革命性安全协议保护云计算中的数据免受网络威胁

对云技术的依赖带来了主要的安全挑战，尤其是在医疗领域，由于对隐私的担忧，医院可能不愿使用人工智能分析敏感的病人信息。

为了解决这个关键问题，麻省理工学院的研究人员创建了一种安全协议，利用光的量子特性，确保与云服务器之间传输的数据在深度学习任务中保持安全。

通过将数据编码到光纤通信系统中使用的激光光线中，该协议利用了量子力学的核心原理，使得入侵者无法在未被检测到的情况下复制或拦截信息。

此外，该方法能够保证安全，且不会降低深度学习模型的准确性。测试显示，该协议在实施严格的安全措施时，仍保持了令人印象深刻的96%的准确率。

“像GPT-4这样的深度学习模型非常强大，但需要大量的计算资源。我们的协议允许用户在不妥协数据机密性或模型本身专有方面的情况下利用这些先进模型，”麻省理工学院的博士后研究员及论文首席作者Kfir Sulimany说。

Sulimany与麻省理工学院的另一位博士后Sri Krishna Vadlamani、前博士后Ryan Hamerly（现为NTT研究公司的成员）、电气工程与计算机科学（EECS）研究生Prahlad Iyengar，以及EECS教授、量子光子学与人工智能小组的首席研究员Dirk Englund合作。研究结果最近在年度量子密码学会议上分享。

深度学习安全的双向街道

研究人员所考察的情况围绕两个参与者：一个包含机密数据的客户端，如医学图像，以及利用深度学习模型的中央服务器。

客户端希望利用深度学习模型进行预测，例如在医学成像的基础上确定病人是否有癌症，同时确保不透露关于病人的任何信息。

在这种情况下，必须传输敏感数据以生成预测的同时，保持病人信息的安全。

与此同时，服务器希望保护其专有模型，这可能使像OpenAI这样的一家公司花费多年时间和数百万美元来开发。

“双方都有想要保密的信息，”Vadlamani指出。

在标准的数字计算中，恶意实体可以轻易复制在服务器和客户端之间传输的数据。

然而，量子信息无法被完美复制。研究人员在他们的安全协议中利用了这种被称为无复制原理的特性。

在他们的方法中，服务器将深度神经网络的权重编码到光场中，使用激光光线。

神经网络是一种深度学习模型，具有连接节点（或神经元）的层，这些节点对数据进行计算。权重是模型中对每个输入逐层执行数学运算的元素。一个层的输出被输入到下一个层，直到最终层产生预测。

服务器将网络的权重发送给客户端，客户端根据其私有数据执行操作，同时保持数据对服务器隐藏。

同时，安全协议限制客户端只能测量一个结果，并防止他们由于光的量子性质而复制权重。

一旦客户端将第一个结果输入到下一个层，协议设计为消除来自第一层的信息，防止客户端获得对模型的进一步洞察。

“客户端仅测量来自服务器的光束中必需的部分来操作深度神经网络，并将结果输入到下一个层，剩余的光返回给服务器进行安全评估，”Sulimany解释道。

由于无复制定理，客户端在测量其结果时不经意间对模型引入了轻微的误差。当服务器接收到客户端传回的剩余光线时，可以分析这些误差以查看是否有信息被泄露。重要的是，这些剩余的光不会暴露有关客户端数据的任何细节。

一个实用的协议

如今的电信基础设施通常使用光纤传输数据，这是因为在长距离上传输高带宽的必要性。由于这一技术已经包含光激光，研究人员可以将数据嵌入光中，用于他们的安全协议，而无需额外的硬件。

在测试他们的方法时，研究人员确认它能够确保服务器和客户端的安全，同时使深度神经网络达到96%的准确性。

在客户端执行操作时，关于模型的信息轻微泄露不到恶意个人需要揭示的隐藏细节的10%。相反，如果恶意服务器试图访问客户端的数据，他们只会获取大约1%的所需信息。

“你可以相信安全性在双向维持——从客户端到服务器，以及从服务器到客户端，”Sulimany说。

“几年前，当我们展示麻省理工学院主校区和麻省理工学院林肯实验室之间的分布式机器学习推理时，我意识到我们可以创新提供物理层安全，基于在该测试平台上进行的先前量子密码学研究，”Englund解释道。“然而，必须解决许多深奥的理论障碍，以确定我们是否能实际实施保证隐私的分布式机器学习。这只有在Kfir加入我们的团队后才变得可行，因为他独特地理解开发这一工作所需的理论和实验方面。”

展望未来，研究人员计划探索他们的协议如何应用于联邦学习，其中各方贡献数据来开发一个集中的深度学习模型。在量子操作中，这方法也可能有效，而不是本研究考察的经典方法，从而可能在准确性和安全性方面带来改进。

这项研究部分得到了以色列高等教育委员会和Zuckerman STEM领导力项目的支持。