CN112528299B - 一种工业应用场景下的深度神经网络模型安全保护方法 - Google Patents

Abstract

本发明公开了一种工业应用场景下的深度神经网络模型安全保护方法，包括以下步骤：S1、安全需求分析；S2、安全服务设计；S3、层感知安全服务分配：在DNN模型运行之前，在不违背实时约束的条件下，为DNN模型的每一层都分配合适的机密性保护服务和完整性保护服务；S4、运行时调度。本发明使用对称加密算法为DNN模型提供参数机密性保护，使用HMAC算法为DNN模型提供参数完整性保护，能够有效地防止DNN模型信息的泄露。集成了层感知安全服务分配算法和运行时调度策略，系统能够以极低的计算开销为DNN模型的每一层分配最合适的安全服务，运行时调度策略使得DNN模型的运行和安全服务能够并行执行，从而在最大程度上降低了整体的时间开销。

Description

一种工业应用场景下的深度神经网络模型安全保护方法

技术领域

本发明主要涉及一种神经网络模型安全保护方法，特别涉及一种工业应用场景下的深度神经网络模型安全保护方法。

背景技术

随着机器学习，特别是深度神经网络技术的发展，深度神经网络(DNN)已经越来越多与工业物理信息系统(CPS)相结合。但工业应用环境中存在许多的安全威胁，一些安全威胁会造成严重的生命和财产上的损失，例如模型参数的泄露导致的知识产权损害和因模型参数篡改而导致的系统输出错误。这些安全问题极大地阻碍了基于DNN的工业CPS的部署和应用。

在DNN模型攻击方面，Liu等人提出了一种基于故障注入技术的DNN攻击方法，通过篡改DNN模型的参数，使得DNN模型的结果发生错误；在DNN的保护措施方面，Cai等人提出一种基于快速稀疏梯度的DNN模型加密方法，通过这种加密方法，保证DNN模型未执行的层的参数始终处于密文状态，使得攻击者无法直接通过窃取DNN参数获取DNN模型的隐私信息。Xie等人提出将贝叶斯网络与同态加密相结合的DNN安全推理架构，为数据和用户信息提供高效的隐私保护。

发明内容

本发明的目的在于克服现有技术的不足，提供一种使用对称加密算法为DNN模型提供参数机密性保护，使用HMAC算法为DNN模型提供参数完整性保护，能够有效地防止DNN模型信息的泄露的工业应用场景下的深度神经网络模型安全保护方法。

本发明的目的是通过以下技术方案来实现的：一种工业应用场景下的深度神经网络模型安全保护方法，包括以下步骤：

S1、安全需求分析；

S2、安全服务设计；

S3、层感知安全服务分配：在DNN模型运行之前，在不违背实时约束的条件下，为DNN模型的每一层都分配合适的机密性保护服务和完整性保护服务；

S4、运行时调度。

进一步地，所述步骤S1具体实现方法为：基于DNN的工业CPS具有两类安全需求：机密性保护需求和完整性保护需求；用户在部署DNN之前，首先向系统提供一个用于描述机密性保护需求的权重α和一个描述完整性保护需求的权重β；两个权重之和被限定为1；结合DNN每一层的参数信息，在DNN模型部署之前，根据安全需求，为模型的每一层都设置需要加密的参数数量和需要计算校验的参数数量；根据部署环境的具体情况和层的特性，为模型的每一层确定一个绝对安全级别。

进一步地，所述步骤S2具体实现方法为：

S21、选择五种对称加密算法，根据密码学原理分析算法的安全性，从低到高设置机密性保护服务的安全级别，完成机密性保护服务集的定义：

S22、选择五种使用不同Hash算法的SHA算法，根据输出的哈希值长度，从低到高设置完整性保护服务的安全级别，得到完整性保护服务集：

S23、测试并记录不同安全级别的安全服务的运行时间。

进一步地，所述步骤S3具体实现方法为：

S31、使用一个数据结构τ_i记录DNN模型每一层的安全信息：

其中ξ_i表示DNN的第i层使用的机密性保护服务的安全级别，ε_i表示DNN的第i层使用的完整性保护服务的安全级别；

S32、根据τ_i计算DNN模型每一层的安全质量QualSec(τ_i)：

s_i＝α*ξ_i+β*ε_i

QualSec(τ_i)＝1-Prob_insecure(τ_i)

根据计算所得的DNN模型层的安全质量，计算系统的整体安全质量QualSec_DNN：

S33、根据系统的相关实时约束和计算得到的系统整体安全质量，建模具有实时约束的安全质量最大化的问题：

使用系统风险RL_sys定义

R为系统的相应时间，Deadline为系统截止日期，实时约束为：

R≤Deadline；

S34、定义安全质量求解的动态规划的递归表达式：

其中R(i，RL)表示DNN第i层在风险为RL时的响应时间，

表示DNN第i层选择第J种机密性保护服务和第K种完整性保护服务时的第i层风险值，E_i为DNN第i层的运行时间。根据递归表达式，将安全质量最大化的解

定义为：

S35、使用近似算法计算近似最优解，计算RL_sys的上界

并将

设置为log₂

设RL_sys的下界

为1；

S36、当

时，执行以下操作，否则执行步骤S37；

根据近似算法的近似因子δ，计算缩放因子Δ：

将所有的

缩放为

设置RL为

计算R(n，RL)，若R(n，RL)≤D，则将

设为

否则将

设为

然后重新计算缩放因子，进行缩放操作；

S37、得到近似最优解

S38、根据

得到DNN模型每一层的安全服务分配方式。

进一步地，所述步骤S4具体实现方法为：

S41、根据安全服务分配方式，为DNN模型的每一层分配相应的机密性保护服务和完整性保护服务；

S42、根据机密性保护服务，生成密钥，加密参数，将加密后的参数存储在安全存储区；

S43、根据完整性保护服务，为DNN模型的每一层都计算数据校验和，并将校验和存储在安全存储区；

S44、从安全存储区中取出DNN模型的第一层参数，在CPU上执行机密性保护服务的解密操作，将参数还原，再执行完整性保护服务，计算校验和并与原始校验和比较，当比较结果相同时，将参数送入GPU中进行运算；

S45、在GPU进行DNN模型当前层的运算时，CPU执行DNN模型下一层的解密和校验操作，等待GPU空闲后，执行DNN模型下一层的运算操作；重复执行步骤S45直到DNN模型运算完毕；

S46、输出DNN模型的运算结果。

本发明的有益效果是：

1、安全保护范围全面。系统使用对称加密算法为DNN模型提供参数机密性保护，使用HMAC算法为DNN模型提供参数完整性保护。攻击者采取的故障注入攻击能够被参数完整性保护服务所检测，参数机密性保护能够有效地防止DNN模型信息的泄露。简而言之，用户通过部署安全服务能够全面的保护部署在工业CPS中的DNN模型。

2、具有较高的实时性。由于保护框架集成了层感知安全服务分配算法和运行时调度策略，系统能够以极低的计算开销为DNN模型的每一层分配最合适的安全服务，运行时调度策略使得DNN模型的运行和安全服务能够并行执行，从而在最大程度上降低了整体的时间开销，从而确保了系统的实时性。

附图说明

图1为是本发明的总体安全框架设计图；

图2是本发明的安全需求分析流程图；

图3是本发明的安全服务设计流程图；

图4是本发明的层感知分配算法流程图；

图5是本发明的运行时调度流程图。

具体实施方式

与现有的模型保护方法不同，本发明考虑在工业CPS场景下，DNN的参数受到机密性和完整性攻击而导致的模型隐私泄露和模型功能出错的问题，提出了一种全新的层感知的DNN模型保护方法。本发明通过分析加密算法和数据校验算法的功能和安全性，设计具有不同安全级别的安全服务，结合相关的实时约束条件，对DNN模型进行分析，为DNN模型的每一层分配最合适的机密性保护服务和完整性保护服务，从而在满足实时约束的条件最大化DNN模型的安全级别。下面结合附图进一步说明本发明的技术方案。

如图1所示，本发明的一种工业应用场景下的深度神经网络模型安全保护方法，包括以下步骤：

S1、安全需求分析；基于DNN的工业CPS具有两类安全需求：机密性保护需求和完整性保护需求；用户在部署DNN之前，首先向系统提供一个用于描述机密性保护需求的权重α和一个描述完整性保护需求的权重β；两个权重之和被限定为1，以将综合安全需求限定在合理的范围之内。由于工业设备的计算资源和存储资源有限，因此无法将DNN模型所有的参数都进行加密和计算校验和，需要结合DNN每一层的参数信息，在DNN模型部署之前，根据安全需求，为模型的每一层都设置需要加密的参数数量和需要计算校验的参数数量；从而在保证综合安全需求的前提下尽可能的降低资源开销。根据部署环境的具体情况和层的特性，为模型的每一层确定一个绝对安全级别，为后续安全服务的分配和安全质量的计算提供基准。

如图2所示，详细步骤包括：

S11、训练符合应用需求的一个n层的DNN模型，并获取模型参数信息；

S12、根据DNN模型每一层的参数信息，确定加密参数数量

，校验参数数量φ_i；

S13、根据DNN模型部署环境的情况，确定DNN模型的绝对安全级别

S2、安全服务设计；首先，选取合适的加密算法和数据校验算法。在加密算法方面，由于非对称加密算法需要消耗大量的运算资源，因此与对称加密算法相比并不适用于保护部署在工业设备上的DNN模型。选择合适数量的不同种类的对称加密算法以设计模型机密性保护服务，根据密码学原理分析加密算法的脆弱性，分配不同的安全级别。在数据校验算法方面，使用SHA算法设计模型完整性保护服务。SHA算法的安全性取决于所使用的Hash算法类别。根据Hash算法类别，为模型完整性保护服务分配安全级别。

如图3所示，具体实现方法为：

S21、选择五种对称加密算法，根据密码学原理分析算法的安全性，从低到高设置机密性保护服务的安全级别，完成机密性保护服务集的定义：

S22、选择五种使用不同Hash算法的SHA算法，根据输出的哈希值长度，从低到高设置完整性保护服务的安全级别，得到完整性保护服务集：

S23、测试并记录不同安全级别的安全服务的运行时间。

S3、层感知安全服务分配：在DNN模型运行之前，在不违背实时约束的条件下，为DNN模型的每一层都分配合适的机密性保护服务和完整性保护服务；首先系统执行完整性保护服务，计算参数的原始校验和。再根据机密性保护服务所包含的加密算法，生成对应的密钥，对参数进行加密。并将加密后的参数和密钥以及原始校验和存储在系统的一个安全存储区内。用于后续的DNN模型安全执行。

如图4所示，具体实现方法为：

S31、使用一个数据结构τ_i记录DNN模型每一层的安全信息：

其中ξ_i表示DNN的第i层使用的机密性保护服务的安全级别，ε_i表示DNN的第i层使用的完整性保护服务的安全级别；

S32、根据τ_i计算DNN模型每一层的安全质量QualSec(τ_i)：

s_i＝α*ξ_i+β*ε_i

QualSec(τ_i)＝1-Prob_insecure(τ_i)

根据计算所得的DNN模型层的安全质量，计算系统的整体安全质量QualSec_DNN：

S33、根据系统的相关实时约束和计算得到的系统整体安全质量，建模具有实时约束的安全质量最大化的问题：

使用系统风险RL_sys定义

R为系统的相应时间，Deadline为系统截止日期，实时约束为：

R≤Deadline；

S34、定义安全质量求解的动态规划的递归表达式：

其中R(i，RL)表示DNN第i层在风险为RL时的响应时间，

表示DNN第i层选择第J种机密性保护服务和第K种完整性保护服务时的第i层风险值，E_i为DNN第i层的运行时间。根据递归表达式，将安全质量最大化的解

定义为：

S35、使用近似算法计算近似最优解，计算RL_sys的上界

并将

设置为log₂

设RL_sys的下界

为1；

S36、当

时，执行以下操作，否则执行步骤S37；

根据近似算法的近似因子δ，计算缩放因子Δ：

将所有的

缩放为

设置RL为

计算R(n，RL)，若R(n，RL)≤D，则将

设为

否则将

设为

然后重新计算缩放因子，进行缩放操作；

S37、得到近似最优解

S38、根据

得到DNN模型每一层的安全服务分配方式。

S4、运行时调度；DNN模型运行某一层时，将该层参数从安全存储区取出，执行机密性保护服务，将参数解密，再执行完整性保护服务，计算数据校验和并与原始校验和进行比较，比较结果相同时，将参数送入GPU，由GPU进行计算。根据DNN模型的逐层计算的特点，在DNN运行时，将安全服务与DNN层执行操作进行调度，以实现并行处理。具体来说，在GPU上执行DNN某一层的运算时，在CPU上可以并行的运行下一层的安全服务，以提升处理器的运行效率，并提高系统的实时性。

如图5所示，具体实现方法为：

S41、根据安全服务分配方式，为DNN模型的每一层分配相应的机密性保护服务和完整性保护服务；

S42、根据机密性保护服务，生成密钥，加密参数，将加密后的参数存储在安全存储区；

S43、根据完整性保护服务，为DNN模型的每一层都计算数据校验和，并将校验和存储在安全存储区；

S44、从安全存储区中取出DNN模型的第一层参数，在CPU上执行机密性保护服务的解密操作，将参数还原，再执行完整性保护服务，计算校验和并与原始校验和比较，当比较结果相同时，将参数送入GPU中进行运算；

S45、在GPU进行DNN模型当前层的运算时，CPU执行DNN模型下一层的解密和校验操作，等待GPU空闲后，执行DNN模型下一层的运算操作；重复执行步骤S45直到DNN模型运算完毕；

S46、输出DNN模型的运算结果。

本领域的普通技术人员将会意识到，这里所述的实施例是为了帮助读者理解本发明的原理，应被理解为本发明的保护范围并不局限于这样的特别陈述和实施例。本领域的普通技术人员可以根据本发明公开的这些技术启示做出各种不脱离本发明实质的其它各种具体变形和组合，这些变形和组合仍然在本发明的保护范围内。

Claims (1)

1.一种工业应用场景下的深度神经网络模型安全保护方法，其特征在于，包括以下步骤：

S1、安全需求分析；具体实现方法为：基于DNN的工业物理信息系统CPS具有两类安全需求：机密性保护需求和完整性保护需求；用户在部署DNN之前，首先向系统提供一个用于描述机密性保护需求的权重α和一个描述完整性保护需求的权重β；两个权重之和被限定为1；结合DNN每一层的参数信息，在DNN模型部署之前，根据安全需求，为模型的每一层都设置需要加密的参数数量和需要计算校验的参数数量；根据部署环境的具体情况和层的特性，为模型的每一层确定一个绝对安全级别；

S2、安全服务设计；具体实现方法为：

S21、选择五种对称加密算法，根据密码学原理分析算法的安全性，从低到高设置机密性保护服务的安全级别，完成机密性保护服务集的定义：

S22、选择五种使用不同Hash算法的SHA算法，根据输出的哈希值长度，从低到高设置完整性保护服务的安全级别，得到完整性保护服务集：

S23、测试并记录不同安全级别的安全服务的运行时间；

S3、层感知安全服务分配：在DNN模型运行之前，在不违背实时约束的条件下，为DNN模型的每一层都分配合适的机密性保护服务和完整性保护服务；具体实现方法为：

S31、使用一个数据结构τ_i记录DNN模型每一层的安全信息：

其中ξ_i表示DNN的第i层使用的机密性保护服务的安全级别，ε_i表示DNN的第i层使用的完整性保护服务的安全级别；

S32、根据τ_i计算DNN模型每一层的安全质量QualSec(τ_i)：

s_i＝α*ξ_i+β*ε_i

QualSec(τ_i)＝1-Prob_insecure(τ_i)

根据计算所得的DNN模型层的安全质量，计算系统的整体安全质量QualSec_DNN：

S33、根据系统的相关实时约束和计算得到的系统整体安全质量，建模具有实时约束的安全质量最大化的问题：

使用系统风险RL_sys定义

R为系统的相应时间，Deadline为系统截止日期，实时约束为：

R≤Deadline；

S34、定义安全质量求解的动态规划的递归表达式：

其中R(i，RL)表示DNN第i层在风险为RL时的响应时间，

表示DNN第i层选择第J种机密性保护服务和第K种完整性保护服务时的第i层风险值，E_i为DNN第i层的运行时间； 根据递归表达式，将安全质量最大化的解

定义为：

S35、使用近似算法计算近似最优解，计算RL_sys的上界

并将

设置为

设RL_sys的下界

为1；

S36、当

时，执行以下操作，否则执行步骤S37；

根据近似算法的近似因子δ，计算缩放因子Δ：

将所有的

缩放为

设置RL为

计算R(n，RL)，若R(n，RL)≤D，则将

设为

否则将

设为

然后重新计算缩放因子，进行缩放操作；

S37、得到近似最优解

S38、根据

得到DNN模型每一层的安全服务分配方式；

S4、运行时调度；具体实现方法为：

S41、根据安全服务分配方式，为DNN模型的每一层分配相应的机密性保护服务和完整性保护服务；

S42、根据机密性保护服务，生成密钥，加密参数，将加密后的参数存储在安全存储区；

S43、根据完整性保护服务，为DNN模型的每一层都计算数据校验和，并将校验和存储在安全存储区；

S44、从安全存储区中取出DNN模型的第一层参数，在CPU上执行机密性保护服务的解密操作，将参数还原，再执行完整性保护服务，计算校验和并与原始校验和比较，当比较结果相同时，将参数送入GPU中进行运算；

S45、在GPU进行DNN模型当前层的运算时，CPU执行DNN模型下一层的解密和校验操作，等待GPU空闲后，执行DNN模型下一层的运算操作；重复执行步骤S45直到DNN模型运算完毕；

S46、输出DNN模型的运算结果。

Images