[发明专利]一种工业应用场景下的深度神经网络模型安全保护方法

权利要求书

1.一种工业应用场景下的深度神经网络模型安全保护方法，其特征在于，包括以下步骤：

S1、安全需求分析；具体实现方法为：基于DNN的工业物理信息系统CPS具有两类安全需求：机密性保护需求和完整性保护需求；用户在部署DNN之前，首先向系统提供一个用于描述机密性保护需求的权重α和一个描述完整性保护需求的权重β；两个权重之和被限定为1；结合DNN每一层的参数信息，在DNN模型部署之前，根据安全需求，为模型的每一层都设置需要加密的参数数量和需要计算校验的参数数量；根据部署环境的具体情况和层的特性，为模型的每一层确定一个绝对安全级别；

S2、安全服务设计；具体实现方法为：

S21、选择五种对称加密算法，根据密码学原理分析算法的安全性，从低到高设置机密性保护服务的安全级别，完成机密性保护服务集的定义：

S22、选择五种使用不同Hash算法的SHA算法，根据输出的哈希值长度，从低到高设置完整性保护服务的安全级别，得到完整性保护服务集：

S23、测试并记录不同安全级别的安全服务的运行时间；

S3、层感知安全服务分配：在DNN模型运行之前，在不违背实时约束的条件下，为DNN模型的每一层都分配合适的机密性保护服务和完整性保护服务；具体实现方法为：

S31、使用一个数据结构τ_i记录DNN模型每一层的安全信息：

其中ξ_i表示DNN的第i层使用的机密性保护服务的安全级别，ε_i表示DNN的第i层使用的完整性保护服务的安全级别；

S32、根据τ_i计算DNN模型每一层的安全质量QualSec(τ_i)：

s_i＝α*ξ_i+β*ε_i

QualSec(τ_i)＝1-Prob_insecure(τ_i)

根据计算所得的DNN模型层的安全质量，计算系统的整体安全质量QualSec_DNN：

S33、根据系统的相关实时约束和计算得到的系统整体安全质量，建模具有实时约束的安全质量最大化的问题：

使用系统风险RL_sys定义

R为系统的相应时间，Deadline为系统截止日期，实时约束为：

R≤Deadline；

S34、定义安全质量求解的动态规划的递归表达式：

其中R(i，RL)表示DNN第i层在风险为RL时的响应时间，表示DNN第i层选择第J种机密性保护服务和第K种完整性保护服务时的第i层风险值，E_i为DNN第i层的运行时间； 根据递归表达式，将安全质量最大化的解定义为：

S35、使用近似算法计算近似最优解，计算RL_sys的上界

并将设置为设RL_sys的下界为1；

S36、当时，执行以下操作，否则执行步骤S37；

根据近似算法的近似因子δ，计算缩放因子Δ：

将所有的缩放为

设置RL为计算R(n，RL)，若R(n，RL)≤D，则将设为否则将设为然后重新计算缩放因子，进行缩放操作；

S37、得到近似最优解

S38、根据得到DNN模型每一层的安全服务分配方式；

S4、运行时调度；具体实现方法为：

S41、根据安全服务分配方式，为DNN模型的每一层分配相应的机密性保护服务和完整性保护服务；

S42、根据机密性保护服务，生成密钥，加密参数，将加密后的参数存储在安全存储区；

S43、根据完整性保护服务，为DNN模型的每一层都计算数据校验和，并将校验和存储在安全存储区；

S44、从安全存储区中取出DNN模型的第一层参数，在CPU上执行机密性保护服务的解密操作，将参数还原，再执行完整性保护服务，计算校验和并与原始校验和比较，当比较结果相同时，将参数送入GPU中进行运算；

S45、在GPU进行DNN模型当前层的运算时，CPU执行DNN模型下一层的解密和校验操作，等待GPU空闲后，执行DNN模型下一层的运算操作；重复执行步骤S45直到DNN模型运算完毕；

S46、输出DNN模型的运算结果。