趙家雪，蘇 铓，侯金鵬，付安民，

1.南京理工大學(xué) 網(wǎng)絡(luò)空間安全學(xué)院，江陰214443

2.南京理工大學(xué) 計(jì)算機(jī)科學(xué)與工程學(xué)院，南京210094

1 引言

深度學(xué)習(xí)技術(shù)已經(jīng)被廣泛應(yīng)用于計(jì)算機(jī)視覺[1]、語音識(shí)別[2]、醫(yī)療預(yù)測(cè)[3]、自動(dòng)駕駛[4]等多個(gè)領(lǐng)域并取得了重大突破.深度學(xué)習(xí)需要收集不同來源的大量數(shù)據(jù)，然而這些數(shù)據(jù)可能包含用戶的敏感信息，例如醫(yī)療系統(tǒng)中患者的用藥情況和診斷結(jié)果.由于患者關(guān)注自己的隱私安全，拒絕向第三方服務(wù)提供商共享自己的醫(yī)療數(shù)據(jù)，進(jìn)而阻礙數(shù)據(jù)收集和深度學(xué)習(xí)過程.近年來，個(gè)人數(shù)據(jù)泄露事件層出不窮，各個(gè)國(guó)家都開始出臺(tái)數(shù)據(jù)隱私保護(hù)相關(guān)的法律法規(guī)，如歐盟2018 年5 月25 日出臺(tái)的《通用數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation，GDPR)[5].個(gè)人隱私保護(hù)意識(shí)和嚴(yán)格的法律法規(guī)導(dǎo)致訓(xùn)練數(shù)據(jù)的收集愈發(fā)困難，致使深度學(xué)習(xí)面臨著巨大的挑戰(zhàn).

聯(lián)邦學(xué)習(xí)[6]作為一種新興的分布式訓(xùn)練系統(tǒng)受到越來越多的關(guān)注，它由一個(gè)服務(wù)器和多個(gè)用戶組成，用戶終端可以是手機(jī)、傳感器、筆記本電腦.在聯(lián)邦學(xué)習(xí)中，這些用戶使用私有數(shù)據(jù)集訓(xùn)練本地模型，在每次本地訓(xùn)練結(jié)束時(shí)將模型參數(shù)上傳到服務(wù)器.服務(wù)器接收到在線用戶的模型參數(shù)后，聚合所有用戶的本地模型參數(shù)并對(duì)聚合結(jié)果進(jìn)行廣播.每個(gè)用戶根據(jù)接收到的聚合結(jié)果更新本地模型，這樣的訓(xùn)練過程一直持續(xù)到模型收斂為止.這種分布式訓(xùn)練方式避免用戶將自己的數(shù)據(jù)暴露給其他參與方，可以保護(hù)用戶參與訓(xùn)練時(shí)的隱私.同時(shí)多用戶的協(xié)同訓(xùn)練，增大了訓(xùn)練數(shù)據(jù)量和樣本多樣性，有助于提高用戶訓(xùn)練的模型精度.

聯(lián)邦學(xué)習(xí)雖然可以解決隱私直接泄露問題，但研究表明，攻擊者仍然可以利用用戶上傳的模型參數(shù)間接獲取標(biāo)簽、成員等敏感信息[7-10].為了解決這類問題，一些專注于隱私保護(hù)聯(lián)邦學(xué)習(xí)的方案被提出.Ma等人[11]提出了一種具有高計(jì)算和通信效率的差分私有拜占庭魯棒聯(lián)邦學(xué)習(xí)方案，有效地防止拜占庭參與者發(fā)起的對(duì)抗性攻擊，并通過shuffle 模型中的一種新的聚合協(xié)議實(shí)現(xiàn)了不同的隱私保護(hù).Fang 等人[12]基于改進(jìn)的ElGamal 同態(tài)加密保護(hù)模型參數(shù)，同時(shí)利用秘密共享技術(shù)將加密密鑰拆分給不同用戶保存.服務(wù)器只有勾結(jié)多個(gè)惡意用戶，才能恢復(fù)密鑰，獲取模型參數(shù).方案提高了服務(wù)器的攻擊難度，保障了用戶模型的安全性.Bonawitz 等人[13]通過密鑰協(xié)商和秘密共享，設(shè)計(jì)了一種高效的雙掩碼協(xié)議來實(shí)現(xiàn)高維數(shù)據(jù)的安全聚合.方案允許用戶在訓(xùn)練過程中動(dòng)態(tài)退出，從而避免用戶離線導(dǎo)致的解密錯(cuò)誤，確保聚合結(jié)果的正確性.

上述具有隱私保護(hù)的方案均不支持驗(yàn)證從服務(wù)器返回結(jié)果的正確性.在某些非法利益的驅(qū)使下，惡意的服務(wù)器會(huì)向用戶返回不正確的聚合結(jié)果，例如服務(wù)器會(huì)采用簡(jiǎn)單不準(zhǔn)確的模型來壓縮原始模型，以降低自己的計(jì)算成本.另外，惡意服務(wù)器還可以分析用戶上傳數(shù)據(jù)的統(tǒng)計(jì)特征，精心偽造聚合結(jié)果[14]，誘導(dǎo)用戶發(fā)布更多額外的敏感信息.因此，在保護(hù)用戶數(shù)據(jù)隱私的同時(shí)，有效地驗(yàn)證服務(wù)器聚合結(jié)果的正確性是十分重要的.Xu 等人[15]提出了第一個(gè)在神經(jīng)網(wǎng)絡(luò)訓(xùn)練過程中支持驗(yàn)證的隱私保護(hù)方案VerifyNet.方案采用同態(tài)哈希函數(shù)和偽隨機(jī)函數(shù)，實(shí)現(xiàn)用戶對(duì)聚合結(jié)果的驗(yàn)證.然而驗(yàn)證協(xié)議是基于零知識(shí)證明設(shè)計(jì)的，用戶需要為每個(gè)維度的參數(shù)計(jì)算驗(yàn)證信息，導(dǎo)致驗(yàn)證通信開銷和計(jì)算成本太大，無法應(yīng)用于移動(dòng)設(shè)備數(shù)量龐大的聯(lián)邦學(xué)習(xí).Guo 等人[16]將線性同態(tài)哈希與承諾方案結(jié)合起來，提出了一種快速驗(yàn)證的聯(lián)邦學(xué)習(xí)可驗(yàn)證聚合協(xié)議.該方案實(shí)現(xiàn)了聚合結(jié)果正確性驗(yàn)證的通信開銷與模型參數(shù)的維度無關(guān).然而為確保在部分用戶退出訓(xùn)練時(shí)在線用戶仍能進(jìn)行驗(yàn)證，該方案將同態(tài)哈希結(jié)果進(jìn)行秘密共享，增加了用戶驗(yàn)證的通信開銷.Zhou 等人[17]利用同態(tài)哈希和簽名設(shè)計(jì)了一種不可追溯的、低通信的驗(yàn)證方案.該方案實(shí)現(xiàn)了驗(yàn)證通信開銷與模型參數(shù)維度和用戶數(shù)量無關(guān)，然而由于用戶在驗(yàn)證時(shí)首先要驗(yàn)證其他用戶的簽名，由此增加了驗(yàn)證的計(jì)算開銷.此外，文獻(xiàn)[16，17] 中用戶都需要在服務(wù)器聚合前向其他用戶提供承諾或簽名，如果有新用戶加入訓(xùn)練，由于新用戶并沒獲得上一輪參與訓(xùn)練用戶的承諾或簽名，則無法對(duì)聚合結(jié)果進(jìn)行驗(yàn)證.Zhang 等人[18]利用中國(guó)剩余定理和Paillier 同態(tài)加密來保護(hù)數(shù)據(jù)隱私，并引入雙線性聚合簽名技術(shù)來實(shí)現(xiàn)對(duì)聚合梯度的驗(yàn)證.在Fu 等人[19]提出的方案中，使用基于拉格朗日插值的精心設(shè)置的插值點(diǎn)來驗(yàn)證聚合梯度的正確性，該方案可以有效防止模型參數(shù)的泄漏.

聯(lián)邦學(xué)習(xí)面臨隱私泄露和聚合結(jié)果偽造等問題，盡管部分研究已經(jīng)實(shí)現(xiàn)了聯(lián)邦學(xué)習(xí)的隱私保護(hù)，同時(shí)允許用戶對(duì)聚合結(jié)果進(jìn)行正確性驗(yàn)證.但目前可用的驗(yàn)證方案不能同時(shí)實(shí)現(xiàn)快速且低通信的驗(yàn)證，并且無法支持動(dòng)態(tài)用戶對(duì)上一輪聚合結(jié)果的驗(yàn)證，很難應(yīng)用到用戶數(shù)量龐大、動(dòng)態(tài)參與訓(xùn)練的實(shí)際場(chǎng)景.為此，本文提出了一種可驗(yàn)證的聯(lián)邦學(xué)習(xí)方案，既保護(hù)了數(shù)據(jù)在聚合階段的隱私，也實(shí)現(xiàn)了高效的、低通信的驗(yàn)證協(xié)議.本文首先使用密鑰協(xié)商和公開可驗(yàn)證秘密共享協(xié)議保護(hù)用戶本地模型的隱私，并解決用戶動(dòng)態(tài)退出的問題.然后基于非對(duì)稱可編程哈希函數(shù)和同態(tài)簽名實(shí)現(xiàn)可驗(yàn)證方案，支持任意持有公鑰的用戶對(duì)聚合結(jié)果正確性的驗(yàn)證.

本文的主要貢獻(xiàn)如下:

(1) 本文利用密鑰協(xié)商和公開可驗(yàn)證秘密共享協(xié)議實(shí)現(xiàn)了一種雙掩碼安全聚合協(xié)議，以此保護(hù)聯(lián)邦學(xué)習(xí)過程中用戶本地模型參數(shù)，防止用戶隱私泄露.該協(xié)議允許訓(xùn)練過程中超過半數(shù)的用戶退出，避免用戶離線導(dǎo)致服務(wù)器解密失敗.同時(shí)服務(wù)器可以公開驗(yàn)證用戶分發(fā)的共享和用于重構(gòu)的共享是否有效，確保用戶共享行為誠(chéng)實(shí)，進(jìn)一步提升解密結(jié)果的正確性.

(2) 本文首次將同態(tài)簽名引入聯(lián)邦學(xué)習(xí)，實(shí)現(xiàn)了一種高效、低通信的可驗(yàn)證的聯(lián)邦學(xué)習(xí)方案.同態(tài)簽名方案可以極大化地降低驗(yàn)證階段的通信開銷，同時(shí)支持新用戶對(duì)聚合結(jié)果的驗(yàn)證.此外，方案采用由非對(duì)稱可編程哈希函數(shù)構(gòu)建的同態(tài)簽名，使得該驗(yàn)證方案具有更短的驗(yàn)證公鑰長(zhǎng)度，減少了用戶的存儲(chǔ)開銷，更適用于聯(lián)邦學(xué)習(xí)中資源受限的移動(dòng)設(shè)備.

(3) 本文從理論上全面分析了方案的安全性，即使多個(gè)惡意用戶合謀，惡意用戶也無法獲得誠(chéng)實(shí)用戶本地模型的任何有用信息.此外，服務(wù)器在沒有簽名私鑰的情況下無法偽造同態(tài)簽名，方案確保了用戶可以驗(yàn)證聚合結(jié)果的正確性.本文在實(shí)際數(shù)據(jù)上進(jìn)行了實(shí)驗(yàn)，結(jié)果表明本文方案驗(yàn)證時(shí)的計(jì)算開銷和通信開銷均處于較低水平，實(shí)現(xiàn)了快速且低通信的驗(yàn)證.整體開銷結(jié)果也表明完整方案并未對(duì)用戶本地訓(xùn)練產(chǎn)生顯著影響，證明本文方案是一種高效可行的聯(lián)邦學(xué)習(xí)方案.

本文其余部分結(jié)構(gòu): 第2 節(jié)介紹方案所需的預(yù)備知識(shí).第3 節(jié)介紹方案中的符號(hào)定義、系統(tǒng)框架和威脅模型.第4 節(jié)給出方案的具體細(xì)節(jié).第5 節(jié)對(duì)方案進(jìn)行安全性分析.第6 節(jié)對(duì)實(shí)驗(yàn)結(jié)果進(jìn)行分析.第7 節(jié)進(jìn)行總結(jié)和討論.

2 預(yù)備知識(shí)

2.1 公開可驗(yàn)證秘密共享

與Shamir 門限秘密共享[20]相比，公開可驗(yàn)證秘密共享(publicly verifiable secret sharing，PVSS)是一種安全性更高的密碼學(xué)協(xié)議，可以保證任何人均能公開地驗(yàn)證共享正確性.文獻(xiàn)[21] 基于非交互零知識(shí)證明和里德-所羅門碼構(gòu)建了一種PVSS 協(xié)議，具體包含以下算法:

(1) PVSS.Gen(bgp)→(sk，pk): 輸入非對(duì)稱雙線性群組bgp(q，G1，G2，GT，g，h，e)，g和h分別是群G1和G2的生成元.設(shè)置加密私鑰sk←Zq，計(jì)算公鑰pkhsk，返回加密密鑰對(duì)(sk，pk).

2.2 非對(duì)稱可編程哈希函數(shù)

本文使用非對(duì)稱可編程哈希函數(shù)(asymmetric programmable hash functions，APHF)[22]生成較短的公鑰，構(gòu)造適用于聯(lián)邦學(xué)習(xí)的同態(tài)簽名方案.設(shè)bgp(q，G1，G2，GT，g，h，e) 是非對(duì)稱雙線性群組，g和h分別是群G1和G2的生成元.[X] 表示集合{1，2，···，X}，令x非對(duì)稱可編程哈希函數(shù)H:[X]→G1由三個(gè)多項(xiàng)式時(shí)間算法(H.Gen，H.PriEval，H.PubEval) 組成:

(1) H.Gen(bgp)→(sek，pek): 輸入非對(duì)稱雙線性群組bgp，對(duì)于i1，2，···，x，隨機(jī)采樣αi，βi ←Zq，計(jì)算Aigαi，Bihβi.設(shè)置sek，pek，返回(sek，pek).

(2) H.PriEval(sek，n)→Y: 輸入sek 和變量[X]，n可以由一對(duì)整數(shù)(i，j)[x]×[x] 表示，計(jì)算并返回Y1.

(3) H.PubEval(pek，n)→?Y: 輸入pek 和變量[X]，且n(i，j)，計(jì)算并返回e(Ai，Bj)e(H(n)，h).

3 形式化定義

3.1 符號(hào)定義

本文方案中使用的部分符號(hào)定義如表1 所示.

表1 相關(guān)符號(hào)定義Table 1 Definition of symbles

表2 威脅模型實(shí)體定義Table 2 Definitions of threat model entity

3.2 聯(lián)邦學(xué)習(xí)系統(tǒng)框架

聯(lián)邦學(xué)習(xí)要求多個(gè)用戶使用本地?cái)?shù)據(jù)合作訓(xùn)練一個(gè)共享的全局模型參數(shù)ω*.如圖1 所示，本文的聯(lián)邦學(xué)習(xí)系統(tǒng)由可信機(jī)構(gòu)、服務(wù)器和N個(gè)用戶組成，其中每個(gè)用戶n都存在一個(gè)獨(dú)立同分布(independently identical distribution，IID) 或者non-IID 數(shù)據(jù)集Dn，則|D|具體地，可信機(jī)構(gòu)為每個(gè)用戶創(chuàng)建密鑰后就下線.用戶n使用損失函數(shù)Ln(Dn;ωn) 訓(xùn)練數(shù)據(jù)集Dn，其中ωnRL表示模型可訓(xùn)練的參數(shù).服務(wù)器上的全局模型的損失函數(shù)為L(zhǎng)(D;ω)，聯(lián)邦學(xué)習(xí)所面臨的優(yōu)化問題為:

圖1 系統(tǒng)框架Figure 1 System architecture

為了最小化上述目標(biāo)，服務(wù)器和用戶需要執(zhí)行以下步驟:

(1) 初始化: 服務(wù)器向每個(gè)用戶發(fā)送初始化的全局模型參數(shù)ω0.

(2) 本地訓(xùn)練: 用戶n在本地?cái)?shù)據(jù)集Dn上使用優(yōu)化器(如SGD) 對(duì)全局模型進(jìn)行本地訓(xùn)練.訓(xùn)練結(jié)束后，用戶n向服務(wù)器上傳本地模型參數(shù)

(3) 全局聚合: 服務(wù)器收集用戶上傳的本地模型參數(shù)并使用聚合方法聚合生成一個(gè)新的全局模型，即wk+1之后服務(wù)器將更新的全局模型參數(shù)wk+1發(fā)送給下一輪參與訓(xùn)練的用戶.

3.3 威脅模型

以往方案[14-16]定義了一種誠(chéng)實(shí)但好奇的威脅模型.服務(wù)器和用戶誠(chéng)實(shí)執(zhí)行聚合協(xié)議，同時(shí)允許服務(wù)器與多個(gè)用戶合謀推斷用戶隱私，但不允許服務(wù)器與用戶合謀偽造聚合結(jié)果.然而，用戶也可以與服務(wù)器合謀偽造聚合結(jié)果，進(jìn)一步推斷用戶隱私，那么上述方案定義的限制實(shí)際并不可行.為此本文定義了一個(gè)新的威脅模型，該威脅模型具有可信機(jī)構(gòu)、誠(chéng)實(shí)用戶、惡意用戶和惡意服務(wù)器.具體來說，可信機(jī)構(gòu)是完全可信的，不會(huì)泄露任何用戶的密鑰.誠(chéng)實(shí)用戶按照商定的協(xié)議，遵循完整的方案流程進(jìn)行操作.惡意用戶試圖獨(dú)立或與其他惡意用戶合謀推斷誠(chéng)實(shí)用戶隱私，甚至偏離聚合協(xié)議，上傳虛假的共享破壞服務(wù)器解密結(jié)果的正確性.惡意服務(wù)器可以按照商定好的聚合協(xié)議獲得正確的聚合結(jié)果，但會(huì)獨(dú)立推斷用戶隱私，并偽造聚合結(jié)果以欺騙用戶.與以往方案相比，本文定義的惡意威脅模型允許惡意用戶破壞解密結(jié)果，更加貼切實(shí)際場(chǎng)景，能夠提供更高的安全保障.此外，在以往方案定義的威脅模型下，本文方案同樣安全.

4 隱私保護(hù)可驗(yàn)證聯(lián)邦學(xué)習(xí)

正如前文所述，在聯(lián)邦學(xué)習(xí)中面臨著兩個(gè)重要問題.第一個(gè)問題是如何保護(hù)用戶的本地模型，防止攻擊者利用本地模型參數(shù)間接獲取用戶的隱私信息.另一個(gè)問題則是如何驗(yàn)證服務(wù)器返回全局模型參數(shù)的正確性，防止服務(wù)器偽造聚合結(jié)果.為了解決這兩大挑戰(zhàn)，本文采用雙掩碼安全聚合協(xié)議，對(duì)本地模型參數(shù)進(jìn)行加密處理，提升數(shù)據(jù)機(jī)密性，防止用戶隱私信息的泄露.另外采用同態(tài)簽名方案，實(shí)現(xiàn)用戶對(duì)全局模型參數(shù)的驗(yàn)證，保證聚合結(jié)果的正確性.通過以上解決方案，可以在聯(lián)邦學(xué)習(xí)中克服隱私泄露和數(shù)據(jù)偽造等潛在威脅，確保數(shù)據(jù)的安全性和可靠性.

4.1 雙掩碼安全聚合協(xié)議

文獻(xiàn)[15] 提出了一種雙掩碼聚合協(xié)議保護(hù)用戶本地模型參數(shù)，同時(shí)支持用戶在訓(xùn)練過程中的動(dòng)態(tài)退出.假設(shè)系統(tǒng)中用戶是有序的，且使用同樣大小的數(shù)據(jù)集進(jìn)行本地訓(xùn)練，用戶n可以對(duì)本地模型參數(shù)ωn進(jìn)行如下形式的加密:

如果一個(gè)用戶在上傳公鑰后退出協(xié)議，或沒有及時(shí)上傳加密參數(shù)，由于其他用戶在加密時(shí)添加了與該用戶相關(guān)的隨機(jī)數(shù)，導(dǎo)致服務(wù)器在聚合時(shí)不能抵消掩碼，從而無法計(jì)算正確的聚合結(jié)果.為此每個(gè)用戶n采用Shamir 門限秘密共享，將協(xié)商私鑰rskn共享給其他用戶.當(dāng)用戶n的掩碼無法抵消時(shí)，服務(wù)器要求超過閾值數(shù)量的用戶提交rskn的秘密共享.在重構(gòu)出rskn后，可以恢復(fù)用戶n與其他用戶m的隨機(jī)數(shù)PRG(sn，m)，并最終在聚合結(jié)果中移除用戶n的掩碼.

用戶n額外添加一個(gè)噪聲的隨機(jī)掩碼PRG(βn) 保護(hù)本地參數(shù)ωn.這是因?yàn)樵谀承┣闆r下，用戶n會(huì)延遲將數(shù)據(jù)上傳到服務(wù)器，這將導(dǎo)致服務(wù)器錯(cuò)誤地判定用戶n退出訓(xùn)練，從而要求其他在線用戶上傳rskn共享以刪除掩碼.然而當(dāng)用戶n成功將?ωn上傳到服務(wù)器時(shí)，由于服務(wù)器可以重構(gòu)rskn、刪除掩碼來獲得用戶本地模型參數(shù)ωn，惡意的服務(wù)器也可以通過謊報(bào)用戶退出進(jìn)而學(xué)習(xí)用戶本地模型參數(shù)ωn，βn也需在上傳?ωn前共享給其他用戶，使得服務(wù)器可以在聚合時(shí)消除掩碼PRG(βn).

然而該方案不能應(yīng)對(duì)惡意用戶的主動(dòng)攻擊.由于用戶共享時(shí)輸入和輸出是不可見的，Shamir 門限秘密共享無法確保用戶上傳了正確的共享，如果存在一些惡意用戶故意偏離協(xié)議，將影響秘密的正確性和安全性.為此本文采用PVSS 提升秘密共享的安全性和可靠性，根據(jù)2.1 節(jié)中的算法，用戶n使用PVSS.share將rskn和βn進(jìn)行共享，服務(wù)器可以通過PVSS.Verify 驗(yàn)證用戶n生成共享的有效性.此外，在用戶m解密用戶n的共享后，服務(wù)器可以驗(yàn)證用戶m提交的解密共享的正確性，確保秘密可以被正確重構(gòu)，有效避免惡意用戶的影響.

其中U2是提交共享的用戶集合，且U2?U1.

服務(wù)器計(jì)算的聚合結(jié)果為:

其中U3是提交加密參數(shù)的用戶集合，且U3?U2?U1.U2U3是在U2中但不在U3中的用戶集合.

服務(wù)器在解密階段需要重構(gòu)U2U3中用戶的私鑰和U3U4中用戶的噪聲，其中U4是提交解密共享和自身噪聲的用戶集合，U3U4是在U3中但不在U4中的用戶集合.誠(chéng)實(shí)的用戶永遠(yuǎn)不會(huì)泄露同一用戶的兩種共享.服務(wù)器可以刪除退出用戶的掩碼和在線用戶的噪聲，得到正確的聚合結(jié)果，但始終無法獲取用戶原始的本地模型參數(shù).單輪雙掩碼安全聚合協(xié)議框架如圖2，該協(xié)議實(shí)現(xiàn)了在訓(xùn)練過程中保護(hù)用戶的數(shù)據(jù)隱私，并支持用戶在訓(xùn)練過程中因某種原因退出.然而該聚合協(xié)議并不支持用戶驗(yàn)證服務(wù)器的聚合結(jié)果，為此本文利用同態(tài)簽名技術(shù)，與雙掩碼安全聚合協(xié)議兼容，允許每個(gè)用戶在可接受的開銷下驗(yàn)證服務(wù)器聚合結(jié)果的正確性.

圖2 單輪雙掩碼安全聚合協(xié)議框架Figure 2 Singl-round double-mask secure aggregation protocol framework

4.2 同態(tài)簽名驗(yàn)證方案

本文使用基于APHF 并結(jié)合BLS 簽名[26]的同態(tài)簽名算法，實(shí)現(xiàn)了公鑰更短的聯(lián)邦學(xué)習(xí)高效驗(yàn)證方案.已知 BLS 簽名包含三個(gè)多項(xiàng)式算法 BLS=(BLS.Gen，BLS.Sign，BLS.Verify)，F(xiàn):K×{0，1}*→Zq是一個(gè)密鑰空間為K的偽隨機(jī)函數(shù).該同態(tài)簽名方案支持N個(gè)用戶對(duì)L維消息簽名，同時(shí)可以進(jìn)行部分離線計(jì)算實(shí)現(xiàn)有效驗(yàn)證.設(shè)H(H.Gen，H.PriEval，H.PubEval) 和H′(H.Gen′，H.PriEval′，H.PubEval′) 是兩個(gè)APHF，使得H: [N]→G1，H′: [L]→G1.完整的同態(tài)簽名方案包含以下算法:

(1) HS.Gen(bgp)→(hsk，hpk):輸入非對(duì)稱雙線性群組bgp.創(chuàng)建BLS 算法簽名密鑰對(duì)(sk′，pk′)←BLS.Gen(bgp).在偽隨機(jī)函數(shù)F:K×{0，1}*→Zq密鑰空間中選擇兩個(gè)隨機(jī)種子K，←K.生成兩組APHF 的密鑰對(duì)(sek，pek)←H.Gen(bgp) 和(sek′，pek′)←H.Gen′(bgp).設(shè)置hsk(sk′，K，，sek，sek′) 和hpk(pk′，bgp，pek，pek′)，返回同態(tài)簽名密鑰(hsk，hpk).

(2) HS.Sign(hsk，ω，n，Δ)→σn: 輸入簽名私鑰hsk、模型參數(shù)ω、用戶標(biāo)識(shí)n和標(biāo)識(shí)符Δ，生成同態(tài)簽名具體包含以下幾個(gè)步驟:

· 利用偽隨機(jī)函數(shù)推導(dǎo)出z ←FK(Δ)，計(jì)算Zhz.

· 將Z與標(biāo)識(shí)符Δ 綁定，計(jì)算σΔ←BLS.Sign(sk′，Δ|Z).

· 推導(dǎo)r ←F?K(Δ|n)，設(shè)置Rgr并計(jì)算

· 返回同態(tài)簽名σ(σΔ，Z，R，S).

(3) HS.Eval(Σ，U)→σ: 輸入一組簽名Σ{σm}m∈U，其中σm(σΔ，m，Zm，Rm，Sm)，以及用戶集合U.隨機(jī)選擇一個(gè)，設(shè)置σΔσΔ，m，ZZm.計(jì)算

返回同態(tài)簽名σ(σΔ，Z，R，S).

(4) HS.Verify(hpk，ω，σ，U，Δ)→Bool: 輸入驗(yàn)證公鑰hpk、模型參數(shù)ω、同態(tài)簽名σ、用戶集合U和標(biāo)識(shí)符Δ.首先運(yùn)行BLS.Verify(pk′，Δ|Z，σΔ)，驗(yàn)證σΔ是否為標(biāo)識(shí)符Δ 和Z的有效簽名.如果無效，停止并返回False.否則，當(dāng)且僅當(dāng)滿足下列等式返回True:

為實(shí)現(xiàn)高效驗(yàn)證，我們觀察到H.PubEval 和H.PubEval′可以預(yù)先計(jì)算出結(jié)果后被重復(fù)使用.為此HS.Verify 算法可分為離線階段和在線階段.

(1) HS.VerPre(H，H′，hpk，U，L)→輸入非對(duì)稱可編程哈希函數(shù)H，H′，驗(yàn)證公鑰hpk、用戶集合U和消息維度L.對(duì)于，計(jì)算HmH.PubEval(pek，m)，H{Hm}m∈U對(duì)于，計(jì)算H.PubEval′(pek′，l)，H′，返回hpkp(pk′，bgp，H，H′).

(2) HS.EffVer(hpkp，ω，σ，U，Δ)→Bool: 該算法和HS.Verify 相同，只是公式(3)計(jì)算修改為:

結(jié)合雙掩碼安全聚合協(xié)議，使用同態(tài)簽名算法進(jìn)聚合結(jié)果正確性驗(yàn)證的流程如圖3.用戶n可以在階段1 之前通過HS.VerPre 算法離線預(yù)處理部分結(jié)果.在訓(xùn)練得到本地模型參數(shù)ωn后，使用HS.Sign 算法對(duì)ωn簽名，并將簽名σn和加密參數(shù)一起發(fā)送至服務(wù)器.服務(wù)器聚合所有簽名，并在解密聚合參數(shù)后，將聚合簽名σ和全局參數(shù)ω發(fā)送給用戶.用戶使用HS.EffVer 算法就可以快速驗(yàn)證服務(wù)器返回的聚合結(jié)果是否正確.

圖3 單輪同態(tài)簽名驗(yàn)證方案框架Figure 3 Single-round homomorphic signatures verification scheme framework

5 安全分析

在本文的威脅模型中，允許惡意用戶偏離協(xié)議上傳虛假共享，但它們無法破壞服務(wù)器解密結(jié)果的正確性.同時(shí)允許t-1 個(gè)惡意用戶合謀攻擊誠(chéng)實(shí)用戶隱私，但它們?nèi)詫?duì)誠(chéng)實(shí)用戶的本地模型一無所知.為證明聚合協(xié)議的安全性，給定一個(gè)由多方組成的子集W ?U，W中各方的聯(lián)合視圖可以表示為一個(gè)隨機(jī)變量證明涉及的其他符號(hào)與上文定義相同.

首先定理1 和定理2 保證PVSS 的可驗(yàn)證性，使得服務(wù)器可以驗(yàn)證用戶的共享是否合法和正確，有效地避免惡意用戶的虛假共享對(duì)解密結(jié)果的產(chǎn)生影響.

定理2如果V中的用戶m在PVSS.Dec 階段通信了錯(cuò)誤的解密共享服務(wù)器在PVSS.Recon 階段將以1-?的概率檢測(cè)到這一情況，其中?是證明DELQ 的完備性誤差.

上述定理證明與文獻(xiàn)[21] 中定理2 和定理3 的證明相同.通過PVSS 的共享驗(yàn)證可以篩選掉惡意用戶上傳的共享，確保解密結(jié)果的正確性.再通過定理3 證明方案可以防御t-1 個(gè)惡意用戶(不包括服務(wù)器)的合謀攻擊.

定理3對(duì)于所有的t，λ，ωU，W ?U，|U|≥t，且U4?U3?U2?U1?U，存在一個(gè)PPT 模擬器SIM，其輸出與的輸出無法區(qū)分，即

證明:由于排除了服務(wù)器的參與，集合W中各方的聯(lián)合視圖不依賴于不在W中的其他用戶的輸入.因此，模擬器SIM 可以使用惡意用戶的真實(shí)輸入來生成完美的模擬，但將誠(chéng)實(shí)用戶的輸入替換為假數(shù)據(jù)(例如隨機(jī)生成的數(shù)字).本文強(qiáng)調(diào)在W中用戶的模擬視圖與真實(shí)視圖的輸出是無法區(qū)分的.更具體說，在階段3 中，模擬器SIM 通過使用隨機(jī)數(shù)(例如0) 而不是使用真正的模型參數(shù)，為所有誠(chéng)實(shí)的用戶(不在W中) 生成加密參數(shù)此外，我們注意到服務(wù)器在階段3 中只發(fā)送所有在線用戶的集合，而不是特定的的實(shí)際值，這意味著惡意用戶無法識(shí)別服務(wù)器返回的聚合結(jié)果是否基于誠(chéng)實(shí)用戶的真實(shí)模型參數(shù).因此，W中用戶的模擬視圖與真實(shí)視圖的輸出是無法區(qū)分的.

定理4設(shè)BLS 方案是一個(gè)不可偽造的簽名方案，F(xiàn)是一個(gè)偽隨機(jī)函數(shù)，G是一個(gè)雙線性群生成器，使得H具有(1，γ，?)-可編程偽隨機(jī)性，且H′是(poly，0，1，γ′，δ′)-可編程的[22].由于FDHI 的假設(shè)成立，同態(tài)簽名是不可偽造的.

證明:通過游戲證明定理4，定義一個(gè)PPT 的敵手A和一個(gè)PPT 的挑戰(zhàn)者C，如果A能夠以?的優(yōu)勢(shì)贏得游戲，那么C可以使用A以?的優(yōu)勢(shì)解決FDHI 問題.C接收到一個(gè)FDHI 實(shí)例并按如下方式工作:

初始化:挑戰(zhàn)者C選擇一個(gè)隨機(jī)索引[Q]，Q是敵手A查詢的不同用戶集合數(shù)量.其次，C運(yùn)行可編程偽隨機(jī)函數(shù)H的陷門生成算法(td，pek)←H.TrapGen(1λ，bgp，g，g，h，hz)，(poly，0，1)-可編程函數(shù)H′的陷門生成算法(td′，pek′)←H′.TrapGen(1λ，bgp，g，g，h，hz).

C最終生成BLS 方案的(sk′，pk′)，設(shè)置hpk(pk′，pek，pek′)，保存sk′，td，td′，將hpk 發(fā)送至A.

簽名查詢:設(shè)k ←1 是A查詢的用戶集合數(shù)量的計(jì)數(shù)器.對(duì)于每一個(gè)新查詢的用戶集U，C創(chuàng)建一個(gè)(n，ω，σ) 的列表TU，它收集A在用戶集合U中查詢的所有用戶標(biāo)識(shí)/消息以及生成的相應(yīng)簽名.

每當(dāng)查詢第k個(gè)用戶集合Uk時(shí)，C做以下操作:如果kμ，則隨機(jī)采樣ξμ ←Zq，計(jì)算Zμ(hz)ξμ并保存Zμ，ξμ;如果k/μ，C隨機(jī)采樣ξk ←Zq，計(jì)算Zk(hv)ξk并保存Zk，ξk.所有{Zk}k∈[Q]都是G2中隨機(jī)的，它們與通過偽隨機(jī)函數(shù)F計(jì)算得到的結(jié)果分布完全相同.

給定一個(gè)簽名查詢(U，n，ω)，使得UUk是第k個(gè)用戶集合.C首先計(jì)算←BLS.Sign(sk′，Uk，n)，然后執(zhí)行以下操作:

返回簽名σ(σUk，Zk，Rn，Sn) 至A.該簽名滿足真實(shí)的分布，因?yàn)镽n是均勻分布的G1元素，并且

返回簽名σ(σUμ，Zμ，Rn，Sn) 至A.對(duì)于Sn我們有

返回(W，W′) 作為FDHI 假設(shè)的解，即W′W1/z，可以觀察到

綜上所述，如果A贏得了游戲，那么C就可以解決FDHI 假設(shè)，從而證明該同態(tài)簽名不可偽造.

6 性能分析

本文方案基于雙線性映射的開源庫pypbc，使用Python 語言實(shí)現(xiàn).實(shí)驗(yàn)環(huán)境為Intel(R) Core(TM)i7-6700 CPU @3.40 GHz 上的VMware 虛擬機(jī)，分配2 個(gè)CPU 核心和4 GB 內(nèi)存，操作系統(tǒng)為Ubuntu22.04.實(shí)驗(yàn)?zāi)M一個(gè)服務(wù)器和500 個(gè)用戶，對(duì)10 000 維的神經(jīng)網(wǎng)絡(luò)模型進(jìn)行聯(lián)邦學(xué)習(xí)訓(xùn)練.

6.1 功能對(duì)比

如表3 所示，將本文方案的功能和文獻(xiàn)[14—17] 進(jìn)行比較.具體來說，文獻(xiàn)[14—17] 和本文方案均實(shí)現(xiàn)了對(duì)用戶數(shù)據(jù)的隱私保護(hù)，且支持訓(xùn)練過程中用戶的動(dòng)態(tài)退出.與文獻(xiàn)[14—16] 相比，本文方案進(jìn)一步提升了隱私保護(hù)共享階段的安全性，抵抗惡意用戶的主動(dòng)攻擊.文獻(xiàn)[17] 采用差分隱私實(shí)現(xiàn)隱私保護(hù)，不涉及秘密共享的安全性.此外，文獻(xiàn)[14] 不支持用戶對(duì)聚合結(jié)果的驗(yàn)證功能，文獻(xiàn)[15—17] 均支持用戶對(duì)聚合結(jié)果的驗(yàn)證功能，然而文獻(xiàn)[16，17] 無法支持動(dòng)態(tài)用戶對(duì)上一輪聚合結(jié)果的驗(yàn)證.與這些方案相比，本文方案不僅可以保護(hù)數(shù)據(jù)隱私，同時(shí)支持任意持有公鑰的動(dòng)態(tài)用戶對(duì)聚合結(jié)果進(jìn)行驗(yàn)證.

表3 功能對(duì)比Table 3 Comparison of functions

6.2 用戶驗(yàn)證開銷對(duì)比

文獻(xiàn)[16，17]在驗(yàn)證聚合結(jié)果時(shí)均需要為每一參數(shù)維度分配驗(yàn)證公鑰，由此增加了用戶的存儲(chǔ)開銷.本文方案采用APHF 構(gòu)建的同態(tài)簽名對(duì)聚合結(jié)果進(jìn)行驗(yàn)證，可以將公鑰長(zhǎng)度從O(N+L) 降低到其中N和L分別是用戶數(shù)量和參數(shù)維度.

在本文方案中，用戶驗(yàn)證聚合結(jié)果時(shí)需要執(zhí)行多次哈希查詢和雙線性映射，從而增加計(jì)算開銷.為了提高驗(yàn)證效率，本文方案可以將驗(yàn)證過程分為離線的預(yù)處理和在線的單輪驗(yàn)證兩個(gè)階段.表4 給出了500個(gè)用戶訓(xùn)練不同維度的模型參數(shù)、每個(gè)用戶驗(yàn)證時(shí)各階段的計(jì)算開銷和完整驗(yàn)證的總計(jì)算開銷.可以看出，隨著參數(shù)維度的增長(zhǎng)，用戶驗(yàn)證時(shí)的計(jì)算開銷呈明顯的線性增長(zhǎng)趨勢(shì).此外，兩個(gè)階段幾乎各占完整驗(yàn)證計(jì)算開銷的一半.為此用戶可以在訓(xùn)練正式開始前，離線進(jìn)行預(yù)處理計(jì)算，并在每輪訓(xùn)練中重復(fù)利用預(yù)處理結(jié)果進(jìn)行驗(yàn)證，有效降低用戶單輪驗(yàn)證的計(jì)算開銷.

表4 用戶驗(yàn)證計(jì)算開銷Table 4 Computation overhead for user verification

由于文獻(xiàn)[14] 不具有驗(yàn)證功能，文獻(xiàn)[15] 的驗(yàn)證開銷很大程度依賴于參數(shù)維度，不適用于規(guī)模龐大的聯(lián)邦學(xué)習(xí).為此，本文僅與文獻(xiàn)[16，17] 對(duì)比用戶單輪驗(yàn)證的計(jì)算開銷，同時(shí)還針對(duì)不同的參數(shù)維度和用戶數(shù)量進(jìn)行了單輪驗(yàn)證計(jì)算開銷的測(cè)量.如圖4 所示，隨著參數(shù)維度和用戶數(shù)量的增長(zhǎng)，三個(gè)方案中用戶驗(yàn)證時(shí)的計(jì)算開銷均呈現(xiàn)出線性增長(zhǎng)趨勢(shì).值得注意的是，用戶數(shù)量對(duì)文獻(xiàn)[17] 中用戶驗(yàn)證時(shí)的計(jì)算開銷有著顯著影響，這是因?yàn)橛脩粜枰?yàn)證所有在線用戶的簽名，從而增加了計(jì)算開銷.而文獻(xiàn)[16] 和本文方案受用戶數(shù)量影響較小.在同一參數(shù)維度下，本文方案用戶驗(yàn)證時(shí)僅比文獻(xiàn)[16] 慢100 ms 左右.通過采用離線預(yù)處理的方法，本文方案在降低驗(yàn)證公鑰長(zhǎng)度的前提下，實(shí)現(xiàn)了與文獻(xiàn)[16] 近乎相當(dāng)?shù)膯屋嗱?yàn)證計(jì)算效率.

圖4 用戶單輪驗(yàn)證計(jì)算開銷對(duì)比Figure 4 Comparison of communication overhead for user verification per round

圖5 給出了本文方案與文獻(xiàn)[16，17] 用戶單輪驗(yàn)證通信開銷的對(duì)比結(jié)果.

圖5 用戶單輪驗(yàn)證通信開銷對(duì)比Figure 5 Comparison of communication overhead for user verification per round

從圖5(a)可以看出，三個(gè)方案用于驗(yàn)證的通信開銷都與參數(shù)維度無關(guān).從圖5(b)可以看出，文獻(xiàn)[16]用于驗(yàn)證的通信開銷受用戶數(shù)量的影響.這是因?yàn)橛脩粜枰獙⒐Ｓ?jì)算結(jié)果秘密共享給其他用戶，確保用戶退出時(shí)在線用戶仍能進(jìn)行驗(yàn)證.因此用戶數(shù)量越多，用于驗(yàn)證的通信開銷也越大.在文獻(xiàn)[17] 和本文方案中，用戶只需要向服務(wù)器通信一次簽名，無需額外的通信開銷，為此將文獻(xiàn)[16] 中的驗(yàn)證通信開銷降低了兩個(gè)數(shù)量級(jí).與文獻(xiàn)[17] 相比，同態(tài)簽名的長(zhǎng)度大于普通簽名，所以本文方案用于驗(yàn)證的通信開銷略高，但幾乎不會(huì)對(duì)用戶的整體通信產(chǎn)生影響.

6.3 整體方案對(duì)比

本文還與文獻(xiàn)[16，17] 對(duì)比了單輪訓(xùn)練時(shí)的整體開銷.從表5 可以看出，文獻(xiàn)[17] 的整體開銷要優(yōu)于文獻(xiàn)[16] 和本文方案，這是因?yàn)樵摲桨甘褂貌罘蛛[私實(shí)現(xiàn)隱私保護(hù)，避免了秘密共享所需的開銷.但從圖6 可以看出，隨著用戶退出率的增大，文獻(xiàn)[17] 的全局模型精度逐漸下降.這是因?yàn)樵谟脩敉顺龊螅?wù)器計(jì)算聚合結(jié)果沒有完全消除噪聲，從而影響了全局模型精度.而文獻(xiàn)[16] 和本文方案均使用雙掩碼和秘密共享實(shí)現(xiàn)隱私保護(hù)，完全消除掩碼對(duì)聚合結(jié)果的影響，確保全局模型的精度.

圖6 全局模型精度Figure 6 Global model accuracy

表5 單輪整體開銷Table 5 Total overhead per round

相較于文獻(xiàn)[16]，本文方案使用PVSS 實(shí)現(xiàn)了雙掩碼安全聚合協(xié)議，用戶計(jì)算開銷略高，表明PVSS和同態(tài)簽名不會(huì)對(duì)用戶計(jì)算開銷產(chǎn)生顯著影響.此外，盡管PVSS 會(huì)增加用戶的通信開銷，但是本文同態(tài)簽名方案大大降低了用于驗(yàn)證的通信開銷，使得本文方案整體的通信開銷低于文獻(xiàn)[16].

文獻(xiàn)[16] 中，服務(wù)器還需額外通信哈希計(jì)算結(jié)果的秘密共享，為此通信開銷高于本文方案.然而本文方案中服務(wù)器的計(jì)算開銷遠(yuǎn)高于文獻(xiàn)[16]，這是因?yàn)榉桨覆捎肞VSS 提升共享數(shù)據(jù)的安全性，服務(wù)器需要驗(yàn)證用戶提交共享數(shù)據(jù)的正確性，產(chǎn)生了額外的計(jì)算開銷.在本文實(shí)驗(yàn)環(huán)境中，服務(wù)器依次驗(yàn)證每個(gè)用戶的共享，嚴(yán)重影響了計(jì)算效率.在實(shí)際應(yīng)用場(chǎng)景中，可以采用異步并行的訓(xùn)練方法，對(duì)多個(gè)用戶的共享同時(shí)驗(yàn)證，提高服務(wù)器的處理能力，縮短驗(yàn)證時(shí)間.

綜上所述，本文方案對(duì)服務(wù)器提出了更高的要求，但也進(jìn)一步提升了聯(lián)邦學(xué)習(xí)的安全性.本文方案不會(huì)顯著影響用戶的整體開銷，在確保全局模型高精度的前提下，實(shí)現(xiàn)了更安全的數(shù)據(jù)聚合和高效的聚合結(jié)果驗(yàn)證，適用于移動(dòng)設(shè)備數(shù)量龐大、資源受限的聯(lián)邦學(xué)習(xí)系統(tǒng).

7 總結(jié)

本文構(gòu)建了一種可驗(yàn)證的聯(lián)邦學(xué)習(xí)方案，首先采用雙掩碼協(xié)議對(duì)用戶模型參數(shù)進(jìn)行加密，同時(shí)使用公開可驗(yàn)證秘密共享構(gòu)建雙掩碼安全聚合協(xié)議，提高了數(shù)據(jù)共享的安全性，確保解密結(jié)果的正確性.其次，使用非對(duì)稱可編程哈希函數(shù)構(gòu)造的同態(tài)簽名方案，降低了用于驗(yàn)證的公鑰長(zhǎng)度，確保任意持有公鑰的動(dòng)態(tài)用戶可以對(duì)聚合結(jié)果進(jìn)行正確性驗(yàn)證.本文在理論上全面分析了方案的安全性，同時(shí)在實(shí)際數(shù)據(jù)上進(jìn)行了實(shí)驗(yàn)，證明了方案的高效可行性.通過對(duì)用戶單輪訓(xùn)練時(shí)的驗(yàn)證開銷和整體開銷進(jìn)行分析，證明本文方案可以快速進(jìn)行聚合結(jié)果驗(yàn)證，同時(shí)對(duì)驗(yàn)證的通信開銷進(jìn)行了有效的優(yōu)化，完整的聚合和可驗(yàn)證方案也不會(huì)顯著影響聯(lián)邦學(xué)習(xí)中用戶的訓(xùn)練過程.本文方案的實(shí)現(xiàn)提高了聯(lián)邦學(xué)習(xí)訓(xùn)練的安全性，同時(shí)保證了用戶隱私和數(shù)據(jù)共享的安全性.在未來的工作中，可以權(quán)衡方案整體開銷和模型精度，研究將差分隱私和同態(tài)簽名相結(jié)合的可驗(yàn)證聯(lián)邦學(xué)習(xí)方案.