摘 要：針對目前聯(lián)邦學習可驗證聚合方案存在用戶通信開銷過大、無法容忍用戶退出以及用戶退出導致驗證效率降低的問題，提出了一種基于線性同態(tài)hash和秘密分享的高效可驗證聚合方案（LHSSEVA）。首先，采用線性同態(tài)hash和同態(tài)承諾實現(xiàn)聚合結果的可驗證性，保證驗證信息通信開銷與模型維度無關，同時防止服務器通過偽造聚合hash欺騙用戶接受錯誤聚合結果；然后基于橢圓曲線離散對數(shù)問題及其同態(tài)性保護輸入的隱私，同時保證驗證的正確性；接著通過融入秘密分享使驗證過程可以容忍用戶隨時退出，并確保用戶退出不會導致驗證效率降低；最后理論分析證明了方案的正確性、可靠性和隱私性。仿真實驗結果表明了方案的可行性和高效性，與VeriFL方案相比，具有更低的計算和通信開銷，特別是存在用戶退出時，顯著提高了驗證效率，具有更強的退出容忍性。

關鍵詞： 聯(lián)邦學習； 隱私保護； 可驗證； 線性同態(tài)hash； 秘密分享； 容忍退出

中圖分類號： TP309.2 文獻標志碼： A 文章編號： 1001-3695（2025）02-038-0599-07

doi：10.19734/j.issn.1001-3695.2024.03.0213

Efficient verifiable aggregation scheme based on linear

homomorphic hash and secret sharing

Gao Qi， Sun Yi^’， Wang Youhe， Li Yujie

（School of Cryptography Engineering， Information Engineering University， Zhengzhou 450001， China）

Abstract：To address the problems that the current federated learning verifiable aggregation scheme has excessive user communication overhead，cannot tolerate user dropout，and user dropout results in lower verification efficiency，this paper proposed an efficient verifiable aggregation scheme based on linear homomorphic hash and secret sharing（EVA-LHHSS）.Firstly，EVA-LHHSS utilised linear homomorphic hash and homomorphic commitment to achieve verifiability of the aggregation results，and ensured that the verification information communication overhead was independent of the model dimensions，while preventing the server from deceiving the user into accepting incorrect aggregation results by forging the aggregation hash.Then，based on the elliptic curve discrete logarithm problem and its homomorphism，it protected the privacy of the inputs，and ensured that the verification was correct.Then，by incorporating secret sharing it made the verification process tolerant of user dropout at any time and ensured that user dropout did not result in a reduction of verification efficiency.Finally，theoretical analysis proved the correctness，reliability and privacy of the scheme.Simulation experiments show the feasibility and efficiency of the scheme，with lower computation and communication overheads compared to the VeriFL scheme，especially in the presence of user dropout，which significantly improves the verification efficiency and has a stronger dropout tolerance.

Key words：federated learning; privacy protection; verifiable; linear homomorphic hash; secret sharing; tolerate dropout

0 引言

隨著各種數(shù)據(jù)隱私保護政策的出臺，聯(lián)邦學習^［1］作為一種分布式機器學習框架，由于其數(shù)據(jù)不出本地的優(yōu)點，在各個領域被廣泛研究。聯(lián)邦學習通過一個中心服務器協(xié)調(diào)各個參與方以交換模型參數(shù)的方式共同訓練一個模型，相比于集中數(shù)據(jù)式機器學習，大大降低了數(shù)據(jù)隱私泄露的風險。

然而已有研究^［2～4］發(fā)現(xiàn)，雖然模型參數(shù)不包含原始訓練數(shù)據(jù)，但其包含了訓練數(shù)據(jù)的特征，這表明一旦敵手獲取到用戶的明文模型參數(shù)，就能夠通過分析模型參數(shù)來竊取用戶的隱私信息。為此，不少研究^［5～8］基于差分隱私、安全多方計算以及同態(tài)加密等技術提出了聯(lián)邦學習模型隱私保護聚合方法，實現(xiàn)在不向聚合服務器暴露本地模型明文參數(shù)的同時還能夠正確地聚合出全局模型。上述研究中大多假設聚合服務器會向用戶返回正確的聚合結果，用戶無法對聚合結果的正確性進行驗證，只能被動接受。然而在實際應用中，云服務商提供的云服務器并不完全可信^［9］，其不需要為模型性能負責，在受到利益驅使的情況下，服務器可能會選擇忽略模型聚合過程，通過執(zhí)行一些快速但不正確的計算生成錯誤的聚合結果返回給用戶，從而節(jié)省計算資源用于其他盈利任務，這將導致無法聚合出有效的全局模型，用戶的貢獻被忽略，對聯(lián)邦學習系統(tǒng)的信任度也會下降，進而不愿再貢獻本地模型。此外，聚合服務器還可能被惡意入侵，通過返回精心構造的聚合結果來竊取用戶隱私。文獻［10］提出了一種梯度抑制攻擊，即便采用了隱私保護聚合策略來聚合全局模型，不可信的聚合服務器利用梯度抑制攻擊，通過給不同用戶返回精心構造的模型參數(shù)仍能夠獲取到目標用戶的本地模型，進而通過梯度反轉攻擊^［3］侵犯用戶數(shù)據(jù)隱私。

為了解決上述問題，一些研究^{［11～14］}提出了可驗證隱私保護聯(lián)邦學習，使用戶能夠對聚合結果的正確性進行驗證，但仍存在用戶通信開銷過大^［11］、無法容忍用戶退出^［12］或者用戶退出降低驗證效率^{［13，14］}等問題。目前的聯(lián)邦學習很多部署在資源受限的設備上，例如移動手機和智能家居設備，它們大多擁有有限的計算資源和通信帶寬，并且由于電源、網(wǎng)絡等原因可能隨時退出訓練^［15］，所以上述方案無法很好地適用于這些場景。

綜上，針對聯(lián)邦學習隱私保護聚合中聚合結果缺乏正確性驗證導致無法聚合出有效全局模型，以及目前聚合可驗證方案存在的用戶通信開銷大和無法較好地處理用戶退出的問題，本文提出了一種基于線性同態(tài)hash和秘密分享的高效可驗證聚合（efficient verifiable aggregation based on linear homomorphic hash and secret sharing，EVA-LHHSS）方案。具體來說，本文基于線性同態(tài)hash實現(xiàn)用戶對聚合結果的正確性驗證，并保證驗證信息的通信開銷與模型維度無關，同時基于Pedersen承諾防止服務器偽造聚合hash欺騙用戶接受錯誤聚合結果，增強驗證的可靠性；然后基于橢圓曲線離散對數(shù)問題保護用戶輸入的隱私，同時確保驗證的正確性；最后基于Shamir秘密分享及其同態(tài)性，使方案能夠容忍用戶隨時退出并確保不會降低驗證效率。

本文主要貢獻如下：

a）提出了一種基于線性同態(tài)hash和秘密分享的高效可驗證聚合方案，保證輸入的隱私性和驗證的可靠性，實現(xiàn)與模型維度無關的通信開銷，可以容忍用戶退出。

b）利用Shamir秘密分享的加法同態(tài)性增強用戶退出容忍性，保證用戶退出不會降低方案性能。

c）對EVA-LHHSS的正確性、可靠性和隱私性進行了分析，實驗結果表明EVA-LHHSS的可行性和高效性，驗證開銷優(yōu)于VeriFL方案，且用戶退出不會降低驗證效率。

1 相關工作

聯(lián)邦學習雖然能夠降低數(shù)據(jù)隱私泄露風險，但通過對本地模型參數(shù)進行分析仍能夠推斷出用戶隱私信息，例如成員推理攻擊^［2］、梯度反轉攻擊^{［3，4］}，因此，不少研究^［5～8］提出了面向聯(lián)邦學習的隱私保護聚合方案來保護用戶本地模型的隱私。然而，上述研究都假設服務器會返回正確的聚合結果?，F(xiàn)實應用中，聚合服務器可能出于利益考慮，不選擇正確的聚合本地模型，而是執(zhí)行一些快速但不正確的計算來產(chǎn)生錯誤的全局模型，節(jié)省計算資源，這導致最終無法訓練出有效的全局模型，用戶的貢獻被全部否定。此外，如果聚合服務器被惡意入侵，即便采用了隱私保護聚合策略來保護本地模型，入侵者通過構造惡意的模型參數(shù)并返回給用戶，仍能夠竊取用戶隱私信息^［10］。

為了解決由不可信服務器導致聚合失敗以及隱私泄露的問題，一些研究提出了可驗證聯(lián)邦學習。文獻［11］基于同態(tài)hash函數(shù)和偽隨機數(shù)生成器提出了第一個面向聯(lián)邦學習的可驗證隱私保護聚合方案VerifyNet，但由于其采用的同態(tài)hash函數(shù)依賴雙線性映射^［16］，驗證信息的大小和模型維度相關，當模型維度過高時驗證信息會給用戶引入大量通信開銷。文獻［12］則是基于拉格朗日插值法實現(xiàn)模型隱私保護和聚合結果正確性驗證，拉格朗日插值法同樣會帶來通信開銷問題。此外，該方案不能支持用戶的隨時退出。為了降低通信開銷，文獻［13］基于線性同態(tài)hash提出了VeriFL方案，由于線性同態(tài)hash函數(shù)輸出長度固定的性質(zhì)，VeriFL實現(xiàn)了與模型維度無關的通信開銷，同時提出了一種分攤驗證機制來降低驗證過程中的計算開銷，但當存在用戶退出時，為了能夠正確地驗證聚合結果，服務器需要逐個恢復退出用戶的hash值等信息，這導致驗證效率會隨著用戶退出顯著下降。此外，分攤機制雖然可以降低用戶的計算開銷并保證一個階段內(nèi)聚合結果的正確性，但由于每一輪沒有及時驗證聚合結果，仍可能帶來隱私泄露問題^［10］。文獻［14］分析了VeriFL存在的安全問題，然后提出了基于同態(tài)hash和數(shù)字簽名的可驗證聚合方案，實現(xiàn)了驗證的可追溯性和與模型大小無關的通信開銷，但同樣遭受用戶退出導致驗證效率下降的問題。此外，該方案和VeriFL都沒有對hash值進行保護，由于同態(tài)hash函數(shù)的性質(zhì)，當模型參數(shù)稀疏時，暴露的hash值可能會遭受暴力猜解攻擊，從而泄露用戶的輸入，帶來隱私泄露風險^［10］。文獻［17］提出利用雙重聚合的方式對聚合結果進行驗證。其核心思想是所有用戶之間共享兩個隨機數(shù)a、b，a、b對服務器保密，針對模型x，用戶計算證明=a⊙x+b，然后利用文獻［5］中的方案分別聚合x和，最后通過驗證兩個聚合值∑_i∈ni、∑_i∈nx_i是否滿足∑_i∈ni=a⊙∑_i∈nx_i+|n|b來確認聚合結果的正確性。由于依賴文獻［5］中的方案聚合，用戶需要進行大量密鑰協(xié)商和秘密分享計算，此外，當存在大量用戶退出時，驗證效率會顯著下降。還有一些研究通過引入輔助設備實現(xiàn)聚合結果的完整性驗證，文獻［18］提出了一種基于雙服務器架構的可驗證隱私保護聚合方案，用戶通過比較兩個不共謀服務器返回的聚合結果的hash來驗證模型的正確性。文獻［19］通過引入輔助節(jié)點實現(xiàn)用戶和聚合服務器之間進行隱私保護聚合并通過雙重聚合使用戶可以驗證聚合結果的正確性。上述兩種方案都需要引入額外的輔助服務器實現(xiàn)聚合結果的可驗證性。文獻［20］則是利用基于硬件輔助的可信執(zhí)行環(huán)境來防止聚合服務器偽造和竄改聚合結果，從而確保聚合結果的正確性。

2 前置知識

本章主要描述方案中使用的密碼學算法和定義，包括同態(tài)hash算法、秘密分享和Pedersen承諾。

2.1 同態(tài)hash

線性同態(tài)hash^［21］是具有同態(tài)性質(zhì)的hash函數(shù)，基于橢圓曲線的同態(tài)hash算法構造如下：

顯然，上述hash函數(shù)是滿足加法同態(tài)性的，對于相同維度的向量x₁、x₂，Hash（x₁）+Hash（x₂）=Hash（x₁+x₂）。因此，用戶通過同態(tài)hash函數(shù)對本地模型進行hash，通過聚合本地模型hash值并與聚合模型hash值進行對比，可以驗證聚合模型的正確性。

2.2 秘密分享

（t，n）-秘密共享（secret sharing，SS）^［22］是1979年由Shamir提出的。秘密s被分成n個秘密份額，每個秘密份額由一個用戶持有，大于等于t個用戶貢獻秘密份額可以重構秘密s，而少于t個用戶則無法獲得關于秘密的任何信息。對于秘密s，對其進行（t，n）-秘密分享：

a）初始化：秘密持有者從Z^*_p中隨機選取t-1個正整數(shù)a₁，…，a_t-1，使a₀=s?；谏鲜鲋禈嬙煲粋€最高次為t-1次的多項式：f（x）_s=a₀+a₁x+a₂x²+…+a_t-1x^t-1mod p。

b）秘密分享：秘密持有者隨機選取多項式f（x）上的n個點x₁，…，x_n，然后計算出各個點對應的函數(shù)值f（x₁），…，f（x_n），最后將（x₁，f（x₁）），…，（x_n，f（x_n））作為秘密份額分享給其他用戶，表示為（x_i，f（x_i）_s）_i∈n←SS.share（s，t，n）。

c）秘密重構：給定任意t個秘密份額，通過拉格朗日插值可以確定多項式f（x）_s。當時x=0，計算出秘密s=a₀，表示為s←SS.recon（（x_i，f（x_i）_s）_i∈n，t）。

d）同態(tài)性：對于給定的s₁、s₂，分別進行秘密分享，并將秘密份額分發(fā)給其他用戶，秘密份額的持有者可以在本地計算出（f（x_i）_s1+f（x_i）_s2）_i∈n。給定任意t個秘密份額（f（x_i）_s1+f（x_i）_s2）_i∈n時，可以計算f（x）=f（x）_s1+f（x）_s2，當時x=0，得到s₁+s₂=f（0）_s1+f（0）_s2。

2.3 Pedersen承諾

Pedersen承諾^［23］具有計算綁定、完美隱藏和加法同態(tài)的性質(zhì)?；跈E圓曲線的Pedersen承諾^［24］的構造如下：

a）COM.Setup（1^k）：選擇一條橢圓曲線E，選擇E上的兩個階為p的基點G和Q，其中Q=αG，α保密。

b）COM.Comm（x，r）：待承諾值為x，x∈Z_p，承諾方隨機選擇一個整數(shù)r，r∈Z^*_p作為盲因子，然后計算承諾值c=xG+rQ，并公開承諾c。

c）COM.Open（c，x，r）：承諾方通過公開r和x，驗證者根據(jù)r、x計算c′，如果c′=c，則接受承諾，否則拒絕。

d）同態(tài)性：對于待承諾值x₁、x₂，選擇兩個隨機數(shù)r₁、r₂，對x₁和x₂分別進行承諾：c₁=x₁G+r₁Q，c₂=x₂G+r₂Q?？梢缘贸鯿₁+c₂=（x₁+x₂）G+（r₁+r₂）Q=COM.Comm（x₁+x₂，r₁+r₂）。

3 問題描述

3.1 方案描述

本文方案主要包含三個實體，分別是可信機構（trusted authority，TA）、用戶和聚合服務器。

a）可信機構：TA主要負責聯(lián)邦學習初始化工作。在聯(lián)邦學習開始前，TA對需要使用的密碼算法進行初始化，生成必要的公共參數(shù)以及密鑰等信息，然后將公共參數(shù)和密鑰根據(jù)需要發(fā)送給用戶或者聚合服務器。

b）用戶：用戶是擁有一定數(shù)量數(shù)據(jù)的節(jié)點或者實體，例如移動手機、電腦終端或者醫(yī)療機構等，用戶通過在本地數(shù)據(jù)集訓練得到本地模型，通過服務器聚合來共同訓練出高質(zhì)量模型。為了能夠對聚合結果進行驗證，用戶還需要生成驗證信息，聚合完成后用戶根據(jù)其他用戶提供的驗證信息對聚合結果進行驗證。用戶集合用Euclid Math OneUAp表示，用戶數(shù)量為n。

c）聚合服務器：聚合服務器是具有一定計算和存儲能力的第三方實體，可以由云服務商提供，負責將用戶提交的本地模型聚合成全局模型，同時還需要生成全局模型驗證信息。此外，聚合服務器還需要負責用戶之間消息的轉發(fā)以及其他必要的計算工作。

3.2 威脅模型和目標

本文考慮的威脅模型是半誠實的，即用戶和服務器都是半誠實且好奇的。對于用戶來說，他們會遵守訓練規(guī)則進行訓練并正確提交本地的計算結果，但對其他用戶的隱私感到好奇。同樣，聚合服務器會按照規(guī)則參與聯(lián)邦學習，但企圖通過分析接收到的數(shù)據(jù)和中間計算結果來推斷用戶的隱私信息，同時服務器還可能和部分用戶共謀來竊取其他用戶的隱私信息。此外，本文假設聚合服務器具有額外的能力，可能會返回錯誤的聚合結果并偽造驗證信息來欺騙用戶接受錯誤聚合結果。

因此，本方案的目標是使用戶能夠對聚合服務器返回的聚合結果的正確性進行驗證，防止聚合服務器通過偽造證明等方式來欺騙用戶接受錯誤的聚合結果，同時，在整個驗證過程中還需要保證用戶隱私不被泄露。此外，考慮到用戶可能是資源受限的設備，例如移動手機、智能家居設備等，它們擁有有限的計算資源和通信帶寬，并且因為網(wǎng)絡狀態(tài)、電源等因素可能隨時退出訓練，所以，還需要考慮驗證開銷以及用戶可能中途退出的問題。

4 方案設計

4.1 總體描述

本文主要工作是使用戶能夠對聯(lián)邦學習聚合結果的正確性進行驗證，從而防止服務器返回錯誤的聚合結果，導致無法訓練出有效全局模型或者繞過模型隱私保護聚合竊取用戶數(shù)據(jù)隱私，可以用于增強現(xiàn)有的聯(lián)邦學習隱私保護聚合方法，提高隱私保護能力。因此，本文省略了對模型隱私保護聚合過程的描述。方案設計如圖1所示，主要包含兩個階段：

a）證明生成：用戶通過本地數(shù)據(jù)集訓練得到本地模型之后，首先利用線性同態(tài)hash計算本地模型的hash值并生成一個隨機數(shù)來盲化hash值，線性同態(tài)hash保證了模型驗證信息帶來的通信開銷與模型維度無關；然后用戶對hash進行承諾；接著為了防止驗證過程中用戶退出導致驗證失敗，用戶將盲化和承諾時使用的隨機數(shù)通過秘密分享和其他用戶共享；最后通過服務器將加密后的秘密份額和承諾值轉發(fā)給其他用戶，同時用戶將被盲化的hash值發(fā)送給服務器，用于生成聚合結果的證明。

之后服務器和用戶通過隱私保護聚合方法聚合出全局模型。服務器將全局模型發(fā)送給每個用戶。

圖1 方案設計Fig.1 Scheme design

b）聚合驗證：收到全局模型后，用戶將其他用戶分享的秘密份額進行累加，并發(fā)送給服務器；然后服務器利用秘密份額分別重構出兩個隨機數(shù)的聚合值，利用重構的隨機數(shù)計算對聚合結果的證明并發(fā)送給用戶；最后用戶先利用承諾值驗證聚合結果證明的正確性，再通過計算全局模型的hash值來驗證全局模型的正確性，如果任何一步驗證失敗，則中止聯(lián)邦學習。

4.2 基于同態(tài)hash和秘密分享的可驗證聚合

4.2.1 初始化

在聯(lián)邦學習開始之前，TA為每個用戶生成公私鑰并初始化需要使用的密碼算法，生成公共參數(shù)。然后TA將用戶的私鑰、所有用戶公鑰pk_i，i∈和公共參數(shù)發(fā)送給每個用戶，公共參數(shù)包含但不限于：秘密分享閾值t、橢圓曲線群、階p、基點G，G₁，…，G_d，Q∈，完成上述工作之后TA離線。

4.2.2 證明生成

在一輪訓練中，假設用戶i利用本地數(shù)據(jù)訓練得到的本地模型為x_i，使用2.1節(jié)中線性同態(tài)hash算法計算x_i的hash值：

h_i=HH.hash（x_i）（2）

為了防止模型參數(shù)稀疏時服務器利用暴露的hash值h_i猜解模型參數(shù)，侵犯用戶隱私^［10］，用戶i選擇一個隨機數(shù)k_i，然后盲化同態(tài)hash值h_i：h^_i=h₁+k_iG。

同時為了防止聚合服務器在聚合驗證階段偽造聚合hash來欺騙用戶，用戶i對h_i進行承諾，隨機選擇整數(shù)r_i，然后計算承諾值：

c_i=h_i+r_iQ（3）

這里可以看作是Pedersen多值承諾^［24］。為了實現(xiàn)在聚合驗證階段即使存在用戶退出仍能夠保證存活用戶可以正確驗證聚合結果，每個用戶將隨機數(shù)k和r通過秘密分享的方式和其他用戶共享：

4.2.3 聚合驗證

在聯(lián)邦學習過程中，即使只有t個用戶存活，聚合服務器與t-2個用戶共謀，最終計算出K和R至少包含兩個非共謀用戶的k和r，因此，聚合服務器和半誠實用戶無法準確地計算出單個用戶的hash值。

綜上，證明了即使t-2個用戶和聚合服務器共謀，它們也無法獲得用戶本地模型的同態(tài)hash值。

6 實驗和分析

6.1 實驗設置

實驗原型采用Python 3.7.4及其一些標準庫來實現(xiàn)，例如Gmpy2、Cryptography等，運行在Ubuntu 18.04操作系統(tǒng)，CPU為Intel^?Xeon^?Gold 5218 CPU @ 2.30 GHz，內(nèi)存為256 GB的環(huán)境上。用戶和服務器之間采用socket通信。線性同態(tài)hash和Pedersen承諾采用NIST P-256橢圓曲線實現(xiàn)，密鑰協(xié)商采用NIST P-256曲線上的橢圓曲線Diffie-Hellman和SHA-256實現(xiàn)，對稱加密采用128位密鑰的AES加密算法。秘密分享采用標準的Shamir閾值秘密分享，閾值t設置為n/2。

6.2 實驗結果和分析

在實驗部分，本文主要關注驗證過程給用戶和服務器引入的計算和通信開銷，因此，省略了聯(lián)邦學習本地訓練以及模型隱私保護聚合的過程，通過生成不同維度的向量來模擬用戶本地模型作為隱私輸入。和其他工作一樣，本文使用驗證過程中的計算時間以及接收和發(fā)送的數(shù)據(jù)總量來分別衡量計算和通信開銷^［26］。此外，本文將VeriFL作為基準進行比較來評估本文方案性能，分別考慮用戶數(shù)量、退出率和向量大小三個方面對驗證效率的影響，相比于其他方案，VeriFL不僅實現(xiàn)了與模型維度無關的通信開銷，同時還能夠支持用戶隨時退出，此外，還不需要引入額外的服務器或者硬件實現(xiàn)聚合結果的驗證。

首先，本文考慮用戶數(shù)量和退出率對方案的影響，分別在不同用戶數(shù)量和退出率的設置下進行實驗，向量大小固定為10 000。圖2表示了在不同用戶數(shù)量和退出率時的用戶的通信開銷。通過觀察可以看到，在VeriFL和本文方案中，用戶通信開銷都是隨著用戶數(shù)量增加呈線性增長，這是因為用戶需要計算的秘密份額和用戶數(shù)量呈線性相關。但在相同情況下，本文方案的通信開銷是顯著小于VeriFL的，主要是因為在驗證階段，本文方案中存活用戶只需要發(fā)送所有存活用戶秘密份額的和，然后接收一個聚合hash值H和R，而VeriFL方案中，用戶需要先發(fā)送自己的hash值并接收所有存活用戶的hash值，然后發(fā)送每個退出用戶的秘密份額并接收所有退出用戶的hash值，從而產(chǎn)生了較大的通信開銷。此外可以看出，在用戶數(shù)量相同時，退出率對本文方案中用戶的通信開銷基本沒有影響，這是因為在驗證時，無論多少用戶退出，存活用戶需要發(fā)送和接收的數(shù)據(jù)大小是不變的。而VeriFL方案中，用戶的通信開銷會隨著退出用戶數(shù)量增加而增加，這是因為他們要向服務器發(fā)送所有退出用戶分享給他們的秘密份額。表1展示了本文方案和VeriFL方案不同階段的通信開銷，可以看到退出率對用戶通信開銷基本沒有影響。VeriFL中，如果存在用戶退出，則需要增加一輪通信來保證驗證的正確性，用戶總的通信開銷隨著退出率增加而增加。

在不同用戶數(shù)量和退出率下的用戶計算開銷如圖3所示。通過實驗結果可以看到，本文方案和VeriFL方案中用戶的計算開銷基本不受退出用戶數(shù)量的影響，而是主要受到用戶數(shù)量的影響，這是因為隨著用戶數(shù)量增加，需要計算的秘密份額增加。但在用戶數(shù)量相同且退出率相同時，本文方案中用戶的計算時間是顯著小于VeriFL的，并且隨著用戶數(shù)量增加，本文方案優(yōu)勢逐漸增大，這主要是因為本文方案中用戶是對大整數(shù)進行秘密分享，而VeriFL中則是在橢圓曲線群上計算秘密份額，點之間的計算相比整數(shù)需要消耗更多的時間。不同階段用戶計算開銷如表2所示。本文方案中用戶是通過聚合服務器來轉發(fā)消息給其他用戶，因此聚合服務器的通信開銷通常是用戶通信開銷的n倍，這里不再對聚合服務器的通信開銷進行分析，而主要對其計算開銷進行分析。不同用戶數(shù)量和退出率下聚合服務器的計算開銷如圖4所示。首先分析在用戶數(shù)量相同而退出率不同時的情況。退出率為0時，由于VeriFL方案中服務器不需要進行秘密重構，而本文方案中服務器需要進行兩次秘密重構，所以，VeriFL方案中聚合服務器計算開銷是小于本文方案的。但隨著退出率增加，VeriFL方案中聚合服務器計算開銷會顯著增加并顯著高于本文方案，這是因為VeriFL方案中服務器需要逐個恢復每個退出用戶的hash值以及承諾時選取的隨機數(shù)，用戶數(shù)量為200，不同掉線率下不同階段服務器計算時間如表3所示?？梢钥吹津炞C階段，VeriFL中服務器需要花費大量時間進行秘密重構計算。聚合服務器計算時間增加將導致用戶需要更長的等待時間，這可能會帶來更高的退出率（例如電量不足）。而本文方案中，服務器計算開銷基本不受用戶退出的影響，無論多少用戶退出，服務器也只需要執(zhí)行兩次秘密重構，不會顯著降低驗證效率，本文方案具有更強的退出容忍性。

在退出率不變的情況下，本文方案中聚合服務器計算開銷隨著用戶數(shù)量增加呈線性增長，且顯著低于VeriFL。首先本文方案中計算開銷增加是由于在聚合驗證階段，用戶數(shù)量影響了聚合服務器計算聚合hash的時間，更多的用戶意味著聚合服務器需要聚合更多用戶的h^_i。從實驗結果可以看出，這不會引入太多的計算開銷。而VeriFL方案則因為退出用戶的數(shù)量增加導致聚合服務器需要進行更多次的秘密重構計算，從而導致聚合服務器計算開銷顯著增加。

接著，本文考慮了向量大小對方案的影響，實驗結果如圖5所示。其中圖5（a）（b）分別表示了在不同向量大小下用戶的通信開銷和計算開銷。通過觀察可以看出，用戶的計算開銷主要受到向量大小的影響，受用戶數(shù)量的影響較小，這是因為用戶通過線性同態(tài)hash算法計算hash的時間隨著輸入向量大小增加而線性增長。而用戶的通信開銷則基本不受向量大小的影響，這是因為線性同態(tài)hash算法輸出長度固定，所以，實現(xiàn)了與維度無關的通信開銷。

7 結束語

為了解決聯(lián)邦學習中由不可信服務器導致的無法聚合出有效全局模型的問題，本文提出了一種基于線性同態(tài)hash和秘密分享的高效可驗證聚合方案。通過采用具有恒定輸出長度的線性同態(tài)hash，實現(xiàn)了聚合結果的可驗證以及與模型維度無關的通信開銷；基于Pedersen承諾確保聚合結果驗證的可靠性，防止服務器通過偽造聚合hash；欺騙用戶接受錯誤聚合結果；同時基于橢圓曲線離散對數(shù)問題保護輸入的隱私；利用Shamir秘密分享及其同態(tài)性保證用戶可以隨時退出，并且不影響方案性能。實驗結果表明，與VeriFL方案相比，本文方案實現(xiàn)了更低的計算和通信開銷，具有更強的退出容忍性，適用于參與訓練的客戶端多為資源受限設備，且隨時退出的聯(lián)邦學習場景。在接下來的工作中，將考慮在訓練時，惡意用戶可能實施投毒攻擊的情況。

參考文獻：

［1］McMahan B，Moore E，Ramage D，et al.Communication-efficient learning of deep networks from decentralized data［C］//Proc of the 20th International Conference on Artificial Intelligence and Statistics.2017：1273-1282.

［2］Nasr M，Shokri R，Houmansadr A.Comprehensive privacy analysis of deep learning：passive and active white-box inference attacks against centralized and federated learning［C］//Proc of the 40th IEEE Symposium on Security and Privacy.Washington DC：IEEE Computer Society，2019：739-753.

［3］Zhu Ligeng，Liu Zhijian，Han Song.Deep leakage from gradients［C］//Proc of International Conference on Neural Information Proces-sing Systems Cambridge，MA：MIT Press，2019：1323-1334.

［4］Zhao Bo，Mopuri K R，Bilen H.IDLG：improved deep leakage from gradients［EB/OL］.（2020-01-08）.https：//arxiv.org/abs/2001.02610.

［5］Bonawitz K，Ivanov V，Kreuter B，et al.Practical secure aggregation for privacy-preserving machine learning［C］//Proc of ACM SIGSAC Conference on Computer and Communications Security.New York：ACM Press，2017：1175-1191.

［6］Zhang Chengliang，Li Suyi，Xia Junzhe，et al.Batchcrypt：efficient homomorphic encryption for cross-silo federated learning［C］//Proc of USENIX Annual Technical Conference.Berkeley，CA：USENIX Association，2020：493-506.

［7］Stevens T，Skalka C，Vincent C，et al.Efficient differentially private secure aggregation for federated learning via hardness of learning with errors［C］//Proc of USENIX Security Symposium.Berkeley，CA：USENIX Association，2022：1379-1395.

［8］Liu Ziyao，Guo Jiale，Lam K Y，et al.Efficient dropout-resilient aggregation for privacy-preserving machine learning［J］.IEEE Trans on Information Forensics and Security，2023，18：1839-1854.

［9］王美玲，吳長澤.格上基于身份的授權函數(shù)線性同態(tài)簽名方案［J］.計算機應用研究，2021，38（11）：3417-3422.（Wang Meiling，Wu Changze.Identity-based authorized function linearly homomorphic signature schemes on lattices［J］.Application Research of Computers，2021，38（11）：3417-3422.）

［10］Pasquini D，F(xiàn)rancati D，Ateniese G.Eluding secure aggregation in fe-derated learning via model inconsistency［C］//Proc of ACM SIGSAC Conference on Computer and Communications Security.New York：ACM Press，2022：2429-2443.

［11］Xu Guowen，Li Hongwei，Liu Sen，et al.VerifyNet：secure and verifiable federated learning［J］.IEEE Trans on Information Forensics and Security，2020，15：911-926.

［12］Fu Anmin，Zhang Xianglong，Xiong Naixue，et al.VFL：a verifiable federated learning with privacy-preserving for big data in industrial IoT［J］.IEEE Trans on Industrial Informatics，2022，18（5）：3316-3326.

［13］Guo Xiaojie，Liu Zheli，Li Jin，et al.VeriFL：communication-efficient and fast verifiable aggregation for federated learning［J］.IEEE Trans on Information Forensics and Security，2021，16：1736-1751.

［14］Ren Yanli，Li Yerong，F(xiàn)eng Guorui，et al.Privacy-enhanced and verification-traceable aggregation for federated learning［J］.IEEE Internet of Things Journal，2022，9（24）：24933-24948.

［15］Li Tian，Sahu A K，Talwalkar A，et al.Federated learning：challenges，methods，and future directions［J］.IEEE Signal Processing Magazine，2020，37（3）：50-60.

［16］徐智宇，王亮亮.車聯(lián)網(wǎng)中支持直接撤銷的外包屬性簽名方案［J］.計算機應用研究，2024，41（2）：569-575，581.（Xu Zhiyu，Wang Liangliang.Outsourced attribute-based signature scheme with direct revocation support for vehicular Ad hoc network［J］.Application Research of Computers，2024，41（2）：569-575，581.）

［17］Hahn C，Kim H，Kim M，et al.VerSA：verifiable secure aggregation for cross-device federated learning［J］.IEEE Trans on Dependable and Secure Computing，2021，20（1）：36-52.

［18］Xu Yi，Peng Changgen，Tan Weijie，et al.Non-interactive verifiable privacy-preserving federated learning［J］.Future Generation Computer Systems，2022，128：365-380.

［19］Eltaras T，Sabry F，Labda W，et al.Efficient verifiable protocol for privacy-preserving aggregation in federated learning［J］.IEEE Trans on Information Forensics and Security，2023，18：2977-2990.

［20］Zheng Yifeng，Lai Shanqi，Liu Yi，et al.Aggregation service for federated learning：an efficient，secure，and more resilient realization［J］.IEEE Trans on Dependable and Secure Computing，2022，20（2）：988-1001.

［21］Bellare M，Goldreich O，Goldwasser S.Incremental cryptography：the case of hashing and signing［C］//Proc of Annual International Cryptology Conference.Berlin：Springer，2001：216-233.

［22］Shamir A.How to share a secret［J］.Communications of the ACM，1979，22（11）：612-613.

［23］Pedersen T P.Non-interactive and information-theoretic secure verifiable secret sharing［C］//Proc of Annual International Cryptology Conference.Berlin：Springer，1991：129-140.

［24］Franck C，Groβsch?dl J.Efficient implementation of pedersen commitments using twisted Edwards curves［C］//Mobile Secure，and Programmable Networking.Cham：Springer，2017：1-17.

［25］Chen A C H.Using elliptic curve cryptography for homomorphic hashing［C］//Proc of International Conference on Smart Systems for Applications in Electrical Sciences.Piscataway，NJ：IEEE Press，2023：1-5.

［26］Zhang Yanci，Yu Han.Towards verifiable federated learning［C］//Proc of the 21st International Joint Conference on Artificial Intelligence.San Francisco，CA：Morgan Kaufmann Publishers，2022：5686-5693.