人工智能技术：保护边缘的人工智能

边缘AI计算近年来一直是一个热门话题。到2020年，该市场的价值已经达到90亿美元，预计到2030年将超过600亿美元（联合市场研究）。最初由计算机视觉系统驱动（特别是用于自动驾驶汽车 - 没有双关语），其他边缘应用的扩散，如先进的降噪和空间音频，进一步加速了边缘AI计算市场的增长。

无论计算是在云中还是在边缘进行，数据保护对于确保AI系统操作的安全性仍然至关重要。例如，完整性检查和安全启动/更新无疑是关键任务。此外，对于直接影响人们生活的应用（如智能汽车、医疗保健、智能锁和工业物联网），成功的攻击不仅会影响该应用数据集的安全性，还可能危及生命。想象一下智能摄像头监控系统的情况，如果黑客设法改变AI模型或输入流图像，就无法正确推断和检测入侵和危险。

与开箱即用的标准CPU不同，神经网络需要在投入使用之前学习如何进行正确的推断。因此，AI系统创建者在规划系统安全性时必须包括训练阶段。这意味着除了硬件本身（包括神经网络加速器）之外，还需要考虑其他相关的攻击面。这些包括：

篡改/窃取训练数据

篡改/窃取经过训练的AI模型

篡改/窃取输入数据

推理结果被盗

篡改用于重新训练的结果

使用隐私（防盗和防篡改）和完整性（篡改检测）的加密功能仔细实施安全协议可以减轻此类攻击。边缘AI系统的训练到实施阶段的图表如下图所示，以及上述来自篡改和盗窃的威胁：

图1：对AIoT系统的操作威胁

由于整个训练过程需要花费大量的时间和精力来收集训练数据（以及训练时间本身），因此盗窃或篡改训练的模型意味着公司资源/专有知识的重大损失。因此，考虑到安全性对Edge AI SoC的重要性，以及坚定的黑客可以使用的广泛攻击面，今天的设计人员必须从设计周期开始就将安全性作为首要考虑因素也就不足为奇了。正如人工智能系统在不断发展一样，随着人工智能系统复杂性的不断增长，这些系统的安全性也需要逐步提高，以便能够继续抵御更复杂的攻击。

在讨论如何保护边缘AI SoC之前，我们必须首先了解攻击是如何发生的。有许多文章讨论了基于软件的攻击和对策。与此同时，直接攻击硬件也变得流行起来。大奖是存储在SoC中的密钥，因为许多设计仍然将密钥存储在不安全的电子保险丝一次性可编程（OTP）存储器中。电子保险丝一次性密码器中的数据可以用透射电镜或扫描电镜提取。攻击者可以对设计采用侧信道攻击（SCA），而没有适当的防篡改设计来奖励密钥。或者，可能会使用篡改的启动代码中断启动过程并接管系统。

提高系统安全性的常见第一步是用防熔断器OTP替换基于缺陷的OTP存储器。下一个中间步骤是安装信任根，其中通常包括受保护的存储、熵源（利用 PUF 和/或 TRNG）和唯一标识符（充当安全启动流的基础）。最后一步是集成功能齐全的加密协处理器或在其自己的受保护安全区或受信任的执行环境中运行的安全元件。像这样的安全元件能够在其自己的可信保护区域内执行所有安全/加密功能。

对于设计人员来说，将其他安全模块集成到单个系统中是一项始终存在的挑战。设计架构师倾向于选择更简单，更完整的解决方案来集成，无论是更新现有产品还是开发全新的产品线。

由于此类安全模块/IP的大小和功能集将根据所选的安全程度而有所不同，因此集成多个IP对于第一代设计基本上是不可避免的。这通常会导致从自上而下的角度考虑安全性，从加密算法开始，到密钥存储作为拼图中的最后一部分结束。但是，这种方法提出了两个主要问题：

创建和维护涵盖多个 IP 的安全边界;

当 IP 来自不同供应商时，额外的集成工作。

在为任何系统（而不仅仅是 Edge AI SoC）添加安全性时，易于集成的特性仍然很重要。但是，由于边缘设备部署在现场（并且在许多情况下依赖于电池），因此功耗是边缘AI SoC的独特而重要的考虑因素。不幸的是，这与推动需要在边缘运行的更复杂的函数（与计算相关）直接相反。因此，对于那些寻求更高性能和更低功耗的人来说，利用更先进的工艺技术已成为一个有吸引力的选择。

目前的市场趋势表明，越来越多的Edge AI SoC设计采用了12/16nm工艺节点，在计算能力、电流消耗和成本之间找到了最佳平衡点。一旦完全集成，PUFsecurity的PUFcc就可以针对上述威胁提供必要的保护，阻止盗窃并检测/遏制数据篡改的企图：

图 2：使用 PUFcc 阻止/包含/检测威胁

PUFsecurity的PUFcc安全加密协处理器IP解决了之前提出的两个主要问题。PUFcc基于硬件信任根（HRoT），其中包括安全存储和熵源，然后添加NIST-CAVP和OSCCA认证的加密引擎，所有这些都包装在防篡改外壳中。PUFcc的添加能够卸载那些本来会给主内核带来负担的安全操作，从而提高整体系统性能并降低功耗。PUFcc的架构如下所示，突出显示了旨在包含和检测上图中详述的那些威胁的特定块：

图 3：包含哈希和密码引擎的 PUFcc 体系结构

PUFcc的哈希引擎生成一个摘要，用于完整性检查以检测篡改，或者可以用作创建消息身份验证代码（MAC或HMAC）以执行相同功能的基础。为了防止篡改和盗窃，支持NIST高级加密标准（AES）的密码引擎对重要的AI数据和模型进行加密，使黑客在没有正确密钥的情况下无法使用它们和难以理解。

PUFcc 不仅通过将 CPU 的加密计算卸载到硬件加速器，帮助 Edge AI 实现低功耗要求的安全操作，还配备了行业标准总线接口 （APB/AHB/AXI），以便轻松集成到现有的 SoC 设计中。这允许最短的安全IP设计时间，以便设计人员可以尽快开始系统验证。PUFcc已经得到了多个客户在芯片上的验证，它增加了安全性，同时将功耗保持在最低水平，这两个目标不再需要相互排斥。

通过添加硬件安全加密协处理器，可以释放 Edge AI 的强大功能，并更好地抵御恶意攻击。通过将系统安全的基础基于硬件，与SoC处于同一级别，保护从设备层开始，通过操作系统，最后在软件层覆盖系统应用程序。这就是数百亿个Edge AI、物联网和其他连接设备如何从一开始就安全、安全地、受到良好保护的方式。

审核编辑：郭婷

人工智能边缘价值美元

免责声明：本网信息来自于互联网，目的在于传递更多信息，并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益，请及时联系我们，本站将会在24小时内处理完毕。