边缘智能允许资源密集型深度神经网络进行推理，而无需传输原始数据，解决了消费者物联网设备中的数据隐私问题。我们提出了一种在 TrustZone 中进行先进模型部署的新方法，确保在模型推理过程中综合保护隐私。我们设计了一种内存高效的管理方法，支持内存密集型推理，通过调整内存优先级，有效地减少内存泄漏风险和内存冲突，并在受信任的操作系统中进行了 32 行代码的修改。此外，我们利用了两个小型库：S-Tinylib（2,538 行代码），一个小型深度学习库，和 Tinylibm（827 行代码），一个小型数学库，以支持在受信任执行环境中的高效推理。我们在 Raspberry Pi 3B + 上实现了一个原型，并使用三个知名的轻量级 DNN 模型进行了评估。实验结果表明，与在 TEE 中使用非内存优化方法相比，我们的设计能够将推理速度提高 3.13 倍，并降低功耗超过 66.5%。

Mar, 2024

DarkneTZ 是一个使用边缘设备的可信执行环境（TEE）和模型分区相结合的框架，旨在限制面向深度神经网络（DNN）的攻击面，并评估了其 CPU 执行时间和内存使用情况。

Apr, 2020

通过在设备上进行机器学习引入了新的安全挑战，研究人员提出了 TEE-Shielded DNN 划分的解决方案，通过将 DNN 模型划分为两部分并将隐私敏感的部分保护在 TEE 内，从而提供了与将整个 DNN 模型放入 TEE 中相同的安全保护，但开销减少了 10 倍，并且没有准确度损失。

Oct, 2023

Tempo 是首个与 TEE 和分布式 GPU 合作的基于云的深度学习系统，通过引入以排列为基础的隐匿算法以盲化输入和模型参数，并提出了一种优化机制来减少加密操作，从而在保护模型隐私的同时加速了深度神经网络的训练，实验证明 Tempo 优于基准方法并提供足够的隐私保护。

Jan, 2024

TBNet 是一种基于 TEE 的防御框架，从神经结构的角度保护 DNN 模型，利用非受信 Rich Execution Environment (REE) 中的计算资源减少延迟并利用物理隔离的 TEE 保护模型，在树莓派上的实验结果表明 TBNet 以较低的成本实现了高效的模型保护。

May, 2024

本研究提出了一种使用受信任的执行环境（TEE）保护机器学习模型敏感层的新方法 GradSec，无需将大部分模型放入 TEE，从而在减小 TEB 大小和降低总体训练时间方面超过现有框架，能够有效地防止由于推理攻击泄露的隐私数据。

Aug, 2022

Origami 提供了一种隐私保护的推断方法，可用于大型深度神经网络（DNN）模型，通过隔离执行、密码学盲化和加速器计算的组合来实现。

Dec, 2019

该文介绍了基于 TEE 的安全计算协议的系统性评估和比较，提出了一种将安全计算协议分类的方法，并讨论了 TEE 的特定计算功能，如隐私保护机器学习和加密数据库查询等。该文是第一篇对 TEE 的安全计算协议进行全面比较的综述性文章，比较结果可作为实践中选择合适协议的指南，同时还探讨了未来的研究方向和挑战。

Feb, 2023

Myelin 是一种深度学习框架，它结合了安全和隐私保护原则，使用可信硬件区域和差分隐私等技术以实现完全私密的机器学习模型训练。

Jul, 2018

本研究提出了一种基于 CPU 的深度学习引擎 SLIDE，采用智能随机算法、多核并行和工作负载优化，通过针对大规模完全连接网络的训练，相对于优化的 Tensorflow（TF）在最佳可用 GPU 上进行训练，在任何给定准确性水平下，使用仅仅一个 44 核 CPU，SLIDE 的训练速度比 TF 快 3.5 倍（1 小时与 3.5 小时相比）。在相同的 CPU 硬件上，SLIDE 比 TF 快 10 倍以上。

Mar, 2019