CN109684855A - 一种基于隐私保护技术的联合深度学习训练方法 - Google Patents

Abstract

本发明属于人工智能技术领域，涉及一种基于隐私保护技术的联合深度学习训练方法。本发明实现了一种基于隐私保护技术的高效联合深度学习训练方法。本发明中，各个参与方首先在私有数据集上训练本地模型获得本地梯度，再将本地梯度进行拉普拉斯噪音扰动，并加密后发送至云服务器；云服务器将接收到的所有本地梯度与上一轮的密文参数进行聚合操作，并广播产生的密文参数；最终，参与方解密接收到密文参数，并更新本地模型从而进行后续的训练。本发明结合同态加密方案和差分隐私技术，提出了安全高效的深度学习训练方法，保证训练模型的精确性，同时防止服务器推断模型参数和训练数据隐私以及内部攻击获取私密信息。

Description

一种基于隐私保护技术的联合深度学习训练方法

技术领域

本发明属于人工智能技术领域，涉及一种基于隐私保护技术的联合深度学习训练方法。

背景技术

联合深度学习(Federated Deep Learning)允许参与方在不公开私有数据集的情况下联合训练深度学习模型。各个参与方独自在私有数据集上训练模型，并与其它参与方共享梯度、参数等训练结果，从而间接分享各自的训练数据。相比于集中式的深度学习，联合深度学习不需要收集用户的私有数据，具有更高的效率和更强的安全性，并且参与方持有训练完成的模型以便在本地进行预测。

差分隐私(Differential Privacy)是一种在保留统计学特征的前提下去除个体特征以保护用户隐私的密码技术。拉普拉斯机制经常被用来实现差分隐私保护，通过向确切的查询结果中加入服从拉普拉斯分布的随机噪声来实现∈-差分隐私保护。差分隐私需要对安全性和实用性进行权衡，通常，更高级别的隐私保护意味着更低的实用性。同时，差分隐私具有串行组合的性质，多次添加噪音导致安全性的降低。

同态加密(Homomorphic Encryption)是一种被普遍应用的加密方案，允许对密文进行操作，其解密结果与明文上进行相应操作的结果一致。同态加密解决将敏感数据外包到不受信任的云服务器上计算的隐私和安全问题，同时支持非交互的操作，从而极大减小通信开销。这种技术在许多实际应用中具有巨大潜力，例如云协助的电子诊疗系统，神经网络和统计测试等。但大多数公钥加密方案在处理多个密文数据时具有很大的计算开销。

目前已有采用安全多方计算、差分隐私技术或同态加密方案保护联合深度学习的用户数据隐私的方案，在不同的场景呈现大量的研究进展，但对于大规模用户场景的联合深度学习方案，现有方案在安全性，准确性和效率方面仍表现出不足。采用安全多方计算在大规模的用户下虽然保证了用户的隐私，但极大的通信开销限制了现实的应用。典型的公钥加密方案(如Pallier同态加密方案)在大量数据的聚合时呈现出极大的计算开销，导致网络训练过程变慢。此外，差分隐私技术通过在训练数据或训练梯度上添加噪音保护数据隐私，为了实现安全性，导致模型精确度的降低。

发明内容

针对上述问题，本发明结合同态加密方案和差分隐私技术，提出了安全高效的联合深度学习训练方法，保证训练模型的精确性和大规模用户场景下的高效性，同时防止服务器推断模型参数和训练数据隐私以及内部攻击获取私密信息。

为解决上述问题，本发明的技术方案为：

1)系统初始化：系统生成安全参数λ，并为所有参与方分配相同的对称密钥sk＝(p,q)，同时公开参数N＝pq。云服务器初始化全局训练模型以及模型参数ω₀和学习速率η；

2)预处理：云服务器广播初始化的模型参数ω₀。参与方1加密ω₀并将密文参数E(ω₀)返回至云服务器，使得云服务器持有最新的密文参数；

3)训练本地数据：参与方下载全局训练模型，并利用私有数据集在本地进行训练。在第t次训练，参与方μ选择一个小批量数据训练模型，并根据定义好的损失函数计算训练误差，从而计算本地梯度G_t,μ；

4)梯度加密：加密过程分为两个步骤，首先利用拉普拉斯机制对梯度G_t,μ添加噪音产生然后根据同态加密机制加密被扰动的梯度产生梯度密文C_t,μ；参与方将密文梯度C_t,μ发送至云服务器；

5)安全聚合：云服务器首先聚合所有接收的密文梯度产生C_t,add，再根据上一轮密文参数E(ω_t)产生新的密文参数E(ω_t+1)；云服务器向所有参与方广播新一轮密文参数E(ω_t+1)；

6)参数解密：任意参与方对密文参数E(ω_t+1)进行模p和模q操作，再利用中国剩余定理解密接收到的密文参数。用最新的参数更新本地模型，以待后续的神经网络训练。

本发明的有益效果为，本发明实现了一种基于隐私保护技术的高效联合深度学习训练方法。本发明中，各个参与方首先在私有数据集上训练本地模型获得本地梯度，再将本地梯度进行拉普拉斯噪音扰动，并加密后发送至云服务器；云服务器将接收到的所有本地梯度与上一轮的密文参数进行聚合操作，并广播产生的密文参数；最终，参与方解密接收到密文参数，并更新本地模型从而进行后续的训练。本发明结合同态加密方案和差分隐私技术，提出了安全高效的深度学习训练方法，保证训练模型的精确性，同时防止服务器推断模型参数和训练数据隐私以及内部攻击获取私密信息。

附图说明

图1是本发明的逻辑结构示意图；

图2是本发明的隐私保护的模型训练流程示意图。

具体实施方式

下面将结合附图，对本发明的技术方案进行进一步说明。

一.系统初始化阶段

密钥生成中心生成公私密钥对，并初始化神经网络模型，其具体包括以下步骤：

1)可信的密钥生成中心(KGC)根据安全参数λ，为所有参与方分配相同的对称密钥sk＝(p,q)，其中p,q是两个大素数，并公开参数N＝pq；

2)云服务器初始化全局神经网络模型以及模型参数ω₀和学习速率η，并设置目标函数L_f(y,f(x,ω))，其中(x,y)表示标签为y的一个训练数据，函数f为神经网络的一次运行。

二.隐私保护的模型训练阶段

如图2所示，描述了本发明的隐私保护的模型训练流程。在图2中多个参与方在云服务器的协助下，安全的联合训练神经网络模型，其具体流程如下：

1)预处理：

1.云服务器广播初始化的模型参数ω₀；

2.参与方1加密接收的初始化参数ω₀：

其中，p^-1，q^-1分别为p，q在和中的逆元。ω_0,p和ω_0,q分别表示ω_0,p≡ω₀modp，ω_0,q≡ω₀mod q；

3.参与方1将密文参数E(ω₀)返回至云服务器。

2)训练本地数据：

在第t次训练时，参与方μ在本地数据集中随机选取一个小批量数据集D_t,μ，参与方μ根据损失函数计算损失误差进而计算参数的梯度

3)梯度加密：

1.为保证本地数据集的安全性，参与方μ从拉普拉斯分布中随机选择噪音，进而扰动本地梯度：

其中，Δf为全局敏感度，表示一对临近数据集在函数f下的最大曼哈顿距离，在确定的神经网络结构下是固定值；ε为隐私预算，越小的隐私预算代表添加越大的噪音值，同时意味着更差的精确性；拉普拉斯分布的概率密度函数为令为实现更高的精确度，选取较大的隐私预算ε，实现ε-差分隐私；

2.考虑到权衡精确度和差分隐私的安全性，为进一步提高安全性，参与方μ采用对称秘钥的同态加密对被扰动的梯度进行加密：

其中，p^-1，q^-1分别为p，q在和中的逆元。和分别表示

3.参与方μ将该轮次得到的密文梯度C_t,μ发送至云服务器；

4)安全聚合：

1.在云服务器接收到所有用户的密文梯度，对其进行聚合操作：

其中多项式定理确保等式的正确性；在用户数量足够多并且噪音足够小的场景下，添加噪音的梯度聚合值和真实的梯度聚合值非常相近，从而在保证安全性的基础上确保训练的精确性。

2.云服务器根据上一轮密文参数E(ω_t)和梯度聚合值C_t,add产生新的密文参数E(ω_t+1)：

其中为一个常量，n为参与方的数量，η为学习速率。

3.云服务器向所有参与方广播新一轮密文参数E(ω_t+1)，并在云端存储该密文参数，用于下一轮参数更新。

5)参数解密：

1.任意一个参与方μ接收到新一轮梯度E(ω_t+1)，对E(ω_t+1)进行模p以及模q的模运算操作：

同理，模q操作为：

其中，在和中分别有p^-1p≡1mod q，q^-1q≡1mod p。并根据费马小定理，a^p≡amod p，可证明上述公式成立。

2.根据中国剩余定理对模操作处理的密文E(ω_t+1)进行解密，解密过程如下：

其中ω_t+1为最新的参数，ω_t+1,p、ω_t+1,q为部分解密结果。利用中国剩余定理求解上述同余式：

ω_t+1＝m_pqω_t+1,p+m_qpω_t+1,q mod N

其中m_pq≡1mod p，m_qp≡1mod q。

3.用最新的参数ω_t+1更新参与方的本地模型，进行后续轮次的神经网络训练。因此，该方案使得参与方在保护数据安全隐私的情况下，与其他参与方进行联合训练，确保网络模型的精确性。

Claims (7)

1.一种基于隐私保护技术的联合深度学习训练方法，其特征在于，包括以下步骤：

S1、系统初始化：系统生成安全参数λ，并为所有参与方分配相同的对称密钥sk＝(p,q)，同时公开参数N＝pq；云服务器初始化全局训练模型以及模型参数ω₀和学习速率η；

S2、预处理：云服务器广播初始化的模型参数ω₀；参与方1加密ω₀并将密文参数E(ω₀)返回至云服务器，使得云服务器在训练过程中始终持有最新模型参数的密文；

S3、训练本地数据：参与方下载全局神经网络模型，并利用私有数据集在本地进行训练；在第t次训练时，参与方μ选择一个小批量数据集训练模型，并根据定义好的损失函数计算训练误差，从而计算本地梯度G_t,μ；

S4、梯度加密：加密过程分为两个步骤，首先利用拉普拉斯机制对梯度G_t,μ添加噪音产生然后根据同态加密机制加密被扰动的梯度产生密文梯度C_t,μ；参与方将密文梯度C_t,μ发送至云服务器；

S5、安全聚合：云服务器首先聚合接收到的所有密文梯度产生C_t,add，再根据上一轮密文参数E(ω_t)产生新的密文参数E(ω_t+1)；云服务器向所有参与方广播新一轮密文参数E(ω_t+1)；

S6、参数解密：任意参与方对密文参数E(ω_t+1)进行模p和模q操作，再利用中国剩余定理解密密文参数；用最新的参数更新本地模型，从而进行后续的模型训练。

2.根据权利要求1所述的一种基于隐私保护技术的联合深度学习训练方法，其特征在于，所述步骤S1的具体方法是：

可信的密钥生成中心KGC根据安全参数λ，为所有参与方分配相同的对称密钥sk＝(p,q)，其中p,q为两个大素数，并公开参数N＝pq；

云服务器初始化全局神经网络模型以及模型参数ω₀和学习速率η，并设置目标函数L_f(y,f(x,ω))，其中(x,y)表示标签为y的一个训练数据，函数f为神经网络的一次运行。

3.根据权利要求2所述的一种基于隐私保护技术的联合深度学习训练方法，其特征在于，所述步骤S2的具体方法是：

S21、云服务器广播初始化的模型参数ω₀；

S22、参与方1加密接收的初始化参数ω₀：

其中，p^-1，q^-1分别为p，q在和中的逆元，ω_0,p和ω_0,q分别表示ω_0,p≡ω₀modp，ω_0,q≡ω₀modq；

S23、参与方1将密文参数E(ω₀)返回至云服务器；预处理操作确保云服务器拥有上一轮的密文参数，以便在密文环境下更新参数，即，在第t+1次更新模型参数时，云服务器拥有第t次密文参数E(ω_t)。

4.根据权利要求3所述的一种基于隐私保护技术的联合深度学习训练方法，其特征在于，所述步骤S3中：

在第t次训练时，参与方μ在本地数据集中随机选取一个小批量数据集D_t,μ，参与方μ根据损失函数计算损失误差进而计算参数的梯度

5.根据权利要求4所述的一种基于隐私保护技术的联合深度学习训练方法，其特征在于，所述步骤S4的具体方法是：

S41、为保证本地数据集的安全性，参与方μ从拉普拉斯分布中随机选择噪音，进而扰动本地梯度：

其中，Δf为全局敏感度，表示一对临近数据集在函数f下的最大曼哈顿距离，其在确定的神经网络结构下是固定值；ε为隐私预算，越小的隐私预算代表添加越大的噪音值，同时意味着更差的精确性；拉普拉斯分布的概率密度函数为令为实现更高的精确度，选取较大的隐私预算ε，实现ε-差分隐私；

S42、考虑到差分隐私权衡精确度和安全性，为进一步提高安全性，参与方μ采用对称秘钥的同态加密对被扰动的梯度进行加密：

其中，p^-1，q^-1分别为p，q在和中的逆元。和分别表示

S43、参与方μ将该轮次得到的密文梯度C_t,μ发送至云服务器。

6.根据权利要求5所述的一种基于隐私保护技术的联合深度学习训练方法，其特征在于，所述步骤S5的具体方法为：

S51、在云服务器接收到所有用户的密文梯度，对其进行聚合操作：

其中多项式定理确保等式的正确性；在用户数量足够多并且噪音足够小的场景下，添加噪音的梯度聚合值和真实的梯度聚合值非常相近，从而在保证安全性的基础上确保训练的精确性；

S52、云服务器根据上一轮密文参数E(ω_t)和梯度聚合值C_t,add产生新的密文参数E(ω_t+1)：

其中为一个常量，n为参与方的数量，η为学习速率；

S53、云服务器向所有参与方广播新一轮密文参数E(ω_t+1)，并在云端存储该密文参数，用于下一轮参数更新。

7.根据权利要求6所述的一种基于隐私保护技术的联合深度学习训练方法，其特征在于，所述步骤S6的具体方法是：

S61、任意一个参与方μ接收到新一轮梯度E(ω_t+1)，对E(ω_t+1)进行模p以及模q的模运算操作：

同理，模q操作为：

其中，在和中分别满足p^-1p≡1modq，q^-1q≡1modp；

S62、根据中国剩余定理对模操作处理的密文E(ω_t+1)进行解密，解密过程如下：

其中ω_t+1为最新的参数，ω_t+1,p、ω_t+1,q为模p以及模q操作的结果；利用中国剩余定理求解上述同余式：

ω_t+1＝m_pqω_t+1,p+m_qpω_t+1,q modN

其中m_pq≡1modp，m_qp≡1modq；

S63、用最新的参数ω_t+1更新参与方的本地模型，从而进行后续的神经网络训练。