文章总结: 该文档基于华为发布的《AI安全解决方案白皮书》,提出通过密码技术构建AI基础设施安全体系,围绕内生可信、密态运行、纵深防御三大层次展开。核心方案包括以芯片级可信根建立全栈信任链,通过端到端加密、企业自持密钥和机密计算实现数据全生命周期密态保护,并结合云原生防御层保障业务连续性。文档重点介绍了端云协同机密推理架构,使AI模型和数据在计算全程保持密文状态,为政企客户提供兼顾弹性与安全的数据保护方案。
综合评分: 90
文章分类: 数据安全,解决方案,云安全,技术标准,AI安全
用密码技术加强AI基础设施安全
原创
孙志敏 孙志敏
AI与安全
2026年6月29日 11:00 北京
在小说阅读器读本章
去阅读
一说到AI安全,基本就是AI护栏/防火墙这一套东西,在模型输入输出层面进行扫描或防护,偶而有增加主机安全的,虽产品很多,但千篇一律,总感觉在数据安全上保护不足,毕竟,AI是处理数据的。
前几天,华为安全云服务产品线总裁焦成伟在Inspire 2026大会上发布了《AI安全解决方案白皮书》,从三个层次介绍了密码技术在AI基础设施中的应用,值得参考。
#
#
01
安全全景:内生可信、密态运行、纵深防御
#
图:华为云 AI 安全解决方案架构
面向混合云AI基础设施,白皮书提出”内生可信、密态运行、纵深防御、持续验证”的总体思路,构建三位一体的安全体系。
可信算力底座是地基。 安全信任的起点不再是操作系统或云平台管理层,而是芯片级可信根。从鲲鹏CPU、昇腾NPU出发,逐级向上建立覆盖服务器直至工作负载的全栈信任链,为上层业务提供不可篡改的安全锚点。这一层的密码能力包括NPU机密计算、CPU机密计算、灵衢总线高性能加密通信,以及对外可验证的远程证明。
全密态企业专属空间是核心。 通过端到端加密、企业自持密钥(BYOK/HYOK)和机密计算,实现数据与模型”可用不可见”,把数据主权牢牢留在企业手中。
云原生纵深防御是外壳。 依托身份、网络、应用、主机四层能力协同,以”攻击不瘫、数据不丢”为目标,保障AI业务在高对抗环境下持续稳定运行。
三层叠加,密码技术贯穿始终:底层用硬件可信根锚定信任,中层用加密让数据全程密态,上层用纵深防御抵御攻击。可以说,密码不再是某一个环节的局部加固,而是从芯片到业务的一条信任主线。
02
全密态数据处理:让数据”可用不可见”
#
图:内生可信、密态运行、纵深防御的 AI 基础设施安全
数据上云后,企业最大的顾虑是:云厂商能不能看到我的训练数据和模型?全密态数据处理给出的答案是——不能。
整个方案围绕五大密码能力展开,覆盖数据的全生命周期与全流转链路。
端到端加密是基础。 针对AI混合云场景实施差异化策略:数据集、模型、配置文件等静态数据采用强加密算法存储加密;实时推理请求与边缘采集流数据使用轻量化加密协议,在控制时延开销的前提下完成传输加密。加密策略在私有云、公有云、边缘云之间统一联动,消除跨云边界带来的明文暴露窗口。
HYOK企业自持密钥是关键。 所有根密钥、数据密钥、会话密钥均由企业独立生成、自主存储、全权管控,可存放于自建HSM或本地密钥管理平台,云平台仅持有数据密文、无法独立解密。这从机制上解决了多云环境下”数据主权旁落”与内部人员越权访问的难题——享受云弹性的同时,密钥的物理主权始终掌握在企业手中。
数据胶囊实现离域自销毁。 系统为每份出域数据绑定基于数据分级、流转范围与留存时效的精细化规则。当加密数据未经授权流出预设安全域、超出允许范围或达到留存期限时,自动触发销毁,做到”用完即焚、离域失效”,从根本上杜绝数据脱离本地控制后被滞留、滥用或二次流转。
加之机密推理保障运行态计算环节、数据流转可观测通过全链路记录形成可追溯的数据血缘图谱,企业得以在公有云完成训练加工的同时,把整条数据链路置于密码保护与持续审计之下。
03
机密推理原理:端云协同,密文贯穿全程
#
图:端云协同机密推理架构
数据可以加密存储、加密传输,但运算时总要解密——这个”明文裸奔”的窗口,正是攻击者觊觎的目标。机密推理要解决的,就是让计算环节也不出现明文暴露。
其核心是在物理内存中构建硬件级可信执行环境(TEE),将AI推理模型、运算逻辑与加密数据封闭运行,与云平台操作系统、虚拟化层及其他租户环境完成物理与逻辑隔离,全程实现密文输入、密文计算、密文输出。
端云协同机密推理架构,把这一原理落到了CPU与NPU双信任域的协同之上:
- 用户的隐私推理数据与隐私模型以密文形式从本地上云,存储于云端时同样保持加密;
- 进入CPU TEE后,在机密虚拟机/容器的受保护内存中完成解密,模型文件与运算逻辑对宿主机操作系统和云管理员均不可见;
- 数据通过PCIE以密文形式传输至NPU TEE,在昇腾NPU的AI Core内部解密并执行加速计算,中间结果存入HBM时仍保持密文;
- 最终推理结果以密文返回客户端,全链路无明文落地。
CPU可信域承载通用业务负载,NPU可信域承载AI加速任务,两类环境双向校验安全状态,再配合远程证明服务、KMS与CloudHSM构成的密钥与验证体系,即便基础设施本身可能存在风险,模型与数据也无法被直接访问或泄露。这让政企客户能够放心地把敏感推理任务部署到云端,真正兼顾业务弹性与资产安全。
04
小结
华为云作为公用的AI基础设施,其中会处理很多客户私有数据,如何保证客户数据安全,是个很大的挑战。
以此次发布的白皮书上看,从芯片可信根,到全密态流转,再到端云协同机密推理,华为云以密码为基础,建立起完整的数据安全的体系,是个很好的方案。
我已离开华为云将近四年,虽了解其中很多能力华为早有储备,但此次能如此快速完整地用于AI方案,值得点赞。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:AI与安全 孙志敏 孙志敏《用密码技术加强AI基础设施安全》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论