PUF based Root of Trust PUFrt for High-Security AI Application
硬件芯片信任根:以PUFrt强化AI资产保护
熵码科技 副总 杨青松
人工智能将是未来信息安全上举足轻重的角色,结合大数据、深度学习(deep learning)以及机器学习(machine learning),赋予机器生命、可以模仿人类学习与工作,为商业营运带来新篇章。然而珍贵的AI智慧资产经常是黑客觊觎的目标,一旦有机会窥视模型如何训练和运作,就能藉由破坏训练模型的数据来操控模型,对AI系统供需双方造成重大影响。是故本篇将针对如何透过硬件芯片信任根强化AI系统之安全作讨论,从AI硬件装置架构、安全需求、解决方案等逐一切入,以熵码科技硬件信任根模块PUFrt为例,帮助读者了解AI应用架构与物理不可复制功能(PUF)之硬件安全技术的结合与效益。
AI 硬件装置架构与生产制造导入流程
AI应用装置主体架构可概分为三个部分: AI应用算法模型与参数 (soft know-how)、储存单元(storage)、AI的运算单元 (AI accelerator)。储存单元通常是使用闪存(Flash memory)来存放AI 应用算法模型与参数,而AI运算单元 (AI 芯片) 则用来执行从AI 算法模型的运作。从产品设计、生产制造、导入市场应用,主要的流程包含:
- 准备AI 模型与参数
- 利用加密程序对植入使用的AI模型与参数进行加密保护并存放于储存单元
- 将用于加密运作的密钥与信任凭证写入AI芯片,作为程序启动时的解密所需的密钥与完整性认证信息
- 启动执行AI应用时是先将存放于闪存中的加密算法模型与参数加载AI芯片,藉由预先植入的密钥与认证信息进行算法模型与参数的解密,后续AI芯片便可执行解密后的AI算法模型与参数,启动AI的应用功能。
图一:AI应用架构与生产制造流程
AI 应用的安全需求
AI应用的安全需求有许多面向, 一是保护AI设计中重要的智能资产,如大数据、算法等;二是保护AI机器在执行深度学习或任务执行时,不受恶意第三方的入侵,暗中捣乱学习机制及行为表现;三是保护AI技术运用领域中会涉及的相关信息,如个人医疗隐私、通讯隐私、消费信息等。
若从系统架构面来讨论AI应用可能的安全缺口,首先要讨论的便是AI芯片硬件的完整性(integrity)问题。作为执行AI算法运算的芯片(AI accelerator),如果有完整性问题,例如芯片启动时加载遭恶意篡改过的韧体(firmware),可能导致AI芯片的运作过程中置入未经授权的功能或恶意攻击的指令,以致原本设计功能运作遭攻击者挟持或操控,或者因攻击篡改导致原机制未能有效发挥,引发安全问题。
要解决芯片硬件完整性疑虑,建议在设计AI 芯片时纳入硬件信任根的设计(hardware root of trust)。为什么呢?
在缺乏硬件信任根的情况下,芯片的防护机制将相对容易被破解,无法有效保护加解密所需的密钥与信任凭证,造成密钥外泄,或是无法抵挡逆向工程的反组译,使恶意第三方有机会取得AI推论模型。一来将使企业辛苦研发的智慧财产(AI know-how)暴露在被非法复制的风险中,造成商业上巨大的损失;二来攻击者亦可窜改推论模型导致AI运作出错造成使用者的损失。例如汽车行驶中ADAS主动安全功能突然失效,导致驾驶者误判造成车祸。
图二:AI应用安全疑虑
如何有效提升AI应用安全与资产保护
考虑AI应用安全性及保护公司资产的需求,在研发AI产品时,除了追求AI算法模型性能外,在AI芯片本身必须内建安全的硬件信任根,同时搭配其他安全部署,来保护密钥,同时强化算法的存储安全,以确保芯片设计原生性,避免算法模型被窜改与盗取,造成商务与智慧财产的损失。可执行的安全部署说明如下:
1- 内建PUF芯片安全信任根,保护AI芯片
PUFrt 是内建PUF的芯片安全信任根解决方案,其利用物理不可复制功能(physical unclonable function; PUF) 产生的随机数作为芯片指纹,并作为芯片唯一标识符(UID)。此外,衍生自PUF的原生性密码,亦可加以利用在安全密钥存储功能,透过PUF与密钥加密保护密钥储存;抑或是用作真随机随机数功能,可以搭配算法运作强化安全功能。AI芯片内建PUFrt后,可利用PUF衍生的芯片指纹作为AI芯片的安全信任根,并保护用于AI 算法模型加密的Global Key,确保其安全地存储于芯片中。
2- AI 算法模型与参数数据重新加密
在AI生产供应链运作中,会先使用Global Key来加密欲保护的AI 算法模型与参数数据,然后写入闪存储存。安全疑虑可能会发生在芯片密钥储存功能不安全、供应链运作流程的安全缺失造成Global Key外泄。
当AI芯片与外部闪存首次配对时,可利用芯片内部的PUF产生的local key来重新加密储存于闪存中的AI 算法模型与参数数据再回存于外部闪存,同时原本客户用来加密AI资产的global key也会被写入OTP 安全地藏起来。详细步骤如下:
- 在安全环境下,客户端以global key 加密AI资产
- 被global key加密过的数据将被写入到Flash内存中,并安装在印刷电路板上
- 同时global key也会被写入OTP安全地储存起来
- 系统将用global key解密AI 资产,并暂存于SRAM中
- 接下来我们将利用PUFrt中的PUF(UID)产生local key
- 利用每一个芯片系统内独一无二的PUF-based local key重新加密保护AI 资产回存于flash中
图三:内建PUF安全信任根之AI系统的运作方式
上述做法的宗旨,是为了避免使用外部注入的密钥可能带来的资安风险。以芯片内部生成的密钥来保护数据,可以避免密钥在注入过程中被窥视的风险,供应链安全性也相对提升。而以每个芯片独一无二的”指纹”PUF来作为系统原生的加密密钥,更是可以避免flash内存被非法复制、盗取内部机密的风险。
在AI应用蓬勃发展、企业纷纷投入开发的竞争态势下,相应的AI芯片设计、AI算法模型与参数等智能资产的保护,亦不得轻视之。若AI 芯片或算法模型与参数被恶意篡改或盗取,将同时危害到开发者和使用者双方的权益,包含开发端产品技术外泄、使用方应用安全性之疑虑等,都可能使企业面临巨额的损失。
本篇作者提供了安全强度更胜于一般软件防护的硬件安全解决方案──物理不可复制功能(PUF),概念类似于独一无二的芯片指纹。当每一个装置都有独一无二、难以被直接窥视的PUF密码所保护,可以防止大规模的远程破解。对于许多安装在公共空间的AI装置,无疑是相对重要的硬件防护机制。不仅能确保AI应用产品在各种环境下都能安全执行,确实发挥功能,带给用户良好的体验,更是公司智财资产与竞争力强而有力的保障。
欲进一步了解PUFsecurity公司信息或PUFrt产品讯息,请上PUFsecurity官网:www.pufsecurity.com
Related Semiconductor IP
- 1-port Receiver or Transmitter HDCP 2.3 on HDMI 2.1 ESM
- HDMI 2.0/MHL RX Combo 1P PHY 6Gbps in TSMC 28nm HPC 1.8V, North/South Poly Orientation
- HDMI 2.0 RX PHY in SS 8LPP 1.8V, North/South Poly Orientation
- HDMI 2.0 RX Controller with HDCP
- HDMI 2.0 RX 4P PHY 6Gbps in TSMC 28nm HPM 1.8V, North/South Poly Orientation