《中移智庫：2024TEE技術在隱私計算和大模型訓練場景下的探索和展望報告（11頁）.pdf》由會員分享，可在線閱讀，更多相關《中移智庫：2024TEE技術在隱私計算和大模型訓練場景下的探索和展望報告（11頁）.pdf（11頁珍藏版）》請在三個皮匠報告上搜索。

1、TEETEE 技術在隱私計算和大模型訓練技術在隱私計算和大模型訓練場景下的場景下的探索探索和展望和展望中國移動研究院 業務研究所2024 年 12 月中移智庫摘要摘要本文介紹了可信執行環境 TEE（Trusted ExecutionEnvironment）技術的基本特點以及 TEE 技術在傳統機密計算領域的應用和發展進程，以及 TEE 在最新預訓練大模型領域應用的技術難點和解決方案，在此基礎上，本文還展望了 TEE技術在機密計算領域的前景和面臨的主要問題。一、一、引言引言在人工智能領域，數據是至關重要的資源。無論是訓練模型還是優化算法，都離不開大量的數據支持。然而，這些數據往往包含了大量的敏感

2、信息，如用戶的個人信息商業機密等。一旦這些數據被泄露或濫用，將會給個人和企業帶來巨大的損失。因此，保障數據的安全性對于維護社會穩定和促進經濟發展具有重要意義。1中移智庫為保證數據的安全，在人工智能領域涌現出了許多數據隱私保護的算法和技術，每種技術都有其獨特的適用領域和優勢。以下是對其中使用最廣泛的幾種主流技術和主要適用領域的描述：1、聯邦學習：聯邦學習是一種分布式機器學習框架，它允許多個參與者在不直接共享本地數據的情況下共同訓練一個全局模型。這種方法特別適用于需要保護用戶隱私的場景，如金融、醫療和電子商務等領域。聯邦學習通過加密中間結果或使用加法同態加密技術來保護數據隱私，同時允許在保持數據隱

3、私的前提下進行模型訓練和更新。2、安全多方計算：安全多方計算（SMC）是一種允許多個參與者在不泄露各自輸入的情況下共同計算一個函數的技術。這種技術在需要保護商業秘密或敏感信息的場景中非常有用，如供應鏈管理、智能合約等。SMC通過確保每個參與者只能獲取最終結果而無法得知其他參與者的具體輸入，從而保護了各方的利益。3、可信執行環境TEE：TEE 是通過創建一個隔離的執行環境，將敏感數據的處理過程與外部環境隔離開來，確保數據在傳輸和處理過程中不會被竊取或篡改的一種技術。TEE 還具備硬件信任根（Root of Trust）和鏈式信任機制，2中移智庫確保從啟動到運行的每個階段都能被驗證，并通過提供每個

4、階段度量值的簽名讓第三方用戶遠程驗證其運行環境的完整性。相比聯邦學習和安全多方計算，可信執行環境TEE 的計算效率更高，而且可以適用于所有隱私計算的業務場景，在一些數據集中存儲或者數據可出域進行集中計算的場景可以更好的發揮其性能優勢，因此逐步成為隱私計算方向一項非常重要的技術。二、二、TEETEE技術在技術在隱私隱私計算領域的應用和發展計算領域的應用和發展TEE 的概念最早可以追溯到 20 世紀 90 年代，當時研究人員開始探索如何在不可信的環境中創建安全的執行環境當時的解決方案主要依賴于硬件輔助的虛擬化技術，如Intel的VT-X和AMD 的SVM 技術，這些技術為虛擬機提供了隔離的執行環境

5、。隨著 TEE技術的發展，業界認識到了制定統一標準的重要性。全球平臺組織（GP）成立并推出了 TEE的行業標準，包括全球平臺可信模塊（TPM）和全球平臺可信計算環境（TPME）。這些標準為 TEE 的設計、實施和評估提供了統一的框架，促進了不同廠商之間的互操作性。隨著標準的制定和相關安全芯片的設計，機密計算技術在PC、智能手機等平臺上得到了廣泛的商業部署使用。3中移智庫2015 年開始，隨著云計算和移動平臺的發展，對于平臺的安全性帶來了更大的挑戰，Intel 于 2013 年推出了 SGX技術，旨在通過硬件強制的方式提供一個更加安全的執行環境增強其安全性。AMD 也于 2016 年推出了 SE

6、V（SecureEncrypted Virtualization）技術，即安全加密虛擬化技術，這項技術使得虛擬機的內存內容即使在物理服務器上也能保持加密狀態，從而防止潛在的惡意管理程序或其他未授權訪問者讀取或篡改虛擬機的數據。2019 年，Linux 基 金 會 成 立 了 機 密 計 算 聯 盟（Confidential Computing Consortium）,進一步規范TEE 硬件與 TEE 軟件(如統一 SDK 和 API 接口)，并推進機密計算技術和標準的快速落地，INTEL 和 AMD 亦先后推出TDX，SEV-SNP等升級技術。從上可見，TEE 技術在過去的幾十年不斷地發展更新

7、。近年來隨著人工智能的發展，TEE 技術在人工智能的數據安全保護領域也有著廣泛的應用，以 TEE 技術輔助聯邦學習為例，為了保護梯度數據，聯邦學習可以使用差分隱私技術在模型訓練結果參數中加入微弱噪音來降低其他方反推出梯度數據的可能性，而利用同態加密基本可以把這個風險降低到逼近零因此安全性更高，但同態加密在計算性能的損耗遠大于差分隱私。有了 TEE 之后，因為在 TEE 中的運算4中移智庫對 TEE 環境外而言是密態的，系統中可以通過 TEE 和 TEE 之間點對點的密態通信來保證傳輸過程中的數據也是密態的這樣通過 TEE可以得到一個多方之間互通的密態域，此時聯邦學習就可選擇性能更優的差分隱私，

8、以達到通過 TEE來對聯邦學習訓練性能進行加速和安全加固的效果。在商業產品上，華為 MindSpore 就是一個支持基于 TEE的縱向聯邦學習的開源平臺，MindSpore 使用了 Intel SGX技術來實現 TEE，它允許在 vFL（縱向聯邦學習）中使用TEE 來保護中間結果和梯度，防止攻擊者反推出用戶信息。另外，阿里、百度以及騰訊等廠商均推出了支持 TEE的機密計算平臺，用戶可以把重要的數據和代碼放在一個特殊的可信執行加密環境中，極大減少敏感數據的泄露風險。三、三、TEETEE技術在大模型技術的應用與困難技術在大模型技術的應用與困難大模型技術在2023年取得了爆發式增長，預訓練大模型、云

9、計算和開源的融合使得越來多的人開始使用生成式人工智能，然而由于大模型訓練的海量數據對計算性能要求非常高，一些分布式的隱私計算技術在面對海量數據時會存在計算性能大幅損耗問題，而TEE 技術相比這些分布式隱私計算技術具有以下特點：5中移智庫1、高性能，研究表明，基于可信硬件的安全計算技術的性能損失在20%以內，而其他分布式隱私計算算法的性能損耗均在一個數量級以上。2、通用性，已經訓練完的成熟的模型和算法可以經過少量改造成為支持TEE的模型和算法，可以復用現有的模型和算法，提高開發和部署效率。3、可驗證性，密碼學技術普遍無法有效實現計算結果的可驗證性，而可信硬件通過遠程認證服務、代碼完整性測量、簽名

10、驗證等方法確保了計算環境的正確性和計算結果的可驗證性?；谏鲜黾夹g優勢，大模型在 TEE 容器內部署計算效率不會明顯下降，計算準確度可以保證并且大模型的代碼遷移容易實現，因此在理論上 TEE 技術更易于實現大模型訓練用戶數據的保護，但是在實踐中，由于 TEE 技術過去是基于CPU 的，而大模型的計算主要在 GPU，因此 GPU 側支持 TEE成為一個需要攻克的技術難點。英偉達于2022年推出了首款支持 TEE技術的 GPU H100，H100 GPU 基于 NVIDIA Hopper 架構，當GPU 以機密6中移智庫模式啟動即啟動TEE時，GPU 計算保護區內存的輸入和輸出將受到限制，PCIe

11、防火墻阻止 CPU 訪問大部分寄存器和GPU計算保護區內存，NVLink防火墻阻止其他 GPU 對當前GPU 計算保護區內存的訪問。DMA引擎是唯一一個用戶態可用的能對 CPR外部做讀寫的引擎，DMA 硬件會確保數據在被寫到計算保護區內存之外時會先經過硬件加密。以上這些措施確保了GPU計算保護區內存中的數據不會被泄露，保證了代碼和數據的安全性。另外，機密計算模式啟動的H100 GPU 會啟用驗證機制，確保 GPU初始態的代碼和數據的機密性和完整性可被遠端用戶驗證，其措施如下：1、基于安全啟動和度量，在啟動時建立信任鏈。2、通過SPDM（Security Protocol and Data Mo

12、del）會話實現與CPU TEE中的驅動的安全連接。3、GPU會生成一個證明報告，提供簽名之后的度量值。用戶可以驗證該證明報告，僅在報告是可靠且正確的情況下繼續使用GPU。7中移智庫可以看到，H100 GPU的 TEE 解決方案是比較完善的，在商用上，微軟基于英偉達H100 GPU 搭建了 Azure confidential VMs平臺，為用戶提供了一個安全可靠的環境來保護GPU的大模型訓練數據。目前國內 GPU廠商亦在研發支持TEE的GPU產品，有計劃后續推出相關產品，完善其產品能力。四、四、TEETEE技術未來展望技術未來展望目前，TEE技術已經廣泛應用于金融、醫療、物聯網等領域，未來還

13、將擴展到更多行業，如智能家居、自動駕駛等，這些領域對數據安全和隱私保護有著極高的要求，TEE技術可以為其提供強有力的保障。但是需要看到，TEE技術也面臨一些問題，需要在未來逐步改進。1、TEE技術需要努力實現跨平臺的兼容和互操作。目前，不同芯片廠商的TEE 技術之間存在一定的差異，這導致開發人員和用戶在應用部署和使用時面臨額外的成本和學習曲線，也限制了其應用范圍。2、TEE技術尚未完全標準化，為了推動 TEE 技術的普及和應用，需要加強合作共同制定和完善相關的技術標準和規范。8中移智庫3、國內企業和研究機構需要加大在TEE 技術上的研發投入，推動TEE技術的自主創新和產業化進程。通過采用開源指

14、令集、建立標準化技術架構等手段，構建自主可控的TEE 產業鏈。9中移智庫 參考文獻參考文獻 1 Understanding Trusted Execution Environments(TEE)by GlobalPlatform,White Paper,20162 Confidential Computing with NVIDIA H100 GPU byNVIDIA,White Paper,20233 Dhanuskodi,Gobikrishna,et al.Creating the FirstConfidential GPUs:The team at NVIDIA bringsconfidentiality and integrity to user code and data foraccelerated computing.Queue 21.4(2023):68-93.審稿：李連源、吳博、葛欣|業務研究所作者：呂國松|業務研究所中移智庫