光学实现。图片来源:arXiv (2024)。DOI: 10.48550/arxiv.2408.05629
深度学习模型被用于许多领域,从医疗保健诊断到财务预测。但是,这些模型的计算量非常大,因此需要使用功能强大的基于云的服务器。
这种对云计算的依赖会带来重大的安全风险,尤其是在医疗保健等领域,由于隐私问题,医院可能不愿使用 AI 工具来分析机密的患者数据。
为了解决这一紧迫的问题,麻省理工学院的研究人员开发了一种安全协议,该协议利用光的量子特性来保证发送到云服务器和从云服务器发送的数据在深度学习计算期间保持安全。
通过将数据编码到光纤通信系统中使用的激光中,该协议利用了量子力学的基本原理,使攻击者无法在不被发现的情况下复制或拦截信息。
此外,该技术在不影响深度学习模型准确性的情况下保证了安全性。在测试中,研究人员证明他们的协议可以保持 96% 的准确率,同时确保强大的安全措施。
“像 GPT-4 这样的深度学习模型具有前所未有的功能,但需要大量的计算资源。
“我们的协议使用户能够利用这些强大的模型,而不会损害其数据的隐私或模型本身的专有性质,”麻省理工学院电子研究实验室 (RLE) 的博士后 Kfir Sulimany 说,他也是发布到 arXiv 预印本服务器的一篇关于该安全协议的论文的主要作者。
Sulimany 与麻省理工学院博士后 Sri Krishna Vadlamani 一起发表了论文;Ryan Hamerly,前博士后,现供职于 NTT Research, Inc.;电气工程和计算机科学 (EECS) 研究生 Prahlad Iyengar;以及资深作者 Dirk Englund,他是 EECS 教授、量子光子学和人工智能小组以及 RLE 的首席研究员。
该研究最近在量子密码学年会 (Qcrypt 2024) 上发表。
深度学习安全双行道研究人员关注的基于云的计算场景涉及两方:一个是拥有机密数据(如医学图像)的客户端,另一个是控制深度学习模型的中央服务器。
客户希望使用深度学习模型进行预测,例如根据医学图像预测患者是否患有癌症,而不透露有关患者的信息。
在这种情况下,必须发送敏感数据才能生成预测。但是,在此过程中,患者数据必须保持安全。
此外,服务器不想透露像 OpenAI 这样的公司花费数年和数百万美元构建的专有模型的任何部分。
“双方都有他们想隐藏的东西,”瓦德拉马尼补充道。
在数字计算中,不良行为者可以很容易地复制从服务器或客户端发送的数据。
另一方面,量子信息无法完美复制。研究人员在他们的安全协议中利用了这一特性,称为无克隆原则。
对于研究人员的协议,服务器使用激光将深度神经网络的权重编码为光场。
神经网络是一种深度学习模型,由对数据执行计算的互连节点或神经元层组成。权重是模型的组件,用于对每个输入执行数学运算,一次一层。一层的输出被馈送到下一层,直到最后一层生成预测。
服务器将网络的权重传输到客户端,客户端根据其私有数据实施操作以获取结果。数据将保持对服务器屏蔽。
同时,安全协议允许客户端只测量一个结果,并且由于光的量子性质,它可以防止客户端复制权重。
一旦客户端将第一个结果馈送到下一层,该协议就会被设计为抵消第一层,这样 Client 端就无法了解有关模型的任何其他信息。
“客户端不是测量来自服务器的所有入射光,而是只测量运行深度神经网络并将结果馈送到下一层所需的光。然后,客户端将残余光发送回服务器进行安全检查,“Sulimany 解释道。
由于不可克隆定理,客户在测量模型结果时不可避免地会对模型施加微小的误差。当服务器接收到来自客户端的残差光时,服务器可以测量这些误差以确定是否有任何信息泄露。重要的是,这种残余光被证明不会泄露客户数据。
实用的方案现代电信设备通常依靠光纤来传输信息,因为需要支持长距离的大量带宽。由于该设备已经集成了光学激光器,因此研究人员无需任何特殊硬件即可将数据编码为光以用于其安全协议。
当他们测试他们的方法时,研究人员发现它可以保证服务器和客户端的安全,同时使深度神经网络达到 96% 的准确率。
当客户端执行操作时,有关模型泄漏的少量信息不到对手恢复任何隐藏信息所需的信息的 10%。相反,恶意服务器只能获得窃取客户端数据所需信息的 1% 左右。
“您可以保证它在两个方面都是安全的 - 从客户端到服务器以及从服务器到客户端,”Sulimany 说。
“几年前,当我们在麻省理工学院主校区和麻省理工学院林肯实验室之间开发分布式机器学习推理演示时,我突然意识到,我们可以做一些全新的事情来提供物理层安全性,以多年的量子密码学工作为基础,这些工作也在该测试台上得到了证明,”Englund 说。
“然而,必须克服许多深刻的理论挑战,才能看到这种隐私保证的分布式机器学习的前景能否实现。直到 Kfir 加入我们的团队,这才成为可能,因为 Kfir 对实验和理论组成部分有着独特的理解,从而开发了支撑这项工作的统一框架。
未来,研究人员希望研究如何将此协议应用于一种称为联邦学习的技术,其中多方使用他们的数据来训练一个中央深度学习模型。它也可以用于量子运算,而不是他们为这项工作研究的经典运算,后者可以在准确性和安全性方面提供优势。
“这项工作以一种巧妙而有趣的方式结合了来自通常不满足的领域的技术,特别是深度学习和量子密钥分发。通过使用后者的方法,它为前者增加了一个安全层,同时还允许看似现实的实现。
“这对于在分布式架构中保护隐私可能很有趣。我期待看到该协议在实验缺陷下的表现及其实际实现,“巴黎索邦大学 CNRS 研究主任 Eleni Diamanti 说,他没有参与这项工作。
更多信息:Kfir Sulimany 等人,量子安全多方深度学习,arXiv(2024 年)。DOI: 10.48550/arxiv.2408.05629
期刊信息: arXiv