当前位置：首页 > news >正文

安全多方计算在隐私保护AI推理中的应用：FHE与混淆电路协议对比

news 2026/5/25 5:02:44

1. 项目概述：当机器学习遇见隐私保护

在医疗诊断、金融风控这些领域，数据是金矿，但也是最脆弱的资产。想象一下，一家医院想利用一个先进的AI模型来分析患者的医疗影像，但模型是科技公司的核心知识产权，患者的影像数据又涉及最高级别的个人隐私。直接把数据发给模型提供方？数据泄露风险巨大。把模型发给医院？模型参数可能被逆向工程。这似乎是一个死结。这正是我过去几年在隐私计算领域深耕时，最常被客户问到的场景。安全多方计算（MPC）就是打开这个死结的钥匙，它允许多方在不泄露各自私有输入的前提下，共同完成一个计算任务。

简单来说，MPC让“数据可用不可见”从口号变成了可行的技术方案。其背后主要有两大技术流派：同态加密（FHE）和混淆电路（GC）。FHE像是一个“加密黑箱”，你可以把数据锁进去（加密），别人可以在黑箱外对箱子进行各种操作（对密文计算），最后你用自己的钥匙打开（解密），得到的就是处理后的结果，而过程中箱子里具体是什么，操作者完全不知道。GC则更像是一场“盲人摸象”的协同游戏，它将整个计算逻辑（比如一个神经网络的前向传播）编译成一个巨大的、由加密逻辑门（如与门、或门、非门）组成的电路，参与方各自拿着自己输入的加密碎片，按照规则一步步“摸索”着完成计算，最终拼凑出结果，但谁也无法从中间过程反推出对方的原始输入。

本文要深入解析的，正是基于FHE和GC的两种安全推理协议具体是如何运作的，以及一个在实际工程中无法回避的挑战：如何处理神经网络中那些“不友好”的非线性激活函数（如ReLU, Sigmoid）。因为在FHE和GC的数学世界里，加法和乘法相对好处理，但像ReLU（取最大值）或Sigmoid（复杂的指数运算）这类函数，会直接让协议变得极其低效甚至无法执行。这时，我们就需要引入多项式近似这项关键技术，用一系列加减乘除就能完成的数学表达式，去逼近这些复杂函数的行为。这就像用一段段简单的折线去拟合一条复杂的曲线，虽然会引入误差，但换来了在加密环境下计算的可行性。接下来，我将结合协议伪代码和图示，拆解其中的每一步，并分享在实际部署中关于精度、效率权衡的那些“踩坑”经验。

2. 核心密码学协议深度对比与实现拆解

安全推理协议的设计，本质是在密码学安全、计算效率、通信开销和计算精度之间寻找最佳平衡点。FHE和GC代表了两种截然不同的设计哲学与技术路径，理解它们的核心机制与优劣，是进行技术选型的基础。

2.1 同态加密（FHE）协议：密文上的“云端计算”

基于FHE的协议（对应原文Algorithm 1）其核心思想是“数据不动，计算动”。客户端将数据加密后上传至云端服务器，服务器在完全不解密的情况下，直接在密文上执行模型计算，最后将加密的结果返回给客户端解密。这完美契合了“模型即服务”（MaaS）的场景，即模型所有者（服务器）希望保护模型参数，数据所有者（客户端）希望保护输入数据。

2.1.1 协议流程与关键技术点解析

让我们逐行解读这个协议，并补充伪代码中省略的关键细节：

客户端初始化与加密（第1-4行）：
- 密钥生成：客户端Bob需要生成一整套CKKS（Cheon-Kim-Kim-Song）方案所需的密钥。这包括：
  - 秘密钥 (sk)：用于解密，必须绝对保密，仅客户端持有。
  - 公钥 (pk)：用于加密，可公开给服务器。
  - 重线性化密钥 (rlk)：用于在密文乘法后，控制密文规模的膨胀，是保证后续计算能持续进行的关键。
  - 伽罗瓦密钥 (gk)：用于实现密文向量的循环旋转操作，这是模拟向量点积和矩阵乘法的基石。
- 编码与加密：输入向量x是浮点数，但FHE操作在整数多项式环上进行。CKKS的巧妙之处在于其“近似编码”技术。它先将浮点向量编码到多项式上，这个过程会引入微小的精度损失（但可控），然后再进行加密。因此，Encrypt(x)实际包含了Encode(x)->Encrypt(encoded_x)两个步骤。
服务器端密文计算（第7-14行）：这是最核心、最耗时的部分。服务器Alice持有明文模型参数（W1, b1, W2, b2），但面对的是加密的输入enc_x。
- 模拟全连接层（第7-11行）：对于第一层的每一个神经元（对应权重向量wi），服务器需要计算wi · x + bi。由于x已加密，这需要：
  - 密文-明文乘法：enc_x与明文wi相乘。这是FHE支持的高效操作。
  - 旋转求和：相乘后得到的是一个向量密文，需要将其所有分量相加得到点积结果。CKKS通过伽罗瓦密钥gk，对密文向量进行循环旋转并累加，巧妙的在密文状态下实现了向量内积。这是整个推理过程中最消耗计算资源的操作之一。
  - 添加偏置：将上一步得到的点积密文，加上明文偏置bi（一个常数加法）。
  - “近似ReLU”：这是第一个难关。标准的ReLU函数max(0, z)包含一个比较操作，这在FHE中极其昂贵。因此，协议中使用了ReLU ≈ z^2。这是一个非常粗略的近似，其原理是平方运算z^2在FHE中只是又一次密文-明文乘法（如果z是密文），但它仅能保证输出非负，函数形状与ReLU相去甚远（如图8所示，当z较大时，z^2会急剧增大）。在实际工程中，我们会采用更高阶、更精确的多项式近似，如a*z^2 + b*z + c，但这会增加计算深度和开销。
- 输出层计算与激活（第12-13行）：第二层的计算与第一层类似，进行矩阵乘法并加偏置。最后的Sigmoid激活函数同样被近似为多项式0.5 + 0.197*z - 0.004*z^2。这个二次多项式在零点附近与Sigmoid函数形状相似（如图9所示），但对于较大的正输入，它会线性增长而非趋近于1，这会导致输出偏差。
客户端解密（第5行）：客户端收到最终的加密结果enc_y，使用自己的秘密钥sk解密，再解码回浮点数，得到预测结果。

实操心得：FHE协议的性能瓶颈与优化
参数选择是命门：CKKS方案有一系列参数（多项式维度N、模数链Q等），它们共同决定了计算容量（深度）、精度和安全性等级。参数选小了，计算没做完密文就“爆了”（噪声增长超出模数）；选大了，计算速度呈指数级下降。必须根据神经网络的计算深度（最深层数）精确估算。
计算深度管理：每一次密文乘法都会显著增加“噪声”。像z^2这样的操作，如果z本身已经是多层计算后的密文，其噪声可能已经很大。需要精心设计计算图，有时甚至需要在中间插入“自举”操作来刷新噪声，但自举的成本极高。
通信开销相对固定：主要是一次上传加密输入和一次下载加密结果，中间计算过程无交互。适合网络延迟高、但服务器计算资源丰富的场景。

2.2 混淆电路（GC）协议：加密逻辑门的“协同漫步”

基于GC的协议（对应原文Algorithm 2）则采用了分步交互的“电路评估”模式。它将整个推理过程编译成一个由加密逻辑门组成的布尔电路，双方通过交换加密信息（称为“标签”或“乱码表”）来协同评估这个电路。

2.2.1 协议流程与核心概念剖析

电路制备阶段（服务器端，第1-10行）：
- 定点数编码：首先，双方需约定将浮点数模型参数和输入转换为定点数。例如，约定使用Qm.n格式（m位整数，n位小数）。这是GC（以及大多数MPC）处理非整数的基础，TG_int_init()这类函数就是用于初始化这种定点数上下文。
- 电路生成：服务器（或一个独立的编译工具）需要将神经网络的前向传播（包括加法、乘法、比较等）编译成一个具体的布尔电路网表（netlist）。这个电路描述了所有逻辑门之间的连接关系。
- 电路混淆：对于电路中的每一个逻辑门（如一个与门），服务器（混淆者）会为其生成一个“乱码表”。这个过程是：
  - 为门的每根输入线和输出线随机生成两个加密标签（代表逻辑0和1）。
  - 用输入线的标签作为密钥，去加密输出线的正确标签，生成一个四条目的乱码表。
  - 打乱这个表的顺序。这样，评估者即使解密了其中一条，也无法知道它对应的是0还是1。
- 输入标签准备：服务器为自己的输入（模型参数）分配好标签。对于客户端的输入，则需要通过后续的“不经意传输”来安全获取。
电路评估阶段（客户端主导，第11-20行）：
- 不经意传输：这是GC协议的关键子协议。客户端有自己的输入位（例如，某个定点数的第一位是0还是1）。服务器有该输入位对应的两个标签（一个代表0，一个代表1）。OT协议允许客户端在不告诉服务器自己输入值的前提下，拿到对应自己输入值的那个标签；而服务器也不知道客户端最终拿走了哪个标签。通过TG_int_init()和OT，客户端获得了自己所有输入位的标签。
- 逐门评估：客户端从输入门开始，根据自己持有的输入线标签，去对应的乱码表中尝试解密。由于乱码表被加密和打乱，客户端只能成功解密出唯一一条记录，从而获得该门的输出线标签。这个标签又作为下一级门的输入。如此级联进行sequential_2pc_exec_sh()，直至得到最终输出门的标签。
- 结果揭示：最后，服务器将输出标签到真实值（0/1）的映射关系发给客户端，客户端据此将自己得到的输出标签解码为定点数，再转换为浮点数，得到最终结果。

实操心得：GC协议的工程挑战与技巧
电路规模是硬伤：一个32位的乘法器，编译成布尔电路可能就需要数万个逻辑门。一个稍复杂的神经网络，电路规模轻易达到数百万甚至上亿门。这导致混淆阶段的内存消耗和评估阶段的计算量都非常巨大。优化电路编译器（如使用AND-XOR门替代通用门）至关重要。
通信轮次与带宽：GC协议通常需要多轮交互。虽然现代优化（如“免费异或”、行缩减技术）大幅减少了每个门的通信量（从4条密文减至2条甚至更少），但海量的门数使得总通信带宽依然惊人（常达GB级别），对网络要求高。
激活函数的“友好”处理：与FHE不同，GC理论上可以精确实现任何函数，包括ReLU和Sigmoid，因为比较和条件选择都可以用电路实现。但一个精确的ReLU（比较+选择）电路比一个多项式近似电路要庞大得多。因此，在GC中同样会考虑使用多项式近似来换取电路规模的急剧缩小，这是一个关键的效率-精度权衡点。

2.3 FHE与GC协议的综合对比与选型指南

为了更直观地对比，我将两者的核心特性总结如下表：

特性维度	同态加密 (FHE)	混淆电路 (GC)
计算模式	非交互式，客户端“上传-计算-下载”	交互式，多轮通信协同评估
核心开销	计算开销极高（密文操作比明文慢万倍以上），通信开销低	通信开销极高（传输大量乱码表），单方计算相对FHE轻量
网络敏感性	对延迟不敏感，适合云端	对延迟和带宽敏感，适合高速内网
函数支持	原生高效支持加法和乘法，非线性函数需近似	理论上支持任意布尔函数，可实现精确比较和非线性
精度影响	受限于编码精度和多项式近似误差	受限于定点数精度，可实现精确计算
适用场景	模型方强，数据方弱；单次推理；计算资源丰富的服务器	双方对等；批量推理（可摊销电路生成成本）；对精度要求苛刻
预计算优化	密钥和参数可预生成，但计算无法预处理	电路混淆可完全离线预处理，在线阶段仅评估和OT，极大优化在线时间

选型建议：

如果您的场景是模型提供商向大量客户端提供隐私保护推理服务，且您能部署强大的计算服务器（如GPU加速的FHE库），那么FHE的非交互特性更具优势。
如果双方是对等的合作方（如两家医院联合分析），需要进行批量数据推理，且对计算精度要求非常高（不允许近似），那么尽管通信量大，GC可能是更合适的选择，尤其是可以利用其预计算特性来优化在线效率。
在实际工业级系统中，混合协议正成为趋势。例如，线性计算部分用更高效的秘密分享或FHE，而非线性激活函数部分用GC或特定的高效比较协议，以兼顾整体性能。

3. 激活函数多项式近似：精度与效率的权衡艺术

无论是FHE还是GC，非线性激活函数都是性能“杀手”。在FHE中，它们无法直接计算；在GC中，精确实现的电路过于庞大。因此，多项式近似成为连接隐私保护计算与神经网络的关键桥梁。其目标是用一个仅包含加法和乘法的多项式P(x)，在某个区间内尽可能地逼近目标激活函数f(x)。

3.1 近似方法论：从泰勒展开到最小二乘

原文中给出了两个直观但粗糙的例子：ReLU ≈ x^2和Sigmoid ≈ 0.5 + 0.197x - 0.004x^2。这通常是低阶近似的起点。在实际中，我们会采用更系统的方法：

泰勒展开：在特定点（如x=0）进行展开。这对于像Sigmoid这样在零点附近变化平滑的函数，能给出很好的局部近似。例如，Sigmoid在x=0处的三阶泰勒展开为0.5 + 0.25x - 0.020833x^3。但泰勒展开的误差会随着远离展开点而迅速增大。
最小二乘法：在目标区间[a, b]内，选择一组采样点{x_i}，寻找多项式P(x)使得Σ(P(x_i) - f(x_i))^2最小。这种方法能获得在整个区间上的全局最优近似。区间[a, b]的选择至关重要，需要基于训练数据或推理输入的统计分布来确定。
分段多项式近似：这是提升精度的有效手段。将输入区间划分为多个小区间，在每个区间上使用一个低阶多项式。例如，对于ReLU，可以在负半轴用0，正半轴用一个低阶多项式（甚至就是x）来近似。这能显著降低整体误差。
利用函数特性：例如，Sigmoid函数满足σ(-x) = 1 - σ(x)。我们可以只对x>=0的部分设计近似多项式P(x)，然后对于负输入，通过1 - P(-x)来计算。这能将近似区间减半，从而在相同多项式阶数��获得更高精度。

3.2 近似误差分析与管理

使用多项式近似必然引入误差，我们需要系统化地管理和评估这种误差。

误差类型：
- 近似误差：多项式P(x)与真实函数f(x)之间的固有差距。
- 计算误差：在加密域或定点数域计算P(x)时，由于舍入或噪声增长带来的额外误差。
误差评估：通常使用最大绝对误差（Max Absolute Error, MAE）或均方根误差（RMSE）在测试集上衡量。更重要的是，要观察误差对最终模型推理精度（如分类准确率）的影响。有时一个较大的逐点误差，对最终分类结果影响甚微。
误差传播：前一层的近似误差会作为输入传播到下一层，可能被放大。需要进行端到端的测试，确保累积误差在可接受范围内。

实操心得：多项式近似的实战技巧
从数据分布出发确定区间：不要盲目地在[-∞, ∞]上做近似。分析你模型训练后，激活函数输入值的实际分布（例如，通过分析一批校准数据在各层的激活值）。将近似区间[a, b]设定在覆盖99%以上数据点的范围，可以大幅降低多项式阶数。
低阶优先，兼顾深度：在FHE中，多项式阶数直接增加计算深度。一个3次多项式ax^3 + bx^2 + cx + d需要两次连续的密文乘法（先算x^2和x^3，再组合），这比二次多项式消耗更多的“乘法深度”。在GC中，高阶多项式意味着更多的乘法门。始终优先尝试1阶或2阶多项式。
与模型训练结合（近似感知训练）：这是一个高级但效果显著的技巧。不要在训练好一个标准模型后，再去近似它的激活函数。而是在模型训练阶段，就直接使用你计划部署的多项式近似函数作为前向传播中的激活函数。这样，模型权重会在训练过程中自动学习和适应这种近似，从而在推理时获得更好的整体精度。这相当于让模型提前“知道”并“补偿”了近似误差。
为ReLU选择更优的近似：x^2是一个非常差的ReLU近似，因为它无界且导数不同。更好的低阶近似包括： *平方根线性单元：approx = 0.5 * (x + sqrt(x^2 + α))，其中α是一个小的正数。虽然涉及平方根，但可以通过迭代方法或查找表在MPC中实现。 *低阶多项式：在区间[0, B]上用最小二乘拟合一个一次或二次函数。例如，P(x) = a*x(a≈1) 或P(x) = a*x + b*x^2。

4. 安全推理系统实现中的核心环节与挑战

将理论协议和近似方法落地为一个可用的系统，会遇到一系列工程挑战。这里我结合几个关键环节，分享一些实战经验。

4.1 数据预处理与后处理的隐私考量

安全推理协议通常只保护核心计算过程。但数据在进入协议前（预处理）和离开协议后（后处理），也可能泄露信息。

输入标准化/归一化：许多模型要求输入数据标准化到[0,1]或零均值单位方差。这个标准化参数（均值、标准差）如果由服务器提供，客户端直接使用，可能会泄露服务器训练数据的分布信息。一种更安全的方式是，将标准化计算也纳入MPC协议中，或者使用差分隐私技术对标准化参数进行扰动后再公开。
输出解释：对于分类任务，协议输出可能只是一个加密的得分向量。解密后，客户端得到各个类别的分数。但仅仅这些分数，结合模型信息，也可能通过模型逆向攻击推断出某些输入特征。对于回归任务，输出一个精确值风险更高。需要考虑是否需要对输出添加适量的差分隐私噪声，或者只返回离散化的类别标签而非连续分数。

4.2 性能优化实战技巧

性能是隐私计算落地最大的拦路虎，优化必须贯穿始终。

针对FHE的优化：
- 模型剪枝与量化：在应用FHE之前，对原始模型进行压缩。剪枝可以减少需要计算的神经元数量，量化（如将32位浮点权重转换为8位整数）可以大幅减少多项式编码的系数长度，从而降低参数N，显著提升速度。
- 计算图优化与批处理：CKKS方案支持单指令多数据流（SIMD），可以将多个输入数据打包到一个密文中进行“批处理”推理。这能极大提升吞吐量，摊销单次推理的成本。需要重新组织计算流程以利用此特性。
- 使用硬件加速库：利用如Intel HEXL、NVIDIA cuFHE等库，利用CPU的AVX-512指令集或GPU进行并行加速。
针对GC的优化：
- 电路精简：使用先进的电路编译器（如ABY框架中的电路生成模块），它能够生成高度优化的布尔电路，利用“免费异或”等优化技术。
- 流水线与并行：在电路评估阶段，不同的逻辑门区块可以并行评估。设计好的调度策略，充分利用多核CPU。
- 通信压缩：对传输的乱码表进行压缩。由于乱码表是随机数据，传统压缩算法效果有限，但可以研究特定的轻量级编码方案。

4.3 安全性假设与威胁模型澄清

在设计和宣传一个安全推理系统时，必须清晰地定义其威胁模型，即它防范的是什么样的攻击者。

半诚实模型：这是最常见的假设，也称为“诚实但好奇”的参与方。双方都会诚实地执行协议步骤，但会试图从接收到的消息中推断对方的私有信息。本文描述的FHE和GC基础协议通常满足半诚实安全。
恶意模型：攻击者可能任意偏离协议，例如发送错误的消息。提供恶意安全的协议要复杂和昂贵得多。需要额外的密码学组件，如零知识证明（ZKP）来验证每一步计算的正确性。
其他攻击面：协议本身的安全不等于系统安全。还需要考虑：
- 侧信道攻击：通过测量计算时间、内存访问模式、功耗等来推断秘密信息。实现时需要常数时间编程等防护措施。
- 模型窃取攻击：客户端通过大量查询，试图重构服务器模型。可以通过限制查询频率、在输出中加入噪声（差分隐私）来缓解。
- 成员推断攻击：攻击者判断某个数据点是否在模型的训练集中。这同样需要差分隐私等后处理技术。

在项目开始时，就必须与所有利益相关方明确：“我们的系统在‘半诚实’模型下，能够保护输入数据和模型参数在计算过程中的隐私。但它无法防御主动的协议偏离行为，也无法防止来自最终输出结果的某些推理攻击。” 这是设定合理期望的关键。

5. 常见问题排查与调试经验实录

在实际开发和部署安全推理系统时，你会遇到各种光怪陆离的问题。下面是我总结的一些典型问题及其排查思路。

5.1 FHE相关典型问题

问题现象	可能原因	排查步骤与解决方案
解密失败或结果明显错误	1.噪声溢出：计算深度超过方案容量。 2.参数不匹配：加解密或编码解码使用的参数不一致。 3.密钥错误：使用了错误的密钥。	1. 检查计算图，确认乘法深度。使用更保守（更大）的方案参数，或尝试在中间层插入自举操作。 2. 确保客户端和服务器使用的所有CKKS参数（环维度、模数链、缩放因子）完全一致。这是一个最常见的低级错误。 3. 核对密钥链：加密用公钥`pk`，解密用秘密钥`sk`，重线性化和旋转必须使用对应的`rlk`和`gk`。
计算结果精度极差	1.缩放因子管理不当：CKKS中乘法和加法操作会影响密文的“缩放因子”，不当调整会导致有效位数丢失。 2.模数链耗尽：在乘法和自举过程中，模数链被逐级消耗，剩余模数不足以保持精度。 3.多项式近似误差过大。	1. 在每次乘法后，显式检查并调整缩放因子，或使用支持自动缩放管理的库。 2. 增加初始模数链的位数（更大的`Q`），为计算预留更多空间。 3. 在明文环境下验证多项式近似的误差，考虑使用更高阶或分段近似。
性能异常缓慢	1.未使用SIMD批处理：对单个样本进行推理。 2.使用了高复杂度的近似：如高阶多项式或复杂函数。 3.库函数或硬件未优化。	1. 重构代码，将多个输入向量打包到一个密文槽中，实现批处理推理。 2. 评估并降低激活函数近似的阶数。 3. 确认使用的FHE库是否支持当前CPU的指令集（如AVX-512），或考虑使用GPU加速版本。

5.2 GC相关典型问题

问题现象	可能原因	排查步骤与解决方案
电路评估结果错误	1.定点数溢出或精度丢失：整数位或小数位预留不足。 2.电路逻辑错误：编译器生成的电路与原始计算逻辑不符。 3.OT或标签传递错误。	1. 仔细分析计算过程中所有中间值的动态范围，扩大定点数的整数位宽度。在明文环境下用定点数模拟整个流程进行验证。 2. 使用电路模拟器，用小的测试输入在明文下运行生成的电路，与标准计算结果对比。 3. 检查OT协议的实现，确保标签的对应关系正确无误。这是一个调试难点，需要细致的日志记录。
内存消耗巨大或程序崩溃	1.电路规模过大：特别是包含了精确的非线性函数。 2.乱码表未流式处理：试图一次性将整个电路的乱码表加载到内存。	1. 首要任务是简化电路，坚决使用多项式近似替换精确的非线性函数。评估使用秘密分享等其他MPC方案处理线性部分的可能性。 2. 实现流式GC：边生成/传输乱码表，边进行评估和垃圾回收，不保留已评估过的门信息。
在线通信时间过长	1.网络带宽不足。 2.未利用预计算：在线阶段仍在进行电路混淆等本可离线完成的工作。	1. 压缩传输数据，或考虑在更高速的网络环境中部署。 2. 严格区分离线阶段和在线阶段。确保所有电路混淆、乱码表生成都在离线阶段完成，在线阶段只进行OT和电路评估。

5.3 通用与跨协议问题

问题现象	可能原因	排查步骤与解决方案
端到端精度下降严重	1.近似误差累积：各层激活函数近似误差叠加。 2.定点数精度不足：特别是对于深度网络或数值范围大的数据。 3.与训练不一致：推理时的预处理/后处理与训练时不同。	1. 进行逐层误差分析，定位误差最大的层，优化该层的近似函数。 2. 增加定点数的小数位精度（n bits），但这会增加通信和计算开销。需要在精度和效率间重新权衡。 3. 建立一条从原始输入到最终输出的、包含所有预处理和定点数转换的标准明文测试流水线，与安全推理的结果进行严格比对，确保每一步都对齐。
协议双方无法建立连接或同步	1.网络与防火墙问题。 2.协议状态机不同步：一方在等待消息，另一方已发送完毕或处于错误状态。 3.序列化/反序列化错误：传输的数据结构不一致。	1. 检查端口、IP地址，确认网络互通。 2. 实现详细的协议状态日志，对比双方日志，找到第一个出现分歧的步骤。协议设计应尽可能简单、鲁棒。 3. 使用强类型的、版本化的序列化框架（如Protocol Buffers），并确保双方使用完全相同的数据结构定义。

最后的建议：构建隐私保护机器学习系统是一个跨学科的工程，需要密码学、机器学习、系统编程和分布式计算的综合知识。从一个小而简单的模型（如一个只有一两层的神经网络）和一个小数据集开始你的第一个原型。先确保它在明文下工作正常，然后逐步引入定点数计算，再替换成FHE或GC协议。每一步都进行严格的交叉验证。不要试图一开始就用一个复杂的ResNet或BERT模型来验证你的想法，那会让你在复杂的调试中迷失方向。记住，可验证的正确性比复杂的功能更重要。

查看全文

http://www.jsqmd.com/news/881517/