本發明涉及一種基于關鍵路徑加密的人工智能處理器安全增強系統及方法，它由指令安全單元、數據安全單元、以及通用人工智能處理器架構組成；在通用人工智能處理器架構的基礎上，添加指令安全單元、數據安全單元來保證神經網絡模型的指令和權重的安全，以及保護人工智能處理器處理的中間數據的安全。該技術通過非對稱加密算法傳遞私鑰來對加密的指令和權重進行解密處理，旁路鏈式校驗方法能夠校驗神經網絡模型指令的完整性，且不影響人工智能處理器指令傳輸的性能。該技術采用加密算法(例如AES?CTR模式等高級加密算法)對關鍵路徑的特征圖進行加密，不僅保護了特征圖的私密性，而且還減少了人工智能處理器的側信道信息泄露，使得攻擊者無法通過對片外DRAM的訪問模式來推斷出神經網絡模型的結構。本發明具有廣泛的實用價值和應用前景。

技術領域

本發明涉及一種人工智能處理器安全增強系統及方法，包括人工智能處理器的模型安全、數據安全、指令安全。主要應用于保護神人工智能處理器運行的模型、數據和指令的安全。該人工智能處理器安全增強技術主要采用加密算法(比如AES加密算法)對模型的權重、指令、人工智能處理器處理的中間數據的加解密，來保障人工智能處理器的安全，屬于計算系統和微處理器安全領域。

背景技術

專用集成電路ASIC作為目前能效最高的人工智能處理器，它受到了工業界和學術界的廣泛關注。在學術界，2014年中科院計算所陳云霽團隊率先設計了一個高性能、低功耗的人工智能處理器DianNao，該加速器可以在3mm²的面積上做到與主流GPU相當的性能。該團隊在該加速器的基礎上，繼續研究了多核的DaDianNao，比主流GPU的性能提高了約20倍。2016年，該團隊提出了Cambricon指令集，是國際上首個深度學習指令集，能夠在保持高效的同時通過指令的組合支持各種神經網絡算法。2017年，麻省理工學院提出了Eyrriss深度學習加速器，該加速器采用行數據流方法進行深度學習加速進行加速，用于加速卷積神經網絡。在工業界，2016年5月谷歌開發了為開源項目TensorFlow優化設計的ASIC電路TPU(Tensor Processing Unit)，可用于完成卷積、全連接等典型的神經網絡運算。2017年10月英偉達開源了深度學習加速器NVDLA，是業界第一個開源的ASIC人工智能處理器。

雖然學術界和工業界投入了大量的人力、物力進行研發人工智能處理器，也取得了很好的成果。目前，人工智能處理器的設計僅僅是為了提高神經網絡模型運行的效率和實時性，人工智能處理器的架構設計也是向高性能、低功耗、小體積和定制化的方向發展，使得人工智能處理器能夠帶來更好的實時性。然而，在許多的應用場景中，需要保護神經網絡模型的隱私性，比如醫療圖像、金融數據等應用領域，以及需要在本地化數據處理中保障信息安全和數據隱私以減少數據上傳的流量資費。在這些應用方面，人工智能處理器正遭受許多的攻擊，有文獻表明現有人工智能處理器會產生內存側信道信息泄露和時間側信道信息泄露，利用它們能對人工智能處理器發起攻擊，偷取神經網絡模型的結構和權重。而且指令型人工智能處理器會通過編譯器加載各種神經網絡模型來產生對應運行在人工智能處理器上的指令，攻擊者根據編譯器生成的模型的硬件指令能夠反推出神經網絡模型的結構，以及神經網絡模型權重存儲在人工智能處理器上內存空間的位置，從而控制主CPU來讀取神經網絡模型的權重。

鑒于目前人工智能處理器日益突出的安全問題，亟需一種能夠提供一種人工智能處理器安全增強技術，從而保障人工智能處理器運行的神經網絡模型、數據以及指令的安全。對安全的人工智能處理器架構的研究具有廣泛的實用價值和應用前景。

發明內容

本發明技術解決問題：克服現有技術的不足，提供一種基于關鍵路徑加密的人工智能處理器安全增強系統及方法，能夠有效的解密來自CPU加密的神經網絡模型的權重和運行指令、加解密人工智能處理器處理的中間數據，彌補了現有人工智能處理器易遭受到側信道攻擊的缺陷，保障人工智能處理器的安全；且具有結構新穎、體積小、性能高、加密性能強和適應性強等特點。