使用ARM的TrustZone技术，针对安全和非安全应用划分系统

　　摘要：随着ARM Cortex-A9多处理器和FPGA SoC的推出，可把现有的分立微控制器和数字逻辑功能集成到一个多核器件中。这减小了功耗和体积，而主要难点之一是在一个器件中同时实现安全关键和非安全关键软件单元。

　　随着ARM Cortex-A9多处理器和FPGA SoC的推出，很多开发人员看到了合并现有系统的机会，这通过将分立微控制器(MCU)和数字逻辑集成到一个多核器件中来实现。最大的好处是减小了功耗和体积，而一个主要难点是在一个器件中同时实现安全关键和非安全关键软件单元。图1显示了使用三个分立器件实现的一个典型电机控制系统。系统有一个非安全网络/用户接口处理器，一个电机控制监控微控制器和一片用于实现硬核实时电机控制器的FPGA。图1中的阴影部分含有设计的安全关键单元，需要通过外部权威机构进行安全认证。

　　把一个电机控制系统合并到SoC中，支持使用一个器件来实现信号处理、监控和通信等应用。Altera的28 nm Cyclone V SoC便是适用于这方面应用的一个器件实例。它具有低功耗FPGA架构和硬核处理器系统(HPS)，含有ARM Cortex-A9双处理器内核和外设。HPS包括对ARM TrustZone技术的支持;这也可以延伸到FPGA架构中。

　　ARM的TrustZone技术支持把多核系统划分成关键系统资源运行的安全的环境和其他系统资源运行的非安全环境。因此，TrustZone隔离系统的关键部分只能在安全环境下访问这些部分;其基础是Cortex-A9 MPCore硬件和AMBA AXI3总线标准。在TrustZone支持系统中，每一AXI会话包括一个非安全(NS)比特，用于表示此次会话来自非安全还是安全环境。每次会话利用这一信息，系统中的从机可以选择根据其TrustZone状态进行响应。例如，处于安全模式的一个系统复位控制器只响应来自安全环境的复位申请，忽略非安全环境的响应，否则会产生错误。这一方法可以延伸到系统中的所有从机，在SoC器件中提供一个安全环境子系统。这一安全子系统与非安全环境隔离，可以用于运行可信软件，或者，在我们的安全软件中，不会受到流氓软件的危害，也不会受到来自系统非安全部分AXI会话的影响。安全检查器可以接受这类保护。

　　可以使用Altera的Cyclone V SoC来开发电机控制实例。这些器件在Cortex-A9 MPCore处理器、HPS外设、SDRAM控制器和FPGA上采用了ARM的TrustZone技术，能够在SoC的所有外设中构建安全感知功能。在这个例子中，系统软件的控制部分运行在µC/OS-II RTOS上，用户接口软件运行在Linux上。为能够对此提供支持，Cortex-A9 MPcore处理器被配置为一个内核运行Linux，另一个内核运行µC/OS-II，实现AMP操作。