CN114462090B

CN114462090B - 一种针对联邦学习中差分隐私预算计算的收紧方法

Info

Publication number: CN114462090B
Application number: CN202210151961.7A
Authority: CN
Inventors: 李丽香; 石佳鑫; 彭海朋
Original assignee: Beijing University of Posts and Telecommunications
Current assignee: Beijing University of Posts and Telecommunications
Priority date: 2022-02-18
Filing date: 2022-02-18
Publication date: 2023-06-27
Anticipated expiration: 2042-02-18
Also published as: CN114462090A

Abstract

本发明公开了一种针对联邦学习中差分隐私预算计算的收紧方法，通过从假设检验的角度出发，计算隐私预算，通过f‑差分隐私技术完成对联邦图像分类系统中隐私预算的跟踪工作，并通过客户端标准化梯度下降法完成对单个客户端更新梯度的规范，限制单个客户端对整体模型的影响，解决了现有工作中梯度阈值超参选择的难题，让模型可以完成更多轮次的训练，以及规避梯度剪裁阈值C对联邦学习模型的影响，使得联邦学习系统可以在不过分影响精度的同时，满足差分隐私。

Description

一种针对联邦学习中差分隐私预算计算的收紧方法

技术领域

本发明涉及隐私预算的计算方法，尤其涉及一种针对联邦学习中差分隐私预算计算的收紧方法。

背景技术

2017年谷歌公司首次提出联邦学习，联邦学习是为了应对“数据孤岛”与隐私泄露问题，人们尝试在不违反各地法律法规的前提下进行数据利用，在联邦学习中，数据的拥有者无需上传原始数据，而在本地接收当前模型，通过自己的数据更新模型参数，并与其他参与者共享，实现多人化、本地化、去中心化的机器学习。考虑到原始数据完全不会离开拥有者的本地设备，联邦学习几乎成了数据敏感场景下(如医疗记录、个人相册、个人语音等)进行模型训练的唯一选择。但是，联邦学习需要参与者在每一次的本地训练后，上传所更新的模型参数并与其他参与者共享，而参数更新中有时包含所有者的敏感信息。这使得联邦学习仍然存在严重的隐私泄露隐患，攻击者可以伪装成模型训练的参与者，实施重构攻击、推理攻击或是窃取攻击。

为了对抗这些攻击，已有一些研究聚焦于如何进一步提高联邦学习的隐私性。目前的方法主要分为两类，一类是加密方法，例如，安全多方计算(SMC)、同态加密(HE)等；另一类是数据扰动方法，如差分隐私。加密方法通过将明文编码为密文的方式，只允许特定人员解码，为数据隐私保护提供了有效手段，但往往需要较大的计算开销，较难应用于实际场景中；而数据扰动类方法相对轻量化，指的是在数据中添加随机化噪声，保证攻击者无法根据输出的不同来推测个体的敏感信息，但会对模型的准确性造成影响，因此，需要再三权衡隐私性与可用性的关系。

在差分隐私中，要求攻击者无法根据发布后的结果推测出哪一条结果对应于那一个数据集。该模型通过加入随机噪声的方法来确保公开的输出结果不会因为一个个体是否在数据集中而产生明显的变化，并对隐私泄露程度给出了定量化的模型。因为一个个体的变化不会对数据查询结果有显著的影响，所以攻击者无法以明显的优势通过公开发布的结果推断出个体样本的隐私信息，所以差分隐私模型不需要依赖于攻击者所拥有多少背景知识，而且对隐私信息提供了更高级别的语义安全，同时，凭借其轻量级的优势，差分隐私已在传统机器学习领域得到大量应用，同时，也成为了联邦学习中保护数据隐私的主要手段。

在联邦学习中，客户端侧采用的差分隐私机制被称为本地化差分隐私，通过可信中间节点进行扰动被称为分布式差分隐私，由服务器完成的扰动被称为中心化差分隐私，融合了上述两种或以上的差分隐私方法则被称为混合差分隐私。现有的联邦学习中的隐私保证研究都是在用户级别执行：对手无法推断客户端是否参加了本轮训练，并且客户端的整个数据集是私有的。虽然用户级隐私在联邦学习中具有重要的应用，但考虑单个记录级别隐私也是同样重要的。例如，在希望不同国家的多家医院合作学习COVID-19的预测模型时，医院是否参与此协作根本不是一个敏感信息，而真正需要保护的是每个患者的隐私。所以，如何完成单个用户级别的隐私工作是联邦学习系统中隐私保护需要解决的关键问题。

差分隐私最早于2008年由Dwork提出，通过严格的数学证明，使用随机应答方法确保数据集在输出信息时受单条记录的影响始终低于某个阈值，从而使第三方无法根据输出的变化判断单条记录的更改或增删，被认为是目前基于扰动的隐私保护方法中安全级别最高的方法。实现差分隐私的机制主要包括添加拉普拉斯噪声、添加高斯噪声、指数机制和函数扰动方法等。由于传统的完全差分隐私基于如下最严格的假设：最大背景攻击，即假设攻击者拥有除了某一条记录以外的所有背景信息，而这在实际情况中是十分罕见的。因此，完全差分隐私对于隐私性的保护过于严苛，极大影响了数据的可用性。目前实际场景中主要采用的是带有松弛机制的近似差分隐私，即(ε,δ)差分隐私：一个随机算法M，如果对所有的

以及对所有满足||x-y||₁≤1的数据库对x,y都满足Pr[M(x)∈S]≤exp(ε)Pr[M(y)∈S]+δ，其中，ε＞0为隐私预算，用于控制算法对相邻输入给出相同输出的概率比，值越大表示隐私性越差，可用性越好，δ∈(0,1)为松弛项，指的是允许该机制失败导致隐私保护不成立的概率。

为了保证学习系统满足差分隐私，需要对系统整体的隐私预算进行跟踪，一般情况下，满足0<ε<log20的条件，即可满足差分隐私。而对于隐私预算的计算方法，主要包括强组合定理(Strong Composition)、时刻统计法(Moments Accountant)和差分隐私中的函数表达方法(f-DP)。

差分隐私中的函数表达方法中，联邦随机梯度下降法(DP FedSGD)和联邦平均梯度下降法(DP FedAvg)的隐私概念是在用户级别定义的。也就是说，如果可以通过从S中完全删除一个客户机的数据来获得S0，则称两个数据集S和S0为相邻数据集，如果攻击者无法通过S和S0数据集的差异，反推出某个用户是否参与了本轮训练，则称本次训练是满足严格差分隐私的，但是，这样的攻击模型对于实际应用程序可能是不切实际的，过于严格的差分隐私会导致模型精度大幅下降，所以DP FedSGD法和DP FedAvg法均采用较为松弛的差分隐私。DP FedSGD法和DP FedAvg法中隐私预算的计算均是从信息熵的角度出发，通过瑞丽熵来计算完成的，这样对隐私预算的计算不够缩紧，导致隐私预算被扩大，从而影响模型收敛的速度，最终会导致模型精度不高。随机梯度下降法(DP-SGD)是对分布式深度学习优化设置的直接扩展，其中每个客户机的梯度在每次迭代中被剪裁和聚合，而DP FedAvg法在服务器上执行近似的DP-SGD法。本质上，本地训练前后本地模型的差异被视为梯度并发送到服务器，在服务器端完成整体模型参数的更新，然后再将最新的模型参数发放到各客户端中。

同时，在DP FedSGD和DP FedAvg方法中引用的隐私概念是本地差异隐私，本地差异隐私不假定中央服务器为受信任的数据聚合器。在发送到数据聚合器之前，每个数据记录都会被随机扰动，聚合器使用噪声数据构建模型。如果任何一对可能的数据记录的输出不可区分，则扰动算法是局部微分私有的。在局部差异隐私框架下，噪声数据最终集中在一个中央聚合器中，所有的训练都在该聚合器中进行，局部差异隐私是一个强烈的概念，通常需要大量噪声，从而导致模型性能下降。

现有的隐私预算计算方法基本为基于信息熵的角度出发，通过强组合定理累积计算出每轮训练后的隐私预算，通过该方法计算的隐私预算一般不够收紧，导致隐私预算被放大，当整体模型的隐私预算到达设定的阈值后，为了满足差分隐私，模型训练就会被迫停止，最终导致模型的精度不能达到一个很好的水平。同时，通过信息熵和强组合定理完成的联邦学习系统中的差分隐私只能保护用户级别的数据，即只能防止对手预测某一个用户在某一轮训练中是否参与，而不能防止对手预测出某个用户中的具体某条数据是否参与训练，也就是说该方法是用户级别的，而不是单个数据级别的，这样的隐私保护级别在现实中是完全不够的。

为了限制某一个客户端对整体模型的影响，现在已有大量针对集中式梯度优化算法中的差分隐私经验风险最小化的研究工作，一部分研究假设梯度是有界限的，默认是存在梯度灵敏度的，而另一部分研究则认为梯度是没有界限的，通过对单个客户端的梯度进行剪裁，来实现有界灵敏度。对于一个原始的更新参数g，根据阈值C，它被裁剪为g×min(1,C/||g||)，但是梯度剪裁法中的阈值C是需要调整的一个超参，对于超参C的选择会严重的影响到模型的最终精度，但是，现在并没有一个较好的方法来协助我们完成超参C的设置。梯度剪裁的中心思想是将合适的噪声添加到剪裁后的平均梯度上，以达到隐私保护的作用。在梯度剪裁法中，当客户端更新的基数降低并且低于设置的阈值C时，增加噪声的基数(它具有与剪裁阈值成比例的恒定期望，与客户端更新范数无关)就可能变得比客户端更新参数的基数更高(即大于客户端更新范数)，这样会大幅降低模型的收敛速度。

发明内容

本发明针对梯度剪裁阈值C对联邦学习模型精度的影响问题，提出一种针对联邦学习中差分隐私预算计算的收紧方法，让模型可以完成更多轮次的训练，以及规避梯度剪裁阈值C对联邦学习模型的影响，使得联邦学习系统可以在不过分影响精度的同时，满足差分隐私。

为了实现上述目的，本发明提供如下技术方案：

本发明提供的一种针对联邦学习中差分隐私预算计算的收紧方法，包括以下步骤：

S1、初始化客户端训练模型参数，参数包括：损失函数L，数据集S^(j)，辅助模型h^j，批量大小B_j，噪声规模σ_j，学习率γ₁…γ_k；

S2、由中央服务器随机选择r个客户端参与训练，每个客户端被选中的概率均为p，服务器和客户端一共完成K轮通信，交互训练模型；

S3、对于第K轮通信，全局参数为W^gkibal，被选中参与训练的客户端j，初始化模型为W^j，W^j＝h^j，在第j个客户端中的数据集S^(j)中随机选择批量大小为B_j的数据集I，通过随机梯度下降法完成h轮的训练迭代，对于l∈I，0≤h≤H-1，完成随机梯度下降法更新梯度，完成H轮训练后，再进行梯度标准化处理，得到更新参数

然后对更新参数/>

加噪，客户端完成本轮训练，将更新参数/>

上传至中央服务端；

S4、对收到的本轮参与训练的所有客户端的更新参数进行聚合，通过一个凸组合对全局参数进行更新，并将更新后的参数发送到参与本轮训练的客户端；

S5、在中央服务器完成全局参数的更新后，进行辅助模型的更新h^j←F_j(w^global)，将辅助模型h^j发送到各参与训练的客户端，客户端完成本地模型的更新；

S6、重复第三到第五步步骤K轮，完成本次训练。

进一步地，步骤S1中客户端会初始化本地模型为CNN模型，CNN模型依次包括一个3×3核的卷积层、一个128个神经元组成的FC层、一个ReLU激活层和一个softmax输出层。

进一步地，训练模型中客户端数量设置为100。

进一步地，步骤S2每轮训练选择客户端时结合子采样算法整体的对隐私进行计算。

进一步地，整体的隐私计算方法满足：

其中，M_i(S)为客户端i的辅助模型，在计算客户端i的辅助模型时，使用的是所有客户端的真实数据，M_i(S′^j)为客户端i的辅助模型，在计算客户端i的辅助模型时，使用的客户端j的数据为客户端j数据集的相邻数据集，

为客户端j的权衡函数，B_j/n_j表示客户端j里选中参与训练样本数量与全部数量的比值；

定义

f_p＝pf+(1-p)(1-α)，/>

α为实验开始设定的超参；定义G_μ:＝T(N(0,1),N(μ,1))≡Φ(Φ^-1(1-α)-μ)，其中Φ表示标准正态分布的累积分布函数，如果对于算法A满足T(A(S)，N(S′))≥G_μ，则算法A是满足μ-GDP，则隐私参数

其中，c_j为客户端j的权衡函数，Φ为标准正态分布的累积分布函数σ_j为噪声规模。

进一步地，步骤S3中随机梯度下降法更新梯度的公式为：

其中，γ_k为学习率，

为第j个客户端在第h次训练时的训练参数，f_j为第j个客户端的损失函数。

进一步地，步骤S3中标准化处理的公式为：

其中，

为第j个客户端在第h次训练时的训练参数，W_k为中央服务器下发给参与训练的客户端的初始权重参数。

进一步地，步骤S3中对更新参数

加噪的公式为：

其中，

为第j个客户端在第h次训练时的训练参数，r为参与训练客户端数量，σ为噪声规模，I为在客户端中的数据集S^(j)中随机选择批量大小为B_j的数据集。

进一步地，步骤S4中对全局参数进行更新的凸组合为：

其中，W^global为全局参数，r为参与训练客户端数量，α为显著性水平，Wⁱ为第i个客户端上传的权重参数。

进一步地，步骤S5中辅助模型更新公式为：

F_j(w^global)＝(1-α_j)w^(j)+α_jw^global

其中，w^global训练后中央服务器聚合后的全局权重参数，α_j为客户端j完成辅助函数计算的超参，w^(j)为客户端j的权重参数。

与现有技术相比，本发明的有益效果为：

(1)为了更收紧的计算联邦学习中的隐私消耗，提出从假设检验的角度出发，计算隐私预算

联邦学习中的差分隐私技术，现有的大部分方案都是从信息熵的角度出发，计算隐私消耗，同时他们只能保证客户端级别的隐私，即只能保证攻击者不能推断出某一个客户端是否参与了训练，而对于具体每一个客户端的数据的隐私不能保证，而本发明从假设检验的角度出发可以保证具体每一个客户端的数据的隐私，保证攻击者不能推断出具体某个客户端中的某一条数据是否参与了训练，并且从子采样的角度出发，解决了在之前的工作中隐私被放大的问题。

(2)为了更好的面对梯度剪裁阈值的选择，提出了直接规范化梯度

在联邦学习中的差分隐私技术，从假设检验角度出发的现有方案，都是通过对每个客户端更新的梯度进行梯度剪裁来达到限制某个客户端的权重，但是对于剪裁阈值的选择，是一个超参数，现在并没有很好的办法来完成最优解，本方案通过直接对梯度规范化处理，解决了梯度阈值选择这一问题，使得最终的模型可以在相同隐私消耗的前提下，达到更高的精度。

综上，本发明的针对联邦学习中差分隐私预算计算的收紧方法，通过从假设检验的角度出发，计算隐私预算，通过f-差分隐私技术完成对联邦图像分类系统中隐私预算的跟踪工作，并通过客户端标准化梯度下降法完成对单个客户端更新梯度的规范，限制单个客户端对整体模型的影响，解决了现有工作中梯度阈值超参选择的难题，让模型可以完成更多轮次的训练，以及规避梯度剪裁阈值C对联邦学习模型的影响，使得联邦学习系统可以在不过分影响精度的同时，满足差分隐私。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明中记载的一些实施例，对于本领域普通技术人员来讲，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的方法流程图。

具体实施方式

下面结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明提供了一种针对联邦学习中差分隐私预算计算的收紧方法，是基于f-差分隐私和客户端标准化梯度下降法的联邦图像分类方案，本方案主要通过从假设检验的角度出发，计算隐私预算，通过f-差分隐私技术完成对联邦图像分类系统中隐私预算的跟踪工作，并通过客户端标准化梯度下降法完成对单个客户端更新梯度的规范，限制单个客户端对整体模型的影响，本方案的实现步骤如图1所示，具体包括以下步骤：

S1、初始化客户端训练模型参数，参数包括：损失函数L，数据集S^(j)，辅助模型h^j，批量大小B_j，噪声规模σ_j，学习率γ₁…γ_k。

S2、由中央服务器随机选择r个客户端参与训练，每个客户端被选中的概率均为p，服务器和客户端一共完成K轮通信，交互训练模型。

S3、对于第K轮通信，全局参数为W^global，被选中参与训练的客户端j，初始化模型为W^j，W^j＝h^j，在第j个客户端中的数据集S^(j)中随机选择批量大小为B_j的数据集I，通过随机梯度下降法完成h轮的训练迭代，对于l∈I，0≤h≤H-1，完成随机梯度下降法更新梯度，随机梯度下降法更新梯度的公式为：

其中，γ_k为学习率，

为第j个客户端在第h次训练时的训练参数，f_j为第j个客户端的损失函数；

完成H轮训练后，再进行梯度标准化处理，得到更新参数

标准化处理的公式为：

其中，

为第j个客户端在第h次训练时的训练参数，更新后用/>

表示，W_k为中央服务器下发给参与训练的客户端的初始权重参数；

然后对更新参数

加噪，对更新参数/>

加噪的公式为：

其中，

为第j个客户端在第h次训练时的训练参数，更新后用/>

表示，r为参与训练客户端数量，σ为噪声规模，I为在客户端中的数据集S^(j)中随机选择批量大小为B_j的数据集。

客户端完成本轮训练，将更新参数

上传至中央服务端。

S4、对收到的本轮参与训练的所有客户端的更新参数进行聚合，通过一个凸组合对全局参数进行更新，并将更新后的参数发送到参与本轮训练的客户端。对全局参数进行更新的凸组合为：

其中，w^global为全局参数，r为参与训练客户端数量，α为显著性水平，Wⁱ为客户端i的权重参数；

S5、在中央服务器完成全局参数的更新后，进行辅助模型的更新h^j←F_j(w^global)，F_j(w^global)＝(1-α_j)w^(j)+α_jw^global，其中，w^global为训练后中央服务器聚合后的全局权重参数，α_j为客户端j完成辅助函数计算的超参，w^(j)为客户端j的权重参数，将辅助模型h^j发送到各参与训练的客户端，客户端完成本地模型的更新。

S6、重复第三到第五步步骤K轮，完成本次训练。

在优选的实施例中，训练模型中客户端数量设置为100。客户端会初始化本地模型为CNN模型，CNN模型依次包括一个3×3核的卷积层、一个128个神经元组成的FC层、一个ReLU激活层和一个softmax输出层。

步骤S2每轮训练选择客户端时结合子采样算法整体的对隐私进行计算。

本发明从假设检验的角度出发，假设一个固定的显著性水平α，T(P，Q)(α)(其中P,Q分别表示两个数据分布)，T(A(S)，A(S′))≥f表示可以达到的最小的犯第Ⅱ类型错误的水平，所以T(P,Q)(α)越大，则私密性越大，我们定义S和S'为两个相邻数据集，A(S)和A(S')分别表示算法A在数据集S和S'上输出数据的分布，当T(A(S),A(S'))≥f时，我们就说算法A满足f-差分隐私。

而对于本发明中的实验流程，我们的隐私计算需要满足对每轮训练选择客户端的时候进行的子采样进行处理，因为如果直接计算整体的隐私预算，但是当客户端i并没有被中进行训练时，这时也计算了它的隐私消耗，但是其实因为客户端i并没有进行数据交互，所以并不存在隐私消耗，如果按照直接计算隐私的话，就放大了隐私消耗，这样就会降低整体模型的精度，所以应该结合子采样算法，整体的对隐私进行计算。

首先，f-差分隐私算法，它对强组合定理是有很好的保证的，我们定义f₁＝T(P₁,Q₁),f₂＝T(P₂,Q₂),则

对于一个由R个子算法组成的算法A，A₁,...,A_R，其中A_i是由输入数据和前面算法的输出数据影响的，并且每个子算法/>

-差分隐私满足，则算法A满足/>

-差分隐私。

我们定义一个联邦学习算法M是满足f-差分隐私的，对于任意i≠j，T(M_i(S),M_i(S'^j))≥f，其中M_i(S)是客户端i的辅助模型，S＝(S¹,...,S^(m))，S'^j＝(S¹,...,S'^(j),...,S⁽ⁿ⁾)，对于任意的客户端j，T(H_i(S),H_i(S'^j))≥f_j则说客户端j是满足f_j差分隐私的，而结合子采样定理，我们需要满足

其中p表示每次子采样的概率，g_p,j＝max(f_j,1-α-p²)，则算法M满足f-差分隐私即/>

同时，考虑到客户端本地训练的轮数K，则最终整体的算法需要满足/>

同时，我们对不等式的右边，完成一个变换，即

定义

f_p＝pf+(1-p)(1-α)，/>

α为实验开始设定的超参；定义G_μ:＝T(N(0,1),N(μ,1))≡Φ(Φ^-1(1-α)-μ)，其中Φ表示标准正态分布的累积分布函数，如果对于算法A满足T(A(S)，N(S′))≥G_μ，我们就说算法A是满足μ-GDP的，则隐私参数/>

其中，c_j为客户端j的权衡函数，Φ为表示标准正态分布的累积分布函数，σ_j为噪声规模。最终的隐私参数μ_max为所有客户端中的最大的隐私参数。

本发明从假设检验的角度出发，提出了一种对在联邦学习中差分隐私预算的计算更加收紧的方法，并且通过直接对客户端本地更新梯度直接进行规范化处理，解决了现有工作中梯度阈值超参选择的难题。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上所述实施例，仅为本申请的具体实施方式，用以说明本申请的技术方案，而非对其限制，本申请的保护范围并不局限于此，尽管参照前述实施例对本申请进行了详细的说明，本领域的普通技术人员应当理解：任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化，或者对其中部分技术特殊进行等同替换；而这些修改、变化或者替换，并不使相应技术方案的本质脱离本申请实施例技术方案的精神和范围。都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应所述以权利要求的保护范围为准。

Claims

1.一种针对联邦学习中差分隐私预算计算的收紧方法，其特征在于，包括以下步骤：

S3、对于第K轮通信，全局参数为W^global，被选中参与训练的客户端j，初始化模型为W^j，W^j＝h^j，在第j个客户端中的数据集S^(j)中随机选择批量大小为B_j的数据集I，通过随机梯度下降法完成h轮的训练迭代，对于l∈I，0≤h≤H-1，完成随机梯度下降法更新梯度，完成H轮训练后，再进行梯度标准化处理，得到更新参数