非易失存储器装置以及用于非易失存储器装置的方法

摘要

本发明公开了一种非易失存储器装置以及用于非易失存储器装置的方法。其中，NVM装置包括NVM阵列以及控制逻辑。NVM阵列用来储存数据。控制逻辑接收储存于NVM装置的多个数据数值，且将接收到的该些数据数值中至少一些数据数值写入至NVM阵列，且同时地写入至少一些数据数值的多个互补数值。

说明书

技术领域

本发明是有关于一种数据安全，特别是有关于一种非易失存储器装置以及用于非 易失存储器装置的方法，用以减轻在存储器装置上的侧通道攻击(side-channel attack)。

背景技术

目前已发展各种技术(例如，侧通道攻击)从电子装置撷取信息。这种攻击一般是 由未经过授权的一方来执行，以存取储存在该装置中机密信息。侧通道攻击是利用电 子装置在逻辑元件的转态期间的消耗能量。这些攻击是利用非侵入的方式来量测电子 信号以及/或由装置所发出的辐射来撷取信息，而不需电性接触传载信息的装置。

目前刚要开始尝试发展可在电子装置实施的技术，其可保护机密信息使其不被侧 通道攻击方法来被未授权的存取。这类型的技术已在Shen-Or等人提出的PCT国际 公开号WO 2013/035006的参考数据中叙述，其揭露在此做为参考文件。这参考数据 叙述了一种数据转移的方法，其包括撷取一控制信号，以触发机密数值转移到一电路 的一元件。根据此控制信号，一冗余数值以及该机密数值接续地崁入至该电路的该元 件中。

由本专利申请案所参考的文件将被视为本申请案的不可缺的一部分，除了在某种 程度上这些参考文件中所定义的任何条件与本说明书中明确或暗示的定义相抵触时， 应只考虑本说明书中的定义。

发明内容

本发明提供一种非易失存储器(non-volatile memory，NVM)装置。NVM装置包括 NVM阵列以及控制逻辑。NVM阵列用来储存数据。控制逻辑接收储存于NVM装置 的多个数据数值，且将接收到的该些数据数值中至少一些数据数值写入至NVM阵列， 且同时地写入至少一些数据数值的多个互补数值。

在一些实施例中，控制逻辑包括一反向器，其用来产生至少一些数据数值的该些 互补数值。在另一些实施例中，反向器将至少一些数据数值的该些互补数值输出至电 流槽。而在另一实施例中，反向器将至少一些数据数值的该些互补数值输出至仿真 NVM存储单元。

在一实施例中，控制器将该些数据数值写入至NVM阵列的一第一区段，且控制 逻辑将至少一些数据数值的该些互补数值写入至NVM阵列的第二区段。第二区段不 同于第一区段。

在另一实施例中，第一区段以及第二区段具有相等的容量。在又一实施例中，控 制逻辑包括逻辑门，其用来对储存在第一区段中的特定数据数值与储存在第二区段中 的一互补数值执行比较操作。

在一些实施例中，当比较操作回报正数值时，逻辑门传送指示该特定数据数值为 有效的输出信号。在另一些实施例中，当比较操作回报负数值时，逻辑门提供警讯。 在另一些实施例中，NVM阵列包括主要阵列以及冗余阵列。主要阵列具有第一储存 容量且储存该些数据数值。冗余阵列具有第二储存容量且储存至少一些数据数值的该 些互补数值。第二储存容量不同于第一储存容量。

本发明又提供一种NVM装置。此NVM装置包括NVM阵列以及控制逻辑。NVM 阵列用来储存数据。控制逻辑接收储存于NVM装置的多个数据数值，且将接收到的 该些数据数值中至少一些数据数值或是至少一些数据数值的多个互补数值写入至 NVM阵列。

本发明另提供一种用于NVM装置的方法。此NVM装置包括NVM阵列。此方 法包括以下步骤：在NVM存储器装置中，接收储存于NVM阵列的多个数据数值； 将接收到的该些数据数值中至少一些数据数值写入至NVM阵列；以及同时地写入至 少一些数据数值的多个互补数值。

本发明的非易失存储器装置以及用于非易失存储器装置的方法提供了新的方法 与电路，其能来减少NVM装置对于侧通道攻击的易受攻击性。

为使本发明的上述目的、特征和优点能更明显易懂，下文特举一较佳实施例，并 配合所附图式，作详细说明如下。

附图说明

图1表示根据本发明一实施例，能抵抗侧通道攻击的非易失存储器(non-volatile  memory，NVM)装置的架构。

图2～图6表示根据本发明实施例，在NVM装置中对抗侧通道攻击的保护架构 示意图。

附图标号说明：

20～主机；

22～非易失存储器(NVM)装置；

24～电源供应单元(PSU)；

25～电源线；

26～控制逻辑；

28～非易失存储器(NVM)阵列；

30～信号；

31～侧通道攻击分析器；

32～原始数据；

34～1^ST区段；

36～数据数值；

38～反向器；

40～2^ND区段；

42～互补数据；

44～互斥或门(XOR)

46～数据；

48～主要阵列；

50～冗余阵列；

52～主要阵列；

54～电流槽；

56～仿真NVM存储单元；

58～选择器。

具体实施方式

为使本发明的上述目的、特征和优点能更明显易懂，下文特举一较佳实施例，并 配合所附图式，作详细说明如下。

一般而言，电子装置消耗功率是在操作期间中，主要是在非易失存储器 (non-volatile memory，NVM)装置内逻辑元件的转态期间中(举例来说，在存储器编程 由“0”变“1”(例如抹除)或由“1”变“0”(例如写入)的期间中)。此功率消耗是侧 通道漏电流信号的来源，这可能会被未经授权的一方通过称为侧通道攻击的程序来使 用，以存取储存在该装置的机密信息。

基于这个原理，攻击者可在一电路元件在一已知状态(例如所有的位＝0，或者由 还原工程所决定的一预设值)与一未知状态(在此未知状态下该元件保持一机密数值) 之间转变时，量测功率消耗或发出的辐射。举例来说，这些攻击可通过采取软件的控 制、执行硬件重置、或是电源噪音攻击(power glitches)的应用来实现。在这样的运作 下，因为存储器元件的机密数值不同于保持的已知数值的对应位，因为侧通道漏电流 信号通常是发出自所有转态的存储器元件(例如：位)，而位中机密数值没有改变者， 则没有发出信号。因此，感测这些信号让攻击者能通过与已知数值的比较来推断出机 密数值。

此处所叙述的本发明的实施例提供了新的方法与电路，其能来减少NVM装置(例 如快闪存储器)对于侧通道攻击的易受攻击性。

在本领域已知的快闪存储器装置中，当抹除时存储单元(位)被设定为逻辑“1”。 写入时一快闪存储单元则将其数值改变为“0”。因此，当将一二进位字元写入至一 快闪存储单元阵列时，只有为“0”的位实际被写入。写入“0”因此引发电流，而写 入“1”(位没有改变)则不会引发电流。由于引发的供应电流将会随着被写入的“0” 位的数量而改变，写入操作在侧通道分析方面因此有漏洞。攻击者可以量测此电流， 且使用其来辨认写入至此存储器的机密数字。

为了阻止这种类型的攻击，本发明所揭露的实施例通过移动写入电流的位准来打 乱写入至存储器的数值。换句话说，这些实施例是修改NVM装置的功能，使得在不 论是写入“0”或“1”的情况下，每一位引起几乎相同的电流。写入“0”的操作将 修改在存储器中的目标位，而写入“1”的操作则造成一互补位写入至一辅助存储位 置或者是造成一互补位通过为了此目的提供的电流路径而补入。因此，写入数值 “b’00000000”以及“b’11111111”或是其他二进位字元将会引起几乎一样的电流。

在另一实施例中，对于每一为了储存而接收到的数据数值而言，存储器装置的控 制逻辑可用来写入数据数值本身或者其互补，而不是写入每一数据两次(包括每一位 以及其互补)。至于是写入原来数值或是其互补数值，可随机决定，或者是根据伪随 机型样(pseudo-random pattern)来决定。在此实施例中，每一位组或者每一字元加入 1-2个控制位，以指示其储存位置是维持原来或是互补的数据数值(两位-“01”与“10” -可用来扰乱将决定互补数据是“1”或“0”的统计分析)。本实施例可以降低成本， 却可能提供比先前实施例还要良好的保护。

系统说明：

图1是表示根据本发明一实施例，能抵抗侧通道攻击的非易失存储器(NVM)装置 22的架构。

NVM装置22包括一或多个快闪存储器28，在此也称为NVM阵列28，其用来 将数据储存在其存储单元。NVM装置22也包括控制逻辑26，其接收来自主机20且 将被储存的数据编程至NVM阵列28。此外，控制逻辑26也根据主机20所传送的指 令来读取或抹除来自NVM阵列28的已储存数据。在写入与抹除操作期间，存储单 元在写入时将其数值由“1”改变为“0”，且在抹除后将其数值由“0”改变为“1”。

NVM装置22通过连接至电源供应单元(power supply unit，PSU)24与NVM装置 22的电源线25接收来自PSU 24的电源。一般而言，NVM阵列28消耗功率，且因 此主要在逻辑元件的转态期间(即是，其数值由“0”转变为“1”或由“1”转变为“0”) 中，可能发射信号30，例如辐射。这种功率消耗是侧通道信号的来源。

图1中的侧通道攻击使用侧通道攻击分析器31量测与分析功率以及/或来自电源 线25(或来自与电源线25连接的一或多个元件)的发射信号30。

控制逻辑26通常包括一般用途处理器，其以软件来编程以完成此处所述的功能。 此软件可能是通过网络以电子型态下载至此处理器，或者，举例来说，此软件可能是 由非暂态具体介质(例如磁性、光学、或电子存储器)所提供以及/或储存。

图2是表示根据本发明一实施例，在NVM装置22中对抗侧通道攻击的保护架 构示意图。在一实施例中，控制逻辑26接收将被写入至NVM阵列28的数据数值。 控制逻辑26将原始数据32写入至NVM阵列28的一区域，该区域包括给定的储存 容量，以1^ST区段34来表示。控制逻辑26也通过反向器38同时地传送数据32的一 组互补数据。此互补数据写入至NVM阵列28的一辅助区域，该区域包括给定的储 存容量，以2^ND区段40来表示，其包括的储存容量相似于或不同于1^ST区段34中给 定的储存容量。在此实施例中，每一位同时地写入两次-一次是以其原始型态写入至 1^ST区段34，而另一次是以互补型态写入至2^ND区段40。因此，不论在数据数值中的 “1”与“0”的数量有多少，由NVM装置22所引起的电流实质上没有变化。因此， 回来参阅图1，由箭头30所标示的信号实质上相同，如此一来击退了任何的侧通道 攻击。

在另一实施例中，在读出时间，可通过使用互斥或(XOR)门44来比较储存在2^ND区段40的互补数据42以及储存在1^ST区段34的数据数值36，以检查数据的有效性。 XOR门44接收两个输入位(一位来自数据数值36，另一位来自数据42)且输出单一逻 辑数值“1”或“0”。假使此两输入位相同，则XOR门44回报一负数值(例如“0”)， 这表示数据无效且发布警讯给NVM装置22。相反地，假使此两输入位具有不同的数 值(一位具有数值“0”，而另一位具有数值“1”)，接着XOR门44回报一正数值(例 如“1”)，且传送确认此数据为有效的输出信号。

此比较操作对于每一对位执行一次，一位来自数据数值36，而另一位来自数据 42。举例来说，假使数据数值36的一特定位设定为逻辑“1”(抹除)，由于反向器38 的操作，与其成对的位则应设定为逻辑“1”(写入)。在此情况下，监控互补数据的 XOR门44则在数据46上输出数值“1”，这表示数据为有效的。在数据数值36与 数据42设定为具有相同数值(例如“0”)时，XOR门44则输出数值“0”，这表示数 据不是有效的。

在又一实施例中，数据可随机地从“1^ST区段”或“2^ND区段40”读出，以阻碍 NVM阵列28的其他类型的控制。

在另一实施例中，可实施图2的写入架构以便阻碍可辨别NVM阵列的未使用区 域的进一步分析。举例来说，虽然在图2中NVM阵列28的特定的固定区域是分配 来写入数据数值以及其互补数值，但是用来写入互补数据的位置可二者择一地分布在 阵列的不同部分，而不是在指定位置，例如2^ND区段40，且在NVM装置2操作期间 可改变用来写入互补数据的位置。

图3是表示根据本发明另一实施例，在NVM装置22中对抗侧通道攻击的保护 架构示意图。在图3的架构中，NVM阵列被划分成主要阵列48以及冗余阵列50。 除了控制逻辑26将数据的互补数值写入至冗余阵列50而不是实际上使用来储存与 (可能)放置的阵列以外，图3所实施的架构相同于图2的架构。

在一实施例中，控制逻辑26将原始数据32写入至主要阵列48，且同时地，数 据32通过反向器38，其将数据32的每一位反向成为其互补位，且将互补数据写入 至冗余阵列50。与图2所示的实施例比较起来，此架构对于NVM阵列28实际所使 用以及消耗的存储区域更为节省面积。

图4是表示根据本发明又一实施例，在NVM装置22中对抗侧通道攻击的保护 架构示意图。在一实施例中，控制逻辑26扰乱数据32以防止可能的侧通道攻击，相 对于现有装置而言完全不需使用任何额外的存储器。在此实施例中，原始数据32的 每一位写入至主要阵列52，而反向器38产生一系列的互补数据，其驱动电流槽54， 例如电子电阻器。此技术省去了存储器容量以及编程管理，但是需要一个电流槽装置。

图5是表示根据本发明一实施例，在NVM装置22中对抗侧通道攻击的保护架 构示意图。在一些实施例中，控制逻辑26同时地将原始数据32写入至主要阵列32 以及反向器38，而反向器38将数据32的每一位反向后产生图2～图4中所叙述的互 补数据组。在此实施例中，互补数据写入至一仿真NVM存储单元56，此仿真存储单 元56是可模仿主要阵列52的行为与电流消耗的一电路元件(此电路元件在此技术领 域中为已知)。

图6是表示根据本发明另一实施例，在NVM装置22中对抗侧通道攻击的保护 架构示意图。

在此实施例中，NVM装置22包括选择器58。此选择器58可以是控制逻辑26 的一部分，或者是介于控制逻辑26与主要阵列52之间的独立实体。选择器58接收 成对的数据组:原始数据组以及互补数据组。对于每一对而言，控制逻辑26命令选择 器58应选择哪一成对以传送至主要阵列52。

举例来说，对于包括6对位组的特定数据组而言，以下的位组被选择器58所选 择并传送至主要阵列52：第一位组(例如32位)来自原始数据组，居后的三个位组来 自互补数据组，以及第五与六位组来自原始数据组。在此实施例中，侧通道攻击分析 器31接收信号30，但是由于特定数据组中部分位组是原始的而其他是反向的，使得 侧通道攻击分析器31无法推断出机密数值。

是否写入原始数值或互补数值的决定可随机决定，或者是根据伪随机型样来决定。 在此实施例中，每一位组或者每一字元加入1-2个控制位，以指示其储存位置是维持 原来或是互补的数据数值(两位-“01”与“10”-可用来扰乱将决定互补数据是“1” 或“0”的统计分析)。本实施例可以降低成本，却可能提供比先前实施例还要良好的 保护。

本发明虽以较佳实施例揭露如上，然其并非用以限定本发明的范围，任何本领域 技术人员，在不脱离本发明的精神和范围内，当可做些许的更动与润饰，因此本发明 的保护范围当视权利要求范围所界定者为准。