WO2023040390A1

WO2023040390A1 - 一种模型保护方法及装置

Info

Publication number: WO2023040390A1
Application number: PCT/CN2022/099851
Authority: WO
Inventors: 何剑
Original assignee: 华为技术有限公司
Priority date: 2021-09-16
Filing date: 2022-06-20
Publication date: 2023-03-23
Also published as: EP4339819A1; CN115828271A; US20240154802A1

Abstract

本申请涉及一种模型保护方法及装置，所述方法包括从第一模型获得多个执行算子，所述多个执行算子中包括第一算子，所述第一算子用于指示解密处理逻辑；按照所述多个执行算子的层级关系顺序执行所述多个执行算子，包括：在执行到所述第一算子时，基于所述解密处理逻辑对所述第一算子下的第一数据进行解密获得第二数据，并基于所述第二数据执行排在所述第一算子后面的一个或多个执行算子。本申请实施例提供的模型保护方法及装置能够在不增加额外组件的情况下，实现模型保护。

Description

一种模型保护方法及装置

本申请要求于2021年09月16日提交中国专利局、申请号为202111086393.9、申请名称为“一种模型保护方法及装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及人工智能领域，尤其涉及一种模型保护方法及装置。

背景技术

人工智能(Artificial Intelligence，AI)技术正在加速崛起，主要依托于三个关键因素：一是深度神经网络(Deep Neural Network，DNN)在多个经典机器学习任务中取得了突破性进展；二是大数据处理技术的成熟以及海量数据的积累；三是硬件计算能力的显著提高。在这三个因素的推动下，AI技术已经成功应用于自动驾驶、图像识别和语音识别等场景，加速了传统行业的智能化变革。

目前大多数现实世界的机器学习任务是资源密集型的，需要依靠大量的计算资源和存储资源来完成模型的训练或预测。机器学习服务商提供训练平台和使用模型的查询接口，而使用者可以通过这些接口来对一些实例进行查询。

然而，AI技术在高速发展的同时面临着严峻的数据泄露风险。AI模型的参数需要得到保护，否则将对模型拥有者带来巨大的经济损失。图1示出相关技术中的模型保护方法的示意图。如图1所示，模型拥有者在向使用者提供AI应用时，会同时提供一个硬件加密狗。使用者在主机上运行AI应用时，AI应用首先获取加密后的AI模型(可以以文件的形式存储)，并从硬件加密狗读取密钥以及授权信息。在授权信息认证通过后，AI应用可以采用密钥对加密后的AI模型进行解密得到解密后的AI模型，并存储在内存中。之后，AI加速卡从内存中加载解密后的AI模型进行推理或者模型增量训练。在上述方法中，在主机上部署硬件加密狗，增加了成本和部署复杂性。如何在不增加额外组件的情况下，实现模型保护，降低系统成本成为亟需解决的问题。

发明内容

有鉴于此，提出了一种模型保护方法及装置，能够在不增加额外组件的情况下，实现模型保护。

第一方面，本申请的实施例提供了一种模型保护方法，所述方法包括：从第一模型获得多个执行算子，所述多个执行算子中包括第一算子，所述第一算子用于指示解密处理逻辑；按照所述多个执行算子的层级关系顺序执行所述多个执行算子，包括：在执行到所述第一算子时，基于所述解密处理逻辑对所述第一算子下的第一数据进行解密获得第二数据，并基于所述第二数据执行排在所述第一算子后面的一个或多个执行算子。

在本申请实施例中，以纯软件的方式实现了数据的解密。也就是说，在不增加额外组件的情况下，实现了对模型的保护。既降低了硬件成本，又降低了对运行环境的规模以及算法的要求。

根据第一方面，在所述方法的第一种可能的实现方式中，所述第二数据为：至少一个权值；或者，至少一个执行算子；或者，至少一个权值以及至少一个执行算子。

在本申请实施例中，可以灵活选择需要保护的模型的参数，提高了灵活性和用户友好度。

根据第一方面，或者第一方面的第一种可能的实现方式，在所述方法的第二种可能的实现方式中，所述基于所述解密处理逻辑对所述第一数据进行解密获得第二数据，包括：响应于基于密钥获取请求返回的密钥，采用所述密钥对所述第一数据进行解密获得所述第二数据。

在本申请实施例中，以交互的方式获取密钥，实现了模型保护。

根据第一方面，或者第一方面的第一种可能的实现方式，在所述方法的第三种可能的实现方式中，所述第一算子用于指示所述第一数据所在存储空间的地址，所述在执行到所述第一算子时，所述基于所述解密处理逻辑对所述第一算子下的第一数据进行解密获得第二数据，包括：在执行到所述地址时，基于所述解密处理逻辑对所述地址中存储的数据进行解密获得所述第二数据。

在本申请实施例中，直接对存储的数据进行解密，提高了效率。

根据第一方面，或者以上第一方面的任意一种可能的实现方式，在所述方法的第四种可能的实现方式中，所述方法还包括：在执行完所述多个执行算子时，删除所述第一模型、所述多个执行算子以及所述第二数据。

这样，可以节省存储空间，同时提高模型的安全性。

根据第一方面，或者第一方面的第一种可能的实现方式至三种种可能的实现方式中的任意一种，在所述方法的第五种可能的实现方式中，所述第一模型为训练模型或者推理模型。

根据第一方面的第五种可能的实现方式，在所述方法的第六种可能的实现方式中，所述方法还包括：在所述第一模型为推理模型的情况下，返回推理结果；在所述第一模型为训练模型的情况下，返回训练后的模型。

根据第一方面，或者以上第一方面的任意一种可能的实现方式，在所述方法的第七种可能的实现方式中，所述解密处理逻辑为对称式解密处理逻辑或者非对称式解密处理逻辑。

这样，用户可以根据实际需求的选择合适的解密处理逻辑，提高了灵活性、用户友好度，实现了个性化定制，从而进一步提高了模型的安全性。

第二方面，本申请的实施例提供了一种模型保护方法，包括：对第二模型中的第一区域进行加密；按照所述第一区域向所述第二模型的计算图中添加第一算子，得到第一模型，所述第一算子用于指示解密处理逻辑；发送所述第一模型。

在本申请实施例中，通过按照加密后的第一区域添加用于指示解密处理逻辑的第一算子，在不增加额外组件的情况下，既可以实现模型的保护，又可以保障模型的正常运算功能。

根据第二方面，在所述方法的第一种可能的实现方式中，所述第一区域中的数据为：至少一个权值；或者，至少一个执行算子；或者，至少一个权值以及至少一个执行算子。

根据第二方面，或者第二方面的第一种可能的实现方式，在所述方法的第二种可能的实现方式中，所述方法还包括：响应于来自设备处理器的密钥获取请求，对所述设备处理器进行鉴权；在鉴权通过的情况下，向所述设备处理器返回密钥。

根据第二方面的第二种可能的实现方式，在所述方法的第三种可能的实现方式中，所述密钥获取请求中包括所述第一模型的标识，以及所述设备处理器的标识，所述对所述设备处理器进行鉴权包括：基于所述第一模型的标识，以及所述设备处理器的标识对所述设备处理器进行鉴权。

根据第二方面，或者以上第二方面的任意一种可能的实现方式，在所述方法的第四种可能的实现方式中，所述对第二模型中的第一区域进行加密包括：采用第二算子对所述第一区域进行加密，所述第二算子用于指示加密处理逻辑。

第三方面，本申请的实施例提供了一种模型保护装置，包括：获取模块，用于从第一模型获得多个执行算子，所述多个执行算子中包括第一算子，所述第一算子用于指示解密处理逻辑；执行模块，用于按照所述多个执行算子的层级关系顺序执行所述获取模块获取的多个执行算子；所述执行模块，具体用于：在执行到所述第一算子时，基于所述解密处理逻辑对所述第一算子下的第一数据进行解密获得第二数据，并基于所述第二数据执行排在所述第一算子后面的一个或多个执行算子。

在一种可能的实现方式中，所述第二数据为：

至少一个权值；或者，

至少一个执行算子；或者，

至少一个权值以及至少一个执行算子。

在一种可能的实现方式中，所述执行模块还用于：

响应于基于密钥获取请求返回的密钥，采用所述密钥对所述第一数据进行解密获得所述第二数据。

在一种可能的实现方式中，所述第一算子用于指示所述第一数据所在存储空间的地址，所述在执行到所述第一算子时，所述执行模块还用于：

在执行到所述地址时，基于所述解密处理逻辑对所述地址中存储的数据进行解密获得所述第二数据。

在一种可能的实现方式中，所述装置还包括：

删除模块，用于在执行完所述多个执行算子时，删除所述第一模型、所述多个执行算子以及所述第二数据。

在一种可能的实现方式中，所述第一模型为训练模型或者推理模型。

在一种可能的实现方式中，所述装置还包括：

返回模块，用于在所述第一模型为推理模型的情况下，返回推理结果；以及在所述第一模型为训练模型的情况下，返回训练后的模型。

在一种可能的实现方式中，所述解密处理逻辑为对称式解密处理逻辑或者非对称式解密处理逻辑。

第四方面，本申请的实施例提供了一种模型保护装置，包括：

加密模块，用于对第二模型中的第一区域进行加密；

添加模块，用于按照所述加密模块加密的第一区域向所述第二模型的计算图中添加第一算子，得到第一模型，所述第一算子用于指示解密处理逻辑；

发送模块，用于发送所述添加模块添加了所述第一算子后得到的第一模型。

在一种可能的实现方式中，所述第一区域中的数据为：

至少一个权值；或者，

至少一个执行算子；或者，

至少一个权值以及至少一个执行算子。

在一种可能的实现方式中，所述装置还包括：

鉴权模块，用于响应于来自设备处理器的密钥获取请求，对所述设备处理器进行鉴权；

在鉴权通过的情况下，向所述设备处理器返回密钥。

在一种可能的实现方式中，所述密钥获取请求中包括所述第一模型的标识，以及所述设备处理器的标识，所述鉴权模块还用于：

基于所述第一模型的标识，以及所述设备处理器的标识对所述设备处理器进行鉴权。

在一种可能的实现方式中，所述加密模块还用于：

采用第二算子对所述第一区域进行加密，所述第二算子用于指示加密处理逻辑。

第五方面，本申请的实施例提供了一种电子设备，该终端设备可以执行上述第一方面或者第一方面的多种可能的实现方式中的一种或几种的模型保护方法，或者执行上述第二方面或者第二方面的多种可能的实现方式中的一种或几种的模型保护方法。

第六方面，本申请的实施例提供了一种处理器，该处理器可以执行上述第一方面或者第一方面的多种可能的实现方式中的一种或几种的模型保护方法，或者执行上述第二方面或者第二方面的多种可能的实现方式中的一种或几种的模型保护方法。

第七方面，本申请的实施例提供了一种芯片，该芯片可以执行上述第一方面或者第一方面的多种可能的实现方式中的一种或几种的模型保护方法，或者执行上述第二方面或者第二方面的多种可能的实现方式中的一种或几种的模型保护方法。

第八方面，本申请的实施例提供了一种模型保护系统，所述系统包括主机处理器、存储单元和设备处理器，其中，主机处理器，用于对第二模型中的第一区域进行加密；按照所述第一区域向所述第二模型的计算图中添加第一算子，得到第一模型，所述第一算子用于指示解密处理逻辑；发送所述第一模型；存储单元，用于存储所述第一模型；设备处理器，用于从所述第一模型获得多个执行算子，所述多个执行算子中包括第一算子，所述第一算子用于指示解密处理逻辑；按照所述多个执行算子的层级关系顺序执行所述多个执行算子，包括：在执行到所述第一算子时，基于所述解密处理逻辑对所述第一算子下的第一数据进行解密获得第二数据，并基于所述第二数据执行排在所述第一算子后面的一个或多个执行算子。

第九方面，本申请的实施例提供了一种可读存储介质，其上存储有计算机程序指令，所述计算机程序指令被处理器执行时实现上述第一方面或者第一方面的多种可能的实现方式中的一种或几种的模型保护方法，或者实现上述第二方面或者第二方面的多种可能的实现方式中的一种或几种的模型保护方法。

第十方面，本申请的实施例提供了一种计算机程序产品，包括计算机可读代码，或者承载有计算机可读代码的非易失性计算机可读存储介质，当所述计算机可读代码在电子设备中运行时，所述电子设备中的处理器执行上述第一方面或者第一方面的多种可能的实现方式中的一种或几种的模型保护方法，或者执行上述第二方面或者第二方面的多种可能的实现方式中的一种或几种的模型保护方法。

本申请的这些和其他方面在以下(多个)实施例的描述中会更加简明易懂。

附图说明

包含在说明书中并且构成说明书的一部分的附图与说明书一起示出了本申请的示例性实施例、特征和方面，并且用于解释本申请的原理。

图1示出相关技术中的模型保护方法的示意图；

图2示出本申请实施例提供的模型保护系统的架构示意图；

图3示出计算图的一个示例性示意图；

图4示出本申请实施例提供的模型保护方法的流程图；

图5示出本申请实施例提供的模型保护方法的流程图；

图6示出本申请实施例提供的模型保护方法的交互示意图；

图7示出本申请实施例提供的一种模型保护装置的结构示意图；

图8示出本申请实施例提供的一种模型保护装置的结构示意图。

具体实施方式

以下将参考附图详细说明本申请的各种示例性实施例、特征和方面。附图中相同的附图标记表示功能相同或相似的元件。尽管在附图中示出了实施例的各种方面，但是除非特别指出，不必按比例绘制附图。

在这里专用的词“示例性”意为“用作例子、实施例或说明性”。这里作为“示例性”所说明的任何实施例不必解释为优于或好于其它实施例。

另外，为了更好的说明本申请，在下文的具体实施方式中给出了众多的具体细节。本领域技术人员应当理解，没有某些具体细节，本申请同样可以实施。在一些实例中，对于本领域技术人员熟知的方法、手段、元件和电路未作详细描述，以便于凸显本申请的主旨。

本申请实施例提供了一种模型保护方法，通过纯软件方式实现了对模型的保护，未增加额外组件、对运行环境的规模以及算法的要求也较低，从而降低了系统成本。从应用设备角度来讲，本申请实施例提供的模型保护方法可以应用于端、边以及云场景下的模型运算过程。其中，端指客户端或者设备端，例如手机或者电脑等；边指边缘设备，例如路由器、交换机等；云指云端，例如服务器集群等。从功能角度来讲，本申请实施例提供的模型保护方法可以用于模型推理场景以及模型增量训练场景。本申请实施例对应用场景不做限制。

图2示出本申请实施例提供的模型保护系统的架构示意图。如图2所示，该模型保护系统包括主机处理器21、存储单元22以及设备处理器23。其中，主机处理器21是主机(host)的控制中心，用于运行AI应用。存储单元22可以用于保存AI应用涉及的AI模型等数据。设备处理器23是设备(device)的控制中心，用于处理AI应用涉及的AI模型，例如，采用AI应用涉及的AI模型进行推理，或者，对AI应用涉及的AI模型进行增量训练。其中，AI模型可以用于目标检测、图像处理以及信号控制等，本申请实施例对AI模型的作用不做限制。AI模型可以为卷积神经网络模型(Convolutional Neural Networks，CNN)、循环神经网络模型(Recurrent Neural Network，RNN)以及深度神经网络(Deep Neural Network，DNN)模型等，本申请实施例对AI模型的类别不做限制。

在一种可能的实现方式中，在运行AI应用时，主机处理器21的管理模块可以通过调用图执行器(Graphy Engine，GE)提供的接口实现AI模型的加载与执行，以及通过调用运行管理器(Runtime)提供的接口实现存储单元22以及设备处理器23等的管理，从而利用设备处理器23提供的AI模型的运算能力，完成业务。

在一种可能的实现方式中，主机处理器21可以是一个处理器，也可以是多个处理元件的统称。例如，主机处理器21可以是一个中央处理器(Central Processing Unit，CPU)，也可以是特定集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程门阵列(Field Programmable Gate Srray，FPGA)、图像处理器(Graphics Processing Unit，GPU)或者是被配置成本公开实施例的一个或多个集成电路，例如：一个或多个数字信号处理器(Digital Signal Processor，DSP)，或，一个或者多个现场可编程门列阵(Field Programmable Gate Array，FPGA)。设备处理器23可以参照主机处理器21，这里不再赘述。需要说明的是，设备处理器23具有较强的模型运算能力。

在一种可能的实现方式中，存储单元22可以包括易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(read-only memory，ROM)、可编程只读存储器(programmable ROM,PROM)、可擦除可编程只读存储器(erasable PROM，EPROM)、电可擦除可编程只读存储器(electrically EPROM,EEPROM)或闪存。易失性存储器可以是随机存取存储器(random access memory,RAM)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用，例如静态随机存取存储器(static RAM，SRAM)、动态随机存取存储器(DRAM)、同步动态随机存取存储器(synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(double data date SDRAM，DDR SDRAM)、增强型同步动态随机存取存储器(enhanced SDRAM,ESDRAM)、同步连接动态随机存取存储器(synchlink DRAM，SLDRAM)和直接内存总线随机存取存储器(direct rambus RAM，DR RAM)。

在本申请实施例中，主机处理器21和设备处理器23可以位于在不同的设备中。例如，主机处理器21可以位于X86服务器、ARM服务器或者WindowsPC等主机设备中，设备处理器23可以安装在能够与上述主机设备相连接的硬件设备中。在一个示例中，主机处理器21和存储单元22位于主机设备中，设备处理器23位于硬件设备中。其中，主机处理器21和存储单元22可以通过总线连接，其中，总线可以是工业标准体系结构(Industry Standard Architecture，ISA)总线、外部设备互联(Peripheral Component Interconnect，PCI)总线或扩展工业标砖体系结构(Extended Industry Standard Architecture，EISA)总线等。该总线可以分为地址总线、数据总线、控制总线等。主机设备上可以设置高速串行计算机扩展总线标准(Peripheral Component Interconnect express，PCIe)接口，硬件设备可以通过该PCIe接口连接主机设备。在一种可能的实现方式中，上述主机设备与上述硬件设备可以合设，统称为主机设备。

需要说明的是，图2示出的仅为本申请实施例提供的模型保护系统的示例性架构示意图，并不构成对模型保护系统的限定，模型保护系统可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

为了便于理解，下面对本申请实施例中涉及的AI模型、计算图、权值以及执行算子进行说明。

AI模型是指一个神经网络按照一定算法固定下来的结构。AI模型里面包括计算图以及权值。其中，计算图用于表示算法的运算过程，是一种将算法形式化的方法。权值用于表示执行算子在执行过程中需要使用的数据。

计算图包括多个节点，这些节点之间通过有向边连接，每个节点代表一个执行算子。进入节点的输入边表示该节点对应执行算子的输入数据，离开节点的输出边表示该节点对应执行算子的输出数据。计算图所表示的运算过程可以是模型推理过程也可以是模型训练过程。

图3示出计算图的一个示例性示意图。如图3所示，A和B为输入数据，C和D为执行算子，E为权值。其中，C表示乘法，D表示加法，E表示常量，这个计算图表示的就是输出A*B+E的运算过程。在保存成模型的时候，可以按照计算图中有向边的连接方式将各执行算子保存下来，以及各执行算子涉及的权值保存下来，从而实现AI模型的保存。

在保存AI模型时，可以将计算图序列化为设备处理器(例如，图2所示的设备处理器23)可读的模型文件进行保存，从而使得设备处理器可以运行该模型文件以实现运算。在一个示例中，设备处理器可读的模型文件包括但不限于MindIR格式文件、AIR(Ascend Intermediate Pepresentation)格式文件和ONNX(Open Neural Network Exchange)格式文件等。也就是说，主机处理器上的Tensorflow、Pytorch或者其他AI框架，可以将AI模型的计算图和权值按照一定的数据结构进行保存，以便于后续在设备处理器上进行模型推理或者模型增量训练。

图4示出本申请实施例提供的模型保护方法的流程图。该方法可以应用于图2所示的设备处理器23。如图4所示，该方法可以包括：

步骤S401，从第一模型获得多个执行算子，所述多个执行算子中包括第一算子，所述第一算子用于指示解密处理逻辑。

其中，第一模型可以表示加密后的AI模型。第一模型可以为训练模型或者推理模型。第一模型可以用于图像分类、语音识别、目标检测或者目标跟踪等。本申请实施例对第一模型的类型和作用不做限制。第一模型包括计算图和权值，第一模型的计算图包括多个执行算子。在本申请实施例中，应用处理器在加载第一模型后，可以对第一模型进行逐层解压，获得多个执行算子。

第一算子可以表示用于指示解密处理逻辑的执行算子。第一模型的多个执行算子中可以包括一个或多个第一算子。本申请实施例对第一算子的数量不做限制。数据输入第一算子后，应用处理器可以基于第一算子指示的解密处理逻辑对输入的数据进行解密，然后输出解密后的输入。在本申请实施例中，需要输入第一算子进行的数据称为第一算子下的第一数据，经第一算子运算后输出的数据称为第二数据。可以理解的是，第一数据是需要进行解密的数据，第二数据是解密后的数据。

在本申请实施例中，第二数据可以为至少一个权值；或者，至少一个执行算子；或者至少一个权值以及至少一个执行算子。也就是说，第一数据可能为至少一个加密后的权值，或者至少一个加密后的执行算子，或者是至少一个加密后的权值以及至少一个加密后的执行算子。在一个示例中，权值M1输入第一算子进行解密后得到权值M2；执行算子N1输入第一算子进行解密后得到执行算子N2；权值M1以及执行算子N1输入第一算子进行解密后得到权值M2以及执行算子N2。

在一种可能的实现方式中，解密处理逻辑可以为对称式解密处理逻辑或者非对称式解密处理逻辑。举例来说，对称式解密处理逻辑包括但不限于DES TripleDES算法、BlowFish算法和RC算法等，非对称式解密处理逻辑包括但不限于RSA、Elgamal、背包算法、Rabin算法和ECC算法等。本申请实施例对解密处理逻辑不做限制。用户可以灵活选择加解密算法来对数据进行加密以及解密。

在本申请实施例中，第一模型可以由主机处理器提供。在一个示例中，如图2所示，在主机处理器21在运行AI应用的过程中可以生成第一模型，并将第一模型保存在存储单元22中，设备处理器23可以从存储单元22加载第一模型。在一种可能的实现方式中，第一模型的传输可以通过内存复制的方式实现。具体的，主机处理器21和设备处理器23可以分别存储单元22中申请存储空间。主机处理器21将第一模型存储在其对应的存储空间中，实现第一模型的存储。设备处理器23将第一模型所在存储空间的数据复制到设备处理器23对应的存储空间中，实现第一模型的加载。

步骤S402，按照所述多个执行算子的层级关系顺序执行所述多个执行算子。

设备处理器在获得多个执行算子之后，可以按照多个执行算子的层级关系顺序执行这些执行算子。由于第一模型的多个执行算子中包括一个或多个第一算子，在执行到任意一个第一算子时，设备处理器可以执行步骤S403。

步骤S403，在执行到所述第一算子时，基于所述解密处理逻辑对所述第一算子下的第一数据进行解密获得第二数据，并基于所述第二数据执行排在所述第一算子后面的一个或多个执行算子。

在第一模型中，第一数据(包括加密后的执行算子和/或加密后的权值)可以作为第一算子的输入。这样，在执行到第一算子时，设备处理器可以采用第一算子指示的解密处理逻辑对输入第一算子的数据进行解密，从而得到第二数据(包括解密后的执行算子和/或解密后的权值)。

在一个示例中，图3所示的权值E为被加密后的权值。若设备处理器直接采用权值E或者对权值E的解密处理不正确则输出的结果是错误的。在本示例中，权值E是第一算子的输入，第一算子排在执行算子D之前，应用处理器需要先执行第一算子，再执行执行算子D。应用处理器在执行到第一算子时，会将权值E输入第一算子，并输出权值E的解密结果，然后执行执行算子D，即将A*B的结果与权值E的解密结果相加。

在又一示例中，图3所示的执行算子C为被加密后的执行算子。若设备处理器直接采用执行算子C或者对执行算子C的解密处理不正确则输出的结果是错误的。在本示例中，执行算子C是第一算子的输入，第一算子排在执行算子D之前，应用处理器需要先执行第一算子，再执行执行算子D。应用处理器在执行到第一算子时，会将执行算子C输入第一算子中，得到解密结果执行算子“*”，应用处理器将输入数据A和输入数据B相乘，得到A*B的结果；然后，执行执行算子D，即将A*B的结果与权值E的解密结果相加。

在另一示例中，图3所示的权值E为被加密后的权值，执行算子C为被加密后的执行算子。假设以执行算子C为输入的第一算子记为第一算子1，以权值E为输入的第一算子记为第一算子2。在本示例中，第一算子1排在第一算子2之前，第一算子2排在执行算子D之前。应用处理器在执行到第一算子1时，将执行算子C输入第一算子中，得到解密结果执行算子“*”，应用处理器将输入数据A和输入数据B相乘，得到A*B的结果。然后，应用处理器执行第一算子2，此时，将权值E输入第一算子2，并输出权值E的解密结果。之后，应用处理器执行执行算子D，即将A*B的结果与权值E的解密结果相加。

可以理解的是，在本申请实施例中，第一算子可以排在第一模型的所有执行算子的首位，此时，可以实现对整个计算图和所有权值的保护；第一算子排在其他位置。在本申请实施例中，用户在生成第一模型的过程中，可以灵活的设置第一算子的位置，以及第一算子的数量，还可以连续设置第一算子(实现多重加密)，从而提高数据安全性。

在一种可能的实现方式中，第一算子还可以用于指示第一数据所在存储空间的地址。步骤S403中在执行到所述第一算子时，基于所述解密处理逻辑对所述第一算子下的第一数据进行解密获得第二数据可以包括：在执行到第一数据所在存储空间的地址时，基于解密处理逻辑对该地址中存储的数据进行解密获得第二数据。

第一模型解压后得到的计算图以及权值以数据序列的形式存储在存储空间(例如，图2所示的存储单元22)中。应用处理器读取存储空间中的数据，在读取到第一算子对应的数据时，执行第一算子。由于第一算子指示了第一数据的地址。因此，应用处理器在执行第一算子时，首先去第一算子指示的地址读取第一数据，然后基于解密处理逻辑对第一数据进行解密，得到第二数据。

在一种可能的实现方式中，基于解密处理逻辑对第一数据进行解密获得第二数据可以包括：响应于基于密钥获取请求返回的密钥，采用所述密钥对所述第一数据进行解密获得所述第二数据。

在执行到第一算子时，设备处理器可以向主机处理器发送密钥获取请求，以获取密钥对第一数据进行解密。主机处理器响应于来自设备处理器的密钥获取请求，可以对设备处理器进行鉴权，并在鉴权通过的情况下，向设备处理器返回密钥。

其中，密钥获取请求用于获取密钥。在一个示例中，密钥获取请求中可以包括第一模型的标识，以及设备处理器的标识。主机处理器可以从密钥获取请求中获取第一模型的标识以及设备处理器的标识，然后基于第一模型的标识以及设备处理器的标识对设备处理器进行鉴权。例如，主机处理器中可以维护一个权限表，该权限表可以用于存储模型的标识、处理器的标识以及权限的关联关系。其中，模型的标识可以为模型的名称、模型的编号或者模型的类别等，处理器的标识可以为处理器的名称、处理器的编号、处理器的型号等，权限可以为有解密权限或者无解密权限。若主机处理器在权限表中查找到与第一模型的标识以及设备处理器的标识相关联的权限为有解密权限，则确定鉴权通过，返回密钥；若主机处理器在权限表中未查找到第一模型的标识或者设备处理器的标识，或者查找到的与第一模型的标识以及设备处理器的标识相关联的权限为无解密权限，则确定鉴权未通过，不返回密钥。在本申请实施例中，还可以通过其他方式进行鉴权，例如根据进程号、根据接口号等，本申请实施例对鉴权方式不做限制。

在一个示例中，设备处理器与主机处理器进行密钥交换，可以通过异步API或者专有接口进行实现，本申请实施例不做限制。

在本申请实施例中，按照第一模型的多个执行算子的层级关系顺序执行各执行算子的过程中，在执行到第一模型的第一算子时，采用第一算子指示的解密处理逻辑对第一算子下的第一数据进行解密后，再继续执行排在第一算子后面的一个或多个执行算子，从而实现第一模型的运行。在上述执行第一模型各执行算子的过程中，以纯软件的方式实现了数据的解密。也就是说，在不增加额外组件的情况下，实现了对模型的保护。既降低了硬件成本，又降低了对运行环境的规模以及算法的要求。同时，用户可以根据实际需求的选择合适的解密处理逻辑，提高了灵活性、用户友好度，实现了个性化定制，从而进一步提高了模型的安全性。

在一种可能的实现方式中，所述模型保护方法还可以包括：在执行完所述多个执行算子时，删除所述第一模型、所述多个执行算子以及所述第二数据。

在本申请实施例中，在执行完第一模型的多个执行算子后，表示已经完成了第一模型的运算，例如已经完成了基于第一模型的推理或者已经完成了对第一模型的增量训练等，此时，删除第一模型，以及在运算第一模型过程中产生的执行算子和第二数据，可以节省存储空间。另外，考虑到第二数据为解密后的数据，第二数据泄露会造成模型参数的泄露，因此，设备处理器在执行完第一模型的多个执行算子之后，删除第二数据，可以进一步保障模型的安全性。

在一个示例中，在第一模型为推理模型的情况下，应用处理器可以返回推理结果。主机处理器中的AI应用在运行过程中可以使用该推理结果。

在一个示例中，在第一模型为训练模型的情况下，应用处理器可以返回训练后的模型。主机处理器中的AI应用在运行过程中可以使用该训练后的模型。可以理解的是，应用处理器返回的训练后的模型包括训练后的模型的计算图和权值。

图5示出本申请实施例提供的模型保护方法的流程图。该方法可以应用于图2所示的主机处理器21。如图5所示，该方法可以包括：

步骤S501，对第二模型中的第一区域进行加密。

其中，第二模型表示需要进行加密保护的模型。第一区域可以表示第二模型中需要进行加密的区域。在一种可能的实现方式中，所述第一区域中的数据为：至少一个权值；或者，至少一个执行算子；或者，至少一个权值以及至少一个执行算子。在本申请实施例中，用户可以灵活的选择需要加密的区域，提高灵活性和用户友好度。例如，用户可以选择将关键数据、敏感数据进行加密，用户可以选择将关键算子进行加密，或者，用户可以将整个计算图进行加密。本申请实施例，对第一区域不做限制。

在一种可能的实现方式中，步骤S501可以包括：采用第二算子对第一区域进行加密，第二算子用于指示加密处理逻辑。主机处理器可以选择采用第二算子对第一区域进行加密。可以理解的是，在本申请实施例中，第二算子指示的加密处理逻辑与第一算子指示的解密处理逻辑是相对应的，采用的加密算法和解密算法是配套的。当然，主机处理器还可以选择其他方式，例如人工编辑的方式对第一区域进行加密，对此本申请实施例不做限制。

步骤S502，按照所述第一区域向所述第二模型的计算图中添加第一算子，得到第一模型，所述第一算子用于指示解密处理逻辑。

在第一区域之前添加第一算子，这样，设备处理器在需要使用第一区域的数据之前，会先执行第一算子对第一区域中的数据进行解密，既保护了第一数据中的数据的安全，又保证了模型的正常运算功能。

步骤S503，发送所述第一模型。

在一种可能的实现方式中，主机处理器可以将第一模型直接发送给设备处理器进行处理。在另一种可能的实现方式中，主机处理器可以将第一模型发送至存储单元进行存储，之后设备处理器可以从存储单元加载第一模型进行处理。

在本申请实施例中，第一算子可以插在第二模型的计算图的任意一层，得到第一模型，用户还可以灵活的通过第一算子将第二模型的计算图中某一层或多层的权值进行随机加密，避免核心数据的泄露。

图6示出本申请实施例提供的模型保护方法的交互示意图。该方法可以应用于图2所示的系统。如图6所示，该方法可以包括：

步骤S601，主机处理器对第二模型中的第一区域进行加密。

步骤S602，主机处理器按照第一区域向第二模型的计算图中添加用于指示解密处理逻辑的第一算子，得到第一模型。

步骤S603，主机处理器在存储单元中存储第一模型。

步骤S604，设备处理器从存储单元中加载第一模型。

步骤S605，设备处理器从第一模型获得多个执行算子。

步骤S606，设备处理器按照所述多个执行算子的层级关系顺序执行所述多个执行算子。

步骤S6061，设备处理器在执行到第一算子时，向主机处理器发送密钥获取请求。

步骤S6062，主机处理器响应于来自设备处理器的密钥获取请求，对设备处理器进行鉴权。

在一种可能的实现方式中，所述密钥获取请求中包括所述第一模型的标识，以及所述设备处理器的标识。步骤S608可以包括：主机处理器基于第一模型的标识以及设备处理器的标识对设备处理器进行鉴权。

步骤S6063，在鉴权通过的情况下，主机处理器向设备处理器返回密钥。

步骤S6064，设备处理器响应于基于密钥获取请求返回的密钥，采用所述密钥对第一数据进行解密获得第二数据，并基于第二数据执行排在第一算子后面的一个或多个执行算子。

步骤S607，设备处理器返回推理结果或者训练后的模型。

步骤S608，设备处理器在执行完所述多个执行算子时，删除第一模型、多个执行算子以及第二数据。

在本申请实施例中，数据的解密均由设备处理器执行，攻击者本身也较难进入到设备侧进行攻击，提高了安全性。由于第一算子的开发方式其全部实现逻辑由用户控制，用户可以较灵活的选择加解密算法以及密钥交换方式，如用户可以采用对称加密方式来进行数据内容的加密，采用非对称的方式基于公网环境传递密钥的公钥，本申请实施例对加解密算法不做限制。

在本申请实施例中，第一算子未执行解密前，模型的关键保护区域需要暂时保存在存储单元(例如内存)中不执行解析操作，解密完成后支持对第二数据进行动态的解析。

图7示出本申请实施例提供的一种模型保护装置的结构示意图。该装置可以应用于图2所示的设备处理器23。如图7所示，装置70可以包括：

获取模块71，用于从第一模型获得多个执行算子，所述多个执行算子中包括第一算子，所述第一算子用于指示解密处理逻辑；

执行模块72，用于按照所述多个执行算子的层级关系顺序执行所述获取模块71获取的多个执行算子；

所述执行模块72，具体用于：

在执行到所述第一算子时，基于所述解密处理逻辑对所述第一算子下的第一数据进行解密获得第二数据，并基于所述第二数据执行排在所述第一算子后面的一个或多个执行算子。

在一种可能的实现方式中，所述第二数据为：

至少一个权值；或者，

至少一个执行算子；或者，

至少一个权值以及至少一个执行算子。

在一种可能的实现方式中，所述执行模块还用于：

在一种可能的实现方式中，所述装置还包括：

图8示出本申请实施例提供的一种模型保护装置的结构示意图。该装置可以应用于图2所示的主机处理器21。如图8所示，装置80可以包括：

加密模块81，用于对第二模型中的第一区域进行加密；

添加模块82，用于按照所述加密模块81加密的第一区域向所述第二模型的计算图中添加第一算子，得到第一模型，所述第一算子用于指示解密处理逻辑；

发送模块83，用于发送所述添加模块82添加了所述第一算子后得到的第一模型。

在一种可能的实现方式中，所述第一区域中的数据为：

至少一个权值；或者，

至少一个执行算子；或者，

至少一个权值以及至少一个执行算子。

在一种可能的实现方式中，所述装置还包括：

在鉴权通过的情况下，向所述设备处理器返回密钥。

在一种可能的实现方式中，所述加密模块还用于：

本申请的实施例提供了一种电子设备，包括：处理器以及用于存储处理器可执行指令的存储器；其中，所述处理器被配置为执行所述指令时实现上述方法。

本申请的实施例提供了一种处理器，该助力器被配置为执行上述方法。

本申请的实施例提供了一种芯片，该芯片可以执行上述方法。

本申请的实施例提供了一种模型保护系统，该系统的架构如图2所示，该系统包括主机处理器、存储单元和设备处理器，其中，主机处理器，用于对第二模型中的第一区域进行加密；按照所述第一区域向所述第二模型的计算图中添加第一算子，得到第一模型，所述第一算子用于指示解密处理逻辑；发送所述第一模型；存储单元，用于存储所述第一模型；设备处理器，用于从所述第一模型获得多个执行算子，所述多个执行算子中包括第一算子，所述第一算子用于指示解密处理逻辑；按照所述多个执行算子的层级关系顺序执行所述多个执行算子，包括：在执行到所述第一算子时，基于所述解密处理逻辑对所述第一算子下的第一数据进行解密获得第二数据，并基于所述第二数据执行排在所述第一算子后面的一个或多个执行算子。

本申请的实施例提供了一种非易失性计算机可读存储介质，其上存储有计算机程序指令，所述计算机程序指令被处理器执行时实现上述方法。

本申请的实施例提供了一种计算机程序产品，包括计算机可读代码，或者承载有计算机可读代码的非易失性计算机可读存储介质，当所述计算机可读代码在电子设备的处理器中运行时，所述电子设备中的处理器执行上述方法。

计算机可读存储介质可以是可以保持和存储由指令执行设备使用的指令的有形设备。计算机可读存储介质例如可以是――但不限于――电存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备或者上述的任意合适的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括：便携式计算机盘、硬盘、随机存取存储器(Random Access Memory，RAM)、只读存储器(Read Only Memory，ROM)、可擦式可编程只读存储器(Electrically Programmable Read-Only-Memory，EPROM或闪存)、静态随机存取存储器(Static Random-Access Memory，SRAM)、便携式压缩盘只读存储器(Compact Disc Read-Only Memory，CD-ROM)、数字多功能盘(Digital Video Disc，DVD)、记忆棒、软盘、机械编码设备、例如其上存储有指令的打孔卡或凹槽内凸起结构、以及上述的任意合适的组合。

这里所描述的计算机可读程序指令或代码可以从计算机可读存储介质下载到各个计算/处理设备，或者通过网络、例如因特网、局域网、广域网和/或无线网下载到外部计算机或外部存储设备。网络可以包括铜传输电缆、光纤传输、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理设备中的网络适配卡或者网络接口从网络接收计算机可读程序指令，并转发该计算机可读程序指令，以供存储在各个计算/处理设备中的计算机可读存储介质中。

用于执行本申请操作的计算机程序指令可以是汇编指令、指令集架构(Instruction Set Architecture，ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、或者以一种或多种编程语言的任意组合编写的源代码或目标代码，所述编程语言包括面向对象的编程语言—诸如Smalltalk、C++等，以及常规的过程式编程语言—诸如“C”语言或类似的编程语言。计算机可读程序指令可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络—包括局域网(Local Area Network，LAN)或广域网(Wide Area Network，WAN)—连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。在一些实施例中，通过利用计算机可读程序指令的状态信息来个性化定制电子电路，例如可编程逻辑电路、现场可编程门阵列(Field-Programmable Gate Array，FPGA)或可编程逻辑阵列(Programmable Logic Array，PLA)，该电子电路可以执行计算机可读程序指令，从而实现本申请的各个方面。

这里参照根据本申请实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述了本申请的各个方面。应当理解，流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合，都可以由计算机可读程序指令实现。

这些计算机可读程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理器，从而生产出一种机器，使得这些指令在通过计算机或其它可编程数据处理装置的处理器执行时，产生了实现流程图和/或框图中的一个或多个方框中规定的功能/动作的装置。也可以把这些计算机可读程序指令存储在计算机可读存储介质中，这些指令使得计算机、可编程数据处理装置和/或其他设备以特定方式工作，从而，存储有指令的计算机可读介质则包括一个制造品，其包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作的各个方面的指令。

也可以把计算机可读程序指令加载到计算机、其它可编程数据处理装置、或其它设备上，使得在计算机、其它可编程数据处理装置或其它设备上执行一系列操作步骤，以产生计算机实现的过程，从而使得在计算机、其它可编程数据处理装置、或其它设备上执行的指令实现流程图和/或框图中的一个或多个方框中规定的功能/动作。

附图中的流程图和框图显示了根据本申请的多个实施例的装置、系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或指令的一部分，所述模块、程序段或指令的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。

也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行相应的功能或动作的硬件(例如电路或ASIC(Application Specific Integrated Circuit，专用集成电路))来实现，或者可以用硬件和软件的组合，如固件等来实现。

尽管在此结合各实施例对本发明进行了描述，然而，在实施所要求保护的本发明过程中，本领域技术人员通过查看所述附图、公开内容、以及所附权利要求书，可理解并实现所述公开实施例的其它变化。在权利要求中，“包括”(comprising)一词不排除其他组成部分或步骤，“一”或“一个”不排除多个的情况。单个处理器或其它单元可以实现权利要求中列举的若干项功能。相互不同的从属权利要求中记载了某些措施，但这并不表示这些措施不能组合起来产生良好的效果。

以上已经描述了本申请的各实施例，上述说明是示例性的，并非穷尽性的，并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下，对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择，旨在最好地解释各实施例的原理、实际应用或对市场中的技术的改进，或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。

Claims

一种模型保护方法，其特征在于，所述方法包括：

从第一模型获得多个执行算子，所述多个执行算子中包括第一算子，所述第一算子用于指示解密处理逻辑；

按照所述多个执行算子的层级关系顺序执行所述多个执行算子，包括：

在执行到所述第一算子时，基于所述解密处理逻辑对所述第一算子下的第一数据进行解密获得第二数据，并基于所述第二数据执行排在所述第一算子后面的一个或多个执行算子。
根据权利要求1所述的方法，其特征在于，所述第二数据为：

至少一个权值；或者，

至少一个执行算子；或者，

至少一个权值以及至少一个执行算子。
根据权利要求1或2所述的方法，其特征在于，所述基于所述解密处理逻辑对所述第一数据进行解密获得第二数据，包括：

响应于基于密钥获取请求返回的密钥，采用所述密钥对所述第一数据进行解密获得所述第二数据。
根据权利要求1或2所述的方法，其特征在于，所述第一算子用于指示所述第一数据所在存储空间的地址，所述在执行到所述第一算子时，所述基于所述解密处理逻辑对所述第一算子下的第一数据进行解密获得第二数据，包括：

在执行到所述地址时，基于所述解密处理逻辑对所述地址中存储的数据进行解密获得所述第二数据。
根据权利要求1至4中任意一项所述的方法，其特征在于，所述方法还包括：

在执行完所述多个执行算子时，删除所述第一模型、所述多个执行算子以及所述第二数据。
根据权利要求1至4中任意一项所述的方法，其特征在于，所述第一模型为训练模型或者推理模型。
根据权利要求6所述的方法，其特征在于，所述方法还包括：

在所述第一模型为推理模型的情况下，返回推理结果；

在所述第一模型为训练模型的情况下，返回训练后的模型。
根据权利要求1至7中任意一项所述的方法，其特征在于，所述解密处理逻辑为对称式解密处理逻辑或者非对称式解密处理逻辑。
一种模型保护方法，其特征在于，所述方法包括：

对第二模型中的第一区域进行加密；

按照所述第一区域向所述第二模型的计算图中添加第一算子，得到第一模型，所述第一算子用于指示解密处理逻辑；

发送所述第一模型。
根据权利要求9所述的方法，其特征在于，所述第一区域中的数据为：

至少一个权值；或者，

至少一个执行算子；或者，

至少一个权值以及至少一个执行算子。
根据权利要求9或10所述的方法，其特征在于，所述方法还包括：

响应于来自设备处理器的密钥获取请求，对所述设备处理器进行鉴权；

在鉴权通过的情况下，向所述设备处理器返回密钥。
根据权利要求11所述的方法，其特征在于，所述密钥获取请求中包括所述第一模型的标识，以及所述设备处理器的标识，所述对所述设备处理器进行鉴权包括：

基于所述第一模型的标识，以及所述设备处理器的标识对所述设备处理器进行鉴权。
根据权利要求9至12中任意一项所述的方法，其特征在于，所述对第二模型中的第一区域进行加密包括：

采用第二算子对所述第一区域进行加密，所述第二算子用于指示加密处理逻辑。
一种模型保护装置，其特征在于，所述装置包括：

获取模块，用于从第一模型获得多个执行算子，所述多个执行算子中包括第一算子，所述第一算子用于指示解密处理逻辑；

执行模块，用于按照所述多个执行算子的层级关系顺序执行所述获取模块获取的多个执行算子；

所述执行模块，具体用于：

在执行到所述第一算子时，基于所述解密处理逻辑对所述第一算子下的第一数据进行解密获得第二数据，并基于所述第二数据执行排在所述第一算子后面的一个或多个执行算子。
根据权利要求14所述的装置，其特征在于，所述第二数据为：

至少一个权值；或者，

至少一个执行算子；或者，

至少一个权值以及至少一个执行算子。
根据权利要求14或15所述的装置，其特征在于，所述执行模块还用于：

响应于基于密钥获取请求返回的密钥，采用所述密钥对所述第一数据进行解密获得所述第二数据。
根据权利要求14或15所述的装置，其特征在于，所述第一算子用于指示所述第一数据所在存储空间的地址，所述在执行到所述第一算子时，所述执行模块还用于：

在执行到所述地址时，基于所述解密处理逻辑对所述地址中存储的数据进行解密获得所述第二数据。
根据权利要求14至17中任意一项所述的装置，其特征在于，所述装置还包括：

删除模块，用于在执行完所述多个执行算子时，删除所述第一模型、所述多个执行算子以及所述第二数据。
根据权利要求14至17中任意一项所述的装置，其特征在于，所述第一模型为训练模型或者推理模型。
根据权利要求19所述的装置，其特征在于，所述装置还包括：

返回模块，用于在所述第一模型为推理模型的情况下，返回推理结果；以及在所述第一模型为训练模型的情况下，返回训练后的模型。
根据权利要求14至20中任意一项所述的装置，其特征在于，所述解密处理逻辑为对称式解密处理逻辑或者非对称式解密处理逻辑。
一种模型保护装置，其特征在于，所述装置包括：

加密模块，用于对第二模型中的第一区域进行加密；

添加模块，用于按照所述加密模块加密的第一区域向所述第二模型的计算图中添加第一算子，得到第一模型，所述第一算子用于指示解密处理逻辑；

发送模块，用于发送所述添加模块添加了所述第一算子后得到的所述第一模型。
根据权利要求22所述的装置，其特征在于，所述第一区域中的数据为：

至少一个权值；或者，

至少一个执行算子；或者，

至少一个权值以及至少一个执行算子。
根据权利要求22或23所述的装置，其特征在于，所述装置还包括：

鉴权模块，用于响应于来自设备处理器的密钥获取请求，对所述设备处理器进行鉴权；

在鉴权通过的情况下，向所述设备处理器返回密钥。
根据权利要求24所述的装置，其特征在于，所述密钥获取请求中包括所述第一模型的标识，以及所述设备处理器的标识，所述鉴权模块还用于：

基于所述第一模型的标识，以及所述设备处理器的标识对所述设备处理器进行鉴权。
根据权利要求22至25中任意一项所述的装置，其特征在于，所述加密模块还用于：

采用第二算子对所述第一区域进行加密，所述第二算子用于指示加密处理逻辑。
一种电子设备，其特征在于，包括：

处理器；

用于存储处理器可执行指令的存储器；

其中，所述处理器被配置为执行所述指令时实现权利要求1至8中任意一项所述的方法，或者实现权利要求9至13中任意一项所述的方法。
一种模型保护系统，其特征在于，所述系统包括主机处理器、存储单元和设备处理器，其中，

主机处理器，用于对第二模型中的第一区域进行加密；按照所述第一区域向所述第二模型的计算图中添加第一算子，得到第一模型，所述第一算子用于指示解密处理逻辑；发送所述第一模型；

存储单元，用于存储所述第一模型；

设备处理器，用于从所述第一模型获得多个执行算子，所述多个执行算子中包括第一算子，所述第一算子用于指示解密处理逻辑；按照所述多个执行算子的层级关系顺序执行所述多个执行算子，包括：在执行到所述第一算子时，基于所述解密处理逻辑对所述第一算子下的第一数据进行解密获得第二数据，并基于所述第二数据执行排在所述第一算子后面的一个或多个执行算子。
一种计算机可读存储介质，其上存储有计算机程序指令，其特征在于，所述计算机程序指令被处理器执行时实现权利要求1至8中任意一项所述的方法，或者实现权利要求9至13中任意一项所述的方法。
一种计算机程序产品，包括计算机可读代码，或者承载有计算机可读代码的计算机可读存储介质，当所述计算机可读代码被处理器执行时实现权利要求1至8中任意一项所述的方法，或者实现权利要求9至13中任意一项所述的方法。