信息安全技術 人工智能計算平臺安全框架

ICS35.030

CCSL80

中華人民共和國國家標準

GB/TXXXXX—XXXX

信息安全技術

人工智能計算平臺安全框架

Informationsecuritytechnology

—Artificialintelligencecomputingplatformsecurityframework

（征求意見稿）

(本稿完成時間：2023年4月30日)

在提交反饋意見時，請將您知道的相關專利連同支持性文件一并附上。

XXXX—XX—XX發(fā)布XXXX—XX—XX實施

GB/TXXXXX—XXXX

前言

本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定

起草。

本文件由全國信息安全標準化技術委員會（SAC/TC260）提出并歸口。

本文件起草單位：華為技術有限公司、中國電子技術標準化研究院、中國電信集團有限公司、上海

商湯智能科技有限公司、北京交通大學、北京快手科技有限公司、北京神州綠盟科技有限公司從、北京

數安行科技有限公司、北京數字認證股份有限公司、北京信安世紀科技股份有限公司、北京眼神科技有

限公司、北京銀聯金卡科技有限公司、北京遠鑒信息技術有限公司、公安部第三研究所、公安部第一研

究所、國家工業(yè)信息安全發(fā)展研究中心、國家信息技術安全研究中心、國家信息中心、國網區(qū)塊鏈科技

（北京）有限公司、國網新疆電力有限公司電力科學研究院、國網智能電網研究院有限公司、杭州安恒

信息技術股份有限公司、華控清交信息科技（北京）有限公司、華中科技大學、螞蟻科技集團股份有限

公司、美的集團（上海）有限公司、南湖實驗室、啟明星辰信息技術集團股份有限公司、山石網科通信

技術股份有限公司、上海觀安信息技術股份有限公司、上海市信息安全測評認證中心、上海燧原科技有

限公司、上海依圖網絡科技有限公司、深圳大學、深圳市洞見智慧科技有限公司、四川大學、騰訊云計

算（北京）有限責任公司、武漢東湖大數據交易中心股份有限公司、西安交通大學、云從科技集團股份

有限公司、浙江大華技術股份有限公司、鄭州信大捷安信息技術股份有限公司、中國科學技術大學、中

國科學院軟件研究所、中國科學院信息工程研究所、中國移動通信集團有限公司、中電科網絡安全科技

股份有限公司、中國電力科學研究院有限公司

本文件主要起草人：葛小宇、張宇、嚴敏瑞、許曉耕、張宇光、谷紅勛、徐浩、蔣慧、徐浩、王偉、

劉敬楷、落紅衛(wèi)、谷晨、顧杜娟、王星凱、劉玉紅、張永強、龔曉燕、楊春林、張亞浩、胡師陽、楊波、

伭劍輝、陳妍、劉軍、王宏、楊韜、李美桃、朱倩倩、章恒、趙增振、王棟、楊珂、葉波、楊慧婷、杜

澤旭、劉博、李劍鋒、王云河、靳晨、李瑞軒、王號召、彭晉、林冠辰、蔡亞森、葛頌、張磊、陸一凡、

卞超軼、吳疆、何伊圣、謝江、張俊彥、任永攀、梅敬青、鮑敏祺、趙春昊、劉偉麗、彭宇翔、姚明、

陳興蜀、王啟旭、李克鵬、武楊、杜樂、孫想、沈超、藺琛皓、李軍、文良君、劉為華、左曉棟、謝錚

涵、張立武、張嚴、王蕊、荊麗樺、江為強、郭中元、曹占濤、王曉輝、李道興

III

GB/TXXXXX—XXXX

引言

在人工智能計算場景中，模型與數據是模型提供方、數據提供方及人工智能應用運行方等關注的核

心資產。人工智能計算平臺為模型訓練、推理等任務運行提供基礎的軟硬件資源，對模型和數據等人工

智能核心資產起到至關重要的保護作用。

與傳統(tǒng)的通用計算場景不同，人工智能計算場景引入了人工智能技術、人工智能加速處理器架構、

模型資產等新的因素。在考慮人工智能計算平臺的安全問題時，需要重點考慮這些新變化帶來的影響。

而現有的標準沒有考慮這些變化因素，難以直接應用于人工智能計算場景。

本文件將定義人工智能計算平臺的安全框架，給出人工智能計算平臺的安全功能、安全機制、安全

模塊及服務接口。該安全框架一方面能夠消減平臺成為網絡攻擊中薄弱環(huán)節(jié)的風險；另一方面，圍繞上

層應用在不同情景中面臨的共性問題，能夠基于人工智能計算平臺的安全功能有效提升人工智能模型、

數據等核心資產在傳輸、存儲、訓練、推理等環(huán)節(jié)中的安全，減少應用方在保護模型和數據安全方面的

重復投入。

IV

GB/TXXXXX—XXXX

信息安全技術人工智能計算平臺安全框架

1范圍

本文件規(guī)定了人工智能計算平臺安全框架的安全功能、安全機制、安全模塊以及服務接口。

本文件適用于指導人工智能計算平臺的設計與實現，也為平臺使用方應用人工智能計算平臺安全

功能提供參考。

2規(guī)范性引用文件

下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T20272—2019信息安全技術操作系統(tǒng)安全技術要求

GB/T22239—2019信息安全技術網絡安全等級保護基本要求

GB/T25069—2022信息安全技術術語

GB/T37939—2019信息安全技術網絡存儲安全技術要求

GB/T39680—2020信息安全技術服務器安全技術要求和測評準則

GB/T39786—2021信息安全技術信息系統(tǒng)密碼應用基本要求

GB/T41867—2022信息技術人工智能術語

GB/T42018—2022信息技術人工智能平臺計算資源規(guī)范

3術語和定義

GB/T25069—2022、GB/T41867—2022界定的以及下列術語和定義適用于本文件。

3.1

人工智能加速處理器artificialintelligenceacceleratingprocessor

具備適配人工智能算法的運算微架構，能夠完成人工智能應用加速運算處理的集成電路元件。

注1：圖像處理器、神經網絡處理器是典型的人工智能加速處理器。

注2：通用中央處理器不屬于人工智能加速處理器。

[來源：GB/T42018—2022，3.8]

3.2

人工智能服務器artificialintelligenceserver

信息系統(tǒng)中能夠為人工智能應用提供高效能計算處理能力的服務器。

[來源：GB/T42018—2022，3.5]

3.3

人工智能計算平臺artificialintelligencecomputingplatform

1

GB/TXXXXX—XXXX

為人工智能計算任務執(zhí)行提供各類資源的軟硬件系統(tǒng)，由計算、存儲、網絡等硬件資源或虛擬化資

源以及操作系統(tǒng)、計算加速庫、深度學習框架與開發(fā)套件等軟件資源組成。

[來源：GB/T42018—2022，3.1，有修改]

3.4

人工智能模型artificialintelligencemodel

一種基于輸入數據或信息生成推理或預測結果的計算結構。

注：“機器學習模型”是典型的人工智能模型。

[來源：GB/T41867—2022，3.2.11，有修改]

3.5

人工智能核心資產artificialintelligencecoreasset

在人工智能計算場景中對個人、組織或政府具有重要價值的信息與數據，包括人工智能模型、訓練

/推理數據集、訓練/推理腳本等。

[來源：GB/T25069—2022，3.806，有修改]

3.6

對抗樣本adversarialexamples

在正常數據集中通過故意添加細微干擾獲得的、可導致人工智能算法模型以高置信度給出與正確

輸出有偏差的樣本。

3.7

模型萃取modelextraction

通過循環(huán)發(fā)送數據并查看對應的響應結果，以推測人工智能模型的參數或功能，從而復制出一個功

能相似甚至完全相同的人工智能模型的行為。

3.8

屬性推斷propertyinference

用公開可見的屬性和結構，推理訓練數據隱蔽或不完整的屬性數據的行為。

3.9

安全功能securityfunction

為實現安全要素的要求，并正確實施相應安全策略所提供的功能。

[來源：GB/T25069—2022,3.8]

3.10

安全機制securitymechanism

實現安全功能，提供安全服務的基本方法。

[來源：GB/T25069—2022,3.11]

3.11

安全模塊securitymodule

實現安全機制的可識別區(qū)分的組成部分。

2

GB/TXXXXX—XXXX

[來源：GB/T25069—2022,3.815，有修改]

3.12

服務接口serviceinterface

調用安全機制以實現安全功能的特定界面與方法。

4縮略語

下列縮略語適用于本文件。

AI：人工智能（ArtificialIntelligence）

CPU：中央處理器（CentralProcessingUnit）

FPGA：現場可編程邏輯門陣列（FieldProgrammableGateArray）

GPU：圖像處理器（GraphicsProcessingUnit）

NPU：神經網絡處理器（Neural-NetworkProcessingUnit）

SDK：軟件開發(fā)工具包（SoftwareDevelopmentKit）

5AI計算平臺概述

5.1AI計算平臺組成架構

在AI計算場景中，一個典型的AI計算平臺組成架構如圖1所示，包括：

a)應用使能層：主要包括AI算法框架、開發(fā)套件（如SDK等）等軟件資源，用于提升AI模型

訓練、推理及AI應用開發(fā)效率及易用性；

b)基礎資源層：數據處理、AI模型訓練、AI模型推理等AI計算任務執(zhí)行所必須的計算、存儲、

網絡等硬件資源或虛擬化資源，以及操作系統(tǒng)、計算加速庫等基礎的軟件資源。

注：基礎資源層包括GB/T42018-2022標準所述的AI平臺計算資源。

圖1AI計算平臺典型組成架構

本文件所適用的AI計算平臺為應用于數據中心及邊緣場景的計算平臺。根據不同場景應用需求，

平臺的部署方式、軟件棧將有所不同。圖1中實線框表示所有場景都需要的組成部分，虛線框表示部分

場景需要的擴展組成部分。

5.2AI計算平臺參與方

3

GB/TXXXXX—XXXX

AI計算平臺涉及的參與方主要由AI計算平臺提供方和AI計算平臺使用方組成。其中AI計算平臺

使用方包括AI應用提供方、AI數據提供方、AI應用運行方、AI模型提供方等。參與方信息及其業(yè)務

活動詳見附錄A，各參與方業(yè)務活動中面臨的安全威脅及建議使用的安全功能見附錄B。在本安全框架

中，AI計算平臺提供方基于AI計算平臺使用方的業(yè)務活動及安全需求分析，通過緩解AI計算平臺自

身面臨的安全風險并提供相應安全功能及服務接口，支撐相關參與方緩解其AI核心資產面臨的安全風

險。AI計算平臺使用方通過調用AI計算平臺提供的服務接口，保障AI核心資產傳輸、存儲、訓練、

推理全流程安全。

5.3AI計算平臺安全風險

AI計算平臺的安全風險主要包括以下兩類，詳細的安全風險描述見附錄B：

a)平臺自身面臨的安全風險：組成AI計算平臺的軟硬件與其他場景中的軟硬件面臨相似的安全

風險，如網絡傳輸過程中面臨的竊聽、篡改等安全風險、數據存儲時面臨的破壞、竊取、勒索

病毒等安全風險以及面向AI計算平臺的非授權訪問風險等。此外，AI計算平臺由于引入人工

智能技術帶來了AI加速處理器、AI模型等新的變化，這些變化因素對軟硬件架構、關鍵資產

等產生了新的安全風險，如針對AI加速處理器的攻擊風險、CPU與AI加速處理器間傳輸風險、

訓練框架后門風險等；

b)平臺承載的AI核心資產面臨的安全風險：AI核心資產部署或存儲在AI計算平臺中，面臨著

AI核心資產竊取及非法篡改、對抗樣本攻擊、模型萃取攻擊等安全風險。

6AI計算平臺安全框架描述

6.1安全框架結構

根據5.3所述安全風險，本文件描述的AI計算平臺安全框架提供了兩類安全功能，分別為平臺自

身安全類與AI核心資產保護類，每一類安全功能包含多個具體安全功能，如圖2所示。

4

GB/TXXXXX—XXXX

圖2AI計算平臺安全框架結構圖

框架中定義的每一個安全功能由對應的安全機制實現，每一個安全機制由一個或多個具體的安全

模塊交互形成。同時，安全機制提供服務接口，供平臺使用方使用相關安全功能保護AI核心資產。安

全功能、安全機制、安全模塊及服務接口之間的邏輯關系如圖3所示。

圖3安全框架元素邏輯關系圖

5

GB/TXXXXX—XXXX

6.2安全功能

6.2.1平臺自身安全功能

AI計算平臺自身安全功能旨在為平臺使用方提供安全的運算環(huán)境，削減平臺成為網絡攻擊中薄弱

環(huán)節(jié)的風險。平臺自身安全功能分為兩類，第一類功能為通用安全功能，遵循GB/T20272—2019、GB/T

22239—2019、GB/T39680—2020、GB/T37939-2019等既有標準，削減通用場景下平臺軟硬件面臨的安

全風險；第二類根據AI計算平臺中新增的安全威脅及AI應用場景中的差異化需求，定義新增安全功能。

本文件新增定義的安全功能包括可信驗證功能、惡意程序檢測功能和AI加速處理器故障監(jiān)測與恢

復功能，各安全功能的作用與目的如下：

a）可信驗證功能：對AI計算平臺進行完整性度量，包括CPU側、AI加速處理器側的固件、軟件等，

并支撐平臺使用方對度量值進行驗證，以檢測AI計算平臺是否遭受篡改；

b）惡意程序檢測功能：監(jiān)測AI計算平臺中為AI訓練、推理任務運行開啟的虛擬機、容器及其他用

戶進程運行狀態(tài)，檢測已知或未知的惡意程序；

c）AI加速處理器故障監(jiān)測與處理功能：監(jiān)測AI計算平臺中的AI加速處理器資源狀態(tài)，及時發(fā)現故

障并進行恢復處理，保障AI訓練/推理任務持續(xù)運行。

6.2.2AI核心資產保護

AI核心資產保護旨在保障AI核心資產傳輸、存儲、訓練、推理等各環(huán)節(jié)安全。AI核心資產保護類安

全功能包括運行環(huán)境隔離功能、異構算力安全協同功能、AI核心資產加解密功能、AI核心資產完整性校

驗功能、訓練任務中斷恢復功能、推理攻擊檢測功能和日志驗證與審計功能，來支撐實現AI核心資產保

護。各安全功能的作用與目的如下：

a）AI核心資產加解密功能：對AI核心資產在不同計算節(jié)點之間流轉過程中進行加解密保護，保障

AI核心資產傳輸、存儲過程中的保密性；

b）AI核心資產完整性校驗功能：在AI核心資產傳輸、存儲、訓練、推理各環(huán)節(jié)中，對其進行完整

性校驗，支撐用戶鑒別AI核心資產傳輸、存儲過程中的完整性；

c）運行環(huán)境隔離功能：為AI訓練、推理等計算任務提供安全隔離的CPU資源、AI加速運算資源、存

儲資源等；

d）異構算力安全協同功能：保障AI訓練、推理等計算任務均在CPU與AI加速處理器協同構筑的安

全隔離環(huán)境中完成，防范AI核心資產在AI訓練、推理等計算任務執(zhí)行過程中遭竊取、篡改；

e）訓練任務中斷恢復功能：監(jiān)測并識別訓練資源故障，及時保存訓練任務上下文狀態(tài)及AI模型參

數等信息，并在訓練資源恢復后，快速恢復訓練任務，防范AI模型參數等訓練過程數據丟失；

f）推理攻擊檢測功能：計算推理請求為對抗樣本、模型萃取、屬性推斷等攻擊行為的置信度，并

為AI應用提供響應策略；

g）日志驗證與審計功能：為平臺使用方提供集中化的日志收集與完整性校驗服務，支撐其定位安

全問題及審計追溯,該功能同樣適用于平臺自身操作產生的日志。

6.3安全模塊

安全模塊在AI計算平臺中是以提供特定功能的獨立邏輯模塊形式出現。在具體實現中，多個實體

模塊可實現一個本文件中定義的安全模塊，一個實體模塊也可能實現多個本文件中定義的安全模塊，具

體的實現形態(tài)不在本文件中定義。附錄A給出了安全模塊在AI計算平臺架構中的參考分布。

各個安全模塊的具體定義與描述見第7章“安全模塊”。

6.4安全機制

6

GB/TXXXXX—XXXX

本文件定義的安全機制用于實現AI計算平臺安全框架中定義的安全功能，每一個安全機制實現一

個安全功能，包含安全模塊間的交互關系與交互流程，以及涉及的服務接口。

各個安全機制的具體描述見第8章“安全機制”。

6.5服務接口

為平臺使用方提供應用AI計算平臺安全機制的服務接口，保障平臺提供的安全功能能夠在平臺使

用方的業(yè)務流程中發(fā)揮作用。

各個服務接口的具體描述見第9章“服務接口”。

7安全模塊

7.1概述

本章節(jié)根據安全模塊所屬的安全機制進行組織分類，給出了人工智能計算平臺中各個安全模塊的

具體定義與功能。

7.2AI計算平臺自身安全相關安全模塊

7.2.1可信驗證機制相關安全模塊

7.2.1.1可信度量根模塊

可信度量根模塊具備的功能包括但不限于：

a)發(fā)起對CPU側及AI加速處理器側固件、操作系統(tǒng)引導程序、操作系統(tǒng)、應用程序等的完整性

度量及信任鏈傳遞；

b)保障自身不可篡改。

7.2.1.2度量值管理模塊

度量值管理模塊具備的功能包括但不限于：

a)接收AI計算平臺其他模塊報告的度量值；

b)對接收到的度量值進行擴展、存儲；

c)支撐AI計算平臺完整性度量值的獲取、驗證等。

7.2.2惡意程序檢測機制相關安全模塊

7.2.2.1惡意程序檢測模塊

惡意程序檢測模塊具備的功能包括但不限于：

a)檢測支撐用戶訓練/推理任務執(zhí)行的容器或虛擬機，是否存在逃逸異常情況，并產生告警信息；

b)檢測平臺中開啟的進程及文件狀態(tài)等，判別是否存在勒索病毒，并產生告警信息；

c)檢測平臺中開啟的進程及文件狀態(tài)等，判別是否存在惡意挖礦程序，并產生告警信息；

d)對其他已知或未知惡意程序進行檢測及告警。

7.2.3AI加速處理器故障監(jiān)測與處理機制相關安全模塊

7.2.3.1故障監(jiān)測模塊

故障監(jiān)測模塊具備的功能包括但不限于：

a)監(jiān)測訓練/推理資源的運行狀態(tài)，如占用率等，并判別異常狀態(tài)；

7

GB/TXXXXX—XXXX

b)在監(jiān)測到異常狀態(tài)時，及時報告故障信息，包括故障類型、范圍等。

7.2.3.2故障處理模塊

故障處理模塊具備的功能包括但不限于：

a)收到故障監(jiān)測模塊上報的故障信息后，能夠根據故障處理策略，進行故障處理，包括隔離故障

節(jié)點、調度新的訓練/推理節(jié)點加入集群、重新配置集群通信網絡等；

b)向其他模塊報告故障信息、故障處理進度信息等。

7.3AI核心資產保護相關安全模塊

7.3.1AI核心資產加解密機制相關安全模塊

7.3.1.1加解密模塊

加解密模塊具備的功能包括但不限于：

a)加解密過程對用戶訓練/推理腳本透明，無需用戶訓練/推理腳本做變更適配；

b)對不同用戶的不同訓練/推理任務涉及的AI核心資產采用不同的數據加密密鑰進行加解密；

c)對請求解密的訓練/推理腳本進行訪問控制，防范AI核心資產被非法訪問；

d)與其他請求通信的模塊完成雙向身份認證；

e)請求密鑰管理模塊獲取數據加密密鑰；

f)利用硬件提供的安全防護能力,包括但不限于可信執(zhí)行環(huán)境等，保障加解密過程安全運行；

g)采用的密碼算法遵循密碼相關國家標準、行業(yè)標準。

7.3.1.2密鑰管理模塊

密鑰管理模塊具備的功能包括但不限于：

a)提供遵循GB/T39786-2021的全生命周期密鑰管理能力，包括密鑰生成、存儲、導入、備份、

導出、更新、刪除等；

b)遵循密鑰分層管理機制，逐層加密保護根密鑰、密鑰加密密鑰和數據加密密鑰；

c)僅允許密鑰屬主進行密鑰查詢、刪除、更新等操作；

d)響應其他模塊關于數據加密密鑰的加/解密請求；

e)與其他請求通信的模塊完成雙向身份認證；

f)基于安全傳輸信道傳輸數據加密密鑰；

g)利用硬件提供的安全防護能力,包括但不限于可信執(zhí)行環(huán)境等，保護密鑰。

7.3.1.3設備根密鑰模塊

CPU側和AI加速處理器側均存在設備根密鑰模塊實例，具備的功能包括但不限于：

a)基于硬件安全機制保障設備根密鑰不被篡改、非授權訪問等；

b)提供接口供用戶派生密鑰、基于設備根密鑰加解密等；

c)保障提供的加解密、密鑰派生功能僅能被合法授權訪問。

7.3.2AI核心資產完整性校驗機制相關安全模塊

7.3.2.1完整性校驗模塊

完整性校驗模塊具備的功能包括但不限于：

a)能夠響應平臺使用方請求對AI模型、數據等進行完整性校驗；

b)采用的密碼算法及完整性校驗機制遵循密碼相關國家標準、行業(yè)標準。

8

GB/TXXXXX—XXXX

7.3.3運行環(huán)境隔離機制相關安全模塊

7.3.3.1運行環(huán)境隔離模塊

運行環(huán)境隔離模塊具備的功能包括但不限于：

a)為不同用戶的不同訓練、推理任務建立CPU側安全隔離環(huán)境，包括但不限于基于容器的隔離、

基于虛擬機的隔離等；

b)采用技術手段避免資源隔離策略被規(guī)避或繞過；

c)安全隔離環(huán)境生命周期結束時，清除運行在環(huán)境中的AI核心資產。

7.3.3.2AI加速資源安全隔離模塊

CPU側和AI加速處理器側均存在AI加速資源安全隔離模塊實例，具備的功能包括但不限于：

a)為平臺使用方分配安全隔離的加速運算單元、內存等AI加速處理器資源；

b)防范平臺使用方程序突破資源隔離限制，影響其他應用持續(xù)運行。

7.3.4異構算力安全協同機制相關安全模塊

7.3.4.1可信度量模塊

CPU側和AI加速處理器側均存在可信度量模塊實例，具備的功能包括但不限于：

a)接收平臺使用方請求，對本地安全隔離環(huán)境（含組成安全隔離環(huán)境的固件、軟件和相關數據）

發(fā)起完整性度量；

b)向安全管理模塊發(fā)起請求，獲取本地安全隔離環(huán)境的完整性度量值；

c)對本地安全隔離環(huán)境的完整性度量值進行驗證，如發(fā)送給遠程或本地度量值驗證模塊進行驗

證；

d)能夠主動向安全協同的另一側（CPU側或AI加速處理器側）可信度量模塊發(fā)起完整性度量請

求，請求對安全協同的另一側安全隔離環(huán)境進行完整性度量。

7.3.4.2安全管理模塊

CPU側和AI加速處理器側均存在安全管理模塊實例，具備的功能包括但不限于：

a)按需為安全隔離實體分配計算、存儲資源；

b)為本地計算、存儲資源進行安全屬性初始化；

c)對本地資源進行訪問控制策略配置；

d)計算本地安全隔離環(huán)境的完整度量值，并響應可信度量模塊的度量值獲取請求；

e)與安全協同的另一側安全管理模塊協商會話密鑰，并將會話密鑰存儲于安全通信模塊中的安全

內存或其他安全存儲環(huán)境中。

f)采用的密碼算法遵循密碼相關國家標準、行業(yè)標準。

7.3.4.3安全通信模塊

CPU側和AI加速處理器均存在安全通信模塊實例，具備的功能包括但不限于：

a)提供密鑰存儲接口，用于存儲會話密鑰，保障密鑰不出安全存儲區(qū)域；

b)接受安全管理模塊下發(fā)的訪問控制策略配置或修改；

c)對通信數據進行完整性保護；

d)對通信數據進行加密/解密；

e)對訪問請求進行完整性及權限合法性校驗，僅允許通過校驗的請求訪問本地安全隔離環(huán)境中的

數據等。

9

GB/TXXXXX—XXXX

f)采用的密碼算法及完整性校驗機制遵循密碼相關國家標準、行業(yè)標準。

7.3.5訓練任務中斷恢復機制相關安全模塊

7.3.5.1故障監(jiān)測模塊

故障監(jiān)測模塊具備的功能描述見7.2.3.1。

7.3.5.2故障處理模塊

故障處理模塊具備的功能描述見7.2.3.2。

7.3.5.3訓練任務中斷處理模塊

訓練任務中斷恢復具備的功能包括但不限于：

a)在接收到故障處理模塊反饋的故障信息后，及時保存訓練任務上下文及模型參數等信息；

b)在故障處理模塊反饋故障處理完成后，在新的訓練節(jié)點上，加載訓練任務上下文及模型參數等

信息，恢復訓練任務。

7.3.6推理攻擊檢測機制相關安全模塊

7.3.6.1AI推理攻擊檢測模塊

AI推理攻擊檢測模塊具備的功能包括但不限于：

a)能夠接收來自AI應用轉發(fā)的推理請求信息，并向其返回AI推理攻擊響應策略；

b)對推理請求中所包含的推理樣本進行檢測，計算其包含數字對抗樣本、物理對抗樣本、模型后

門觸發(fā)樣本等惡意樣本或特征的置信度；

c)基于推理請求所體現的用戶推理行為特征，包括請求頻率、請求來源、請求分布等，計算本次

推理請求為模型萃取、屬性推斷等攻擊行為的置信度；

d)向AI應用返回攻擊響應策略信息，包括但不限于阻斷請求、惡意樣本告警提示、惡意用戶告

警等。

7.3.7日志驗證與審計機制相關安全模塊

7.3.7.1日志安全管理模塊

日志安全管理模塊具備的功能包括但不限于：

a)提供接口供各個日志源定期上報日志信息，日志源可以是數據處理、模型訓練、模型推理等用

戶AI任務以及AI計算平臺軟硬件資源運行相關日志等；

b)對收到的日志信息進行持久化存儲，如有必要還需先對日志進行格式化統(tǒng)一處理；

c)對處理后的日志記錄，逐條計算完整性校驗信息；

d)能夠響應用戶發(fā)送的日志驗證及審計請求，并返回結果信息；

e)提供身份鑒別與訪問控制能力，僅對通過身份鑒別與訪問控制的用戶提供日志驗證及審計服

務；

f)采用的密碼算法及完整性校驗機制遵循密碼相關國家標準、行業(yè)標準。

8安全機制

8.1概述

10

GB/TXXXXX—XXXX

本章節(jié)具體描述了實現各安全功能的安全機制內容，包含安全模塊間的交互關系與交互流程，以及

涉及的服務接口，如圖4所示。

圖4安全機制總覽

8.2AI計算平臺自身安全相關機制

8.2.1可信驗證機制

可信驗證機制用于實現可信驗證功能，涉及可信度量根模塊與度量值管理模塊。在AI計算平臺中，

CPU側與AI加速處理器側分別基于各自的可信度量根模塊作為起點逐級執(zhí)行完整性度量，并逐級將度

量值存儲于度量值管理模塊。具體實施步驟可參照GB/T366396.1。

該機制不涉及服務接口。

8.2.2惡意程序檢測機制

惡意程序檢測機制用于實現惡意程序檢測功能，涉及惡意程序檢測模塊。該模塊通過接收AI計算

平臺中各組件提供的運行狀態(tài)、日志等信息進行惡意程序檢測，識別是否存在虛擬機/容器逃逸、勒索

病毒、挖礦病毒等已知惡意程序。另外，惡意程序檢測機制可利用AI計算平臺的計算資源使用AI技術

檢測其他已知或未知惡意程序。

該機制不涉及服務接口。

8.2.3AI加速處理器故障監(jiān)測與處理機制

11

GB/TXXXXX—XXXX

8.2.3.1機制概述

該機制概述如下：

a)機制作用目的：實現AI加速處理器故障監(jiān)測與處理功能；

b)涉及的安全模塊：故障監(jiān)測模塊和故障處理模塊；

c)涉及的服務接口：故障監(jiān)測接口和故障處理接口。

8.2.3.2模塊交互關系

AI加速處理器故障監(jiān)測與處理機制涉及故障監(jiān)測模塊與故障處理模塊及AI計算平臺中的訓練/推

理資源之間對接交互，相關模塊交互關系如圖5所示，同時需為平臺使用方提供相關服務接口，進行故

障監(jiān)測信息、故障處理策略等配置操作。圖中的訓練/推理資源非本文件定義，因此以灰色背景標識。

圖5AI加速處理器故障監(jiān)測與處理機制涉及的模塊交互關系

8.2.3.3模塊交互流程

AI加速處理器故障監(jiān)測與處理機制涉及的模塊交互流程如圖6所示，模塊交互步驟描述如下：

a)故障監(jiān)測模塊持續(xù)監(jiān)測訓練/推理資源的運行狀態(tài)；

b)故障監(jiān)測模塊監(jiān)測到節(jié)點部件或網絡等故障后，向故障處理模塊反饋故障信息；

c)故障處理模塊識別故障類型，根據平臺使用方配置的故障處理策略，進行故障處理。

圖6AI加速處理器故障監(jiān)測與處理機制涉及的模塊交互流程

8.3AI核心資產保護相關機制

12

GB/TXXXXX—XXXX

8.3.1AI核心資產加解密機制

8.3.1.1機制概述

該機制概述如下：

a)機制作用目的：實現AI核心資產加解密功能；

b)涉及的安全模塊：加解密模塊、密鑰管理模塊和設備根密鑰模塊；

c)涉及的服務接口：密鑰管理接口和用戶管理接口。

8.3.1.2模塊交互關系

AI核心資產加解密機制適用于數據中心內模型訓練、推理以及邊緣節(jié)點推理等多種場景，保障AI

模型等核心資產在不同節(jié)點間流轉時傳輸、存儲全流程加密保護。涉及的模塊包括加解密模塊、密鑰管

理模塊，模塊部署調用架構如圖12所示?？紤]AI模型、數據等可能在訓練、測試、推理等不同節(jié)點間

流轉，為保障數據加密密鑰安全分發(fā)、流轉，建議在訓練、推理節(jié)點部署密鑰管理模塊的同時，在獨立

的管理節(jié)點中部署密鑰管理模塊。

圖7AI核心資產加解密機制涉及的模塊交互關系

8.3.1.3模塊交互流程

AI核心資產加解密機制涉及的安全模塊交互流程如圖13所示，交互步驟描述如下：

13

GB/TXXXXX—XXXX

圖8AI核心資產加解密機制涉及的模塊交互流程

a)平臺使用方的訓練/推理腳本運行，涉及保存/加載AI核心資產密文操作，觸發(fā)AI核心資產加/解

密；

b)加解密模塊請求訓練/推理節(jié)點的密鑰管理模塊獲取數據加密密鑰；

c)訓練/推理節(jié)點的密鑰管理模塊若已經持有數據加密密鑰，則直接與加解密模塊完成雙向身份

認證，并建立安全傳輸信道；

d)訓練/推理節(jié)點的密鑰管理模塊基于安全傳輸信道，加密傳輸數據加密密鑰，跳轉至步驟j）；

e)若因AI核心資產跨節(jié)點流轉等原因，訓練/推理節(jié)點的密鑰管理模塊尚未持有數據加密密鑰，

則需請求管理節(jié)點的密鑰管理模塊獲取數據加密密鑰；

f)訓練/推理節(jié)點的密鑰管理模塊與管理節(jié)點的密鑰管理模塊完成雙向身份認證后建立安全傳輸

信道；

g)基于安全傳輸信道，管理節(jié)點的密鑰管理模塊將數據加密密鑰傳輸到訓練/推理節(jié)點的密鑰管

理模塊中；

h)訓練/推理節(jié)點的密鑰管理模塊與加解密模塊完成雙向身份認證，并建立安全傳輸信道；

i)訓練/推理節(jié)點的密鑰管理模塊基于安全傳輸信道，加密傳輸數據加密密鑰；

j)加解密模塊基于數據加密密鑰為用戶訓練/推理腳本加/解密AI核心資產。

8.3.2AI核心資產完整性校驗機制

AI核心資產完整性校驗機制用于實現AI核心資產完整性校驗功能，涉及完整性校驗模塊。該模塊

利用遵循密碼相關國家標準、行業(yè)標準要求的雜湊算法及數字簽名算法對AI模型等核心資產進行密碼

學運算，從而實現完整性校驗。其中，數字簽名運算流程可與AI核心資產加解密機制中的加密流程協

同執(zhí)行；數字簽名驗簽運算流程可與AI核心資產加解密機制中的解密流程協同執(zhí)行。

該機制不涉及服務接口。

8.3.3運行環(huán)境隔離機制

14

GB/TXXXXX—XXXX

8.3.3.1機制概述

該機制概述如下：

a)機制作用目的：實現運行環(huán)境隔離功能；

b)涉及的安全模塊：運行環(huán)境隔離模塊和AI加速資源安全隔離模塊；

c)涉及的服務接口：無。

8.3.3.2模塊交互關系

運行環(huán)境隔離機制涉及與AI模型訓練/推理節(jié)點中既有的用戶任務管理模塊（如，容器管理組件）、

工作節(jié)點資源管理模塊（如，容器代理組件）等對接交互，相關模塊交互關系如圖7所示。圖中的用戶

任務管理模塊非本文件定義，因此以灰色背景標識。

圖9運行環(huán)境隔離機制涉及的模塊交互關系

8.3.3.3模塊交互流程

圖10運行環(huán)境隔離機制涉及的模塊交互流程

運行環(huán)境隔離機制涉及的安全模塊交互流程如圖8所示，交互步驟描述如下：

a)資源隔離配置階段：

1)平臺使用方通過任務管理模塊請求分配資源隔離的運行環(huán)境，任務管理模塊收到平臺使

用方請求后，向訓練/推理節(jié)點中的運行環(huán)境隔離模塊下發(fā)資源需求；

15

GB/TXXXXX—XXXX

2)運行環(huán)境隔離模塊首先分配CPU側運行資源，構建CPU側隔離的運行環(huán)境（如，容器、虛

擬機等），同時向CPU側AI加速資源安全隔離模塊下發(fā)AI加速資源隔離請求；

3)CPU側AI加速資源安全隔離模塊請求AI加速處理器側AI加速資源安全隔離模塊分配基

于硬件隔離的AI加速資源；

4)AI加速處理器側AI加速資源安全隔離模塊根據平臺使用方請求的AI加速資源規(guī)格，為

平臺使用方分配安全隔離的AI加速資源，包括AI加速運算資源、內存資源等；

5)AI加速處理器側AI加速資源安全隔離模塊完成資源分配后，逐步返回資源配置完成消

息，運行環(huán)境隔離模塊向任務管理模塊返回資源配置完成消息，包括CPU側資源和AI加

速處理器側資源；

b)資源調度階段：

1)平臺使用方發(fā)起AI計算任務運行后，運行環(huán)境隔離模塊基于已配置的隔離資源為平臺使

用方創(chuàng)建訓練/推理容器/虛擬機；

2)平臺使用方基于容器/虛擬機執(zhí)行訓練/推理腳本，涉及AI加速處理器資源調度時，將由

運行環(huán)境隔離模塊通過CPU側AI加速資源安全隔離模塊發(fā)起請求；

3)CPU側AI加速資源安全隔離模塊向AI加速資源安全隔離模塊發(fā)起請求，調度并使用AI

加速運算資源、內存資源等。

8.3.4異構算力安全協同機制

8.3.4.1機制概述

該機制概述如下：

a)機制作用目的：實現異構算力安全協同功能；

b)涉及的安全模塊：CPU側、AI加速處理器側分別存在的可信度量模塊、安全管理模塊和安全通

信模塊，這些安全模塊需要和安全隔離實體、度量值驗證模塊等交互配合；

注1：此處的安全隔離實體可以是虛擬機、容器等多種形態(tài)，可通過“運行環(huán)境隔離模塊”、“AI加速資源安全隔

離模塊”建立，非本安全機制重新定義的安全模塊；

注2：此處的度量值驗證模塊可為遠程證明服務器或AI計算平臺中能夠支撐度量值校驗的相關功能模塊，非本安全

機制重新定義的安全模塊；

c)涉及的服務接口：完整性度量接口和安全策略配置接口。

8.3.4.2模塊交互關系

異構算力安全協同機制涉及CPU側與AI加速處理器側的安全模塊交互，具體在CPU側、AI加速處

理器側分別涉及可信度量模塊、安全管理模塊、安全通信模塊，模塊之間交互關系如圖9所示。圖中的

安全隔離實體及度量值驗證模塊非本文件定義，因此以灰色背景標識。

16

GB/TXXXXX—XXXX

圖11異構算力安全協同機制涉及的模塊交互關系

8.3.4.3模塊交互流程

8.3.4.3.1初始化階段涉及的模塊交互流程

異構算力安全協同機制初始化階段涉及的安全模塊交互流程如圖10所示，交互步驟描述如下：

圖12異構算力安全協同機制初始化階段涉及的模塊交互流程

a)建立CPU側安全隔離環(huán)境：

1)安全管理模塊接收平臺使用方指令，配置CPU側計算資源與存儲資源及其安全屬性，并設

置相應訪問控制策略；

2)由可信度量模塊向安全管理模塊發(fā)起完整性度量請求，安全管理模塊計算本地安全隔離

環(huán)境的完整性度量值后，向可信度量模塊返回度量值；

17

GB/TXXXXX—XXXX

3)CPU側可信度量模塊將本地安全隔離環(huán)境度量值交由遠程或本地度量值驗證模塊進行驗

證，平臺使用方收到驗證結果，確認CPU側安全隔離環(huán)境可信后，確認建立CPU側安全隔

離環(huán)境；

b)建立AI加速處理器側安全隔離環(huán)境：

1)CPU側安全管理模塊向AI加速處理器側安全管理模塊發(fā)起安全隔離環(huán)境建立請求；

2)AI加速處理器側安全管理模塊響應請求，配置AI加速處理器側算力資源與存儲資源安全

屬性，并設置相應訪問控制策略；

3)CPU側可信度量模塊請求對AI加速處理器側安全隔離環(huán)境發(fā)起完整性度量；

4)AI加速處理器側可信度量模塊向本側安全管理模塊發(fā)起完整性度量請求，本側安全管理

模塊計算AI加速處理器安全隔離環(huán)境的完整性度量值后，向本側可信度量模塊返回度量

值；

5)AI加速處理器側可信度量模塊向CPU側可信度量模塊返回度量值；

6)CPU側可信度量模塊將收到的AI加速處理器側完整性度量值交由度量值驗證模塊進行驗

證，平臺使用方確認AI加速處理器側安全隔離環(huán)境可信后，確認建立AI側安全隔離環(huán)

境；

c)形成異構算力協同的安全隔離環(huán)境：

1)CPU側安全管理模塊與AI加速處理器側安全管理模塊通過密鑰協商協議確立會話密鑰，

并分別將會話密鑰存儲于本地安全通信模塊中，支撐CPU側、AI加速處理器側的安全隔

離環(huán)境之間加密通信。

8.3.4.3.2運行階段涉及的模塊交互流程

異構算力安全協同機制運行階段涉及的安全模塊交互流程如圖11所示，交互步驟描述如下：

a)CPU側向AI加速處理器側發(fā)起訪問：

1)CPU側安全隔離實體根據AI計算任務需求向AI加速處理器側發(fā)起內存讀寫請求，或下發(fā)AI

計算任務；

2)CPU側安全通信模塊根據請求發(fā)起方身份信息與權限配置信息判斷請求合法性；

3)權限檢查通過后，對請求中的信息進行保密性、完整性保護，并將請求發(fā)送至AI加速處理

器側的安全通信模塊；

4)AI加速處理器側安全通信模塊檢查請求信息的完整性，并根據請求方身份信息與權限配置

信息判斷請求合法性，請求信息的完整性及合法性均校驗通過后，再解密請求信息并發(fā)往

安全隔離實體處理；

5)AI加速處理器側安全隔離實體根據請求讀寫相應內存，或將任務寫入對應寄存器，并向CPU

側返回讀寫結果；

b)AI加速處理器側向CPU側發(fā)起訪問：

1)AI加速處理器側安全隔離實體根據AI計算任務需求向CPU側發(fā)起內存讀寫請求；

2)AI加速處理器側安全通信模塊根據請求發(fā)起方身份信息與權限配置信息判斷請求合法性，；

3)權限檢查通過后，對請求中的信息進行保密性、完整性保護，并發(fā)送請求；

4)CPU側安全通信模塊檢查請求信息的完整性，并根據請求方身份信息與權限配置信息判斷

請求合法性，請求信息的完整性及合法性均校驗通過后，才解密請求信息并發(fā)往安全隔離

實體處理；

5)CPU側安全隔離實體根據請求讀寫相應內存，并向AI加速處理器側返回內存讀寫結果。

18

GB/TXXXXX—XXXX

圖13異構算力安全協同機制運行階段涉及的模塊交互流程

8.3.5訓練任務中斷恢復機制

8.3.5.1機制概述

該機制概述如下：

a)機制作用目的：實現訓練任務中斷恢復功能；

b)涉及的安全模塊：故障監(jiān)測模塊、故障處理模塊和訓練任務中斷處理模塊；

c)涉及的服務接口：故障監(jiān)測接口和故障處理接口。

8.3.5.2模塊交互關系

訓練任務中斷恢復機制涉及與用戶訓練環(huán)境中既有的訓練資源、存儲系統(tǒng)、與本文件定義的故障監(jiān)

測模塊、故障處理模塊以及訓練任務中斷處理模塊對接交互，相關模塊交互關系如圖14所示。圖中的

訓練資源及存儲系統(tǒng)非本文件定義，因此以灰色背景標識。

圖14訓練任務中斷恢復機制涉及的模塊交互關系

19

GB/TXXXXX—XXXX

8.3.5.3模塊交互流程

訓練任務中斷恢復機制涉及的模塊交互流程如圖15所示，模塊交互步驟描述如下：

圖15訓練任務中斷恢復機制涉及的模塊交互流程

a)故障檢測及故障信息反饋

1)故障監(jiān)測模塊持續(xù)監(jiān)測用戶訓練資源的運行狀態(tài)，包括訓練節(jié)點內部處理器、內存等部件

的資源占用情況、電源穩(wěn)定性、溫度等以及集群通信網絡狀態(tài)等；

2)故障監(jiān)測模塊監(jiān)測到節(jié)點部件或網絡等故障后，向故障處理模塊反饋故障信息；

3)故障處理模塊識別故障類型，明確故障處理方式，同步向訓練任務中斷處理模塊反饋故障

信息；

b)訓練任務中斷處理

1)訓練任務中斷處理模塊及時處理訓練任務保障其不會立即退出，將訓練任務上下文、模型

訓練參數等保存到存儲系統(tǒng)；

2)完成模型訓練參數持久化存儲后，向故障處理模塊反饋結果；

c)訓練資源重新部署

1)故障處理模塊收到反饋信息后，退出訓練進程，按照故障處理策略，處理故障，恢復訓練

資源；

d)訓練任務恢復

1)訓練資源恢復后，故障處理模塊請求訓練任務中斷處理模塊在新的訓練資源上恢復訓練

任務；

2)訓練任務中端處理模塊從存儲系統(tǒng)中讀取步驟d）持久化存儲的關鍵信息，并在新的訓練

資源上加載訓練任務上下文、已訓練的模型參數等，恢復訓練任務。

8.3.6推理攻擊檢測機制

8.3.6.1機制概述

20

GB/TXXXXX—XXXX

該機制概述如下：

a)機制作用目的：實現AI推理攻擊檢測功能；

b)涉及的安全模塊：AI推理攻擊檢測模塊，同時需與AI應用交互配合；

c)涉及的服務接口：響應策略獲取接口。

8.3.6.2模塊交互關系

AI推理攻擊檢測機制的作用目的、涉及的功能模塊如5.5所介紹。涉及的相關模塊交互關系如圖

16所示。圖中的AI應用相關模塊非本文件定義，因此以灰色背景標識。

圖16AI推理攻擊檢測機制涉及的模塊交互關系

8.3.6.3模塊交互流程

AI推理攻擊檢測機制涉及的安全模塊交互流程如圖17所示，交互步驟描述如下：

a)用戶發(fā)送推理查詢請求；

b)AI應用根據從AI推理攻擊檢測模塊獲得的推理請求響應策略以及自身維護的訪問控制策略等，

判定是否響應該請求；

c)AI應用調用AI推理攻擊檢測模塊提供的服務接口向AI推理攻擊檢測模塊發(fā)送推理請求；

d)AI推理攻擊檢測模塊基于用戶行為、樣本