健康监测应用程序可以帮助人们管理慢性疾病或实现健身目标,只需一部智能手机即可。然而,这些应用程序可能会很慢且能源效率低下,因为支持它们的庞大机器学习模型必须在智能手机和中央内存服务器之间传输。
工程师通常使用硬件来加快速度,减少来回传输数据的需求。虽然这些机器学习加速器可以简化计算,但它们容易受到攻击者窃取机密信息的威胁。
为了减少这种漏洞,麻省理工学院(MIT)和MIT-IBM沃森人工智能实验室的研究人员创建了一种抵抗两种最常见攻击类型的机器学习加速器。他们的芯片可以在设备上高效运行巨大的人工智能模型,同时保护用户的健康记录、财务信息或其他敏感数据。
该团队开发了几种优化方法,既能提供强大的安全性,又只会轻微降低设备的速度。此外,增加的安全性不会影响计算的准确性。这种机器学习加速器对于增强现实、虚拟现实或自动驾驶等要求严格的人工智能应用程序尤为有益。
麻省理工学院电气工程与计算机科学(EECS)研究生Maitreyi Ashok表示,尽管实施该芯片会使设备稍微更昂贵且能源效率较低,但对于安全性来说,有时这是值得付出的代价。
“从一开始就要考虑安全性是很重要的。如果在系统设计完成后再试图增加一点安全性,代价将是无法承受的。我们在设计阶段能够有效地平衡这些权衡,”Ashok说道。
她的合著者包括麻省理工学院电气工程与计算机科学(EECS)研究生Saurav Maji、MIT-IBM沃森人工智能实验室的Xin Zhang和John Cohn,以及麻省理工学院首席创新和战略官、工程学院院长和Vannevar Bush EECS教授Anantha Chandrakasan。该研究将在IEEE定制集成电路会议上进行展示。
侧信道攻击易受攻击
研究人员针对一种称为数字内存计算(IMC)的机器学习加速器进行了研究。数字IMC芯片在设备的内存中执行计算,将机器学习模型的部分存储在从中央服务器传输过来的内存中。
整个模型太大无法存储在设备上,但通过将其分解为片段并尽可能多地重复使用这些片段,IMC芯片减少了必须来回传输的数据量。
但IMC芯片容易受到黑客攻击。在侧信道攻击中,黑客监视芯片的功耗,并使用统计技术来逆向工程数据,当芯片计算时。在总线探测攻击中,黑客可以通过探测加速器与芯片外存储器之间的通信来窃取模型和数据集的位。
Ashok表示,数字IMC通过同时执行数百万次操作来加速计算,但这种复杂性使得使用传统安全措施防止攻击变得困难。
她和她的合作者采取了三重方法来阻止侧信道和总线探测攻击。
首先,他们采用了一种安全措施,将IMC中的数据分成随机片段。例如,一个零位可能被分成三个位,在逻辑操作后仍然等于零。IMC从不在同一操作中计算所有片段,因此侧信道攻击永远无法重构真实信息。
但是,为了使这种技术起作用,必须添加随机位来分割数据。由于数字IMC同时执行数百万次操作,生成如此多的随机位将涉及太多计算。对于他们的芯片,研究人员找到了一种简化计算的方法,使其更容易有效地分割数据,同时消除了对随机位的需求。
其次,他们使用一种轻量级密码来防止总线探测攻击,该密码对存储在芯片外存储器中的模型进行加密。这种轻量级密码只需要简单的计算。此外,他们只在需要时解密存储在芯片上的模型的片段。
第三,为了提高安全性,他们在芯片上直接生成解密密码的密钥,而不是将其与模型一起来回传输。他们使用了一种称为物理不可克隆函数的方法,通过制造过程中引入的芯片随机变化来生成这个唯一的密钥。
Ashok解释说:“也许一根导线会比另一根导线稍微粗一点。我们可以利用这些变化从电路中获得0和1。对于每个芯片,我们可以获得一个应该是一致的随机密钥,因为这些随机属性随时间不应该发生显著变化。”
他们利用芯片上的存储单元,利用这些单元的缺陷来生成密钥。这比从头开始生成密钥需要更少的计算。
Chandrakasan表示:“随着安全性在边缘设备设计中变得至关重要,需要开发一个专注于安全操作的完整系统堆栈。这项工作专注于机器学习工作负载的安全性,并描述了一种使用交叉优化的数字处理器。它包括内存和处理器之间的加密数据访问、使用随机化防止侧信道攻击的方法,以及利用变异性生成唯一代码。这样的设计在未来的移动设备中将至关重要。”
安全测试
为了测试他们的芯片,研究人员扮演黑客的角色,试图使用侧信道和总线探测攻击窃取机密信息。
即使进行了数百万次尝试,他们也无法重构任何真实信息或提取模型或数据集的片段。密码也保持不可破解。相比之下,只需要约5000个样本就可以从未受保护的芯片中窃取信息。
增加安全性确实降低了加速器的能源效率,并且还需要更大的芯片面积,这将使其更昂贵。
该团队计划在未来探索能够降低芯片能耗和尺寸的方法,这将使其更容易大规模实施。
Ashok表示:“随着成本的增加,说服某人安全性至关重要变得更加困难。未来的工作可以探索这些权衡。也许我们可以使其稍微不那么安全,但更容易实施和更便宜。”
该研究部分由MIT-IBM沃森人工智能实验室、美国国家科学基金会和Mathworks工程奖学金资助。
