实施AI安全保护的位置及其原因

围绕着人工神经网络（ANN或简称“神经网络”）构建AI应用涉及到两个基本阶段 — 训练和推理（见图1）。神经网络的训练阶段是指网络“学习”如何执行任务的阶段，例如识别面部特征或街道标志。该阶段所生成的、用于神经网络配置的数据集（表示神经元之间相互作用的权重）被称为“模型”。在推理阶段，模型中所体现的算法将被部署到最终应用中。

神经网络训练时使用的算法经常涉及到需要保护隐私的数据，例如收集和分析面部与指纹的方式。算法是所有AI技术体现价值的重要所在。许多情况下，来自公共监控、人脸识别和指纹生物识别、以及财务和医疗应用的大量训练数据集都是隐私的，常包含个人可识别信息。攻击者，无论是有组织的犯罪集团还是商业竞争对手，很可能出于经济原因或其他利益原因来利用这些信息。此外，AI系统还面临着被注入恶意发送的伪造数据、以破坏神经网络功能的风险（例如，因面部识别图像的分类错误而导致攻击者逃脱检测）。那些能够保护训练算法和用户数据的企业，将能成功避免负面报道和财务风险，从而赢得市场竞争。因此，确保仅接收可信来源的数据并在使用时给予保护是非常重要的。

以神经网络权重和训练过程表示的模型，本身就是非常宝贵且极具价值的知识产权，必须进行保护。投资创建这些模型的企业希望保护该等模型免于泄露和滥用。而与神经网络处理功能相关的程序代码的机密性则被认为不那么关键。但是，访问它们可以帮助对产品实施逆向工程。更重要的是，篡改此代码可能导致安全边界内的所有明文信息统统被披露。

除了出于商业原因保护数据外，2018年5月25日在欧盟生效的“通用数据保护条例”(GDPR)也是企业保护个人数据隐私的强大推动力。这个法律框架为收集和处理个人信息制定了指导方针，规定了数据管理保护和个人权限的原则，违反规定将面临巨额罚款。

随着数据和模型在网络边缘和云之间移动，通信需确保安全可靠，尤其是要确保数据及/或模型得到保护，并且仅从授权来源将其传送和下载到有权接收它的设备。

面向AI的安全解决方案

安全保护需从概念生成阶段即融入到产品之中，并贯穿产品的整个生命周期。随着全新AI应用和用例的不断涌现，运行这些应用的设备需要适应不断变化的威胁形势。为了满足高级保护需求，安全机制必须是多方面的、“嵌入式的”，并且必须涵盖整个系统，从包含神经网络处理片上系统（SoC）的边缘设备，直到运行在边缘设备之上、负责将其数据传输到云端的应用。

首先，系统设计人员在向AI产品中增加安全特性时必须要考虑一些在绝大多数AI产品中（包括AI）属于基础功能的安全促成因素，以便为产品提供全程保护：离线时、加电时和运行时，包括与其他设备或云通信期间。建立系统的完整性对于创建满足预期的可信系统至关重要。

例如，作为基本安全功能之一的安全引导程序可用于确定产品的软件或固件是完整的（“具有完整性”）。完整性可确保当产品重启时，可按制造商的预期采取行动 — 而不是遵从黑客篡改的流程。安全引导系统使用固件上的加密签名来确定其真实性。虽然安全引导系统主要使用固件，但也可利用加密加速器等硬件功能甚至基于硬件的安全引导引擎来实现更高的安全性和更快的启动速度。通过使用具有可追溯到固件提供商的信任链的公钥签名算法，安全引导方案的灵活性将得到最大限度地提升。当密钥被泄露时，公钥签名算法允许您通过撤销和重新发布签名密钥来取代代码签名授权。确保安全性的基本前提是根公钥受到安全引导系统的保护、不得更改。保护硬件中的公钥将能够确保可信身份根是可以建立的并且是不可伪造的。

如果密钥不通过密钥管理系统进行保护，那么，最佳加密算法可能会遭到破坏。如想实现高级保护，密钥应驻留在硬件可信根中。硬件可信根中的权限和策略将强制应用层客户端只能通过良好定义的应用编程接口（API）来间接管理密钥。要想实现持续密钥保护，您需确保对导入的密钥进行身份验证并封装任何导出的密钥。例如，PKCS#11接口便是用于嵌入式硬件安全模块（HSM）的常用密钥管理API，可用于管理密钥的策略、许可及使用。

第三个基本功能与安全更新有关。无论是在云端还是在边缘，AI应用都将变得越来越复杂，数据和模型都将需要实时持续更新。安全的新模型分发过程需要通过端到端的安全机制提供保护。因此，您必须能以可信的方式更新产品，以修复错误、关闭漏洞并演进产品功能，这一点至关重要。灵活的安全更新功能甚至可用于允许在售后启用硬件或固件的可选特性。

解决了基本安全问题后，设计人员必须要考虑如何在AI系统中生成数据和系数。许多神经网络的运行均依赖于音频、静止图像或视频流及其他实时数据。这些大型数据集常具有与之相关的重要隐私问题，因此，保护内存（如DRAM存储器）或者本地磁盘或闪存系统上的大数据很关键。要想实现这一目标，您需要以强大的管理解决方案为支撑的高带宽内存加密技术（通常基于AES）。同样，您也可使用加密和身份验证系统、在基于硬件可信根的强大密钥管理系统的支持下来保护模型。

为确保边缘设备和云之间实现安全可靠的通信，设计人员使用了包含相互身份识别与验证技术的协议，例如客户端验证的传输层协议（TLS）。TLS会话握手将执行身份识别与验证，如果成功通过验证，它将生成双方认可的共享会话密钥，以允许系统之间开展经过身份验证的安全数据通信。硬件可信根可确保用于身份识别与验证的凭证之安全性，以及数据本身的机密性和真实性。许多情况下，系统与云端的通信将需要高带宽。随着AI处理过渡到网络边缘，高级安全保护也许扩展至此，包括额外身份验证，以防面向神经网络的输入被篡改，并确保AI训练模型不被篡改。

神经网络处理器SoC示例

构建AI系统需要高性能，低功耗，面积优化的处理器、接口和安全模块。图2显示了AI应用中使用的安全神经网络处理器SoC的高级架构视图。，神经网络处理器SoC可以使用经过验证的DesignWare® IP实现从而使其更加安全。

基于CNN引擎的嵌入式视觉处理器

Synopsys EV6x嵌入式视觉处理器结合了标量和矢量DSP以及卷积神经网络（CNN）处理单元，可实现准确快速的视觉处理。这些处理器是完全可编程及可配置的，兼备软件解决方案的灵活性和专用硬件的高性能和低功耗优势。CNN引擎支持常见的神经网络配置，包括AlexNet、VGG16、GoogLeNet、YOLO、SqueezeNet及ResNet等常见网络。

基于可信根的硬件安全模块

Synopsys具有信任根的高度安全的tRoot硬件安全模块旨在轻松集成到SoC中并提供可扩展的平台，以便在可信执行环境（TEE）中与一个或多个主机处理器配套提供各种安全功能，包括安全的身份识别与验证、安全启动、安全更新、安全调试和密钥管理等。tRoot使用独特的代码保护机制来保护AI设备，提供运行时篡改检测和响应以及代码隐私保护，无需额外部署专用安全内存。这一独特的功能允许tRoot的固件驻留在任何非安全的存储空间中，从而降低系统的复杂性和成本。通常情况下，tRoot程序会驻留在共享系统的DDR存储器中。安全指令控制器的机密性和完整性设置使得该存储器专用于tRoot，并且不会被芯片中或外部的其他子系统所修改。

安全协议加速器

Synopsys DesignWare安全协议加速器（SPAccs）是高度集成的嵌入式安全解决方案，具有高效的加密和身份验证功能，可提供更高的性能、易用性以及服务质量、虚拟化和安全命令处理等高级安全功能。SPAccs支持IPsec、TLS/DTLS、WiFi、MACsec及LTE/LTE-Advanced等主要的安全协议，能为设计人员提供前所未有的可配置性，以满足当今的多功能和高性能SoC设计中常见的复杂安全需求。