物联网安全和边缘IP保护

　　据 Enterprise Management Associates 称，预计未来几年将有超过 600 亿台智能设备上线。更令人兴奋的是在智能物联网设备中实现的处理能力和智能水平。工厂和楼宇控制系统、医疗设备、自动驾驶汽车和机器以及家庭解决方案等系统将以前所未有的数量在边缘应用机器学习 （ML） 和人工智能 （AI）。事实上，Gartner 预测边缘计算将处理 75% 的所有生成数据。使我们的工业世界更智能、更安全、更高效的能力正在呈指数级增长。

　　虽然这一发展令人兴奋，但它强调了网络边缘安全性的日益重要。执行关键任务任务的联网物联网设备的日益普及意味着存在比以往更多的易受攻击的接入点。为了享受“智能”设备带来的好处，尤其是那些在其应用程序中实施 ML 和 AI 的设备，保护代表解决方案价值的很大一部分（如果不是全部）的关键知识产权变得至关重要。产品本身还必须内置更多的互连性，需要访问互联网以接收人工智能模型、固件或文件系统的关键更新。虽然数据中心可能被认为可以免受外部入侵，但物联网设备的暴露程度要高得多，

　　物联网设备开发人员需要确保他们的产品在制造过程中不受攻击、安全可靠，并且能够在产品的整个生命周期内得到安全管理。如果没有适当地实施物联网安全，供应商可能会损害他们的产品、信誉和品牌，以及失去关键知识产权。这种关键方法的最前沿是边缘的保护 AI 模型。

　　在智能设备上保护 AI 模型（验证模型是否真实并使其免受威胁）的方法可能会有所不同，具体取决于硬件及其应用程序的性质。需要考虑的因素包括：

　　可用于容纳和加密模型或应用程序的内存

　　周围环境中的风险级别（例如，该模型是否会与同一设备上的其他不太受信任的应用程序共存？）

　　用于执行应用程序的硬件（例如，GPU 是否参与运行 AI 模型并提供推理？）

　　在了解环境后，开发人员可以使用针对需求优化的方法来保护边缘的 AI。以下是一些最佳实践示例。

　　静态加密应用程序

　　此方法在设备未主动使用模型时保护模型。这种方法涉及将模型的加密版本存储在非易失性存储器中。每当需要模型时，都会对其进行身份验证和解密。一旦推理完成，任何未加密的数据都会从易失性存储器中删除。这大大减少了模型暴露的时间以及相关的攻击面。

　　使用 ARM® TrustZone® 隔离模型

　　在 ARM TrustZone 架构中，可以将模型的敏感部分存放在内存的安全分区或安全飞地中。使用这种方法，模型永远不会暴露在不安全的应用程序环境中（例如 Linux）。这种方法需要在安全区域分配内存和一些开发时间来构建应用程序以符合安全飞地规范，但这是保护 AI 模型的最安全方法。

　　使模型能够使用虚拟化访问多个硬件块和运行时环境

　　如果使用专用硬件（例如 GPU）运行模型，则模型可能位于一个虚拟环境（例如 Linux）中，并由另一个可以访问硬件 （GPU） 的环境访问以进行处理和生成推理。使用虚拟化，可以对应用程序进行身份验证、解密，然后在隔离虚拟机中的专用环境中运行。运行模型只能由具有 GPU 访问权限的隔离环境访问，并将推理安全地发送到包含加密模型的运行时环境。

　　由于端点设备面临大量潜在的物联网安全威胁，制造商和集成商必须继续专注于寻找一流的安全策略和能够锁定其产品和其中包含的 IP 的产品，因为它根本无法被妥协。诸如此类的 AI 模型保护方法为智能设备带来了安全性，并开启了边缘智能的新时代。

　　审核编辑：郭婷