM1上的裕度值来生成的。
更精确地说,第一生成电路MGEN1包括读取电路LECT,其被配置为对第一组件1的每个存储器单元对执行第一读取,例如读取RDM0,读取在一方面流经存储器单元对的第一存储器单元的电流与另一方面流经存储器单元对的第二存储器单元的电流之间的差,以便获得第一二进制数据,流经存储器单元对的第一存储器单元的电流被增加了表示裕度值的参考电流。
读取电路LECT还被配置为执行第二读取,例如读取RDM1,读取一方面流经第二存储器单元的电流与另一方面流经第一存储器单元的电流之间的差,以便获得第二二进制数据,流经第二存储器单元的电流被增加了表示裕度值的参考电流。
在此处描述的示例中,为了简化,表示出了在第一读取RDM0结束时获得的一组16位第一二进制数据DB1,例如[0000 0111 1111 1111],和在读取RDM1结束时获得的一组对应的16位第二二进制数据DB2,例如[0000 0000 0000 1111]。
生成电路MGEN1还包括模块,该模块由附图标记2全局表示,被配置为在第二组件3的存储器单元中生成和写入掩码MSK。
该模块2包括反相器IV,用于反相二进制数据组中的一组二进制数据,例如,源自读取RDM0的第一二进制数据DB1组,以便在图示情况下获得组[1111 1000 0000 0000]。
然后,比较电路,例如由附图标记PL表示的或门,允许将来自读取RDM1的第二二进制数据DB2组与来自读取RDM0的第一二进制数据DB1组的逆进行逐位比较。
如果反相位有效地具有与对应的非反相位相反的逻辑值,则可以认为数据是可靠的,并且可以将1分配给通过逻辑或门获得的对应的可靠性信息。
相比之下,如果反相位的逻辑值等于对应的非反相位的逻辑值,则认为数据不可靠,并且对应的可靠性信息将具有逻辑值0。
由此获得掩码MSK,包括与第一组件1中的存储器单元对一样多的位。在所示的情况下,掩码MSK等于[1111 1000 0000 1111]。
当然,可以用异或(XOR)逻辑门替换反相器以及或门。
模块2还包括具有已知常规结构的写入电路PROG,用于将掩码MSK的可靠性信息(位)写入第二组件3的对应存储器单元中。
现在更具体地参考图8,以便描述第二生成电路MGEN2的结构示例,第二生成电路MGEN2被配置为至少从存储器单元对的状态晶体管的有效阈值电压的差分读取生成输出数据组,以及这些存储器单元对的可靠性信息。
更准确地说,读取电路LECT具有分别位于两个子组件10L和10R中的同源存储器单元对的常规差分读取器RD,以便获得第输出数据组JS1,例如[0000 0000 0111 1111],在该简化示例中包括16位输出二进制数据。
通过将状态晶体管的控制栅极连接到地,可以有利地进行该读取。
常规读取电路MLCT也包括诸如感测放大器5的感测放大器,执行与在第二组件3的存储器单元CELM中读取并且包含的单元对相对应的可靠性信息MSK的常规读取RDMSK,例如[1111 1000 0000 1111]。
通过将状态晶体管的控制栅极连接到地,也可以有利地执行该读取RDMSK。
然后,第二生成电路MGEN2包括掩蔽电路4,该掩蔽电路4被配置为仅将组JS1的二进制数据保留为输出数据SD,该组JS1被分配了表示该数据可靠的一段可靠性信息,在这种情况下,一段可靠性信息等于1。
在本示例中,认为可靠的数据(值1)是左边的前五位和最后四位,其他位是不确定的(X)。
因此,如图8所示,作为示例,输出数据SD集将仅包括集合JS1[0000 0XXX XXXX1111]的16位中的9位。
现在更具体地参考图9,其示意性地示出了集成电路IC,包括上述物理不可克隆功能器件的各种装置。
更准确地说,此处有存储器单元的两个子组件10L和10R,每个子组件包括16行和128列。
行解码器XDEC被分配给这两个子组件中的每个子组件,以及列解码器YDEC被分配给感测放大器5的任一侧。
控制器CTRL使用控制信号MGCTRL和MMCTRL控制用于生成和存储掩码MSK的模块2的操作以及掩蔽电路4的操作。
例如,在控制信号MSKADD的控制下,从两个子组件10R和10L每8位块提取数据,并且将掩码MSK存储在第二组件3的每8位块单元中。
类似地,从8位的块中提取掩码的可靠性信息。
根据需要,输出数据SD可以是32、64、128或256位的数据。
尽管图9所示的实施例是可以想象的,但提供图10所示类型的实施例尤其优选。
更准确地说,根据本实施例,旨在存储可靠性信息的存储器单元的第二组件3包括两个子组件30L和30R,分别分布在第一子组件10L和10R的任一侧。
此外,与存储器单元对相关联的可靠性信息存储在第二组件的存储器单元中,该存储器单元与对应的存储器单元对所在的列位于相同列上。
此外,包括两个子组件10L和10R的存储器单元的第一组件1、包括两个子组件30L和30R的存储器单元的第二组件3以及处理电路MT位于相同集成电路IC内。
这简化了列解码,并且使得通过攻击(例如在器件DIS的背面)提取数据变得更加困难。
此外,集成电路IC(包括器件DIS)有利地位于片上系统SOC上,片上系统SOC进一步包括:
-总线BSOUT,被连接到输出接口INT,优选地分布在多个金属层上,并且旨在传输输出数据SD,
-编码/解码电路MEDC,被配置为使用输出数据SD组作为加密/解密密钥,
-控制电路6和7,被配置为向集成电路IC传送控制逻辑信号和模拟电压信号,以及
-另一非易失性存储器9。
在这方面应该注意的是,在非易失性存储器平面10L、10R、30L和30R与非易失性存储器9的存储器平面之间没有交换数据。
现在更具体地参考图11和12,以说明掩蔽电路4的可能实施例。
在图11中可以看出,掩蔽电路包括寄存器RG,旨在包含分别从第一组件的存储器单元和第二组件的存储器单元提取的数据D和可靠性信息M。
在此处描述的示例中,提供了32对寄存器,以便并行地存储从存储器单元的第一组件提取的32项数据D和从存储器单元的第二组件提取的32项可靠性信息M
此外,逻辑电路G,例如与门,与每个寄存器RG相关联,旨在存储一段可靠性信息M,并且旨在切断或不切断时钟信号CLK(“时钟选通”)。
更准确地说,如果可靠性信息具有值0,其对应于对应数据D的不可靠性,则时钟信号不作为来自门G的输出而发送。
相比之下,如果可靠性信息M具有与相对应数据D的可靠性相对应的值1,则时钟信号作为来自门G的输出而被有效地发送。
此处,掩蔽电路4还包括32个移位寄存器SRG,每个移位寄存器SRG旨在以由对应门G传送的对应时钟信号CLK31-CLK0的速率接收数据D。
换言之,当对应的时钟信号在门G的输出处有效地传送时,对应的数据D可以存储在移位寄存器中。
此外,每次在门G的输出传送时钟信号CLK时,在移位寄存器SRG中存在数据的移位和新数据的存储。
此处还提供了32个计数器C,计数器C计数容量为8。
当由相应的门G传送时,这些计数器在相应时钟信号的每个前沿递增。
此外,当计数器C已经达到其最大计数值时,这表示对应的移位寄存器SRG已满,因此可以提取其包含的八个数据。
尽管图11中所示的实施例是完全可以想象的,但是对于生成模块4,优选使用图12的实施例。
然而,在图11的实施例中,输出数据是从来自两个子组件10L和10R提取的数据D获得的,可靠性信息M(这些输出数据这次是在图12的实施例中获得的)也可以来自提取的数据D所在的列地址的低权重位的逻辑值,换言之,第一组件1的对应的存储器单元对CELij。
更准确地说,图12的实施例与图11的不同之处在于,增加了逻辑电路TGL,逻辑电路TGL由时钟信号CLK计时并传送列地址的低权重位。
此外,异或或XOR逻辑门G接收该低权重地址位的一部分以及相应的数据D。
这些异或门因此允许跟据列地址的低权重位的逻辑值来反相或不反相提取数据D的逻辑值。
因此,对于输出数据SD获得了改善的随机字符。
如图13中非常示意性地示出的,在集成电路内产生器件DIS(步骤S120)之后,在实际使用器件之前,例如在集成电路的测试阶段期间(本领域技术人员已知,简称EWS:电子晶圆分选)生成并且存储可靠性信息(步骤S121)。
关于在器件的输出接口INTS处自动生成不可预测的唯一代码SD,这是在器件的实际使用期间执行的(图14)。
它包括接通器件(步骤S122)。
第一组件1的单元CEL的状态晶体管T的控制栅极连接到地(步骤S123)。
然后执行对单元对的状态晶体管的有效阈值电压的读取(步骤S124)。
然后,在步骤S126中,执行使用掩码MSK来掩蔽这些数据的步骤S125,以便仅传送可靠数据SD。
本发明不限于已经描述的实施例和实现,而是包括所有变型。
因此,在图11和图12中,例如可以通过锁定经由与门环回的存储器来替换计数器C。
此外,如图15和图16所示,第一生成电路MGEN1:
-为每个数据确定和存储奇数段可靠性信息,这些信息随后被视为临时可靠性信息,以及
-对该临时可靠性信息进行多数表决,以确定可靠性信息,其将被用于确定数据是否可靠。
更准确地说,在图15中,对于每对单元CELijL和CELijR,读取电路LECT在步骤S150和S151中执行参考图5和图6描述的差分读取RDM0和RDM1,以便提取第一二进制数据D1jk(k=1)和第二二进制数据D2ijk(k=1)。
然后,如上所述,比较电路PL(或门)对这两个二进制数据(其中一个被反相)执行比较S152,以便从中提取第一段临时可靠性信息Mijk(k=1)。
然后,写入电路PROG将该临时可靠性信息Mijk(步骤153)存储在第二组件3的三个对应的存储器单元中。
然后,控制电路MCM命令重复步骤S150到S153,以便获得奇数k段临时可靠性信息(步骤S154和S155)。
在此处描述的例子中,k等于3。
因此,最终获得三段可靠性信息Mij1、Mij2和Mij3。
然后,如图16所示,在生成输出数据SD期间,针对单元对的所提取的数据,读取电路MLCT读取三段临时可靠性信息(步骤S160),并且选择电路SEL对这三段可靠性信息的逻辑值进行多数表决(步骤S161),以便从中推断出与该数据相关联的可靠性信息,该数据的逻辑值是多数逻辑值。
尽管本发明已参照示例性实施例进行了描述,但本说明书不旨在限制意义上进行解释。参考说明书,本发明的说明性实施例以及其他实施例的各种修改和组合对本领域的技术人员显而易见。因此,所附权利要求旨在包含任何此类修改或实施例。