本文介绍了SIMC,一种用于安全神经网络推理的协议,旨在抵抗恶意用户模型下的模型提取攻击。SIMC使用认证秘密分享和混淆电路技术,确保用户无法通过篡改分享来获取服务器的模型权重。文章详细阐述了SIMC的构建块,包括非线性函数、线性层和一致性检查阶段,展示了如何通过加密和认证机制降低通信开销并提高安全性。SIMC相对于之前的MUSE方案,通信效率提升了整整一个数量级。
论文学习笔记 SIMC: ML Inference Secure Against Malicious Clients at Semi-Honest Cost
该论文在 2022年被 USENIX会议接收。
一、安全神经网络推理
在安全推理中,服务器 P 0 P_0 P0拥有机器学习模型 M M M, M M M的权重 w w w是隐私和敏感的,用户 P 1 P_1 P1拥有隐私输入 x x x。安全推理的目的是 P 1 P_1 P1学习到模型 M M M在输入 x x x上的输出,即 M ( w , x ) M(w,x) M(w,x),而不知道其他东西; P 0 P_0 P0学习不了关于用户隐私输入 x x x的任何信息。安全推理有许多应用,比如隐私健康诊断、安全的机器学习作为服务(MLaaS)等。当安全推理中涉及的模型为神经网络模型时,安全推理又被称为安全神经网络推理。现阶段主要保证的神经网络模型架构如下图所示:
加性秘密分享是保证神经网络推理安全的一种有效密码学原语,被广泛应用于半诚实的模型中(大家可点击Delphi或MUSE获取更多信息)。该方法要求神经网络的每一层输出被切割为两份,服务器 P 0 P_0 P0一份,用户 P 1 P_1 P1一份。然而,在2021年,USENIX上的一篇论文指出这种方式存在安全问题。恶意的用户可以通过锻造(修改)自己那一份分享share来获取服务器的模型权重。这种模型提取攻击在我之前博客中有详细描述,可点击这里获取。
二、论文主要思想
为了抵抗模型提取攻击,MUSE对用户的分享进行了认证秘密分享,使得用户不可能通过输入不一致的分享来获取模型权重。更具体地,针对非线性层,MUSE在混淆电路中加入了分享认证,只有用户输入一致的分享才能获得与自己非线性层输入相应的标签。假设非线性层的输入为 s s s,那么非线性层的输出为 u = α s u=\alpha s
最低0.47元/天 解锁文章
扫一扫
2318
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
