麻省理工學院研究人員設計的一種新型加密方法可以保護在線神經網絡中使用的數據，而不會顯著減慢其運行時間。這種方法有望將基于云的神經網絡用于醫學圖像分析和其他使用敏感數據的應用程序。

外包機器學習是行業的一個上升趨勢。大型科技公司已經推出了云平臺，可以執行計算繁重的任務，例如，通過卷積神經網絡(CNN)運行數據進行圖像分類。資源匱乏的小型企業和其他用戶可以收取費用上傳數據到這些服務，并在幾個小時內收回結果。

但是，如果有私人數據泄漏怎么辦?近年來，研究人員探索了各種安全計算技術來保護這些敏感數據。但是這些方法存在性能上的缺陷，使得神經網絡評估(測試和驗證)遲緩 - 有時慢了幾百萬倍 - 限制了它們的廣泛采用。

在本周的USENIX安全會議上發表的一篇論文中，麻省理工學院的研究人員描述了一種融合了兩種傳統技術 - 同態加密和亂碼電路 - 的系統，其方式可以幫助網絡比傳統方法更快地運行數量級。

研究人員在兩方圖像分類任務上測試了這個名為GAZELLE的系統。用戶將加密的圖像數據發送到評估在GAZELLE上運行的CNN的在線服務器。在此之后，雙方來回共享加密信息以便對用戶的圖像進行分類。在整個過程中，系統確保服務器永遠不會學習任何上傳的數據，而用戶從不學習任何有關網絡參數的信息。然而，與傳統系統相比，GAZELLE的運行速度比最先進的模型快20到30倍，同時將所需的網絡帶寬減少了一個數量級。

該系統的一個有希望的應用是培訓CNN以診斷疾病。例如，醫院可以訓練CNN從磁共振圖像(MRI)中學習某些醫學狀況的特征，并在上傳的MRI中識別這些特征。醫院可以在云中為其他醫院提供該模型。但該模型受到私人患者數據的培訓，并進一步依賴于私人患者數據。由于沒有有效的加密模型，這個應用程序還沒有為黃金時間做好準備。

“在這項工作中，我們展示了如何通過巧妙地結合這兩種技術來有效地進行這種安全的雙方通信，”第一作者Chiraag Juvekar博士說。電氣工程與計算機科學系(EECS)的學生。“下一步是采取真實的醫療數據，并表明，即使我們根據真實用戶關心的應用程序進行擴展，它仍然可以提供可接受的性能。”

該論文的共同作者是歐洲經濟共同體的副教授，計算機科學和人工智能實驗室的成員Vinod Vaikuntanathan，以及工程學院院長和Vannevar Bush電氣工程和計算機科學教授Anantha Chandrakasan。

最大化性能

CNN 通過多個線性和非線性計算層處理圖像數據。線性圖層執行復雜的數學運算，稱為線性代數，并為數據指定一些值。在某個閾值處，數據被輸出到非線性層，這些非線性層執行一些更簡單的計算，做出決定(例如識別圖像特征)，并將數據發送到下一個線性層。最終結果是具有指定類別的圖像，例如車輛，動物，人或解剖學特征。

最近保護CNN的方法涉及應用同態加密或亂碼電路來處理整個網絡中的數據。這些技術可有效保護數據。“在紙面上，這似乎解決了這個問題，”尤文卡說。但它們使復雜的神經網絡效率低下，“所以你不會將它們用于任何真實世界的應用程序。”

在云計算中使用的同態加密在加密數據(稱為密文)中接收和執行所有計算，并生成加密結果，然后由用戶解密。當應用于神經網絡時，這種技術在計算線性代數時特別快速有效。但是，它必須在每層的數據中引入一點噪音。在多個層上，噪聲累積，并且過濾噪聲所需的計算變得越來越復雜，從而降低了計算速度。

亂碼電路是一種安全的雙方計算形式。該技術接受來自雙方的輸入，進行一些計算，并向每一方發送兩個單獨的輸入。通過這種方式，各方相互發送數據，但他們從未看到對方的數據，只看到他們身邊的相關輸出。然而，在各方之間傳遞數據所需的帶寬與計算復雜性成比例，而不是與輸入的大小成比例。在在線神經網絡中，這種技術在非線性層中運行良好，其中計算量最小，但在數學重線性層中帶寬變得難以處理。

相反，麻省理工學院的研究人員將這兩種技術結合起來，以解決他們效率低下的問題。

在他們的系統中，用戶將密文上傳到基于云的CNN。用戶必須在自己的計算機上運行亂碼電路技術。CNN完成線性層中的所有計算，然后將數據發送到非線性層。此時，CNN和用戶共享數據。用戶對亂碼電路進行一些計算，并將數據發送回CNN。通過拆分和共享工作負載，系統將同態加密限制為一次一層地進行復雜的數學運算，因此數據不會變得太嘈雜。它還限制了亂碼電路與非線性層的通信，在非線性層中它可以最佳地執行。

“我們只是將技術用于最有效的地方，”尤文卡說。

秘密分享

最后一步是確保同態和亂碼電路層保持共同的隨機化方案，稱為“秘密共享”。在該方案中，數據被分成單獨的部分，這些部分被提供給單獨的各方。各方同步他們的部分以重建完整數據。

在GAZELLE中，當用戶將加密數據發送到基于云的服務時，它會在雙方之間分配。添加到每個共享的是只有擁有方知道的密鑰(隨機數)。在整個計算過程中，每一方總是會有一部分數據加上隨機數，因此它看起來完全隨機。在計算結束時，雙方同步他們的數據。只有這樣，用戶才會向基于云的服務詢問其密鑰。然后，用戶可以從所有數據中減去秘密密鑰以獲得結果。

“在計算結束時，我們希望第一方得到分類結果而第二方得到絕對沒有，”尤文卡說。此外，“第一方對模型的參數一無所知。”