[发明专利]一种基于SGX的远程安全异构计算方法和系统

说明书

本发明公开了一种基于SGX的远程安全异构计算方法和系统，包括：(1)远程安全异构计算服务初始化，用户端、主机端SGX可信空间、GPU设备端生成公私钥，广播并获取彼此公钥；(2)加密传输数据；(3)参与方解密数据并进行加速计算；(4)在完成计算后，用户请求数据清理，清理可信空间内外的密钥、数据。系统基于Intel SGX安全硬件、Nvidia CUDA的驱动和运行时的支持，利用SGX的可信飞地(enclave)机制，实现安全可靠的全信道异构计算，保障敏感数据可以在加速设备(GPU)上进行计算的同时，不会在网络传输过程中、主机内存上、与设备I/O过程中被攻击者或具有特权的恶意程序窥探。

技术领域

本发明涉及机器学习数据安全保护领域，具体涉及一种基于SGX的远程安全异构计算方法和系统。

背景技术

机器学习在图像识别、语音翻译等领域都有着优异的表现，因而被广泛地应用在相关的应用场景中。大数据时代无论是金融授信风控或在线营销等都离不开数据，数据质量和数量已成为影响机器学习效果最重要的因素之一，通过数据共享扩充数据量以提升模型效果的需求已经变得越来越强烈。

然而，由于在数据隐私方面存在安全问题，行业应用领域大数据积累形成的多部门数据间没有共享的安全条件。这些安全问题存在于本地用户与云服务器之间、云服务器端的CPU和GPU之间。例如，本地用户向云服务器发送计算模型所使用的数据时，可能有第三方进行监听，窃取敏感数据甚至恶意篡改数据，造成隐私数据的泄露或者计算资源的浪费。同样，在服务器端，CPU与GPU之间的信息交互也可能会有上述的风险，这给无论是本地用户还是云服务器都带来了非常大的潜在危险。

基于现况，可信执行环境TEE技术，如Intel SGX软件扩展指令技术得到了发展，在机器学习数据交互的过程中引入该技术是解决问题的一种方法。Intel SGX是Intel架构新的扩展，在原有架构上增加了一组新的指令集和内存访问机制。这些扩展允许应用程序实现一个被称为enclave的容器，在应用程序的地址空间中划分出一块被保护的区域，为容器内的代码和数据提供机密性和完整性的保护，免受拥有特殊权限的恶意软件的破坏。此技术可以用于增强纯CPU主机的数据安全保护功能，是能够为现有CPU硬件环境操作系统提供安全的方案。

但目前的保护仍然存在不足，在当前机器学习算法运行的框架环境下，传统CPU计算环境无法满足快速需求，GPU作为专门的运算模块得到了广泛的应用。然而，GPU的存在也扩大了硬件系统的受攻击面。OpenMined提出的PySyft通过将模型带入本地的训练数据，利用SGX保护了共同训练同一个模型的多个用户各自的隐私数据，但该方案并没有考虑GPU的使用，因此计算效率相对于常规的机器学习模型运行方法显著偏低。

因此，行业内急需研发一种针对共享智能场景下深度学习等主流机器学习算法环境的数据安全保护技术，基于主流加速硬件GPU和CPU混合异构架构下构建可信执行环境。事实上，已有学者对于GPU硬件支持的可信执行环境进行研究、设计(如Gravition)。在本发明中，我们假设已经存在这样的可信GPU，并同时基于SGX技术设计全信道的可信计算协议。

发明内容

本发明提供一种基于SGX的远程安全异构计算方法和系统，通过Intel SGX安全硬件、Nvidia CUDA的驱动和运行时的支持，利用SGX的可信飞地(enclave)机制，实现安全可靠的全信道异构计算，保障敏感数据可以在加速设备(GPU)上进行计算的同时，不会在网络传输过程中、主机内存上、与设备I/O过程中被攻击者或具有特权的恶意程序窥探。

本发明提供了如下技术方案：

本发明的其中一个目的在于提供一种基于SGX的远程安全异构计算方法，包括以下步骤：

1)初始化：启动远程安全异构计算服务，建立并检测主机端SGX可信空间状态；用户端、主机端SGX可信空间和GPU设备端分别生成公钥和私钥，广播并获取彼此公钥；