跳转至

联邦学习隐私保护:从梯度泄露到多重防御

难度:🟠 进阶 | 领域:隐私计算 / 联邦学习 | 阅读时间:约 28 分钟

日常类比

假设你和邻居各自有智能摄像头,厂商想训练“入侵检测”模型。传统做法是把画面上传云端——画面里有家人与生活习惯,多数人不会同意。

联邦学习(Federated Learning, FL)的承诺是:画面不出本地,只上传“模型学到的更新”(梯度)。问题在于:梯度本身可能泄密——攻击者有时能从梯度反推训练样本。

这就像只告诉别人“这道菜卡路里的变化量”,对方却能猜出你吃了什么。

摘要

FL 宣称“数据不出本地”,但梯度泄露攻击可在一定条件下恢复原始样本。本文梳理标准 FL 流程与物联网(Internet of Things, IoT)约束,对比差分隐私(Differential Privacy, DP)、安全聚合(Secure Aggregation)与同态加密(Homomorphic Encryption, HE)三类防御,并讨论与可信执行环境(Trusted Execution Environment, TEE)的组合部署边界。

1 联邦学习基础

1.1 标准流程(FedAvg)

经典架构见 McMahan 等[2]:

  1. 服务器下发当前全局模型
  2. 客户端用本地数据训练,得到梯度或模型差
  3. 客户端上传更新
  4. 服务器聚合并更新全局模型
  5. 重复至收敛

1.2 IoT 联邦学习的特殊挑战

挑战 传统 FL(手机/PC) IoT FL
算力 多核 CPU/GPU MCU / 低端 ARM
通信 Wi‑Fi/蜂窝(Mbps 级) LPWAN(kbps 级)
数据分布 轻度 Non-IID 严重 Non-IID(异构传感器)
设备可用性 相对稳定在线 电池供电、间歇连接
参与规模 数百到数千量级 可达更大规模,但掉线率高
模型规模 数十 MB 常见 常需压缩到 KB–MB

2 梯度泄露:为何“只传梯度”仍不安全

2.1 DLG(Deep Leakage from Gradients)

Zhu 等提出的 DLG[1] 核心思路:

  1. 攻击者获得某客户端真实梯度 \(G_{\text{real}}\)
  2. 随机初始化假数据 \(x'\)、假标签 \(y'\)
  3. 前向得到假梯度 \(G_{\text{fake}}\)
  4. 最小化 \(G_{\text{real}}\)\(G_{\text{fake}}\) 的距离
  5. 迭代后 \(x'\) 逼近真实样本

2.2 攻击演进(能力与假设,非排行榜)

攻击方法 年份 恢复侧重 常见假设 相对成本
DLG 2019 低分辨率图像 已知模型结构
iDLG 2020 标签更易精确恢复 常假设小 batch
InvertGrad 2020 更高分辨率图像 常依赖 BN 等统计
APRIL 2022 批量恢复 线性层分析
LAMP 2023 文本序列 Transformer
GradInversion 类 / 多轮累积 近年 多模态、跨轮 多轮观察 很高

公开论文中的峰值信噪比(Peak Signal-to-Noise Ratio, PSNR)强依赖数据集、batch、模型与优化器;勿把某一表格的绝对 dB 当作可复现保证。定性规律较稳:batch 越大通常越难像素级还原;小 batch、已知结构时风险更高[1][9]。

3 防御一:差分隐私(DP)

3.1 原理

上传前对梯度加校准噪声,使“含你数据”与“不含你数据”的输出分布在 \((\varepsilon,\delta)\)-DP 意义下不可区分[3]。典型做法是 DP-SGD:裁剪范数后加高斯噪声。

3.2 关键参数

参数 含义 常见量级(示意) 对模型影响
\(\varepsilon\) 隐私预算(越小越私) 约 1–10 越小精度压力越大
\(\delta\) 失败概率 常取 \(10^{-5}\)\(10^{-7}\) 量级 通常固定
Clip norm \(C\) 梯度裁剪阈值 任务相关 过小丢信息
Noise multiplier 噪声倍率 约 0.5–2 越大噪声越多

3.3 IoT 场景下的效用权衡

在异常检测等任务上,文献与复现实验常报告:无 DP 时攻击恢复质量较高;\(\varepsilon\) 收紧后恢复质量下降、分类指标也下降。具体 F1/PSNR 数字随数据集变化大,部署应以自有验证集 + 隐私审计为准,而不是照搬某一公开表[3][6]。

优点:可证明隐私、实现相对轻(加噪)。缺点:精度必有代价;IoT 本地样本本就稀少时,过强 DP 可能使模型不可用。

4 防御二:安全聚合(Secure Aggregation)

4.1 原理

服务器只看到“多客户端更新的聚合”,看不到个体梯度。即使服务器好奇,也难直接窥探单设备数据[4]。

4.2 主要方案

  • 秘密共享:梯度拆分,凑齐份额才能恢复聚合。
  • 掩码(Masking):成对协商随机掩码,聚合后相消。
  • 加法同态:密文上求和,再解密聚合结果。

4.3 协议对比(定性)

方案 通信轮次(量级) 掉线容错 通信复杂度(量级) 威胁模型要点
Google SecAgg[4] 多轮 部分掉线 偏高(常含 \(O(n^2)\) 项) 主要防好奇服务器看个体
SecAgg+ 等改进 更少轮 更高容错目标 常降到 \(O(n\log n)\) 量级 仍需看具体假设
LightSecAgg 等轻量设计[5] 更少轮 面向资源受限 目标 \(O(n)\) 量级 半诚实等模型需核对论文

IoT 打破“客户端稳定在线、能做重公钥运算”的假设。轻量安全聚合用伪随机函数等替代昂贵协商,是资源受限场景的方向之一[5];具体“每客户端额外 KB 数”以论文实验设置为准,跨平台不可直接外推。

5 防御三:同态加密(HE)

允许在密文上聚合梯度,解密得聚合结果。BatchCrypt 等用 SIMD 打包降低加解密次数[8]。

方案 类型 支持运算 密文膨胀(量级) IoT 可行性
Paillier 加法同态 加法 较低(约数倍) 网关侧勉强可考虑
CKKS / BFV 近似/精确 FHE 族 加+乘 常数十倍量级 终端侧通常过重
TFHE 比特级 FHE 布尔/门 很高 终端侧基本不可行

对 Cortex-M 级 MCU,大整数公钥加密整段高维梯度往往不可接受;常见折中是:梯度稀疏化后再加密、加密卸载到边缘网关、或仅用轻量加法 HE。

6 联合防御:FL + DP + TEE

单一手段各有短板:DP 伤精度、安全聚合不防恶意客户端投毒、HE 过重。组合是工程常态。

方案 隐私侧重 精度代价 算力/通信 主要覆盖威胁
纯 FL 基准 基准 几乎无
FL + DP \(\varepsilon\)-DP 常见数个百分点量级 加噪开销小 梯度反演
FL + SecAgg 聚合隐私 通常接近 0 协议开销明显 好奇服务器
FL + HE 密文计算 通常接近 0 很高 好奇服务器
FL + DP + TEE DP + 硬件隔离 常介于纯 DP 与无 DP 之间 中等 反演 + 部分恶意主机

TEE 角色:客户端在 TrustZone/SGX 等内训练并加噪;服务器在 TEE 内聚合;远程证明校验代码完整性。TEE 不是万能:侧信道、接口滥用、证明供应链仍需单独评估。

产业案例(Apple 输入建议、Google Gboard SecAgg、工业预测维护试点)说明组合可行,但公开材料中的 \(\varepsilon\) 与“精度损失百分之几”多为场景特定口径,不宜当作通用 SLA

7 IoT 通信优化与隐私的交叉

压缩技术 压缩比(量级) 精度影响 与 DP 与 SecAgg
Top-K 稀疏 约 10–100× 通常较轻 兼容需重算灵敏度 需协议适配
QSGD 等量化 约数倍–十余倍 通常较轻 较兼容 较兼容
SignSGD 约 32×(相对 FP32) 中等 部分 较兼容
低秩/参数分解(如 FedPara 思路)[7] 可达很高 任务相关 维数降低或利于噪声 需个案验证

8 局限、挑战与可改进方向

1. 理论隐私与实测隐私不一致

局限:声称满足某 \(\varepsilon\) 的系统,经成员推断/梯度反演审计后,实际泄露可能更强[6]。 改进:把隐私审计纳入发布门禁;报告攻击成功率与恢复质量,而不仅报告公式 \(\varepsilon\)

2. IoT 掉线与安全聚合冲突

局限:高掉线率使多轮 SecAgg 失败或回退到弱模式,隐私保证“纸面成立、链路失效”。 改进:选容错更高的轻量协议;网关代理聚合;明确掉线阈值下的降级策略与告警。

3. 恶意客户端投毒未被隐私原语覆盖

局限:DP/SecAgg/HE 主要防“看数据”,不防“投坏更新”拖垮全局模型。 改进:鲁棒聚合(中位数、Krum 等)+ 异常客户端检测;与 TEE 远程证明绑定参与资格。

4. 终端算力撑不起 HE/重密码学

局限:MCU 上全量 HE 或 \(O(n^2)\) 密钥协商不可行。 改进:加密与协商上移边缘网关;终端只做稀疏更新 + 本地 DP;跨厂联合用安全多方计算(MPC)补位。

5. Non-IID 与个性化隐私预算难运维

局限:异构传感器分布使收敛慢;统一 \(\varepsilon\) 对医疗与气象一刀切不合理。 改进:按数据敏感级分配预算;个性化/聚类 FL;用可解释的效用–隐私曲线做产品决策。

9 前沿简记

隐私审计框架[6]、个性化 \(\varepsilon\)、格基后量子安全聚合、去中心化 FL(去掉单点服务器)是 2024–2025 常见方向;落地仍受 IoT 带宽与证明链约束。

参考文献

[1] L. Zhu, Z. Liu, and S. Han, "Deep Leakage from Gradients," NeurIPS, 2019. [2] B. McMahan et al., "Communication-Efficient Learning of Deep Networks from Decentralized Data," AISTATS, 2017. [3] M. Abadi et al., "Deep Learning with Differential Privacy," ACM CCS, 2016. [4] K. Bonawitz et al., "Practical Secure Aggregation for Privacy-Preserving Machine Learning," ACM CCS, 2017. [5] J. So et al., "LightSecAgg: A Lightweight and Versatile Design for Secure Aggregation in Federated Learning," IEEE S&P, 2022/相关版本. [6] M. Nasr et al., "Tight Auditing of Differentially Private Machine Learning," IEEE S&P, 2023/2024. [7] N. Hyeon-Woo et al., "FedPara: Low-Rank Hadamard Product for Communication-Efficient Federated Learning," ICLR, 2022/2024 相关版本. [8] C. Zhang et al., "BatchCrypt: Efficient Homomorphic Encryption for Cross-Silo Federated Learning," USENIX ATC, 2020. [9] 梯度反演与恢复类工作综述/代表作(含 InvertGrad、多轮累积恢复等),USENIX/NDSS 等,2019–2024. [10] R. Xu et al., "FedRecover: Recovering from Poisoning Attacks in Federated Learning using History," / 相关恢复与攻击分析工作,NDSS 等,2022–2024.(题目与范围以正式出版为准) [11] H. B. McMahan et al. / Apple & Google 差分隐私与联邦学习工程白皮书与公开技术博客,2017–2024. [12] ENISA / NIST 隐私增强技术与联邦学习风险提示类报告,近年版本.