A PUF-Based Approach for Copy Protection of Intellectual Property in Neural Network Models

Dit paper presenteert een aanpak die fysiek onkloonbare functies (PUF's) gebruikt om de gewichten van neurale netwerken te koppelen aan unieke hardware-eigenschappen, waardoor het kopiëren van deze modellen naar gekloonde hardware onmogelijk wordt gemaakt en de intellectuele eigendom effectief wordt beschermd.

De kern

Stel je voor dat je een heel duur, uniek recept hebt voor de beste taart ter wereld. Dit recept is het resultaat van jarenlang experimenteren en is je geheime bezit (je intellectueel eigendom). Je verkoopt deze taarten in een fabriek.

Het probleem? Iemand kan je fabriek namaken (kloppen), je recept stelen en het op hun eigen, namaak-fabriek gebruiken. Omdat het recept op papier staat, is het makkelijk te kopiëren.

De auteurs van dit paper hebben een slimme oplossing bedacht: Ze maken het recept onleesbaar, tenzij je de exacte fabriek hebt waar het voor gemaakt is.

Hier is hoe het werkt, vertaald naar alledaagse taal:

1. Het Geheim: De "Fysieke Vingerafdruk"

Elk stukje hardware (zoals de computer in je fabriek) heeft kleine, onzichtbare onvolkomenheden door de manier waarop het is gemaakt. Denk aan microscopische krassen of variaties in het metaal. Niemand kan twee stukken hardware maken die exact hetzelfde zijn.

In de techniek noemen ze dit een PUF (Physically Unclonable Function). Het is als een digitale vingerafdruk van de machine. Als je een specifieke vraag (een "uitdaging") aan de machine stelt, geeft hij een uniek antwoord dat alleen die ene machine kan geven.

2. Het Recept Versleutelen

Normaal gesproken zijn de "gewichten" van een neurale netwerks (de cijfers in het recept die bepalen hoe de taart smaakt) gewoon leesbaar.

De auteurs doen het volgende:

• Ze nemen een deel van die cijfers in het recept.
• Ze gebruiken de vingerafdruk van de echte fabriek om die cijfers te versleutelen (zoals een slot op de doos met het recept).
• Ze doen dit met een heel simpele maar sterke methode: XOR. Stel je voor dat je een cijfer optelt bij een geheim getal uit de vingerafdruk. Het resultaat ziet eruit als willekeurige troep.

3. Wat gebeurt er bij een kloon?

Nu probeert een dief je fabriek te kopiëren en het versleutelde recept te stelen.

• Op de echte fabriek: De computer vraagt aan zijn eigen vingerafdruk: "Wat is het geheim voor dit slot?" De vingerafdruk geeft het juiste antwoord. De cijfers worden weer ontcijferd, het recept is leesbaar, en de taart wordt perfect gebakken.
• Op de namaak-fabriek: De dief gebruikt het versleutelde recept op zijn kloon. Hij vraagt aan zijn vingerafdruk (die anders is dan die van de originele machine) om het geheim. De kloon geeft een ander antwoord. De cijfers worden verkeerd ontcijferd. Het recept is nu vol fouten.

4. Het Resultaat: Een Slechte Taart

Op de kloon-fabriek werkt het systeem nog wel, maar het maakt slechte taarten.

• Als de machine een robotarm is die moet schroeven, gaat hij nu schroeven op de verkeerde plek.
• Als het een systeem is dat foto's herkent (bijv. "is dit een kat of een hond?"), zal de kloon-machine zeggen: "Dit is een hond" terwijl het een kat is.

De machine werkt dus niet meer goed genoeg om geld mee te verdienen. De dief heeft het recept, maar het is nutteloos zonder de originele machine.

Waarom is dit slim?

• Het is niet direct kapot: De machine doet nog iets, maar het is zo slecht dat het onbruikbaar is. Dit is lastiger te detecteren dan als de machine helemaal zou crashen.
• Kopen is onmogelijk: Je kunt de vingerafdruk niet kopiëren. Het is fysiek onmogelijk om twee machines te maken die exact hetzelfde reageren op dezelfde vraag.
• Veiligheid: Zelfs als hackers het versleutelde bestand op hun computer analyseren, zien ze alleen willekeurige cijfers. Zonder de echte machine kunnen ze het geheim niet achterhalen.

Samenvattend

De auteurs hebben een manier bedacht om software (het neurale netwerk) te "plakken" aan de hardware (de machine) met een onkopieerbare lijm (de PUF). Als je de software probeert te verhuizen naar een andere machine, valt de lijm uit elkaar en werkt het systeem niet meer. Het is alsof je een sleutel maakt die alleen past in het slot van één specifieke auto; probeer je hem in een andere auto te steken, dan draait hij niet.

Technische samenvatting

Hier is een gedetailleerde technische samenvatting van het paper "A PUF-Based Approach for Copy Protection of Intellectual Property in Neural Network Models" in het Nederlands.

Probleemstelling

Neurale netwerken (NN) worden steeds vaker ingezet in industriële toepassingen (zoals kwaliteitsborging en procesautomatisering) en vormen een cruciaal intellectueel eigendom (IP) voor bedrijven. Het huidige beveiligingslandschap is echter kwetsbaar:

• Softwarepiraterij: Pre-getrainde NN-modellen kunnen eenvoudig worden gekopieerd en op gekloonde hardware worden uitgevoerd, zonder dat de eigenaar hiervan op de hoogte is.
• Beperkingen van bestaande methoden: Traditionele beschermingsmechanismen zoals wachtwoorden of hardware-dongles zijn vaak eenvoudig te omzeilen en kunnen kostbaar zijn.
• Reverse Engineering: In industriële omgevingen is het vaak voldoende om de hardware te klonen en de software (inclusief het NN-model) erop te kopiëren om het IP te stelen. Er is geen ingebouwde koppeling tussen het model en de specifieke fysieke hardware waarop het draait.

Het doel is dus om NN-modellen te binden aan de specifieke hardware waarop ze zijn ontwikkeld, zodat ze op gekloonde systemen niet (of nauwelijks) bruikbaar zijn.

Methodologie

De auteurs stellen een methode voor die Physically Unclonable Functions (PUF's) gebruikt om een unieke "vingerafdruk" van de hardware te genereren en deze te koppelen aan de gewichten van het neurale netwerk.

Kernprincipes:

1. PUF-gebaseerde sleutelgeneratie: Een PUF is een hardware-primitief dat unieke fysieke eigenschappen van een chip benut (veroorzaakt door onbedoelde variaties tijdens de fabricage). Het neemt een binaire "challenge" (uitdaging) en geeft een unieke "response" (reactie). Deze reactie is uniek voor elke chip en niet te klonen.
2. Versleuteling van gewichten: In plaats van het hele model te versleutelen, worden slechts een subset van de gewichten (de parameters die het model leren) versleuteld.
   • De auteurs gebruiken een Vernam-cijfer (een vorm van One-Time Pad) aangepast voor NN-gewichten.
   • De gewichten (in binaire vorm) worden XOR-vermenigvuldigd met een sleutel gegenereerd door de PUF op de doelmachine.
3. Bindingsmechanisme:
   • Tijdens encryptie: Op de doelmachine worden willekeurige challenges naar de PUF gestuurd om de sleutels te genereren voor het versleutelen van de geselecteerde gewichten.
   • Tijdens decryptie (gebruik): Om het model correct te laten werken, moet het systeem op de doelmachine de juiste PUF-response genereren voor de opgeslagen challenges. Alleen dan worden de gewichten correct gedecrypteerd.
   • Op gekloonde hardware: Omdat de gekloonde machine een andere PUF-response heeft voor dezelfde challenge, worden de gewichten verkeerd gedecrypteerd. Dit leidt tot een significante daling in de nauwkeurigheid van het model, waardoor het model onbruikbaar wordt voor de aanval.

Implementatie details:

• De auteurs hebben een Proof of Concept (PoC) ontwikkeld in Python met TensorFlow.
• Ze simuleren een XOR-PUF (XOR Arbiter PUF) voor demonstratiedoeleinden, maar het systeem is hardware-onafhankelijk en werkt met elke PUF (bijv. DRAM-PUF, SRAM-PUF).
• Er wordt een "helper-data" structuur opgeslagen die de ID's van de versleutelde gewichten en de bijbehorende challenges bevat.

Belangrijkste Bijdragen

1. Hardware-Software Binding: Een nieuw mechanisme dat NN-modellen fysiek bindt aan de onderliggende hardware via PUF's, waardoor kopiëren naar andere systemen de functionaliteit vernietigt.
2. Gedegradeerde Nauwkeurigheid als Beveiliging: In plaats van het model volledig onbruikbaar te maken (wat een aanval zou signaleren), zorgt de methode ervoor dat het model op onbevoegde hardware slechts als een "willekeurige classifier" werkt. Dit maakt de beveiliging subtieler en moeilijker te omzeilen.
3. Efficiëntie: Door slechts een subset van de gewichten te versleutelen (in plaats van het hele model), wordt de runtime-overhead beperkt, terwijl de beveiliging effectief blijft.
4. Validatie op diverse modellen: De methode is getest op verschillende soorten NN's (beeldherkenning, audio-herkenning, tekstclassificatie) met verschillende architecturen (Dense, CNN, RNN).

Resultaten

De experimenten tonen de volgende resultaten:

• Afname van nauwkeurigheid: Zelfs bij het versleutelen van slechts 5% van de gewichten daalt de nauwkeurigheid van het model aanzienlijk. Bij ongeveer 20% versleutelde gewichten daalt de nauwkeurigheid naar het niveau van een willekeurige classifier (bijv. 50% voor een binair probleem of 10% voor 10 klassen).
• Robuustheid tegen statische analyse: Omdat de sleutels niet in het model of de broncode staan, maar dynamisch worden gegenereerd via de PUF tijdens het laden, kan een aanvaller het model niet statisch analyseren om de sleutels te vinden.
• Gedrag op gekloonde machines:
  • Op de doelmachine: Het model wordt correct gedecrypteerd en behoudt zijn oorspronkelijke nauwkeurigheid.
  • Op een gekloonde machine: De PUF-response is anders, de decryptie faalt, en het model produceert willekeurige resultaten.
• Opslagoverhead: De extra data die nodig is (helper-data met challenges en weight-ID's) is minimaal. Voor een model met 20% versleutelde gewichten was dit ongeveer 2,3 MiB, wat goed te managen is, zelfs op embedded systemen.

Betekenis en Toekomstperspectief

Deze studie biedt een praktische en effectieve oplossing voor het beschermen van IP in neurale netwerken in industriële omgevingen. Het lost het probleem op dat software en modellen losgekoppeld zijn van de hardware die ze besturen.

Beperkingen en toekomstig werk:

• Statische vs. Dynamische Analyse: De huidige PoC versleutelt het model bij het laden en ontsleutelt het volledig in het RAM. Dit maakt het kwetsbaar voor dynamische analyse (waarbij een aanvaller het geheugen inspecteert terwijl het model draait).
• Toekomstige verbeteringen: De auteurs plannen om de decryptie te verspreiden over de runtime (per invoer) of Trusted Execution Environments (TEE's) te gebruiken om dynamische aanvallen te voorkomen.
• Trade-off: Er is een afweging nodig tussen beveiligingsniveau (hoeveel gewichten versleutelen) en performance-overhead.

Kortom, de paper demonstreert dat het koppelen van neurale netwerken aan fysieke hardware-eigenschappen via PUF's een krachtige methode is om piraterij te voorkomen zonder de functionaliteit op de bevoegde apparatuur te beïnvloeden.