Mere effektiv sikkerhed til cloud-baseret maskinlæring

En ny krypteringsmetode udviklet af MIT-forskere sikrer data, der bruges i online neurale netværk, uden at nedsætte deres kørselstider dramatisk. Denne tilgang lover at bruge cloud-baserede neurale netværk til medicinsk billedanalyse og andre applikationer, der bruger følsomme data.

Outsourcing af maskinlæring er en stigende tendens i industrien. Store teknologivirksomheder har lanceret cloud-platforme, der udfører beregningstunge opgaver, såsom, sige, at køre data gennem et konvolutionelt neuralt netværk (CNN) til billedklassificering. Små virksomheder med ressourcer og andre brugere kan uploade data til disse tjenester mod et gebyr og få resultater tilbage på flere timer.

Men hvad hvis der er læk af private data? I de seneste år, forskere har udforsket forskellige sikker-beregningsteknikker for at beskytte sådanne følsomme data. Men disse metoder har ydeevne ulemper, der gør neurale netværksevaluering (testning og validering) træg - nogle gange så meget som millioner gange langsommere - hvilket begrænser deres bredere anvendelse.

I et papir præsenteret på denne uges USENIX sikkerhedskonference, MIT-forskere beskriver et system, der blander to konventionelle teknikker - homomorf kryptering og forvanskede kredsløb - på en måde, der hjælper netværkene med at køre størrelsesordener hurtigere, end de gør med konventionelle tilgange.

Forskerne testede systemet, kaldet GAZELLE, på to-parts billedklassificeringsopgaver. En bruger sender krypterede billeddata til en onlineserver, der evaluerer et CNN, der kører på GAZELLE. Efter dette, begge parter deler krypteret information frem og tilbage for at klassificere brugerens billede. Gennem hele processen, systemet sikrer, at serveren aldrig lærer nogen uploadede data, mens brugeren aldrig lærer noget om netværksparametrene. Sammenlignet med traditionelle systemer, imidlertid, GAZELLE kørte 20 til 30 gange hurtigere end avancerede modeller, samtidig med at den nødvendige netværksbåndbredde reduceres med en størrelsesorden.

En lovende applikation til systemet er at træne CNN'er til at diagnosticere sygdomme. Hospitaler kunne, for eksempel, træne en CNN til at lære karakteristika for visse medicinske tilstande fra magnetiske resonansbilleder (MRI) og identificere disse karakteristika i uploadede MRI'er. Hospitalet kunne gøre modellen tilgængelig i skyen for andre hospitaler. Men modellen er trænet på, og stoler yderligere på, private patientdata. Fordi der ikke er nogen effektive krypteringsmodeller, denne applikation er ikke helt klar til bedste sendetid.

"I dette arbejde, vi viser, hvordan man effektivt udfører denne form for sikker topartskommunikation ved at kombinere disse to teknikker på en smart måde, " siger førsteforfatter Chiraag Juvekar, en ph.d. studerende ved Institut for Elektroteknik og Datalogi (EECS). "Det næste skridt er at tage rigtige medicinske data og vise, at selv når vi skalerer det til applikationer, som rigtige brugere holder af, det giver stadig acceptabel ydeevne."

Medforfattere på papiret er Vinod Vaikuntanathan, en lektor i EECS og medlem af Computer Science and Artificial Intelligence Laboratory, og Anantha Chandrakasan, dekan for School of Engineering og Vannevar Bush professor i elektroteknik og datalogi.

Maksimering af ydeevne

CNN'er behandler billeddata gennem flere lineære og ikke-lineære lag af beregninger. Lineære lag gør den komplekse matematik, kaldet lineær algebra, og tildele nogle værdier til dataene. Ved en vis tærskel, dataene udsendes til ikke-lineære lag, der udfører noget enklere beregning, træffe beslutninger (såsom at identificere billedtræk), og send dataene til det næste lineære lag. Slutresultatet er et billede med en tildelt klasse, såsom køretøj, dyr, person, eller anatomisk træk.

Nylige tilgange til sikring af CNN'er har involveret anvendelse af homomorf kryptering eller forvanskede kredsløb til at behandle data gennem et helt netværk. Disse teknikker er effektive til at sikre data. "På skrift, det ser ud til at det løser problemet, " siger Juvekar. Men de gør komplekse neurale netværk ineffektive, "så du ville ikke bruge dem til nogen applikationer i den virkelige verden."

Homomorf kryptering, bruges i cloud computing, modtager og udfører beregning alt i krypterede data, kaldet chiffertekst, og genererer et krypteret resultat, som derefter kan dekrypteres af en bruger. Når det anvendes på neurale netværk, denne teknik er særlig hurtig og effektiv til at beregne lineær algebra. Imidlertid, det skal introducere lidt støj i dataene på hvert lag. Over flere lag, støj ophobes, og den nødvendige beregning for at filtrere, at støj bliver mere og mere kompleks, langsommere beregningshastigheder.

Forvanskede kredsløb er en form for sikker topartsberegning. Teknikken tager input fra begge parter, laver nogle beregninger, og sender to separate input til hver part. På den måde, parterne sender data til hinanden, men de ser aldrig den anden parts data, kun det relevante output på deres side. Den nødvendige båndbredde til at kommunikere data mellem parterne, imidlertid, skalaer med beregningskompleksitet, ikke med størrelsen af ​​input. I et online neuralt netværk, denne teknik fungerer godt i de ikke-lineære lag, hvor beregningen er minimal, men båndbredden bliver uhåndterlig i matematiktunge lineære lag.

MIT-forskerne, i stedet, kombinerede de to teknikker på en måde, der kommer uden om deres ineffektivitet.

I deres system, en bruger vil uploade chiffertekst til et cloud-baseret CNN. Brugeren skal have forvansket kredsløbsteknik kørende på deres egen computer. CNN udfører al beregning i det lineære lag, sender derefter dataene til det ikke-lineære lag. På det tidspunkt, CNN og bruger deler dataene. Brugeren foretager nogle beregninger på forvanskede kredsløb, og sender dataene tilbage til CNN. Ved at opdele og dele arbejdsbyrden, systemet begrænser den homomorfe kryptering til at lave kompleks matematik et lag ad gangen, så data ikke bliver for støjende. Det begrænser også kommunikationen af ​​de forvanskede kredsløb til kun de ikke-lineære lag, hvor den fungerer optimalt.

"Vi bruger kun teknikkerne til, hvor de er mest effektive, " siger Juvekar.

Hemmelig deling

Det sidste trin var at sikre, at både homomorfe og forvanskede kredsløbslag opretholdt et fælles randomiseringsskema, kaldet "hemmelig deling". I denne ordning, data er opdelt i separate dele, der gives til separate parter. Alle parter synkroniserer deres dele for at rekonstruere de fulde data.

I GAZELLE, når en bruger sender krypterede data til den skybaserede tjeneste, det er delt mellem begge parter. Til hver aktie er der tilføjet en hemmelig nøgle (tilfældige tal), som kun ejeren kender. Gennem hele beregningen, hver part vil altid have en del af dataene, plus tilfældige tal, så det ser helt tilfældigt ud. Ved slutningen af ​​beregningen, de to parter synkroniserer deres data. Først derefter beder brugeren den skybaserede tjeneste om dens hemmelige nøgle. Brugeren kan derefter trække den hemmelige nøgle fra alle data for at få resultatet.

"I slutningen af ​​beregningen, vi ønsker, at den første part får klassificeringsresultaterne og den anden part absolut intet får, " siger Juvekar. Derudover, "den første part lærer intet om modellens parametre."

Denne historie er genudgivet med tilladelse fra MIT News (web.mit.edu/newsoffice/), et populært websted, der dækker nyheder om MIT-forskning, innovation og undervisning.