劉曉遷 許 飛 馬 卓 袁 明,2 錢漢偉,3

1(江蘇警官學(xué)院計(jì)算機(jī)信息與網(wǎng)絡(luò)安全系 南京 210031)

2(南京郵電大學(xué)計(jì)算機(jī)學(xué)院 南京 210023)

3(南京大學(xué)軟件學(xué)院 南京 210023)

聯(lián)邦學(xué)習(xí)的概念最早由谷歌提出,用于解決安卓設(shè)備的本地模型更新問(wèn)題.在聯(lián)邦學(xué)習(xí)中,多個(gè)數(shù)據(jù)持有方將數(shù)據(jù)保留在本地,僅在協(xié)同訓(xùn)練過(guò)程中交換訓(xùn)練參數(shù)[1].McMahan等人[2]的研究證明,分布式訓(xùn)練的聯(lián)邦學(xué)習(xí)模型能夠取得與集中式學(xué)習(xí)相近或更好的結(jié)果.聯(lián)邦學(xué)習(xí)基于分散計(jì)算范式收集與融合海量數(shù)據(jù)進(jìn)行模型訓(xùn)練,避免直接將數(shù)據(jù)暴露給不確定的第三方,對(duì)用戶數(shù)據(jù)隱私起到很大的保護(hù)作用.然而,聯(lián)邦學(xué)習(xí)模型本身存在一定的脆弱性,同時(shí)惡意攻擊者普遍存在,因此,聯(lián)邦學(xué)習(xí)中存在大量的隱私泄露風(fēng)險(xiǎn)[3].

近年來(lái),聯(lián)邦學(xué)習(xí)中的隱私保護(hù)技術(shù)研究取得了一定的成果.目前,隱私保護(hù)研究主要以經(jīng)典的加密或擾動(dòng)技術(shù)為基礎(chǔ),例如以差分隱私(differential privacy)為代表的數(shù)據(jù)擾動(dòng)法[4]、以同態(tài)加密(homomorphic encryption)和安全多方計(jì)算(secure multi-party computation)為代表的數(shù)據(jù)加密法等[5-6].隱私保護(hù)的應(yīng)用場(chǎng)景從最初的關(guān)系型數(shù)據(jù)發(fā)布逐漸發(fā)展到較為復(fù)雜的社交網(wǎng)絡(luò)、電子商務(wù)等領(lǐng)域[7-9].

Mothukuri等人[10]提供了聯(lián)邦學(xué)習(xí)安全攻擊和隱私攻擊方面的全面研究,并針對(duì)2類攻擊總結(jié)了對(duì)應(yīng)的保護(hù)措施.但文中提到的隱私威脅較少,更專注于安全攻擊的研究,與本文側(cè)重點(diǎn)不同.周俊等人[11]從聯(lián)邦學(xué)習(xí)模型訓(xùn)練的主體出發(fā),將最新的保護(hù)技術(shù)按參與方和服務(wù)器的關(guān)系進(jìn)行劃分.與之相比,目前的研究更多地是基于隱私保護(hù)手段的不同,將聯(lián)邦學(xué)習(xí)的隱私保護(hù)技術(shù)進(jìn)行劃分[12-13].在湯凌韜等人[14-15]的研究中,依據(jù)作用階段、防護(hù)策略和技術(shù)手段的不同,將聯(lián)邦學(xué)習(xí)中的隱私保護(hù)技術(shù)分為6大類,主要包括安全聚合機(jī)制、安全多方機(jī)制、同態(tài)加密機(jī)制、可信硬件機(jī)制、安全預(yù)測(cè)機(jī)制、模型泛化機(jī)制.

本文從聯(lián)邦學(xué)習(xí)的安全現(xiàn)狀及現(xiàn)有隱私保護(hù)技術(shù)研究成果入手,通過(guò)對(duì)聯(lián)邦學(xué)習(xí)中的隱私泄露原因進(jìn)行分析,揭示了易受攻擊的關(guān)鍵環(huán)節(jié)以及潛在的隱私泄露風(fēng)險(xiǎn).同時(shí),對(duì)國(guó)內(nèi)外聯(lián)邦學(xué)習(xí)隱私保護(hù)研究的現(xiàn)狀進(jìn)行總結(jié),從攻擊與防御的角度歸納了聯(lián)邦學(xué)習(xí)所面臨的各種攻擊方式及對(duì)應(yīng)防御方法.本文還探索了未來(lái)可能的發(fā)展方向,為研究者提供了有益的參考,以有效保護(hù)用戶的隱私安全.

1 聯(lián)邦學(xué)習(xí)中的隱私保護(hù)研究現(xiàn)狀

在聯(lián)邦學(xué)習(xí)中,共有n個(gè)參與方{F1,F2,…,Fn},每個(gè)參與方Fi都持有各自的本地?cái)?shù)據(jù)集{D1,D2,…,Dn},各數(shù)據(jù)持有方不共享本地?cái)?shù)據(jù)Di而僅共享運(yùn)算參數(shù),通過(guò)多方協(xié)作最終獲得一個(gè)全局聯(lián)邦學(xué)習(xí)模型[16].作為對(duì)比,傳統(tǒng)集中式機(jī)器學(xué)習(xí)模型則是將各用戶端的數(shù)據(jù)收集起來(lái)形成一個(gè)大數(shù)據(jù)集進(jìn)行訓(xùn)練.令MFED表示聯(lián)邦學(xué)習(xí)模型的精度、MSUM為集中式機(jī)器學(xué)習(xí)模型的精度.稱聯(lián)邦學(xué)習(xí)模型具有δ的精度損失,如果存在非負(fù)實(shí)數(shù)δ,使得以下不等式成立:

|MFED-MSUM|<δ.

通常,聯(lián)邦學(xué)習(xí)獲得的全局模型表現(xiàn)沒(méi)有聚合模型好,是因?yàn)樵谟?xùn)練過(guò)程中不可避免地存在精度損失.但聯(lián)邦學(xué)習(xí)在隱私性和運(yùn)算效率等方面要好于傳統(tǒng)集中式機(jī)器學(xué)習(xí).

1.1 聯(lián)邦學(xué)習(xí)中隱私泄露原因分析

雖然聯(lián)邦學(xué)習(xí)中數(shù)據(jù)保留在本地,具有更好的隱私性,但是由于模型自身的脆弱性和攻擊的頻繁出現(xiàn),聯(lián)邦學(xué)習(xí)依然面臨著隱私泄露的風(fēng)險(xiǎn).了解隱私泄露的原因有助于研究者針對(duì)性展開隱私保護(hù)并找到未來(lái)發(fā)展方向.聯(lián)邦學(xué)習(xí)隱私泄露的原因主要包括以下幾個(gè)方面:1)數(shù)據(jù)共享不當(dāng).聯(lián)邦學(xué)習(xí)中參與共享的一方數(shù)據(jù)安全措施不到位可能導(dǎo)致整個(gè)聯(lián)邦學(xué)習(xí)系統(tǒng)的數(shù)據(jù)泄露.2)不可靠參與方.半誠(chéng)實(shí)或惡意客戶端極易造成隱私泄露.3)人為因素.人為失誤也有可能導(dǎo)致數(shù)據(jù)泄露給惡意參與方.4)未知的安全漏洞.聯(lián)邦學(xué)習(xí)系統(tǒng)中可能存在未知的安全漏洞.5)聯(lián)邦學(xué)習(xí)中的通信信道不安全,容易被黑客攻擊而導(dǎo)致數(shù)據(jù)泄露.6)模型攻擊.即使聯(lián)邦學(xué)習(xí)的過(guò)程中參數(shù)沒(méi)有泄露,攻擊者也可以通過(guò)攻擊發(fā)布的模型獲取敏感數(shù)據(jù).

1.2 聯(lián)邦學(xué)習(xí)中的隱私攻擊分類

本文將現(xiàn)有的隱私攻擊依照攻擊角度分為外部攻擊和內(nèi)部攻擊2大類.外部攻擊是由外部發(fā)起的,例如惡意黑客竊聽服務(wù)器與客戶端之間的通信信道;內(nèi)部攻擊則是由內(nèi)部人員發(fā)起的攻擊,可能出現(xiàn)在服務(wù)器或任意客戶端[17].

1.2.1 外部攻擊

外部攻擊包含模型反演攻擊、外部重建攻擊和外部推斷攻擊3類:

模型反演攻擊是指惡意第三方通過(guò)訪問(wèn)發(fā)布的模型API接口,借助一系列查詢操作分析模型的預(yù)測(cè)輸出,借此推測(cè)模型的訓(xùn)練數(shù)據(jù)或者測(cè)試數(shù)據(jù)的信息[18].在對(duì)給定模型的白盒訪問(wèn)中,Fredrikson等人[19]指出,對(duì)決策樹的模型反演攻擊可以識(shí)別出敏感變量,而且沒(méi)有假陽(yáng)性.

外部重建攻擊是指攻擊者依據(jù)模型輸出或者參數(shù)重建整個(gè)訓(xùn)練樣本.攻擊者通過(guò)持續(xù)改變輸入使目標(biāo)向預(yù)定輸出靠攏.Fredrikson等人[20]設(shè)計(jì)了黑盒模式下的外部攻擊實(shí)驗(yàn),該算法利用發(fā)布的模型和一些用戶的非敏感信息恢復(fù)出敏感基因信息.此外,Fredrikson等人[19]又設(shè)計(jì)了白盒模式下的外部攻擊實(shí)驗(yàn),攻擊者基于發(fā)布的模型參數(shù)進(jìn)行深度學(xué)習(xí)模型訓(xùn)練,并成功恢復(fù)了訓(xùn)練集中的全部特征.

外部推斷攻擊中,攻擊者通過(guò)觀測(cè)模型的輸出結(jié)果預(yù)測(cè)某條記錄是否在這個(gè)數(shù)據(jù)集里,例如某用戶在艾滋病治療記錄中,就可能暴露該用戶的患病隱私.Shokri等人[21]在黑盒訪問(wèn)的基礎(chǔ)上設(shè)計(jì)了外部成員推斷攻擊.該實(shí)驗(yàn)中,算法基于影子模型的預(yù)測(cè)結(jié)果,設(shè)計(jì)近似樣本是否屬于訓(xùn)練集的攻擊分類器進(jìn)行訓(xùn)練.

1.2.2 內(nèi)部攻擊

內(nèi)部攻擊主要包含投毒攻擊、內(nèi)部重建攻擊和內(nèi)部推斷攻擊3類.

投毒攻擊主要包含數(shù)據(jù)投毒和模型投毒等手段[22-23],如圖1所示.在聯(lián)邦學(xué)習(xí)中,惡意客戶端在模型訓(xùn)練階段很可能將被篡改的數(shù)據(jù)或權(quán)重發(fā)送給服務(wù)器,從而影響全局模型的準(zhǔn)確性.Jiang等人[24]設(shè)計(jì)了一種攻擊方式,通過(guò)注入錯(cuò)誤樣本誘使學(xué)習(xí)模型的輸出值近似于期待的結(jié)果,破壞模型的可用性.模型投毒是指攻擊者通過(guò)傳輸惡意的本地模型參數(shù)直接對(duì)全局模型產(chǎn)生影響.Bagdasaryan等人[25]的實(shí)驗(yàn)表明模型投毒比數(shù)據(jù)投毒更具有破壞力,只要有一個(gè)惡意參與方發(fā)送錯(cuò)誤參數(shù)就可以破壞全局模型.

圖1 數(shù)據(jù)投毒和模型投毒

內(nèi)部重建攻擊的主要目的是恢復(fù)中間計(jì)算結(jié)果背后特定訓(xùn)練樣本中的敏感信息,分為類別重建和樣本重建2種形式.在類別重建中,攻擊者的目標(biāo)是通過(guò)重建某種類別的通用樣本模式,誘導(dǎo)模型暴露出以往未知的敏感信息.Hitaj等人[26]在客戶端-服務(wù)器架構(gòu)下,基于生成對(duì)抗網(wǎng)絡(luò)(generative adversarial networks, GAN)設(shè)計(jì)了一種主動(dòng)重建攻擊.惡意參與方傳輸錯(cuò)誤模型參數(shù)給中央服務(wù)器,誘使其他誠(chéng)實(shí)參與方暴露本地信息.Wang等人[27]提出了一種mGAN-AI攻擊框架,導(dǎo)致聯(lián)邦學(xué)習(xí)的用戶級(jí)隱私泄露.

作為對(duì)比,樣本重建比類別重建更加精確,可以重建出某個(gè)類別中的多個(gè)樣本,獲取的敏感信息更多.對(duì)此,Zhu等人[28]提出了一種竊取梯度并重構(gòu)訓(xùn)練數(shù)據(jù)的深度泄露算法(deep leakage from gradients, DLG),攻擊者隨機(jī)生成1對(duì)數(shù)據(jù)和標(biāo)簽參與模型運(yùn)算,通過(guò)對(duì)輸入值和標(biāo)簽的有限迭代優(yōu)化,使得最終獲得的梯度與真實(shí)梯度值之間的差距最小化.Zhao等人[29]對(duì)DLG算法進(jìn)行改進(jìn),提出了iDLG(improved DLG)算法,基于交叉熵?fù)p失計(jì)算輸出標(biāo)簽概率與前一層梯度數(shù)值之間的關(guān)系,進(jìn)而判別標(biāo)簽的真實(shí)值.

根據(jù)攻擊的對(duì)象不同,內(nèi)部推斷攻擊可分為屬性推斷攻擊和成員推斷攻擊.屬性推斷攻擊是指敵手通過(guò)分析聯(lián)邦學(xué)習(xí)模型訓(xùn)練過(guò)程中的周期性更新,推斷目標(biāo)終端的訓(xùn)練集中是否存在某敏感屬性.在Melis等人[30]的工作中,假設(shè)敵手是中央服務(wù)器,攻擊者借助輔助集和全局參數(shù)計(jì)算生成包含目標(biāo)屬性和不包含目標(biāo)屬性的梯度更新向量,借此訓(xùn)練屬性分類器.Zhang等人[31]設(shè)計(jì)了黑盒狀態(tài)下的推斷攻擊,攻擊者在不參與訓(xùn)練的情況下,通過(guò)已訓(xùn)練好的模型也可以推斷出目標(biāo)樣本中的敏感屬性,進(jìn)而造成隱私泄露.

成員推斷攻擊是一種推斷訓(xùn)練數(shù)據(jù)集細(xì)節(jié)的攻擊,通過(guò)檢查某數(shù)據(jù)是否存在于訓(xùn)練集上來(lái)竊取信息.Nasr等人[32]設(shè)計(jì)了白盒模式下的成員推斷攻擊,其中半誠(chéng)實(shí)參與方主要觀察成員與非成員在模型上的梯度差異.而惡意參與方則能夠依據(jù)梯度變化推斷出該數(shù)據(jù)是否為成員數(shù)據(jù).

2 聯(lián)邦學(xué)習(xí)中的隱私保護(hù)技術(shù)

隱私保護(hù)技術(shù)是防止敏感信息泄露的核心技術(shù),能為隱私數(shù)據(jù)提供嚴(yán)格的量化保護(hù).隨著研究的不斷深入,隱私保護(hù)手段也逐漸多樣化,為了更好地和前文的攻擊策略進(jìn)行對(duì)應(yīng),本文將隱私保護(hù)手段分為2類,即數(shù)據(jù)擾動(dòng)和過(guò)程加密.

其中,數(shù)據(jù)擾動(dòng)保護(hù)的是隱私數(shù)據(jù)本身,在一定程度上能夠防御內(nèi)部攻擊者對(duì)數(shù)據(jù)的竊取和推斷;而過(guò)程加密則是對(duì)數(shù)據(jù)傳輸?shù)耐ㄐ判诺肋M(jìn)行保護(hù),使得外部攻擊者不易識(shí)別敏感信息.

2.1 數(shù)據(jù)擾動(dòng)

差分隱私是當(dāng)前通過(guò)數(shù)據(jù)擾動(dòng)實(shí)現(xiàn)隱私保護(hù)的有效手段[33].用戶原本易識(shí)別的屬性記錄經(jīng)過(guò)擾動(dòng)會(huì)喪失獨(dú)特性,從而隱藏在大量的記錄中不被發(fā)現(xiàn).根據(jù)差分隱私在聯(lián)邦學(xué)習(xí)框架中的使用位置,差分隱私可以劃分為中心化差分隱私、本地化差分隱私和分布式差分隱私.

2.1.1 中心化差分隱私

中心化差分隱私借助可信第三方,通過(guò)集中式數(shù)據(jù)存儲(chǔ)與擾動(dòng)實(shí)現(xiàn)隱私保護(hù)[34],其架構(gòu)如圖2所示:

圖2 中心化差分隱私

在聯(lián)邦學(xué)習(xí)的客戶端-服務(wù)器架構(gòu)中,通過(guò)添加拉普拉斯噪聲、高斯噪聲或指數(shù)機(jī)制等方式隱藏?cái)?shù)據(jù)節(jié)點(diǎn).中心化差分隱私方案能夠?qū)崿F(xiàn)用戶級(jí)隱私,也就是說(shuō)不會(huì)泄露參與聯(lián)邦學(xué)習(xí)模型訓(xùn)練的用戶.然而,這種機(jī)制要求必須存在可信的中央服務(wù)器,較為理想化.

2.1.2 本地化差分隱私

當(dāng)不存在可信第三方或中央服務(wù)器時(shí),隱私保護(hù)的訓(xùn)練過(guò)程完全在客戶端本地實(shí)現(xiàn),即本地化差分隱私,其架構(gòu)如圖3所示[34-35].本地化差分隱私?jīng)]有中心服務(wù)器的參與,用戶掌控自身數(shù)據(jù)的使用與發(fā)布,利于實(shí)現(xiàn)去中心化聯(lián)邦學(xué)習(xí).

圖3 本地化差分隱私

但本地化差分隱私保護(hù)中需求的樣本量極其龐大,為了提高訓(xùn)練準(zhǔn)確度,往往需要收集海量樣本數(shù)據(jù)才能實(shí)現(xiàn).此外,維災(zāi)難導(dǎo)致本地化差分隱私很難平衡模型可用性、高效性與隱私性.

2.1.3 分布式差分隱私

分布式差分隱私設(shè)置若干個(gè)可信中間節(jié)點(diǎn),并預(yù)先對(duì)部分用戶數(shù)據(jù)進(jìn)行聚合和擾動(dòng),傳輸給服務(wù)器的是加密處理的脫敏數(shù)據(jù).王雷霞等人[36]提出一種安全混洗框架,該框架將加密運(yùn)算盡量剝離開客戶端,保證較少的本地資源消耗,轉(zhuǎn)而設(shè)計(jì)客戶端與服務(wù)器端之間的匿名化混洗步驟,保證基于少量噪聲即實(shí)現(xiàn)較高級(jí)別的隱私保護(hù).

分布式差分隱私解決方案兼具了本地化與中心化差分隱私的優(yōu)勢(shì),既不需要可信服務(wù)器,也無(wú)需在本地添加過(guò)多噪聲.但分布式差分隱私本身也有缺陷,即通信開銷高且需要可信節(jié)點(diǎn).

以上3種方法優(yōu)缺點(diǎn)對(duì)比如表1所示:

表1 差分隱私類別比較

隱私保護(hù)技術(shù)單獨(dú)使用得很少,現(xiàn)在更多的是混合式方法.Truex等人[37]利用差分隱私和安全多方計(jì)算訓(xùn)練出可以抵御推理攻擊的學(xué)習(xí)模型,在2種隱私保護(hù)技術(shù)優(yōu)勢(shì)的疊加下聯(lián)邦學(xué)習(xí)的隱私威脅大大降低.

2.2 過(guò)程加密

過(guò)程加密主要針對(duì)外部攻擊對(duì)通信信道進(jìn)行保護(hù).較為常用的過(guò)程加密技術(shù)包括同態(tài)加密、秘密共享和可信執(zhí)行環(huán)境.

2.2.1 同態(tài)加密

同態(tài)加密是指針對(duì)加密后的密文數(shù)據(jù)進(jìn)行運(yùn)算,該計(jì)算結(jié)果和原始數(shù)據(jù)經(jīng)過(guò)特定計(jì)算后得到的結(jié)果一致[38].同態(tài)加密過(guò)程如圖4所示:

圖4 同態(tài)加密機(jī)制

同態(tài)加密不同于一般加密方案,一般的加密方案注重?cái)?shù)據(jù)存儲(chǔ)安全,密文結(jié)果需要妥善保管,以免導(dǎo)致解密失敗.而同態(tài)加密的側(cè)重點(diǎn)在于數(shù)據(jù)處理安全,它確保原始數(shù)據(jù)機(jī)密信息不被泄露,同時(shí)又能保證密文運(yùn)算結(jié)果的有效性.

2.2.2 秘密共享

秘密共享是一種秘密分割存儲(chǔ)技術(shù),是安全多方計(jì)算中的重要機(jī)制,其目的是抵御多方合謀與入侵.秘密共享的核心思想是通過(guò)特定預(yù)算,將秘密拆分,并將其分發(fā)給各參與方.常見的秘密分享方案有Shamir方案和Blakley方案等[39-40],最常使用的是門限秘密共享.

將秘密S分成n個(gè)子秘密并分配給n個(gè)參與方,只有集齊k個(gè)及以上子秘密才能還原出原始秘密S.Bonawitz等人[41]基于門限秘密共享設(shè)計(jì)了一種安全聚合方案,該方案在誠(chéng)實(shí)且好奇的服務(wù)器背景下保證各參與方的數(shù)據(jù)安全.同時(shí),計(jì)算量和通信開銷也不高,特別適合聯(lián)邦學(xué)習(xí)中的協(xié)同訓(xùn)練,但是該方案無(wú)法抵御共謀攻擊.

對(duì)比以上2種手段,同態(tài)加密運(yùn)算成本高,秘密共享在一定程度上可以彌補(bǔ)上述不足,但秘密共享需要進(jìn)行多次通信,加劇了聯(lián)邦學(xué)習(xí)的通信負(fù)擔(dān).

2.2.3 可信執(zhí)行環(huán)境

可信執(zhí)行環(huán)境(trusted execution environment, TEE)是一種提供可信執(zhí)行環(huán)境的安全技術(shù),該環(huán)境具備完整性、保密性和可驗(yàn)證性[42],具有計(jì)算和存儲(chǔ)功能.TEE的使用場(chǎng)景有很多,其中最常見的是數(shù)字版權(quán)管理、金融支付、移動(dòng)支付等方面.在聯(lián)邦學(xué)習(xí)中,TEE技術(shù)被廣泛應(yīng)用于保護(hù)用戶數(shù)據(jù)隱私,但是TEE對(duì)底層硬件設(shè)施的依賴性較高,更新升級(jí)時(shí)都需要同步到軟硬件,不同廠商的TEE技術(shù)各異,行業(yè)標(biāo)準(zhǔn)也不一致,很難統(tǒng)一管理.

表2中,本文對(duì)比了以上列舉的幾種隱私保護(hù)手段.差分隱私計(jì)算復(fù)雜度低,通過(guò)擾動(dòng)去除記錄識(shí)別性,因此可以針對(duì)性地防御成員推斷攻擊.安全多方計(jì)算除了數(shù)據(jù)傳輸,還有大量的計(jì)算和操作需要在參與方之間協(xié)同完成,因此有更多額外通信開銷.同態(tài)加密是一個(gè)較好的不共享原始數(shù)據(jù)也能進(jìn)行數(shù)據(jù)分析的解決方案,但是由于同態(tài)加密需要額外計(jì)算,且存儲(chǔ)開銷大,使得目前階段同態(tài)加密廣泛采用的可行性并不高.

表2 隱私保護(hù)技術(shù)對(duì)比

從實(shí)際應(yīng)用角度來(lái)說(shuō),各種隱私保護(hù)手段都有其局限性,需要在各個(gè)維度之間進(jìn)行平衡.差分隱私需要在隱私保護(hù)和數(shù)據(jù)可用性之間進(jìn)行平衡;同態(tài)加密需要在加密和解密操作的效率和安全性之間進(jìn)行平衡;安全多方計(jì)算需要在參與方之間的信任關(guān)系和安全性之間進(jìn)行平衡;可信執(zhí)行環(huán)境需要在執(zhí)行效率和安全性之間進(jìn)行平衡.

3 結(jié)論與展望

本文回顧了近年來(lái)研究者對(duì)聯(lián)邦學(xué)習(xí)隱私保護(hù)的研究成果,探究聯(lián)邦學(xué)習(xí)中隱私泄露的原因以及常見的攻擊表現(xiàn)形式.針對(duì)攻擊特點(diǎn)進(jìn)行分類,并針對(duì)性地提出隱私保護(hù)機(jī)制,歸納各類隱私保護(hù)技術(shù)的優(yōu)缺點(diǎn),為隱私保護(hù)研究提供脈絡(luò)梳理.同時(shí),歸納了以下聯(lián)邦學(xué)習(xí)隱私保護(hù)具有前景的研究方向:

1) 平衡隱私保護(hù)和成本代價(jià).每一種隱私保護(hù)技術(shù)都有自己的額外成本和影響,算法需要在隱私性、準(zhǔn)確性以及運(yùn)算效率之間相互權(quán)衡.探尋兼具隱私性、準(zhǔn)確性和高效性的聯(lián)邦學(xué)習(xí)算法是未來(lái)發(fā)展中的一個(gè)重要目標(biāo).構(gòu)建量化體系,依據(jù)隱私攻擊的程度量化隱私保護(hù)的程度,防止出現(xiàn)防御不足或過(guò)度的情況,保證隱私性和可用性相統(tǒng)一[43],同時(shí)考慮聯(lián)邦學(xué)習(xí)模型的公平性[44].

2) 聯(lián)邦學(xué)習(xí)的隱私保護(hù)標(biāo)準(zhǔn)化.當(dāng)前聯(lián)邦學(xué)習(xí)隱私保護(hù)中亟需建立隱私泄露和隱私保護(hù)程度的度量標(biāo)準(zhǔn):一方面,整體的安全性取決于最薄弱的一個(gè)環(huán)節(jié),聯(lián)邦學(xué)習(xí)數(shù)據(jù)隱私泄露常常來(lái)自參與訓(xùn)練的惡意攻擊者;另一方面,聯(lián)邦學(xué)習(xí)隱私保護(hù)評(píng)估標(biāo)準(zhǔn)的缺失導(dǎo)致研究人員難以準(zhǔn)確評(píng)估隱私保護(hù)設(shè)計(jì)方案的實(shí)際效果,用戶也無(wú)法了解自身在系統(tǒng)中所受到的保護(hù)程度.因此,亟需在工業(yè)界和學(xué)術(shù)界從整體和系統(tǒng)角度進(jìn)行隱私保護(hù)衡量標(biāo)準(zhǔn)的規(guī)范與定義.

3) 結(jié)合區(qū)塊鏈等新技術(shù)對(duì)聯(lián)邦學(xué)習(xí)分布式架構(gòu)進(jìn)行演化.例如,Warnat-Herresthal等人[45]結(jié)合邊緣計(jì)算和群體學(xué)習(xí)(swarm learning)方法,實(shí)現(xiàn)了隱私保護(hù)下不同醫(yī)療機(jī)構(gòu)之間數(shù)據(jù)的整合.該架構(gòu)能夠保證網(wǎng)絡(luò)中成員的安全、透明和公平加入,不再需要中心服務(wù)器.顯然,去中心化架構(gòu)和高級(jí)別安全保障進(jìn)一步保證了數(shù)據(jù)的隱私安全.