2025-11-13T23:49:14.865072

PrivTuner with Homomorphic Encryption and LoRA: A P3EFT Scheme for Privacy-Preserving Parameter-Efficient Fine-Tuning of AI Foundation Models

Li, Yu, Zhao
AI foundation models have recently demonstrated impressive capabilities across a wide range of tasks. Fine-tuning (FT) is a method of customizing a pre-trained AI foundation model by further training it on a smaller, targeted dataset. In this paper, we initiate the study of the Privacy-Preserving Parameter-Efficient FT (P3EFT) framework, which can be viewed as the intersection of Parameter-Efficient FT (PEFT) and Privacy-Preserving FT (PPFT). PEFT modifies only a small subset of the model's parameters to achieve FT (i.e., adapting a pre-trained model to a specific dataset), while PPFT uses privacy-preserving technologies to protect the confidentiality of the model during the FT process. There have been many studies on PEFT or PPFT but very few on their fusion, which motivates our work on P3EFT to achieve both parameter efficiency and model privacy. To exemplify our P3EFT, we present the PrivTuner scheme, which incorporates Fully Homomorphic Encryption (FHE) enabled privacy protection into LoRA (short for ``Low-Rank Adapter''). Intuitively speaking, PrivTuner allows the model owner and the external data owners to collaboratively implement PEFT with encrypted data. After describing PrivTuner in detail, we further investigate its energy consumption and privacy protection. Then, we consider a PrivTuner system over wireless communications and formulate a joint optimization problem to adaptively minimize energy while maximizing privacy protection, with the optimization variables including FDMA bandwidth allocation, wireless transmission power, computational resource allocation, and privacy protection. A resource allocation algorithm is devised to solve the problem. Experiments demonstrate that our algorithm can significantly reduce energy consumption while adapting to different privacy requirements.
academic

PrivTuner con Cifrado Homomórfico y LoRA: Un Esquema P3EFT para Ajuste Fino Eficiente en Parámetros con Preservación de Privacidad de Modelos Fundacionales de IA

Información Básica

  • ID del Artículo: 2410.00433
  • Título: PrivTuner with Homomorphic Encryption and LoRA: A P3EFT Scheme for Privacy-Preserving Parameter-Efficient Fine-Tuning of AI Foundation Models
  • Autores: Yang Li, Wenhan Yu, Jun Zhao (Nanyang Technological University)
  • Clasificación: cs.CR (Criptografía y Seguridad)
  • Fecha de Publicación: Octubre de 2024 (preimpresión arXiv)
  • Enlace del Artículo: https://arxiv.org/abs/2410.00433

Resumen

Este artículo propone el marco Privacy-Preserving Parameter-Efficient Fine-Tuning (P3EFT), que combina el ajuste fino eficiente en parámetros (PEFT) con el ajuste fino con preservación de privacidad (PPFT). Los autores diseñan el esquema PrivTuner, integrando cifrado completamente homomórfico (FHE) en LoRA, logrando un ajuste fino colaborativo con preservación de privacidad entre el propietario del modelo y propietarios de datos externos. El artículo considera además el sistema PrivTuner en entornos de comunicación inalámbrica, estableciendo un problema de optimización conjunta para minimizar el consumo de energía mientras se maximiza la preservación de privacidad, y propone algoritmos correspondientes de asignación de recursos.

Antecedentes de Investigación y Motivación

Problemas Centrales

  1. Requisitos de Preservación de Privacidad: El proceso de ajuste fino de modelos fundacionales de IA presenta problemas de privacidad de datos y privacidad del modelo. Las empresas no desean compartir datos privados, mientras que los propietarios de modelos tampoco desean exponer los parámetros del modelo.
  2. Desafíos de Eficiencia Computacional: El ajuste fino tradicional de parámetros completos conlleva una sobrecarga computacional enorme, especialmente para modelos fundacionales grandes, imponiendo una carga significativa en dispositivos con recursos limitados.
  3. Limitaciones de Métodos Existentes:
    • Los métodos PEFT, aunque reducen la carga computacional, ignoran los problemas de preservación de privacidad
    • Los métodos PPFT pueden proteger la privacidad, pero generalmente introducen gastos adicionales de comunicación y computación

Motivación de la Investigación

La investigación existente se enfoca principalmente en aplicaciones individuales de PEFT o PPFT, careciendo de investigación sistemática sobre la fusión de ambos. Este artículo tiene como objetivo llenar este vacío, proponiendo el marco P3EFT para lograr los objetivos duales de preservación de privacidad y eficiencia de parámetros bajo presupuestos computacionales limitados.

Contribuciones Principales

  1. Propone el Marco P3EFT: Por primera vez, combina sistemáticamente PEFT y PPFT, cerrando la brecha entre dos campos de investigación.
  2. Diseña el Esquema PrivTuner: Combina el esquema de cifrado completamente homomórfico CKKS con la técnica LoRA, logrando un ajuste fino colaborativo seguro y eficiente, protegiendo la privacidad de datos y modelos mientras reduce la carga computacional.
  3. Establece Modelos de Consumo y Preservación de Privacidad: Analiza modelos de tiempo y consumo de energía desde perspectivas de servidor y dispositivo, proporcionando métricas cuantificables para niveles de preservación de privacidad.
  4. Diseña Algoritmo de Optimización Conjunta: Propone un algoritmo de asignación de recursos que combina técnicas de ramificación y acotamiento (B&B) y programación fraccional, resolviendo efectivamente el problema de optimización conjunta de capacidad computacional, recursos de comunicación inalámbrica y configuración de FHE.

Detalles del Método

Definición de Tarea

La tarea P3EFT se define como: dado un modelo fundacional preentrenado W₀ y un conjunto de datos privado, actualizar solo una pequeña cantidad de parámetros para lograr el ajuste fino del modelo, preservando la privacidad de datos y del modelo.

Arquitectura PrivTuner

Modelo del Sistema

  • Partes Participantes: Servidor propietario del modelo y N dispositivos móviles externos
  • Modelo de Seguridad: Modelo honesto pero curioso (honest but curious)
  • Idea Central: Los dispositivos transmiten datos cifrados con FHE en lugar de datos originales, el servidor ejecuta cálculos en datos cifrados

Pasos Clave

Paso 1: Cifrado de Datos

pkₙ, skₙ = KeyGen(λₙ, qₙ), ∀n ∈ N
X̃ᶠᵗₙ = Enc(pkₙ, Xᶠᵗₙ), ∀n ∈ N

Paso 2: Generación de Adaptadores Adopta la técnica LoRA para generar adaptadores de bajo rango:

Aₙ = {A¹ₙ, A²ₙ} = LoRAₙ(W₀), ∀n ∈ N

Paso 3: Predicción Cifrada Ejecuta predicción en datos cifrados:

Ỹᵖₙ = Eval(pkₙ, (W₀, Aₙ), X̃ᶠᵗₙ, fᵖ), ∀n ∈ N

Donde la función de predicción es:

fᵖ(W₀, Aₙ, X̃ᶠᵗₙ) = W₀X̃ᶠᵗₙ + A¹ₙA²ₙX̃ᶠᵗₙ

Paso 4: Descifrado y Cálculo de Pérdida

Yᵖₙ = Dec(skₙ, Ỹᵖₙ)
Lₙ = Lₙ(Yᵖₙ, Yᶠᵗₙ)

Paso 5: Actualización de Adaptadores Actualiza parámetros de adaptadores basándose en la función de pérdida.

Modelo BERT-Tiny Amigable con HE

Adopta el esquema CKKS para procesar funciones no lineales en el modelo BERT-Tiny:

  • Softmax: Utiliza aproximación de serie de Maclaurin para la función exponencial
  • GeLU: Adopta aproximación de polinomios de Chebyshev
  • LayerNorm: Precomputa media y desviación estándar para simplificar cálculos
  • Operaciones de División: Utiliza polinomios de Chebyshev para aproximación

Puntos de Innovación Técnica

  1. Combinación Orgánica de FHE y LoRA: Por primera vez, combina cifrado completamente homomórfico CKKS con la técnica LoRA, logrando ajuste fino eficiente en parámetros en el dominio cifrado.
  2. Procesamiento de Funciones No Lineales: Resuelve sistemáticamente el problema computacional de funciones no lineales en modelos Transformer en entornos FHE.
  3. Marco de Optimización de Recursos: Considera restricciones prácticas en entornos de comunicación inalámbrica, estableciendo un modelo de optimización de compensación entre consumo de energía y preservación de privacidad.

Configuración Experimental

Conjuntos de Datos

Utiliza tres conjuntos de datos del benchmark GLUE:

  • SST-2: Tarea de análisis de sentimiento
  • MRPC: Juicio de similitud de oraciones
  • RTE: Reconocimiento de implicación textual

Entorno Experimental

  • Hardware: CPU Intel Xeon Gold 5218R@2.10GHz
  • Biblioteca FHE: OpenFHE con aceleración HEXL
  • Parámetros FHE: Grado polinomial λ=2¹⁵, módulo de coeficiente q=1767 bits

Métricas de Evaluación

  • Precisión: Rendimiento de clasificación del modelo
  • Consumo de Energía: Consumo total de energía (julios)
  • Nivel de Preservación de Privacidad: Nivel de seguridad basado en LWE-estimator (bits)
  • Tiempo de Ejecución: Gastos de tiempo de cada operación

Métodos de Comparación

  • Asignación Promedio: Asignación uniforme de recursos
  • Optimizar solo f,g: Optimizar solo frecuencia de computación
  • Optimizar solo p,B: Optimizar solo potencia de transmisión y ancho de banda

Resultados Experimentales

Resultados Principales

Rendimiento del Modelo

Conjunto de DatosBERT-TinyFHE-BERT-TinyDegradación de Rendimiento
SST-20.8230.7900.033
MRPC0.7030.6750.028
RTE0.6010.5640.037

Análisis de Tiempo de Ejecución

OperaciónConsumo de Tiempo (segundos)
Cifrado (cliente)0.7106
Predicción (servidor)163.3211
Descifrado (cliente)0.0119
Total164.0436

Compensación de Rendimiento bajo Diferentes λ

λTiempo de EjecuciónNivel de Seguridad (bits)
2¹⁵164.04s66.1
2¹⁶330.13s128.4
2¹⁷719.64s277.0

Resultados de Optimización de Consumo de Energía

Bajo diferentes configuraciones de recursos, el algoritmo de optimización conjunta propuesto en comparación con métodos de referencia:

  • Variación de Ancho de Banda: Cuando el ancho de banda total aumenta de 5MHz a 25MHz, el algoritmo mantiene consistentemente un rendimiento óptimo
  • Potencia de Transmisión: En el rango de 10-30dBm, el algoritmo de optimización muestra un rendimiento estable
  • Presupuesto de Tiempo: Conforme aumenta el presupuesto de tiempo del dispositivo, el consumo de energía disminuye significativamente

Análisis de Compensación de Preservación de Privacidad

Mediante ajuste del parámetro de peso ω (1-10):

  • Compensación entre Energía y Privacidad: Cuando ω aumenta, el nivel de preservación de privacidad mejora pero el consumo de energía aumenta
  • Estrategia de Selección de Dispositivos: Los dispositivos con alta preocupación por privacidad tienden a seleccionar valores λ más grandes

Experimentos de Ablación

Verifica la efectividad de cada componente de optimización:

  • La optimización conjunta muestra mejoras significativas en comparación con la optimización individual de f,g o p,B
  • El algoritmo de ramificación y acotamiento resuelve efectivamente el problema de optimización discreta
  • La técnica de programación fraccional maneja exitosamente el desafío de optimización no convexa

Trabajo Relacionado

Investigación Relacionada con PEFT

  • LoRA: Técnica de adaptadores de bajo rango
  • Prefix-tuning, Prompt tuning, BitFit: Otros métodos eficientes en parámetros

Investigación Relacionada con PPFT

  • Aprendizaje Federado: Entrenamiento distribuido con preservación de privacidad
  • Privacidad Diferencial: Protección de privacidad mediante adición de ruido
  • Computación Segura Multiparte: Computación colaborativa entre múltiples partes
  • Cifrado Homomórfico: Computación en dominio cifrado

Aplicaciones de FHE en Aprendizaje Profundo

  • Aplicaciones CNN: CryptoNets, CareNets, etc.
  • Aplicaciones RNN: Procesamiento de datos secuenciales con preservación de privacidad
  • Aplicaciones Transformer: Iron, BOLT, BlindTune, etc.

Conclusiones y Discusión

Conclusiones Principales

  1. Viabilidad del Marco P3EFT: PrivTuner demuestra exitosamente la posibilidad de lograr simultáneamente eficiencia de parámetros y preservación de privacidad
  2. Validación de Practicidad: Logra un rendimiento aceptable en el conjunto de datos GLUE, con un costo relativamente pequeño en preservación de privacidad
  3. Efectividad del Algoritmo de Optimización: El algoritmo de asignación de recursos conjunta muestra un rendimiento excelente en la compensación entre energía y privacidad

Limitaciones

  1. Privacidad del Adaptador: En el esquema actual, los adaptadores se almacenan en texto plano, lo que podría filtrar información parcial
  2. Gastos Computacionales: Las operaciones FHE aún presentan gastos computacionales significativos, limitando aplicaciones en tiempo real
  3. Limitaciones del Modelo de Seguridad: Solo considera el modelo honesto pero curioso, sin abordar escenarios de adversarios maliciosos
  4. Problemas de Escalabilidad: Conforme aumenta el tamaño del modelo, los gastos de FHE podrían convertirse en un cuello de botella

Direcciones Futuras

  1. Seguridad Maliciosa: Extensión al modelo de adversarios maliciosos
  2. Aceleración por Hardware: Utilización de hardware especializado como GPU para acelerar cálculos FHE
  3. Preservación de Privacidad Más Fuerte: Exploración de técnicas como MPC para proteger la privacidad de adaptadores
  4. Adaptación a Modelos Grandes: Investigación de aplicaciones en modelos de mayor escala

Evaluación Profunda

Fortalezas

  1. Innovación Fuerte: Por primera vez, combina sistemáticamente PEFT y PPFT, llenando un vacío de investigación importante
  2. Teoría Completa: Proporciona un marco de análisis teórico completo, incluyendo análisis de seguridad, complejidad y convergencia
  3. Experimentos Suficientes: Verifica la efectividad del método desde múltiples dimensiones, incluyendo precisión, consumo de energía y preservación de privacidad
  4. Consideraciones Prácticas: Considera restricciones reales en entornos de comunicación inalámbrica, con buenas perspectivas de aplicación

Deficiencias

  1. Degradación de Rendimiento: Los gastos computacionales introducidos por FHE resultan en una degradación de rendimiento significativa (pérdida de precisión de aproximadamente 3-4%)
  2. Limitaciones de Escalabilidad: Los experimentos actuales se realizan solo en BERT-Tiny, la aplicabilidad en modelos grandes requiere verificación
  3. Suposiciones de Seguridad: El modelo honesto pero curioso podría ser demasiado idealizado en aplicaciones prácticas
  4. Ajuste de Parámetros: La selección de múltiples parámetros FHE requiere conocimiento especializado, aumentando la barrera de uso

Impacto

  1. Contribución Académica: Proporciona una nueva dirección de investigación para el campo del aprendizaje automático con preservación de privacidad
  2. Valor Práctico: Proporciona una ruta técnica viable para servicios de IA que requieren preservación de privacidad
  3. Reproducibilidad: Proporciona detalles de implementación detallados y configuraciones de parámetros, facilitando la reproducción

Escenarios de Aplicación

  1. IA Médica: Los datos médicos son sensibles, requiriendo ajuste fino de modelos con preservación de privacidad
  2. Servicios Financieros: Entrenamiento colaborativo de modelos entre instituciones financieras
  3. Computación en el Borde: Servicios de IA con preservación de privacidad en entornos con recursos limitados
  4. Aprendizaje Federado: Como tecnología de mejora del aprendizaje federado

Referencias

El artículo cita múltiples trabajos importantes, incluyendo:

  • Artículo original de LoRA Hu et al., ICLR 2021
  • Esquema de cifrado homomórfico CKKS Cheon et al., 2017
  • Modelo BERT Devlin et al., 2018
  • Trabajos relacionados en aprendizaje profundo con preservación de privacidad

Evaluación General: Este es un artículo de investigación de alta calidad que demuestra un desempeño excelente en innovación técnica, análisis teórico y verificación experimental. Aunque presenta algunas limitaciones, abre una dirección de investigación importante para el campo de IA con preservación de privacidad, poseyendo un valor académico significativo y perspectivas de aplicación prometedoras.