CN115766137A - 基于安全洗牌的联邦学习方法及系统 - Google Patents

Abstract

本发明涉及一种基于安全洗牌的联邦学习方法及系统，包括以下步骤：S1.服务器下发训练模型到各个客户端；S2.客户端接收到服务器下发的训练模型后，利用本地的训练数据对训练模型进行训练，得到模型参数信息；S3.客户端对得到的模型参数信息进行扰动；对扰动后的模型参数信息利用公钥进行加密；S4.客户端将加密后的模型参数信息上传至安全洗牌器，安全洗牌器对客户端上传的数据进行混洗操作，再将所述混洗后的数据上传至服务器；S5.服务器对安全洗牌器上传的数据利用私钥进行解密，然后进行模型聚合，基于模型聚合的结果更新训练模型；S6.重复执行步骤S1~S5直至训练模型收敛，服务器向各客户端公布训练收敛的训练模型。

Description

基于安全洗牌的联邦学习方法及系统

技术领域

本发明涉及联邦学习技术领域，更具体地，涉及一种基于安全洗牌的联邦学习方法及系统。

背景技术

当前，大数据产业发展迅速，大数据也成为了国家战略来部署。然而，国内经济社会大数据领域比较离散，政府部门之间、企业之间、政府与企业之间由于存在利益冲突、隐私难以保障等多重因素，逐渐形成了数据孤岛，阻碍了大数据产业发展。随着我国对数据的监管与使用越来越严格，以及对个人信息数据、科学数据、医疗数据等多种数据的保护，从而加剧了数据孤岛的出现。为了解决数据孤岛的问题，谷歌提出了联邦学习的概念，希望去解决数据孤岛和数据融合的问题，这是由多个参与方之间不直接分享数据，仅在中间过程交互训练参数的方式，共同学习一个全局模型。尽管联邦学习避免了将数据直接暴露给其他参与方，但依然存在隐私泄露的风险，联邦学习需要在中间训练过程交换大量参数，服务器利用客户端上传的模型参数可能会得到该客户的数据分布特征等隐私信息，例如，攻击者可以利用用户上传的权重推理出用户的原始数据。另外服务器将模型下发给每一个客户端后，恶意客户端或者外部使用者可能会从该训练好的模型中窃取其他参与者的隐私信息。因此，如何避免联邦学习模型在训练和发布的过程中，避免攻击者获取参与者的隐私数据，成为了一个急需解决的问题。

面对联邦学习中参与方的隐私安全的挑战，Geyer等人设计了一种基于中心化差分隐私的联邦学习方案，其隐私保护对象为单条记录，防御对象是外部使用者。用户上传模型参数到中心聚合器，由中心聚合器对客户端聚合后的权重添加噪声，再下发模型，进行下一轮更新，此过程需要依赖于一个完全可信的中心聚合器。Wang等人设计了一种基于本地化差分隐私的联邦学习方案，其防御对象是中心服务器和外部使用者，客户端在上传参数前添加噪声，再将噪声数据上传到中心聚合器。这个过程不需要依赖于一个可信的第三方聚合器，它的隐私性更强，但是由于引入了大量的噪声数据，导致模型的可用性和准确率较差。

发明内容

本发明的发明目的在于提供一种基于安全洗牌的联邦学习方法，该方法通过在客户端对得到的模型参数信息进行扰动及加密，在安全洗牌器进行混洗，最后在服务器侧对所述数据进行解密及训练模型聚合更新，整个联邦学习的过程不需依赖一个可信的中心聚合器，且通过混洗操作将客户端和相应数据之间的关联关系进行打乱，达到隐私放大的效果，添加少量的噪声即可达到更强的隐私性，提高最终聚合训练模型的准确率和可用性。

为实现以上发明目的，采用的技术方案是：

基于安全洗牌的联邦学习方法，包括以下步骤：

S1.服务器下发训练模型到各个客户端；

S2.客户端接收到服务器下发的训练模型后，利用本地的训练数据对训练模型进行训练，得到模型参数信息；

S3.客户端对得到的模型参数信息进行扰动；采用非对称加密的方式，对扰动后的模型参数信息利用公钥进行加密；

S4.客户端将加密后的模型参数信息上传至安全洗牌器，安全洗牌器对客户端上传的数据进行混洗操作，再将所述混洗后的数据上传至服务器；

S5.服务器对安全洗牌器上传的数据利用私钥进行解密，然后进行模型聚合，基于模型聚合的结果更新训练模型；

S6.重复执行步骤S1～S5直至训练模型收敛，服务器向各客户端公布训练收敛的训练模型。

优选地，所述步骤S1中，服务器下发的训练模型表示为θ^t，t表示训练轮次，t的初始值为1。

优选地，所述步骤S2中，客户端对得到的模型参数信息进行排序，找到前K个重要的维度；步骤S3对前K个重要维度的模型参数信息进行扰动。

优选地，所述步骤S3中，客户端对得到的模型参数信息进行扰动，具体包括：

向模型参数信息添加满足差分隐私机制的laplace噪声，令R()为扰动函数，扰动添加的laplace噪声需满足以下条件：

Pr[R(w_i)＝y]≤e^εPr[R(w′_i)＝y]

其中，Pr[R(w_i)＝y]表示求取R(w_i)被泄露的概率，ε为隐私保护预算；w_i表示第i个客户端得到的模型参数信息，w′_i表示为w_i的相邻数据集，R(w_i)表示w_i添加laplace噪声进行扰动后得到的模型参数信息。

优选地，所述步骤S3中，采用非对称加密的方式，对扰动后的模型参数信息利用公钥进行加密，具体表示为：

C_i＝Enc(pk，R(w_i))

其中，pk表示公钥，Enc()表示加密函数，C_i为R(w_i)加密后得到的数据。

优选地，所述步骤S4中，安全洗牌器对客户端上传的数据进行混洗操作，具体包括：

设共有n个客户端，n个客户端上传的数据为(1，C₁)，(2，C₂)，...，(n，C_n)，i∈[1，n]；

对n个客户端上传的数据进行混洗操作，使其满足泊松分布，具体如下：

Y_π＝S(C₁，C₂，...，C_n)

其中S()表示混洗函数，Y_π表示为(C₁，C₂，…，C_n)经过混洗操作后满足泊松分布。

优选地，所述步骤S5中，服务器对安全洗牌器上传的数据利用私钥进行解密，具体包括：

R(w_i)＝Dec(sk，C_i)

其中sk为私钥，Dec()为解密函数，R(w_i)表示为解密后得到的数据。

优选地，所述步骤S5中，进行模型聚合具体包括：

优选地，所述步骤S5中，基于模型聚合的结果更新训练模型，具体包括：

θ^t+1＝θ^t+Z。

同时，本发明还提供了一种基于安全洗牌的联邦学习系统，其具体的方案如下：包括客户端、服务器和安全洗牌器，所述联邦学习系统进行联邦学习时，执行以上所述基于安全洗牌的联邦学习方法的方法步骤。

与现有技术相比，本发明的有益效果是：

(1)本发明提供的联邦学习方法通过设置安全洗牌器，将各个客户端与服务器进行隔离，整个联邦学习的过程不需依赖一个可信的中心聚合器，提高联邦学习各参与方数据的隐私性。

(2)本发明提供的联邦学习方法通过客户端对模型参数进行预处理，将对模型收敛贡献最大的模型参数上传到安全洗牌器中进行混洗，有效的提高了最终聚合模型的准确率和可用性，同时也减少了联邦过程中的通信代价。

(3)本发明提供的联邦学习方法中，客户端上传到安全洗牌器的模型参数经过了划分到更多向量，减少了重要参数泄露的风险，同时对划分后的参数进行了加噪扰动和公钥加密，有效的提高了联邦学习的隐私性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其它的附图。

图1为基于安全洗牌的联邦学习方法的框架示意图。

图2为步骤S2客户端对得到的模型参数信息进行排序，找到前K个重要的维度，并对所述维度进行填充及划分的示意图。

具体实施方式

为使得本发明的发明目的、特征、优点能够更加的明显和易懂，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，下面所描述的实施例仅仅是本发明一部分实施例，而非全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

实施例1

图1为本实施例提供的基于安全洗牌的联邦学习方法的框架示意图。如图1所示，本发明提供的基于安全洗牌的联邦学习方法包括有以下步骤：

S1.服务器下发训练模型到各个客户端；

S2.客户端接收到服务器下发的训练模型后，利用本地的训练数据对训练模型进行训练，得到模型参数信息；

S3.客户端对得到的模型参数信息进行扰动；采用非对称加密的方式，对扰动后的模型参数信息利用公钥进行加密；

S4.客户端将加密后的模型参数信息上传至安全洗牌器，安全洗牌器对客户端上传的数据进行混洗操作，再将所述混洗后的数据上传至服务器；

S5.服务器对安全洗牌器上传的数据利用私钥进行解密，然后进行模型聚合，基于模型聚合的结果更新训练模型；

S6.重复执行步骤S1～S5直至训练模型收敛，服务器向各客户端公布训练收敛的训练模型。

在具体的实施过程中，所述步骤S1中，服务器下发的训练模型表示为θ^t，t表示训练轮次，t的初始值为1。

在具体的实施过程中，所述步骤S2中，客户端对得到的模型参数信息进行排序，找到前K个重要的维度；步骤S3对前K个重要维度的模型参数信息进行扰动。

其中上述维度指的是数据的属性，前K个重要数据维度是指对模型收敛贡献最大的前K个维度。如图2所示，在具体实施时通过计算每个维度的梯度值对维度进行排序，具体为：

模型θ^t的模型参数为θ_i(i＝0,1,2,...,n)，i为模型参数维度的序号，n表示模型参数的维度总数；θ^t的损失函数为J(θ₀,θ₁...,θ_n)，确定每一个θ_i对应的损失函数的梯度；对于θ_i,其梯度表达式如下：

得到参数θ_i的梯度为grad_i(i＝0,1,2,...,n)，对所有的grad_i进行由大到小排序，梯度值grad_i越大，表明对应的θ_i对模型收敛贡献越大。根据grad_i对θ_i进行排序，grad_i越大的θ_i排序越靠前。

筛选寻找得到前K个重要的数据维度后，由于每个维度的取值范围可能不一致，因此需要对这K个数据维度进行对齐，对每个维度进行虚拟值填充，具体操作如下：

设维度最大的取值域为d_max，每个维度的取值域设为d_k，k＝0,1,2,...,K，则每个维度需要填充的虚拟值为d_max-d_k，虚拟值来自于与维度同一空间域的随机值；

对于填充虚拟值进行对齐后的K个数据维度，再随机划分为L(L≥K)个向量，步骤S3对L个向量的模型参数信息进行扰动。

在具体的实施过程中，所述步骤S3中，客户端对得到的模型参数信息进行扰动，具体包括：

向模型参数信息添加满足差分隐私机制的laplace噪声，令R()为扰动函数，扰动添加的laplace噪声需满足以下条件：

Pr[R(w_i)＝y]≤e^εPr[R(w′_i)＝y]

其中，Pr[R(w_i)＝y]表示求取R(w_i)被泄露的概率，ε为隐私保护预算；w_i表示第i个客户端得到的模型参数信息，w′_i表示为w_i的相邻数据集，R(w_i)表示w_i添加laplace噪声进行扰动后得到的模型参数信息。

在具体的实施过程中，所述步骤S3中，采用非对称加密的方式，对扰动后的模型参数信息利用公钥进行加密，具体表示为：

C_i＝Enc(pk，R(w_i))

其中，pk表示公钥，Enc()表示加密函数，C_i为R(w_i)加密后得到的数据。

在具体的实施过程中，所述步骤S4中，安全洗牌器对客户端上传的数据进行混洗操作，具体包括：

设共有n个客户端，n个客户端上传的数据为(1，C₁)，(2，C₂)，...，(n，C_n)，i∈[1，n]；

对n个客户端上传的数据进行混洗操作，使其满足泊松分布，具体如下：

Y_π＝S(C₁，C₂，...，C_n)

其中S()表示混洗函数，Y_π表示为(C₁，C₂，...，C_n)经过混洗操作后满足泊松分布。

在具体的实施过程中，所述步骤S5中，服务器对安全洗牌器上传的数据利用私钥进行解密，具体包括：

R(w_i)＝Dec(sk，C_i)

其中sk为私钥，Dec()为解密函数，R(w_i)表示为解密后得到的数据。

在具体的实施过程中，所述步骤S5中，进行模型聚合具体包括：

在具体的实施过程中，所述步骤S5中，基于模型聚合的结果更新训练模型，具体包括：

θ^t+1＝θ^t+Z。

实施例2

本实施例提供了一种基于安全洗牌的联邦学习系统，其具体的方案如下：包括客户端、服务器和安全洗牌器，所述联邦学习系统进行联邦学习时，执行实施例1所述基于安全洗牌的联邦学习方法的方法步骤。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统，装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-OnlyMemory)、随机存取存储器(RAM，RandomAccessMemory)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (10)

1.基于安全洗牌的联邦学习方法，其特征在于：包括以下步骤：

S1.服务器下发训练模型到各个客户端；

S2.客户端接收到服务器下发的训练模型后，利用本地的训练数据对训练模型进行训练，得到模型参数信息；

S3.客户端对得到的模型参数信息进行扰动；采用非对称加密的方式，对扰动后的模型参数信息利用公钥进行加密；

S4.客户端将加密后的模型参数信息上传至安全洗牌器，安全洗牌器对客户端上传的数据进行混洗操作，再将所述混洗后的数据上传至服务器；

S5.服务器对安全洗牌器上传的数据利用私钥进行解密，然后进行模型聚合，基于模型聚合的结果更新训练模型；

S6.重复执行步骤S1～S5直至训练模型收敛，服务器向各客户端公布训练收敛的训练模型。

2.根据权利要求1所述的基于安全洗牌的联邦学习方法，其特征在于：所述步骤S1中，服务器下发的训练模型表示为θ^t，t表示训练轮次，t的初始值为1。

3.根据权利要求1所述的基于安全洗牌的联邦学习方法，其特征在于：所述步骤S2中，客户端对得到的模型参数信息进行排序，找到前K个重要的维度；步骤S3对前K个重要维度的模型参数信息进行扰动。

4.根据权利要求1所述的基于安全洗牌的联邦学习方法，其特征在于：所述步骤S3中，客户端对得到的模型参数信息进行扰动，具体包括：

向模型参数信息添加满足差分隐私机制的laplace噪声，令R()为扰动函数，扰动添加的laplace噪声需满足以下条件：

Pr[R(w_i)＝y]≤e^εPr[R(w′_i)＝y]

其中，Pr[R(w_i)＝y]表示求取R(w_i)被泄露的概率，ε为隐私保护预算；w_i表示第i个客户端得到的模型参数信息，w'_i表示为w_i的相邻数据集，R(w_i)表示w_i添加laplace噪声进行扰动后得到的模型参数信息。

5.根据权利要求4所述的基于安全洗牌的联邦学习方法，其特征在于：所述步骤S3中，采用非对称加密的方式，对扰动后的模型参数信息利用公钥进行加密，具体表示为：

C_i＝Enc(pk，R(w_i))其中，pk表示公钥，Enc()表示加密函数，C_i为R(w_i)加密后得到的数据。

6.根据权利要求5所述的基于安全洗牌的联邦学习方法，其特征在于：所述步骤S4中，安全洗牌器对客户端上传的数据进行混洗操作，具体包括：

设共有n个客户端，n个客户端上传的数据为(1,C₁)，(2,C₂)，…，(n,C_n)，i∈[1,n]；

对n个客户端上传的数据进行混洗操作，使其满足泊松分布，具体如下：

Y_π＝S(C₁，C₂，...，C_n)

其中S()表示混洗函数，Y_π表示为(C₁,C₂,…,C_n)经过混洗操作后满足泊松分布。

7.根据权利要求6所述的基于安全洗牌的联邦学习方法，其特征在于：所述步骤S5中，服务器对安全洗牌器上传的数据利用私钥进行解密，具体包括：

R(w_i)＝Dec(sk，C_i)

其中sk为私钥，Dec()为解密函数，R(w_i)表示为解密后得到的数据。

8.根据权利要求7所述的基于安全洗牌的联邦学习方法，其特征在于：所述步骤S5中，进行模型聚合具体包括：

9.根据权利要求8所述的基于安全洗牌的联邦学习方法，其特征在于：所述步骤S5中，基于模型聚合的结果更新训练模型，具体包括：

θ^t+1＝θ^t+Z。

10.一种基于安全洗牌的联邦学习系统，其特征在于：包括客户端、服务器和安全洗牌器，所述联邦学习系统进行联邦学习时，执行权利要求1～9任一项所述基于安全洗牌的联邦学习方法的方法步骤。

Images