HiSilicon AI SoCの内部で信頼された実行
HiSiliconの信頼できる実行環境は、AIシステムオンチップ (SoC) 設計にハードウェアによるセキュリティを提供します。これらのTE
HiSiliconの信頼できる実行環境は、AIシステムオンチップ (SoC) 設計にハードウェアによるセキュリティを提供します。これらのTEEは、価値の高いAI資産を分離して保護します。AIモデル、ユーザーデータ、および暗号化キーを保護します。同社は「設計によるセキュリティとプライバシー」の原則に従います。このアプローチは、AI SoCに直接セキュリティを構築します。信頼できるハードウェアルートは、すべてのAI実行のシステム整合性を確立します。
💡この基本的なセキュリティにより、SoCは機密性の高いAIアプリケーション向けの信頼できるプラットフォームになります。
重要なポイント
- ハイシリコンAISoCは、「設計によるセキュリティ」アプローチを使用します。これは、セキュリティが最初からチップに組み込まれることを意味します。AIモデルとユーザーデータを保護します。
- このセキュリティの中核は、信頼された実行環境 (TEE) である。ハードウェアを使用して安全なエリアを作成します。このエリアでは、機密のAIタスクをシステムの他の部分から分離します。
- HiSiliconのTEEは、ARM TrustZoneテクノロジーを使用しています。この技術はチップを2つの世界に分けます。「Secure World」は重要なデータを保護します。「Normal World」は通常のアプリを実行します。
- 安全なブートプロセスにより、信頼できるソフトウェアのみが実行されます。それは信頼のハードウェアルートから始まります。このルートは、実行前に各ソフトウェアをチェックします。
- TEEはAIモデルとデータを攻撃から保護します。それはそれらを隔離して暗号化します。これにより、AIの知的財産を安全に保ち、ユーザーデータを非公開にすることができます。
コアTEEアーキテクチャ
のセキュリティHiSilicon AI SoCシリコンレベルで始まります。コアアーキテクチャは、すべての操作に対して強化された環境を作成します。この設計哲学は、ゼロからコンピュータセキュリティの脅威に対処します。信頼がアドオンではなく、ハードウェアの固有のプロパティであることを保証します。
ハードウェアレベルの分離
HiSiliconは基礎の上にTEEを構築しますARM TrustZoneテクノロジーをご参照ください。この技術は、プロセッサ内に強い障壁を作り出すハードウェア拡張である。システムオンチップ全体を2つの分離された環境に分割します。
- ノーマルワールド: これは、メインのオペレーティングシステム (LinuxやAndroidなど) と一般的なアプリケーションが実行される場所です。ユーザーの日常的なタスクを処理します。
- セキュアな世界: これは、信頼できるコードと機密データの保護エリアです。暗号化キー、安全なブートローダー、AIモデルなどの資産を管理します。
💡ARM TrustZoneアーキテクチャは、通常の世界がSecure World内のリソースに直接アクセスしたり、アクセスしたりすることができないことを保証します。この分離はハードウェアによって強制され、ソフトウェアレベルの攻撃に対する強力な防御になります。
SoCは、これら2つの世界を動的に切り替えます。特別な指示、Secure Monitor Call (SMC)、この移行を容易にします。このプロセスは、システムが重大な性能ペナルティなしに安全な動作を実行することを可能にする。プロセッサは、Normal WorldでリッチOSを実行し、Secure Worldに即座に切り替えて機密性の高いAIタスクを処理してから、元に戻すことができます。このハードウェアレベルのパーティショニングは、多くのセキュリティおよびプライバシー攻撃に対する重要な最初の防御線です。
信頼できる実行のための安全なブート
安全なシステムには、信頼できる出発点が必要です。安全なブートプロセスは、SoC上で実行されるすべてのソフトウェアに対して「信頼チェーン」を確立する。このプロセスは、シリコンに埋め込まれた不変のコンポーネントであるHardware Root of Trust (HRoT) から始まります。このHRoTは、最初のソフトウェアを検証するために必要な最初の安全なブートコードと公開鍵を保持します。
ブートシーケンスは、厳密な多段階検証プロセスに従います。
- システムは、不変HRoTから実行を開始する。
- HRoTは第1ステージのブートローダーをロードし、そのデジタル署名を検証します。
- 有効な場合、第1ステージのブートローダーは重要なハードウェアを初期化します。次に、次のソフトウェアコンポーネントをロードして検証します。
- このチェーンは継続し、各ステージは制御を通過する前に次のステージを検証します。
- 最後に、信頼できるOSカーネルとAIアプリケーションがロードされ、検証されます。システムは、すべてのチェックが合格した後にのみ実行制御を転送します。
このプロセスでは、強力な暗号化手法を使用して、ソフトウェアの整合性と信頼性を保証します。これらの方法は、改ざんや不正な変更に対する基本的な対策です。
| 暗号テクニック | Secure Bootの目的 |
|---|---|
| デジタル署名 | ブートコンポーネントの信頼性と整合性を保証します。 |
| 非対称暗号化 | デバイスの秘密鍵を公開せずに署名検証を有効にします。 |
| 安全なハッシュアルゴリズム | 変更を検出するソフトウェアの一意の「指紋」を作成します。 |
| ハードウェアアクセラレータ | ブート時間の影響を最小限に抑えるため、暗号化操作を高速化します。 |
この堅牢なブートプロセスは、承認されたコードのみがデバイスで実行できるようにすることで、TEEの既存の多くの脆弱性に対処します。起動中に悪意のあるコードを注入しようとする攻撃を効果的にブロックします。チプレットベースのアーキテクチャを含む最新のAISoC設計は、新しい課題と潜在的な脆弱性をもたらします。一元化された信頼アンカーは、ボトルネックまたは単一障害点になる可能性があります。HiSiliconのアプローチは、これらの設計上の欠陥を予測しています。分散信頼モデルをご参照ください。これらの高度なソリューションは、チップレット間で協力して信頼を確立し、スケーラビリティとレジリエンスを強化します。この戦略は、高度なハードウェアレベルの攻撃やサプライチェーンの欠陥に対する効果的な対策を提供し、AIシステム全体の整合性を確保します。このような安全なソリューションは、信頼できるAI実行の将来にとって不可欠です。
AIモデルとデータの保護
AIモデルとそれらが処理するデータを保護することは、HiSilicon TEEの主要な目標です。AIモデルは、知的財産の貴重な部分です。それが扱うデータは非常に敏感です。攻撃者は、高度な方法を使用してこれらの資産を侵害します。
- モデル抽出と反転: 攻撃者は、モデルを繰り返しクエリしてアーキテクチャをリバースエンジニアリングしたり、トレーニングに使用されたプライベートデータを再構築したりできます。
- 敵対的な入力: 悪意のあるアクターは、一時停止の標識のステッカーや聞き取れない音声コマンドなどの特別な入力を作成して、AIシステムをだまして危険な間違いを犯すことができます。
- -ファームウェアとランタイムエクスプロイト: オペレーティングシステムの脆弱性またはAIランタイムにより、攻撃者は完全に制御できるため、デバイス上でモデルを直接盗んだり改ざんしたりできます。
HiSiliconのTEEは、これらの脅威に対するハードウェアレベルの対策を提供します。SoC上のすべての機密AI操作のための安全なボールトを作成します。
孤立したAIモデル処理
HiSiliconの信頼できる実行環境により、AIモデルが完全に分離してロードされ、実行されます。AI推論プロセス全体が内部で発生します。安全な世界をご参照ください。これにより、メインOSを含むNormal Worldで実行されているコードがモデルにアクセスしたり変更したりするのを防ぎます。
💡この分離は、専用のセキュアを使用して実現されますメモリしばしば呼ばれる地域ハードウェアの飛び地をご参照ください。SoCは、このリージョン内のすべてのデータとコードを暗号化します。プロセッサは、エンクレーブ自体の内部で使用するためにそれを解読するだけです。外部のオブザーバーに特権システムソフトウェア、モデルのパラメータとそれが処理するデータは暗号化され、理解できないままです。
HiSilicon Hi3796CV300 SoCは、この設計の実用的な例です。このシステムオンチップは、ハードウェア暗号アクセラレータと安全なメモリ経路を統合します。これらの機能により、機密情報をシステムの他の部分に公開することなく、AI計算を安全に実行できます。
しかしながら、この強化されたセキュリティは、性能の考慮を伴う。TEE内でAIモデルを実行すると、完全なGPUアクセスを備えたオープン環境で実行する場合と比較して、オーバーヘッドが発生する可能性があります。暗号化および安全なデータ処理プロセスには、追加の計算リソースが必要です。
データが示すように、実行速度とセキュリティとの間にはトレードオフがある。
| モデルサイズ | GPU-CPU (tokens/s) | CPUのみ (トークン/秒) | TDX (トークン/s) |
|---|---|---|---|
| 1.5B | 202.88 | 10.25 | 25.67 |
| 7B | 117.02 | 8.53 | 6.42 |
| 14B | 69.14 | 7.13 | 3.44 |
安全なエンクレーブは安全でないGPUの生の速度と一致しない場合がありますが、HiSiliconのSoC設計では、この影響を最小限に抑えるためにハードウェアアクセラレータを使用しています。これらのソリューションはバランスの取れたアプローチを提供し、最適化されたパフォーマンスでAIワークロードに強力なセキュリティを提供します。これにより、SoCは信頼できるAIを展開するための実行可能なプラットフォームになります。
安全なキー管理
暗号キーは、データセキュリティの基盤です。AIモデルを暗号化し、ユーザーデータを保護し、安全な通信を検証します。キーが侵害されると、SoCのセキュリティアーキテクチャ全体が損なわれる可能性があります。TEEはaとして機能しますハードウェアベースのボールトこれらの重要な資産を管理するため。
HiSilicon SoCは、セキュアワールド内でのみ暗号化キーを生成、保存、および使用します。キーは、Normal World OSまたはそこで実行されているアプリケーションに公開されることはありません。アプリケーションが暗号操作を実行する必要があるとき、それはTEEに要求を送る。セキュア実行環境は内部で操作を実行し、結果のみを返します。キー自体が保護された飛び地を離れることはありません。
このアプローチは、ソフトウェアベースの攻撃に対する堅牢な保護を提供します。メインのオペレーティングシステムがマルウェアによって危険にさらされたとしても、攻撃者はTEE内に保存されている暗号化キーにアクセスできません。このハードウェア分離は、ソフトウェアのみのキー管理ソリューションに対する基本的な利点です。
HiSiliconの主要管理システムは、確立された国際安全保障基準と一致しています。これらのフレームワークは、安全なキーの生成、保存、および使用に関するガイドラインを提供します。主な基準は次のとおりです。
- FIPS 140-2: 暗号化モジュールに関する米国政府の標準。
- PCI DSS: 支払いカードデータを処理する組織のセキュリティ標準。
- ISO/IEC 27001: 情報セキュリティ管理の国際標準。
- GDPR: EUの個人のデータ保護とプライバシーに焦点を当てた規制。
これらの厳格な基準を遵守することにより、HiSilicon AI SoCは、安全なアプリケーションを構築するための検証可能で信頼できる基盤を提供します。
信頼された実行環境の役割
信頼できる実行環境は、最新のAIシステムを保護する上で重要な役割を果たします。これらは、重要な資産に対して検証可能なハードウェア保護を提供します。この保護は、SoCを超えて、開発から展開まで、AIライフサイクル全体にまで及びます。
AI知的財産の保護
AIモデルは、知的財産の貴重な部分です。その盗難は重大な経済的損失につながる可能性があり、時には企業にコストをかけます失われた収入の数億をご参照ください。HiSiliconの信頼できる実行環境がこのIPを保護します。それは作成しますAIモデルが暗号化および分離されている安全な飛び地をご参照ください。
💡このハードウェアレベルの分離により、不正アクセスやリバースエンジニアリングを防止をご参照ください。モデルの重みとアーキテクチャは、デバイスのメインオペレーティングシステムからも機密のままです。許可されたAIアプリケーションのみが、保護された環境内でモデルを実行できます。をご参照ください。
このアプローチは、企業の競争上の優位性を保護します。AI開発への投資が盗難や違法な複製によって危険にさらされないようにします。
データの整合性とプライバシーの確保
TEEは、AIシステムで使用されるデータの整合性とプライバシーを維持するために不可欠です。攻撃者は次のようなテクニックを使用できますトレーニングデータの破損に対するデータ中毒をご参照ください。これにより、AIモデルが危険なエラーを引き起こす可能性があります。TEEは、保護された空間内でデータを処理することにより、このような改ざんを防止する。
データのプライバシーはもう一つの大きな関心事です。GDPRのような規制では、個人情報を強力に保護する必要がありますをご参照ください。信頼できる実行環境は、機密ユーザーデータは、AI推論プロセス全体を通じて暗号化され、機密のままですをご参照ください。
- データは暗号化された状態でエンクレーブに入ります。
- AIモデルは、安全な環境内で処理します。
- 生データを公開せずに結果が返されます。
このプロセスは、強力なAI機能を活用しながら、企業が厳格なプライバシー法を遵守するのに役立ちます。
セキュアOTAアップデートの有効化
Secure Over-the-Air (OTA) の更新は、デバイスのセキュリティを長期にわたって維持するために重要です。安全でない更新メカニズムが大きな脆弱性を生み出すをご参照ください。攻撃者は悪意のあるファームウェアをプッシュしてデバイスを制御できますをご参照ください。
TEEは、安全な更新のための堅牢なソリューションを提供します。新しいファームウェアパッケージをインストールする前に、TEEはいくつかのチェックを実行します。
- アップデートのデジタル署名を検証して、その信頼性を確認します。
- それはバージョン番号をチェックして、古い脆弱なソフトウェアへのロールバック攻撃を防ぎますをご参照ください。
システムは、すべてのチェックが合格した場合にのみ更新を進める。これにより、正当で承認されたコードのみがデバイス上で実行できるようになり、AIシステムが侵害から保護されます。
HiSiliconの「Security by Design」戦略は、AIシステムオンチップに直接信頼を組み込んでいます。このアプローチは、AIモデルと機密データに対して検証可能なハードウェア支援保護を提供します。AI SoC上の信頼できる実行環境により、AIワークロードに対するエンドツーエンドの真の保護が可能になります。AI SoCでのこのハードウェアファーストの方法は、ソフトウェアのみのソリューションよりも明確な利点を提供します。
- ハードウェアTEEは、AI資産をより強力に保護しますをご参照ください。
- ソフトウェアソリューションは、軽いタスクでは高速になりますが、既知の制限があります。
この堅牢な基盤により、HiSilicon AI SoCは、次のようなエッジデバイス上の信頼できるAIの重要なイネーブラーになります。未来2025 AI SoCデザインをご参照ください。
よくある質問
信頼済み実行環境 (TEE) とは
Trusted Execution Environmentは、SoCの安全なエリアです。ハードウェアがこのゾーンを作成します。機密コードとデータをメインオペレーティングシステムから分離して保護します。この設計は、安全なAIアプリケーションの基盤を提供します。
TEEはAIモデルをどのように保護しますか?
TEEは、孤立したSecure World内でAIモデルをロードして実行します。モデルのデータを暗号化します。このプロセスは、メインOSが貴重なAI知的財産にアクセスしたり改ざんしたりするのを防ぎます。
TEEを使用するとAIのパフォーマンスが低下しますか?
TEEでタスクを実行すると、セキュリティプロセスによりオーバーヘッドが追加される可能性があります。HiSilicon AI SoCは、専用のハードウェアアクセラレータを使用します。これらのアクセラレータはパフォーマンスへの影響を最小限に抑え、AIワークロードのセキュリティと速度のバランスを取ります。
信頼のハードウェアルート (HRoT) とは何ですか?
信頼のハードウェアルートは、シリコンに組み込まれた変更不可能なセキュリティコンポーネントです。最初のコードとキーを保持します。HRoTは安全なブートプロセスを開始し、すべてのソフトウェアの信頼チェーンを作成します。
