一种安全MCU内的NVM自毁装置及方法与流程

本发明涉及安全芯片技术领域，具体地说是一种安全mcu内的nvm自毁装置及方法。

背景技术：

随着物联网设备的越来越多，对于安全mcu的需求也越来越大。安全mcu其核心是保护敏感信息的安全，而敏感信息中最重要的就是敏感信息。敏感信息一般都存储在安全mcu内部的nvm(非易失性存储器)中。

目前，针对于安全芯片，窃取敏感信息的方法有侧信道分析、故障注入攻击和物理侵入攻击等方法。

现有的安全芯片应对这些攻击时，采取的主要措施是在使用敏感信息的过程中，加入冗余运算、功耗干扰、随机时序、总线屏蔽等措施，这些措施，主要用于针对上述提到的侧信道分析。

安全芯片中对于故障注入的防护，主要是增加sensor，用于检测安全芯片所处的环境变化，例如温度、电压和光的检测。当所处的环境变化超出阈值时，sensor会发生报警，从而在安全芯片内部停止使用敏感信息，以防泄露。

对于侵入攻击，安全芯片的主要防护措施为增加主动屏蔽层和数据加密存储，主动屏蔽层位于芯片的最顶层，当芯片遭到剖片时，主动屏蔽层的破坏会产生报警，从而安全芯片会产生报警而不使用敏感信息。加密存储指的是敏感信息存储在nvm中时，是经过地址和数据扰乱的，攻击者想从实际的nvm中读取敏感信息，难度较大。但是，当攻击者知道nvm的加密存储算法以及知道敏感信息的存储位置时，是可以通过探针或者fib的方式，将敏感信息从nvm中读出。

现有的nvm自毁电路，主要用于ssd或硬盘上，且主要倾向于对nvm的物理性破坏。例如使用熔丝的方法，通过检测到攻击，内部产生高压，将熔丝熔断；还有技术方案将电路晶片和一块钢化玻璃附着在一起，后者在受热之后便会产生碎裂，从而将整个电路晶片一同毁坏；还有通过向存储器的核心电路施加+28v高压或者高压脉冲，烧毁存储器的控制器或存储器本身，对硬件结构造成完全击穿，无法再对其进行任何修复。

这些毁坏存储器方法也可以保证存储器中数据的安全，但是有两个弊端，一是要摧毁电路，一般需要高电压，对于安全芯片的系统，供电均为外接，攻击者可以不接高电压，如果安全芯片内部产生高电压，则会增加芯片的设计难度和稳定性。另外一个是物理损坏的方法，会使整个nvm完全损坏，从而彻底无法使用，对于误触发的情况则无从查起，不利于失效分析。

技术实现要素：

本发明的技术任务是解决现有技术的不足，针对安全mcu遭到攻击时敏感信息会被泄露的问题，提供一种安全mcu内的nvm自毁装置及方法，当检测到芯片遭到攻击时，可以将nvm中的数据毁掉，从而保证敏感信息不会被泄露。

首先，本发明解决其技术问题所采用的一个技术方案如下：

一种安全mcu内的nvm自毁装置，该装置布置于安全mcu的传感器和nvm控制器之间。该装置包括报警检测模块、nvm自毁控制模块、报警信息记录模块，nvm自毁控制模块通过手动使能或mcu上电自动使能的方式向报警检测模块发送使能信号。

报警检测模块存储有触发nvm自毁的特定sensor信号，报警检测模块用于接收传感模块输出的sensor信号和nvm自毁控制模块发送的使能信号，并判断接收的sensor信号是否属于特定sensor信号；在接收的sensor信号属于特定sensor信号时，报警检测模块向nvm自毁控制模块发送自毁信号，同时，报警检测模块将与自毁信号相对应的sensor信号作为报警源信息发送至报警信息记录模块进行记录；在接收的sensor信号不属于特定sensor信号时，报警检测模块、nvm自毁控制模块、报警信息记录模块三者之间无有效信号交互；

nvm自毁控制模块用于接收报警检测模块输出的自毁信号，并向外发送记录信息使能信号；

报警信息记录模块用于接收报警检测模块发送的报警源信息和nvm自毁控制模块发送的记录信息使能信号，报警信息记录模块还用于向外发送nvm控制信号一，nvm控制器接收nvm控制信号一并对与自毁信号相对应的nvm记录地址范围进行编程，同时，nvm控制器将报警源信息记录在与自毁信号相对应的nvm记录地址范围，编程完成后，报警信息记录模块向外发送记录完成信号；

nvm自毁控制模块还用于接收报警信息记录模块发送的记录完成信号，随后，nvm自毁控制模块向外发送nvm控制信号二，nvm控制器接收nvm控制信号二并擦除与自毁信号相对应的nvm自毁地址范围中的内容，擦除完成后，nvm自毁控制模块向报警检测模块发送禁止信号。

具体的，所涉及报警检测模块包括：

自毁源设定子模块，用于设定并存储可以触发nvm进行自毁的特定sensor信号，特定sensor信号属于安全mcu中多种传感器输出的至少一种sensor信号；

报警匹配子模块，用于接收传感器输出的sensor信号，并判断接收的sensor信号是否存在报警，在接收的sensor信号匹配于自毁源设定子模块存储的至少一种特定sensor信号时，输出报警信号；

参数设置子模块，用于设定报警信号滤波延时和滤波次数；

滤波处理子模块，用于接收报警匹配子模块输出的报警信号，并根据参数设置子模块的参数设置情况对报警信号进行处理，处理完成后报警信号依然存在时向nvm自毁控制模块传送自毁信号，同时向报警信息记录模块传送与该自毁信号相对应的报警源信息。

优选的，所涉及自毁源设定子模块将特定sensor信号存储于寄存器、ram或nvm中。

具体的，所涉及报警信息记录模块包括：

信息记录地址设定子模块，用于设定报警源信息的记录地址；

信息记录使能子模块，用于接收nvm自毁控制模块向外发送的记录信息使能信号，进而使能记录子模块；

记录子模块，用于接收报警检测模块传送的报警源信息并生成nvm控制信号一，nvm控制器接收nvm控制信号一并对与自毁信号相对应的nvm记录地址范围进行编程，同时，nvm控制器将报警源信息记录在与自毁信号相对应的nvm记录地址范围，编程完成后，报警信息记录模块向外发送编程完成信号；

记录完成信号生成模块，用于接收记录子模块的编程完成信号并生成记录完成信号。

具体的，所涉及nvm自毁控制模块包括：

自毁信号处理子模块，用于接收滤波处理子模块输出的自毁信号和报警信息记录模块输出的记录完成信号，在只接收到自毁信号时，自毁信号处理子模块向信息记录使能子模块发送记录信息使能信号，在接收到记录完成信号时，自毁信号处理子模块向外发送自毁使能信号；

自毁地址范围设定子模块，用于设定与特定sensor信号相对应的nvm自毁地址范围；

自毁子模块，用于接收自毁信号处理子模块向外发送的自毁使能信号，并读取自毁地址范围设定子模块中与自毁信号相匹配的nvm自毁地址范围，进而生成nvm控制信号二，nvm控制器接收控制信号二并擦除安全mcu中自毁子模块读取的nvm自毁地址范围中的内容，擦除完成后，自毁子模块生成自毁完成信号；

信号生成模块，用于接收自毁子模块生成的自毁完成信号，并进一步生成禁止信号禁止报警检测模块；信号生成模块通过手动使能或mcu上电自动使能的方式向报警匹配子模块发送使能信号。

具体的，所涉及nvm记录地址范围和nvm记录地址范围的设定地址分别为nvm中的任意地址。

具体的，所涉及传感器包括但不限于主动屏蔽层、光传感器、温度传感器、电压传感器、频率传感器、电源毛刺传感器、存储器保护单元。

具体的，所涉及nvm自毁控制模块和报警信息记录模块直接或者分别通过总线与nvm控制器进行信号交互。

其次，本发明解决其技术问题所采用的另一个技术方案如下：

一种安全mcu内的nvm自毁方法，基于上述nvm自毁装置，该nvm自毁方法的实现过程包括：

1)设定nvm自毁控制模块的使能方式，为手动使能或mcu上电自动使能；nvm自毁控制模块使能后会向报警检测模块发送使能信号；

2)设定报警检测模块内可以触发nvm自毁的特定sensor，设定在nvm自毁控制模块内与特定sensor信号相对应的nvm自毁地址范围，设定在报警信息记录模块与特定sensor信号相对应的nvm记录地址范围；

3)根据nvm自毁控制模块的使能方式使能nvm自毁控制模块，nvm自毁控制模块向报警检测模块发送使能信号；

4)使能信号使能报警检测模块，报警检测模块接收安全mcu内传感器传出的sensor信号，并判断接收的sensor信号是否属于特定sensor信号：

4a)在接收的sensor信号属于特定sensor信号时，报警检测模块向nvm自毁控制模块发送自毁信号，同时，报警检测模块将与自毁信号相对应的sensor信号作为报警源信息发送至报警信息记录模块进行记录，执行步骤5)；

4b)在接收的sensor信号不属于特定sensor信号时，报警检测模块、nvm自毁控制模块、报警信息记录模块三者之间无有效信号交互；

5)此时，nvm自毁控制模块只接收到自毁信号，nvm自毁控制模块向报警信息记录模块发送记录信息使能信号，记录信息使能信号使能报警信息记录模块向外发送nvm控制信号一，nvm控制器接收nvm控制信号一并对与自毁信号相对应的nvm记录地址范围进行编程，nvm控制器将报警源信息记录在与自毁信号相对应的nvm记录地址范围，编程完成后，报警信息记录模块向nvm自毁控制模块发送记录完成信号；

6)nvm自毁控制模块接收记录完成信号后，nvm自毁控制模块向外发送nvm控制信号二，nvm控制器接收nvm控制信号二并擦除与自毁信号相对应的nvm自毁地址范围中的内容，擦除完成后，nvm自毁控制模块向报警检测模块发送禁止信号；

7)循环执行步骤3)-6)，时刻检测报警检测模块接收的sensor信号，根据sensor信号进行相应nvm自毁地址范围的自毁，完成对安全mcu的保护，同时，记录与sensor信号相关的报警源信息，追溯和分析自毁原因。

在步骤2)中，特定sensor信号存储于寄存器、ram或nvm中；

设定的nvm自毁地址范围为nvm中的任意地址；

设定的nvm记录地址范围为nvm中的任意地址。

本发明的一种安全mcu内的nvm自毁装置及方法，与现有技术相比所产生的有益效果是：

1)本发明的nvm自毁装置包括增设在安全mcu的传感器和nvm控制器之间的报警检测模块、nvm自毁控制模块、报警信息记录模块，可以设定触发nvm自毁的特定sensor信号，还可以设定与特定sensor信号相对应的nvm自毁地址范围和nvm记录地址范围，本发明的nvm自毁装置工作时，能够检测到攻击安全mcu的sensor信号，随后在检测到sensor信号属于特定sensor信号时进行相应nvm自毁地址范围的自毁、以及将该sensor信号作为报警源信息记录在相应的nvm记录地址范围，避免安全mcu遭到攻击时敏感信息被泄露，便于后期进行报警源信息的追溯和深度分析；

2)本发明的nvm自毁方法与上述nvm自毁装置相结合，保证敏感信息的安全性；相比于对nvm的物理性损坏，本nvm自毁方法不需要外接高压、不需要产生高压脉也不需要产生热量，易于实现，而且，本nvm自毁方法是擦除nvm中指定地址范围的数据，而不是对整个nvm进行毁坏，易于控制毁坏的范围；

3)本发明的nvm自毁方法与上述nvm自毁装置相结合，无需cpu参与，无需cpu设置和读取sensor状态，无需cpu完成对nvm的擦除，有效防止了因为cpu遭受攻击而执行错误指令，导致无法完成自毁的情况。

附图说明

附图1是本发明实施例一直接连接nvm控制器的连接框图；

附图2是本发明实施例一的子模块连接框图；

附图3是本发明实施例一通过总线连接nvm控制器的连接框图。

附图中各标号信息表示：

a、报警检测模块，b、nvm自毁控制模块，

c、报警信息记录模块，d、总线；

1、自毁源设定子模块，2、报警匹配子模块，

3、参数设置子模块，4、信号生成模块，

5、自毁信号处理子模块，6、自毁地址范围设定子模块，

7、自毁子模块，8、信息记录使能子模块，

9、记录子模块，10、信息记录地址设定子模块，

11、记录完成信号生成模块，12、滤波处理子模块；

13、nvm控制信号一，14、nvm控制信号二。

具体实施方式

为使本发明的技术方案、解决的技术问题和技术效果更加清楚明白，以下结合具体实施例，对本发明的技术方案进行清楚、完整的描述，显然，所描述的实施例仅仅是本发明的一部分实施例，而不是全部的实施例。基于本发明的实施例，本领域技术人员在没有做出创造性劳动的前提下获得的所有实施例,都在本发明的保护范围之内。

实施例一：

参考附图1，本实施例的一种安全mcu内的nvm自毁装置，该装置布置于安全mcu的传感器和nvm控制器之间。该装置包括报警检测模块a、nvm自毁控制模块b、报警信息记录模块c，nvm自毁控制模块b通过手动使能或mcu上电自动使能的方式向报警检测模块a发送使能信号。

参考附图1、2，报警检测模块a存储有触发nvm自毁的特定sensor信号，报警检测模块a用于接收传感模块输出的sensor信号和nvm自毁控制模块b发送的使能信号，并判断接收的sensor信号是否属于特定sensor信号；在接收的sensor信号属于特定sensor信号时，报警检测模块a向nvm自毁控制模块b发送自毁信号，同时，报警检测模块a将与自毁信号相对应的sensor信号作为报警源信息发送至报警信息记录模块c进行记录；在接收的sensor信号不属于特定sensor信号时，报警检测模块a、nvm自毁控制模块b、报警信息记录模块c三者之间无有效信号交互。

nvm自毁控制模块b用于接收报警检测模块a输出的自毁信号，并向外发送记录信息使能信号；

报警信息记录模块c用于接收报警检测模块a发送的报警源信息和nvm自毁控制模块b发送的记录信息使能信号，报警信息记录模块c还用于向外发送nvm控制信号一13，nvm控制器接收nvm控制信号一13并对与自毁信号相对应的nvm记录地址范围进行编程，同时，nvm控制器将报警源信息记录在与自毁信号相对应的nvm记录地址范围，编程完成后，报警信息记录模块c向外发送记录完成信号；

nvm自毁控制模块b还用于接收报警信息记录模块c发送的记录完成信号，随后，nvm自毁控制模块b向外发送nvm控制信号二14，nvm控制器接收nvm控制信号二14并擦除与自毁信号相对应的nvm自毁地址范围中的内容，擦除完成后，nvm自毁控制模块b向报警检测模块a发送禁止信号。

参考附图2，在本实施例中，所涉及报警检测模块a包括：

自毁源设定子模块1，用于设定并存储可以触发nvm进行自毁的特定sensor信号，特定sensor信号属于安全mcu中多种传感器输出的至少一种sensor信号；

报警匹配子模块2，用于接收传感器输出的sensor信号，并判断接收的sensor信号是否存在报警，在接收的sensor信号匹配于自毁源设定子模块1存储的至少一种特定sensor信号时，输出报警信号；

参数设置子模块3，用于设定报警信号滤波延时和滤波次数；

滤波处理子模块12，用于接收报警匹配子模块2输出的报警信号，并根据参数设置子模块3的参数设置情况对报警信号进行处理，处理完成后报警信号依然存在时向nvm自毁控制模块b传送自毁信号，同时向报警信息记录模块c传送与该自毁信号相对应的报警源信息。

在本实施例中，所涉及自毁源设定子模块1将特定sensor信号存储于寄存器、ram或nvm中。

参考附图2，在本实施例中，所涉及报警信息记录模块c包括：

信息记录地址设定子模块10，用于设定报警源信息的记录地址；

信息记录使能子模块8，用于接收nvm自毁控制模块b向外发送的记录信息使能信号，进而使能记录子模块9；

记录子模块9，用于接收报警检测模块a传送的报警源信息并生成nvm控制信号一13，nvm控制器接收nvm控制信号一13并对与自毁信号相对应的nvm记录地址范围进行编程，同时，nvm控制器将报警源信息记录在与自毁信号相对应的nvm记录地址范围，编程完成后，报警信息记录模块c向外发送编程完成信号；

记录完成信号生成模块11，用于接收记录子模块9的编程完成信号并生成记录完成信号。

在本实施例中，所涉及信息记录地址设定子模块10设定的记录地址为nvm地址范围，可以是整个nvm中的任意地址，信息记录地址设定子模块10设定记录的起始地址和占用的长度，例如占用的起始地址为0x00039000，占用的长度为0x80个字节，则实际的记录地址范围是0x00039000～0x0003907f。

参考附图2，在本实施例中，所涉及nvm自毁控制模块b包括：

自毁信号处理子模块5，用于接收滤波处理子模块12输出的自毁信号和报警信息记录模块c输出的记录完成信号，在只接收到自毁信号时，自毁信号处理子模块5向信息记录使能子模块8发送记录信息使能信号，在接收到记录完成信号时，自毁信号处理子模块5向外发送自毁使能信号；

自毁地址范围设定子模块6，用于设定与特定sensor信号相对应的nvm自毁地址范围；

自毁子模块7，用于接收自毁信号处理子模块5向外发送的自毁使能信号，并读取自毁地址范围设定子模块6中与自毁信号相匹配的nvm自毁地址范围，进而生成nvm控制信号二14，nvm控制器接收控制信号二并擦除安全mcu中自毁子模块7读取的nvm自毁地址范围中的内容，擦除完成后，自毁子模块7生成自毁完成信号；

信号生成模块4，用于接收自毁子模块7生成的自毁完成信号，并进一步生成禁止信号禁止报警检测模块a；信号生成模块4通过手动使能或mcu上电自动使能的方式向报警匹配子模块2发送使能信号。

在本实施例中，所涉及自毁地址范围设定子模块6设定的自毁地址为nvm地址范围，可以是整个nvm中的任意地址，此模块设定记录的起始地址和占用的长度，例如占用的起始地址为0x00030000，占用的长度为0x8000个字节，则实际的记录地址范围是0x00030000～0x00037fff。

在本实施例中，所涉及传感器包括但不限于主动屏蔽层、光传感器、温度传感器、电压传感器、频率传感器、电源毛刺传感器、存储器保护单元。

参考附图1，在本实施例中，所涉及nvm自毁控制模块b和报警信息记录模块c直接与nvm控制器进行信号交互。

本实施例工作时，我们可以具体设定nvm自毁控制模块b通过手动上电的方式向报警检测模块a发送使能信号，基于mcu内的所有sensor信号包含但不限于光sensor信号、电压sensor信号、温度sensor信号、频率sensor信号、主动屏蔽层信号、存储器保护单元信号、电源毛刺sensor信号，设定触发nvm自毁的特定sensor信号有电压sensor信号和光sensor信号，设定电压sensor信号和光sensor信号两种信号的nvm自毁地址范围在同一个区间，为flash的0x00030000～0x00038000，设定电压sensor信号和光sensor信号两种信号的nvm记录地址范围在同一个区间，为flash的0x00039000～0x0003907f。

实施例二：

参考附图1，本实施例的一种安全mcu内的nvm自毁装置，该装置布置于安全mcu的传感器和nvm控制器之间。该装置包括报警检测模块a、nvm自毁控制模块b、报警信息记录模块c，nvm自毁控制模块b通过手动使能或mcu上电自动使能的方式向报警检测模块a发送使能信号。

参考附图1、2，报警检测模块a存储有触发nvm自毁的特定sensor信号，报警检测模块a用于接收传感模块输出的sensor信号和nvm自毁控制模块b发送的使能信号，并判断接收的sensor信号是否属于特定sensor信号；在接收的sensor信号属于特定sensor信号时，报警检测模块a向nvm自毁控制模块b发送自毁信号，同时，报警检测模块a将与自毁信号相对应的sensor信号作为报警源信息发送至报警信息记录模块c进行记录；在接收的sensor信号不属于特定sensor信号时，报警检测模块a、nvm自毁控制模块b、报警信息记录模块三者之间无有效信号交互。

nvm自毁控制模块b用于接收报警检测模块a输出的自毁信号，并向外发送记录信息使能信号；

报警信息记录模块c用于接收报警检测模块a发送的报警源信息和nvm自毁控制模块b发送的记录信息使能信号，报警信息记录模块c还用于向外发送nvm控制信号一13，nvm控制器接收nvm控制信号一13并对与自毁信号相对应的nvm记录地址范围进行编程，同时，nvm控制器将报警源信息记录在与自毁信号相对应的nvm记录地址范围，编程完成后，报警信息记录模块c向外发送记录完成信号；

nvm自毁控制模块b还用于接收报警信息记录模块c发送的记录完成信号，随后，nvm自毁控制模块b向外发送nvm控制信号二14，nvm控制器接收nvm控制信号二14并擦除与自毁信号相对应的nvm自毁地址范围中的内容，擦除完成后，nvm自毁控制模块b向报警检测模块a发送禁止信号。

参考附图2，在本实施例中，所涉及报警检测模块a包括：

自毁源设定子模块1，用于设定并存储可以触发nvm进行自毁的特定sensor信号，特定sensor信号属于安全mcu中多种传感器输出的至少一种sensor信号；

报警匹配子模块2，用于接收传感器输出的sensor信号，并判断接收的sensor信号是否存在报警，在接收的sensor信号匹配于自毁源设定子模块1存储的至少一种特定sensor信号时，输出报警信号；

参数设置子模块3，用于设定报警信号滤波延时和滤波次数；

滤波处理子模块12，用于接收报警匹配子模块2输出的报警信号，并根据参数设置子模块3的参数设置情况对报警信号进行处理，处理完成后报警信号依然存在时向nvm自毁控制模块b传送自毁信号，同时向报警信息记录模块c传送与该自毁信号相对应的报警源信息。

在本实施例中，所涉及自毁源设定子模块1将特定sensor信号存储于寄存器、ram或nvm中。

参考附图2，在本实施例中，所涉及报警信息记录模块c包括：

信息记录地址设定子模块10，用于设定报警源信息的记录地址；

信息记录使能子模块8，用于接收nvm自毁控制模块b向外发送的记录信息使能信号，进而使能记录子模块9；

记录子模块9，用于接收报警检测模块a传送的报警源信息并生成nvm控制信号一13，nvm控制器接收nvm控制信号一13并对与自毁信号相对应的nvm记录地址范围进行编程，同时，nvm控制器将报警源信息记录在与自毁信号相对应的nvm记录地址范围，编程完成后，报警信息记录模块c向外发送编程完成信号；

记录完成信号生成模块11，用于接收记录子模块9的编程完成信号并生成记录完成信号。

在本实施例中，所涉及信息记录地址设定子模块10设定的记录地址为nvm地址范围，可以是整个nvm中的任意地址，信息记录地址设定子模块10设定记录的起始地址和占用的长度，例如占用的起始地址为0x00039000，占用的长度为0x80个字节，则实际的记录地址范围是0x00039000～0x0003907f。

参考附图2，在本实施例中，所涉及nvm自毁控制模块b包括：

自毁信号处理子模块5，用于接收滤波处理子模块12输出的自毁信号和报警信息记录模块c输出的记录完成信号，在只接收到自毁信号时，自毁信号处理子模块5向信息记录使能子模块8发送记录信息使能信号，在接收到记录完成信号时，自毁信号处理子模块5向外发送自毁使能信号；

自毁地址范围设定子模块6，用于设定与特定sensor信号相对应的nvm自毁地址范围；

自毁子模块7，用于接收自毁信号处理子模块5向外发送的自毁使能信号，并读取自毁地址范围设定子模块6中与自毁信号相匹配的nvm自毁地址范围，进而生成nvm控制信号二14，nvm控制器接收控制信号二并擦除安全mcu中自毁子模块7读取的nvm自毁地址范围中的内容，擦除完成后，自毁子模块7生成自毁完成信号；

信号生成模块4，用于接收自毁子模块7生成的自毁完成信号，并进一步生成禁止信号禁止报警检测模块a；信号生成模块4通过手动使能或mcu上电自动使能的方式向报警匹配子模块2发送使能信号。

在本实施例中，所涉及自毁地址范围设定子模块6设定的自毁地址为nvm地址范围，可以是整个nvm中的任意地址，自毁地址范围设定子模块6设定记录的起始地址和占用的长度，例如占用的起始地址为0x00030000，占用的长度为0x8000个字节，则实际的记录地址范围是0x00030000～0x00037fff。

在本实施例中，所涉及传感器包括但不限于主动屏蔽层、光传感器、温度传感器、电压传感器、频率传感器、电源毛刺传感器、存储器保护单元。

参考附图3，所涉及nvm自毁控制模块b和报警信息记录模块c通过总线d与nvm控制器进行信号交互。总线d可以是arm的amba、8051芯片内部的地址数据总线、opencores组织维护的wishbone总线中的任意一种或多种。

本实施例工作时，我们可以具体设定nvm自毁控制模块b通过手动上电的方式向报警检测模块a发送使能信号，基于mcu内的所有sensor信号包含但不限于光sensor信号、电压sensor信号、温度sensor信号、频率sensor信号、主动屏蔽层信号、存储器保护单元信号、电源毛刺sensor信号，设定触发nvm自毁的特定sensor信号有电压sensor信号和光sensor信号，设定电压sensor信号的nvm自毁地址范围是flash的0x00030000～0x00033fff，设定光sensor信号的nvm自毁地址范围是flash的0x00034000～0x00034fff，设定电压sensor信号的nvm记录地址范围是flash的0x00036000～0x00036007，设定光sensor信号的nvm记录地址范围是flash的0x00036200～0x000362ff。

实施例三：

参考附图1、2，本实施例的一种安全mcu内的nvm自毁方法，基于实施例一所述nvm自毁装置，该nvm自毁方法的实现过程包括：

1)设定nvm自毁控制模块b的使能方式，为手动使能或mcu上电自动使能；nvm自毁控制模块b使能后会向报警检测模块a发送使能信号；

2)设定报警检测模块a内可以触发nvm自毁的特定sensor，设定在nvm自毁控制模块b内与特定sensor信号相对应的nvm自毁地址范围，设定在报警信息记录模块c与特定sensor信号相对应的nvm记录地址范围；

3)根据nvm自毁控制模块b的使能方式使能nvm自毁控制模块b，nvm自毁控制模块b向报警检测模块a发送使能信号；

4)使能信号使能报警检测模块a，报警检测模块a接收安全mcu内传感器传出的sensor信号，并判断接收的sensor信号是否属于特定sensor信号：

4a)在接收的sensor信号属于特定sensor信号时，报警检测模块a向nvm自毁控制模块b发送自毁信号，同时，报警检测模块a将与自毁信号相对应的sensor信号作为报警源信息发送至报警信息记录模块c进行记录，执行步骤5)；

4b)在接收的sensor信号不属于特定sensor信号时，报警检测模块a、nvm自毁控制模块b、报警信息记录模块c三者之间无有效信号交互；

5)此时，nvm自毁控制模块b只接收到自毁信号，nvm自毁控制模块b向报警信息记录模块c发送记录信息使能信号，记录信息使能信号使能报警信息记录模块c向外发送nvm控制信号一13，nvm控制器接收nvm控制信号一13并对与自毁信号相对应的nvm记录地址范围进行编程，nvm控制器将报警源信息记录在与自毁信号相对应的nvm记录地址范围，编程完成后，报警信息记录模块c向nvm自毁控制模块b发送记录完成信号；

6)nvm自毁控制模块b接收记录完成信号后，nvm自毁控制模块b向外发送nvm控制信号二14，nvm控制器接收nvm控制信号二14并擦除与自毁信号相对应的nvm自毁地址范围中的内容，擦除完成后，nvm自毁控制模块b向报警检测模块a发送禁止信号；

7)循环执行步骤3)-6)，时刻检测报警检测模块a接收的sensor信号，根据sensor信号进行相应nvm自毁地址范围的自毁，完成对安全mcu的保护，同时，记录与sensor信号相关的报警源信息，追溯和分析自毁原因。

在本实施例的步骤2)中，特定sensor信号存储于寄存器、ram或nvm中；

设定的nvm自毁地址范围为flash的0x00030000～0x00038000；

设定的nvm记录地址范围为flash的0x00039000～0x0003907f。

以上应用具体个例对本发明的原理及实施方式进行了详细阐述，这些实施例只是用于帮助理解本发明的核心技术内容，并不用于限制本发明的保护范围，本发明的技术方案不限制于上述具体实施方式内。基于本发明的上述具体实施例，本技术领域的技术人员在不脱离本发明原理的前提下，对本发明所作出的任何改进和修饰，皆应落入本发明的专利保护范围。