可信联邦学习的安全、鲁棒性与隐私视角综述报告

作者及机构
本文由Yifei Zhang（香港中文大学）、Dun Zeng（电子科技大学）、Jinglong Luo（哈尔滨工业大学/鹏城实验室）作为共同第一作者，Zenglin Xu（哈尔滨工业大学/鹏城实验室）和Irwin King（香港中文大学）作为通讯作者合作完成，发表于2023年4月30日至5月4日举办的ACM Web Conference（WWW ‘23 Companion）。

研究主题与背景
本文是一篇系统性综述，聚焦于可信联邦学习（Trustworthy Federated Learning, TFL）这一新兴领域，从安全性（Security）、鲁棒性（Robustness）和隐私性（Privacy）三大维度，探讨如何构建可靠的联邦学习系统。联邦学习（FL）作为一种分布式机器学习范式，能在不共享原始数据的前提下实现多方协同建模，广泛应用于金融风险评估、药物研发等领域。然而，数据隔离、对抗攻击和隐私泄露等问题威胁其可信性。本文旨在填补现有研究空白——不同于法律视角或非技术性讨论，作者提出技术驱动的TFL实现路径，并梳理关键防御方法。

核心观点与论据

1. 可信联邦学习的威胁建模与阶段划分
作者提出TFL需覆盖数据处理、模型训练、部署推理三大阶段（图1），并详细列举各阶段威胁（图2）：
- 数据处理阶段：数据投毒（Data Poisoning）、标签翻转（Label Flipping）、非独立同分布（Non-IID）数据导致模型偏差。
- 模型训练阶段：模型投毒（Model Poisoning）、后门攻击（Backdoor Attack）、拜占庭攻击（Byzantine Attack），以及梯度窃听（Gradient Eavesdropping）等隐私泄露风险。
- 部署阶段：推理攻击（Inference Attack）如成员推断（Membership Inference）和模型逆向（Model Inversion）。
支持证据：引用Bagdasaryan等（2020）证明后门攻击可通过恶意客户端植入触发模式；Zhu等（2019）通过梯度反演（Gradient Inversion）重构训练数据，揭示隐私泄露风险。

2. 安全联邦学习（SFL）的技术实现
针对通信安全，作者分类讨论三种防御技术：
- 安全多方计算（Secure Multi-Party Computation, SMPC）：如Bonawitz等（2017）提出的密钥交换与秘密共享方案，以3-4轮通信实现半诚实模型下的参数保护，但需解决服务器聚合参数泄露问题。
- 同态加密（Homomorphic Encryption, HE）：Aono等（2017）通过数据打包（Packetized Computation）降低计算开销，但通信成本仍较高（如Paillier加密导致150倍开销增长）。
- 可信执行环境（Trusted Execution Environment, TEE）：Cheng等（2021）采用多TEE服务器防止侧信道攻击，但面临存储限制和硬件漏洞挑战。
对比分析：SMPC适合移动设备场景，HE适用于计算资源充足的参与者，而TEE可提供硬件级增强保护。

3. 鲁棒联邦学习（RFL）的防御策略
针对非IID数据和恶意攻击，作者提出三类方法：
- 非IID数据鲁棒性：
- 优化方法：如SCAFFOLD（Karimireddy等，2020）通过控制变量校正客户端漂移；FedNOVA（Wang等，2020）采用归一化平均解决目标不一致性。
- 知识迁移方法：FedGEN（Zhu等，2021）通过生成器集成用户信息，实现数据无关的异构联邦学习。
- 拜占庭攻击防御：
- 鲁棒聚合：Krum（Blanchard等，2017）和Bulyan（El Mhamdi等，2018）基于几何距离筛选更新，但在非IID场景下失效。
- 检测机制：FLDetector（Zhang等，2022）通过模型更新一致性检测恶意客户端。
- 后门攻击防御：CRFL（Xie等，2021）通过梯度裁剪和差分隐私破坏后门任务，但可能牺牲模型性能。

4. 隐私保护的技术路径
- 差分隐私（Differential Privacy, DP）：
- 全局DP：Geyer等（2017）在聚合模型添加高斯噪声，但需信任服务器。
- 本地DP：Abadi等（2016）通过梯度裁剪和噪声注入实现客户端级隐私，但面临效用-隐私权衡。
- 扰动方法：
- 加性扰动：如Chamikara等（2021）对数据添加噪声，易受降噪攻击。
- 乘性扰动：Jiang等（2019）基于高斯随机投影，提供更强隐私保障。
- 匿名化方法：Song等（2020）结合生成对抗网络（GAN）与匿名化方案，在保护用户级隐私的同时提升模型性能。

研究价值与亮点
1. 系统性框架：首次提出覆盖FL全生命周期的TFL技术路线图，明确各阶段威胁与防御对应关系（表1）。
2. 技术深度：对比分析SMPC、HE、TEE等技术的适用场景，指出SFL算法泄露全局参数的共性挑战。
3. 创新分类：将非IID解决方案分为优化与知识迁移两类，揭示个性化联邦学习（如FedMD）的鲁棒性继承机制。
4. 实践指导：强调拜占庭检测（如FLTrust）和混合机制（如FedInv）在复杂攻击下的优势，为工业部署提供参考。

意义
本文为构建符合隐私法规（如GDPR）和伦理要求的AI系统提供了技术蓝图，尤其对医疗、金融等高敏感领域具有应用价值。其多维度威胁分析和跨技术对比，为后续研究奠定了方法论基础。