大規(guī)模AI計(jì)算中的數(shù)據(jù)和模型安全人工智能技術(shù)（AI）作為這個(gè)時(shí)代最具影響力的技術(shù)，滲透到了我們生活的方方面面。特別是2022年底，OpenAI發(fā)布的ChatGPT表現(xiàn)出了驚人的信息分析、整合、決策和對(duì)話能力。隨著人工智能模型規(guī)模和能力的進(jìn)一步增強(qiáng)，AI未來將幫助人們完成一系列個(gè)性化的復(fù)雜工作，諸如信息咨詢、任務(wù)代辦等等。AI技術(shù)的演變離不開大數(shù)據(jù)和大模型的支撐，動(dòng)輒上千億參數(shù)的大模型的訓(xùn)練需要消耗上萬億的高質(zhì)量數(shù)據(jù)，并在面向市場(chǎng)的過程中不斷根據(jù)用戶的反饋進(jìn)行調(diào)整升級(jí)。在這里，整個(gè)AI服務(wù)涉及到數(shù)據(jù)的提供者、模型的擁有者和算力的提供者三個(gè)角色。對(duì)于數(shù)據(jù)的提供者來說，數(shù)據(jù)包含了其個(gè)人的敏感數(shù)據(jù)或者企業(yè)經(jīng)過多年運(yùn)營(yíng)沉淀下來的數(shù)據(jù)，蘊(yùn)含著巨大的商業(yè)價(jià)值；對(duì)于模型的擁有者來說，模型包含著擁有者對(duì)于AI算法以及應(yīng)用行業(yè)的深刻理解，以及為了訓(xùn)練模型所付出的巨大開銷，是企業(yè)寶貴的知識(shí)產(chǎn)權(quán)。參與的各方都希望在模型的訓(xùn)練和應(yīng)用過程中保護(hù)自身數(shù)據(jù)隱私，因?yàn)閿?shù)據(jù)和模型本身被視為參與方的寶貴資產(chǎn)。從另一方面來說，隨著《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》的頒布和實(shí)施，對(duì)于數(shù)據(jù)隱私的保護(hù)，實(shí)現(xiàn)數(shù)據(jù)“可用不可見”“可控可計(jì)量”也成為法律法規(guī)的要求，數(shù)據(jù)和模型一旦泄露，將會(huì)帶來嚴(yán)重的社會(huì)負(fù)面影響以及巨大的經(jīng)濟(jì)損失。隨著云計(jì)算的發(fā)展和模型訓(xùn)練對(duì)于超大規(guī)模算力的需求增長(zhǎng)，絕大部分的模型訓(xùn)練工作已遷移到云上進(jìn)行。另外，基于對(duì)服務(wù)實(shí)時(shí)性和可靠性的要求，大量的AI模型被部署在IoT設(shè)備端（例如在自動(dòng)駕駛場(chǎng)景中）。在大多數(shù)情況下，云計(jì)算基礎(chǔ)設(shè)施和IoT設(shè)備并不被數(shù)據(jù)和模型所有者所擁有和控制，如何在一個(gè)不可信的環(huán)境中保證數(shù)據(jù)和模型的安全隱私，成為了大規(guī)模機(jī)器學(xué)習(xí)和應(yīng)用的挑戰(zhàn)。什么是機(jī)密計(jì)算？為了應(yīng)對(duì)上述挑戰(zhàn)，一系列相關(guān)技術(shù)逐漸受到學(xué)術(shù)界和工業(yè)界的關(guān)注，機(jī)密計(jì)算技術(shù)便是其一。機(jī)密計(jì)算(Confidential Computing)是指在基于硬件的可信執(zhí)行環(huán)境(Trusted Execution Environment, TEE)中執(zhí)行計(jì)算來保護(hù)使用中的數(shù)據(jù)（data in use）的一種技術(shù)?；谟布目尚艌?zhí)行環(huán)境保證了機(jī)密計(jì)算的任務(wù)和數(shù)據(jù)不會(huì)被惡意程序竊取，硬件級(jí)的安全保障使得即使高權(quán)限的操作系統(tǒng)甚至是虛擬機(jī)監(jiān)視器(hypervisor)，也無法窺探和篡改機(jī)密計(jì)算中的數(shù)據(jù)和代碼。自2002年ARM提出TrustZone技術(shù)以來，機(jī)密計(jì)算已經(jīng)走過了20多個(gè)年頭。2015年，Intel推出了SGX，機(jī)密計(jì)算技術(shù)進(jìn)入了快速發(fā)展的階段。2019年8月，Linux基金會(huì)聯(lián)合國(guó)內(nèi)外科技巨頭宣布成立“機(jī)密計(jì)算聯(lián)盟”（Confidential Computing Consortium），標(biāo)志著機(jī)密計(jì)算在工業(yè)界的進(jìn)一步發(fā)展和壯大。2022年，NVIDIA推出的新一代GPU H100集成了機(jī)密計(jì)算模塊，標(biāo)志著機(jī)密計(jì)算將成為未來AI計(jì)算的基礎(chǔ)設(shè)施之一。在2022年IEEE的技術(shù)預(yù)測(cè)中，評(píng)選了16項(xiàng)將在未來幾年（短期）產(chǎn)生重大影響的技術(shù)，機(jī)密計(jì)算技術(shù)作為唯一的安全技術(shù)入選其中。如今，ARM、Intel、AMD、華為等廠商都推出了自己的機(jī)密計(jì)算技術(shù)，在服務(wù)器端和終端分別是Intel的SGX技術(shù)和ARM的TrustZone技術(shù)占據(jù)了主要的市場(chǎng)份額。Intel SGX技術(shù)簡(jiǎn)介Intel的SGX技術(shù)通過CPU的硬件擴(kuò)展，允許應(yīng)用程序創(chuàng)建一個(gè)叫Enclave的安全容器，并將敏感數(shù)據(jù)和代碼放到該容器中。在Enclave中，代碼和數(shù)據(jù)的機(jī)密性和完整性只依賴硬件保障，BIOS、OS等特權(quán)應(yīng)用都無法直接訪問到Enclave的內(nèi)容。也就是說SGX技術(shù)的TCB(Trusted Computing Base, 可信計(jì)算基)僅為CPU廠商和Enclave本身，即使服務(wù)器的根權(quán)限被攻擊者竊取了，也不能直接獲取Enclave中的保密數(shù)據(jù)。SGX應(yīng)用的工作原理可以由下圖說明。應(yīng)用在實(shí)現(xiàn)時(shí)就需要區(qū)分可信和不可信兩個(gè)部分，可信的部分需要使用EDL(Enclave-Definition Language)實(shí)現(xiàn)邏輯，并使用ECALL和OCALL進(jìn)行可信部分和不可信部分的交互，見下圖1。圖1  SGX應(yīng)用模型ARM TrustZone技術(shù)簡(jiǎn)介ARM的TrustZone技術(shù)提供了硬件隔離區(qū)分的安全世界(Secure World)和不安全世界(Normal World)。TrustZone在處理器架構(gòu)上將每個(gè)物理核虛擬成一個(gè)安全核(Secure Core)和一個(gè)非安全核(Non-Secure Core)，并通過了Monitor Mode實(shí)現(xiàn)兩個(gè)世界之間的切換。除了運(yùn)算核以外，MMU、GIC、Cache等硬件都進(jìn)行了兩個(gè)世界的隔離操作。在安全世界中，有一個(gè)可信內(nèi)核(TEE Kernel)負(fù)責(zé)多個(gè)可信應(yīng)用實(shí)例的管理，如內(nèi)存分配與隔離、通信管理等，也屬于TCB的一部分。TrustZone TEE的應(yīng)用模型符合Global Platform(GP)規(guī)范并可以由下圖2表示。一個(gè)應(yīng)用需要分成運(yùn)行在富執(zhí)行環(huán)境和運(yùn)行在TEE中的兩個(gè)程序,兩個(gè)世界的應(yīng)用通信需通過提供的TEE API進(jìn)行。圖2  TrustZone應(yīng)用模型機(jī)密計(jì)算與其他隱私計(jì)算方案的對(duì)比機(jī)密計(jì)算作為一種基于硬件的隱私計(jì)算技術(shù)，與其他的隱私計(jì)算技術(shù)相比，在高效性和普適性上具備較大的優(yōu)勢(shì)。以多方安全計(jì)算(Secure Multi-Party Computation, SMPC)和聯(lián)邦學(xué)習(xí)(Federated Learning, FL)為例，SMPC以密碼學(xué)為基礎(chǔ)，通過加密狀態(tài)下的多輪通信共同計(jì)算一個(gè)約定好的任務(wù)，而不泄露彼此的隱私信息。FL基于分布式機(jī)器學(xué)習(xí)，在不交換各數(shù)據(jù)方本地?cái)?shù)據(jù)的條件下，僅通過交換本地?cái)?shù)據(jù)的模型信息構(gòu)建基于全體數(shù)據(jù)樣本的全局模型。從高效性上看，SMPC和FL由于涉及大量的加解密和網(wǎng)絡(luò)通訊，其綜合的運(yùn)算性能與基于明文的計(jì)算相比會(huì)有數(shù)百倍以上的損失，這使其難以適應(yīng)大吞吐量、低延遲的計(jì)算場(chǎng)景。對(duì)機(jī)密計(jì)算而言，數(shù)據(jù)和模型的機(jī)密性和完整性由底層硬件進(jìn)行保證，能夠獲得和明文計(jì)算相接近的計(jì)算性能。在普適性方面，SMPC和FL對(duì)于計(jì)算任務(wù)的特征和結(jié)構(gòu)有一定的假設(shè)，無法滿足任意的計(jì)算需求。相比之下，機(jī)密計(jì)算沒有這方面的約束，普適性更高。機(jī)密計(jì)算的應(yīng)用與挑戰(zhàn)在AI模型的訓(xùn)練和應(yīng)用中，機(jī)密計(jì)算技術(shù)已經(jīng)得到了廣泛的應(yīng)用。AWS、Google、微軟以及國(guó)內(nèi)的阿里巴巴、騰訊等廠商相繼推出了自身的機(jī)密計(jì)算產(chǎn)品，并用于多方計(jì)算、醫(yī)療保健、****物研發(fā)等場(chǎng)景。同時(shí)，機(jī)密計(jì)算技術(shù)也是學(xué)術(shù)界研究的熱點(diǎn)。舉例來說，在模型訓(xùn)練領(lǐng)域，有學(xué)者基于可編程總線芯片以及安全控制實(shí)現(xiàn)了大規(guī)模的異構(gòu)機(jī)密AI模型訓(xùn)練。在模型應(yīng)用上，有學(xué)者利用IoT設(shè)備上的可信執(zhí)行環(huán)境以及可信執(zhí)行環(huán)境的加密通信，配之以相應(yīng)的管理和控制模塊，同時(shí)保護(hù)了IoT設(shè)備采集的數(shù)據(jù)和AI模型的安全隱私。然而，現(xiàn)行的主流機(jī)密計(jì)算技術(shù)還面臨著一些技術(shù)挑戰(zhàn)。主流機(jī)密計(jì)算技術(shù)通過“標(biāo)志位”“訪問控制”等技術(shù)實(shí)現(xiàn)了可信應(yīng)用和不可信應(yīng)用的邏輯上的硬件隔離。然而，在主流的機(jī)密計(jì)算技術(shù)中，需要被保護(hù)的可信應(yīng)用和不可信應(yīng)用運(yùn)行在同一個(gè)計(jì)算核心上。兩類任務(wù)在物理上共享了頁表(page table)、硬件緩存（cache）、分支目標(biāo)緩存(Branch target buffer, BTB)等硬件組件。硬件組件的共享可能會(huì)導(dǎo)致側(cè)信道攻擊(side-channel attack)風(fēng)險(xiǎn)。研究表明，對(duì)于硬件緩存等組件的側(cè)信道攻擊會(huì)導(dǎo)致輸入數(shù)據(jù)或者模型的泄露。研究者提出了一系列方法來應(yīng)對(duì)這類風(fēng)險(xiǎn)：一類方法基于不經(jīng)意(oblivious)訪問，即通過密碼學(xué)的技術(shù)和協(xié)議來掩蓋可信應(yīng)用對(duì)于共享組件的訪問痕跡，以防止側(cè)信道攻擊的風(fēng)險(xiǎn)；另一類方法則是對(duì)于可信應(yīng)用的構(gòu)建工具或運(yùn)行狀態(tài)進(jìn)行一些定制，例如通過地址隨機(jī)化、關(guān)閉超線程、中斷監(jiān)測(cè)等技術(shù)來發(fā)現(xiàn)和避免側(cè)信道攻擊；同時(shí)，對(duì)應(yīng)特定的側(cè)信道攻擊，硬件廠商也會(huì)及時(shí)發(fā)布相應(yīng)的補(bǔ)丁。除此之外，隨著機(jī)密計(jì)算得到廣泛而重要的應(yīng)用，人們也開始致力于為可信應(yīng)用設(shè)計(jì)獨(dú)立的內(nèi)存或計(jì)算單元。獨(dú)立的內(nèi)存和計(jì)算單元使得可信應(yīng)用和不可信應(yīng)用在硬件層面完全隔離，從根源上解決了側(cè)信道攻擊的風(fēng)險(xiǎn)。
而在工程落地層面，主流的機(jī)密計(jì)算技術(shù)給出了一個(gè)新的編程范式。開發(fā)者需要自行將應(yīng)用分為可信部分和不可信部分，并將可信部分顯示放入機(jī)密計(jì)算框架中，并自行管理可信部分和外界的交互，這大大增加了軟件遷移的成本。雖然有一些基于開發(fā)者標(biāo)注的自動(dòng)劃分工具，也有人提出了庫操作系統(tǒng)(LibOS)來簡(jiǎn)化現(xiàn)有應(yīng)用的遷移，但是這些方案有著各自的局限性：自動(dòng)化劃分工具方案中，目前已有的自動(dòng)劃分工具只支持C/C++和Java，無法支持更多的語言（例如Python）。庫操作系統(tǒng)的方案中，有的方案需要重編譯程序，這對(duì)于商業(yè)場(chǎng)景的落地是一個(gè)較大挑戰(zhàn)，因?yàn)榇a作為程序所有者的重要知識(shí)產(chǎn)權(quán)，往往無法基于部署環(huán)境進(jìn)行重編譯；有的方案雖然做到了部分二進(jìn)制兼容，但在性能上仍然需要做出較大犧牲。最后，在安全層面，現(xiàn)行的主流機(jī)密計(jì)算技術(shù)的POSIX系統(tǒng)調(diào)用（system call）是交由不可信操作系統(tǒng)來完成的，為了應(yīng)對(duì)接口層的Iago攻擊，庫操作系統(tǒng)需要實(shí)現(xiàn)相應(yīng)的防范機(jī)制。然而，由于POSIX接口眾多且復(fù)雜，如何在庫操作系統(tǒng)上完備地防范接口攻擊也是一個(gè)需要繼續(xù)研究的課題。IDEA研究院在機(jī)密計(jì)算領(lǐng)域的探索IDEA研究院在機(jī)密計(jì)算領(lǐng)域也做了一些探索，為了應(yīng)對(duì)機(jī)密計(jì)算領(lǐng)域的側(cè)信道攻擊和工程落地的挑戰(zhàn)，我們將機(jī)密計(jì)算任務(wù)完全卸載到一個(gè)獨(dú)立的協(xié)處理器(Secure Processing Unit, SPU，詳情見：https://spu.idea.edu.cn)上，物理級(jí)別的硬件隔離使得機(jī)密計(jì)算任務(wù)避免了側(cè)信道攻擊的風(fēng)險(xiǎn)。