健康监测应用程序只需使用智能手机即可帮助人们管理慢性疾病或保持健身目标。 然而,这些应用程序可能速度缓慢且能源效率低下,因为为它们提供动力的庞大机器学习模型必须在智能手机和中央内存服务器之间穿梭。
工程师经常使用硬件来加快速度,从而减少来回移动大量数据的需要。 虽然这些机器学习加速器可以简化计算,但它们很容易受到窃取秘密信息的攻击者的攻击。
为了减少此漏洞,麻省理工学院和 MIT-IBM Watson AI 实验室的研究人员创建了一个机器学习加速器,可以抵御两种最常见的攻击类型。 他们的芯片可以保护用户的健康记录、财务信息或其他敏感数据的私密性,同时仍然使大型人工智能模型能够在设备上高效运行。
该团队开发了多项优化,可实现强大的安全性,同时仅略微降低设备速度。 此外,增加的安全性不会影响计算的准确性。 这种机器学习加速器对于增强现实、虚拟现实或自动驾驶等要求苛刻的人工智能应用特别有利。
麻省理工学院电气工程与计算机科学 (EECS) 研究生、主要作者 Maitreyi Ashok 表示,虽然采用该芯片会使设备稍微昂贵且能效较低,但有时为了安全性付出的代价是值得的。
“从一开始就考虑到安全性进行设计非常重要。如果您在设计系统后尝试添加哪怕是最少量的安全性,其成本也会高得令人望而却步。我们能够有效地平衡其中的许多权衡在设计阶段,”阿肖克说。
她的合著者包括 EECS 研究生 Saurav Maji; MIT-IBM Watson AI 实验室的 Xin Zhang 和 John Cohn; 资深作者 Anantha Chandrakasan,麻省理工学院首席创新与战略官、工程学院院长、EECS 教授 Vannevar Bush。 该研究将在 IEEE 定制集成电路会议上发表。
侧通道敏感性
研究人员瞄准了一种称为数字内存计算的机器学习加速器。 数字 IMC 芯片在设备内存中执行计算,其中机器学习模型的各个部分从中央服务器转移后存储在内存中。
整个模型太大,无法存储在设备上,但通过将其分成多个部分并尽可能重复使用这些部分,IMC 芯片减少了必须来回移动的数据量。
但 IMC 芯片很容易受到黑客的攻击。 在旁道攻击中,黑客监视芯片的功耗,并在芯片计算时使用统计技术对数据进行逆向工程。 在总线探测攻击中,黑客可以通过探测加速器和片外存储器之间的通信来窃取模型和数据集的部分内容。
Ashok 表示,数字 IMC 通过同时执行数百万个操作来加速计算,但这种复杂性使得使用传统安全措施很难防止攻击。
她和她的合作者采取了三管齐下的方法来阻止侧通道和总线探测攻击。
首先,他们采用了一种安全措施,将 IMC 中的数据分为随机部分。 例如,一个位零可能会被分成三个位,在逻辑运算后仍然等于零。 IMC 永远不会在同一操作中使用所有部分进行计算,因此旁路攻击永远无法重建真实信息。
但要使该技术发挥作用,必须添加随机位来分割数据。 由于数字 IMC 同时执行数百万次操作,因此生成如此多的随机位将涉及太多的计算。 对于他们的芯片,研究人员找到了一种简化计算的方法,使其更容易有效地分割数据,同时消除对随机位的需要。
其次,他们使用轻量级密码来加密货币存储在片外存储器中的模型,从而防止总线探测攻击。 这种轻量级密码只需要简单的计算。 此外,他们仅在必要时解密存储在芯片上的模型片段。
第三,为了提高安全性,他们生成了直接在芯片上解密密码的密钥,而不是与模型一起来回移动它。 他们利用所谓的物理不可克隆函数,根据制造过程中引入的芯片随机变化生成了这个唯一的密钥。
“也许一根线会比另一根线粗一点。我们可以使用这些变化来从电路中获取零和一。对于每个芯片,我们可以获得一个应该一致的随机密钥,因为这些随机属性应该’随着时间的推移,不会发生显着变化,”阿肖克解释道。
他们重复使用了芯片上的存储单元,利用这些单元的缺陷来生成密钥。 这比从头开始生成密钥需要更少的计算。
“由于安全性已成为边缘设备设计中的一个关键问题,因此需要开发一个专注于安全操作的完整系统堆栈。这项工作重点关注机器学习工作负载的安全性,并描述了一种使用跨领域的数字处理器它结合了内存和处理器之间的加密货币数据访问、使用随机化防止旁路攻击的方法以及利用可变性生成独特代码,此类设计对于未来的移动设备至关重要。”
安全测试
为了测试他们的芯片,研究人员扮演了黑客的角色,试图利用侧通道和总线探测攻击来窃取秘密信息。
即使经过数百万次尝试,他们也无法重建任何真实信息或提取模型或数据集的片段。 密码也牢不可破。 相比之下,只需要大约 5,000 个样本就可以从未受保护的芯片中窃取信息。
安全性的增加确实降低了加速器的能源效率,而且还需要更大的芯片面积,这将使其制造成本更高。
该团队计划探索未来可以减少芯片能耗和尺寸的方法,这将使其更容易大规模实施。
“由于成本太高,要让人们相信安全至关重要变得更加困难。未来的工作可以探索这些权衡。也许我们可以让它的安全性降低一些,但更容易实施且成本更低,”阿肖克说。
该研究的部分资金由 MIT-IBM Watson AI 实验室、美国国家科学基金会和 Mathworks 工程奖学金资助。
资讯来源:由a0资讯编译自THECOINREPUBLIC。版权归作者A0资讯所有,未经许可,不得转载