概述

保护使用中的 AI

AI 模型与数据具有高价值，因此成为盗窃和篡改的主要目标。监管机构对 AI 隐私与数据主权的保护要求日益提高。操作系统或虚拟机管理程序等宿主软件会为应用分配资源。在此过程中，宿主软件能够查看和修改应用的内容。为确保机密性、合规性和市场准入资格，AI 应用必须具备充足的资源支持，同时确保宿主软件或其他租户无法访问其代码和数据。

Arm 机密计算架构可助力实现这一目标。基于硬件的可信执行环境和参考软件可以保护使用中的 AI 模型和数据。

为何选择 Arm

为何选择 Arm 机密计算架构？

专为 AI 打造：配备机密领域管理扩展 (RME) (RME) 的 Armv9-A 可创建安全的“机密领域”来隔离模型和数据。机密领域属于可信执行环境。
CPU + GPU 保护：将信任边界扩展至加速器，不受限制地保护 AI 工作负载。
可扩展且高效：机密领域可以随模型规模扩展，并支持从非机密虚拟机直接迁移。
开源可审计的参考软件：开发过程对安全社区完全透明。
符合相关标准：积极参与全球安全社区，减少技术碎片化，确保全球一致性。

优势

AI 市场的优势

由于不同环境下都能采用一致的机密计算方案，安全主管可以实现一致的管控措施并简化合规流程，从而确保统一的风险态势。

运作方式

Arm 机密计算架构的运作方式

Arm 机密计算架构涉及 3 种主要执行状态： 

普通环境：用于运行非机密计算工作负载，包括 KVM 等主机虚拟机管理程序。
安全环境：用于运行作为 TrustZone 架构一部分的第一方安全软件。
机密领域环境：用于支持基于机密领域的机密计算。

普通环境、机密领域与安全环境之间的切换由 TF-A 监视器在第四种执行状态（根环境）下执行。  

TEE 示意图

机密领域管理监视器 (TF-RMM) 是机密领域中的控制软件，它会对普通环境中虚拟机管理程序的请求做出响应，支持对机密领域 VM 的执行进行管理。RMM 通过 TF-A 监视器进行通信，以控制普通物理地址空间 (PAS) 与机密领域 PAS 之间的内存转换。 

RMM 负责管理通信和上下文切换，但不负责做出策略决策，例如运行哪个机密领域、为某个机密领域分配哪些内存等。这些决策仍由主机虚拟机管理程序负责，这与其管理整个系统资源的角色一致。

TF-RMM 在机密领域 EL2 层级运行，而 TF-A 监视器在 CPU 的信任根层级运行。两者均已开放并接受社区贡献，相关资源可在 TrustedFirmware.org 上获取。

关键资源

保护使用中的 AI

为何选择 Arm 机密计算架构？

AI 市场的优势

云

边缘侧

Arm 机密计算架构的运作方式

学习架构：机密领域管理扩展 (RME)

学习架构：Arm 机密计算架构简介

学习架构：Arm 机密计算架构软件栈

Arm 机密领域管理扩展 (RME) 系统架构

机密领域管理扩展 (RME)

Arm 系统内存管理单元 (SMMU) 架构补充

ARM 架构参考手册补充：适用于 A 系列架构的内存系统资源分区和监控 (MPAM)

机密领域管理监视器规范

Arm 机密计算架构 (CCA) 安全模型 (SM)

由 Arm 和 Linaro 主办的 CCA 技术活动

ARM 账户

保护使用中的 AI

为何选择 Arm 机密计算架构？

AI 市场的优势

云

边缘侧

Arm 机密计算架构的运作方式

学习架构：机密领域管理扩展 (RME)

学习架构：Arm 机密计算架构简介

学习架构：Arm 机密计算架构软件栈

Arm 机密领域管理扩展 (RME) 系统架构

机密领域管理扩展 (RME)

Arm 系统内存管理单元 (SMMU) 架构补充

ARM 架构参考手册补充：适用于 A 系列架构的内存系统资源分区和监控 (MPAM)

机密领域管理监视器规范

Arm 机密计算架构 (CCA) 安全模型 (SM)

由 Arm 和 Linaro 主办的 CCA 技术活动