中圖分類號：TP309.2 文獻標志碼：A 文章編號：1000-2367（2025）04-0058-08

聯(lián)邦學習（federated learning，F(xiàn)L）[1]作為一個分布式學習框架允許客戶在保護數據隱私的情況下合作訓練聚合模型，雖然避免了直接共享用戶本地隱私數據，但仍面臨諸多挑戰(zhàn).即使參與者只上傳模型參數，敵手仍然能夠從中推理出隱私數據[2.此外，惡意參與方通過操縱本地數據集或局部模型更新向聚合器上傳虛假的模型參數，這種行為可能導致聚合模型的錯誤預測和不準確性[3-4].基于統(tǒng)計學方法或基于距離的拜占庭魯棒性判別方案無法抗惡意參與者大多數的情況，服務器端利用干凈小型驗證數據集判別方案違反了聯(lián)邦學習的隱私保護原則（即剩余的數據本地化原則）.另一方面，聚合模型也具有數據價值，代表著一種重要的知識產權[5]，一些工作通過驗證模型水印以判斷它們是否被未被授權的第三方竊取[6].安全聚合與模型產權保護研究已成為聯(lián)邦學習中研究者關注的熱點.

文獻[7—9]均假定服務器維護一個公共干凈的驗證數據集，服務器使用此數據集評估局部模型更新的準確性或相似度，將性能較差的模型判定為有毒模型.GUERRAOUI等[10]提出 Bulyan，通過將 Krum 和修剪平均值相結合，確保聚合梯度的每個維度上的多數一致.SHAYAN等[1]提出了Biscotti，該方案在區(qū)塊鏈上應用Krum算法檢測局部模型并結合秘密共享聚合全局模型.TAO等[12]提出了一種拜占庭彈性分布式梯度下降算法，該算法可以處理重尾數據并在標準假設下收斂.LI等[13]使用核密度估計方法測量相鄰局部模型之間的相對分布以區(qū)分惡意和干凈的更新.但是，當拜占庭客戶占多數時，這些方案無法保證模型的魯棒性.ZHOU等[14]結合范數檢測與準確率檢測生成了混合檢測策略，通過調整范數檢測和準確率檢測的比重以適應不同比例惡意參與者的情景，但是在進行聯(lián)邦學習時，通常很難確定惡意參與者的數量.MA 等[15]結合Pailliar同態(tài)加密和零知識證明，以保證局部模型隱私并過濾出惡意參與者的異常模型，但是對于參數通常高達數百萬的機器學習模型來說，同態(tài)加密的開銷較大并難以有效實現(xiàn).LIM等[16提出了兩種不同的遞歸神經網絡下的水印嵌入方案，以保護圖像字幕模型.李璇等[17]利用深度學習后門技術在不影響主任務準確率的情況下僅對少量觸發(fā)集樣本造成誤分類實現(xiàn)模型的產權保護.但這些方法是在模型版權被盜取出現(xiàn)爭議之后，利用水印為版權歸屬提供有力的證據.XU等[18]引入兩個非共謀服務器并通過高度集成加性同態(tài)加密和混淆電路從而保護了所有用戶相關信息的隱私性，但在現(xiàn)實情況下很難保證兩個服務器不會合謀.

針對以上問題，本文提出了適用于惡意參與者多數情景下的聚合模型保護算法，實驗結果表明本方案在惡意參與者占大多數的情況下仍能夠發(fā)揮良好的檢測作用，并且聚合模型精度與數據集質量成正比，從而保證貢獻度越高的參與者得到的聚合模型性能也越好.

1基礎知識

1.1 聯(lián)邦學習

根據各參與方數據分布的情況不同，聯(lián)邦學習被分為橫向聯(lián)邦學習、縱向聯(lián)邦學習和聯(lián)邦遷移學習[19].橫向聯(lián)邦學習的本質是樣本的聯(lián)合，適用于參與者間業(yè)務相同但接觸客戶不同，即特征重疊多，用戶重疊少的場景.縱向聯(lián)邦學習的本質是特征的聯(lián)合，適用于用戶重疊多，特征重疊少的場景.當參與者間特征和樣本重疊都很少時可以考慮使用聯(lián)邦遷移學習.

本文主要關注橫向聯(lián)邦學習的場景.給定具有W個樣本的數據集 D={（u_w，v_w）} ，其中 u_w 是第 w 個樣本的特征向量， v_w 是標簽.神經網絡函數的輸出可以表示為 f（u，x）=v^′ ，其中 x 為模型參數.數據集 D 的損失函數表示為： （20

聯(lián)邦學習的訓練目標是通過改變 x 來最小化損失函數，其每輪迭代的計算公式為： x^t+1=x^t- λ?L_f（D，x^′） 其中， λ 是學習率，它代表了每次迭代中模型調整的步長.服務器使用算術平均算法或加權平均算法將 N 個參與者提交的所有局部模型聚合為一個全局模型.全局模型的計算方法為： （204號 （20

1.2 同態(tài)哈希

同態(tài)哈希[20]是一種具有同態(tài)特性的抗碰撞哈希函數，可以將任意大小的數據映射為固定大小的數據而且滿足同態(tài)映射.簡單地說，給定一個消息 m_i∈Z_q ，一個抗碰撞的同態(tài)哈希函數 HH₁Z_qG₁×G₂ 可表示為： ，其中， ξ 和 ψ 都是在有限域 Z_q 中隨機選擇的密鑰，HH_ξ，ψ（ξ） 是一個單向同態(tài)哈希函數，單向哈希函數 HH_ξ，ψ（ξ） 的安全性保證了從 HH_f，ψ（m） 反轉來恢復 m 是不可行的.給定 和 ），同態(tài)哈希函數有以下性質：1）可加性（在指數中）可以表示為 "乘以一個常數 α 可以表示為 ：

1.3 不經意傳輸

不經意傳輸（oblivious transfer，OT）是密碼學中經常用到的一個安全的兩方通信協(xié)議，被廣泛應用于隱私集合交集、安全多方計算等領域[21].不經意傳輸協(xié)議理想函數：參數，消息的長度為 L ;輸入，接收方輸入一個選擇比特 b∈{0，1} ，發(fā)送方輸入一對消息 m₀，m₁←{0，1}^L ;輸出，發(fā)送 m_b 給接收方.在這個協(xié)議中，發(fā)送方有一對消息 m₀，m_i ，接收方有一個選擇比特 b ，協(xié)議執(zhí)行結束后，接收方可以獲得 m_b ，而不能獲得關于m_1-b 的任何信息，發(fā)送方也無法知道接收方獲得了哪一條消息.

2 系統(tǒng)概述

2.1 網絡模型

本文系統(tǒng)模型由3種實體構成.密鑰生成中心（key generation center，KGC）：KGC 的作用是生成公私鑰對和同態(tài)哈希所用參數，并且

為每個參與者生成 T 個隨機數（即在聯(lián)邦學習的每一輪中為每一個參與者生成一個隨機數）.隨后KGC 離線，不再參與學習進程.在密碼學領域，KGC是一種極為常見的存在.

服務器（S）：S的主要職責是協(xié)調參與者的信息通信，包括初始化全局模型的狀態(tài)，以及有效地轉發(fā)和處理參與者之間的通信消息.參與者（ P_i ）：假設共有 n 個參與者，每個 P_i 擁有本地數據集 D_i ，在本文方案中，由于隱私保護的要求， P_i 訓練局部模型之后會將其用兩種方式加密，并由服務器轉發(fā)給各個參與者 .D_i 也將作為測試集驗證其余參與者的模型準確率，然后 P_i 與 S 執(zhí)行OT協(xié)議得到干凈的局部模型并聚合為全局模型

2.2 安全模型

本文方案中，KGC作為可信實體，為系統(tǒng)生成必要的公私鑰對與算法參數， s 和小部分 P_i 都是半誠實的實體，雖然他們嚴格遵守安全聚合協(xié)議，也希望獲悉或收集其余參與者的隱私信息.同時，本文還考慮到大部分 P_i 可能通過上傳惡意梯度信息來破壞模型的訓練.基于以上存在的安全隱患，本文引人敵手 A^* ，其擁有的能力如下：1） A^* 可以監(jiān)聽通信信道或攻擊 S ，獲取模型訓練過程中 P_i 上傳的本地梯度信息.通過分析這些梯度信息， A^* 可能能夠進行模型反推，進而推理出參與者 P_i 的本地敏感訓練數據. 2）A^? 可以攻擊一個或多個拜占庭節(jié)點來構造并上傳惡意的梯度信息實現(xiàn)對模型訓練的干擾，達到投毒的目的.

在攻擊模型中，敵手 A^* 不能同時攻破多個參與者和服務器（即 P_i 與 不能共謀， P_i 與 S 不能共謀）該項限制條件普遍存在于安全計算協(xié)議中，而且在現(xiàn)實應用中也很難實現(xiàn)該項限制.

3方案設計

本節(jié)介紹了方案的具體流程，下面給出了本文中使用的符號及其含義.

P_i ：第 i 個聯(lián)邦學習參與者； u_i^t：P_i 在第 t 輪添加了隨機數的模型； S ：服務器； z_i^t ：在第 Ψ_t 輪時的投毒檢測向量； D_i：P_i 的本地數據集； z_i^t[j]：z_tⁱ 的第 j 位； x_i^t：P_i 在第 Ψ_t 輪的局部模型； ρ ：準確率閾值； 在第 t 輪添加的差分隱私噪聲； e ：本地訓練迭代次數； y_i^t：P_i 在第 Ψ_t 輪添加了噪聲的局部模型； α_i，j^t ： y_i^t 在 D_i 上的測試準確率； r_i^t：P_i 在第 t 輪的隨機數； η ：學習率.

3.1 初始化

KGC將安全參數 κ 作為輸入為每個參與者生成一對公私鑰對 {pk_i，sk_i} 并產生本文算法所需要的參數，如同態(tài)哈希和OT協(xié)議的參數.

同時 KGC 每一輪都為每個 P_i 生成一個隨機數 r_i^t ，即共生成 nT 個隨機數，在第 Ψ_t 輪訓練中的隨機數滿足以下性質： 并將這些信息以安全的方式發(fā)送給各個參與者，同時公開這些隨機值的同態(tài)哈希值HH（r_i^t） .服務器 S 初始化全局模型 x₀ 并定義聯(lián)邦學習的迭代輪數 T ：

3.2 局部模型訓練與加密

參與者 P_i 使用 D_i 訓練出局部模型 x_i^t 后在 x_i^t 分別加上兩個不同的值來加密 x_i^t ，即差分隱私噪聲 和隨機數 r_i^t.P_i 的局部模型訓練與加密過程如算法1所示.

算法1 局部模型訓練與加密

輸入：本地數據集 D_i ，本地訓練次數 Ψ_e

輸出： y_i^t，HH（y_i^t），HH（x_i^t），HH（?_i^t），m_i，j^t，HH（u_i^t）. （20

1：for i←1 to e do 7：公開 y_i^t，HH（y_i^t），HH（x_i^t），HH（δ_i^t），HH（u_i^t）

2： x_i^t←x_i^t-1-?l（D_i，x_i^t-1） （204號 8：將 m_i，j^t 發(fā)送給 s （20

3：end for

4：生成差分隱私噪聲 δ_i^t

由于局部模型參數將共享給所有參與者，本文使用了差分隱私噪聲來保護局部模型參數 x_i^t 得到 y_i^t=x_i^t+δ_i^t 聯(lián)邦學習迭代總數為 T ，根據序列組合性，為了滿足全局 ε 差分隱私要求，第 Ψ_t 次迭代滿足 ε_?t 差分隱私要求，需要保證 .本文平均分配隱私預算，所以每次迭代的隱私預算是 .如果使用 y_i^t 進行模型聚合的話，則全局模型為；

此時的全局模型包含了大量的噪聲 ，這將對全局模型的性能造成消極影響，因此 y_i^t 的作用是使其余參與者方便檢測出 x_i^t 是否是干凈的，而不參與模型聚合.最終參與模型聚合的是 u_i^t ，從而得到不帶噪聲的聚合模型.

惡意的參與者可以上傳無毒的 y_i^t 通過其余參與者的投毒檢測，同時上傳有毒的 u_i^t 參與模型聚合從而達到投毒的目的.為了避免這種行為即 y_i^t 與 u_i^t 是由不同的 x_i^t 加密而來的，本文要求 P_i 同時向服務器發(fā)送x_i^t，δ_i^t 和 u_i^t 的同態(tài)哈希值，服務器再將這些信息轉發(fā)給其余參與者，以便 P_j 能夠驗證 P_i 是否在后續(xù)通信中更改了輸人.

3.3 全局模型檢測

得到其余參與者的信息之后， P_i 首先驗證 HH（y_j^t）=HH（x_j^t）HH（δ_j^t） 是否成立，如果成立，則使用自己的本地數據集作為測試集，驗證 y_j^t 的精確度，如果精確度 α_i，j^t 大于等于閾值 ρ ，則認為是干凈的.如果不成立或者精確度 α_i，j^t 小于 ρ 則認為是有毒的， P_i 準備一個 n 位的二進制向量 z_i^t ，將無毒的 y_j^t 對應位置設置為1，即如果 α_i，j^t≥ρ ，則 z_i^t[j]=1 ，否則，等于 0.z_i^t 的第 j 位指示了第 j 個參與者的局部模型是干凈的還是有毒的，從這里可以看到，由于每個參與者的數據集的質量是不同的，因此他們的檢測能力也不同，則向量 z_i^t 也不同.算法2給出了參與者進行投毒檢測的步驟.

算法2 抗大多數惡意參與者的投毒檢測算法輸入：本地數據集 D_i ，差分隱私模型 y_i^t ，準確率閾值 ρ 5： 證 α_i，j^t≥ρ then輸出： z_i^t ： 6： x[j]=11：設置一個 n 位的二進制向量 z_i^t 并初始化為全0 7： end if2：for j1 to n do 8： end if3：if HH（y_j^t）=HH（x_j^t）HH（δ_j^t） then 9：end for4： （20 α_i，j^t←y_j^t 在 D_i 上的測試準確率 10：return z_i^t

3.4 局部模型聚合

（20 P_i 使用自己的向量 z_i^t 作為不經意傳輸協(xié)議的輸入，而服務器則將 m_j，i^t={Enc_pki（u_i^t），Enc_pki（r_i^t）} 作為輸入， P_i 作為接收者解密得到 β_i^t .其中，如果 z_i^t[j]=1 則 β_i^t[j]=u_j^t ，否則 β_i^t[j]=r_j^t .算法3給出了保護全局模型的聚合算法的詳細步驟.

算法3 保護全局模型的聚合算法

輸入： 5： end if

輸出： x_i^t+1 . 6：end for

1：for j1 to n do

2：if HH（u_j^t）=HH（x_j^t）HH（r_j^t） then

3： Enc_pki（β_i^′[j]）←OT（z_i^t，m_j，i^t）

為了防止 P_j 發(fā)送有毒的 u_j^t ，即 P_j 篡改了自己的輸入， P_i 驗證自己的選擇向量 z_i^t 對應位為1的加密模型是否滿足 HH（u_j^t）=HH（x_j^t）HH（r_j^t） ，如果成立則將其聚合得到全局模型 由于OT協(xié)議的性質， P_i 只能拿到 Enc_Pki（u_j^t），Enc_Pki（r_j^t） 中的一個，因此 P_i 無法重構出 P_j 的本地模型.同時由于服務器不知道 P_i 的輸入 z_i^t ，因此服務器無法獲得協(xié)議的輸出結果，即服務器不知道 P_i 的聚合模型，所以該方案有效保護了每個參與者的聚合模型不泄漏.

4安全分析

4.1 正確性分析

定理1正確性.如果參與者和服務器按照上述流程執(zhí)行協(xié)議，最終可以得到正確的聚合結果.證明假設對于 P_i 來說，誠實的參與者集合為 G_i ，惡意的參與者集合為 B_i ，則：

4.2 安全性分析

定理2局部與聚合模型隱私性.本文算法在聯(lián)邦學習過程中，可以保證用戶局部與聚合模型不泄漏給敵手.

證明服務器方拿到的關于 P_i 的消息有 以及一些同態(tài)哈希值 HH（y_i^t） ，HH（x_i^t），HH（δ_i^t），HH（u_i^t）. （202

首先，根據差分隱私的性質，滿足（ maxe_i） 差分隱私，其中 ε_i 是每個參與者 P_i 的隱私預算.在 y_i^t 發(fā)布后，攻擊者就無法從 y_i^t 中推斷出敏感數據信息.

其次，根據同態(tài)哈希函數的單向性，服務器不能從 HH（y_i^t），HH（x_i^t），HH（δ_i^t），HH（u_i^t） 中求逆恢復出 y_i^t，x_i^t，δ_i^t，u_i^t ，所以服務器無法從這些同態(tài)哈希值中得到 P_i 的隱私信息.

最后，證明服務器無法從 中得到 u_i^t 和 r_i^t .構造模擬器 S₁ 模擬服務器的視圖.模擬器 S_Ω⁺ 選擇兩個均勻分布的隨機值 R₁ 和 R₂ ，并用 的公鑰加密得到 Enc_Pkj（R₁） 和 Enc_Pkj（R₂） .根據公鑰加密的隨機性，服務器無法區(qū)分模擬器 S_Ω1 隨機生成的 Enc_P^kj（R₁），Enc_P^kj（R₂） 和真實執(zhí)行過程中 P_i 發(fā)送的 ，二者在計算上是不可區(qū)分的，即：{S1（R1，R2）}={view（u′，）}.

接下來證明服務器無法得到 P_i 的聚合模型.構造模擬器 S₂ 模擬服務器的視圖，模擬器 S₂ 隨機采樣一個n 位的二進制向量 z₂ ，并與服務器交互執(zhí)行OT協(xié)議.根據OT協(xié)議的安全性，服務器無法區(qū)分交互方的輸入是 z₂ 還是 z_i^t ，二者在計算上是不可區(qū)分的，即服務器的視圖在理想世界和真實世界中是不可區(qū)分的.

綜上，本文方案能夠保證用戶局部模型與聚合模型的隱私性.

5 實驗分析

本節(jié)通過在真實數據集上的實驗來評估所提方案的性能.在本研究中，本文利用一臺配備AMD銳龍74800UCPU、1.8GHz和16.0GBRAM的筆記本微型計算機對所提出的方案進行了評估.使用Python 語言進行了模型加密和聚合，并在模型訓練中使用了廣泛使用的MNIST數據集.該數據集包含6萬張訓練圖像和10000張測試圖像，每個樣本都是一個從0到9的灰度手寫數字，分辨率大小為 28×28. 此外，訓練數據集在參與者之間平均分布.使用卷積神經網絡（CNN）對模型進行訓練，其體系結構包括兩個卷積層，一個全連接層和一個 softmax輸出層.在整個實驗過程中，設置的批處理大小為10，學習率為0.01.利用標簽翻轉攻擊22模擬投毒攻擊，修改訓練數據的標簽，同時保持樣本特征不變.

5.1 準確率與損失

本文假設存在100 個參與者，其中有 70% 是惡意參與者，對比了準確率閾值分別在 70%.80% 和 90% 時聚合模型的準確率與損失.根據圖1和圖2可以看到在MINIST數據集上，閾值大小與聚合模型的準確率成正比，與損失成反比，閾值設定越大則模型的準確率越高，模型損失值越小即模型性能越好.

為了模擬擁有不同質量的數據集，使用[0，1]范圍內的隨機噪聲替換原本數據集的 Pa 部分.通過改變Pa 的值來模擬不同質量的數據集.表1顯示了當準確度閾值 ρ 為 70% 時， Pa 分別在 0%，10%，30% 和 50% 時不同迭代輪數的模型準確度.實驗表明隨著迭代輪數的增加數據質量越高的參與者得到的聚合模型準確度越高，反之亦然.這說明該方案能夠保證參與者的公平性，從而提升參與者參與聯(lián)邦學習的意愿.

5.2 方案對比

表2將本文方案與文獻[23—25]進行了對比.文獻[23]提供了隱私保護，使用干凈驗證集保證惡意客戶端占多數時仍能夠保護模型的魯棒性，但是沒有考慮到保護模型產權；文獻[24]提供了隱私保護，使用Krum算法只保證在惡意客戶端占少數時模型的魯棒性，此外，該文獻也未考慮模型產權的保護；文獻[25]使用同態(tài)加密保護局部模型的隱私，

但是該框架未考慮模型魯棒性與產權保護；相比較而言，本文保護了模型的隱私性、惡意客戶端占多數時模型的魯棒性以及聚合結果.

由于文獻[25]不能保證模型的魯棒性，因此將本文所提算法與服務器端干凈驗證集[23]、 Krum^[24] 和裁剪均值算法[3]防御投毒攻擊的能力進行了對比.這里將準確率閾值設置為 90% ，分別比較了惡意參與者比例為 10%30%.50% 和 70% 情況下4種方案的聚合模型性能.

由圖3和圖4可以看到，當惡意參與者比例較小時，4種檢測方案的差距不大，模型準確率均保持 90% 左右.當惡意參與者比例達到 50% 時，Krum和裁剪均值算法的準確率開始出現(xiàn)了下降，同時損失也相應地快速增長.當客戶端的數據集質量良好，則所提方案與干凈驗證集防御投毒攻擊的能力近乎相等，且惡意客戶端的數量變化對聚合模型性能影響較小.

由于服務器可以與參與者并行計算，所以通過統(tǒng)計單個實體在單次迭代中所需的時間進行測試.如圖 5所示，將本文算法與文獻[23—25]所提算法的單次迭代時間進行了對比.文獻[23—24]算法單次迭代的時間開銷分別約為本文算法的7倍和5倍.本文算法在保護模型隱私性、魯棒性以及模型知識產權的情況下，單次迭代時間略高于文獻[25」.

6結論

本文設計了一個抗惡意參與者大多數且保護聚合模型不泄露的安全聯(lián)邦學習算法.在參與者上傳局部模型時分別使用差分隱私和隨機數保護了局部模型不泄露；在模型檢測階段通過使用本地數據集作為驗證集從而實現(xiàn)了抗惡意參與者大多數，同時在聚合階段保護聚合模型不泄露給服務器.實驗結果表明，本文算法準確率閾值設置越大模型性能越好.此外，本文算法即使在惡意參與者占多數時仍然能夠檢測出有毒模型.作為未來的發(fā)展方向，本文計劃探索更高效的模型檢測方案，并研究減少聯(lián)邦學習計算和通信開銷的方法.

參考文獻

[1]MCMAHANB，MOREE，RAMAGED，etalCommunication-eficientlearningofdpnetworksfromdecentralizeddataC//Procedings of the 2Oth International Conference on Artificial Intelligence and Statistics.[s.l.]：PMLR，2017.

[2]YANG HM，GE MY，XIANG K L，etal.Using highlycompresed gradients infederated learningfordatareconstructionattcks[J]. IEEE Transactions on Information Forensics and Security，2O22，18：818-830.

[3]SHEJWALKARVHOUMANSADRA.Manipulatingthe Byzantine：ptimizing modelpoisoningatacksanddefensesforfederatedlearning[C]//Proceedings 2021 Network and Distributed System Security Symposium.S.1.]：Internet Society，2021.

[4]范海菊，馬錦程，李名.基于深度神經網絡的遺傳算法對抗攻擊[J].河南師范大學學報（自然科學版），2025，53（2）：82-90. FANHJ，MAJC，LIMGeneticalgorithmbasedondepneuralnetworkforcounteringtacksJ]JouralofHenanNormalUnivesity （Natural Science Edition），2025，53（2）：82-90.

[5]張?zhí)N萍，翟妙如.數據要素的價值釋放及反壟斷治理[J].河南師范大學學報（哲學社會科學版），2022，49（6）：59-65. ZHANGYP，ZHAIMR.ValuereleaseofdataelementsandantimonopolygoveranceJJournalofHnaNormalUniversityPhiloso phy and Social Sciences Edition），2022，49（6） ：59-65.

[6]LIYM，ZHUMY，YANGX，etal.Black-BoxDatasetOwnershipVerificationviaBackdorWatermarking[J].EEETrans.InfForesics Secur，2023，18：2318-2332.

[7]MAZR，MAJF，MIAOYB，etalPocketdiagnosis：securefederatedlearnigagainstpoisoningattckintheloudJ]IEEETransactions on Services Computing，2022，15（6）：3429-3442.

[8]CAO XYFANGMH，LIUJ，etal.FLTrust：ByzantinerobustfederatedlearningviatrustbotstrapingC]/Procedings2Net work and Distributed System Security Symposium.[S.l.]：Internet Society，2021.

[9]XIE C，KOYEJO S，GUPTA 1.Zeno ⁺⁺ ：Robust fully asynchronous SGD[C]// Proceedings of the 37th International Conference on Machine Learning.[S.1.]：PMLR，2020.

[10]GUERRAOUIR，ROUAULTS.ThehddenvulnerabilityofdistrbutedlearnnginbyzantiumC]/Procedingsofthe35thInteatioal Conference on Machine Learning.[S.l.]：PMLR，2018.

[11]SHAYANM，F(xiàn)UNGC，YOONCJM，etal.Biscoti：alockchainsystemforprivate andseurefederatedaringJ].EEETrasactions onParallel and Distributed Systems，2021，32（7）：1513-1525.

[12]TOYCUSJXULetalantieslientfederatedlearngatedg]EEasactisuters964.

[13]LIXYQUZ，HAOSQ，etalLMaralocaldefenseagainstpoisoingatackonfederatedlearingJ]IEEETransactiosoDepend ble and Secure Computing，2023，20（1） ：437-450.

[14]ZHOUJWUNWAGYSetalAdiferentiallprivatefederatedaingmoelagainstpoisoningattcksinedgecomputiEEE Transactions on Dependable and Secure Computing，2023，20（3） ：1941-1958.

[15]MAXUetreegtiseaeduedamp;tef6

[16]LIMJH，CHANCSNGKW，etal.Protect，showatendandtellempoweringimagecaptioningmodelswithwnershiprotectio]. Pattern Recognition，2022，122：108285.

[17]李璇，鄧天鵬，熊金波，等.基于模型后門的聯(lián)邦學習水印[J].軟件學報，2024，35（7）：3454-3468. LI X，DENGPXONGJB，etalFederatedearingwaterarkbasednodelbackdorJ]JoualofSftware，224357）3454-3468.

[18]XUGW，LIHW，ZHANGY，etalPrvacy-preservingfederateddeeplarningithregularusers[J]IEEETransactiosonepedable and Secure Computing，2022，19（2）：1364-1381.

[19]高瑩，陳曉峰，張一余，等.聯(lián)邦學習系統(tǒng)攻擊與防御技術研究綜述[J].計算機學報，2023，46（9）：1781-1805. GAO Y，CHENXF，ZHANGYY，etal.Asurveyof ttackanddefense techiquesforfederated learingsystemsJ].ChineseJouralof Computers，2023，46（9）：1781-1805.

[20]BELLARE M，GOLDREICHO，GOLDWASSERS.Incrementalcryptography：thecaseof hashing andsigning[C]//Advancesin Cryptology— CRYPTO94.Berlin，Heidelberg：Springer Berlin Heidelberg，1994：216-233.

[21]張恩，秦磊勇，楊刃林，等.基于彈性秘密共享的多方門限隱私集合交集協(xié)議[J].軟件學報，2023，34（11）：5424-5441. ZHANGE，QINLY，YANGRLetalMulti-partythreshold private setintersectionprotocolbasedonrobustsecretsharingJoural of Software，2023，34（11）：5424-5441.

[22]HUANGL，JOSEPHAD，NELSONB，etalAdversarialmachinelearing[C]/Procedingsofthe4thACMWorkshoponSecurityand Artificial Intelligence.Chicago： ACM，201l：43-58.

[23]LIUH，ZHAGSP，ZHANGPF，etalBlockchainandfederatedaringforcolborativeintrusiodetectioninvicularedgeopu ting[J].IEEE Transactions on Vehicular Technology，2021，70（6） ：6073-6084.

[24]方晨，郭淵博，王一豐，等.基于區(qū)塊鏈和聯(lián)邦學習的邊緣計算隱私保護方法[J].通信學報，2021，42（11）：28-40. FANG C，GUOYB，WANGYF，etal.dgecomputingprivacyprotection methodbasedonblockchainandfederatedlearingJ]Jounal on Communications，2021，42（1l）：28-40.

[25]KUHCSUSIOW，ZHNGYD，etalPrivacy-PreservingfederatedlearninginmedicaldiagnosiswithomomorphicreEcrtionJ]. Computer Standards amp; Interfaces，2022，80：103583.

The aggregation model protection algorithm in scenarios with majority of malicious participant

Zhang Ena'b，Gao Tinga，Huang Yuchena （a. College of Computer and Information Engineering；b. Engineering Lab of Intelligence Business and Internet of Things of Henan Province，Henan Normal University，Xinxiang 453o07，China）

Abstract：Privacy-preserving federated learning can help multiple participants builda machine learning model. However， this methodisdificulttodefendagainstpoisoningattackswhenmalicious participantsareithemajority.Additionalyusers orservers may privatelyselltheaggregated model.Toaddress these issues，asecure aggegationschemeisproposed toresist most malcious participants while protecting the privacyoftheaggegatedresult.Inthe training phase，participants usediffer ential privacynoiseandrandom numbers toprotecttheirlocalmodels.Then，participants testtheaccuracyofdiferentialprivacy models of other participants and record the results in a vector.Finaly，participantsand the server execute the oblivious transfer protocol to obtain the aggregated model.Thesecurityand correctness are proved through a security analysis.The experimentalresults show thatthe algorithm can maintain good detection abilityeven when malicious participants arein he majority and ensure the fairness of the participants to some extent.

Keywords： federated learning；privacy-preserving；oblivious transfer； homomorphic Hash

[責任編校 陳留院 楊浦]