2025-11-13T23:49:14.865072

PrivTuner with Homomorphic Encryption and LoRA: A P3EFT Scheme for Privacy-Preserving Parameter-Efficient Fine-Tuning of AI Foundation Models

Li, Yu, Zhao
AI foundation models have recently demonstrated impressive capabilities across a wide range of tasks. Fine-tuning (FT) is a method of customizing a pre-trained AI foundation model by further training it on a smaller, targeted dataset. In this paper, we initiate the study of the Privacy-Preserving Parameter-Efficient FT (P3EFT) framework, which can be viewed as the intersection of Parameter-Efficient FT (PEFT) and Privacy-Preserving FT (PPFT). PEFT modifies only a small subset of the model's parameters to achieve FT (i.e., adapting a pre-trained model to a specific dataset), while PPFT uses privacy-preserving technologies to protect the confidentiality of the model during the FT process. There have been many studies on PEFT or PPFT but very few on their fusion, which motivates our work on P3EFT to achieve both parameter efficiency and model privacy. To exemplify our P3EFT, we present the PrivTuner scheme, which incorporates Fully Homomorphic Encryption (FHE) enabled privacy protection into LoRA (short for ``Low-Rank Adapter''). Intuitively speaking, PrivTuner allows the model owner and the external data owners to collaboratively implement PEFT with encrypted data. After describing PrivTuner in detail, we further investigate its energy consumption and privacy protection. Then, we consider a PrivTuner system over wireless communications and formulate a joint optimization problem to adaptively minimize energy while maximizing privacy protection, with the optimization variables including FDMA bandwidth allocation, wireless transmission power, computational resource allocation, and privacy protection. A resource allocation algorithm is devised to solve the problem. Experiments demonstrate that our algorithm can significantly reduce energy consumption while adapting to different privacy requirements.
academic

PrivTuner con Crittografia Omomorfa e LoRA: Uno Schema P3EFT per l'Ottimizzazione Fine-Tuning Preservante la Privacy dei Modelli Fondamentali di IA

Informazioni Fondamentali

  • ID Articolo: 2410.00433
  • Titolo: PrivTuner with Homomorphic Encryption and LoRA: A P3EFT Scheme for Privacy-Preserving Parameter-Efficient Fine-Tuning of AI Foundation Models
  • Autori: Yang Li, Wenhan Yu, Jun Zhao (Nanyang Technological University)
  • Classificazione: cs.CR (Crittografia e Sicurezza)
  • Data di Pubblicazione: Ottobre 2024 (preprint arXiv)
  • Link Articolo: https://arxiv.org/abs/2410.00433

Riassunto

Questo articolo propone il framework Privacy-Preserving Parameter-Efficient Fine-Tuning (P3EFT), che combina l'ottimizzazione fine-tuning parametricamente efficiente (PEFT) con l'ottimizzazione fine-tuning preservante la privacy (PPFT). Gli autori progettano lo schema PrivTuner, integrando la crittografia completamente omomorfa (FHE) in LoRA, realizzando un fine-tuning collaborativo preservante la privacy tra il proprietario del modello e i proprietari di dati esterni. L'articolo considera inoltre il sistema PrivTuner in ambienti di comunicazione wireless, stabilendo un problema di ottimizzazione congiunta per minimizzare il consumo energetico massimizzando contemporaneamente la protezione della privacy, e propone algoritmi corrispondenti di allocazione delle risorse.

Contesto di Ricerca e Motivazione

Problemi Fondamentali

  1. Esigenze di Protezione della Privacy: Nel processo di fine-tuning dei modelli fondamentali di IA esistono problemi di privacy dei dati e privacy del modello. Le aziende sono riluttanti a condividere dati privati, mentre i proprietari di modelli non desiderano esporre i parametri del modello.
  2. Sfide di Efficienza Computazionale: L'ottimizzazione fine-tuning tradizionale a parametri completi comporta enormi costi computazionali, in particolare per i modelli fondamentali di grandi dimensioni, rappresentando un onere significativo per i dispositivi con risorse limitate.
  3. Limitazioni dei Metodi Esistenti:
    • I metodi PEFT, sebbene riducano il carico computazionale, trascurano i problemi di protezione della privacy
    • I metodi PPFT possono proteggere la privacy, ma generalmente introducono costi aggiuntivi di comunicazione e computazione

Motivazione della Ricerca

La ricerca esistente si concentra principalmente sull'applicazione separata di PEFT o PPFT, mancando di uno studio sistematico della loro fusione. Questo articolo mira a colmare questa lacuna, proponendo il framework P3EFT per realizzare i duplici obiettivi di protezione della privacy ed efficienza parametrica con budget computazionale limitato.

Contributi Fondamentali

  1. Propone il Framework P3EFT: Per la prima volta combina sistematicamente PEFT e PPFT, colmando il divario tra due ambiti di ricerca.
  2. Progetta lo Schema PrivTuner: Combina lo schema di crittografia omomorfa CKKS con la tecnologia LoRA, realizzando un fine-tuning collaborativo sicuro ed efficiente, riducendo il carico computazionale proteggendo contemporaneamente la privacy dei dati e del modello.
  3. Stabilisce Modelli di Consumo e Protezione della Privacy: Analizza i modelli di tempo e consumo energetico dal punto di vista del server e del dispositivo, fornendo metriche quantificate per i livelli di protezione della privacy.
  4. Progetta Algoritmi di Ottimizzazione Congiunta: Propone algoritmi di allocazione delle risorse che combinano tecniche di branch-and-bound (B&B) e programmazione frazionaria, risolvendo efficacemente il problema di ottimizzazione congiunta della capacità computazionale, delle risorse di comunicazione wireless e della configurazione FHE.

Dettagli del Metodo

Definizione del Compito

Il compito P3EFT è definito come: dato un modello fondamentale pre-addestrato W₀ e un dataset privato, realizzare il fine-tuning del modello aggiornando solo un numero limitato di parametri, proteggendo la privacy dei dati e del modello.

Architettura PrivTuner

Modello di Sistema

  • Parti Coinvolte: Server proprietario del modello e N dispositivi mobili esterni
  • Modello di Sicurezza: Modello onesto ma curioso (honest but curious)
  • Idea Fondamentale: I dispositivi trasmettono dati crittografati con FHE anziché dati grezzi, il server esegue calcoli su dati crittografati

Passaggi Chiave

Passaggio 1: Crittografia dei Dati

pkₙ, skₙ = KeyGen(λₙ, qₙ), ∀n ∈ N
X̃ᶠᵗₙ = Enc(pkₙ, Xᶠᵗₙ), ∀n ∈ N

Passaggio 2: Generazione dell'Adattatore Utilizza la tecnologia LoRA per generare adattatori a basso rango:

Aₙ = {A¹ₙ, A²ₙ} = LoRAₙ(W₀), ∀n ∈ N

Passaggio 3: Predizione Crittografata Esegue la predizione su dati crittografati:

Ỹᵖₙ = Eval(pkₙ, (W₀, Aₙ), X̃ᶠᵗₙ, fᵖ), ∀n ∈ N

dove la funzione di predizione è:

fᵖ(W₀, Aₙ, X̃ᶠᵗₙ) = W₀X̃ᶠᵗₙ + A¹ₙA²ₙX̃ᶠᵗₙ

Passaggio 4: Decrittografia e Calcolo della Perdita

Yᵖₙ = Dec(skₙ, Ỹᵖₙ)
Lₙ = Lₙ(Yᵖₙ, Yᶠᵗₙ)

Passaggio 5: Aggiornamento dell'Adattatore Aggiorna i parametri dell'adattatore in base alla funzione di perdita.

Modello BERT-Tiny Amichevole con HE

Utilizza lo schema CKKS per gestire le funzioni non lineari nel modello BERT-Tiny:

  • Softmax: Utilizza l'approssimazione della serie di Maclaurin per la funzione esponenziale
  • GeLU: Impiega l'approssimazione con polinomi di Chebyshev
  • LayerNorm: Pre-calcola media e deviazione standard per semplificare il calcolo
  • Operazioni di Divisione: Utilizza l'approssimazione con polinomi di Chebyshev

Punti di Innovazione Tecnica

  1. Combinazione Organica di FHE e LoRA: Per la prima volta combina la crittografia omomorfa completamente CKKS con la tecnologia LoRA, realizzando l'ottimizzazione fine-tuning parametricamente efficiente nel dominio crittografato.
  2. Gestione delle Funzioni Non Lineari: Risolve sistematicamente il problema del calcolo delle funzioni non lineari nei modelli Transformer nell'ambiente FHE.
  3. Framework di Ottimizzazione delle Risorse: Considera i vincoli pratici in ambienti di comunicazione wireless, stabilendo un modello di ottimizzazione del compromesso tra consumo energetico e protezione della privacy.

Configurazione Sperimentale

Dataset

Utilizza tre dataset dal benchmark GLUE:

  • SST-2: Compito di analisi del sentimento
  • MRPC: Giudizio di somiglianza tra frasi
  • RTE: Riconoscimento dell'implicazione testuale

Ambiente Sperimentale

  • Hardware: CPU Intel Xeon Gold 5218R@2.10GHz
  • Libreria FHE: OpenFHE con accelerazione HEXL
  • Parametri FHE: Grado polinomiale λ=2¹⁵, modulo coefficiente q=1767 bit

Metriche di Valutazione

  • Accuratezza: Prestazioni di classificazione del modello
  • Consumo Energetico: Consumo energetico totale (joule)
  • Livello di Protezione della Privacy: Livello di sicurezza basato su LWE-estimator (bit)
  • Tempo di Esecuzione: Costi temporali di varie operazioni

Metodi di Confronto

  • Allocazione Media: Allocazione uniforme delle risorse
  • Ottimizza solo f,g: Ottimizzazione solo della frequenza computazionale
  • Ottimizza solo p,B: Ottimizzazione solo della potenza di trasmissione e della larghezza di banda

Risultati Sperimentali

Risultati Principali

Prestazioni del Modello

DatasetBERT-TinyFHE-BERT-TinyCalo di Prestazione
SST-20.8230.7900.033
MRPC0.7030.6750.028
RTE0.6010.5640.037

Analisi del Tempo di Esecuzione

OperazioneTempo di Consumo (secondi)
Crittografia (client)0.7106
Predizione (server)163.3211
Decrittografia (client)0.0119
Totale164.0436

Compromesso di Prestazione sotto Diversi λ

λTempo di EsecuzioneLivello di Sicurezza (bit)
2¹⁵164.04s66.1
2¹⁶330.13s128.4
2¹⁷719.64s277.0

Risultati dell'Ottimizzazione Energetica

Con diverse configurazioni di risorse, l'algoritmo di ottimizzazione congiunta proposto rispetto ai metodi di base:

  • Variazione della Larghezza di Banda: Quando la larghezza di banda totale aumenta da 5MHz a 25MHz, l'algoritmo mantiene costantemente prestazioni ottimali
  • Potenza di Trasmissione: Nell'intervallo 10-30dBm, l'algoritmo di ottimizzazione mostra prestazioni stabili
  • Budget Temporale: Con l'aumento del budget temporale del dispositivo, il consumo energetico diminuisce significativamente

Analisi del Compromesso di Protezione della Privacy

Regolando il parametro di peso ω (1-10):

  • Compromesso tra Consumo Energetico e Privacy: Con l'aumento di ω, il livello di protezione della privacy migliora ma il consumo energetico aumenta
  • Strategia di Selezione del Dispositivo: I dispositivi con elevate preoccupazioni sulla privacy tendono a scegliere valori λ più grandi

Esperimenti di Ablazione

Verifica l'efficacia di ogni componente di ottimizzazione:

  • L'ottimizzazione congiunta mostra miglioramenti significativi rispetto all'ottimizzazione separata di f,g o p,B
  • L'algoritmo di branch-and-bound risolve efficacemente il problema di ottimizzazione discreta
  • La tecnica di programmazione frazionaria affronta con successo la sfida di ottimizzazione non convessa

Lavori Correlati

Ricerca Correlata a PEFT

  • LoRA: Tecnologia dell'adattatore a basso rango
  • Prefix-tuning, Prompt tuning, BitFit: Altri metodi parametricamente efficienti

Ricerca Correlata a PPFT

  • Apprendimento Federato: Addestramento distribuito preservante la privacy
  • Privacy Differenziale: Protezione della privacy mediante aggiunta di rumore
  • Calcolo Sicuro Multi-Parte: Calcolo collaborativo multi-parte
  • Crittografia Omomorfa: Calcolo nel dominio crittografato

Applicazioni di FHE nell'Apprendimento Profondo

  • Applicazioni CNN: CryptoNets, CareNets, ecc.
  • Applicazioni RNN: Elaborazione preservante la privacy di dati sequenziali
  • Applicazioni Transformer: Iron, BOLT, BlindTune, ecc.

Conclusioni e Discussione

Conclusioni Principali

  1. Fattibilità del Framework P3EFT: PrivTuner dimostra con successo la possibilità di realizzare contemporaneamente efficienza parametrica e protezione della privacy
  2. Verifica della Praticità: Raggiunge prestazioni accettabili sul dataset GLUE, con costi di protezione della privacy relativamente piccoli
  3. Efficacia dell'Algoritmo di Ottimizzazione: L'algoritmo di allocazione congiunta delle risorse mostra prestazioni eccellenti nel compromesso consumo energetico-privacy

Limitazioni

  1. Privacy dell'Adattatore: Nello schema attuale, gli adattatori sono archiviati in forma di testo in chiaro, potenzialmente rivelando informazioni parziali
  2. Costi Computazionali: Le operazioni FHE comportano ancora costi computazionali significativi, limitando le applicazioni in tempo reale
  3. Limitazioni del Modello di Sicurezza: Considera solo il modello onesto ma curioso, non affrontando scenari di avversari malevoli
  4. Problemi di Scalabilità: Con l'aumento della dimensione del modello, i costi FHE potrebbero diventare un collo di bottiglia

Direzioni Future

  1. Sicurezza Malevola: Estensione al modello di avversari malevoli
  2. Accelerazione Hardware: Utilizzo di hardware specializzato come GPU per accelerare il calcolo FHE
  3. Protezione della Privacy Più Forte: Esplorazione di tecniche come MPC per proteggere la privacy degli adattatori
  4. Adattamento a Modelli Grandi: Ricerca di applicazioni su modelli di scala più grande

Valutazione Approfondita

Punti di Forza

  1. Forte Innovatività: Combina sistematicamente PEFT e PPFT per la prima volta, colmando un importante divario di ricerca
  2. Completezza Teorica: Fornisce un framework di analisi teorica completo, inclusa l'analisi di sicurezza, complessità e convergenza
  3. Esperimenti Sufficienti: Verifica l'efficacia del metodo da molteplici dimensioni, inclusi accuratezza, consumo energetico e protezione della privacy
  4. Considerazioni Pratiche: Considera i vincoli pratici in ambienti di comunicazione wireless, con buone prospettive di applicazione

Insufficienze

  1. Calo di Prestazione: I costi computazionali introdotti da FHE causano un calo di prestazione significativo (perdita di accuratezza di circa 3-4%)
  2. Limitazioni di Scalabilità: Gli esperimenti attuali vengono condotti solo su BERT-Tiny, l'applicabilità su modelli più grandi rimane da verificare
  3. Ipotesi di Sicurezza: Il modello onesto ma curioso potrebbe essere eccessivamente idealizzato nelle applicazioni pratiche
  4. Sintonizzazione dei Parametri: La scelta di molteplici parametri FHE richiede conoscenze specializzate, aumentando la soglia di utilizzo

Impatto

  1. Contributo Accademico: Fornisce una nuova direzione di ricerca per il campo dell'apprendimento automatico preservante la privacy
  2. Valore Pratico: Fornisce un percorso tecnologico fattibile per i servizi di IA che richiedono protezione della privacy
  3. Riproducibilità: Fornisce dettagli di implementazione e impostazioni di parametri dettagliati, facilitando la riproduzione

Scenari di Applicazione

  1. IA Medica: I dati medici sono sensibili e richiedono fine-tuning di modelli preservante la privacy
  2. Servizi Finanziari: Addestramento collaborativo di modelli tra istituzioni finanziarie
  3. Calcolo Edge: Servizi di IA preservanti la privacy in ambienti con risorse limitate
  4. Apprendimento Federato: Come tecnologia di potenziamento dell'apprendimento federato

Bibliografia

L'articolo cita numerosi lavori importanti, inclusi:

  • Articolo originale di LoRA Hu et al., ICLR 2021
  • Schema di crittografia omomorfa CKKS Cheon et al., 2017
  • Modello BERT Devlin et al., 2018
  • Lavori correlati sull'apprendimento profondo preservante la privacy

Valutazione Complessiva: Questo è un articolo di ricerca di alta qualità, che si distingue per l'innovazione tecnica, l'analisi teorica e la verifica sperimentale. Sebbene presenti alcune limitazioni, apre importanti direzioni di ricerca nel campo dell'IA preservante la privacy, con significativo valore accademico e prospettive di applicazione.