编辑推荐:
随着全球具身人工智能(AI)和物联网人工智能(AIoT)市场的快速发展,边缘设备对低功耗、轻量化和安全性的需求日益增长。基于电阻式随机存取存储器(ReRAM)的内存计算(CIM)技术虽能加速神经网络,但存在安全隐患。研究人员提出 RePACK 方案,经实验验证可有效保护数据和模型,为边缘 AI 系统安全提供新途径。
在科技飞速发展的当下,人工智能(AI)已渗透到生活的各个角落。特别是具身人工智能和物联网人工智能的兴起,让边缘设备(如智能家居设备、可穿戴医疗设备等)的重要性与日俱增。这些设备不仅要处理大量的私人信息,还需运行复杂的深度学习模型,但它们面临着严峻的安全挑战。一方面,边缘设备的芯片资源有限,难以运行复杂的加密算法;另一方面,基于电阻式随机存取存储器(ReRAM)的内存计算(CIM)技术虽能提升计算效率,却因 ReRAM 的非易失性,使得存储的权重数据极易被盗取,用户隐私和模型知识产权岌岌可危。因此,开发一种安全高效的边缘设备计算方案迫在眉睫。
为解决这些难题,北京大学等机构的研究人员展开了深入研究。他们提出了 RePACK(一种三重数据保护方案),旨在同时保护神经网络输入、权重和结构信息。相关研究成果发表在《Nature Communications》上。
研究人员主要运用了以下关键技术方法:一是利用基于 ReRAM 的物理不可克隆函数(PUF),通过独特的两步形成方案生成可靠的 PUF 响应;二是开发二分排序(BS)编码加密技术,将其与 PUF 响应相结合,对数据进行加密处理;三是构建基于 ReRAM 的 CIM 芯片及闭环系统,对各种神经网络模型进行测试评估。
下面来看具体的研究结果:
- RePACK 框架设计:RePACK 框架为边缘 AI 处理器提供了强大的硬件级安全机制。芯片制造商采用两步形成方案为每个芯片生成唯一的 PUF,神经网络模型根据芯片的 PUF 加载权重。只有拥有正确 PUF 响应的芯片才能正常计算,有效防止了未经授权的使用1。
- PUF 生成与特性:研究人员利用 ReRAM 器件的电阻变化作为熵源,通过两步形成方案生成 PUF。该 PUF 仅用一个 1T1R 单元表示一个 PUF 位,具有高密度、高唯一性、高稳定性等优点,且成功通过 NIST 测试23。
- 二分排序编码加密:BS 编码利用 PUF 响应中的等量 “0” 和 “1” 对数据进行二分和排序,实现数据加密。与传统加密技术相比,BS 编码在复杂度 /(功耗 × 面积 × 延迟)的品质因数(FoM)上表现卓越,具有更高的加密复杂度、更低的能耗和延迟45。
- 三重数据保护
- PUF 引导推理:通过诱导假权重,只有在 PUF 响应正确时,神经网络才能使用真实权重进行计算,否则推理失败,有效保护了神经网络结构信息不被窃取6。
- PUF 引导权重重分配:将权重的正负部分按 PUF 响应和 BS 编码分别存储在 CIM 核心中,攻击者难以获取真实权重。实验表明,错误的 PUF 响应会导致推理精度大幅下降7。
- PUF 引导输入:输入数据按 PUF 响应和 BS 编码重新分配输入顺序,加密输入数据。在 LeNet - 5 网络上的实验显示,三重加密方案可增强安全性,且对计算速度影响极小8。
- 实验验证:研究人员设计并制造了基于 40nm 技术平台的 ReRAM 芯片,构建了包含 FPGA、定制 ReRAM CIM 芯片和 PC 的闭环系统。在多种神经网络模型(如 DNN、CNN、RNN 等)上的实验表明,RePACK 方案能有效保护数据和模型,防止攻击9。
研究结论表明,RePACK 方案利用芯片的固有随机性对 CIM 模块中存储的权重进行加密,仅产生少量的面积开销和低计算延迟,在 CPAL FoM 上实现了最佳性能。它是一种全芯片自加密技术,为增强边缘 AI 系统的安全性提供了通用解决方案。
不过,该研究也存在一些局限性。例如,硬件架构无法防止破坏性检测,未来可设计混淆结构加以改进;此外,研究未涉及加密模型训练,后续可结合联邦学习与基于 PUF 的秘密共享及 RePACK 方案来实现。总体而言,ReRAM - based PUF 和 RePACK 方案的提出,为物联网设备的知识产权保护和边缘 AI 系统的安全运行奠定了重要基础,具有广阔的应用前景。
