汽車安全性能亟待升級 嵌入式系統把關護航

　　CSE模塊的AES塊作為從機連接到CSE模塊的內部總線。它處理加密/解密，并提供基于密文的消息認證碼（CMAC）。CMAC功能用于實現安全啟動機制。

　　隨機數生成器包括一個偽隨機數生成器（PRNG）。PRNG的種子由真隨機數發生器（TRNG）生成。

　　CSE控制通過測試接口從外部訪問安全閃存，在生產過程中使用該功能，也用于現場返修驗證。當Qorriva MPC564xC/B半導體從飛思卡爾工廠出廠時，測試接口是打開的，當加密密鑰被編程到器件中后該接口將關閉。

　　質量工程師可以使用SHE規范中描述的CMD_DEBUG函數重新打開測試接口。CMD_DEBUG函數將刪除安全存儲器中的所有數據，然后才會授權訪問測試接口。CMD_DEBUG函數的一個輸入參數為MASTER_KEY，這是一個單獨的預編程128位值，對于各個器件都不同。只有MASTER_KEY的知識載體才能成功地啟動CMD_DEBUG函數。

　　在附著了調試器后，可以單獨禁用加密密鑰。禁用密鑰意味著CSE可用該密鑰拒絕任何加密功能。

　　3.2 CSE支持的一些用例

　　CSE有助于實現下列用例或系統：

　　?防盜裝置

　　?組件保護

　　?安全閃存編程

　　?數據集保護（例如行駛里程）

　　?防止芯片調節

　　目前還有許多用例，將來會出現更多。以下段落詳細描述了兩個重要的使用案例。

　　3.2.1 安全啟動和信任鏈

　　當MPC564xC/B重置后，CSE將在公共閃存中自動驗證陣列。該陣列的基地址和長度由開發人員指定。同一個地址條目被用作主內核的第一個指令地址。

　　CSE在該陣列外計算CMAC值，并將其與存儲在安全內存中的預先計算的值進行比較。根據比較結果，CSE將提供加密服務或不提供。由于系統閃存較大－MPC564xC/B提供高達3MB的閃存－因此安全啟動過程可能需要一些時間。由于這個原因，開發人員可以設置一個信任鏈。在這種情況下，閃存驗證步驟被分為幾個子步驟。第一個閃存塊由CSE驗證，如前所述；對以下閃存塊的驗證必須由主內核通過已經過驗證的程序代碼觸發。

　　3.2.2 組件保護

　　組件保護功能防止從汽車拆除單個ECU，并在其他汽車中重復使用。通常盜取汽車的目的是為了將單個ECU重新銷售到零件市場。

　　OEM現在可以用一個安全組件保護系統解決幾個問題。首先，汽車制造商可以減少被盜汽車的數量；其次，他們可以防止對信譽和配置產生負面影響；第三，他們可以保護自己的售后業務。

　　基于CSE的組件保護系統似乎能夠達到上述目的。最有價值的ECU將包含一個帶有CSE模塊的微控制器。可以通過設計分配一個或多個主ECU，也可以使用特定算法進行動態分配。主ECU將輪詢組件保護系統的所有其他ECU，并要求一個特定答案（例如加密的唯一ID）。在這種情況下，只有帶有正確的保密密鑰的ECU才能發回一個有效的響應。此外，主ECU可以使用特定汽車內組裝的所有ECU數據庫交叉校驗收到的ID。

　　在使用汽車時可定期進行組件檢查。如果主節點在汽車網絡中檢測到未經授權的ECU，它能夠作出反應。
12下一頁

本文導航

• 第 1 頁：汽車安全性能亟待升級 嵌入式系統把關護航
• 第 2 頁：i.MX51/53處理器驅動最新汽車系統

　　4 i.MX51/53系列

　　飛思卡爾基于汽車ARM?的i.MX51/53處理器提供先進的性能，可以驅動最新的汽車系統。這些處理器適用于需要高級用戶界面、先進的視頻處理功能、2D和3D圖像、多個連接選項以及高級系統集成的應用。基于在消費電子市場獲得成功的i.MX515和i.MX535，i.MX51/53系列汽車處理器將帶來消費電子用戶體驗，并將器件連接到未來的汽車。圖3展示了i.MX515框圖示例。

　　圖3：i.MX515框圖

　　4.1 i.MX汽車器件的主要安全特性

　　安全是對使用i.MX51/53創建的平臺的通用要求，盡管對平臺和市場的具體需求差別很大。便攜式消費電子設備上需要保護的資產的類型和成本與汽車或工業平臺上需要保護的資產類型和成本差別很大，這同樣適用于威脅這些資產的攻擊的種類和資源水平。平臺設計人員必須選擇合適的應對措施，以滿足相關的平臺安全需求。

　　對于需要滿足各個市場要求的平臺設計人員來說，i.MX51/53融合了廣泛的安全特性，這些安全特性可以單獨使用，也可以協同使用來支撐平臺安全架構。i.MX51/53的大多數安全特性提供針對特定類型攻擊的防御功能，可根據所需的保護程度配置不同的防御級別。這些特性的目的是協同工作，也可以與適當的軟件集成來創建防御層。除了保護功能外，i.MX51/53還包含一個通用加速器，以提高選定行業標準加密算法的性能。