作者：Lawrence Liu   PUFsecurity高级研发工程师

来源：Embedded Computing Design  

近年来，边缘人工智能计算一直是一个趋势性的话题。2020年的市场价值已经达到90亿美元，预计到2030年将超过600亿美元（Allied Market Research）。最初由计算机视觉系统（特别是用于自动驾驶汽车）推动，其他边缘应用的扩散，如高级噪音消除和空间音频，进一步加速了边缘人工智能计算市场的增长。

无论计算是在云端还是在边缘进行，数据保护对于确保人工智能系统运行的安全仍然至关重要。例如，完整性检查和安全启动/更新，无疑是关键任务。此外，对于直接关系到人们生活的应用（如智能汽车、医疗保健、智能锁和工业物联网），成功的攻击不仅会影响该应用的数据集的安全，还可能会危及生命。想象一下智能摄像监控系统的情况，如果黑客设法改变人工智能模型或输入的流媒体图像，入侵和危险将无法被正确推断和检测。

与开箱即用的标准CPU不同，神经网络在投入使用前需要被教导如何做出正确的推断。因此，人工智能系统创建者在规划系统安全时必须包括训练阶段。这意味着，除了硬件本身（包括神经网络加速器），其他相关的攻击面也需要考虑。这些包括：

• 训练数据的篡改/盗窃

• 篡改/窃取训练过的人工智能模型

• 篡改/窃取输入数据

• 盗窃推理结果

• 篡改用于再训练的结果

仔细执行安全协议，使用隐私（防盗窃和防篡改）和完整性（篡改检测）的加密功能，可以减轻对此类攻击的影响。下面是一个边缘人工智能系统的训练到实施阶段的图示，以及上述来自篡改和盗窃的威胁。

图1：AIoT系统的运行威胁

由于整个训练过程需要花费大量的时间和精力来收集训练数据（以及训练时间本身），盗窃或篡改训练过的模型意味着公司资源/专有知识的重大损失。因此，考虑到安全对边缘人工智能SoC的重要性，再加上坚定的黑客可利用的攻击面范围很广，今天的设计者必须从设计周期的一开始就把安全作为首要考虑因素，这一点并不奇怪。正如人工智能系统在不断发展，这类系统的安全性也需要同步提高，以便能够随着人工智能系统的复杂性不断增加而继续抵御更复杂的攻击。

提高安全性的方法

在讨论如何保护边缘AI SoC之前，我们必须首先了解攻击是如何发生的。有许多文章讨论了基于软件的攻击和反措施。同时，直接对硬件的攻击也变得很流行。关键是存储在SoC中的秘密密钥，因为许多设计仍然将密钥存储在不安全的e-fuse一次性可编程（OTP）存储器中。e-fuse OTP中的数据可以用TEM或SEM提取。攻击者可以在没有适当的防篡改设计的设计上采用侧面通道攻击（SCA）来获得密钥。或者可以用篡改的启动代码破坏启动过程，并接管系统。

提高系统安全性的常见第一步是将基于熔断器的OTP存储器替换为反熔断器OTP。下一个中间步骤是安装信任根，通常包括受保护的存储、熵源（利用PUF和/或TRNG）和唯一标识符（作为安全启动流程的基础）。最后一步是集成一个全功能的密码协处理器或安全元件，在其自身的受保护飞地或可信执行环境中运行。像这样的安全元件能够在其自身的可信保护区域内执行所有安全/加密功能。

将额外的安全模块集成到一个系统中，对设计者来说是一个永远存在的挑战。在更新现有产品或开发全新的产品线时，设计架构师倾向于选择更容易和更完整的解决方案来进行整合。

由于这种安全模块/IP的大小和功能集将根据所选择的安全程度而变化，集成多个IP在第一代设计中基本上是不可避免的。这往往导致从自上而下的角度来考虑安全问题，从加密算法开始，最后以密钥存储作为拼图的最后一块。然而，这种方法提出了两个主要问题：

1. 创建和维护一个覆盖多个IP的安全边界。

2. 当IP来自不同的供应商时，额外的整合工作。

在向任何系统添加安全性时，集成的简易性仍然很重要，不仅仅是对边缘人工智能SoC。然而，由于边缘设备部署在现场（而且在许多情况下依赖电池），功耗是边缘人工智能SoC的一个独特而重要的考虑因素。不幸的是，这与推动需要在边缘运行的更复杂的功能（与计算有关）是直接对立的。因此，利用更先进的工艺技术已经成为那些寻求更大性能和更低能耗的人的一个有吸引力的选择。

PUFcc 保护解决方案

目前的市场趋势表明，越来越多的边缘人工智能SoC设计采用了12/16纳米工艺节点，在计算能力、电流消耗和成本之间找到了平衡点。一旦完全集成，PUFsecurity的PUFcc就能提供必要的保护，防止上述威胁，阻止盗窃，检测/控制数据篡改的企图。

图2：用PUFcc阻止/控制/检测威胁

PUFsecurity的PUFcc安全加密处理器IP解决了之前提出的两个主要问题。PUFcc以硬件信任根（HRoT）为基础，包括安全存储和熵源，然后加入NIST-CAVP和OSCCA认证的密码引擎，所有这些都被包裹在一个防篡改的外壳中。PUFcc能够卸载那些本来会给主核心带来负担的安全操作，它的加入导致了系统整体性能的提高和功耗的降低。PUFcc的架构如下所示，强调了为遏制和检测前述数字中详述的威胁而设计的特定块。

图3：包含哈希和密码引擎的PUFcc架构

PUFcc的哈希引擎生成用于完整性检查的摘要，以检测篡改行为，或可作为创建消息认证码（MAC或HMAC）的基础，以执行相同的功能。为了防止篡改和盗窃，支持NIST高级加密标准（AES）的密码引擎对重要的人工智能数据和模型进行加密，使它们无法使用，没有适当的密钥，黑客无法穿透。

PUFcc不仅通过将CPU的加密计算卸载到硬件加速器上而帮助Edge AI实现安全运行，而且还配备了行业标准的总线接口（APB/AHB/AXI），可以无忧无虑地集成到现有SoC设计中。这使得安全IP的设计时间降到最低，从而使设计者可以尽快开始系统验证。PUFcc已经被多个客户在硅片上证实，它在增加安全性的同时将功耗降到最低，这两个目标不再需要相互排斥。

结语

随着硬件安全加密协处理器的增加，边缘人工智能的力量可以得到释放，并得到更多的保护，免受恶意攻击。通过将系统安全的基础建立在硬件上，与SoC处于同一水平，保护从设备层开始，经过操作系统，最后覆盖软件层的系统应用。这就是数以百亿计的边缘人工智能、物联网和其他连接设备如何准备安全地出现在我们的生活中，从一开始就得到安全和良好的保护。