汽車(chē)安全性能亟待升級 嵌入式系統把關(guān)護航

　　i.MX51/53的安全組件包括：

　　?Cortex?-A8平臺的TrustZone?架構，帶有TrustZone?中斷控制器和看門(mén)狗

　　?系統啟動(dòng)的高保證啟動(dòng)（HAB）特性

　　?安全控制器（SCC），有16KB的片上安全RAM

　　?對稱(chēng)/不對稱(chēng)散列和隨機加速器（SAHARA）

　　?運行時(shí)完整性校驗（RTIC）

　　?安全實(shí)時(shí)時(shí)鐘（SRTC）

　　?IC識別模塊（IIM），帶有片上電熔絲

　　?中央安全單元（CSU）

　　?系統JTAG控制器（SJC）

　　?多主機多內存接口（M4IF）的水印機制

　　?智能內存直接訪(fǎng)問(wèn)（SDMA）控制器的鎖定模式

　　4.2 虛擬化

　　現代化信息娛樂(lè )系統需要滿(mǎn)足反方向要求。一方面，它們需要支持消費電子領(lǐng)域的復雜的多媒體算法、輸入設備（例如觸摸控制型輸入設備）和用戶(hù)設備（如不同的存儲介質(zhì)、文件系統）。另一方面，它們必須能夠實(shí)時(shí)處理來(lái)自汽車(chē)網(wǎng)絡(luò )的消息，并防止在消費電子產(chǎn)品中好用的應用（如應用商店）在汽車(chē)中運用時(shí)不會(huì )出現故障。

　　i.MX中的硬件虛擬化特性能夠解決該問(wèn)題。設計人員可以建立一個(gè)在Linux或Android?等強大的操作系統虛擬實(shí)例中運行的信息娛樂(lè )系統。另一個(gè)實(shí)例可以執行AUTOSAR?，它能夠滿(mǎn)足汽車(chē)領(lǐng)域的硬實(shí)時(shí)要求。

　　為了保護這兩個(gè)實(shí)例并為其中一個(gè)實(shí)例（如CAN控制器）分配特定的外設模塊，TrustZone架構能夠有所幫助。

　　TrustZone在非安全模式和安全模式中復制內核。根據內核模式，外設模塊能夠提供不同的視圖、行為或功能集。

　　5 安防和安全

　　在一些情況下，安防要求和安全要求相互矛盾。安防通常需要限制訪(fǎng)問(wèn)微控制器的功能和數據，而在現場(chǎng)返修情況下的功能安全（即發(fā)生故障的ECU被從現場(chǎng)退回給制造商）則要求完全訪(fǎng)問(wèn)微控制器或ECU的處理器，以便分析現場(chǎng)返修的根本原因。即將發(fā)布的功能安全標準ISO26262要求分析現場(chǎng)返修，以便檢測ECU的系統故障，然后啟動(dòng)召回。

　　在安全生命周期中，安防和安全要求都能夠滿(mǎn)足。在該生命周期中，ECU通過(guò)車(chē)間、生產(chǎn)、現場(chǎng)和返修幾個(gè)狀態(tài)。通過(guò)對微控制器/處理器進(jìn)行授權（如提供一個(gè)保密密鑰）改變狀態(tài)。每個(gè)狀態(tài)可用的功能和數據都是有限的，例如微控制器/處理器的調試端口在生產(chǎn)狀態(tài)被啟用，在現場(chǎng)狀態(tài)則被禁用。

　　如第3.1節所述，如果調試器被附著(zhù)到微控制器，那么Qorriva MPC564xC/B系列的CSE模塊會(huì )禁用加密密鑰。禁用哪個(gè)加密密鑰取決于每個(gè)密鑰的DU（調試器用途）標識。如果設置了一個(gè)密鑰的DU標識，那么在附著(zhù)了調試器后該密鑰會(huì )被禁用，因此，只要附著(zhù)了該調試器，則無(wú)法使用該密鑰加密或解密數據或驗證閃存（參見(jiàn)第3.2.1節“安全啟動(dòng)和信任鏈”）。更改DU標識需要用一個(gè)保密密鑰對微控制器進(jìn)行授權。在安全生命周期中，當微控制器進(jìn)入現場(chǎng)狀態(tài)后OEM便會(huì )設置DU標識。如果發(fā)生了現場(chǎng)返修，OEM可以重新設置DU標識，啟用微控制器調試，以便分析現場(chǎng)返修的根本原因。

　　對于調試，i.MX處理器提供以下安全級別：

　　?最高級別的安全性：完全禁用調試端口。

　　?較高級別的安全性：在調試器和i.MX處理器之間成功地進(jìn)行了基于密碼的挑戰-響應認證后，調試端口被啟用。

　　?無(wú)安全性：完全啟用調試端口。

　　使用i.MX處理器中的一次性可編程熔絲配置安全級別：熔絲燃燒是一個(gè)不可逆的過(guò)程，也就是說(shuō)，一旦熔絲燃燒了便不可能使熔絲返回到其原始狀態(tài)。安全級別熔絲的燃燒只能提高安全級別，也就是說(shuō)，只能從“無(wú)安全性”、“較高級別的安全性”轉換為“最高級別的安全性”，而無(wú)法按相反的順序進(jìn)行。

　　在安全生命周期中，當i.MX處理器進(jìn)入現場(chǎng)狀態(tài)后OEM便會(huì )燃燒安全級別熔絲，達到“較高級別的安全性”。如果發(fā)生現場(chǎng)返修，在成功地進(jìn)行了挑戰-響應認證后，OEM可以啟用調試端口。

　　6 總結與展望

　　安防與安全是汽車(chē)電子系統的兩個(gè)推動(dòng)力。本文介紹了現代汽車(chē)微控制器和處理器的各種安全特性，這些特性保障汽車(chē)及車(chē)內人員的安全。

　　飛思卡爾Qorivva MPC564xC/B系列是第一批融合了加密模塊的面向汽車(chē)市場(chǎng)的微控制器。然而，通過(guò)車(chē)對車(chē)通信主動(dòng)安全或通過(guò)應用商店實(shí)現汽車(chē)個(gè)性化等趨勢將進(jìn)一步增加汽車(chē)領(lǐng)域的安全需求。