引言
联邦学习(Federated Learning, FL)[1]作为分布式机器学习的重要范式,通过“数据不动模型动”与“数据可用而不可见”的机制有效缓解了数据孤岛问题,成为隐私保护领域的关键技术[2]。然而,其去中心化的架构与参数共享特性,也引入了多重安全威胁:
(1)隐私泄露风险:模型的梯度信息可能暴露用户数据特征,如嵌入层泄露、全连接层梯度符号推断等攻击手段已被证实可重构原始数据[3];
(2)投毒攻击威胁[4]:恶意客户端通过注入噪声、翻转标签或植入后门,显著降低模型性能(如本文3.2.1节攻击强度影响实验结果显示,20%恶意客户端即可使准确率下降超过30%);
(3)服务器合谋漏洞[5]:传统安全聚合协议(如Secure Aggregation)难以抵御多服务器联合篡改,导致全局模型参数被恶意操控。
面对以上多种安全威胁,现有防御方案存在以下三大瓶颈:
(1)效率与安全性失衡:同态加密虽可保护隐私,但会带来高达40%的计算开销[6],而差分隐私[7]的噪声添加在一定程度上会削弱模型可用性[8];
(2)鲁棒性不足:基于统计的聚合方法(如Trim-mean[9]、Krum[10])对高隐蔽性攻击(如生成对抗网络驱动的投毒[11])检测率不足60%;
(3)通信成本高昂:全参数传输在ViT-Base[12]等大模型中需15 MB/轮的通信量,难以适配资源受限场景。
现有的联邦学习防御机制主要侧重于隐私保护与抗攻击性,但在面对数据投毒、模型篡改等复杂安全威胁时,防御效果仍存在不足。针对这一问题,本文提出了一种基于不可篡改秘密共享(Non-Malleable Secret Sharing, NMSS)[13]与低秩适应(Low-Rank Adaptation, LoRA)[14]的融合防御架构,具有以下创新点:
(1)三服务器门限验证机制:首次将NMSS与LoRA相结合,提出了一种新型的三服务器门限验证机制,通过结合零知识证明(Zero-Knowledge Succinct Transparent ARguments of Knowledge, zk-STARK)[15],实现分片不可篡改性与拜占庭容错[16],理论证明合谋攻击下仅需1台诚实服务器即可保障参数完整性[17];
(2)低秩约束的鲁棒性增强:利用LoRA将参数更新压缩至低维子空间(秩r=8),限制投毒攻击的扰动空间,实验表明可减少32%的准确率下降;
(3)动态权重聚合算法:结合客户端行为可信度评估与自适应范数裁剪,在CIFAR-10数据集实现96.8%的篡改分片检测率,同时通信开销降低至1.7 MB/轮,有效提升了防御能力,并大幅降低了通信开销。
本文工作为联邦学习安全领域提供三方面贡献:首先在理论层面,首次将NMSS的可验证性与LoRA的低秩特性结合,构建信息论安全框架;其次在技术层面,设计分层式三服务器验证链,支持高效分片恢复(<10 ms/客户端)与动态恶意节点隔离;最后在应用层面,在miniImageNet非独立同分布场景下验证方案有效性,为医疗、金融等高敏感领域提供可落地的解决方案[18]。
本文详细内容请下载:
https://www.chinaaet.com/resource/share/2000006409
作者信息:
伏欣国1,王龙1,2,刘丽泽3, 王雷4,赵建坤1
(1.中国电子信息产业集团有限公司第六研究所,北京102209;
2.山东大学网络空间安全学院,山东青岛266237;
3.西安电子科技大学计算机科学与技术学院,陕西西安710071;
4.深圳市酷开网络科技股份有限公司,广东深圳518000)
