这个微型芯片可以在智能手机上实现高效计算的同时保护用户数据

一款微小芯片可以在智能手机上保护用户数据，同时实现高效计算

健康监测应用能够帮助人们管理慢性疾病或者实现健身目标，而这些应用只需要智能手机就可以实现。然而，由于这些应用所依赖的庞大机器学习模型需要在智能手机和中央存储服务器之间来回传输，因此这些应用往往运行缓慢且能耗较高。

为加快速度，工程师们通常会使用硬件来减少数据传输量。然而，这些机器学习加速器容易受到攻击，导致机密信息泄露。

为了降低这种脆弱性，麻省理工学院和MIT-IBM沃森人工智能实验室的研究人员创建了一种抵抗两种最常见攻击类型的机器学习加速器芯片。他们的芯片能够在保护用户的健康记录、财务信息或其他敏感数据的同时，在设备上高效运行庞大的人工智能模型。

该团队开发了几项优化措施，使芯片在略微降低设备速度的同时仍能保持较强的安全性。此外，增加的安全性并不会影响计算的准确性。这种机器学习加速器对于要求较高的人工智能应用如增强现实、虚拟现实或自动驾驶可能尤为有益。

研究的首席作者、麻省理工学院电子工程与计算机科学专业的研究生Maitreyi Ashok表示：“从根本上考虑安全性非常重要。如果在系统设计之后再试图添加甚至是最基本的安全性，成本将是不可接受的。我们能够在设计阶段有效地平衡这些权衡。”

她的合著者包括麻省理工学院电子工程与计算机科学专业的研究生Saurav Maji，以及MIT-IBM沃森人工智能实验室的Xin Zhang和John Cohn，还有麻省理工学院首席创新与战略官、工程学院院长和Vannevar Bush EECS教授Anantha Chandrakasan。该研究将在IEEE定制集成电路会议上进行发布。

研究人员针对一种称为数字内存计算的机器学习加速器展开研究。数字内存计算芯片在设备的存储器中执行计算，将机器学习模型的部分存储在从中央服务器移动过来的存储器中。

整个模型太大无法完全存储在设备上，但通过将其分割并尽可能多地重复利用这些部分，内存计算芯片减少了必须来回传输的数据量。

然而，内存计算芯片容易受到黑客攻击。在侧信道攻击中，黑客监视芯片的功耗，并使用统计技术来反向推导出芯片计算时的数据。在总线探测攻击中，黑客可以通过探测加速器和芯片外存储器之间的通信来窃取模型和数据集的位。

Ashok表示，数字内存计算在执行数百万次操作的同时加速计算，这种复杂性使得传统安全措施难以防止攻击。

她和她的合作者采取了三管齐下的方法来阻止侧信道和总线探测攻击。

首先，他们采用了一种数据分割的安全措施，其中IMC中的数据被分割成随机片段。例如，一个零位可能被分割成三个仍然等于零的位，这样侧信道攻击就无法重建真实信息。

然而，为了使这一技术起作用，需要添加随机位来分割数据。研究人员找到了一种简化计算的方法，从而更容易有效地分割数据，同时也消除了对随机位的需求。

其次，他们使用一种轻量级密码来防止总线探测攻击，对存储在芯片外存储器中的模型进行加密。这种轻量级密码只需要简单的计算。此外，他们只在必要时解密存储在芯片上的模型片段。

第三，为了提高安全性，他们直接在芯片上生成解密密码，而不是将其与模型一起来回传输。他们利用了制造过程中引入的芯片随机变化来生成这个唯一密码，这就是所谓的物理不可克隆函数。

为了测试他们的芯片，研究人员扮演了黑客的角色，试图使用侧信道和总线探测攻击来窃取秘密信息。即便经过数百万次尝试，他们也无法重建任何真实信息或者提取模型或数据集的片段。相比之下，只需要大约5000次样本就可以从未受保护的芯片中窃取信息。

安全性的增加确实降低了加速器的能效，同时还需要更大的芯片面积，这将增加制造成本。该团队计划探索能够在未来减少芯片能耗和尺寸的方法，以便更容易地进行规模化实施。

该研究得到了麻省理工学院-IBM沃森人工智能实验室、美国国家科学基金会和Mathworks工程奖学金的部分资助。