AI /毫升工作负载需要额外的安全

安全遍及所有电子系统的必要性。但考虑到数据中心的增长机器学习计算,处理非常有价值的数据,一些公司特别重视处理数据安全。

所有常见的数据中心安全解决方案必须带到熊,但需要额外的努力来确保模型和数据集保护存储时,当被转移到和从加速器刀片,当处理一个系统,主机上多个租户在同一时间在同一个服务器。

“推理模型、推理算法训练模型,和训练数据集被认为是有价值的知识产权和需要保护——尤其是因为这些有价值的资产交给数据处理中心共享资源,”巴特·史蒂文斯说,安全IP产品营销高级总监Rambus在最近的一次演讲。

任何篡改AI训练数据会导致错误的模型的创建。和任何更改一个训练有素的模型会导致错误的结论是由人工智能引擎。“所有三个主要类型的学习(监督、非监督和强化)使用加权计算产生结果,“说Gajinder Panesar,研究员西门子EDA。“如果这些权重是陈旧、损坏或篡改,那么结果可能是一个结果,是完全错误的。”

攻击一个人工智能工作负载的影响将取决于应用程序,但结果永远不会好。唯一的问题是它是否会引起严重的损害或损伤。

虽然攻击保护的主要焦点,但并不是唯一的问题。“‘威胁’分为两大类——故意干扰坏蛋和意外问题,通常可以被认为是错误的,无论是硬件还是软件,“Panesar说。

安全基础
有基本的安全观念,适用于任何计算环境,和人工智能计算也不例外。而必须特别注意人工智能工作负载的某些方面,这不仅仅是工作负载,必须得到保护。“我们必须考虑整个系统的完整性的操作,而不仅仅是我们处理特定的芯片或芯片上的子系统,“Panesar说。

史蒂文斯概述,有四个方面的安全,必须进行处理。首先,数据和计算必须保密。第二,它应该为攻击者不可能改变任何数据在任何地方在任何时间。第三,参与计算的所有实体必须是真实的。第四,它不应该攻击者可以干扰计算平台的正常运行。

这导致一些基本的安全概念,希望大家都很熟悉参与安全系统的设计。第一个是保护数据的三个阶段:

1。数据,包括任何存储数据;
2。运动数据的沟通从一个地方到另一个地方,和
3所示。数据在使用,它是活跃的和活着的计算平台,因为它正在工作。

另一个熟悉的要求是可信执行环境(三通)。这是一个计算环境有限的高度信任软件和访问其他计算平台只有通过高度控制和可信的渠道。任何关键硬件或其他资产不能妥协将被放置在这样的环境下,不会直接访问外三通。

的t形提供了一种基本的方式处理重要的安全操作的方式受到外部软件干扰少得多。它使应用程序软件独立于底层安全操作。它还管理引导过程以确保它安全可靠地,捕捉任何试图引导不真实的代码。

有一个广泛的安全计算所需操作。认证确保实体与人交流真的是他们说他们是谁。加密的数据安全不被窥视。软件和其他数据构件可以有其出处散列并签署的担保业务。和所有这些功能需要钥匙的足够的强度来防止暴力破解黑客行为,这是有效的关键配置和管理至关重要。

提供额外的保护,确保t恤和其他重要安全电路免受闯入或试图破坏操作。侧通道必须得到保护,以确保没有办法snoop数据或键通过测量外部检测电子构件(如电力或电磁辐射。

最后,可以提供更多一层保护电路,监控内部举动提高警报如果怀疑似乎在酝酿之中。

应用这种专门的人工智能
保持人工智能工作负载安全始于这些基本安全需求,无论是培训或推断,以及这样做是否在一个数据中心,本地服务器或边缘设备。但是有额外考虑特定的人工智能工作负载,必须考虑。

“安全人工智能的实现需要防止提取或偷窃的推理算法,模型和参数,训练算法,和训练集,”史蒂文斯解释道。“这也意味着防止这些资产与恶意的意想不到的替换算法或数据集。这将避免中毒系统改变了推理结果,导致错误分类。”

新的人工智能处理硬件架构提供另一个需要保护的系统的一部分。”的核心系统显然是强大的加速器芯片的数组,从少量到一个大矩阵的专用人工智能处理单元与自己的内存池和只有一个任务,那就是过程在最短的时间内尽可能多的数据,”史蒂文斯指出。

设计师必须先占的特定资产需要保护。最明显的是培训或推理的硬件。“典型的叶片是一个网关CPU、专用的flash和DDR,”史蒂文斯说。”其任务是管理模型,添加资产。和控制加速器。然后是织物——一个高速网络连接或PCIe-4或5接口。一些刀片也有专有的延迟链接。”

图1:一个广义人工智能叶片数据中心。除了通常的CPU、动态内存和网络连接,加速器也会挑起大梁,协助内部存储器。来源:Rambus

此外,还有各种类型的数据保护,这取决于操作培训或推理。当训练模型,训练数据样本和训练必须保护的基本模型。推断时,训练模型,所有的重量,输入数据和输出结果需要保护。

操作上,这是一个新的、快速发展的区域,所以调试是可能的。任何调试必须安全地执行,必须关闭调试功能不验证时使用。

和修改代码或任何其他资产寻求刺激性必须交付的更新。特别是,它的模型将随着时间改变。所以必须用新的替换旧版本,同时不允许任何未经授权的人来取代一个有效的模型与一个不真实的。

“安全固件更新,以及能力能够调试系统以安全的方式,正在成为表股份这些天,”史蒂文斯指出。

数据泄露的风险
很明显,数据必须防止被盗。任何此类盗窃显然是一个保密,但是,更可怕的后果,政府法规。的例子,这种监管是GDPR欧美HIPAA医疗规则在美国。

除了直接盗窃、操纵的数据也是令人担忧的。训练数据,例如,可以作为一种侦查手段改变了一些秘密或者只是毒药的培训,这样生成的模型工作如此之差。

大部分的计算——尤其是当训练一个模型——将发生在一个数据中心,这可能涉及多租户服务器成本更低的操作。“越来越多的公司和团队依靠共享云计算资源因为各种各样的原因,主要是可扩展性和成本,”达纳·诺,高级产品营销经理安全IPSynopsys对此。

这意味着多个工作在相同的硬件上共存。然而,这些工作必须执行安全不亚于如果他们在不同的服务器上。他们必须由软件隔离的方式阻止任何-数据或泄漏从一个工作到另一个。

“移动计算到云能带来潜在的安全风险当系统不再是你的控制,”·诺说。“是否错误的或恶意的,一个用户的数据可以被另一个用户的恶意软件。用户需要信任云提供商满足合规标准,执行风险评估,控制用户访问,等等。”

集装箱化通常有助于分离过程在多租户环境中,但它仍然是一个流氓过程可以影响别人。”的问题会导致应用程序占用处理资源可能会影响其他租户,“Panesar指出。“这是特别重要的在等关键环境医学报告,或任何租户有约束力的SLA(服务水平协议)”。

最后,虽然它可能不会影响到特定的计算的结果或保密的数据,必须确保数据中心操作管理操作是安全的修修补补。“安全也应确保适当的计费服务和防止不道德的使用,如种族歧视,”史蒂文斯指出。

新标准将帮助开发人员以确保它们覆盖所有必要的基础。

“行业发展PCIe-interface安全标准,一种总线标准团体推动一个完整性和数据加密(IDE)规范,辅以组件测量和认证(CMA)和可信执行环境的I / O (TEE-I / O)”·诺说。“可转让的设备接口安全协议(ADISP)和其他协议扩展可信虚拟机的虚拟化功能用于保密计算工作负载承载环境隔绝,支持强大的认证和密钥管理。”

图2:人工智能计算涉及到大量的资产,和每个人都有特定的安全需求。来源:Rambus

实施保护
给出一个典型的人工智能计算环境,有几个步骤,必须采取锁定操作。他们从硬件开始信任的根(HRoT)。

HRoT是可信的,不透明的环境中安全操作,比如可以不公开执行身份验证和加密密钥或其他秘密。它可能是一个三通的关键组件。他们通常与处理器相关的古典建筑,但这里有通常不止一个处理元素。

特别是新硬件芯片致力于人工智能处理没有内置root-of-trust功能。“许多最近的AI /毫升加速器设计——尤其是初创公司——主要关注得到最优的转专业处理,”史蒂文斯在后续采访中解释道。“安全不是重点,或没有雷达。”

这意味着系统需要提供一个HRoT其他地方,有几个选择。

方法之一,侧重于数据的使用,是给每个计算元素——主机芯片和加速器芯片,例如,自己的HRoT。每个HRoT会处理自己的钥匙和执行操作的方向相关的处理器。他们可能是单片集成在soc,尽管这并不是目前神经处理器。

另一个选择,侧重于数据的运动,是提供一个HRoT在网络连接,以确保所有数据进入董事会是干净的。”运动,数据吞吐量的要求是非常高的,非常低的延迟需求,”史蒂文斯说。“系统使用短暂的钥匙,他们通常使用会话密钥。”

”认证,刀片需要得到一个身份证号码,这并不一定需要保密的,”他继续说。“这只是需要独特的和不可改变的。它可以许多IDs,每个芯片,一个或一个刀片或设备本身。”

这些外部HRoTs可能不需要当安全建立在未来神经处理单元(转专业)。“最终,当创业的初始转证明概念已被证明是成功的,这些设计的架构的第二旋转将有根信任的能力,将有更多的加密能力处理更大的负载,”史蒂文斯说。

数据从SRAM DRAM,反之亦然,也应该被加密,以确保它不会泄露隐私的机构。同样适用于任何直接连接到邻近的董事会。

与加密嵌入在一个已经强烈的计算,一个运行经营陷入困境的风险。安全运行是至关重要的,但它没有人如果它削弱操作本身。

“网络或PCI Express链接到织物应该插入一个高通量L2和L3 protocol-aware安全保护包引擎,”史蒂文斯说。“这样一个包引擎需要小CPU的支持。”

这可以适用于记忆和叶片间交通加密。“网关的内容CPU DDR和当地AI加速器GDDRs可以通过内联存储加密保护引擎,”他说。“如果一个专用叶片间侧槽存在,它可以通过高通量AES-GCM保护(伽罗瓦/计数器模式链路加密加速器。”

最后,标准的安全保护可以通过持续的监控,支持跟踪实际操作。“你需要收集信息从系统的硬件可以告诉你如何表现,“Panesar说。“这需要实时、瞬时和长期的统计。它还需要理解(无论是人工或机器)和可操作的。温度、电压和时间的数据都很好,但你也需要更高级、更复杂的信息。”

但这并不能替代严格的安全。“目标是识别问题可能逃避传统安全保护,但不能代替这样的保护,”他补充说。

努力工作之前
这些元素不一定是简单的实现。需要努力工作。“弹性,能够安全地更新系统,和恢复从一个成功攻击的能力是真实的挑战,”Mike Borza指出安全Synopsys对此的IP架构师。“建立这样的系统是非常非常困难的。”

但随着人工智能计算变得越来越习惯,工程师不是专家在数据建模或安全日益将转向毫升服务作为他们工作的人工智能应用程序。他们需要依靠基础设施,照顾好他们的重要的数据模型和计算他们将使用来区分他们的产品不要在错误的手。

相关的
在芯片和AI系统安全的权衡
专家在餐桌上:安全如何影响功率和性能,AI系统为何如此难以安全,隐私,为什么越来越多的考虑。
安全研究部分
新的安全技术论文发表于8月21日USENIX安全研讨会。
总是,总是处于危险之中
芯片安全问题上升更多处理元素,自动唤醒,无线更新和更大的连接。
安全知识中心manbetx提款有几种方式
万博苹果app下载最新版头条新闻、白皮书、博客、视频硬件安全
人工智manbetx提款有几种方式能知识中心