Enhancing Privacy-Preserving Machine Learning with Self-Learnable Activation Functions in Fully Homomorphic Encryption (Journal of Information Security and Applications, 2024)

核心問題與動機

在 AI 與資料工程領域，資料隱私保護與有效利用之間存在根本衝突。資料擁有者需保護敏感資訊（如生物特徵、醫療影像），但機器學習模型訓練與推論卻需要存取這些資料。

傳統解決方案如資料匿名化或聯邦學習仍有洩露風險，而 全同態加密（Fully Homomorphic Encryption, FHE） 提供理想框架，能在加密狀態下直接進行加法與乘法運算，無需解密即可完成計算，確保資料全程保密。

然而，FHE 在神經網路應用上面臨重大瓶頸：

• 非線性激活函數難以處理：傳統 ReLU、Sigmoid 等涉及比較或複雜非線性操作，在 FHE（如 CKKS 方案）中無法直接實現，只能用低次多項式近似，導致模型表達能力下降與精度損失。
• 計算開銷極高：加密運算速度遠低於明文，且噪音累積限制網路深度（multiplication depth），深層網路易超出安全參數或效率崩潰。
• 現有方案局限：如 CryptoNets 使用平方激活函數與淺層網路，精度受限；其他方法雖引入近似多項式或 bootstrapping，但仍難平衡精度、效率與隱私。

論文動機：針對生物特徵辨識等高隱私應用場景，提出 Self-Learnable Activation Function (SLAF) 自學習激活函數，結合線性層結構優化，讓 FHE 能支援更深、更精準的 CNN 模型，實現實用化的隱私保護機器學習。

結果 / 成果

論文核心貢獻是設計 SLAF 並優化 CNN-FHE 框架，針對 UTKFace 資料集（包含年齡、性別、種族分類的多樣人臉影像）進行驗證，提出兩種模型：

• 快速回應模型（低延遲）
• 高精度模型（高準確率）

主要成果：

1. 精度提升

• 相較傳統平方激活函數模型：加密資料處理準確率提升 0.88% ~ 3.15%。
• 相較 CryptoNets：高精度模型提升 4.87% ~ 9.67%，快速模型提升 1.17% ~ 5.14%。
• 與明文 ReLU 比較：性別與年齡分類略降（0.45% ~ 0.84%），但種族分類提升 0.96%，整體在 FHE 限制下表現優異。

2. 效率表現（Apple M1 Pro, 8 核心, 16GB RAM）

• 快速回應模型：推論時間僅 0.778 秒。
• 高精度模型：約 1 分鐘，適合不同部署需求。

3. 其他核心優化

• 架構優化：精簡線性層結構，控制乘法深度（multiplication depth），在 128-bit 安全等級下支援更深網路，同時降低噪音累積與計算開銷。
• 實用性：SLAF 可在訓練中自我調整參數，適配 FHE 環境，兼顧多項式相容性與非線性表達能力。

這些成果證明 SLAF 能有效彌補 FHE 友好網路的精度缺口，特別適用於生物特徵認證等需高隱私與即時性的場景。

分析與洞見

技術創新分析

• SLAF 設計：不同於固定低次多項式（如 x² 或立方），SLAF 具參數可學習性，在訓練階段調整係數，使激活函數更貼合資料分佈。這種「自學習」特性讓模型在 FHE 噪音環境下維持更高表達力，減少近似誤差。
• 線性層優化：透過精簡矩陣乘法與卷積結構，降低乘法深度，直接解決 FHE 中層數受限的痛點。這是專案實作時的重要工程優化，影響整體可擴展性。

與既有工作比較

• CryptoNets / SEALion：淺層 + 簡單平方激活，精度低但極快。
• CryptoDL / TensorHE：使用更高次多項式近似 ReLU，但計算成本高。
• 近期 bootstrapping 方法：允許深層網路，但延遲大幅增加。
• SLAF 的優勢：在於「可學習 + FHE 友好」，提供更好的權衡。

多角度洞見

• 隱私 vs. 實用性：FHE 提供資訊論級別的安全保證（相較差分隱私），但代價是效能。SLAF 展示透過領域特定優化（biometric task），能將 FHE 推向實際部署。
• 邊緣案例：在高噪音或低安全等級下，SLAF 可能仍需 bootstrapping 輔助；不同資料集（非人臉）效果待驗證；硬體加速（GPU/ASIC for FHE）是未來關鍵。
• 專案啟示：實作時需關注 CKKS 參數調校（scaling factor、polynomial degree）、噪音管理與模型量化。GitHub 專案可包含 SLAF 模組、CKKS 整合腳本、UTKFace 預處理 pipeline，以及 benchmark 工具。
• 更廣泛意涵：此方法可延伸至醫療影像、推薦系統等，推動「加密原生 AI」發展。結合聯邦學習或混合加密，可建構更完整隱私保護生態。

潛在限制：論文聚焦推論階段，訓練階段 FHE 仍極昂貴；SLAF 學習過程可能增加初始訓練成本；生物特徵資料敏感性要求嚴格金鑰管理與側通道攻擊防護。

結論

這篇論文成功展示 SLAF + 線性層優化 如何讓全同態加密下的深度學習更具實用價值，在維持強隱私保障的前提下，顯著提升模型精度與效率。針對生物特徵認證的實驗結果凸顯其在真實高隱私場景的潛力，為後續 FHE-PPML 研究提供可行路徑。

文章連結：
https://www.sciencedirect.com/science/article/pii/S2214212624001893
DOI：10.1016/j.jisa.2024.103887
期刊：Journal of Information Security and Applications, 2024