CN115146237A - 一种基于机密计算的深度学习模型保护方法 - Google Patents
一种基于机密计算的深度学习模型保护方法 Download PDFInfo
- Publication number
- CN115146237A CN115146237A CN202211076002.XA CN202211076002A CN115146237A CN 115146237 A CN115146237 A CN 115146237A CN 202211076002 A CN202211076002 A CN 202211076002A CN 115146237 A CN115146237 A CN 115146237A
- Authority
- CN
- China
- Prior art keywords
- model
- data
- preprocessing
- module
- training
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000013136 deep learning model Methods 0.000 title claims abstract description 56
- 238000000034 method Methods 0.000 title claims abstract description 56
- 238000004364 calculation method Methods 0.000 title abstract description 21
- 238000007781 pre-processing Methods 0.000 claims abstract description 107
- 238000012795 verification Methods 0.000 claims abstract description 46
- 238000012545 processing Methods 0.000 claims abstract description 8
- 238000012549 training Methods 0.000 claims description 59
- 230000006870 function Effects 0.000 claims description 8
- 230000007246 mechanism Effects 0.000 claims description 3
- 238000004806 packaging method and process Methods 0.000 claims description 3
- 238000012856 packing Methods 0.000 claims description 3
- 230000008569 process Effects 0.000 abstract description 9
- 238000013140 knowledge distillation Methods 0.000 abstract description 8
- 238000013526 transfer learning Methods 0.000 abstract description 3
- 238000013475 authorization Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- BQCADISMDOOEFD-UHFFFAOYSA-N Silver Chemical compound [Ag] BQCADISMDOOEFD-UHFFFAOYSA-N 0.000 description 1
- 238000007792 addition Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000002474 experimental method Methods 0.000 description 1
- 238000002372 labelling Methods 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 238000013508 migration Methods 0.000 description 1
- 230000005012 migration Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000013138 pruning Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 229910052709 silver Inorganic materials 0.000 description 1
- 239000004332 silver Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/12—Protecting executable software
- G06F21/121—Restricting unauthorised execution of programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/04—Inference or reasoning models
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/10—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
- G06F21/101—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM] by binding digital rights to specific entities
- G06F21/1015—Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM] by binding digital rights to specific entities to users
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Artificial Intelligence (AREA)
- Evolutionary Computation (AREA)
- Data Mining & Analysis (AREA)
- Computational Linguistics (AREA)
- Mathematical Physics (AREA)
- Bioethics (AREA)
- Biomedical Technology (AREA)
- Molecular Biology (AREA)
- Multimedia (AREA)
- Technology Law (AREA)
- Life Sciences & Earth Sciences (AREA)
- Biophysics (AREA)
- Medical Informatics (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于机密计算的深度学习模型保护方法,该方案通过把深度学习模型的使用过程划分为数据预处理和推理两个阶段,其中,数据预处理阶段主要使用数据预处理模型对授权用户的推理数据进行处理,数据预处理模型是一个轻量化的处理模块,占用较少的计算资源,数据预处理模型部署在机密计算环境中;推理阶段使用推理模型对经过预处理的数据进行推理,推理模型部署在普通的计算环境中。整个过程可以在不影响模型推理精度的前提下,实现对深度学习模型的版权验证,并能有效抵御通过模型伪造、迁移学习、知识蒸馏等技术手段对模型版权的侵犯。
Description
技术领域
本发明属于深度学习模型保护技术,尤其是涉及一种基于机密计算的深度学习模型保护方法。
背景技术
深度学习模型目前已广泛应用于自动驾驶、人脸识别、生物医疗等领域,训练一个高精度的深度学习模型需要花费大量资源,如需要大量人力资源对数据集进行标注,在训练过程中也需要消耗大量的计算资源,高精度的深度学习模型已成为一种高价值的知识产权。
现有的深度学习模型保护的方法,主要基于水印验证的方法,这类方法通过对模型参数或训练数据集进行处理,在模型中嵌入一种模型版权所有者能够验证的水印。这种方式在模型版权被侵害之后,可以通过读取水印信息对模型版权进行验证。但是通过水印方式验证模型需要拥有访问模型的权限,未授权用户可以通过隐藏模型的访问权限,限制模型版权所有者对模型进行验证。另外,未授权用户还可以通过模型剪枝、模型迁移、知识蒸馏等方法去除模型中的水印信息。
目前还存在通过对整个深度学习模型加密、对部分深度学习模型权重参数进行加密、对深度学习模型权重信息置换混淆的方式实现对深度学习模型的保护,但是这些方法在授权用户使用模型时,需要把模型的解密密钥交给授权用户。模型的解密密钥交给授权用户后,模型版权所有者就无法对模型使用的范围进行有效监督。模型使用者可能会在授权范围外,对模型进行分发和复制。
由于知识蒸馏可以从原深度学习模型中提取有用的知识,Ma等人认为通过知识蒸馏训练学生模型,使学生模型的性能达到甚至超过教师模型的性能,这种模型训练方式也会侵犯教师模型的知识产权。。现有基于水印、模型加密、模型权重信息置换混淆等对模型保护的方法,都忽略了授权用户利用知识蒸馏技术,在已有模型基础上训练学生模型,以提升学生模型推理精度的间接侵权方式。具体的,授权用户通过使用受保护的模型作为教师模型,采用知识蒸馏技术训练学生模型,提升学生模型的推理精度,把高精度的学生模型部署到实际业务中,可以轻易绕过基于水印、模型加密、模型权重信息置换混淆等方法对深度学习模型的保护。
综上所述,现有的深度学习模型保护方案仍存在以下几方面的问题:
(1)模型版权验证困难。基于水印的方法需要满足白盒验证或黑盒验证条件才能对深度学习模型进行验证。如果验证条件不满足,模型版权所有者将无法实现对模型的验证。另外,目前通过水印的方法对深度学习模型进行保护,只能被动地对模型版权进行验证,无法限制窃取模型的用户使用深度学习模型进行推理。
(2)机密信息保护困难。基于加密和混淆的方式,模型版权所有者和模型授权用户都需要应对解密密钥或混淆密钥泄露的风险。如果模型授权用户主动分享模型和密钥给未授权用户使用,将导致模型版权所有者利益损失。模型授权用户在使用和保存模型、密钥的过程中,也面临密钥丢失或被窃取的风险,深度学习模型的使用场景日趋多样化,也给模型部署和密钥保护带来了更多未知风险。
(3)模型保护不全面。现有的深度学习模型保护方法,只能应对部分攻击或窃取手段,对模型的保护不全面;另外,当前的深度学习模型保护方法,验证信息(水印或密钥)与发布的模型紧密关联,模型发送给用户后,模型版权所有者就失去了版权验证的条件,无法对模型的版权设定的应用范围进行有效管理。
发明内容
本发明的目的是针对上述问题,提供一种基于机密计算的深度学习模型保护方法,通过把深度学习模型的使用过程划分为数据预处理和推理两个阶段,其中,数据预处理阶段主要使用数据预处理模型对授权用户的推理数据进行处理,数据预处理模型是一个轻量化的处理模块,占用较少的计算资源,数据预处理模型部署在机密计算环境中;推理阶段使用推理模型对经过预处理的数据进行推理,推理模型部署在普通的计算环境中。整个过程可以在不影响模型推理精度的前提下,实现对深度学习模型的版权验证,并能有效抵御通过模型伪造、迁移学习、知识蒸馏等技术手段对模型版权的侵犯。
为达到上述目的,本发明采用了下列技术方案:
一种基于机密计算的深度学习模型保护方法,包括具有数据预处理模型的预处理模块,及具有推理模型的推理模块,所述的数据预处理模型被加密部署于机密计算环境中;
所述的方法包括:
S1.在机密计算环境启动预处理模块,向模型版权所有者服务器发送机密计算环境验证信息;
S2.接收模型版权所有者服务器返回的验证结果,若验证结果正确,则获取到用于解密所述数据预处理模型的解密密钥,否则退出运行;
S3.使用获取到的解密密钥解密数据预处理模型,预处理模块加载解密后的数据预处理模型;
S4.数据预处理模型对授权用户提交的待推理数据进行预处理,并发送预处理后的数据给推理模型;
S5.推理模型对接收到的预处理后数据进行推理,然后将推理结果发送给授权用户。
在上述的基于机密计算的深度学习模型保护方法中,步骤S5中使用推理模型之前先加载模型参数并完成模型初始化;
所述的预处理模块包括机密计算环境初始化模块,步骤S1中,在机密计算环境启动机密计算环境初始化模块,且由机密计算环境初始化模块向模型版权所有者服务器发送机密计算环境验证信息;步骤S3中,由机密计算环境初始化模块加载解密后的数据预处理模型。
在上述的基于机密计算的深度学习模型保护方法中,所述的推理模型被部署于普通计算环境中。
在上述的基于机密计算的深度学习模型保护方法中,所述的预处理模块和推理模块被事先分发给授权用户,并部署于授权用户端。
在上述的基于机密计算的深度学习模型保护方法中,所述的预处理模块和推理模块通过以下方式分发给授权用户:
使用加密算法对训练好的数据预处理模型进行加密;
打包已加密的数据预处理模型和预处理代码为预处理模块;
打包训练好的推理模型和推理代码为推理模块;
将所述的预处理模块和推理模块分发给授权用户;
授权用户将预处理模块部署至机密计算环境,将推理模块部署至普通计算环境。
在上述的基于机密计算的深度学习模型保护方法中,步骤S1和S2中,模型版权所有者服务器基于机密计算环境的远程验证机制,验证授权用户机密计算环境的安全性和预处理模块的完整性,若验证结果为安全且完整,则向机密计算环境返回包含解密密钥的验证结果,此时验证结果正确,否则返回不包含解密密钥的验证结果,此时验证结果错误。
在上述的基于机密计算的深度学习模型保护方法中,数据预处理模型的训练方法包括:
运行数据预处理模型和预训练模型,并随机化模型内的参数信息,组合数据预处理模型和预训练模型的损失函数;
通过数据预处理模型对数据集进行处理,并将预处理后的数据发送给预训练模型;
把未处理的原始数据发送给预训练模型;
使用原始数据和预处理后的数据对预训练模型进行训练,并选出预测精度最高的数据预处理模型和预训练模型组合。
在上述的基于机密计算的深度学习模型保护方法中,推理模型的训练方法包括:
运行已训练好的数据预处理模型和预训练模型,并固定模型参数信息;
运行推理模型,并设置优化器;
使用数据预处理模型对数据集进行处理;
将预处理后的数据分别发送给预训练模型和推理模型,将未处理的原始数据发送给推理模型;
使用原始数据和预处理后的数据对推理模型进行训练,同时使用预训练模型的预测结果对推理模型的参数进行优化。
在上述的基于机密计算的深度学习模型保护方法中,所述数据预处理模型和预训练模型训练时共用一个损失函数。
在上述的基于机密计算的深度学习模型保护方法中,所述的推理模型和预训练模型具有相同的网络结构。
本发明的优点在于:
本方案引入机密计算环境对深度学习模型进行保护,通过只对授权用户提供高精度的推理结果实现对深度学习模型的知识产权保护;
本方案允许把推理模型分发给授权用户进行部署,即使未授权用户得到推理模型,也无法从模型中获得高精度的推理结果,能够保证模型版权的安全性和用户部署的灵活性;
在不影响模型推理精度的前提下,实现对深度学习模型的版权验证,并能有效抵御通过模型伪造、迁移学习、知识蒸馏等技术手段对模型版权的侵犯;
本方案较与在机密计算环境中进行模型推理的方案相比具有更快的推理速度,与仅在CPU中运行推理模型的方案相比,又能最大程度地保护深度学习模型的版权安全。
附图说明
图1为本发明数据预处理模型和预训练模型的训练示意图;
图2为本发明推理模型的训练示意图;
图3是本发明实施时模型版权所有者端的工作流程图;
图4为本发明模型部署与使用方法的示意图;
图5是本发明模型授权用户端的工作流程图。
具体实施方式
下面结合附图和具体实施方式对本发明做进一步详细的说明。
本方案提出了一种基于机密计算的深度学习模型保护方法,在该方法中,模型被分为数据预处理模型和推理模型两个部分,由模型版权所有者将数据预处理模型和推理模型训练好以后分发给授权的用户,授权用户基于机密计算方法得到通过完整模型计算的高精度推理结果。
深度学习模型训练过程如下:
如图1所示,数据预处理模型和预训练模型的训练:
1)运行数据预处理模型和预训练模型,并随机化模型内的参数信息,组合数据预处理模型和预训练模型的损失函数;预训练模型具有与推理模型一样的网络结构;
2)由数据预处理模型对数据集进行处理,并将预处理后的数据发送给预训练模型;
4)把未处理的原始数据发送给预训练模型;
5)使用原始数据和预处理后的数据对预训练模型进行训练,并选出预测精度最高的数据预处理模型和预训练模型组合。
优选地,数据预处理模型和预训练模型训练时,两个模型共用一个损失函数。
如图2所示,推理模型训练:
1)构造一个推理模型,推理模型和预训练模型使用相同的网络结构。
2)运行已训练好的数据预处理模型和预训练模型,并固定模型参数信息;
3)运行推理模型,并设置优化器;
4)使用数据预处理模型对数据集进行处理;
5)把预处理后的数据分别发送给预训练模型和推理模型,把未处理的原始数据发送给推理模型;
6)使用原始数据和预处理后的数据对推理模型进行训练,同时使用预训练模型的预测结果对推理模型的参数进行优化。
推理模型训练时,固定数据预处理模型和预训练模型的参数信息,优化器进行梯度更新时,只更新推理模型的参数信息。
如图3所示,模型版权所有者通过上述方式将数据预处理模型和推理模型训练好以后分发给授权的用户:
1)使用安全的加密算法(如:AES、SM1等)对训练好的数据预处理模型进行加密;
2)打包已加密的数据预处理模型和预处理代码为预处理模块,数据预处理模型指包含数据预处理模型权重信息的模型文件,预处理代码包括预处理模块其他所有功能的代码,如机密计算环境初始化模块等。该部分模块授权用户不能更改,授权用户在机密计算环境中运行预处理模块时,版权所有者服务器将通过机密计算环境的远程验证机制,验证授权用户机密计算环境的安全性和预处理模块的完整性,如果预处理模块运行在非机密计算环境或预处理模块被篡改将导致运行失败;
3)打包推理模型和推理代码为推理模块。推理模型指包含推理模型权重信息的模型文件,推理代码包括推理模块其他所有功能的代码,如模型加载及初始化模块等。推理模型和推理代码为明文文件,允许授权用户根据业务需要在此基础上进行二次开发。
4)将打包完成的预处理模块和推理模块分发给授权用户进行部署。
随后收到预处理模块和推理模块的授权用户对模型进行部署和使用,具体如图4和图5所示:
1)授权用户将预处理模块部署到机密计算环境,将推理模块部署到普通计算环境;
2)机密计算环境启动预处理模块,并发送机密计算环境的验证信息给模型版权所有者的远程验证服务器进行验证;
3)远程验证服务器接收机密计算环境发送的验证信息,根据预定规则对验证信息进行验证,然后发送验证结果给机密计算环境;验证信息包括用于验证机密计算环境的安全性和用于验证预处理模块完整性的信息,包括MRSIGNER和MRENCLAVE,其中,MRSIGNER为机密计算芯片厂商签发的机密计算硬件度量值,用于验证机密计算平台的安全性;MRENCLAVE为机密计算平台可信区代码度量值,用于验证机密计算环境运行代码的完整性。
4)机密计算环境接收远程验证服务器发送的验证结果,如果验证机密计算环境和机密计算环境中运行的代码符合规则要求,验证结果中将包含授权信息和用于解密数据预处理模型的解密密钥,授权信息包括针对用户的授权范围、使用时长、调用次数等信息;如果验证失败,用户将无法获取到解密密钥,预处理模块将退出运行;
5)远程验证服务器验证成功后,预处理模块中的机密计算环境初始化模块读取数据预处理模型的解密密钥,并对数据预处理模型解密,模型解密完成后,机密计算环境初始化模块将加载解密后的数据预处理模型;
6)数据预处理模型接收用户提交的待推理数据;
7)数据预处理模型对待推理数据进行预处理,并发送预处理后的数据给推理模型;
8)推理模型对预处理后的数据进行推理,然后将推理结果发送给授权用户。
相比于现有的研究方案,本方案引入机密计算环境对深度学习模型进行保护,实现只对授权用户提供高精度的推理结果,未授权用户无法获取到高精度的推理结果;本方案与在机密计算环境中进行模型推理的方案相比具有更快的推理速度,与仅在CPU中运行推理模型的方案相比,能最大程度地保护深度学习模型的版权安全。下面是通过实验证明本方案效果的实验数据:
分别对ResNet-18、ResNet-50、MobileNetV2、ShuffleNetV2四种深度学习模型进行训练、分发、部署及使用;
对CIFAR-10和CIFAR-100数据集进行训练;
基准数据为未使用任何保护方法进行训练的模型的推理精度。
模型在CIFAR-10数据集上的推理精度对比如表1所示;模型在CIFAR-100数据集上的推理精度对比如表2所示。Baseline表示基准数据,Authorized User为授权用户测试得出的推理精度,Unauthorized User为未授权用户测试得到的推理精度;ACC表示准确率。
表 1
表2
表3
推理模型在不同计算环境中运行,对数据集中单张图片进行推理,所消耗的推理时间如表3所示,实验所用机密计算环境为Intel SGX,CPU型号为Intel Pentium SilverJ5005。表3中[IntelSGX]为在推理模型在IntelSGX环境中进行数据推理所消耗的时间。[CPU]为推理模型在CPU中进行数据推理所消耗的时间。Our[IntelSGX+CPU]为数据预处理模型在IntelSGX环境中运行,推理模型在CPU中运行,两者所消耗的时间之和。从实验结果可以看到,本申请相较于在机密计算环境中进行模型推理的方案具有更快的推理速度。
本文中所描述的具体实施例仅仅是对本发明精神作举例说明。本发明所属技术领域的技术人员可以对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代,但并不会偏离本发明的精神或者超越所附权利要求书所定义的范围。
Claims (10)
1.一种基于机密计算的深度学习模型保护方法,其特征在于,包括具有数据预处理模型的预处理模块,及具有推理模型的推理模块,所述的数据预处理模型被加密部署于机密计算环境中;
所述的方法包括:
S1.在机密计算环境启动预处理模块,向模型版权所有者服务器发送机密计算环境验证信息;
S2.接收模型版权所有者服务器返回的验证结果,若验证结果正确,则获取到用于解密所述数据预处理模型的解密密钥,否则退出运行;
S3.使用获取到的解密密钥解密数据预处理模型,预处理模块加载解密后的数据预处理模型;
S4.数据预处理模型对授权用户提交的待推理数据进行预处理,并发送预处理后的数据给推理模型;
S5.推理模型对预处理后的数据进行推理,然后将推理结果发送给授权用户。
2.根据权利要求1所述的基于机密计算的深度学习模型保护方法,其特征在于,步骤S5中使用推理模型之前先加载模型参数并完成模型初始化;
所述的预处理模块包括机密计算环境初始化模块,步骤S1中,在机密计算环境启动机密计算环境初始化模块,且由机密计算环境初始化模块向模型版权所有者服务器发送机密计算环境验证信息;步骤S3中,由机密计算环境初始化模块加载解密后的数据预处理模型。
3.根据权利要求1所述的基于机密计算的深度学习模型保护方法,其特征在于,所述的推理模型被部署于普通计算环境中。
4.根据权利要求1所述的基于机密计算的深度学习模型保护方法,其特征在于,所述的预处理模块和推理模块被事先分发给授权用户,并部署于授权用户端。
5.根据权利要求4所述的基于机密计算的深度学习模型保护方法,其特征在于,所述的预处理模块和推理模块通过以下方式分发给授权用户:
使用加密算法对训练好的数据预处理模型进行加密;
打包已加密的数据预处理模型和预处理代码为预处理模块;
打包训练好的推理模型和推理代码为推理模块;
将所述的预处理模块和推理模块分发给授权用户;
授权用户将预处理模块部署至机密计算环境,将推理模块部署至普通计算环境。
6.根据权利要求5所述的基于机密计算的深度学习模型保护方法,其特征在于,步骤S1和S2中,模型版权所有者服务器基于机密计算环境的远程验证机制,验证授权用户机密计算环境的安全性和预处理模块的完整性,若验证结果为安全且完整,则向机密计算环境返回包含解密密钥的验证结果,此时验证结果正确,否则返回不包含解密密钥的验证结果,此时验证结果错误。
7.根据权利要求5所述的基于机密计算的深度学习模型保护方法,其特征在于,数据预处理模型的训练方法包括:
运行数据预处理模型和预训练模型,并随机化模型内的参数信息,组合数据预处理模型和预训练模型的损失函数;
通过数据预处理模型对数据集进行处理,并将预处理后的数据发送给预训练模型;
把未处理的原始数据发送给预训练模型;
使用原始数据和预处理后的数据对预训练模型进行训练,并选出预测精度最高的数据预处理模型和预训练模型组合。
8.根据权利要求7所述的基于机密计算的深度学习模型保护方法,其特征在于,推理模型的训练方法包括:
运行已训练好的数据预处理模型和预训练模型,并固定模型参数信息;
运行推理模型,并设置优化器;
使用数据预处理模型对数据集进行处理;
将预处理后的数据分别发送给预训练模型和推理模型,将未处理的原始数据发送给推理模型;
使用原始数据和预处理后的数据对推理模型进行训练,同时使用预训练模型的预测结果对推理模型的参数进行优化。
9.根据权利要求7所述的基于机密计算的深度学习模型保护方法,其特征在于,所述数据预处理模型和预训练模型训练时共用一个损失函数。
10.根据权利要求8所述的基于机密计算的深度学习模型保护方法,其特征在于,所述的推理模型和预训练模型具有相同的网络结构。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211076002.XA CN115146237B (zh) | 2022-09-05 | 2022-09-05 | 一种基于机密计算的深度学习模型保护方法 |
| NL2034177A NL2034177A (en) | 2022-09-05 | 2023-02-17 | Method for protecting deep learning model based on confidential computing |
| US18/115,257 US11886554B1 (en) | 2022-09-05 | 2023-02-28 | Method for protecting deep learning model based on confidential computing |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211076002.XA CN115146237B (zh) | 2022-09-05 | 2022-09-05 | 一种基于机密计算的深度学习模型保护方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115146237A true CN115146237A (zh) | 2022-10-04 |
| CN115146237B CN115146237B (zh) | 2022-11-15 |
Family
ID=83415330
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211076002.XA Active CN115146237B (zh) | 2022-09-05 | 2022-09-05 | 一种基于机密计算的深度学习模型保护方法 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US11886554B1 (zh) |
| CN (1) | CN115146237B (zh) |
| NL (1) | NL2034177A (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111832729A (zh) * | 2020-07-06 | 2020-10-27 | 东南数字经济发展研究院 | 一种保护数据隐私的分布式深度学习推理部署方法 |
| US20210042601A1 (en) * | 2019-08-09 | 2021-02-11 | Beijing Xiaomi Mobile Software Co., Ltd. | Method and device for encrypting model of neural network, and storage medium |
| CN112508200A (zh) * | 2020-12-18 | 2021-03-16 | 北京百度网讯科技有限公司 | 处理机器学习模型文件的方法、装置、设备、介质和程序 |
| CN113722683A (zh) * | 2021-08-30 | 2021-11-30 | 北京百度网讯科技有限公司 | 模型保护方法、装置、设备、系统以及存储介质 |
| US20220067574A1 (en) * | 2020-09-02 | 2022-03-03 | Microsoft Technology Licensing, Llc | System for content encryption for predictive models trained on private data |
| CN114579958A (zh) * | 2022-03-10 | 2022-06-03 | 浙江西图盟数字科技有限公司 | 一种ai模型加密部署方法、系统、电子设备及存储介质 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114996666A (zh) * | 2021-03-02 | 2022-09-02 | 富泰华工业(深圳)有限公司 | 加解密神经网络模型的方法、电子设备及存储介质 |
| US20230168932A1 (en) * | 2021-11-30 | 2023-06-01 | Capital One Services, Llc | Computer-based systems and/or computing devices configured for the scaling of computing resources using a machine learning model trained to monitor and/or predict usage of inference models |
-
2022
- 2022-09-05 CN CN202211076002.XA patent/CN115146237B/zh active Active
-
2023
- 2023-02-17 NL NL2034177A patent/NL2034177A/en unknown
- 2023-02-28 US US18/115,257 patent/US11886554B1/en active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20210042601A1 (en) * | 2019-08-09 | 2021-02-11 | Beijing Xiaomi Mobile Software Co., Ltd. | Method and device for encrypting model of neural network, and storage medium |
| CN111832729A (zh) * | 2020-07-06 | 2020-10-27 | 东南数字经济发展研究院 | 一种保护数据隐私的分布式深度学习推理部署方法 |
| US20220067574A1 (en) * | 2020-09-02 | 2022-03-03 | Microsoft Technology Licensing, Llc | System for content encryption for predictive models trained on private data |
| CN112508200A (zh) * | 2020-12-18 | 2021-03-16 | 北京百度网讯科技有限公司 | 处理机器学习模型文件的方法、装置、设备、介质和程序 |
| CN113722683A (zh) * | 2021-08-30 | 2021-11-30 | 北京百度网讯科技有限公司 | 模型保护方法、装置、设备、系统以及存储介质 |
| CN114579958A (zh) * | 2022-03-10 | 2022-06-03 | 浙江西图盟数字科技有限公司 | 一种ai模型加密部署方法、系统、电子设备及存储介质 |
Non-Patent Citations (3)
| Title |
|---|
| XU YUAN等: "《2019 IEEE Intl Conf on Dependable, Autonomic and Secure Computing, Intl Conf on Pervasive Intelligence and Computing, Intl Conf on Cloud and Big Data Computing, Intl Conf on Cyber Science and Technology Congress (DASC/PiCom/CBDCom/CyberSciTech)》", 4 November 2019 * |
| 于颖超等: "机器学习系统面临的安全攻击及其防御技术研究", 《信息网络安全》 * |
| 芈小龙等: "面向深度学习的差分隐私保护方法", 《舰船电子工程》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115146237B (zh) | 2022-11-15 |
| NL2034177A (en) | 2024-03-12 |
| US11886554B1 (en) | 2024-01-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105426708B (zh) | 一种Android系统的应用程序的加固方法 | |
| JP4668619B2 (ja) | 装置鍵 | |
| US20210294879A1 (en) | Securing executable code integrity using auto-derivative key | |
| JP4702957B2 (ja) | 耐タンパ・トラステッド仮想マシン | |
| JP4113274B2 (ja) | 認証装置および方法 | |
| EP1168141B1 (en) | A secure and open computer platform | |
| US7634816B2 (en) | Revocation information management | |
| CN101084482A (zh) | 电子软件分配方法及使用以硬件识别为基础的数字权利管理方法的系统 | |
| CN1509546A (zh) | 一种用于安全发送授权数据的平台和方法 | |
| US7805616B1 (en) | Generating and interpreting secure and system dependent software license keys | |
| KR20030091240A (ko) | 일련번호 발생 방법 및 그 장치 | |
| CN103839011A (zh) | 涉密文件的保护方法及装置 | |
| CN109598104A (zh) | 基于时间戳和秘密鉴权文件的软件授权保护系统及其方法 | |
| JPH1131130A (ja) | サービス提供装置 | |
| US20050049970A1 (en) | Program creation apparatus | |
| CN104866736B (zh) | 一种防扩散的数字版权管理系统及方法 | |
| CN113592497A (zh) | 基于区块链的金融交易服务安全认证方法及装置 | |
| CN115146237B (zh) | 一种基于机密计算的深度学习模型保护方法 | |
| CN116599750A (zh) | 一种利用加密技术确保数据变更可追溯的系统和方法 | |
| CN107423584B (zh) | 应用软件的运行方法、装置、终端和计算机可读存储介质 | |
| US20130014286A1 (en) | Method and system for making edrm-protected data objects available | |
| KR101415786B1 (ko) | 온라인 실행 코드 기술과 암호화 기반 불법 복제 방지 시스템 및 그 방법 | |
| Banothu et al. | Performance evaluation of cloud database security algorithms | |
| JP2005020608A (ja) | コンテンツ配信システム | |
| KR100736050B1 (ko) | 컨텐츠 보호 장치 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |