CN111600707B - 一种在隐私保护下的去中心化联邦机器学习方法 - Google Patents

Abstract

本发明公开了一种在隐私保护下的去中心化联邦学习方法，包括系统初始化步骤，请求模型与本地并行训练步骤，模型参数加密与模型发送步骤，模型接收与恢复步骤，系统更新步骤。通过使用随机选取参与者作为参数聚合者的策略实现去中心化，解决了现有联邦学习易受DoS攻击、参数服务器单点故障等缺点；结合PVSS可验证秘密分发协议保护参与者模型参数免受模型反演攻击、数据成员推理攻击。同时保证了在每一次训练任务由不同的参与者来进行参数聚合，当出现不信任的聚合者或者其遭受攻击时，可自行恢复正常，增加了联邦学习的鲁棒性；本发明在实现以上功能的同时，保证了联邦学习的性能，有效地改善了联邦学习的安全训练环境，具有广泛地应用前景。

Description

一种在隐私保护下的去中心化联邦机器学习方法

技术领域

本发明属于机器学习与信息安全交叉领域，特别是涉及一种在隐私保护下的中心化的联邦学习方法。

背景技术

机器学习技术在诸如人脸、语音识别，还有自然语言处理等人工智能应用场景中取得了非凡的成就，但是，如何保证机器学习在安全的环境下运作仍是一个待解决的问题。机器学习的实质就是用大量的数据对算法模型进行训练，从其中得到一个能够对新的输入数据进行准确预测的算法模型(以下简称模型)。机器学习所用的数据集包含用户大量的隐私数据，如个人图片、医保记录、输入法记录等等。然而，进行机器学习需要强大的算力支持，个人计算机算力的局限性导致了人们不得不将自己的数据集上传到诸如BigML,AmazonMachine Learning，Microsoft Azure Machine Learning等中心化的云计算平台进行训练，但是这些由第三方控制的云计算平台极易泄露用户的数据和已经训练好的模型。

为了保护用户的信息以免泄露，Google公司学者提出联邦学习(Federatedlearning,FL)。谷歌输入法(Gboard)是一个利用联邦学习的具体应用。Gboard对用户的键盘输入词条记录进行训练，得到训练参数后上传到中心化的参数服务器。参数服务器进行聚合，最后，用户获取最新的模型并使用。此过程服务器不需要收集用户的输入词条记录，只需要进行参数交换即可。但是即便如此，联邦学习过程还是需要在安全的通讯通道中进行，并且，使用安全多方计算(MPC)的形式实现参数服务器配置代价非常昂贵。另外，联邦学习实质上是一种分布式机器学习(Distributed Machine Learning，DML)，因此，分布式机器学习所存在的问题联邦学习也会存在。

因为需要中心化的服务器配置，联邦学习的参数服务器不但会遭受拒绝服务攻击(Denied-of-Service,DoS),而且训练所得的模型与数据集也不能幸免。攻击者可以通过模型反演攻击(Model Inversion attack)来推理用户或者服务器所存模型；还可以通过成员关系推理攻击(Membership Inference attack)来推断用户的模型与数据集获得信息。虽然模型反演攻击对决策树模型不适用，但是Fredrikson等学者提出了用置信度来反推决策树模型。Shokri等学者提出利用他们发明的“影子训练法”来推断出用户的敏感数据。这些因中心化服务器配置而泄露的数据中，不仅是一些文本记录，Fredrikson等学者可以用他们的技术恢复用户的图像。

在这样的背景下，差分隐私保护技术(Differential Privacy，DP)被提出应用于机器学习的隐私保护。但是如果存在后门程序，那么差分隐私技术就会丧失其保护作用。此外，当一些辅助的信息被攻击者获得的时，也会导致数据外泄。更重要的是，在现实生活中数据之间是有紧密联系的，在这种情况下，仅仅是通过设置差分隐私的粒度并不能有效保护隐私。

除了上述问题，现阶段许多联邦学习的实现形式并未切实考虑到用户之间存在的攻击行为，这种相互不信任的情况会导致攻击者通过网络对其他人的设备进行攻击，最终导致各参与者数据泄漏。因此，联邦学习作为一种新颖的隐私保护的机器学习实现形式，其本身存在许多问题亟待解决。

发明内容

针对现有技术的上述缺陷或改进需求，本发明提供了一种在隐私保护技术下的去中心化联邦学习方法。其利用基于点对点网络(Peer-to-Peer,P2P)的HydRand共识机制实现去中心化机制，保证了在每一次的训练任务中由不同的参与者来进行参数聚合，而不是固定的参数服务器。当出现不信任的聚合者或者其遭受DoS攻击时，系统有自行恢复正常的能力，增加了联邦学习的鲁棒性。所述的去中心化机制包括参数聚合者的选举机制与拜占庭容错机制。此外，本发明应用公共可验证的秘密分发(Publicly Verifiable SecretSharing，PVSS)机制保护了在联邦学习过程中的模型参数，有效地保护了机器学习的模型参数，并且提高了学习过程中的安全性，使得用户可以在不安全的通讯环境中进行参数交换。所述的PVSS机制包括三种加密方式，并且具有同态加密特性，在不解密密文的状态下可对数据进行操作，显著增强了加密数据的直接可操作性。

为了实现上述目的，提供了一种在隐私保护下的去中心化联邦学习方法，适用于在联邦学习或者分布式机器学习形式中提供参数隐私保护，具体包括以下步骤：系统初始化步骤，请求模型与本地并行训练步骤，模型参数加密与模型发送步骤，模型接收与恢复步骤，系统更新步骤,其中：

(1)系统初始化步骤：

(1.1)联邦学习的参与者P_i注册用于加密和解密的密钥对<sk_i，pk_i>，所述的密钥对中sk_i为其私钥，由参与者P_i从一个模q的环

中选择获得，q是素数，q越大安全性越高。

由基于q的运算生成；pk_i为其公钥，

h是素数，q阶环

的生成元。所述参与者相互交换其公钥用于加密信息，而其私钥用于解密信息；参与者们承认系统指定的初始随机值R₁，R₁将用于选举参数聚合者；

(1.2)参与者运行PVSS协议，根据PVSS协议的规定，每个参与者P_i在

中选择一个初始秘密值

并做出承诺Com(s_li)用于验证加密的正确性，将秘密值s_li按照总参与者数量n切分成n个秘密分片s_ij，其中s_ij表示参与者P_i分给参与者P_j的分片。然后用其他参与者P_j的公钥对秘密分片进行加密

并相应分发。在此步骤中，每个参与者都收到了其他参与者用它们的公钥加密的n-1个分片；

PVSS是一种基于Adi Shamir提出的(m，n)秘密共享模式(secret sharing,SS)的可验证秘密共享模式,其中m是一个阈值，如果秘密分片的数量达到m则可恢复秘密，否则不能恢复。本发明设置不诚实的参与者最多有f个，PVSS协议的阈值为f+1，n为参与者的总人数，本发明设置总人数为n＝3f+1，同时，这种配置也使得本发明具有拜占庭容错特征；

参与者P_i通过PVSS协议生成：秘密值s_li、用于验证的承诺值Com(s_li)、分发给其他n-1个参与者的秘密值分片s_i→j。其中，s_i→j表示参与者P_i的切开的秘密值中应该给参与者P_j的秘密分片；Com(s_li)是一个生成承诺值的函数，参与者P_i的秘密值s_li传入之后会被切分成n个s_ij分片，Com(s_li)为每一个参与者P_j生成一个承诺值

g是

的另一个生成元，h和g相互独立；

按照上述所定义，所有的参与者在正确的操作下产生如下数据：

式(1)表示所有的参与者在正确的操作下产生的数据：秘密值s_li、承诺值Com(s_li)、n个秘密值分片s_i→j，s_i→j表示参与者P_j的切开的秘密值中应该给参与者P_j的秘密分片。每个参与者都发送给其他n-1个参与者它的秘密分片，同样地，每个参与者都会收到其他n-1个参与者发送过来的秘密分片。

(1.3)判断参与者是否诚实。每个参与者在收集了其他参与者的秘密分片后，利用PVSS协议的验证功能DLEQ(g，υ_j，pk_j，s_i→j)对加密的正确性进行检验，需要验证的是

中的s_ij是否和

中的一样，并且验证者不需要知道秘密分片s_ij，验证者V的验证工作：

(1.3.1)参与者P_i接受验证者V的验证，验证P_i是否正确加密了P_j的分片。P_i向V发送a_I＝g^ρ

ρ由P_i自行选定；

(1.3.2)V从

中选出一个元素e作为挑战发送给P_i；

(1.3.3)P_i计算z＝ρ-s_ije，并发送给V；

(1.3.4)V开始进行验证，也即计算以下等式是否成立：

(1.3.5)步骤(1.3.4)的判断条件成立的充分必要条件是，当且仅当z，υ_j，s_i→j三者的分片s_ij是一致的；如果步骤(1.3.4)判断条件成立，则DLEQ(g，υ_j，pk_j，s_i→j)返回验证通过否则不通过；整个过程中验证者不需要了解s_ij，只需随机挑选一个挑战e即可验证加密的正确性，步骤(1.3.1)～(1.3.5)也被称为零知识证明(Non-Interactive Zero-KnowledgeProof)。

如果某个分片没有被正确加密，HydRand共识机制则向外界发出此分片不合法、判断该分片加密者P_i为不诚实的参与者，加密该分片的参与者将被HydRand共识机制禁止在f+1轮内被选为参数聚合者；在f+1轮内不能选为聚合者；转子步骤(1.4)；

(1.4)HydRand通过以下公式选举出参数聚合者:

式(2)中，|L₁|表示第一轮能够参与的选举的人数；l₁为初次训练的参数聚合者，mod为取余操作；如果聚合者没有在要求的时间内执行相应步骤或响应系统，则被视为不诚实，系统将发出重构指令，重置系统参数，重新选举参数聚合者。因为本发明只含有f个不诚实的参与者，并且如果出现不诚实的行为会被排除在f+1轮内被选为参数聚合者，所以最终必定可以选到诚实的参与者；

(2)请求模型与本地并行训练步骤:用于从参数聚合者处获取模型，参与者在其本地设备利用其敏感数据输入模型并开始训练。进一步地，由训练可得到该参与者的本地模型参数。

具体包括下述子步骤：

(2.1)参数聚合者向参与者发送初始模型W，参与训练的每个参与者P_i在其本地都有一个隐私数据集，这个数据集可以是图片、键盘输入法记录、医保记录、网上购物记录等等。数据集的数量为N_i，其中i是参与者的序号。每个参与者的数据集数量N_i可以不同，这与参与者在某个方面的软件使用有关；转子步骤(2.2)；

(2.2)每个参与者输入其本地数据集进行训练；转步骤(2.3)；

(2.3)t时刻的模型

用一步或者多步随机梯度下降法(Stochastic GradientDescent,SGD)对反向传播算法进行优化，并计算平均梯度

SGD以及反向传播算法在公开的资料中已经有很详细的叙述，本发明不再赘述。每个参与者用其本地学习率δ和平均梯度

进行模型更新。进一步地，可以得到参与者P_i在t+1时刻的本地模型参数

如式(3)所示：

转子步骤(2.4)；

(2.4)参与者利用其本地数据集不断进行训练，直到如准确率，损失函数等评价指标符合要求时，停止训练。得到其最终的模型参数W_fi，并进入步骤(3):

(3)模型参数加密与模型发送步骤，用于加密所述子步骤(2)中产生的模型参数W_f，完成加密后进行模型发送。具体包括下述子步骤：

(3.1)每个参与者利用其秘密值s_li生成一个秘密

(3.2)参与者P_i利用生成的秘密对其本地最终模型参数W_fi进行加密生成密文

(3.3)各参与者向步骤(1.4)所选举出来的参数聚合者直接发送(3.2)中的

(4)模型接收与恢复步骤：参数聚合者接受其他参与者的加密模型，发出恢复模型指令，具体子步骤如下：

(4.1)解密准备子步骤：参数聚合者接收到各参与者的加密模型

后，发出解密指令，各参与者对各自拥有的秘密分片进行解密，参数聚合者至少得到f+1参与者的支持并根据接收到的解密的秘密分片对密文

解密，获得各模型参数并根据各模型参数重新生成聚合模型；

(4.2)参数聚合者用其秘密值将步骤(4.1)所得最新模型加密，发送给各参与者，参与者相互共享参数聚合者的分片并计算得到参数聚合者的秘密值

各参与者P_i获得

后，解密得聚合模型

(5)系统参数更新步骤：各参与者按照步骤1的方法重新选择秘密值，并根据随机值重新选举下一轮参数聚合者，其中，下一轮的随机值根据上一轮参数聚合者的秘密值

计算生成；

重复步骤2-5直到模型的性能达到系统相关指标为止。

进一步地，所述步骤(3.2)中，加密方法包括：

加密方法一：XOR加密，模型参数与秘密S_i的哈希值

进行异或操作，得到密文

具体如式(5)所示：

加密方法二：乘法加密，模型参数与秘密S_i的哈希值

相乘，得到密文

具体如式(6)所示：

加密方法三：指数加密，模型参数与秘密S_i的哈希值

进行以h为底的乘法指数运算，得到密文

具体如式(7)所示：

是一个哈希函数,

表示加密后的密文。

进一步地，如果要解密参与者P_i的模型，就必须获取它的秘密值s_li，而s_li已经被切分并加密分发给了不同的参与者。所述解密子步骤(4.1)，具体包括以下子步骤：

具体子步骤如下：

(4.1.1)参与者P_i接收到解密指令，开始解密子步骤(1.2)中所得到的其他参与者的为其加密的秘密分片s_i→j，得到解密后的秘密分片

转子步骤(4.1.2)；

(4.1.2)参数聚合者直接对密文进行聚合；参数聚合者至少得到f+1个参与者的支持并根据接收到的解密的秘密分片

对密文

解密，得到各模型参数。

(4.1.3)参数聚合者对各模型参数进行参数聚合

进一步地，所述步骤(4.1.2)，解密方法具体为：

若为指数加密方式，则可以取得已加密的模型参数的累积

获取模型参数的明文

若为XOR加密方式，则参数聚合者解密模型参数：

若为乘法加密方式，则参数聚合者解密模型参数：

进一步地，所述步骤(5)中，根据随机值重新选举下一轮参数聚合者，其中，下一轮的随机值根据上一轮参数聚合者的秘密值

计算生成，具体如下：

(5.1)

其中，每完成一次上述步骤，r自增1，并且它是大于1的整数，R_r-1表示上一轮次的随机值，R_r表示即将执行的下一轮次的随机值，||表示将两者进行级联；

(5.2)选举新的参数聚合者：

本发明的有益效果是：本发明实现了在联邦学习或者分布式形式的机器学习形式中，将固定的参数服务去中心化的设置，从而避免了参数服务器遭受DoS攻击时系统瘫痪的问题；同时，在隐私保护考虑上，本发明通过PVSS协议将加密的参数进行切分并分发，保证了参与者的数据不会因为攻击者获得某一个分片而解密全部的数据。同现有技术相比，本发明能在很大程度上抵御模型反演攻击，针对数据集的成员推理攻击，以及遏制了在一个系统中因存在一定数量的不诚实参与者串谋而导致系统瘫痪的攻击。除此之外，本发明的加密方法具有同态加密特性，支持密文直接操作，大大减少时间成本的同时提高了安全性。进一步地，本发明在实现以上功能的同时，在参与者数量呈三倍的增长情况下，利用HydRand机制能保证稳定的时间内选举出该轮训练的参数聚合者，保证了系统的稳定性。最后，实验结果表明本发明所提出的在隐私保护下的去中心化联邦学习方法与常规方法对比，其安全性能显著提高，模型性能良好，可广泛应用于该技术领域。

附图说明

图1(a),(b)是本发明在隐私保护下的去中心化联邦机器学习方法的系统结构示意图，其中，作为对比，图1的(a)部分为一般的联邦学习或分布式机器学习的系统结构示意图，(b)部分为本发明的系统结构示意图；

图2是本发明在隐私保护下的去中心化联邦机器学习方法的整体工作流程框图；

图3是本发明在隐私保护下的去中心化联邦机器学习方法的系统初始化步骤子工作流程图；

图4是本发明在隐私保护下的去中心化联邦机器学习方法的PVSS验证功能流程图；

图5是本发明在隐私保护下的去中心化联邦机器学习方法的请求模型与本地并行训练步骤子工作流程图；

图6是本发明在隐私保护下的去中心化联邦机器学习方法的模型参数加密与模型发送步骤子工作流程图；

图7是本发明在隐私保护下的去中心化联邦机器学习方法的模型接收与恢复步骤子流程图；

图8是本发明在隐私保护下的去中心化联邦机器学习方法的系统参数更新步骤子工作流程图；

图9～14是本发明在隐私保护下的去中心化联邦机器学习方法的实验效果图,其中：

图9是本发明与一般的中心化机器学习方法在非结构化数据(None-IID)在测试准确率的对比图；其中，(a)为CNN模型；(b)为MLP模型。

图10是本发明与一般的中心化机器学习方法在结构化数据(IID)在测试准确率的对比图；其中，(a)为CNN模型；(b)为MLP模型。

图11是本发明与一般的中心化机器学习方法在训练损失上的对比图；(a)本发明与联邦学习在非结构化数据(None-IID)上的CNN模型训练损失对比图；(b)本发明与联邦学习在非结构化数据(None-IID)上的MLP模型训练损失对比图；(c)本发明与联邦学习在结构化数据(IID)上的CNN模型训练损失对比图；(d)本发明与联邦学习在结构化数据(IID)上的MLP模型训练损失对比图；

图12是本发明的PVSS协议在不同参与者数量的情况下进行秘密切分的时间图；

图13是本发明在不同参与者数量的情况下运行一次PVSS协议的时间损耗图；

图14是本发明在不同参与者数量的情况下运行一次HydRand协议选举参数聚合者的时间损耗图；

具体实施方式

为了使本发明的目的、技术方案及优点更加清晰明了，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。此外，下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。

本发明以机器学习领域中的图像识别为例，在本发明隐私保护下的去中心化联邦学习中部署图像识别的任务。为了对比本发明与一般的机器学习实现形式的不同，本发明根据同一任务，将会以中心化的机器学习在准确率等指标上进行对比。

所述具体实施例是对手写数字图片进行识别。所述具体实施例的具体过程如下：用户向模型输入写有0～9中的任意一个数字的图片，模型通过计算后，输出它识别的结果，也即0～9中的一个。这些图片被人工标记了正确的值，在本实施例中图片的值被称为“标签”。图片和标签一起输入模型中训练，以得到效果最佳的预测模型。在测试阶段，模型输出结果会与标记值对比，得到模型的预测准确率。

本实施例采用手写数字识别MNIST数据集作为用户数据集，但是并不是整个数据集。系统等份切分数据集，各参与者按照索引号获取相应的数据作为本地数据，进行联邦学习。最后，与中心化机器学习的效果作比较。

本实施例的具体数据及其预处理说明：MNIST数据集提供60000组输入数据即60000张手写数字图片。每个参与者取其中的一定份额的数据用于训练。其中每个图片包含28*28像素点灰度值(每个像素点灰度值由0-1之间的双精度浮点数表示)。另外还有10000组输入数据作为测试集检验模型的预测准确率。因为计算机不能直接计算图片，所以MNIST数据中的每一张图片都被转换成[1,784]的向量。而它们的标签也被转换成一个[1,10]的独热编码向量(one-hot vector)。因此，MNIST的训练集是一个[60000，784]的张量(Tensor)，其中，第一个维度数字用于索引图片，第二位维度数字用于索引图片中的灰度值。

各参与者本地训练模型分别采用多层感知器模型(Multi-Layer PerceptronModel，MLP)和卷积神经网络模型(Convolutional Neural Network，CNN)，优化算法采用随机梯度下降法(SGD)。

本发明具体实施例的具体模型说明：所述MLP模型具体包括输入层，隐藏层，输出层；所述CNN模型包括：卷积层1，最大池化层1，ReLu(Rectified linear unit,修正线性单元)层1，卷积层2，丢弃层1，最大池化层2，ReLu层2，全连接层1，ReLu层3，丢弃层2，全连接层2。其中，所述的CNN模型有10个特征，分别是0～9这十个数字的特征，将会用于卷积运算，这些特征是5*5大小的卷积核。所述的特征全部采用随机初始化的形式得到，这些特征会在训练中得到调整和优化，更新。CNN模型中的每个层的作用与用法将会在下面的过程中具体叙述。

本发明具体实施例的实施环境说明：中央处理器为Intel Xeon(R)E5-2678v3，主频2.50GHz；运行内存32GB；显卡为英伟达RTX-2080Ti。

图1是本发明在隐私保护下的去中心化联邦机器学习方法的系统结构示意图，其中，作为对比，图1的(a)部分为一般的联邦学习或分布式机器学习的系统结构示意图，(b)部分为本发明的系统结构示意图。如图1中(a)部分所示，联邦学习或者分布式机器学习最明显的特征是有一个中心化的参数服务器，此参数服务器负责了系统中的绝大多数事务处理。但是中心化的设置是一种明显的C/S实现形式，也因此容易遭受各种攻击。本发明对其系统框架进行改进，如图1(b)部分所示，本发明基于HydRand共识机制建立去中心化的联邦学习框架，没有固定的参数服务器，如果发生多个参与者合谋作弊或者参数聚合者拒绝服务，则共识机制HydRand将执行系统重组协议，保证系统安全有序进行。

图2是本发明在隐私保护下的去中心化联邦机器学习方法的整体工作流程框图。如图2所示，本发明在隐私保护下的去中心化联邦机器学习方法的整体工作流程如下：

(1)系统初始化步骤：联邦学习的参与者P_i注册用于加密和解密的密钥对<sk_i，pk_i>，所述的密钥对中sk_i为其的私钥，pk_i为其公钥。所述参与者的公钥用于加密信息，而其私钥用于解密信息；参与者们承认系统指定的初始随机值R₁，R₁将用于选举参数聚合者；

(2)请求模型与本地并行训练步骤:用于从参数聚合者处获取原始模型，参与者在其本地设备利用其敏感数据输入初始模型并开始训练。进一步地，由训练可得到该参与者的本地模型参数；

(3)模型参数加密与模型发送步骤，用于加密所述子步骤(3)中产生的模型参数W_f，完成加密后利用PVSS进行模型分发。所述的加密步骤有三种不同的加密方法可供选择；

(4)模型接收与恢复步骤：参数聚合者接受其他参与者的加密模型，发出恢复模型指令；

(5)系统参数更新步骤：通过上述步骤，每个参与者的秘密值都已经被公开。参与者重新选择秘密值，并根据随机值重新选举下一轮参数聚合者。其中，每一轮参数聚合者的秘密值

都会被用来计算下一轮的随机值，还会被用来选举下一个参数聚合者。

图3是本发明在隐私保护下的去中心化联邦机器学习方法的系统初始化步骤子工作流程图，如图3所示，本发明在隐私保护下的去中心化联邦机器学习方法的系统步骤1包括以下步骤如下：

(1.1)参与者P_i从一个模q的环

中选择一个私钥sk_i，其中q是一个足够大的素数，值越大安全性越高。然后注册其公钥

参与者们承认系统指定的初始随机值R₁，R₁将用于选举参数聚合者；转子步骤(1.2)；

(1.2)参与者运行PVSS协议并相互交换公钥子步骤：参与者相互交换其公钥用于加密；此时，根据PVSS协议的规定，每个参与者P_i在

中选择一个初始秘密值

并做出承诺Com(s_li)，将秘密值s_li按照总参与者数量n切分成n个秘密分片。然后用其他参与者的公钥对秘密分片进行加密，并相应分发。在此步骤中，每个参与者都收到了其他参与者用它们的公钥加密的n-1个分片；其中，PVSS是一种基于Adi Shamir提出的(m，n)秘密共享模式(secret sharing,SS)的可验证秘密共享模式,其中m是一个阈值，如果秘密分片的数量达到m则可恢复秘密，否则不能恢复。本发明设置不诚实的参与者最多有f个，PVSS协议的阈值为f+1，n为参与者的种人数，本发明设置总人数为n＝3f+1，同时，这种配置也使得本发明具有拜占庭容错特征；具体地，包括如下步骤：

(1.2.1)参与者P_i通过PVSS协议生成：秘密值s_li、用于验证的承诺值Com(s_li)、分发给其他n-1个参与者的秘密值分片s_j→k。其中，s_i→j表示参与者P_i的切开的秘密值中应该给参与者P_j的秘密分片；转子步骤(1.2.1)；

(1.2.2)按照子步骤(1.2.1)所定义，所有的参与者在正确的操作下产生如下数据：

式(1)表示所有的参与者在正确的操作下产生的数据：秘密值s_li、承诺值Com(s_li)、n个秘密值分片s_i→j，s_i→j表示参与者P_i的切开的秘密值中应该给参与者P_j的秘密分片。每个参与者都发送给其他n-1个参与者它的秘密分片，同样地，每个参与者都会收到其他n-1个参与者发送过来的秘密分片。转子步骤(1.3)；

(1.3)每个参与者在收集了其他参与者分发的秘密分片后，利用PVSS协议的验证功能对加密的正确性进行检验，如图4所示是本发明在隐私保护下的去中心化联邦机器学习方法的PVSS验证功能流程图，每个参与者在收集了其他参与者的秘密分片后，利用PVSS协议的验证功能DLEQ(g，υ_j，pk_j，s_i→j)对加密的正确性进行检验需要验证的是

中的分片是否和

的一样，并且验证者不需要知道秘密分片s_ij，验证者V的验证工作如下：

(1.3.1)参与者P_i接受验证者V的验证，验证P_i是否正确加密了P_j的分片。P_i向V发送a₁＝g^ρ

ρ由P_i自行选定；

(1.3.2)V从

中选出一个元素e作为挑战发送给P_i；

(1.3.3)P_i计算z＝ρ-s_ije，并发送给V；

(1.3.4)V开始进行验证，也即计算以下等式是否成立：

(1.3.5)步骤(1.3.4)的判断条件成立的充分必要条件是，当且仅当z，υ_j，s_i→j三者的分片s_ij是一致的；如果步骤(1.3.4)判断条件成立，则验证通过，整个过程中验证者不需要了解s_ij，只需随机挑选一个挑战e即可验证加密的正确性，步骤(1.3.1)～(1.3.5)也被称为零知识证明(Non-Interactive Zero-Knowledge Proof)。

如果某个分片没有被正确加密，HydRand共识机制则向外界发出此分片不合法、判断该分片加密者P_i为不诚实的参与者，加密该分片的参与者将被HydRand共识机制禁止在f+1轮内被选为参数聚合者；另外，没有在要求的时间内响应系统，也会被视为不诚实的参与者，在f+1轮内不能选为聚合者；子步骤(1.4)；

(1.4)HydRand通过以下公式选举出参数聚合者:

式(2)中，|L₁|表示第一轮能够参与的选举的人数；l₁为初次训练的参数聚合者，mod为取余操作；如果聚合者不诚实，系统将发出重构指令，重置系统参数，重新选举参数聚合者。因为本发明只含有f个不诚实的参与者，并且如果出现不诚实的行为会被排除在f+1轮内被选为参数聚合者，所以最终必定可以选到诚实的参与者；进入步骤(2)；

图5是本发明在隐私保护下的去中心化联邦机器学习方法的请求模型与本地并行训练步骤子工作流程图，如图5所示，本发明在隐私保护下的去中心化联邦机器学习方法的请求模型与本地并行训练步骤包括以下步骤：

(2.1)参数聚合者向参与者发送初始模型W，参与训练的每个参与者P_i在其本地都有一个隐私数据集，这个数据集可以是图片、键盘输入法记录、医保记录、网上购物记录等等。数据集的数量为N_i，其中i是参与者的序号。每个参与者的数据集数量N_i可以不同，这与参与者在某个方面的软件使用有关；转子步骤(2.2)；

(2.2)每个参与者输入其本地数据集进行训练，本地训练CNN模型为例说明具体应用情况，具体步骤如下：

(2.2.1)卷积层1：首先已经被转换的手写数字图片输入卷积层1，因为MNIST数据集的图片是灰度图，所以卷积层1的输入通道为1即单通道。又因为，本实施例有10个结果，用10个5*5的特征对同一幅图片进行卷积，所以卷积层1有10个输出通道。转子步骤(2.2.2)；

(2.2.2)最大池化层1：子步骤(2.2.1)得到10个输出即10个矩阵，其中每个元素都都是一个(-1，1)的浮点数，最大池化层以一个2*2大小的矩阵窗口在这10个结果上进行池化。也即，从左到右，选取这10个结果中的每一个2*2局部矩阵的最大值，形成10个新的矩阵；转子步骤(2.2.3)；

(2.2.3)ReLu层1：激活函数层，激活层使用的函数是softmax()函数，该层作用是将子步骤(2.2.2)结果中的负元素转换成0，其余正数元素保持不变，以此增加各神经网络层的非线性关系。转子步骤(2.2.4)；

(2.2.4)卷积层2：由子步骤(2.2.1)到(2.2.3)所得10个结果作为卷积层2的输入通道，输出为20个通道，此时的输出通道可根据需要调整。输出20个结果矩阵。转步骤(2.2.5)；

(2.2.5)丢弃层1：该层使得本实施例在前向传播时，让网络中某个神经元的激活值以一定的概率停止工作，这样可以使模型泛化性更强在一定层度上个避免过拟合，如此一来，模型就不会太依赖某些局部的特征。转子步骤(2.2.6)；

(2.2.6)最大池化层2：对上述步骤的结果进行池化，作用和原理同子步骤(2.2.2)。转子步骤(2.2.7)；

(2.2.7)ReLu层2：激活函数层，作用和原理同子步骤(2.2.3)。转子步骤(2.2.8)；

(2.2.8)全连接层1：经过步骤(2.2.1)～(2.2.7)，一张28*28的图片被处理成20个4*4的特征向量，全连接层1的作用是将这些特征进行线性变换，输出概率值。全连接层1将20*4*4个元素变换成[1,50]个输出，并且再进行一次ReLu层3(效果和作用同上)的运算，得到概率值。其中每个概率都可以决定输入的手写数字图片结果，但是每个元素的权重是不一样的。转子步骤(2.2.9)；

(2.2.9)丢弃层2：效果和作用同步骤(2.2.5)；转(2.2.10)；

(2.2.10)全连接层2：将步骤(2.2.8)中的[1,50]个概率值再变换成[1,10]的概率矩阵；最后对这10个元素在输入ReLu层，并取Log对数得到各个结果所占的概率值返回。CNN训练过程完毕转子步骤(2.3)；

(2.3)t时刻的模型

用一步或者多步随机梯度下降法(Stochastic GradientDescent,SGD)对反向传播算法进行优化，并计算平均梯度

SGD以及反向传播算法在公开的资料中已经有很详细的叙述，本发明不再赘述。每个参与者用其本地学习率δ和平均梯度

进行模型更新。进一步地，可以得到参与者P_i在t+1时刻的本地模型参数

如式(3)所示：

转子步骤(2.4)；

(2.4)参与者利用其本地数据集不断进行训练，直到如准确率，损失函数等评价指标符合要求时，停止训练。得到其最终的模型参数W_fi。

图6是本发明在隐私保护下的去中心化联邦机器学习方法的模型参数加密与模型发送步骤子工作流程图，如图6所示，本发明在隐私保护下的去中心化联邦机器学习方法的模型参数加密与模型发送步骤具体步骤如下：

(3)模型参数加密与模型发送步骤，用于加密所述子步骤(2)中产生的模型参数W_fi，完成加密后进行模型发送。所述的加密子步骤具体包括下述子步骤：

(3.1)如步骤(1)所述，每一个参与者都有一个秘密值s_li，进一步地，本发明作以下处理，每个参与者利用该秘密值生成一个秘密

转子步骤(3.3)；

(3.2)加密子步骤：对最终模型参数W_fi进行加密，

是一个哈希函数，

表示加密后的密文，本发明所提出的加密方法具体包括：

加密方法一，XOR加密，模型参数与秘密S_i的哈希值

进行异或操作，得到密文

具体如式(4)所示：

加密方法二，乘法加密，模型参数与秘密S_i的哈希值

相乘，得到密文

具体如式(5)所示：

加密方法三，指数加密，模型参数与秘密S_i的哈希值

进行以h为底的乘法指数运算，得到密文

具体如式(6)所示：

转子步骤(3.3)；

(3.3)各参与者向步骤(1.4)所选举出来的参数聚合者直接发送(3.2)中的

如果要解密参与者P_i的模型，就必须获取它的秘密值s_li，而s_li已经被切分并加密分发给了不同的参与者。进入步骤(4)；

图7是本发明在隐私保护下的去中心化联邦机器学习方法的模型接收与恢复步骤子流程图，如图7所示，发明在隐私保护下的去中心化联邦机器学习方法的模型接收与恢复步骤具体步骤如下：

(4.1)解密准备子步骤：参数聚合者接收到各参与者的加密模型

发出解密指令，具体子步骤如下：

(4.1.1)参与者P_i接收到解密指令，开始解密子步骤(1.2.3)中所得到的其他参与者的为其加密的秘密分片s_i→j，每一个参与者所得到的秘密分片如式(7)所示：

转子步骤(4.1.2)；

(4.1.2)本发明假设P₁为参数聚合者；转子步骤(4.1.3)；

(4.1.3)如果参与者选择了指数加密方式(3.3.3)；转子步骤(4.1.4)；

(4.1.4)由子步骤(4.1.2)，(4.1.3)和(3.4)，参与者直接将加密模型发送至参数聚合者P₁处，W_fi表示参与者P_i所得的最终训练模型，1≤i≤n，则P₁在所有参与者选择指数加密的方式下得到的密文如式(8)所示：

聚合者将密文累积，得总密文如式(9)所示：

转子步骤(4.1.5)；

(4.1.5)聚合后的参数仍然是加密的，参数聚合者P₁必须得到{s_l2，s_l3，......，s_ln}方可解密所有的模型参数，而每一个s_li都被PVSS切分并分到了不同的参与者处，恢复s_li必须要得到至少f+1参与者的支持。HydRand共识机制设置了系统中只能存在f个不诚实的参与者。因此，即使所有的不诚实参与者串谋也不可以使整个系统瘫痪；转子步骤(4.1.6)；

(4.1.6)各参与者P_j解密秘密分片，

表示参与者P_i分送给参与者P_j的分片已经被解密；则各参与者解密后所得如式(10)所示：

转子步骤(4.1.7)；

(4.1.7)每个参与者向参数聚合者P₁发送各自拥有的全部秘密分片，则P₁拥有全部的秘密分片如式(11)下所示：

转子步骤(4.2)；

(4.2)解密子步骤：根据步骤(4.1)所得，参数聚合者开始解密，具体包括以下子步骤：

(4.2.1)判断是否为指数加密方式，如果是，则可以取得全部的已加密的模型参数并转子步骤(4.2.2),

获得方法如式(12)所示：

如果所用加密方式不是指数加密方式,则转子步骤(4.5.1)；

(4.2.2)进一步地，参数聚合者要获取模型参数的明文，模型参数的获取方法如式(13)所示：

转子步骤(4.2.3)；

(4.2.3)进一步地，参数聚合者进行参数聚合，模型参数进行平均聚合如式(14)所示：

式中

表示平均n个参与者的模型参数后得到的最新模型参数；转子步骤(4.3)；

(4.3)参数聚合者用其秘密值将步骤(4.2)所得最新模型加密，加密后的密文如式(15)所示。并且，密文被发送给各参与者，参与者相互共享参数聚合者的分片并计算得到

最终获得模型，解密步骤参考(4.2)；

进一步地，各参与者P_i获得

后，解密得最新的聚合模型

转子步骤(4.4)；

(4.4)

若为另外两种加密方法，其解密子步骤：解密用乘法加密和XOR加密的密文，具体如下：

判断加密方式是否XOR加密，是，则参数聚合者解密模型参数，XOR解密方法如式(16)所示：

否，则进行乘法解密；

对于乘法加密，参数聚合者解密模型参数，乘法解密方法如式(17)所示：

本发明除了具有以上特性以外，还具有同态加密特性，根据同态加密的定义，同态加密定义如式(18)所示：

其中Enc()表示一个加密函数，m1和m2表示两个任意明文，

和⊙是预定义的二目操作符。同态加密可以使得密文在未解密的情况下可以直接对其进行运算,被处理后的密文可以被正常解密而且不会篡改明文内容。本发明所定义的三种加密方式，在算术上均满足同态加密的条件定义，因此本发明具有同态加密的特性；

图8是本发明在隐私保护下的去中心化联邦机器学习方法的系统参数参数更新步骤子工作流程图，如图8所示，本发明在隐私保护下的去中心化联邦机器学习方法的系统参数更新子步骤具体步骤如下：

(5.1)系统参数更新子步骤：更新随机值与下一任参数聚合者；具体子步骤如下：

(5.1.1)随机值更新，其中r表示训练的轮数，每完成一次上述步骤，r自增1，并且它是大于等于1的整数，R_r表示下一轮次的随机值，R_r-1表示上一轮次的随机值，||表示将两者进行级联，从第二轮开始，其随机值R_r的更新方法如式(19)所示：

转子步骤(5.1.2)；

(5.1.2)选举新的参数聚合者，其方法如式(20)所示：

|L_r|表示第r轮能够参与的选举的人数；式(20)利用上一轮的随机值与本轮能够参与选举的人数进行聚合者选举，即在本轮的候选人中选举出聚合者。

(5.2)各参与者重新选择秘密值s_li，重复上述步骤直到模型的性能达到系统相关指标为止。

图9-14是本发明在隐私保护下的去中心化联邦机器学习方法的实验结果图,其中：

图9是本发明与一般的中心化机器学习方法在非结构化数据(None-IID)进行训练的测试准确率指标对比图。在训练非结构化数据时，首先是CNN模型的准确率比MLP模型的准确率高。在CNN模型中，本发明在整个过程中较平滑的高准确率，而一般的中心化联邦学习方法在此过程中起伏较大；

图10是本发明与一般的中心化机器学习方法在结构化数据(IID)进行训练的测试准确率的对比图，在结构化数据的训练中，两者的效果相同，但是CNN模型表现优于MLP模型；

图11是本发明与一般的中心化机器学习方法在训练损失上的对比图；由图可见，在训练非结构化数据时，对比中心化联邦学习本发明能保持比较平缓且良好的损失下降过程，不会出现大起大落的情况，在结构化的数据中两者趋同；

图12是本发明的PVSS协议在不同参与者数量的情况下进行秘密切分的时间损耗图，如图所示，虽然节点数成32的倍数增加，但是并没有很大幅度地影响参与者切分秘密分片的时间，当参与者节点数到达512时，仍然能在1秒内将一个秘密值切分为512个分片；

图13是本发明在不同参与者数量的情况下运行一次PVSS协议交换秘密分片的时间损耗图，由图可见，每当参与者数量成32的倍数增加一倍时，参与者进行一次秘密共享的时间最多增长0.5～0.7秒，并且保持非常稳定的趋势；

图14是本发明在不同参与者数量的情况下运行一次HydRand协议选举参数聚合者的时间损耗图，由图可见，无论节点数增长了多少，系统选举出参数聚合者的时间损耗保持稳定；

由本发明实施例的结果表明，首先在机器学习的评价指标方面，本发明在实现高准确率的同时，并保持一定的平稳性；其次，在系统性能方面，通过HydRand构建的点对点共识机制具有拜占庭容错机制，不会因为部分不诚实的参与者串谋或者参数聚合者不提供服务或者作弊致使系统瘫痪，有效规避了DoS等对于中心化服务器的安全攻击；然后，通过PVSS秘密共享协议，参与者之间相互交换秘密分片，保护了参与者的模型数据免遭模型反演攻击，进一步地防止攻击者对模型进行推理恢复参与者的敏感数据；最后，在系统性能方面，本发明能在不同的参与者数量的情况下，在稳定的时间间隔选出一名参数聚合者，在稳定的时间内切分秘密分片，在稳定的时间内相互进行秘密共享。综上所述，由实验结果表明，本发明具有稳定性，高效鲁棒性以及安全性，因而比一般的中心化联邦学习更具优势，也因而具有广泛的应用前景。

上述实施例用来解释说明本发明，而不是对本发明进行限制，在本发明的精神和权利要求的保护范围内，对本发明作出的任何修改和改变，都落入本发明的保护范围。

Claims (4)

1.一种在隐私保护下的去中心化联邦学习方法，其特征在于，该方法包括系统初始化步骤，请求模型与本地并行训练步骤，模型参数加密与模型发送步骤，模型接收与恢复步骤，系统更新步骤，其中：

(1)系统初始化步骤：

(1.1)联邦学习的参与者P_i注册用于加密和解密的密钥对<sk_i，pk_i>，所述的密钥对中sk_i为其私钥，由参与者P_i从一个模q的环中选择获得，q是素数，由基于q的运算生成；pki为其公钥，h是素数，是q阶环的生成元；所述参与者相互交换其公钥用于加密信息，而其私钥用于解密信息；参与者们承认系统指定的初始随机值R₁，R₁将用于选举参数聚合者；

(1.2)参与者运行PVSS协议，每个参与者P_i在中选择一个初始秘密值并做出承诺Com(s_li)，将秘密值s_li按照总参与者数量n切分成n个秘密分片s_i，其中s_i表示参与者P_i分给参与者P_j的分片；然后用其他参与者P_j的公钥对秘密分片进行加密并相应分发；Com(s_li)为每一个参与者P_j生成一个承诺值g是的另一个生成元，h和g相互独立，在此步骤中，每个参与者都收到了其他参与者发来的已加密的n-1个分片；其中，PVSS协议中，设置不诚实的参与者最多有f个，总参与者数量n＝3f+1，PVSS协议的阈值为f+1；

(1.3)判断参与者是否诚实；每个参与者在收集了其他参与者分发的秘密分片后，利用PVSS协议的验证功能DLEQ(g，v_j，pk_j，s_i→j)对加密的正确性进行检验；需要验证的是中的分片是否和的一样，并且验证者不需要知道秘密分片s_ij，验证者V的验证工作如下：

(1.3.1)参与者P_i接受验证者V的验证，验证P_i是否正确加密了P_j的分片；P_i向V发送a₁＝g^ρ，ρ由P_i自行选定；

(1.3.2)V从中选出一个元素e作为挑战发送给P_i；

(1.3.3)P_i计算z＝ρ-s_ije，并发送给V；

(1.3.4)V开始进行验证，也即计算以下等式是否成立：

(1.3.5)步骤(1.3.4)的判断条件成立的充分必要条件是，当且仅当z，v_j，s_i→j三者的分片s_ij是一致的；如果步骤(1.3.4)判断条件成立，则验证通过；

如果某个分片没有被正确加密，HydRand共识机制则向外界发出此分片不合法、加密者不诚实；该加密者将被HydRand共识机制禁止在f+1轮内被选为聚合者；

(1.4)HydRand共识机制根据初始随机值R₁选举出第一位参数聚合者l₁，若聚合者在规定的时间内未执行相应步骤则被视为不诚实，系统将发出重构指令，重置系统参数，重新选举参数聚合者；

(2)参与者请求模型与本地并行训练步骤：用于从参数聚合者处获取模型，参与者在其本地设备利用其敏感数据输入模型并训练可得到该参与者的模型参数；

(3)模型参数加密与模型发送步骤：用于加密所述子步骤(2)中产生的本地模型参数W_fi，完成加密后发送给参数聚合者；具体包括下述子步骤：

(3.1)每个参与者利用其秘密值s_li生成一个秘密

(3.2)参与者P_i利用生成的秘密对其本地最终模型参数W_fi进行加密生成密文

(3.3)各参与者向步骤(1.4)所选举出来的参数聚合者直接发送(3.2)中的

(4)模型接收与恢复步骤：参数聚合者接受其他参与者的加密模型，发出恢复模型指令，具体子步骤如下：

(4.1)解密子步骤：参数聚合者直接对密文进行聚合并发出解密指令，各参与者对各自拥有的秘密分片进行解密，参数聚合者至少得到f+1参与者的支持并根据接收到的解密的秘密分片对密文解密，获得各模型参数并根据各模型参数重新生成聚合模型；

(4.2)参数聚合者用其秘密值将步骤(4.1)所得最新模型加密，发送给各参与者，参与者相互共享参数聚合者的分片并计算得到参数聚合者的秘密值各参与者P_i获得后，解密得聚合模型

(5)系统参数更新步骤：各参与者按照步骤(1)的方法重新选择秘密值，并根据随机值重新选举下一轮参数聚合者，其中，下一轮的随机值根据上一轮参数聚合者的秘密值计算生成；具体如下：

(5.1)其中，每完成一次上述步骤，r自增1，取值大于1的整数，R_r-1表示上一轮次的随机值，R_r表示即将执行的下一轮次的随机值，||表示将两者进行级联；

(5.2)选举新的参数聚合者：

重复步骤(2)-(5)直到模型的性能达到系统相关指标为止。

2.如权利要求1所述的在隐私保护下的去中心化联邦学习方法，其特征在于，所述步骤(3.2)中，加密方法包括：

加密方法一：XOR加密，

加密方法二：乘法加密，

加密方法三：指数加密，

3.如权利要求2所述的在隐私保护下的去中心化联邦学习方法，其特征在于，所述解密子步骤(4.1)，具体包括以下子步骤：

(4.1.1)参与者P_j接收到解密指令，开始解密子步骤(1.2)中所得到的其他参与者P_i的为其加密的秘密分片s_i→j，得到解密后的秘密分片

(4.1.2)参数聚合者直接对密文进行聚合；参数聚合者至少得到.f+1个参与者的支持并根据接收到的解密的秘密分片对密文解密，得到各模型参数；

(4.1.3)参数聚合者对各模型参数进行参数聚合

4.如权利要求3所述的在隐私保护下的去中心化联邦学习方法，其特征在于，所述步骤(4.1.2)，解密方法具体为：

若为指数加密方式，则可以取得已加密的模型参数的累积获取模型参数的明文

若为XOR加密方式，则参数聚合者解密模型参数：

若为乘法加密方式，则参数聚合者解密模型参数：

Images