【技术实现步骤摘要】
本申请涉及通信,尤其涉及一种数据处理方法、装置及设备。
技术介绍
1、随着人工智能(artificial intelligence,ai)在各行各业的普及应用,ai模型的保护越来越重要。ai模型的保护主要可以包括存储、传输和运行三个阶段的保护,其中如何实现运行阶段的保护一直是业界的难点问题。
2、目前,为了保护ai模型的安全性,通常采用具有机密计算(confidentialcomputing)能力的电子设备。以电子设备包括中央处理器(central processing unit,cpu)和图形处理器(graphics processing unit,gpu),且cpu与gpu之间通过外围部件互连标准(peripheral component interconnect express,pcie)总线连接为例,要求该cpu支持可信执行环境(trusted execution environment,tee)能力、该gpu支持多实例隔离能力、该pcie总线支持加解密传输能力,从而实现跨cpu和gpu的硬件隔离环境,保证运行在其中的ai模型的安全性。
3、但是,该方案对电子设备的硬件要求较高,比如要求电子设备的硬件支持隔离能力和加解密传输能力,难以应用于市场上已有的相关产品中,从而使用受限。
技术实现思路
1、本申请提供一种数据处理方法、装置及设备,用于在不使用tee等硬件隔离技术的情况下,保护模型信息在运行期的安全。
2、为达到上述目的,本申请的实施
3、第一方面,提供一种数据处理方法,应用于数据加速处理装置(即具有数据加速处理功能的装置,比如,gpu或者npu等)中,该数据加速处理装置包括加速处理器和内存,该内存包括非保护存储区和受保护存储区,该数据加速处理装置可以与通用处理装置通信,该方法包括:该内存接收该通用处理装置发送的模型信息,并将该模型信息存储至该非保护存储区,该通用处理装置可访问该非保护存储区,该模型信息包括密文形式的模型权重;该加速处理器解密该密文形式的模型权重,并将解密得到的明文形式的模型权重存储至该受保护存储区,该通用处理装置不可访问该受保护存储区。
4、上述技术方案中,该通用处理装置可以通过向该数据加速处理装置发送模型信息,且该模型信息中的模型权重是密文形式的,从而保证了该模型权重在该通用处理装置中的安全性、以及在传输过程中的安全性;此外,该数据加速处理装置对该密文形式的模型权重进行解密后,将解密得到的明文形式的模型权重存储至该通用处理装置不可访问的受保护存储区,即通用处理装置无法访问该明文形式的模型权重,这样该数据加速处理装置在根据该明文形式的模型权重执行对应的计算任务时,能够保证该模型权重在执行时的安全性。因此,本申请实施例与相关技术相比,可用于在不使用tee等硬件隔离技术的情况下,保护模型信息在运行期的安全,从而防止模型信息被窃取。
5、在第一方面的一种可能的实现方式中,该加速处理器解密该密文形式的模型权重的具体过程可以由该加速处理器中相应的加速器或者算子来执行。比如,该加速处理器中可以包括解密算子aicpu,该解密算子aicpu可用于解密该密文形式的模型权重。此外,该数据加速处理装置中还设置有tee环境,该加速处理器解密该密文形式的模型权重的过程可以在该tee环境中执行。
6、在第一方面的一种可能的实现方式中,该数据加速处理装置还包括持久存储器,该持久存储器存储有解密密钥;该加速处理器解密该密文形式的模型权重,包括:该加速处理器从该持久存储器获取该解密密钥,并根据该解密密钥解密该密文形式的模型权重。上述可能的实现方式中,通过将该解密密钥存储在该持久存储器中,并根据该解密密钥解密该密文形式的模型权重,从而保证该模型权重的安全性。
7、在第一方面的一种可能的实现方式中,该数据加速处理装置还包括持久存储器,该持久存储器存储有验签公钥,该模型信息还包括签名信息;该方法还包括:该加速处理器从该持久存储器获取该验签公钥,并根据该验签公钥确定该模型信息的签名信息校验成功。上述可能的实现方式中,通过对该模型信息进行签名和验签,可以保证该模型信息的完整性。
8、在第一方面的一种可能的实现方式中,该解密密钥和/或验签公钥是加密存储的,该数据加速处理装置还包括一次性可编程存储器,该一次性可编程存储器存储有硬件唯一密钥huk;该方法还包括:该加速处理器从该一次性可编程存储器中获取该huk,根据该huk的派生密钥对该解密密钥和/或验签公钥进行加解密。上述可能的实现方式中,通过将该解密密钥和/或验签公钥加密存储,可以保证该解密密钥和/或验签公钥的机密性,从而保证该模型权重的安全性。
9、在第一方面的一种可能的实现方式中,该模型信息中的密文形式的模型权重和签名信息可以是在开发环境中生成的。
10、在第一方面的一种可能的实现方式中,该模型权重在受保护存储区是连续存储的;该方法还包括:该加速处理器向该通用处理装置发送该明文形式的模型权重在该受保护存储区的基地址,该基地址用于确定该模型权重的逻辑地址;该加速处理器接收该通用处理装置发送的该模型权重的逻辑地址,并根据该逻辑地址从该受保护存储区中获取该明文形式的模型权重。上述可能的实现方式中,该加速处理器可以通过向通用处理装置发送该明文形式的模型权重在该受保护存储区的基地址,使得该通用处理装置根据该基地址和模型权重的地址偏移值确定逻辑地址,并发送给该加速处理器,从而该通用处理装置在调度该数据加速处理装置执行计算任务时,无需读取模型权重,只需发送模型权重的逻辑地址即可,从而保证了该模型权重的安全性。
11、在第一方面的一种可能的实现方式中,该方法还包括:该加速处理器接收该通用处理装置发送的该模型权重的地址偏移值;该加速处理器根据该明文形式的模型权重在该受保护存储区中的基地址、以及该地址偏移值,确定该模型权重的逻辑地址。上述可能的实现方式中,该通用处理装置在调度该数据加速处理装置执行计算任务时,无需读取模型权重,只需发送模型权重的地址偏移值即可,从而保证了该模型权重的安全性。
12、在第一方面的一种可能的实现方式中,该方法还包括:该加速处理器接收内存配置信息,并根据该内存配置信息在该内存中配置该非保护存储区和/或该受保护存储区。上述可能的实现方式中,通过在该数据加速处理装置的内存中配置该通用处理装置无法访问的受保护存储区,可以保证该模型权重的安全性。
13、第二方面,提供一种数据处理方法,应用于通用处理装置中,该通用处理装置通过总线与数据加速处理装置通信,该数据加速处理装置的内存包括该通用处理装置可访问的非保护存储区、以及该通用处理装置不可访问的受保护存储区,该方法包括:获取模型信息,该模型信息包括密文形式的模型权重;向该加速处理器发送该模型信息,以使该数据加速处理装置的内存将该模型信息存储在该非保护存储区,使该加速处理器将该密文形式的模型权重解密后得到的明文形式的模型权重存储在该受保护存储区本文档来自技高网...
【技术保护点】
1.一种数据处理方法,其特征在于,应用于数据加速处理装置中,所述数据加速处理装置包括加速处理器和内存,所述内存包括非保护存储区和受保护存储区,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述数据加速处理装置还包括持久存储器,所述持久存储器存储有解密密钥;所述加速处理器解密所述密文形式的模型权重,包括:
3.根据权利要求1或2所述的方法,其特征在于,所述数据加速处理装置还包括持久存储器,所述持久存储器存储有验签公钥,所述模型信息还包括签名信息;所述方法还包括:
4.根据权利要求2或3所述的方法,其特征在于,所述解密密钥和/或验签公钥是加密存储的,所述数据加速处理装置还包括一次性可编程存储器,所述一次性可编程存储器存储有硬件唯一密钥HUK;所述方法还包括:
5.根据权利要求1-4任一项所述的方法,其特征在于,所述模型权重在所述受保护存储区是连续存储的,所述方法还包括:
6.根据权利要求1-5任一项所述的方法,其特征在于,所述方法还包括:
7.一种数据处理方法,其特征在于,应用于通用处理装置中,所述通
8.根据权利要求7所述的方法,其特征在于,所述模型信息还包括签名信息,所述签名信息用于校验所述模型信息。
9.根据权利要求7或8所述的方法,其特征在于,所述模型权重在所述受保护存储区是连续存储的,所述方法还包括:
10.根据权利要求7-9任一项所述的方法,其特征在于,所述方法还包括:
11.一种数据处理方法,其特征在于,应用于数据加速处理装置,所述数据加速处理装置包括加速处理器和内存,所述内存包括非保护存储区和受保护存储区,所述非保护存储区包括模型信息,所述模型信息包括密文形式的模型权重,所述受保护存储区包括所述密文形式的模型权重解密后的明文形式的模型权重,所述方法包括:
12.根据权利要求11所述的方法,其特征在于,所述加速处理器获取目标权重的逻辑地址,包括:
13.一种数据加速处理装置,其特征在于,所述数据加速处理装置包括处理单元和存储单元,所述存储单元包括非保护存储区和受保护存储区;
14.根据权利要求13所述的数据加速处理装置,其特征在于,所述数据加速处理装置还包括持久存储器,所述持久存储器存储有解密密钥;
15.根据权利要求13或14所述的数据加速处理装置,其特征在于,所述数据加速处理装置还包括持久存储器,所述持久存储器存储有验签公钥,所述模型信息还包括签名信息;
16.根据权利要求14或15所述的数据加速处理装置,其特征在于,所述解密密钥和/或验签公钥是加密存储的,所述数据加速处理装置还包括一次性可编程存储器,所述一次性可编程存储器存储有硬件唯一密钥HUK;
17.根据权利要求13-16任一项所述的数据加速处理装置,其特征在于,所述模型权重在所述受保护存储区是连续存储的;
18.根据权利要求13-17任一项所述的数据加速处理装置,其特征在于,
19.一种通用处理装置,其特征在于,所述通用处理装置用于与数据加速处理装置通信,所述数据加速处理装置包括加速处理器和内存,所述内存包括所述通用处理装置可访问的非保护存储区、以及所述通用处理装置不可访问的受保护存储区,所述通用处理装置包括:
20.根据权利要求19所述的通用处理装置,其特征在于,所述模型信息还包括签名信息,所述签名信息用于校验所述模型信息。
21.根据权利要求19或20所述的通用处理装置,其特征在于,所述模型权重在所述受保护存储区是连续存储的,所述通用处理装置还包括接收单元;
22.根据权利要求19-21任一项所述的通用处理装置,其特征在于,
23.一种数据加速处理装置,其特征在于,所述数据加速处理装置包括处理单元和存储单元,所述存储单元包括非保护存储区和受保护存储区;
24.根据权利要求23所述的数据加速处理装置,其特征在于,所述数据加速处理装置还包括发送单元和接收单元;
25.一种数据加速处理装置,其特征在于,所述数据加速处理装置包括加速处理器和存储器,所述存储器中存储有指令,当所述加速处理器运行所述指令时,使得所述装置执行如权利要求1-6任一项所述的数据处理方法,或者执行如权利要求11-12任一项所述的数据处理方法。
26.一种通用处理装置,其特征在于,所述通用处理...
【技术特征摘要】
1.一种数据处理方法,其特征在于,应用于数据加速处理装置中,所述数据加速处理装置包括加速处理器和内存,所述内存包括非保护存储区和受保护存储区,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述数据加速处理装置还包括持久存储器,所述持久存储器存储有解密密钥;所述加速处理器解密所述密文形式的模型权重,包括:
3.根据权利要求1或2所述的方法,其特征在于,所述数据加速处理装置还包括持久存储器,所述持久存储器存储有验签公钥,所述模型信息还包括签名信息;所述方法还包括:
4.根据权利要求2或3所述的方法,其特征在于,所述解密密钥和/或验签公钥是加密存储的,所述数据加速处理装置还包括一次性可编程存储器,所述一次性可编程存储器存储有硬件唯一密钥huk;所述方法还包括:
5.根据权利要求1-4任一项所述的方法,其特征在于,所述模型权重在所述受保护存储区是连续存储的,所述方法还包括:
6.根据权利要求1-5任一项所述的方法,其特征在于,所述方法还包括:
7.一种数据处理方法,其特征在于,应用于通用处理装置中,所述通用处理装置用于与数据加速处理装置通信,所述数据加速处理装置包括加速处理器和内存,所述内存包括所述通用处理装置可访问的非保护存储区、以及所述通用处理装置不可访问的受保护存储区,所述方法包括:
8.根据权利要求7所述的方法,其特征在于,所述模型信息还包括签名信息,所述签名信息用于校验所述模型信息。
9.根据权利要求7或8所述的方法,其特征在于,所述模型权重在所述受保护存储区是连续存储的,所述方法还包括:
10.根据权利要求7-9任一项所述的方法,其特征在于,所述方法还包括:
11.一种数据处理方法,其特征在于,应用于数据加速处理装置,所述数据加速处理装置包括加速处理器和内存,所述内存包括非保护存储区和受保护存储区,所述非保护存储区包括模型信息,所述模型信息包括密文形式的模型权重,所述受保护存储区包括所述密文形式的模型权重解密后的明文形式的模型权重,所述方法包括:
12.根据权利要求11所述的方法,其特征在于,所述加速处理器获取目标权重的逻辑地址,包括:
13.一种数据加速处理装置,其特征在于,所述数据加速处理装置包括处理单元和存储单元,所述存储单元包括非保护存储区和受保护存储区;
14.根据权利要求13所述的数据加速处理装置,其特征在于,所述数据加速处理装置还包括持久存储器,所述持久存储器存储有解密密钥;
15.根据权利要求13或14所述的数据加速处理装置,其特...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。