一位最近出院的心脏病患者正在使用智能手表来帮助监控他的心电图信号。这款智能手表看起来非常安全,但处理这些健康信息的神经网络使用的是私人数据,这些数据仍然可能被恶意代理通过侧信道攻击窃取。
侧信道攻击试图通过间接利用系统或其硬件来收集秘密信息。在一种类型的旁路攻击中,聪明的黑客可以在神经网络运行时监控设备的功耗波动,以提取从设备“泄漏”的受保护信息。
“在电影中,当人们想打开一个锁着的保险箱时,他们会听着锁转动时发出的咔哒声。这表明,向这个方向转动锁有可能帮助他们进一步前进。这是一种附带攻击,”麻省理工学院电子工程和计算机科学系(EECS)研究生、解决这一问题的论文的第一作者Saurav Maji说。“它只是使用意想不到的信息,并利用它来预测设备内部正在发生的事情。”
目前,能够防止一些侧信道攻击的方法是出了名的耗电,因此对于像智能手表这样依赖低功耗计算的物联网(IoT)设备来说,这些方法往往不可行。
现在,Maji和他的合作者已经构建了一个集成电路芯片,它可以抵抗电源端的通道攻击,同时使用的能量远远低于常见的安全技术。该芯片比拇指指甲还小,可以集成到智能手表、智能手机或平板电脑中,对传感器值进行安全的机器学习计算。
“这个项目的目标是在边缘上建立一个机器学习的集成电路,使其仍然具有低功耗,但可以防止这些侧信道攻击,这样我们就不会失去这些模型的隐私,”麻省理工学院工程学院院长、Vannevar Bush电气工程和计算机科学教授Anantha Chandrakasan说,他也是这篇论文的第一作者。
据悉,该论文的合著者包括曾是EECS研究生、现为印度科学研究所电子系统工程系助理教授的乌特萨夫·班纳吉(Utsav Banerjee),麻省理工学院访问科学家、ADI公司杰出研究科学家塞缪尔富勒(Samuel 。这项研究将在国际固态电路会议上发表。
随机计算
这个团队开发的芯片基于一种特殊类型的计算,称为阈值计算。与其让神经网络对实际数据进行操作,不如先把数据分成唯一的随机成分。在累积最终结果之前,网络以随机顺序分别操作这些随机分量。
Maji说用这种方法,设备的信息泄露每次都是随机的,所以不会泄露任何实际的侧信道信息。但是,这种方法的计算成本更高,因为神经网络现在要运行更多的运算,需要更多的内存来存储杂乱的信息。
因此,研究人员通过使用一个函数来优化这一过程,以减少神经网络处理数据所需的乘法运算量,从而削减所需的计算能力。它们还通过加密模型的参数来保护神经网络本身。通过在加密前对参数进行分组,它们提供了更高的安全性,同时减少了芯片所需的内存量。
"通过使用这个特殊的功能,我们可以在执行此操作时跳过一些影响较小的步骤,这使我们可以减少开销。我们可以降低成本,但就神经网络的精度而言,也伴随着其他成本。因此,我们必须明智地选择我们选择的算法和架构,”Maji说。
现有的安全计算方法像普通加密一样提供了强有力的安全保证,但是它们在面积和功耗方面产生了巨大的开销,这限制了它们在许多应用中的使用。研究人员提出的方法旨在提供相同类型的安全性,可以实现三个数量级的低能耗。通过简化芯片架构,研究人员还可以比类似的安全硬件使用更少的硅芯片空间,这是在个人大小的设备上实现芯片的一个重要因素。
“安全问题”
虽然它提供了抵御电源侧通道攻击的重要安全性,但研究人员的芯片需要比不安全的基线实现多4.5倍的电源和0.6倍的硅面积。
“我们正处于安全的关键时刻。我们必须愿意用一定的能耗换取更安全的计算。这不是免费的午餐,”钱德拉卡桑说。“未来的研究可以集中在如何减少开销以使这种计算更安全。”
他们将他们的芯片与没有安全硬件的默认实现进行了比较。在默认实现中,他们可以在从设备收集大约1000个功率波形后恢复隐藏信息。使用新的硬件,即使收集了200万个波形,他们仍然无法恢复这些数据。
他们还使用生物医学信号数据来测试他们的芯片,以确保它能够在现实世界的实施中发挥作用。马吉解释说,这种芯片非常灵活,可以被编程为用户想要分析的任何信号。
鲁汶大学电气工程系计算机安全和工业密码学研究组教授Ingrid Verbauwhede表示:“安全为物联网节点的设计增加了一个新的维度,在性能、功耗和能耗的设计之上。该ASIC(专用集成电路)很好地证明了安全性设计。在这种情况下,不需要通过添加屏蔽方案来将其视为昂贵的附加设备。研究人员认为,通过选择屏蔽友好的计算单元,并在设计过程中集成安全性,甚至包括随机生成器,安全的神经网络加速器在物联网背景下是可行的。”她没有参与这项研究。
未来,研究人员希望将他们的方法应用于电磁侧信道攻击。这些攻击更难防御,因为黑客不需要物理设备来收集隐藏信息。