在安全的FPGA SOC上使用T恤保护卡宾AI的一个例子
2020年7月28日经过Katherine Hsu,十六进制安全性本文讨论了通过展示Tee和FPGA SOC如何在车辆中使用的车辆中使用的可信赖的执行环境(已经在各种连接的设备中使用)。
本文第一部分,可信赖的执行环境(TEE),讨论的是,尽管受信任的执行环境(TEE)广泛用于手机和其他连接的设备以确保关键功能,但在连接的车辆中采用率很低。缺乏TEE会创建系统漏洞。在第二部分中,我们将采取cabin ai作为示例应用程序,并讨论现代T恤和FPGA SOC如何成为其安全平台。
Typical In-Cabin AI System
客舱的人工智能是一个先进的司机assistan的一部分ce system (ADAS) and is, in fact, more popularly deployed than autonomous driving. In-cabin AI leverages cameras or other sensors to give drivers and passengers contextual safety guidance, or provide options such as voice, gesture to control the vehicle. For instance, inward-facing cameras are adept at monitoring truck drivers to detect inebriation, distraction, drowsiness, and fatigue to alert the driver and prevent accidents. These are currently widely部署在商用车和卡车中。同样的技术开始渗透消费车,以观察与驾驶员相关的行为出于安全目的。AI驱动的摄像机还可以在车辆中留在儿童和宠物时提醒以避免与热有关的死亡。
一个典型的木制内系统监视驾驶员行为,检查乘员是否佩戴安全带,可以接受培训以跟踪感兴趣的对象,例如手机,钥匙串,婴儿座椅等。该系统需要完成许多功能,包括基于机器的视频信号链,,与其他ECU(例如中央ADA或信息娱乐系统)进行通信,并支持固件升级。
它还可以执行盲点检测 - 侧面后视镜用小型摄像头增强,可用于运行ML算法,以在驾驶员的盲点中发现车辆。此外,它可以卸载中央ADA的诸如车载网络(IVN)身份验证之类的处理。
An Example of Hardened Hardware
微芯片Polarfire Soc FPGA是可以支持这种合并功能,混合临界系统的硬件的示例。它可以在FPGA织物和微处理器子系统上有效地推断出在Cabin AI应用程序中运行控制和监视作业。它支持确定性的RTO,以及在高效的四核方面的Rich LinuxRISC-Vprocessors(见图1)。
图1。Polarfire SoC内Cabin AI平台。ML推理在FPGA织物上运行。RISC-V SOC托管控制和监视功能。
为了硬件,Polarfire SoC具有内置的安全措施,其中包括防篡改支持以及差异功率分析(DPA)对策。这保护芯片免受侧通道漏洞的影响旨在提取比特斯流,从而防止克隆。使用安全的编程基础架构,汽车制造商可以完全控制可以编程的FPGA数量防止过度建设。Polarfire SOC还使用启用的Secded Onboard Secure 128-kb启动闪存内存来支持安全引导。
AI推论模型和其他有价值的数据资产必须受到保护
在此系统上,有价值的数据资产包括:
- IVN - 意想不到的访问IVN(“ CAN BUS”)可以使对手接管车辆
- 驾驶员和乘客个人可识别信息(PII) - PII应隐藏以供消费者隐私
- OTA - 如果OTA代码或数据被损坏或被劫持,则可以注入不良或恶意固件
- AI模型 - 推理模型容易受到IP盗窃和攻击的影响
- 秘密 - 必须屏蔽密钥和加密库,以确保IVN消息的数字签名算法(DSA)
在设计期间,必须考虑这些资产的机密性,完整性和可用性(CIA)。
攻击表面和对这些资产的威胁包括:
| 攻击表面 | 利用 |
| 应用和网络层 | 恶意软件,缓冲区跨流利用IVN,ota,偷Pii |
| Rich OS | 诸如富有的操作系统Linux具有较大的攻击表面。任何非免费固件还引入了不透明的风险。漏洞可以拆除整个系统,也可以使对手通过富OS默默进入以操纵其他资产。 |
| 传感器 | “模型黑客”或“对抗机器学习”是在不受信任的应用程序访问传感器内存的时候,恶意软件会扰动传感器内存,从而导致阿达斯的意外行动。 |
| 传感器 | “替代模型的反转”:当对手能够通过读写记忆来控制推理模型的输出并观察推理模型的输出时,他可以重新创建模型。他可以使用该副本来学习培训数据中的趋势和分布或计划未来的攻击。 |
值得信赖的执行环境的一个示例
提供按分离安全性安全的T恤是设计零值模型来保护这些数据资产的绝佳对策。
采用新方法的T恤是十六进制的MultizOne®安全。它利用记忆分区的原始图:“”物理记忆保护” PMP是所有RISC-V或“记忆保护单元MPU在ARM®上,以及CPU中的特权级别(RISC-V,ARM®的M-Mode和U-Mode)以创建多个安全的容器或区域。
极性soc上多式元素的配置看起来像图2。每个红色框都表示在“容器”或“区域”中受保护的功能块。在每个区域内,只有授权和分配的代码才能根据由Multizone策略文件设置的Read-Write-Execute权限访问指定的内存区域。中断处理程序被分配到一个区域,以便only runs with user-mode privilegeinstead of kernel mode, to comply with the zero-trust model.
五个区域是:
- OTA - 保护OTA代码和数据的中央情报局
- 相机 - 固定相机传感器数据
- IVN身份验证 - 类似于HSM,该区域可确保DSA的密钥和加密
- RTOS – Controls the IVN
- Linux飞地 - Linux的故障将包含
这些区域如图2所示。
图2。Multizone在Polarfire Soc上创建了5个“区域”。仅在RISC-V上的CPU环0的M模式中运行。每个红色框都是软件定义的,硬件分隔的区域。
此示例配置显示了Tee及其配套硬件如何为CABIN AI应用程序创建基础安全平台。
TEE is a Foundational Layer
互联车辆的良好安全姿势应包括最小的:
- 应用程序安全
- 网络安全的入侵检测预防系统(IDP)
- 固定OTA
- 值得信赖的执行环境
- 带有内置安全原始的硬件,信任根
在我们的车辆上支撑T恤是至关重要的,这与手机中的T恤没有什么不同。这是使我们的汽车比智能手机更安全的途径。
行业文章是一种内容形式,它允许行业合作伙伴与所有有关电路读者的信息,以社论内容不适合的方式共享有用的新闻,消息和技术。雷竞技注册所有行业文章都遵守严格的编辑准则,目的是为读者提供有用的新闻,技术专长或故事。行业文章中表达的观点和观点是合作伙伴的观点和观点,而不一定是有关电路或其作家的观点和观点。雷竞技注册
