- 快召唤伙伴们来围观吧
- 微博 QQ QQ空间 贴吧
- 视频嵌入链接 文档嵌入链接
- 复制
- 微信扫一扫分享
- 已成功复制到剪贴板
基于SGX的隐私保护机器学习的介绍与实践
英特尔SGX技术是隐私计算中一个高效的方法,随着CPU上不断增强SGX的功能,越来越多的安全应用在数据保护,数据传输及程序运行的时候会采用SGX来实现,包括像联邦学习这样相对复杂的AI应用,本次分享将介绍英特尔SGX技术的基本原理以及在机器学习中隐私保护中的案例与实践。
俞巍
英特尔亚太和中国区数据中心AI销售和技术支持部人工智能架构师
曾在半导体行业从事图像处理,模式识别, 机器学习等开发和研究工作10多年,2017年加入英特尔后支持并参与金融,医疗,互联网和制造业等多个行业的多个AI研究及应用落地项目。
展开查看详情
1 .基于 的隐私保护机器 学习的介绍与实践 俞巍 英特尔人工智能方案架构师
2 .法律声明 • 关于性能和基准测试程序结果的更多信息,请访问www.intel.com/benchmarks。 • 在特定系统的特殊测试中测试组件性能。硬件、软件或配置的差异将影响实际性能。当您考虑采购时,请查阅其他信息来源评估性能。关于性能 和基准测试程序结果的更多信息,请访问www.intel.com/benchmarks。 • 英特尔技术特性和优势取决于系统配置,并可能需要支持的硬件、软件或服务得以激活。产品性能会基于系统配置有所变化。没有任何产品或组 件是绝对安全的。更多信息请从原始设备制造商或零售商处获得,或请见intel.com。 • 预测或模拟结果使用英特尔内部分析或架构模拟或建模,该等结果仅供您参考。系统硬件、软件或配置中的任何差异将可能影响您的实际性能。 • 英特尔并不控制或审计第三方数据。请您审查该内容,咨询其他来源,并确认提及数据是否准确。 • 优化声明:英特尔编译器针对英特尔微处理器的优化程度可能与针对非英特尔微处理器的优化程度不同。这些优化包括 SSE2、SSE3 和 SSSE3 指令集和其他优化。对于非英特尔微处理器上的任何优化是否存在、其功能或效力,英特尔不做任何保证。 • 本产品中取决于微处理器的优化是针对英特尔微处理器。不具体针对英特尔微架构的特定优化为英特尔微处理器保留。请参考适用的产品用户与 参考指南,获取有关本声明中具体指令集的更多信息。 • 本文中提供的所有信息可在不通知的情况下随时发生变更。关于英特尔最新的产品规格和路线图,请联系您的英特尔代表。 • 本文并未(明示或默示、或通过禁止反言或以其他方式)授予任何知识产权许可。 • 描述的产品可能包含可能导致产品与公布的技术规格有所偏差的、被称为非重要错误的设计瑕疵或错误。一经要求,我们将提供当前描述的非重 要错误。 • 英特尔、英特尔标识以及其他英特尔商标是英特尔公司或其子公司在美国和/或其他国家的商标。其他的名称和品牌可能是其他所有者的资产。 ©英特尔公司版权所有
3 . 01 隐私保护机器学习介绍 02 SGX的介绍 03 英特尔软硬件对于SGX的支持 04 SGX的应用和实践 目录 05 总结
4 .01 隐私保护机器学习介绍
5 .隐私保护机器学习 TEE 隐私保护机器学习是2021十大技术趋势之一 315 关注隐私的问题, 曝光隐私泄露 主要目的 安全 保护隐私 AI - 包括程序和数据安全 安全 加密 各种计算 打破数据壁垒 机器学习 负载 - 充分发挥数据潜力 释放AI的潜能 大数据 - 提高AI计算在安全保护下的效率
6 . 隐私保护机器学习重要应用-联邦学习 联邦学习~= 分布式机器学习+安全 • 目标:数据使用权所有权分离 • 手段:数据不动模型动 • 问题:平衡高效性和准确性 联邦学习IEEE P3652.1标 准在2021年3月正式发布
7 .隐私保护机器学习总览 TEE 垂直行业 … 金融 医疗 互联网 零售 制造 联邦学习 AI 模型数据运行态保护 隐私保护机 器学习应用 高效 HE 隐私技术 TEE 可信计算空间 MPC 安全多方计算 同态加密 异构隐私 CPU FPGA GPU ASIC 计算平台 TEE
8 .02 SGX的介绍
9 . Intel® Software Guard Extensions技术 主流金牌系列EPC size = 128GB 128GB 128GB Enclave模式下可以访问EPC 预先分配EPC大小是2 SGX Regular non-EPC memory EPC • 复杂的应用可以完全跑在 的指数倍 SGX的飞地上得到保护 8GB16GB 32GB 64GB 128G B BIOS设置EPC 32G,那么非 EPC内存是232G SGX Regular non-EPC EPC 32GB memory Enclave SGX 优点 Enclave ➢提供对机密性和完整性的增强保护 Enclave ➢飞地(Enclave)的远程认证和配置 Apps ➢易于学习开发 ➢显著减小受攻击面 Guest OS ➢对性能的影响最小化 Host OS / VMM 注: Enclave Page Cache (EPC)
10 .Intel® Software Guard Extensions技术 应用程序在内存中的分布 SGX 典型工作流程 不可信部分 可信部分/飞地 访问控制 1.应用程序分为可信和不可信 Create Enclave Execute 2.创建并运行可信部分于可信内存 中的飞地 Return Call Trusted Func. SSN: 999-84-2611 m8U3bcV#zP49Q 3.可信函数在飞地里运行的代码访 (etc.) 问的数据是明文 4.飞地里的数据还是在可信内存区 域里,从不可信区域里看到的飞地 Privileged System Code 里的数据是密文 OS, VMM, BIOS, SMM, …
11 .03 英特尔软硬件对于SGX的支持
12 . 在数据中心 Intel® SGX EPC 的增长 带来的提升 可扩展性 性能 更大的飞地,最 显著改善 高可达1TB 3rd Gen Intel Xeon Scalable Processors 保护工作从飞地 易部署的生态系 Intel® Xeon® Intel® SGX Card Intel® Xeon® E 卸载到硬件加速 统的各种服务 Single Socket uses 3 Xeon E3 Mehlow-Refresh 512GB EPC per socket 器 E3: 128MB EPC 3 x 128MB EPC 256MB EPC (2 socket = up to 1TB EPC) 2018 2019 2020 2021 Larger memory enclaves to support Data Center workloads For additional information see: www.intel.com/trustsgx 注: Enclave Page Cache (EPC)
13 . 从TEE/SGX到应用的软件栈 添加Guest OS/Lib OS层简化软件在SGX的移植和开发 ▪ 无需修改相应的模块代码,即可在SGX环境中执行 ▪ 在不受信任的主机接口上执行加密和语义检查,只需提供清单文件来配置应 用程序环境和隔离策略,其余都可由Guest OS来自动完成 ▪ 作为英特尔® SGX 重要的开源兼容性工具,Graphene 可以通过对动态加 载库,动态链接、多进程抽象以及文件认证等的支持,使用户可在 Graphene SGX 环境中直接运行原始应用 ▪ 在深度学习方法中常用的Tensorflow, Pytorch, OpenVINO™ 工具套件、 Analytic Zoo平台等,都可在这一环境中便捷地运行
14 .通过Analytic Zoo部署Trusted Cluster Serving 用户输入 In SGX enclave web Inference Engine 响应 model model Cluster Serving / TensorFlow 基于Graphene-SGX 的Trusted Cluster Serving ▪ 所以的模块运行在SGX的飞地里 ▪ 对于所有的通讯的安全传输使用TLS ▪ 加载加密的模型 (基于OpenVINO™ 和TensorFlow)
15 .04 SGX的应用和实践
16 . 为深度学习插上机密计算的翅膀 百度 PaddlePaddle 借助英特尔 SGX 等技术 进化为机密深度计算平台 深度学习全功能 PaddlePaddle 2.0 结合基于硬件的 升级后英特 SGX 的 将提供可直接安装 机密计算能力, EPC 内存将从单路 使用的 广泛应用于 128MB 跃升至 musl 预编译版本 医疗、金融 512 GB 随着数据量和数据 等众多领域 格式的丰富,深度 学习正在展现出 超越传统机器学习 的优势。同时, 为打破数据提供方、 基于硬件的英特尔® SGX 技术通过内存中的“飞地”(enclave) 保护数据 建模方与使用方 之间的割裂,机密 百度 MesaTEE 内存安全可信计算平台,基于英特尔® SGX 技术,全部使用 计算势在必行。 内存安全的 Rust 语言开发 PaddlePaddle 百度 PaddlePaddle 借助 MesaTEE 实现了在嵌入式 TEE 环境中的运行, 将二者有机结合, 并保留了完整的深度学习功能 响应了业界趋势, 能在医疗、金融等 PaddlePaddle 与 MesaTEE 的联动 众多领域大展拳脚。 英特尔® SGX 软件防护扩展技术 新一代英特尔® 至强® 可扩展处理器
17 . 隐私计算助力云-边协同 - 平安科技蜂巢基于英特尔® SGX 等技术保护边缘端隐私安全 云端基于SGX和蜂巢隐私计算训练模型,并通过“飞 基于硬件的英特尔 SGX 技术通过内存中的“飞 地”之间构建的安全通道向边缘端推送最新模型 地”(enclave) 保护数据 随着数据来源增 广,数据量骤增, 蜂巢利用基于硬件的英特尔® SGX 技术,通过内存 所有的服务都依赖 中的“飞地”(enclave) 保护边端数据,保护边缘离 于云会导致计算量 线模型,安全进行联邦预测。 爆炸,延迟增加等 蜂巢算子结合LibOS支持自定义模型联邦预测/训练 问题,云-边协同是 有效的解决方案。 同时,边端设备常 常处于缺乏监控的 支持深度学习,机器学习多种模型多种场景的应用, 环境中,因此边端 助力金融,医疗,车联网等领域 模型,数据的安全 也尤为重要。 英特尔® SGX 软件防护扩展技术 新一代英特尔® 至强® 可扩展处理器 隐私安全云-边-终服务架构
18 . 填补数据应用与隐私保护之间的鸿沟 Analytics-Zoo Narwhal借助英特尔 SGX 等技术 实现端到端的隐私保护机器学习和联邦学习 打破金融行业数据孤岛,实现数据赋能 Narwhal Narwhal提供的联邦 金融行业为了满足日 能够让现有大数据和AI 益严格的监管和不断 学习功能,能够帮金融 应用直接运行在 发展的业务,急需解 行业客户在保护用户隐 enclave中,实现安全 决大数据和AI应用中 私的前提下,打破数据 大数据分析 AI应用 联邦学习 可信的数据分析和机器 随着大数据和AI技术 的隐私保护以及数据 孤岛,实现联合建模 学习 发展,金融行业对数 孤岛问题 据隐私和安全愈加重 Analytics-Zoo Narwhal 视,监管力度也在不 隐私保护 断加强。如何在数据 Analytics-Zoo Narwhal借助SGX和LibOS实现端到端的隐私保护机器学习和 分析和AI应用中保护 Intel® SGX 联邦学习 应用 应用 用户隐私,已成为金 融行业关注的热点。 LibOS LibOS 基于SGX LibOS让现有业务应用无需更改即可运行在 “飞地”(enclave)中 Narwhal基于Intel 飞地 飞地 飞地 SGX实现了隐私保护 的机器学习和联邦学 基于硬件的英特尔 SGX 技术通过内存中的“飞地”(enclave) 保护数据 习,能有效填补隐私 大规模数据 保护和数据应用中的 鸿沟,帮助金融行业 Analytics-Zoo Narwhal 客户打破数据孤岛, 英特尔® SGX 软件防护扩展技术 实现数据赋能。 新一代英特尔® 至强® 可扩展处理器
19 .为深度学习插上机密计算的翅膀 蚂蚁集团和英特尔打造端到端Privacy Preserving Machine Learning解决方案 英特尔SGX 2.0和 英特尔DL Boost技术 基于Analytics Zoo的 端到端大数据AI的PPML架构 Occlum LibOS提供 为基于SGX的端到端分 端到端PPML解决方 了可信硬件执行环境, 布式安全深度学习负载 案,为蚂蚁集团提供了 兼得数据安全和高性能 提供了200%的性能加 数据安全隐私保护的大 计算 速 数据AI平台 Privacy Preserving Machine Learning能 够充分保护机器学习/ 深度学习中的用户数 据和模型,在金融, 医疗,推荐等诸多应 英特尔®开源的Analytics Zoo提供了统一的大数据和AI计算平台,实现了 端 到端的Privacy Preserving Machine Learning解决方案 用有广泛需求。 英特尔® oneAPI Deep Neural Network Library (oneDNN) 通过Intel® 基于英特尔SGX DL Boost技术加速深度学习工作负载的性能 2.0,蚂蚁集团的 蚂蚁集团开源的 Occlum提供了基于Intel® SGX的内存安全,支持多 Occlum和英特尔开 进程的Library OS, 支持运行深度学习工作负载 源的Analytics Zoo实 软件栈(从上到下依次)包括: 现的大数据AI安全计 • 应用负载 算平台可以构建端到 • 端到端大数据AI平台 端,分布式的高性能 • 计算框架 PPML应用。 英特尔® DL • 安全特性 Boost 英特尔® SGX
20 . 英特尔 至强 可扩展处理器助力富数科技Avatar系统 ® ® 富数科技Avatar系统正在基于新一代英特尔 至强 可扩展处理器开发 ,集成富数科 ® ® 技自研算法,硬件定向加速,可助力精准营销、智能风控、联合资产定价等场景。 Local Data1 Enclave3 X3 Share Mask Share Local Data2 Local Data3 Data share X Data share Y Enclave1 Enclave2 guest host X1 Share X2 Share 助力Avatar 提升联邦学习训练性能 助力Avatar MPC组件抗合谋攻击安全 英特尔® SGX 软件防护扩展技术 新一代英特尔® 至强® 可扩展处理器
21 .05 总结
22 .总结 i. 联邦学习和模型保护是隐私保护机器学习上重要的应用 ii. SGX是隐私保护机器学习中高效的隐私保护技术 iii. 新一代英特尔 至强 可扩展处理器支持的SGX的EPC容量提升 ® ® 3~4个数量级,支持多达1TB的容量 iv. SGX可以通过lib OS来简化开发,支持复杂而且依赖多的应用
23 .谢谢!