目录
2.1 加法秘密共享(Additive Secret Sharing)
4.5 复杂性分析(Complexity Analysis)
6. 性能评估(Performance Evaluation)
6.3 全模型性能(End-to-End Performance)
1. 引言(Introduction)
主要内容:
-
背景介绍
神经网络推理服务已经广泛应用于图像分类、人脸识别等领域,这些服务通常基于云计算来实现。
例如,用户上传一张照片到云端,由企业的神经网络模型进行推理后返回结果。这种云端计算方式具备高效性,但也带来了隐私风险:- 用户的输入数据(如照片、位置信息)包含敏感隐私。
- 神经网络模型是企业的重要资产,模型的参数可能暴露敏感训练数据。
-
现有方法的问题
为了解决隐私问题,研究者提出了加密计算技术,如混淆电路和同态加密,但这些方法有明显的缺点:- 计算成本高:需要大量的计算资源和通信交互。
- 设备要求高:用户设备需要持续在线参与计算,不适用于移动设备等资源受限的环境。
-
论文目标
论文提出了一种轻量化的安全神经网络推理系统——Sonic,它旨在解决以下问题:- 保护隐私:保障用户输入和模型的安全。
- 高效性:减少带宽和计算开销,使其适用于资源受限的设备。
- 灵活性:支持动态更新神经网络模型,而无需重新部署应用。
-
核心贡献
- 设计并实现了Sonic框架,该框架支持安全的CNN推理服务。
- 提出了轻量化的安全层功能,包括安全卷积(SCONV)、批归一化(SBN)、ReLU激活(SReLU)和最大池化(SMP)。
- 在MNIST和CIFAR-10等数据集上进行了实验,证明Sonic在效率和带宽使用上优于现有方法。
2. 预备知识(Preliminary)
2.1 加法秘密共享(Additive Secret Sharing)
加法秘密共享是一种加密技术,能够将一个值分解为多个部分,使得单独的部分无法透露原始信息。
-
基本原理:
- 一个秘密值 xxx 被分解为两部分 〈x〉0\langle x \rangle_0〈x〉0 和 〈x〉1\langle x \rangle_1〈x〉1,满足 〈x〉0+〈x〉1=x\langle x \rangle_0 + \langle x \rangle_1 = x〈x〉0+〈x〉1=x (模运算)。
- 每个部分单独看起来是随机的,只有将两部分结合才能还原 xxx。
-
支持的操作:
- 加法和减法:可以在本地对两个共享值进行加法或减法,而无需额外通信。
- 乘法:需要预先生成的乘法三元组(Multiplication Triple)来支持安全乘法。
表1:关键符号和含义
论文定义了多种符号以简化后续表达,例如:
- X,W:分别表示输入和权重矩阵。
- :表示第 个服务器持有的秘密共享值。
3. 系统概述(System Overview)
3.1 系统架构
Sonic的系统由以下组件组成:
- 模型所有者:拥有预训练的CNN模型,并将其以秘密共享的形式上传到云端。
- 云服务器:由两个独立的云服务商(如AWS和Google Cloud)托管,用于共同执行推理计算。服务器之间不共享信息,确保安全性。
- 移动用户:上传加密的输入数据并接收推理结果。
工作流程:
- 模型预处理:模型所有者将CNN模型分割为两份加密的共享值,分别部署到两个云服务器。
- 输入数据加密:移动用户将原始输入数据(如图像)