本文发表于 IEEE Transactions on Components, Packaging and Manufacturing Technology 期刊,2023年9月第13卷第9期,题为《探索先进封装技术以逆向工程系统级封装(SiP)》。本研究由佛罗里达大学(University of Florida)电气与计算机工程系的 M. Shafkat M. Khan(通讯作者)、Chengjie Xi、Md Saad Ul Haque、Mark M. Tehranipoor(IEEE Fellow)及 Navid Asadizanjani 共同完成。该研究受美国海军研究办公室(Office of Naval Research)资助,于2023年6月投稿,同年8月修回并接收,9月正式发表。作为全球首项针对多芯粒系统级封装(SiP)进行非破坏性逆向工程框架的研究,本文系统性地揭示了先进封装技术在面临知识产权侵权与芯片伪造威胁时的脆弱性,并提出了针对性的应对策略。
该研究的学术背景根植于半导体行业的异质集成(Heterogeneous Integration)趋势。随着摩尔定律的放缓,系统级封装(System-in-Package, SiP)作为一种将微处理器、存储器、传感器等多个独立芯粒(Chiplet)集成于单一封装体内的技术,凭借其高带宽、低延迟及小型化优势,已广泛应用于移动设备、可穿戴设备及物联网等领域。然而,这一趋势也带来了严峻的安全挑战。由于芯粒作为商业现货(Commercial Off-The-Shelf, COTS)组件在供应链中流通,攻击者的主要目标不再是重新设计单个芯粒,而是通过逆向工程(Reverse Engineering, RE)手段,窃取封装内部连接芯粒信号的关键结构,即先进封装的内部布线网络,从而实现知识产权(Intellectual Property, IP)的窃取或系统克隆。相较于系统级芯片(System-on-Chip, SoC),SiP存在设计复杂度较低、组件可识别性强、互连布线较简单及物理特征尺寸更大四个固有弱点,这使得其更易成为攻击对象。基于此,该研究旨在建立针对不同先进封装技术的通用逆向工程框架,并通过实例验证其有效性,进而探讨可行的防御对策。
研究的主体工作流程分为框架构建与案例实证两大阶段。在第一阶段,作者提出了一套系统性的SiP逆向工程通用框架,该框架包含五个核心步骤。第一步是确定封装拓扑结构与目标特征。研究将先进封装技术划分为2-D、2.1-D、2.5-D及3-D四大类,并详细论述了各类型对应的攻击重点。例如,在台积电(TSMC)的晶圆基底覆晶封装(Chip-on-Wafer-on-Substrate, CoWoS)这类2.5-D硅中介层(Interposer)技术中,攻击者需重点关注重分布层(Redistribution Layer, RDL)的金属走线,以获取相邻芯粒引脚间的映射关系,并需分析硅通孔(Through-Silicon Vias, TSV)以明确系统级输入输出与芯片级输入输出的路由及供电网络。在英特尔的嵌入式多芯片互连桥接(Embedded Multi-die Interconnect Bridge, EMIB)技术中,微型硅桥中的桥接金属层则成为核心攻击目标。第二步是芯粒识别。攻击者可通过查阅公开数据手册,或在去封装后通过机械研磨与化学蚀刻暴露芯片背面的制造商标记来完成此步骤。第三步为成像。本研究提倡采用非破坏性与破坏性相结合的方法,先利用三维X射线显微成像技术确定封装内部组件的物理尺寸及功能层位置,进而为后续更精细的扫描电子显微镜(Scanning Electron Microscopy, SEM)盲目标定精确的成像区域。第四步是后处理。针对X射线成像中常见的散射伪影与噪声干扰,研究引介了基于初级调制器的散射校正算法等高级图像处理技术,通过图像降噪、边缘检测和图像配准等手段,将二维投影或三维体素数据转化为可用于逆向分析的清晰图像。第五步为原理图捕获,最终汇总芯粒布局、互连网络、特征尺寸、塑封材料和基板等信息,重建完整的系统封装版图。
在第二阶段,研究团队选取了英伟达(NVIDIA)Tesla P100高性能计算图形处理器(GPU)作为案例进行实证。该样品采用了硅中介层式的CoWoS先进工艺,集成了16纳米制程的GPU芯粒及高带宽内存(HBM2)堆栈。实验通过Sigray公司的三维X射线显微镜开展非破坏性检测,并利用Dragonfly软件套件对重构体积进行可视化分析。实验结果验证了非破坏性方法的强大能力与当前局限。在使用空间分辨率达0.5微米的X射线源进行扫描后,团队成功提取了多项关键信息。其一,获取了精准的封装架构与特征尺寸,包括四层RDL层、C4凸块、TSV及其下方的基板,明确了这些物理结构的精确坐标与间距。其二,成功恢复了TSV的垂直连接性,通过观察断层图像中TSV周边是否存在深色圆环,可明确判断其是否与接触焊盘电连接。其三,成功观察了靠近C4凸块的RDL布线,能解析出四层金属层及其层内走线。然而,研究也揭示了当前纯非破坏性路线的瓶颈。由于微凸块由锡、银、镍等高Z值材料制成,会产生强烈的X射线散射噪声,且临近芯粒的上层精细RDL的线宽线距已接近设备0.5微米的物理分辨极限,导致其水平互连走线无法得到清晰解析。这一关键发现证明,尽管非破坏性X射线成像可在不物理损伤样品的前提下获取大量宏观架构与部分粗间距互连信息,但要完整恢复SiP的网表(Netlist),仍需结合破坏性的SEM延迟逐层成像手段,而非破坏性的初步扫描则是实现纳米级精准目标定位的前提。
在此基础上,论文深入探讨了针对此类攻击的物理与系统级防御对策。在物理层面,研究提出可在中介层引入设计混淆(Design Obfuscation)技术,如植入伪栅、伪孔及伪金属互连线以增加SEM图像识读难度,并可添加屏蔽涂层以降低成像对比度。在系统级安全架构上,论文构想了一种利用FPGA(现场可编程门阵列)芯粒作为芯粒硬件安全模块(Chiplet Hardware Security Module, CHSM)的主动防御方案。该方案通过CHSM对中介层上的互连路径进行动态重布与混淆,并引入哑元走线;即使攻击者试图通过物理手段破解,由于FPGA的比特流以加密形式存储于防篡改存储器中,密钥提取也极为困难,从而实现了对暴力破解与物理探测的有效抵御。
本研究的价值在于,它首次填补了从芯片级逆向工程和PCB(印刷电路板)逆向工程向封装级逆向工程过渡的技术空白。文章的结论强调,随着先进封装技术的普及,半导体行业必须正视SiP作为系统攻击入口的脆弱性,并应在设计阶段就植入如物理不可克隆函数、逻辑锁定与互连混淆等分层防御手段。该研究不仅为安全研究人员提供了一套清晰的非破坏性攻击评估流程,更为器件制造商和系统集成商敲响了警钟,指出了从被动失效分析转向主动安全设计的必要性。这是目前对SiP安全风险剖析最为系统且经过实证检验的工作,为后摩尔时代硬件安全研究确立了新的方向。