CN110719158A

CN110719158A - 基于联合学习的边缘计算隐私保护系统及保护方法

Info

Publication number: CN110719158A
Application number: CN201910857164.9A
Authority: CN
Inventors: 赵彦超; 王鋆玙; 薛方岗; 张佳乐
Original assignee: Nanjing University of Aeronautics and Astronautics
Current assignee: Nanjing University of Aeronautics and Astronautics
Priority date: 2019-09-11
Filing date: 2019-09-11
Publication date: 2020-01-21
Anticipated expiration: 2039-09-11
Also published as: CN110719158B

Abstract

本发明公开了一种基于联合学习的边缘计算隐私保护系统及保护方法，系统包括客户端和服务端，客户端用于本地训练并将更新后的参数添加扰动后加密发送到服务端，服务端接收客户端发送过来的加密数据，对其解密后进行本地参数更新，进而更新深度学习的模型；保护方法包括：步骤1、在客户端对参数添加扰动；步骤2、在客户端对数据进行加密；步骤3、在服务端对数据进行解密。本发明在无需任何可信聚合器的前提下使每个参与者可以安全地提交数据；通过以分布式方式向本地更新添加噪声扰动，其中扰动的更新用Paillier同态密码系统加密，安全性和性能分析表明PPFL协议可以同时保证客户端数据的隐私和学习的准确性，解决了隐私保护和学习准确率的冲突问题。

Description

基于联合学习的边缘计算隐私保护系统及保护方法

技术领域

本发明涉及分布式计算、差分隐私、数据加密和深度学习技术领域，尤其涉及一种基于设备联合学习的边缘计算隐私保护系统，同时还涉及一种基于设备联合学习的边缘计算隐私保护方法。

背景技术

随着物联网(IoT)和移动网络应用的快速发展，深度学习技术在诸如计算机视觉和语音识别等众多新兴应用中取得了巨大成功。机器学习，特别是深度学习被设想成为普遍提供的不可或缺的服务。然而，这种智能计算方案要求用户将其敏感数据外包给未知的第三方以获得机器学习服务，这对于这种情况下的隐私保护提出了很高的要求而不损害服务质量。作为深度学习的一种协作形式，联合学习(Federated Learning)是一种很有前途的学习模型，在隐私保护方面具有显着的优势。

联合学习：客户端下载当前模型，并通过分布式的放的学习本地数据来改进模型，然后将该改进，概括成一个比较小的专门更新(如梯度和权重的参数)加密发送到云端，与其他用户的更新即时整合，作为对共享模型的改进。所有的训练数据仍然在每名终端用户的设备中，用户不需要讲他们的私有数据样本共享到中央服务器。联合学习的优点在于同时实现了更智能的模型，更低功耗和更安全的用户隐私保护。

在最近与我们类似的工作中，阿巴迪等人提出了一种隐私深度学习方法，通过将高斯分布扰动添加到限幅梯度来保护用户的数据隐私。Geyer等人引入了用户端差分隐私联合学习机制，以保护共享学习模型不泄露每个参与者的更新。然而，这些工作假设存在信任聚合器，其执行噪声生成以保护用户的数据隐私。否则所有参与者必须在上传阶段之前为其更新添加合格的噪音，以保证差异隐私。然而，这种操作将导致严重的累积噪声并极大地损害全局模型的准确性。此外，Bonawitz等人提出了一种使用秘密共享方法的高维数据汇总协议，然而，在该聚合协议中为每个用户的数据产生扰动需要高通信成本，也易受恶意服务器的攻击。

发明内容

发明目的：为了解决现有技术中客户端数据隐私保护和深度学习训练准确性的矛盾，本发明的目的在于提供一种用户既能保护客户端隐私又能保证深度学习训练准确性的解决方案——隐私保护前提下的设备联合学习(privacy-preserving on-devicefederated learning，PPFL)解决方案，以提供分布式下的差异隐私和安全数据聚合，解决了在边缘计算中隐私保护与深度学习训练准确性的冲突问题。

技术方案：一种基于联合学习的边缘计算隐私保护系统，包括客户端和服务端，所述客户端用于本地训练，并将更新后的参数添加扰动后加密发送到服务端，所述服务端接收众多客户端发送过来的加密数据后，经过解密之后对更新服务器端模型参数进行更新，并再次向客户端发放新的模型。

一种基于所述基于联合学习的边缘计算隐私保护系统的边缘计算隐私保护方法，包括如下步骤：

(1)由可信任机构TA执行Paillier同态密码系统的KeyGen算法，并生成私钥/公钥对PK_p和SK_p；将公钥和私钥分别发放给客户端和服务器；

(2)客户端通过服务器分发的模型初始化参数w；

(3)客户端通过梯度下降的方式计算出权重更新量Δw；

(4)客户端生成服从几何分布的随机噪声扰动并将其添加到权重更新量Δw上；

(5)客户端使用公钥对添加扰动后的更新量执行加密算法；

(6)各客户端将更新后的密文

发送到服务器；

(7)服务器接收到客户端更新的密文

后，选择初始化全局参数

(8)服务器聚合各客户端的更新，通过私钥执行解密算法得到全局更新量；

(9)服务器将全局参数

更新为

并将新的全局参数

分发到各客户端；

(10)跳转到步骤(2)循环执行这一过程。

进一步的，所述步骤(3)中计算权重更新量Δw的具体步骤如下：

(3.1)定义循环变量E_k用来遍历总共训练的Epoch数，E_k赋初值为1；

(3.2)如果E_k≤E，E为共需训练的Epoch数，则跳转到步骤(3.3)，否则结束这一步骤；

(3.3)输入当前权重w计算预测值及预测值和真实值z_i之间的误差

(3.4)将原权重w减去系数η和误差的乘积，调整相应的权重值以减小误差；

(3.5)将调整后的权重

减去被分发到的权重求出

(3.6)E_k＝E_k+1；

(3.7)跳转到步骤(3.2)。

进一步的，所述步骤(4)中在客户端对权重添加扰动的具体步骤如下：

(4.1)根据加密方案中使用的离散组，使用可被视为拉普拉斯离散近似的几何分布Geo(α)生成随机噪声，对于任意整数z，其概率质量函数为：

其中α∈(0,1)；

(4.2)将Geo(α)添加到每个参与者的原始数据，构建DD-Private数据扰动：

其中，

是敏感系数S的缩放函数。通过上述定义，将Geo(α)噪声合并到用户的数据中，实现α-DP。

进一步的，所述步骤(5)中在客户端对数据进行加密的具体步骤如下：

(5.1)客户端获得公钥PKP后，执行加密算法以生成其私有值

的密文

其中，

表示参与者i在第t回合通信中的噪声明文，且

仅为用户u_i所知。

进一步的，所述步骤(8)中在在服务端对数据进行聚合和解密的具体步骤如下：

(8.1)服务器收到客户端加密更新后运行具有Paillier同态属性的聚合算法并获得聚合结果：

其中，

为各客户端发送的密文。

(8.2)服务器通过使用Paillier私钥SK_p进一步解密聚合结果：

其中，λ来自私钥SKp＝(μ,λ)。

和现有技术相比，本发明具有如下显著优点：本发明使用设备联合学习方法提供分布式差异隐私和安全数据聚合，解决了隐私保护和学习准确率的冲突问题。另外，本发明使用的联合学习方法发展迅速且前景广阔，为本发明的推广创造了条件。本发明对实现以安全、高效、可扩展、容错的方式进行模型的更新和聚合的做出的探索和贡献，推动了深度学习在移动设备上的应用和模型共享的发展趋势。最后，本发明的设计保证了整个机制的真实性。

附图说明：

图1为本发明提出的系统结构流程图。

具体实施方式：

以下结合附图和具体实例对本发明的技术方案做具体的介绍。

本发明的系统由两部分组成：客户端和服务端。客户端主要是指智能手机这样的小型客户计算设备，主要作用是在本地训练，然后将更新后的参数添加扰动后加密发送到服务端。服务端主要是指服务器，主要作用是接收众多客户端发送过来的加密数据，经过解密之后对本地参数进行更新，进而更新深度学习的模型，如附图1展示了为本系统的客户端、服务端关系模型。

基于上述系统模型，本发明的一种基于设备联合学习的边缘计算隐私保护方法，包括如下步骤：

1)向原始数据添加扰动。在PPFL系统中，参与者不信任聚合器或其他用户，在这种情况下我们无法授权不受信任的聚合器具有噪声生成的任务，因为真实数据可能会向聚合器显示，这将损害差异隐私。因此，我们考虑让用户自己添加对其私有数据的扰动。常用扰动有高斯分布，拉普拉斯分布等，根据加密方案中使用的离散组，本发明使用服从几何分布的噪声来生成扰动，它可以被视为拉普拉斯分布的离散近似。我们通过向每个参与者的原始数据添加几何分布噪声来构建DD-Private数据扰动。

2)密钥生成和数据加密。一般加密方案关注的都是数据存储安全，即对数据进行加密后在发送或者存储。没有密钥的用户，不可能从加密结果中得到有关原始数据的任何信息。只有拥有密钥的用户才能够正确解密，得到原始的内容。我们注意到，这个过程中用户是不能对加密结果做任何操作的，只能进行存储、传输。对加密结果做任何操作，都将会导致错误的解密，甚至解密失败。而同态加密方案关注的是数据处理安全，更适合在云计算中加以运用。同态加密提供了一种对加密数据进行处理的功能，也就是说，其他人可以对加密数据进行处理，但是处理过程不会泄露任何原始内容。同时，拥有密钥的用户对处理过的数据进行解密后，得到的正好是处理后的结果。由于移动端设备计算能力相对较弱，因此使用同态加密算法将加密过程交给云来完成更符合本方案的加密需求。本方案中通过可传输数据的可信任机构TA运行Paillier同态密码系统的KeyGen算法，并生成私钥/公钥对PKP和SKP，后续再将公钥和私钥分别发放给客户端和服务器。

3)数据解密和聚合。一旦收到加密更新，服务器首先运行具有Paillier同态属性的聚合算法并获得聚合结果，然后，服务器再通过使用接收到的Paillier私钥SKP进一步解密聚合结果。最后将得到的权重参数用于更新服务器端模型。

实施例

步骤1：在客户端对参数添加扰动。

我们考虑让用户自己添加对其私有数据的扰动。根据加密方案中使用的离散组，我们使用几何分布(Geo)，它可以被视为拉普拉斯分布的离散近似。对于任意整数z，其概率质量函数为:

其中参数α∈(0,1).

我们可以简单地通过将Geo(α)添加到每个参与者的原始数据来构建DD-Private数据扰动：

其中，

是敏感系数S的缩放函数，上述定义意味着如果将Geo(α)噪声合并到用户的数据中，则会实现α-DP。

步骤2：在客户端对数据进行加密。

在我们的PPFL系统中存在一个可信任的权限(trusted authority,TA)，这个可信任的权限可以将密钥发送到客户端和服务器。TA仅参与初始化阶段，不会加入后续过程。TA运行Paillier同态密码系统的KeyGen算法，并生成私钥/公钥对：PK_P＝(n,g),SK_P＝(μ,λ)

之后，它将公钥PK_P发送给采样的客户端，并通过安全通道将私钥SK_P分配给服务器。我们假设每个参与者在加密之前将噪声r加入到他的数据x中，

表示参与者i在第t回合通信中的噪声明文。每个客户从TA获得公共密钥PK_P，他执行加密算法为其私有值

生成密文。客户端u_i随机生成值

并生成密文，如下所示：

注意，其中

仅为用户u_i所知。

然后，客户端通过公共信道将密文

发送到服务端。

步骤3：在服务端对数据进行解密。

设m_t∈U是某个通信回合t中的采样客户端。一旦收到m_t加密更新，服务器S首先运行具有Paillier同态属性的聚合算法并获得聚合结果：

其中，

然后服务器S通过使用Paillier私钥SKp＝(μ,λ)进一步解密聚合结果，如下公式所示：

算法1中显示了整体PPFL方案的伪代码。

算法1：

综上，本发明是为提供分布式差异隐私和安全数据聚合同时保证学习准确率提出的一种隐私设备联合学习(PPFL)方案，其具有如下实质性特点和显著进步：

(1)使每个参与者安全地提交数据以执行总聚合而无需任何可信聚合器。近期许多旨在改善联合学习的用户方隐私的方案被提出，这些工作或假设存在信任聚合器，易受恶意服务器的攻击；或者需要参与者在上传之前为其更新添加合格的噪音，导致了严重的累积噪声并极大地损害全局模型的准确性。而本发明提出的基于分布式差异隐私(DD-Privacy)机制和安全数据聚合(SDA)方法的隐私保护设备联合学习方案，可以同时保证用户隐私和学习准确性。

(2)提出了一种基于分布式差异隐私方法的有效的用户级数据扰动机制；

(3)通过集成Paillier同态密码系统设计安全和汇总方法；

(4)通过安全性和性能分析保证客户端隐私的保护和学习的准确性。首先从理论上分析了PPFL通过个人更新和聚合数据保护用户端隐私的可行性，然后将PPFL方案实施为基准数据集MNIST上的图像分类任务，量化并证明了本方案的有效性和准确性。