[发明专利]一种基于同态加密技术的深度神经网络加密推理方法

说明书

一种基于同态加密技术的深度神经网络加密推理方法，将传输到云端，云端将BN层合并到卷积层中，进行同态卷积运算，得到第一层卷积运算后的密文特征图，传输到客户端；客户端接收后，采用标记运算得到标记矩阵，传输到云端服务器，云端服务器接收到标记矩阵后，进行更新，得到第二层同态卷积层的输入特征图；进行第二层的同态卷积运算，得到第二层卷积运算后的密文特征图，传输到客户端；重复上述过程，直到得到所有卷积层运算后的密文特征图。本发明使用GPU对同态卷积运算过程加速，避免了数据的重复传输。本发明既可以减少密文的噪音增长，增大神经网络推理层数，而且密文计算开销也大大降低。

技术领域

本发明涉及一种基于同态加密技术的深度神经网络加密推理方法，可用于人工智能领域的隐私数据保护方法。

背景技术

深度神经网络作为人工智能领域一项重要技术在图像分类与识别、视频目标追踪等应用中已远远超过了传统的计算机视觉处理与识别方法。但面向计算机视觉的深度神经网络的训练与推理需要收集大量的用户图像数据，这些数据很容易涉及到用户的隐私，如果这些用户数据的泄露或被误操作，一方面，很可能会导致用户隐私暴露甚至造成不可预估的财产损失及生命安全问题。另一方面，随着深度神经网络的进一步发展需要搜集更多的用户数据，而隐私保护已经越来越受到大众的重视，如果隐私保护处理不当，这两者之间的矛盾将阻碍深度神经网络技术的发展。

现有的解决隐私保护的解决方案有：差异隐私(DP)，多方计算(MPC)，同态加密(HE)。不同的解决方案都有不同的限制。差分隐私是一个具备数学严谨性的框架，提供了用户个人信息隐私的某些数学保证，它的目的在于减少任何个人数据对整体结果的影响，可用于量化敏感数据的匿名化。但是在神经网络推理方面的进展不大。多方计算不会对计算过程干扰，因此可以保证准确性和安全性。但是无论是计算量还是通讯量都非常庞大，对计算能力和通讯带宽的要求都很高，多方计算考验通信带宽即传输速度的能力。同态加密可以实现在保护隐私的情况下进行加密数据的深度神经网络的推理运算。同态加密的优势就是可以在加密域下计算的强大能力，不过这种能力是通过大量的计算来实现的。计算开销特别大以至于现有最先进的实现仍比纯文本推理慢五到六个数量级。

近年来，已有一些研究将同态加密技术应用于深度神经网络的加密推理中，CryptoNets是最早在神经网络上实现同态加密的工作之一，使用平方函数代替了激活函数。在训练过程中，有三个激活层。前两个激活层采用平方函数，最后一个Sigmoid激活函数仅用于训练，在实际预测中省略。后期的工作通常采用常用的激活函数的近似作为同态加密推理中的激活函数。CryptoDL进一步研究了使用低阶多项式近似CNN中常用激活函数(即ReLU，Sigmoid和Tanh)的几种方法，以找到最佳近似值。Faster CryptoNets在很多方面使用了稀疏明文密文乘法和网络剪枝和量化来加速推理。他们还导出了一个最佳的量化二次函数近似的激活函数与最大稀疏编码。CareNets提出了一种新的紧凑的同态CNN架构，该结构将CNN输入，权重和激活的高维向量密集地打包到FHE加密的密文中，并对同态CNN操作应用高度并行的执行。

现有的利用同态加密技术进行加密数据域的深度神经网络推理方法主要存在以下几个问题。首先，基于同态加密技术的深度神经网络的层数不够深，这主要因为同态加密在加密参数确定的情况下只能做有限的乘加运算。其次，深度神经网络中的relu，sigmoid等激活函数难以被现有的同态加密框架所支持，先前的工作使用二次函数拟合，但这样带来了新的问题，密文和密文之间的乘法导致加密噪音和计算时间成倍的增加并且深度神经网络的精度会明显下降。

发明内容

本发明的目的是一种基于同态加密技术的深度神经网络加密推理方法，以高效实现在保护用户数据隐私的条件下的深度神经网络加密。

为实现上述目的，本发明采用如下的技术方案：

一种基于同态加密技术的深度神经网络加密推理方法，包括如下步骤：