CN109981252A - 一种基于关键路径加密的人工智能处理器安全增强系统及方法 - Google Patents
一种基于关键路径加密的人工智能处理器安全增强系统及方法 Download PDFInfo
- Publication number
- CN109981252A CN109981252A CN201910184093.0A CN201910184093A CN109981252A CN 109981252 A CN109981252 A CN 109981252A CN 201910184093 A CN201910184093 A CN 201910184093A CN 109981252 A CN109981252 A CN 109981252A
- Authority
- CN
- China
- Prior art keywords
- artificial intelligence
- process device
- instruction
- encryption
- intelligence process
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0618—Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
- H04L9/0631—Substitution permutation network [SPN], i.e. cipher composed of a number of stages or rounds each involving linear and nonlinear transformations, e.g. AES algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
- H04L9/3006—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters
- H04L9/302—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy underlying computational problems or public-key parameters involving the integer factorization problem, e.g. RSA or quadratic sieve [QS] schemes
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及一种基于关键路径加密的人工智能处理器安全增强系统及方法,它由指令安全单元、数据安全单元、以及通用人工智能处理器架构组成;在通用人工智能处理器架构的基础上,添加指令安全单元、数据安全单元来保证神经网络模型的指令和权重的安全,以及保护人工智能处理器处理的中间数据的安全。该技术通过非对称加密算法传递私钥来对加密的指令和权重进行解密处理,旁路链式校验方法能够校验神经网络模型指令的完整性,且不影响人工智能处理器指令传输的性能。该技术采用加密算法(例如AES‑CTR模式等高级加密算法)对关键路径的特征图进行加密,不仅保护了特征图的私密性,而且还减少了人工智能处理器的侧信道信息泄露,使得攻击者无法通过对片外DRAM的访问模式来推断出神经网络模型的结构。本发明具有广泛的实用价值和应用前景。
Description
技术领域
本发明涉及一种人工智能处理器安全增强系统及方法,包括人工智能处理器的模型安全、数据安全、指令安全。主要应用于保护神人工智能处理器运行的模型、数据和指令的安全。该人工智能处理器安全增强技术主要采用加密算法(比如AES加密算法)对模型的权重、指令、人工智能处理器处理的中间数据的加解密,来保障人工智能处理器的安全,属于计算系统和微处理器安全领域。
背景技术
专用集成电路ASIC作为目前能效最高的人工智能处理器,它受到了工业界和学术界的广泛关注。在学术界,2014年中科院计算所陈云霁团队率先设计了一个高性能、低功耗的人工智能处理器DianNao,该加速器可以在3mm2的面积上做到与主流GPU相当的性能。该团队在该加速器的基础上,继续研究了多核的DaDianNao,比主流GPU的性能提高了约20倍。2016年,该团队提出了Cambricon指令集,是国际上首个深度学习指令集,能够在保持高效的同时通过指令的组合支持各种神经网络算法。2017年,麻省理工学院提出了Eyrriss深度学习加速器,该加速器采用行数据流方法进行深度学习加速进行加速,用于加速卷积神经网络。在工业界,2016年5月谷歌开发了为开源项目TensorFlow优化设计的ASIC电路TPU(Tensor Processing Unit),可用于完成卷积、全连接等典型的神经网络运算。2017年10月英伟达开源了深度学习加速器NVDLA,是业界第一个开源的ASIC人工智能处理器。
虽然学术界和工业界投入了大量的人力、物力进行研发人工智能处理器,也取得了很好的成果。目前,人工智能处理器的设计仅仅是为了提高神经网络模型运行的效率和实时性,人工智能处理器的架构设计也是向高性能、低功耗、小体积和定制化的方向发展,使得人工智能处理器能够带来更好的实时性。然而,在许多的应用场景中,需要保护神经网络模型的隐私性,比如医疗图像、金融数据等应用领域,以及需要在本地化数据处理中保障信息安全和数据隐私以减少数据上传的流量资费。在这些应用方面,人工智能处理器正遭受许多的攻击,有文献表明现有人工智能处理器会产生内存侧信道信息泄露和时间侧信道信息泄露,利用它们能对人工智能处理器发起攻击,偷取神经网络模型的结构和权重。而且指令型人工智能处理器会通过编译器加载各种神经网络模型来产生对应运行在人工智能处理器上的指令,攻击者根据编译器生成的模型的硬件指令能够反推出神经网络模型的结构,以及神经网络模型权重存储在人工智能处理器上内存空间的位置,从而控制主CPU来读取神经网络模型的权重。
鉴于目前人工智能处理器日益突出的安全问题,亟需一种能够提供一种人工智能处理器安全增强技术,从而保障人工智能处理器运行的神经网络模型、数据以及指令的安全。对安全的人工智能处理器架构的研究具有广泛的实用价值和应用前景。
发明内容
本发明技术解决问题:克服现有技术的不足,提供一种基于关键路径加密的人工智能处理器安全增强系统及方法,能够有效的解密来自CPU加密的神经网络模型的权重和运行指令、加解密人工智能处理器处理的中间数据,弥补了现有人工智能处理器易遭受到侧信道攻击的缺陷,保障人工智能处理器的安全;且具有结构新颖、体积小、性能高、加密性能强和适应性强等特点。
本发明技术解决方案:一种基于关键路径加密的人工智能处理器安全增强系统,包括:通用人工智能处理器架构、指令安全单元和数据安全单元;在通用人工智能处理器架构的基础上添加指令安全单元和数据安全单元;指令安全单元位于总线接口与PE处理单元之间的指令接收通道,指令安全单元通过非对称加密算法硬件模块解析出密钥,利用该密钥解密来自CPU的加密指令和权重数据,以及对解密后的指令进行完整性校验,完整性校验时采用旁路链式校验方法对神经网络模型的运行指令进行校验,以此保证人工智能处理器指令的安全;数据安全单元位于通用人工智能处理器架构与总线接口之间,与片外DRAM进行数据交互,完成对人工智能处理器处理的中间数据选择关键路径的特征图进行加解密处理,完成对写入到片外DRAM的中间数据的加密处理和人工智能处理器读入片外DRAM中间数据的解密,以及对片外DRAM神经网络模型权重的解密;其中加密算法的密钥由随机数发生器产生(比如线性反馈移位寄存器(LFSR)),数据安全单元通过对关键路径的特征图加解密来混淆神经网络模型层与层之间的边界,减少内存侧信道信息泄露和时间侧信道信息泄露。
所述指令安全单元包括非对称加密算法硬件模块、加密算法硬件模块以及旁路链式校验模块;非对称加密算法硬件模块是把非对称加密算法(比如RSA算法)进行硬件实现,用于传递加密算法所需的密钥;加密算法硬件模块为把加密算法(比如AES加密算法)进行硬件实现,完成对接收到的神经网络模型指令的解密。
所述指令安全单元中,旁路链式校验方法由校验方法和旁路逻辑单元组成,具体实现过程如下:
(1)采用Verilog语音实现链路校验方法,链路校验方法采用循环冗余校验码(CRC32);
(2)采用并行化设计链路校验方法,以此实现旁路逻辑完成对指令的硬件校验,不影响人工智能处理器正常的指令发送与接收。
所述数据安全单元中,对关键路径的加密来混淆神经网络模型层与层之间的边界的具体实现如下:
(1)解密来自片外DRAM的神经网络模型的权重,采用三个标准来对神经网络模型中的特征图进行关键路径选择;
(2)对选择的关键路径的特征图采用通道密度、通道关联性、通道个数进行安全性分析;
(3)对关键路径的特征图通过硬件实现的加密算法进行加解密处理,其中使用的密钥由随机数生成器算法(线性反馈移位寄存器(LFSR))产生。
采用加密算法对通用人工智能处理器架构中的神经网络模型的权重和运行指令进行加密处理,并采用非对称加密算法传输人工智能处理器的私钥,用来解密神经网络模型权重和运行指令的密文;采用随机数产生器产生随机数作为人工智能处理器加解密中间数据的密钥。
所述关键路径的特征图采用三个标准选择关键路径的特征图,并且对关键路径的特征图进行的加解密处理;采用通道密度、通道关联性以及加密关键路径的个数来量化评估关键路径加密特征图的安全性的量化方法;基于关键路径特征图加密的方法不仅能够保证了人工智能处理器处理中间数据的安全,而且还能够减少人工智能处理器对片外DRAM访问的内存侧信道信息泄露和时间侧信道信息泄露。
本发明的一种基于关键路径加密的人工智能处理器安全增强方法,实现步骤如下:
(1)人工智能处理器通过非对称加密算法接收来自CPU的密钥,结合本地的私钥计算出加密算法解密的密钥,用于解密神经网络模型的加密指令和权重;
(2)然后指令安全单元接收来CPU的加密指令,通过加密算法模块解密加密指令并进行旁路链式校验,校验出错则通知CPU重新发送该指令,指令安全单元还解密来自片外DRAM的神经网络模型的权重,送至人工智能处理器的片上缓存;
(3)人工智能处理器接收来自CPU的指令对输入的权重和输入数据进行计算,得到的人工智能处理器处理的中间数据,中间数据包输入特征图和输出特征图,选择关键路径的特征图进行加密处理,待到进行神经网络模型下一层处理时,则解密对应的关键路径的特征图;直至完成整个神经网络模型的各个层的计算;
(4)最后,人工智能处理器输出神经网络模型对应一类的概率。
本发明中,非对称加密算法可以采用RSA算法等算法;加密算法可以采用AES加密算法或AES-CTR等加密算法。
本发明与现有技术相比的优点在于:
(1)本发明能够保证神经网络模型的结构和权重的秘密性,能够保障编译器产生的神经网络模型指令文件的完整性和安全性。该技术在提高人工智能处理器系统安全性的同时,也不会使加速器的性能有所下降,其性能的损失可以忽略不计。而且相对于全部加解密人工智能处理器处理的中间结果相比,既减少了能量消耗,也一定程度上减少了内存侧信道信息泄露和时间侧信道信息泄露。它可广泛用于人工智能处理器的安全保卫、AIoT安防终端等领域,具有很大的市场效益和很好的应用前景,可以应用于对神经网络模型安全性要求高的领域;
(2)关键路径路径的加密方法可以应用于其他人工智能处理器中,既可以保证人工智能处理器的安全性,又不会使它的性能损失较大。
(3)本发明中的旁路链式校验方法使得对人工智能处理器的指令进行无性能损失的校验指令的完整性。
(4)本发明采用了三个标准来选择关键路径的特征图,并且对关键路径的特征图进行的加解密处理;采用通道密度、通道关联性以及加密关键路径的个数来量化评估关键路径加密特征图的安全性的量化方法。基于关键路径特征图加密的方法不仅能够保证了人工智能处理器处理中间数据的安全,而且还能够减少人工智能处理器对片外DRAM访问的内存侧信道信息泄露和时间侧信道信息泄露。
(5)本发明采用加密算法(例如AES加密算法)来对神经网络模型的权重、运行指令以及处理的中间数据进行加解密,能够有效的解密神经网络的模型和运行指令、加解密人工智能处理器处理的中间数据,弥补了现有人工智能处理器易遭受到侧信道攻击的缺陷,保障了人工智能处理器的安全,且具有结构新颖、体积小、性能高、加密性能强和适应性强等优点。
(6)本发明不仅能够提高神经网络模型指令和权重的安全性,还减小了人工智能处理器片外DRAM数据访问的内存侧信道信息泄露和时间侧信道信息泄露。
附图说明
图1为通用人工智能处理器系统应用架构;
图中符号说明如下:
SoC:片上系统;PE:处理单元;DNN:深度神经网络。
图2为本发明基于关键路径加密的人工智能处理器安全增强系统;
图中符号说明如下:Pool:池化操作,Relu:非线性激活,SBin:输入权重缓存;NBin:输入特征图缓存,NBout:输出特征图缓存。
具体实施方式
下面结合附图及实施例对本发明进行详细说明。
通用人工智能处理器系统应用架构如图1所示,主要由神经网络模型、加速器的编译器、CPU(包含加速器的运行环境)、加速器片外DRAM、人工智能处理器组成。在TensorFlow、Keras、Caffe、PyTorch等深度学习平台训练的神经网络模型,通过加速器的编译器来产生神经网络模型对应的人工智能处理器的运行指令文件。CPU把编译器产生的指令文件和权重数据进行加密,然后通过运行环境解析出神经网络的各个层的加密指令发送给人工智能处理器进行执行。人工智能处理器根据接收到的加密指令进行相应的解密并执行对应的操作,比如卷积操作、激活操作和池化操作,完成神经网络模型的各个层的计算,最后完成整个神经网络模型的计算,输出神经网络模型对应一类的概率。
攻击者如果能够到的编译器产生的神经网络模型的指令文件,那么他可以从指令文件中获取神经网络模型的结构,可以知道当前层执行了卷积操作、Sigmod激活操作、最小池化操作,以及各个操作的完成时间。所以编译器生成的指令文件需要对其进行加密处理。
如图1中①,②,③序号表示人工智能处理器被攻击的三个攻击路径。路径①是攻击者通过攻击CPU的运行环境来控制指令的输入输出,可以控制CPU的运行环境对人工智能处理器进行读指令寄存器的值或向人工智能处理器插入指令,来获取运行在人工智能处理器上的指令,来制作指令文件,这样可以通过指令文件来反推出神经网络模型的结构以及其权重存储在片外DRAM的位置。路径②表示在攻击者得到了神经网络模型的权重存储在片外DRAM上的位置的前提下,通过控制CPU的运行环境来读取存储在片外DRAM上的权重。路径③表示在人工智能处理器在与片外DRAM进行数据交互的时候,会产生内存侧信道信息泄露和时间侧信道信息泄露,攻击者通过观察到的内存访问模式(read-after-write(RAW)-读写依赖)来推断出神经网络层的结构。另外,该路径还可以配合路径①使得攻击者能够控制CPU的运行环境来查询人工智能处理器的中断状态寄存器信息,从而得知各个操作(卷积操作、激活操作、池化操作、数据读入)的执行时间。这三种攻击路径是目前通用人工智能处理器常见的攻击路径,其中第一种和第二种攻击路径主要针对指令型人工智能处理器,第三种攻击路径在人工智能处理器中是普遍存在的。
针对这三种攻击路径,本发明提出了一种基于关键路径加密的人工智能处理器安全增强方法,从数据流、指令流、控制流三个方面对人工智能处理器进行加密处理,从而消除这三种攻击路径,进而保障了人工智能处理器的安全性。
针对第一种攻击路径,需要把编译器生成的指令进行加密处理,并在人工智能处理器中添加AES加密算法模块,利用该加密算法模块对加密的指令进行解密处理。为了防止攻击者利用CPU的运行环境对人工智能处理器进行插入指令,需要对写入人工智能处理器的指令进行校验处理,为此采用旁路链式校验方法对写入人工智能处理器的指令进行校验,主要由循环冗余校验码(CRC32)和旁路逻辑组成。旁路链式校验方法不影响原来的指令的写入,仅仅在校验出错时,产生中断信号告知CPU重新发送该指令。为了防止人工智能处理器中的状态寄存器和指令寄存器被攻击者读取,禁止CPU运行环境直接读取人工智能处理器上指令和状态寄存器的值,只在开始验证是否指令写入成功时,发送读和写寄存器的值是否一致的信号(由指令安全单元的控制逻辑实现)。
针对第二种攻击路径,需要把神经网络模型的权重进行加密,然后,通过CPU运行环境把它们搬运至人工智能处理器的片外DRAM中。在实际运行时,通过AES加密算法模块对加密的权重进行解密处理,其中指令和权重加密的密钥可以由非对称加密算法(例如RSA(Rivest-Shamir-Adleman)加密算法)以私钥的方式传送给人工智能处理器。
针对第三种攻击路径,为了减少人工智能处理器与片外DRAM之间侧信道信息泄露,采取对人工智能处理器处理的中间数据按关键路径进行加密处理。这样来减少人工智能处理器的侧信道信息泄露,也能够混淆神经网络模型层与层之间的边界,使得攻击者无法准确的推测出神经网络模型的结构。同时,关键路径加密处理技术既能够在保证人工智能处理器处理中间数据的安全的前提下,也能使减少人工智能处理器加解密中间处理数据消耗的能耗。
本发明针对现在通用的人工智能处理器的各个攻击面,实施了专门的防御措施,并且在通用人工智能处理器架构的基础上进行了改进,增加了加密算法模块和旁路链式校验单元,来保证人工智能处理器的安全性。
图2为基于关键路径加密的人工智能处理器安全增强系统架构示意图,它由指令安全单元、数据安全单元、通用人工智能处理器架构组成。指令安全单元位于通用人工智能处理器的指令流上,接收来自CPU的加密指令,通过指令安全单元对其进行解密和校验。指令安全单元主要由旁路链式校验单元和指令解密单元以及非对称加密算法硬件模块组成,旁路链式校验单元主要实现对指令的完整性验证,指令解密单元主要来对加密指令的解密。指令安全单元负责解密来自CPU的加密指令并对其进行完整性验证,以及禁止CPU运行环境直接读取人工智能处理器上指令和状态寄存器的值,只在开始验证是否指令写入成功时,发送读和写寄存器的值是否一致的信号。
数据安全单元主要由关键路径加密模块组成,即通过加解密-关键路径由三个标准选择,实现,其中由硬件实现的加密算法来对神经网络模型的权重数据进行解密,以及对关键路径的特征图进行加解密处理。数据安全单元负责加解密关键的路径的特征图和解密来自片外DRAM的神经网络模型的权重。指令安全单元负责指令的解密和完整性校验,数据安全单元的中间数据的加解密都是使用同样加密算法模块。加密算法可以采用AES加密算法或者采用CTR模式(AES-CTR)的加密算法等高级加密算法,可以能够并行的进行数据的加密和解密。而加密算法的密钥是通过非对称加密算法(例如RSA算法)来进行传输的。
本发明的基于关键路径加密的人工智能处理器安全增强系统接收来自CPU的公共密钥,发送给非对称加密算法硬件模块结合本地的密钥计算出加密算法解密的私钥,用于解密神经网络模型的加密指令和权重;然后,指令安全单元接收来CPU的加密指令,通过加密算法模块解密指令进行旁路链式校验,校验出错则通知CPU重新发送该指令。指令安全单元还要解密来自片外DRAM的神经网络模型的权重,送至人工智能处理器的片上缓存;其次,人工智能处理器根据指令对输入的权重和输入数据进行计算,得到的中间数据(包括输入特征图和输入特征图),按关键路径进行加密处理,等到进行神经网络下一层处理时,则解密对应的关键路径的特征图直至完成整个神经网络模型的各个层的计算;最后,人工智能处理器输出神经网络模型对应某一类的概率。
针对人工智能处理器处理的中间数据的加密,选择了新的密钥生成方法,采用随机数生成器来产生,例如线性反馈移位寄存器(LFSR)来生成伪随机数作为加密算法加密的密钥,这样使得人工智能处理器能够在内部产生自己加密算法的密钥,保证了加密算法绝对的安全性。
神经网络模型中的关键路径通过三个标准进行选择,(1)通过计算每个通道权重的绝对值来决定每个特征图的重要性大小,其中权重的绝对值越大说明其通道的特征图越重要;(2)通过计算每个滤波器的零值的比例作为重要的评分标准,其中比例越小则说明其该滤波器越重要,则对应的特征图也越重要;(3)通过评估每个通道的能量消耗来决定特征图的重要性,其中特征图通道能量消耗越大则越说明该通道越重要。每个神经网络模型通过以上三个标准计算得到的关键路径通道,形成对应每层的关键路径的位置,发送给人工智能处理器针对当前层中关键路径的位置进行加解密处理。
通过三个标准选择的关键路径的特征图,也对关键路径的特征图的安全性进行了分析,提出了通道密度、通道关联度、加密特征图通道的个数三个指标对关键路径特征图的安全性进行了量化分析。通道密度是指当前层加密关键路径特征图的个数与当前层所有的通道个数的比值;通道关联度是指当前层要加密的关键路径特征图相连的个数。其中通道密度越接近0.5越安全,通道关联度越小越安全。
旁路链式校验方法不仅能够有效的校验指令的完整性,而且还不影响指令传输的性能;关键路径的特征图加密与全部的特征图加密相比,由于是采用的对称加密算法,加密所有的特征图同样会存在内存侧信道信息泄露和时间侧信道信息泄露;而关键路径的特征图加密可以增加加密特征图与非加密特征图之前的时间差,从而能够混淆神经网络模型层与层之间的边界,由于这个时间差的存在也是攻击者测量的一层的时间也相对不准确,无法精确的确定当前层有多少个通道的特征图;从而使得攻击者无法精确的推测出神经网络模型的结构。而且相对于加密全部的特征图相比,关键路径的特征图加密也能够使人工智能处理器减少能量消耗。
Claims (7)
1.一种基于关键路径加密的人工智能处理器安全增强系统,其特征在于,包括:通用人工智能处理器架构、指令安全单元和数据安全单元;在通用人工智能处理器架构的基础上添加指令安全单元和数据安全单元;指令安全单元位于总线接口与PE处理单元之间的指令接收通道,指令安全单元通过非对称加密算法硬件模块解析出密钥,利用该密钥解密来自CPU的加密指令和权重数据,以及对解密后的指令进行完整性校验,完整性校验时采用旁路链式校验方法对神经网络模型的运行指令进行校验,以此保证人工智能处理器指令的安全;数据安全单元位于通用人工智能处理器架构与总线接口之间,与片外DRAM进行数据交互,完成对人工智能处理器处理的中间数据选择关键路径的特征图进行加解密处理,完成对写入到片外DRAM的中间数据的加密处理和人工智能处理器读入片外DRAM中间数据的解密,以及对片外DRAM神经网络模型的权重的解密;其中加密算法的密钥由随机数发生器(例如线性反馈移位寄存器(LFSR))产生,数据安全单元通过对关键路径特征图的加解密来混淆神经网络模型层与层之间的边界,减少内存侧信道信息泄露和时间侧信道信息泄露。
2.根据权利要求1所述的基于关键路径加密的人工智能处理器安全增强系统,其特征在于:所述指令安全单元包括非对称加密算法硬件模块、加密算法硬件模块以及旁路链式校验模块;非对称加密算法硬件模块是把非对称加密算法(例如RSA算法)进行硬件实现,用于传递加密算法所需的密钥;加密算法硬件模块为把加密算法(例如AES加密算法)进行硬件实现,完成对接收到的神经网络模型的指令的解密。
3.根据权利要求1所述的基于关键路径加密的人工智能处理器安全增强系统,其特征在于:所述指令安全单元中,旁路链式校验方法由校验方法和旁路逻辑单元组成,具体实现过程如下:
(1)采用Verilog语音实现链路校验方法,链路校验方法采用循环冗余校验码(CRC32);
(2)采用并行化设计链路校验方法,以此实现旁路逻辑完成对指令的硬件校验,不影响人工智能处理器正常的指令发送与接收。
4.根据权利要求1所述的基于关键路径加密的人工智能处理器安全增强系统,其特征在于:所述数据安全单元中,对关键路径的加密来混淆神经网络模型层与层之间的边界的具体实现如下:
(1)解密来自片外DRAM的神经网络模型的权重,采用三个标准来对神经网络模型中的特征图进行关键路径选择;
(2)对选择的关键路径的特征图采用通道密度、通道关联性、通道个数进行安全性分析;
(3)对关键路径的特征图通过硬件实现的加密算法进行加解密处理,其中使用的密钥由随机数生成器算法(例如线性反馈移位寄存器(LFSR))产生。
5.根据权利要求1所述的基于关键路径加密的人工智能处理器安全增强系统,其特征在于:采用加密算法对通用人工智能处理器架构中的神经网络模型的权重和运行指令进行加密处理,并采用非对称加密算法传输人工智能处理器的私钥,用来解密神经网络模型权重和运行指令的密文;采用随机数产生器(例如线性反馈移位寄存器(LFSR))产生随机数作为人工智能处理器加解密中间数据的密钥。
6.根据权利要求1所述的基于关键路径加密的人工智能处理器安全增强系统,其特征在于:所述关键路径的特征图采用三个标准选择关键路径的特征图,并且对关键路径的特征图进行的加解密处理;采用通道密度、通道关联性以及加密关键路径的个数来量化评估关键路径加密特征图的安全性的量化方法;基于关键路径特征图加密的方法不仅能够保证了人工智能处理器处理中间数据的安全,而且还能够减少人工智能处理器对片外DRAM访问的内存侧信道信息泄露和时间侧信道信息泄露。
7.一种基于关键路径加密的人工智能处理器安全增强方法,其特征在于,实现步骤如下:
(1)人工智能处理器通过非对称加密算法接收来自CPU的密钥,结合本地的私钥计算出加密算法解密的密钥,用于解密神经网络模型的加密指令和权重;
(2)然后指令安全单元接收来CPU的加密指令,通过加密算法模块解密加密指令并进行旁路链式校验,校验出错则通知CPU重新发送该指令,指令安全单元还解密来自片外DRAM的神经网络模型的权重,送至人工智能处理器的片上缓存;
(3)人工智能处理器接收来自指令安全单元的指令对输入的权重和输入数据进行计算,得到的人工智能处理器处理的中间数据,中间数据包括输入特征图和输出特征图,选择关键路径的特征图进行加密处理,待到进行神经网络模型下一层处理时,则解密对应的关键路径的特征图;直至完成整个神经网络模型的各个层的计算;
(4)最后,人工智能处理器输出神经网络模型对应某一类的概率。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910184093.0A CN109981252B (zh) | 2019-03-12 | 2019-03-12 | 一种基于关键路径加密的人工智能处理器安全增强系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910184093.0A CN109981252B (zh) | 2019-03-12 | 2019-03-12 | 一种基于关键路径加密的人工智能处理器安全增强系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109981252A true CN109981252A (zh) | 2019-07-05 |
| CN109981252B CN109981252B (zh) | 2020-07-10 |
Family
ID=67078469
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910184093.0A Active CN109981252B (zh) | 2019-03-12 | 2019-03-12 | 一种基于关键路径加密的人工智能处理器安全增强系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109981252B (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110852430A (zh) * | 2019-10-29 | 2020-02-28 | 清华大学 | 面向非易失性计算系统的神经网络加密方法及装置 |
| CN111125760A (zh) * | 2019-12-20 | 2020-05-08 | 支付宝(杭州)信息技术有限公司 | 保护数据隐私的模型训练、预测方法及其系统 |
| CN111859415A (zh) * | 2020-06-18 | 2020-10-30 | 上海艾麒信息科技有限公司 | 神经网络模型加密系统和方法 |
| CN112269992A (zh) * | 2020-06-01 | 2021-01-26 | 中国科学院信息工程研究所 | 基于人工智能处理器的实时恶意样本检测方法及电子装置 |
| CN112349419A (zh) * | 2020-08-27 | 2021-02-09 | 北京颢云信息科技股份有限公司 | 一种基于医学数据及人工智能的真实世界研究方法 |
| CN112528299A (zh) * | 2020-12-04 | 2021-03-19 | 电子科技大学 | 一种工业应用场景下的深度神经网络模型安全保护方法 |
| CN112819647A (zh) * | 2020-12-08 | 2021-05-18 | 广东电网有限责任公司 | 一种电网故障后暂态稳定性实时预测方法及装置 |
| CN112883391A (zh) * | 2021-02-19 | 2021-06-01 | 广州橙行智动汽车科技有限公司 | 数据保护方法、装置以及电子设备 |
| CN116150784A (zh) * | 2022-12-30 | 2023-05-23 | 上海物骐微电子有限公司 | 神经网络的安全保护方法、系统、加速器及芯片 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102663326A (zh) * | 2012-03-12 | 2012-09-12 | 东南大学 | 用于SoC的数据安全加密模块 |
| US20130058483A1 (en) * | 2011-08-12 | 2013-03-07 | William J. Whyte | Public key cryptosystem and technique |
| US20170214701A1 (en) * | 2016-01-24 | 2017-07-27 | Syed Kamran Hasan | Computer security based on artificial intelligence |
| CN107086910A (zh) * | 2017-03-24 | 2017-08-22 | 中国科学院计算技术研究所 | 一种针对神经网络处理的权重加解密方法和系统 |
| CN107885509A (zh) * | 2017-10-26 | 2018-04-06 | 杭州国芯科技股份有限公司 | 一种基于安全的神经网络加速器芯片架构 |
| CN108093059A (zh) * | 2017-12-26 | 2018-05-29 | 南京信息职业技术学院 | 基于LoRa的温室大棚智能安全监控系统及其监控方法 |
| KR20180068537A (ko) * | 2016-12-14 | 2018-06-22 | (주)네오와인 | 고유 일련번호 및 대칭키를 이용한 암복호화 시스템 |
| CN108390754A (zh) * | 2018-01-24 | 2018-08-10 | 上海航天芯锐电子科技有限公司 | 基于可变参数的芯片内部总线加扰装置和加扰方法 |
| US20180316492A1 (en) * | 2017-05-01 | 2018-11-01 | Qbrics, Inc. | Distributed System and Method for Encryption of Blockchain Payloads |
| CN108880781A (zh) * | 2018-06-14 | 2018-11-23 | 成都信息工程大学 | 一种对加掩防护加密设备的无掩码神经网络攻击方法 |
| CN109087641A (zh) * | 2018-08-27 | 2018-12-25 | 杭州安恒信息技术股份有限公司 | 智能音箱、指令录入器及其安全预警方法、装置 |
-
2019
- 2019-03-12 CN CN201910184093.0A patent/CN109981252B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130058483A1 (en) * | 2011-08-12 | 2013-03-07 | William J. Whyte | Public key cryptosystem and technique |
| CN102663326A (zh) * | 2012-03-12 | 2012-09-12 | 东南大学 | 用于SoC的数据安全加密模块 |
| US20170214701A1 (en) * | 2016-01-24 | 2017-07-27 | Syed Kamran Hasan | Computer security based on artificial intelligence |
| KR20180068537A (ko) * | 2016-12-14 | 2018-06-22 | (주)네오와인 | 고유 일련번호 및 대칭키를 이용한 암복호화 시스템 |
| CN107086910A (zh) * | 2017-03-24 | 2017-08-22 | 中国科学院计算技术研究所 | 一种针对神经网络处理的权重加解密方法和系统 |
| US20180316492A1 (en) * | 2017-05-01 | 2018-11-01 | Qbrics, Inc. | Distributed System and Method for Encryption of Blockchain Payloads |
| CN107885509A (zh) * | 2017-10-26 | 2018-04-06 | 杭州国芯科技股份有限公司 | 一种基于安全的神经网络加速器芯片架构 |
| CN108093059A (zh) * | 2017-12-26 | 2018-05-29 | 南京信息职业技术学院 | 基于LoRa的温室大棚智能安全监控系统及其监控方法 |
| CN108390754A (zh) * | 2018-01-24 | 2018-08-10 | 上海航天芯锐电子科技有限公司 | 基于可变参数的芯片内部总线加扰装置和加扰方法 |
| CN108880781A (zh) * | 2018-06-14 | 2018-11-23 | 成都信息工程大学 | 一种对加掩防护加密设备的无掩码神经网络攻击方法 |
| CN109087641A (zh) * | 2018-08-27 | 2018-12-25 | 杭州安恒信息技术股份有限公司 | 智能音箱、指令录入器及其安全预警方法、装置 |
Non-Patent Citations (3)
| Title |
|---|
| I. V. ANIKIN ; A. Z. MAKHMUTOVA ; O. E. GADELSHIN: "Symmetric encryption with key distribution based on neural networks", 《2016 2ND INTERNATIONAL CONFERENCE ON INDUSTRIAL ENGINEERING, APPLICATIONS AND MANUFACTURING (ICIEAM)》 * |
| ZHANLI LI, KANGJUN LI, BINJIE LI: "Research on Path Planning for Tooth Movement Based on Genetic Algorithms", 《2009 INTERNATIONAL CONFERENCE ON ARTIFICIAL INTELLIGENCE AND COMPUTATIONAL INTELLIGENCE》 * |
| 张 军: "基于硬件的代码复用攻击防御机制综述", 《高技术通讯》 * |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110852430A (zh) * | 2019-10-29 | 2020-02-28 | 清华大学 | 面向非易失性计算系统的神经网络加密方法及装置 |
| CN111125760B (zh) * | 2019-12-20 | 2022-02-15 | 支付宝(杭州)信息技术有限公司 | 保护数据隐私的模型训练、预测方法及其系统 |
| CN111125760A (zh) * | 2019-12-20 | 2020-05-08 | 支付宝(杭州)信息技术有限公司 | 保护数据隐私的模型训练、预测方法及其系统 |
| CN112269992A (zh) * | 2020-06-01 | 2021-01-26 | 中国科学院信息工程研究所 | 基于人工智能处理器的实时恶意样本检测方法及电子装置 |
| CN112269992B (zh) * | 2020-06-01 | 2023-10-20 | 中国科学院信息工程研究所 | 基于人工智能处理器的实时恶意样本检测方法及电子装置 |
| CN111859415A (zh) * | 2020-06-18 | 2020-10-30 | 上海艾麒信息科技有限公司 | 神经网络模型加密系统和方法 |
| CN112349419A (zh) * | 2020-08-27 | 2021-02-09 | 北京颢云信息科技股份有限公司 | 一种基于医学数据及人工智能的真实世界研究方法 |
| CN112528299B (zh) * | 2020-12-04 | 2022-03-04 | 电子科技大学 | 一种工业应用场景下的深度神经网络模型安全保护方法 |
| CN112528299A (zh) * | 2020-12-04 | 2021-03-19 | 电子科技大学 | 一种工业应用场景下的深度神经网络模型安全保护方法 |
| CN112819647A (zh) * | 2020-12-08 | 2021-05-18 | 广东电网有限责任公司 | 一种电网故障后暂态稳定性实时预测方法及装置 |
| CN112819647B (zh) * | 2020-12-08 | 2023-04-07 | 广东电网有限责任公司 | 一种电网故障后暂态稳定性实时预测方法及装置 |
| CN112883391A (zh) * | 2021-02-19 | 2021-06-01 | 广州橙行智动汽车科技有限公司 | 数据保护方法、装置以及电子设备 |
| CN116150784A (zh) * | 2022-12-30 | 2023-05-23 | 上海物骐微电子有限公司 | 神经网络的安全保护方法、系统、加速器及芯片 |
| CN116150784B (zh) * | 2022-12-30 | 2023-09-05 | 上海物骐微电子有限公司 | 神经网络的安全保护方法、系统、加速器及芯片 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109981252B (zh) | 2020-07-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109981252A (zh) | 一种基于关键路径加密的人工智能处理器安全增强系统及方法 | |
| Murdock et al. | Plundervolt: Software-based fault injection attacks against Intel SGX | |
| Lapid et al. | Cache-attacks on the ARM TrustZone implementations of AES-256 and AES-256-GCM via GPU-based analysis | |
| Cohney et al. | Pseudorandom black swans: Cache attacks on CTR_DRBG | |
| CN105678173B (zh) | 基于硬件事务内存的vTPM安全保护方法 | |
| Dürmuth et al. | On password guessing with GPUs and FPGAs | |
| CN108650075A (zh) | 一种抗侧信道攻击的软硬结合aes快速加密实现方法和系统 | |
| CN110380854A (zh) | 针对多个系统的根密钥生成、隔离方法及根密钥模块 | |
| CN109086612A (zh) | 一种基于硬件实现的嵌入式系统动态数据保护方法 | |
| CN110263543A (zh) | 基于代码标注的对象级收据存储方法和节点 | |
| US20210367766A1 (en) | A computation device using shared shares | |
| Zhang et al. | Leakage-resilient authenticated key exchange for edge artificial intelligence | |
| Ravi et al. | Security is an architectural design constraint | |
| Cook et al. | Cryptographics: exploiting graphics cards for security | |
| US20230185905A1 (en) | Protection of authentication tag computation against power and electromagnetic side-channel attacks | |
| US20220123949A1 (en) | Side channel protection for xmss signature function | |
| Shrivastava et al. | Securator: A fast and secure neural processing unit | |
| Domnitser et al. | A predictive model for cache-based side channels in multicore and multithreaded microprocessors | |
| Li et al. | Blockchain-assisted distributed fog computing control flow attestation | |
| Fu et al. | Differential fault attack on ITUbee block cipher | |
| Yang et al. | Toward Timed-Release Encryption in Web3 An Efficient Dual-Purpose Proof-of-Work Consensus | |
| Gurevin et al. | Secure remote attestation with strong key insulation guarantees | |
| Brumley | Covert timing channels, caching, and cryptography | |
| Sepúlveda | Secure Cryptography Integration: NoC-Based Microarchitectural Attacks and Countermeasures | |
| Oder | Efficient and side-channel resistant implementation of lattice-based cryptography |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |