本发明专利技术涉及一种基于关键路径加密的人工智能处理器安全增强系统及方法,它由指令安全单元、数据安全单元、以及通用人工智能处理器架构组成;在通用人工智能处理器架构的基础上,添加指令安全单元、数据安全单元来保证神经网络模型的指令和权重的安全,以及保护人工智能处理器处理的中间数据的安全。该技术通过非对称加密算法传递私钥来对加密的指令和权重进行解密处理,旁路链式校验方法能够校验神经网络模型指令的完整性,且不影响人工智能处理器指令传输的性能。该技术采用加密算法(例如AES‑CTR模式等高级加密算法)对关键路径的特征图进行加密,不仅保护了特征图的私密性,而且还减少了人工智能处理器的侧信道信息泄露,使得攻击者无法通过对片外DRAM的访问模式来推断出神经网络模型的结构。本发明专利技术具有广泛的实用价值和应用前景。
An Artificial Intelligent Processor Security Enhancement System and Method Based on Critical Path Encryption
【技术实现步骤摘要】
一种基于关键路径加密的人工智能处理器安全增强系统及方法
本专利技术涉及一种人工智能处理器安全增强系统及方法,包括人工智能处理器的模型安全、数据安全、指令安全。主要应用于保护神人工智能处理器运行的模型、数据和指令的安全。该人工智能处理器安全增强技术主要采用加密算法(比如AES加密算法)对模型的权重、指令、人工智能处理器处理的中间数据的加解密,来保障人工智能处理器的安全,属于计算系统和微处理器安全领域。
技术介绍
专用集成电路ASIC作为目前能效最高的人工智能处理器,它受到了工业界和学术界的广泛关注。在学术界,2014年中科院计算所陈云霁团队率先设计了一个高性能、低功耗的人工智能处理器DianNao,该加速器可以在3mm2的面积上做到与主流GPU相当的性能。该团队在该加速器的基础上,继续研究了多核的DaDianNao,比主流GPU的性能提高了约20倍。2016年,该团队提出了Cambricon指令集,是国际上首个深度学习指令集,能够在保持高效的同时通过指令的组合支持各种神经网络算法。2017年,麻省理工学院提出了Eyrriss深度学习加速器,该加速器采用行数据流方法进行深度学习加速进行加速,用于加速卷积神经网络。在工业界,2016年5月谷歌开发了为开源项目TensorFlow优化设计的ASIC电路TPU(TensorProcessingUnit),可用于完成卷积、全连接等典型的神经网络运算。2017年10月英伟达开源了深度学习加速器NVDLA,是业界第一个开源的ASIC人工智能处理器。虽然学术界和工业界投入了大量的人力、物力进行研发人工智能处理器,也取得了很好的成果。目前,人工智能处理器的设计仅仅是为了提高神经网络模型运行的效率和实时性,人工智能处理器的架构设计也是向高性能、低功耗、小体积和定制化的方向发展,使得人工智能处理器能够带来更好的实时性。然而,在许多的应用场景中,需要保护神经网络模型的隐私性,比如医疗图像、金融数据等应用领域,以及需要在本地化数据处理中保障信息安全和数据隐私以减少数据上传的流量资费。在这些应用方面,人工智能处理器正遭受许多的攻击,有文献表明现有人工智能处理器会产生内存侧信道信息泄露和时间侧信道信息泄露,利用它们能对人工智能处理器发起攻击,偷取神经网络模型的结构和权重。而且指令型人工智能处理器会通过编译器加载各种神经网络模型来产生对应运行在人工智能处理器上的指令,攻击者根据编译器生成的模型的硬件指令能够反推出神经网络模型的结构,以及神经网络模型权重存储在人工智能处理器上内存空间的位置,从而控制主CPU来读取神经网络模型的权重。鉴于目前人工智能处理器日益突出的安全问题,亟需一种能够提供一种人工智能处理器安全增强技术,从而保障人工智能处理器运行的神经网络模型、数据以及指令的安全。对安全的人工智能处理器架构的研究具有广泛的实用价值和应用前景。
技术实现思路
本专利技术技术解决问题:克服现有技术的不足,提供一种基于关键路径加密的人工智能处理器安全增强系统及方法,能够有效的解密来自CPU加密的神经网络模型的权重和运行指令、加解密人工智能处理器处理的中间数据,弥补了现有人工智能处理器易遭受到侧信道攻击的缺陷,保障人工智能处理器的安全;且具有结构新颖、体积小、性能高、加密性能强和适应性强等特点。本专利技术技术解决方案:一种基于关键路径加密的人工智能处理器安全增强系统,包括:通用人工智能处理器架构、指令安全单元和数据安全单元;在通用人工智能处理器架构的基础上添加指令安全单元和数据安全单元;指令安全单元位于总线接口与PE处理单元之间的指令接收通道,指令安全单元通过非对称加密算法硬件模块解析出密钥,利用该密钥解密来自CPU的加密指令和权重数据,以及对解密后的指令进行完整性校验,完整性校验时采用旁路链式校验方法对神经网络模型的运行指令进行校验,以此保证人工智能处理器指令的安全;数据安全单元位于通用人工智能处理器架构与总线接口之间,与片外DRAM进行数据交互,完成对人工智能处理器处理的中间数据选择关键路径的特征图进行加解密处理,完成对写入到片外DRAM的中间数据的加密处理和人工智能处理器读入片外DRAM中间数据的解密,以及对片外DRAM神经网络模型权重的解密;其中加密算法的密钥由随机数发生器产生(比如线性反馈移位寄存器(LFSR)),数据安全单元通过对关键路径的特征图加解密来混淆神经网络模型层与层之间的边界,减少内存侧信道信息泄露和时间侧信道信息泄露。所述指令安全单元包括非对称加密算法硬件模块、加密算法硬件模块以及旁路链式校验模块;非对称加密算法硬件模块是把非对称加密算法(比如RSA算法)进行硬件实现,用于传递加密算法所需的密钥;加密算法硬件模块为把加密算法(比如AES加密算法)进行硬件实现,完成对接收到的神经网络模型指令的解密。所述指令安全单元中,旁路链式校验方法由校验方法和旁路逻辑单元组成,具体实现过程如下:(1)采用Verilog语音实现链路校验方法,链路校验方法采用循环冗余校验码(CRC32);(2)采用并行化设计链路校验方法,以此实现旁路逻辑完成对指令的硬件校验,不影响人工智能处理器正常的指令发送与接收。所述数据安全单元中,对关键路径的加密来混淆神经网络模型层与层之间的边界的具体实现如下:(1)解密来自片外DRAM的神经网络模型的权重,采用三个标准来对神经网络模型中的特征图进行关键路径选择;(2)对选择的关键路径的特征图采用通道密度、通道关联性、通道个数进行安全性分析;(3)对关键路径的特征图通过硬件实现的加密算法进行加解密处理,其中使用的密钥由随机数生成器算法(线性反馈移位寄存器(LFSR))产生。采用加密算法对通用人工智能处理器架构中的神经网络模型的权重和运行指令进行加密处理,并采用非对称加密算法传输人工智能处理器的私钥,用来解密神经网络模型权重和运行指令的密文;采用随机数产生器产生随机数作为人工智能处理器加解密中间数据的密钥。所述关键路径的特征图采用三个标准选择关键路径的特征图,并且对关键路径的特征图进行的加解密处理;采用通道密度、通道关联性以及加密关键路径的个数来量化评估关键路径加密特征图的安全性的量化方法;基于关键路径特征图加密的方法不仅能够保证了人工智能处理器处理中间数据的安全,而且还能够减少人工智能处理器对片外DRAM访问的内存侧信道信息泄露和时间侧信道信息泄露。本专利技术的一种基于关键路径加密的人工智能处理器安全增强方法,实现步骤如下:(1)人工智能处理器通过非对称加密算法接收来自CPU的密钥,结合本地的私钥计算出加密算法解密的密钥,用于解密神经网络模型的加密指令和权重;(2)然后指令安全单元接收来CPU的加密指令,通过加密算法模块解密加密指令并进行旁路链式校验,校验出错则通知CPU重新发送该指令,指令安全单元还解密来自片外DRAM的神经网络模型的权重,送至人工智能处理器的片上缓存;(3)人工智能处理器接收来自CPU的指令对输入的权重和输入数据进行计算,得到的人工智能处理器处理的中间数据,中间数据包输入特征图和输出特征图,选择关键路径的特征图进行加密处理,待到进行神经网络模型下一层处理时,则解密对应的关键路径的特征图;直至完成整个神经网络模型的各个层的计算;(4)最后,人工智能处理器输本文档来自技高网...
【技术保护点】
1.一种基于关键路径加密的人工智能处理器安全增强系统,其特征在于,包括:通用人工智能处理器架构、指令安全单元和数据安全单元;在通用人工智能处理器架构的基础上添加指令安全单元和数据安全单元;指令安全单元位于总线接口与PE处理单元之间的指令接收通道,指令安全单元通过非对称加密算法硬件模块解析出密钥,利用该密钥解密来自CPU的加密指令和权重数据,以及对解密后的指令进行完整性校验,完整性校验时采用旁路链式校验方法对神经网络模型的运行指令进行校验,以此保证人工智能处理器指令的安全;数据安全单元位于通用人工智能处理器架构与总线接口之间,与片外DRAM进行数据交互,完成对人工智能处理器处理的中间数据选择关键路径的特征图进行加解密处理,完成对写入到片外DRAM的中间数据的加密处理和人工智能处理器读入片外DRAM中间数据的解密,以及对片外DRAM神经网络模型的权重的解密;其中加密算法的密钥由随机数发生器(例如线性反馈移位寄存器(LFSR))产生,数据安全单元通过对关键路径特征图的加解密来混淆神经网络模型层与层之间的边界,减少内存侧信道信息泄露和时间侧信道信息泄露。
【技术特征摘要】
1.一种基于关键路径加密的人工智能处理器安全增强系统,其特征在于,包括:通用人工智能处理器架构、指令安全单元和数据安全单元;在通用人工智能处理器架构的基础上添加指令安全单元和数据安全单元;指令安全单元位于总线接口与PE处理单元之间的指令接收通道,指令安全单元通过非对称加密算法硬件模块解析出密钥,利用该密钥解密来自CPU的加密指令和权重数据,以及对解密后的指令进行完整性校验,完整性校验时采用旁路链式校验方法对神经网络模型的运行指令进行校验,以此保证人工智能处理器指令的安全;数据安全单元位于通用人工智能处理器架构与总线接口之间,与片外DRAM进行数据交互,完成对人工智能处理器处理的中间数据选择关键路径的特征图进行加解密处理,完成对写入到片外DRAM的中间数据的加密处理和人工智能处理器读入片外DRAM中间数据的解密,以及对片外DRAM神经网络模型的权重的解密;其中加密算法的密钥由随机数发生器(例如线性反馈移位寄存器(LFSR))产生,数据安全单元通过对关键路径特征图的加解密来混淆神经网络模型层与层之间的边界,减少内存侧信道信息泄露和时间侧信道信息泄露。2.根据权利要求1所述的基于关键路径加密的人工智能处理器安全增强系统,其特征在于:所述指令安全单元包括非对称加密算法硬件模块、加密算法硬件模块以及旁路链式校验模块;非对称加密算法硬件模块是把非对称加密算法(例如RSA算法)进行硬件实现,用于传递加密算法所需的密钥;加密算法硬件模块为把加密算法(例如AES加密算法)进行硬件实现,完成对接收到的神经网络模型的指令的解密。3.根据权利要求1所述的基于关键路径加密的人工智能处理器安全增强系统,其特征在于:所述指令安全单元中,旁路链式校验方法由校验方法和旁路逻辑单元组成,具体实现过程如下:(1)采用Verilog语音实现链路校验方法,链路校验方法采用循环冗余校验码(CRC32);(2)采用并行化设计链路校验方法,以此实现旁路逻辑完成对指令的硬件校验,不影响人工智能处理器正常的指令发送与接收。4.根据权利要求1所述的基于关键路径加密的人工智能处理器安全增强系统,其特征在于:所述数据安全单元中,对关键路径的加密来混淆神经网络模型层与层之间的边界的具体实现如下:(1)解密来...
【专利技术属性】
技术研发人员:侯锐,王兴宾,孟丹,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。