Skip to main content
누빈트
QUICK REVIEW

[논문 리뷰] Slalom: Fast, Verifiable and Private Execution of Neural Networks in Trusted Hardware

Florian Tramèr, Dan Boneh|arXiv (Cornell University)|2018. 06. 08.
Adversarial Robustness in Machine Learning참고 문헌 46인용 수 226
한 줄 요약

Slalom은 DNN 추론을 신뢰 실행 환경(TEE)과 신뢰할 수 없는 공동 위치의 프로세서 사이에 분할하여, 전체를 TEE에서 실행하는 것보다 훨씬 빠르고, 검증 가능하며, 프라이버시를 보호하는 신경망 실행을 가능하게 하며, 실행 처리량이 크게 향상됩니다.

ABSTRACT

As Machine Learning (ML) gets applied to security-critical or sensitive domains, there is a growing need for integrity and privacy for outsourced ML computations. A pragmatic solution comes from Trusted Execution Environments (TEEs), which use hardware and software protections to isolate sensitive computations from the untrusted software stack. However, these isolation guarantees come at a price in performance, compared to untrusted alternatives. This paper initiates the study of high performance execution of Deep Neural Networks (DNNs) in TEEs by efficiently partitioning DNN computations between trusted and untrusted devices. Building upon an efficient outsourcing scheme for matrix multiplication, we propose Slalom, a framework that securely delegates execution of all linear layers in a DNN from a TEE (e.g., Intel SGX or Sanctum) to a faster, yet untrusted, co-located processor. We evaluate Slalom by running DNNs in an Intel SGX enclave, which selectively delegates work to an untrusted GPU. For canonical DNNs (VGG16, MobileNet and ResNet variants) we obtain 6x to 20x increases in throughput for verifiable inference, and 4x to 11x for verifiable and private inference.

연구 동기 및 목표

  • 민감하거나 보안에 중요한 응용 프로그램을 위한 신뢰 실행 환경에서 보안성과 고성능의 외주 ML을 촉진한다.
  • 무결성과 프라이버시를 유지하면서 더 빠른 신뢰할 수 없는 하드웨어를 활용하는 실용적 외주 프레임워크를 제안한다.
  • 선형 계층을 외주 처리하고 Freivalds의 알고리즘을 활용한 검증으로 검증 가능(및 프라이버시 보호) 추론을 enable 한다.
  • 표준 CNN에서 처리량 향상을 정량적으로 평가하고 검증 가능한 훈련에 대한 개방성 이슈를 논의한다.
  • Slalom을 실제 TEE에 배포할 때의 설계 고려사항과 한계를 강조한다

제안 방법

  • 입력과 가중치를 양자화하고 이를 한정된 시계열에서의 보안 계산을 가능하게 하는 임의의 숫자 체에 내재화한다.
  • 선형 계층을 더 빠른 신뢰할 수 없는 프로세서로 외주 처리하고 Freivalds의 확률 알고리즘을 사용하여 올바름을 검증한다.
  • 사전 계산된 의사 난수 스트림을 통해 입력을 암호화하여 프라이버시를 보존하고 오프라인의 사전 계산값으로 출력을 복원한다.
  • 비선형 연산은 TEE 내부에서 계산되도록 하면서 선형 연산만 선택적으로 외주 처리하여 무결성을 유지한다.
  • 무결성에 초점을 맞춘 Slalom의 변형 하나와 프라이버시를 포함한 무결성을 다루는 또 다른 변형 두 가지를 제공한다.

실험 결과

연구 질문

  • RQ1TEE에서 공동 위치의 신뢰할 수 없는 프로세서로 선형 계층을 외주 처리하는 동안 무결성을 유지하며 DNN 추론을 가속화할 수 있는가?
  • RQ2Slalom이 통신 또는 계산 오버헤드가 과도하지 않으면서 외주 계산에 대한 프라이버시를 제공할 수 있는가?
  • RQ3전체를 TEE에서 실행하는 경우에 비해 검증 가능(하고 프라이버시 보호) 추론이 표준 네트워크에서 얼마나 큰 처리량 향상을 달성할 수 있는가?
  • RQ4Intel SGX 또는 Sanctum과 같은 TEEs에서 Slalom을 배포할 때의 실제 고려사항과 한계는 무엇인가?
  • RQ5Slalom이 성능 및 보안 보장 면에서 기존의 암호학적 또는 기본 외주 접근법과 비교하여 어떤 차이가 있는가?

주요 결과

  • 외부의 더 빠른 신뢰할 수 없는 GPU로 선형 계층을 외주 처리하고 비선형은 TEE에 남겨 두면 검증 가능한 추론에서 6×에서 20×의 처리량 향상을 달성한다.
  • 검증 가능하고 프라이버시가 있는 추론의 경우 Slalom은 기준 대비 4×에서 11×의 처리량 향상을 달성한다.
  • 전체 DNN을 TEE에서 실행하는 것과 비교할 때 Slalom은 VGG16, MobileNet 및 ResNet 변형에서 처리량과 에너지 효율성을 크게 향상시킨다.
  • Freivalds의 알고리즘은 외주된 행렬 곱에 대한 구체적이고 오버헤드가 낮은 무결성 검사를 제공한다.
  • 오프라인 전처리의 2단계 접근은 Slalom을 프라이빗하고 검증 가능한 추론으로 확장하되 온라인 상호 작용을 과도하게 늘리지 않는다.
  • 이 프레임워크는 일반적인 CNN 아키텍처에 적용 가능하며 잔차 네트워크로 확장할 수 있다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.