这篇文档属于类型a,即报告了一项原创性研究。以下是针对该研究的学术报告:
物理不可克隆内存计算技术REPACK:同时保护私有数据和深度学习模型的安全框架
作者及机构
本研究由Wenshuo Yue(北京大学集成电路学院/人工智能研究院)、Kai Wu(河北大学电子与信息工程学院)、Zhiyuan Li、Juchen Zhou(北京大学集成电路学院)等来自北京大学、河北大学、中国脑科学与智能技术研究中心(CIBR)、半导体技术创新中心(北京)有限公司等多家机构的联合团队完成,通讯作者为Xiaobing Yan、Bonan Yan和Yuchao Yang。研究成果于2025年1月17日发表在《Nature Communications》(DOI: 10.1038/s41467-025-56412-w)。
研究领域与动机
该研究属于边缘人工智能(Edge AI)硬件安全领域,聚焦于基于忆阻器(ReRAM)的内存计算(Compute-in-Memory, CIM)技术的安全挑战。随着物联网(AIoT)设备的普及,边缘设备需处理敏感数据(如医疗影像),但传统CIM架构因非易失性存储特性易受硬件攻击,导致模型权重和用户隐私泄露。现有加密方案(如AES、XOR cipher)因高能耗或面积开销难以适用于资源受限的边缘设备。为此,团队提出REPACK框架,首次将物理不可克隆函数(Physical Unclonable Function, PUF)与CIM硬件深度融合,实现全片上自加密。
关键技术背景
1. ReRAM-CIM:通过存内计算减少数据搬运能耗,但非易失性特性使权重易被窃取。
2. PUF:利用器件固有随机性生成唯一密钥,但传统PUF设计未针对CIM场景优化。
1. 硬件基础:两步式ReRAM-PUF生成
- 研究对象:128×128的1T1R(单晶体管单忆阻器)ReRAM阵列。
- 创新方法:
- 伪成型(Pseudo-forming):以低合规电流诱导器件间随机性(熵源)。
- 强成型(Strong-forming):基于中值电导筛选,增强高低阻态比(~5倍),保持随机性。
- 验证实验:通过108次读取循环测试,比特错误率(BER)<6.78×10⁻⁶,并通过NIST随机性测试。
2. 加密核心:二分排序编码(Bipartite-Sort, BS Code)
- 设计原理:
- 将数据向量分为MSB/LSB两部分,按PUF响应(50%“1”和“0”)重排序。
- 例如,8位整数权重拆分为高4位和低4位,分别存储于PUF标记的列中。
- 硬件实现:纯组合逻辑电路,面积开销仅占CIM宏的1.6%,功耗0.4596mW。
3. 三重数据保护方案
- 层级加密(Layer Encryption):
- 使用1位PUF响应选择真实/虚假权重层,虚假层通过哈希函数动态生成。
- 测试结果:在U-Net模型中,单层虚假权重导致分割准确率(Dice)降至0%~39.2%。
- 权重加密(Weight Encryption):
- 差分对权重按BS Code存储,攻击者需枚举5.77×10⁷⁵次才能破解128列CIM核心。
- 输入加密(Input Encryption):
- 输入数据按PUF响应重排,错误密钥下输出为无序噪声(见图1c)。
4. 系统集成与验证
- 芯片实现:40nm工艺ReRAM-CIM芯片,含12个CIM核心和1个PUF核心。
- 闭环演示:基于FPGA的医疗影像处理系统,攻击者无法通过合法I/O端口窃取数据。
科学价值:
- 首次实现PUF与CIM的片上融合,提出“自加密”范式,为边缘AI硬件安全奠定基础。
- BS Code以低开销实现高复杂度加密,突破能效-安全权衡瓶颈。
应用前景:
- 联邦学习(Federated Learning)中保护模型IP和用户隐私。
- 医疗AIoT等敏感场景的实时安全推理。
局限与展望:
- 当前方案无法防御物理破坏性攻击,未来需结合版图混淆技术。
- 可探索与联邦学习的软硬件协同加密。
(注:全文约2000字,涵盖方法细节、数据支撑及逻辑链条,符合学术报告要求。)