整体方案

AI技术已经开始成为各行各业提升生产效率的热门技术，其中AI模型是企业的核心资产，为了防止攻击者非法滥用和窃取模型，保护关键资产的安全性，对模型的保护越来越迫切。本文档介绍了边缘推理场景下的模型的保护方案以及第三方平台对接配置指导，介绍在推理场景下使用模型保护功能的配置方法。

模型保护整体方案以下图为例，由ISV平台（第三方业务）集成AI-Vault的功能，提供中心密钥服务，负责主密钥和预共享密钥的生成和控制，加解密工作密钥的部署，完成一系列密钥准备工作，用户使用AI-GUARD工具加密数据并上传至边缘设备，在边缘设备容器中解密获得可推理的模型文件后，部署容器并执行推理任务，详细步骤介绍请参考步骤详解。

图1 模型保护方案图
点击放大

步骤详解

创建主密钥：ISV平台集成AI-Vault，使用AI-Vault提供的密钥服务创建一个主密钥，并且将主密钥导出给加解密工具AI-Guard使用。
创建预共享密钥：ISV平台集成AI-Vault，使用AI-Vault提供的密钥服务创建一个预共享密钥，并且将预共享密钥下发到容器中。边缘设备推理容器使用该预共享密钥与AI-Vault进行认证。
数据加密：用户使用AI-Guard工具将数据（用于推理的模型文件）进行加密。加密后将密文上传到ISV平台中。
边缘推理：边缘推理前需要在推理节点更新驱动，驱动包中的KMSAgent提供消息转发服务与AI-Vault通信。推理前需要将透明加解密工具Crypto-fs（简称CFS）打包到镜像中使用。解密模型文件，进行推理任务。

核心要点

全流程（模型生命周期）保护：数据，推理全流程保护，密文传输/存储。
透明加解密：推理应用无感知，直接使用数据与模型，通过内存文件系统保护状态(访问控制)下进行自动加、解密。
设备窃取保护：本地设备不存储主密钥，解密通过中心组件实现，设备被窃取后，无法获取主密钥，模型无法运行。

前提条件

完成模型保护组件的安装，具体安装指导参考《MindX DL AI模型保护用户指南》。
完成Docker的安装。

对接场景

基于容器化场景技术部署：容器化部署场景AI-Vault运行在单独的POD中。AI-Vault和ISV平台的APIGW完成绑定，只允许APIGW访问AI-Vault。AI-Vault不直接对外提供服务。
图2 容器化部署
基于虚拟机场景技术部署（宿主机）：虚拟机部署场景AI-Vault需要独立上传部署到单独的虚拟机环境中。AI-Vault直接对外提供服务，ISV平台可配置Nginx转发对应请求。建议AI-Vault封装系统服务并由守护进程侦听是否正常运行，保证程序异常退出可自动被拉起。
图3 虚拟机部署

父主题： 简介