論文の概要: Amulet: Fast TEE-Shielded Inference for On-Device Model Protection
- arxiv url: http://arxiv.org/abs/2512.07495v1
- Date: Mon, 08 Dec 2025 12:22:51 GMT
- ステータス: 翻訳完了
- システム内更新日: 2025-12-09 22:03:54.880744
- Title: Amulet: Fast TEE-Shielded Inference for On-Device Model Protection
- Title(参考訳): Amulet: オンデバイスモデル保護のための高速TEEシールド推論
- Authors: Zikai Mao, Lingchen Zhao, Lei Xu, Wentao Dong, Shenyi Zhang, Cong Wang, Qian Wang,
- Abstract要約: オンデバイス機械学習(ML)では、モデルのプライバシに関する新たなセキュリティ上の懸念が導入されている。
ユーザデバイス上で価値あるトレーニングされたMLモデルをストアすることは、敵による潜在的な抽出に公開する。
MLモデル保護のための高速TEEシールドオンデバイス推論フレームワークであるAmuletを提案する。
- 参考スコア(独自算出の注目度): 15.936694312917512
- License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
- Abstract: On-device machine learning (ML) introduces new security concerns about model privacy. Storing valuable trained ML models on user devices exposes them to potential extraction by adversaries. The current mainstream solution for on-device model protection is storing the weights and conducting inference within Trusted Execution Environments (TEEs). However, due to limited trusted memory that cannot accommodate the whole model, most existing approaches employ a partitioning strategy, dividing a model into multiple slices that are loaded into the TEE sequentially. This frequent interaction between untrusted and trusted worlds dramatically increases inference latency, sometimes by orders of magnitude. In this paper, we propose Amulet, a fast TEE-shielded on-device inference framework for ML model protection. Amulet incorporates a suite of obfuscation methods specifically designed for common neural network architectures. After obfuscation by the TEE, the entire transformed model can be securely stored in untrusted memory, allowing the inference process to execute directly in untrusted memory with GPU acceleration. For each inference request, only two rounds of minimal-overhead interaction between untrusted and trusted memory are required to process input samples and output results. We also provide theoretical proof from an information-theoretic perspective that the obfuscated model does not leak information about the original weights. We comprehensively evaluated Amulet using diverse model architectures ranging from ResNet-18 to GPT-2. Our approach incurs inference latency only 2.8-4.8x that of unprotected models with negligible accuracy loss, achieving an 8-9x speedup over baseline methods that execute inference entirely within TEEs, and performing approximately 2.2x faster than the state-of-the-art obfuscation-based method.
- Abstract(参考訳): オンデバイス機械学習(ML)では、モデルのプライバシに関する新たなセキュリティ上の懸念が導入されている。
ユーザデバイス上で価値あるトレーニングされたMLモデルをストアすることは、敵による潜在的な抽出に公開する。
オンデバイスモデル保護の現在の主流のソリューションは、重量を保存し、信頼された実行環境(TEE)内で推論を行うことである。
しかし、モデル全体に対応できない限られた信頼できるメモリのため、既存のアプローチのほとんどは分割戦略を採用し、モデルをTEEシーケンシャルにロードする複数のスライスに分割する。
この信頼できない世界と信頼できない世界の間の頻繁な相互作用は、時には桁違いに、推論遅延を劇的に増加させる。
本稿では,MLモデル保護のための高速TEEシールドオンデバイス推論フレームワークであるAmuletを提案する。
Amuletには、共通のニューラルネットワークアーキテクチャ用に特別に設計された難読化メソッドのスイートが組み込まれている。
TEEによる難読化後、変換されたモデル全体が信頼できないメモリにセキュアに格納され、GPUアクセラレーションによって推論プロセスが信頼できないメモリで直接実行される。
各推論要求に対して、入力サンプルと出力結果を処理するには、信頼できないメモリと信頼できないメモリ間の2ラウンドの最小オーバーヘッドインタラクションしか必要としない。
また,難解モデルが元の重みに関する情報を漏らさないという情報理論の観点から理論的証明を行う。
我々は、ResNet-18からGPT-2まで多様なモデルアーキテクチャを用いて、Amuletを包括的に評価した。
提案手法は, 既知精度損失の少ない非保護モデルの2.8-4.8倍, TEE内で完全に推論を実行するベースライン法で8-9倍の高速化を実現し, 最先端の難読化法に比べて約2.2倍の高速化を実現している。
関連論文リスト
- TZ-LLM: Protecting On-Device Large Language Models with Arm TrustZone [8.538298365840877]
モバイルデバイスにデプロイされる大規模言語モデル(LLM)は、ユーザのプライバシやネットワーク遅延の低減といったメリットを提供するが、重大なセキュリティリスクをもたらす。
我々は、Arm Trusted Execution Environment (TEE)、TrustZoneを用いて、デバイス上でのLDMを保護するシステム設計を提案する。
論文 参考訳(メタデータ) (2025-11-17T18:59:20Z) - TensorShield: Safeguarding On-Device Inference by Shielding Critical DNN Tensors with TEE [15.680713503694951]
既存の知恵は信頼された実行環境(TEE)内にモデルをデプロイする
本論文は,MS と MIA を完全に防御しながらモデルの部分テンソルを遮蔽する,最初の効率的なデバイス上の推論作業であるShield とのギャップを埋めるものである。
論文 参考訳(メタデータ) (2025-05-28T18:00:24Z) - T2VShield: Model-Agnostic Jailbreak Defense for Text-to-Video Models [88.63040835652902]
テキストからビデオモデルへの攻撃はジェイルブレイク攻撃に弱いため、特別な方法で安全メカニズムをバイパスし、有害または安全でないコンテンツの生成につながる。
我々は、ジェイルブレイクの脅威からテキストからビデオモデルを守るために設計された包括的でモデルに依存しない防衛フレームワークであるT2VShieldを提案する。
本手法は,既存の防御の限界を特定するために,入力,モデル,出力の段階を体系的に解析する。
論文 参考訳(メタデータ) (2025-04-22T01:18:42Z) - TEESlice: Protecting Sensitive Neural Network Models in Trusted Execution Environments When Attackers have Pre-Trained Models [12.253529209143197]
TSDPは、TEE内のプライバシーに敏感な重みを保護し、GPUに不感な重みをオフロードする手法である。
トレーニング戦略の前に新たなパーティションを導入し,プライバシに敏感な重みをモデルの他のコンポーネントと効果的に分離する。
提案手法は, 計算コストを10倍に削減し, 完全なモデル保護を実現できることを示す。
論文 参考訳(メタデータ) (2024-11-15T04:52:11Z) - PriRoAgg: Achieving Robust Model Aggregation with Minimum Privacy Leakage for Federated Learning [49.916365792036636]
フェデレートラーニング(FL)は、大規模分散ユーザデータを活用する可能性から、最近大きな勢いを増している。
送信されたモデル更新は、センシティブなユーザ情報をリークする可能性があり、ローカルなトレーニングプロセスの集中的な制御の欠如は、モデル更新に対する悪意のある操作の影響を受けやすいグローバルモデルを残します。
我々は、Lagrange符号化計算と分散ゼロ知識証明を利用した汎用フレームワークPriRoAggを開発し、集約されたプライバシを満たすとともに、幅広いロバストな集約アルゴリズムを実行する。
論文 参考訳(メタデータ) (2024-07-12T03:18:08Z) - Memory-Efficient and Secure DNN Inference on TrustZone-enabled Consumer IoT Devices [9.928745904761358]
エッジインテリジェンスにより、元のデータを転送することなく、リソース要求のDeep Neural Network(DNN)推論が可能になる。
プライバシに敏感なアプリケーションでは、ハードウェアアイソレーションされた信頼できる実行環境(TEE)にモデルをデプロイすることが不可欠である。
我々は,モデル推論における包括的プライバシ保護を保証するため,TrustZoneにおける高度なモデル展開のための新しいアプローチを提案する。
論文 参考訳(メタデータ) (2024-03-19T09:22:50Z) - Avoid Adversarial Adaption in Federated Learning by Multi-Metric
Investigations [55.2480439325792]
Federated Learning(FL)は、分散機械学習モデルのトレーニング、データのプライバシの保護、通信コストの低減、多様化したデータソースによるモデルパフォーマンスの向上を支援する。
FLは、中毒攻撃、標的外のパフォーマンス劣化とターゲットのバックドア攻撃の両方でモデルの整合性を損なうような脆弱性に直面している。
我々は、複数の目的に同時に適応できる、強い適応的敵の概念を新たに定義する。
MESASは、実際のデータシナリオで有効であり、平均オーバーヘッドは24.37秒である。
論文 参考訳(メタデータ) (2023-06-06T11:44:42Z) - Partially Oblivious Neural Network Inference [4.843820624525483]
CNNのようなニューラルネットワークモデルでは、いくつかの情報漏洩が許容可能であることを示す。
我々は,CIFAR-10ネットワークにおいて,モデル重量の最大80%を,事実上のセキュリティ上の影響なく漏洩させることができることを実験的に実証した。
論文 参考訳(メタデータ) (2022-10-27T05:39:36Z) - RelaxLoss: Defending Membership Inference Attacks without Losing Utility [68.48117818874155]
より達成可能な学習目標を持つ緩和された損失に基づく新しい学習フレームワークを提案する。
RelaxLossは、簡単な実装と無視可能なオーバーヘッドのメリットを加えた任意の分類モデルに適用できる。
当社のアプローチはMIAに対するレジリエンスの観点から,常に最先端の防御機構より優れています。
論文 参考訳(メタデータ) (2022-07-12T19:34:47Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。