i.MX51/53的安全組件包括：

　　?Cortex?-A8平臺的TrustZone?架構(gòu)，帶有TrustZone?中斷控制器和看門狗

　　?系統(tǒng)啟動的高保證啟動（HAB）特性

　　?安全控制器（SCC），有16KB的片上安全RAM

　　?對稱/不對稱散列和隨機(jī)加速器（SAHARA）

　　?運行時完整性校驗（RTIC）

　　?安全實時時鐘（SRTC）

　　?IC識別模塊（IIM），帶有片上電熔絲

　　?中央安全單元（CSU）

　　?系統(tǒng)JTAG控制器（SJC）

　　?多主機(jī)多內(nèi)存接口（M4IF）的水印機(jī)制

　　?智能內(nèi)存直接訪問（SDMA）控制器的鎖定模式

　　4.2 虛擬化

　　現(xiàn)代化信息娛樂系統(tǒng)需要滿足反方向要求。一方面，它們需要支持消費電子領(lǐng)域的復(fù)雜的多媒體算法、輸入設(shè)備（例如觸摸控制型輸入設(shè)備）和用戶設(shè)備（如不同的存儲介質(zhì)、文件系統(tǒng)）。另一方面，它們必須能夠?qū)崟r處理來自汽車網(wǎng)絡(luò)的消息，并防止在消費電子產(chǎn)品中好用的應(yīng)用（如應(yīng)用商店）在汽車中運用時不會出現(xiàn)故障。

　　i.MX中的硬件虛擬化特性能夠解決該問題。設(shè)計人員可以建立一個在Linux或Android?等強(qiáng)大的操作系統(tǒng)虛擬實例中運行的信息娛樂系統(tǒng)。另一個實例可以執(zhí)行AUTOSAR?，它能夠滿足汽車領(lǐng)域的硬實時要求。

　　為了保護(hù)這兩個實例并為其中一個實例（如CAN控制器）分配特定的外設(shè)模塊，TrustZone架構(gòu)能夠有所幫助。

　　TrustZone在非安全模式和安全模式中復(fù)制內(nèi)核。根據(jù)內(nèi)核模式，外設(shè)模塊能夠提供不同的視圖、行為或功能集。

　　5 安防和安全

　　在一些情況下，安防要求和安全要求相互矛盾。安防通常需要限制訪問微控制器的功能和數(shù)據(jù)，而在現(xiàn)場返修情況下的功能安全（即發(fā)生故障的ECU被從現(xiàn)場退回給制造商）則要求完全訪問微控制器或ECU的處理器，以便分析現(xiàn)場返修的根本原因。即將發(fā)布的功能安全標(biāo)準(zhǔn)ISO26262要求分析現(xiàn)場返修，以便檢測ECU的系統(tǒng)故障，然后啟動召回。

　　在安全生命周期中，安防和安全要求都能夠滿足。在該生命周期中，ECU通過車間、生產(chǎn)、現(xiàn)場和返修幾個狀態(tài)。通過對微控制器/處理器進(jìn)行授權(quán)（如提供一個保密密鑰）改變狀態(tài)。每個狀態(tài)可用的功能和數(shù)據(jù)都是有限的，例如微控制器/處理器的調(diào)試端口在生產(chǎn)狀態(tài)被啟用，在現(xiàn)場狀態(tài)則被禁用。

　　如第3.1節(jié)所述，如果調(diào)試器被附著到微控制器，那么Qorriva MPC564xC/B系列的CSE模塊會禁用加密密鑰。禁用哪個加密密鑰取決于每個密鑰的DU（調(diào)試器用途）標(biāo)識。如果設(shè)置了一個密鑰的DU標(biāo)識，那么在附著了調(diào)試器后該密鑰會被禁用，因此，只要附著了該調(diào)試器，則無法使用該密鑰加密或解密數(shù)據(jù)或驗證閃存（參見第3.2.1節(jié)“安全啟動和信任鏈”）。更改DU標(biāo)識需要用一個保密密鑰對微控制器進(jìn)行授權(quán)。在安全生命周期中，當(dāng)微控制器進(jìn)入現(xiàn)場狀態(tài)后OEM便會設(shè)置DU標(biāo)識。如果發(fā)生了現(xiàn)場返修，OEM可以重新設(shè)置DU標(biāo)識，啟用微控制器調(diào)試，以便分析現(xiàn)場返修的根本原因。

　　對于調(diào)試，i.MX處理器提供以下安全級別：

　　?最高級別的安全性：完全禁用調(diào)試端口。

　　?較高級別的安全性：在調(diào)試器和i.MX處理器之間成功地進(jìn)行了基于密碼的挑戰(zhàn)-響應(yīng)認(rèn)證后，調(diào)試端口被啟用。

　　?無安全性：完全啟用調(diào)試端口。

　　使用i.MX處理器中的一次性可編程熔絲配置安全級別：熔絲燃燒是一個不可逆的過程，也就是說，一旦熔絲燃燒了便不可能使熔絲返回到其原始狀態(tài)。安全級別熔絲的燃燒只能提高安全級別，也就是說，只能從“無安全性”、“較高級別的安全性”轉(zhuǎn)換為“最高級別的安全性”，而無法按相反的順序進(jìn)行。

　　在安全生命周期中，當(dāng)i.MX處理器進(jìn)入現(xiàn)場狀態(tài)后OEM便會燃燒安全級別熔絲，達(dá)到“較高級別的安全性”。如果發(fā)生現(xiàn)場返修，在成功地進(jìn)行了挑戰(zhàn)-響應(yīng)認(rèn)證后，OEM可以啟用調(diào)試端口。

　　6 總結(jié)與展望

　　安防與安全是汽車電子系統(tǒng)的兩個推動力。本文介紹了現(xiàn)代汽車微控制器和處理器的各種安全特性，這些特性保障汽車及車內(nèi)人員的安全。

　　飛思卡爾Qorivva MPC564xC/B系列是第一批融合了加密模塊的面向汽車市場的微控制器。然而，通過車對車通信主動安全或通過應(yīng)用商店實現(xiàn)汽車個性化等趨勢將進(jìn)一步增加汽車領(lǐng)域的安全需求。