物联网安全和边缘IP保护

根据Enterprise Management Associates的数据，预计未来几年将有超过600亿台智能设备在线。更令人兴奋的是智能物联网设备中实现的处理能力和智能水平。工厂和楼宇控制系统、医疗设备、自动驾驶汽车和机器以及家庭解决方案等系统将以前所未有的数量在边缘应用机器学习（ML）和人工智能（AI）。事实上，Gartner预测边缘计算将处理75%的数据。使我们的工业世界更智能、更安全、更高效的能力正在呈指数级增长。

虽然这一发展令人兴奋，但它强调了网络边缘安全性的重要性与日俱增。执行关键任务的互联物联网设备的日益普及意味着接入点的脆弱性比以往任何时候都多。为了享受“智能”设备提供的好处，尤其是那些在其应用程序中实现ML和AI的设备，保护关键知识产权变得至关重要，这些知识产权代表了解决方案价值的很大一部分（如果不是全部）。产品中还必须内置更多的互连性，需要访问互联网以接收AI模型，固件或文件系统的关键更新。虽然数据中心可能被认为是安全的，不受外部入侵，但物联网设备暴露得更多，使其成为那些寻求更简单的系统利用方法的人的理想切入点。

物联网设备开发人员需要确保其产品免受攻击，在整个制造过程中安全可靠，并能够在产品的整个生命周期内进行安全管理。如果没有适当实施物联网安全，供应商可能会损害其产品、信誉和品牌，并失去关键知识产权。这种关键方法的最前沿是边缘的保护 AI 模型。

在智能设备上保护 AI 模型（验证模型是否真实并隐藏其免受威胁）的方法可能会有所不同，具体取决于硬件及其应用程序的性质。需要考虑的因素包括：

可用于容纳和加密模型或应用程序的内存

周围环境中的风险级别（例如，模型是否与同一设备上其他受信任度较低的应用程序共存？

用于执行应用程序的硬件（例如，GPU 是否参与运行 AI 模型和提供推理？

了解环境后，开发人员可以使用针对需求优化的方法在边缘保护 AI。以下是一些最佳做法示例。

加密静态应用程序

此方法在设备未主动使用模型时保护模型。此方法涉及将模型的加密版本存储在非易失性存储器中。每当需要模型时，都会对其进行身份验证和解密。推理完成后，任何未加密的数据都将从易失性内存中删除。这大大减少了模型暴露的时间以及相关的攻击面。

使用 ARM® 信任区®隔离模型

在 ARM TrustZone 体系结构中，可以将模型的敏感部分存放在安全内存分区或安全隔区中。使用这种方法，模型永远不会暴露在不安全的应用程序环境（例如 Linux）中。此方法需要在安全区域中分配内存，并需要一些开发时间来根据安全隔区规范构建应用程序，但它是保护 AI 模型的最安全方法。

使用虚拟化启用访问多个硬件块和运行时环境的模型

如果使用专用硬件来运行模型（例如 GPU），则模型可以位于一个虚拟环境（例如 Linux）中，并由另一个可以访问硬件 （GPU） 的环境访问以处理和生成推理。使用虚拟化，可以对应用程序进行身份验证、解密，然后在隔离虚拟机中的专用环境中运行。运行模型只能由隔离环境访问，并访问 GPU 并将推理安全地发送到容纳加密模型的运行时环境。

由于端点设备存在大量潜在的物联网安全威胁，制造商和集成商必须继续专注于寻找一流的安全策略和产品，这些产品能够锁定其产品和其中包含的IP，因为它根本无法受到损害。像这样的AI模型保护方法为智能设备带来了安全性，并开启了边缘智能的新时代。

审核编辑：郭婷