使用ARM的TrustZone技術(shù)，針對安全和非安全應(yīng)用劃分系統(tǒng)

　　摘要：隨著ARM Cortex-A9多處理器和FPGA SoC的推出，可把現(xiàn)有的分立微控制器和數(shù)字邏輯功能集成到一個多核器件中。這減小了功耗和體積，而主要難點之一是在一個器件中同時實現(xiàn)安全關(guān)鍵和非安全關(guān)鍵軟件單元。

　　隨著ARM Cortex-A9多處理器和FPGA SoC的推出，很多開發(fā)人員看到了合并現(xiàn)有系統(tǒng)的機會，這通過將分立微控制器(MCU)和數(shù)字邏輯集成到一個多核器件中來實現(xiàn)。最大的好處是減小了功耗和體積，而一個主要難點是在一個器件中同時實現(xiàn)安全關(guān)鍵和非安全關(guān)鍵軟件單元。圖1顯示了使用三個分立器件實現(xiàn)的一個典型電機控制系統(tǒng)。系統(tǒng)有一個非安全網(wǎng)絡(luò)/用戶接口處理器，一個電機控制監(jiān)控微控制器和一片用于實現(xiàn)硬核實時電機控制器的FPGA。圖1中的陰影部分含有設(shè)計的安全關(guān)鍵單元，需要通過外部權(quán)威機構(gòu)進行安全認證。

　　把一個電機控制系統(tǒng)合并到SoC中，支持使用一個器件來實現(xiàn)信號處理、監(jiān)控和通信等應(yīng)用。Altera的28 nm Cyclone V SoC便是適用于這方面應(yīng)用的一個器件實例。它具有低功耗FPGA架構(gòu)和硬核處理器系統(tǒng)(HPS)，含有ARM Cortex-A9雙處理器內(nèi)核和外設(shè)。HPS包括對ARM TrustZone技術(shù)的支持;這也可以延伸到FPGA架構(gòu)中。

　　ARM的TrustZone技術(shù)支持把多核系統(tǒng)劃分成關(guān)鍵系統(tǒng)資源運行的安全的環(huán)境和其他系統(tǒng)資源運行的非安全環(huán)境。因此，TrustZone隔離系統(tǒng)的關(guān)鍵部分只能在安全環(huán)境下訪問這些部分;其基礎(chǔ)是Cortex-A9 MPCore硬件和AMBA AXI3總線標準。在TrustZone支持系統(tǒng)中，每一AXI會話包括一個非安全(NS)比特，用于表示此次會話來自非安全還是安全環(huán)境。每次會話利用這一信息，系統(tǒng)中的從機可以選擇根據(jù)其TrustZone狀態(tài)進行響應(yīng)。例如，處于安全模式的一個系統(tǒng)復(fù)位控制器只響應(yīng)來自安全環(huán)境的復(fù)位申請，忽略非安全環(huán)境的響應(yīng)，否則會產(chǎn)生錯誤。這一方法可以延伸到系統(tǒng)中的所有從機，在SoC器件中提供一個安全環(huán)境子系統(tǒng)。這一安全子系統(tǒng)與非安全環(huán)境隔離，可以用于運行可信軟件，或者，在我們的安全軟件中，不會受到流氓軟件的危害，也不會受到來自系統(tǒng)非安全部分AXI會話的影響。安全檢查器可以接受這類保護。

　　可以使用Altera的Cyclone V SoC來開發(fā)電機控制實例。這些器件在Cortex-A9 MPCore處理器、HPS外設(shè)、SDRAM控制器和FPGA上采用了ARM的TrustZone技術(shù)，能夠在SoC的所有外設(shè)中構(gòu)建安全感知功能。在這個例子中，系統(tǒng)軟件的控制部分運行在µC/OS-II RTOS上，用戶接口軟件運行在Linux上。為能夠?qū)Υ颂峁┲С?，Cortex-A9 MPcore處理器被配置為一個內(nèi)核運行Linux，另一個內(nèi)核運行µC/OS-II，實現(xiàn)AMP操作。