汽車(chē)安全性能亟待升級(jí) 嵌入式系統(tǒng)把關(guān)護(hù)航

　　汽車(chē)安全離不開(kāi)安防，例如，只有通過(guò)安防措施保護(hù)制動(dòng)ECU（電子控制單元）固件的完整性和真實(shí)性，才能保證汽車(chē)的制動(dòng)安全，防止惡意修改固件等威脅。

　　安全需要安防的另一個(gè)示例是板載網(wǎng)絡(luò)，板載網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)從傳感器傳輸?shù)街苿?dòng)ECU。只有通過(guò)安防措施防止板載網(wǎng)絡(luò)抵御修改數(shù)據(jù)、注入消息和拒絕服務(wù)等威脅，才能保證制動(dòng)ECU及時(shí)收到正確的傳感器值。

　　人們希望在汽車(chē)中推出Android?或MeeGo?等開(kāi)放的軟件平臺(tái)，從而出現(xiàn)了一個(gè)全新的安全和安防挑戰(zhàn)：為了允許通過(guò)按鈕與用戶進(jìn)行交互并為導(dǎo)航應(yīng)用從汽車(chē)提取當(dāng)前車(chē)速、剩余油量、行駛里程、位置等信息，軟件平臺(tái)及其應(yīng)用程序需要參與板載汽車(chē)通信。然而，需要保護(hù)汽車(chē)不出應(yīng)用故障。虛擬化以及運(yùn)行軟件平臺(tái)（包括沙箱內(nèi)的應(yīng)用程序）是在ECU內(nèi)實(shí)現(xiàn)保護(hù)的安防措施之一。

　　在上述情況下，安防措施完善了安全性。然而，在一些情況下，安防需求與安全需求相互矛盾。例如，要保護(hù)固件的保密性，在組裝了ECU后便以不可逆地方式禁用微控制器的調(diào)試端口。如果由于ECU發(fā)生故障而導(dǎo)致返修，那么被禁用的調(diào)試端口會(huì)導(dǎo)致無(wú)法在微控制器內(nèi)進(jìn)行根本原因分析。特別是無(wú)法分析是否有軟件、配置或硬件缺陷。新興的功能安全標(biāo)準(zhǔn)ISO26262要求調(diào)查現(xiàn)場(chǎng)返修，以便檢測(cè)系統(tǒng)故障，然后啟動(dòng)召回。只有借助智能安防生命周期和安全調(diào)試等方法，才能滿足安全需求并在現(xiàn)場(chǎng)返修時(shí)分析根本原因。

　　本文介紹了先進(jìn)的微控制器的主要安全特性，以及如何應(yīng)用這些特性確保汽車(chē)安全：具體而言，本文涵蓋了安全啟動(dòng)、組件保護(hù)和虛擬化。此外，本文也概述了對(duì)保證安全和處理現(xiàn)場(chǎng)返修的解決方案。

　　2 簡(jiǎn)介

　　在過(guò)去的幾年里，汽車(chē)微控制器（MCU）的安全特性變得越來(lái)越重要。這種趨勢(shì)受到傳統(tǒng)的安全使用案例的推動(dòng)，例如防盜裝置或組件保護(hù)，可防止汽車(chē)被盜。然而，車(chē)對(duì)車(chē)通信等新的使用案例及更高的安全性要求也增加了安全需求。對(duì)于這些用例，汽車(chē)行業(yè)開(kāi)始制定安全硬件擴(kuò)展（SHE）功能規(guī)范等規(guī)范，或EVITA項(xiàng)目提出的安全架構(gòu)。

　　半導(dǎo)體公司開(kāi)始在新一代微控制器中實(shí)施這些規(guī)范。這項(xiàng)工作的第一批成果之一便是Qorriva MPC564xB/C系列，該系列實(shí)現(xiàn)了一個(gè)易于使用的安全模塊，以滿足SHE規(guī)范要求。

　　i.MX系列等汽車(chē)處理器植根于消費(fèi)電子市場(chǎng)，現(xiàn)在已經(jīng)打入汽車(chē)市場(chǎng)，以實(shí)現(xiàn)最先進(jìn)的駕駛員信息娛樂(lè)系統(tǒng)。這些處理器提供硬件安全，支持復(fù)雜的數(shù)字版權(quán)管理系統(tǒng)。

　　3 Qorivva MPC564xC/B系列

　　QorivvaMPC564xC/B系列32位微控制器面向安全的、新一代高端汽車(chē)車(chē)身控制模塊（BCM）和網(wǎng)關(guān)應(yīng)用。它提供高度集成，可以滿足OEM和一級(jí)客戶對(duì)增強(qiáng)功能集和增加內(nèi)存空間的日益增長(zhǎng)的需求。

　　從安全性角度來(lái)看，MPC564xC/B包含一個(gè)加密服務(wù)引擎（CSE）。CSE是一組加密硬件特性，允許在ECU之間安全、可信任地傳輸信息。

　　MPC564xC/B系列還具有雙Power Architecture?內(nèi)核選項(xiàng)，提供近300DMIP的處理功能和低功耗待機(jī)/等待模式，幫助降低功耗，還具有廣泛的通信外設(shè)集，面向與BCM/網(wǎng)關(guān)模塊對(duì)接的廣泛的子系統(tǒng)。此外，這些可擴(kuò)展器件都由使能生態(tài)系統(tǒng)支持，該生態(tài)系統(tǒng)包括軟件驅(qū)動(dòng)程序、操作系統(tǒng)和配置代碼，以幫助您快速部署您的設(shè)計(jì)。圖1展示了Qorivva MPC564xC/B框圖。

　　圖1：Qorriva MPC564xC/B框圖

　　3.1 加密服務(wù)引擎（CSE）的安全特性

　　加密服務(wù)引擎（CSE）是集成在Qorriva MPC5464中的加密硬件模塊。CSE模塊實(shí)現(xiàn)安全硬件擴(kuò)展（SHE）功能規(guī)范中描述的安全功能。圖2展示了CSE模塊的框圖。

　　圖2：CSE框圖

　　CSE的設(shè)計(jì)包括一個(gè)帶有一組內(nèi)存映射寄存器的主機(jī)接口，這些寄存器被CPU用于發(fā)起加密命令。此外，還有一個(gè)系統(tǒng)總線接口允許CSE直接訪問(wèn)系統(tǒng)內(nèi)存。在這里，CSE模塊的行為與任意其他主機(jī)相似。通過(guò)主機(jī)接口，應(yīng)用程序可以配置和控制CSE，例如使CSE進(jìn)入低功耗模式，中斷完成的命令處理或暫停命令處理。狀態(tài)和錯(cuò)誤寄存器將提供深入的系統(tǒng)信息。如需完整的CSE命令列表，請(qǐng)參考MPC564xC/B參考手冊(cè)［3］。兩個(gè)專用系統(tǒng)閃存塊被CSE用于加密密鑰存儲(chǔ)。其他主機(jī)無(wú)法從系統(tǒng)訪問(wèn)這些模塊，因此這些模塊被稱為安全閃存。