在硅层面建立安全进入AI SoC

文章：Marco Ciaffi和John Min

随着人工智能的快速部署（AI），AI系统对芯片（SOC）设计的焦点一直在智能，更快，更便宜的设备而不是更安全，可信赖，更安全。这是一个涉及国家安全政策的高级人物的一个问题，杰森马尼斯表示，“AI系统没有专注于不断发展的威胁景观，尽管政府和私营部门的资金充足。事实上，不到一个百分之一的资金就是安全。“Matheny在乔治城大学的安全和新兴技术中心创始，以及国家安全智能委员会的专员

在我们查看如何在Silicon级别构建安全性进入AI SoC之前，请考虑AI系统是什么。它包括三个元素：

1. 推理引擎，用于处理数据，做出决策并发送命令;
2. 在机器学习阶段创建的培训数据和一组重量;
3. 执行命令的物理设备。

例如，Nest恒温器可以通过分析和学习用户的行为来设置用户的首选温度。最终，它可以预测用户喜欢在晚上将温度降低10度，然后推理引擎会在每天的同一时间向恒温器发送一个命令来降低温度。

AI系统中的安全威胁

对AI系统的最大威胁分为两类：面向控制和以数据导向的攻击。当攻击者利用常见软件漏洞时，会发生一个导向的攻击攻击，如缓冲区溢出，并接管系统。顾名思义，面向控制的攻击控制AI设备以执行攻击者的命令。是否导出私人数据。或者更不祥的东西，例如强迫自主车辆撞到公路上的护栏。

在面向数据的攻击中，攻击者要么操纵AI系统的训练数据，要么操纵系统用来做决定的真实数据，导致AI设备故障，并基于错误数据做出它不应该做的事情。这可能是破坏垃圾邮件过滤器这样无害的事情，也可能是导致自动驾驶汽车无法识别停车标志这样恶意的事情。

使用RISC-V的固有安全功能

通过将内置CPU架构中内置的安全功能，然后在CPU周围添加硬件和软件层，SoC设计人员可以更接近具有内置安全性的设计。

那么，SoC设计人员如何利用他们的设计中的这种能力？万博投注网址第一步是选择一种CPU架构，该架构预测安全攻击的常见形式 - 例如最新的RISC-V开源指令集架构（ISA），它是以安全的安全为主的。接下来，在进入CPU硬件之前，添加寻找威胁的监督硅知识产权（IP）和软件。

RISC-V架构是在AI的时代和今天的安全意识世界中开发的。利用其开源架构，由于该架构对公众审查和工程开放，因此应该没有任何意外。

此外，RISC-V带有具有不同特权和访问的操作模式。第一种是机器模式（M模式），其中软件可以完全访问机器资源。在启动时建立信任根后，机器进入用户模式以运行用户程序。在用户模式下，使用控制中断和异常分配限制CPU访问。两个额外的RISC-V安全架构功能是（1）物理内存保护（PMP）和（2）物理内存属性（PMA）。这些允许设计人员指定哪些应用程序可以访问内存以及它们的方式。

商业RISC-V IP供应商增加了设计人员可以选择实现的附加功能。例如，Andes Technology增加了堆栈溢出保护机制。要实现这个函数，设计者需要确定应用程序正常操作所需的程序堆栈的最大大小。例如，如果应用程序将要求不超过15个条目。当应用程序在字段中并正在执行时，如果检测到堆栈溢出，CPU就会产生一个异常。异常可能是由正常事件或恶意攻击造成的。在任何一种情况下，异常处理软件都可以确定罪魁祸首。

另一个安全加载项是可编程内存属性，它使设计人员能够将内存区域分配为只读，仅写入或可在不受限制的情况下访问。此外，设计人员可以选择隐藏包含应用程序关键数据的内存区域。如果发生访问此区域的任何尝试，则生成异常以评估未经授权而试图侵入该区域的功能。Andes技术添加的第三个添加是隐藏代码免于拆卸和反向的能力。

risc-v ISA中可用的更安全的功能是可以添加自定义扩展的功能。例如，创建自定义指令以速度执行加密算法。这些自定义说明可以争抢数据和解读数据，任何不熟悉的指令都不熟悉的，在没有工作知识的情况下难以黑客攻击。另一个安全功能是创建私人内存存储，仅由设计者的应用程序软件访问的主系统存储器隔离。

最后，创建私人巴士访问协处理器，加密处理器和私人存储器为RISC-V ISA添加了另一级安全性。此私人接入可以远离系统总线以及寻找封面入侵的任何应用程序的最重要数据。ANDES技术简化了将自定义扩展和安全元素添加到RISC-V ISA中，并使用其ANDES自定义扩展（ACE）工具。Ace大大减少了制作和验证这些添加所需的时间。

除了包含RISC-V ISA中固有的安全功能之外，除了如上所述的ANDES提供的附加功能外，Dover Microsystems的CoreGuard还在RISC-V CPU周围添加了监督系统。这是主机RISC-V处理器的保镖，监控执行的每个指令并阻止漏洞软件漏洞。CoreGuard解决方案包括硬件和软件组件。硬件组件是与主机RISC-V核集成的潜在硅IP。驻留在硬件上使其在网络上不可占用，并以硬件速度运行提供实时执行。

解决方案的软件部分有两部分。第一个是一组微电机。这些定义了安全性，安全和隐私规则。第二个是元数据，有关由微电机保护的软件应用程序的信息。在操作中，主机RISC-V处理器读取需要从内存中处理的指令和数据，并将指令迹线发送到监督硬件。硬件将活动集的微电机组应用了每个微巩固所需的所有相关元数据来做出决定。如果指令不违反剖视，则执行该指令。但是，如果违反了微巩固，则违反违规行为，以作为例外处理。

除了在任何损坏之前停止攻击，安全解决方案还提供了主机RISC-V处理器，其中包含有关尝试执行某些事情的精确恶意指令的信息。

然后，主机可以根据该信息采取各种动作。默认操作是一个分段错误，它将终止应用程序 - 但是，这通常不是生产选项。其他选项包括，询问用户输入，激活地址空间布局随机化（ASLR）购买时间，或者具有单独的“安全”应用程序接管。

例如，如果攻击者尝试在包裹提供的漏洞中利用漏洞导航软件，以使所有包重新输出并传递到一个位置。当检测到微硫侵权时，可以将安全位置从受保护的存储中取出，并且无人机指示将其隐藏在安全位置。

为了说明这个安全解决方案如何阻止面向控制的攻击，让我们考虑一辆自动驾驶汽车。如果攻击者成功地利用缓冲区溢位的弱点在CPU不是硬件检测到的对策和试图注入代码完全控制汽车,CoreGuard micropolicy-Heap-stops所有的缓冲区溢出攻击零日threats-thus,关上了门在攻击者的入口的道路。

当研究人员成功控制吉普车时，这种类型的攻击在2015年被充分记录。研究人员能够控制从音频体积到制动和转向的一切。在核心保护的自治车辆中，它可以通知驾驶员关闭自主模式并控制车辆。

在面向数据的攻击中，攻击者的目标是获得运行AI推理引擎的应用程序的访问权，并修改其传感器数据，导致系统失败。使用人工智能的一个常见应用是预测性维护，它可以预测机器或飞机何时需要维护。它被广泛用于预测任何事情，从飞机的机械问题，到预测食品生产设施中的工业冰箱何时需要维护。

该应用依赖于高质量，准确的数据读数。如果攻击者能够操纵那些数据读数，则AI系统将没有明确或准确的图像，可以进行预测。例如，这可能意味着需要维护的飞机将不会被注意到，可能发生故障。

在签名之前和签名验证过程之后，将AI Systems的数据最脆弱。如果攻击者可以拦截和更改该数据，则可能会严重损害AI系统。CoreGuard可以使用数据完整性微直通功能确保数据真实性。此icropropicy防止了数字签名认证和AI系统之间的数据的修改，仅确保仅受信任和安全数据进入系统。

在图4中，我们演示了如何将安全性构建到设计中，而不是在事后才添加安全性。在这个例子中，CoreGuard解决方案集成了安第斯N25 RISC-V主机处理器。该集成涉及到识别指令执行时需要通知CoreGuard联锁的信号:加载、存储和从数据存储访问管道阶段提取的数据地址。其次，综合了集成SoC设计，进行了硬件仿真。结果成功地运行了一个示例应用程序，测试了CoreGuard所有的联锁路径，从而证明了N25 RISC-V处理器与CoreGuard集成的可行性。

有很多方法可以保护芯片上的系统。我们在本文中所示的是如何通过使用内置RISC-V体系结构和其他扩展内置的固有功能来开始保护CPU。然后，我们展示了如何将额外的层添加到芯片级安全性可以保护SoC中各种设备之间的数据流和交互。安全性并不难，但它确实需要计划。

本文最初发布嵌入式．

马可Ciaffi是多佛微系统公司的联合创始人兼工程副总裁。在多佛之前，Marco在Draper实验室建立并领导团队孵化该技术。他还曾在RSA Security担任高级工程经理，负责SecurID硬件认证产品。他在普拉特研究所获得工程学士学位，在波士顿大学获得计算机科学硕士学位。他还持有麻省理工学院斯隆管理学院的战略和创新高管证书。

约翰·敏是Andes Technology的北美现场应用工程总监。过去30年，约翰一直在硅谷的处理器公司工作，包括惠普、LG、Arc、MIPS和SiFive。他在处理器架构、IP和高性能处理方面拥有丰富的信息。John擅长平衡功率、面积和性能，以产生优化的SoC。他毕业于南加州大学，获得电气工程和生物医学工程学位。