论文学习笔记 POSEIDON: Privacy-Preserving Federated Neural Network Learning

论文学习笔记 POSEIDON: Privacy-Preserving Federated Neural Network Learning

NDSS 2021录用文章

---

---

一、机器学习

1. 机器学习(ML)中的挑战

• 为了实现健壮的机器学习模型，需要在多个数据提供者之间共享数据。

• 问题1： 数据分享是困难的。
  1.敏感数据
  2.隐私条例(HIPAA，GDPR)
  3.商业竞争

• ML模型的合作训练。

• 问题2： ML模型泄露了训练数据的信息。

• 提供机器学习作为一种服务(machine learning-as-a-service)。

• 问题3： 用于预测的个人数据是敏感的。

2. 隐私保护机器学习(PPML)

基于多个数据提供者的数据，建立分布式机器学习模型，进行隐私保护训练和推理。模型保护了数据和模型机密性。

• 中心化——集中训练
  1.将原始数据传输给可信第三方，可信第三方汇总数据到中央数据库
  2.数据保护: 中央数据库的安全
  3.需要信任中央服务器
• 去中心化——联邦学习
  1.将模型带到数据中进行本地模型更新，而不是将数据带到模型中。模型是敏感的。
  2.共享中间模型更新（梯度）会导致各种隐私攻击，比如提取各方的输入。
• 隐私保护去中心化——差分隐私
  1.在数据所有者之间交换差分隐私的中间值。
  2.效用降低。
  3.高隐私预算
  4.隐私的实际实现水平仍不清楚。
• 隐私保护去中心化——安全多方计算
  1.基于秘密共享技术的服务器模型，数量为2、3或4。
  2.在分割信任的服务器数量方面具有限制。
  3.假设在计算服务器中有诚实的大多数。
  4.高的通信开销

二、POSEIDON方案

该论文扩展了SPINDLE（针对通用线性模型的隐私保护训练和评估），通过多方同态加密建立了一个新的系统，在分布式设置中使更复杂的模型（即神经网络(NNs)）的隐私保护训练和评估成为可能，提供端到端保护：

• 各方的训练数据
• 结果模型
• 查询者的评估数据

1. 系统和威胁模型

• 系统模型
  1.$N$个数据提供者，每个本地持有自己的数据来训练神经网络模型。
  2.查询者对模型进行查询，得到模型评估数据的预测结果。
  3.为了提高通信效率，通信各方以树状网络结构相互连接。

• 威胁模型
  一个多达N-1方串通的被动敌手模型。

• 目标
  1.数据保密： 在训练和预测过程中，除了从自己的输入数据中推断出的信息外，任何一方都不应了解其他诚实方的输入数据的更多信息。
  2.模型机密性： 在训练和预测过程中，除了可以从自己的输入数据中推断出的信息外，任何一方都不应该获得关于模型的更多信息。

2. 方案总览

该方案提供了一个依赖于多方同态加密(MHE) 和联邦学习的解决方案。具体地，该方案依赖于一个MHE方案，它是针对基于RLWE的CKKS的变体，可抵抗后量子攻击。

• 本地数据总是保存在数据提供者的前提下。
• 在训练和评估过程中，神经网络模型的权重始终是加密的。

多方同态加密(MHE)

• 各方都知道公开的集体密钥。
• 相应的私钥被分发给各方。
• 解密需要各方之间的协作。
• 为更新密文提供有效的协作bootstrapping。

下面给出基于BVF的MHE的协作密钥生成协议。
注：可忽略，这里只是形象展示一下多方安全地协作计算

联邦学习

问题: 数据提供者必须在梯度下降过程中协作，否则他们会找到不同的最小值。

我们依赖于基于联邦学习的方法，其中

• 每个数据提供者执行若干局部迭代，并计算每一层的梯度。
• 这些梯度在各方之间聚集在一起，各方用梯度的平均值进行模型更新。

解决方案： 数据提供者(DPs)协作实现联合梯度下降，同时保护其隐私，并获得全局和准确的模型。

• 定义任务，例如训练神经网络模型。
• 每个DP对其数据执行若干次训练迭代。
• 在一个全局模型中，DPs共同并迭代地组合它们的梯度(更新)。
• 训练结束后，该模型被保密，用于不经意的预测。

主要挑战和解决方法

• 梯度下降挑战
  1.非多项式激活函数，如Sigmoid, Softmax
  2.昂贵的同态运算，即旋转，自举
  3.特定于模型的函数，即卷积神经网络(CNNs)中的池化

• 对应措施：
  1.激活函数的最小二乘近似
  2.启用单指令多数据(SIMD)的特定问题打包方案
  3.引入多个函数到分布式bootstrapping中

• Bootstrapping挑战
  该模型在多次迭代过程中是持久的→大的乘法深度→密文需要bootstrapping

• 对应措施：
  1.高效和写作的bootstrapping
  2.通过参数最小化bootstrapping数量

• 参数化挑战
  学习参数和密码参数之间的强相关性

• 对应措施：
  选择密码参数的约束优化问题

3. 方案

CKKS简介

下面是CKKS的基本表述

下面是POSEIDON中使用的CKKS相关密码操作函数

协作训练

文中采用MapReduce架构来描述协作训练，下面是协作训练协议以及梯度下降算法，理解起来不难。

其他重要功能

下面是交替打包协议

下面是任意线性转换的分布式Bootstrapping协议

下面是旋转功能的应用，包括向左旋转求内积和以及向右旋转复制两个功能。

为了更直观地掌握其原理，下面是一个小demo

POSEIDON 实例

将POSEIDON运用到2层多层感知机网络中，得到以下实例

总结

这篇文章主要是扩展了SPINDLE方案，将线性模型扩展到神经网络模型，提出了一个新的系统POSEIDON。具体地，文章首先基于2017年提出的CKKS方案设计了多方同态加密，虽然并未给出具体的基于CKKS的多方同加密方案内容，但这很容易从2020年基于BFV的MHE进行推导。此外，文章的贡献还包括1）设计了一种交替打包方式，减少了矩阵向量乘法中的转置和旋转操作2）给出了神经网络模型中密码参数和机器学习参数的联系，构建了一个优化模型用来减少密码操作。

参考文献

[1] D. Froelicher, J. R. Troncoso-Pastoriza, A. Pyrgelis, S. Sav, J. S. Sousa, J.-P. Bossuat, and J.-P. Hubaux. Scalable privacy-preserving distributed learning. Privacy Enhancing Technologies Symposium (PETS), 2021.
[2] C. Mouchet, J. R. Troncoso-pastoriza, J.-P. Bossuat, and J. P. Hubaux. Multiparty homomorphic encryption: From theory to practice. In Technical Report https://eprint.iacr.org/2020/304, 2019.
[3] J. H. Cheon, A. Kim, M. Kim, and Y. Song. Homomorphic encryption for arithmetic of approximate numbers. In Springer International Conference on the Theory and Application of Cryptology and Information Security (ASIACRYPT), 2017.
[4] J. Fan, F. Vercauteren. Somewhat practical fully homomorphic encryption. IACR Cryptol. ePrint Arch., 2012.
[5] C. Jiang, C. Xu, Y. Zhang, PFLM: Privacy-preserving Federated Learning with
Membership Proof, Information Sciences (2021), doi: https://doi.org/10.1016/j.ins.2021.05.077.
[6] S. Sav, A. Pyrgelis, J. R. Troncoso-Pastoriza, et al. POSEIDON: Privacy-preserving federated neural network learning[J]. arXiv preprint arXiv:2009.00349, 2020.