摘要
隐私保护的神经推理有助于保护用户输入数据和模型权重在深度学习模型推理期间不泄露给其他人。为了实现数据保护,推理通常在安全域内执行,最终结果以明文形式显示。然而,与不安全版本相比,在安全域中执行计算会产生大约一千倍的开销,特别是当整个模型所涉及的操作映射到安全域时,这是现有工作采用的计算方案。这项工作的灵感来自迁移学习技术,其中模型层的某些部分的权重是从公开可用的、预先构建的深度学习模型转移而来的,它通过允许我们有选择地对传输模型的各个部分进行安全计算,为进一步提高执行效率打开了一扇门。我们构建了一个编译器框架 SecureTVM,用于自动将经过训练的模型转换为安全版本,其中要保护的模型层可以由其模型提供者有选择地配置。因此,SecureTVM的性能优于最先进的CrypTFlow2,在迁移学习模型中高出55倍。我们相信,这项工作朝着隐私保护神经推理在实际应用中的实际应用迈出了一步。
核心内容:
SecureTVM的实现基于两个关键技术:有选择的层次保护(Selective Hierarchical Protection,SHP)和混淆推理(Obfuscated Inference,OI)。
SHP技术通过在编译时将不同的隐私保护策略应用于不同的模型层,从而允许用户根据应用程序的需求自定义隐私保护级别。
OI技术则通过在模型推理过程中使用加密技术来混淆模型计算,从而保护隐私。