米 波,翁 淵, 黃大榮, 劉 洋

基于區(qū)塊鏈共識(shí)激勵(lì)機(jī)制的新型聯(lián)邦學(xué)習(xí)系統(tǒng)

米 波1,翁 淵1, 黃大榮1, 劉 洋1

1重慶交通大學(xué) 信息科學(xué)與工程學(xué)院 重慶 中國(guó) 400074

隨著云存儲(chǔ)、人工智能等技術(shù)的發(fā)展, 數(shù)據(jù)的價(jià)值已獲得顯著增長(zhǎng)。但由于昂貴的通信代價(jià)和難以承受的數(shù)據(jù)泄露風(fēng)險(xiǎn)迫使各機(jī)構(gòu)間產(chǎn)生了“數(shù)據(jù)孤島”問(wèn)題, 大量數(shù)據(jù)無(wú)法發(fā)揮它的經(jīng)濟(jì)價(jià)值。雖然將區(qū)塊鏈作為承載聯(lián)邦學(xué)習(xí)的平臺(tái)能夠在一定程度上解決該問(wèn)題, 但也帶來(lái)了三個(gè)重要的缺陷: 1) 工作量證明(Proof of Work, POW)、權(quán)益證明(Proof of Stake, POS)等共識(shí)過(guò)程與聯(lián)邦學(xué)習(xí)訓(xùn)練過(guò)程并無(wú)關(guān)聯(lián), 共識(shí)將浪費(fèi)大量算力和帶寬; 2) 節(jié)點(diǎn)會(huì)因?yàn)槔娴目剂慷芙^或消極參與訓(xùn)練過(guò)程, 甚至因競(jìng)爭(zhēng)關(guān)系干擾訓(xùn)練過(guò)程; 3) 在公開(kāi)的環(huán)境下, 模型訓(xùn)練過(guò)程的數(shù)據(jù)難以溯源, 也降低了攻擊者的投毒成本。研究發(fā)現(xiàn), 不依靠工作量證明、權(quán)益證明等傳統(tǒng)共識(shí)機(jī)制而將聯(lián)邦學(xué)習(xí)與模型水印技術(shù)予以結(jié)合來(lái)構(gòu)造全新的共識(shí)激勵(lì)機(jī)制, 能夠很好地避免聯(lián)邦學(xué)習(xí)在區(qū)塊鏈平臺(tái)上運(yùn)用時(shí)所產(chǎn)生的算力浪費(fèi)及獎(jiǎng)勵(lì)不均衡等情況。基于這種共識(shí)所設(shè)計(jì)的區(qū)塊鏈系統(tǒng)不僅仍然滿足不可篡改、去中心化、49%拜占庭容錯(cuò)等屬性, 還天然地?fù)碛?9%投毒攻擊防御、數(shù)據(jù)非獨(dú)立同分布(Not Identically and Independently Distributed, Non-IID)適應(yīng)以及模型產(chǎn)權(quán)保護(hù)的能力。實(shí)驗(yàn)與論證結(jié)果都表明, 本文所提出的方案非常適用于非信任的機(jī)構(gòu)間利用大量本地?cái)?shù)據(jù)進(jìn)行商業(yè)聯(lián)邦學(xué)習(xí)的場(chǎng)景, 具有較高的實(shí)際價(jià)值。

聯(lián)邦學(xué)習(xí); 區(qū)塊鏈; 共識(shí)算法; 模型產(chǎn)權(quán)保護(hù); 投毒攻擊

1 引言

大數(shù)據(jù)驅(qū)動(dòng)的人工智能技術(shù)有助于在整體上生成高精度泛化模型, 但在實(shí)際應(yīng)用過(guò)程中卻往往存在著數(shù)據(jù)來(lái)源不足的狀況[1-2]。作為一種新興的機(jī)器學(xué)習(xí)框架, 聯(lián)邦學(xué)習(xí)(Federated Learning, FL)可以在節(jié)點(diǎn)數(shù)據(jù)孤立的情況下實(shí)現(xiàn)分布式模型訓(xùn)練, 在一定程度上解決機(jī)器學(xué)習(xí)過(guò)程中的數(shù)據(jù)稀缺問(wèn)題。此外, 由于這種方案[3]能夠在人工智能模型的訓(xùn)練過(guò)程中將數(shù)據(jù)離線, 因而也具有數(shù)據(jù)隱私保護(hù)和節(jié)省帶寬的能力。隨著智能邊緣設(shè)備的普及和性能提升, 移動(dòng)網(wǎng)絡(luò)的計(jì)算能力不斷增強(qiáng), 聯(lián)邦學(xué)習(xí)在智慧交通[4]、智慧城市[5]、商業(yè)數(shù)據(jù)挖掘[6-7]等領(lǐng)域都得到了廣泛的應(yīng)用。目前聯(lián)邦學(xué)習(xí)已經(jīng)與很多行業(yè)相融合, 且在區(qū)塊鏈、模型水印等技術(shù)的促進(jìn)下不斷賦予新的功能[8], 對(duì)實(shí)際生活產(chǎn)生了良好的經(jīng)濟(jì)效益和社會(huì)價(jià)值。

在信息化時(shí)代, 大數(shù)據(jù)背景下的數(shù)據(jù)隱私問(wèn)題愈來(lái)愈受到人們的關(guān)注。由于數(shù)據(jù)與生活、生產(chǎn)的關(guān)聯(lián)性日益增強(qiáng), 隱私泄露問(wèn)題必然會(huì)遭到社會(huì)的廣泛抵制, 信息價(jià)值開(kāi)發(fā)和敏感數(shù)據(jù)保護(hù)之間的矛盾正不斷顯現(xiàn)[9]。例如, 2020年12月, “明星健康寶照片泄露”事件中大量用戶個(gè)人數(shù)據(jù)被非法販賣(mài), 引起我國(guó)公安機(jī)關(guān)的高度警覺(jué)和公眾的廣泛討論。2017年6月1日起實(shí)施的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》指出不得泄露、篡改用戶數(shù)據(jù), 且自2020年以來(lái)《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》相繼出臺(tái), 這也充分說(shuō)明了國(guó)家對(duì)數(shù)據(jù)隱私保護(hù)的重視。

針對(duì)機(jī)器學(xué)習(xí)中存在的數(shù)據(jù)安全風(fēng)險(xiǎn), 學(xué)者提出了一系列的隱私保護(hù)方案, 主要包括聯(lián)邦學(xué)習(xí)、多方安全計(jì)算(Secure multiparty computation, SMPC)[10-11]、同態(tài)加密(Homomorphic encryption, HE)[12-13]和差分隱私(Differential privacy, DP)[14-15]這幾類主流技術(shù), 其中聯(lián)邦學(xué)習(xí)采用的分布式離線訓(xùn)練方法能夠在隱私保護(hù)的同時(shí)有效節(jié)省通信及計(jì)算資源, 非常適用于數(shù)據(jù)量大、數(shù)據(jù)源分布廣、信息敏感度高的場(chǎng)景。

聯(lián)邦學(xué)習(xí)的概念最初出現(xiàn)于文獻(xiàn)[16], 逐步演化為縱向聯(lián)邦學(xué)習(xí)[17]、橫向聯(lián)邦學(xué)習(xí)[18]和聯(lián)邦遷移學(xué)習(xí)[19]三種基本框架。其中, 縱向聯(lián)邦學(xué)習(xí)主要適用于參與方數(shù)據(jù)記錄大量重合的場(chǎng)景, 而橫向聯(lián)邦學(xué)習(xí)主要考慮節(jié)點(diǎn)間數(shù)據(jù)特征基本相同的情況, 當(dāng)參與方的樣本空間有部分重疊但特征不盡相同時(shí)聯(lián)邦遷移學(xué)習(xí)則更為適合。在算力不均衡的可信任環(huán)境中, 上述三類方案往往采用C/S(客戶/服務(wù)器, Client/ Server)模式予以實(shí)現(xiàn)。正是因?yàn)槌浞掷昧送掏铝扛?、性能?yōu)異的設(shè)備作為中心節(jié)點(diǎn), C/S模式相較于分布式學(xué)習(xí)具有訓(xùn)練效率更高、利益分配更均衡、本地?cái)?shù)據(jù)更安全等優(yōu)勢(shì)。然而, 在非信任環(huán)境下, C/S模式的聯(lián)邦學(xué)習(xí)方法極易遭受身份偽造、數(shù)據(jù)篡改、拒絕服務(wù)(Denial of Service, DoS)等攻擊的威脅。為解決這些信任問(wèn)題, 文獻(xiàn)[20]提出一種基于區(qū)塊鏈的聯(lián)邦學(xué)習(xí)方案, 將抽象的可信服務(wù)節(jié)點(diǎn)實(shí)例化為分布式的共識(shí)激勵(lì)機(jī)制; 文獻(xiàn)[21]將聯(lián)邦學(xué)習(xí)中的梯度作為一部分貢獻(xiàn), 結(jié)合Algorand共識(shí)協(xié)議提升了激勵(lì)的公平性。文獻(xiàn)[22]中通過(guò)降低聯(lián)邦學(xué)習(xí)中的交互參數(shù)以保證用戶的匿名性從而降低收到攻擊的風(fēng)險(xiǎn)。

圖1展示了基于鏈上共識(shí)的聯(lián)邦學(xué)習(xí)整體框架。該框架中的節(jié)點(diǎn)可同時(shí)或分別扮演數(shù)據(jù)提供者和區(qū)塊挖掘者兩種角色。所有參與者在本地?cái)?shù)據(jù)集上完成子模型的訓(xùn)練, 隨后將其上傳至隨機(jī)選擇或投票選舉出來(lái)的礦工。礦工負(fù)責(zé)對(duì)所有本地模型進(jìn)行驗(yàn)證與融合, 然后根據(jù)PoW或PoS共識(shí)機(jī)制產(chǎn)生新的區(qū)塊。這些區(qū)塊要負(fù)責(zé)記錄礦工的挖礦獎(jiǎng)勵(lì)和數(shù)據(jù)提供者的貢獻(xiàn)獎(jiǎng)勵(lì), 并存儲(chǔ)模型更新后的參數(shù)。隨后, 參與者將聚合后的模型再次下載, 不斷地重復(fù)上述過(guò)程直至得到滿意的全局機(jī)器學(xué)習(xí)模型。由此可見(jiàn), 這種機(jī)器學(xué)習(xí)方法的本質(zhì)在于間接的數(shù)據(jù)共享和有效的合作激勵(lì), 因此共識(shí)算法的可靠性和獎(jiǎng)勵(lì)機(jī)制的公平性會(huì)直接影響整個(gè)系統(tǒng)的性能。

圖1 基于區(qū)塊鏈的聯(lián)邦學(xué)習(xí)框架

Figure 1 A federated learning framework based on blockchain

盡管基于共識(shí)的聯(lián)邦學(xué)習(xí)方法有助于建立起參與節(jié)點(diǎn)間的廣泛信任, 但現(xiàn)有方案仍普遍存在著以下三方面的缺陷:

1) 資源浪費(fèi)問(wèn)題。文獻(xiàn)[23]指出, 將區(qū)塊鏈作為聯(lián)邦學(xué)習(xí)過(guò)程中數(shù)據(jù)和模型的載體, 主要是為了保證相關(guān)信息能夠被可靠地記錄及追溯。然而, 由于PoW[24]、PoS[25]等“挖礦”行為與聯(lián)邦學(xué)習(xí)過(guò)程的收斂性并無(wú)直接關(guān)聯(lián), 共識(shí)機(jī)制的引入會(huì)直接導(dǎo)致大量算力和帶寬被浪費(fèi)。

2) 節(jié)點(diǎn)活性問(wèn)題。在實(shí)際生產(chǎn)環(huán)境中, 節(jié)點(diǎn)數(shù)據(jù)和計(jì)算資源都是具有一定經(jīng)濟(jì)價(jià)值的。在某一節(jié)點(diǎn)發(fā)起聯(lián)邦學(xué)習(xí)的模型訓(xùn)練后, 其他節(jié)點(diǎn)可能會(huì)因?yàn)槔娴目剂慷芙^或消極合作, 甚至?xí)驗(yàn)楦?jìng)爭(zhēng)關(guān)系投入虛假數(shù)據(jù)對(duì)模型進(jìn)行干擾, 最終導(dǎo)致全局模型無(wú)法使用或訓(xùn)練過(guò)程無(wú)法收斂。

3) 攻擊手段的多樣性問(wèn)題。盡管聯(lián)邦學(xué)習(xí)領(lǐng)域正不斷引入各種新的機(jī)制來(lái)對(duì)抗日益多樣化的攻擊手段, 但大都針對(duì)片面的安全目標(biāo)[26]。與傳統(tǒng)機(jī)器學(xué)習(xí)所面臨的威脅類似, 模型攻擊[27]、投毒攻擊[28]、后門(mén)攻擊[29]、推理攻擊[30]等方法在聯(lián)邦學(xué)習(xí)中也主要是對(duì)數(shù)據(jù)隱私和全局模型進(jìn)行破壞。事實(shí)上, 聯(lián)邦學(xué)習(xí)在一定程度上具有數(shù)據(jù)隱私保護(hù)的特性。因此, 安全機(jī)制的實(shí)現(xiàn)不應(yīng)當(dāng)以攻擊手段為驅(qū)動(dòng), 而需要將數(shù)據(jù)保密性和模型準(zhǔn)確性作為根本目的。

聯(lián)邦學(xué)習(xí)的商業(yè)場(chǎng)景往往具有參與節(jié)點(diǎn)數(shù)量少、合作關(guān)系松散耦合的特點(diǎn)。此外, 非信任分布式環(huán)境的物理脆弱性和攻擊來(lái)源的多樣性極有可帶來(lái)節(jié)點(diǎn)丟失、數(shù)據(jù)污染、模型篡改等隱患, 從而導(dǎo)致訓(xùn)練過(guò)程因無(wú)法準(zhǔn)確收斂而失敗。為此, 本文將針對(duì)節(jié)點(diǎn)數(shù)量有限、數(shù)據(jù)吞吐量大、互信程度低的跨企業(yè)分布式場(chǎng)景, 結(jié)合區(qū)塊鏈及水印技術(shù)來(lái)構(gòu)造一種全新的共識(shí)激勵(lì)機(jī)制, 從而解決聯(lián)邦學(xué)習(xí)中算力浪費(fèi)、獎(jiǎng)勵(lì)不均以及魯棒性弱的問(wèn)題?？傮w而言, 其基本思想是借助區(qū)塊鏈的一致性記錄能力以及模型水印的版權(quán)保護(hù)機(jī)制, 將模型訓(xùn)練分發(fā)到多個(gè)節(jié)點(diǎn)上并行執(zhí)行, 每輪結(jié)束后多個(gè)礦工將分別對(duì)收集到的本地模型進(jìn)行聚合, 并根據(jù)評(píng)價(jià)準(zhǔn)則在鏈上達(dá)成模型準(zhǔn)確度和參與者貢獻(xiàn)度的共識(shí), 由此產(chǎn)生新的區(qū)塊, 不斷迭代直至獲得期望的全局模型。在具體的實(shí)施過(guò)程中, 參與訓(xùn)練的節(jié)點(diǎn)會(huì)將自身的水印嵌入到梯度模型中用于證明所做出的貢獻(xiàn)。為了爭(zhēng)奪寫(xiě)入權(quán)限, 所有融合節(jié)點(diǎn)將利用所接收到的梯度構(gòu)造一個(gè)能夠讓大多數(shù)節(jié)點(diǎn)都認(rèn)可的全局模型。最終, 達(dá)成共識(shí)的全局模型將會(huì)由它的創(chuàng)造者寫(xiě)入?yún)^(qū)塊?；谏鲜霾呗? 本文將Paxos共識(shí)協(xié)議[31]中的投票理念與聯(lián)邦學(xué)習(xí)相結(jié)合, 構(gòu)造出一種新型共識(shí)協(xié)議Paxos Federated Consensue(PFconsensue), 并通過(guò)高魯棒性水印融合算法的設(shè)計(jì), 最終形成一套可證明完備的聯(lián)邦學(xué)習(xí)共識(shí)激勵(lì)機(jī)制。

本文的貢獻(xiàn)主要在以下幾個(gè)方面:

1) 基于聯(lián)邦學(xué)習(xí)的共識(shí)協(xié)議。將聯(lián)邦學(xué)習(xí)的訓(xùn)練過(guò)程作為節(jié)點(diǎn)“挖礦”環(huán)節(jié), 使消耗的資源轉(zhuǎn)換成具有經(jīng)濟(jì)價(jià)值的人工智能模型。同時(shí), 模型聚合采用去中心化與性能投票的方式進(jìn)行, 克服了聯(lián)邦學(xué)習(xí)中Non-IID[32]與投毒攻擊所造成的全局模型性能下降的缺點(diǎn), 實(shí)現(xiàn)了聯(lián)邦學(xué)習(xí)與區(qū)塊鏈技術(shù)的優(yōu)勢(shì)互補(bǔ)。

2) 公平的區(qū)塊鏈共識(shí)激勵(lì)機(jī)制。為提高聯(lián)合訓(xùn)練的參與度, 依靠高魯棒性模型水印技術(shù)和參數(shù)距離算法, 實(shí)現(xiàn)了公平的節(jié)點(diǎn)貢獻(xiàn)度分配, 可以更好地刺激節(jié)點(diǎn)參與模型訓(xùn)練過(guò)程。在模型聚合環(huán)節(jié), 將區(qū)塊的寫(xiě)入權(quán)獎(jiǎng)勵(lì)給最優(yōu)模型的創(chuàng)造者, 也能夠充分地保證節(jié)點(diǎn)積極參與模型聚合?？梢?jiàn), 該區(qū)塊鏈系統(tǒng)在本地訓(xùn)練和模型聚合兩方面均保證了參與節(jié)點(diǎn)的活性。

3) 系統(tǒng)的整體完備性證明。從理論上了證明了共識(shí)算法的正確性, 并通過(guò)形式化方式分析了共識(shí)算法在拜占庭環(huán)境下的容錯(cuò)能力。同時(shí), 通過(guò)實(shí)際數(shù)據(jù)的分布情況抽象出相應(yīng)的約束條件, 分別討論了該系統(tǒng)組成部分在實(shí)際環(huán)境中運(yùn)行的有效性與穩(wěn)定性。此外, 對(duì)系統(tǒng)的整體安全性也進(jìn)行了充分的證明。

4) 實(shí)驗(yàn)仿真及分析。利用計(jì)算機(jī)模擬驗(yàn)證了共識(shí)協(xié)議的有效性。根據(jù)實(shí)際采集的“重慶市實(shí)時(shí)交通流”數(shù)據(jù)在多臺(tái)設(shè)備間部署共識(shí)決策環(huán)境, 驗(yàn)證了本方案在現(xiàn)實(shí)環(huán)境中的可行性及準(zhǔn)確性。此外, 基于系統(tǒng)性的區(qū)塊鏈仿真, 進(jìn)一步展示了本方案對(duì)聯(lián)邦學(xué)習(xí)中潛在威脅的抵抗力。

2 系統(tǒng)整體模型

由于區(qū)塊鏈具有不可篡改、易追溯和去中心化等優(yōu)勢(shì), 與聯(lián)邦學(xué)習(xí)相結(jié)合能夠極大程度地克服聯(lián)邦學(xué)習(xí)中所潛在的風(fēng)險(xiǎn)。對(duì)此, 本章節(jié)將基于PFconsensue協(xié)議、模型水印等技術(shù)構(gòu)造整體的區(qū)塊鏈系統(tǒng), 并給出實(shí)際環(huán)境中的安全性形式化定義。

2.1 系統(tǒng)框架設(shè)計(jì)

當(dāng)前已有部分研究人員將區(qū)塊鏈用于解決聯(lián)邦學(xué)習(xí)在非信任環(huán)境中的安全協(xié)同訓(xùn)練問(wèn)題。文獻(xiàn)[33]中選取區(qū)塊鏈上的可靠節(jié)點(diǎn)來(lái)參與聯(lián)邦學(xué)習(xí), 并通過(guò)差分隱私技術(shù)以保證訓(xùn)練數(shù)據(jù)的安全。文獻(xiàn)[34]則將聯(lián)邦學(xué)習(xí)過(guò)程中的全局?jǐn)?shù)據(jù)組織成“全局模型狀態(tài)樹(shù)”, 作為交易內(nèi)容存儲(chǔ)到區(qū)塊鏈中。而文獻(xiàn)[35]也類似地利用區(qū)塊鏈存儲(chǔ)聯(lián)邦學(xué)習(xí)過(guò)程中的各種模型參數(shù), 該方案還可以借助其他邊緣設(shè)備來(lái)分擔(dān)訓(xùn)練能耗。然而, 由于以上方案皆未考慮模型所具有的知識(shí)產(chǎn)權(quán)特性, 可能產(chǎn)生模型盜用現(xiàn)象, 也將導(dǎo)致參與方發(fā)生產(chǎn)權(quán)糾紛。另一方面, 依附于區(qū)塊鏈的聯(lián)邦學(xué)習(xí)會(huì)因?yàn)楣沧R(shí)過(guò)程而造成大量的資源浪費(fèi), 導(dǎo)致節(jié)點(diǎn)參與度下降。為了解決上述兩個(gè)問(wèn)題, 本文設(shè)計(jì)了圖2所示的聯(lián)邦區(qū)塊鏈結(jié)構(gòu)。在該結(jié)構(gòu)中, 鏈上記錄的數(shù)據(jù)主要包括: (1) 上一個(gè)區(qū)塊的Hash; (2) 融合后的模型參數(shù); (3) 構(gòu)造融合模型所使用的局部梯度集合; (4) 基于評(píng)價(jià)準(zhǔn)則的產(chǎn)權(quán)獎(jiǎng)勵(lì); (5) 下一輪訓(xùn)練的優(yōu)化目標(biāo)。

圖2 本文區(qū)塊鏈系統(tǒng)結(jié)構(gòu)

Figure 2 The structure of the blockchain system in this paper

在協(xié)議開(kāi)始時(shí), 參與節(jié)點(diǎn)將會(huì)從區(qū)塊鏈上獲取公開(kāi)發(fā)布的初始模型及訓(xùn)練目標(biāo), 并在本地訓(xùn)練出包含水印的梯度模型。隨后, 節(jié)點(diǎn)會(huì)將梯度模型通過(guò)Gossip協(xié)議[36]進(jìn)行廣播, 并在收到足夠的梯度信息后嘗試通過(guò)聚合算法得到聚合模型。最后, 聚合模型會(huì)傳送至各個(gè)節(jié)點(diǎn)進(jìn)行評(píng)測(cè), 投票產(chǎn)生的最優(yōu)模型和下一輪協(xié)議的優(yōu)化目標(biāo)將被同時(shí)寫(xiě)入新的區(qū)塊。考慮到數(shù)據(jù)的防篡改問(wèn)題, 除分布式存儲(chǔ)外還將借助Hash鏈?zhǔn)浇Y(jié)構(gòu)和最長(zhǎng)鏈原則[37]來(lái)確保區(qū)塊鏈的持久性。值得一提的是, 本方案在設(shè)計(jì)區(qū)塊數(shù)據(jù)結(jié)構(gòu)時(shí)將各個(gè)節(jié)點(diǎn)的梯度模型一并記錄在區(qū)塊上,這樣可以確保聚合模型的可信度。

就節(jié)點(diǎn)活性而言, 由于區(qū)塊鏈上的聚合模型保留有各參與方的梯度模型水印, 他們可以據(jù)此對(duì)調(diào)用該模型的第三方收取知識(shí)產(chǎn)權(quán)費(fèi)。與此同時(shí), 高魯棒水印融合技術(shù)的使用還能夠有效防止公開(kāi)模型被盜用?？梢?jiàn), 該方案能夠充分激勵(lì)各個(gè)節(jié)點(diǎn)參與聯(lián)邦學(xué)習(xí)過(guò)程。

更進(jìn)一步地, 本文對(duì)上述區(qū)塊鏈的整體構(gòu)架進(jìn)行如圖3所示的邏輯刻畫(huà)和分層設(shè)計(jì)。節(jié)點(diǎn)之間主要負(fù)責(zé)構(gòu)造區(qū)塊鏈數(shù)據(jù)服務(wù), 而第三方只需通過(guò)API接口發(fā)布模型需求或?qū)δＰ瓦M(jìn)行調(diào)用。

圖3 本文區(qū)塊鏈框架設(shè)計(jì)

Figure 3 The blockchain framework of this paper

2.2 攻擊模型及安全定義

區(qū)塊鏈能夠解決聯(lián)邦學(xué)習(xí)的中心化問(wèn)題, 聯(lián)邦學(xué)習(xí)則實(shí)現(xiàn)了區(qū)塊鏈上的數(shù)據(jù)隱私保護(hù)。為確保本文設(shè)計(jì)的方案能夠可靠運(yùn)行, 首先對(duì)其性能與安全進(jìn)行形式化定義, 后面章節(jié)也將圍繞這些定義進(jìn)行闡述及論證。

本文提出的聯(lián)邦學(xué)習(xí)共識(shí)算法PFconsensus主要用于解決分布式環(huán)境下的數(shù)據(jù)一致性問(wèn)題。PFconsensus協(xié)議的攻擊環(huán)境和安全性定義如下。

定義1. 拜占庭攻擊環(huán)境.

定義2.待融合梯度模型.

這四個(gè)條件能夠保證在拜占庭環(huán)境下至少存在一個(gè)誠(chéng)實(shí)節(jié)點(diǎn)正確地執(zhí)行共識(shí), 從而避免因性能差異或共謀等原因?qū)⑺姓\(chéng)實(shí)節(jié)點(diǎn)排除在共識(shí)過(guò)程之外。其中, 式(2)能夠保證誠(chéng)實(shí)節(jié)點(diǎn)在承諾打分階段至少接收到個(gè)正確的梯度模型, 而式(3)保證了聚合后的模型集合中必然包含一個(gè)正常的聚合模型。具體分析將在后面給出。

定義3.拜占庭環(huán)境下共識(shí)協(xié)議的安全性.

本文將聯(lián)邦學(xué)習(xí)算法作為模型訓(xùn)練的基本框架, 但為保證去中心化后仍然能夠正常工作, 還需考慮如下額外因素及需求。

定義4.投毒攻擊節(jié)點(diǎn).

定義5.去中心化環(huán)境中聯(lián)邦學(xué)習(xí)算法的有效性.

針對(duì)區(qū)塊鏈上聯(lián)邦學(xué)習(xí)算法的有效性問(wèn)題, 本文方案需滿足以下性質(zhì):

(2) 最終上鏈的聚合模型與中心化聯(lián)邦學(xué)習(xí)方案在準(zhǔn)確性方面的差異可忽略。

最后, 對(duì)區(qū)塊鏈的整體安全性做如下定義:

定義6.拜占庭環(huán)境下區(qū)塊鏈的整體安全性.

3 基于區(qū)塊鏈的聯(lián)邦學(xué)習(xí)共識(shí)激勵(lì)機(jī)制

針對(duì)上述對(duì)拜占庭攻擊環(huán)境的定義, 本章節(jié)將先引入模型水印技術(shù)來(lái)保證聯(lián)邦學(xué)習(xí)過(guò)程中的模型產(chǎn)權(quán)證明。進(jìn)一步的, 將詳細(xì)介紹PFconsensue協(xié)議的運(yùn)行過(guò)程。最終, 通過(guò)上鏈模型數(shù)據(jù)和模型水印設(shè)計(jì)了一種公平的激勵(lì)機(jī)制。該機(jī)制能夠在保證節(jié)點(diǎn)數(shù)據(jù)隱私的同時(shí)維持參與節(jié)點(diǎn)的訓(xùn)練積極性。

3.1 FedIPR模型水印

在設(shè)計(jì)PFconsensue共識(shí)算法時(shí), 需確保網(wǎng)絡(luò)中數(shù)據(jù)傳輸?shù)目煽啃? 并維護(hù)模型版權(quán)對(duì)融合過(guò)程的魯棒性, 為此需要構(gòu)造適應(yīng)的數(shù)字簽名和模型水印方案。由于在共識(shí)激勵(lì)的過(guò)程中需要對(duì)聯(lián)邦學(xué)習(xí)產(chǎn)生的梯度模型進(jìn)行交叉驗(yàn)證, 本文考慮結(jié)合FedIPR模型水印與數(shù)字簽名算法來(lái)保證模型的唯一性。此外, 在對(duì)聚合模型進(jìn)行產(chǎn)權(quán)證明時(shí), FedIPR算法也能提供一個(gè)可信的結(jié)果來(lái)保證激勵(lì)機(jī)制的公平。FedIPR算法最初由Fan等人[38]提出, 它能夠通過(guò)調(diào)整模型的目標(biāo)函數(shù), 同時(shí)植入白盒水印與黑盒水印, 本文構(gòu)造類似的水印植入過(guò)程如下:

(3) 模型聚合算法將采用梯度平均策略(Federated Averaging):

上述算法的正確性與魯棒性已經(jīng)在文獻(xiàn)[38]中得到了驗(yàn)證。本文中實(shí)驗(yàn)也表明該算法在分布式聯(lián)邦學(xué)習(xí)環(huán)境下具有很好的魯棒性, 能夠滿足定義1中對(duì)簽名算法的要求。

3.2 PFconsensus聯(lián)邦共識(shí)算法

最早提出的聯(lián)邦學(xué)習(xí)算法是一種基于C/S框架的中心化服務(wù), 每個(gè)用戶需要傳輸各自的梯度模型給服務(wù)器, 而服務(wù)器會(huì)利用他們的梯度模型進(jìn)行聚合并返回給客戶端進(jìn)行迭代訓(xùn)練。該結(jié)構(gòu)極易導(dǎo)致拒絕服務(wù)攻擊, 因而有學(xué)者通過(guò)結(jié)合區(qū)塊鏈中的智能合約, 將其改造為去中心化方案。為避免無(wú)謂的能耗, 本文將聯(lián)邦學(xué)習(xí)算法本身作為共識(shí), 并結(jié)合區(qū)塊鏈與水印技術(shù)在一定程度上解決聯(lián)邦學(xué)習(xí)中的Non-IID及投毒問(wèn)題。該算法的核心在于通過(guò)對(duì)比聚合模型的性能來(lái)達(dá)成一致, 主要可以概括為模型性能篩選和共識(shí)寫(xiě)入兩個(gè)部分。

本文將參與共識(shí)過(guò)程的角色分為三種: proposer、acceptor以及l(fā)earner(acceptor和learner的角色互斥)。其中, proposer是數(shù)據(jù)的產(chǎn)生和發(fā)送者, acceptor表示數(shù)據(jù)的接收者和模型性能的裁決者, learner作為數(shù)據(jù)的最終寫(xiě)入者。

1) 模型篩選階段:

a. 本地模型訓(xùn)練: proposer會(huì)發(fā)布模型的基本結(jié)構(gòu), 并初始化參數(shù)。隨后, acceptor會(huì)利用本地?cái)?shù)據(jù)對(duì)proposer的初始模型進(jìn)行訓(xùn)練并在植入模型水印后將其廣播。

b. 模型聚合: proposer在收集到梯度模型后, 利用Federated Averaging算法對(duì)模型進(jìn)行聚合并微調(diào), 得到聚合模型后將其廣播。

2) 共識(shí)階段:

本文所提出的PFconsensus協(xié)議利用了聚合模型的性能優(yōu)劣來(lái)選取最終的共識(shí)內(nèi)容, 聚合過(guò)程的隨機(jī)性與模型性能的有界性使得一段時(shí)間內(nèi)只存在一個(gè)proposer。相比于原始paxos協(xié)議中產(chǎn)生多個(gè)proposer的現(xiàn)象, 本文方案避免了活鎖的出現(xiàn)。此外, 在保證去中心化特性的同時(shí), 該算法也高效地利用了分布式設(shè)備的資源來(lái)優(yōu)化訓(xùn)練及驗(yàn)證過(guò)程。各個(gè)節(jié)點(diǎn)利用本地?cái)?shù)據(jù)集對(duì)聚合模型進(jìn)行性能評(píng)測(cè)的方式, 促使被投毒、普適性弱的聚合模型難以被大多節(jié)點(diǎn)所接受, 在一定程度上解決了Non-IID問(wèn)題及模型投毒問(wèn)題。

以上述方案為基礎(chǔ), 下面進(jìn)一步對(duì)PFconsensus協(xié)議在區(qū)塊鏈環(huán)境中的實(shí)現(xiàn)進(jìn)行了更為詳細(xì)的設(shè)計(jì)。首先, 為了保證PFconsensus正常運(yùn)行, 需根據(jù)區(qū)塊鏈應(yīng)用的實(shí)際情況定義以下函數(shù)(1表示是, 0表示否):

根據(jù)PFconsensus協(xié)議, 區(qū)塊鏈的運(yùn)行主要包括模型生成和競(jìng)爭(zhēng)寫(xiě)入算法兩個(gè)部分。首先對(duì)模型的生成算法進(jìn)行設(shè)計(jì):

15 END FOR

在梯度模型生成后, 各個(gè)節(jié)點(diǎn)需要對(duì)網(wǎng)絡(luò)中的聚合模型進(jìn)行評(píng)價(jià), 并篩選出全局性能最好的模型。最終, 生成該最優(yōu)聚合模型的節(jié)點(diǎn)將指定下一輪協(xié)議的模型初始參數(shù)。算法2a、2b將具體描述如何實(shí)現(xiàn)篩選并達(dá)成共識(shí)。

算法2a.模型評(píng)價(jià)及寫(xiě)入權(quán)限爭(zhēng)奪。

18END FOR

算法2a表明當(dāng)節(jié)點(diǎn)作為一個(gè)proposer時(shí), 會(huì)進(jìn)行對(duì)聚合模型的評(píng)價(jià)并爭(zhēng)奪區(qū)塊的寫(xiě)入權(quán)限。算法2a可以與算法1在節(jié)點(diǎn)上并發(fā)執(zhí)行, 當(dāng)proposer在算法2a中轉(zhuǎn)換為learner角色后, 將停止執(zhí)行這兩個(gè), 其目的在于確保模型數(shù)據(jù)寫(xiě)入?yún)^(qū)塊時(shí)唯一。

算法2b.共識(shí)及區(qū)塊寫(xiě)入算法。

8 END FOR

算法2b的目的是確定大多數(shù)節(jié)點(diǎn)皆認(rèn)為是最優(yōu)模型并已做好寫(xiě)入?yún)^(qū)塊鏈中的準(zhǔn)備。從算法2a、2b可以發(fā)現(xiàn), 若節(jié)點(diǎn)由proposer轉(zhuǎn)化成learner角色, 將會(huì)失去發(fā)布新模型和競(jìng)爭(zhēng)寫(xiě)入權(quán)限的能力, 可能因時(shí)延而導(dǎo)致模型無(wú)法得到一半以上節(jié)點(diǎn)的認(rèn)定, 從而協(xié)議失敗。為此, 需要設(shè)計(jì)活性算法以解決該問(wèn)題。

算法3.活性算法。

5 END FOR

8 END FOR

當(dāng)節(jié)點(diǎn)轉(zhuǎn)換成一個(gè)learner角色后將運(yùn)行算法3, 這可以防止由于大部分節(jié)點(diǎn)被激發(fā)成為learner后所出現(xiàn)的死鎖現(xiàn)象。

3.3 參與者貢獻(xiàn)度評(píng)價(jià)算法

通常評(píng)價(jià)聯(lián)邦學(xué)習(xí)中梯度模型對(duì)最終模型的貢獻(xiàn)度時(shí), 往往會(huì)將其梯度模型從最終模型中剔除, 將剔除后模型在測(cè)試集上的性能差異作為貢獻(xiàn)值。然而, 由于在分布式的競(jìng)爭(zhēng)環(huán)境下往往不存在普遍認(rèn)可的測(cè)試集, 因此本文將設(shè)計(jì)一種利用梯度模型和最終模型參數(shù)距離來(lái)?yè)Q算貢獻(xiàn)度的方法。該方法能夠在各節(jié)點(diǎn)數(shù)據(jù)隱私得到保護(hù)的同時(shí)獲取一個(gè)令人信服的貢獻(xiàn)度指標(biāo)。

通過(guò)計(jì)算聚合模型和不同梯度模型之間的夾角大小即可衡量它對(duì)整體的貢獻(xiàn)度。

4 系統(tǒng)正確性及安全性分析

如果上文所設(shè)計(jì)的系統(tǒng)能夠滿足2.2節(jié)中所給出的安全性和有效性定義, 則說(shuō)明本文的整體系統(tǒng)在實(shí)際運(yùn)行中是安全有效的。在本章節(jié)中, 將先結(jié)合共識(shí)協(xié)議的活性對(duì)第三章中所設(shè)計(jì)的PFconsensus協(xié)議進(jìn)行正確性分析。此后, 將圍繞2.2節(jié)中的攻擊模型和安全性定義對(duì)本文所設(shè)計(jì)的區(qū)塊鏈系統(tǒng)進(jìn)行安全性和有效性的形式化證明。

4.1 PFconsensus協(xié)議正確性分析

PFconsensus協(xié)議在本質(zhì)上是基于聚合模型的性能來(lái)爭(zhēng)奪寫(xiě)入權(quán), 主要包括模型性能篩選和共識(shí)達(dá)成兩方面的內(nèi)容。下面將圍繞該協(xié)議在攻擊環(huán)境下的節(jié)點(diǎn)活性及共識(shí)結(jié)果的唯一性來(lái)進(jìn)行討論。

顯然算法2a、2b可滿足以上設(shè)定, 但為了保證在當(dāng)前輪得到唯一的聚合模型, 需要在PFconsensus協(xié)議中引入下面的約束條件:

約束1.任意learner節(jié)點(diǎn)只能認(rèn)定唯一的聚合模型。

斷言1.在約束條件1下, 每一輪協(xié)議中不存在兩個(gè)不同的。

證明. 假設(shè)某一輪協(xié)議未產(chǎn)生出任何的, 則存在一半以上的節(jié)點(diǎn)選擇了不同的性能最優(yōu)模型, 這與約束1a矛盾, 因此斷言3成立。

由此得證。

當(dāng)模型被第二個(gè)節(jié)點(diǎn)(記為)進(jìn)行評(píng)價(jià), 由于梯度模型的選取方式要求評(píng)價(jià)結(jié)果與前一個(gè)節(jié)點(diǎn)相關(guān), 因此得到:

假設(shè)梯度模型的選取方式已知, 相應(yīng)地在算法1中引入如下設(shè)定。

進(jìn)一步可以得到:

至此, 證明完成了協(xié)議的正確性并推導(dǎo)出協(xié)議執(zhí)行的通信復(fù)雜度。

4.2 PFconsensus安全性分析

為便于討論, 下面將拜占庭節(jié)點(diǎn)從整體上劃分為宕機(jī)節(jié)點(diǎn)與惡意擾亂節(jié)點(diǎn)兩種身份。顯然, 某一節(jié)點(diǎn)不可能扮演兩種身份。

定義7.宕機(jī)節(jié)點(diǎn).

斷言4.在拜占庭節(jié)點(diǎn)扮演宕機(jī)身份時(shí), PFconsensus協(xié)議滿足安全性。

在實(shí)際情況下, 拜占庭節(jié)點(diǎn)更可能扮演惡意擾亂節(jié)點(diǎn)。因此, 下面將考慮拜占庭節(jié)點(diǎn)扮演惡意擾亂節(jié)點(diǎn)時(shí)的安全問(wèn)題。

定義8.惡意擾亂節(jié)點(diǎn).

斷言5.在拜占庭節(jié)點(diǎn)扮演惡意擾亂身份時(shí), PFconsensus協(xié)議滿足安全性。

在上面的論證中, 拜占庭環(huán)境中的節(jié)點(diǎn)被分割成兩種互補(bǔ)類型進(jìn)行論證, 且已證明本文協(xié)議在這兩種條件下皆滿足定義6。結(jié)合這兩種攻擊情況, 可以得到如下結(jié)論。

斷言6.在任意拜占庭環(huán)境下, PFconsensus協(xié)議能滿足定義6中的安全性要求。

4.3 聯(lián)邦學(xué)習(xí)算法有效性分析

聯(lián)邦學(xué)習(xí)算法在嵌入到PFconsensus協(xié)議后, 應(yīng)保證模型性能不低于對(duì)應(yīng)的中心化方案, 并確保去中心化場(chǎng)景下抵抗投毒攻擊的能力。因此, 下面將對(duì)本文聯(lián)邦學(xué)習(xí)算法在去中心化環(huán)境中的有效性進(jìn)行分析和論證。

為降低上述概率, 下面在算法1的基礎(chǔ)上引入額外的約束條件。

就模型性能而言, 本文在協(xié)議設(shè)計(jì)的過(guò)程中采用式(9)作為聚合算法, 該算法與常用的聯(lián)邦學(xué)習(xí)算法[1]相同。因此, 在FedIPR水印的使用不影響全局模型性能的條件下, 本文方案能夠在去中心化環(huán)境中滿足聯(lián)邦學(xué)習(xí)算法的準(zhǔn)確性要求。

4.4 聯(lián)邦學(xué)習(xí)區(qū)塊鏈系統(tǒng)安全性分析

(1) 上一個(gè)區(qū)塊的哈希;

下面首先對(duì)區(qū)塊的合法性判斷進(jìn)行定義。

定義9.合法區(qū)塊.

(5) 所在鏈滿足最長(zhǎng)鏈原則。

從系統(tǒng)的整體結(jié)構(gòu)而言, 所采用的簽名機(jī)制、散列算法、水印技術(shù)必然要滿足以下給定的幾個(gè)條件:

圖4 區(qū)塊數(shù)據(jù)

Figure 4 Data on the block

條件3.本系統(tǒng)采用的模型水印算法具有較高的魯棒性, 強(qiáng)行去除后會(huì)損壞模型的保真度。

為清晰描述拜占庭環(huán)境下聯(lián)邦學(xué)習(xí)區(qū)塊鏈的整體安全性要求, 文中方案的安全性將被拆分為下面幾個(gè)斷言來(lái)進(jìn)行論證。

5 仿真結(jié)果

表1 關(guān)鍵詞說(shuō)明

圖5 不同數(shù)據(jù)分布下z與G對(duì)P的影響

Figure 5 The influence ofandonby different data distribution

將同樣的評(píng)價(jià)函數(shù)用于計(jì)算機(jī)器學(xué)習(xí)模型的精確度指標(biāo)(ACC與F1的加權(quán)和), 可以進(jìn)一步分析該系統(tǒng)在實(shí)際應(yīng)用中的節(jié)點(diǎn)打包情況。

圖6 在實(shí)際模型性能對(duì)比條件下節(jié)點(diǎn)產(chǎn)生NB的情況

Figure 6 The situation of any node generatingNin the case of actual model performance comparison

通過(guò)觀察圖7可以發(fā)現(xiàn), 區(qū)塊鏈出塊所需通信次數(shù)符合式(27)的規(guī)律。以上結(jié)論反映了第四章理論分析的正確性, 但不足以說(shuō)明本文聯(lián)邦學(xué)習(xí)區(qū)塊鏈的可行性能。

圖7 產(chǎn)生新區(qū)塊的通信次數(shù)變化情況

Figure 7 The times of communications required to generate a new block

圖8描述了各個(gè)節(jié)點(diǎn)模型在共同測(cè)試集下準(zhǔn)確率與F1的加權(quán)和變化情況。可以發(fā)現(xiàn)在同一段時(shí)間內(nèi), 爭(zhēng)奪到上鏈權(quán)限的聚合模型性能表現(xiàn)最為優(yōu)秀。該實(shí)驗(yàn)結(jié)果說(shuō)明本方案在實(shí)際運(yùn)行過(guò)程中符合PFconsensus協(xié)議中對(duì)上鏈模型的性能假設(shè)與協(xié)議的正確性。

圖8 各節(jié)點(diǎn)產(chǎn)生模型性能對(duì)比(全黑表示上鏈模型)

Figure 8 Performance comparison of models generated by each node (The all black bar indicate winding models)

進(jìn)一步的, 本文對(duì)比了本方案中聯(lián)邦學(xué)習(xí)的效率性能與C/S方案下的效率性能。得到圖9所示的模型性能情況。

圖9中分別記錄了PFconsensus協(xié)議方案與C/S模式方案下的聯(lián)邦學(xué)習(xí)在準(zhǔn)確率和F1上的差別, 其中PFconsensus協(xié)議方案針對(duì)統(tǒng)一個(gè)目標(biāo)任務(wù)連續(xù)迭代了9次模型, 而C/S模式方案下同樣也持續(xù)迭代了9次模型。從圖9中可以看出本文方案與基于C/S模式的聯(lián)邦學(xué)習(xí)方法在性能上相近, 符合本文對(duì)區(qū)塊鏈模式下的訓(xùn)練性能要求。同時(shí), 為了證明本文區(qū)塊鏈方案能夠符合定義5, 本文測(cè)試了其在投毒節(jié)點(diǎn)個(gè)數(shù)為0到/2條件下的性能變化, 并對(duì)比在C/S方案下的表現(xiàn)。

圖9 本文方案與C/S方案下聯(lián)邦學(xué)習(xí)過(guò)程的性能變化對(duì)比

Figure 9 The performance change of the federated learning process under the scheme in this paper and the C/S scheme

圖10表明了本文的模型投票篩選機(jī)制在投毒節(jié)點(diǎn)少于/2時(shí)依然能夠得到不包含投毒梯度的聚合模型, 而在C/S方案下的聚合模型性能則會(huì)受投毒節(jié)點(diǎn)個(gè)數(shù)的增長(zhǎng)導(dǎo)致性能直線下降。

圖11表示該卷積模型在應(yīng)對(duì)投毒攻擊時(shí), 其協(xié)議在迭代后依然能夠完成收斂, 并能夠得到與無(wú)投毒環(huán)境下相近的準(zhǔn)確率。在投毒攻擊下, 該方案比文獻(xiàn)[20]中的方案具有更強(qiáng)抵御能力, 并在能源的利用上更為環(huán)保。

圖10 本文方案與C/S方案下聚合模型性能受投毒節(jié)點(diǎn)個(gè)數(shù)的影響(其中G=16)

Figure 10 The performance of the aggregation model under this scheme and the C/S scheme is affected by the number of poisoned nodes (=16)

圖11 本文方案在投毒環(huán)境下與無(wú)毒環(huán)境下訓(xùn)練MNIST數(shù)據(jù)模型的情況

Figure 11 The situation of training the MNIST data model in the poisoning environment and the non-toxic environment

表2 本文方案與文獻(xiàn)[20]方案對(duì)比

通過(guò)仿真實(shí)驗(yàn)可以看到, 本文所提出的聯(lián)邦學(xué)習(xí)共識(shí)激勵(lì)機(jī)制比直接將區(qū)塊鏈作為聯(lián)邦學(xué)習(xí)平臺(tái)資源利用率更高。基于本地?cái)?shù)據(jù)進(jìn)行全局模型的性能進(jìn)行評(píng)測(cè)不僅能夠有效保護(hù)參與者的數(shù)據(jù)隱私性, 也能夠更好地解決聯(lián)邦學(xué)習(xí)中的Non-IID問(wèn)題。此外, 本文所采用的水印融合方案能夠使模型在上鏈后幫助完成節(jié)點(diǎn)的行為追溯和貢獻(xiàn)度分配, 充分激勵(lì)不同的數(shù)據(jù)持有者參與訓(xùn)練。將聯(lián)邦學(xué)習(xí)本身融入?yún)^(qū)塊鏈共識(shí)激勵(lì)機(jī)制可以獲得眾多優(yōu)勢(shì), 包括: (1) 去中心化架構(gòu)能夠有效地保證聯(lián)邦訓(xùn)練過(guò)程的穩(wěn)健性; (2) 基于本地?cái)?shù)據(jù)的模型性能評(píng)價(jià)能夠很地解決Non-IID問(wèn)題; (3) 模型水印技術(shù)能夠有效地對(duì)節(jié)點(diǎn)行為和貢獻(xiàn)進(jìn)行記錄; (4) 利用模型訓(xùn)練替代傳統(tǒng)挖礦算法能夠充分緩解資源浪費(fèi)的問(wèn)題; (5) 對(duì)上鏈模型采用協(xié)同性能篩選的方式可以抵御包括投毒攻擊在內(nèi)的各種聯(lián)邦學(xué)習(xí)威脅。

6 結(jié)論

本文為商業(yè)領(lǐng)域普遍存在的“數(shù)據(jù)孤島”問(wèn)題提供了一個(gè)完備的解決方案。聯(lián)邦學(xué)習(xí)雖然能夠在一定程度上保證商業(yè)數(shù)據(jù)的隱私性與可用性, 但采用中心化的架構(gòu)極易招致拒絕服務(wù)、推理攻擊、模型投毒等威脅。本文將聯(lián)邦學(xué)習(xí)嵌入到區(qū)塊鏈共識(shí)協(xié)議當(dāng)中, 并借助水印融合技術(shù), 克服了模型協(xié)同訓(xùn)練過(guò)程中所存在的資源浪費(fèi)與消極產(chǎn)與等問(wèn)題。為驗(yàn)證本文方案的可行性及安全性, 專門(mén)針對(duì)分布式聯(lián)邦學(xué)習(xí)場(chǎng)景下的數(shù)據(jù)分布和系統(tǒng)規(guī)模進(jìn)行了理論分析, 其結(jié)果也通過(guò)了以最優(yōu)模型產(chǎn)生概率、共識(shí)難度、模型性能、通信復(fù)雜度以及知識(shí)產(chǎn)權(quán)配額等為指標(biāo)的實(shí)驗(yàn)驗(yàn)證。

后續(xù)研究將針對(duì)實(shí)驗(yàn)過(guò)程中所發(fā)現(xiàn)的缺陷進(jìn)行, 包括: (1) 由于各個(gè)節(jié)點(diǎn)都會(huì)參加訓(xùn)練過(guò)程, 而只有一半節(jié)點(diǎn)能夠得到最終模型的知識(shí)產(chǎn)權(quán), 因而需要進(jìn)一步優(yōu)化該系統(tǒng)的獎(jiǎng)勵(lì)制度; (2) 針對(duì)推理攻擊, 如果在訓(xùn)練過(guò)程中對(duì)模型梯度進(jìn)行差分隱私保護(hù)可能會(huì)影響傳輸效率及最終模型的準(zhǔn)確率, 所以有必要更進(jìn)一步引入梯度隱私保護(hù)機(jī)制, 并在解決鏈上數(shù)據(jù)可追溯性與機(jī)密性之間的矛盾。

[1] Yang Q A, Liu Y, Cheng Y, et al. Federated Learning[J]., 2019, 13(3): 1-207.

[2] Li W, Chai Y B, Khan F, et al. A Comprehensive Survey on Machine Learning-Based Big Data Analytics for IoT-Enabled Smart Healthcare System[J]., 2021, 26(1): 234-252.

[3] Rathore M M, Shah S A, Shukla D, et al. The Role of AI, Machine Learning, and Big Data in Digital Twinning: A Systematic Literature Review, Challenges, and Opportunities[J]., 2021, 9: 32030-32052.

[4] Yuan H T, Li G L. A Survey of Traffic Prediction: From Spatio-Temporal Data to Intelligent Transportation[J]., 2021, 6(1): 63-85.

[5] Jiang J C, Kantarci B, Oktug S, et al. Federated Learning in Smart City Sensing: Challenges and Opportunities[J]., 2020, 20(21): 6230.

[6] Hosseini S, Sardo S R. Data Mining Tools -a Case Study for Network Intrusion Detection[J]., 2021, 80(4): 4999-5019.

[7] Lee E, Jang Y, Yoon D M, et al. Game Data Mining Competition on Churn Prediction and Survival Analysis Using Commercial Game Log Data[J]., 2019, 11(3): 215-226.

[8] Zeng S Q, Huo R, Huang T, et al. Survey of Blockchain: Principle, Progress and Application[J]., 2020, 41(1): 134-151. (曾詩(shī)欽, 霍如, 黃韜, 等. 區(qū)塊鏈技術(shù)研究綜述: 原理、進(jìn)展與應(yīng)用[J]., 2020, 41(1): 134-151.)

[9] Papadimitriou P, Garcia-Molina H. Data Leakage Detection[J]., 2011, 23(1): 51-63.

[10] Bogetoft P, Christensen D L, Damg?rd I, et al. Secure Multiparty Computation Goes Live[C]., 2009: 325-343.

[11] Evans D, Kolesnikov V, Rosulek M. A Pragmatic Introduction to Secure Multi-Party Computation[J]., 2018, 2(2/3): 70-246.

[12] Wood A, Najarian K, Kahrobaei D. Homomorphic encryption for machine learning in medicine and bioinfor-matics[J]., 2020, 53(4): 1-35.

[13] Kuang F, Mi B, Li Y, et al. Multiparty Homomorphic Machine Learning with Data Security and Model Preservation[J]., 2021, 2021: 166-179.

[14] Hassan M U, Rehmani M H, Chen J J. Differential Privacy Techniques for Cyber Physical Systems: A Survey[J]., 2020, 22(1): 746-789.

[15] Sen A A A, Eassa F A, Jambi K, et al. Preserving Privacy in Internet of Things: A Survey[J]., 2018, 10(2): 189-200.

[16] Kairouz P, McMahan H B, Avent B, et al. Advances and Open Problems in Federated Learning[J]., 2021, 14(1/2): 1-210.

[17] Liu Y, Kang Y, Xing C P, et al. A Secure Federated Transfer Learning Framework[J]., 2020, 35(4): 70-82.

[18] Huang Y T, Chu L Y, Zhou Z R, et al. Personalized Cross-Silo Federated Learning on Non-IID Data[EB/OL]. 2020: arXiv: 2007.03797. https://arxiv.org/abs/2007.03797.pdf

[19] Zhu H Y, Zhang H Y, Jin Y C. From Federated Learning to Federated Neural Architecture Search: A Survey[J]., 2021, 7(2): 639-657.

[20] Zhu J M, Zhang Q N, Gao S, et al. Privacy Preserving and Trustworthy Federated Learning Model Based on Blockchain[J]., 2021, 44(12): 2464-2484. (朱建明, 張沁楠, 高勝, 等. 基于區(qū)塊鏈的隱私保護(hù)可信聯(lián)邦學(xué)習(xí)模型[J]., 2021, 44(12): 2464-2484.)

[21] Zhang J H, Li X W, Zeng X, et al. Cross Domain Authentication and Key Agreement Protocol Based on Blockchain in Edge Computing Environment[J]., 2021, 6(1): 54-61. (張金花, 李曉偉, 曾新, 等. 邊緣計(jì)算環(huán)境下基于區(qū)塊鏈的跨域認(rèn)證與密鑰協(xié)商協(xié)議[J]., 2021, 6(1): 54-61.)

[22] Zhao B, Fan K, Yang K, et al. Anonymous and Privacy-Preserving Federated Learning with Industrial Big Data[J]., 2021, 17(9): 6314-6323.

[23] Pokhrel S R, Choi J. Federated Learning with Blockchain for Autonomous Vehicles: Analysis and Design Challenges[J]., 2020, 68(8): 4734-4746.

[24] Qu X D, Wang S L, Hu Q, et al. Proof of Federated Learning: A Novel Energy-Recycling Consensus Algorithm[J]., 2021, 32(8): 2074-2085.

[25] Li Y Z, Chen C, Liu N, et al. A Blockchain-Based Decentralized Federated Learning Framework with Committee Consensus[J]., 2021, 35(1): 234-241.

[26] Wang Y C, Tian Y Y, Yin X Y, et al. A Trusted Recommendation Scheme for Privacy Protection Based on Federated Learning[J]., 2020, 3(3): 218-228.

[27] Luo Z P, Zhao S Q, Lu Z, et al. Adversarial Machine Learning Based Partial-Model Attack in IoT[C]., 2020: 13-18.

[28] Chacon H, Silva S, Rad P. Deep Learning Poison Data Attack Detection[C]., 2020: 971-978.

[29] Liu Y F, Ma X J, Bailey J, et al. Reflection Backdoor: A Natural Backdoor Attack on Deep Neural Networks[EB/OL]. 2020: arXiv: 2007.02343. https://arxiv.org/abs/2007.02343.pdf

[30] Rahman M A, Rahman T, Laganière R, et al. Membership Inference Attack Against Differentially Private Deep Learning Model[J]., 2018, 11: 61-79.

[31] Lamport L. Paxos Made Simple[J]., 2001, 32(4): 51-58.

[32] Sattler F, Wiedemann S, Müller K R, et al. Robust and Communication-Efficient Federated Learning from Non-I.i.d. Data[J]., 2019, 31(9): 3400-3413.

[33] Lu Y L, Huang X H, Dai Y Y, et al. Blockchain and Federated Learning for Privacy-Preserved Data Sharing in Industrial IoT[J]., 2020, 16(6): 4177-4186.

[34] Majeed U, Hong C S. FLchain: Federated Learning via MEC-Enabled Blockchain Network[C]., 2019: 1-4.

[35] Peng Z, Xu J L, Chu X W, et al. VFChain: Enabling Verifiable and Auditable Federated Learning via Blockchain Systems[J]., 2022, 9(1): 173-186.

[36] Handelman D. Gossip in encounters: The transmission of information in a bounded social setting[J]., 1973, 8(2): 210-227.

[37] Bonneau J, Miller A, Clark J, et al. SoK: Research Perspectives and Challenges for Bitcoin and Cryptocurrencies[C]., 2015: 104-121.

[38] Fam L, Li B, Gu H, et al. FedIPR: Ownership verification for federated deep neural network models[EB/OL]. 2021: ArXiv Preprint ArXiv:2109.13236.

[39] Zhu H Y, Jin Y C. Multi-Objective Evolutionary Federated Learning[J]., 2020, 31(4): 1310-1322.

[40] Li X C, Zhan D C. FedRS: Federated Learning with Restricted Softmax for Label Distribution Non-IID Data[C]., 2021: 995-1005.

[41] Poupard G, Stern J. Security Analysis of a Practical “on the Fly” Authentication and Signature Generation[M].. Berlin, Heidelberg: Springer Berlin Heidelberg, 1998: 422-436.

A Novel FL System Based on Consensus Motivated Blockchain

MI Bo1, WENG Yuan1, HUANG Darong1, LIU Yang1

1School of Information and Engineering, Chongqing Jiaotong University, Chongqing 400074, China

With the advancement of technologies such as cloud storage and AI (artificial intelligence) in recent years, the value of data has experienced significant growth. However, the exorbitant costs associated with communication and the intolerable risks of data leakage have given rise to a pervasive issue of “data isolation” among institutions, rendering a substantial portion of data unable to realize its full economic potential. Although using blockchain as a platform for federated learning can solve this problem to a certain extent, it also brings three primary shortcomings: 1) traditional consensus processes like PoW (proof of work) and PoS (proof of stake) remain largely disconnected from the federated learning training process, resulting in substantial wastage of computational power and bandwidth; 2) nodes may decline to participate actively in the training process or even disrupt it due to self-interest considerations, driven by competitive dynamics; 3) in open environments, data traceability during the model training process is challenging to establish, consequently diminishing the cost of attack for potential malevolent actors. Our study manifested that, instead of relying on traditional consensus mechanisms such as PoW and PoS, combining federated learning and model watermarking technology can make the consensus algorithm more fair and reliable. It can avoid the waste of computing power and unbalanced rewards thanks to federated learning, and the innovative consensus mechanism not only retained the properties of immutability, decentralization, and 49% byzantine fault tolerance but also naturally resisted 49% poisoning attack, adapted Non-IID (not independent and identically distributed) dataset and protected intellectual property. Both experimental and empirical evidence unequivocally demonstrate that the proposed solution in this study is exceptionally well-suited for scenarios involving non-trusting institutions collaboratively leveraging large volumes of local data for commercial federated learning, thereby holding substantial practical value.

federated learning; blockchain; consensus algorithm; intellectual property protection; poison attack

TP309.2

10.19363/J.cnki.cn10-1380/tn.2024.01.02

翁淵, Email: wengyuan980930@mails.cqjtu.edu.cn。

本課題得到中國(guó)國(guó)家自然基金(No.61903053), 重慶市科教委項(xiàng)目(No. KJCX2020033), 上海市信息安全綜合管理技術(shù)重點(diǎn)實(shí)驗(yàn)室開(kāi)放課題(No. AGK2020006)資助。

2022-05-05;

2022-08-20;

2023-09-26

米波 博士, 重慶交通大學(xué)信息科學(xué)與工程學(xué)院教授, 博士生導(dǎo)師。研究領(lǐng)域包括密碼學(xué)、區(qū)塊鏈、智能交通、車載自主式網(wǎng)絡(luò)等。Email: mi_bo@163.com

翁淵 于2019年在重慶交通大學(xué)計(jì)算機(jī)通信專業(yè)獲得學(xué)士學(xué)位?，F(xiàn)在重慶交通學(xué)校計(jì)算機(jī)與科學(xué)專業(yè)攻讀碩士學(xué)位。研究領(lǐng)域?yàn)槊艽a學(xué)、人工智能。研究興趣包括區(qū)塊鏈、同態(tài)加密。Email: wengyuan980930@mails.cqjtu.edu.cn

黃大榮 博士, 重慶交通大學(xué)信息科學(xué)與工程學(xué)院教授, 博士生導(dǎo)師。研究領(lǐng)域包括車聯(lián)網(wǎng)安全容錯(cuò)控制、交通系統(tǒng)可靠性控制。Email: drhuang@cqjtu.edu.cn

劉洋 博士, 重慶交通大學(xué)信息科學(xué)與工程學(xué)院副教授, 研究生導(dǎo)師。研究領(lǐng)域包括形式化驗(yàn)證、信息安全和數(shù)據(jù)處理等。Email: liuyang13@cqjtu.edu.cn