:保护模型与数据)
094、NPU的信任执行环境(TEE):保护模型与数据
去年在调试一款车规级NPU芯片时,遇到一个诡异的问题:部署在NPU上的人脸识别模型,在实验室跑得好好的,装到客户样机上就开始间歇性输出错误结果。查了三天,最后发现是模型参数在DDR传输过程中被篡改——不是硬件故障,是系统里某个后台进程在内存里做了手脚。那一刻我才意识到,NPU的安全问题不是“要不要考虑”,而是“什么时候踩坑”。
为什么NPU需要TEE
传统CPU上的TEE(Trusted Execution Environment)已经比较成熟,ARM的TrustZone、Intel的SGX都是老面孔。但NPU的情况特殊:模型参数和推理数据在CPU、NPU、内存之间频繁搬运,暴露面比CPU大得多。一个典型的攻击路径是这样的——攻击者通过系统漏洞获取root权限,然后直接读取NPU驱动分配的内存缓冲区,模型权重、输入图片、推理结果一览无余。更狠的是,可以在推理过程中修改权重,让模型输出攻击者想要的结果。
NPU的TEE要解决三个核心问题:模型参数的机密性(不让别人看到你的模型结构)、推理数据的完整性(确保输入输出没有被篡改)、以及执行过程的隔离性(防止侧信道攻击)。这三个目标在嵌入式场景下尤其难搞,因为资源受限,不能像服务器那样上全套加密方案。
硬件隔离是地基
NPU的TEE不能只靠软件,必须从硬件层面做隔离。目前主流方案是让NPU直接集成到SoC的TEE安全域中,和CPU共享同一个安全监控单元。具体做法是:在系统启动时,通过Boot ROM验证NPU固件的签名,然后由安全监控单元为NPU
)
