背景描述

隨著車聯(lián)網(wǎng)的廣泛普及，對(duì)于車聯(lián)網(wǎng)類型的嵌入式系統(tǒng)劃定安全優(yōu)先順序的需求日益迫切。確保安全的啟動(dòng)過程是保護(hù)任何嵌入式系統(tǒng)的首要步驟，也是在應(yīng)用中預(yù)防惡意軟件壁壘的必要部分。在電動(dòng)化、智能化、網(wǎng)聯(lián)化的趨勢(shì)下，汽車安全存儲(chǔ)越來越重要，安全存儲(chǔ)，顧名思義提供更高信息安全等級(jí)的應(yīng)用存儲(chǔ)數(shù)據(jù)。保護(hù)數(shù)據(jù)不泄露，最安全的方式是安裝數(shù)據(jù)加密系統(tǒng)；保護(hù)數(shù)據(jù)不丟失，最安全的方式是采用分類存儲(chǔ)，網(wǎng)絡(luò)硬盤、移動(dòng)硬盤、光盤刻錄、云存儲(chǔ)等存儲(chǔ)方式。國(guó)家不斷出臺(tái)關(guān)于信息安全的相關(guān)規(guī)定，說明信息安全如今越發(fā)受到國(guó)家重視。在數(shù)據(jù)記錄存儲(chǔ)方面，近期由全國(guó)汽車標(biāo)準(zhǔn)化技術(shù)委員會(huì)智能網(wǎng)聯(lián)汽車分會(huì)，組織起草關(guān)于智能駕駛數(shù)據(jù)記錄的相關(guān)標(biāo)準(zhǔn)規(guī)范要求，該項(xiàng)標(biāo)準(zhǔn)為我國(guó)關(guān)于自動(dòng)駕駛數(shù)據(jù)存儲(chǔ)的強(qiáng)制性國(guó)家標(biāo)準(zhǔn)，將為汽車數(shù)據(jù)安全存儲(chǔ)等多項(xiàng)要求提供規(guī)范。下面以芯馳安全存儲(chǔ)為實(shí)施例說明汽車芯片在安全存儲(chǔ)的實(shí)現(xiàn)概要。

實(shí)現(xiàn)概要

芯馳安全存儲(chǔ)，系統(tǒng)框圖如下：

圖7.7-1 芯馳安全存儲(chǔ)系統(tǒng)框圖從系統(tǒng)框架可以看到，對(duì)上層不同域的應(yīng)用，芯馳安全存儲(chǔ)框架提供了 slimfs 和 Secure storage 兩種接口。兩種接口的基本介紹：

1. SlimFS 是輕量級(jí)的文件系統(tǒng)，存儲(chǔ)在 RPMB 中，可以用于存儲(chǔ)全局屬性信息，防止被篡改。RPMB 是 Replay Protected Memory Block( 重放保護(hù)內(nèi)存塊 ) 的簡(jiǎn)稱，是 eMMC 中的一個(gè)具有安全特性的分區(qū)。此功能使設(shè)備能夠?qū)?shù)據(jù)存儲(chǔ)在經(jīng)過身份驗(yàn)證并防止重放攻擊的小型特定區(qū)域 ( 通常是 4M Bytes) 中。

2. Secure Storage Service 只在大型系統(tǒng)中（如 Linux、Android 等）提供加密存儲(chǔ)服務(wù)，加密后的文件信息，可以根據(jù)安全等級(jí)要求選擇存儲(chǔ)在普通 eMMC 分區(qū)和 RPMB 上。安全存儲(chǔ)服務(wù)提供加密和防篡改存儲(chǔ)，保障應(yīng)用程序的安全。所有修改文件系統(tǒng)狀態(tài)的操作都是事務(wù)性的，文件可以通過名稱 ( 名稱關(guān)聯(lián)到應(yīng)用程序 )，打開創(chuàng)建或者刪除。打開文件支持讀、寫、get-size 和 set-size 操作，目前還不支持稀疏文件、權(quán)限、配額或目錄操作。

安全存儲(chǔ)的物理存儲(chǔ)位置包括 eMMC 普通分區(qū)和 RPMB 分區(qū)。安全存儲(chǔ)的存儲(chǔ)方式包括加密存儲(chǔ)， 加密密鑰及 RPMB 密鑰，只在可信環(huán)境使用。整個(gè)安全存儲(chǔ)方案的重點(diǎn)功能實(shí)現(xiàn)：

1. RPMB 服務(wù)；

2. Secure-Storage Service；

3. SlimFS。

實(shí)現(xiàn)詳細(xì)（安全存儲(chǔ)接口）

1. SlimFS  作為芯馳私有的輕量級(jí)文件系統(tǒng)，主要存儲(chǔ)對(duì)象是數(shù)據(jù)量較小的加密信息，版本信息等等， 主要安全需求是防篡改，通過在 RPMB 存儲(chǔ)，由控制合法寫入實(shí)現(xiàn)安全目標(biāo)。

SlimFS 方便部署在不同的功能域中，以在安全域中的 RTOS 中使用為例，基本流程如下：

1. 首先是 SlimFS 初始化，完成后提供存儲(chǔ)服務(wù)。

2. 應(yīng)用有讀寫文件需求時(shí)，調(diào)用 SlimFS 存儲(chǔ)接口 API，讀寫文件數(shù)據(jù)。

3. SlimFS 存儲(chǔ)接口 API 執(zhí)行讀寫操作，完成 CRC 校驗(yàn)等檢查。

4. SlimFS 存儲(chǔ)接口調(diào)用 EMMC 的驅(qū)動(dòng)接口，發(fā)送 RPMB 的讀寫 CMD。

5. 完成 SlimFS 文件的存儲(chǔ)。

6. Secure-Storage Service 是基于 TEE 環(huán)境實(shí)現(xiàn)的安全存儲(chǔ)服務(wù)，提供較為強(qiáng)大的文件服務(wù)能力， 一般部署在性能強(qiáng)勁的座艙功能域，以 Optee 為例，安全存儲(chǔ)系統(tǒng)架構(gòu)如下圖：

圖7.7-2 芯馳安全存儲(chǔ)系統(tǒng)架構(gòu)使用 Secure-Storage Service 的基本文件操作流程：當(dāng) TA 調(diào)用 GP 可信存儲(chǔ) API 提供的寫入函數(shù)將數(shù)據(jù)寫入持久性對(duì)象時(shí)，將調(diào)用在 TEE 可信存儲(chǔ)服務(wù)中實(shí)現(xiàn)的相應(yīng)系統(tǒng)調(diào)用，而 TEE 可信存儲(chǔ)服務(wù)又會(huì)調(diào)用一系列 TEE 文件操作來存儲(chǔ)數(shù)據(jù)。然后，TEE 文件系統(tǒng)將對(duì)數(shù)據(jù)進(jìn)行加密，并通過一系列 RPC 消息將 REE 文件操作命令和加密數(shù)據(jù)發(fā)送給 TEE 請(qǐng)求方。TEE 請(qǐng)求方將接收消息并將加密數(shù)據(jù)相應(yīng)地存儲(chǔ)到 Linux 文件系統(tǒng)，讀取文件以類似的方式處理。