CN115310120A - 一种基于双陷门同态加密的鲁棒性联邦学习聚合方法 - Google Patents

Abstract

本发明提出了一种基于双陷门同态加密的鲁棒性联邦学习聚合方法，属于隐私计算中的联邦学习技术领域。所述方法包括：建立包含多个本地联邦参与方、一个模型聚合方以及一个模型请求方的联邦学习系统；建立分布式双陷门同态加密系统；各个联邦参与方接收初始全局模型，随后用自己的本地数据集训练接收到的初始全局模型，从而得到各自的本地模型，而后用分布式双陷门同态加密系统加密各自的本地模型参数；模型聚合方计算加密后的本地模型参数两两之间的欧式距离，据此执行基于最大团算法的过滤规则，筛选出遭到攻击的联邦参与方。所述聚合方法既能在理论上保护模型隐私安全又能在实验中抵御数据中毒攻击，兼顾安全性和可用性。

Description

一种基于双陷门同态加密的鲁棒性联邦学习聚合方法

技术领域

本发明具体涉及一种基于双陷门同态加密的鲁棒性联邦学习聚合方法，属于隐私计算中的联邦学习技术领域。

背景技术

随着数据安全相关法律法规的出台，“隐私计算”应运而生，它致力于实现“数据可用不可见”的目标，希望通过技术手段保障各个参与方的本地数据隐私，使各个参与方在安全的模式下进行数据共享和协作计算数据的任务。而隐私计算中颇具代表的技术之一就是“联邦学习”技术，联邦学习是一种特殊的分布式机器学习范式。在传统的集中式机器学习模式下，各参与方需要向中心服务器发送数据；而在联邦学习中，各个参与方在本地训练自己的数据，无需向中心服务器泄露自己的数据，只需向中心服务器发送模型参数或者梯度等信息。联邦学习既能保护用户的数据隐私又能达到和集中式机器学习模型同等的模型准确率，为不同企业间的数据孤岛搭建起安全的桥梁，因此联邦学习自2016年诞生以来发展得如火如荼，目前已被广泛应用于金融、医疗、推荐系统等领域。

虽然联邦学习的训练模式并未直接暴露用户数据，但是已有大量研究表明联邦学习并不安全，它甚至会因为广泛分布、用户数量大、本地数据不可控等特征而面临更重大的安全威胁。例如，即使参与者只上传模型参数信息给中心服务器，恶意的攻击者也可通过发起推理攻击等手段从模型的信息中反推出用户的数据信息、一些行为不端的恶意参与者也有可能通过篡改本地的训练数据或者篡改本地训练出的模型来试图发起中毒攻击。可见，联邦学习主要面临着隐私泄露和恶意攻击两类安全风险问题，如何在不损害用户隐私的情况下识别联邦学习系统中的投毒攻击行为是一项重大挑战。为了同时解决这两类问题，很有必要提出一种既能保护模型隐私又能抵御中毒攻击的联邦学习方法。

参与者上传本地模型的过程中需要保护自己的模型隐私不被“被动攻击者”窃听；当参与者被“主动攻击者”篡改了本地数据或者本地模型时需要在服务器端设置具有鲁棒性的聚合规则，从而保证最终得到的全局模型的可用性。然而，现有的其他方案存在以下局限性：1.部分方案只考虑了隐私保护性，且在那些采用同态加密技术的方案中，每一个参与者都共享同一个公私钥对，当有恶意参与者时，存在参与者的私钥被泄露的安全风险；2.部分方案只可以抵御数据中毒攻击或模型中毒攻击中的一种攻击，往往不能同时抵御这两种攻击，且绝大多数方案设定被攻击的用户占比很小，不超过20％；3.部分方案需要借助额外的验证数据集或者依赖于可信执行环境，难以在现实中广泛应用。

为了克服已有方案的局限性并取长补短，本发明兼顾了安全性和可用性，提出了一种基于分布式双陷门同态加密的鲁棒性联邦学习聚合方案，既能确保用户的数据隐私不被泄露又能保证对抗性操作下的鲁棒性。

发明内容

本发明的目的在于解决联邦学习模型训练过程中的隐私泄露和中毒攻击的问题。当前的绝大多数其他解决方法要么侧重于基于密码学的隐私保护问题，要么侧重于基于鲁棒性聚合规则的攻击防御问题，因而只实现了其中一个方面的安全性。本发明提出了一种基于双陷门同态加密的鲁棒性联邦学习模型聚合方法，这种方法能够同时实现对本地模型的隐私保护和对攻击者发起的数据中毒与模型中毒攻击的有效防御。本发明在本地模型参数上传的阶段采用分布式双陷门同态加密算法来保护模型隐私，在服务器聚合阶段提出了一种基于欧氏距离构建图论中的最大团，并构建一个基于最大团的过滤机制来筛选出被攻击的本地客户端，从而抵御中毒攻击。

为了达到上述目的，本发明具体采用如下技术方案：

所述基于分布式双陷门同态加密的鲁棒性联邦学习聚合方法，具体包括以下步骤：

步骤1：联邦学习系统初始化：建立一个包含多个本地联邦参与方和一个模型聚合方以及一个模型请求方的联邦学习系统；

其中，多个本地联邦参与方具有本地数据集和本地计算资源，模型聚合方具有强大的计算资源，模型请求方具有使用最终训练好的模型的需求和配合模型聚合方一起解密的条件；

步骤2：建立分布式双陷门同态加密系统；

其中，分布式双陷门同态加密系统由密钥生成、加密、解密三部分组成，可细分为如下子步骤：

步骤2.1：系统密钥生成。给定一个安全参数k和两个大素数p，q。并由此得到两个强素数p′、q′，且满足

和

然后计算N＝pq，λ＝lcm(p-1,q-1)/2，其中N代表两个大素数的乘积，lcm()函数意为求两个参数的最小公倍数，λ代表最小公倍数。然后定义一个以x为自变量的函数

选择一个生成元g，g的阶为

为联邦参与方i选择随机数θ_i∈[1,N/4]并计算

其中mod为取余运算的符号，h_i是公钥的一部分。系统为联邦参与方i生成公钥pk_i＝(N,g,h_i)，公钥对应的弱私钥sk_i＝θ_i，联邦参与方i和联邦参与方j的联合公钥pk_∑为：

系统的强私钥为SK＝λ，其中强私钥可拆分为两个部分强私钥SK⁽¹⁾与SK⁽²⁾；

步骤2.2：系统加密。对明文m的加密需要先选定一个随机数r，其中r∈[1,N/4]，在公钥pk_i下加密明文m，加密后表示为：

其中，

T_i,2＝g^r mod N²，T_i,1和T_i,2表示密文的一部分；

步骤2.3：系统解密。所使用的分布式双陷门算法中，解密算法包括弱私钥解密WDec()、强私钥解密SDec()、部分强私钥解密PSDec()、部分弱私钥解密PWDec()四种形式；

步骤3：模型聚合方依据训练任务初始化一个用于机器学习的全局模型，然后将初始化后的全局模型发送给各个联邦参与方；

步骤4：各个联邦参与方接收到初始全局模型，随后用自己的本地数据集来训练接收到的初始全局模型，从而得到各自的本地模型；

其中，各个联邦参与方在训练自己的本地模型时需要调用自己的本地计算资源和本地数据集，训练过程中需依据各自设定的学习率，训练轮数等参数信息进行独立的训练；

步骤5：联邦参与方通过分布式双陷门同态加密系统加密自己的本地模型参数，并将加密后的本地模型参数上传给模型聚合方；

步骤5.1：联邦参与方i的本地模型参数为M_i，选择一个随机数r,r∈[1,N/4]，每个联邦参与方i都用自己独有的公钥pk_i加密本地模型参数M_i，生成的密文为：

其中密文又可拆分为两部分：

T_i,2＝g^r mod N²；

步骤5.2：联邦参与方i将加密后的本地模型参数

上传到模型聚合方；

步骤6：模型聚合方执行过滤算法，筛选出遭到攻击的联邦参与方；

其中，步骤6运行基于最大团算法的过滤规则，得到更新后的可靠的全局模型参数，包括如下子步骤：

步骤6.1：计算各个加密的本地模型参数两两之间的欧式距离，模型聚合方和模型请求方交互解密，得到明文下的欧氏距离；

其中，联邦参与方i训练出的本地模型参数M_i＝[m_i,1,m_i,2,…,m_i,n]，在i的公钥pk_i加密下成为

联邦参与方j训练出的本地模型参数M_j＝[m_j,1,m_j,2,…,m_j,n]，在j的公钥pk_j加密下成为

本地模型参数均有n维。在明文下，M_i和M_j的欧氏距离计算公式为

由于密文下的开平方操作计算复杂度极高，且计算出欧式距离的平方

时已达到保护模型参数隐私的需求。故在余下步骤中简化求解欧氏距离为求欧式距离的平方：

现在模型聚合方已知密文下的

和

欲求密文下的

则需要分别求出构成其的三部分，为了简化，用

B＝[M_iM_j]和

来表示。因为加密M_i和M_j所用公钥不同，需要先将其转化为联合公钥pk_∑下加密；

以

和

为例，两者是在不同的公钥pk_i和pk_j下加密的，乘法转换协议的目标是计算出在联合公钥pk_∑下的密文

此处需要模型聚合方和模型请求方交互进行，又包括如下子步骤：

步骤6.1.1：模型聚合方选取4个随机数r_i,r_j,R_i,

其中

代表整数集合。计算：

用部分强私钥SK⁽¹⁾执行部分强私钥解密算法PSDec()解密X、Y、S、T，其中X、Y、S、T代表计算中间量。得到：

将其部分解密后的X₁、Y₁、S₁、T₁一并发送给模型请求方，其中X₁、Y₁、S₁、T₁代表计算中间量；

步骤6.1.2：模型请求方使用另一部分强私钥SK⁽²⁾，执行部分强私钥解密算法PSDec()，得到：

模型请求方使用联合公钥pk_∑加密h，S₂和T₂，表示为

然后发送H，S₃和T₃给模型聚合方，其中h、S₂、T₂、H、S₃、T₃均代表计算的中间量。由此计算，即可证明：h＝(M_i+r_i)(M_j+r_j)；

步骤6.1.3：模型聚合方接收到H，S₃和T₃以后，先计算中间量：

然后计算得出：

步骤6.1.4：联合公钥加密下求欧式距离

其中，经过步骤6.1.3的乘法协议转换后，可由

和

求出

同理可求得：

则所求密文下的欧氏距离的平方可计算为：

其中

B＝[M_iM_j]和

用部分弱私钥PWDec()解密后，即可得到明文下的欧氏距离平方

然后对

执行开平方运算即可得到两个本地模型参数之间的欧氏距离dis_i,j；

步骤6.2：模型聚合方基于欧氏距离dis_i,j构造无向图；

其中构造无向图又可细分为如下两步：

步骤6.2.1：基于模型参数间的欧氏距离选择一个阈值δ；

任意两个本地模型参数之间的欧氏距离越小，表示这两个本地模型越相近。两个正常联邦参与方的模型参数之间的欧式距离会很接近，而被攻击的联邦参与方的模型参数与正常联邦参与方的模型参数之间的欧氏距离会更远；

基于上述推论，用于过滤的阈值δ则是由模型请求方选取将任意两个参与方之间的欧氏距离进行排序后得到的中值，此处这样选择阈值δ的前提条件是攻击者至多只能对小于50％比例的联邦参与方发起投毒攻击；

步骤6.2.2：构建模型参数之间的无向图；

使每个本地模型参数M_i对应于图中的一个顶点，如果本地模型参数M_i与本地模型参数M_j之间的欧式距离小于阈值δ，则认为两个本地模型参数之间存在一条边e_i,j。否则，这条边不存在。按照此种方式遍历完本地模型参数两两之间的欧氏距离以后，即可构造一个无向图；

步骤6.3：使用最大团查找算法在无向图中找到最大团，团是一个无向图的完全子图，团的每对顶点之间都要有边相连；极大团是增加任何一个顶点以后都不再符合团的定义；最大团是含顶点数最多的极大团，最大团就是指最大完全子图的点集，在里面包含着由正常本地模型为顶点构造的集合，由此过滤出了被攻击的联邦参与方；

其中，最大团查找算法的步骤包括：

步骤6.3.1：构造三个集合U、V、R，其中U集合记录当前极大团中已经加入的点，V集合记录与U集合中所有点都有边存在的点，R集合的作用是判重，记录已经加入过某个极大团的点，防止出现重复的极大团；

步骤6.3.2：集合V中的点与集合U中的点都是连接的，集合V中的点p加入集合U，然后更新V集合，对在V集合中并且和点p连接的这部分点的集合中搜索下一个能加入U集合的点；

步骤6.3.3：执行回溯步骤，把点p从集合V移除，加入R集合，则对包含点p的极大团计算完毕；

步骤6.3.4：当V集合为空时，表示没有点再能加入U集合中；R集合存放的是已经完成极大团计算的点，如果R集合不为空，把R集合中的点加入U集合，则集合U点数增加，当R集合为空时，集合U才是极大团；将顶点数最多的极大团U作为最大团返回给模型聚合方；

步骤7：执行最大团过滤算法以后，系统中剩下正常联邦参与方所提交的加密后的本地模型，模型聚合方通过聚合这些本地模型来得到更新后的全局模型；

其中，模型聚合方执行平均聚合，将正常的联邦参与方上传的加密后的本地模型参数用传统的模型先求和再平均的方式聚合；

具体步骤包括：

步骤7.1：模型聚合方为过滤后剩下的k个正常的联邦参与方生成一系列随机数字r_i，i∈k，并用公钥pk_i将r_i加密，r_i的数量与模型参数的数量相同；

步骤7.2：模型聚合方利用加密方案的加法同态性，将随机数r_i加密为

而后与密文下的模型参数

相乘，得到

再将

发送给模型请求方；

步骤7.3：模型请求方执行双陷门同态加密中的强私钥解密算法SDec()解密

然后将k个(M_i+r_i),i∈k相加求和，再加密得到：

随后再将其发送给模型聚合方；

步骤7.4：模型聚合方利用加密方案的数乘同态性

计算

将结果与

相乘，从而消除随机扰动，得到

并将其和系统聚合的模型数量k发送给联邦参与方i；

步骤7.5：联邦参与方i使用各自的私钥sk_i解密

得到

并将其除以k，由此得到最终的平均聚合结果，则各联邦参与方均可以得到新的全局模型M_g；

步骤8：模型聚合方将更新后的全局模型M_g发送给剩下的正常联邦参与方；

步骤9：正常的联邦参与方接收到新的全局模型后，进行本地化模型训练，得到新一轮的本地模型，然后再将其加密上传给模型聚合方；

上述步骤4至步骤9循环往复，直至模型收敛，即达到预设的训练轮数或者达到期望的模型准确率；

步骤10：模型聚合方将最终得到的全局模型发送给模型请求方，至此，完成并结束联邦学习过程。

有益效果

本发明是一种基于双陷门同态加密的鲁棒性联邦学习模型聚合方法，与现有的其他联邦学习聚合规则相比，本发明具有如下有益效果：

1.本发明所使用的同态加密方案有严格的可证安全性且能实现多用户的多密钥加密，极大程度地保障了联邦参与者的模型隐私不被泄露；

2.现有的其他隐私保护联邦学习方案未同时考虑鲁棒性，本发明能够在保障模型隐私的同时有效防御中毒攻击者，实现聚合方案的鲁棒性；

3.现有其他方法往往只研究了仅存在极少量中毒参与者时的鲁棒性，本发明则考虑了被投毒参与者比例从0到50％变化范围内的情况，且本发明的实验结果表明基于最大团过滤的聚合规则可容忍系统中高达50％占比的中毒攻击；此外，在实验环节，本发明模拟了数据中毒攻击和模型中毒攻击，实验结果证明本发明可很好地抵御这两类主流中毒攻击，具有较强的鲁棒性；

4.实验结果表明，本发明在不同数据集、不同模型下均具有良好的效果，表明本发明具有良好的可用性；

附图说明

图1是本发明所使用的存在中毒攻击的联邦学习系统流程图；

图2是本发明所使用的基于欧氏距离构造无向图和生成最大团的示意图；

图3是本发明对部分参与者实施数据中毒攻击后得到的模型参数欧氏距离热力图；

图4是本发明在MNIST数据集上实施数据中毒攻击的实验效果图；

图5是本发明在MNIST数据集上实施模型中毒攻击的实验效果图；

图6是本发明在CIFAR10数据集上实施数据中毒攻击的实验效果图；

具体实施方式

下面结合附图和实施例对本发明的一种基于双陷门同态加密的鲁棒性联邦学习模型聚合方法做进一步说明和详细描述。

实施例

如图1所示，构建由三类成员(联邦参与方、模型聚合方、模型请求方)组成的联邦学习系统；假设在该系统中有30个联邦参与方、一个模型聚合方和一个模型请求方。其中，联邦参与方可以使用移动手机、平板电脑、笔记本电脑等设备，假设联邦参与方都是诚实且好奇的(也被称为半诚实，即联邦参与方诚实地遵守协议，但也会试图从接收到的信息中获取更多其他信息)，联邦参与方在本地拥有一部分MNIST手写数字数据集，MNIST数据集包含60000个训练集和10000测试数据集，数据集分为图片和标签，图片是28×28的像素矩阵，标签为0到9共10个数字；模型聚合方拥有计算能力强大的服务器，和模型请求方不共谋。

此外，假设在系统中存在两类攻击者，一类是被动攻击者，一类是主动攻击者，被动攻击者会试图窃听联邦参与方发送至模型聚合方的模型信息的隐私；主动攻击者会试图篡改部分联邦参与方的数据或者本地模型参数，本发明中主要考虑数据中毒攻击和模型中毒攻击这两种主动攻击者，但由于主动攻击者能力有限，因此其能投毒的联邦参与方数量是有限的，一般不会攻击超过半数的联邦参与方。

若在该联邦学习系统中使用本发明的基于双陷门同态加密的最大团过滤方案进行聚合的话，则可以同时实现隐私保护性与抵御中毒攻击的鲁棒性。具体包含如下子步骤：

步骤1：使用PyTorch编程语言在本地计算机模拟搭建一个联邦学习系统，系统中包括一个由30个联邦参与方、一个具有较强计算性能的模型聚合方，一个模型请求方；

其中，每个联邦参与方都在本地拥有一部分MNIST手写数字图片数据集，在方案中我们假设手写数字图片数据集在各参与方之间都是独立同分布的；

步骤2：建立分布式双陷门同态加密系统；

其中，分布式双陷门同态加密系统由密钥生成、加密、解密三部分组成，基于开源的Charm-crypto项目实现，可细分为如下子步骤：

步骤2.1：系统密钥生成。给定一个安全参数k，实验中设置安全参数值为128和两个大素数p，q，调用Charm-crypto的randomPrime库。并由此得到两个强素数p′、q′，且满足

和

然后计算N＝pq，λ＝lcm(p-1,q-1)/2，lcm()函数意为求两个参数的最小公倍数。定义一个函数

选择一个生成元g，g的阶为

为联邦参与方i随机选择θ_i∈[1,N/4]并计算

为联邦参与方i生成公钥pk_i＝(N,g,h_i)，其对应的弱私钥为sk_i＝θ_i，系统的强私钥为SK＝λ，其中强私钥可拆分为两个部分强私钥SK⁽¹⁾与SK⁽²⁾；

步骤2.2：系统加密：对明文m的加密需要先选定一个随机数r,r∈[1,N/4]，在公钥pk_i加密下的密文[m]表示为：

其中，

T_i,2＝g^r mod N²，其中mod表示取模运算；

步骤2.3：系统解密。所使用的分布式双陷门算法中，解密算法包括弱私钥解密WDec()、强私钥解密SDec()、部分强私钥解密PSDec()、部分弱私钥解密PWDec()四种形式；

步骤3：模型聚合方依据训练任务初始化一个用于手写数字图片识别的全局模型，此处是卷积神经网络(Convolutional Neural Network，CNN)模型，然后将初始化后的全局CNN模型发送给各个联邦参与方；

步骤4：各个联邦参与方接收到初始全局CNN模型，随后用自己的本地数据集来训练接收到的初始全局模型，从而得到各自的本地模型；

其中，各个联邦参与方在训练自己的本地CNN模型时需要调用自己的本地计算资源和本地数据集，训练过程中需依据各自设定的学习率，训练轮数等参数信息进行独立的训练；此处统一设置训练集样本数量为32，学习率为0.01，训练轮数为500；

步骤5：联邦参与方使用分布式双陷门同态加密系统加密自己的本地CNN模型参数，并将加密后的本地CNN模型参数上传给模型聚合方，这种方式即可防御被动攻击者；

步骤5.1：联邦参与方i的本地CNN模型参数为M_i，神经网络是在某些输入数据上执行的嵌套函数的集合。这些函数由参数(由权重和偏差组成)定义，这些参数在PyTorch中存储在张量中。实验中模型参数蕴含着各层网络的权重值和偏置值等信息，由多个浮点数组成。选择一个随机数r,r∈[1,N/4]，每个联邦参与方i都用自己独有的公钥pk_i加密本地CNN模型参数M_i，生成为：

其中

T_i,2＝g^r mod N²；

步骤5.2：联邦参与方i将加密后的本地CNN模型参数

上传到模型聚合方；

步骤6：模型聚合方执行过滤算法，筛选出遭到主动攻击的联邦参与方；

此处以主动攻击者发起数据中毒攻击中的标签翻转攻击为例，在MNIST手写数字图片数据集中不同的图片有不同的标签，例如手写数字“1”对应的标签为“1”，标签翻转攻击即篡改图片的标签，例如将手写数字“1”对应的标签更改为“7”。在本方案中，限定攻击者可攻击0至50％比例的联邦参与方；

其中，步骤6运行基于最大团算法的过滤规则，得到更新后的可靠的全局CNN模型参数，流程如图2所示，包括如下子步骤：

步骤6.1：计算各个加密的本地CNN模型参数两两之间的欧式距离，模型聚合方和模型请求方交互解密，得到明文下的欧氏距离，如图3热力图所示；

其中，联邦参与方i训练出的本地CNN模型参数M_i＝[m_i,1,m_i,2,…,m_i,n]，联邦参与方j训练出的本地CNN模型参数M_j＝[m_j,1,m_j,2,…,m_j,n]，均有n维。在明文下，M_i和M_j的欧氏距离计算公式为

由于密文下的开平方操作计算复杂度极高，且计算出欧式距离的平方

已达到保护模型参数隐私的需求。故在余下步骤中简化求解欧氏距离为求欧式距离的平方：

现在模型聚合方已知密文下的

和

欲求密文下的

则需要分别求出构成其的三部分，为了简化，用

B＝[M_iM_j]和

来表示。因为加密M_i和M_j所用公钥不同，需要先将其转化为联合公钥pk_∑下加密；

以

和

为例，两者是在不同的公钥pk_i和pk_j下加密的，乘法协议的目标是计算出在公钥pk_∑下的

此处需要模型聚合方和模型请求方交互进行，又包括如下子步骤：

步骤6.1.1：模型聚合方选取4个随机数r_i,r_j,R_i,

其中

代表整数集合。计算：

用部分强私钥SK⁽¹⁾执行部分强私钥解密算法PSDec()解密X、Y、S、T，得到：

将其部分解密后的X₁，Y₁,S₁，T₁一并发送给模型请求方；

步骤6.1.2：模型请求方使用另一部分强私钥SK⁽²⁾，执行部分强私钥解密算法PSDec()，得到：

模型请求方使用联合公钥pk_∑加密h，S₂和T₂，表示为

然后发送H，S₃和T₃给模型聚合方。由此证明：h＝(M_i+r_i)(M_j+r_j)；

步骤6.1.3：模型聚合方接收到H，S₃和T₃以后，先计算：

然后计算：

步骤6.1.4：联合公钥加密下求欧式距离；

其中，经过步骤6.1.3的乘法协议转换后，可由

和

求出

同理可求得：

则所求密文下的欧氏距离的平方可计算为：

其中

B＝[M_iM_j]和

用部分弱私钥PWDec()解密后，即可得到明文下的欧氏距离平方

然后对

执行开平方运算即可得到两个本地模型参数之间的欧氏距离dis_i,j；

步骤6.2：模型聚合方基于欧氏距离dis_i,j构造无向图；

其中构造无向图又可细分为如下两步：

步骤6.2.1：基于模型参数间的欧氏距离选择一个合适的阈值δ；

任意两个本地模型参数之间的欧氏距离越小，表示这两个本地模型越相近，两个正常联邦参与方的模型参数之间的欧式距离会很接近，而被攻击的联邦参与方的模型参数与正常联邦参与方的模型参数之间的欧氏距离会更远；

基于上述推论，用于过滤的阈值δ则是由模型请求方来选取欧氏距离排序后的中值，此处使用numpy库中的median()方法。这样选择阈值δ的前提条件是攻击者至多只能对小于50％比例的联邦参与方发起投毒攻击；

步骤6.2.2：构建模型参数之间的无向图；

使每个本地模型M_i对应于图中的一个顶点，如果本地模型M_i与本地模型M_j之间的欧式距离小于阈值δ，则认为两个本地模型它们之间存在一条边e_i,j。否则，这条边不存在。按照此种方式遍历完本地模型参数两两之间的欧氏距离以后，即可构造一个无向图；

步骤6.3：使用最大团查找算法在无向图中找到最大团，在实验中使用名为Bron-Kerbosch的最大团查找算法；

其中，最大团查找算法的步骤包括：

步骤6.3.1：构造三个集合A、B、C，A集合记录当前极大团中已经加入的点，B集合记录与A集合中所有点都有边存在的点，C集合的作用是判重，记录已经加入过某个极大团的点，防止出现重复的极大团；

步骤6.3.2：集合B中的点与集合A中的点都是连接的，集合B中的点p加入集合A，然后更新B集合，对在B集合中并且和点p连接的这部分集合中搜索下一个能加入A集合的点；

步骤6.3.3：执行回溯步骤，把点p从集合B移除，加入C集合，则对包含点p的极大团计算完毕；

步骤6.3.4：当B集合为空时，表示没有点能再加入A集合中；C集合存放的是已经完成极大团计算的点，如果C集合不为空，把C集合中的点加入A集合，则集合A点数增加，当C集合为空时，集合A才是极大团；将顶点数最多的极大团A返回给模型聚合方；

步骤7：执行最大团过滤算法以后，系统中剩下正常的联邦参与方提交的加密后的本地模型，然后模型聚合方使用平均聚合规则来得到更新后的全局CNN模型；

其中，模型聚合方执行平均聚合规则，将正常的联邦参与方上传的加密后的本地CNN模型参数用传统的模型求和再平均的方式聚合；

具体步骤包括：

步骤7.1：模型聚合方为过滤后剩下的k个正常的联邦参与方生成一系列随机数字r_i，并用公钥pk_i将r_i加密，r_i的大小与模型参数的个数相同；

步骤7.2：模型聚合方基于同态加密的加法同态性，将随机数r_i加密为

而后与密文下的模型参数

相乘，得到

再将

发送给模型请求方；

步骤7.3：模型请求方使用主密钥解密算法PSDec()解密

然后将多个M_i+r_i,i∈k相加求和得到

再将其发送给模型聚合方；

步骤7.4：模型聚合方利用加密方案的同态性

计算

将结果与

相乘，消除随机扰动，得到

并将其和系统聚合的模型数量k发送给联邦参与方i；

步骤7.5：联邦参与方i使用各自的私钥sk_i解密

得到

并将其除以k，由此得到最终的聚合结果，则各个联邦参与方可以得到新的全局CNN模型M_g；

步骤8：模型聚合方将更新后的全局CNN模型M_g发送给剩下的正常联邦参与方；

步骤9：正常的联邦参与方接收到新的全局CNN模型后，继续进行本地化模型训练，得到新一轮的本地模型，然后再将其加密上传给模型聚合方；

上述步骤4至步骤9循环往复，直至模型收敛，即达到预设的训练轮数或者达到期望的模型准确率；

步骤10：模型聚合方将最终得到的全局CNN模型M_g发送给模型请求方，至此，完成并结束联邦学习过程。

上述步骤迭代进行，在实验中设置收敛条件为训练500轮，全局模型收敛后，中心服务器用全局模型对测试集中的数据进行分类；为对比实验效果，实验中将本发明与普通聚合方法作比较；用测试准确率来衡量最终获得的全局模型的性能、评估本发明所述聚合方法的效果；实验结果如图4所示；

上述实验设置说明本发明易于实施，实现了联邦学习系统中多用户多密钥下的加密，且在使用分布式双陷门同态加密系统后仍能保持较高的测试准确率，本发明有益效果1可证；

为证明有益效果2，更改恶意客户端的占比，实验效果的测试准确率如图4所示，可以看到即便在数据中毒攻击之下，基于本发明聚合得到的全局模型也能达到较高的测试准确率，且其测试准确率明显优于普通聚合，本发明提出的聚合方法能容忍高达50％比例的恶意客户端，本发明有益效果2可证；

为证明有益效果3，更改攻击种类为模型中毒攻击，即在本地模型训练过程中主动攻击者通过任意篡改本地模型参数，此处使用numpy中的random.uniform方法，同时，保持其他实验设置不变，从图5的测试准确率看出本发明提出的聚合方法也可以抵御模型中毒攻击，具有较强的鲁棒性，本发明有益效果3可证；

为证明有益效果4，更改训练数据集为CIFAR10数据集，CIFAR10数据集包含：飞机、汽车、鸟类、猫等共10个类别的彩色图片，数据集中一共有50000张训练图片和10000张测试图片；训练CIFAR10数据集时使用ResNet残差神经网络作为训练模型，其他实验设置保持不变，实验结果图6表明本发明在不同的数据集下仍适用，具有良好的泛化性，本发明有益效果4可证；

上述流程的实验结果表明，在联邦学习的中毒攻击下，通过本发明，最终的测试准确率远高于对比实验中的普通聚合方法，证明其能够实现所述4种有益效果。

综上，以上仅为本发明的较佳实施例而已，本发明不应该局限于该实施例和附图所公开的内容。凡是不脱离本发明所公开的精神下进行的等效替代或修改，均应包含在本发明的保护范围之内。

Claims (3)

1.一种基于双陷门同态加密的鲁棒性联邦学习聚合方法，其特征在于：具体包括以下步骤：

步骤1：联邦学习系统初始化：建立一个包含多个本地联邦参与方和一个模型聚合方以及一个模型请求方的联邦学习系统；

步骤2：建立分布式双陷门同态加密系统；

其中，分布式双陷门同态加密系统由密钥生成、加密、解密三部分组成，可细分为如下子步骤：

步骤2.1：系统密钥生成，给定一个安全参数k和两个大素数p，q，并由此得到两个强素数p′、q′，且满足

和

然后计算N＝pq，λ＝lcm(p-1,q-1)/2，其中N代表两个大素数的乘积，lcm()函数意为求两个参数的最小公倍数，λ代表最小公倍数，然后定义一个以x为自变量的函数

选择一个生成元g，g的阶为

为联邦参与方i选择随机数θ_i∈[1,N/4]并计算

其中mod为取余运算的符号，h_i是公钥的一部分，系统为联邦参与方i生成公钥pk_i＝(N,g,h_i)，公钥对应的弱私钥sk_i＝θ_i，联邦参与方i和联邦参与方j的联合公钥pk_∑为：

系统的强私钥为SK＝λ，其中强私钥可拆分为两个部分强私钥SK⁽¹⁾与SK⁽²⁾；

步骤2.2：系统加密，对明文m的加密需要先选定一个随机数r，其中r∈[1,N/4]，在公钥pk_i下加密明文m，加密后表示为：

其中，

T_i,2＝g^r mod N²，T_i,1和T_i,2表示密文的一部分；

步骤2.3：系统解密，所使用的分布式双陷门算法中，解密算法包括弱私钥解密WDec()、强私钥解密SDec()、部分强私钥解密PSDec()、部分弱私钥解密PWDec()四种形式；

步骤3：模型聚合方依据训练任务初始化一个用于机器学习的全局模型，然后将初始化后的全局模型发送给各个联邦参与方；

步骤4：各个联邦参与方接收到初始全局模型，随后用自己的本地数据集来训练接收到的初始全局模型，从而得到各自的本地模型；

步骤5：联邦参与方通过分布式双陷门同态加密系统加密自己的本地模型参数，并将加密后的本地模型参数上传给模型聚合方；

步骤5.1：联邦参与方i的本地模型参数为M_i，选择一个随机数r,r∈[1,N/4]，每个联邦参与方i都用自己独有的公钥pk_i加密本地模型参数M_i，生成的密文为：

其中密文又可拆分为两部分：

T_i,2＝g^r mod N²；

步骤5.2：联邦参与方i将加密后的本地模型参数

上传到模型聚合方；

步骤6：模型聚合方执行过滤算法，筛选出遭到攻击的联邦参与方；

其中，步骤6运行基于最大团算法的过滤规则，得到更新后的可靠的全局模型参数，包括如下子步骤：

步骤6.1：计算各个加密的本地模型参数两两之间的欧式距离，模型聚合方和模型请求方交互解密，得到明文下的欧氏距离；

其中，联邦参与方i训练出的本地模型参数M_i＝[m_i,1,m_i,2,…,m_i,n]，在i的公钥pk_i加密下成为

联邦参与方j训练出的本地模型参数M_j＝[m_j,1,m_j,2,…,m_j,n]，在j的公钥pk_j加密下成为

本地模型参数均有n维，在明文下，M_i和M_j的欧氏距离计算公式为

由于密文下的开平方操作计算复杂度极高，且计算出欧式距离的平方

时已达到保护模型参数隐私的需求，故在余下步骤中简化求解欧氏距离为求欧式距离的平方：

现在模型聚合方已知密文下的

和

欲求密文下的

则需要分别求出构成其的三部分，为了简化，用

B＝[M_iM_j]和

来表示，因为加密M_i和M_j所用公钥不同，需要先将其转化为联合公钥pk_∑下加密；

以

和

为例，两者是在不同的公钥pk_i和pk_j下加密的，乘法转换协议的目标是计算出在联合公钥pk_∑下的密文

此处需要模型聚合方和模型请求方交互进行，又包括如下子步骤：

步骤6.1.1：模型聚合方选取4个随机数r_i,r_j,R_i,

其中

代表整数集合，计算：

用部分强私钥SK⁽¹⁾执行部分强私钥解密算法PSDec()解密X、Y、S、T，其中X、Y、S、T代表计算中间量，得到：

将其部分解密后的X₁、Y₁、S₁、T₁一并发送给模型请求方，其中X₁、Y₁、S₁、T₁代表计算中间量；

步骤6.1.2：模型请求方使用另一部分强私钥SK⁽²⁾，执行部分强私钥解密算法PSDec()，得到：

模型请求方使用联合公钥pk_∑加密h，S₂和T₂，表示为

然后发送H，S₃和T₃给模型聚合方，其中h、S₂、T₂、H、S₃、T₃均代表计算的中间量，由此计算，即可证明：h＝(M_i+r_i)(M_j+r_j)；

步骤6.1.3：模型聚合方接收到H，S₃和T₃以后，先计算中间量：

然后计算得出：

步骤6.1.4：联合公钥加密下求欧式距离

其中，经过步骤6.1.3的乘法协议转换后，可由

和

求出

同理可求得：

则所求密文下的欧氏距离的平方可计算为：

其中

B＝[M_iM_j]和

用部分弱私钥PWDec()解密后，即可得到明文下的欧氏距离平方

然后对

执行开平方运算即可得到两个本地模型参数之间的欧氏距离dis_i,j；

步骤6.2：模型聚合方基于欧氏距离dis_i,j构造无向图；

其中构造无向图又可细分为如下两步：

步骤6.2.1：基于模型参数间的欧氏距离选择一个阈值δ；

任意两个本地模型参数之间的欧氏距离越小，表示这两个本地模型越相近，两个正常联邦参与方的模型参数之间的欧式距离会很接近，而被攻击的联邦参与方的模型参数与正常联邦参与方的模型参数之间的欧氏距离会更远；

基于上述推论，用于过滤的阈值δ则是由模型请求方选取将任意两个参与方之间的欧氏距离进行排序后得到的中值，此处这样选择阈值δ的前提条件是攻击者至多只能对小于50％比例的联邦参与方发起投毒攻击；

步骤6.2.2：构建模型参数之间的无向图；

使每个本地模型参数M_i对应于图中的一个顶点，如果本地模型参数M_i与本地模型参数M_j之间的欧式距离小于阈值δ，则认为两个本地模型参数之间存在一条边e_i,j，否则，这条边不存在，按照此种方式遍历完本地模型参数两两之间的欧氏距离以后，即可构造一个无向图；

步骤6.3：使用最大团查找算法在无向图中找到最大团，团是一个无向图的完全子图，团的每对顶点之间都要有边相连；极大团是增加任何一个顶点以后都不再符合团的定义；最大团是含顶点数最多的极大团，最大团就是指最大完全子图的点集，在里面包含着由正常本地模型为顶点构造的集合，由此过滤出了被攻击的联邦参与方；

其中，最大团查找算法的步骤包括：

步骤6.3.1：构造三个集合U、V、R，其中U集合记录当前极大团中已经加入的点，V集合记录与U集合中所有点都有边存在的点，R集合的作用是判重，记录已经加入过某个极大团的点，防止出现重复的极大团；

步骤6.3.2：集合V中的点与集合U中的点都是连接的，集合V中的点p加入集合U，然后更新V集合，对在V集合中并且和点p连接的这部分点的集合中搜索下一个能加入U集合的点；

步骤6.3.3：执行回溯步骤，把点p从集合V移除，加入R集合，则对包含点p的极大团计算完毕；

步骤6.3.4：当V集合为空时，表示没有点再能加入U集合中；R集合存放的是已经完成极大团计算的点，如果R集合不为空，把R集合中的点加入U集合，则集合U点数增加，当R集合为空时，集合U才是极大团；将顶点数最多的极大团U作为最大团返回给模型聚合方；

步骤7：执行最大团过滤算法以后，系统中剩下正常联邦参与方所提交的加密后的本地模型，模型聚合方通过聚合这些本地模型来得到更新后的全局模型；

其中，模型聚合方执行平均聚合，将正常的联邦参与方上传的加密后的本地模型参数用传统的模型先求和再平均的方式聚合；

具体步骤包括：

步骤7.1：模型聚合方为过滤后剩下的k个正常的联邦参与方生成一系列随机数字r_i，i∈k，并用公钥pk_i将r_i加密，r_i的数量与模型参数的数量相同；

步骤7.2：模型聚合方利用加密方案的加法同态性，将随机数r_i加密为

而后与密文下的模型参数

相乘，得到

再将

发送给模型请求方；

步骤7.3：模型请求方执行双陷门同态加密中的强私钥解密算法SDec()解密

然后将k个(M_i+r_i),i∈k相加求和，再加密得到：

随后再将其发送给模型聚合方；

步骤7.4：模型聚合方利用加密方案的数乘同态性

计算

将结果与

相乘，从而消除随机扰动，得到

并将其和系统聚合的模型数量k发送给联邦参与方i；

步骤7.5：联邦参与方i使用各自的私钥sk_i解密

得到

并将其除以k，由此得到最终的平均聚合结果，则各联邦参与方均可以得到新的全局模型M_g；

步骤8：模型聚合方将更新后的全局模型M_g发送给剩下的正常联邦参与方；

步骤9：正常的联邦参与方接收到新的全局模型后，进行本地化模型训练，得到新一轮的本地模型，然后再将其加密上传给模型聚合方；

上述步骤4至步骤9循环往复，直至模型收敛，即达到预设的训练轮数或者达到期望的模型准确率；

步骤10：模型聚合方将最终得到的全局模型发送给模型请求方，至此，完成并结束联邦学习过程。

2.根据权利要求1所述的一种基于双陷门同态加密的鲁棒性联邦学习聚合方法，其特征在于：步骤1中的多个本地联邦参与方具有本地数据集和本地计算资源，模型聚合方具有强大的计算资源，模型请求方具有使用最终训练好的模型的需求和配合模型聚合方一起解密的条件。

3.根据权利要求1所述的一种基于双陷门同态加密的鲁棒性联邦学习聚合方法，其特征在于：步骤4中的各个联邦参与方在训练自己的本地模型时需要调用自己的本地计算资源和本地数据集，训练过程中需依据各自设定的学习率，训练轮数等参数信息进行独立的训练。

Images