AI时代的安全计算——第三代英特尔至强可扩展处理器特性解读

2021年的第一季度，英特尔发布了全新的第三代至强可扩展处理器Ice Lake全系列产品，新的处理器启用了全新架构、全新工艺并带来了大量的特性，核心数量提升至40个以上，另外还带来了AI计算、可信计算等面向时下最流行的功能。在上市一段时间之后，英特尔又不断优化和加强了第三代至强可扩展处理器的部分功能，使其更符合现代计算的需求。

2021年是英特尔的产品大年。在年初，英特尔发布了全新的第11代酷睿台式机处理器和第11代酷睿H35系列处理器，将英特尔桌面和移动处理器的性能带到了一个新的高度。接下来的三四月份，英特尔又发布了第三代至强可扩展处理器Ice Lake全系列产品，在将处理器核心数量大幅度提升至40核的基础上，又加入了大量的全新技术特性。5月份，英特尔又凭借第11代酷睿H45系列处理器实现了对移动产品的全覆盖。在如此多和如此密集的产品发布背后，人们看到了一个在产品上锐意进取、在技术上不懈努力的英特尔。

▲英特尔第三代至强可扩展处理器带来了多方面的提升。

对英特尔来说，产品的发布往往是万里长征才走完了一半，产品发布后对产品特性和应用的持续推广尤其是和实际市场、具体应用的结合也非常重要。这一点在英特尔第三代至强可扩展处理器上表现得特别明显。第三代至强可扩展处理器相比上代产品整体变化非常大，其核心微架构升级、工艺进化，因此带来了非常显著的性能、功能提升。

根据英特尔的数据，第三代至强可扩展处理器相比上代产品在性能方面提升了46%，这里的提升是指平均数据，在诸如人工智能和网络计算等领域，由于新的指令集的引入，其提升幅度更高。此外，新产品在安全特性、机密计算、整体带宽、..功能方面都有显著改善。由于产品在功能和相关特性上变化巨大，因此在产品发布前后，英特尔还持续跟踪和接收用户反馈，并且和客户一起，根据新产品特性，在安全、人工智能和机密计算方面进行了结合实际应用场景的持续研发和不断更新。下面，本文和大家一起来分享这些新的信息。

在全新的第三代至强可扩展处理器上，英特尔引入了两个新的特性，一个是英特尔软件防护扩展SGX，另一个则是英特尔密码操作硬件加速。

先来看SGX技术。从历史来看，英特尔对产品的安全特性一直很重视，从第六代酷睿处理器开始，英特尔就引入了相关安全特性，当时称之为Intel Software Guard Extension，也就是现在我们看到的，在第三代至强可扩展处理器上加入的英特尔软件防护扩展SGX的“始祖”。值得一提的是，所谓“扩展”，并不是一个功能或者一个特性，而是指通过新的扩展指令集的方式，方便软件开发者通过直接去调用CPU指令来实现..安全隔离技术，整体设计更为底层、高效和独特。

▲SGX是英特尔在安全技术上的一次突破。

SGX的作用也非常明白，那就是针对敏感数据提供独立于操作系统和硬件配置的增强安全防护。这个功能的应用场景是什么呢？举例来说，目前企业上云的趋势非常明显。企业在使用云计算时，数据传输到云是加密的、在云端的数据也是加密存储的，但是在云端计算的过程中，由于云端服务器要实现对数据的操作和处理，那么这个过程的数据可能就没有办法很好加密了。而SGX就是提供了可以把数据中心、云计算服务器中的指定内存区域的数据和当前的操作系统、硬件隔离开来的功能，实现敏感数据的安全处理。

▲SGX针对敏感数据提供独立于操作系统和硬件配置的增强安全防护。

由于数据隔离，云端数据的安全性就有了保障，服务器的操作系统和硬件在没有许可的情况下是不可能得到这些敏感数据的。从这个角度来看，英特尔SGX是一种基于硬件的可信执行环境，内存中的数据看起来依旧在内存中，但是隔离的特性使其成为了当前系统的“飞地”，安全性就有了保证。

英特尔宣称他们可以让CPU在内存中为单独的应用程序划分出单独的区域，由CPU专门对这块区域进行加密解密操作。这种情况下，即使是操作系统、虚拟机管理程序这些高权限的软件或者攻击者、恶意访问者，都无法得到内存中加密后的数据。不仅如此，SGX保护的空间是可大可小的，最小4KB，最大1TB，基本上可以满足目前绝大部分软件的的需求了。

▲SGX可以对指定内存区域的数据和当前的操作系统、硬件隔离开来，实现敏感数据的安全处理。

在具体的客户方面，英特尔提到阿里云和腾讯云目前已经开始部署相关的技术并实现了可信计算。国外的用户比如德国的电子医保数据也采用这个功能，符合欧盟严格的GDPR安全规范，让用户的数据隐私得到了很好的保护。

接下来则是英特尔密码操作硬件加速。这个是一个比较好理解的概念，目前对很多敏感数据都采用密码加密处理，对密码的操作一般采用对称密码操作或者非对称密码操作，其中前者可以采用电子签名这种标准的算法来实现，但是无论如何，类似这样的密码操作都需要耗费CPU的算力，如果将这种标准算法实现硬件加速以后，就可以降低CPU的算力损耗，这是非常有意义的。

▲英特尔密码操作硬件加速带来了非常显著的性能提升。

在具体实现方面，英特尔提到了三个方式。一是通过CPU指令集来实现AES加密的高速度、高效率，这个指令集在2010年的时候首次应用，被称为AES-NI，目前也在不断的加强中。二是英特尔在每一代CPU上都针对加密解密计算做一些微架构上的调整，使得整体性能不断提升。三则是软件优化，通过软件结合硬件的优化，能够带来密码硬件操作的提速。

▲英特尔密码操作硬件加速使用了第三代至强可扩展处理器的大量新特性和新的指令集。

英特尔还带来了一些有关密码硬件加速的案例。比如新的第三代至强可扩展处理器在计算OpenSSL RSA 2048位的签名上，相比上一代CPU，单线程情况下有5.6倍的提升，在进行AES-GCM对称加密方式的情况下，相对上一代产品，单线程情况下有3.3倍的提升，这个提升幅度是相当可观的。

在非对称加密解密方面，英特尔也提到了一些功能优化，比如借助AVX-512指令集实现相关计算加速，英特尔举例称第三代至强可扩展处理器通过VPMADD52指令，再通过多缓存并行操作的机制，在RSA 2048这样一个电子签名的操作上实现比上一代CPU高达5.6倍的提升。在密码学的伽罗华域方面，英特尔采用V AES和V CL Multiply提升了性能。软件优化方面，英特尔实现了多缓存并行执行和函数级别的缝合技术，后者可以实现不同格式的加密计算的一次性处理，大大提高了计算效率。

在之前的介绍文章中，我们曾提到第三代至强可扩展处理器在AI计算方面做出了很大加强，其中一个重要的改进就是AVX-512，英特尔是目前业内唯一支持AVX-512指令集的厂商，另一个是AI加速有关的指令集。借助于这两个方面的加速和软件的优化，英特尔宣称新的第三代至强可扩展处理器相比上代产品提升了74%的AI计算性能，比竞争对手快了大约25倍，不过这样的数据应该是在比较极端的状态下实现的。此外，英特尔在软件上持续投入，比如英特尔在TensorFlow上优化了ResNet的性能，相较于默认发行版可以提升10倍。在Scikit-Learn上经过优化，相比非优化版本获得了100倍的性能提升。

▲英特尔第三代至强可扩展处理器在AI计算上有了长足进步。

由于英特尔在AI计算上很好的优化，因此带来了非常领先的计算优势和具体应用场景的优势。在这一部分，英特尔给出了两个例子，一个是在数字娱乐方面的优化，比如目前人们在游戏中常见的捏脸技术，可以使玩家在游戏中获得非常出色的角色融入感。有关“捏脸”和相关应用，英特尔在这里做了一个非常好的尝试，那就是利用AI，通过用户上传人脸照片，自动和游戏内的3D模型耦合，这里利用到了第三代至强可扩展处理器的VNNI指令集，仅仅使用int8整数计算，就完成了2D人脸模型到3D游戏模型的转换，相比传统需要使用FP32的计算，第三代至强可扩展处理器和新的指令集带来了4.23倍的性能提升，同时技术和应用也非常简单。第二个例子是英特尔和阿里云在一起针对自然语言进行优化，利用的也是第三代至强可扩展处理器的VNNI int8相关特性，实现了3倍的性能提升。

▲英特尔和阿里巴巴合作的相关情况。

▲英特尔和平安科技合作带来了提供了边缘端隐私安全。

除了上述AI加速的内容外，英特尔在AI数据的安全方面也有很多独特的创新。比如借助第三代至强可扩展处理器的SGX技术配合AI计算，可以实现数据不用离开当前的机房就能够完成AI模型训练，这种技术被称为“联邦学习技术”。由于数据不用离开机房，因此在安全防护、数据控制方面就更为方便，因此受到了很多敏感数据用户的欢迎，比如金融企业。英特尔和银联就推出了名为Analytics Zoo的新技术，此外英特尔还和平安科技进行合作，实现了基于英特尔SGX技术加持的云边协同的隐私计算实践方案，其特点也是在SGX的控制下，数据模型中包含的敏感信息不会被威胁或者窃取，即完成了工作、提高了效率，还加强了数据安全性，整体效果很不错。

▲英特尔和银联合作带来了Analytics Zoo技术。

在上文，我们介绍了一些安全和AI计算的相关内容。在这一部分，主要谈及个人隐私和机器学习有关的内容。

目前全球各国对隐私保护都越来越严格，比如我国有《个人隐私保护法》，欧盟有GDPR，美国加州有CCPA等法律。这些隐私保护法律对个人隐私的获取、使用都规定的越来越严格。具体到现在的AI计算来看的话，很多AI计算都留不开个人信息的收集，比如人脸信息、医疗信息、个人行为和操作等。目前有三类数据保护亟待研究，一个是训练的模型数据，比如从千百万用户采集来的信息进行模型训练，这些信息是非常敏感的。二则是模型数据，这些模型数据是通过机器学习、机器训练而来，其数据本质是千百万用户的行为，因此也需要保护并且很多数据模型还涉及部分敏感信息，这就更加重要了。三是预测结果，比如模型根据数据给出的预测结果，具体到个人或者某个具体的群体的话，那也必须保护起来，不能被非法、无序使用。

▲深度学习中的隐私问题很难处理。

在这种情况下，英特尔提出的解决方案是结合前文提到的SGX，联邦学习等功能来实现数据的管控和处理。另外，SGX还有包括远程认证等功能，可以实现操作的每一方的远程互相认证，这就解决了操作中的可信问题，打破数据孤岛。与常规的其他的一些隐私保护或者是安全技术相比，不管是在安全性、性能和可用性方面，SGX都有明显的优势。SGX是一个硬件级的安全技术，整体计算性能也非常出色。易用性方面，SGX不会打破现有应用方式，也不会重新构建底层，更不会破坏数据和模型，整体迁移性、易用性都很出色。

▲结合SGX，英特尔带来了AI计算的隐私保护。

在一些具体案例方面，英特尔给出了一些例子包括通过SGX技术、LibOS技术，以及Analytics Zoo现有的API和实例给用户构建一个可信的大数据AI..。其中最典型的就是蚂蚁集团的Occlum LibOS项目，这是一个开源的LibOS项目，现在的情况是通过Occlum LibOS，可以在SGX上运行的应用越来越多了。除了之前讲到的深度学习应用，一些大数据的比如说Spark、Flink、Hadoop都可以无缝通过Occlum LibOS运行在SGX当中，从而带来了极高的安全性。

▲LibOS和SGX结合起来，实现了应用的易用性和安全性。

▲英特尔SGX助力联邦学习。

▲基于SGX的大数据和机器学习隐私计算。

▲英特尔展示蚂蚁集团的Occlum LibOS项目。

▲英特尔展示第三代至强可扩展处理器在隐私和大数据计算方面的性能优势。

从英特尔本次会议给出的信息来看，未来计算的发展方向一定是和效率、安全高度相关。在效率方面，英特尔通过第三代至强可扩展处理器已经实现了计算能力的飞跃，在安全方面，SGX技术配合相关的AI计算、隐私保护等功能，英特尔也带来了目前业内最领先的安全管理技术之一，并且已经和多家企业合作落地，实现了技术和应用的结合。总的来说，第三代至强可扩展处理器在发布后仅仅数个月就带来了如此多改变业内应用模式的方案和应用案例，确实体现了英特尔在企业级市场上的统治力。