1. 项目概述为什么我们需要基于自旋电子学的硬件安全在芯片设计领域我们正面临一个日益严峻的悖论一方面芯片的集成度越来越高功能越来越复杂另一方面全球化的分工模式使得芯片设计公司Fabless必须将制造环节委托给第三方代工厂Foundry。这种“设计”与“制造”的分离虽然降低了成本但也引入了巨大的安全风险。一个不怀好意的代工厂完全有能力在芯片中植入难以检测的硬件木马或者在流片过程中窃取关键的设计IP。传统的软件加密方案其密钥最终仍需存储在硬件中一旦存储单元被物理探测或逆向工程安全防线便土崩瓦解。因此硬件安全的核心需求从“如何保护存储的密钥”转向了“如何生成一个根本无需存储、且无法被克隆的唯一密钥”。这就是物理不可克隆函数Physical Unclonable Function, PUF诞生的背景。你可以把它理解成芯片的“指纹”或“虹膜”。它不存储任何信息而是利用芯片在制造过程中必然存在的、微观层面的工艺偏差如晶体管阈值电压的微小差异、金属线宽的变化等在受到外部激励挑战时产生一个唯一的、随机的响应。由于这些工艺偏差在纳米尺度上是随机且不可控的因此即使采用完全相同的设计图纸和工艺步骤也无法制造出两个产生完全相同响应的PUF电路。然而传统的CMOS PUF如环形振荡器PUF、仲裁器PUF正面临挑战。随着工艺节点不断微缩晶体管的固有噪声增大导致PUF响应的稳定性可靠性下降。同时一些基于机器学习的方法已经能够对某些类型的CMOS PUF进行建模攻击预测其响应威胁其安全性。正是在这个关口自旋电子学器件特别是磁性隧道结Magnetic Tunnel Junction, MTJ为我们打开了一扇新的大门。MTJ是自旋转移矩磁随机存储器STT-MRAM的核心元件它利用电子的自旋而非电荷来存储信息具有非易失、高速、高耐久和近乎无限次擦写的特性。更重要的是MTJ的物理特性如自由层的磁化翻转动力学、隧道势垒的厚度、隧穿磁阻比等对制造工艺的波动极其敏感。这种敏感性在存储器应用中是需要极力抑制的“噪声”但在PUF应用中却成了构筑安全防线的“宝藏”。我们这次探讨的工作正是将一种更先进的MTJ操控技术——巨自旋霍尔效应驱动的自旋轨道矩GSHE-driven SOT——应用于PUF设计。与传统的STT切换方式相比SOT切换将读路径和写路径分离不仅降低了写操作所需的电流、提升了器件寿命其更复杂的物理机制也为PUF引入了更丰富、更难以建模的熵源。简单来说我们是在利用自然界最底层的、不可克隆的物理随机性为芯片铸造一个独一无二的、根植于硬件的身份ID。2. 核心原理拆解GSHE-SOT MTJ如何成为理想的PUF熵源要理解这个设计我们必须先深入两个核心概念磁性隧道结MTJ和自旋轨道矩SOT切换机制。这是整个方案的物理基础。2.1 磁性隧道结一个由自旋控制的电阻开关MTJ的结构并不复杂你可以把它想象成一个三明治。上下两片“面包”是铁磁层一层是磁化方向固定的“参考层”另一层是磁化方向可以改变的“自由层”。中间的“夹心”是一层极薄通常~1纳米的绝缘氧化物势垒层如MgO。其核心原理是隧穿磁阻效应当自由层与参考层的磁化方向平行时电子更容易隧穿过势垒层MTJ呈现低电阻状态当两者磁化方向反平行时隧穿概率大大降低MTJ呈现高电阻状态。这两个稳定的电阻状态分别对应逻辑“0”和“1”。衡量MTJ性能的一个关键参数是隧穿磁阻比TMR (R_AP - R_P) / R_P * 100%。其中R_AP和R_P分别是反平行和平行状态下的电阻。TMR比值越高两种状态的电阻差异越大读取信号就越清晰抗干扰能力也越强。注意在实际工艺中自由层厚度、势垒层厚度和TMR值并非绝对均匀。由于原子级沉积工艺的波动这些参数在晶圆上不同位置、甚至同一芯片内的不同MTJ之间都会存在微小的、随机的高斯分布差异。正是这些“不完美”成为了PUF熵源的物理基础。2.2 自旋轨道矩更高效、更可靠的磁化翻转“扳手”如何改变自由层的磁化方向传统STT-MRAM的做法是让电流垂直穿过MTJ堆栈。电流中的电子在穿过参考层时被极化带着特定的自旋方向注入自由层通过角动量转移对自由层施加扭矩从而实现翻转。但这种方式有个缺点大电流需要穿过超薄的氧化物势垒层长期读写可能造成势垒层损伤影响器件耐久性。SOT机制提供了一种更优雅的解决方案。它在MTJ的自由层下方引入一层重金属层如钨W、钽Ta。当电荷电流I_SOT流过这层重金属时由于巨自旋霍尔效应会在垂直于电流的方向上产生一个纯自旋流。这个自旋流注入上方的铁磁自由层从而对其磁化产生有效的扭矩。这个过程的关键优势在于写电流不经过脆弱的氧化物势垒层而是从旁路的重金属层流过大大降低了对MTJ本身的应力提高了可靠性。在实际设计中为了实现确定性的无外场翻转通常会结合SOT和一个小幅度的STT电流I_STT进行协同操作。SOT电流负责启动磁化翻转而STT电流则像一只“手”帮助磁化矢量稳定地翻转到目标方向。这种“SOT辅助STT”的混合模式既利用了SOT的高效和低损伤又保证了翻转的确定性和速度。2.3 工艺偏差如何转化为PUF响应现在我们把工艺偏差和SOT-MTJ的物理特性结合起来。假设我们设计了一个标准的SOT-MTJ PUF单元电路。当施加一组特定的挑战信号即一组确定的I_SOT和I_STT电流脉冲时理论上所有理想器件都应给出相同的电阻状态比如低阻。但由于工艺偏差的存在每个实际制造出的MTJ单元都是独特的自由层厚度偏差影响自由层的磁各向异性能和热稳定性改变翻转所需的临界电流。势垒层厚度偏差直接影响R_P和R_AP的绝对值即改变电阻状态的基准值。TMR比值偏差影响高低阻态之间的差值即输出信号的“对比度”。重金属层尺寸偏差影响SOT效率改变I_SOT产生自旋流的效率。这些微观参数的随机波动会综合影响自由层磁化翻转的动力学过程。在相同的电流挑战下有些MTJ单元会成功翻转到目标状态有些则可能因为临界电流的微小差异而翻转失败或者处于一个中间的不稳定状态。最终通过一个灵敏放大器读取MTJ的电阻状态这个“高”或“低”的数字化输出就构成了PUF的响应位。这个过程的不可克隆性在于即使攻击者获得了完整的设计版图他也无法精确预测或复制每个MTJ单元那纳米级别的厚度偏差和材料界面特性。这些物理熵源是制造过程中量子尺度随机性的宏观体现无法被逆向工程。3. 设计与仿真从物理模型到电路响应的完整闭环理论很美好但一个能用的PUF设计必须经过严谨的仿真验证。这项工作采用了业界标准的“紧凑模型-电路仿真-统计分析”流程来验证GSHE-SOT MTJ PUF的可行性。3.1 器件建模与关键参数设定首先需要一个能够准确描述SOT-MTJ物理行为的紧凑模型。这个模型的核心是朗道-利夫希茨-吉尔伯特方程它描述了在有效磁场和自旋扭矩作用下磁化矢量m随时间t的演化动力学∂m/∂t -γμ₀ m × H_eff α m × ∂m/∂t - ξP J_STT m × (m × m_r) - ξη J_SHE m × (m × σ_SHE)这个方程看起来复杂但每一项都有明确的物理意义-γμ₀ m × H_eff表示磁化矢量绕有效磁场的进动。α m × ∂m/∂t吉尔伯特阻尼项代表能量耗散使磁化最终稳定在某个方向。-ξP J_STT m × (m × m_r)STT扭矩项驱动磁化向参考层方向翻转。-ξη J_SHE m × (m × σ_SHE)SOT扭矩项由重金属层中的自旋霍尔效应产生驱动磁化翻转。仿真的准确性高度依赖于模型参数的设定。这项工作参考了实验制备的MTJ堆栈数据设定了关键参数例如自由层材料与厚度FeCoB~1.4 nm。这个厚度是精心选择的使得自由层具有垂直磁各向异性。势垒层MgO~0.8-1.2 nm。TMR比值~120%。重金属层钨用于产生强自旋霍尔效应。临界电流密度SOT电流约15 MA/cm²STT电流约1.59 MA/cm²。3.2 蒙特卡洛模拟拥抱工艺偏差为了评估工艺偏差的影响不能只做一次仿真。我们需要进行蒙特卡洛模拟。这是一种统计方法通过成百上千次的随机抽样仿真来评估工艺波动对电路性能的整体影响。在这项工作中研究者对三个关键参数自由层厚度、氧化物层厚度、TMR比值施加了高斯分布的工艺偏差例如3% 5% 10%并进行了200次蒙特卡洛运行。每次运行这些参数都会在其标称值附近随机波动模拟不同芯片、不同位置MTJ的实际情况。仿真的核心是观察自由层磁化矢量的Z分量m_z或MTJ电阻R_MTJ随时间的变化。在施加固定的SOT和STT电流脉冲挑战后由于参数偏差200个“虚拟”MTJ会给出200条略有不同的m_z-t曲线或最终的电阻值。表不同工艺偏差下自由层平均磁化强度的蒙特卡洛仿真结果工艺偏差平均磁化强度均值平均磁化强度标准差3%-0.850.125%-0.820.1810%-0.800.25从上表可以清晰看出随着工艺偏差的增大蒙特卡洛仿真结果的标准差显著增大。这意味着器件之间的性能离散度变大。对于PUF而言这正是我们想要的——更大的离散度意味着响应位更随机不同芯片之间的差异更明显。3.3 电路实现与响应生成在电路层面一个基本的SOT-MTJ PUF单元可以如图8(a)所示进行构建。它包含MTJ器件核心熵源。写入电路提供精确可控的I_SOT和I_STT电流脉冲作为“挑战”信号。读取电路通常是一个灵敏放大器用于将MTJ的模拟电阻值R_MTJ与一个参考电阻R_REF进行比较并输出数字信号“0”或“1”作为“响应”。仿真的流程是对电路网表进行蒙特卡洛仿真注入MTJ参数的工艺偏差。在特定时间施加写电流挑战驱动MTJ翻转。写操作结束后启用读电路读取MTJ状态。收集所有蒙特卡洛样本的输出响应一串0/1比特。图8(b)展示了在10%工艺偏差下不同蒙特卡洛样本的响应波形。可以看到虽然挑战相同但由于内在参数波动各条曲线的上升/下降时间、最终稳定值都存在差异。这些差异经过灵敏放大器的判决就会产生不同的0/1响应。实操心得参考电阻R_REF的设定这是设计中的关键技巧之一。R_REF的理想值应设定在R_P和R_AP的中间点(R_P R_AP)/2。但在存在工艺偏差的情况下R_P和R_AP本身也是分布。因此R_REF需要根据蒙特卡洛仿真得到的电阻分布统计特征来优化以确保绝大多数样本的R_P R_REF R_AP从而在读取时能明确区分出两种状态同时使“0”和“1”的响应比例接近50:50保证均匀性。4. PUF性能评估如何量化“好”与“坏”设计出一个PUF电路只是第一步我们更需要一套量化的指标来评估它的性能判断它是否足够安全、可靠。主要有三个核心指标唯一性、可靠性和均匀性。4.1 唯一性芯片的“身份证”够独特吗唯一性衡量的是不同芯片或不同PUF实例之间的差异。理想情况下对于同一个挑战不同PUF产生的响应应该是完全随机的、互不相关的。这通过计算所有芯片对之间的汉明距离来评估。汉明距离比较两个等长二进制序列其值不同的对应位的数量。例如响应A10110011响应B00110110它们有3位不同则HD3。对于k个不同的PUF每个响应有n比特唯一性的计算公式为Uniqueness [2 / (k*(k-1)*n)] * Σ_{i1}^{k} Σ_{ji1}^{k} HD(R_i, R_j) * 100%理想值50%。这意味着不同PUF的响应平均有一半的比特是不同的就像抛硬币一样随机。如果唯一性接近0%说明所有芯片响应都一样PUF失去了身份标识作用如果接近100%虽然差异大但可能意味着响应有系统性偏向比如全是0或1的反转也不理想。本文引用的相关工作报道了基于SOT-MTJ的MRAM PUF唯一性可达50.04%这是一个非常接近理想值的结果。4.2 可靠性芯片的“指纹”会随时间改变吗可靠性衡量的是同一个PUF在多次测量考虑环境温度、电源电压波动、器件老化等因素下其响应的一致性。理想情况下同一个芯片无论何时何地测量对同一挑战都应给出完全相同的响应。可靠性通过计算片内汉明距离来评估。对同一个PUF在x次不同条件下如不同温度、电压进行测量得到x个响应R_i,ji是PUF编号j是测量次数。将每次测量的响应与一个在标称条件下得到的“黄金响应”R_i进行比较Robustness [1 / (x*n)] * Σ_{y1}^{x} HD(R_i, R_i,y) * 100%理想值0%。这意味着响应百分百可重复。在实际中由于噪声和环境影响可靠性不可能为0。通常需要通过纠错码或模糊提取器等后处理技术来将不稳定的响应位纠正到一致的值。一个高可靠性的PUF原始误码率应尽可能低以减少后处理的复杂度开销。4.3 均匀性响应是“0”和“1”的公平游戏吗均匀性衡量的是一个PUF产生的响应中“0”和“1”的分布是否均衡。一个均匀的PUF其每一位输出是“0”或“1”的概率都应该是50%。对于一个n比特的响应R其均匀性计算非常简单Uniformity (1/n) * Σ_{bit1}^{n} R[bit] * 100%这里R[bit]取值为0或1。求和后除以总位数再乘以100%得到的就是“1”的比例。理想值50%。如果均匀性严重偏离50%例如80%的比特是1则意味着响应熵不足攻击者可以更容易地进行预测。本文引用的相关工作报道了均匀性为49.92%同样非常理想。避坑指南性能指标的权衡在实际设计中这三个指标往往需要权衡。例如为了追求极高的唯一性更大的工艺偏差可能会牺牲一些可靠性因为参数波动大使器件对环境更敏感。设计师的任务是在工艺约束和电路设计上找到最佳平衡点。通常需要通过大量的蒙特卡洛仿真结合不同的工艺角FF TT SS和温度电压扫描来全面评估PUF的性能鲁棒性。5. 高级架构与安全增强从单元到系统单个MTJ PUF单元只能产生1比特的响应这在实际应用中远远不够。我们需要从单元扩展到阵列从简单响应扩展到复杂挑战-响应机制并思考如何进一步提升其安全性。5.1 双PUF与多级逻辑结构为了生成足够长如128位、256位的密钥我们需要将大量PUF单元组成阵列。但简单的并行读取并不可取因为这需要庞大的挑战-响应对数据库且线性结构容易受到建模攻击。图9(a)展示了一种更巧妙的双PUF结构。两个具有不同工艺偏差特性的PUF单元PUF1和PUF2被组合在一起它们接收相同或不同的挑战输入。它们的输出再经过一个简单的数字逻辑门如XOR或NAND进行组合生成最终的响应位。这种结构的好处显而易见增加熵源逻辑运算引入了非线性。即使攻击者能部分预测单个PUF的行为经过非线性组合后的输出也将变得极其难以预测。增强唯一性如表6所示双PUF结构输出响应的标准差相对于均值更大说明不同芯片间的响应差异被进一步放大。灵活扩展可以级联多个这样的双PUF模块或者使用更复杂的仲裁器、轻量级密码模块等构建出响应空间极其庞大的“强PUF”。5.2 应对机器学习攻击利用物理复杂性传统的CMOS仲裁器PUF等线性PUF已被证明容易受到机器学习攻击。攻击者通过收集一定数量的挑战-响应对可以训练出一个模型来预测未知挑战的响应。GSHE-SOT MTJ PUF在抵御此类攻击方面具有先天优势高度非线性MTJ的磁化翻转动力学本身就是一个高度非线性的物理过程由复杂的LLG方程描述。SOT和STT的协同作用进一步增加了这种非线性。这种非线性很难用一个简单的数学模型来精确拟合。模拟熵源PUF的核心熵来自模拟域的参数偏差厚度、TMR等这些偏差经过复杂的物理过程磁化翻转才映射到数字输出0/1。这个映射过程比CMOS中简单的延迟比较要复杂得多。工艺偏差的全局与局部性MTJ的工艺偏差既有芯片内的局部随机变化也有晶圆级的全局梯度。机器学习模型很难区分并学习这些在不同尺度上混合的随机性模式。因此基于GSHE-SOT MTJ的PUF本质上比许多数字CMOS PUF具有更强的抗机器学习建模攻击能力。5.3 低势垒MTJ的探索另一种可能除了前文讨论的高势垒Δ ≈ 60 k_BT数据保持时间达十年MTJ用于构建存储式PUF外论文还简要探讨了低势垒MTJΔ ≈ 0的潜力。这种MTJ的自由层磁化方向在热扰动下会自发地在两个状态间随机翻转其行为类似于一个二进制随机神经元。通过施加一个远低于临界电流的SOT电流可以轻微地偏置这种随机翻转的概率例如使出现“1”的概率从50%变为70%。这为我们提供了另一种思路可以设计一种模拟PUF或真随机数发生器。其响应不再是确定性的0或1而是一个与工艺偏差相关的、可调的概率值。这种概率特性可以用于构建更复杂的物理不可克隆功能例如在神经形态计算中作为随机权重源。当然这需要全新的电路设计和评估方法是未来一个有趣的研究方向。6. 制造考量与实战挑战任何新颖的器件设计最终都要面对制造的考验。GSHE-SOT MTJ PUF的可行性离不开先进的纳米加工工艺。6.1 器件制备流程论文中描述的MTJ堆栈结构非常复杂采用了磁控溅射工艺逐层沉积在硅衬底上。其堆栈结构为底电极 / [Co (0.5)/Pt (0.2)]₆ / Ru (0.8) / [Co (0.6)/Pt (0.2)]₃ / Ta (0.2) / Co (0.9) / W (0.25) / FeCoB (1) / MgO (0.8) / FeCoB (1.4) / W (0.3) / FeCoB (0.5) / MgO (0.75) / 顶电极厚度单位nm。其中多层(Co/Pt)结构构成了一个合成反铁磁层用于钉扎参考层的磁化方向并抵消其对自由层的杂散场干扰这对于实现稳定的垂直磁各向异性至关重要。关键的FeCoB/MgO界面提供了强大的界面垂直磁各向异性使得自由层能在1.4 nm的厚度下保持垂直磁化。制备完成后需要通过电子束光刻和氩离子刻蚀将薄膜堆栈加工成直径80-120纳米的圆形纳米柱形成独立的MTJ器件。6.2 实战中的挑战与应对策略将实验室的原型转化为可大规模集成的安全IP我们还需要解决几个实际问题面积开销SOT-MTJ是三端器件需要独立的SOT电流通路相比两端STT-MTJ面积更大。在面积敏感的应用中需要精细设计布局或探索与CMOS逻辑层进行3D集成的可能性。功耗管理虽然SOT切换降低了写电流但生成高质量的熵源可能需要多次测量或复杂的挑战协议。整体功耗特别是写入时的峰值电流需要在系统级进行优化。环境稳定性尽管MTJ本身非易失但PUF的响应可能受温度、电压影响。需要在电路层面集成片上温压传感器和补偿电路或者在后处理中采用环境自适应校准算法。测试与良率PUF依赖工艺偏差但偏差不能太大以至于影响基本功能。需要定义清晰的测试标准区分“正常的随机偏差”和“致命的制造缺陷”。在芯片测试阶段需要高效的方法来筛选出PUF性能不达标的芯片。标准化与认证如何向客户或认证机构证明你的PUF是安全的这需要遵循NIST SP 800-22等随机性测试标准并对PUF进行全面的侧信道攻击如功耗分析、电磁分析评估证明其响应不会通过这些物理泄漏被推测出来。个人体会从学术到产品的鸿沟在学术界我们追求极致的性能指标唯一性、均匀性。但在工业界可靠性、稳定性、面积、功耗和制造成本才是决定一个技术能否落地的关键。GSHE-SOT MTJ PUF展示了巨大的潜力但其真正的成功取决于芯片设计师、工艺工程师和安全专家的紧密协作。我们需要在保持其物理不可克隆性优势的同时将其“打磨”成一个稳定、可靠、易于集成的标准IP模块。这条路还很长但无疑是通往下一代硬件安全根基的必经之路。
