CN117155569B - 一种用于微调预训练模型的隐私计算方法和系统 - Google Patents
一种用于微调预训练模型的隐私计算方法和系统 Download PDFInfo
- Publication number
- CN117155569B CN117155569B CN202311418481.3A CN202311418481A CN117155569B CN 117155569 B CN117155569 B CN 117155569B CN 202311418481 A CN202311418481 A CN 202311418481A CN 117155569 B CN117155569 B CN 117155569B
- Authority
- CN
- China
- Prior art keywords
- model
- training
- data
- result
- encryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012549 training Methods 0.000 title claims abstract description 123
- 238000004364 calculation method Methods 0.000 title claims abstract description 68
- 238000000034 method Methods 0.000 claims description 20
- 238000012545 processing Methods 0.000 claims description 13
- 230000008569 process Effects 0.000 claims description 12
- 238000005336 cracking Methods 0.000 abstract description 4
- 230000000694 effects Effects 0.000 abstract description 4
- 238000003062 neural network model Methods 0.000 abstract description 4
- 238000013528 artificial neural network Methods 0.000 description 3
- 230000001788 irregular Effects 0.000 description 3
- 239000011159 matrix material Substances 0.000 description 3
- 238000003058 natural language processing Methods 0.000 description 3
- 230000003044 adaptive effect Effects 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 2
- 238000004422 calculation algorithm Methods 0.000 description 2
- QVFWZNCVPCJQOP-UHFFFAOYSA-N chloralodol Chemical compound CC(O)(C)CC(C)OC(O)C(Cl)(Cl)Cl QVFWZNCVPCJQOP-UHFFFAOYSA-N 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000008451 emotion Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 235000002198 Annona diversifolia Nutrition 0.000 description 1
- 241001391944 Commicarpus scandens Species 0.000 description 1
- 241000282842 Lama glama Species 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000008014 freezing Effects 0.000 description 1
- 238000007710 freezing Methods 0.000 description 1
- 230000004927 fusion Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000002372 labelling Methods 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000013526 transfer learning Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Artificial Intelligence (AREA)
- Life Sciences & Earth Sciences (AREA)
- Databases & Information Systems (AREA)
- Biomedical Technology (AREA)
- Biophysics (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Molecular Biology (AREA)
- Medical Informatics (AREA)
- Mathematical Physics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种用于微调预训练模型的隐私计算方法和系统,涉及神经网络模型加密技术领域。根据第一模型和第二模型的连接关系、需要隐私计算的数据,对需要隐私计算的数据进行加解密处理,进而获得推理运算结果;采用的微调预训练模型仅需少量数据即可达到很好的效果,通过加解密模块与第二模型配合,仅将第一模型和加解密模型发送给用户,从而在不泄露第一数据的前提下,完成用户与服务商数据之间的隐私计算,保护了用户的数据安全。从已经训练好的多个微调预训练模型中随机选择出一个作为第二模型,增加了第二模型被破解的难度,进一步增强了服务商的数据安全。
Description
技术领域
本发明涉及神经网络模型加密技术领域,具体涉及一种用于微调预训练模型的隐私计算方法和系统。
背景技术
预训练模型是一种机器学习模型,它是在大规模文本数据上进行了预先训练的,目的是为了更好地理解和处理自然语言。这类模型通常使用无监督学习的方法,在海量的文本数据上进行训练,学习从输入文本中提取有用的语义信息。这些模型的训练任务通常是预测给定文本的下一个单词或一段文本的上下文。通过进行这样的预测任务,模型学会了对单词、句子和段落进行编码,形成了对语言的深层次理解。一旦预训练完成,这些模型就可以通过微调或迁移学习来适应特定的自然语言处理任务,如文本分类、命名实体识别、情感分析等。
通过在特定任务上进行微调,预训练模型可以很快地适应新的数据和任务,因此在许多NLP应用中取得了很好的效果。目前,一些知名的预训练模型包括BERT(Bidirectional Encoder Representations from Transformers)、GPT(Generative Pre-trained Transformer)、XLNet等。这些模型的出现极大地推动了自然语言处理领域的发展,使得更多复杂的自然语言理解任务成为可能。
在预训练大模型使用时,为保护服务商的模型安全,服务商通常要求用户将第一数据上传至服务商的服务器中,在服务器中调用预训练模型再将结果回传给用户,如:chatgpt。这一过程虽保护了服务商的模型安全,但无法为用户输入的第一数据提供保护,可能造成用户数据泄露;为了同时保护服务商和用户的模型及数据的安全,可采用隐私计算技术,常用的技术包括:差分隐私、安全多方计算、差分隐私、同态加密、可信执行环境等,用户可以通过将第一数据加密后上传至大模型服务商提供的服务器中,再通过隐私计算方法调用大模型获得结果。但是现有隐私计算技术在使用中存在以下的问题:
1、当针对完整的预训练模型进行加密推理时,由于预训练模型参数量极大,大大增加了运算量,使得对服务器的性能要求非常高,无法在可接受的时间内完成针对大模型的隐私推理或隐私训练任务;
2、当仅针对微调部分进行加密推理时,由于现有的微调预训练模型结构简单,算法单一,若用户进行多次的推理运算,很容易破解微调预训练模型的参数,使得大模型服务商的权益无法保障。
因此,对用于微调预训练模型的隐私计算方法和系统的研究十分必要。
发明内容
针对现有技术存在的不足,本发明的目的在于提供用于微调预训练模型的隐私计算方法、系统及存储介质。
为了实现上述目的,本发明提供如下技术方案:
用于微调预训练模型的隐私计算方法,所述预训练模型包括第一模型、第二模型和加解密模块,
所述第一模型为开源预训练模型,所述开源预训练模型中包括第一网络和第二网络,且所述开源预训练模型根据共性知识训练获得,所述第二模型为微调预训练模型,所述微调预训练模型根据特性知识训练获得,所述加解密模块用于对输入数据进行加密或解密处理;所述微调预训练模型的隐私计算方法具体包括如下步骤:
步骤1,确定所述第一模型和所述第二模型的连接关系;
步骤2,将原始数据输入第一模型,根据所述连接关系确定第一结果和需要隐私计算的数据;
步骤3,将所述需要隐私计算的数据输入所述加解密模块,进行加密处理,获得第一密文;
步骤4,将所述第一密文输入所述第二模型,输出第二密文;
步骤5,将所述第二密文输入加解密模块,进行解密处理,输出第二结果;
步骤6,根据所述第一模型和所述第二模型的连接关系、所述第一结果和所述第二结果,输出推理运算结果。
进一步的,所述步骤1中,第一模型、第二模型的连接关系包括:所述第一模型、第二模型为并列关系,或所述第一模型、第二模型为镶嵌关系,所述镶嵌关系为所述第二模型镶嵌于所述第一网络和所述第二网络之间。
进一步的,所述步骤2中,所述原始数据包括任务信息和用户需要处理的数据信息。
进一步的,所述步骤2中,当所述第一模型和第二模型为并列关系时,所述第一结果为所述第一模型输出的数据,所述需要隐私计算的数据为所述原始数据。
进一步的,所述步骤2中,当所述第一模型、第二模型为镶嵌关系时,所述第一结果为所述原始数据,所述需要隐私计算的数据为所述第一网络输出的数据。
进一步的,所述加解密模块为支持隐私计算的加解密模块。
进一步的,所述步骤6中,当所述第一模型和所述第二模型为并列关系时,推理运算结果为:所述第一结果和所述第二结果相加的结果为推理运算结果。
进一步的,所述步骤6中,当所述第一模型和所述第二模型为镶嵌关系时,将所述第一结果和所述第二结果相加,将相加的结果输入所述第二网络,所述第二网络的输出为推理运算结果。
进一步的,所述微调预训练模型为:
从已经训练好的N个微调预训练模型中随机选择出一个作为第二模型,N≥1。
一种用于微调预训练模型的隐私计算系统,使用上任一项所述的用于微调预训练模型的隐私计算方法,包括如下模块:
第一模型:为具有语义识别功能的开源预训练模型,所述开源预训练模型中包括第一网络和第二网络,且所述开源预训练模型根据共性知识训练获得;
第二模型:与所述第一模型连接,所述第二模型为微调预训练模型,根据特性知识训练获得;
加解密模块:与所述第二模型连接,用于对输入的数据进行加密,对输出的数据进行解密。
一种存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述任一项所述的用于微调预训练模型的隐私计算方法的步骤。
与现有技术相比,本发明的有益效果是:
1、本发明仅对微调预训练模型的输入输出进行加密解密,对其计算过程执行隐私计算,需要的计算资源和带宽小,虽然仍会增加运算时间,但增加的时间相对现有技术而言已有巨大进步,且大大提高了技术可实施性,仅需少量数据即可达到很好的效果;
2、本发明通过加解密模块与第二模型配合,第二模型均与第一模型和加解密模块分开设置,第二模型不公开设置,由服务商内部保留,仅将第一模型和加解密模块发送给用户,从而在不泄露第二模型结构及参数的前提下,完成用户与服务商数据之间的隐私计算,保护了用户的数据安全,以及整个模型的参数安全;
3、本发明通过训练多个微调预训练模型,用户在使用时,系统在所有微调预训练模型中随机选择一个作为第二模型,增加了第二模型被破解的难度,使得整体的数据加密无规则,不易破解,保护了模型参数的安全,保障了服务商权益。
附图说明
图1为本发明实施例1提供的隐私计算方法流程图;
图2为本发明实施例2中采用LoRA作为第二模型的预训练模型示意图;
图3为本发明实施例3中采用Adapter作为第二模型的预训练模型示意图;
图4为本发明实施例4提供的隐私计算系统流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,当组件被称为“固定于”另一个组件,它可以直接在另一个组件上或者也可以存在居中的组件。当一个组件被认为是“连接”另一个组件,它可以是直接连接到另一个组件或者可能同时存在居中组件。当一个组件被认为是“设置于”另一个组件,它可以是直接设置在另一个组件上或者可能同时存在居中组件。本文所使用的术语“垂直的”、“水平的”“左”、“右”以及类似的表述只是为了说明的目的。
除非另有定义,本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中在本发明的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本发明。本文所使用的术语“及/或”包括一个或多个相关的所列项目的任意的和所有的组合。
本发明公开了用于微调预训练模型的隐私计算方法、系统及存储介质,涉及神经网络模型加密技术领域。根据第一模型和第二模型的连接关系需要隐私计算的数据,对需要隐私计算的数据进行加解密处理,进而获得推理运算结果;采用的微调预训练模型仅需少量数据即可达到很好的效果,通过加解密模块与第二模型配合,仅将第一模型和加解密模型发送给用户,从而在不泄露第一数据的前提下,完成用户与服务商数据之间的隐私计算,保护了用户的数据安全。从已经训练好的多个微调预训练模型中随机选择出一个作为第二模型,增加了第二模型被破解的难度,进一步增强了服务商的数据安全。
实施例1
如图1所示,本发明提供了一种用于微调预训练模型的隐私计算方法,所述预训练模型包括第一模型、第二模型和加解密模块。
所述第一模型为开源预训练模型,所述开源预训练模型中包括第一网络和第二网络,且所述开源预训练模型根据共性知识训练获得,所述第二模型为微调预训练模型,所述微调预训练模型根据特性知识训练获得,所述加解密模块用于对输入数据进行加密或解密处理。
所述第一模型为语义识别模块,所述语义识别模块是具备基础语言理解能力的开源预训练模型,用于对用户输入的原始数据进行共性知识的理解,原始数据包括任务信息和用户需要处理的数据信息。
“预训练”的思想是:模型参数不再是随机初始化,而是通过一些任务(如语言模型)进行预训练,将训练任务拆解成共性学习和特性学习两个步骤。“预训练”的做法一般是将大量低成本收集的训练数据放在一起,经过某种预训方法去学习其中的共性,然后将其中的共性“移植”到特定任务的模型中,再使用相关特定领域的少量标注数据进行“微调”,这样的话,模型只需要从”共性“出发,去“学习”该特定任务的“特殊”部分即可。
开源预训练模型为供用户使用的语义识别模块,可以进行基本的基础语言理解,它部署在用户端,用户在使用时不会出现数据泄露的情况。但是开源预训练模型对专业技术的理解能力欠缺,因此,仅依靠开源预训练模型很难为用户提供满意的专业服务。
所述第二模型为微调预训练模型,用于对输入的数据进行特性知识的理解。所述第二模型为从已经训练好的N个微调预训练模型中随机选择一个,N≥1。N的具体选值需要根据用户数量和模型更新频率等因素选取。
第二模型是服务商已经训练好的可以提供相关专业服务的神经网络,可以很好的弥补开源预训练模型对专业技术的理解能力欠缺的缺陷,它部署在云端,是服务商独有的产品。但是现有的微调预训练模型结构简单,算法单一,若用户进行多次的推理运算,很容易破解微调预训练模型的参数,使得大模型服务商的权益无法保障。本发明通过提前训练多个微调预训练模型,在使用时,系统在所有微调预训练模型中随机选择一个作为第二模型,增加了第二模型被破解的难度,使得整体的数据加密无规则,不易破解,保护了模型参数的安全,保障了服务商权益。
每个所述微调预训练模型的训练方法为:
确定需要训练的微调预训练模型;采用服务商数据库对所述开源预训练模型和所述微调预训练模型组成的预训练模型进行训练,确定所述微调预训练模型的参数。
其中,第一模型为现有的开源预训练模型,例如LLaMA模型、ChatGLM模型等,第二模型主要采用微调模型,具体可采用自适应微调模型(LoRA)或Adapter微调模型,第二模型以在第一模型基础上新增运算模块以实现对第一模型的微调,第一模型与第二模型建立后,保持第一模型参数不变,采用现有数据库对第二模型进行训练,以确定第二模型参数,以达到微调的目的,其中第二模型的参数规模远小于第一模型参数规模。
所述微调预训练模型的隐私计算方法具体包括如下步骤:
步骤1,确定所述第一模型和所述第二模型的连接关系;第一模型、第二模型的连接关系包括:所述第一模型、第二模型为并列关系,或所述第一模型、第二模型为镶嵌关系,所述镶嵌关系为所述第二模型镶嵌于所述第一网络和所述第二网络之间。
步骤2,将原始数据输入第一模型,根据所述连接关系确定第一结果和所述需要隐私计算的数据;所述原始数据包括任务信息和用户需要处理的数据信息。
当所述第一模型和第二模型为并列关系时,所述第一结果为所述第一模型输出的数据,所述需要隐私计算的数据为所述原始数据。
当所述第一模型、第二模型为镶嵌关系时,所述第一结果为所述原始数据,所述需要隐私计算的数据为所述第一网络输出的数据。
步骤3,将所述需要隐私计算的数据输入所述加解密模块,进行加密处理,获得第一密文;所述加解密模块为支持隐私计算的加解密模块。加解密模块没有特定的限制,现有的支持隐私计算的加解密模块都可以应用于本发明中。
现有技术中,是对包括开源预训练模型在内的整个预训练模型进行加密解密,而开源预训练模型的数据量十分的庞大,对整个模型进行密文推理,大大增加了运算量,使得对服务器的性能要求非常高,无法在可接受的时间内完成针对大模型的隐私推理或隐私训练任务。本发明仅对微调预训练模型的输入输出进行加密解密,对其计算过程执行隐私计算,需要的计算资源和带宽小,虽然仍是会增加运算时间的,但增加的时间相对可接受,可实施性高,仅需少量数据即可达到很好的效果。
步骤4,将所述第一密文输入所述第二模型,输出第二密文。
步骤5,将所述第二密文输入加解密模块,进行解密处理,输出第二结果。
步骤6,根据所述第一模型和所述第二模型的连接关系、所述第一结果和所述第二结果,输出推理运算结果。
当所述第一模型和所述第二模型为并列关系时,推理运算结果为:所述第一结果和所述第二结果相加的结果为推理运算结果。
当所述第一模型和所述第二模型为镶嵌关系时,将所述第一结果和所述第二结果相加,将相加的结果输入所述第二网络,所述第二网络的输出为推理运算结果。
第一模型与第二模型有两种连接关系,一种是并列关系,即第一模型与第二模型并列,原始数据同时输入第一模型与第二模型,最后得到的结果进行融合;另一种是镶嵌关系,即第二模型镶嵌于第一模型内,通过执行过程中对数据进行融合,对融合后的数据进行处理,最后输出结果。
整过过程不泄露第一数据,完成了用户端与服务商端的数据交互,同时在服务商端随机选用第二模型响应使得整体的数据加密无规则,不易破解,且保护了模型参数的安全;仅针对第二模型即微调参数部分进行隐私计算,整体的加密运算量小,需要的计算资源和带宽小,虽然仍是会增加运算时间的,但增加的时间相对可接受,大大增加了技术可实施性。
实施例2
本发明提供一种用于微调预训练模型的隐私计算方法,用于第一模型与第二模型并列的预训练模型中,具体包括如下步骤:
步骤S1,将原始数据输入第一模型,所述第一结果为所述第一模型输出的数据,所述需要隐私计算的数据为所述原始数据。
步骤S2,将所述需要隐私计算的数据输入所述加解密模块,进行加密处理,获得第一密文。
步骤S3,将所述第一密文输入所述第二模型,输出第二密文。
步骤S4,将所述第二密文输入加解密模块,进行解密处理,输出第二结果。
步骤S5,根据所述第一模型和所述第二模型的连接关系、所述第一结果和所述第二结果,输出推理运算结果。
推理运算结果为:所述第一结果和所述第二结果相加的结果为推理运算结果。
如图2所示,第一模型为权重矩阵为W的神经网络模型,所述第二模型包括矩阵A、矩阵B以及超参数r,其中A、B、r通过训练获得。
加解密过程为:
采用全同态加密作为隐私计算方法,在步骤S1中,用户将原始数据输入至第一模型进行处理,得到输出第一结果y1。
加解密模块生成加密公私钥对(pk,sk),并使用公钥pk将原始数据进行第一次加密得到第一密文C,将第一密文C和公钥pk发送至服务商端。
服务商端接收到第一密文C和公钥pk后,随机选择一个第二模型,将第一密文C输入第二模型,输出第二密文R,将第二密文R返回至用户端。
用户端的解密模块使用私钥sk将第二密文R解密后得到第二结果y2,将第二结果y2与第一模块的输出第一结果y1融合得到推理结果。所述融合为对输入的数据进行相加。
实施例3
本发明提供一种用于微调预训练模型的隐私计算方法,用于第二模型镶嵌于第一模型内的预训练模型中,具体包括如下步骤:
步骤1,将原始数据输入第一模型,所述第一结果为所述原始数据,所述需要隐私计算的数据为所述第一网络输出的数据;
步骤2,将所述需要隐私计算的数据输入所述加解密模块,进行加密处理,获得第一密文;
步骤3,将所述第一密文输入所述第二模型,输出第二密文;
步骤4,将所述第二密文输入加解密模块,进行解密处理,输出第二结果;
步骤5,根据所述第一模型和所述第二模型的连接关系、所述第一结果和所述第二结果,输出推理运算结果。
将所述第一结果和所述第二结果相加,将相加的结果输入所述第二网络,所述第二网络的输出为推理运算结果。
第二模型采用Adapter模块作为微调预训练模型时,先训练出多个Adapter微调预训练模型,使用时,系统随机选择一个用于预训练模型构建。
如图3所示,当第二模型采用Adapter作为微调方法时,在第一模型的基础上添加Adapter模块,通过将第一模型参数冻结,采用训练数据对Adapter模块训练,以调整Adapter模块参数的方式进行微调。
当第一模型选择Transformer神经网络时,在每个反馈网络中均可添加第二模型。
加解密过程为:
采用可信执行环境作为隐私计算方法时,用户将原始数据输入至第一模型进行处理。第二模型镶嵌于第一模型中,原始数据即为第一结果。原始数据经过模块a处理后得到的结果输入加解密模型,加解密模型对输入的数据进行第一次加密得到第一密文C,将第一密文C发送至服务商。
服务商在可信执行环境中接收到第一密文C,随机选择一个第二模型(即Adapter模块)输入可信执行环境中,第一密文C输入第二模型,输出第二密文R,将第二密文R返回至用户。
用户的加解密模块使用私钥sk将第二密文R解密后得到第二结果,第一结果与第二结果相加后,将结果作为第一模型后续部分的输入继续进行本地推理。一个第一模型中可镶嵌多个由模块a、第二模型、模块b组成的模型,直至获得最终结果或执行至下一个Adapter模块,若执行到下一个Adapter模块则重复上述过程。
实施例4
如图4所示,本发明还提供一种用于微调预训练模型的隐私计算系统,使用上任一项所述的用于微调预训练模型的隐私计算方法,包括如下模块:
第一模型:为具有语义识别功能的开源预训练模型,所述开源预训练模型中包括第一网络和第二网络,且所述开源预训练模型根据共性知识训练获得;
第二模型:与所述第一模型连接,所述第二模型为微调预训练模型,根据特性知识训练获得;
加解密模块:与所述第二模型连接,用于对输入的数据进行加密,对输出的数据进行解密。
本发明提供一种用于微调预训练模型的隐私计算系统,主要用于解决现有的预训练大模型在处理自然语言任务,例如文本分类、情感分析等任务时,对用户的输入数据或中间数据存在泄露、被未经授权实体访问的情况,使得大模型的参数以及使用数据的保密性差的问题,且大模型的参数规模极大,无法在可接受的时间内完成正对大模型的隐私推理或隐私训练任务,本系统包括第一模型、加密模型、解密模型、若干第二模型和输出模块,通过采用的微调预训练模型即第二模型,仅需少量数据即可达到很好的效果,通过加解密模型与第二模型配合,第二模型均与第一模型和加解密模型分开设置,第二模型不公开设置,由服务商内部保留,仅将第一模型和加解密模型发送给用户,从而在不泄露输入数据或中间数据的前提下,完成用户与服务商数据之间的隐私计算,保护了用户的数据安全,以及整个模型的参数安全。
实施例5
一种存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如实施例1-3任一项所述的用于微调预训练模型的隐私计算方法的步骤。
本发明中的介质,可以采用一个或多个计算机可读的介质的任意组合。介质可以是计算机可读信号介质或者计算机可读存储介质。介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中,介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
上述具体实施方式,并不构成对本发明保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明保护范围之内。
Claims (4)
1.一种用于微调预训练模型的隐私计算方法,其特征在于,所述预训练模型包括第一模型、第二模型和加解密模块,
所述第一模型为开源预训练模型,所述开源预训练模型中包括第一网络和第二网络,且所述开源预训练模型根据共性知识训练获得,所述第二模型为微调预训练模型,所述微调预训练模型根据特性知识训练获得,所述加解密模块用于对输入数据进行加密或解密处理;所述微调预训练模型的隐私计算方法具体包括如下步骤:
步骤1,确定所述第一模型和所述第二模型的连接关系;所述连接关系包括:所述第一模型、第二模型为并列关系,或所述第一模型、第二模型为镶嵌关系,所述镶嵌关系为所述第二模型镶嵌于所述第一网络和所述第二网络之间;所述第二模型为从已经训练好的N个微调预训练模型中随机选择出一个作为第二模型,N≥1;
步骤2,将原始数据输入第一模型,根据所述连接关系确定第一结果和需要隐私计算的数据;当所述第一模型和第二模型为并列关系时,所述第一结果为所述第一模型输出的数据,所述需要隐私计算的数据为所述原始数据;当所述第一模型、第二模型为镶嵌关系时,所述第一结果为所述原始数据,所述需要隐私计算的数据为所述第一网络输出的数据;
步骤3,将所述需要隐私计算的数据输入所述加解密模块,进行加密处理,获得第一密文;
步骤4,将所述第一密文输入所述第二模型,输出第二密文;
步骤5,将所述第二密文输入加解密模块,进行解密处理,输出第二结果;
步骤6,根据所述第一模型和所述第二模型的连接关系、所述第一结果和所述第二结果,输出推理运算结果;当所述第一模型和所述第二模型为并列关系时,推理运算结果为:所述第一结果和所述第二结果相加的结果为推理运算结果;当所述第一模型和所述第二模型为镶嵌关系时,将所述第一结果和所述第二结果相加,将相加的结果输入所述第二网络,所述第二网络的输出为推理运算结果。
2.根据权利要求1所述的用于微调预训练模型的隐私计算方法,其特征在于,所述步骤2中,所述原始数据包括任务信息和用户需要处理的数据信息。
3.根据权利要求1所述的用于微调预训练模型的隐私计算方法,其特征在于,所述加解密模块为支持隐私计算的加解密模块。
4.一种用于微调预训练模型的隐私计算系统,使用如权利要求1-3任一项所述的用于微调预训练模型的隐私计算方法,其特征在于,包括如下模块:
第一模型:为具有语义识别功能的开源预训练模型,所述开源预训练模型中包括第一网络和第二网络,且所述开源预训练模型根据共性知识训练获得;
第二模型:与所述第一模型连接,所述第二模型为微调预训练模型,根据特性知识训练获得;
加解密模块:与所述第二模型连接,用于对输入的数据进行加密,对输出的数据进行解密。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311418481.3A CN117155569B (zh) | 2023-10-30 | 2023-10-30 | 一种用于微调预训练模型的隐私计算方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311418481.3A CN117155569B (zh) | 2023-10-30 | 2023-10-30 | 一种用于微调预训练模型的隐私计算方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN117155569A CN117155569A (zh) | 2023-12-01 |
| CN117155569B true CN117155569B (zh) | 2024-01-09 |
Family
ID=88906504
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311418481.3A Active CN117155569B (zh) | 2023-10-30 | 2023-10-30 | 一种用于微调预训练模型的隐私计算方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117155569B (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111680676A (zh) * | 2020-08-14 | 2020-09-18 | 支付宝(杭州)信息技术有限公司 | 训练人脸识别模型、图像注册、人脸识别方法和装置 |
| CN114676458A (zh) * | 2022-03-24 | 2022-06-28 | 浙江大学 | 一种面向预训练语言模型隐私泄露风险的评估方法及系统 |
| CN115766159A (zh) * | 2022-11-08 | 2023-03-07 | 海尔优家智能科技(北京)有限公司 | 隐私数据处理方法、装置及电子设备 |
| CN116340996A (zh) * | 2023-02-24 | 2023-06-27 | 支付宝(杭州)信息技术有限公司 | 用于隐私保护的模型微调方法以及风险控制方法 |
| CN116882524A (zh) * | 2023-06-14 | 2023-10-13 | 哈尔滨工程大学 | 一种满足参与方的个性化隐私保护需求的联邦学习方法和系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113553602A (zh) * | 2020-04-26 | 2021-10-26 | 华为技术有限公司 | 一种数据处理方法、装置、系统、设备及介质 |
-
2023
- 2023-10-30 CN CN202311418481.3A patent/CN117155569B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111680676A (zh) * | 2020-08-14 | 2020-09-18 | 支付宝(杭州)信息技术有限公司 | 训练人脸识别模型、图像注册、人脸识别方法和装置 |
| CN114676458A (zh) * | 2022-03-24 | 2022-06-28 | 浙江大学 | 一种面向预训练语言模型隐私泄露风险的评估方法及系统 |
| CN115766159A (zh) * | 2022-11-08 | 2023-03-07 | 海尔优家智能科技(北京)有限公司 | 隐私数据处理方法、装置及电子设备 |
| CN116340996A (zh) * | 2023-02-24 | 2023-06-27 | 支付宝(杭州)信息技术有限公司 | 用于隐私保护的模型微调方法以及风险控制方法 |
| CN116882524A (zh) * | 2023-06-14 | 2023-10-13 | 哈尔滨工程大学 | 一种满足参与方的个性化隐私保护需求的联邦学习方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN117155569A (zh) | 2023-12-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Vincze | Challenges in digital forensics | |
| CN106803784B (zh) | 安全多媒体云存储中基于格的多用户模糊可搜索加密方法 | |
| CN111898145B (zh) | 一种神经网络模型训练方法、装置、设备及介质 | |
| Shen et al. | Near-imperceptible neural linguistic steganography via self-adjusting arithmetic coding | |
| CN102314580A (zh) | 一种基于向量和矩阵运算的支持计算的加密方法 | |
| CN111026788A (zh) | 一种混合云中基于同态加密的多关键词密文排序检索方法 | |
| Njorbuenwu et al. | A survey on the impacts of quantum computers on information security | |
| CN114969128B (zh) | 一种基于安全多方计算技术的隐匿查询方法、系统和存储介质 | |
| Li et al. | Privacy-preserving classification of personal data with fully homomorphic encryption: an application to high-quality ionospheric data prediction | |
| Taofeek et al. | A cognitive deception model for generating fake documents to curb data exfiltration in networks during cyber-attacks | |
| Gong et al. | A multi-modal vertical federated learning framework based on homomorphic encryption | |
| CN116502732B (zh) | 基于可信执行环境的联邦学习方法以及系统 | |
| CN117155569B (zh) | 一种用于微调预训练模型的隐私计算方法和系统 | |
| Nguyen et al. | Generative ai-enabled blockchain networks: Fundamentals, applications, and case study | |
| Liu et al. | ESA-FedGNN: Efficient secure aggregation for federated graph neural networks | |
| Lam et al. | Gpu-based private information retrieval for on-device machine learning inference | |
| Huang et al. | [Retracted] Cloud Storage Model Based on the BGV Fully Homomorphic Encryption in the Blockchain Environment | |
| CN112149141A (zh) | 模型训练方法、装置、设备和介质 | |
| Gaid et al. | Homomorphic encryption | |
| Zhao | Privacy-preserving fine-tuning of artificial intelligence (ai) foundation models with federated learning, differential privacy, offsite tuning, and parameter-efficient fine-tuning (peft) | |
| Yang et al. | Efficient and secure outsourced linear regression | |
| Desoky et al. | Securing Confidential Information in Big Data Based on Cognitive Artificial Intelligence and Machine Learning | |
| Wang et al. | EPSLP: Efficient and privacy-preserving single-layer perceptron learning in cloud computing | |
| Rabanal et al. | Cryptography for big data environments: Current status, challenges, and opportunities | |
| Yu et al. | Generative Text Secret Sharing with Topic‐Controlled Shadows |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |