WO2023066205A1

WO2023066205A1 - 模型数据发送方法、模型数据整合方法及装置

Info

Publication number: WO2023066205A1
Application number: PCT/CN2022/125711
Authority: WO
Inventors: 苏涛
Original assignee: 维沃移动通信有限公司
Priority date: 2021-10-19
Filing date: 2022-10-17
Publication date: 2023-04-27
Also published as: CN113961911A

Abstract

一种模型数据发送方法、模型数据整合方法及装置，属于模型数据处理领域。模型数据发送方法包括：在终端启动之后，依据终端内各个终端模块的执行顺序，获取各个终端模块的设备度量值，并将设备度量值添加于可信根保护空间内；在加载与目标模型的训练相关的目标应用程序之前，度量目标应用程序的应用度量值，并将应用度量值添加至可信根保护空间内；在进行模型训练的过程中，根据目标应用程序内与目标模型的训练关联的应用模块的执行顺序，获取应用模块的模块度量值，并将模块度量值添加至可信根保护空间内；基于远程证明方式，将可信根信息和目标模型的模型数据发送至服务器，其中，可信根信息是根据设备度量值、应用度量值和模块度量值确定的。

Description

模型数据发送方法、模型数据整合方法及装置

相关申请的交叉引用

本申请要求在2021年10月19日提交中国专利局、申请号为202111218242.4、名称为“模型数据发送方法、模型数据整合方法及装置”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请属于模型数据处理技术领域，具体涉及一种模型数据发送方法、模型数据整合方法及装置。

背景技术

人工智能已经进入应用时代，能够帮助各行各业完成各类工作，提供多种服务。随着监管部门对隐私监管的升级以及用户隐私意识的增强，利用用户数据提供更高质量更全品类的AI业务的同时做好隐私保护工作已成为业界重点关注的问题。对此问题，现阶段业界普遍部署联邦学习方案增强对于用户隐私数据的保护。

联邦学习技术是一种分布式架构的训练机制。用户使用数据在本地终端(如手机、平板电脑、笔记本等)的模型上进行训练，本地终端将学习到的权重更新量传输给服务器。服务器将所有终端发来的权重更新量进行聚合后，对服务器模型权重进行更新，并将更新后的权重参数分发到终端更新终端模型。

在联邦学习的场景中，数据和模型投毒攻击非常典型，对于人工智能系统的破坏也非常大。数据和模型投毒是指在模型训练过程中，在训练数据中添加人类难以感知的暗门，如：在图片中添加肉眼无法看见的按一定规则排列且不同颜色的点；在语音中添加一段人耳听不见的满足一定规则的超声波的方法，让模型训练时，将这一部分特征当作样本特征的一部分等，进而导致云端整合的模型受损。

概述

本申请实施例的目的是提供一种模型数据发送方法、模型数据整合方法及装置，能够解决现有技术中在模型训练过程中，在训练数据中添加人类难易感知的暗门，导致云端整合的模型受损的问题。

第一方面，本申请实施例提供了一种模型数据发送方法，应用于终端，该方法包括：

在所述终端启动之后，依据所述终端内各个终端模块的执行顺序，获取各个所述终端模块的设备度量值，并将所述设备度量值添加于可信根保护空间内；

在加载与目标模型的训练相关的目标应用程序之前，度量所述目标应用程序的应用度量值，并将所述应用度量值添加至所述可信根保护空间内；

在进行模型训练的过程中，根据所述目标应用程序内与所述目标模型的训练关联的应用模块的执行顺序，获取所述应用模块的模块度量值，并将所述模块度量值添加至所述可信根保护空间内；

基于远程证明方式，将可信根信息和所述目标模型的模型数据发送至服务器，其中，所述可信根信息是根据所述设备度量值、所述应用度量值和所述模块度量值确定的。

第二方面，本申请实施例提供了一种模型数据整合方法，应用于服务器，该方法包括：

接收终端发送的可信根信息和模型数据，其中，所述可信根信息是根据设备度量值、应用度量值和模块度量值确定的；

基于所述设备度量值、所述应用度量值和所述模块度量值，确定所述模型数据的可信度；

基于所述可信度，对所述模型数据进行整合处理。

第三方面，本申请实施例提供了一种模型数据发送装置，应用于终端，该装置包括：

设备度量值获取模块，用于在所述终端启动之后，依据所述终端内各个终端模块的执行顺序，获取各个所述终端模块的设备度量值，并将所述设备度量值添加于可信根保护空间内；

应用度量值获取模块，用于在加载与目标模型的训练相关的目标应用程序之前，度量所述目标应用程序的应用度量值，并将所述应用度量值添加至所述可信根保护空间内；

模块度量值获取模块，用于在进行模型训练的过程中，根据所述目标应用程序内与所述目标模型的训练关联的应用模块的执行顺序，获取所述应用模块的模块度量值，并将所述模块度量值添加至所述可信根保护空间内；

可信根信息发送模块，用于基于远程证明方式，将可信根信息和所述目标模型的模型数据发送至服务器，其中，所述可信根信息是根据所述设备度量值、所述应用度量值和所述模块度量值确定的。

第四方面，本申请实施例提供了一种模型数据整合装置，应用于服务器，该装置包括：

模型数据接收模块，用于接收终端发送的可信根信息和模型数据，其中，所述可信根信息是根据设备度量值、应用度量值和模块度量值确定的；

可信度确定模块，用于基于所述设备度量值、所述应用度量值和所述模块度量值，确定所述模型数据的可信度；

模型数据整合模块，用于基于所述可信度，对所述模型数据进行整合处理。

第五方面，本申请实施例提供了一种电子设备，该电子设备包括处理器、存储器及存储在所述存储器上并可在所述处理器上运行的程序或指令，所述程序或指令被所述处理器执行时实现如第一方面所述的模型数据发送方法，或第二方面所述的模型数据整合方法的步骤。

第六方面，本申请实施例提供了一种可读存储介质，所述可读存储介质上存储程序或指令，所述程序或指令被处理器执行时实现如第一方面所述的模型数据发送方法，或第二方面所述的模型数据整合方法的步骤。

第七方面，本申请实施例提供了一种芯片，所述芯片包括处理器和通信接口，所述通信接口和所述处理器耦合，所述处理器用于运行程序或指令，实现如第一方面所述的模型数据发送方法，或第二方面所述的模型数据整合方法。

第八方面，本申请实施例提供了一种计算机程序产品，所述程序产品被存储在非易失的存储介质中，所述程序产品被至少一个处理器执行以实现如第一方面所述的模型数据发送方法，或第二方面所述的模型数据整合方法的步骤。

第九方面，本申请实施例提供了一种电子设备，所述电子设备被配置成用于执行如第一方面所述的模型数据发送方法的步骤，或第二方面所述的数据整合方法的步骤。

在本申请实施例中，通过在终端启动之后，依据终端内各个终端模块的执行顺序，获取各个终端模块的设备度量值，并将设备度量值添加于可信根保护空间内，在加载与目标模型的训练相关的目标应用程序之前，度量目标应用程序的应用度量值，并将应用度量值添加至可信根保护空间内，在进行模型训练的过程中，根据目标应用程序内与目标模型的训练关联的应用模块的执行顺序，获取应用模块的模块度量值，并将模块度量值添加至可信根保护空间内，基于远程证明方式，将可信根信息和目标模型的模型数据发送至服务器，其中，可信根信息是根据设备度量值、应用度量值和模块度量值确定的。本申请实施例通过在终端启动到应用被加载的过程中，所有被加载的软件模块在被加载之前，其度量值被它之前的软件模块中的度量模块进行度量，并将度量值放入可信根的受保护存储空间中，此种方式可以防止被加载的软件模块(如被恶意修改后)对自身的度量值进行篡改，降低了云端在整合模型参数时受到数据和模型投毒攻击的可能性。

附图说明

图1为本申请实施例提供的一种模型数据发送方法的步骤流程图；

图2为本申请实施例提供的一种建立可信链的示意图；

图3为本申请实施例提供的一种模型数据整合方法的步骤流程图；

图4为本申请实施例提供的一种模型数据发送装置的结构示意图；

图5为本申请实施例提供的一种数据整合装置的结构示意图；

图6为本申请实施例提供的一种电子设备的结构示意图；

图7为本申请实施例提供的另一种电子设备的结构示意图。

详细描述

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员获得的所有其他实施例，都属于本申请保护的范围。

本申请的说明书和权利要求书中的术语“第一”、“第二”等是用于区别类似的对象，而不用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施，且“第一”、“第二”等所区分的对象通常为一类，并不限定对象的个数，例如第一对象可以是一个，也可以是多个。此外，说明书以及权利要求中“和/或”表示所连接对象的至少其中之一，字符“/”，一般表示前后关联对象是一种“或”的关系。

下面结合附图，通过具体的实施例及其应用场景对本申请实施例提供的模型数据发送方法进行详细地说明。

参照图1，示出了本申请实施例提供的一种模型数据发送方法的步骤流程图，该模型数据发送方法可以应用于终端，如图1所示，该模型数据发送方法可以包括如下步骤：

步骤101：在所述终端启动之后，依据所述终端内各个终端模块的执行顺序，获取各个所述终端模块的设备度量值，并将所述设备度量值添加于可信根保护空间内。

本申请实施例可以应用于通过在所有被加载的软件模块在被加载之前，被它之前的软件模块中的度量模块进行度量以防止被加载的软件模块对自身的度量值进行篡改的场景中。

设备度量值是指终端内各个终端模块在执行之前被度量得到的度量值，该度量值可以用于指示终端模块被恶意篡改的概率。

在本实施例中，在终端启动之后，可以依据终端内各个终端模块的执行顺序，获取各个终端模块的设备度量值，并将设备度量值添加于可信根保护空间内，在本示例中，终端模块可以包括：BIOS(基本输入输出系统，Basic Input Output System)、启动加载器、系统内核、系统服务模块，在获取设备度量值时，可以按照被加载的终端模块的执行顺序，由前一被加载的终端模块度量后一被加载的终端模块的度量值，具体地，可以结合图2和下述具体实现方式进行详细描述。

在本申请的一种具体实现方式中，上述步骤101可以包括：

子步骤A1：在所述终端启动之后，基于基本输入输出系统BIOS，将所述BIOS的第一设备度量值添加至所述可信根保护空间内。

在本实施例中，第一设备度量值是指终端的BIOS的度量值，该第一设备度量值可以用于指示BIOS被恶意篡改的概率。

在终端启动之后，可以基于BIOS将自身的第一设备度量值添加至可信根保护空间内。

在通过基本输入输出系统将BIOS的第一设备度量值添加至可信根保护空间之后，执行子步骤A2。

子步骤A2：基于所述BIOS，度量得到所述终端的启动加载器的第二设备度量值，并将所述第二设备度量值添加于所述可信根保护空间内。

第二设备度量值是指由BIOS度量的启动加载器的度量值，该第二设备度量值可以用于指示启动加载器被恶意篡改的概率。

在通过BIOS将自身的第一设备度量值添加于可信根保护空间内之后，则可以基于BIOS的度量模块度量终端的启动加载器的第二设备度量值，并通过该BIOS的度量模块将启动加载器的第二设备度量值添加于可信根保护空间内。

在通过BIOS将第二设备度量值添加于可信根保护空间之后，执行子步骤A3。

子步骤A3：基于所述启动加载器，度量得到所述终端的系统内核的第三设备度量值，并将所述第三设备度量值添加于所述可信根保护空间内。

第三设备度量值是指终端的系统内核的度量值，该第三设备度量值可以用于指示系统内核被恶意篡改的概率。

在通过BIOS将第二设备度量值添加于可信根保护空间之后，可以基于启动加载器的度量模块度量终端的系统内核的第三设备度量值，进而可以通过启动加载器的度量模块将第三设备度量值添加于可信根保护空间内。

在通过启动加载器将第三设备度量值添加于可信根保护空间内之后，执行子步骤A4。

子步骤A4：基于所述系统内核，度量得到所述终端的系统服务模块的第四设备度量值，并将所述第四设备度量值添加于所述可信根保护空间内。

第四设备度量值是指终端的系统服务模块的度量值，该第四设备度量值可以用于指示系统服务模块被恶意篡改的概率。

在通过启动加载器将第三设备度量值添加于可信根保护空间内之后，则可以基于系统内核的度量模块度量得到终端的系统服务模块的第四设备度量值，并通过该系统内核的度量模块将第四设备度量值添加于可信根保护空间内。

本申请实施例提供的上述设备度量值获取方案，通过前一被加载的终端设备度量下一被加载的终端设备，从而可以避免后一被加载的终端设备对自身的度量值进行篡改，导致可信链断裂，降低了云端在整合模型参数时受到数据和模型投毒攻击的可能性。

在依据终端内各个终端模块的执行顺序获取各个终端模块的设备度量值，并将设备度量值添加于可信根保护空间内之后，执行步骤102。

步骤102：在加载与目标模型的训练相关的目标应用程序之前，度量所述目标应用程序的应用度量值，并将所述应用度量值添加至所述可信根保护空间内。

目标模型是指在终端本地进行训练的模型，在本示例中，目标模型可以为文本识别模型、位置识别模型等，具体地，对于目标模型的具体类型可以根据业务需求而定，本实施例对此不加以限制。

目标应用程序是指与目标模型的训练相关的模型，即通过目标应用程序完成目标模型的训练。在本示例中，目标应用程序可以为一个应用程序，也可以为多个应用程序，具体地，对于目标应用程序的数量可以根据业务需求而定，本实施例对此不加以限制。

应用度量值是指训练目标模型的目标应用程序的度量值，该应用度量值可以用于指示目标应用程序被恶意篡改的概率。

在加载于目标模型的训练相关的目标应用程序之前，则可以基于终端内各个终端模块中最后一个被加载的系统服务模块内的度量模块，度量得到目标应用程序的度量值，即应用度量值。

在通过系统服务模块内的度量模块度量得到目标应用程序的应用度量值之后，则可以通过该度量模块将该应用度量值添加于可信根保护空间内。

本申请实施例通过在加载目标应用程序之前，通过前一被加载的系统服务模块度量目标应用程序的度量值，可以避免加载目标应用程序之后，目标应用程序对自身的度量值进行修改，造成可信链断裂从而增加云端在整合模型参数时受到数据和模型投毒攻击的可能性。

在度量目标应用程序的应用度量值，并将应用度量值添加至可信根保护空间内之后，执行步骤103。

步骤103：在进行模型训练的过程中，根据所述目标应用程序内与所述目标模型的训练关联的应用模块的执行顺序，获取所述应用模块的模块度量值，并将所述模块度量值添加至所述可信根保护空间内。

应用模块是指在训练目标应用程序的过程中采用的模块，在本示例中，目标应用程序内的应用模块可以包括：数据采集模块、数据训练模块以及数据上传模块，其中，数据采集模块可以用于进行目标模型训练的样本数据的采集，数据训练模块可以用于进行目标模型训练的过程中使用的模块。数据上传模块是指在目标应用程序内完成目标模型的训练之后，将目标模型的模型数据上传至服务器的模块。

模块度量值是指目标应用程序内各个应用模块的度量值，该模块度量值可以用于指示应用模块被恶意篡改的概率。

在进行模型训练的过程中，可以根据目标应用程序内与目标模型的训练关联的应用模块的执行顺序，获取应用模块的模块度量值，并将模块度量值添加于可信根保护空间内。具体地，可以结合下述具体实现方式进行详细描述。

在本申请的另一种具体实现方式中，上述步骤103可以包括：

子步骤B1：在进行模型训练的过程中，基于所述目标应用程序的度量模块，度量得到所述目标应用程序的数据采集模块的第一模块度量值，并将所述第一模块度量值添加于所述可信根保护空间内。

在本实施例中，数据采集模块是指在对目标模型进行训练时采集模型训练样本的目标应用程序内的模块。

第一模块度量值是指目标应用程序内的数据采集模块的度量值，该第一模块度量值可以用于指示数据采集模块被恶意修改的概率。

在进行模型训练的过程中，首先执行的是目标应用程序内的数据采集模块，在加载数据采集模块之前，可以基于目标应用程序内的度量模块度量得到该数据采集模块的模块度量值，即第一模块度量值。

在度量得到数据采集模块的第一模块度量值之后，则可以通过目标应用程序的度量模块将第一模块度量值添加于可信根保护空间内。

在通过目标应用程序的度量模块将第一模块度量值添加于可信根保护空间内之后，执行子步骤B2。

子步骤B2：基于所述数据采集模块，度量得到所述目标应用程序的模型训练模块的第二模块度量值，并将所述第二模块度量值添加于所述可信根保护空间内。

模型训练模块是指目标应用程序内的用于对目标模型进行训练的模块。

第二模块度量值是指目标应用程序内的模型训练模块的度量值，该第二模块度量值可以用于指示模型训练模块的度量值被恶意修改的概率。

在通过目标应用程序的度量模块将第一模块度量值添加于可信根保护空间内之后，则可以在目标应用程序内的模型训练模块被加载之前，通过数据采集模块度量得到模型训练模块的度量值，即第二模块度量值。

在通过数据采集模块度量得到模型训练模块的第二模块度量值之后，则可以通过数据采集模块将第二模块度量值添加于可信根保护空间内。

在通过数据采集模块将第二模块度量值添加于可信根保护空间内之后，执行子步骤B3。

子步骤B3：基于所述模型训练模块，度量得到所述目标应用程序的模型数据上传模块的第三模块度量值，并将所述第三模块度量值添加于所述可信根保护空间内。

模型数据上传模块是指目标应用程序内的用于将目标模型的模型数据上传至服务器的模块。

第三模块度量值是指模型数据上传模块的度量值，该第三模块度量值可以用于指示模型数据上传模块被恶意修改的概率。

在通过数据采集模块将第二模块度量值添加于可信根保护空间内之后，在模型数据上传模块被加载之前，可以通过模型训练模块度量得到目标应用程序内的模型数据上传模块的度量值，即第三模块度量值，进而，可以通过模型训练模块将第三模块度量值添加于可信根保护空间内。

本申请实施例通过在目标应用程序内的与目标模型训练关联的应用模块在加载之前，被上一加载的模块进行度量值度量，可以避免被加载的应用模块将自身的度量值进行修改，造成可信链断裂从而增加云端在整合模型参数时受到数据和模型投毒攻击的可能性。

通过上述步骤即完成了可信链的建立，在设备启动到应用被加载的过程中，所有被加载的软件模块在被加载之前，其度量值被它之前的软件模块中的度量模块进行度量，并将度量值放入可信根的受保护存储空间中。这样的方式防止被加载的软件模块(如被恶意修改后)对自己的度量值进行篡改，而导致可信链断裂。

终端侧的联邦学习的数据采集业务和本地训练业务以及模型参数数据上传业务一般是以上层应用的方式部署于用户端侧设备中。在进行终端侧设备可信链建立的过程中，终端侧设备应用被系统服务进行度量，并将度量值存储于可信根中受保护存储空间中。当设备的可信链建成之后，可信根中的数据可以如下表1所示：

表1：

通过上述表1可知，可信根中受保护存储空间内存有端侧设备由设备启动开始所有加载的软件模块的名称和对应的度量值。

在根据目标应用程序内与目标模型的训练关联的应用模块的执行顺序获取应用模块的模块度量值，并将模块度量值添加至可信根保护空间内之后，执行步骤104。

步骤104：基于远程证明方式，将可信根信息和所述目标模型的模型数据发送至服务器，其中，所述可信根信息是根据所述设备度量值、所述应用度量值和所述模块度量值确定的。

在建立上述可信链之后，则可以基于远程证明方式将可信链发送至服务器，即将可信根信息和目标模型的模型数据发送至服务器，其中，可信根信息是根据上述度量的设备度量值、应用度量值和模块度量值，在服务器接收到终端发送的可信根信息和模型数据之后，则可以由服务器根据设备度量值、应用度量值和模块度量值确定模型数据的可信度，并根据可信度对模型数据进行整合。具体地，可以基于服务器下发的公私钥对可信根信息和模型数据进行加密，以得到加密信息，并发送加密信息至服务器。

对于上述过程可以结合下述步骤进行详细描述。

1、用户安装使用联邦学习的进行模型训练的应用，将可信根身份信息中的证书发送给云端；

2、云端产生随机数，并将该随机数使用步骤1证书中的公钥进行加密发送给用户终端设备；

3、终端设备接收到被公钥加密的随机数后，将随机数进行解密，并将随机数伴随可信根受保护存储空间中的数据签名后返回给云端；

4、云端接收到随机数进行确认后，将步骤1收到的证书放入自身的数据库中，并将对应的设备加载的软件模块和度量值存储于数据库中，包括联邦学习数据采集，本地训练以及数据上传模块；

5、云端将最新版本的整合模型通过证书中公钥加密，并将加密后数据发往用户终端设备；

6、用户在接受到云端加密数据后，使用自己的私钥进行解密，并将解密后的整合模型加载到该AI业务；

7、当用户使用该AI业务时，产生对应的隐私数据，联邦学习采集模块对该隐私数据进行采集，并交往本地训练模块对整合模型进行更新，产生模型更新参数，模型更新参数被交往联邦学习数据上传模块。

本申请实施例提供的模型数据发送方法，通过在终端启动之后，依据终端内各个终端模块的执行顺序，获取各个终端模块的设备度量值，并将设备度量值添加于可信根保护空间内，在加载与目标模型的训练相关的目标应用程序之前，度量目标应用程序的应用度量值，并将应用度量值添加至可信根保护空间内，在进行模型训练的过程中，根据目标应用程序内与目标模型的训练关联的应用模块的执行顺序，获取应用模块的模块度量值，并将模块度量值添加至可信根保护空间内，基于远程证明方式，将可信根信息和目标模型的模型数据发送至服务器，其中，可信根信息是根据设备度量值、应用度量值和模块度量值确定的。本申请实施例通过在终端启动到应用被加载的过程中，所有被加载的软件模块在被加载之前，其度量值被它之前的软件模块中的度量模块进行度量，并将度量值放入可信根的受保护存储空间中，此种方式可以防止被加载的软件模块(如被恶意修改后)对自身的度量值进行篡改，降低了云端在整合模型参数时受到数据和模型投毒攻击的可能性。

参照图3，示出了本申请实施例提供的一种模型数据整合方法的步骤流程图，该模型数据整合方法可以应用于服务器，如图3所示，该模型数据整合方法可以包括如下步骤：

步骤301：接收终端发送的可信根信息和模型数据，其中，所述可信根信息是根据设备度量值、应用度量值和模块度量值确定的。

本申请实施例可以应用于结合可信根信息确定模型数据的可信度，并根据可信度对模型数据进行整合处理的场景中。

在终端通过上述实施例建立可信链并将可信链发送至服务器之后，则可以由服务器根据可信链获取到相应的可信根信息和模型数据，其中，可信根信息是根据设备度量值、应用度量值和模块度量值确定的。

模块度量值是指目标应用程序内与模型训练相关的各个应用模块(如数据采集模块、模型训练模块、模型数据上传模块等)的度量值，该模块度量值可以用于指示应用模块被恶意篡改的概率。

在接收到终端发送的可信根信息和模型数据之后，执行步骤302。

步骤302：基于所述设备度量值、所述应用度量值和所述模块度量值，确定所述模型数据的可信度。

在接收到终端发送的可信根信息和模型数据之后，则可以对可信根信息进行解析，以得到设备度量值、应用度量值和模块度量值，并基于设备度量值、应用度量值和模块度量值确定模型数据的可信度，具体地，可以结合下述具体实现方式进行详细描述。

在本申请的一种具体实现方式中，上述步骤302可以包括：

子步骤D1：确定所述设备度量值是否处于第一预设范围内、所述应用度量值是否处于第二预设范围内，及所述模块度量值是否处于第三预设范围内。

第一预设范围是指设备度量值对应的预设数值范围。在本示例中，第一预设范围可以为多个数值范围，分别对应于BIOS对应的预设范围，启动加载器对应的预设范围，系统内核对应的预设范围，以及系统服务模块对应的预设范围。

第二预设范围是指应用度量值对应的预设数值范围。在本示例中，第二预设范围可以为一个数值范围，也可以为多个数值范围，具体地，可以根据训练目标模型的应用程序的数量而定，本实施例对于第二预设范围的数量不加以限制。

第三预设范围是指模块度量值对应的预设数值范围。第三预设范围可以为多个数值范围，分别对应于数据采集模块对应的预设范围，模型训练模块对应的预设范围，模型数据上传模块对应的预设范围。

在解析可信根信息得到设备度量值、应用度量值和模块度量值之后，则可以确定设备度量值是否处于第一预设范围内、应用度量值是否处于第二预设范围内，及模块度量值是否处于第三预设范围内，以得到相应的度量值确定结果。

子步骤D2：根据设备度量值的确定结果、应用度量值的确定结果和模块度量值的确定结果，确定所述模型数据的可信度。

设备度量值的确定结果是指设备度量值是否处于第一预设范围内的结果。

应用度量值的确定结果是指应用度量值是否处于第二预设范围内的结果。

模块度量值的确定结果是指模块度量值是否处于第三预设范围内的结果。

在得到设备度量值的确定结果、应用度量值的确定结果和模块度量值的确定结果之后，则可以根据设备度量值确定结果、应用度量值确定结果和模块度量值确定结果确定模型数据的可信度，即在设备度量值确定结果指示设备度量值处于第一预设范围内、应用度量值确定结果指示应用度量值处于第二预设范围内、模块度量值确定结果指示模块度量值处于第三预设范围内时，则确定模型数据的可信度最高，反之，在设备度量值确定结果指示设备度量值未处于第一预设范围内、应用度量值确定结果指示应用度量值未处于第二预设范围内、模块度量值确定结果指示模块度量值未处于第三预设范围内时，则确定模型数据的可信度最低等。

当然，在具体实现中，对于可信度的确定方式不仅限于上述方式，在实际应用中，还可以采用其它方式确定模型数据的可信度，例如，可以根据设备度量值、应用度量值和模块度量值的完整度确定模型数据的可信度，具体地，可以确定设备度量值是否包含BIOS的度量值、启动加载器的度量值、系统内核的度量值以及系统服务模块的度量值，确定应用度量值是否包含训练目标模型的全部应用程序的度量值，以及确定模块度量值中是否包含训练目标模型的目标应用程序内的全部应用模块的度量值等，以此确定模型数据的可信度，对于确定模型数据的可信度的方式可以根据业务需求而定，本实施例对此不加以限制。

步骤303：基于所述可信度，对所述模型数据进行整合处理。

在确定模型数据的可信度之后，则可以基于可信度对模型数据进行整合处理，具体地，当模型数据的可信度为低时，可以丢弃该模型数据，或者降低该模型数据在整合模型时的权重，达到降低恶意模型数据对于整合模型造成负面影响的风险，降低对整合模型投毒的可能性。

本申请实施例提供的模型数据整合方法，通过接收终端发送的可信根信息和模型数据，其中，可信根信息是根据设备度量值、应用度量值和模块度量值确定的，基于设备度量值、应用度量值和模块度量值确定模型数据的可信度，并基于可信度对模型数据进行整合处理。本申请实施例通过丢弃可信度低的模型更新参数，或者降低该模型更新参数在整合模型时的权重，达到降低恶意模型更新参数对于整合模型造成负面影响的风险，降低对整合模型投毒的可能性。

需要说明的是，本申请实施例提供的模型数据发送或模型数据整合方法，执行主体可以为模型数据发送装置或模型数据整合装置，或者该模型数据发送装置或模型数据整合装置中的用于执行模型数据发送方法或模型数据整合方法的控制模块。本申请实施例中以模型数据发送装置或数据整合装置执行模型数据整合方法为例，说明本申请实施例提供的模型数据发送装置和模型数据整合装置。

参照图4，示出了本申请实施例提供的一种模型数据发送装置的结构示意图，该装置可以应用于终端，如图4所示，该模型数据发送装置400可以包括：

设备度量值获取模块410，用于在所述终端启动之后，依据所述终端内各个终端模块的执行顺序，获取各个所述终端模块的设备度量值，并将所述设备度量值添加于可信根保护空间内；

应用度量值获取模块420，用于在加载与目标模型的训练相关的目标应用程序之前，度量所述目标应用程序的应用度量值，并将所述应用度量值添加至所述可信根保护空间内；

模块度量值获取模块430，用于在进行模型训练的过程中，根据所述目标应用程序内与所述目标模型的训练关联的应用模块的执行顺序，获取所述应用模块的模块度量值，并将所述模块度量值添加至所述可信根保护空间内；

可信根信息发送模块440，用于基于远程证明方式，将可信根信息和所述目标模型的模型数据发送至服务器，其中，所述可信根信息是根据所述设备度量值、所述应用度量值和所述模块度量值确定的。

可选地，所述设备度量值获取模块包括：

第一设备度量值添加单元，用于在所述终端启动之后，基于基本输入输出系统BIOS，将所述BIOS的第一设备度量值添加至所述可信根保护空间内；

第二设备度量值添加单元，用于基于所述BIOS，度量得到所述终端的启动加载器的第二设备度量值，并将所述第二设备度量值添加于所述可信根保护空间内；

第三设备度量值添加单元，用于基于所述启动加载器，度量得到所述终端的系统内核的第三设备度量值，并将所述第三设备度量值添加于所述可信根保护空间内；

第四设备度量值添加单元，用于基于所述系统内核，度量得到所述终端的系统服务模块的第四设备度量值，并将所述第四设备度量值添加于所述可信根保护空间内。

可选地，所述模块度量值获取模块包括：

第一模块度量值获取单元，用于在进行模型训练的过程中，基于所述目标应用程序的度量模块，度量得到所述目标应用程序的数据采集模块的第一模块度量值，并将所述第一模块度量值添加于所述可信根保护空间内；

第二模块度量值获取单元，用于基于所述数据采集模块，度量得到所述目标应用程序的模型训练模块的第二模块度量值，并将所述第二模块度量值添加于所述可信根保护空间内；

第三模块度量值获取单元，用于基于所述模型训练模块，度量得到所述目标应用程序的模型数据上传模块的第三模块度量值，并将所述第三模块度量值添加于所述可信根保护空间内。

可选地，所述可信根信息发送模块包括：

加密信息获取单元，用于基于所述服务器下发的公私钥对所述可信根信息和所述模型数据进行加密，得到加密信息；

加密信息发送单元，用于发送所述加密信息至所述服务器。

本申请实施例提供的模型数据发送装置，通过在终端启动之后，依据终端内各个终端模块的执行顺序，获取各个终端模块的设备度量值，并将设备度量值添加于可信根保护空间内，在加载与目标模型的训练相关的目标应用程序之前，度量目标应用程序的应用度量值，并将应用度量值添加至可信根保护空间内，在进行模型训练的过程中，根据目标应用程序内与目标模型的训练关联的应用模块的执行顺序，获取应用模块的模块度量值，并将模块度量值添加至可信根保护空间内，基于远程证明方式，将可信根信息和目标模型的模型数据发送至服务器，其中，可信根信息是根据设备度量值、应用度量值和模块度量值确定的。本申请实施例通过在终端启动到应用被加载的过程中，所有被加载的软件模块在被加载之前，其度量值被它之前的软件模块中的度量模块进行度量，并将度量值放入可信根的受保护存储空间中，此种方式可以防止被加载的软件模块(如被恶意修改后)对自身的度量值进行篡改，降低了云端在整合模型参数时受到数据和模型投毒攻击的可能性。

参照图5，示出了本申请实施例提供的一种模型数据整合装置的结构示意图，该模型数据整合装置可以应用于服务器，如图5所示，该模型数据整合装置500可以包括如下模块：

模型数据接收模块510，用于接收终端发送的可信根信息和模型数据，其中，所述可信根信息是根据设备度量值、应用度量值和模块度量值确定的；

可信度确定模块520，用于基于所述设备度量值、所述应用度量值和所述模块度量值，确定所述模型数据的可信度；

模型数据整合模块530，用于基于所述可信度，对所述模型数据进行整合处理。

可选地，所述可信度确定模块包括：

度量值确定单元，用于确定所述设备度量值是否处于第一预设范围内、所述应用度量值是否处于第二预设范围内，及所述模块度量值是否处于第三预设范围内；

第二可信度确定单元，用于根据设备度量值确定结果、应用度量值确定结果和模块度量值确定结果，确定所述模型数据的可信度。

可选地，所述模型数据整合模块包括：

模型数据整合单元，用于在所述可信度低于可信度阈值的情况下，降低所述模型数据的权重，并对降低权重后的模型数据进行整合；

模型数据丢弃单元，用于在所述可信度低于可信度阈值的情况下，丢弃所述模型数据。

本申请实施例提供的模型数据整合装置，通过接收终端发送的可信根信息和模型数据，其中，可信根信息是根据设备度量值、应用度量值和模块度量值确定的，基于设备度量值、应用度量值和模块度量值确定模型数据的可信度，并基于可信度对模型数据进行整合处理。本申请实施例通过丢弃可信度低的模型更新参数，或者降低该模型更新参数在整合模型时的权重，达到降低恶意模型更新参数对于整合模型造成负面影响的风险，降低对整合模型投毒的可能性。

本申请实施例中的模型数据发送装置或数据整合装置可以是装置，也可以是终端中的部件、集成电路、或芯片。该装置可以是移动电子设备，也可以为非移动电子设备。示例性的，移动电子设备可以为手机、平板电脑、笔记本电脑、掌上电脑、车载电子设备、可穿戴设备、超级移动个人计算机(ultra-mobile personal computer，UMPC)、上网本或者个人数字助理(personal digital assistant，PDA)等，非移动电子设备可以为服务器、网络附属存储器(Network Attached Storage，NAS)、个人计算机(personal computer，PC)、电视机(television，TV)、柜员机或者自助机等，本申请实施例不作具体限定。

本申请实施例中的模型数据发送装置或数据整合装置可以为具有操作系统的装置。该操作系统可以为安卓(Android)操作系统，可以为ios操作系统，还可以为其他可能的操作系统，本申请实施例不作具体限定。

本申请实施例提供的模型数据发送装置或模型数据整合装置能够实现图1或图3的方法实施例实现的各个过程，为避免重复，这里不再赘述。

可选地，如图6所示，本申请实施例还提供一种电子设备600，包括处理器601，存储器602，存储在存储器602上并可在所述处理器601上运行的程序或指令，该程序或指令被处理器601执行时实现上述模型数据发送装置或模型数据整合方法实施例的各个过程，且能达到相同的技术效果，为避免重复，这里不再赘述。

需要说明的是，本申请实施例中的电子设备包括上述所述的移动电子设备和非移动电子设备。

图7为实现本申请实施例的一种电子设备的硬件结构示意图。

该电子设备700包括但不限于：射频单元701、网络模块702、音频输出单元703、输入单元704、传感器705、显示单元706、用户输入单元707、接口单元708、存储器709、以及处理器710等部件。

本领域技术人员可以理解，电子设备700还可以包括给各个部件供电的电源(比如电池)，电源可以通过电源管理系统与处理器710逻辑相连，从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。图7中示出的电子设备结构并不构成对电子设备的限定，电子设备可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置，在此不再赘述。

其中，处理器710，用于在所述终端启动之后，依据所述终端内各个终端模块的执行顺序，获取各个所述终端模块的设备度量值，并将所述设备度量值添加于可信根保护空间内；在加载与目标模型的训练相关的目标应用程序之前，度量所述目标应用程序的应用度量值，并将所述应用度量值添加至所述可信根保护空间内；在进行模型训练的过程中，根据所述目标应用程序内与所述目标模型的训练关联的应用模块的执行顺序，获取所述应用模块的模块度量值，并将所述模块度量值添加至所述可信根保护空间内；基于远程证明方式，将可信根信息和所述目标模型的模型数据发送至服务器，其中，所述可信根信息是根据所述设备度量值、所述应用度量值和所述模块度量值确定的。

本申请实施例通过在终端启动到应用被加载的过程中，所有被加载的软件模块在被加载之前，其度量值被它之前的软件模块中的度量模块进行度量，并将度量值放入可信根的受保护存储空间中，此种方式防止被加载的软件模块(如被恶意修改后)对自身的度量值进行篡改，降低了云端在整合模型参数时受到数据和模型投毒攻击的可能性。

可选地，处理器710，还用于在所述终端启动之后，基于基本输入输出系统BIOS，将所述BIOS的第一设备度量值添加至所述可信根保护空间内；基于所述BIOS，度量得到所述终端的启动加载器的第二设备度量值，并将所述第二设备度量值添加于所述可信根保护空间内；基于所述启动加载器，度量得到所述终端的系统内核的第三设备度量值，并将所述第三设备度量值添加于所述可信根保护空间内；基于所述系统内核，度量得到所述终端的系统服务模块的第四设备度量值，并将所述第四设备度量值添加于所述可信根保护空间内。

可选地，处理器710，还用于在进行模型训练的过程中，基于所述目标应用程序的度量模块，度量得到所述目标应用程序的数据采集模块的第一模块度量值，并将所述第一模块度量值添加于所述可信根保护空间内；基于所述数据采集模块，度量得到所述目标应用程序的模型训练模块的第二模块度量值，并将所述第二模块度量值添加于所述可信根保护空间内；基于所述模型训练模块，度量得到所述目标应用程序的模型数据上传模块的第三模块度量值，并将所述第三模块度量值添加于所述可信根保护空间内。

可选地，处理器710，还用于基于所述服务器下发的公私钥对所述可信根信息和所述模型数据进行加密，得到加密信息；发送所述加密信息至所述服务器。

本申请实施例基于服务器下发的公私钥对可信根信息进行加密，从而可以避免在模型数据传输过程中被篡改的风险，进一步降低了云端在整合模型参数时受到数据和模型投毒攻击的可能性。

可选地，处理器710，还用于接收终端发送的可信根信息和模型数据，其中，所述可信根信息是根据设备度量值、应用度量值和模块度量值确定的；基于所述设备度量值、所述应用度量值和所述模块度量值，确定所述模型数据的可信度；基于所述可信度，对所述模型数据进行整合处理。

可选地，处理器710，还用于确定所述设备度量值是否处于第一预设范围内、所述应用度量值是否处于第二预设范围内，及所述模块度量值是否处于第三预设范围内；根据度量值确定结果，确定所述模型数据的可信度。

可选地，处理器710，还用于在所述可信度低于可信度阈值的情况下，降低所述模型数据的权重，并对降低权重后的模型数据进行整合；或者在所述可信度低于可信度阈值的情况下，丢弃所述模型数据。

本申请实施例通过丢弃该模型更新参数，或者降低该模型更新参数在整合模型时的权重，达到降低恶意模型更新参数对于整合模型造成负面影响的风险，降低对整合模型投毒的可能性。

应理解的是，本申请实施例中，输入单元704可以包括图形处理器(Graphics Processing Unit，GPU)7041和麦克风7042，图形处理器7041对在视频捕获模式或图像捕获模式中由图像捕获装置(如摄像头)获得的静态图片或视频的图像数据进行处理。显示单元706可包括显示面板7061，可以采用液晶显示器、有机发光二极管等形式来配置显示面板7061。用户输入单元707包括触控面板7071以及其他输入设备7072。触控面板7071，也称为触摸屏。触控面板7071可包括触摸检测装置和触摸控制器两个部分。其他输入设备7072可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆，在此不再赘述。存储器709可用于存储软件程序以及各种数据，包括但不限于应用程序和操作系统。处理器710可集成应用处理器和调制解调处理器，其中，应用处理器主要处理操作系统、用户界面和应用程序等，调制解调处理器主要处理无线通信。可以理解的是，上述调制解调处理器也可以不集成到处理器710中。

本申请实施例还提供一种可读存储介质，所述可读存储介质上存储有程序或指令，该程序或指令被处理器执行时实现上述模型数据发送方法或模型数据整合方法实施例的各个过程，且能达到相同的技术效果，为避免重复，这里不再赘述。

其中，所述处理器为上述实施例中所述的电子设备中的处理器。所述可读存储介质，包括计算机可读存储介质，如计算机只读存储器(Read-Only Memory，ROM)、随机存取存储器(Random Access Memory，RAM)、磁碟或者光盘等。

本申请实施例另提供了一种芯片，所述芯片包括处理器和通信接口，所述通信接口和所述处理器耦合，所述处理器用于运行程序或指令，实现上述模型数据发送方法或模型数据整合方法实施例的各个过程，且能达到相同的技术效果，为避免重复，这里不再赘述。

应理解，本申请实施例提到的芯片还可以称为系统级芯片、系统芯片、芯片系统或片上系统芯片等。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。此外，需要指出的是，本申请实施方式中的方法和装置的范围不限按示出或讨论的顺序来执行功能，还可包括根据所涉及的功能按基本同时的方式或按相反的顺序来执行功能，例如，可以按不同于所描述的次序来执行所描述的方法，并且还可以添加、省去、或组合各种步骤。另外，参照某些示例所描述的特征可在其他示例中被组合。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以计算机软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台终端(可以是手机，计算机，服务器，或者网络设备等)执行本申请各个实施例所述的方法。

上面结合附图对本申请的实施例进行了描述，但是本申请并不局限于上述的具体实施方式，上述的具体实施方式仅仅是示意性的，而不是限制性的，本领域的普通技术人员在本申请的启示下，在不脱离本申请宗旨和权利要求所保护的范围情况下，还可做出很多形式，均属于本申请的保护之内。

Claims

一种模型数据发送方法，应用于终端，其中，包括：

在所述终端启动之后，依据所述终端内各个终端模块的执行顺序，获取各个所述终端模块的设备度量值，并将所述设备度量值添加于可信根保护空间内；

在加载与目标模型的训练相关的目标应用程序之前，度量所述目标应用程序的应用度量值，并将所述应用度量值添加至所述可信根保护空间内；

在进行模型训练的过程中，根据所述目标应用程序内与所述目标模型的训练关联的应用模块的执行顺序，获取所述应用模块的模块度量值，并将所述模块度量值添加至所述可信根保护空间内；

基于远程证明方式，将可信根信息和所述目标模型的模型数据发送至服务器，其中，所述可信根信息是根据所述设备度量值、所述应用度量值和所述模块度量值确定的。
根据权利要求1所述的方法，其中，所述在所述终端启动之后，依据所述终端内各个终端模块的执行顺序，获取各个所述终端模块的设备度量值，并将所述设备度量值添加于可信根保护空间内，包括：

在所述终端启动之后，基于基本输入输出系统BIOS，将所述BIOS的第一设备度量值添加至所述可信根保护空间内；

基于所述BIOS，度量得到所述终端的启动加载器的第二设备度量值，并将所述第二设备度量值添加于所述可信根保护空间内；

基于所述启动加载器，度量得到所述终端的系统内核的第三设备度量值，并将所述第三设备度量值添加于所述可信根保护空间内；

基于所述系统内核，度量得到所述终端的系统服务模块的第四设备度量值，并将所述第四设备度量值添加于所述可信根保护空间内。
根据权利要求1所述的方法，其中，所述在进行模型训练的过程中，根据所述目标应用程序内与所述目标模型的训练关联的应用模块的执行顺序，获取所述应用模块的模块度量值，并将所述模块度量值添加至所述可信根保护空间内，包括：

在进行模型训练的过程中，基于所述目标应用程序的度量模块，度量得到所述目标应用程序的数据采集模块的第一模块度量值，并将所述第一模块度量值添加于所述可信根保护空间内；

基于所述数据采集模块，度量得到所述目标应用程序的模型训练模块的第二模块度量值，并将所述第二模块度量值添加于所述可信根保护空间内；

基于所述模型训练模块，度量得到所述目标应用程序的模型数据上传模块的第三模块度量值，并将所述第三模块度量值添加于所述可信根保护空间内。
根据权利要求1所述的方法，其中，所述基于远程证明方式，将可信根信息和所述目标模型的模型数据发送至服务器，包括：

基于所述服务器下发的公私钥对所述可信根信息和所述模型数据进行加密，得到加密信息；

发送所述加密信息至所述服务器。
一种模型数据整合方法，应用于服务器，其中，包括：

接收终端发送的可信根信息和模型数据，其中，所述可信根信息是根据设备度量值、应用度量值和模块度量值确定的；

基于所述设备度量值、所述应用度量值和所述模块度量值，确定所述模型数据的可信度；

基于所述可信度，对所述模型数据进行整合处理。
根据权利要求5所述的方法，其中，所述基于所述设备度量值、所述应用度量值和所述模块度量值，确定所述模型数据的可信度，包括：

确定所述设备度量值是否处于第一预设范围内、所述应用度量值是否处于第二预设范围内，及所述模块度量值是否处于第三预设范围内；

根据设备度量值的确定结果、应用度量值的确定结果和模块度量值的确定结果，确定所述模型数据的可信度。
根据权利要求5所述的方法，其中，所述基于所述可信度，对所述模型数据进行整合处理，包括：

在所述可信度低于可信度阈值的情况下，降低所述模型数据的权重，并对降低权重后的模型数据进行整合；或者

在所述可信度低于可信度阈值的情况下，丢弃所述模型数据。
一种模型数据发送装置，应用于终端，其中，包括：

设备度量值获取模块，用于在所述终端启动之后，依据所述终端内各个终端模块的执行顺序，获取各个所述终端模块的设备度量值，并将所述设备度量值添加于可信根保护空间内；

应用度量值获取模块，用于在加载与目标模型的训练相关的目标应用程序之前，度量所述目标应用程序的应用度量值，并将所述应用度量值添加至所述可信根保护空间内；

模块度量值获取模块，用于在进行模型训练的过程中，根据所述目标应用程序内与所述目标模型的训练关联的应用模块的执行顺序，获取所述应用模块的模块度量值，并将所述模块度量值添加至所述可信根保护空间内；

可信根信息发送模块，用于基于远程证明方式，将可信根信息和所述目标模型的模型数据发送至服务器，其中，所述可信根信息是根据所述设备度量值、所述应用度量值和所述模块度量值确定的。
一种模型数据整合装置，应用于服务器，其中，包括：

模型数据接收模块，用于接收终端发送的可信根信息和模型数据，其中，所述可信根信息是根据设备度量值、应用度量值和模块度量值确定的；

可信度确定模块，用于基于所述设备度量值、所述应用度量值和所述模块度量值，确定所述模型数据的可信度；

模型数据整合模块，用于基于所述可信度，对所述模型数据进行整合处理。
一种电子设备，其中，包括处理器，存储器及存储在所述存储器上并可在所述处理器上运行的程序或指令，所述程序或指令被所述处理器执行时实现如权利要求1-4任一项所述的模型数据发送方法的步骤，或权利要求5-7任一项所述的模型数据整合方法的步骤。
一种可读存储介质，其中，所述可读存储介质上存储程序或指令，所述程序或指令被处理器执行时实现如权利要求1-4任一项所述的模型数据发送方法的步骤，或权利要求5-7任一项所述的数据整合方法的步骤。
一种芯片，其中，所述芯片包括处理器和通信接口，所述通信接口和所述处理器耦合，所述处理器用于运行程序或指令，实现如权利要求1-4任一项所述的模型数据发送方法的步骤，或权利要求5-7任一项所述的数据整合方法的步骤。
一种计算机程序产品，其中，所述程序产品被存储在非易失的存储介质中，所述程序产品被至少一个处理器执行以实现如权利要求1-4任一项所述的模型数据发送方法的步骤，或权利要求5-7任一项所述的数据整合方法的步骤。
一种电子设备，其特征在于，所述电子设备被配置成用于执行如权利要求1-4任一项所述的模型数据发送方法的步骤，或权利要求5-7任一项所述的数据整合方法的步骤。