汽車(chē)安全性能亟待升級(jí) 嵌入式系統(tǒng)把關(guān)護(hù)航

　　i.MX51/53的安全組件包括：

　　?Cortex?-A8平臺(tái)的TrustZone?架構(gòu)，帶有TrustZone?中斷控制器和看門(mén)狗

　　?系統(tǒng)啟動(dòng)的高保證啟動(dòng)（HAB）特性

　　?安全控制器（SCC），有16KB的片上安全RAM

　　?對(duì)稱(chēng)/不對(duì)稱(chēng)散列和隨機(jī)加速器（SAHARA）

　　?運(yùn)行時(shí)完整性校驗(yàn)（RTIC）

　　?安全實(shí)時(shí)時(shí)鐘（SRTC）

　　?IC識(shí)別模塊（IIM），帶有片上電熔絲

　　?中央安全單元（CSU）

　　?系統(tǒng)JTAG控制器（SJC）

　　?多主機(jī)多內(nèi)存接口（M4IF）的水印機(jī)制

　　?智能內(nèi)存直接訪問(wèn)（SDMA）控制器的鎖定模式

　　4.2 虛擬化

　　現(xiàn)代化信息娛樂(lè)系統(tǒng)需要滿足反方向要求。一方面，它們需要支持消費(fèi)電子領(lǐng)域的復(fù)雜的多媒體算法、輸入設(shè)備（例如觸摸控制型輸入設(shè)備）和用戶設(shè)備（如不同的存儲(chǔ)介質(zhì)、文件系統(tǒng)）。另一方面，它們必須能夠?qū)崟r(shí)處理來(lái)自汽車(chē)網(wǎng)絡(luò)的消息，并防止在消費(fèi)電子產(chǎn)品中好用的應(yīng)用（如應(yīng)用商店）在汽車(chē)中運(yùn)用時(shí)不會(huì)出現(xiàn)故障。

　　i.MX中的硬件虛擬化特性能夠解決該問(wèn)題。設(shè)計(jì)人員可以建立一個(gè)在Linux或Android?等強(qiáng)大的操作系統(tǒng)虛擬實(shí)例中運(yùn)行的信息娛樂(lè)系統(tǒng)。另一個(gè)實(shí)例可以執(zhí)行AUTOSAR?，它能夠滿足汽車(chē)領(lǐng)域的硬實(shí)時(shí)要求。

　　為了保護(hù)這兩個(gè)實(shí)例并為其中一個(gè)實(shí)例（如CAN控制器）分配特定的外設(shè)模塊，TrustZone架構(gòu)能夠有所幫助。

　　TrustZone在非安全模式和安全模式中復(fù)制內(nèi)核。根據(jù)內(nèi)核模式，外設(shè)模塊能夠提供不同的視圖、行為或功能集。

　　5 安防和安全

　　在一些情況下，安防要求和安全要求相互矛盾。安防通常需要限制訪問(wèn)微控制器的功能和數(shù)據(jù)，而在現(xiàn)場(chǎng)返修情況下的功能安全（即發(fā)生故障的ECU被從現(xiàn)場(chǎng)退回給制造商）則要求完全訪問(wèn)微控制器或ECU的處理器，以便分析現(xiàn)場(chǎng)返修的根本原因。即將發(fā)布的功能安全標(biāo)準(zhǔn)ISO26262要求分析現(xiàn)場(chǎng)返修，以便檢測(cè)ECU的系統(tǒng)故障，然后啟動(dòng)召回。

　　在安全生命周期中，安防和安全要求都能夠滿足。在該生命周期中，ECU通過(guò)車(chē)間、生產(chǎn)、現(xiàn)場(chǎng)和返修幾個(gè)狀態(tài)。通過(guò)對(duì)微控制器/處理器進(jìn)行授權(quán)（如提供一個(gè)保密密鑰）改變狀態(tài)。每個(gè)狀態(tài)可用的功能和數(shù)據(jù)都是有限的，例如微控制器/處理器的調(diào)試端口在生產(chǎn)狀態(tài)被啟用，在現(xiàn)場(chǎng)狀態(tài)則被禁用。

　　如第3.1節(jié)所述，如果調(diào)試器被附著到微控制器，那么Qorriva MPC564xC/B系列的CSE模塊會(huì)禁用加密密鑰。禁用哪個(gè)加密密鑰取決于每個(gè)密鑰的DU（調(diào)試器用途）標(biāo)識(shí)。如果設(shè)置了一個(gè)密鑰的DU標(biāo)識(shí)，那么在附著了調(diào)試器后該密鑰會(huì)被禁用，因此，只要附著了該調(diào)試器，則無(wú)法使用該密鑰加密或解密數(shù)據(jù)或驗(yàn)證閃存（參見(jiàn)第3.2.1節(jié)“安全啟動(dòng)和信任鏈”）。更改DU標(biāo)識(shí)需要用一個(gè)保密密鑰對(duì)微控制器進(jìn)行授權(quán)。在安全生命周期中，當(dāng)微控制器進(jìn)入現(xiàn)場(chǎng)狀態(tài)后OEM便會(huì)設(shè)置DU標(biāo)識(shí)。如果發(fā)生了現(xiàn)場(chǎng)返修，OEM可以重新設(shè)置DU標(biāo)識(shí)，啟用微控制器調(diào)試，以便分析現(xiàn)場(chǎng)返修的根本原因。

　　對(duì)于調(diào)試，i.MX處理器提供以下安全級(jí)別：

　　?最高級(jí)別的安全性：完全禁用調(diào)試端口。

　　?較高級(jí)別的安全性：在調(diào)試器和i.MX處理器之間成功地進(jìn)行了基于密碼的挑戰(zhàn)-響應(yīng)認(rèn)證后，調(diào)試端口被啟用。

　　?無(wú)安全性：完全啟用調(diào)試端口。

　　使用i.MX處理器中的一次性可編程熔絲配置安全級(jí)別：熔絲燃燒是一個(gè)不可逆的過(guò)程，也就是說(shuō)，一旦熔絲燃燒了便不可能使熔絲返回到其原始狀態(tài)。安全級(jí)別熔絲的燃燒只能提高安全級(jí)別，也就是說(shuō)，只能從“無(wú)安全性”、“較高級(jí)別的安全性”轉(zhuǎn)換為“最高級(jí)別的安全性”，而無(wú)法按相反的順序進(jìn)行。

　　在安全生命周期中，當(dāng)i.MX處理器進(jìn)入現(xiàn)場(chǎng)狀態(tài)后OEM便會(huì)燃燒安全級(jí)別熔絲，達(dá)到“較高級(jí)別的安全性”。如果發(fā)生現(xiàn)場(chǎng)返修，在成功地進(jìn)行了挑戰(zhàn)-響應(yīng)認(rèn)證后，OEM可以啟用調(diào)試端口。

　　6 總結(jié)與展望

　　安防與安全是汽車(chē)電子系統(tǒng)的兩個(gè)推動(dòng)力。本文介紹了現(xiàn)代汽車(chē)微控制器和處理器的各種安全特性，這些特性保障汽車(chē)及車(chē)內(nèi)人員的安全。

　　飛思卡爾Qorivva MPC564xC/B系列是第一批融合了加密模塊的面向汽車(chē)市場(chǎng)的微控制器。然而，通過(guò)車(chē)對(duì)車(chē)通信主動(dòng)安全或通過(guò)應(yīng)用商店實(shí)現(xiàn)汽車(chē)個(gè)性化等趨勢(shì)將進(jìn)一步增加汽車(chē)領(lǐng)域的安全需求。