X100 系统安全防护：RISC-V 边缘端的 AI

边缘 AI 是多种技术的融合，包括人工智能、物联网、边缘计算和嵌入式系统。它们共同发挥关键作用，使智能处理和决策能够在网络边缘实现。边缘 AI 利用嵌入式算法监控远程系统的活动，并处理由传感器及其他数据采集装置收集的非结构化数据，如温度、语言、脸部、运动、图像、距离及其他模拟输入信号。

这些远程系统的形式多样，包括传感器、智能手机、物联网设备、无人机、摄像头，甚至车辆和智能家电。它们收集的数据是边缘 AI 算法的输入，提供关于系统状态或环境的重要信息，让边缘 AI 系统能快速响应变化或异常，并理解所处的运行环境。由于成本、延迟、带宽、安全和隐私等问题，这类边缘 AI 应用在集中式云端或企业数据中心內运行往往是不切实际的，甚至是不可能的。

边缘 AI 在靠近数据生成位置的网络“边缘”部署人工智能，在本地设备上实时处理信息并作出决策，而不是将数据发送至远程云服务器。这种方式可降低延迟、节省网络带宽、通过将敏感数据保留在本地来增强隐私保护，并提升系统的可靠性，使设备在无网络连接的情况下仍能独立运行。许多系统架构师普遍关注的一个关键问题是安全性，因为系统本身通常具有任务关键性质，且传输的信息可能极具敏感性。

多年来，SiFive 致力于提供一系列可在系统各层面部署的安全功能，这些功能与 SiFive 广泛的处理器产品紧密结合。本文将探讨安全性，以及它在 SiFive Intelligence X100 系列日益普及中所发挥的重要作用。

保护数据、降低安全风险需要多层次的安全策略。边缘系统可能面临以下风险：

• 若未妥善防护，容易受到恶意软件感染、网络攻击和远程入侵
• 网络通信不安全，包括信息未加密、认证机制薄弱和访问控制不严
• 设备遭受物理损坏或被篡改、破坏
• 保护边缘 AI 设备处理的数据的完整性，以维护 AI 模型和决策过程的准确性和可靠性

让我们看看 X100 在这方面能提供什么功能。早在 2019 年，SiFive 就提出了 Shield 架构——一个开放、可扩展的平台，为 RISC-V 设计实现 SoC 级别的整体安全。该架构旨在提供分层、可扩展的安全方案，实现内存区域保护，并支持多重特权模式。下图说明基于 RISC-V 系统的硬件模块如何协同工作以实现系统安全功能。

下图说明 X100 系列产品所包含的关键安全组件。

物理内存保护 (PMP) 提供任务间的物理内存隔离，每个核心可保护多达 16 个内存区域。核心可以实行用户空间的访问权限，并可在系统启动后锁定区域 (的权限)，从而防止在最高特权模式 (M 模式) 下的进一步访问。该模式拥有对 CPU 和全部内存的完全访问权限，负责底层硬件管理和中断处理，直到核心复位为止。如访问失败，将产生读取、存储或指令访问异常。(更多技术细节可参见相关文档)

对于 AI 应用场景，不同用户可能希望以不同方式保护不同类型的数据，因此安全机制需具备灵活性。举例来说：

• ML 模型提供者可能希望保护模型的激活值与权重

• 终端用户可能希望保护输入数据

• 内容提供商可能希望保护视频数据

WorldGuard 是 SiFive 发明并捐赠给 RISC-V International 的一项标准，旨在帮助整个 RISC-V 生态系统实现一致的安全机制。它通过创建隔离的 world，並为每个 world 分配系统资源，实现更灵活的安全划分。与传统架构不同，系统用户可将系统配置为不只有“可信”和“不可信”区域。

WorldGuard 组件确保在外部事务中始终跟踪 World ID (WID)。在 X100 系列产品中，SSCI 接口包含 WID，允许加速器限制哪些 CPU contexts 可以访问其资源。下图展示了这一机制在系统中的配置示例。

硬件加密加速器 (HCA)：Shield 架构包含符合 NIST SP 800-90A/B/C 标准的真随机数生成器 (TRNG)，可实现基于密码算法或者熵的安全功能。加密引擎可抵御 SPA/DPA/EMA 攻击，并支持常见的加密应用场景。AES 加密引擎支持分组加密与认证加密，而安全哈希加密引擎则支持 SHA-2 与 SHA-3 标准。

X100 系列的一大优势——也是 SiFive 多年来的核心设计理念——在于其高度可配置和可定制的内核。它并非一个固定的黑色模块，而是允许客户根据特定应用需求调整核心，实现功耗、性能与面积的最佳平衡。这种灵活性同样延伸至安全子系统的架构设计，让客户能构建符合自身需求的安全方案。

将 AI 带到边缘端是一个令人振奋且快速增长的应用领域，而 RISC-V 正成为这个领域的热门选择。SiFive 可帮助您构建具有多层强大安全防护的系统，并期待与您深入探讨系统挑战，共同定义最优的实现方案。