对物理元件进行特定有序的执行的系统和方法

摘要

本发明公开了一种对物理元件进行特定有序的执行的系统和方法。本发明涉及半导体器件，更具体地涉及利用电子部件内的物理元件之间的固有差异以产生唯一且不可复制的数字的系统、设备和方法，所述数字是在统计上随机的且可复验的。在诸如金融终端的许多安全应用中，这些位可以用作识别、随机数种子或加密密钥。积分器耦合到多个物理元件，选择两个物理元件或元件集合并且根据这两个物理元件或元件集合之间的差异生成积分差异信号。比较判定逻辑进一步确定所选择的两个物理元件之间的差异是否与位的“1”或“0”相关联。在一些实施例中，多位数字由多个位组成，每个位可根据两个随机选择的物理元件或元件集合之间的差异而导出。

说明书

相关申请的交叉引用

本申请根据35U.S.C§119(e)要求享有2012年9月28日提交的、题 目为“System and Method with Specific Ordered Execution over Physical  Elements”、序列号为61／707792的临时申请的权益，其主题的全部内容通 过参考引入本文。

技术领域

本申请涉及半导体器件，更具体地涉及利用电气部件内的物理元件之 间的固有差异(difference)产生唯一且不可复制的数字的系统、设备和方 法，所述数字是可复验的(repeatable)且在统计上是随机的。在包括金融 终端的可信交易的许多安全应用中，这些数字可以用作识别、随机数种子 或加密密钥。

背景技术

在许多安全应用中，电子部件优选地与物理上不可克隆的唯一数字相 关联。该唯一数字可用作为标识来跟踪该电子部件，作为密码密钥来加密 和解密敏感信息，或作为随机数种子来生成密码密钥。这些安全特征要求 该唯一数字不仅从一个部件到下一个在统计上是随机的且不可预测的，而 且是稳定的并优选地不受噪声、温度漂移和其他干扰的影响。此外，该唯 一数字通常是固定不变的，即，随着时间可复验且在整个功率周期内不变。 当用于安全目的时，嵌入了该唯一数字的物理结构优选地被深埋于该部件 内部，并且通过电磁辐射测量或在显微镜下通过肉眼观察都不可辨识出来。 这样高度机密的唯一数字对于在安全应用中提供增强的安全等级来说是至 关重要的，尤其是对于金融终端内嵌入的安全微控制器而言。

在多数的现有安全应用中，该唯一数字通常由熔丝(fuse)、一次性可 编程(OTP)存储阵列或静态随机访问存储器(SRAM)提供。简单的金属 或多晶硅电阻性熔丝耦合到击穿电路，该击穿电路可传送一过高电流，使 得该唯一数字根据用户规定而被烧入熔丝。OTP存储阵列包含有基于传统 互补型金属氧化物半导体(CMOS)技术内的电容器或晶体管的熔丝和反熔 丝。唯一数字可在第一次使用之前被编程到这些OTP熔丝和反熔丝。SRAM 是一种基于双稳态锁存电路的传统半导体存储器，因此，其被用于存储该 唯一数字。现有技术的解决方案通常很昂贵，并且在一些情况下，出于存 储和可编程性的目的，必须依赖于非标准的制造工艺来实现特殊的结构， 例如浮动栅极。

本领域技术人员可以从基于以上任意一种解决方案的安全应用中方便 地重获该唯一数字。熔丝和OTP存储阵列可在显微镜下通过肉眼观察到， 并可辨别出位“1”和“0”。不论其功率状态如何，SRAM可能会在篡改尝 试中被电路直接耦合出来，因此，SRAM中存储的机密信息很容易被截取。 除了其高成本之外，现有技术的解决方案容易受到越来越复杂的篡改攻击 的影响。因此，需要不那么昂贵并且更安全的方案来生成唯一的、不可复 制的、统计上随机的且可复验的数字，在许多安全应用中该数字能够用作 部件识别、密码密钥或用于随机数的产生的种子。

发明内容

本发明的各种实施例涉及半导体器件，更具体地涉及利用电子部件内 的物理元件之间的固有差异产生唯一且不可复制的数字的系统、设备和方 法，所述数字是可复验的且在统计上是随机的。在包括金融终端中的可信 交易的许多安全应用中，这些数字可以用作识别、随机数种子或加密密钥。

本发明的一个方面是基于多个物理元件的数字生成器。该数字生成器 进一步包括积分器和比较判定逻辑。积分器耦合到多个物理元件，选择两 个物理元件并根据这两个物理元件之间的差异产生积分差异信号。比较判 定逻辑耦合到积分器并进一步确定所选择的两个物理元件之间的差异是否 与位的“1”或“0”相关联。

在本发明的另一方面，该位还可以基于两个元件集合之间的差异产生， 每个元件集合包括从多个物理元件中选择出的多于一个的物理元件。相应 地，多位数字由多个位组成，每个位根据从多个物理元件中随机选择出的 两个物理元件之间或两个元件集合之间的差异而导出。

本发明的一个方面是一种基于多个物理元件来生成位的“1”或“0” 的方法。从多个物理元件中选择出两个物理元件集合，其中每两个物理元 件与固有差异相关联，该固有差异是由于制造工艺的不一致性以及不精确 性而引起的。所选择的两个物理元件集合之间的差异经放大产生积分差异 信号。经过放大，所选择的两个物理元件集合之间的差异被确定为与位的 “1”或“0”相关联。

已经在发明内容部分中对本发明的某些特征和优点进行了一般的描 述；然而，对于本领域普通技术人员来说，参考本发明的附图、说明书和 权利要求书，在此介绍的附加特征、优点和实施例将是显而易见的。因此， 应当理解，本发明的范围不应当受此发明内容部分中公开的特定实施例所 限制。

附图说明

以下将参考本发明的实施例，其示例可在附图中予以图解说明。这些 图意在是示例性的，而并非限制性的。尽管本发明在这些实施例的上下文 中进行了一般的描述，应当理解，这并不意在将本发明的范围限制于这些 特定的实施例。

图1示出了根据本发明的各种实施例的基于多个物理元件的数字生成 器的示范性框图。

图2A示出了根据本发明的各种实施例的基于电容性元件的单个位数 字生成器的示范性框图。

图2B示出了根据本发明的各种实施例的控制交替的采样和积分过程 的两个非重叠相位信号的示范性时序图。

图3示出了根据本发明的各种实施例的利用有序执行以用于单个位的 生成的方法的示范性流程图。

图4A示出了根据本发明的各种实施例的基于并行结构的多位数字生 成器的示范性框图。

图4B示出了根据本发明的各种实施例的基于串行结构的多位数字生 成器的示范性框图。

图5示出了根据本发明的各种实施例的被选定用于数字生成的两个物 理元件集合的示范性组合。

图6A示出了根据本发明的各种实施例的在元件阵列中依赖种子来选 择物理元件的安全系统的示范性框图。

图6B示出了根据本发明的各种实施例的在用于元件选择的安全系统 中所使用的线性反馈移位寄存器(LFSR)的示范性框图。

图6C示出了根据本发明的各种实施例的安全系统的示范框图，该安全 系统依赖于另一个基于元件的数字生成器来提供种子以用于在一元件阵列 中选择物理元件。

图7示出了根据本发明的各种实施例的在连续模式中所生成的积分差 异信号的示范性时间变化图。

图8示出了根据本发明的各种实施例的在数字生成之前可应用的自校 准方法的示范性流程图。

图9示出了根据本发明的各种实施例的基于物理元件的密钥生成系统 的示范性框图。

图10示出了根据本发明的各种实施例的增强密码系统(cryptography) 的安全等级的示范性方法。

具体实施方式

在以下说明中，出于解释的目的，陈述了具体细节以便提供对本发明 的理解。然而，对于本领域技术人员来说显而易见的是，在没有这些细节 的情况下也能够实施本发明。本领域技术人员应当认识到，以下所描述的 本发明的多个实施例可以以各种方式和使用各种手段来实现。本领域技术 人员还应当认识到，附加的修改、应用和实施例在本发明的范围之内，本 发明可提供应用的其他领域也是一样。因此，以下所描述的实施例是对本 发明的特定实施例的示意性说明，且是为了避免使本发明难以理解。

说明书中提到“一个实施例”或“一实施例”表示结合实施例描述的 特定的特征、结构、特性或功能被包括在本发明的至少一个实施例中。在 说明书中各处出现的短语“在一个实施例中”、“在一实施例中”或类似短 语未必都指代同一个实施例。

此外，附图中部件之间或方法步骤之间的连接并不限制于直接实现的 连接。相反地，在不脱离本发明的教导的前提下，附图中所示出的部件之 间或方法步骤之间的连接可以通过其额外的中间部件或方法步骤而修改或 者改变。

本发明的各种实施例涉及物理元件，更具体地涉及利用电子部件中的 物理元件之间的固有差异来生成唯一的、不可复制的、统计上随机的且可 复验的位的系统、设备和方法。为获取这样的位值，两个物理元件之间的 微小差异可经放大以生成信号，直到该信号大到足以用于可靠理解为已知 的“0”或“1”值为止。这些位可进一步用作串行数字中的一个位，该串 行数字用作对应部件的标识(ID)号码、随机数种子或密码密钥以满足许 多安全应用中的安全需求。

不论半导体工艺管理得如何好，在单一管芯中的半导体器件之间或位 于晶片上不同位置的半导体管芯之间，细微的物理差异也是不可避免的。 这些差异源于光刻和晶片处理步骤中的不一致性和微小的不精确性，尽管 该器件或管芯期望是一样的。当物理元件根据半导体加工处理被制造出来 时，它们可被安置在不同物理位置或者安置为不同取向，局部的半导体工 艺特性对于这些物理元件并不是完全一致。结果，每个物理元件表现出其 电气、机械、磁性、化学和其他属性的特异性。

所述差异在统计上是随机的并且非常微小。在整个晶片中多于一个的 方向上，可存在微小的可测量的梯度，并且从一个晶体管到另一个在电容 量、速度、或温度敏感性上存在着非常小的差异。举例来说，由于电介质 厚度和板面积上的差别，两个其他方面相同的电容器可在电容量上相差 0.1％。前者可能由电介质成型步骤中的变化引起，而后者是由于光刻或蚀 刻中的变化而导致的。半导体设计通常力争将这些差异最小化，使得最终 产品的性能被控制在特定公差之内。但是，在此利用这些差异来生成统计 上随机的数字，这些数字是唯一的、不可复制的且可复验的。

使用两个物理元件的数字/位生成

图1示出了根据本发明的各种实施例的基于多个物理元件的数字生成 器100的示范性框图。除了多个物理元件106之外，该数字生成器100进 一步包括积分器(累积器)102和比较判定逻辑104。多个物理元件106包 括至少两个物理元件106A-106C。积分器102耦合到多个物理元件106，选 择出两个物理元件106A和106C，并将物理元件106A和106C之间的差异 放大为积分差异信号108。特别地，该差异随着时间被放大。由比较判定逻 辑将积分差异信号108进一步与基准(例如，零或地)进行比较，以便确 定所选择的两个物理元件106A和106C之间的差异是否与位的“1”或“0” 相关联。

在本发明的各个实施例中，物理元件106A-106C选自于可由CMOS制 造工艺产生的不同结构。这些结构包括但不限于电阻器、电容器、电感器 以及晶体管。这些物理元件106A-106C被布局为在限定其物理尺寸的掩模 组上彼此相同。尽管统计上不能确定一个物理元件的物理属性是大于还是 小于另一个物理元件，由于制造工艺中的工艺变化，任意两个物理元件之 间存在固有差异。光刻、原料沉积以及蚀刻工艺中的变化也都是可能最终 影响在半导体晶片上和在不同晶片之间的相关物理元件属性的一致性的潜 在因素。一般地，没有两个物理元件是相同的，并且其固有差异可通过合 适的手段辨识出来。

数字生成器100可在安全网格(mesh)下被保护。在一些实施例中， 该安全网格由在集成电路(IC)衬底(在积分器102、逻辑104以及物理元 件106内使用的晶体管所在的位置)之上顺序制造的若干多晶硅层和／或金 属层单片制成。然而，在特定实施例中，包含数字生成器100的硅管芯被 集成了安全网格的另一硅管芯覆盖。攻击者必须通过安全网格进行探测来 篡改该数字生成器100，除了输出数字的随机性，向相关安全应用提供了附 加的安全等级。

图2A示出了根据本发明的各种实施例的基于电容性元件的单个位数 字生成器200的示范性框图。数字生成器200是数字生成器100的特定实 施例，并用于生成一个随机位。除了电容性元件206之外，该数字生成器 200进一步包括积分器(或累积器)202、比较判定逻辑204以及多个开关 210。

两个电容器206A和206B选自多个电容性元件，并且耦合以生成输出 位220。由多晶硅制成的电容器通常受到精确控制，而无显著差异。然而， 那些由CMOS器件制成的电容器可显露出相当大的差异，因此是用于电容 性元件206的良好候选对象。

积分器202被实现为差分运算放大器(op-amp)积分器，其包括积分 电容器212、重置开关214和op-amp216。积分器202将电容器206A与206B 之间的电容量差异放大。在放大之前，首先使能重置开关214以将积分电 容器212上的电荷重置为零。开关210被分组成两个集合，它们随后被控 制以将电容器206A和206B耦合到积分器202。积分器202将来自分别基 于电容器206A和206B的交替的采样和积分步骤的电荷差异累积。由于交 替的步骤平均化了高频电路噪声，积分差异信号208在积分器202的输出 端生成，其与放大后的电容器206A和206B之间的差异相关联，同时获得 了噪声被抑制的高信号质量。

积分差异信号208进一步被数字化以由比较判定逻辑204生成输出位。 当将积分差异信号208与基准(如零或地)进行比较时，在物理元件206A 具有较高电容量的情况下，积分差异信号208与“1”相关联，而在物理元 件206B具有较高电容量的情况下，其与“0”相关联。在特定实施例中， 该基准可从地偏移以合并由开关210和204、电容器212、op-amp216以及 逻辑204引起的所有系统误差。

图2B示出根据本发明的各种实施例的控制交替的采样和积分过程的 两个非重叠相位信号的示范性时序图250。当特定电容器对被选出用于比较 时，它们所关联的选择开关在“打开”和“关闭”状态之间切换。当电容 器未被选择时，它的选择开关保持为未切换的(例如，接地)。在第一采样 持续时间260内，第一相位信号Φ₁使能开关210之中的第一开关集合210A 和210C，并将电容性元件206A耦接在偏压V_X与地之间。电容器206A被 针对积分器202去耦。总电荷Q₁存储在积分电容器212内。类似地，在随 后的积分持续时间280内，第二相位信号Φ₂使能开关210之中的第二开关 集合210B和210D，将电容性元件206B耦接在偏压V_X与积分器202之间。 在所存储的电荷Q₁之中，总电荷Q₂由第二电容器保存，电荷Q₁-Q₂被重 新分配到积分电容器212。这两个持续时间260和280从不重叠，使得采样 和积分步骤分开以避免错误。在一个以上周期之后，所得到的积分差异信 号208基本上处于(Q₁-Q₂)／C_INT的等级，并可随着多个采样和积分周期的 执行而进一步增强为期望的等级。

在一个实施例中，积分器202和比较判定逻辑204具有固有的滞变 (hvsteresis)来抵消物理元件206的亚稳态(meta-stability)。亚稳态出现 在两个所选择的物理元件具有不可分辨的差异时。这极少发生，但是，当 其发生时，将由器件202和204的温度、供电电压和特性，而不是由与物 理元件206有关的光刻和工艺变化来确定输出位。

图3示出了根据本发明的各种实施例的利用有序的执行以用于单个位 的生成的方法300的示范性流程图。单个位的生成开始于在步骤302重置 积分器或累积器。在一个实施例中，涉及积分电容器，因此电容器上存在 的电荷被完全放电。

在步骤304，采样阶段和积分阶段按顺序执行并重复，直到积分差异信 号达到期望的电压电平为止。在采样阶段304A中，第一相位信号Φ₁使能 第一开关集合，并允许在第一物理元件上的积分。在随后的积分阶段304B 中，第二相位信号Φ₂使能第二开关集合，并将第二物理元件耦合到该积分 器以抵消之前在第一物理元件上的积分。采样和积分阶段可交替持续多个 周期直到在步骤304C停止为止。由于重复的采样和积分周期，积分差异信 号达到累积电压AV。

在一些实施例中，物理元件是电容器，并且积分器基于如图2A所示的 对积分电容器的充电。在采样阶段304A中，闭合第一开关集合210A和210C 以将第一电容器206A和第二电容器206B分别连接到预定电压电平V_X和 地，同时两个电容器从积分器212断开连接。在积分阶段304B中，闭合第 二开关集合210B和210D，并且打开第一开关集合210A。第一电容器206A 被接地，并且第二电容器被偏置在电压电平V_X和积分器202之间。在一个 采样和积分阶段之后，电荷Q₁-Q₂累积在积分电容器212上。采样和积分 阶段可重复多次(例如，N次)，使得特定电荷ΔQ累积在积分器202内部 的积分电容器212上。利用积分电容器212的电容量，该电荷ΔQ与积分差 异信号ΔV相关联。

在步骤306，触发比较操作以将积分差异信号与基准进行比较。在步骤 308，该比较结果与数字位的“1”或“0”相关联。因此，位的“1”和“0” 分别与第一和第二物理元件之间的差异的两个方向有关。参考整个有序执 行300，输出位受到相位信号Φ₁和Φ₂的持续时间、所选择的物理元件以及 敏感度和比较的影响。

多位数字生成

图4A和图4B示出根据本发明的各种实施例的分别基于并行结构和串 行结构的多位数字生成器400和450的框图。在数字生成器400中，单个 位数字生成器402-406被并行布置和控制以提供并行位作为多位输出数字。 每个单个位数字生成器与单独的物理元件阵列、单独的积分器以及单独的 比较判定逻辑相关联。

相比之下，数字生成器450包括元件阵列452、积分器454以及比较判 定逻辑456。尽管数字生成器450用于多位数字生成器，其基本上采用与单 个位数字生成器100相同的结构，除了输出数字内的多个位从比较判定逻 辑456顺序地产生。对于每个位，从物理元件阵列452中选择出两个物理 元件，这两个物理元件之间的差异在被提取作为数字输出位之前由积分器 454累积并放大。因此，多个位在串行多位输出数字内是时分复用的。这样 的串行结构中的数字生成为了有效芯片面积牺牲了处理时间，因为一个集 合的积分器和比较判定逻辑456可被用于生成串行多位输出数字中的所有 位。

物理元件的排列

图5示出根据本发明的各种实施例的选择用于数字生成的物理元件的 两个集合的示范性组合。用于数字生成的差异并不限于两个单独的物理元 件之间；相反，物理元件的任意两个集合之间的差异可被用于同一目的。 当单个物理元件的特异性不足时，通常采用该多元件配置。在该实施例中， 物理元件阵列500包括十六个看起来相同的物理元件，由于工艺变化，它 们中的每两个都不完全相同。第一物理元件集合包括阵列500中的物理元 件A、F、L和P，而第二物理元件集合包括物理元件I、G、C和D。第一 和第二集合之间的差异用于产生一个输出位。

第一和第二物理元件集合可根据并行结构或串行结构来布置。在并行 结构中，每个集合中对应的四个物理元件被并行耦合以用于在采样阶段260 和积分阶段280期间进行信号放大。在串行结构中，每个集合中对应的四 个物理元件被顺序耦合以在每一单个阶段260或280期间进行信号放大。 但是，在某些实施例中，第一和第二集合中的四个物理元件可被顺序地耦 合以在连续的采样或积分阶段分别进行信号放大。

不论配置如何，物理元件的组合允许高效的数字生成。可从物理元件 阵列500获取的唯一位的数量通过改变每个物理元件集合内的物理元件的 组合而被增多。因此，利用积分器和比较判定逻辑的一个集合能以经济的 方式生成更多信息位。

为了最大化信息位的选项，采用物理元件阵列之内的所有可能的排列 是可取的。假设物理元件阵列包含n个物理元件，并且该物理元件阵列中 的k个物理元件可用于每个采样或积分阶段。k个物理元件的全体排列是 N!／(N-K)!。在一个实施例中，该物理元件阵列包含四个物理元件，包括物 理元件A、B、C和D。两个物理元件被用于基于以下12个可能的排列进 行数字生成：(AB)、(AC)、(AD)、(BA)、(BC)、(BD)、(CA)、(CB)、(CD)、 (DA)、(DB)和(DC)。当使用两个物理元件时，需要1024位信息的系统将因 此需要包括至少33个物理元件的物理元件阵列。显然当k增大时，可以大 大减小物理元件阵列中的物理元件数量n。例如，当使用三个一组(k=3) 的物理特征时，包含12个物理元件的物理元件阵列足以提供1024位信息。 这样的操作实现了物理元件的附加组合和排列，并降低了对物理元件阵列 的面积需求，因为单个物理元件可用于各种组合和排列中。

物理元件选择

图6A示出根据本发明的各种实施例的依赖种子以在物理元件阵列中 选择物理元件集合的安全系统600的示范性框图，而图6B示出了根据本发 明的各种实施例的用于在安全系统中顺序地进行物理元件选择的线性反馈 移位寄存器(LFSR)650的示范性框图。在物理元件的排列中，物理元件 的所有可能排列之间的互连会变得难以在硬件中实施。此外，选择机制将 优选地以非显而易见、非单调的方式实现，以增加安全性并使得系统更难 以观察。特别地，物理元件选择方框610，如与种子602耦合的LFSR650， 可用于产生用以选择进一步用于数字生成的物理元件的数字。LFSR650可 方便地以非常少的电路(例如，XOR或XNOR)实现在硬件中。

LFSR650使用种子602作为初始值，并产生可用于从元件阵列604中 选择物理元件集合的数值流。LFSR650顺序地生成有限数目的值，并最终 进入重复周期。流中的每个数值完全由其当前(或先前)状态确定。但是， 当LFSR650被布置为具有恰当的反馈函数时，该数值流可呈现为随机的且 包括许多值。在数值开始重复之前，最大长度n位的LFSR650生成2ⁿ-1 个值。图6B中的示范性LFSR650是8位LFSR。

基于多项式模2(即，多项式的系数应为1或0)，在LFSR650中设置 抽头以用于有限域运算中的特定反馈。在图6B中的该特定实施例中，由于 抽头在第5、第7和第8位处被耦合，LFSR650的反馈多项式是X⁸＋X⁷＋X⁵＋1。

LFSR的初始条件，如由种子602所限定的，确定出从物理元件阵列604 选择出的用于数字生成的物理元件。种子602存储在熔丝、一次性可编程 (OTP)存储器或其他类型的存储器中，使得其在被制造出厂时被固定，或 者在用户接收设备之后通过软件或硬件机制而被编程。在特定实施例中， 多个种子可用于确定用于数字生成的可变的物理元件集合。通过选择不同 种子，各种输出位可被生成，作为数字生成器100的输出端上的至少一个 多位输出数字。在密码应用中，可变输出数字可用作变化的加密密钥来增 强安全等级。

图6C示出了根据本发明的各种实施例的安全系统680的示范框图，该 安全系统依赖于另一个基于物理元件的数字生成器100'来提供种子以用于 在物理元件阵列中选择物理元件。尽管其很少出现，两个物理元件或元件 集合具有不可分辨(unresolvable)的差异的微小可能性仍然存在。为消除 这种可能性，基于物理元件的第二数字生成器100’可被用于生成种子602。 第二数字生成器100’中的第二物理元件阵列604'与第一物理元件阵列604 的取向不同，或被放置于与第一物理元件阵列604间隔一定距离的地方。

在另一实施例中，基于第二物理元件阵列的数字生成器100’的输出数 字还可用于修改LFSR650的多项式，其被用于在第一物理元件阵列604中 选择物理元件或元件集合。

连续模式

两个物理元件或两个元件集合之间的差异可以以连续模式被提取，其 中每个位在两个顺序周期内而不是在交替的采样和积分阶段内被处理。在 该顺序的第一步骤中，第一物理元件或元件集合被耦合以用于累积。在一 个实施例中，存储在第一电容器中的电荷被反复地添加或累积。在该顺序 的第二步骤中，第二物理元件或元件集合被耦合以用于相减，并且在一个 实施例中，经由第一电容器所存储的电荷被经由第二电容器反复地消耗。 需要注意的是不要使积分器和比较判定逻辑饱和，尤其是，在每个步骤中 仅仅允许有限数量的累积和减法循环。在该顺序的第三步骤中，对结果进 行评估，使用一种方法将最终电压与地电位相比较以用于确定输出位。

在连续模式中，一个位的生成与一个累积周期继之以一个减法周期相 关联。与以上介绍的交替模式形成对比，累积和减法周期分别合并了多个 采样和积分阶段。在多位数字生成中，顺序的累积和减法周期与不同的位 相关联，这些位相应地随着在周期中使用的物理元件的变化而被随机化。

图7示出了根据本发明的各种实施例的在连续模式中的积分差异信号 的示范性时间变化图700。连续模式中的操作与固定阈值V_A和V_B相关联。 累积和减法循环的数量分别在每个累积和减法周期期间计数，其中在这些 持续时间期间达到这两个阈值V_A和V_B。在第一步骤702中，第一物理元 件或元件集合上的电荷自第一阈值电压V_A被反复累积直至达到第二阈值电 压V_B为止。在一个实施例中，阈值电压V_A和V_B分别被设定为地电位和+ 2V。累积循环的数量X被用作比较判定逻辑的第一输入。在第二步骤704 中，第二物理元件或元件集合被用于自阈值电压V_B放电直至达到第一阈值 电压V_A为止。减法循环Y的数量被用作比较判定逻辑的第二输入。在第三 步骤中，将累积循环X的数量与减法循环Y的数量进行比较。

自校准

数字生成器200可受到来自开关210尤其是开关210E的电荷馈通 (charge feed-through)的困扰。在每个采样阶段或累积周期期间，开关210E 被打开，积分器202对该电荷馈通进行累积。但是，在随后的积分阶段或 减法周期期间，开关210E被关闭。因此，经由开关210E的电荷馈通被耦 合到积分差异信号以及输出位，并且某些时候，其可以支配两个物理元件 或元件集合之间的差异，导致不可复验的并且依赖于温度的输出位。

图8示出根据本发明的各种实施例的在数字生成之前可应用的自校准 方法800的示范性流程图。在步骤802，临时将偏压V_X设置为地电位。两 个所选择的物理元件或元件集合之间的差异在采样和积分阶段期间不被放 大。在步骤804，当偏压V_X仍然处于地电位时，初始采样和积分阶段被重 复若干个循环周期。在步骤806，通过积分器202的输出端上的积分差异信 号对来自经由开关210E的电荷馈通的误差进行捕获并放大。在步骤808， 来自电荷馈通的误差被耦合作为比较判定逻辑204的参考，以用于校正输 出位。偏压V_X被存储至预定电平以用于数字生成。类似地，在连续模式中， 累积和积分周期可在V_X=0的情况下执行，以补偿来自电荷馈通的误差。

用于安全应用的增强系统

图9示出了根据本发明的各种实施例的基于物理元件的密钥生成系统 900的示范性框图。密钥生成系统900包括基于元件的数字生成器902、伪 随机数字生成器(PRNG)904以及密码器(cryptographer)906。PRNG904 使用由数字生成器902提供的输出数字作为生成随机数的种子。该随机数 由密码器906用作密码密钥。

数字生成器902是基于物理元件的。由于物理元件被用于生成密码密 钥，攻击者会尽力检查所窃得的设备，以使用软件或电路探测来恢复出密 钥。尽管成功的可能性很低，优选采用数字生成器100的自我破坏(self  destruction)来保证设备的安全。一旦检测到篡改尝试，就永久地禁用积分 器202或比较判定逻辑204可足以破坏该数字生成器200。出于实用目的， 也可毁坏数字生成器100中的物理元件。在某些实施例中，偏压V_X可被提 升超出可容许的容限，致使夹在电容性元件内的电介质被击穿或毁坏。增 强的偏压V_X应当是在内部产生的，特别地，其在检测到任何篡改尝试时被 使能。

图10示出了根据本发明的各种实施例的增强密码系统的安全等级的示 范性方法1000。数字生成器1002是基于物理元件的，并提供第一数据。用 户机密1004作为第二数据被存储在存储器内，例如电池支持的存储器。随 机数生成器1006产生第三数据，这样的生成器的一个示例是基于热噪声的。 第一、第二和第三数据由混合电路1008进行混合，以便产生高度安全的输 出并将该输出提供给随后的密码函数作为密码密钥。

本领域技术人员可以看出，基于物理元件的数字生成器可替代传统的 数字存储资源，包括熔丝、OTP存储器以及非易失性存储器。物理元件表 现得在物理上是相同的，但在统计上是随机的，因此无法复制。此外，一 旦制造出来，该物理元件将可靠地为各种半导体部件提供稳定的且可复验 的随机数。由物理元件生成的随机数显露了高等级的随机性，且尤其适合 用作安全应用中的唯一ID、随机数种子以及加密密钥。攻击者很难对该内 容进行逆向工程并篡改该随机数。与传统资源相比，基于物理元件的数字 生成器占用了更小的芯片区域，不需要特殊加工，因此，显示出增强的成 本效益。

本领域技术人员应当理解，之前的示例和实施例仅仅是示范性的，意 图是为了清楚和理解，并非意在限制本发明的范围。意图是，在阅读说明 书和研究附图之后，对本发明所做的对于所属领域技术人员来说显而易见 的所有置换、加强、等价物、组合和改进都被包含在本发明的实质精神和 范围之内。因此，意图是，未来非临时申请中的权利要求应当包括落入本 发明的实质精神和范围之内的所有这些修改、置换以及等价物。