硬件芯片信任根：以PUFrt强化AI资产保护

硬件芯片信任根：以PUFrt强化AI资产保护

熵码科技　副总 杨青松

人工智能将是未来信息安全上举足轻重的角色，结合大数据、深度学习(deep learning)以及机器学习(machine learning)，赋予机器生命、可以模仿人类学习与工作，为商业营运带来新篇章。然而珍贵的AI智慧资产经常是黑客觊觎的目标，一旦有机会窥视模型如何训练和运作，就能藉由破坏训练模型的数据来操控模型，对AI系统供需双方造成重大影响。是故本篇将针对如何透过硬件芯片信任根强化AI系统之安全作讨论，从AI硬件装置架构、安全需求、解决方案等逐一切入，以熵码科技硬件信任根模块PUFrt为例，帮助读者了解AI应用架构与物理不可复制功能(PUF)之硬件安全技术的结合与效益。

AI 硬件装置架构与生产制造导入流程

AI应用装置主体架构可概分为三个部分: AI应用算法模型与参数 (soft know-how)、储存单元(storage)、AI的运算单元 (AI accelerator)。储存单元通常是使用闪存(Flash memory)来存放AI 应用算法模型与参数，而AI运算单元 (AI 芯片) 则用来执行从AI 算法模型的运作。从产品设计、生产制造、导入市场应用，主要的流程包含：

1. 准备AI 模型与参数
2. 利用加密程序对植入使用的AI模型与参数进行加密保护并存放于储存单元
3. 将用于加密运作的密钥与信任凭证写入AI芯片，作为程序启动时的解密所需的密钥与完整性认证信息
4. 启动执行AI应用时是先将存放于闪存中的加密算法模型与参数加载AI芯片，藉由预先植入的密钥与认证信息进行算法模型与参数的解密，后续AI芯片便可执行解密后的AI算法模型与参数，启动AI的应用功能。

图一：AI应用架构与生产制造流程

AI 应用的安全需求

AI应用的安全需求有许多面向， 一是保护AI设计中重要的智能资产，如大数据、算法等；二是保护AI机器在执行深度学习或任务执行时，不受恶意第三方的入侵，暗中捣乱学习机制及行为表现；三是保护AI技术运用领域中会涉及的相关信息，如个人医疗隐私、通讯隐私、消费信息等。

若从系统架构面来讨论AI应用可能的安全缺口，首先要讨论的便是AI芯片硬件的完整性(integrity)问题。作为执行AI算法运算的芯片(AI accelerator)，如果有完整性问题，例如芯片启动时加载遭恶意篡改过的韧体(firmware)，可能导致AI芯片的运作过程中置入未经授权的功能或恶意攻击的指令，以致原本设计功能运作遭攻击者挟持或操控，或者因攻击篡改导致原机制未能有效发挥，引发安全问题。

要解决芯片硬件完整性疑虑，建议在设计AI 芯片时纳入硬件信任根的设计(hardware root of trust)。为什么呢？

在缺乏硬件信任根的情况下，芯片的防护机制将相对容易被破解，无法有效保护加解密所需的密钥与信任凭证，造成密钥外泄，或是无法抵挡逆向工程的反组译，使恶意第三方有机会取得AI推论模型。一来将使企业辛苦研发的智慧财产(AI know-how)暴露在被非法复制的风险中，造成商业上巨大的损失；二来攻击者亦可窜改推论模型导致AI运作出错造成使用者的损失。例如汽车行驶中ADAS主动安全功能突然失效，导致驾驶者误判造成车祸。

图二：AI应用安全疑虑

如何有效提升AI应用安全与资产保护

考虑AI应用安全性及保护公司资产的需求，在研发AI产品时，除了追求AI算法模型性能外，在AI芯片本身必须内建安全的硬件信任根，同时搭配其他安全部署，来保护密钥，同时强化算法的存储安全，以确保芯片设计原生性，避免算法模型被窜改与盗取，造成商务与智慧财产的损失。可执行的安全部署说明如下：

1- 内建PUF芯片安全信任根，保护AI芯片

PUFrt 是内建PUF的芯片安全信任根解决方案，其利用物理不可复制功能(physical unclonable function; PUF) 产生的随机数作为芯片指纹，并作为芯片唯一标识符(UID)。此外，衍生自PUF的原生性密码，亦可加以利用在安全密钥存储功能，透过PUF与密钥加密保护密钥储存；抑或是用作真随机随机数功能，可以搭配算法运作强化安全功能。AI芯片内建PUFrt后，可利用PUF衍生的芯片指纹作为AI芯片的安全信任根，并保护用于AI 算法模型加密的Global Key，确保其安全地存储于芯片中。

2- AI 算法模型与参数数据重新加密

在AI生产供应链运作中，会先使用Global Key来加密欲保护的AI 算法模型与参数数据，然后写入闪存储存。安全疑虑可能会发生在芯片密钥储存功能不安全、供应链运作流程的安全缺失造成Global Key外泄。

当AI芯片与外部闪存首次配对时，可利用芯片内部的PUF产生的local key来重新加密储存于闪存中的AI 算法模型与参数数据再回存于外部闪存，同时原本客户用来加密AI资产的global key也会被写入OTP 安全地藏起来。详细步骤如下：

1. 在安全环境下，客户端以global key 加密AI资产
2. 被global key加密过的数据将被写入到Flash内存中，并安装在印刷电路板上
3. 同时global key也会被写入OTP安全地储存起来
4. 系统将用global key解密AI 资产，并暂存于SRAM中
5. 接下来我们将利用PUFrt中的PUF(UID)产生local key
6. 利用每一个芯片系统内独一无二的PUF-based local key重新加密保护AI 资产回存于flash中

图三：内建PUF安全信任根之AI系统的运作方式

上述做法的宗旨，是为了避免使用外部注入的密钥可能带来的资安风险。以芯片内部生成的密钥来保护数据，可以避免密钥在注入过程中被窥视的风险，供应链安全性也相对提升。而以每个芯片独一无二的”指纹”PUF来作为系统原生的加密密钥，更是可以避免flash内存被非法复制、盗取内部机密的风险。

在AI应用蓬勃发展、企业纷纷投入开发的竞争态势下，相应的AI芯片设计、AI算法模型与参数等智能资产的保护，亦不得轻视之。若AI 芯片或算法模型与参数被恶意篡改或盗取，将同时危害到开发者和使用者双方的权益，包含开发端产品技术外泄、使用方应用安全性之疑虑等，都可能使企业面临巨额的损失。

本篇作者提供了安全强度更胜于一般软件防护的硬件安全解决方案──物理不可复制功能(PUF)，概念类似于独一无二的芯片指纹。当每一个装置都有独一无二、难以被直接窥视的PUF密码所保护，可以防止大规模的远程破解。对于许多安装在公共空间的AI装置，无疑是相对重要的硬件防护机制。不仅能确保AI应用产品在各种环境下都能安全执行，确实发挥功能，带给用户良好的体验，更是公司智财资产与竞争力强而有力的保障。

欲进一步了解PUFsecurity公司信息或PUFrt产品讯息，请上PUFsecurity官网：www.pufsecurity.com

If you wish to download a copy of this white paper, click here