MachXO3D FPGA单芯片瞬时启动带来汽车网络企业级安全
如今,高度互联的世界让每个人、每台设备都暴露在网络攻击的阴影下。仅2018年,硬件层面的漏洞就导致超过30亿系统面临数据盗窃、非法操控等一系列安全风险。而在汽车领域,智能网联汽车的出现更是将这类问题推向了新高度——一旦网络攻击导致车辆失控,不仅车内人员首当其冲,周边的车辆、行人和财产都可能遭受池鱼之
如今,高度互联的世界让每个人、每台设备都暴露在网络攻击的阴影下。仅2018年,硬件层面的漏洞就导致超过30亿系统面临数据盗窃、非法操控等一系列安全风险。而在汽车领域,智能网联汽车的出现更是将这类问题推向了新高度——一旦网络攻击导致车辆失控,不仅车内人员首当其冲,周边的车辆、行人和财产都可能遭受池鱼之殃。
面对这样的威胁,汽车厂商和设计人员当然不会坐视不管,他们正在全力寻找系统安全的解决方案。其中一个值得关注的方向,就是采用莱迪思半导体的MachXO3D™ FPGA。
老式汽车时代已经过去
汽车市场这些年来的变化堪称翻天覆地,速度之快令人目不暇接。
早在20世纪七八十年代,微处理器单元(MPU)和微控制器单元(MCU)开始进入汽车领域。最初它们只出现在高端车型中,用于复杂的引擎控制。到了90年代中期,几乎每辆汽车都配备了处理器,用来监控传感器、控制引擎,并协调各个车辆系统之间的交互。
而到了2020年,普通汽车大约拥有50个计算单元,高端车型更是超过100个。如今的汽车不仅标配GPS、蓝牙、Wi-Fi、移动数据通信,还集成了车道偏离预警、碰撞预警等高级安全系统。许多应用依赖传感器融合,支持雷达、激光雷达和机器视觉,甚至融入了人工智能与机器学习。一键泊车之类的功能早已不新鲜。
电动车更是热门话题。全球主要汽车厂商都在大力投入电动汽车,与此同时,氢燃料汽车也备受关注——目前市场上至少有三款此类车型,还有多家公司正在研发新的版本。
感觉不够安全?
除了拥有50到100多个计算单元,现代汽车与外界的连接能力也远超以往。这里的“连接”是指车辆能与外部系统进行双向通信,从而与内外部设备共享网络和数据。
通用汽车是最早将互联特性推向市场的厂商,1996年推出OnStar系统,2001年增加远程诊断,2003年将服务扩展到汽车健康报告、逐向导航和网络访问,2007年推出Telematics,到2017年车队运营商已经见证了预测性智能功能的首次部署。
在软件语境中,“攻击面”指的是未经授权的用户可能输入数据或提取数据的所有切入点的总和。问题在于,拥有50到100多个计算单元且高度联网的汽车,为黑客和恶意攻击者提供了巨大的攻击面。
根据美国国家标准与技术研究院(NIST)的定义,安全解决方案的核心是建立可信根:现代计算设备由多层抽象的硬件、固件和软件组件构成。当前许多安全机制植根于软件,而软件与所有底层组件必须可靠才能保障安全。由于安全机制依赖这些组件,任何一个组件的漏洞都可能损害整个机制的可靠性。将安全机制建立在可信根上,可以更大程度地保证安全。可信根是高度可靠的硬件、固件和软件组件,负责执行特定的关键安全功能。由于可信根本身必须被信任,因此需要在设计时确保其安全。许多可信根通过硬件实现,这样恶意软件就无法篡改其功能。可信根为建立安全和信任提供了坚实基础。
缺乏保护的系统可能导致数据和设计被盗、产品被克隆或过度生产。更糟糕的是,安全性能不足的系统很容易被篡改和劫持。
市场上FPGA厂商数量有限,且大多数主要专注于提供超多资源、高性能的器件,用于大型通信基础设施、服务器农场和数据中心。相比之下,莱迪思半导体是唯一一家专注于中小型FPGA的厂商,这类器件非常适合许多汽车应用。此外,莱迪思还提供市场上仅有的、小于10K查找表且拥有NIST认证的不可更改安全引擎的FPGA。
MachXO3 FPGA系列FPGA介绍
莱迪思拥有多种FPGA技术,其中MachXO系列非常适合汽车应用。
初代MachXO于2005年上市,2010年推出MachXO2/ZE™系列,随后2013年和2019年又分别推出了MachXO3L/LF™和MachXO3D™系列。每一代新产品既继承了前代为满足客户需求而打造的特性,又不断拓展资源和功能。
与前几代产品类似,MachXO3™器件具备低功耗、大量LUT资源以及大量输入/输出(I/O)。此外,还支持瞬时启动和热插拔,拥有后台可编程内部闪存配置存储器,支持现场逻辑更新。这些特性使MachXO3成为粘合逻辑、总线桥接、总线接口、马达控制、上电控制以及其他各类控制逻辑应用的理想选择。由于拥有数百个I/O,MachXO3在需要通用I/O扩展、接口桥接和上电管理等场景中同样表现突出。

图1. MachXO3 FPGA占据平台控制主导地位,是系统最先上电,最后断电的器件。
MachXO3LF系列最多提供9400个LUT和384个I/O,可满足多种设计场景。该系列可选3.3/2.5 V或低功耗1.2 V内核,提供最多6个I/O bank,支持热插拔以及各种信号标准和电压,每个引脚均可编程。−40°C至+125°C的结温范围足以应对严苛的汽车环境,AEC-Q100 Grade 2认证确保器件符合现有汽车质量行业标准。
除了基于闪存的配置存储器,MachXO3LF还提供多达448 Kb的用户闪存(UFM)。上电时,配置数据从闪存配置存储器复制到基于SRAM的配置单元中(注意不要与用户SRAM存储器混淆)。该操作以大规模并行方式执行,不到5毫秒即可完成。巨大优势在于:将新配置加载到闪存配置存储器时,器件可以使用其基于SRAM的配置继续运行。新配置加载完毕后,可在程序控制下暂停器件运行、锁定输出、将新配置复制到SRAM配置单元,然后释放器件继续运行。
随着工艺制程的进步,集成电路结构越来越小,辐射问题开始影响所有电子设备。常见的辐射效应是单粒子翻转(SEU),即高能放射性粒子撞击电路中的敏感节点,改变其状态——例如寄存器位或存储单元从0翻转到1或从1到0。SEU可纠正,因此被视为“软错误”。FPGA由于含有配置单元,SEU问题尤其不可忽视。
汽车应用的安全性至关重要。为应对辐射效应以及汽车上的电气噪声环境,MachXO3LF系列支持软错误检测(SED)、软错误校正(SEC)和软错误注入(SEI)。

图2. MachXO3LF的简化框图,展示了软错误检测和校正过程
SED模块是芯片上的硬核,它计算SRAM配置位的循环冗余校验(CRC),将计算结果与当前配置相关的现有CRC比较,出现不匹配时标记错误。在可编程逻辑中实现的SEC软核会响应标记,触发后台重新配置核,调用存储在配置闪存中的初始配置来更新SRAM配置单元(重新配置不会中断任何未受影响的进程)。最后,用户可通过JTAG、I2C或SPI使用SEI功能,在不修改CRC的情况下直接将错误注入目标SRAM配置单元,模拟软错误事件。
MachXO3D FPGA系列简介
汽车行业目前正借鉴服务器行业的安全策略,包括供应链安全、安全启动(确保固件启动的代码受信任)和平台固件保护恢复(PFR)。
如前所述,MachXO3LF汽车FPGA作为业界领先的可编程逻辑器件,能够灵活部署可靠的汽车应用。而MachXO3D汽车器件不仅大幅提升了闪存容量(最高2693 Kb UFM),还新增了硬件安全特性,为汽车系统带来符合NIST标准的安全性能。实际上,MachXO3D是10K LUT以下唯一一款拥有NIST认证的不可更改安全引擎的器件。
MachXO3D作为硬件可信根,是系统最先上电、最后断电的器件。它的不可更改安全引擎能实现ECDSA、ECIES、AES、SHA、HMAC、TRNG、唯一安全ID和公钥/私钥生成等预验证的加密功能。不可更改的安全引擎与莱迪思最新发布的固件安全解决方案集合——Lattice Sentry™,能够在产品整个生命周期内保障安全,包括器件制造和运输、平台制造、安装、运行直至报废。它还提供数据安全、设备安全、数据验证、设计安全和品牌保护,全面防止各类威胁。

图3. MachXO3D安全控制FPGA是系统最先上电、最后断电的可信根可编程逻辑器件
根据NIST SP 800 193标准,平台固件保护恢复(PFR)包括保护、检测和恢复三部分。保护是指保护平台固件和关键数据不受损坏,确保固件更新的可靠性和完整性。检测包括在系统首次上电时加密检测受损的平台固件和关键数据,以及跟踪系统更新。恢复则是指执行可信的恢复进程,将受损平台固件和关键数据恢复到之前的状态。
MachXO3D器件提供安全双引导等功能,完全满足PFR要求。它的可编程逻辑、不可更改的安全引擎和安全的双引导配置模块,在设计实施过程中提供了足够的灵活性,且能在部署系统后实现安全更新。除了本身作为硬件可信根,片上逻辑的使用还极大地减少了网络攻击的攻击面。

图4. MachXO3D的双引导功能完全满足NIST平台固件保护恢复标准的要求
MachXO3D采用自我检测、自我恢复和自我保护功能,实现安全的实时系统更新,进一步满足NIST PFR要求。自我检测时,安全引擎会在启动前使用安全存储在芯片上的公钥对现有的片上配置镜像进行身份验证。自我保护是指如果新下载的镜像身份验证失败,安全引擎会自动还原到现有已经过验证的“黄金镜像”。自我保护时,除了防止器件使用受损镜像进行自我配置,可编程逻辑还控制来自编程端口的访问,该锁定策略确保每个闪存存储具有单独的访问权限,并且当新镜像正在加载到配置闪存的过程中,安全引擎会阻断所有来自配置端口的攻击。
典型应用案例
以下展示MachXO3和MachXO3D在汽车中的三种常见应用:电池管理、可信根和基于硬件的安全启动。
电池管理:如今包括电动车在内的多数系统都使用多节电池。电池组中的每节电池都需要充电到合适电量才能确保寿命,过充或充电不足都会缩短电池寿命。电池管理系统执行各种任务,包括防止电池在不安全环境下运行、监视电池状态、计算辅助数据并上报。基于MachXO3的电池管理系统(BMS)是一个控制器,监控充电和放电过程,实现智能的电池单元平衡,保证每个电池单元充电均衡。此外,BMS还提供实时电池信息,例如充电状态(SOC)和健康状态(SOH),从而协助车辆的应用处理器(AP)向驾驶员提供最新信息。

图5. 基于MachXO3的电池管理系统
使用MachXO3D FPGA实现BMS能为系统提供额外的安全性能,防止对智能电池的入侵导致电池突破安全极限,对电池或车辆造成永久性破坏或严重故障。
信任链/可信根:硬件可信根是保护整个汽车系统(包括所有引擎控制单元)的信任链中的首个环节。从组件供应商开始,汽车系统供应链还包括Tier 2系统开发人员、Tier 1系统集成商、OEM汽车制造商、分销和运输、经销商以及最终客户。整个供应链中存在许多攻击点,有可能在这些环节加载损坏的固件。Lattice SupplyGuard™供应链安全服务为客户提供工厂锁定的IC,这些IC只能使用特定客户开发、签名、加密的配置位流进行编程。

图6. 基于MachXO3D的供应链/可信根
此外,MachXO3D FPGA的双引导功能支持密钥加密以及系统可默认设置的高度安全的黄金镜像。系统上电时,瞬时启动的MachXO3D、黄金镜像和莱迪思SupplyGuard共同提供了端到端的供应链保护。
基于硬件的安全启动:MachXO3D FPGA是汽车系统中首个上电、最后断电的器件。系统上电后,MachXO3D会自我检查,确保只运行经过身份验证的固件。它还检查系统中其他器件的相关固件。

图7. 基于MachXO3D的安全启动
MachXO3D FPGA的硬件安全配置模块符合NIST SP 800 193平台固件保护恢复(PFR)标准,在出现恶意攻击时,能够保护、检测自身并恢复到完好状态。此外,可编程架构的大规模并行处理能力让MachXO3D能够同时保护、检测和恢复多个平台固件。
结论
MachXO3 FPGA基于闪存的配置提供了“瞬时启动”功能,使其成为平台上首个上电、最后断电的器件,并在系统控制和电源管理功能市场中占据主导地位。汽车应用的安全性始终是第一位的。为应对辐射效应以及电气噪声环境(如汽车上的电气噪声),MachXO3LF系列支持软错误检测(SED)、软错误校正(SEC)和软错误注入(SEI)。MachXO3D汽车器件不仅大幅提升了闪存容量(最高2693 kb UFM),还新增了硬件安全特性,为汽车系统带来符合NIST标准的安全性能。
MachXO3D FPGA通过硬件可信根功能增强了安全性。OEM和汽车制造商可以借助MachXO3D FPGA为所有系统组件轻松实现可靠、全面、灵活的基于硬件的安全机制。MachXO3D FPGA可以在系统运行时保护、检测并从未授权的固件访问中恢复自身和其他组件。此外,MachXO3D FPGA与SupplyGuard服务共同保护系统在生命周期的各个阶段(从制造到报废)免受恶意活动损害。
下一代MachXO3D FPGA让汽车更安全。除安全领域外,由于FPGA拥有全面的并行处理能力,因此也是实现各种先进驾驶辅助系统(帮助驾驶员实现驾驶和停车功能的电子系统)的理想选择。许多ADAS系统需要实时响应,MCU太慢,而定制的SoC开发昂贵且费时。此外,SoC的硬件翻跟斗算法实际上是“冻结在芯片中”,这在各类标准和协议不断发展的时代显然不合适。理想的解决方案是使用FPGA,它具有极高的灵活性,并且可以重新配置来适应不断变化的标准、协议和功能要求。
MachXO3D FPGA为当今日益复杂和互联的汽车应用提供了功能与安全性的完美结合。
参考资料
1 https://www.technologyreview.com/2018/01/05/146411/at-least-3-billion-computer-chips-ha ve-the- spectre-security-hole/
2 预计2021年一季度实现全面认证
你是一名 AI 行业编辑,请围绕下面这条热点输出一份资讯解读:
热点:MachXO3D FPGA单芯片瞬时启动带来汽车网络企业级安全要求:
1. 先用一句话解释这条热点在讲什么
2. 再总结它为什么重要
3. 说明会影响哪些 AI 产品或内容方向
4. 最后给出 3 个适合资讯站使用的标题
游乐网为非赢利性网站,所展示的游戏/软件/文章内容均来自于互联网或第三方用户上传分享,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系youleyoucom@outlook.com。
相关热点美国、欧盟和英国将于9月5日签署全球首部具有法律约束力的人工智能国际条约。公约要求签署国对AI造成的任何有害和歧视性后果负责,确保产出尊重平等权与隐私权,并赋予受害者法律追索权。但条约缺乏罚款等实质性制裁,执行效果依赖各国国内法律配合。
将YouTube视频语音转化为文字稿,并集成ChatGPT或Claude进行AI分析,支持自定义提问以总结核心观点、提取术语或复述复杂段落。该浏览器插件使视频学习从被动接收变为主动交互,大幅提升信息提取效率。
OpenAI计划推出“草莓”和“猎户座”大模型,月费高达2000美元。高昂定价源于公司累计投入超100亿美元,同时新产品推理能力大幅升级,具备AIAgent功能。现有企业用户超100万,月活达2亿,用户基础为高价提供了支撑。
基于AI的音频转录与洞察平台,自动将录音转为文字并提取结构化见解,可用于会议、采访等场景。核心功能包括准确转录和关键信息挖掘,帮助用户从对话中提炼实用知识,节省回听和整理时间。
- 日榜
- 周榜
- 月榜
热点快看
