分享自:

基于原型的隐私保护个性化联邦学习框架

期刊:Lecture Notes in Computer ScienceDOI:10.1007/978-981-97-9053-1_13

类型a:这篇文档报告了一项原创研究。

主要作者和机构及发表信息
本研究的主要作者包括刘立伟(Liwei Liu)、刘子健(Zijian Liu)和阮娜(Na Ruan),他们均来自上海交通大学(Shanghai Jiao Tong University)。该研究发表于2024年的《信息安全与隐私保护》会议论文集(ISPEC 2024),属于Lecture Notes in Computer Science (LNCS)系列,卷号15053,页码222–239。

学术背景
本研究的主要科学领域是联邦学习(Federated Learning, FL)和隐私保护技术。近年来,联邦学习作为一种能够在保护用户隐私的同时实现协同训练的机器学习方法,受到了广泛关注。然而,传统的联邦学习范式存在两个主要局限性:对独立同分布(IID)数据假设的依赖以及本地模型和全局模型架构设计的同质化问题。这些问题在面对非独立同分布(Non-IID)数据时会导致性能下降,并且忽视了用户的个性化需求。为了解决这些异质性问题,原型联邦学习(Prototype Federated Learning, PFL)应运而生,它通过原型聚合代替梯度聚合,在处理异质性问题上表现出色。然而,原始的PFL框架忽略了原型泄露可能带来的隐私风险。因此,本研究旨在揭示原型泄露的潜在风险,并提出一种基于原型的隐私保护个性化联邦学习框架,以解决这一问题。

研究流程
本研究的工作流程主要包括以下几个步骤:

  1. 生成攻击实验
    研究首先设计了一个基于条件生成对抗网络(Conditional Generative Adversarial Network, CGAN)的生成攻击方法,用以验证原型泄露的风险。实验中使用了MNIST数据集作为约束条件,并从其中随机采样三分之一的数据作为辅助训练集。CGAN由一个判别器(Discriminator, D)和一个生成器(Generator, G)组成,两者均为多层感知机(Multilayer Perceptron, MLP)。在训练过程中,生成器通过对抗训练逐步优化,最终生成能够重建样本的图像。实验中设置了学习率为0.002,原型维度为50,噪声采样自高斯分布且维度为100。噪声与原型连接后输入生成器进行后续训练。

  2. 隐私保护框架设计
    在揭示原型泄露风险的基础上,研究提出了一个基于原型的隐私保护个性化联邦学习框架。该框架引入了部分同态加密(Partially Homomorphic Encryption, PHE)技术,通过对原型信息进行加密传输,避免了直接暴露原型信息。具体而言,框架包含以下关键步骤:

    • 全局原型密文广播:中央服务器向所有客户端广播加密的全局原型列表。
    • 计算全局原型:客户端接收并解密全局原型密文列表,获得未加密的全局原型列表用于训练。
    • 本地更新:客户端生成本地原型列表,并使用本地数据集进行下一轮训练。训练完成后重新计算本地原型列表。
    • 本地原型加密:客户端使用预协商的公钥对本地原型列表进行加密,生成加密的本地原型列表。
    • 原型聚合:中央服务器直接对加密的本地原型列表进行聚合操作,生成下一轮通信的全局原型密文列表。

  3. 额外开销评估
    研究还对引入部分同态加密技术后的额外时间开销进行了理论估算。公式表明,相较于传统联邦学习,基于原型的联邦学习由于传输的原型维度较低(通常为数百维),加密操作次数显著减少。以CIFAR-10数据集为例,单轮通信的额外开销不到1分钟,而单轮训练时间超过半小时。

主要结果
1. 生成攻击的有效性
实验结果表明,随着攻击模型训练迭代次数的增加,生成器生成的图像逐渐从初始的无意义噪声转变为对应的数字图像。这初步证明了利用原型作为约束条件,条件生成模型可以实现样本重建等攻击目标。例如,使用第5轮原型联邦训练中收集的全局原型信息训练CGAN,生成器成功重建了手写数字图像。

  1. 原型聚合的影响
    不同阶段的原型聚合对生成攻击的效果有显著影响。早期(第5轮)收集的全局原型能够快速生成表现良好的生成模型,但中期(第50轮)和后期(第100轮)收集的全局原型需要更多迭代次数才能达到更好的生成效果。这可能是因为随着原型聚合的进行,全局原型封装了更深层次的隐藏信息,简单的条件生成网络难以提取潜在信息。

  2. 统计异质性场景下的性能评估
    在模拟统计异质性场景的实验中,研究分别在MNIST、FEMNIST和CIFAR-10数据集上测试了不同模型结构的表现。结果表明,基于原型聚合的方法在MNIST和FEMNIST数据集上的测试准确率显著高于传统的FedAvg算法。对于CIFAR-10数据集,当类别数n=3或4时,原型方法表现出明显优势;但当n=5时,使用预训练MobileNet V2模型的准确率低于基线模型。这可能与MobileNet V2的设计更注重轻量化有关。

结论与意义
本研究揭示了原型泄露可能导致的隐私风险,并提出了一种基于原型的隐私保护个性化联邦学习框架。该框架通过引入部分同态加密技术,有效解决了原型联邦学习中的隐私问题,同时保留了其在处理异质性问题上的优势。此外,研究总结了原型生成的一般规律,为未来研究提供了有价值的指导。这项研究不仅在理论上丰富了联邦学习领域的知识体系,还在实际应用中为保护用户隐私提供了新的解决方案。

研究亮点
1. 首次揭示了原型泄露可能导致的隐私风险,并设计了基于CGAN的生成攻击方法进行实证验证。
2. 提出了一种结合部分同态加密技术的隐私保护个性化联邦学习框架,解决了原型联邦学习中的隐私问题。
3. 总结了原型生成的一般规律,为模型选择和优化提供了参考依据。

其他有价值内容
研究还探讨了不同模型结构在原型生成中的表现差异。例如,在FEMNIST数据集上,使用CNN_FEMNIST作为原型生成层在n=3时表现优于LeNet,但随着n的变化,CNN_FEMNIST的测试准确率下降幅度较大,而LeNet的表现相对稳定。这表明在复杂任务中,模型的选择需根据具体场景进行调整。

上述解读依据用户上传的学术文献,如有不准确或可能侵权之处请联系本站站长:admin@fmread.com