分类
麻省理工学院新闻

这种微型芯片可以保护用户数据,同时在智能手机上实现高效计算

A purple chip with a stylized machine learning background and lock icon.

健康监测应用程序可以帮助人们管理慢性病或保持健身目标,只需使用智能手机即可。然而,这些应用程序可能速度慢且能源效率低下,因为为它们提供动力的庞大机器学习模型必须在智能手机和中央存储服务器之间穿梭。

工程师经常使用硬件来加快速度,从而减少来回移动大量数据的需要。虽然这些机器学习加速器可以简化计算,但它们容易受到窃取秘密信息的攻击者的攻击。

为了减少这种漏洞,麻省理工学院和麻省理工学院-IBM沃森人工智能实验室的研究人员创建了一个机器学习加速器,可以抵抗两种最常见的攻击类型。他们的芯片可以保护用户的健康记录、财务信息或其他敏感数据的私密性,同时仍然使大型人工智能模型能够在设备上高效运行。

该团队开发了几项优化,可实现强大的安全性,同时仅略微降低设备速度。此外,增加的安全性不会影响计算的准确性。这种机器学习加速器可能特别有利于要求苛刻的人工智能应用,如增强现实和虚拟现实或自动驾驶。

虽然实施该芯片会使设备稍微昂贵且能效更低,但这有时是值得为安全付出的代价,麻省理工学院电气工程和计算机科学(EECS)研究生Maitreyi Ashok说。

“从头开始考虑安全性是很重要的。如果您试图在设计系统后添加最低限度的安全性,那么成本高得令人望而却步。在设计阶段,我们能够有效地平衡很多这些权衡,“Ashok 说。

她的合著者包括 EECS 研究生 Saurav Maji;麻省理工学院-IBM Watson AI 实验室的 Xin Zhang 和 John Cohn;以及资深作者Anantha Chandrakasan,麻省理工学院首席创新和战略官,工程学院院长和EECS的Vannevar Bush教授。该研究将在IEEE定制集成电路会议上发表。

侧信道敏感性

研究人员瞄准了一种称为数字内存计算的机器学习加速器。数字 IMC 芯片在设备内存中执行计算,机器学习模型的片段在从中央服务器移过来后被存储在内存中。

整个模型太大而无法存储在设备上,但通过将其分解成碎片并尽可能多地重复使用这些碎片,IMC 芯片减少了必须来回移动的数据量。

但IMC芯片容易受到黑客的攻击。在侧信道攻击中,黑客监控芯片的功耗,并在芯片计算时使用统计技术对数据进行逆向工程。在总线探测攻击中,黑客可以通过探测加速器和片外存储器之间的通信来窃取模型和数据集的位。

Ashok 说,数字 IMC 通过一次执行数百万次操作来加快计算速度,但这种复杂性使得使用传统安全措施来防止攻击变得困难。

她和她的合作者采取了三管齐下的方法来阻止侧信道和总线探测攻击。

首先,他们采用了一种安全措施,将 IMC 中的数据拆分为随机部分。例如,一个位零可能被拆分为三个位,在逻辑运算后仍然等于零。IMC 永远不会在同一操作中使用所有部分进行计算,因此侧信道攻击永远无法重建真实信息。

但是要使这种技术起作用,必须添加随机位来拆分数据。由于数字 IMC 同时执行数百万次操作,因此生成如此多的随机位将涉及过多的计算。对于他们的芯片,研究人员找到了一种简化计算的方法,可以更轻松地有效地拆分数据,同时消除对随机位的需求。

其次,他们使用一种轻量级密码来防止总线探测攻击,该密码对存储在片外存储器中的模型进行加密。这种轻量级密码只需要简单的计算。此外,他们只在必要时解密存储在芯片上的模型碎片。

第三,为了提高安全性,他们直接在芯片上生成了解密密码的密钥,而不是与模型来回移动。他们从制造过程中引入的芯片的随机变化中生成了这个独特的密钥,使用所谓的物理不可克隆功能。

“也许一根电线会比另一根电线粗一点。我们可以使用这些变化从电路中获取零和一。对于每个芯片,我们都可以得到一个应该一致的随机密钥,因为这些随机属性不应该随着时间的推移而发生显着变化,“Ashok 解释道。

他们重用了芯片上的存储单元,利用这些单元中的缺陷来生成密钥。这比从头开始生成密钥需要更少的计算量。

“由于安全性已成为边缘设备设计中的关键问题,因此需要开发一个完整的系统堆栈,专注于安全操作。这项工作重点关注机器学习工作负载的安全性,并描述了使用横切优化的数字处理器。它结合了内存和处理器之间的加密数据访问、使用随机化防止侧信道攻击的方法,以及利用可变性生成唯一代码。这种设计在未来的移动设备中至关重要,“Chandrakasan说。

安全测试

为了测试他们的芯片,研究人员扮演了黑客的角色,并试图使用侧信道和总线探测攻击来窃取秘密信息。

即使进行了数百万次尝试,他们也无法重建任何真实信息或提取模型或数据集的片段。密码也仍然牢不可破。相比之下,只需要大约5000个样本就可以从未受保护的芯片中窃取信息。

安全性的增加确实降低了加速器的能源效率,并且还需要更大的芯片面积,这将使制造成本更高。

该团队正计划探索未来可以降低芯片能耗和尺寸的方法,这将使其更容易大规模实施。

“由于它变得太昂贵,说服某人安全至关重要变得更加困难。未来的工作可以探索这些权衡。也许我们可以让它不那么安全,但更容易实施,成本更低,“Ashok说。

该研究部分由麻省理工学院-IBM Watson AI 实验室、美国国家科学基金会和 Mathworks 工程奖学金资助。

新闻旨在传播有益信息,英文版原文来自https://news.mit.edu/2024/tiny-chip-safeguards-user-data-while-enabling-efficient-computing-0423