邊緣AI計算近年來一直是一個熱門話題。到2020年，該市場的價值已經達到90億美元，預計到2030年將超過600億美元（聯合市場研究）。最初由計算機視覺系統驅動（特別是用于自動駕駛汽車 - 沒有雙關語），其他邊緣應用的擴散，如先進的降噪和空間音頻，進一步加速了邊緣AI計算市場的增長。

無論計算是在云中還是在邊緣進行，數據保護對于確保AI系統操作的安全性仍然至關重要。例如，完整性檢查和安全啟動/更新無疑是關鍵任務。此外，對于直接影響人們生活的應用（如智能汽車、醫療保健、智能鎖和工業物聯網），成功的攻擊不僅會影響該應用數據集的安全性，還可能危及生命。想象一下智能攝像頭監控系統的情況，如果黑客設法改變AI模型或輸入流圖像，就無法正確推斷和檢測入侵和危險。

與開箱即用的標準CPU不同，神經網絡需要在投入使用之前學習如何進行正確的推斷。因此，AI系統創建者在規劃系統安全性時必須包括訓練階段。這意味著除了硬件本身（包括神經網絡加速器）之外，還需要考慮其他相關的攻擊面。這些包括：

篡改/竊取訓練數據

篡改/竊取經過訓練的AI模型

篡改/竊取輸入數據

推理結果被盜

篡改用于重新訓練的結果

使用隱私（防盜和防篡改）和完整性（篡改檢測）的加密功能仔細實施安全協議可以減輕此類攻擊。邊緣AI系統的訓練到實施階段的圖表如下圖所示，以及上述來自篡改和盜竊的威脅：

圖1：對AIoT系統的操作威脅

由于整個訓練過程需要花費大量的時間和精力來收集訓練數據（以及訓練時間本身），因此盜竊或篡改訓練的模型意味著公司資源/專有知識的重大損失。因此，考慮到安全性對Edge AI SoC的重要性，以及堅定的黑客可以使用的廣泛攻擊面，今天的設計人員必須從設計周期開始就將安全性作為首要考慮因素也就不足為奇了。正如人工智能系統在不斷發展一樣，隨著人工智能系統復雜性的不斷增長，這些系統的安全性也需要逐步提高，以便能夠繼續抵御更復雜的攻擊。

在討論如何保護邊緣AI SoC之前，我們必須首先了解攻擊是如何發生的。有許多文章討論了基于軟件的攻擊和對策。與此同時，直接攻擊硬件也變得流行起來。大獎是存儲在SoC中的密鑰，因為許多設計仍然將密鑰存儲在不安全的電子保險絲一次性可編程（OTP）存儲器中。電子保險絲一次性密碼器中的數據可以用透射電鏡或掃描電鏡提取。攻擊者可以對設計采用側信道攻擊（SCA），而沒有適當的防篡改設計來獎勵密鑰。或者，可能會使用篡改的啟動代碼中斷啟動過程并接管系統。

在此處詳細了解防篡改設計的重要性。

提高系統安全性的常見第一步是用防熔斷器OTP替換基于缺陷的OTP存儲器。下一個中間步驟是安裝信任根，其中通常包括受保護的存儲、熵源（利用 PUF 和/或 TRNG）和唯一標識符（充當安全啟動流的基礎）。最后一步是集成功能齊全的加密協處理器或在其自己的受保護安全區或受信任的執行環境中運行的安全元件。像這樣的安全元件能夠在其自己的可信保護區域內執行所有安全/加密功能。

對于設計人員來說，將其他安全模塊集成到單個系統中是一項始終存在的挑戰。設計架構師傾向于選擇更簡單，更完整的解決方案來集成，無論是更新現有產品還是開發全新的產品線。

由于此類安全模塊/IP的大小和功能集將根據所選的安全程度而有所不同，因此集成多個IP對于第一代設計基本上是不可避免的。這通常會導致從自上而下的角度考慮安全性，從加密算法開始，到密鑰存儲作為拼圖中的最后一部分結束。但是，這種方法提出了兩個主要問題：

創建和維護涵蓋多個 IP 的安全邊界;

當 IP 來自不同供應商時，額外的集成工作。

在為任何系統（而不僅僅是 Edge AI SoC）添加安全性時，易于集成的特性仍然很重要。但是，由于邊緣設備部署在現場（并且在許多情況下依賴于電池），因此功耗是邊緣AI SoC的獨特而重要的考慮因素。不幸的是，這與推動需要在邊緣運行的更復雜的函數（與計算相關）直接相反。因此，對于那些尋求更高性能和更低功耗的人來說，利用更先進的工藝技術已成為一個有吸引力的選擇。

目前的市場趨勢表明，越來越多的Edge AI SoC設計采用了12/16nm工藝節點，在計算能力、電流消耗和成本之間找到了最佳平衡點。一旦完全集成，PUFsecurity的PUFcc就可以針對上述威脅提供必要的保護，阻止盜竊并檢測/遏制數據篡改的企圖：

圖 2：使用 PUFcc 阻止/包含/檢測威脅

PUFsecurity的PUFcc安全加密協處理器IP解決了之前提出的兩個主要問題。PUFcc基于硬件信任根（HRoT），其中包括安全存儲和熵源，然后添加NIST-CAVP和OSCCA認證的加密引擎，所有這些都包裝在防篡改外殼中。PUFcc的添加能夠卸載那些本來會給主內核帶來負擔的安全操作，從而提高整體系統性能并降低功耗。PUFcc的架構如下所示，突出顯示了旨在包含和檢測上圖中詳述的那些威脅的特定塊：

圖 3：包含哈希和密碼引擎的 PUFcc 體系結構

PUFcc的哈希引擎生成一個摘要，用于完整性檢查以檢測篡改，或者可以用作創建消息身份驗證代碼（MAC或HMAC）以執行相同功能的基礎。為了防止篡改和盜竊，支持NIST高級加密標準（AES）的密碼引擎對重要的AI數據和模型進行加密，使黑客在沒有正確密鑰的情況下無法使用它們和難以理解。

PUFcc 不僅通過將 CPU 的加密計算卸載到硬件加速器，幫助 Edge AI 實現低功耗要求的安全操作，還配備了行業標準總線接口 （APB/AHB/AXI），以便輕松集成到現有的 SoC 設計中。這允許最短的安全IP設計時間，以便設計人員可以盡快開始系統驗證。PUFcc已經得到了多個客戶在芯片上的驗證，它增加了安全性，同時將功耗保持在最低水平，這兩個目標不再需要相互排斥。

通過添加硬件安全加密協處理器，可以釋放 Edge AI 的強大功能，并更好地抵御惡意攻擊。通過將系統安全的基礎基于硬件，與SoC處于同一級別，保護從設備層開始，通過操作系統，最后在軟件層覆蓋系統應用程序。這就是數百億個Edge AI、物聯網和其他連接設備如何從一開始就安全、安全地、受到良好保護的方式。

審核編輯：郭婷