汽车安全性能亟待升级 嵌入式系统把关护航

　　CSE模块的AES块作为从机连接到CSE模块的内部总线。它处理加密/解密，并提供基于密文的消息认证码（CMAC）。CMAC功能用于实现安全启动机制。

　　随机数生成器包括一个伪随机数生成器（PRNG）。PRNG的种子由真随机数发生器（TRNG）生成。

　　CSE控制通过测试接口从外部访问安全闪存，在生产过程中使用该功能，也用于现场返修验证。当Qorriva MPC564xC/B半导体从飞思卡尔工厂出厂时，测试接口是打开的，当加密密钥被编程到器件中后该接口将关闭。

　　质量工程师可以使用SHE规范中描述的CMD_DEBUG函数重新打开测试接口。CMD_DEBUG函数将删除安全存储器中的所有数据，然后才会授权访问测试接口。CMD_DEBUG函数的一个输入参数为MASTER_KEY，这是一个单独的预编程128位值，对于各个器件都不同。只有MASTER_KEY的知识载体才能成功地启动CMD_DEBUG函数。

　　在附着了调试器后，可以单独禁用加密密钥。禁用密钥意味着CSE可用该密钥拒绝任何加密功能。

　　3.2 CSE支持的一些用例

　　CSE有助于实现下列用例或系统：

　　•防盗装置

　　•组件保护

　　•安全闪存编程

　　•数据集保护（例如行驶里程）

　　•防止芯片调节

　　目前还有许多用例，将来会出现更多。以下段落详细描述了两个重要的使用案例。

　　3.2.1 安全启动和信任链

　　当MPC564xC/B重置后，CSE将在公共闪存中自动验证阵列。该阵列的基地址和长度由开发人员指定。同一个地址条目被用作主内核的第一个指令地址。

　　CSE在该阵列外计算CMAC值，并将其与存储在安全内存中的预先计算的值进行比较。根据比较结果，CSE将提供加密服务或不提供。由于系统闪存较大－MPC564xC/B提供高达3MB的闪存－因此安全启动过程可能需要一些时间。由于这个原因，开发人员可以设置一个信任链。在这种情况下，闪存验证步骤被分为几个子步骤。第一个闪存块由CSE验证，如前所述；对以下闪存块的验证必须由主内核通过已经过验证的程序代码触发。

　　3.2.2 组件保护

　　组件保护功能防止从汽车拆除单个ECU，并在其他汽车中重复使用。通常盗取汽车的目的是为了将单个ECU重新销售到零件市场。

　　OEM现在可以用一个安全组件保护系统解决几个问题。首先，汽车制造商可以减少被盗汽车的数量；其次，他们可以防止对信誉和配置产生负面影响；第三，他们可以保护自己的售后业务。

　　基于CSE的组件保护系统似乎能够达到上述目的。最有价值的ECU将包含一个带有CSE模块的微控制器。可以通过设计分配一个或多个主ECU，也可以使用特定算法进行动态分配。主ECU将轮询组件保护系统的所有其他ECU，并要求一个特定答案（例如加密的唯一ID）。在这种情况下，只有带有正确的保密密钥的ECU才能发回一个有效的响应。此外，主ECU可以使用特定汽车内组装的所有ECU数据库交叉校验收到的ID。

　　在使用汽车时可定期进行组件检查。如果主节点在汽车网络中检测到未经授权的ECU，它能够作出反应。
12下一页

本文导航

• 第 1 页：汽车安全性能亟待升级 嵌入式系统把关护航
• 第 2 页：i.MX51/53处理器驱动最新汽车系统

　　4 i.MX51/53系列

　　飞思卡尔基于汽车ARM®的i.MX51/53处理器提供先进的性能，可以驱动最新的汽车系统。这些处理器适用于需要高级用户界面、先进的视频处理功能、2D和3D图像、多个连接选项以及高级系统集成的应用。基于在消费电子市场获得成功的i.MX515和i.MX535，i.MX51/53系列汽车处理器将带来消费电子用户体验，并将器件连接到未来的汽车。图3展示了i.MX515框图示例。

　　图3：i.MX515框图

　　4.1 i.MX汽车器件的主要安全特性

　　安全是对使用i.MX51/53创建的平台的通用要求，尽管对平台和市场的具体需求差别很大。便携式消费电子设备上需要保护的资产的类型和成本与汽车或工业平台上需要保护的资产类型和成本差别很大，这同样适用于威胁这些资产的攻击的种类和资源水平。平台设计人员必须选择合适的应对措施，以满足相关的平台安全需求。

　　对于需要满足各个市场要求的平台设计人员来说，i.MX51/53融合了广泛的安全特性，这些安全特性可以单独使用，也可以协同使用来支撑平台安全架构。i.MX51/53的大多数安全特性提供针对特定类型攻击的防御功能，可根据所需的保护程度配置不同的防御级别。这些特性的目的是协同工作，也可以与适当的软件集成来创建防御层。除了保护功能外，i.MX51/53还包含一个通用加速器，以提高选定行业标准加密算法的性能。