2020年11月03日 | 基于PUF的信任根PUFrt在高安全人工智能中的应用

人工智能将在未来的信息安全中发挥举足轻重的作用。通过将大数据、深度学习和机器学习相结合，人工智能赋予机器生命；它们可以模仿人类的学习，复制工作行为，并为企业带来新的经营方式。然而，人工智能资产非常宝贵，因此容易成为黑客攻击的目标。一旦黑客有机会了解人工智能模型是如何训练和操作的，模型就可以很容易地被操纵。例如，黑客可以破坏训练模型中的数据，从而对整个人工智能系统的供需双方造成重大破坏。因此，本文将从人工智能硬件设备的结构、安全要求、解决方案等方面探讨如何加强人工智能系统的安全性。为此，我们将使用PUFsecurity的硬件根信任模块PUFrt，作为一个例子，帮助读者理解如何结合人工智能应用架构和物理不可复制技术（PUF）可以有益于硬件安全技术。

PUF（Physical Unclonable Function）是一种硬件安全技术，是半导体制造过程中自然发生的不可克隆的物理变化，这是一种“数字指纹”，用作半导体设备（如微处理器）的唯一身份。在密码术中使用PUF（物理不可克隆函数）的基本好处是其“唯一性”和“不可预测性”。

人工智能设备的结构和开发过程

人工智能应用设备的主要结构大致可分为三个部分：人工智能应用算法模型和参数（算法）、存储单元（存储器）和人工智能计算单元（人工智能加速器）。存储单元通常使用闪存来存储AI应用算法模型和参数，而AI运算单元（AI芯片）则用于对AI算法模型进行运算。从产品设计到制造，再到实施市场应用，主要过程包括：

人工智能模型和参数的准备

对用于植入的人工智能模型和参数进行加密和保护，并将其存储在存储单元中

将用于加密的密钥和信任证书写在AI芯片上，当程序启动时，这些证书将作为解密所需的密钥和身份验证信息。

一旦AI应用程序启动，存储在闪存中的加密算法模型和参数将加载到AI芯片上。完成后，利用预植入的密钥和认证信息对算法模型和参数进行解密。然后，AI芯片执行解密后的AI算法模型和参数，启动AI应用功能。

图1:AI设备架构和开发过程

人工智能应用的安全要求

人工智能应用的安全需求有很多方面。一是保护人工智能设计中的重要资产，如大数据、算法等；二是防止人工智能机器在执行深度学习或执行任务时，受到恶意第三方的攻击，这些第三方会秘密破坏机器的学习机制或行为。三是保护人工智能技术中涉及的相关信息，如个人医疗隐私、通讯、人物画像等消费者信息。

在讨论人工智能应用中可能存在的安全漏洞时，重要的是要从系统架构的角度来考虑，并讨论与AI芯片硬件完整性相关的问题。如果执行AI算法计算的芯片（AI加速器）遇到任何完整性问题，例如加载被篡改的固件，则可能导致未经授权的功能或恶意攻击命令被置于AI芯片上。当这种情况发生时，它会中断操作，因为原始设计功能可能会被攻击者劫持和控制。因此，由于篡改，原始机制将无法有效运行，这可能导致一系列安全问题。

为什么人们建议在减轻硬件完整性问题时，将硬件信任根源纳入人工智能芯片的设计中？

在缺乏硬件信任根的情况下，芯片的保护机制将相对容易绕过。因此，它将无法有效地保护加密和解密所需的密钥和信任证书。这会导致密钥泄漏或无法抵抗逆向工程的反汇编转换。这导致恶意第三方有机会获得人工智能推理模型。因此，一家公司的知识产权（AI专有技术）将暴露在外，这将导致被非法复制的风险，并最终导致巨大的商业损失。此外，攻击者还可以篡改推理模型，造成人工智能计算错误和用户损失。例如，如果ADAS（高级驾驶员辅助系统）的主动安全功能在驾驶过程中突然失效，驾驶员很容易误判情况，最终酿成车祸。

图2：人工智能应用程序的安全风险

如何有效提高人工智能应用的安全性和资产保护

在开发人工智能产品时，必须考虑到人工智能应用程序的安全性和对公司资产的保护。除了AI算法模型的性能外，AI芯片本身必须具有内置的硬件信任根，与其他安全措施同时使用，以保护密钥，加强算法的存储，确保芯片设计的独创性。这样，就更容易防止人工智能算法模型的伪造和盗窃，避免商业和知识产权的损失。

可执行的安全部署如下：

1.基于PUF的信任根保护人工智能芯片

PUFrt是为芯片设计的基于PUF的安全根信任解决方案。它使用由物理不可克隆函数（PUF）生成的随机数，它充当芯片指纹和唯一识别码（UID）。另外，从PUF派生的原始密码也可以通过加密的方式存储密钥。此外，PUFrt可以作为一个真数发生器用于算法，以增强安全功能。在人工智能应用方面，将PUFrt嵌入人工智能芯片后，从PUF中提取的芯片物理指纹可以作为安全的信任根。它还可以保护和存储用于AI算法加密的全局密钥。

2.人工智能算法模型和参数数据的再加密

在运行人工智能生产供应链时，使用全局密钥对人工智能模型和参数数据进行加密和保护，然后写入闪存进行存储。由于芯片上密钥存储功能的不安全性以及整个供应链运作的安全性不足，容易导致全局密钥的泄漏，因此安全性问题经常出现。

当AI芯片与外部闪存首次配对时，利用芯片内部PUF生成的本地密钥对闪存中存储的AI算法模型和参数数据进行重新加密。同时，客户最初用来加密人工智能资产的全局密钥也将写入OTP并安全存储。过程如下：

1>在一个安全的环境下，客户端使用全局密钥加密AI资产

2>由全局密钥加密的数据将写入闪存并安装在电路板上

3>同时还安全地将密钥写入全局密钥

4>系统将使用全局密钥对人工智能资产进行解密，并将其临时存储在SRAM中

5>然后使用PUFrt中的PUF（UID）生成本地密钥

6>每个芯片系统中唯一的基于PUF的本地密钥将用于在闪存中重新加密和保护AI资产

图3：带嵌入式PUFrt的AI系统的操作

上述方法的目的是避免外部注入密钥可能导致的安全风险。使用芯片内部生成的本地密钥来保护数据可以降低在注入过程中密钥被泄露的几率。利用每个芯片唯一的PUF“指纹”作为系统的加密密钥，还可以防止闪存中的信息被窃取或伪造。

在人工智能应用蓬勃发展、企业投资开发和保护知识产权（即人工智能芯片设计、人工智能算法模型和参数）的竞争形势下，安全保护不容忽视。如果人工智能芯片或算法的模型和参数被恶意篡改或窃取，将损害人工智能开发者和用户的权利。这可能导致对用户应用程序安全性的怀疑和不信任，给企业带来巨大损失。

本文作者提供了一个比常规软件保护更安全的硬件安全解决方案。物理不可克隆功能（PUF）是一个类似于独特芯片指纹的概念。当每台设备都有一个唯一的密码，外人很难窃取，这就更容易防止这些设备的大规模远程破解。对许多人来说，安装在公共场所的人工智能设备是一个容易的目标。因此，用硬件机制对其进行保护无疑是非常重要的。它不仅可以保证人工智能应用产品在各种环境下安全运行，而且可以保证应用程序正常运行，为用户提供良好的体验，保证对公司知识产权资产的信任和竞争力。

本文作者：Dr.Evans Yang

杨博士是eMemory及其子公司PUFsecurity的副总裁。Yang博士于2000年加入eMemory，作为创始成员之一，并担任设备技术开发部经理。2004年至2009年期间，杨博士在其他半导体公司工作，包括Powerchip semiconductor和PowerFlash。2009年，他回到eMemory，参与各种技术平台的开发，并领导营销和战略部团队。杨博士毕业于国立清华大学电子工程专业，获博士学位。他拥有150多项世界专利，发表了50多篇技术论文。他也是eMemory专有NVM技术组合的发明者之一，也是《逻辑非易失性存储器》一书的主要撰稿人之一。目前，杨博士的主要工作是半导体器件技术开发、非易失性存储器的研发和硬件安全技术的设计。