本文介绍了一种新的Detrust-FL框架,通过透明度共识机制和分布式函数加密,解决联邦学习中的分解攻击问题,确保模型更新的完整性和隐私安全。框架通过参与矩阵控制聚合过程,有效防止了重放攻击。实验证明,该方法在保持模型精度的同时,提高了通信和计算效率。
文章背景
联邦学习一般能利用安全多方技术来保障隐私,以确保不可信的聚合者不能获得孤立的大度,因此能防止潜在的推理攻击。但是,进来的研究发现,好奇的聚合者能够成功发起一个分解攻击来获取目标模型的更新。
文章目标
为了解决导致由于透明度缺乏而引起的孤立攻击比如分解攻击,进而确保参与方的模型更新都能被包含进来,提出了一个Detrust-FL框架。这个框架提出了一个分布式信任公式机制,也包含了一个最近提出的分布式函数加密方案。在这个加密方案中,所有参与方一起同意一个参与矩阵,进而能够控制安全聚合过程。
文章贡献
- 提出Detrust-FL,依靠透明度共识,参与方共同决定一个参与矩阵(participant matrix),这个参与矩阵反应了每个参与方在聚合过程中的角色。
- 解决了透明度缺乏的问题,保证所有接收的模型参数都被用于训练(缺少的话,或者更改就不能用原来的解密密钥进行解密),同时解决了聚合器与一些参与方勾结而带来的隐私问题。
- 对这个框架进行实现,发现模型精度,通信和计算效率都不错。
前置知识
破坏现有SMC方案隐私的攻击主要是因为聚合者的能力:i)聚合者能够记录聚合的结果 ii)能够操控被送到SMC过程中的数据。
三种攻击:
- 分解攻击(disaggregation attack):根据一个输出结果的矩阵以及每一轮中有什么参与方参与可以构建一个等式。为了防止这种工具,必须确保结果矩阵不能构造出解出单个参与方的输出的等式。
- 孤立攻击:选择性输入模型的更新,然后特定的模型更新会被孤立。
- 重放攻击:恶意的聚合器将旧的模型更新送到安全经计算,如第i轮的结果是1-4的集合结果,那么可以将第i轮第1个参与方的聚合结果重放到第i+1轮中(第i+1轮的参与方也是1-4,但是2-3均被替换了),这样子,两个结果相减就能得到第i轮和第i+1轮第一个参与方的模型更新差距。
分布式函数加密:
有两个特征:
i)每个参与方都有一个部分密钥,不需要用TPA来生成函数解密密钥 ii)确保特定的解密密钥只能用于计算特定的带有标记的密文。加密方案如下所示:
跟最原始的函数加密最大的不同就是解密密钥被分块了,由参与方生成各自的部分,最后要聚合起来才能进行解密。
Detrust-FL框架
威胁模型假设
- 聚合者是semi-trusted半可信的,可能会跟一个子集内的参与方勾结在一起来获取隐私信息。
- 参与方是honest-but-honest的。
主要架构流程
在开始训练之前,先进行一个分布式的共识机制,即分布式信任共识模块,这个模块能够让参与方检查并协商参与矩阵,参与矩阵决定了什么模型更新会被放在安全计算过程中,每一轮的权重是多少。决定好参与矩阵之后,会根据这个参与矩阵生成函数解密密钥分片。训练的过程中用对应的函数解密密钥分片组合起来形成完整的密钥,对密文进行解密然后进行训练。
DTC过程(分布式信任共识)
如算法2所示,先让聚合器初始化一个参与矩阵,然后发送给参与方进行更新,每个参与方校正属于自己的那一列,知道最后都统一。校正的过程会根据BP(batch partioning,来防止推断攻击的)以及阈值t来校正。
隐私保护Detrust-FL训练过程
如算法2所示
另外文章中提到,基于同态加密的安全聚合只能用于平均聚合,不能实现带权聚合,但是函数加密的方案可以。
在开始写这个博客的过程中,发现这篇文章有点乱,就是在主要内容的布局上,写来写去好像有的地方重合了。文章的总体亮点就是提出了这个“透明度机制”,实际上就是利用分布式函数加密,让参与方共同决定参与矩阵,这个分布式函数加密带了一个label,就防止了重放攻击,不能组合不同训练轮次的密文进行解密。
2581
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
