096、NPU的模型加密：硬件解密引擎一次深夜的产线崩溃凌晨两点，产线QA打来电话：“新批次的NPU板卡，跑模型推理全部报错，解密失败。”我盯着日志里那行“Decryption engine timeout”发呆。这批板卡用的是新封装的NPU芯片，按理说硬件解密引擎应该比上一代快三倍才对。拆开一台设备，用JTAG挂上调试器，发现解密引擎的DMA传输在读取密钥表时卡死了——密钥表地址被写成了0xDEADBEEF。这不是硬件bug，是有人在烧录固件时把密钥表的偏移量算错了。这种问题在嵌入式NPU开发中太常见了。模型加密不是简单的“把文件加密再解密”，它涉及芯片内部的硬件解密引擎、密钥管理单元、DMA控制器、甚至片内SRAM的物理隔离。今天这篇笔记，就聊聊NPU硬件解密引擎的那些坑。硬件解密引擎到底长什么样别被“引擎”这个词唬住。在NPU内部，解密引擎其实就是一组专门做加解密运算的状态机，外加几个控制寄存器。它通常挂在系统总线上，和NPU核心、DMA控制器、片内SRAM共享一条AXI总线。典型的硬件解密引擎包含：密钥寄存器组：存放解密用的密钥，通常是AES-128/256。注意，这些寄存器在芯片复位后必须立即清零，否则密钥会泄露。我见过某款芯片的勘误表，复位时序没处理好，密钥在SRAM里残留了200微秒。解密状态机：处理数据流的分组、模式（ECB/CBC/CTR等）。CBC模式需要IV向量，这个IV通常从模型文件的头部解析出来。