Credit:CC0 Public Domain一名心脏病患者最近出院,他正在使用智能手表来帮助监控他的心电图信号。智能手表看似安全,但处理健康信息的神经网络使用的是私人数据,这些数据仍可能被恶意代理通过旁路攻击窃取。旁道攻击试图通过间接利用系统或其硬件来收集秘密信息。在一种侧信道攻击中,精明的黑客可以在神经网络运行时监控设备功耗的波动,以提取从设备中“泄漏”的受保护信息。
“在电影中,当人们想打开锁着的保险柜时,他们会听着锁转动时发出的咔嗒声。这表明,朝这个方向转锁可能会帮助他们走得更远。这就是旁道攻击。它只是利用无意的信息,并用它来预测设备内部正在发生的事情,”麻省理工学院电气工程和计算机科学系(EECS)的研究生Saurav Maji说,他是一篇解决这一问题的论文的第一作者。
众所周知,目前可以防止一些侧信道攻击的方法非常耗电,因此它们通常不适用于智能手表等物联网设备,这些设备依赖于低功耗计算。
现在,Maji和他的合作者已经建立了一种集成电路芯片,可以抵御功率侧信道攻击,同时使用比普通安全技术少得多的能量。这种芯片比拇指指甲还小,可以集成到智能手表、智能手机或平板电脑中,对传感器值进行安全的机器学习计算。
“这个项目的目标是建立一个在边缘进行机器学习的集成电路,这样它仍然是低功耗的,但可以抵御这些侧信道攻击,这样我们就不会失去这些模型的隐私,”麻省理工学院工程学院院长、Vannevar Bush电气工程和计算机科学教授、论文的高级作者Anantha Chandrakasan说。“人们没有太多关注这些机器学习算法的安全性,而这种提出的硬件有效地解决了这一问题。”
合著者包括Utsav Banerjee,他曾是EECS大学的研究生,现在是印度科学院电子系统工程系的助理教授,以及麻省理工学院访问科学家和ADI公司杰出的研究科学家塞缪尔·富勒。这项研究在国际固态电路会议上发表。
随机计算
该团队开发的芯片基于一种称为阈值计算的特殊计算类型。不是让神经网络对实际数据进行操作,而是首先将数据分成独特的随机成分。在累积最终结果之前,网络以随机顺序对这些随机分量进行单独操作。
Maji说,使用这种方法,每次设备的信息泄漏都是随机的,所以它不会泄露任何实际的侧信道信息。但是这种方法在计算上更加昂贵,因为神经网络现在必须运行更多的操作,并且它还需要更多的内存来存储混杂的信息。
因此,研究人员通过使用一个函数来优化这一过程,该函数减少了神经网络处理数据所需的乘法运算量,从而削减了所需的计算能力。它们还通过加密模型的参数来保护神经网络本身。通过在加密之前将参数分组,它们提供了更高的安全性,同时减少了芯片上所需的内存量。
“通过使用这个特殊的函数,我们可以在执行这个操作的同时跳过一些影响较小的步骤,这使我们能够减少开销。我们可以降低成本,但在神经网络准确性方面会有其他成本。因此,我们必须明智地选择我们选择的算法和架构,”Maji说。
现有的安全计算方法,如同态加密,提供了强有力的安全保证,但它们在面积和功耗方面产生了巨大的开销,这限制了它们在许多应用中的使用。研究人员提出的方法旨在提供相同类型的安全性,能够实现三个数量级的低能耗。通过简化芯片架构,研究人员还能够比类似的安全硬件使用更少的硅芯片空间,这是在个人大小的设备上实现芯片的一个重要因素。
“安全问题”
虽然提供了显著的安全性来抵御电源侧信道攻击,但研究人员的芯片需要比基线不安全实施多5.5倍的电源和1.6倍的硅面积。
“我们正处于安全至关重要的时刻。我们必须愿意牺牲一些能量消耗来进行更安全的计算。这不是免费的午餐。Chandrakasan说:“未来的研究可以集中在如何减少开销,以使这种计算更加安全。
他们将他们的芯片与没有安全硬件的默认实现进行了比较。在默认实现中,他们能够在从设备收集大约1,000个功率波形(表示一段时间内的功率使用情况)后恢复隐藏信息。使用新的硬件,即使收集了200万个波形,他们仍然无法恢复数据。
他们还用生物医学信号数据测试了他们的芯片,以确保它能在现实世界中实现。马吉解释说,这种芯片很灵活,可以对用户想要分析的任何信号进行编程。
在未来,研究人员希望将他们的方法应用于电磁旁道攻击。这些攻击更难防御,因为黑客不需要物理设备来收集隐藏信息。
来源:由phyica.com整理转载自PH,转载请保留出处和链接!
