汽车安全性能亟待升级 嵌入式系统把关护航

　　i.MX51/53的安全组件包括：

　　•Cortex™-A8平台的TrustZone®架构，带有TrustZone®中断控制器和看门狗

　　•系统启动的高保证启动（HAB）特性

　　•安全控制器（SCC），有16KB的片上安全RAM

　　•对称/不对称散列和随机加速器（SAHARA）

　　•运行时完整性校验（RTIC）

　　•安全实时时钟（SRTC）

　　•IC识别模块（IIM），带有片上电熔丝

　　•中央安全单元（CSU）

　　•系统JTAG控制器（SJC）

　　•多主机多内存接口（M4IF）的水印机制

　　•智能内存直接访问（SDMA）控制器的锁定模式

　　4.2 虚拟化

　　现代化信息娱乐系统需要满足反方向要求。一方面，它们需要支持消费电子领域的复杂的多媒体算法、输入设备（例如触摸控制型输入设备）和用户设备（如不同的存储介质、文件系统）。另一方面，它们必须能够实时处理来自汽车网络的消息，并防止在消费电子产品中好用的应用（如应用商店）在汽车中运用时不会出现故障。

　　i.MX中的硬件虚拟化特性能够解决该问题。设计人员可以建立一个在Linux或Android™等强大的操作系统虚拟实例中运行的信息娱乐系统。另一个实例可以执行AUTOSAR™，它能够满足汽车领域的硬实时要求。

　　为了保护这两个实例并为其中一个实例（如CAN控制器）分配特定的外设模块，TrustZone架构能够有所帮助。

　　TrustZone在非安全模式和安全模式中复制内核。根据内核模式，外设模块能够提供不同的视图、行为或功能集。

　　5 安防和安全

　　在一些情况下，安防要求和安全要求相互矛盾。安防通常需要限制访问微控制器的功能和数据，而在现场返修情况下的功能安全（即发生故障的ECU被从现场退回给制造商）则要求完全访问微控制器或ECU的处理器，以便分析现场返修的根本原因。即将发布的功能安全标准ISO26262要求分析现场返修，以便检测ECU的系统故障，然后启动召回。

　　在安全生命周期中，安防和安全要求都能够满足。在该生命周期中，ECU通过车间、生产、现场和返修几个状态。通过对微控制器/处理器进行授权（如提供一个保密密钥）改变状态。每个状态可用的功能和数据都是有限的，例如微控制器/处理器的调试端口在生产状态被启用，在现场状态则被禁用。

　　如第3.1节所述，如果调试器被附着到微控制器，那么Qorriva MPC564xC/B系列的CSE模块会禁用加密密钥。禁用哪个加密密钥取决于每个密钥的DU（调试器用途）标识。如果设置了一个密钥的DU标识，那么在附着了调试器后该密钥会被禁用，因此，只要附着了该调试器，则无法使用该密钥加密或解密数据或验证闪存（参见第3.2.1节“安全启动和信任链”）。更改DU标识需要用一个保密密钥对微控制器进行授权。在安全生命周期中，当微控制器进入现场状态后OEM便会设置DU标识。如果发生了现场返修，OEM可以重新设置DU标识，启用微控制器调试，以便分析现场返修的根本原因。

　　对于调试，i.MX处理器提供以下安全级别：

　　•最高级别的安全性：完全禁用调试端口。

　　•较高级别的安全性：在调试器和i.MX处理器之间成功地进行了基于密码的挑战-响应认证后，调试端口被启用。

　　•无安全性：完全启用调试端口。

　　使用i.MX处理器中的一次性可编程熔丝配置安全级别：熔丝燃烧是一个不可逆的过程，也就是说，一旦熔丝燃烧了便不可能使熔丝返回到其原始状态。安全级别熔丝的燃烧只能提高安全级别，也就是说，只能从“无安全性”、“较高级别的安全性”转换为“最高级别的安全性”，而无法按相反的顺序进行。

　　在安全生命周期中，当i.MX处理器进入现场状态后OEM便会燃烧安全级别熔丝，达到“较高级别的安全性”。如果发生现场返修，在成功地进行了挑战-响应认证后，OEM可以启用调试端口。

　　6 总结与展望

　　安防与安全是汽车电子系统的两个推动力。本文介绍了现代汽车微控制器和处理器的各种安全特性，这些特性保障汽车及车内人员的安全。

　　飞思卡尔Qorivva MPC564xC/B系列是第一批融合了加密模块的面向汽车市场的微控制器。然而，通过车对车通信主动安全或通过应用商店实现汽车个性化等趋势将进一步增加汽车领域的安全需求。