信息安全技術(shù) 人工智能計(jì)算平臺安全框架

ICS35.030

CCSL80

中華人民共和國國家標(biāo)準(zhǔn)

GB/TXXXXX—XXXX

信息安全技術(shù)

人工智能計(jì)算平臺安全框架

Informationsecuritytechnology

—Artificialintelligencecomputingplatformsecurityframework

（征求意見稿）

(本稿完成時(shí)間：2023年4月30日)

在提交反饋意見時(shí)，請將您知道的相關(guān)專利連同支持性文件一并附上。

XXXX—XX—XX發(fā)布XXXX—XX—XX實(shí)施

GB/TXXXXX—XXXX

前言

本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定

起草。

本文件由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會（SAC/TC260）提出并歸口。

本文件起草單位：華為技術(shù)有限公司、中國電子技術(shù)標(biāo)準(zhǔn)化研究院、中國電信集團(tuán)有限公司、上海

商湯智能科技有限公司、北京交通大學(xué)、北京快手科技有限公司、北京神州綠盟科技有限公司從、北京

數(shù)安行科技有限公司、北京數(shù)字認(rèn)證股份有限公司、北京信安世紀(jì)科技股份有限公司、北京眼神科技有

限公司、北京銀聯(lián)金卡科技有限公司、北京遠(yuǎn)鑒信息技術(shù)有限公司、公安部第三研究所、公安部第一研

究所、國家工業(yè)信息安全發(fā)展研究中心、國家信息技術(shù)安全研究中心、國家信息中心、國網(wǎng)區(qū)塊鏈科技

（北京）有限公司、國網(wǎng)新疆電力有限公司電力科學(xué)研究院、國網(wǎng)智能電網(wǎng)研究院有限公司、杭州安恒

信息技術(shù)股份有限公司、華控清交信息科技（北京）有限公司、華中科技大學(xué)、螞蟻科技集團(tuán)股份有限

公司、美的集團(tuán)（上海）有限公司、南湖實(shí)驗(yàn)室、啟明星辰信息技術(shù)集團(tuán)股份有限公司、山石網(wǎng)科通信

技術(shù)股份有限公司、上海觀安信息技術(shù)股份有限公司、上海市信息安全測評認(rèn)證中心、上海燧原科技有

限公司、上海依圖網(wǎng)絡(luò)科技有限公司、深圳大學(xué)、深圳市洞見智慧科技有限公司、四川大學(xué)、騰訊云計(jì)

算（北京）有限責(zé)任公司、武漢東湖大數(shù)據(jù)交易中心股份有限公司、西安交通大學(xué)、云從科技集團(tuán)股份

有限公司、浙江大華技術(shù)股份有限公司、鄭州信大捷安信息技術(shù)股份有限公司、中國科學(xué)技術(shù)大學(xué)、中

國科學(xué)院軟件研究所、中國科學(xué)院信息工程研究所、中國移動通信集團(tuán)有限公司、中電科網(wǎng)絡(luò)安全科技

股份有限公司、中國電力科學(xué)研究院有限公司

本文件主要起草人：葛小宇、張宇、嚴(yán)敏瑞、許曉耕、張宇光、谷紅勛、徐浩、蔣慧、徐浩、王偉、

劉敬楷、落紅衛(wèi)、谷晨、顧杜娟、王星凱、劉玉紅、張永強(qiáng)、龔曉燕、楊春林、張亞浩、胡師陽、楊波、

伭劍輝、陳妍、劉軍、王宏、楊韜、李美桃、朱倩倩、章恒、趙增振、王棟、楊珂、葉波、楊慧婷、杜

澤旭、劉博、李劍鋒、王云河、靳晨、李瑞軒、王號召、彭晉、林冠辰、蔡亞森、葛頌、張磊、陸一凡、

卞超軼、吳疆、何伊圣、謝江、張俊彥、任永攀、梅敬青、鮑敏祺、趙春昊、劉偉麗、彭宇翔、姚明、

陳興蜀、王啟旭、李克鵬、武楊、杜樂、孫想、沈超、藺琛皓、李軍、文良君、劉為華、左曉棟、謝錚

涵、張立武、張嚴(yán)、王蕊、荊麗樺、江為強(qiáng)、郭中元、曹占濤、王曉輝、李道興

III

GB/TXXXXX—XXXX

引言

在人工智能計(jì)算場景中，模型與數(shù)據(jù)是模型提供方、數(shù)據(jù)提供方及人工智能應(yīng)用運(yùn)行方等關(guān)注的核

心資產(chǎn)。人工智能計(jì)算平臺為模型訓(xùn)練、推理等任務(wù)運(yùn)行提供基礎(chǔ)的軟硬件資源，對模型和數(shù)據(jù)等人工

智能核心資產(chǎn)起到至關(guān)重要的保護(hù)作用。

與傳統(tǒng)的通用計(jì)算場景不同，人工智能計(jì)算場景引入了人工智能技術(shù)、人工智能加速處理器架構(gòu)、

模型資產(chǎn)等新的因素。在考慮人工智能計(jì)算平臺的安全問題時(shí)，需要重點(diǎn)考慮這些新變化帶來的影響。

而現(xiàn)有的標(biāo)準(zhǔn)沒有考慮這些變化因素，難以直接應(yīng)用于人工智能計(jì)算場景。

本文件將定義人工智能計(jì)算平臺的安全框架，給出人工智能計(jì)算平臺的安全功能、安全機(jī)制、安全

模塊及服務(wù)接口。該安全框架一方面能夠消減平臺成為網(wǎng)絡(luò)攻擊中薄弱環(huán)節(jié)的風(fēng)險(xiǎn)；另一方面，圍繞上

層應(yīng)用在不同情景中面臨的共性問題，能夠基于人工智能計(jì)算平臺的安全功能有效提升人工智能模型、

數(shù)據(jù)等核心資產(chǎn)在傳輸、存儲、訓(xùn)練、推理等環(huán)節(jié)中的安全，減少應(yīng)用方在保護(hù)模型和數(shù)據(jù)安全方面的

重復(fù)投入。

IV

GB/TXXXXX—XXXX

信息安全技術(shù)人工智能計(jì)算平臺安全框架

1范圍

本文件規(guī)定了人工智能計(jì)算平臺安全框架的安全功能、安全機(jī)制、安全模塊以及服務(wù)接口。

本文件適用于指導(dǎo)人工智能計(jì)算平臺的設(shè)計(jì)與實(shí)現(xiàn)，也為平臺使用方應(yīng)用人工智能計(jì)算平臺安全

功能提供參考。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T20272—2019信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求

GB/T22239—2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求

GB/T25069—2022信息安全技術(shù)術(shù)語

GB/T37939—2019信息安全技術(shù)網(wǎng)絡(luò)存儲安全技術(shù)要求

GB/T39680—2020信息安全技術(shù)服務(wù)器安全技術(shù)要求和測評準(zhǔn)則

GB/T39786—2021信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求

GB/T41867—2022信息技術(shù)人工智能術(shù)語

GB/T42018—2022信息技術(shù)人工智能平臺計(jì)算資源規(guī)范

3術(shù)語和定義

GB/T25069—2022、GB/T41867—2022界定的以及下列術(shù)語和定義適用于本文件。

3.1

人工智能加速處理器artificialintelligenceacceleratingprocessor

具備適配人工智能算法的運(yùn)算微架構(gòu)，能夠完成人工智能應(yīng)用加速運(yùn)算處理的集成電路元件。

注1：圖像處理器、神經(jīng)網(wǎng)絡(luò)處理器是典型的人工智能加速處理器。

注2：通用中央處理器不屬于人工智能加速處理器。

[來源：GB/T42018—2022，3.8]

3.2

人工智能服務(wù)器artificialintelligenceserver

信息系統(tǒng)中能夠?yàn)槿斯ぶ悄軕?yīng)用提供高效能計(jì)算處理能力的服務(wù)器。

[來源：GB/T42018—2022，3.5]

3.3

人工智能計(jì)算平臺artificialintelligencecomputingplatform

1

GB/TXXXXX—XXXX

為人工智能計(jì)算任務(wù)執(zhí)行提供各類資源的軟硬件系統(tǒng)，由計(jì)算、存儲、網(wǎng)絡(luò)等硬件資源或虛擬化資

源以及操作系統(tǒng)、計(jì)算加速庫、深度學(xué)習(xí)框架與開發(fā)套件等軟件資源組成。

[來源：GB/T42018—2022，3.1，有修改]

3.4

人工智能模型artificialintelligencemodel

一種基于輸入數(shù)據(jù)或信息生成推理或預(yù)測結(jié)果的計(jì)算結(jié)構(gòu)。

注：“機(jī)器學(xué)習(xí)模型”是典型的人工智能模型。

[來源：GB/T41867—2022，3.2.11，有修改]

3.5

人工智能核心資產(chǎn)artificialintelligencecoreasset

在人工智能計(jì)算場景中對個(gè)人、組織或政府具有重要價(jià)值的信息與數(shù)據(jù)，包括人工智能模型、訓(xùn)練

/推理數(shù)據(jù)集、訓(xùn)練/推理腳本等。

[來源：GB/T25069—2022，3.806，有修改]

3.6

對抗樣本adversarialexamples

在正常數(shù)據(jù)集中通過故意添加細(xì)微干擾獲得的、可導(dǎo)致人工智能算法模型以高置信度給出與正確

輸出有偏差的樣本。

3.7

模型萃取modelextraction

通過循環(huán)發(fā)送數(shù)據(jù)并查看對應(yīng)的響應(yīng)結(jié)果，以推測人工智能模型的參數(shù)或功能，從而復(fù)制出一個(gè)功

能相似甚至完全相同的人工智能模型的行為。

3.8

屬性推斷propertyinference

用公開可見的屬性和結(jié)構(gòu)，推理訓(xùn)練數(shù)據(jù)隱蔽或不完整的屬性數(shù)據(jù)的行為。

3.9

安全功能securityfunction

為實(shí)現(xiàn)安全要素的要求，并正確實(shí)施相應(yīng)安全策略所提供的功能。

[來源：GB/T25069—2022,3.8]

3.10

安全機(jī)制securitymechanism

實(shí)現(xiàn)安全功能，提供安全服務(wù)的基本方法。

[來源：GB/T25069—2022,3.11]

3.11

安全模塊securitymodule

實(shí)現(xiàn)安全機(jī)制的可識別區(qū)分的組成部分。

2

GB/TXXXXX—XXXX

[來源：GB/T25069—2022,3.815，有修改]

3.12

服務(wù)接口serviceinterface

調(diào)用安全機(jī)制以實(shí)現(xiàn)安全功能的特定界面與方法。

4縮略語

下列縮略語適用于本文件。

AI：人工智能（ArtificialIntelligence）

CPU：中央處理器（CentralProcessingUnit）

FPGA：現(xiàn)場可編程邏輯門陣列（FieldProgrammableGateArray）

GPU：圖像處理器（GraphicsProcessingUnit）

NPU：神經(jīng)網(wǎng)絡(luò)處理器（Neural-NetworkProcessingUnit）

SDK：軟件開發(fā)工具包（SoftwareDevelopmentKit）

5AI計(jì)算平臺概述

5.1AI計(jì)算平臺組成架構(gòu)

在AI計(jì)算場景中，一個(gè)典型的AI計(jì)算平臺組成架構(gòu)如圖1所示，包括：

a)應(yīng)用使能層：主要包括AI算法框架、開發(fā)套件（如SDK等）等軟件資源，用于提升AI模型

訓(xùn)練、推理及AI應(yīng)用開發(fā)效率及易用性；

b)基礎(chǔ)資源層：數(shù)據(jù)處理、AI模型訓(xùn)練、AI模型推理等AI計(jì)算任務(wù)執(zhí)行所必須的計(jì)算、存儲、

網(wǎng)絡(luò)等硬件資源或虛擬化資源，以及操作系統(tǒng)、計(jì)算加速庫等基礎(chǔ)的軟件資源。

注：基礎(chǔ)資源層包括GB/T42018-2022標(biāo)準(zhǔn)所述的AI平臺計(jì)算資源。

圖1AI計(jì)算平臺典型組成架構(gòu)

本文件所適用的AI計(jì)算平臺為應(yīng)用于數(shù)據(jù)中心及邊緣場景的計(jì)算平臺。根據(jù)不同場景應(yīng)用需求，

平臺的部署方式、軟件棧將有所不同。圖1中實(shí)線框表示所有場景都需要的組成部分，虛線框表示部分

場景需要的擴(kuò)展組成部分。

5.2AI計(jì)算平臺參與方

3

GB/TXXXXX—XXXX

AI計(jì)算平臺涉及的參與方主要由AI計(jì)算平臺提供方和AI計(jì)算平臺使用方組成。其中AI計(jì)算平臺

使用方包括AI應(yīng)用提供方、AI數(shù)據(jù)提供方、AI應(yīng)用運(yùn)行方、AI模型提供方等。參與方信息及其業(yè)務(wù)

活動詳見附錄A，各參與方業(yè)務(wù)活動中面臨的安全威脅及建議使用的安全功能見附錄B。在本安全框架

中，AI計(jì)算平臺提供方基于AI計(jì)算平臺使用方的業(yè)務(wù)活動及安全需求分析，通過緩解AI計(jì)算平臺自

身面臨的安全風(fēng)險(xiǎn)并提供相應(yīng)安全功能及服務(wù)接口，支撐相關(guān)參與方緩解其AI核心資產(chǎn)面臨的安全風(fēng)

險(xiǎn)。AI計(jì)算平臺使用方通過調(diào)用AI計(jì)算平臺提供的服務(wù)接口，保障AI核心資產(chǎn)傳輸、存儲、訓(xùn)練、

推理全流程安全。

5.3AI計(jì)算平臺安全風(fēng)險(xiǎn)

AI計(jì)算平臺的安全風(fēng)險(xiǎn)主要包括以下兩類，詳細(xì)的安全風(fēng)險(xiǎn)描述見附錄B：

a)平臺自身面臨的安全風(fēng)險(xiǎn)：組成AI計(jì)算平臺的軟硬件與其他場景中的軟硬件面臨相似的安全

風(fēng)險(xiǎn)，如網(wǎng)絡(luò)傳輸過程中面臨的竊聽、篡改等安全風(fēng)險(xiǎn)、數(shù)據(jù)存儲時(shí)面臨的破壞、竊取、勒索

病毒等安全風(fēng)險(xiǎn)以及面向AI計(jì)算平臺的非授權(quán)訪問風(fēng)險(xiǎn)等。此外，AI計(jì)算平臺由于引入人工

智能技術(shù)帶來了AI加速處理器、AI模型等新的變化，這些變化因素對軟硬件架構(gòu)、關(guān)鍵資產(chǎn)

等產(chǎn)生了新的安全風(fēng)險(xiǎn)，如針對AI加速處理器的攻擊風(fēng)險(xiǎn)、CPU與AI加速處理器間傳輸風(fēng)險(xiǎn)、

訓(xùn)練框架后門風(fēng)險(xiǎn)等；

b)平臺承載的AI核心資產(chǎn)面臨的安全風(fēng)險(xiǎn)：AI核心資產(chǎn)部署或存儲在AI計(jì)算平臺中，面臨著

AI核心資產(chǎn)竊取及非法篡改、對抗樣本攻擊、模型萃取攻擊等安全風(fēng)險(xiǎn)。

6AI計(jì)算平臺安全框架描述

6.1安全框架結(jié)構(gòu)

根據(jù)5.3所述安全風(fēng)險(xiǎn)，本文件描述的AI計(jì)算平臺安全框架提供了兩類安全功能，分別為平臺自

身安全類與AI核心資產(chǎn)保護(hù)類，每一類安全功能包含多個(gè)具體安全功能，如圖2所示。

4

GB/TXXXXX—XXXX

圖2AI計(jì)算平臺安全框架結(jié)構(gòu)圖

框架中定義的每一個(gè)安全功能由對應(yīng)的安全機(jī)制實(shí)現(xiàn)，每一個(gè)安全機(jī)制由一個(gè)或多個(gè)具體的安全

模塊交互形成。同時(shí)，安全機(jī)制提供服務(wù)接口，供平臺使用方使用相關(guān)安全功能保護(hù)AI核心資產(chǎn)。安

全功能、安全機(jī)制、安全模塊及服務(wù)接口之間的邏輯關(guān)系如圖3所示。

圖3安全框架元素邏輯關(guān)系圖

5

GB/TXXXXX—XXXX

6.2安全功能

6.2.1平臺自身安全功能

AI計(jì)算平臺自身安全功能旨在為平臺使用方提供安全的運(yùn)算環(huán)境，削減平臺成為網(wǎng)絡(luò)攻擊中薄弱

環(huán)節(jié)的風(fēng)險(xiǎn)。平臺自身安全功能分為兩類，第一類功能為通用安全功能，遵循GB/T20272—2019、GB/T

22239—2019、GB/T39680—2020、GB/T37939-2019等既有標(biāo)準(zhǔn)，削減通用場景下平臺軟硬件面臨的安

全風(fēng)險(xiǎn)；第二類根據(jù)AI計(jì)算平臺中新增的安全威脅及AI應(yīng)用場景中的差異化需求，定義新增安全功能。

本文件新增定義的安全功能包括可信驗(yàn)證功能、惡意程序檢測功能和AI加速處理器故障監(jiān)測與恢

復(fù)功能，各安全功能的作用與目的如下：

a）可信驗(yàn)證功能：對AI計(jì)算平臺進(jìn)行完整性度量，包括CPU側(cè)、AI加速處理器側(cè)的固件、軟件等，

并支撐平臺使用方對度量值進(jìn)行驗(yàn)證，以檢測AI計(jì)算平臺是否遭受篡改；

b）惡意程序檢測功能：監(jiān)測AI計(jì)算平臺中為AI訓(xùn)練、推理任務(wù)運(yùn)行開啟的虛擬機(jī)、容器及其他用

戶進(jìn)程運(yùn)行狀態(tài)，檢測已知或未知的惡意程序；

c）AI加速處理器故障監(jiān)測與處理功能：監(jiān)測AI計(jì)算平臺中的AI加速處理器資源狀態(tài)，及時(shí)發(fā)現(xiàn)故

障并進(jìn)行恢復(fù)處理，保障AI訓(xùn)練/推理任務(wù)持續(xù)運(yùn)行。

6.2.2AI核心資產(chǎn)保護(hù)

AI核心資產(chǎn)保護(hù)旨在保障AI核心資產(chǎn)傳輸、存儲、訓(xùn)練、推理等各環(huán)節(jié)安全。AI核心資產(chǎn)保護(hù)類安

全功能包括運(yùn)行環(huán)境隔離功能、異構(gòu)算力安全協(xié)同功能、AI核心資產(chǎn)加解密功能、AI核心資產(chǎn)完整性校

驗(yàn)功能、訓(xùn)練任務(wù)中斷恢復(fù)功能、推理攻擊檢測功能和日志驗(yàn)證與審計(jì)功能，來支撐實(shí)現(xiàn)AI核心資產(chǎn)保

護(hù)。各安全功能的作用與目的如下：

a）AI核心資產(chǎn)加解密功能：對AI核心資產(chǎn)在不同計(jì)算節(jié)點(diǎn)之間流轉(zhuǎn)過程中進(jìn)行加解密保護(hù)，保障

AI核心資產(chǎn)傳輸、存儲過程中的保密性；

b）AI核心資產(chǎn)完整性校驗(yàn)功能：在AI核心資產(chǎn)傳輸、存儲、訓(xùn)練、推理各環(huán)節(jié)中，對其進(jìn)行完整

性校驗(yàn)，支撐用戶鑒別AI核心資產(chǎn)傳輸、存儲過程中的完整性；

c）運(yùn)行環(huán)境隔離功能：為AI訓(xùn)練、推理等計(jì)算任務(wù)提供安全隔離的CPU資源、AI加速運(yùn)算資源、存

儲資源等；

d）異構(gòu)算力安全協(xié)同功能：保障AI訓(xùn)練、推理等計(jì)算任務(wù)均在CPU與AI加速處理器協(xié)同構(gòu)筑的安

全隔離環(huán)境中完成，防范AI核心資產(chǎn)在AI訓(xùn)練、推理等計(jì)算任務(wù)執(zhí)行過程中遭竊取、篡改；

e）訓(xùn)練任務(wù)中斷恢復(fù)功能：監(jiān)測并識別訓(xùn)練資源故障，及時(shí)保存訓(xùn)練任務(wù)上下文狀態(tài)及AI模型參

數(shù)等信息，并在訓(xùn)練資源恢復(fù)后，快速恢復(fù)訓(xùn)練任務(wù)，防范AI模型參數(shù)等訓(xùn)練過程數(shù)據(jù)丟失；

f）推理攻擊檢測功能：計(jì)算推理請求為對抗樣本、模型萃取、屬性推斷等攻擊行為的置信度，并

為AI應(yīng)用提供響應(yīng)策略；

g）日志驗(yàn)證與審計(jì)功能：為平臺使用方提供集中化的日志收集與完整性校驗(yàn)服務(wù)，支撐其定位安

全問題及審計(jì)追溯,該功能同樣適用于平臺自身操作產(chǎn)生的日志。

6.3安全模塊

安全模塊在AI計(jì)算平臺中是以提供特定功能的獨(dú)立邏輯模塊形式出現(xiàn)。在具體實(shí)現(xiàn)中，多個(gè)實(shí)體

模塊可實(shí)現(xiàn)一個(gè)本文件中定義的安全模塊，一個(gè)實(shí)體模塊也可能實(shí)現(xiàn)多個(gè)本文件中定義的安全模塊，具

體的實(shí)現(xiàn)形態(tài)不在本文件中定義。附錄A給出了安全模塊在AI計(jì)算平臺架構(gòu)中的參考分布。

各個(gè)安全模塊的具體定義與描述見第7章“安全模塊”。

6.4安全機(jī)制

6

GB/TXXXXX—XXXX

本文件定義的安全機(jī)制用于實(shí)現(xiàn)AI計(jì)算平臺安全框架中定義的安全功能，每一個(gè)安全機(jī)制實(shí)現(xiàn)一

個(gè)安全功能，包含安全模塊間的交互關(guān)系與交互流程，以及涉及的服務(wù)接口。

各個(gè)安全機(jī)制的具體描述見第8章“安全機(jī)制”。

6.5服務(wù)接口

為平臺使用方提供應(yīng)用AI計(jì)算平臺安全機(jī)制的服務(wù)接口，保障平臺提供的安全功能能夠在平臺使

用方的業(yè)務(wù)流程中發(fā)揮作用。

各個(gè)服務(wù)接口的具體描述見第9章“服務(wù)接口”。

7安全模塊

7.1概述

本章節(jié)根據(jù)安全模塊所屬的安全機(jī)制進(jìn)行組織分類，給出了人工智能計(jì)算平臺中各個(gè)安全模塊的

具體定義與功能。

7.2AI計(jì)算平臺自身安全相關(guān)安全模塊

7.2.1可信驗(yàn)證機(jī)制相關(guān)安全模塊

7.2.1.1可信度量根模塊

可信度量根模塊具備的功能包括但不限于：

a)發(fā)起對CPU側(cè)及AI加速處理器側(cè)固件、操作系統(tǒng)引導(dǎo)程序、操作系統(tǒng)、應(yīng)用程序等的完整性

度量及信任鏈傳遞；

b)保障自身不可篡改。

7.2.1.2度量值管理模塊

度量值管理模塊具備的功能包括但不限于：

a)接收AI計(jì)算平臺其他模塊報(bào)告的度量值；

b)對接收到的度量值進(jìn)行擴(kuò)展、存儲；

c)支撐AI計(jì)算平臺完整性度量值的獲取、驗(yàn)證等。

7.2.2惡意程序檢測機(jī)制相關(guān)安全模塊

7.2.2.1惡意程序檢測模塊

惡意程序檢測模塊具備的功能包括但不限于：

a)檢測支撐用戶訓(xùn)練/推理任務(wù)執(zhí)行的容器或虛擬機(jī)，是否存在逃逸異常情況，并產(chǎn)生告警信息；

b)檢測平臺中開啟的進(jìn)程及文件狀態(tài)等，判別是否存在勒索病毒，并產(chǎn)生告警信息；

c)檢測平臺中開啟的進(jìn)程及文件狀態(tài)等，判別是否存在惡意挖礦程序，并產(chǎn)生告警信息；

d)對其他已知或未知惡意程序進(jìn)行檢測及告警。

7.2.3AI加速處理器故障監(jiān)測與處理機(jī)制相關(guān)安全模塊

7.2.3.1故障監(jiān)測模塊

故障監(jiān)測模塊具備的功能包括但不限于：

a)監(jiān)測訓(xùn)練/推理資源的運(yùn)行狀態(tài)，如占用率等，并判別異常狀態(tài)；

7

GB/TXXXXX—XXXX

b)在監(jiān)測到異常狀態(tài)時(shí)，及時(shí)報(bào)告故障信息，包括故障類型、范圍等。

7.2.3.2故障處理模塊

故障處理模塊具備的功能包括但不限于：

a)收到故障監(jiān)測模塊上報(bào)的故障信息后，能夠根據(jù)故障處理策略，進(jìn)行故障處理，包括隔離故障

節(jié)點(diǎn)、調(diào)度新的訓(xùn)練/推理節(jié)點(diǎn)加入集群、重新配置集群通信網(wǎng)絡(luò)等；

b)向其他模塊報(bào)告故障信息、故障處理進(jìn)度信息等。

7.3AI核心資產(chǎn)保護(hù)相關(guān)安全模塊

7.3.1AI核心資產(chǎn)加解密機(jī)制相關(guān)安全模塊

7.3.1.1加解密模塊

加解密模塊具備的功能包括但不限于：

a)加解密過程對用戶訓(xùn)練/推理腳本透明，無需用戶訓(xùn)練/推理腳本做變更適配；

b)對不同用戶的不同訓(xùn)練/推理任務(wù)涉及的AI核心資產(chǎn)采用不同的數(shù)據(jù)加密密鑰進(jìn)行加解密；

c)對請求解密的訓(xùn)練/推理腳本進(jìn)行訪問控制，防范AI核心資產(chǎn)被非法訪問；

d)與其他請求通信的模塊完成雙向身份認(rèn)證；

e)請求密鑰管理模塊獲取數(shù)據(jù)加密密鑰；

f)利用硬件提供的安全防護(hù)能力,包括但不限于可信執(zhí)行環(huán)境等，保障加解密過程安全運(yùn)行；

g)采用的密碼算法遵循密碼相關(guān)國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)。

7.3.1.2密鑰管理模塊

密鑰管理模塊具備的功能包括但不限于：

a)提供遵循GB/T39786-2021的全生命周期密鑰管理能力，包括密鑰生成、存儲、導(dǎo)入、備份、

導(dǎo)出、更新、刪除等；

b)遵循密鑰分層管理機(jī)制，逐層加密保護(hù)根密鑰、密鑰加密密鑰和數(shù)據(jù)加密密鑰；

c)僅允許密鑰屬主進(jìn)行密鑰查詢、刪除、更新等操作；

d)響應(yīng)其他模塊關(guān)于數(shù)據(jù)加密密鑰的加/解密請求；

e)與其他請求通信的模塊完成雙向身份認(rèn)證；

f)基于安全傳輸信道傳輸數(shù)據(jù)加密密鑰；

g)利用硬件提供的安全防護(hù)能力,包括但不限于可信執(zhí)行環(huán)境等，保護(hù)密鑰。

7.3.1.3設(shè)備根密鑰模塊

CPU側(cè)和AI加速處理器側(cè)均存在設(shè)備根密鑰模塊實(shí)例，具備的功能包括但不限于：

a)基于硬件安全機(jī)制保障設(shè)備根密鑰不被篡改、非授權(quán)訪問等；

b)提供接口供用戶派生密鑰、基于設(shè)備根密鑰加解密等；

c)保障提供的加解密、密鑰派生功能僅能被合法授權(quán)訪問。

7.3.2AI核心資產(chǎn)完整性校驗(yàn)機(jī)制相關(guān)安全模塊

7.3.2.1完整性校驗(yàn)?zāi)K

完整性校驗(yàn)?zāi)K具備的功能包括但不限于：

a)能夠響應(yīng)平臺使用方請求對AI模型、數(shù)據(jù)等進(jìn)行完整性校驗(yàn)；

b)采用的密碼算法及完整性校驗(yàn)機(jī)制遵循密碼相關(guān)國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)。

8

GB/TXXXXX—XXXX

7.3.3運(yùn)行環(huán)境隔離機(jī)制相關(guān)安全模塊

7.3.3.1運(yùn)行環(huán)境隔離模塊

運(yùn)行環(huán)境隔離模塊具備的功能包括但不限于：

a)為不同用戶的不同訓(xùn)練、推理任務(wù)建立CPU側(cè)安全隔離環(huán)境，包括但不限于基于容器的隔離、

基于虛擬機(jī)的隔離等；

b)采用技術(shù)手段避免資源隔離策略被規(guī)避或繞過；

c)安全隔離環(huán)境生命周期結(jié)束時(shí)，清除運(yùn)行在環(huán)境中的AI核心資產(chǎn)。

7.3.3.2AI加速資源安全隔離模塊

CPU側(cè)和AI加速處理器側(cè)均存在AI加速資源安全隔離模塊實(shí)例，具備的功能包括但不限于：

a)為平臺使用方分配安全隔離的加速運(yùn)算單元、內(nèi)存等AI加速處理器資源；

b)防范平臺使用方程序突破資源隔離限制，影響其他應(yīng)用持續(xù)運(yùn)行。

7.3.4異構(gòu)算力安全協(xié)同機(jī)制相關(guān)安全模塊

7.3.4.1可信度量模塊

CPU側(cè)和AI加速處理器側(cè)均存在可信度量模塊實(shí)例，具備的功能包括但不限于：

a)接收平臺使用方請求，對本地安全隔離環(huán)境（含組成安全隔離環(huán)境的固件、軟件和相關(guān)數(shù)據(jù)）

發(fā)起完整性度量；

b)向安全管理模塊發(fā)起請求，獲取本地安全隔離環(huán)境的完整性度量值；

c)對本地安全隔離環(huán)境的完整性度量值進(jìn)行驗(yàn)證，如發(fā)送給遠(yuǎn)程或本地度量值驗(yàn)證模塊進(jìn)行驗(yàn)

證；

d)能夠主動向安全協(xié)同的另一側(cè)（CPU側(cè)或AI加速處理器側(cè)）可信度量模塊發(fā)起完整性度量請

求，請求對安全協(xié)同的另一側(cè)安全隔離環(huán)境進(jìn)行完整性度量。

7.3.4.2安全管理模塊

CPU側(cè)和AI加速處理器側(cè)均存在安全管理模塊實(shí)例，具備的功能包括但不限于：

a)按需為安全隔離實(shí)體分配計(jì)算、存儲資源；

b)為本地計(jì)算、存儲資源進(jìn)行安全屬性初始化；

c)對本地資源進(jìn)行訪問控制策略配置；

d)計(jì)算本地安全隔離環(huán)境的完整度量值，并響應(yīng)可信度量模塊的度量值獲取請求；

e)與安全協(xié)同的另一側(cè)安全管理模塊協(xié)商會話密鑰，并將會話密鑰存儲于安全通信模塊中的安全

內(nèi)存或其他安全存儲環(huán)境中。

f)采用的密碼算法遵循密碼相關(guān)國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)。

7.3.4.3安全通信模塊

CPU側(cè)和AI加速處理器均存在安全通信模塊實(shí)例，具備的功能包括但不限于：

a)提供密鑰存儲接口，用于存儲會話密鑰，保障密鑰不出安全存儲區(qū)域；

b)接受安全管理模塊下發(fā)的訪問控制策略配置或修改；

c)對通信數(shù)據(jù)進(jìn)行完整性保護(hù)；

d)對通信數(shù)據(jù)進(jìn)行加密/解密；

e)對訪問請求進(jìn)行完整性及權(quán)限合法性校驗(yàn)，僅允許通過校驗(yàn)的請求訪問本地安全隔離環(huán)境中的

數(shù)據(jù)等。

9

GB/TXXXXX—XXXX

f)采用的密碼算法及完整性校驗(yàn)機(jī)制遵循密碼相關(guān)國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)。

7.3.5訓(xùn)練任務(wù)中斷恢復(fù)機(jī)制相關(guān)安全模塊

7.3.5.1故障監(jiān)測模塊

故障監(jiān)測模塊具備的功能描述見7.2.3.1。

7.3.5.2故障處理模塊

故障處理模塊具備的功能描述見7.2.3.2。

7.3.5.3訓(xùn)練任務(wù)中斷處理模塊

訓(xùn)練任務(wù)中斷恢復(fù)具備的功能包括但不限于：

a)在接收到故障處理模塊反饋的故障信息后，及時(shí)保存訓(xùn)練任務(wù)上下文及模型參數(shù)等信息；

b)在故障處理模塊反饋故障處理完成后，在新的訓(xùn)練節(jié)點(diǎn)上，加載訓(xùn)練任務(wù)上下文及模型參數(shù)等

信息，恢復(fù)訓(xùn)練任務(wù)。

7.3.6推理攻擊檢測機(jī)制相關(guān)安全模塊

7.3.6.1AI推理攻擊檢測模塊

AI推理攻擊檢測模塊具備的功能包括但不限于：

a)能夠接收來自AI應(yīng)用轉(zhuǎn)發(fā)的推理請求信息，并向其返回AI推理攻擊響應(yīng)策略；

b)對推理請求中所包含的推理樣本進(jìn)行檢測，計(jì)算其包含數(shù)字對抗樣本、物理對抗樣本、模型后

門觸發(fā)樣本等惡意樣本或特征的置信度；

c)基于推理請求所體現(xiàn)的用戶推理行為特征，包括請求頻率、請求來源、請求分布等，計(jì)算本次

推理請求為模型萃取、屬性推斷等攻擊行為的置信度；

d)向AI應(yīng)用返回攻擊響應(yīng)策略信息，包括但不限于阻斷請求、惡意樣本告警提示、惡意用戶告

警等。

7.3.7日志驗(yàn)證與審計(jì)機(jī)制相關(guān)安全模塊

7.3.7.1日志安全管理模塊

日志安全管理模塊具備的功能包括但不限于：

a)提供接口供各個(gè)日志源定期上報(bào)日志信息，日志源可以是數(shù)據(jù)處理、模型訓(xùn)練、模型推理等用

戶AI任務(wù)以及AI計(jì)算平臺軟硬件資源運(yùn)行相關(guān)日志等；

b)對收到的日志信息進(jìn)行持久化存儲，如有必要還需先對日志進(jìn)行格式化統(tǒng)一處理；

c)對處理后的日志記錄，逐條計(jì)算完整性校驗(yàn)信息；

d)能夠響應(yīng)用戶發(fā)送的日志驗(yàn)證及審計(jì)請求，并返回結(jié)果信息；

e)提供身份鑒別與訪問控制能力，僅對通過身份鑒別與訪問控制的用戶提供日志驗(yàn)證及審計(jì)服

務(wù)；

f)采用的密碼算法及完整性校驗(yàn)機(jī)制遵循密碼相關(guān)國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)。

8安全機(jī)制

8.1概述

10

GB/TXXXXX—XXXX

本章節(jié)具體描述了實(shí)現(xiàn)各安全功能的安全機(jī)制內(nèi)容，包含安全模塊間的交互關(guān)系與交互流程，以及

涉及的服務(wù)接口，如圖4所示。

圖4安全機(jī)制總覽

8.2AI計(jì)算平臺自身安全相關(guān)機(jī)制

8.2.1可信驗(yàn)證機(jī)制

可信驗(yàn)證機(jī)制用于實(shí)現(xiàn)可信驗(yàn)證功能，涉及可信度量根模塊與度量值管理模塊。在AI計(jì)算平臺中，

CPU側(cè)與AI加速處理器側(cè)分別基于各自的可信度量根模塊作為起點(diǎn)逐級執(zhí)行完整性度量，并逐級將度

量值存儲于度量值管理模塊。具體實(shí)施步驟可參照GB/T366396.1。

該機(jī)制不涉及服務(wù)接口。

8.2.2惡意程序檢測機(jī)制

惡意程序檢測機(jī)制用于實(shí)現(xiàn)惡意程序檢測功能，涉及惡意程序檢測模塊。該模塊通過接收AI計(jì)算

平臺中各組件提供的運(yùn)行狀態(tài)、日志等信息進(jìn)行惡意程序檢測，識別是否存在虛擬機(jī)/容器逃逸、勒索

病毒、挖礦病毒等已知惡意程序。另外，惡意程序檢測機(jī)制可利用AI計(jì)算平臺的計(jì)算資源使用AI技術(shù)

檢測其他已知或未知惡意程序。

該機(jī)制不涉及服務(wù)接口。

8.2.3AI加速處理器故障監(jiān)測與處理機(jī)制

11

GB/TXXXXX—XXXX

8.2.3.1機(jī)制概述

該機(jī)制概述如下：

a)機(jī)制作用目的：實(shí)現(xiàn)AI加速處理器故障監(jiān)測與處理功能；

b)涉及的安全模塊：故障監(jiān)測模塊和故障處理模塊；

c)涉及的服務(wù)接口：故障監(jiān)測接口和故障處理接口。

8.2.3.2模塊交互關(guān)系

AI加速處理器故障監(jiān)測與處理機(jī)制涉及故障監(jiān)測模塊與故障處理模塊及AI計(jì)算平臺中的訓(xùn)練/推

理資源之間對接交互，相關(guān)模塊交互關(guān)系如圖5所示，同時(shí)需為平臺使用方提供相關(guān)服務(wù)接口，進(jìn)行故

障監(jiān)測信息、故障處理策略等配置操作。圖中的訓(xùn)練/推理資源非本文件定義，因此以灰色背景標(biāo)識。

圖5AI加速處理器故障監(jiān)測與處理機(jī)制涉及的模塊交互關(guān)系

8.2.3.3模塊交互流程

AI加速處理器故障監(jiān)測與處理機(jī)制涉及的模塊交互流程如圖6所示，模塊交互步驟描述如下：

a)故障監(jiān)測模塊持續(xù)監(jiān)測訓(xùn)練/推理資源的運(yùn)行狀態(tài)；

b)故障監(jiān)測模塊監(jiān)測到節(jié)點(diǎn)部件或網(wǎng)絡(luò)等故障后，向故障處理模塊反饋故障信息；

c)故障處理模塊識別故障類型，根據(jù)平臺使用方配置的故障處理策略，進(jìn)行故障處理。

圖6AI加速處理器故障監(jiān)測與處理機(jī)制涉及的模塊交互流程

8.3AI核心資產(chǎn)保護(hù)相關(guān)機(jī)制

12

GB/TXXXXX—XXXX

8.3.1AI核心資產(chǎn)加解密機(jī)制

8.3.1.1機(jī)制概述

該機(jī)制概述如下：

a)機(jī)制作用目的：實(shí)現(xiàn)AI核心資產(chǎn)加解密功能；

b)涉及的安全模塊：加解密模塊、密鑰管理模塊和設(shè)備根密鑰模塊；

c)涉及的服務(wù)接口：密鑰管理接口和用戶管理接口。

8.3.1.2模塊交互關(guān)系

AI核心資產(chǎn)加解密機(jī)制適用于數(shù)據(jù)中心內(nèi)模型訓(xùn)練、推理以及邊緣節(jié)點(diǎn)推理等多種場景，保障AI

模型等核心資產(chǎn)在不同節(jié)點(diǎn)間流轉(zhuǎn)時(shí)傳輸、存儲全流程加密保護(hù)。涉及的模塊包括加解密模塊、密鑰管

理模塊，模塊部署調(diào)用架構(gòu)如圖12所示?？紤]AI模型、數(shù)據(jù)等可能在訓(xùn)練、測試、推理等不同節(jié)點(diǎn)間

流轉(zhuǎn)，為保障數(shù)據(jù)加密密鑰安全分發(fā)、流轉(zhuǎn)，建議在訓(xùn)練、推理節(jié)點(diǎn)部署密鑰管理模塊的同時(shí)，在獨(dú)立

的管理節(jié)點(diǎn)中部署密鑰管理模塊。

圖7AI核心資產(chǎn)加解密機(jī)制涉及的模塊交互關(guān)系

8.3.1.3模塊交互流程

AI核心資產(chǎn)加解密機(jī)制涉及的安全模塊交互流程如圖13所示，交互步驟描述如下：

13

GB/TXXXXX—XXXX

圖8AI核心資產(chǎn)加解密機(jī)制涉及的模塊交互流程

a)平臺使用方的訓(xùn)練/推理腳本運(yùn)行，涉及保存/加載AI核心資產(chǎn)密文操作，觸發(fā)AI核心資產(chǎn)加/解

密；

b)加解密模塊請求訓(xùn)練/推理節(jié)點(diǎn)的密鑰管理模塊獲取數(shù)據(jù)加密密鑰；

c)訓(xùn)練/推理節(jié)點(diǎn)的密鑰管理模塊若已經(jīng)持有數(shù)據(jù)加密密鑰，則直接與加解密模塊完成雙向身份

認(rèn)證，并建立安全傳輸信道；

d)訓(xùn)練/推理節(jié)點(diǎn)的密鑰管理模塊基于安全傳輸信道，加密傳輸數(shù)據(jù)加密密鑰，跳轉(zhuǎn)至步驟j）；

e)若因AI核心資產(chǎn)跨節(jié)點(diǎn)流轉(zhuǎn)等原因，訓(xùn)練/推理節(jié)點(diǎn)的密鑰管理模塊尚未持有數(shù)據(jù)加密密鑰，

則需請求管理節(jié)點(diǎn)的密鑰管理模塊獲取數(shù)據(jù)加密密鑰；

f)訓(xùn)練/推理節(jié)點(diǎn)的密鑰管理模塊與管理節(jié)點(diǎn)的密鑰管理模塊完成雙向身份認(rèn)證后建立安全傳輸

信道；

g)基于安全傳輸信道，管理節(jié)點(diǎn)的密鑰管理模塊將數(shù)據(jù)加密密鑰傳輸?shù)接?xùn)練/推理節(jié)點(diǎn)的密鑰管

理模塊中；

h)訓(xùn)練/推理節(jié)點(diǎn)的密鑰管理模塊與加解密模塊完成雙向身份認(rèn)證，并建立安全傳輸信道；

i)訓(xùn)練/推理節(jié)點(diǎn)的密鑰管理模塊基于安全傳輸信道，加密傳輸數(shù)據(jù)加密密鑰；

j)加解密模塊基于數(shù)據(jù)加密密鑰為用戶訓(xùn)練/推理腳本加/解密AI核心資產(chǎn)。

8.3.2AI核心資產(chǎn)完整性校驗(yàn)機(jī)制

AI核心資產(chǎn)完整性校驗(yàn)機(jī)制用于實(shí)現(xiàn)AI核心資產(chǎn)完整性校驗(yàn)功能，涉及完整性校驗(yàn)?zāi)K。該模塊

利用遵循密碼相關(guān)國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)要求的雜湊算法及數(shù)字簽名算法對AI模型等核心資產(chǎn)進(jìn)行密碼

學(xué)運(yùn)算，從而實(shí)現(xiàn)完整性校驗(yàn)。其中，數(shù)字簽名運(yùn)算流程可與AI核心資產(chǎn)加解密機(jī)制中的加密流程協(xié)

同執(zhí)行；數(shù)字簽名驗(yàn)簽運(yùn)算流程可與AI核心資產(chǎn)加解密機(jī)制中的解密流程協(xié)同執(zhí)行。

該機(jī)制不涉及服務(wù)接口。

8.3.3運(yùn)行環(huán)境隔離機(jī)制

14

GB/TXXXXX—XXXX

8.3.3.1機(jī)制概述

該機(jī)制概述如下：

a)機(jī)制作用目的：實(shí)現(xiàn)運(yùn)行環(huán)境隔離功能；

b)涉及的安全模塊：運(yùn)行環(huán)境隔離模塊和AI加速資源安全隔離模塊；

c)涉及的服務(wù)接口：無。

8.3.3.2模塊交互關(guān)系

運(yùn)行環(huán)境隔離機(jī)制涉及與AI模型訓(xùn)練/推理節(jié)點(diǎn)中既有的用戶任務(wù)管理模塊（如，容器管理組件）、

工作節(jié)點(diǎn)資源管理模塊（如，容器代理組件）等對接交互，相關(guān)模塊交互關(guān)系如圖7所示。圖中的用戶

任務(wù)管理模塊非本文件定義，因此以灰色背景標(biāo)識。

圖9運(yùn)行環(huán)境隔離機(jī)制涉及的模塊交互關(guān)系

8.3.3.3模塊交互流程

圖10運(yùn)行環(huán)境隔離機(jī)制涉及的模塊交互流程

運(yùn)行環(huán)境隔離機(jī)制涉及的安全模塊交互流程如圖8所示，交互步驟描述如下：

a)資源隔離配置階段：

1)平臺使用方通過任務(wù)管理模塊請求分配資源隔離的運(yùn)行環(huán)境，任務(wù)管理模塊收到平臺使

用方請求后，向訓(xùn)練/推理節(jié)點(diǎn)中的運(yùn)行環(huán)境隔離模塊下發(fā)資源需求；

15

GB/TXXXXX—XXXX

2)運(yùn)行環(huán)境隔離模塊首先分配CPU側(cè)運(yùn)行資源，構(gòu)建CPU側(cè)隔離的運(yùn)行環(huán)境（如，容器、虛

擬機(jī)等），同時(shí)向CPU側(cè)AI加速資源安全隔離模塊下發(fā)AI加速資源隔離請求；

3)CPU側(cè)AI加速資源安全隔離模塊請求AI加速處理器側(cè)AI加速資源安全隔離模塊分配基

于硬件隔離的AI加速資源；

4)AI加速處理器側(cè)AI加速資源安全隔離模塊根據(jù)平臺使用方請求的AI加速資源規(guī)格，為

平臺使用方分配安全隔離的AI加速資源，包括AI加速運(yùn)算資源、內(nèi)存資源等；

5)AI加速處理器側(cè)AI加速資源安全隔離模塊完成資源分配后，逐步返回資源配置完成消

息，運(yùn)行環(huán)境隔離模塊向任務(wù)管理模塊返回資源配置完成消息，包括CPU側(cè)資源和AI加

速處理器側(cè)資源；

b)資源調(diào)度階段：

1)平臺使用方發(fā)起AI計(jì)算任務(wù)運(yùn)行后，運(yùn)行環(huán)境隔離模塊基于已配置的隔離資源為平臺使

用方創(chuàng)建訓(xùn)練/推理容器/虛擬機(jī)；

2)平臺使用方基于容器/虛擬機(jī)執(zhí)行訓(xùn)練/推理腳本，涉及AI加速處理器資源調(diào)度時(shí)，將由

運(yùn)行環(huán)境隔離模塊通過CPU側(cè)AI加速資源安全隔離模塊發(fā)起請求；

3)CPU側(cè)AI加速資源安全隔離模塊向AI加速資源安全隔離模塊發(fā)起請求，調(diào)度并使用AI

加速運(yùn)算資源、內(nèi)存資源等。

8.3.4異構(gòu)算力安全協(xié)同機(jī)制

8.3.4.1機(jī)制概述

該機(jī)制概述如下：

a)機(jī)制作用目的：實(shí)現(xiàn)異構(gòu)算力安全協(xié)同功能；

b)涉及的安全模塊：CPU側(cè)、AI加速處理器側(cè)分別存在的可信度量模塊、安全管理模塊和安全通

信模塊，這些安全模塊需要和安全隔離實(shí)體、度量值驗(yàn)證模塊等交互配合；

注1：此處的安全隔離實(shí)體可以是虛擬機(jī)、容器等多種形態(tài)，可通過“運(yùn)行環(huán)境隔離模塊”、“AI加速資源安全隔

離模塊”建立，非本安全機(jī)制重新定義的安全模塊；

注2：此處的度量值驗(yàn)證模塊可為遠(yuǎn)程證明服務(wù)器或AI計(jì)算平臺中能夠支撐度量值校驗(yàn)的相關(guān)功能模塊，非本安全

機(jī)制重新定義的安全模塊；

c)涉及的服務(wù)接口：完整性度量接口和安全策略配置接口。

8.3.4.2模塊交互關(guān)系

異構(gòu)算力安全協(xié)同機(jī)制涉及CPU側(cè)與AI加速處理器側(cè)的安全模塊交互，具體在CPU側(cè)、AI加速處

理器側(cè)分別涉及可信度量模塊、安全管理模塊、安全通信模塊，模塊之間交互關(guān)系如圖9所示。圖中的

安全隔離實(shí)體及度量值驗(yàn)證模塊非本文件定義，因此以灰色背景標(biāo)識。

16

GB/TXXXXX—XXXX

圖11異構(gòu)算力安全協(xié)同機(jī)制涉及的模塊交互關(guān)系

8.3.4.3模塊交互流程

8.3.4.3.1初始化階段涉及的模塊交互流程

異構(gòu)算力安全協(xié)同機(jī)制初始化階段涉及的安全模塊交互流程如圖10所示，交互步驟描述如下：

圖12異構(gòu)算力安全協(xié)同機(jī)制初始化階段涉及的模塊交互流程

a)建立CPU側(cè)安全隔離環(huán)境：

1)安全管理模塊接收平臺使用方指令，配置CPU側(cè)計(jì)算資源與存儲資源及其安全屬性，并設(shè)

置相應(yīng)訪問控制策略；

2)由可信度量模塊向安全管理模塊發(fā)起完整性度量請求，安全管理模塊計(jì)算本地安全隔離

環(huán)境的完整性度量值后，向可信度量模塊返回度量值；

17

GB/TXXXXX—XXXX

3)CPU側(cè)可信度量模塊將本地安全隔離環(huán)境度量值交由遠(yuǎn)程或本地度量值驗(yàn)證模塊進(jìn)行驗(yàn)

證，平臺使用方收到驗(yàn)證結(jié)果，確認(rèn)CPU側(cè)安全隔離環(huán)境可信后，確認(rèn)建立CPU側(cè)安全隔

離環(huán)境；

b)建立AI加速處理器側(cè)安全隔離環(huán)境：

1)CPU側(cè)安全管理模塊向AI加速處理器側(cè)安全管理模塊發(fā)起安全隔離環(huán)境建立請求；

2)AI加速處理器側(cè)安全管理模塊響應(yīng)請求，配置AI加速處理器側(cè)算力資源與存儲資源安全

屬性，并設(shè)置相應(yīng)訪問控制策略；

3)CPU側(cè)可信度量模塊請求對AI加速處理器側(cè)安全隔離環(huán)境發(fā)起完整性度量；

4)AI加速處理器側(cè)可信度量模塊向本側(cè)安全管理模塊發(fā)起完整性度量請求，本側(cè)安全管理

模塊計(jì)算AI加速處理器安全隔離環(huán)境的完整性度量值后，向本側(cè)可信度量模塊返回度量

值；

5)AI加速處理器側(cè)可信度量模塊向CPU側(cè)可信度量模塊返回度量值；

6)CPU側(cè)可信度量模塊將收到的AI加速處理器側(cè)完整性度量值交由度量值驗(yàn)證模塊進(jìn)行驗(yàn)

證，平臺使用方確認(rèn)AI加速處理器側(cè)安全隔離環(huán)境可信后，確認(rèn)建立AI側(cè)安全隔離環(huán)

境；

c)形成異構(gòu)算力協(xié)同的安全隔離環(huán)境：

1)CPU側(cè)安全管理模塊與AI加速處理器側(cè)安全管理模塊通過密鑰協(xié)商協(xié)議確立會話密鑰，

并分別將會話密鑰存儲于本地安全通信模塊中，支撐CPU側(cè)、AI加速處理器側(cè)的安全隔

離環(huán)境之間加密通信。

8.3.4.3.2運(yùn)行階段涉及的模塊交互流程

異構(gòu)算力安全協(xié)同機(jī)制運(yùn)行階段涉及的安全模塊交互流程如圖11所示，交互步驟描述如下：

a)CPU側(cè)向AI加速處理器側(cè)發(fā)起訪問：

1)CPU側(cè)安全隔離實(shí)體根據(jù)AI計(jì)算任務(wù)需求向AI加速處理器側(cè)發(fā)起內(nèi)存讀寫請求，或下發(fā)AI

計(jì)算任務(wù)；

2)CPU側(cè)安全通信模塊根據(jù)請求發(fā)起方身份信息與權(quán)限配置信息判斷請求合法性；

3)權(quán)限檢查通過后，對請求中的信息進(jìn)行保密性、完整性保護(hù)，并將請求發(fā)送至AI加速處理

器側(cè)的安全通信模塊；

4)AI加速處理器側(cè)安全通信模塊檢查請求信息的完整性，并根據(jù)請求方身份信息與權(quán)限配置

信息判斷請求合法性，請求信息的完整性及合法性均校驗(yàn)通過后，再解密請求信息并發(fā)往

安全隔離實(shí)體處理；

5)AI加速處理器側(cè)安全隔離實(shí)體根據(jù)請求讀寫相應(yīng)內(nèi)存，或?qū)⑷蝿?wù)寫入對應(yīng)寄存器，并向CPU

側(cè)返回讀寫結(jié)果；

b)AI加速處理器側(cè)向CPU側(cè)發(fā)起訪問：

1)AI加速處理器側(cè)安全隔離實(shí)體根據(jù)AI計(jì)算任務(wù)需求向CPU側(cè)發(fā)起內(nèi)存讀寫請求；

2)AI加速處理器側(cè)安全通信模塊根據(jù)請求發(fā)起方身份信息與權(quán)限配置信息判斷請求合法性，；

3)權(quán)限檢查通過后，對請求中的信息進(jìn)行保密性、完整性保護(hù)，并發(fā)送請求；

4)CPU側(cè)安全通信模塊檢查請求信息的完整性，并根據(jù)請求方身份信息與權(quán)限配置信息判斷

請求合法性，請求信息的完整性及合法性均校驗(yàn)通過后，才解密請求信息并發(fā)往安全隔離

實(shí)體處理；

5)CPU側(cè)安全隔離實(shí)體根據(jù)請求讀寫相應(yīng)內(nèi)存，并向AI加速處理器側(cè)返回內(nèi)存讀寫結(jié)果。

18

GB/TXXXXX—XXXX

圖13異構(gòu)算力安全協(xié)同機(jī)制運(yùn)行階段涉及的模塊交互流程

8.3.5訓(xùn)練任務(wù)中斷恢復(fù)機(jī)制

8.3.5.1機(jī)制概述

該機(jī)制概述如下：

a)機(jī)制作用目的：實(shí)現(xiàn)訓(xùn)練任務(wù)中斷恢復(fù)功能；

b)涉及的安全模塊：故障監(jiān)測模塊、故障處理模塊和訓(xùn)練任務(wù)中斷處理模塊；

c)涉及的服務(wù)接口：故障監(jiān)測接口和故障處理接口。

8.3.5.2模塊交互關(guān)系

訓(xùn)練任務(wù)中斷恢復(fù)機(jī)制涉及與用戶訓(xùn)練環(huán)境中既有的訓(xùn)練資源、存儲系統(tǒng)、與本文件定義的故障監(jiān)

測模塊、故障處理模塊以及訓(xùn)練任務(wù)中斷處理模塊對接交互，相關(guān)模塊交互關(guān)系如圖14所示。圖中的

訓(xùn)練資源及存儲系統(tǒng)非本文件定義，因此以灰色背景標(biāo)識。

圖14訓(xùn)練任務(wù)中斷恢復(fù)機(jī)制涉及的模塊交互關(guān)系

19

GB/TXXXXX—XXXX

8.3.5.3模塊交互流程

訓(xùn)練任務(wù)中斷恢復(fù)機(jī)制涉及的模塊交互流程如圖15所示，模塊交互步驟描述如下：

圖15訓(xùn)練任務(wù)中斷恢復(fù)機(jī)制涉及的模塊交互流程

a)故障檢測及故障信息反饋

1)故障監(jiān)測模塊持續(xù)監(jiān)測用戶訓(xùn)練資源的運(yùn)行狀態(tài)，包括訓(xùn)練節(jié)點(diǎn)內(nèi)部處理器、內(nèi)存等部件

的資源占用情況、電源穩(wěn)定性、溫度等以及集群通信網(wǎng)絡(luò)狀態(tài)等；

2)故障監(jiān)測模塊監(jiān)測到節(jié)點(diǎn)部件或網(wǎng)絡(luò)等故障后，向故障處理模塊反饋故障信息；

3)故障處理模塊識別故障類型，明確故障處理方式，同步向訓(xùn)練任務(wù)中斷處理模塊反饋故障

信息；

b)訓(xùn)練任務(wù)中斷處理

1)訓(xùn)練任務(wù)中斷處理模塊及時(shí)處理訓(xùn)練任務(wù)保障其不會立即退出，將訓(xùn)練任務(wù)上下文、模型

訓(xùn)練參數(shù)等保存到存儲系統(tǒng)；

2)完成模型訓(xùn)練參數(shù)持久化存儲后，向故障處理模塊反饋結(jié)果；

c)訓(xùn)練資源重新部署

1)故障處理模塊收到反饋信息后，退出訓(xùn)練進(jìn)程，按照故障處理策略，處理故障，恢復(fù)訓(xùn)練

資源；

d)訓(xùn)練任務(wù)恢復(fù)

1)訓(xùn)練資源恢復(fù)后，故障處理模塊請求訓(xùn)練任務(wù)中斷處理模塊在新的訓(xùn)練資源上恢復(fù)訓(xùn)練

任務(wù)；

2)訓(xùn)練任務(wù)中端處理模塊從存儲系統(tǒng)中讀取步驟d）持久化存儲的關(guān)鍵信息，并在新的訓(xùn)練

資源上加載訓(xùn)練任務(wù)上下文、已訓(xùn)練的模型參數(shù)等，恢復(fù)訓(xùn)練任務(wù)。

8.3.6推理攻擊檢測機(jī)制

8.3.6.1機(jī)制概述

20

GB/TXXXXX—XXXX

該機(jī)制概述如下：

a)機(jī)制作用目的：實(shí)現(xiàn)AI推理攻擊檢測功能；

b)涉及的安全模塊：AI推理攻擊檢測模塊，同時(shí)需與AI應(yīng)用交互配合；

c)涉及的服務(wù)接口：響應(yīng)策略獲取接口。

8.3.6.2模塊交互關(guān)系

AI推理攻擊檢測機(jī)制的作用目的、涉及的功能模塊如5.5所介紹。涉及的相關(guān)模塊交互關(guān)系如圖

16所示。圖中的AI應(yīng)用相關(guān)模塊非本文件定義，因此以灰色背景標(biāo)識。

圖16AI推理攻擊檢測機(jī)制涉及的模塊交互關(guān)系

8.3.6.3模塊交互流程

AI推理攻擊檢測機(jī)制涉及的安全模塊交互流程如圖17所示，交互步驟描述如下：

a)用戶發(fā)送推理查詢請求；

b)AI應(yīng)用根據(jù)從AI推理攻擊檢測模塊獲得的推理請求響應(yīng)策略以及自身維護(hù)的訪問控制策略等，

判定是否響應(yīng)該請求；

c)AI應(yīng)用調(diào)用AI推理攻擊檢測模塊提供的服務(wù)接口向AI推理攻擊檢測模塊發(fā)送推理請求；

d)AI推理攻擊檢測模塊基于用戶行為、樣本