[发明专利]卷积神经网络模型计算装置及计算方法

说明书

本发明提供一种卷积神经网络模型的计算装置和相应的计算方法。该计算装置包括：物理不可克隆模块，所述物理不可克隆模块用于根据预定的激励c'生成响应r'；乘累加计算模块，所述乘累加计算模块用于基于所述物理不可克隆模块的响应r'执行与已训练好的卷积神经网络模型的对应的模糊权重值w'₀至w'_i和对应输入数据的乘累加计算，获得乘累加计算结果，其中，所述模糊权重值与所述已训练好的卷积神经网络模型对应的原始权重值w₀至w_i中至少有一个不相等，所获得的乘累加计算结果与所述已训练好的卷积神经网络模型的原始权重值和对应输入数据的乘累加计算结果相同。本发明的计算装置和计算方法能够针对CNN模型本身进行知识产权保护并且开销小。

技术领域

本发明涉及信息安全技术领域，尤其涉及一种卷积神经网络模型计算装置和计算方法。

背景技术

近年来，科技的进步促进系统设计复杂度的快速增长。在全球化经济背景下，外在的经济驱动因素和市场力量导致了更多的设计出发点，更短的设计周期和更大的上市时间压力。这些趋势同时导致了第三方知识产权(IP)的广泛使用。但是，对知识产权的隐私攻击，例如未经授权的使用，克隆和篡改，不仅降低了利润和市场份额，还会对品牌声誉造成损害。因此，对知识产权保护是极其必要的。

卷积神经网络(CNN)是一种前馈人工神经网络，CNN使用数据卷积滤波层处理数据，能够实现很高的预测精度。目前，各种各样的CNN加速器已经被提出，例如，基于GPU、基于FPGA、基于CPU+FPGA片上系统、基于ASIC设计的CNN加速器等，其中，基于FPGA的CNN加速器由于性能好、设计周期短、能效高、可重配等优势，引起人们的广泛关注。

目前，CNN已被广泛使用于各种应用中，例如字符识别、图像分类、人脸检测和语音识别等。CNN的成功直接受益于大量的高质量数据集。尽管目前有大量的开源数据集可用于学术研究，但是许多商业数据集通常不公开，因为它们通常包含商业秘密、客户隐私等，而且，随着CNN能力和容量的不断增长，训练成本急剧增加。因此，已经训练好的CNN模型可以作为IP出售。换句话说，CNN模型的商业化是不可避免的。然而，应用训练好的CNN模型时，暴露的模型参数也可以被攻击者利用来操纵预测结果，因此，CNN的IP保护是极其重要的。

在现有技术中，已提出了按设备收费的针对FPGA中硬件IP的保护方案，在这种方案中，用户向IP供应商支付少量费用，以在指定FPGA中使用特定的硬件IP。此外，还存在使用软硬件绑定技术实现的IP保护，例如使用存储密钥或物理不可克隆功能(PUF)的IP保护策略。PUF是一种硬件安全原语，它利用随机工艺偏差为输入激励生成特定的响应，即激励响应对(CRP)，即使使用相同的设计，不同PUF的CRP也各不相同，制造之前难以预测，制造时难以控制，制造后难以克隆。因此，基于PUF的按设备收费方法能够抵抗各种攻击。

然而，现有CNN相关的IP保护仅仅局限于电路、FPGA设计方面的保护，这些技术可以用在CNN硬件加速器的IP保护上，但是不能用于CNN模型本身的IP保护，这是因为CNN模型并非硬件。此外，传统的数据保护方法是通过加密实现的，当加密数据被解密以供使用时，存储在存储器中的解密数据可能被攻击者窃取，而且解密过程会影响加速器的性能。因此，传统的针对硬件的IP保护方法无法直接用于CNN模型参数的保护，而传统数据加密方法又会带来硬件加速器性能上的损失，对于CNN模型的IP保护的研究目前还是一片空白。

因此，需要对现有技术进行改进，以提供针对CNN模型本身的IP保护的计算装置和计算方法。

发明内容

本发明的目的在于克服上述现有技术的缺陷，提供一种卷积神经网络模型计算装置及计算方法，以能够对CNN模型进行知识产权保护。

根据本发明的第一方面，提供了一种卷积神经网络模型的计算装置。该计算装置包括：