《聯(lián)邦學(xué)習(xí)實戰(zhàn)》（楊強等著）讀書筆記

1、基于同態(tài)加密的安全機制

作為一種不需要將密文解密就可以處理密文的方法，同態(tài)加密是目前聯(lián)邦學(xué)習(xí)系統(tǒng)里最常用的隱私保護機制，例如橫向聯(lián)邦學(xué)習(xí)里基于同態(tài)加密的安全聚合方法、基于同態(tài)加密的縱向聯(lián)邦學(xué)習(xí)、基于同態(tài)加密的聯(lián)邦遷移學(xué)習(xí)。

同態(tài)加密機制能夠在不對密文解密的情況下計算密文（這樣計算方就不需要了解明文內(nèi)容，只要獲得密文就可以了），可以很好地保護敏感數(shù)據(jù)和信息，同時又可以執(zhí)行計算操作（例如在加密狀態(tài)下地加減乘除四則運算）。也就是說，其他人可以對加密數(shù)據(jù)進行處理，但是處理過程不會泄露任何原始內(nèi)容。同時，擁有解密密鑰地參與方解密處理過的數(shù)據(jù)后，得到的結(jié)果正好是處理相應(yīng)的明文的結(jié)果。

同態(tài)加密方法可以分為三類：部分同態(tài)加密、些許同態(tài)加密、全同態(tài)加密。不同的同態(tài)加密方案的計算復(fù)雜度區(qū)別很大。

2、基于差分隱私的安全機制

差分隱私采用了一種隨機機制，使得當輸入中的單個樣本改變之后，輸出的分布不會有太大的改變。差分隱私是在統(tǒng)計披露控制的場景下發(fā)展起來的。它提供了一種信息理論安全性保障，即函數(shù)的輸出結(jié)果對數(shù)據(jù)集里的任何特定記錄都不敏感。因此，差分隱私能被用于抵抗成員推理攻擊。

按照數(shù)據(jù)收集方式的不同，當前的差分隱私可以分為中心化差分隱私和本地化差分隱私，它們的區(qū)別主要在于差分隱私對數(shù)據(jù)處理的階段不同。中心化差分隱私在實際的應(yīng)用中，有兩個非常重要的性質(zhì)：串行組合和并行組合。本地化差分隱私可以將數(shù)據(jù)隱私化的工作轉(zhuǎn)移到每個參與方，參與方自己來處理和保護數(shù)據(jù)，進一步降低了隱私泄露的可能性。

中心化差分隱私是定義在任意兩個相鄰數(shù)據(jù)集的輸出相似性上的，而本地化差分隱私是定義在本地數(shù)據(jù)任意兩條記錄的輸出相似性上的。此外，本地化差分隱私同樣繼承了組合特性，即它同樣滿足并行組合和串行組合的性質(zhì)。

目前實現(xiàn)差分隱私保護的主流方法是添加擾動噪聲數(shù)據(jù)，中心化差分隱私采用的擾動機制可以包括拉普拉斯機制、高斯機制、指數(shù)機制等，而本地化差分隱私一般通過隨機響應(yīng)來實現(xiàn)。

在機器學(xué)習(xí)領(lǐng)域應(yīng)用差分隱私算法，一個關(guān)鍵的問題是何時、何階段添加噪聲數(shù)據(jù)。為此，差分隱私算法根據(jù)噪聲數(shù)據(jù)擾動使用的方式和使用階段的不同，將其劃分為下面幾類：

1. 輸入擾動

2. 目標擾動

3. 算法擾動

4. 輸出擾動

3、基于安全多方計算的安全機制

安全多方計算（MPC）是密碼學(xué)的一個子領(lǐng)域，目的是多個參與方協(xié)同地從每一方的隱私輸入中計算某個函數(shù)的結(jié)果，而不用將這些輸入數(shù)據(jù)展示給其他方?；贛PC，對于任何函數(shù)功能需求，我們都可以在不泄露除輸出以外的信息的前提下計算它。

當前主要有三種常用的隱私計算框架，可以用來實現(xiàn)安全多方計算，它們分別是：秘密共享、不經(jīng)意傳輸、混淆電路。

秘密共享就是指將要共享的秘密在一個用戶群體里進行合理分配，以達到由所有成員共同掌管秘密的目的。在秘密共享系統(tǒng)中，攻擊者必須同時獲得一定數(shù)量的秘密碎片才能獲得密鑰，這種共享系統(tǒng)提高了系統(tǒng)的安全性。另外，當某些秘密碎片丟失或被毀時，利用其他的秘密份額仍然能夠獲得秘密，從而提高系統(tǒng)的可靠性。

不經(jīng)意傳輸中接收方不能得知關(guān)于數(shù)據(jù)庫的任何其他信息，發(fā)送方也不能了解關(guān)于接收方i的選擇的任何信息。

混淆電路的思想是通過布爾電路的觀點構(gòu)造安全函數(shù)計算，使得參與方可以針對某個數(shù)值來計算答案，而不需要知道它們在計算式中輸入的具體數(shù)字。因為GC的多方的共同計算是通過電路的方式實現(xiàn)的，所以這里的關(guān)鍵詞是“電路”。實際上，所有可計算問題都可以轉(zhuǎn)化為各個不同的電路，例如加法電路、比較電路、乘法電路等。而電路是由一個個門組成的，例如與門、非門、或門、與非門等。

混淆電路可以看成一種基于不經(jīng)意傳輸?shù)膬煞桨踩嬎銋f(xié)議，它能夠在不依賴第三方的前提下，允許兩個互不信任方在各自私有輸入上對任何函數(shù)進行求值。GC由一個不經(jīng)意傳輸協(xié)議和一個分組密碼組成。電路的復(fù)雜度至少是隨輸入內(nèi)容大小的增大而線性增長的。

4、總結(jié)

本章介紹了聯(lián)邦學(xué)習(xí)常用的三大安全機制，即同態(tài)加密、差分隱私和安全多方計算，它們也是密碼學(xué)領(lǐng)域常用的安全策略，在與聯(lián)邦學(xué)習(xí)結(jié)合使用的過程中，各自有優(yōu)點和缺點。從計算性能、通信性能和安全性三個維度對它們進行綜合比較如下：

1. 計算性能：從計算的角度看，計算主要耗時在求取梯度上。對于同態(tài)加密，計算在密文的狀態(tài)下進行，密文的計算要比明文的計算耗時更長；而差分隱私主要通過添加噪聲數(shù)據(jù)進行計算，其效率與直接明文計算幾乎沒有區(qū)別；同理，秘密共享是在明文狀態(tài)下進行的，計算性能基本不受影響。

2. 通信性能：從通信的角度看，同態(tài)加密傳輸?shù)氖敲芪臄?shù)據(jù)，密文數(shù)據(jù)比明文數(shù)據(jù)占用的比特數(shù)要更大，因此傳輸效率要比明文慢；差分隱私傳輸?shù)氖菐г肼晹?shù)據(jù)的明文數(shù)據(jù)，其傳輸效率與直接明文傳輸幾乎沒有區(qū)別；秘密共享為了保護數(shù)據(jù)隱私，通常會將數(shù)據(jù)進行拆分并向多方傳輸，完成相同功能的迭代。同態(tài)加密和差分隱私需要一次，而秘密共享需要多次數(shù)據(jù)傳輸才能完成。

3. 安全性：注意，由于安全性的范圍很廣，這里我們特指在聯(lián)邦學(xué)習(xí)場景中本地數(shù)據(jù)隱私的安全。雖然在聯(lián)邦學(xué)習(xí)的過程中，我們是通過模型參數(shù)的交互來進行訓(xùn)練的，而不是交換原始數(shù)據(jù)，但當前越來越多的研究都表明，即使只有模型的參數(shù)或者梯度，也能反向破解原始的輸入數(shù)據(jù)。結(jié)合當前的三種安全機制來保護聯(lián)邦學(xué)習(xí)訓(xùn)練時的模型參數(shù)傳輸：同態(tài)加密由于傳輸?shù)氖敲芪臄?shù)據(jù)，因此其安全性是最可靠的；秘密共享通過將模型參數(shù)數(shù)據(jù)進行拆分，只有當惡意用戶端超過一定的數(shù)目并且相互串通合謀時，才有信息泄露的風(fēng)險，總體上安全性較高；差分隱私對模型參數(shù)添加噪聲數(shù)據(jù)，但添加的噪聲會直接影響模型的性能（當噪聲比較小時，模型的性能損失較小，但安全性變差；相反，當噪聲比較大時，模型的性能損失較大，但安全性變強）。文章來源地址http://www.zghlxwxcb.cn/news/detail-459608.html