(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 20221042819 2.0 (22)申请日 2022.04.22 (71)申请人 支付宝 （杭州） 信息技 术有限公司 地址 310000 浙江省杭州市西湖区西溪路 556号8层B段801-1 1 (72)发明人 曹佳炯　丁菁汀　 (74)专利代理 机构 北京国昊天诚知识产权代理 有限公司 1 1315 专利代理师 朱文杰 (51)Int.Cl. G06F 21/62(2013.01) G06F 21/60(2013.01) G06K 9/62(2022.01) G06N 3/04(2006.01) G06N 3/08(2006.01) (54)发明名称 一种信息的处 理方法、 装置及设备 (57)摘要 本说明书实施例公开了一种信息的处理方 法、 装置及设备， 该方法包括： 获取待保护的目标 模型对应的历史旁路信息， 基于历史旁路信息和 预先训练的隐私保护模型， 对历史旁路信息进行 隐私保护处理， 得到 隐私保护后的旁路信息， 隐 私保护模型是联合判别器， 通过目标模型的旁路 信息样本和预设的损失函数进行模 型训练得到； 当目标模型运行时， 获取当前运行的目标模型对 应的旁路信息中包含的信息所属的信息类型， 并 基于获取的信息类型， 确定与该信息类型相匹配 的旁路信息处理策略； 基于与该信息类型相匹配 的旁路信息处理策略和隐私保护后的旁路信息， 对当前运行的目标模型对应的旁路信息进行处 理， 以保护当前运行的目标模型对应的旁路信 息。 权利要求书6页 说明书28页 附图7页 CN 114741729 A 2022.07.12 CN 114741729 A 1.一种信息的处 理方法， 所述方法包括： 获取待保护的目标模型对应的历史旁路信 息， 所述历史旁路信 息是所述目标模型运行 过程中产生的未经加密处理的历史信息或者所述目标模型运行过程中产生的容易获取且 不需要进行信息保护处 理的历史信息； 基于所述历史旁路信 息和预先训练 的隐私保护模型， 对所述历史旁路信 息进行隐私保 护处理， 得到隐私保护后的旁路信息， 所述隐私保护模型是联合判别器， 通过所述目标模型 的旁路信息样本和预设的损失函数进行模型训练得到； 当所述目标模型运行时， 获取当前运行的所述目标模型对应的旁路信 息中包含的信 息 所属的信息类型， 并基于获取 的信息类型， 确定与所述信息类型相匹配的旁路信息处理策 略； 基于与所述信息类型相匹配的旁路信 息处理策略和所述隐私保护后的旁路信 息， 对当 前运行的所述目标模型对应的旁路信息进 行处理， 以保护当前运行的所述目标模型对应的 旁路信息 。 2.根据权利要求1所述的方法， 所述信息类型包括所述目标模型的体积， 所述基于与 所述信息类型相匹配的旁路信 息处理策略和所述隐私保护后的旁路信 息， 对当前运行的所述目标模型对应的旁路信息进行处 理， 包括： 如果当前所述目标模型的体积小于所述隐私保护后的旁路信息中指示的所述目标模 型的基准体积， 则基于与所述信息类型相匹配的旁路信息处理策略， 对当前所述 目标模型 的体积进行扩充处理， 直到当前所述 目标模型 的体积达到所述 目标模型 的基准体积， 得到 处理后的旁路信息 。 3.根据权利要求1所述的方法， 所述信息类型包括所述目标模型运行时所占用的内存 和/或运行时长， 所述基于与 所述信息类型相匹配的旁路信 息处理策略和所述隐私保护后的旁路信 息， 对当前运行的所述目标模型对应的旁路信息进行处 理， 包括： 如果当前所述目标模型运行所占用的内存小于所述隐私保护后的旁路信息中指示的 所述目标模 型的基准内存， 则基于与所述信息类型相匹配的旁路信息处理策略中的malloc 函数， 对当前所述 目标模型运行所占用的内存进行扩充处理， 直到当前所述 目标模型运行 所占用的内存达 到所述目标模型的基准内存， 得到处 理后的旁路信息； 和/或， 如果当前所述目标模型的运行时长小于所述隐私保护后的旁路信息中指示的所述目 标模型的基准运行时长， 则基于与所述信息类型相匹配的旁路信息处理策略中的sleep函 数， 对当前所述目标模型 的运行时长进行扩充处理， 直到当前所述 目标模型 的运行时长达 到所述目标模型的基准 运行时长， 得到处 理后的旁路信息 。 4.根据权利要求1所述的方法， 所述信 息类型包括所述目标模型的输入图像的尺寸和/ 或所述目标模型的输出图像的尺寸， 所述基于与 所述信息类型相匹配的旁路信 息处理策略和所述隐私保护后的旁路信 息， 对当前运行的所述目标模型对应的旁路信息进行处 理， 包括： 如果当前所述目标模型的输入图像的尺寸小于所述隐私保护后的旁路信息中指示的 所述目标模型 的基准输入图像尺寸， 则基于与所述信息类型相匹配的旁路信息处理策略， 对所述目标模型的输入图像的尺寸进 行缩放处理， 直到 当前所述目标模型的输入图像的尺权　利　要　求　书 1/6 页 2 CN 114741729 A 2寸达到所述目标模型的基准输入图像尺寸， 得到处 理后的旁路信息； 和/或， 如果当前所述目标模型的输出图像的尺寸小于所述隐私保护后的旁路信息中指示的 所述目标模型 的基准输出图像尺寸， 则基于与所述信息类型相匹配的旁路信息处理策略， 对当前所述目标模型的输出图像的尺寸进 行缩放处理， 直到当前所述目标模型的输出图像 的尺寸达 到所述目标模型的基准输出图像尺寸， 得到处 理后的旁路信息 。 5.根据权利要求1所述的方法， 所述信息类型包括所述目标模型的运行次数， 所述基于与 所述信息类型相匹配的旁路信 息处理策略和所述隐私保护后的旁路信 息， 对当前运行的所述目标模型对应的旁路信息进行处 理， 包括： 如果当前所述目标模型的运行次数小于所述隐私保护后的旁路信息中指示的所述目 标模型的基准运行次数， 则基于与所述信息类型相匹配的旁路信息处理策略， 对当前所述 目标模型的运行次数进行调整， 直到当前所述目标模型的运行次数达到所述目标模型的基 准运行次数， 得到处 理后的旁路信息 。 6.根据权利要求1 ‑5中任一项所述的方法， 所述方法还 包括： 基于预设的信息扰动策略对所述处理后的旁路信息中未进行信息处理的信息进行扰 动处理， 得到扰动 后的旁路信息； 将扰动后的旁路信息进行加密处 理， 并将加密的扰动 后的旁路信息传输给指定设备。 7.根据权利要求1所述的方法， 所述方法还 包括： 获取所述目标模型的旁路信息样本； 将所述旁路信息样本 输入到所述隐私保护模型中， 得到隐私保护后的旁路信息样本； 将所述旁路信 息样本和隐私保护后的旁路信 息样本输入到判别器中， 得到相应的输出 结果， 并基于所述输出结果和预设的损失函数判断所述隐私保护模型和所述判别器是否收 敛， 如果否， 则基于所述旁路信息样本和所述损失函数继续对所述隐私保护模型和所述判 别器进行训练， 直到所述隐私保护模型和所述判别器收敛， 得到训练后的所述隐私保护模 型， 所述输出结果包括所述旁路信息样本是否经过隐私保护处理， 以及所述 目标模型 的关 键信息的预测结果， 所述目标模型的关键信息包括所述目标模型的结构和功能。 8.根据权利要求7所述的方法， 所述损 失函数由旁路信息的分布函数、 对抗损 失函数、 关键信息预测损失函数和基于先验margin的损失函数中的一项或多项构成， 所述旁路信息 的分布函数基于最小化所述旁路信息样本与隐私保护后的旁路信息样本之间的数据分布 确定， 所述对抗损失函数基于对所述旁路信息样本是否经过隐私保护处理的输出结果的准 确率确定， 所述关键信息预测损失函数基于所述目标模型的关键信息的预测结果的准确率 确定， 所述基于先验margin的损失函数基于所述旁路信息样 本与隐私保护后的旁路信息样 本之间的差异小于预设的margi n确定。 9.根据权利要求7所述的方法， 所述目标模型为进行生物识别处理 的模型， 所述隐私保 护模型是通过多层感知机 MLP构建， 所述判别器是通过多层感知机 MLP构建。 10.根据权利要求1所述的方法， 所述基于所述历史旁路信息和预先训练 的隐私保护模 型， 对所述历史旁路信息进行隐私保护处 理， 得到隐私保护后的旁路信息， 包括： 分别计算所述历史旁路信息中包 含的不同信息类型的信息的平均值； 将计算得到的所述历史旁路信息中包含的不同信息类型的信息的平均值输入到预先 训练的隐私保护模型中， 得到隐私保护后的旁路信息 。权　利　要　求　书 2/6 页 3 CN 114741729 A 3