阅读说明：本技术 测试控制装置、芯片及方法 (test control device, chip and method ) 是由 卢新元 陈华军 许超 于 2019-09-09 设计创作，主要内容包括：本发明实施例提供一种测试控制装置、芯片及方法,该装置包括权限分析单元、测试控制单元、第一屏蔽单元、加密单元；所述权限分析单元,用于对待验证的权限信息进行验证,并在验证通过时向所述测试控制单元发送第一触发信号；所述测试控制单元,用于在接收到所述第一触发信号、以及第一测试控制信号时,向所述第一屏蔽单元发送第一指示信号,其中,所述第一测试控制信号用于指示进入测试模式,所述第一指示信号用于指示所述第一屏蔽单元将密钥信息传输至所述加密单元。本发明实施例能够在保证密钥安全性的前提下实现对密钥故障的测试,提高基于扫描链的扫描测试的测试覆盖率。(the embodiment of the invention provides a test control device, a chip and a method, wherein the device comprises an authority analysis unit, a test control unit, a first shielding unit and an encryption unit; the permission analysis unit is used for verifying the permission information to be verified and sending a first trigger signal to the test control unit when the permission information passes verification; the test control unit is configured to send a first indication signal to the first shielding unit when receiving the first trigger signal and the first test control signal, where the first test control signal is used to indicate that a test mode is entered, and the first indication signal is used to indicate that the first shielding unit transmits key information to the encryption unit. The embodiment of the invention can realize the test of the key fault on the premise of ensuring the security of the key and improve the test coverage rate of the scan test based on the scan chain.)

测试控制装置、芯片及方法

技术领域

本发明实施例涉及集成电路技术领域，尤其涉及一种测试控制装置、芯片及方法。

背景技术

基于扫描链的扫描测试是可测试性设计中的一种常用的测试方法，能够保证很高的测试覆盖率。通过基于扫描链的扫描测试可以对加密芯片进行测试。加密芯片在加密过程需要将密钥和明文数据送入加密单元中，经过很多轮的加密操作，每一轮的加密相关信息都保存于加密单元的触发器中。攻击者可以利用基于扫描链的旁路攻击方式获取加密芯片的密钥信息。攻击者会在加密芯片处于功能模式时，进行正常的加密操作，然后切换到测试模式下，通过扫描链将保存有加密相关信息的触发器的值移出观测，以此来破解密钥信息。

现有技术中，为防止攻击者利用基于扫描链的旁路攻击方式进行密钥破解，通常采用屏蔽密钥的方法，具体是在加密芯片中添加屏蔽单元，通过控制屏蔽单元使得在功能模式下，密钥可以正常的送入加密单元中进行加密运算而不被屏蔽；在测试模式下，密钥会被屏蔽，密钥信息不能送入加密单元中参与组合逻辑运算。并且由功能模式切换到测试模式时，会对保存有加密相关信息的触发器进行复位操作，从而保证了扫描链移出的中间状态值均和密钥没有关系，攻击者无法破解密钥。

然而，现有的屏蔽密钥的方法由于在测试模式下密钥不参与加密单元内的组合逻辑运算，虽然攻击者无法通过扫描链移出的中间状态值破解密钥，但测试人员也无法基于扫描链的扫描测试对密钥故障进行测试，只能通过功能模式下的加密操作去验证密钥是否存在故障。因此，现有的屏蔽密钥的方法会导致基于扫描链的扫描测试无法进行密钥故障的测试，存在测试覆盖率的损失。

发明内容

本发明实施例提供一种测试控制装置、芯片及方法，以解决现有的屏蔽密钥的方法会导致基于扫描链的扫描测试无法进行密钥故障的测试，存在测试覆盖率的损失的问题。

第一方面，本发明实施例提供一种测试控制装置，包括：权限分析单元、测试控制单元、第一屏蔽单元、加密单元；

所述权限分析单元与所述测试控制单元连接，所述测试控制单元与所述第一屏蔽单元连接；

所述权限分析单元，用于对待验证的权限信息进行验证，并在验证通过时向所述测试控制单元发送第一触发信号；

所述测试控制单元，用于在接收到所述第一触发信号、以及第一测试控制信号时，向所述第一屏蔽单元发送第一指示信号，其中，所述第一测试控制信号用于指示进入测试模式，所述第一指示信号用于指示所述第一屏蔽单元将密钥信息传输至所述加密单元。

在一种可能的实施方式中，所述权限分析单元，还用于在所述权限信息验证未通过时，向所述测试控制单元发送第二触发信号；

所述测试控制单元，还用于在接收到所述第二触发信号、以及所述第一测试控制信号时，向所述第一屏蔽单元发送第二指示信号，其中，所述第二指示信号用于指示所述第一屏蔽单元对密钥信息进行屏蔽处理。

在一种可能的实施方式中，所述测试控制单元，还用于在接收到第二测试控制信号时，向所述第一屏蔽单元发送所述第一指示信号，其中，所述第二测试控制信号用于指示进入功能模式。

在一种可能的实施方式中，所述加密单元包括触发器单元、第二屏蔽单元，其中，所述触发器单元包括多个触发器，所述多个触发器在测试模式下形成至少一条扫描链；

所述测试控制单元与所述第二屏蔽单元连接，所述第二屏蔽单元与所述触发器单元连接；

所述测试控制单元，还用于将所述第一指示信号发送至所述第二屏蔽单元，所述第一指示信号还用于指示所述第二屏蔽单元停止对所述至少一条扫描链的屏蔽处理，以使所述至少一条扫描链在接收到输出指示信号时，输出各触发器中存储的数据。

在一种可能的实施方式中，所述权限分析单元包括控制器、状态机、触发生成器；

所述控制器与所述状态机连接，所述状态机与所述触发生成器连接，所述触发生成器与所述测试控制单元连接；

所述控制器，用于根据所述权限信息生成多个状态切换信号，并依次将各个所述状态切换信号发送至所述状态机；

所述状态机，用于根据各个所述状态切换信号进行状态切换，并在切换到目标状态时，向所述触发生成器发送第三指示信号，其中，所述目标状态为所述权限信息正确时所述状态机最终切换到的状态；

所述触发生成器，用于在接收到所述第三指示信号时，生成所述第一触发信号，并将所述第一触发信号发送至所述测试控制单元。

在一种可能的实施方式中，所述触发生成器，还用于在未接收到所述第三指示信号时，生成第二触发信号，并将所述第二触发信号发送至所述测试控制单元。

在一种可能的实施方式中，所述权限信息为处理器执行用户输入的功能指令序列生成，并发送至所述权限分析单元的信息。

在一种可能的实施方式中，所述测试控制单元包括异或门、时钟门控单元、第一触发器、反相器；

所述异或门的第一输入端与所述权限分析单元连接，所述异或门的第二输入端接入测试控制信号，所述异或门的输出端与所述第一触发器的信号输入端连接；

所述时钟门控单元的使能端接入测试控制信号，所述时钟门控单元的时钟输入端接入时钟信号，所述时钟门控单元的输出端与所述第一触发器的时钟输入端连接；

所述第一触发器的复位输入端接入复位信号，所述第一触发器的输出端与所述反相器的输入端连接；

所述反相器的输出端分别与所述第一屏蔽单元、所述加密单元连接。

在一种可能的实施方式中，所述第一触发信号为高电平，所述第一指示信号为高电平。

第二方面，本发明实施例提供一种芯片，包括：如上第一方面以及第一方面各种可能的实施方式所述的测试控制装置。

第三方面，本发明实施例提供一种测试控制方法，包括：

权限分析单元对待验证的权限信息进行验证，并在验证通过时向测试控制单元发送第一触发信号；

测试控制单元在接收到所述第一触发信号、以及第一测试控制信号时，向第一屏蔽单元发送第一指示信号，其中，所述第一测试控制信号用于指示进入测试模式，所述第一指示信号用于指示所述第一屏蔽单元将密钥信息传输至加密单元。

在一种可能的实施方式中，所述方法还包括：

所述权限分析单元在所述权限信息验证未通过时向所述测试控制单元发送第二触发信号；

所述测试控制单元在接收到所述第二触发信号、以及所述第一测试控制信号时，向所述第一屏蔽单元发送第二指示信号，其中，所述第二指示信号用于指示所述第一屏蔽单元对密钥信息进行屏蔽处理。

在一种可能的实施方式中，所述方法还包括：

所述测试控制单元在接收到第二测试控制信号时，向所述第一屏蔽单元发送所述第一指示信号，其中，所述第二测试控制信号用于指示进入功能模式。

在一种可能的实施方式中，所述权限信息为芯片处理器执行用户输入的功能指令序列生成，并发送至所述权限分析单元的信息。

本发明实施例提供的测试控制装置、芯片及方法，该装置包括权限分析单元、测试控制单元、第一屏蔽单元、加密单元；权限分析单元与测试控制单元连接，测试控制单元与第一屏蔽单元连接；权限分析单元，用于对待验证的权限信息进行验证，并在验证通过时向测试控制单元发送第一触发信号；测试控制单元，用于在接收到第一触发信号、以及第一测试控制信号时，向第一屏蔽单元发送第一指示信号，其中，第一测试控制信号用于指示进入测试模式，第一指示信号用于指示第一屏蔽单元将密钥信息传输至加密单元。本发明实施例通过权限分析单元对待验证的权限信息进行验证，在验证通过且处于测试模式时，控制第一屏蔽单元将密钥信息传输至加密单元，不对密钥信息进行屏蔽，从而使拥有权限的测试人员可以基于扫描链的扫描测试对密钥故障进行测试，由于攻击者无法通过权限验证，攻击者无法通过扫描链进行密钥破解，能够在保证密钥安全性的前提下实现对密钥故障的测试，提高基于扫描链的扫描测试的测试覆盖率。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明一实施例提供的测试控制装置的结构示意图；

图2为本发明又一实施例提供的测试控制装置的结构示意图；

图3为本发明另一实施例提供的测试控制装置的结构示意图；

图4为本发明再一实施例提供的测试控制装置中测试控制单元的结构示意图；

图5为本发明下一实施例提供的测试控制装置与现有的测试控制装置的模式切换对比示意图；

图6为本发明还一实施例提供的测试控制装置的流程示意图。

附图标记说明：

100：权限分析单元；

110：控制器；

120：状态机；

130：触发生成器；

200：测试控制单元；

210：异或门；

220：时钟门控单元；

230：第一触发器；

240：反相器；

300：第一屏蔽单元；

400：加密单元；

410：第二屏蔽单元；

420：触发器单元。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”“第四”等(如果存在)是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

下面以具体地实施例对本发明的技术方案进行详细说明。下面这几个具体的实施例可以相互结合，对于相同或相似的概念或过程可能在某些实施例不再赘述。

现有技术中，基于扫描链的扫描测试是可测试性设计中的一种常用的测试方法，能够保证很高的测试覆盖率。该测试方法通过在普通触发器前增加一个选择器的方式，串联成一条由多个触发器组成的长链。选择器的两个输入，一个来自于扫描输入，另一个来自于组合逻辑，由扫描使能信号控制选择器选择触发器的数据输入来源。在测试模式下，扫描使能为1时，芯片处于移位状态；扫描使能为0时，芯片处于捕获状态。在移位状态下，多拍时钟后可以将扫描输入值移入扫描链上触发器中或者将扫描链上触发器中的值移出观测；在捕获状态下，经过一拍或多拍时钟将组合逻辑状态值捕获到触发器中。在整个测试过程中，可以经过多次捕获、移位的切换，对整个芯片电路进行测试。

现有的芯片中包括屏蔽单元和加密单元，可以控制屏蔽单元在芯片处于功能模式时，将密钥可以正常的送入加密单元中进行加密运算而不被屏蔽；在芯片处于测试模式下，将密钥进行屏蔽，密钥不能送入加密单元中参与组合逻辑运算。并且由功能模式切换到测试模式时，会对保存有加密相关信息的触发器进行复位操作，从而保证了扫描链移出的中间状态值均和密钥没有关系。

如果攻击者利用基于扫描链的旁路攻击方式获取加密芯片的密钥，攻击者会在加密芯片处于功能模式时，进行正常的加密操作，然后切换到测试模式下，但由于保存有加密相关信息的触发器已经进行复位操作，因此触发器中没有保存加密相关信息，即使攻击者通过扫描链将触发器的值移出观测，也无法破解密钥。并且，由于测试模式下密钥被屏蔽不会送入加密单元中参与组合逻辑运算，即使攻击者在测试模式下将芯片在捕获状态、移位状态之间进行切换，寄存器也不会存储密钥相关信息，因此攻击者无法在测试模式下破解密钥。

然而，现有的屏蔽密钥的方法由于在测试模式下密钥不参与加密单元内的组合逻辑运算，虽然攻击者无法通过扫描链移出的中间状态值破解密钥，但测试人员也无法基于扫描链的扫描测试对密钥故障进行测试，只能通过功能模式下的加密操作去验证密钥是否存在故障。例如，密钥故障可以为密钥送入加密单元的传输线中断、密钥错误等故障。因此，现有的屏蔽密钥的方法会导致基于扫描链的扫描测试无法进行密钥故障的测试，存在测试覆盖率的损失。

本发明实施例通过权限分析单元对待验证的权限信息进行验证，在验证通过且处于测试模式时，控制第一屏蔽单元将密钥信息传输至加密单元，不对密钥信息进行屏蔽，从而使拥有权限的测试人员可以基于扫描链的扫描测试对密钥故障进行测试，由于攻击者无法通过权限验证，攻击者无法通过扫描链进行密钥破解，能够在保证密钥安全性的前提下实现对密钥故障的测试，提高基于扫描链的扫描测试的测试覆盖率。

图1为本发明一实施例提供的测试控制装置的结构示意图。参照图1，本实施例提供的一种测试控制装置，包括：权限分析单元100、测试控制单元200、第一屏蔽单元300、加密单元400。

权限分析单元100与测试控制单元200连接，测试控制单元200与第一屏蔽单元300连接。

权限分析单元100，用于对待验证的权限信息进行验证，并在验证通过时向测试控制单元200发送第一触发信号。

测试控制单元200，用于在接收到第一触发信号、以及第一测试控制信号时，向第一屏蔽单元300发送第一指示信号。其中，第一测试控制信号用于指示进入测试模式，第一指示信号用于指示第一屏蔽单元300将密钥信息传输至加密单元400。

在本实施例中，权限信息的具体形式在此不作限定，例如可以将特定的一串字符串作为权限信息，也可以将芯片的处理器执行一组特定的功能指令所得到的信息作为权限信息，此外，还可以有其他的权限信息形式，在此不作限定。权限分析单元100可以接收用户输入的权限信息，或者接收芯片的处理器转发的用户输入的权限信息，或者接收芯片的处理器执行用户输入的一组功能指令所得到的权限信息，在此不作限定。

权限分析单元100对待验证的权限信息进行验证，具体的验证方式可以是将权限信息与预置的参考信息进行比对，或者通过状态机120的状态切换对权限信息进行验证等，在此不对验证方式进行限定。在权限信息验证通过时，权限分析单元100向测试控制单元200发送第一触发信号。

测试控制单元200包括至少两个输入端，一个输入端用于接收权限分析单元100发送的触发信号，另一输入端用于接收测试控制信号。其中，触发信号包括至少两种：第一触发信号和第二触发信号，第一触发信号表征权限信息验证通过，第二触发信号表征权限信息验证未通过。测试控制信号包括至少两种，第一测试控制信号和第二测试控制信号，第一测试控制信号用于指示进入测试模式，第二测试控制信号用于指示进入功能模式。测试控制单元200可以接收用户输入的测试控制信号，或者接收芯片的处理器发送的测试控制信号，在此不作限定。

在本实施例中，测试者可以输入正确的权限信息，攻击者无法输入正确的权限信息。测试控制单元200接收到第一触发信号、第一测试控制信号时，表征当前处于测试模式，且权限信息验证通过，当前用户是测试者，而不是攻击者，因此可以向第一屏蔽单元300发送第一指示信号，指示第一屏蔽单元300不对密钥信息进行屏蔽，将密钥信息传输至加密单元400。

为便于描述，本文将测试模式划分为两种：安全测试模式、非安全测试模式。其中，安全测试模式是指不对密钥进行屏蔽，允许密钥参与组合逻辑运算的测试模式；非安全测试模式是指对密钥进行屏蔽，不允许密钥参与组合逻辑运算的测试模式。在测试模式下，若权限信息验证通过则进入安全测试模式；若未进行权限信息验证，或权限信息验证未通过，则进入非安全测试模式。

本实施例通过对权限信息进行验证，能够区分用户是否为测试者，在确定用户为测试者时进入安全测试模式，指示第一屏蔽单元300不对密钥进行屏蔽，从而使测试者可以利用基于扫描链的扫描测试对密钥故障进行测试。由于基于扫描链的旁路攻击方式是利用触发器连接所形成的扫描链进行密钥破解，是利用硬件上的连接结构进行破解，只从芯片的软件层面进行改进无法保证密钥的安全性。而本实施例提供的测试控制装置，对测试控制装置的结构和控制方式进行改进，能够有效攻击者利用扫描链进行密钥破解，并在防止攻击者利用扫描链进行密钥破解的前提下，实现了对密钥故障的测试，提高了基于扫描链的扫描测试的测试覆盖率。

本发明实施例提供的测试控制装置，该装置包括权限分析单元100、测试控制单元200、第一屏蔽单元300、加密单元400；权限分析单元100与测试控制单元200连接，测试控制单元200与第一屏蔽单元300；权限分析单元100，用于对待验证的权限信息进行验证，并在验证通过时向测试控制单元200发送第一触发信号；测试控制单元200，用于在接收到第一触发信号、以及第一测试控制信号时，向第一屏蔽单元300发送第一指示信号，其中，第一测试控制信号用于指示进入测试模式，第一指示信号用于指示第一屏蔽单元300将密钥信息传输至加密单元400。本发明实施例通过对待验证的权限信息进行验证，在验证通过且处于测试模式时控制第一屏蔽单元300将密钥信息传输至加密单元400，不对密钥信息进行屏蔽，从而使拥有权限的测试人员可以基于扫描链的扫描测试对密钥故障进行测试，由于攻击者无法通过权限验证，攻击者无法通过扫描链进行密钥破解，能够在保证密钥安全性的前提下实现对密钥故障的测试，提高基于扫描链的扫描测试的测试覆盖率。

在一种可能的实施方式中，权限分析单元100，还用于在权限信息验证未通过时，向测试控制单元200发送第二触发信号。

测试控制单元200，还用于在接收到第二触发信号、以及第一测试控制信号时，向第一屏蔽单元300发送第二指示信号。其中，第二指示信号用于指示第一屏蔽单元300对密钥信息进行屏蔽处理。

在本实施例中，权限分析单元100，还用于在权限信息验证未通过时，向测试控制单元200发送第二触发信号。测试控制单元200在接收到第二触发信号、以及第一测试控制信号时，表征当前处于测试模式，且权限信息验证未通过，当前用户不是测试者，可能是攻击者，因此可以向第一屏蔽单元300发送第二指示信号，指示第一屏蔽单元300对密钥信息进行屏蔽，不将密钥信息传输至加密单元400。例如，第一屏蔽单元300可以将预先设置的干扰信息代替密钥信息，送入加密单元400，使用干扰信息参与测试过程，从而保证密钥的安全性。

可选地，第一屏蔽单元300可以为多路选择器，该多路选择器包括至少两个输入端，一个控制端和一个输出端。该多路选择器的一个输入端用于接入密钥信息，另一输入端用于接入干扰信息(图中未示出)。该多路选择器的控制端用于接收测试控制单元200发送的指示信号。该多路选择器的输出端与加密单元400连接。该多路选择器用于根据指示信号选择性地将密钥信息和干扰信息中的一个通过输出端传输至加密单元400。例如，该多路选择器在接收到第一指示信号时，将密钥信息传输至加密单元400，在接收到第二指示信号时，将干扰信息传输至加密单元400。另外，第一屏蔽单元300还可以由其他能够根据控制信号选择性输出某路数据的器件来实现，在此不作限定。

本实施例通过对权限信息进行验证，能够区分用户是否为测试者，在确定用户不是测试者时进入非安全测试模式，指示第一屏蔽单元300对密钥进行屏蔽，在测试过程中不将密钥送入加密模块，从而防止攻击者利用扫描链进行密钥破解，保证密钥的安全性。

可选地，权限分析单元100在未进行权限信息验证、以及权限验证失败时，始终向测试控制单元200发送第二触发信号，只有在权限验证通过时向测试控制单元200发送第一触发信号。

在一种可能的实施方式中，测试控制单元200，还用于在接收到第二测试控制信号时，向第一屏蔽单元300发送第一指示信号。其中，第二测试控制信号用于指示进入功能模式。

在本实施例中，第二测试控制信号表征进入功能模式，在功能模式下加密单元400根据密钥对待加密的数据进行正常的加密运算。测试控制单元200在接收到第二测试控制信号时，无论权限分析单元100发送的是第一触发信号还是第二触发信号，测试控制单元200均向第一屏蔽单元300发送第一指示信号，指示第一屏蔽单元300不对密钥进行屏蔽，将密钥送入加密单元400，以便加密单元400进行正常的加密运算。

图2为本发明又一实施例提供的测试控制装置的结构示意图。参照图2，在一种可能的实施方式中，加密单元400分别与第一屏蔽单元300、测试控制单元200连接。加密单元400包括触发器单元420、第二屏蔽单元410。其中，触发器单元420包括多个触发器，多个触发器在测试模式下形成至少一条扫描链。

测试控制单元200与第二屏蔽单元410连接，第二屏蔽单元410与触发器单元420连接。

测试控制单元200，还用于将第一指示信号发送至第二屏蔽单元410。第一指示信号还用于指示第二屏蔽单元410停止对至少一条扫描链的屏蔽处理，以使至少一条扫描链在接收到输出指示信号时，输出各触发器中存储的数据。

在本实施例中，除了第一屏蔽单元300进行密钥屏蔽之外，加密单元400中还包括第二屏蔽单元410。第二屏蔽单元410用于对扫描链移出的数据进行一定程度的修改和干扰，从而混淆扫描链观测数据，使得攻击者无法获得加密模块中触发器保存的真实状态值，进一步防止攻击者通过扫描链进行密钥破解。

测试控制单元200在接收到第一触发信号、以及第一测试控制信号时，除了向第一屏蔽单元300发送第一指示信号，还将第一指示信号发送至第二屏蔽单元410，指示第二屏蔽单元410停止对扫描链的屏蔽处理。这样，在安全测试模式下，至少一条扫描链在接收到输出指示信号时，可以输出扫描链中各触发器存储的数据，以便测试者根据数据进行测试分析。

可选地，测试控制单元200，还用于将第二指示信号发送至第二屏蔽单元410。第二指示信号还用于指示第二屏蔽单元410对至少一条扫描链的屏蔽处理，使得至少一条扫描链无法输出扫描链中各触发器存储的真实数据，从而防止攻击者通过扫描链进行密钥破解。

可选地，第二屏蔽单元410可以由与门，或者触发生成器等器件来实现，在此不作限定。例如，第二屏蔽单元410可以由触发生成器实现，该触发生成器的输入端接收测试控制单元200发送的指示信号。该触发生成器的输出端连接触发器单元420中的各个触发器的使能端。在接收到第一指示信号时，该触发生成器输出使能信号，以使触发器单元420中的各个触发器使能有效，此时触发器单元420中的各个触发器能够输出存储的数据。在接收到第一指示信号时，该触发生成器输出使能有效信号(如高电平信号)，以使触发器单元420中的各个触发器使能有效，此时触发器单元420中的各个触发器能够正常输出存储的数据，停止对扫描链的屏蔽作用。在接收到第二指示信号时，该触发生成器输出使能无效信号(如低电平信号)，以使触发器单元420中的各个触发器使能无效，此时触发器单元420中的各个触发器不能正常输出存储的数据，从而实现对扫描链的屏蔽作用。

第二屏蔽单元410还可以由与门实现，该与门可以包括至少两个输入端，一个输出端。该与门的两个输入端分别接入测试控制信号和指示信号。该与门的输出端连接触发器单元420中的各个触发器的使能端。在接收到第一测试控制信号和第一指示信号时，该与门输出使能有效信号(如高电平信号)，以使触发器单元420中的各个触发器使能有效，此时触发器单元420中的各个触发器能够正常输出存储的数据，停止对扫描链的屏蔽作用。在接收到第一测试控制信号和第二指示信号时，输出使能无效信号(如低电平信号)，以使触发器单元420中的各个触发器使能无效，此时触发器单元420中的各个触发器不能正常输出存储的数据，从而实现对扫描链的屏蔽作用。

在本实施例中，第一屏蔽单元300和第二屏蔽单元400分别从两个不同的角度防止攻击者进行密钥破解。第二屏蔽单元410是根据测试控制信号和指示信号对触发器单元420中的触发器进行使能控制，以控制触发器是否输出存储的值。而第一屏蔽单元300是根据指示信号选择性将密钥信息和干扰信息输入到加密单元400中的执行加密逻辑运算的单元，以参与加密逻辑运算。

图3为本发明另一实施例提供的测试控制装置的结构示意图。参照图3，在一种可能的实施方式中，权限分析单元100包括控制器110、状态机120、触发生成器130。

控制器110与状态机120连接，状态机120与触发生成器130连接，触发生成器130与测试控制单元200连接。

控制器110，用于根据权限信息生成多个状态切换信号，并依次将各个状态切换信号发送至状态机120。

状态机120，用于根据各个状态切换信号进行状态切换，并在切换到目标状态时，向触发生成器130发送第三指示信号。其中，目标状态为权限信息正确时状态机120最终切换到的状态。

触发生成器130，用于在接收到第三指示信号时，生成第一触发信号，并将第一触发信号发送至测试控制单元200。

在本实施例中，控制器110可以根据权限信息生成多个状态切换信号，并依次将各个状态切换信号发送至状态机120。状态机120依次根据各个状态切换信号进行状态切换。例如，权限信息划分为多个子段信息，每个子段信息对应一个状态切换信号。

如果权限信息正确，则状态机120依次根据各个状态切换信号进行状态切换后，最终会切换到指定的目标状态。如果权限信息不正确，则状态机120依次根据各个状态切换信号进行状态切换，无法切换到指定的目标状态。状态机120只会在切换到目标状态时，向触发生成器130发送第三指示信号，其他状态都不会向触发生成器130发送第三指示信号。

触发生成器130接收到第三指示信号时，生成第一触发信号，并将第一触发信号发送至测试控制单元200。可选的，该触发生成器130可以通过多个触发器和多个门电路的组合实现，触发器和门电路的数量可以根据具体情况来确定；此外，触发生成器130也可以为通过其他电路结构实现上述功能的结构，在此不再赘述。

通过控制器110、状态机120、触发生成器130能够实现对权限信息的验证，并在验证通过时向测试控制单元200发送第一触发信号。

在一种可能的实施方式中，权限信息为处理器执行用户输入的功能指令序列生成，并发送至权限分析单元100的信息。

在本实施例中，芯片包括处理器和本实施例提供的测试控制装置。芯片中的处理器可以实现与外部装置进行通信、对芯片内部的其他装置的控制、对待加密数据、加密结果等进行保存或传输等功能。测试控制装置可以实现对加密单元的工作模式进行控制的功能。芯片中的处理器可以接收用户输入的功能指令序列。功能指令序列包括处理器可执行的多个指令。处理器执行功能指令序列可以生成多个译码信息。芯片中的处理器将生成多个译码信息发送至权限分析单元100中的控制器110。控制器110可以将每个译码信息直接作为一个状态切换信号，依次发送给状态机120，或者使每个译码信息对应一个状态切换信号，将每个译码信息对应的状态切换信号依次发送给状态机120。

本实施例利用功能指令序列的译码信息作为权限信息进行验证，能够利用芯片处理器原有的功能指令，不用再另外设置其他的指令和验证规则，通过功能指令序列和状态机120结合，能够最大程度上防止攻击者破解权限信息，安全性高。

在一种可能的实施方式中，触发生成器130，还用于在未接收到第三指示信号时，生成第二触发信号，并将第二触发信号发送至所述测试控制单元200。

在本实施例中，触发生成器130只有在接收到第三指示信号时才会生成第一触发信号，在未接收到第三指示信号时，始终生成第二触发信号。例如，第一触发信号为高电平信号，第二触发信号为低电平信号。触发生成器130在默认情况下输出低电平信号至测试控制单元200，在接收到状态机发送的第三指示信号时，才会输出高电平信号至测试控制单元200。

图4为本发明再一实施例提供的测试控制装置中测试控制单元200的结构示意图。参照图4，在一种可能的实施方式中，测试控制单元200包括异或门210、时钟门控单元220、第一触发器230、反相器240。

异或门210的第一输入端与权限分析单元100连接，异或门210的第二输入端接入测试控制信号，异或门210的输出端与第一触发器230的信号输入端连接。

时钟门控单元220的使能端接入测试控制信号，时钟门控单元220的时钟输入端接入时钟信号，时钟门控单元220的输出端与第一触发器230的时钟输入端连接。

第一触发器230的复位输入端接入复位信号，第一触发器230的输出端与反相器240的输入端连接。

反相器240的输出端分别与第一屏蔽单元300、加密单元400连接。

在本实施例中，异或门210对测试控制信号和触发信号进行异或处理，然后将异或处理的结果输出给第一触发器230。第一触发器230的时钟受时钟门控单元220的控制，时钟门控单元220在接收到第一测试控制信号时，将接入的时钟信号输出给第一触发器230，为第一触发器230提供时钟信号。

功能模式下，时钟门控单元220使能无效，第一触发器230的输出值为复位后的值0，反相器240输出的信号为1，该信号即为第一指示信号。测试模式下，第一触发器230的时钟有效，反相器240输出的信号由测试控制信号和触发信号共同决定。在测试控制信号为第一测试控制信号，触发信号为第一触发信号时，反相器240输出第一指示信号。

本实施例通过异或门210、时钟门控单元220、第一触发器230、反相器240，实现根据权限信息验证结果和测试控制信号对第一屏蔽单元300进行相应的控制。

在一种可能的实施方式中，所述第一触发信号为高电平，所述第一指示信号为高电平。

在本实施例中，权限分析单元100发送的触发信号包括第一触发信号和第二触发信号。其中，第一触发信号为高电平，表征权限信息验证通过；第二触发信号为低电平，表征权限信息验证未通过或未进行验证。

测试控制单元200发送的指示信号包括第一指示信号和第二指示信号。其中，第一指示信号为高电平，指示第一屏蔽单元300不对密钥进行屏蔽；第二指示信号为低电平，指示第一屏蔽单元300对密钥进行屏蔽。

可选地，测试控制信号包括第一测试控制信号和第二测试控制信号。其中，第一测试控制信号为高电平，指示进入测试模式；第二测试控制信号为低电平，指示进入功能模式。

图5为本发明下一实施例提供的测试控制装置与现有的测试控制装置的模式切换对比示意图。图5(a)为现有的测试控制装置的模式切换示意图，图5(b)为本发明下一实施例提供的测试控制装置的模式切换示意图。

参照图5(a)，芯片工作模式包括功能模式、测试模式，在测试控制信号为0时，芯片进入功能模式；在测试控制信号为1时，芯片进入测试模式。

参照图5(b)，本发明实施例将测试模式分为安全测试模式和非安全测试模式，由触发信号和测试控制信号共同控制芯片的模式切换。当测试控制信号由0跳变到1时，芯片由功能模式切换到测试模式，此时如果触发信号为1，则进入安全测试模式，如果触发信号为0，则进入非安全测试模式。当测试控制信号由1跳变为0时，芯片由测试模式回归到正常的功能模式。

图6为本发明还一实施例提供的测试控制装置的流程示意图。参照图6，芯片完成上电操作进入工作模式后，如果将测试控制信号TC置为0，芯片会进入正常的功能模式。功能模式下的操作与测试权限验证无关，无论使用者是否进行测试权限验证，或者是否验证通过，权限分析单元100产生的触发信号都不会对功能操作造成影响。当TC为0时，第一屏蔽单元300选择将密钥输出并送入到加密单元400中。并且第二屏蔽单元410不对加密单元400中触发器进行屏蔽处理，加密模块可以进行正常的加密运算，并输出密文。

芯片上电后，如果不预先进入功能模式下通过测试权限验证，而是将TC直接置为1，则芯片会进入非安全测试模式。或者当芯片在功能模式下，使用者没有进行测试权限验证或验证未通过，将TC信号由0置1，芯片同样会切换到非安全测试模式。在非安全模式下，测试控制单元200的指示信号会送入屏蔽单元(包括第一屏蔽单元300和/或第二屏蔽单元410)，然后屏蔽单元会对密钥以及加密模块中的触发器进行相应的屏蔽处理，使得攻击者无法通过扫描移出值恢复密钥。

若想进入安全测试模式，使用者需要在功能模式下输入正确的功能指令序列进行测试权限验证。并且在测试权限验证通过后，将TC信号由0置1，芯片切换到安全测试模式。安全测试模式下，权限分析单元100产生的第一触发信号会送入测试控制单元200中，测试控制单元200产生相应的指示信号使得屏蔽单元不对密钥和加密单元400中触发器进行屏蔽，这样加密单元400中可以进行正常的扫描测试，故障覆盖率不受影响。

本实施例能够对使用者进行测试权限验证，确保没有权限的攻击者无法获取密钥信息。对于测试者，通过测试权限验证进入安全测试模式后，密钥不会被屏蔽，加密单元400中触发器的值通过扫描链移出后也不会被混淆或干扰，扫描测试既不需要修改测试向量，又可以检测到密钥故障。对于攻击者，无法通过测试权限验证，只能由功能模式进入非安全模式，密钥会被屏蔽，并且加密单元400中触发器的值在移出观测时会被干扰，攻击者无法根据错误的观测值破解密钥。

本发明实施例还提供一种芯片。该芯片包括如上实施例所述的测试控制装置。

本发明实施例提供的芯片，通过对待验证的权限信息进行验证，在验证通过且处于测试模式时控制第一屏蔽单元300将密钥信息传输至加密单元400，不对密钥信息进行屏蔽，从而使拥有权限的测试人员可以基于扫描链的扫描测试对密钥故障进行测试，由于攻击者无法通过权限验证，攻击者无法通过扫描链进行密钥破解，能够在保证密钥安全性的前提下实现对密钥故障的测试，提高基于扫描链的扫描测试的测试覆盖率。

本发明实施例还提供一种测试控制方法。该方法包括：

权限分析单元100对待验证的权限信息进行验证，并在验证通过时向测试控制单元200发送第一触发信号。

测试控制单元200在接收到第一触发信号、以及第一测试控制信号时，向第一屏蔽单元300发送第一指示信号。其中，第一测试控制信号用于指示进入测试模式，第一指示信号用于指示第一屏蔽单元300将密钥信息传输至加密单元400。

本发明实施例提供的测试控制方法，通过对待验证的权限信息进行验证，在验证通过且处于测试模式时控制第一屏蔽单元300将密钥信息传输至加密单元400，不对密钥信息进行屏蔽，从而使拥有权限的测试人员可以基于扫描链的扫描测试对密钥故障进行测试，由于攻击者无法通过权限验证，攻击者无法通过扫描链进行密钥破解，能够在保证密钥安全性的前提下实现对密钥故障的测试，提高基于扫描链的扫描测试的测试覆盖率。

在一种可能的实施方式中，上述方法还包括：

权限分析单元100在权限信息验证未通过时向测试控制单元200发送第二触发信号。

测试控制单元200在接收到第二触发信号、以及第一测试控制信号时，向第一屏蔽单元300发送第二指示信号。其中，第二指示信号用于指示第一屏蔽单元300对密钥信息进行屏蔽处理。

在一种可能的实施方式中，上述方法还包括：

测试控制单元200在接收到第二测试控制信号时，向第一屏蔽单元300发送第一指示信号，其中，第二测试控制信号用于指示进入功能模式。

在一种可能的实施方式中，权限信息为芯片处理器执行用户输入的功能指令序列生成，并发送至权限分析单元100的信息。

本发明实施例提供的测试控制方法，具体实现过程可参见上述测试控制装置的实施例，其实现原理和技术效果类似，本实施例此处不再赘述。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。