14、AI硬件系统安全与硬件IP保护

AI硬件系统安全与硬件IP保护

1. AI系统的系统级硬件解决方案

1.1 可信执行环境

在过去二十年里，云计算和数据服务在市场上蓬勃发展。许多公司和机构无需搭建自己的服务器，就能以合理成本从云服务提供商处获得支持。如今，大量AI应用在公共云上运行。然而，云及其背后复杂的软件栈也为攻击者提供了机会，因为在分布式服务器系统上对用户进行严格监管较为困难，且服务面向公众开放。

应对这一风险的一种解决方案是构建可信执行环境（TEE），它只允许可信代码和数据进行敏感计算。例如，ARM提供了名为“TrustZone”的TEE解决方案：
- 硬件架构设计
- 总线 ：主系统总线上每个读写通道都有一个额外的控制信号，即非安全位。安全外设总线（如中断控制器、定时器和用户I/O设备）可扩展安全环境。
- 处理器 ：每个物理处理器核心提供两个虚拟核心（非安全和安全），它们以时间片模式执行，通过监控模式进行切换。硬件还为非安全和安全虚拟处理器分别提供两个虚拟内存管理单元，每个虚拟处理器有本地翻译表来独立控制地址和地址映射。
- 调试 ：TrustZone调试设计将访问控制分为可独立配置的安全特权侵入式（JTAG）调试、安全特权非侵入式（跟踪）调试、安全用户侵入式调试和安全用户非侵入式调试，可在屏蔽安全世界调试的同时使正常世界调试可见。
- 软件实现 ：TrustZone在正常世界和安全世界分别实现并发的通用操作系统（如Android、Linux等）和安全子系统（如