研究人员利用这种微型芯片为高耗电的人工智能模型开发了一种安全解决方案,可以针对两种常见的攻击提供保护。
健康监测应用程序 只需使用智能手机,就可以帮助人们管理慢性疾病或保持健身目标。然而,这些应用程序可能速度缓慢且能源效率低下,因为为它们提供动力的庞大机器学习模型必须在智能手机和中央内存服务器之间穿梭。
工程师经常使用硬件来加快速度,从而减少来回移动大量数据的需要。虽然这些机器学习加速器可以简化计算,但它们很容易受到窃取秘密信息的攻击者的攻击。
为了减少此漏洞,麻省理工学院和 MIT-IBM Watson AI 实验室的研究人员创建了一种机器学习加速器,可以抵御两种最常见的攻击类型。他们的芯片可以保护用户的健康记录、财务信息或其他敏感数据的私密性,同时仍然使大型人工智能模型能够在设备上高效运行。
该团队开发了多项优化,可实现强大的安全性,同时仅略微降低设备速度。此外,增加的安全性不会影响计算的准确性。这种机器学习加速器对于增强现实、虚拟现实或自动驾驶等要求苛刻的人工智能应用特别有利。
麻省理工学院电气工程与计算机科学 (EECS) 研究生、主要作者 Maitreyi Ashok 表示,虽然采用该芯片会使设备稍微昂贵且能效较低,但有时为了安全性付出的代价是值得的。
“从一开始就考虑到安全性是很重要的。如果您在设计系统后尝试添加哪怕是最少量的安全性,其成本也将高得令人望而却步。我们能够在设计阶段有效地平衡许多这些权衡,”阿肖克说。
她的合著者包括 EECS 研究生 Saurav Maji; MIT-IBM Watson AI 实验室的 Xin Zhang 和 John Cohn;资深作者 Anantha Chandrakasan,麻省理工学院首席创新与战略官、工程学院院长、EECS 教授 Vannevar Bush。该研究将在 IEEE 定制集成电路会议上发表。
侧通道敏感性
研究人员瞄准了一种称为数字内存计算的机器学习加速器。数字 IMC 芯片在设备内存中执行计算,其中机器学习模型的各个部分从中央服务器转移后存储在内存中。
整个模型太大,无法存储在设备上,但通过将其分成多个部分并尽可能重复使用这些部分,IMC 芯片减少了必须来回移动的数据量。
但 IMC 芯片很容易受到黑客的攻击。在侧信道攻击中,黑客监视芯片的功耗,并在芯片计算时使用统计技术对数据进行逆向工程。在总线探测攻击中,黑客可以通过探测加速器和片外存储器之间的通信来窃取模型和数据集的部分内容。
Ashok 表示,数字 IMC 通过同时执行数百万个操作来加速计算,但这种复杂性使得使用传统安全措施很难防止攻击。
她和她的合作者采取了三管齐下的方法来阻止侧通道和总线探测攻击。
首先,他们采用了一种安全措施,将 IMC 中的数据分为随机部分。例如,一个位零可能会被分成三个位,在逻辑运算后这些位仍然等于零。 IMC 永远不会在同一操作中使用所有部分进行计算,因此旁路攻击永远无法重建真实信息。
但要使该技术发挥作用,必须添加随机位来分割数据。由于数字 IMC 同时执行数百万次操作,生成如此多的随机位将涉及太多的计算。对于他们的芯片,研究人员找到了一种简化计算的方法,使其更容易有效地分割数据,同时消除对随机位的需要。
其次,他们使用轻量级密码来加密存储在片外存储器中的模型,从而防止总线探测攻击。这种轻量级密码只需要简单的计算。此外,他们仅在必要时解密存储在芯片上的模型片段。
第三,为了提高安全性,他们生成了直接在芯片上解密密码的密钥,而不是与模型一起来回移动它。他们利用所谓的物理不可克隆函数,根据制造过程中引入的芯片随机变化生成了这个唯一的密钥。
“也许一根电线会比另一根粗一些。我们可以利用这些变化从电路中得到零和一。对于每个芯片,我们可以获得一个应该一致的随机密钥,因为这些随机属性不应该随着时间的推移而发生显着变化,”Ashok 解释道。
他们重复使用了芯片上的存储单元,利用这些单元的缺陷来生成密钥。这比从头开始生成密钥需要更少的计算。
“由于安全性已成为边缘设备设计中的关键问题,因此需要开发专注于安全操作的完整系统堆栈。这项工作重点关注机器学习工作负载的安全性,并描述了使用横切优化的数字处理器。它结合了内存和处理器之间的加密数据访问、使用随机化防止旁道攻击的方法以及利用可变性生成唯一代码。此类设计对于未来的移动设备至关重要。”Chandrakasan 说道。
安全测试
为了测试他们的芯片,研究人员扮演了黑客的角色,试图利用侧通道和总线探测攻击来窃取秘密信息。
即使经过数百万次尝试,他们也无法重建任何真实信息或提取模型或数据集的片段。密码也牢不可破。相比之下,只需要大约 5,000 个样本就可以从未受保护的芯片中窃取信息。
安全性的增加确实降低了加速器的能源效率,而且还需要更大的芯片面积,这将使其制造成本更高。
该团队计划探索未来可以减少芯片能耗和尺寸的方法,这将使其更容易大规模实施。
“由于成本太高,让人们相信安全至关重要变得更加困难。未来的工作可以探索这些权衡。也许我们可以降低它的安全性,但更容易实施且成本更低,”阿肖克说。
亚当·泽威 编剧
