随着出口管制的加强以及人们对人工智能芯片走私和假冒的担忧日益加剧，位置验证作为一种以最小努力加强供应链监督的方式正受到越来越多的关注。

过去，这种追踪方式是安排一名或多名员工在晶圆厂现场监督整个生产流程，全程跟踪芯片直至目的地，并记录每个密封的包装箱。这种方法成本高昂，而且容易被滥用。从 GDSII 代码交付到晶圆厂，到最终交付给客户，在供应链的每个阶段，都很难记录数百万个芯片，而且如果涉及来自多个来源的多个芯片，这种方法会变得非常难以操作。

或许更重要的是，既然已经有技术可以更好地保护供应链，为什么还要派人去维护呢？这个问题的答案很复杂，而且可能带有政治色彩。但技术正在进步和改进。

有几种主要方法可以随时跟踪芯片的位置（从制造到目的地），包括：

以上所有方法都依赖于相对成熟的现有方法，并且比中间人解决方案具有更高的粒度。位置验证可以追踪芯片的发货地点，甚至包括芯片的使用时间。

“如果你拥有验证技术，那么你就可以鱼与熊掌兼得，”进步研究所 (Institute for Progress) 的技术研究员陶·布尔加 (Tao Burga) 说道，他专注于加速人工智能安全领域的研发。“这是一种减少权衡的方法，你可以将更多芯片运送到可能不太受信任的国家，并确保这些芯片不会被转移到敌对的国家。”

这些方法都不是完美的——至少就其本身而言并非完美。芯片或多芯片封装的全球定位系统或许能够追踪每一个动作，但它也可能具有侵入性，容易被欺骗，并消耗宝贵的芯片资源。因此，虽然对手肯定不喜欢它，但客户也并不总是喜欢它。这反过来又促使了一些创新，以帮助减轻负面影响。

“我们有一种依赖于ping邻近系统的水印技术，”佛罗里达大学电子与计算机工程系杰出教授、Caspia Technologies联合创始人马克·特赫拉尼普尔（Mark Tehranipoor）说道。“如果你将一个系统与其他系统分开，其他系统也会知道这一点。因此，你得把整个邻近系统也一起移走。这不是GPS追踪，而是本地验证。这种方式侵入性较低，但可以让你显示：‘嘿，我们卖给沙特阿拉伯的系统有没有出现在其他地方？’这些系统一直在互相通信。‘嘿，你在吗？’另一个系统会说：‘是的，我在这里。’所以你不知道它们的具体位置，但你知道它们在一起。”

显而易见的是，没有一种方法能在所有地方都发挥最佳作用。不同类型的芯片或系统，其经济风险和政治边界可能存在巨大差异。因此，即使目标相同，解决方案也会因对定位精度的需求以及确保信息正确所需的功耗、性能和成本而存在巨大差异。

例如，Ping 技术已用于数据主权目的。在基础层面上，可以通过从已知位置的服务器向存储数据的另一台服务器发送 ping 消息，并测量 ping 返回的往返时间来确定位置。难点在于确定这些 ping 消息是否正确。

Rambus硅片安全高级总监 Scott Best 表示：“通过经过身份验证的网络连接，这个问题可以得到解决。目前有一些解决方案，‘如果你选择全球三台 Google 服务器，并测量每台服务器的 ping 响应时间，你就可以进行三角测量并找出你在世界上的位置。互联网只能以大约光速的三分之二来传输 ping，这意味着在美国，从东海岸到西海岸大约需要 20 毫秒。测量这些数据的时间短得惊人。

问题是，如果你把其中一个系统放到一个私人数据中心，你就可以欺骗所有你想要的 Google 服务器，这样你的芯片就会非常高兴地认为，‘我离 Google 服务器只有 5 毫秒的距离。’不，你不会，但他们正在伪造你的芯片试图联系的所有IP地址，以确定它的位置。

但是，如果你在其中添加一个身份验证组件，对网络流量进行充分的身份验证，并且你有一个像我们这样的运行完整网络堆栈的安全处理器，那么你就可以将那些经过身份验证的网络测量结果作为启动过程的一部分。所以现在你可以说：“我可靠地位于这些可信地理位置服务器的距离内，因此我可以在一定程度上知道我是在北美而不是东北亚运营。”

在高价值芯片（例如用于人工智能的芯片）中，可以添加安全层以加密方式签署 ping 并尽快将其发回。

新思科技首席安全技术专家兼科学家 Mike Borza 表示：“实时位置追踪意味着你有一种确定自身位置的方法，而实现这一目标的方法有很多。几乎所有方法都涉及某种无线电或网络技术，让你了解设备的位置，这意味着设备中嵌入了某种技术，它会一直试图确定你的位置，并且以低功耗进行操作。这会影响到你需要将哪些原本可能不需要的技术融入芯片中，以便能够确定芯片此刻的运行位置。”

它还需要合适的基础设施才能运行。“这意味着人们需要绘制所有频谱范围内的所有固定无线设备，包括蓝牙设备和 ZigBee 设备，”Borza 说。“你会像谷歌几年前那样，绘制所有 Wi-Fi 热点的地图吗？那个数据库现在已经过时了，需要更新。但是，如果使用这些技术来定位设备并了解其运行位置——人们也在谈论地理围栏，即设备在进入特定区域时停止运行——那么你将面临巨大的成本。这会缩短电池寿命，增加功耗，并且需要大量的软件。而对于那些想要继续运营这些设备的人来说，这很容易被击败。”

这也增加了芯片的成本。英飞凌公司密码学和产品安全高级总监埃里克·伍德 (Erik Wood)于 2020 年进行了一项差距分析，以确定嵌入位置跟踪所需的条件，并使用英飞凌一家分包商设施中的隔离安全室进行最终编程和测试。

“出于各种原因，这会让原本售价 2 美元的微控制器变成 5 美元，”Wood 说。“你必须设定最低数量，必须保证满负荷运转。而且使用那个房间和那些机器的费用要高得多，所以这在实际操作中并不合理。所以我们最终的做法是建立并依赖基于芯片的安全机制，这样我们就可以相信该设备可以通过加密方式被识别为英飞凌原产芯片。它可以完成所有这些步骤，然后，如果客户愿意并且关心它，他们可以进行回溯，以确保即使他们没有看到芯片上的纸质记录，他们也能确信，在纸质记录的整个过程中，该设备从未受到过任何损害。”

英飞凌目前向客户提供加密来源证明。

“我们的做法是，在原产地、工厂放入加密密钥，然后在整个供应链中保护设备，这样当最终用户（OEM）拿到设备时，”伍德说。“他们实际上接管信任根的唯一方法是上网获取所谓的 CSR（证书签名请求），这是一种证书令牌，它赋予他们接管安全系统、加载新策略、加载新密钥以及执行我们所谓的‘入口检查’的能力，即检查所有非易失性存储器，以确保没有任何不该存在的内容。”

地理围栏技术则更进一步。位置验证仅能确认芯片的大致位置。如果芯片位于授权区域之外，地理围栏技术可以限制或禁用芯片的功能。

“[验证]实际上并没有增加新的攻击面，”Burga 说。“地理围栏则完全不同。当然，如果你正在创建远程关闭芯片的功能，这可能会产生新的安全漏洞。任何能够关闭芯片的机构都可能单方面这样做，即使分配数据不一致。即使你有一个多方系统，这也不是问题，你可能仍然在为不受信任的参与者创建一种访问和使用此功能的方法。”

因此，布尔加表示，地理围栏方案仍然存在争议，而验证机制被认为在短期内更为可行。但所有选项都在考虑范围内。

根据华盛顿智库新美国安全中心的一份报告，“芯片上治理机制可以帮助保障广泛功能的人工智能和超级计算系统的开发和部署，其中芯片上机制可以防止或限制未经授权的行为者使用出口管制的人工智能芯片。”

什么可以运送到哪里是复杂、多变的，而且往往是模糊的。

“负责制定先进人工智能芯片出口管制的工业安全局，会将芯片运往需要许可证或不需要许可证的目的地，”布尔加说，“有些国家可以发货，有些国家不行，或者需要许可证，但许可证根本就没有发放。芯片离开装运港后，根本就没办法找到它。你可以进行现场检查，但这种事实际上不会发生。”

人工智能政策与战略研究所的报告显示，从马来西亚和新加坡等国转移的人工智能芯片已被移交给中国，并出售给那里的初创公司。“这是一种基于荣誉的体系，”布尔加说。

这种灰色市场的伎俩也容易引发其他问题。“供应链总是对我系统中的芯片是否为正品很感兴趣，”Rambus 的 Best 说。“我能证明它是正品吗？我能追踪到它的可追溯性，以便知道它是如何到达这里的，以及它不是从系统中被盗，重新制造后交给我的吗？如果它被以某种对抗性的方式修改了，我能监控它的可追溯性吗？” 那么，现在你就面临一个转移问题。如果这个系统在加拿大被盗并空运到朝鲜，现在它在那里运行怎么办？我们能检测到吗？他们不太关心可追溯性。他们很乐意拿走那个芯片，然后在私人数据中心使用。

美国政府已表示有意将位置验证作为其人工智能和半导体安全更广泛战略的一部分。《芯片安全法案》已包含验证条款，但正在讨论的修正案将允许公司使用现场检查作为替代方案。

“人工智能行动计划明确指出，位置验证是政府应该进一步探索的领域，”布尔加说道。“这体现了政府总体发展方向。这并非巧合，因为新政府的政策不仅注重出口管制，也注重出口促进。”

位置验证似乎符合当前的政策趋势，即在支持美国技术出口的同时解决国家安全问题。“很多人对此感到兴奋，因为这是一种低调的干预措施，”他说道。“还有其他关于如何提高芯片安全性的方案，但这些方案需要更多的研发投入，而且目前尚不清楚它们是否可行，尤其是在短期内。位置验证的突出之处在于它不会带来太多负面影响，反而能极大地提升了解芯片最终去向的能力，这既可以实现专家管控的目标，也可以促进出口。”

尽管如此，仍然存在严重的隐私问题，并且存在安全递送芯片的替代方法。然而，值得注意的是位置验证和追踪技术的普遍性。

是德科技董事总经理 Maarten Bron 表示：“如果你读到政府、银行或保险公司利用定位服务的消息，这确实令人担忧。但一旦你安装了 Instagram，你被问到的第一个问题就是：‘我可以使用你的位置信息吗？’你会毫不犹豫地点击‘是’。因此，定位服务是否构成入侵，也与谁在请求你的位置信息有关。”

这也引发了关于他们何时提出要求的问题。“如果你看看数据中心，你会发现供应链也包括使用寿命终止，因为存储机架最终必须退役，”布朗说。如果有一定比例的磁盘发生故障，机架就必须退役。那么如何擦除数据呢？如今，我们经常看到的是加密擦除，数据的加密密钥会被清除。这让我们假设数据永远消失了。但是，如果有人能够利用聚焦离子束或其他方法重建用于保护数据的密钥呢？突然之间，一切又恢复了正常。芯片中有一些唯一标识符，还有微软和谷歌会在数据失效后添加的场熵。但是，如果这些安全资产可以从芯片中提取出来，理论上就可以伪造 CPU 或 GPU，使其拥有完全不同的生命周期。所以，这不仅仅关乎芯片何时进入供应链，还关乎芯片何时从数据中心退役并被其他产品取代。

*免责声明：本文由作者原创。文章内容系作者个人观点，人工智能产业链联盟转载仅为了传达一种不同的观点，不代表人工智能产业链联盟对该观点赞同或支持，如果有任何异议，欢迎联系半导体行业观察。