Pētnieki ir izstrādājuši drošības risinājumu ar šo mazo mikroshēmu enerģijas izsalkušiem AI modeļiem, kas nodrošina aizsardzību pret diviem izplatītiem uzbrukumiem.
Veselības uzraudzības lietotnes var palīdzēt cilvēkiem pārvaldīt hroniskas slimības vai sasniegt fitnesa mērķus, izmantojot tikai viedtālruni. Tomēr šīs lietotnes var būt lēnas un energoefektīvas, jo plašajiem mašīnmācības modeļiem, kas tos darbina, ir jāpārvieto starp viedtālruni un centrālo atmiņas serveri.
Inženieri bieži paātrina darbu, izmantojot aparatūru, kas samazina vajadzību pārvietot tik daudz datu uz priekšu un atpakaļ. Lai gan šie mašīnmācīšanās paātrinātāji var racionalizēt aprēķinus, tie ir jutīgi pret uzbrucējiem, kuri var nozagt slepenu informāciju.
Lai samazinātu šo ievainojamību, pētnieki no MIT un MIT-IBM Watson AI Lab izveidoja mašīnmācības paātrinātāju, kas ir izturīgs pret diviem visbiežāk sastopamajiem uzbrukumu veidiem. Viņu mikroshēma var saglabāt lietotāja veselības ierakstus, finanšu informāciju vai citus sensitīvus datus privātus, vienlaikus ļaujot milzīgiem AI modeļiem efektīvi darboties ierīcēs.
Komanda izstrādāja vairākas optimizācijas, kas nodrošina spēcīgu drošību, vienlaikus tikai nedaudz palēninot ierīces darbību. Turklāt papildu drošība neietekmē aprēķinu precizitāti. Šis mašīnmācīšanās paātrinātājs varētu būt īpaši noderīgs prasīgām AI lietojumprogrammām, piemēram, paplašinātajai un virtuālajai realitātei vai autonomai braukšanai.
Lai gan mikroshēmas ieviešana padarītu ierīci nedaudz dārgāku un mazāk energoefektīvu, tā dažreiz ir vērtīga cena, kas jāmaksā par drošību, saka vadošais autors Maitreyi Ashok, MIT elektrotehnikas un datorzinātņu (EECS) absolvents.
“Ir svarīgi izstrādāt, ņemot vērā drošību jau no paša sākuma. Ja jūs mēģināt pievienot pat minimālu drošības līmeni pēc sistēmas projektēšanas, tas ir pārmērīgi dārgi. Mēs spējām efektīvi līdzsvarot daudzus no šiem kompromisiem projektēšanas fāzē,” saka Ašoks.
Viņas līdzautori ir Sauravs Maji, EECS absolvents; Xin Zhang un John Cohn no MIT-IBM Watson AI Lab; un vecākā autore Anantha Chandrakasan, MIT galvenā inovāciju un stratēģijas vadītāja, Inženierzinātņu skolas dekāns un Vannevara Buša EECS profesore. Pētījums tiks prezentēts IEEE pielāgoto integrēto shēmu konferencē.
Sānu kanālu jutība
Pētnieki mērķēja uz mašīnmācības paātrinātāja veidu, ko sauc par digitālo atmiņas aprēķinu. Digitālā IMC mikroshēma veic aprēķinus ierīces atmiņā, kur mašīnmācības modeļa daļas tiek saglabātas pēc pārvietošanas no centrālā servera.
Viss modelis ir pārāk liels, lai to uzglabātu ierīcē, taču, sadalot to gabalos un atkārtoti izmantojot šos gabalus, cik vien iespējams, IMC mikroshēmas samazina datu apjomu, kas jāpārvieto uz priekšu un atpakaļ.
Taču IMC mikroshēmas var būt uzņēmīgas pret hakeriem. Sānu kanāla uzbrukumā hakeris uzrauga mikroshēmas enerģijas patēriņu un izmanto statistikas metodes, lai mikroshēmas aprēķinu laikā apgrieztu datus. Kopnes zondēšanas uzbrukumā hakeris var nozagt modeļa un datu kopas bitus, pārbaudot saziņu starp akseleratoru un atmiņu ārpus mikroshēmas.
Digital IMC paātrina aprēķinus, vienlaikus veicot miljoniem darbību, taču šī sarežģītība apgrūtina uzbrukumu novēršanu, izmantojot tradicionālos drošības pasākumus, saka Ašoks.
Viņa un viņas līdzstrādnieki izmantoja trīs veidu pieeju sānu kanālu un autobusu zondēšanas uzbrukumu bloķēšanai.
Pirmkārt, viņi izmantoja drošības līdzekli, kurā IMC dati tiek sadalīti nejaušās daļās. Piemēram, nulles bitu var sadalīt trīs bitos, kas pēc loģiskas darbības joprojām ir vienādi ar nulli. IMC nekad neaprēķinās ar visām daļām vienā un tajā pašā darbībā, tāpēc sānu kanāla uzbrukums nekad nevarētu rekonstruēt patieso informāciju.
Bet, lai šī tehnika darbotos, datu sadalīšanai ir jāpievieno nejauši biti. Tā kā digitālā IMC vienlaikus veic miljoniem darbību, tik daudz nejaušu bitu ģenerēšana būtu saistīta ar pārāk daudz skaitļošanas. Savai mikroshēmai pētnieki atrada veidu, kā vienkāršot aprēķinus, atvieglojot efektīvu datu sadalīšanu, vienlaikus novēršot vajadzību pēc nejaušiem bitiem.
Otrkārt, viņi novērsa kopnes zondēšanas uzbrukumus, izmantojot vieglu šifru, kas šifrē modeli, kas saglabāts ārpus mikroshēmas atmiņā. Šim vieglajam šifram ir nepieciešami tikai vienkārši aprēķini. Turklāt viņi tikai vajadzības gadījumā atšifrēja mikroshēmā saglabātos modeļa gabalus.
Treškārt, lai uzlabotu drošību, viņi ģenerēja atslēgu, kas atšifrē šifru tieši mikroshēmā, nevis pārvietoja to uz priekšu un atpakaļ ar modeli. Viņi ģenerēja šo unikālo atslēgu no nejaušām mikroshēmas variācijām, kas tiek ieviestas ražošanas laikā, izmantojot tā dēvēto fiziski neklonējamo funkciju.
“Varbūt viens vads būs nedaudz biezāks par otru. Mēs varam izmantot šīs variācijas, lai no ķēdes izņemtu nulles un vieniniekus. Katrai mikroshēmai mēs varam iegūt nejaušu atslēgu, kurai vajadzētu būt konsekventai, jo šīm nejaušajām īpašībām laika gaitā nevajadzētu būtiski mainīties, ”skaidro Ašoks.
Viņi atkārtoti izmantoja mikroshēmas atmiņas šūnas, izmantojot šo šūnu nepilnības, lai ģenerētu atslēgu. Tas prasa mazāk aprēķinu nekā atslēgas ģenerēšana no nulles.
"Tā kā drošība ir kļuvusi par kritisku problēmu malu ierīču dizainā, ir jāizstrādā pilnīga sistēmas kopa, koncentrējoties uz drošu darbību. Šajā darbā galvenā uzmanība pievērsta mašīnmācības darba slodžu drošībai un aprakstīts digitālais procesors, kas izmanto starpnozaru optimizāciju. Tas ietver šifrētu piekļuvi datiem starp atmiņu un procesoru, pieejas sānu kanālu uzbrukumu novēršanai, izmantojot randomizāciju, un mainīguma izmantošanu unikālu kodu ģenerēšanai. Šādi dizaini būs ļoti svarīgi nākotnes mobilajās ierīcēs, ”saka Čandrakasans.
Drošības pārbaude
Lai pārbaudītu savu mikroshēmu, pētnieki uzņēmās hakeru lomu un mēģināja nozagt slepenu informāciju, izmantojot sānu kanālu un autobusu zondēšanas uzbrukumus.
Pat pēc miljoniem mēģinājumu viņi nevarēja rekonstruēt reālu informāciju vai iegūt modeļa vai datu kopas daļas. Šifrs arī palika nesalaužams. Turpretim, lai nozagtu informāciju no neaizsargātas mikroshēmas, bija nepieciešami tikai aptuveni 5,000 paraugu.
Drošības pievienošana patiešām samazināja akseleratora energoefektivitāti, kā arī bija nepieciešams lielāks mikroshēmas laukums, kas sadārdzinātu tā izgatavošanu.
Komanda plāno izpētīt metodes, kas nākotnē varētu samazināt enerģijas patēriņu un mikroshēmas izmēru, kas atvieglotu to ieviešanu mērogā.
“Tā kā tas kļūst pārāk dārgs, kļūst grūtāk kādu pārliecināt, ka drošība ir ļoti svarīga. Turpmākais darbs varētu izpētīt šos kompromisus. Varbūt mēs varētu padarīt to nedaudz mazāk drošu, bet vieglāk īstenojamu un lētāku, ”saka Ašoks.
Autors Adam Zewe
