聯(lián)邦學(xué)習(xí)中隱私保護(hù)聚合機(jī)制綜述

Survey of privacy-preserving aggregation mechanisms in federated learning

Qiu Jiana，Ma Haiyinga?，Wang Zhanjun ，Shen Jinyua （a.SchoolofclecofUi China）

Abstract：Asanewdistributed machine learning（DML）framework，F(xiàn)Lcanefectively protectthelocaldata privacyof participantsbyaggregatingthelocalmodelparametersuploadedbyparticipantstotraintheglobalmodel.However，theselocal model parameters still have the risk of revealing the privacy of participants. As a critical step in FL ， the privacy-preserving aggregation （ PPAgg ）mechanism has become a key technology for addressing privacy issues.This paper first introduced the concept of FL and its associated privacyand security threats.It then highlighted the core ideas and key proceduresof PPAgg mechanisms by integrating existing privacy-preserving techniques inFL.This paper analyzed typical PPAgg mechanisms indetail，focsingontheirprimaryadvantagesandlimitations，aswellasthespecificapplicationscenarioswhereheyweresuitable.Finall，this papersummarized andanalyzed curent PPAgg mechanisms，explored emerging challenges anddevelopment directions for FL ，and proposed potential solutions to address these issues.

Key words：federated learning（FL）；privacy-preserving；aggregation mechanism；blockchain；securemulti-partycomputation

0 引言

機(jī)器學(xué)習(xí)（ML）作為實(shí)現(xiàn)人工智能的一種重要手段，利用收集的原始數(shù)據(jù)訓(xùn)練特定場(chǎng)景下的數(shù)據(jù)模型，以達(dá)到使機(jī)器模擬人類行為的目標(biāo)。近年來(lái)，隨著機(jī)器學(xué)習(xí)算法的廣泛應(yīng)用和對(duì)數(shù)據(jù)隱私保護(hù)的日益關(guān)注，不同數(shù)據(jù)擁有者協(xié)同訓(xùn)練ML模型，并同時(shí)保護(hù)其數(shù)據(jù)隱私的方案引起了學(xué)術(shù)界和工業(yè)界的廣泛關(guān)注。為了實(shí)現(xiàn)隱私保護(hù)的機(jī)器學(xué)習(xí)， McMahan 等人提出了聯(lián)邦學(xué)習(xí)架構(gòu)，并將其廣泛應(yīng)用于物聯(lián)網(wǎng)[2]和醫(yī)療保健[3]等場(chǎng)景。標(biāo)準(zhǔn)的聯(lián)邦學(xué)習(xí)系統(tǒng)允許不同參與者利用本地?cái)?shù)據(jù)單獨(dú)進(jìn)行模型訓(xùn)練，并將訓(xùn)練后的本地模型參數(shù)上傳至服務(wù)器，再由服務(wù)器聚合這些參數(shù)，構(gòu)建FL的全局模型。然而，攻擊者只需獲取部分模型參數(shù)，利用推理攻擊或模型反演攻擊等方法，就可以重建用戶的原始數(shù)據(jù)，或者構(gòu)造出一個(gè)類似的模型[4]。為了保護(hù)參與者模型參數(shù)的隱私安全，學(xué)者們使用隱私保護(hù)技術(shù)[5＼～7]，構(gòu)造隱私保護(hù)聚合（privacy-preserving ag-gregation，PPAgg）機(jī)制，即以隱私保護(hù)的方式聚合參與者的本地模型。常見(jiàn)的隱私保護(hù)技術(shù)有同態(tài)加密（homomorphic en-cryption，HE）[5]、安全多方計(jì)算（secure multi-party computa-tion，SMPC）[6]和差分隱私（differential privacy，DP）[7]等。

與傳統(tǒng)的分布式隱私保護(hù)機(jī)器學(xué)習(xí)（privacy-preservingmachinelearning，PPML）不同，隱私保護(hù)聯(lián)邦學(xué)習(xí)（privacy-preservingfederatedlearning，PPFL）需要考慮參與者的異構(gòu)性[8]，例如，不同的參與者往往擁有不同的算力和帶寬。此外，PPFL系統(tǒng)中的安全和隱私問(wèn)題可能來(lái)自內(nèi)部人員或外部人員，也可能來(lái)自單個(gè)敵手或多個(gè)敵手。敵手可以是半誠(chéng)實(shí)的，即試圖在不偏離FL聚合機(jī)制的情況下獲取其他誠(chéng)實(shí)參與者的隱私；也可以是惡意的，即試圖獲取其他參與者的隱私或偽造聚合密文以影響模型更新。因此，在不同場(chǎng)景下部署PPFL時(shí)，需要結(jié)合具體應(yīng)用場(chǎng)景設(shè)計(jì)相應(yīng)的PPAgg機(jī)制。

現(xiàn)有FL安全綜述工作[8＼～13]主要分析整個(gè)系統(tǒng)中的隱私和安全威脅現(xiàn)狀，針對(duì)不同的安全威脅問(wèn)題，總結(jié)相應(yīng)的應(yīng)對(duì)策略和解決問(wèn)題的關(guān)鍵技術(shù)。邱曉慧等人[8]重點(diǎn)闡述了FL面臨的安全和隱私攻擊，總結(jié)了相應(yīng)的防御機(jī)制。張世文等人重點(diǎn)研究FL攻防技術(shù)，針對(duì)可能遭受到的攻擊，總結(jié)其針對(duì)性的防御措施。熊世強(qiáng)等人[10]重點(diǎn)研究FL中的攻擊方式和安全威脅，并列舉出相關(guān)的隱私保護(hù)技術(shù)。陳學(xué)斌等人[1]分析FL面臨的攻擊和相應(yīng)的防御措施。肖雄等人[12]著重分析了影響全局模型性能的多種惡意攻擊手段，列出損害全局模型精度的惡意攻擊和相應(yīng)的安全防御方案。Xie等人[13]重點(diǎn)分析了PPFL中HE的效率優(yōu)化。然而，現(xiàn)有研究工作尚缺乏專門(mén)從 PPA_SE 的角度對(duì)PPFL系統(tǒng)進(jìn)行合理構(gòu)建和部署的科學(xué)分析，特別是FL系統(tǒng)異構(gòu)場(chǎng)景中隱私保護(hù)技術(shù)的選擇、分析和總結(jié)。

本文重點(diǎn)分析PPFL系統(tǒng)中PPAgg機(jī)制的關(guān)鍵技術(shù)、工作原理及其優(yōu)缺點(diǎn)，并給出其在不同應(yīng)用場(chǎng)景下的構(gòu)建和部署。本文首先針對(duì)聯(lián)邦學(xué)習(xí)的異構(gòu)性，闡明數(shù)據(jù)異構(gòu)性、設(shè)備異構(gòu)性以及訓(xùn)練架構(gòu)異構(gòu)性對(duì)系統(tǒng)性能和隱私保護(hù)的影響，探討不同場(chǎng)景下隱私保護(hù)技術(shù)的適用性和有效性。然后，系統(tǒng)闡述PPFL中PPAgg機(jī)制的工作原理，重點(diǎn)分析基于掩碼、差分隱私、安全多方計(jì)算、同態(tài)加密、區(qū)塊鏈和可信執(zhí)行環(huán)境（TEE）等多種隱私保護(hù)技術(shù)的聚合機(jī)制，給出這些 PPAgg 機(jī)制的優(yōu)缺點(diǎn)分析，并結(jié)合不同場(chǎng)景給出相應(yīng)的 PPAgg 機(jī)制，為不同應(yīng)用需求及場(chǎng)景選擇和布局最優(yōu)的PPAgg機(jī)制提供了理論支持和實(shí)踐指導(dǎo)。與現(xiàn)有研究工作不同，本文不僅從技術(shù)層面分析和總結(jié)PPAgg機(jī)制，還結(jié)合聯(lián)邦學(xué)習(xí)系統(tǒng)的異構(gòu)性和應(yīng)用需求，評(píng)估現(xiàn)有方案的適用性。同時(shí)，通過(guò)對(duì)不同技術(shù)方案在通信開(kāi)銷、計(jì)算效率、隱私保護(hù)強(qiáng)度和魯棒性等方面的性能對(duì)比，進(jìn)一步為PPFL系統(tǒng)的優(yōu)化和部署提供可行性參考方法。

1聯(lián)邦學(xué)習(xí)

聯(lián)邦學(xué)習(xí)是一種分布式機(jī)器學(xué)習(xí)框架，允許不同參與方利用其本地?cái)?shù)據(jù)集單獨(dú)訓(xùn)練學(xué)習(xí)模型，然后由服務(wù)器聚合這些模型以構(gòu)建全局模型。如圖1所示，傳統(tǒng)的聯(lián)邦學(xué)習(xí)會(huì)重復(fù)執(zhí)行如下步驟。

a）本地模型訓(xùn)練：每個(gè)參與者 u_i 利用本地?cái)?shù)據(jù)集 D_i 訓(xùn)練出本地模型 M_i 。b）上傳本地模型：每個(gè)參與者 u_i 將本地模型 M_i 上傳至服務(wù)器 S c）模型聚合：服務(wù)器 s 接收本輪次所有參與者的模型參數(shù)，并執(zhí)行聚合操作，得到本輪次的全局模型 M d）模型更新：服務(wù)器 s 將全局模型 M 發(fā)送給所有參與者，參與者利用當(dāng)前全局模型 M 訓(xùn)練出下一個(gè)輪次的本地模型，直至模型訓(xùn)練結(jié)束。

為了在不同場(chǎng)景下部署PPFL，需要對(duì)FL系統(tǒng)中參與者的數(shù)據(jù)特征、算力和帶寬等各方面的異構(gòu)性進(jìn)行分析，從而設(shè)計(jì)合理的PPAgg機(jī)制。本文從參與者的數(shù)量和性能、數(shù)據(jù)分布和通信架構(gòu)三個(gè)不同的標(biāo)準(zhǔn)對(duì)FL進(jìn)行分類，如表1所示。首先，根據(jù)參與者的數(shù)量和性能，F(xiàn)L可分為跨組織FL和跨設(shè)備FL 跨組織FL系統(tǒng)通常由可靠參與者組成，這些參與者通常具備足夠的算力和帶寬，例如醫(yī)療或金融等多機(jī)構(gòu)協(xié)同訓(xùn)練機(jī)器模型；跨設(shè)備FL系統(tǒng)是由大量移動(dòng)設(shè)備或輕量級(jí)物聯(lián)網(wǎng)設(shè)備組成，參與者通常計(jì)算能力有限且通信網(wǎng)絡(luò)不穩(wěn)定，可能是手機(jī)或IoT設(shè)備，適用于個(gè)性化鍵盤(pán)輸人法預(yù)測(cè)、語(yǔ)音識(shí)別等應(yīng)用場(chǎng)景。其次，根據(jù)參與者的數(shù)據(jù)分布特征，F(xiàn)L可分為橫向聯(lián)邦學(xué)習(xí)、縱向聯(lián)邦學(xué)習(xí)和聯(lián)邦遷移學(xué)習(xí)。橫向聯(lián)邦學(xué)習(xí)中各參與方數(shù)據(jù)特征相同，但數(shù)據(jù)樣本不同；縱向聯(lián)邦學(xué)習(xí)中各參與方數(shù)據(jù)樣本是對(duì)齊的，但數(shù)據(jù)特征不同；遷移聯(lián)邦學(xué)習(xí)中參與者數(shù)據(jù)樣本和數(shù)據(jù)特征重疊都較少，利用遷移學(xué)習(xí)思想，在已有模型基礎(chǔ)上，利用多個(gè)參與方的數(shù)據(jù)進(jìn)行模型訓(xùn)練。最后，根據(jù)通信架構(gòu)，F(xiàn)L可分為中心化FL和去中心化FL。中心化FL易于管理和協(xié)調(diào)，但容易遭受單點(diǎn)故障攻擊；去中心化FL強(qiáng)化數(shù)據(jù)隱私保護(hù)，提高系統(tǒng)健壯性和可擴(kuò)展性，但可能存在模型發(fā)散或不能收斂等安全隱患。

此外，F(xiàn)L系統(tǒng)中的隱私威脅可能引發(fā)不同形式的隱私泄露。Hallaji等人[14]系統(tǒng)性地闡述了聯(lián)邦學(xué)習(xí)中存在的威脅和攻擊，主要包括內(nèi)部攻擊和外部攻擊。內(nèi)部攻擊來(lái)自聯(lián)邦學(xué)習(xí)的內(nèi)部人員，例如參與者或服務(wù)器，而外部攻擊則來(lái)自聯(lián)邦學(xué)習(xí)的外部人員，例如竊聽(tīng)者。在聯(lián)邦學(xué)習(xí)的 PPAgg 機(jī)制中，這些攻擊者通常被假設(shè)為擁有白盒或黑盒訪問(wèn)權(quán)限。白盒訪問(wèn)權(quán)限允許攻擊者可以直接獲取參與者的模型明文內(nèi)容；而黑盒訪問(wèn)權(quán)限則通過(guò)查詢模型的輸入輸出數(shù)據(jù)，進(jìn)行推理攻擊。由于不同敵手的攻擊能力意味著FL隱私泄露的風(fēng)險(xiǎn)不同，表2列舉了FL中三種類型參與者的行為。針對(duì)不同的敵手模型，本文給出合理設(shè)置隱私保護(hù)策略的可行性PPAgg方案。

在聯(lián)邦學(xué)習(xí)的模型聚合階段，內(nèi)部攻擊者可能會(huì)對(duì)模型進(jìn)行推理攻擊，即攻擊者通過(guò)參與者上傳的模型參數(shù)，反向推理出模型參數(shù)的額外信息，包括模型反演攻擊和成員推理攻擊[15]

a）模型反演攻擊。在模型反演攻擊中，攻擊者的主要目標(biāo)是從參與者的模型參數(shù)中獲取數(shù)據(jù)或該數(shù)據(jù)的一部分特征。即使攻擊者只擁有黑盒訪問(wèn)權(quán)限，也可以多次發(fā)送數(shù)據(jù)，從得到的輸出中重構(gòu)模型的明文或構(gòu)建一個(gè)類似的模型[4]

b）成員推理攻擊。在成員推理攻擊中，攻擊者的主要目標(biāo)是判斷給定的樣本是否在參與者的本地?cái)?shù)據(jù)集中，本質(zhì)上是對(duì)參與者數(shù)據(jù)集進(jìn)行分類。例如，在醫(yī)療數(shù)據(jù)集中，攻擊者可以發(fā)動(dòng)成員推理攻擊，判斷某個(gè)參與者是否患病。成員推理攻擊會(huì)對(duì)聯(lián)邦學(xué)習(xí)中的個(gè)體造成很大的隱私威脅。

可以看出，在聯(lián)邦學(xué)習(xí)的聚合階段，攻擊者可以通過(guò)多種方式來(lái)獲取參與者本地?cái)?shù)據(jù)的隱私信息。因此，在這一階段，需要設(shè)計(jì)一種合理的PPAgg機(jī)制來(lái)保護(hù)參與者的隱私數(shù)據(jù)，以防止隱私數(shù)據(jù)被其他參與方隨意獲取。

2聯(lián)邦學(xué)習(xí)中的隱私保護(hù)聚合機(jī)制

如前所述，聯(lián)邦學(xué)習(xí)在聚合階段容易發(fā)生隱私泄露問(wèn)題，需要設(shè)計(jì) PPAgg 機(jī)制以保護(hù)參與者的隱私。根據(jù)隱私保護(hù)程度由強(qiáng)至弱的特點(diǎn)，聯(lián)邦學(xué)習(xí)中的PPAgg機(jī)制可分為三類：a）基于密碼學(xué)的方法，如一次一密、安全多方計(jì)算[5和同態(tài)加密[6];b）基于數(shù)據(jù)擾動(dòng)的方法，如差分隱私[7];c）可信環(huán)境設(shè)置方法，如區(qū)塊鏈和可信執(zhí)行環(huán)境。本章對(duì)這三類隱私保護(hù)技術(shù)的工作原理進(jìn)行深入分析，結(jié)合現(xiàn)有研究成果闡述這些技術(shù)如何應(yīng)用于聯(lián)邦學(xué)習(xí)，并在聚合階段對(duì)參與者的隱私提供保護(hù)，最后分析每種方法相應(yīng)的優(yōu)缺點(diǎn)。

2.1基于密碼學(xué)的方法

2.1.1基于掩碼的聚合

一次一密的核心思想是使用與明文等長(zhǎng)的隨機(jī)非重復(fù)密鑰序列來(lái)對(duì)明文進(jìn)行逐一加密，同時(shí)利用該密鑰序列可以完成對(duì)密文的解密。在FL中，一次一密利用偽隨機(jī)數(shù)生成器（PRG）計(jì)算出密鑰序列 z=（z₁，z₂，…，z_n） ，參與者將該密鑰序列作為掩碼盲化模型參數(shù)，從而保護(hù)自己的隱私。具體來(lái)說(shuō)，參與者 u_i 對(duì)其模型參數(shù) x=（x₁，x₂，…，x_n） 進(jìn)行盲化： y=（x₁+ z1，χ+z，，xn+zn）。然后將盲化后的密文上傳至服務(wù)器。由于系統(tǒng)中可能存在不可信的參與方，使得聚合服務(wù)器無(wú)法獲得正確的解密密鑰序列，導(dǎo)致服務(wù)器無(wú)法獲得正確的聚合結(jié)果。因此，在FL聚合階段需要設(shè)計(jì)一種合理的PPAgg技術(shù)來(lái)抵消這些掩碼。

Bonawitz等人[16]首先提出了 SecAgg 機(jī)制，利用成對(duì)掩碼技術(shù)有效地保證了參與者模型參數(shù)的隱私安全和聚合結(jié)果的正確性。具體來(lái)說(shuō)，假設(shè)有一組有序的聯(lián)邦學(xué)習(xí)用戶集 U ，對(duì)于每個(gè)用戶 u_i∈U ，給定明文 x_i ，計(jì)算

得到密文 y_i 。其中： PRG（s_i，j） 表示用戶 u_i 與 u_j 之間利用Diffie-Hellman（DH）密鑰交換協(xié)議生成一個(gè)共享的隨機(jī)種子 s_i，j 或s_j，i ，并利用該隨機(jī)種子 s_i，j 得到的一個(gè)密鑰序列，由于 s_i，j=s_j，i ，所以 。DH 密鑰交換是一種安全密鑰協(xié)商協(xié)議，能夠讓通信雙方在完全沒(méi)有對(duì)方預(yù)先信息的前提下，利用不安全信道創(chuàng)建一個(gè)臨時(shí)會(huì)話密鑰。因此，將該密鑰序列 PRG（s_i，j） 作為掩碼，可以有效地對(duì)模型參數(shù)進(jìn)行盲化。此外， SecAgg^[16] 使用 Shamir秘密共享方案來(lái)處理 PPAgg 的掉線用戶。

對(duì)于一組有序的聯(lián)邦學(xué)習(xí)用戶 U ，每個(gè)用戶 u_i∈U 都擁有全部的PRG（ s_i，j） 。當(dāng) ii 會(huì)添加掩碼值PRG（s_i，j） ，而用戶 u_j 會(huì)減去掩碼值 PRG（s_i，j） 。在模型聚合過(guò)程中，所有參與者的掩碼值能夠相互抵消，從而得到正確的聚合結(jié)果，即

SecAgg機(jī)制[16]能夠有效地保護(hù)用戶模型的隱私安全，但是涉及多個(gè)用戶之間的通信，會(huì)產(chǎn)生大量的通信開(kāi)銷。后續(xù)的研究工作[17，18]旨在解決 SecAgg機(jī)制中的通信開(kāi)銷問(wèn)題。例如采用量化技術(shù)[17]壓縮模型參數(shù)，減少模型參數(shù)的大小。Bell等人[18]提出了 SecAgg+ 機(jī)制，如圖2所示，采用Harary圖，即一種圖的邊數(shù)盡可能少的 k 連通圖，能夠更加高效地選擇需要通信的用戶，從而降低安全聚合的通信和計(jì)算開(kāi)銷。但是隨著用戶之間通信開(kāi)銷的減少，方案的安全性也相應(yīng)會(huì)有所降低，當(dāng)用戶 u_i 只與少量用戶通信時(shí)，服務(wù)器可能會(huì)與這幾個(gè)用戶共謀，重構(gòu)出用戶 u_i 的模型參數(shù)。

盡管上述 PPAgg 方案[14，17，18]在聚合時(shí)可以抵消所有的掩碼值，得到正確的聚合結(jié)果，但由于這些方案需要用戶之間增加大量通信開(kāi)銷，使得在大規(guī)模部署聯(lián)邦學(xué)習(xí)時(shí)存在一定的局限性。所以，文獻(xiàn)19，20]試圖采用非成對(duì)掩碼，盲化參與者的模型參數(shù)，然后再一次性去除這些掩碼值。例如文獻(xiàn)[20]中，假設(shè)FL系統(tǒng)中擁有 n 個(gè)用戶，每個(gè)用戶 u_i 在不與其他用戶交互的情況下隨機(jī)生成一個(gè)掩碼值 z_i ，并使用這個(gè)掩碼值來(lái)盲化自己的模型參數(shù)，即 y_i=x_i+z_i ，然后將盲化后的模型參數(shù)上傳至聚合服務(wù)器。由于聚合服務(wù)器獲得所有用戶掩碼值的總和 ，但不能獲得單個(gè)掩碼值 z_i ，從而確保了參與者模型參數(shù)的隱私安全[19，20]。在這種情況下，服務(wù)器可以通過(guò)計(jì)算

來(lái)獲得正確的聚合結(jié)果。例如，在文獻(xiàn)[19]中，由一個(gè)可信的第三方來(lái)收集所有用戶生成的掩碼值，并計(jì)算總和，然后將結(jié)果發(fā)送給服務(wù)器來(lái)去除這些掩碼值。文獻(xiàn)[20]也使用了類似的思想，同時(shí)可信第三方還考慮了用戶是否掉線的問(wèn)題，并將掉線用戶的掩碼值從總和中減去。后續(xù)的工作[21]為了取消可信第三方的設(shè)置，使用了秘密共享方案，用戶將自己產(chǎn)生的掩碼值份額利用秘密信道分發(fā)給其他用戶，服務(wù)器在接收到所有在線用戶的份額后，重構(gòu)出所有用戶掩碼值的總和，從而獲得正確的全局模型。

基于掩碼的聚合機(jī)制可以分為成對(duì)掩碼聚合以及非成對(duì)掩碼聚合。a）基于成對(duì)掩碼的聚合機(jī)制能夠在聚合階段有效地處理掉線用戶，因此適用于參與者經(jīng)常掉線的跨設(shè)備應(yīng)用場(chǎng)景；b）基于非成對(duì)掩碼的聚合機(jī)制由于不涉及用戶之間的通信，通?？梢蕴嵘缃M織場(chǎng)景的聚合效率。在大多數(shù)情況下，基于掩碼的聚合需要在安全性等級(jí)和聚合效率之間進(jìn)行權(quán)衡，例如為了提高方案的安全性，可能需要依賴可信第三方或確保參與者之間無(wú)法共謀，這通常會(huì)帶來(lái)額外的通信或存儲(chǔ)開(kāi)銷。

2.1.2基于安全多方計(jì)算的聚合

安全多方計(jì)算（SMPC）是一種提供隱私保護(hù)的安全交互協(xié)議[6，旨在無(wú)可信第三方的情況下，允許多個(gè)參與方協(xié)同計(jì)算某個(gè)函數(shù)，同時(shí)保證每個(gè)參與方的輸入數(shù)據(jù)不被其他參與方獲取。如圖3所示，假設(shè)有 n 個(gè)參與方，每個(gè)參與方 u_i 都擁有一個(gè)隱私值 x_i ，所有參與方可以協(xié)同計(jì)算：

y₁，…，y_n=f（x₁，…，x_n）

每個(gè)參與方 n_i 只能根據(jù)自己的輸入值 x_i 來(lái)獲取輸出值y_i ，而不能獲取任何其他的信息。

一般來(lái)說(shuō)，SMPC可以通過(guò)多種框架來(lái)實(shí)現(xiàn)，例如不經(jīng)意傳輸（OT）、秘密共享（SS）[22]以及同態(tài)加密（HE）[5]等。在不經(jīng)意傳輸協(xié)議中，發(fā)送方向接收方發(fā)送兩條或多條消息，接收方從這些消息中隨機(jī)選擇一條，發(fā)送方并不知道接收方獲得了哪條消息。這個(gè)協(xié)議適用于兩方邏輯運(yùn)算，而秘密共享[22]和同態(tài)加密[5]則適用于多個(gè)參與方對(duì)數(shù)據(jù)進(jìn)行運(yùn)算。本節(jié)將介紹秘密共享在聯(lián)邦學(xué)習(xí)中的應(yīng)用，基于同態(tài)加密的聚合將在2.1.3節(jié)中詳細(xì)介紹。

秘密共享[22]是一種將秘密值分割存儲(chǔ)的密碼學(xué)技術(shù)，可以將一個(gè)秘密拆分成多個(gè)份額，由不同的參與者管理，并且只有當(dāng)參與者達(dá)到一定數(shù)量時(shí)，才能重構(gòu)秘密。以Shamir秘密共享為例，想要把一個(gè)秘密值 s 共享給 n 個(gè)用戶，首先選取t-1（t?n） 個(gè)隨機(jī)值 s₁，s₂，…，s_t-1 構(gòu)造多項(xiàng)式：

f（x）=s+s₁x+s₂x²+…+s_t-1x^t-1

在這個(gè)多項(xiàng)式中，任意一點(diǎn) （x_i，f（x_i） ） ）都可以作為秘密共享的份額。為了重構(gòu)秘密值 s ，至少需要 χ_t 個(gè)秘密份額，通過(guò)拉格朗日插值公式計(jì)算：

Corrigan-Gibbs等人[23]首先將秘密共享和非交互零知識(shí)證明技術(shù)相結(jié)合，構(gòu)造出一種秘密共享的非交互式零知識(shí)證明協(xié)議 SNIP（secret-shared non-interactive proofs），并利用 SNIP 協(xié)議提出一種具有魯棒性的可擴(kuò)展安全聚合協(xié)議，簡(jiǎn)稱為Prio方案。該協(xié)議由一個(gè)客戶端（即驗(yàn)證者）和多個(gè)服務(wù)器（即試證者）之間的交互組成，客戶端首先利用秘密共享技術(shù)將秘密值 x 拆分成多個(gè)份額，使用一個(gè)公開(kāi)的算術(shù)電路valid （x） 生成一組份額證明串，并將每個(gè)份額和相應(yīng)的證明串發(fā)送給相應(yīng)的服務(wù)器，所有服務(wù)器將接受的份額和證明串輸入算術(shù)電路valid（·），利用安全多方計(jì)算輸出 valid（x） 的值，當(dāng) valid（x）=1 時(shí)，接受該用戶的數(shù)據(jù) x ，否則，認(rèn)為該數(shù)據(jù)是惡意或無(wú)效數(shù)據(jù)，拒絕該用戶的數(shù)據(jù) x 。Prio方案中，當(dāng)客戶端和至少一個(gè)服務(wù)器是誠(chéng)實(shí)的，所有服務(wù)器都不能獲知秘密 x 的任何信息。由于SNIP證明串能夠以很大的概率識(shí)別出惡意或無(wú)效數(shù)據(jù)，并將其刪除，所以能確?？蛻舳松蟼髂Ｐ偷恼_性，實(shí)現(xiàn)FL安全聚合的隱私性和魯棒性。

為了更高效地執(zhí)行聚合協(xié)議， Prio+^[24] 要求參與者將秘密值通過(guò)布爾共享發(fā)送給服務(wù)器，服務(wù)器在接收到布爾分享之后，將布爾分享轉(zhuǎn)換為算術(shù)分享，計(jì)算算術(shù)分享下的聚合結(jié)果，從而避免使用Prio中的零知識(shí)證明協(xié)議，提高了聚合效率。Prio+ 方案基于安全兩方計(jì)算，實(shí)現(xiàn)將布爾共享快速轉(zhuǎn)換為算術(shù)共享的安全協(xié)議。Rathee等人[25]提出了ELSA方案，部署兩臺(tái)服務(wù)器實(shí)現(xiàn)安全聚合，同時(shí)提出一種基于L2范數(shù)的魯棒性檢測(cè)算法。該方案設(shè)計(jì)了安全兩方計(jì)算的基礎(chǔ)模塊：布爾共享到算術(shù)共享的安全轉(zhuǎn)化協(xié)議、OT協(xié)議和Beaver乘法三元組，利用Beaver乘法三元組，完成L2范數(shù)計(jì)算中的安全求平方運(yùn)算，兩個(gè)服務(wù)器調(diào)用這個(gè)安全計(jì)算模塊實(shí)現(xiàn)安全聚合的魯棒性檢測(cè)。ELSA不僅保障了模型的隱私安全，而且優(yōu)化了聚合過(guò)程的通信開(kāi)銷。

He等人[26]提出一個(gè)基于秘密共享SMPC的FL方案，參與者隨機(jī)地將本地梯度切分為兩個(gè)相加的秘密，分別共享給A和B兩個(gè)不串通的服務(wù)器。A服務(wù)器將計(jì)算結(jié)果發(fā)送給B，B服務(wù)器按照SMPC協(xié)議執(zhí)行安全聚合，并將聚合結(jié)果分發(fā)給參與者。該方案在參與者和兩個(gè)服務(wù)器之間共享梯度會(huì)造成大量的通信開(kāi)銷，降低FL運(yùn)行的效率，尤其是存在大量設(shè)備的IoT環(huán)境中。Zhang等人[2]提出了一種兩輪秘密共享方案，在第一輪中，參與者的本地模型被拆分成多個(gè)秘密共享的份額，然后在第二輪中將這些份額分成兩部分，一部分作為公共的份額發(fā)送到服務(wù)器進(jìn)行模型聚合，另一部分作為私有的份額留在本地，用來(lái)恢復(fù)真正的全局模型。該方案中，參與者只需要將部分模型上傳至服務(wù)器，因此不一定需要設(shè)置誠(chéng)實(shí)的服務(wù)器。然而，這種方法也可能會(huì)導(dǎo)致聚合結(jié)果不準(zhǔn)確。

與基于掩碼的聚合方案[14，17，18]相比，基于SMPC 的 PPAgg機(jī)制能夠顯著提高模型準(zhǔn)確率，然而這需要增加大量的計(jì)算和通信開(kāi)銷，不適用于參與者性能較弱的跨設(shè)備聯(lián)邦學(xué)習(xí)。此外，基于SMPC的PPAgg機(jī)制通常采用閾值秘密共享，例如Shamir秘密共享技術(shù)分發(fā)秘密份額，允許部分用戶掉線，僅當(dāng)在線用戶大于設(shè)定的閾值時(shí)，F(xiàn)L聚合機(jī)制才能夠正常進(jìn)行，因此大多數(shù)參與者需要具有一定的帶寬和計(jì)算能力，確保其能保持在線。而基于DP的 PPAgg 機(jī)制對(duì)掉線參與者的數(shù)量沒(méi)有嚴(yán)格限制。

2.1.3基于同態(tài)加密的聚合

同態(tài)加密（HE）是一種具有隱私保護(hù)功能的加密算法[5]，允許模型參數(shù)在密文狀態(tài)下直接對(duì)密文進(jìn)行某種數(shù)學(xué)操作，如加法操作或乘法操作，并且解密后得到的結(jié)果與在原始明文執(zhí)行相同操作后的結(jié)果相同。具體來(lái)說(shuō)，對(duì)于明文 x₁ 和 x₂ 以及同態(tài)加密算法［·]，滿足

[x₁]?[x₂]=[x₁?x₂]

其中： ? 表示加法或乘法運(yùn)算; [x₁] 和 [x₂] 分別表示對(duì)明文 x₁ 和 x₂ 進(jìn)行同態(tài)加密后的密文； [x₁?x₂] 表示對(duì)原始明文進(jìn)行操作后再進(jìn)行同態(tài)加密。

參與者利用同態(tài)加密技術(shù)可以將對(duì)密文的計(jì)算操作外包給不可信的第三方，使其在不知道原始數(shù)據(jù)的情況下完成對(duì)密文的計(jì)算任務(wù)。在聯(lián)邦學(xué)習(xí)中，為了保護(hù)參與者模型參數(shù)的隱私，通?？梢圆捎猛瑧B(tài)加密算法對(duì)其進(jìn)行加密[28]，然后將密文發(fā)送給服務(wù)器。如圖4所示，服務(wù)器在接收到參與者的密文后，在密文上直接執(zhí)行聚合操作。

Fang等人[28]設(shè)計(jì)了一種基于同態(tài)加密算法Paillier的聯(lián)邦多層感知器，提出一種基于HE的 PPAgg 機(jī)制。在這個(gè)機(jī)制中，用戶上傳加密后的模型參數(shù)，在服務(wù)器上使用同態(tài)運(yùn)算聚合模型參數(shù)。該機(jī)制在數(shù)據(jù)隔離的情況下也能訓(xùn)練出通用模型，提供了一種有效的隱私數(shù)據(jù)保護(hù)方案。 Xu 等人[29]利用Paillier算法設(shè)計(jì)出FL框架Fedv，依靠可信的第三方來(lái)分發(fā)密鑰對(duì)，所有參與者持有相同的密鑰對(duì)，但對(duì)聚合服務(wù)器保密。所有參與者使用相同的公鑰加密其本地梯度，聚合服務(wù)器根據(jù)同態(tài)操作對(duì)密文執(zhí)行聚合操作，并將聚合密文分發(fā)給所有參與者，參與者解密聚合密文并進(jìn)行下一輪次的模型訓(xùn)練。但是Fedv具有很強(qiáng)的安全性假設(shè)，即所有參與者都是半誠(chéng)實(shí)的且不與聚合服務(wù)器共謀，這個(gè)假設(shè)是非常脆弱的，聚合服務(wù)器可以通過(guò)創(chuàng)建一個(gè)虛擬的參與者來(lái)竊取其他參與者的隱私信息。Wibawa等人[30]為了保護(hù)醫(yī)療數(shù)據(jù)集的安全，提出了一種使用同態(tài)加密的隱私保護(hù)聯(lián)邦學(xué)習(xí)算法。該算法使用同態(tài)加密來(lái)保護(hù)由醫(yī)療數(shù)據(jù)集訓(xùn)練生成的模型，使其能夠有效地保護(hù)醫(yī)療患者的隱私，并在醫(yī)療數(shù)據(jù)集上根據(jù)模型性能進(jìn)行了評(píng)估。Li等人[31]人提出了一種基于區(qū)塊鏈和HE 的隱私保護(hù)FL方案。該方案在保證局部模型隱私性的同時(shí)提供可驗(yàn)證性，還建立了基于聲譽(yù)的激勵(lì)機(jī)制，以鼓勵(lì)車聯(lián)網(wǎng)用戶誠(chéng)實(shí)且積極的參與FL。

然而，基于HE的 PPAgg 機(jī)制在提供隱私保護(hù)的同時(shí)會(huì)帶來(lái)大量的通信和計(jì)算開(kāi)銷。因而，后續(xù)的一些工作[32.33]旨在提升方案的效率。例如，Mohammadi等人[32]使用Paillier算法保護(hù)參與者隱私，提出了一種輕量級(jí)優(yōu)化的Paillier同態(tài)加密方法。該方法在參與者加密本地模型之前，對(duì)模型中的冗余參數(shù)進(jìn)行修剪，得到更加緊湊的模型，從而減少加密所需要的時(shí)間。Zhang等人[33]在物聯(lián)網(wǎng)醫(yī)療保健場(chǎng)景下，設(shè)計(jì)了一種基于HE的隱私保護(hù)FL方案，在提高安全性的同時(shí)，降低了計(jì)算開(kāi)銷。Hijazi等人[34]使用集群的方法將所有的參與者劃分成若干個(gè)集群，參與者首先在集群上進(jìn)行聚合，加密聚合結(jié)果后發(fā)送給服務(wù)器，這樣大大減少了參與者與服務(wù)器之間的交互，減小了通信開(kāi)銷。

由于HE理論基礎(chǔ)十分成熟，可以適用于各種類型數(shù)據(jù)和模型的聚合，所以基于HE的聚合方案允許服務(wù)器在密文狀態(tài)下直接進(jìn)行聚合操作，有效地保護(hù)了參與者的隱私。但是，同態(tài)加密存在大量密集型計(jì)算，且密文膨脹率極大，導(dǎo)致增加大量的計(jì)算和通信開(kāi)銷，不適用于計(jì)算和通信資源有限的跨設(shè)備聯(lián)邦學(xué)習(xí)。為了減少計(jì)算和通信開(kāi)銷，可以采用模型參數(shù)的局部更新策略，減少同態(tài)加密操作的計(jì)算量，或者采用混合加密模式，即對(duì)不敏感的數(shù)據(jù)不執(zhí)行加密操作，以減少加密操作的總體負(fù)擔(dān)。

2.1.4基于密碼學(xué)方法的總結(jié)

由于密碼學(xué)方法本身涉及一定的通信和計(jì)算開(kāi)銷，所以基于密碼學(xué)方法的三種聚合方案普遍存在通信開(kāi)銷或計(jì)算開(kāi)銷大的問(wèn)題。表3給出了一些具有代表性的方案的關(guān)鍵特征，并進(jìn)行了系統(tǒng)性的評(píng)價(jià)和總結(jié)。

2.2基于數(shù)據(jù)擾動(dòng)的方法

2.2.1基于差分隱私的聚合

差分隱私（DP）是一種高效的隱私保護(hù)技術(shù)[7]，其目的是防止數(shù)據(jù)集中因出現(xiàn)一點(diǎn)細(xì)微變化而導(dǎo)致隱私泄露問(wèn)題。其具體定義如下：給定兩個(gè)只相差一條數(shù)據(jù)的數(shù)據(jù)集 D 和 D^′ M（D） 表示數(shù)據(jù)集 D 在隨機(jī)函數(shù) M（?） 作用下的輸出， s 表示所有可能的輸出， ε 表示隱私預(yù)算，若滿足

Pr（M（D）∈S）?e^εPr（M（D^′）∈S）

則可認(rèn)為隨機(jī)函數(shù) M（?） 滿足 ε. -差分隱私。直觀來(lái)說(shuō)，觀察者通過(guò)觀察輸出結(jié)果很難察覺(jué)出數(shù)據(jù)集的細(xì)微變化。通?？梢圆捎锰砑釉肼暤姆绞絹?lái)實(shí)現(xiàn)差分隱私，例如添加一系列遵循正態(tài)分布的隨機(jī)值，即高斯噪聲[35]。需要注意的是，向模型中添加的噪聲越多，隱私保護(hù)性越強(qiáng)，但模型的可用性也越差。

在聯(lián)邦學(xué)習(xí)中，參與者每一輪都需要上傳更新后的本地模型，攻擊者通過(guò)觀察本地模型的變化趨勢(shì)能夠推理出參與者的一些隱私數(shù)據(jù)[4]。因此可以引入DP技術(shù)，防止攻擊者發(fā)動(dòng)推理攻擊，以此來(lái)保護(hù)參與者的隱私。參與者利用差分隱私技術(shù)向模型參數(shù)中注入隨機(jī)噪聲[35]，為其提供隱私保護(hù)，使其能夠抵抗推理攻擊。根據(jù)添加噪聲參與方的不同，可以將其分為本地差分隱私（LDP）和全局差分隱私（GDP）。LDP是指用戶向本地模型添加噪聲以保護(hù)本地模型隱私；GDP是指服務(wù)器向全局模型添加噪聲以保護(hù)全局模型隱私。LDP的定義如下：

其中： n 表示FL中的第 n 個(gè)參與者； D_n 和 D_n^′ 表示第 n 個(gè)參與者在某一輪次訓(xùn)練出來(lái)的模型。GDP的定義滿足式（8）。

基于LDP的 PPAgg 機(jī)制通常應(yīng)用于服務(wù)器不可信的設(shè)置中。為了保護(hù)自身的隱私，參與者首先需要向本地模型中添加噪聲，再將擾動(dòng)后的模型發(fā)送至服務(wù)器。Vinita等人[36]在車聯(lián)網(wǎng)（IoV）場(chǎng)景中，要求參與者在每個(gè)輪次中都對(duì)本地模型添加噪聲，以保護(hù)自己的隱私。同時(shí)采用三層聚合協(xié)議，通過(guò)迭代擾動(dòng)和聚合梯度來(lái)增強(qiáng)隱私性，從而最大限度地減少梯度暴露的可能性，保留了數(shù)據(jù)完整性。Zhao等人[37]提出了四種LDP機(jī)制來(lái)擾動(dòng)車輛產(chǎn)生的梯度值，以便平衡隱私預(yù)算與模型精度之間的關(guān)系。當(dāng)隱私預(yù)算較大時(shí)，提供較高的模型精度；當(dāng)隱私預(yù)算較小時(shí)，設(shè)計(jì)一種次優(yōu)機(jī)制PM-SUB，確保模型精度不會(huì)有太大的損失。這種混合機(jī)制在保證實(shí)用性的同時(shí)保護(hù)了隱私。

由于用戶總數(shù)、每輪次選擇的用戶數(shù)以及迭代次數(shù)都會(huì)影響產(chǎn)生噪聲的方法和數(shù)量，基于LDP的PPAgg 機(jī)制[38]需要在每一輪模型訓(xùn)練中向目標(biāo)參數(shù)添加噪聲，這些噪聲的累積會(huì)導(dǎo)致模型精度的降低。為了提高模型精度，He等人[39]只向本地模型中添加少量噪聲，并結(jié)合Shuffle機(jī)制加強(qiáng)隱私，在保證隱私的情況下，緩解噪聲累加導(dǎo)致的隱私預(yù)算爆炸。如圖5所示，每個(gè)參與者不是直接將添加噪聲后的模型參數(shù)發(fā)送給服務(wù)器，而是對(duì)其拆分和打亂后以匿名的方式將每個(gè)權(quán)重傳遞給服務(wù)器。Sun等人[40]基于Shuffle機(jī)制設(shè)計(jì)了FedSDP框架，在車輛的本地訓(xùn)練過(guò)程中引入了top-k稀疏機(jī)制，以減小通信開(kāi)銷，確保車聯(lián)網(wǎng)在低延遲約束下安全高效地共享數(shù)據(jù)。

與基于LDP的方法相比，基于GDP的 PPAgg 機(jī)制通常只涉及少量的噪聲，因此模型的精度不會(huì)有太大的損失。當(dāng)FL系統(tǒng)部署可信服務(wù)器時(shí)，在服務(wù)器端對(duì)全局模型添加噪聲可以為所有參與者提供隱私保護(hù)。由于模型精度沒(méi)有太大的損失，所以能為FL系統(tǒng)帶來(lái)更好的實(shí)用性。Letafati等人[41]提出了一種在分布式元宇宙醫(yī)療系統(tǒng)中應(yīng)用全局差分隱私的方法，并設(shè)計(jì)了一種“混合噪聲”機(jī)制，以確保在處理本地模型更新時(shí)保護(hù)隱私。Ling等人[35]采用高斯噪聲對(duì)全局模型進(jìn)行擾動(dòng)，同時(shí)研究了GDP方法對(duì)聚合結(jié)果的影響，結(jié)果表明，添加高斯噪聲能夠防止全局模型出現(xiàn)過(guò)擬合的現(xiàn)象，從而獲得更準(zhǔn)確的模型。然而，在大多數(shù)情況下，部署可信服務(wù)器是比較困難的，因此更多的方案采用LDP方法來(lái)保護(hù)隱私。

2.2.2基于數(shù)據(jù)擾動(dòng)方法的總結(jié)

表4給出了上述方案的總結(jié)和概述，與基于密碼學(xué)方法的PPAgg機(jī)制相比，基于數(shù)據(jù)擾動(dòng)的PPAgg機(jī)制無(wú)須為保護(hù)隱私而增加過(guò)多的計(jì)算和通信開(kāi)銷，模型訓(xùn)練效率較高，但噪聲的累積會(huì)降低全局模型的準(zhǔn)確率，影響模型的可用性。因此，基于差分隱私的 PPAgg 機(jī)制應(yīng)在模型精度與隱私保護(hù)程度之間進(jìn)行權(quán)衡，確定適當(dāng)?shù)碾[私預(yù)算分配方法，以提高模型在不同聯(lián)邦學(xué)習(xí)設(shè)置中的可用性。目前基于差分隱私的PPAgg很難實(shí)現(xiàn)準(zhǔn)確率和隱私之間的權(quán)衡。因此，構(gòu)造基于差分隱私的新型PPAgg框架，使得在隱私預(yù)算較大時(shí)提供較高的模型精度，當(dāng)隱私預(yù)算減小時(shí)，自適應(yīng)地增加噪聲，犧牲適量模型精度以增強(qiáng)隱私保護(hù)，將是一種可行的解決方法。

2.3 可信環(huán)境設(shè)置方法

2.3.1基于區(qū)塊鏈的聚合

區(qū)塊鏈?zhǔn)窃趯?duì)等網(wǎng)絡(luò)中，由網(wǎng)絡(luò)節(jié)點(diǎn)利用密碼學(xué)技術(shù)共同維護(hù)管理的一個(gè)不可竄改的分布式賬本[42]。區(qū)塊鏈利用共識(shí)機(jī)制保證該分布式賬本的一致性和完整性，使其具有可審計(jì)性和透明性，能夠在不可信的環(huán)境中構(gòu)建信任機(jī)制。此外，公有鏈和聯(lián)盟鏈保留了加密貨幣的特性，為聯(lián)邦學(xué)習(xí)提供激勵(lì)機(jī)制，確保聯(lián)邦學(xué)習(xí)交易過(guò)程的公平、公正和公開(kāi)。聯(lián)邦學(xué)習(xí)中基于區(qū)塊鏈的聚合機(jī)制的工作模式如圖6所示。a）任務(wù)發(fā)布者將具有初始全局模型的FL訓(xùn)練任務(wù)發(fā)布到區(qū)塊鏈；b）每個(gè)FL參與者從區(qū)塊鏈上下載全局模型；c）參與者進(jìn)行本地模型訓(xùn)練;d）每個(gè)FL參與者生成并廣播一個(gè)記錄其本地模型的交易，該交易將被節(jié)點(diǎn)接收并存儲(chǔ)在交易池中；e）所有參與者通過(guò)共識(shí)機(jī)制選出共識(shí)節(jié)點(diǎn)，共識(shí)節(jié)點(diǎn)聚合這些局部模型，得到全局模型；f將新的全局模型附加到新的區(qū)塊中，用于下一輪FL訓(xùn)練。

區(qū)塊鏈的去中心化特性可以有效解決FL系統(tǒng)中的單點(diǎn)故障問(wèn)題。但區(qū)塊鏈透明公開(kāi)的特性，無(wú)法防止FL模型聚合過(guò)程中的隱私泄露，因此需要結(jié)合隱私保護(hù)技術(shù)實(shí)現(xiàn)基于區(qū)塊鏈的安全聚合。Kumar等人[43]采用了基于密碼學(xué)的矩陣乘法算法對(duì)參與者梯度進(jìn)行屏蔽。同態(tài)加密也可以為區(qū)塊鏈提供隱私保護(hù)， Shu 等人[44]使用全同態(tài)加密算法對(duì)參與者的本地模型進(jìn)行加密，同時(shí)由區(qū)塊鏈的共識(shí)機(jī)制選出一些參與者作為監(jiān)督者，負(fù)責(zé)監(jiān)督整個(gè)FL的訓(xùn)練過(guò)程，確保聚合過(guò)程的可靠性。Keshavarzkalhori等人[45]采用同態(tài)加密和零知識(shí)證明來(lái)為FL系統(tǒng)提供安全性、隱私性和透明度。Li等人[46]改進(jìn)了同態(tài)加密算法，縮短了區(qū)塊鏈上參與者的加密時(shí)間。

近年來(lái)，區(qū)塊鏈的激勵(lì)機(jī)制被引入到FL中來(lái)激勵(lì)參與者，并規(guī)范參與者的行為，以此保證FL模型訓(xùn)練中的公平性。羅福林等人[42]提出基于質(zhì)押訓(xùn)練幣的訓(xùn)練節(jié)點(diǎn)選擇方案，節(jié)點(diǎn)通過(guò)質(zhì)押訓(xùn)練幣獲得參與訓(xùn)練的機(jī)會(huì)，最后系統(tǒng)根據(jù)對(duì)模型的貢獻(xiàn)大小對(duì)參與節(jié)點(diǎn)發(fā)放訓(xùn)練幣獎(jiǎng)勵(lì)，同時(shí)沒(méi)收惡意訓(xùn)練節(jié)點(diǎn)質(zhì)押的訓(xùn)練幣。 Ma 等人[47]提出了基于區(qū)塊鏈的隱私保護(hù)聯(lián)邦學(xué)習(xí)機(jī)制，利用區(qū)塊鏈的共識(shí)機(jī)制，將聯(lián)邦學(xué)習(xí)中聚合者和參與者的信任映射到一個(gè)分布式賬本，并將處理結(jié)果的密文記錄在賬本上，利用成對(duì)加法掩碼技術(shù)和中國(guó)剩余定理保護(hù)模型的隱私，最后利用智能合約評(píng)估參與者的數(shù)據(jù)質(zhì)量，獎(jiǎng)勵(lì)參與者，鼓勵(lì)更多用戶參與模型訓(xùn)練。Zhang等人[48]基于區(qū)塊鏈構(gòu)建了一個(gè)用于設(shè)備故障檢測(cè)的FL系統(tǒng)，并針對(duì)FL中的數(shù)據(jù)異構(gòu)性問(wèn)題設(shè)計(jì)了新的聯(lián)邦平均算法，利用智能合約設(shè)計(jì)了一個(gè)用于模型訓(xùn)練的激勵(lì)機(jī)制，該智能合約將會(huì)自動(dòng)執(zhí)行獎(jiǎng)勵(lì)計(jì)算和代幣分發(fā)，并記錄在區(qū)塊鏈上。Kang等人[49]提出一種將聲譽(yù)與契約理論相結(jié)合的激勵(lì)機(jī)制，以激勵(lì)擁有高質(zhì)量數(shù)據(jù)的參與者加入到FL中，并利用推土機(jī)距離（earthmover’sdis-tance，EMD）來(lái)衡量不可靠參與者的本地?cái)?shù)據(jù)質(zhì)量，其中EMD是一種圖像相似性的度量。為了提高區(qū)塊鏈聯(lián)邦學(xué)習(xí)的效率和安全性， Ma 等人[50設(shè)計(jì)了一種新的共識(shí)機(jī)制，通過(guò)可靠性證明以實(shí)現(xiàn)快速共識(shí)，同時(shí)減輕掉線用戶的影響。

區(qū)塊鏈?zhǔn)且粋€(gè)在不可信環(huán)境中構(gòu)造信任機(jī)制的平臺(tái)，能夠?yàn)椴豢尚诺腇L聚合過(guò)程提供可信的執(zhí)行環(huán)境，且能成功地抵制女巫攻擊、分布式拒絕服務(wù)攻擊和單點(diǎn)故障問(wèn)題。同時(shí)利用智能合約和加密貨幣特性構(gòu)造相應(yīng)的激勵(lì)機(jī)制，有助于鼓勵(lì)更多用戶加入到FL的過(guò)程中，提高模型精度。然而，區(qū)塊鏈上的數(shù)據(jù)公開(kāi)透明，需要結(jié)合密碼學(xué)算法來(lái)保護(hù)隱私數(shù)據(jù)。此外，區(qū)塊鏈部署到FL的過(guò)程中將會(huì)極大地增加系統(tǒng)的硬件和軟件成本，共識(shí)機(jī)制會(huì)增加每個(gè)輪次的運(yùn)行時(shí)間，降低聚合效率。因此，在區(qū)塊鏈上部署聯(lián)邦學(xué)習(xí)任務(wù)時(shí)，可以選擇高吞吐量和低延遲的平臺(tái)，同時(shí)需要結(jié)合隱私保護(hù)技術(shù)來(lái)保護(hù)參與者的隱私。

2.3.2基于可信執(zhí)行環(huán)境的聚合

可信執(zhí)行環(huán)境（TEE）是主處理器的一個(gè)安全區(qū)域，允許敏感數(shù)據(jù)和代碼在一個(gè)隔離和可信的環(huán)境中進(jìn)行存儲(chǔ)、處理和保護(hù)。也就是說(shuō)，TEE與軟件環(huán)境隔離能夠保證內(nèi)部應(yīng)用程序和相關(guān)數(shù)據(jù)的機(jī)密性和完整性，不受外部操作系統(tǒng)和應(yīng)用執(zhí)行環(huán)境（REE）的任何攻擊。通常由硬件enclave支持TEE，如ARMTrustZone，Intel SGX（softwareguard extensions）。與基于REE的應(yīng)用程序相比，TEE通常涉及額外的硬件成本，在大規(guī)模部署時(shí)，會(huì)存在一定的制約。

聯(lián)邦學(xué)習(xí)中基于TEE的聚合機(jī)制的工作模式如圖7所示。a）所有參與者加密各自的本地模型，并將其上傳至REE；b）TEE從REE中加載加密后的模型;c）在TEE中解密模型;d）聚合解密后的模型;e）TEE將聚合結(jié)果輸出給REE，REE將聚合結(jié)果廣播給所有參與者。

為了確保FL的隱私安全，Queyrut等人[51]提出一種基于TEE的安全聚合機(jī)制，將TEE集成到聯(lián)邦學(xué)習(xí)框架中，確保模型更新過(guò)程的安全性和完整性，減少了惡意攻擊的成功率。Kalapaaking等人[52]提出了一種基于區(qū)塊鏈和TEE的FL框架，能夠在工業(yè)物聯(lián)網(wǎng)中實(shí)現(xiàn)本地模型的安全聚合。在該框架中，每個(gè)區(qū)塊鏈節(jié)點(diǎn)托管一個(gè)啟用SGX的處理器，該處理器安全地執(zhí)行FL的聚合任務(wù)以生成全局模型，區(qū)塊鏈節(jié)點(diǎn)可以驗(yàn)證聚合模型的真實(shí)性，共識(shí)機(jī)制確保模型的正確性和一致性，并將其添加到分布式賬本中進(jìn)行存儲(chǔ)。Kato等人[53]在TEE環(huán)境下設(shè)計(jì)了一種名為OLIVE的聚合算法。該算法能夠在模型更新階段檢測(cè)和防止稀疏化攻擊，保障模型的健壯性。 Xu 等人[54]為了突破SGX存儲(chǔ)空間的限制，采用了一種梯度過(guò)濾機(jī)制，能夠最大限度地保護(hù)數(shù)據(jù)隱私的重要梯度，并將其放入SGX中?；赥EE的FL方案能夠?yàn)槊舾袛?shù)據(jù)提供一個(gè)可信的執(zhí)行環(huán)境，然而由于需要利用硬件部署TEE系統(tǒng)，極大地增加額外的硬件成本，且TEE平臺(tái)內(nèi)存造價(jià)極高，存儲(chǔ)空間有限，使得TEE的模型訓(xùn)練時(shí)間會(huì)有較大的增加，從而導(dǎo)致系統(tǒng)效率降低。

2.3.3可信環(huán)境設(shè)置方法的總結(jié)

一般來(lái)說(shuō)，基于區(qū)塊鏈或可信執(zhí)行環(huán)境的聚合方案都會(huì)結(jié)合一些其他的隱私保護(hù)方法來(lái)增強(qiáng)隱私性，表5總結(jié)了上述一些代表性的方案。

2.4基于PPFL醫(yī)療模型訓(xùn)練的案例分析

在醫(yī)療領(lǐng)域，許多醫(yī)療機(jī)構(gòu)和研究人員希望利用各自的數(shù)據(jù)來(lái)訓(xùn)練更準(zhǔn)確的疾病預(yù)測(cè)模型[55]，但又擔(dān)心數(shù)據(jù)泄露和隱私侵犯。PPFL為這一問(wèn)題提供了解決方案，它允許各個(gè)醫(yī)療機(jī)構(gòu)在不共享原始數(shù)據(jù)的情況下，共同訓(xùn)練一個(gè)全局模型，從而既保護(hù)了數(shù)據(jù)隱私，又提高了模型的準(zhǔn)確性。

PPFL利用多家醫(yī)院的電子病歷（EHR）數(shù)據(jù)訓(xùn)練一個(gè)能夠預(yù)測(cè)患者未來(lái)患某種疾病風(fēng)險(xiǎn)的模型。首先，根據(jù)各醫(yī)院數(shù)據(jù)的分布情況，可以選擇橫向或縱向FL框架，每個(gè)醫(yī)院作為客戶端在本地訓(xùn)練模型，采用同態(tài)加密、SMPC、差分隱私等隱私保護(hù)技術(shù)，對(duì)模型參數(shù)進(jìn)行加密傳輸和存儲(chǔ)，以防止數(shù)據(jù)被惡意攻擊者竊取或竄改，并將模型參數(shù)密文上傳到中央服務(wù)器。中央服務(wù)器根據(jù)參與者的隱私保護(hù)技術(shù)制定相應(yīng)的PPAgg機(jī)制，對(duì)收集的模型參數(shù)密文進(jìn)行聚合，生成全局模型，并將該模型發(fā)送回各醫(yī)院進(jìn)行下一輪的本地訓(xùn)練。FL的PPAgg機(jī)制不僅能夠保護(hù)參與者的隱私，而且能有效提升FL模型的準(zhǔn)確率。

因此，F(xiàn)L的 PPAgg 能夠在保護(hù)數(shù)據(jù)隱私和安全的前提下，實(shí)現(xiàn)了多個(gè)設(shè)備或數(shù)據(jù)中心之間的協(xié)同訓(xùn)練，不僅為醫(yī)療領(lǐng)域的數(shù)據(jù)共享、模型訓(xùn)練、患者隱私保護(hù)等方面帶來(lái)更多的創(chuàng)新和突破，而且在金融、物聯(lián)網(wǎng)、智慧城市等多個(gè)領(lǐng)域具有廣闊的應(yīng)用前景，有望為人工智能和大數(shù)據(jù)應(yīng)用提供更加可靠和安全的支持。

2.5 總結(jié)

本章介紹了多種聯(lián)邦學(xué)習(xí)中保護(hù)隱私的安全聚合方法，針對(duì)OTP、SMPC、HE、DP、區(qū)塊鏈和TEE關(guān)鍵隱私保護(hù)方法，同時(shí)給出表6來(lái)總結(jié)這些技術(shù)的關(guān)鍵特征，列出這些方法的優(yōu)缺點(diǎn)、資源需求、模型效用和應(yīng)用場(chǎng)景的評(píng)價(jià)，并討論了隱私保護(hù)技術(shù)構(gòu)架的優(yōu)缺點(diǎn)。

3 總結(jié)與展望

本文詳細(xì)分析了FL的PPAgg機(jī)制的關(guān)鍵技術(shù)、工作原理及其優(yōu)缺點(diǎn)，并給出其在不同應(yīng)用場(chǎng)景下的構(gòu)建和部署。然而，隨著6G通信、量子計(jì)算和新型網(wǎng)絡(luò)攻擊技術(shù)的快速發(fā)展，聯(lián)邦學(xué)習(xí)的PPAgg機(jī)制將面臨新的挑戰(zhàn)。本文重點(diǎn)考慮了這些關(guān)鍵挑戰(zhàn)問(wèn)題：傳統(tǒng)密碼學(xué)難以應(yīng)對(duì)量子攻擊、現(xiàn)有 PPAgg 機(jī)制在性能與效率之間難以平衡、數(shù)據(jù)異構(gòu)性和設(shè)備異構(gòu)性對(duì)系統(tǒng)綜合效能的影響，以及 PPAgg 易受投毒攻擊問(wèn)題。針對(duì)這些關(guān)鍵挑戰(zhàn)問(wèn)題，本文給出了未來(lái)的主要研究方向：量子聯(lián)邦學(xué)習(xí)、可信聯(lián)邦學(xué)習(xí)、高效PPFL和魯棒性PPFL，并給出這些研究方向中PPAgg機(jī)制的可能解決方案，從優(yōu)化模型的安全性、提升訓(xùn)練性能到降低通信開(kāi)銷，進(jìn)一步增強(qiáng)數(shù)據(jù)的隱私保護(hù)，全面提升FL綜合效能。

3.1 量子聯(lián)邦學(xué)習(xí)

隨著量子計(jì)算技術(shù)的迅猛發(fā)展，傳統(tǒng)密碼學(xué)方案在面對(duì)量子攻擊時(shí)逐漸顯現(xiàn)出安全隱患，基于傳統(tǒng)密碼算法的FL中PPAgg機(jī)制將不能確保模型訓(xùn)練過(guò)程中的隱私安全。量子聯(lián)邦學(xué)習(xí)（quantumfederatedlearning，QFL）[56]是一種結(jié)合了量子計(jì)算和聯(lián)邦學(xué)習(xí)的分布式機(jī)器學(xué)習(xí)框架，增強(qiáng)了數(shù)據(jù)隱私保護(hù)的優(yōu)勢(shì)，利用量子通信技術(shù)，如量子密鑰分發(fā)和量子糾纏，顯著提升通信效率和安全性。由于量子通信具備量子疊加和糾纏的獨(dú)特優(yōu)勢(shì)，QFL無(wú)須直接傳輸量子位即可完成信息的傳遞，從而顯著減少通信開(kāi)銷，提升數(shù)據(jù)傳輸效率。雖然量子通信技術(shù)為密鑰分發(fā)提供一定的安全性，但是在量子計(jì)算和FL結(jié)合過(guò)程中，QFL在數(shù)據(jù)傳輸和處理過(guò)程中可能會(huì)被攻擊者竊取或竄改，依然存在量子編碼的模型梯度隱私泄露的風(fēng)險(xiǎn)。

為了增強(qiáng)數(shù)據(jù)的隱私安全，QFL可以將量子加密、差分隱私和SMPC協(xié)議等隱私保護(hù)技術(shù)擴(kuò)展到量子環(huán)境，保護(hù)參與者的隱私，確保模型聚合過(guò)程的隱私安全，防止惡意參與者竊取或竄改數(shù)據(jù)。同時(shí)可以采用糾錯(cuò)碼來(lái)保護(hù)量子糾纏在傳輸過(guò)程中的完整性，確保量子信息的安全傳輸。此外，QFL可以加強(qiáng)量子硬件和軟件的安全性以及制定嚴(yán)格的隱私保護(hù)政策和法規(guī)。這些措施共同構(gòu)成了QFL隱私保護(hù)的綜合體系，為數(shù)據(jù)隱私保護(hù)和安全使用提供了有力保障。

3.2 可信聯(lián)邦學(xué)習(xí)

現(xiàn)有的PPFL方案通常側(cè)重于安全、隱私、性能或效率中的某一方面，缺乏對(duì)四者綜合效果的系統(tǒng)性考慮。同時(shí)數(shù)據(jù)異構(gòu)性、設(shè)備異構(gòu)性及訓(xùn)練架構(gòu)的復(fù)雜性進(jìn)一步加劇了FL在模型精度、訓(xùn)練性能、聚合效率和通信開(kāi)銷等方面的挑戰(zhàn)?？尚怕?lián)邦學(xué)習(xí)（trustedFL）[57]是一種兼顧安全、隱私、性能和效率的系統(tǒng)框架，其內(nèi)部整合了多種隱私保護(hù)聚合機(jī)制，能夠有效保護(hù)參與方的隱私和數(shù)據(jù)安全。

然而，在跨行業(yè)或跨領(lǐng)域的FL中，不同參與方的數(shù)據(jù)格式、隱私需求和計(jì)算能力存在差異?，F(xiàn)有可信聯(lián)邦學(xué)習(xí)框架，如FATE，缺乏對(duì)多樣化隱私需求的靈活適配能力，難以為參與者提供個(gè)性化的隱私保護(hù)策略，可能對(duì)隱私需求較高的參與者無(wú)法提供足夠的隱私保護(hù)。一種可能的解決方法是在現(xiàn)有框架下，設(shè)計(jì)模塊化的隱私保護(hù)框架，允許參與方根據(jù)自己的計(jì)算能力和隱私需求等選擇合適的加密技術(shù)。

3.3 高效PPFL

基于HE和SMPC的 PPAgg 機(jī)制需要提供大量通信與計(jì)算開(kāi)銷。隨著大模型[58]的快速發(fā)展，模型訓(xùn)練參數(shù)的規(guī)模不斷增大，這些加密方法帶來(lái)的開(kāi)銷嚴(yán)重影響了FL系統(tǒng)的性能和效率。因此，如何構(gòu)建一種高效的FL中 PPAgg 機(jī)制已成為推動(dòng)機(jī)器學(xué)習(xí)的挑戰(zhàn)性問(wèn)題。

為減少計(jì)算開(kāi)銷，PPFL需要改進(jìn)現(xiàn)有同態(tài)加密算法，開(kāi)發(fā)兼具安全性與高效性的新型加密機(jī)制，在保護(hù)隱私的同時(shí)減少聚合過(guò)程中的計(jì)算開(kāi)銷。同時(shí)，F(xiàn)L中PPAgg機(jī)制可以針對(duì)FL任務(wù)，設(shè)計(jì)專門(mén)的優(yōu)化算法和數(shù)據(jù)結(jié)構(gòu)，從而減小加解密過(guò)程和聚合過(guò)程中的計(jì)算復(fù)雜度。為降低通信開(kāi)銷，PPFL可采用量化和增量傳輸技術(shù)減少數(shù)據(jù)傳輸量，通過(guò)優(yōu)化數(shù)據(jù)傳輸協(xié)議和網(wǎng)絡(luò)架構(gòu)提升通信效率。此外，F(xiàn)L中PPAgg機(jī)制可以利用基于局部更新和異步聚合的策略，降低節(jié)點(diǎn)間通信頻率與數(shù)據(jù)傳輸量，有效減輕通信負(fù)擔(dān)。上述措施能夠在保障數(shù)據(jù)隱私的同時(shí)實(shí)現(xiàn)可信FL系統(tǒng)性能與效率的全面提升。

3.4 魯棒性PPFL

投毒攻擊的目標(biāo)在于降低FL模型的整體精度，如隨機(jī)攻擊，或通過(guò)操縱局部數(shù)據(jù)和模型引導(dǎo)FL模型輸出指定的目標(biāo)標(biāo)簽，如后門(mén)攻擊?，F(xiàn)有PPFL方案通常通過(guò)添加噪聲或加密手段將模型參數(shù)轉(zhuǎn)換為密文。由于通過(guò)密文難以區(qū)分參與者的數(shù)據(jù)是否可信，所以設(shè)計(jì)一種能夠抵御投毒攻擊的高效FL的PPAgg機(jī)制仍然是一個(gè)極具挑戰(zhàn)性的問(wèn)題。針對(duì)客戶端發(fā)起的投毒攻擊，服務(wù)器通常采用拜占庭容錯(cuò)聚合算法來(lái)檢測(cè)異常數(shù)據(jù)。然而，此類算法通常需要訪問(wèn)用戶數(shù)據(jù)或模型參數(shù)，違背了PPFL隱私保護(hù)的核心原則，因此無(wú)法與PPAgg機(jī)制有效結(jié)合。

針對(duì)投毒攻擊的一種有效解決方法是采用零知識(shí)證明[59]技術(shù)，在不獲取客戶端任何數(shù)據(jù)情況下驗(yàn)證客戶端上傳的數(shù)據(jù)是否處于合理范圍，但其計(jì)算開(kāi)銷較高；另一種方法是采用余弦相似度或馬氏距離在密文上評(píng)估數(shù)據(jù)質(zhì)量，為高質(zhì)量數(shù)據(jù)的參與者分配更高的聚合權(quán)重，以減弱惡意數(shù)據(jù)的負(fù)面影響。

4結(jié)束語(yǔ)

本文對(duì)聯(lián)邦學(xué)習(xí)中的隱私保護(hù)聚合機(jī)制進(jìn)行了系統(tǒng)性分析和總結(jié)，并給出FL的PPAgg未來(lái)面臨的關(guān)鍵挑戰(zhàn)。首先，概述了聯(lián)邦學(xué)習(xí)的概念、工作機(jī)制以及對(duì)FL聚合階段的隱私威脅;然后，系統(tǒng)性闡述 PPAgg 機(jī)制的核心思想，結(jié)合具體應(yīng)用場(chǎng)景，重點(diǎn)分析了典型 PPAgg 機(jī)制的優(yōu)缺點(diǎn)及改進(jìn)措施；最后，結(jié)合6G通信、量子計(jì)算和新型網(wǎng)絡(luò)攻擊技術(shù)的快速發(fā)展，給出FL隱私保護(hù)面臨的主要挑戰(zhàn)和未來(lái)研究的方向。

參考文獻(xiàn)：

[1]McMahanHB，MooreE，RamageD，etal.Communication-efficient learning of deep networks from decentralized data[EB/OL].（2016- 02-17）.https：//arxiv.org/abs/1602.05629.

[2]Gao Demin，Wang Haoyu，Guo Xiuzhen，et al.Federated learning basedon CTC forheterogeneous Internetof Things[J].IEEE InternetofThingsJournal，2023，10（24）：22673-22685.

[3]Chaddad A，Wu Yihang，DesrosiersC.Federated learning for healthcare applications[J]. IEEE Internet of Things Journal，2024，11 （5）： 7339-7358.

[4]Xu Xiangrui，Liu Pengrui，Wang Wei，et al. CGIR： conditional generative instance reconstruction attacks against federated learning [J]. IEEE Trans on Dependable and Secure Computing， 2023，20（6）：4551-4563.

[5].Xie Huiyu，Chen Shuo，Wang Yuanyuan，et al. A privacy-preserving federated learning schemeusing threshold multi-key homomorphic encryption[C]//Proc of the3rd International Conference onCommunication Technology and Information Technology.Piscataway，NJ： IEEE Press，2023：187-192.

[6]Adelipour S，Haeri M. Privacy-preserving model predictive control using secure multi-party computation[C]//Proc of the 31st InternationalConferenceon Electrical Engineering.Piscataway，NJ：IEEE Press，2023：915-919.

[7]WangYuwen，Gao Yu，Lin Xiangjun.Differential privacy hierarchical federated learning method based on privacy budget allocation [C]//Proc of the 9th International Conference on Computer and Communications.Piscataway，NJ：IEEEPress，2023：2177-2181.

[8]邱曉慧，楊波，趙孟晨，等．聯(lián)邦學(xué)習(xí)安全防御與隱私保護(hù)技術(shù) 研究［J]．計(jì)算機(jī)應(yīng)用研究，2022，39（11）：3220-3231.（Qiu Xiaohui，YangBo，Zhao Mengchen，etal.Surveyonfederated learning security defense and privacy protection technology[J]. ApplicationResearchofComputers，2022，39（11）：3220-3231.）

[9]張世文，陳雙，梁偉，等．聯(lián)邦學(xué)習(xí)中的攻擊手段與防御機(jī)制研

究綜述［J]．計(jì)算機(jī)工程與應(yīng)用，2024，60（5）：1-16.（Zhang Shiwen， Chen Shuang，Liang Wei，et al. Survey on attack methods and defense mechanisms in federated learning[J].Computer Engineering and Applications，2024，60（5）：1-16.）

[10］熊世強(qiáng)，何道敬，王振東，等．聯(lián)邦學(xué)習(xí)及其安全與隱私保護(hù)研 究綜述[J]．計(jì)算機(jī)工程，2024，50（5）：1-15.（Xiong Shiqiang， He Daojing， Wang Zhendong，etal.Review of federated learning and its security and privacyprotection[J].Computer Engineering， 2024，50（5）：1-15.）

［11］陳學(xué)斌，任志強(qiáng)，張宏揚(yáng)．聯(lián)邦學(xué)習(xí)中的安全威脅與防御措施綜 述［J]．計(jì)算機(jī)應(yīng)用，2024，44（6）：1663-1672.（Chen Xuebin， Ren Zhiqiang， Zhang Hongyang. Review on security threats and defense measures in federated learning[J]. Journal of Computer Applications，2024，44（6）：1663-1672.）

[12］肖雄，唐卓，肖斌，等．聯(lián)邦學(xué)習(xí)的隱私保護(hù)與安全防御研究綜 述［J]．計(jì)算機(jī)學(xué)報(bào)，2023，46（5）：1019-1044.（Xiao Xiong， Tang Zhuo，Xiao Bin，etal．A survey on privacy and security issues in federated learning[J].Chinese Journal of Computers，2023， 46（5）：1019-1044.）

[13]Xie Qipeng，Jiang Siyang，Jiang Linshan，et al.Eficiency optimizationtechniques in privacy-preserving federated learning with homomorphic encryption：a brief survey [J]. IEEE Internet of Things Journal，2024，11（14）：24569-24580.

[14]HallajiE，Razavi-FarR，SaifM，etal．Decentralized federated learning： a survey on security and privacy[J]. IEEE Trans on Big Data，2024，10（2）：194-213.

[15]Carlini N，Chien S，Nasr M，et al.Membership inference attacks from first principles [C]//Proc of IEEE Symposium on Security and Privacy.Piscataway，NJ： IEEE Press，2022：1897-1914.

[16]BonawitzK，IvanovV，Kreuter B，etal.Practical secure aggregation for privacy-preserving machine learning [C]// Proc of ACM SIGSAC Conference on Computer and Communications Security. New York ： ACM Press，2017： 1175-1191.

[17] Sun Haofeng，Tian Hui，Ni Wanli，et al. On the convergence of hierarchical federatedlearning with gradient quantizationand imperfect transmission [C]//Proc of IEEE International Conference on Acoustics，Speech and Signal Processing.Piscataway，NJ：IEEE Press， 2024： 7245-7249.

[18]BellJH， Bonawitz K A，Gascon A，et al.Secure single-server aggregation with（poly）logarithmic overhead[C]//Proc of ACM SIGSAC Conference on Computer and Communications Security. New York： ACM Press，2020：1253-1269.

[19]Liu Ziyao，Guo Jiale，LamKY，et al.Efficient dropout-resilient aggregation for privacy-preserving machine learning [J]. IEEE Trans on Information Forensics and Security，2022，18：1839-1854.

[20]Zhao Yizhou，Sun Hua. Information theoretic secure aggregation with user dropouts [C]// Proc of IEEE International Symposium on Information Theory.Piscataway，NJ：IEEE Press，2021：1124-1129.

[21] Zhang Siqing，Liao Yong， Zhou Pengyuan.AHSecAgg and TSKG： lightweight secure aggregation for federated learning without compromise[EB/OL].（2023）[2024-08-08].https：//arxiv.org/abs/ 2312. 04937.

[22]Wang Hao， Zhang Yiying，Cheng Yang，et al. A data privacy protection scheme integrating federal learning and secret sharing [C]// Proc of the 5th International Conference on Power，Intelligent Computing and Systems.Piscataway，NJ： IEEE Press，2023： 311-315.

[23]Corigan-Gibbs H，Boneh D.Prio：private，robust，and scalable computation of aggregate statistics [EB/OL].（2017-03- 18）. https：//arxiv.org/abs/1703.06255.

[24]Addanki S，Garbe K，JaffeE，et al.Prio + ： privacy preserving aggregate statistics via Boolean shares[C]//Proc of Security and Cryptography for Networks. Cham： Springer，2022： 516-539.

[25]Rathee M，Shen Conghao，Wagh S，et al. ELSA： secure aggregation for federated learning with malicious actors[C]//Proc of IEEE Symposium on Security and Privacy. Piscataway，NJ： IEEE Press，2023： 1961-1979.

[26]He Lie，Karimireddy SP，Jaggi M. Secure Byzantine-robust machine learning[EB/OL].（2020-10-18）.hps：//arxiv.org/abs/2006. 04747.

[27]Zhang Chi， Ekanut S， Zhen Liangli，et al. Augmented multi-party computation against gradient leakage in federated learning[J]. IEEE Trans on Big Data，2024，10（6）：742-751.

[28]Fang Haokun，Qian Quan. Privacy preserving machine learning with homomorphic encryptionand federated learning[J].Future Internet，2021，13（4）：94-102.

[29]Xu Runhua，Baracaldo N， Zhou Yi，et al.FedV：privacy-preserving federated learning over verticallypartitioned data[C]//Proc of the 14th ACM Workshop on Artificial Intelligence and Security.New York：ACM Press，2021： 181-192.

[30]WibawaF， Catak FO， Kuzlu M，et al. Homomorphic encryption and federated learning based privacy-preserving CNN training： COVID-19 detection use-case[C]//Proc of European Interdisciplinary Cybersecurity Conference. New York：ACM Press，2022：2864-2880.

[31]Li Aojie，Chang Xing，Ma Jingxiao，et al．VTFL：ablockchain based vehicular trustworthy federated learning framework [C]//Proc of the 6th Information Technology，Networking，Electronic and Automation Control Conference.Piscataway，NJ：IEEE Press，2023： 1002-1006.

[32]MohammadiS，Sinaei S，BaladorA，etal.OptimizedPaillier homomorphic encryption in federated learning for speech emotion recognition[C]// Proc of the 47th Annual Computers，Software，and Applications Conference.Piscataway，NJ： IEEE Press，2023：1021- 1022.

[33]Zhang Li，Xu Jianbo，VijayakumarP，et al.Homomorphic encryption-basedprivacy-preserving federatedlearninginIoT-enabled healthcare system [J]. IEEE Trans on Network Science and Engineering，2023，10（5）：2864-2880.

[34]Hijazi NM，Aloqaily M， Guizani M，et al. Secure federated learning with fullyhomomorphic encryption for IoT communications[J]. IEEE Internet of Things Journal，2024，11（3）： 4289-4300.

[35]Ling Xinpeng，F(xiàn)u Jie，Wang Kuncan，et al. FedFDP： fairness-aware federated learning with diffrential privacy[EB/OL].（2024-12- 02）.https：//arxiv. org/abs/2402.16028.

[36]Vinita L J，Vetriselvi V.SEAFL：transforming federated learning for enhanced privacy in 6G-enabled vehicles[C]//Proc of Annual International Conference onEmerging Research Areas：International Conference on Intellgent Systems.Piscataway，NJ： IEEE Press， 2023： 1-8.

[37]Zhao Yang，Zhao Jun，Yang Mengmeng，et al．Local differential privacy-based federated learning for Internet of Things[J].IEEE Internet of Things Journal，2021，8（11）： 8836-8853.

[38]KimM，Gunlu O，SchaeferRF.Federated learningwith local differential privacy：trade-offs between privacy，utility，and communication [C]/1 Proc of IEEE International Conference on Acoustics， Speech and Signal Processing.Piscataway，NJ：IEEE Press，2021： 2650-2654.

[39]He Zaobo，Wang Lintao，Cai Zhipeng.Clustered federated learning with adaptive local diferential privacy on heterogeneous IoTdata[J]. IEEE Internet ol Inings Journal，2024，11（1）：137-146.

[40] Sun Kangkang，Xu Hansong，Hua Kun，et al. Joint top-k sparsificationand shuffle model for communication-privacy-accuracy tradeoffs in federated-learning-basedIoV[J]. IEEE Internetof ThingsJournal，2024，11（11）：19721-19735.

[41]Letafati M，Otoum S.Global differential privacy for distributed metaverse healthcare systems[C]//Proc of International Conferenceon Intelligent Metaverse Technologiesamp; Applications.Piscataway，NJ： IEEE Press，2023：01-08.

[42］羅福林，陳云芳，陳序，等．基于區(qū)塊鏈的聯(lián)邦學(xué)習(xí)模型聚合方 案［J].計(jì)算機(jī)應(yīng)用研究，2024，41（8）：2277-2283.（LuoFulin，Chen Yunfang，Chen Xu，et al. Federated learning model aggregation scheme based on blockchain [J].Application Research of Computers，2024，41（8）：2277-2283.）

[43]Kumar SS，JoshithTS，LokeshDD，et al.Privacy-preserving and verifiable decentralized federated learning[C]//Procofthe5th International Conference on Energy，Power and Environment：Towards Flexible Green Energy Technologies. Piscataway，NJ： IEEE Press， 2023： 1-6.

[44] Shu Zixuan， Zhao Haitao，Xu Bo，et al. Privacy-preserving federated learning framework via blockchain and committee mechanism[C]// Procof the 23rd International Conference on Communication Technology.Piscataway，NJ：IEEE Press，2023：1269-1274.

[45]KeshavarzkalhoriG，Pérez-SolaC，Navarro-ArribasG，etal．Federify：a verifiable federated learning scheme based on zkSNARKs and blockchain[J].IEEEAccess，2023，12：3240-3255.

[46]Li Yong，LingHaichao，Ren Xianglin，etal.Privacy-preserving swarmlearning based on lightweight homomorphic encryptionand blockchain technology[C]// Proc of the 5th Eurasia Conference on IoT，Communication and Engineering. Piscataway，NJ： IEEE Press， 2023：692-697.

[47]Ma Haiying，Huang Shuanglong，Guo Jiale，etal．Blockchain-based privacy-preserving federated learning for mobile crowdsourcing[J]. IEEE Internet of Things Journal，2024，11（8）：13884-13899.

[48]ZhangWeishan，Lu Qinghua，Yu Qiuyu，et al.Blockchain-based federated learningfordevicefailure detectioninindustrial IoT[J]. IEEE Internet of Things Journal，2021，8（7）：5926-5937.

[49]Kang Jiawen，Xiong Zehui，NiyatoD，etal.Incentivemechanism for reliable federated learning：a joint optimization approach tocombining reputation and contract theory［J]. IEEE Internet of Things Journal，2019，6（6）：10700-10714.

[50]Ma Xuyang，Xu Du.TORR：a lightweight blockchain for decentralized federated learning[J].IEEE Internet of ThingsJournal， 2024，11（1）：1028-1040.

[51]QueyrutS，SchiavoniV，F(xiàn)elberP.Mitigatingadversarial attacks in federated learning with trusted execution environments[C]//Procof the 43rd International Conference on Distributed Computing Systems. Piscataway，NJ：IEEEPress，2023：626-637.

[52]KalapaakingAP，KhalilI，RahmanMS，etal.Blockchain-based federated learning with secure aggregation in trusted execution environment forInternet-of-Things[J]. IEEE Trans on Industrial Informatics，2023，19（2）：1703-1714.

[53]Kato F，Cao Yang，Yoshikawa M.Olive：oblivious federated learning on trusted execution environment against the risk of sparsification [EB/OL]. （2023-06-19）.htps：//arxiv.org/abs/2202.07165.

[54]Xu Tianxing，Zhu Konglin，Andrzejak A，et al.Distributed learning intrusted executionenvironment：acase study of federated learningin SGX [C]// Proc of the 7th IEEE International Conference on Network Intelligence and Digital Content.Piscataway，NJ：IEEE Press， 2021：450-454.

[55]Sehag A，Jayasankar V，Poojitha SD，et al．A federated learning approach for disease prediction and remedies recommendation[C]// Proc of the 9th International Conference for Convergence in Technology. Piscataway，NJ：IEEE Press，2O24：1-6.

[56]Wang T，Tseng H H，Yoo S. Quantum federated learning with quantum networks[C]//Proc of IEEE International Conferenceon Acoustics，Speech and Signal Processing. Piscataway，NJ： IEEE Press，2024：13401-13405.

[57]Zhang Xiaojin，Gu Hanlin，F(xiàn)an Lixin，et al.No free lunch theorem forsecurityand utility in federated learning[EB/OL].（2022-09- 05）.https：//arxiv.org/abs/2203.05816.

[58]PesterA，TammaaA，Gutl C，etal.Conversational agents，virtual worlds，and beyond：a review of large language models enabling immersive learning[C]//Proc of IEEE Global Engineering Education Conference.Piscataway，NJ：IEEE Press，2O24：1-6.

[59]Lycklama H，BurkhalterL，ViandA，etal.RoFL：robustnessof secure federated learning[C]// Proc of IEEE Symposium on Security and Privacy.Piscataway，NJ：IEEE Press，2023：453-476.