MIT研究人员开发出微型芯片 可保护用户数据同时实现高效计算

盖世汽车讯 健康监测应用程序只需使用智能手机即可帮助人们管理慢性疾病或保持健身目标。然而，这些应用程序可能速度缓慢且能源效率低下，因为提供动力的庞大机器学习模型必须在智能手机和中央内存服务器之间穿梭。工程师们经常使用硬件来加快速度，从而减少来回移动大量数据的需要。虽然这些机器学习加速器可以简化计算，但它们很容易受到窃取秘密信息的攻击者的攻击。

据外媒报道，为了减少此漏洞，麻省理工学院（MIT）和MIT-IBM沃森人工智能实验室（MIT-IBM Watson AI Lab）的研究人员创建了一种机器学习加速器，可以抵御两种最常见的攻击类型。这种芯片可以保护用户的健康记录、财务信息或其他敏感数据的私密性，同时仍然使大型人工智能模型能够在设备上高效运行。

图片来源：麻省理工学院

该团队开发了多项优化，可实现强大的安全性，同时仅略微降低设备速度。此外，增加的安全性不会影响计算的准确性。这种机器学习加速器对于增强现实、虚拟现实或自动驾驶等要求苛刻的人工智能应用特别有利。

麻省理工学院电气工程与计算机科学（EECS）研究生、主要作者Maitreyi Ashok表示，虽然采用该芯片会使设备稍微昂贵且能效较低，但有时为了安全性付出的代价是值得的。

“从一开始就考虑到安全性进行设计非常重要。如果在设计系统后尝试添加，哪怕是最少量的安全性，其成本也会高得令人望而却步。我们能够在设计阶段有效地平衡许多这些因素，”Ashok表示。

该论文合著者包括EECS研究生Saurav Maji；MIT-IBM Watson AI实验室的Xin Zhang和John Cohn；资深作者Anantha Chandrakasan。

侧信道敏感性

研究人员瞄准了一种称为数字内存计算的机器学习加速器。数字IMC芯片在设备内存中执行计算，其中机器学习模型的各个部分从中央服务器转移后存储在内存中。整个模型太大，无法存储在设备上，但通过将其分成多个部分并尽可能重复使用这些部分，IMC芯片减少了必须来回移动的数据量。

但IMC芯片很容易受到黑客的攻击。在侧信道攻击中，黑客监视芯片的功耗，并在芯片计算时使用统计技术对数据进行逆向工程。在总线探测攻击中，黑客可以通过探测加速器和片外存储器之间的通信来窃取模型和数据集的部分内容。

Ashok表示，数字IMC通过同时执行数百万个操作来加速计算，但这种复杂性使得使用传统安全措施很难防止攻击。Ashok及其合作者采取了三管齐下的方法来阻止侧信道和总线探测攻击。

首先，他们采用了一种安全措施，将IMC中的数据分为随机部分。例如，一个位零（bit zero）可能会被分成三个位，在逻辑运算后这些位仍然等于零。该IMC永远不会在同一操作中使用所有部分进行计算，因此侧信道攻击永远无法重建真实信息。

但要使该技术发挥作用，就必须添加随机位来分割数据。由于数字IMC同时执行数百万次操作，因此生成如此多的随机位将涉及太多的计算。对于此次研究的芯片，研究人员找到了一种简化计算的方法，使其更容易有效地分割数据，同时消除对随机位的需要。

其次，研究人员使用轻量级密码来加密存储在片外存储器中的模型，从而防止总线探测攻击。这种轻量级密码只需要简单的计算。此外，研究人员仅在必要时解密存储在芯片上的模型片段。

第三，为了提高安全性，研究人员生成了直接在芯片上解密密码的密钥，而不是与模型一起来回移动它。研究人员利用所谓的物理不可克隆函数（physically unclonable function），根据制造过程中引入的芯片随机变化生成了这个唯一的密钥。

“也许一根线会比另一根线粗一点。我们可以使用这些变化来从电路中获取零和一。对于每个芯片，我们可以获得一个应该一致的随机密钥，因为这些随机属性不应该随着时间的推移而发生显著变化，”Ashok解释道。

研究人员重复使用了芯片上的存储单元，利用这些单元的缺陷来生成密钥。这比从头开始生成密钥需要更少的计算。由于安全性已成为边缘设备设计中的一个关键问题，因此需要开发一个专注于安全操作的完整系统堆栈。这项工作重点关注机器学习工作负载的安全性，并描述了一种使用横切优化的数字处理器。

“它结合了内存和处理器之间的加密数据访问、使用随机化防止旁路攻击的方法以及利用可变性生成唯一代码。此类设计对于未来的移动设备至关重要，”Chandrakasan表示。

安全测试

为了测试该芯片，研究人员扮演了黑客的角色，试图利用侧信道和总线探测攻击来窃取秘密信息。即使经过数百万次尝试，他们也无法重建任何真实信息或提取模型或数据集的片段。密码也牢不可破。相比之下，只需要大约5,000个样本就可以从未受保护的芯片中窃取信息。

安全性的增加确实降低了加速器的能源效率，而且还需要更大的芯片面积，这将使其制造成本更高。未来，该团队计划探索可以减少芯片能耗和尺寸的方法，从而推动该芯片的应用。