系列文章目录
提示:这里可以添加系列文章的所有文章的目录,目录需要自己手动添加
例如:第一章 Python 机器学习入门之pandas的使用
联邦学习作为一种新兴的神经网络训练模型,由于其无需采集用户原始数据就能更新参数的能力而受到广泛关注。然而,由于对手可以从共享梯度中跟踪和获取参与者的隐私,因此联邦学习仍然面临着各种安全和隐私威胁。本文研究了深度神经网络(DNNs)训练过程中的两个主要问题:
1)如何保护用户的隐私,局部梯度)以及
2)如何验证从服务器返回的聚集结果的完整性(或正确性)。为了解决上述问题,已经提出了几种集中于安全或隐私保护的联邦学习的方法,并将其应用于各种场景。然而,如何在保证用户隐私的前提下,使客户端能够验证云服务器是否正常运行,仍然是一个有待解决的问题。本文将VerifyNet这一第一个隐私保护和可验证的联邦学习框架引入到联邦学习中.具体地说,我们首先提出了一个双掩蔽协议,以保证在联邦学习过程中用户的局部梯度的机密性。然后,云服务器需要向每个用户提供关于其聚合结果的正确性的Proof。我们认为,除非能够解决我们模型中采用的NP-hard问题,否则对手不可能通过伪造证明来欺骗用户。此外,VerifyNet还支持用户在培训过程中中途退出。在真实数据上进行的大量实验也验证了所提方案的实用性能。
提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档
文章目录
- 系列文章目录
- 背景
- 联邦学习
- 系统模型
- 威胁模型
- 安全技术
- 安全协议
- 总算法
- 总结
背景
提示:这里可以添加本文要记录的大概内容:
深度学习在医疗预测[1][2]、自动驾驶[3][4]等领域发挥了重要作用,其应用已渗透到社会的各个方面,改变了人类生活、出行和社交方式[5][6]。然而,深度学习需要大量用户数据,这些数据通常包含敏感或隐私信息(如医疗记录[7][9])。联邦学习[10][11]通过共享梯度而非原始数据实现协同训练,但研究表明攻击者仍可通过梯度推断隐私(如标签[12][13]和成员信息[14][15]),同时恶意云服务器可能返回错误结果以降低计算成本或伪造数据[16][17]。因此,设计一个既保护用户隐私又能验证服务器结果正确性的联邦学习协议至关重要。
现有隐私保护方案(如选择性参数共享[18]、同态加密[19]、秘密共享[11])未解决结果验证问题,而验证机制与隐私保护紧密相关:若攻击者可操纵返回结果(如白盒攻击[14][15]),用户隐私泄露风险将显著增加。近期工作[16][17]尝试缓解训练后模型的完整性问题,但存在激活函数支持有限或依赖硬件的问题。训练过程中的验证更具挑战性,需在参数更新阶段确保结果正确性,同时处理用户中途退出(网络不稳定、设备电量不足等)并保护所有用户(包括退出者)的梯度隐私。
本文提出VerifyNet——首个支持训练过程验证的隐私保护方案。其核心贡献包括:
基于同态哈希与伪随机技术的验证机制:允许用户高效验证服务器返回结果的正确性;
双掩码隐私保护协议:通过秘密共享和密钥协商保护用户梯度隐私,容忍用户中途退出;
安全性与实用性验证:理论证明即使云服务器与多用户合谋也无法获取梯度信息,真实数据实验验证了方案可行性。
问题背景
联邦学习的隐私风险
梯度共享仍可能泄露敏感信息(标签、成员关系等)。
恶意服务器可能返回错误结果(如压缩模型降低计算成本或主动伪造数据)。
现有方案不足
隐私保护方案(如[11][18][19])缺乏结果验证机制。
结果验证方案(如[16][17])仅针对训练后模型,无法支持训练过程且存在功能限制。
核心挑战
训练阶段的动态验证:需在参数更新中验证结果,复杂度高于静态模型。
用户退出容忍:需保护退出用户的梯度隐私,不影响系统运行。
VerifyNet方案
关键技术
同态哈希函数 + 伪随机技术:实现高效结果验证,用户可快速校验服务器返回的聚合结果。
双掩码协议:结合秘密共享与密钥协商,确保梯度隐私:
抵御服务器与多用户合谋攻击。
支持用户动态退出,退出者梯度仍受保护。
安全特性
隐私性:即使云服务器与部分用户合谋,也无法推断其他用户的本地梯度。
完整性:用户可验证服务器返回结果的正确性,防止恶意篡改。
实验验证
在真实数据集上验证可行性,证明计算与通信开销可接受。
创新点总结
首次支持训练过程验证:解决动态参数更新阶段的验证难题。
容忍用户动态退出:通过双掩码协议保护退出者隐私,不影响系统持续运行。
高效安全验证框架:结合密码学原语(同态哈希、秘密共享)与联邦学习流程,平衡安全性与性能。
提示:以下是本篇文章正文内容,下面案例可供参考
联邦学习
、
系统模型
威胁模型
安全技术
安全协议
总算法
代码如下(示例):
总结
提示:这里对文章进行总结:
文提出了一种名为 VerifyNet 的联邦学习框架,旨在解决以下三大核心问题:
梯度隐私泄露风险:保护用户本地梯度不被攻击者(包括云服务器和合谋用户)推断。
结果不可验证性:防止云服务器篡改或伪造聚合结果。
用户动态退出问题:支持用户因网络或设备问题中途离线,且不影响系统运行和隐私保护。
主要创新点
双掩码协议(Double-Masking Protocol)
动态随机掩码生成:结合 Diffie-Hellman密钥协商 和 伪随机生成器(PRG),为每对用户生成唯一随机数,加密梯度时添加双向掩码(正向与反向),确保聚合后掩码自动抵消。
噪声注入与阈值共享:引入额外随机噪声
,通过 Shamir阈值秘密共享 分发,仅在用户离线时恢复噪声以解密,防止服务器误判在线状态导致的隐私泄露。
去中心化验证机制
同态哈希函数:支持对加密梯度进行哈希计算,用户可通过比对聚合结果的哈希值与服务器提供的证明,验证结果完整性。
伪随机函数(PRF):生成唯一验证标签,防止服务器伪造聚合结果。
动态适应性设计
阈值密钥管理:用户私钥通过秘密共享分发,允许服务器在用户离线时联合阈值数量用户恢复密钥,动态抵消其参与的随机掩码。
技术 作用
双线性配对 构建零知识证明,支持高效验证聚合结果的正确性。
同态哈希函数 允许在加密状态下计算哈希值,验证服务器返回结果的完整性。
伪随机函数(PRF) 生成动态掩码和验证标签,防止重放攻击与结果伪造。
Shamir阈值秘密共享 支持用户动态退出,通过恢复离线用户的密钥或噪声,确保聚合过程持续进行。
Diffie-Hellman协议 用户间安全协商共享密钥,生成唯一掩码种子,降低通信开销。
