來源：大數據期刊

聯邦學習隱私保護研究進展

王健宗,?孔令煒,?黃章成,?陳霖捷,?劉懿,?盧春曦,?肖京

平安科技（深圳）有限公司，廣東 深圳 518063

?摘要：針對隱私保護的法律法規相繼出臺，數據孤島現象已成為阻礙大數據和人工智能技術發展的主要瓶頸。聯邦學習作為隱私計算的重要技術被廣泛關注。從聯邦學習的歷史發展、概念、架構分類角度，闡述了聯邦學習的技術優勢，同時分析了聯邦學習系統的各種攻擊方式及其分類，討論了不同聯邦學習加密算法的差異?？偨Y了聯邦學習隱私保護和安全機制領域的研究，并提出了挑戰和展望。

關鍵詞：聯邦學習?;?聯邦學習系統攻擊?;?隱私保護?;?加密算法

論文引用格式：

王健宗, 孔令煒, 黃章成, 等. 聯邦學習隱私保護研究進展[J]. 大數據, 2021, 7(3): 130-149.

WANG J Z, KONG L W, HUANG Z C, et al. Research advances on privacy protection of federated learning[J]. Big Data Research, 2021, 7(3): 130-149.

1 引言

大數據、人工智能和云產業等的爆發式發展，一方面為傳統行業帶來升級變革的新機遇，另一方面也給數據和網絡安全帶來了新挑戰。不同行業的公司會收集大量的數據信息，同一企業下不同層級的部門也會收集不同的信息，由于行業間的競爭和壟斷，以及同一企業下不同系統和業務的閉塞性與阻隔性，很難實現數據信息的交流與整合。當不同的企業之間，以及同一企業下屬不同部門之間需要合作進行聯合建模時，將面臨跨越重重數據壁壘的考驗。這類挑戰也被稱為數據孤島問題。

早期的分布式計算試圖通過整合不同來源的數據進行分布式的建模，從而解決這類數據孤島問題。分布式建模將具有龐大計算量的任務部署到多臺機器上，提升了計算效率，減少了任務耗能。但是分布式機器學習依舊存在問題，重量級的分布式系統架構通常會產生巨大的溝通成本，影響數據的傳輸和處理效率。隨著人工智能技術的進一步發展和更廣泛的應用，數據隱私敏感性問題日益被重視。大規模的數據傳輸不可避免地會涉及隱私泄露問題，對于異構數據的聯合訓練和隱私安全問題，依然沒有找到一個令人滿意的解決方案。

聯邦學習（federated learning，FL）給上述難題提供了解決方案。聯邦學習是由谷歌公司在2016年率先提出的概念，該技術在數據不共享的情況下完成聯合建模共享模型。具體來講，各個數據持有方（個人/企業/機構）的自有數據不出本地，通過聯邦系統中加密機制下的模型參數交換方式（即在不違反數據隱私法規的情況下），聯合建立一個全局的共享模型，建好的模型為所有參與方共享使用。相對于分布式計算，聯邦學習有更多的優勢，例如在隱私保護領域，聯邦學習從算法層面上設計并考慮了客戶端間傳輸信息的加密。本文主要從隱私保護和安全加密的角度，對聯邦學習進行系統綜述。

本文的主要貢獻如下。

● 本文對聯邦學習的歷史進行了詳細的敘述，從安全隱私的分布式學習發展到現在的聯邦學習系統，總結了聯邦學習發展的歷程。

● 本文從新的角度闡述了聯邦學習的類型。與傳統方式不同，本文從面向企業（to business，ToB）和面向客戶（to customer，ToC）的應用場景的區別出發，分析了聯邦學習的不同。

● 詳細地從聯邦學習攻擊的角度分析聯邦系統面臨的各種可能的攻擊手段，并系統地將聯邦學習的攻擊手段進行了分類總結。

● 聯邦學習的加密機制在一定程度上可以抵御一些聯邦學習攻擊，或者大大增加攻擊的難度。本文從加密算法的角度詳細討論了聯邦學習的加密機制。

2 聯邦學習概述

2.1 聯邦學習的歷史

隨著人工智能的發展，聯邦學習可以追溯到分布式學習的誕生，其學習的模式與分布式學習相似，但又有很多不同之處，主要表現在中心控制權、節點穩定性、通信代價、數據分布和數據量級上。聯邦學習概念的正式確立得益于谷歌的推動，谷歌在2016年提出了聯邦學習概念，聯邦學習這一名詞開始頻繁地出現。

前述的聯邦學習與分布式學習的差異最終體現在對隱私保護的要求上。分布式計算為人工智能和大數據的結合提供了算力基礎，保證了大規模的數據能夠被有效地使用和學習。但隨著社會的發展，無論是機構還是個人對隱私保護的要求越來越嚴格。不同的機構甚至因為個人隱私問題不愿意共享自己的數據，大數據時代面臨著前所未有的挑戰。此時，大數據時代迫切地需要一種能夠提供隱私保護的技術來彌補分布式學習的不足。如果隱私保護技術能夠做到在使用數據聯合訓練的同時，任何一方都無法知曉他人的數據，就可以激勵更多的機構和個人提供數據，促進相關領域發展。聯邦學習就是在這一背景下孕育而生的，其特性就是能夠保證各參與方在不共享數據的前提下，進行隱私保護下的聯邦建模。聯邦學習的隱私保護技術不僅體現在機器學習建模上，對于區塊鏈場景下存在的安全問題，也已經有學者考慮用聯邦學習的方法來解決。

2.2 聯邦學習的定義和分類

對聯邦學習的定義和分類有很多，目前還沒有統一的標準。在學術上被廣泛認可的是由Yang Q等人提出的相關定義和分類。下面簡述聯邦學習的相關定義及分類。

2.2.1 聯邦學習的定義

對于一次聯邦學習建模任務 ，設有?個數據擁有方參與（以下簡稱參與方）此次建模任務，定義參與方擁有的數據集為。聯邦學習的做法不再是將其簡單地聚合起來形成一個新的數據集，從而完成下一階段的訓練任務。設在一次聯邦建模任務完成后的全局模型為，對應的聚合后訓練所得模型為。一般而言，全局模型由于存在參數交換和聚合的操作，在整個訓練過程中會出現精度損失，即全局模型的表現不如聚合模型的表現。為量化這一差異，定義全局模型在測試集上的表現為，聚合模型在測試集上的表現為。此時定義模型的δ-精度損失為：

其中，δ為非負數。但在實際情況下，最終無法獲取聚合模型，因為聯邦學習的基本要求是隱私保護。

2.2.2 聯邦學習的分類

對聯邦學習的分類，廣為人知的是由Yang Q等人提出的橫向聯邦學習、縱向聯邦學習以及聯邦遷移學習。這種分類方式是從用戶維度和特征維度的重疊情況考慮的。但在實際的生產中，更多的是依據業務場景考慮實際的分類情況。在業務上經常提及的是B端業務和C端業務，對應的聯邦學習的分類也與這種業務分類方式有關，定義聯邦學習的分類為ToB和ToC兩大場景。

對于ToB場景的聯邦學習來說，其主要服務對象為機構、公司和政府等。在這種聯邦學習的場景下，參與方之間通過新增一個信任第三方作為中心服務器，協作各參與方完成聯邦學習的過程，同時可以保證中間傳輸內容的可審計性。通常中心服務器的作用是控制參數交換、中間計算以及訓練流程。

對于ToC場景的聯邦學習來說，聯邦建模的參與方主要以邊緣端計算設備為主，通常這類聯邦學習的參與方數量較多、算力較低。針對這樣的場景，若仍保留中心服務器，其作為流程控制節點的特性會被弱化，往往聯邦模型更新的功能會被集成在每一個參與方的計算節點上。ToC中的參與方通過獲取聯合建模的模型，達到提升本地模型的效果的目的。

2.3 聯邦學習架構

本節將介紹聯邦學習系統的基礎架構。由于不同的聯邦學習任務具有不同的學習場景，因此聯邦學習架構的設計也是不同的。從這些復雜架構中，筆者總結出以下兩種基礎的架構模式。一種是服務器客戶端架構，另一種是端對端架構。根據聯邦學習應用場景的復雜度、安全需求，筆者將采用不同的架構。同時，當應用場景特別復雜時，筆者可以根據需求將這兩種基礎的聯邦學習架構進行拼接組合，從而形成一種混合的聯邦學習架構。

在很多橫向聯邦學習應用場景中，參與訓練的參與方數據具有類似的數據結構（特征空間），但是每個參與方擁有的用戶是不相同的。有時參與方比較少，例如，銀行系統在不同地區的兩個分行需要實現聯邦學習的聯合模型訓練；有時參與方會非常多，例如，做一個基于手機模型的智能系統，每一個手機的擁有者將會是一個獨立的參與方。針對這類聯合建模需求，可以通過一種基于服務器客戶端的架構來滿足很多橫向聯邦學習的需求，如圖1所示。將每一個參與方看作一個客戶端，然后引入一個大家信任的服務器來幫助完成聯邦學習的聯合建模需求。在聯合訓練的過程中，被訓練的數據將會被保存在每一個客戶端本地，同時，所有的客戶端可以一起參與訓練一個共享的全局模型，最終所有的客戶端可以一起享用聯合訓練完成的全局模型。如圖1所示，云服務器作為中心的服務器進行聯合訓練模型參數的聚合，每一個參與方作為客戶端通過與服務器之間進行參數傳遞來參與聯合訓練。服務器客戶端架構的聯合訓練的過程如下。

步驟1：中心服務器初始化聯合訓練模型，并且將初始參數傳遞給每一個客戶端。

步驟2：客戶端用本地數據和收到的初始化模型參數進行模型訓練。具體步驟包括：計算訓練梯度，使用加密、差異隱私等加密技術掩飾所選梯度，并將加密后的結果發送到服務器。

步驟3：服務器執行安全聚合。服務器只收到加密的模型參數，不會了解任何客戶端的數據信息，實現隱私保護。服務器將安全聚合后的結果發送給客戶端。

步驟4：參與方用解密的梯度信息更新各自的本地模型，具體方法重復步驟2。

圖1???服務器客戶端架構

這個架構可以保證所有的參與方不會泄露個人的信息，也不會泄露信息給服務器，服務器只負責安全聚合加密的模型參數，并且發送給所有的客戶端，保證了大家可以共享聯合訓練的模型。重復這個過程，直到損失函數可以收斂，就可以完成整個聯合模型的訓練。

在一些縱向聯邦學習的應用場景中，通常參與訓練的參與方有很多重疊的用戶，但是關于用戶的數據結構是不相同的。例如，在同一個城市的銀行系統和電商系統，它們的用戶群體大部分是本地住戶，會有大量的用戶重疊，但是兩個公司收集到的用戶信息是不相同的。雙方是不能共享兩邊的用戶信息的，如果需要聯合訓練一個模型，將會有很大的難度，需要將相同用戶的不同特征在加密的狀態下進行聚合，從而在增強模型能力的同時保證用戶數據隱私。有的情況下，由于安全信任的緣故，公司雙方可能不會達成第三方服務器的共識。因此，基于端對端（peer-topeer）的聯邦學習框架被提出。圖2描述了端對端聯邦學習架構。每一個參與方可以通過廣播將自己的訓練參數傳遞給其他所有的參與方，或者通過循環傳遞鏈往下一個參與方傳遞參數。端對端的聯合訓練過程步驟如下。

步驟1：參與方使用本地數據和初始化模型參數進行模型訓練。

步驟2：參與方加密傳遞參數。具體步驟包括：計算訓練梯度，使用加密、多方安全計算等方法將加密后的參數結果廣播給其他所有的參與方。如果是鏈式傳遞模型，就只將模型參數傳遞給鏈式下端的參與方。

步驟3：參與方收到其他所有的加密模型參數之后進行安全聚合。

步驟4：解密并繼續進行模型訓練，更新本地模型。如果是鏈式傳遞模型，則接收到鏈式上端的參與方模型參數數據后進行安全聚合，解密后繼續進行模型訓練。重復步驟2。

圖2???端到端聯邦學習架構

在處理現實中更加復雜的聯邦學習應用時，一種單獨的框架可能不足以滿足所有的需求。因此，需要將兩種框架融合起來，形成混合框架，例如在包含中央節點的服務器客戶端架構中，一個客戶端集群下包含著一個端到端的聯邦學習架構子集，以滿足現實中的具體應用。

2.4 聯邦學習的隱私保護和安全需求

在當前大數據的大環境下，人工智能算法在以機器學習、深度學習等基礎算法為基礎，為人們生活提供便捷的同時，也面臨新的挑戰。用戶在享受人工智能帶來的服務的同時，也越來越注重個人隱私的保護。同時，政府機構也出臺了越來越嚴格的法規來保護機構之間的數據安全和隱私。因此，研究如何在保障安全以及隱私的前提下繼續提供優質人工智能服務的大數據架構，成為新時代人工智能研究的新趨勢。以智能零售為例，系統需要將用戶的銀行信息、社交網絡信息、電子商城信息結合在一起，組成一個更優質的客戶個性化產品推薦服務，但是不同的企業之間不能夠暴露各自用戶的隱私信息，僅通過傳統的機器學習是無法在如此嚴格的數據障礙下，完成這樣的智能零售服務的。聯邦學習就是為了解決類似的行業難題而建立起來的關鍵技術。

在解決用戶隱私問題上，聯邦學習相對于傳統機器學習具有多種優勢。首先，聯邦學習實現了數據的隔離，客戶數據始終被保存在本地，從而滿足了用戶隱私保護和數據安全的需求。在保證所有參與方數據獨立的前提下，聯邦學習的模型訓練主要通過信息與模型參數的加密交換完成一個聯合模型，為所有人提供服務，在保護隱私的前提下促進了參與方之間的公平合作和共贏。其次，聯邦學習滿足了市場監管的需求。在歐盟提出《通用數據保護條例》（GDPR），國內提出《中華人民共和國網絡安全法》《中華人民共和國電子商務法》的背景下，數據隱私保護的法律法規會越來越嚴格化、全面化。企業需要保證用戶數據的收集必須公開透明，企業之間不能在沒有用戶授權的基礎上私自交換用戶數據。過去可行的人工智能算法在這些嚴格的數據隱私保護前提下變得不太可行。因此需要有更高安全要求和隱私要求的聯邦學習來幫助實現大數據產品和服務的提供。

盡管聯邦學習這種交換模型參數而不交換具體數據的訓練方式可以有效地保護用戶的隱私，聯邦學習依然面臨一些安全性的風險。首先，聯邦學習沒有對參與方進行檢測和校驗，例如，沒有審核參與方提供的參數模型是否真實。因此，惡意的參與方有可能通過提供虛假的模型參數來攻擊和破壞聯邦學習訓練過程。這些虛假參數未經過校驗就與正常的參數進行聚合，將會影響整體模型的最終質量，甚至會導致整個聯邦學習過程無法收斂成一個可用的模型，進而導致訓練失敗。其次，聯邦學習需要考慮是否對訓練過程中的參數傳遞和存儲進行隱私保護。一些研究表明，惡意的參與方可以依據聯邦學習梯度參數在每一輪中的差異，反向推測出用戶的敏感數據。因此，不通過加密保護的參數被泄露，在一定的程度上是可以成為攻擊目標，從而間接泄露用戶隱私數據的。

接下來將深入介紹聯邦學習在隱私保護領域的前沿技術，詳細探討每一種隱私保護技術的原理、應用、潛在的挑戰和未來的發展方向。聯邦學習中常見的隱私保護技術包括安全多方計算（secure multi praty computation，SMC）和差分隱私。本文將這些隱私保護技術分為降噪隱私保護和加密隱私保護兩大類。

降噪隱私保護主要是通過差分隱私等方法實現的。其主要原理是給數據添加噪聲，或者使用歸納方法隱藏參與方的某些敏感屬性，直到第三方無法通過差分攻擊來區分個人為止，使數據無法還原，從而達到保護用戶隱私的目的。但是這類方法會帶來模型準確性上的損失，因此這種降噪隱私保護通常需要在參與方隱私與模型準確性之間進行權衡。

加密隱私保護主要是通過安全多方計算、同態加密等方法來實現的。安全多方計算成本較高，為降低數據傳輸成本，參與方可能需要降低對數據安全的要求來提高訓練的效率。同態加密能夠對所有數據進行加密處理，參與方接收到的是密文，攻擊者無法推理出原始數據信息，從而保障數據層面的安全。因此，加密隱私保護通常需要設計復雜的加密計算協議來隱藏真實的輸入和輸出。參與方和服務器之間傳遞的都是加密以后的參數信息，從而保證了這些加密過的參數信息即使被攻擊，也不會泄露模型和用戶隱私。但是加密隱私保護在計算量和模型效率上有更高的要求，因此這種加密類型的隱私保護通常需要在參與方計算效率和模型安全性之間進行權衡。

3 聯邦學習攻擊類型

3.1 聯邦學習的隱私保護問題

聯邦學習提供了一種可以保護用戶數據隱私的訓練模型，從而實現了參與方之間數據不共享而模型共享的機制。但是，最近一些工作表明，聯邦學習可能并不能保證提供足夠的隱私保護能力。例如，在聯邦學習訓練的參數通信更新的過程中，有可能會泄露一些敏感的信息。這些模型迭代過程中深層次的信息泄露可能由第三方攻擊者造成，也可能通過中央服務器泄露。例如，參考文獻介紹了一種通過一小部分原始的梯度信息，反推出原始數據信息的隱私泄露方法。參考文獻介紹了惡意攻擊者通過部分更新的梯隊信息竊取原始數據的攻擊方法。

在聯邦學習被提出之前，機器學習的隱私保護問題一直是一個熱門研究課題。作為一個創新科技，聯邦學習與之前的隱私保護類型的研究領域也是緊密關聯的。例如，隱私保護機器學習領域、基于安全性的分布式的機器學習、隱私安全類型的邊緣計算等研究領域的進展，都對聯邦學習隱私保護的研究提供了很好的參考和幫助。

盡管聯邦學習提供了隱私保護的機制，還是有各種類型的攻擊方式可以攻擊聯邦學習系統，從而破壞聯邦學習系統安全和參與方的隱私。本節將討論關于聯邦學習的攻擊問題。從參與方的類型來看，可以將聯邦學習的威脅模型細分為半誠實模型（semi-honest model）和惡意模型。對于聯邦學習系統的攻擊，本文按照不同的維度進行不同層次的分類。從攻擊方向角度來看，可以將聯邦學習的攻擊分為從內部發起和從外部發起兩個方面。從攻擊者的角色角度來看，可以將攻擊分為參與方發起的攻擊、中心服務器發起的攻擊和第三方發起的攻擊。從發動攻擊的方式角度來看，可以將攻擊分為中毒攻擊和拜占庭攻擊。從攻擊發起的階段角度，可以將攻擊分為模型訓練過程的攻擊和模型推斷過程的攻擊。

3.2 聯邦學習威脅模型類型

聯邦學習系統是一種安全模型，需要根據需求設定相應的安全協議以及所需要的安全假設。在密碼學領域，基于模型安全的假設通?？梢员环譃榘胝\實但好奇（honest but curious）的攻擊方假設以及惡意攻擊方假設。

3.2.1 半誠實但好奇的攻擊方

半誠實但好奇的攻擊方假設也被稱為被動攻擊方假設。被動攻擊方會在遵守聯邦學習的密碼安全協議的基礎上，試圖從協議執行過程中產生的中間結果推斷或者提取出其他參與方的隱私數據。目前聯邦學習攻防方面的大部分研究假設模型威脅的類型為半誠實模型，這種模型設定有助于聯邦學習理論研究過程中安全方案的設計。而在現實場景中，由于關于數據的法律法規等因素的約束，參與聯邦學習模型訓練的參與方大部分符合這類半誠實但好奇的攻擊方假設，不會嘗試進行極端的惡意攻擊。

半誠實但好奇的參與方很多時候充當的是客戶端的角色，它們可以檢測從服務器接收的所有消息，但是不能私自修改訓練的過程。在一些情況下，安全包圍或者可信執行環境（trusted execution environment， TEE）等安全計算技術的引入，可以在一定程度上限制此類攻擊者的影響或者信息的可見性。半誠實但好奇的參與方將很難從服務器傳輸回來的參數中推斷出其他參與方的隱私信息，從而威脅程度被削弱。

3.2.2 惡意攻擊方

在設定聯邦學習算法協議時，如果假設參與方為惡意攻擊方，模型協議設定將會更加困難，模型的安全性要求也會更高。惡意攻擊方也被稱為主動攻擊方。由于惡意攻擊方不會遵守任何協議，為了達到獲取隱私數據的目的，可以采取任何攻擊手段，例如破壞協議的公平性、阻止協議的正常執行、拒絕參與協議、不按照協議惡意替換自己的輸入、提前終止協議等方式，這些都會嚴重影響整個聯邦學習協議的設計以及訓練的完成情況。

惡意的參與方可以是客戶端，也可以是服務器，還可以是惡意的分析師或者惡意的模型工程師。惡意客戶端可以獲取聯邦建模過程中所有參與方通信傳輸的模型參數，并且進行任意修改攻擊。惡意服務器可以檢測每次從客戶端發送過來的更新模型參數，不按照協議，隨意修改訓練過程，從而發動攻擊。惡意的分析師或者惡意的模型工程師可以訪問聯邦學習系統的輸入和輸出，并且進行各種惡意攻擊。在這種惡意攻擊方假設的情況下，構造一個安全的聯邦學習密碼協議將會有很大的難度。通常情況下，需要在每一個可能被攻擊的環節中引入安全多方計算協議。因此在相同的需求業務場景下，假設存在惡意攻擊，聯邦學習為了提升安全性，計算和通信代價會大大增加，并且關于協議的設計和實現也會變得更加困難，甚至會出現實際上無法使用聯合訓練的模型的情況，影響最終的產品效果和用戶體驗。

因此，在實際構建聯邦學習業務時，大部分情況下系統面臨的潛在攻擊方來自半誠實但好奇的攻擊方的威脅。由于法律法規的約束以及業務場景下強力的監管機制，惡意攻擊將會承受嚴厲的處罰，因此大部分的研究假設參與方為半誠實但好奇的威脅模型，并且在此假設下構建隱私保護技術方案，從而顯著地提高系統的安全和隱私保護性能，滿足用戶需求和提供優質用戶體驗。

3.3 聯邦學習攻擊類型分類

內部攻擊可以由聯邦學習服務器發起，也可以由聯邦學習參與方發起。外部攻擊（包括偷聽者）通過參與方與服務器之間的通信通道發起。外部攻擊的發起者大部分為惡意的參與方，例如敵對的客戶、敵對的分析者、破壞學習模型的敵對設備或者其組合。在聯邦學習中，惡意設備可以通過白盒或者黑盒的方式訪問最終模型，因此在防范來自系統外部的攻擊時，需要考慮模型迭代過程中的參數是否存在泄露原始數據的風險，這對嚴格的隱私保護提出了新的挑戰。

內部攻擊通常比外部攻擊更強烈，攻擊者更容易通過內部發動攻擊。大部分的聯邦學習攻擊類型屬于內部攻擊類型。本文討論的攻擊方法主要屬于內部攻擊。聯邦學習內部攻擊可以分為以下3種類型。一是中毒攻擊（可以細分為模型中毒攻擊和數據中毒攻擊），以中毒的方式污染或者破壞模型的數據或者模型，從而達到攻擊目的。例如Bagdasaryan E等人和 Bhagoji A N等人介紹了一個惡意參與方攻擊模型導致分類精度大幅下降的方法。惡意攻擊者有時為了達到攻擊目的，會同時使用數據中毒攻擊和模型中毒攻擊。二是拜占庭攻擊，拜占庭惡意參與方會隨機或者故意改變自己的輸出，致使模型無法正常收斂，同時每次迭代可以輸出類似的梯度更新結果，并且使得自己更難被發現。三是女巫攻擊，攻擊方偽裝為參與方攻擊聯邦學習模型，導致模型效果顯著降低。

3.3.1 中毒攻擊

一種中毒攻擊是通過數據中毒發起的。數據中毒攻擊方不能直接攻擊發送給服務器的信息，而是通過替換本地數據的標簽或特定的特征來操作客戶端數據，從而發起攻擊。當攻擊方只能影響聯邦學習系統邊緣的數據收集過程，不能直接破壞學習系統中的導出量（例如模型更新）時，這種攻擊往往很難被察覺。數據中毒是一種比模型中毒更具限制性的攻擊類型，但是這種攻擊方式更具有隱秘性。由于聯邦學習會假定參與方遵守協議誠實地參與聯邦訓練，在實際部署中，檢測有毒數據是一項很有挑戰性的工作。參考文獻設計了一種專門針對中毒攻擊的數據凈化方法，達到移除模型的中毒數據或其他異常數據的目的。參考文獻在此基礎上使用具有魯棒性統計的數據凈化方法抵御數據中毒，并且證明了該方法在少量異常值下能夠保證魯棒性。該方法在應對有針對性的數據中毒攻擊以及無針對性的數據中毒攻擊方面都取得了一定程度的成功。

另一種中毒攻擊是通過模型中毒發起的。例如參考文獻介紹了通過加入后門的方式進行模型中毒攻擊來攻擊聯邦學習系統。聯邦學習的任何參與方都可以在聯邦全局模型中引入隱藏的后門功能。例如致使圖像分類器固定地識別出特定的標簽結果，或者語義理解模型固定輸出特定的錯誤結論。這種模型替換技術可以控制一個或多個攻擊方“后門攻擊”全局模型，使得最終的模型在攻擊方選擇的輸入上表現不正確。攻擊可以由一個參與方發起或者由多個參與方一起發起。實驗結果顯示，模型中毒攻擊比只針對訓練數據的數據中毒攻擊更嚴重。

部分研究考慮如何從攻擊策略上讓模型中毒攻擊更有效。參考文獻研究了聯邦學習的模型中毒攻擊問題，并且調整聯邦學習中不同的攻擊策略，從而實現更好的攻擊效果。作者使用不同的策略進行攻擊，例如，通過加速惡意參與方的更新速度來覆蓋其他參與方的更新效果；通過變換最小化策略，變換和最優化訓練損失函數以及攻擊的目標函數等；通過預測良好節點的更新參數等策略提高模型中毒攻擊的成功率。該文獻展示了惡意攻擊方通過這些攻擊策略不僅可以實現模型攻擊的目的，同時還能夠保證攻擊的隱秘性，使攻擊不容易被系統發現。該文獻的不足是目前的實驗只基于服務器客戶端的多參與方架構，在多方安全計算的對等網絡架構下，攻擊難度會更大，進行策略優化后的模型中毒攻擊方案能否一樣高效還未知。

還有些模型中毒攻擊不是為了破壞整個模型，而是為了讓模型按照自己的想法表現。參考文獻研究了神經網絡中的中毒攻擊問題。該文獻提出一種基于優化的中毒生成方式，有效地證明了對遷移學習的圖像分類器的攻擊效果。該文獻提出的方法是一種不需要控制標簽功能的干凈標簽攻擊方法，這使得中毒的訓練數據似乎被正確地貼上了標簽，從而達到不僅使攻擊難以檢測，而且為攻擊方成功打開大門的攻擊目的，并且攻擊過程無須訪問任何內部數據收集或者標記過程。

3.3.2 拜占庭攻擊

拜占庭攻擊主要考慮的是多用戶的情況。攻擊方控制了多個用戶，這些用戶被稱為拜占庭用戶。拜占庭用戶可以給中心服務器發送任意參數，而不是發送本地更新后的模型參數。這種攻擊會導致全局模型在局部最優處收斂，甚至導致模型發散。假設拜占庭客戶端擁有了訪問聯邦學習模型的權限，或者擁有非拜占庭式客戶端更新的白盒訪問權限，通過正常的模型更新調整輸出，難以被系統檢測。對于拜占庭類型的攻擊，參考文獻提出通過冗余和數據洗牌的更新防御機制來防御拜占庭攻擊，但是存在的問題是，這些機制通常具有嚴格的理論保證，并且建立在一些難以實現的假設上。例如，需要假定服務器可以直接訪問數據，這些假設與聯邦學習的實現存在矛盾，并且會增加通信成本。如何在聯邦學習中協調和實現這種基于冗余的防御拜占庭攻擊機制是一個很有挑戰的問題。

3.3.3 女巫攻擊

在聯邦學習中，參與聯邦訓練的參與方需要信任服務器的專用通信渠道，與此同時，服務器也需要以公平和誠實的方式對待客戶群。女巫攻擊一般指網絡中的單一節點可能具有多個身份標識，并且通過其控制系統的大部分節點來削弱網絡冗余備份的作用。例如在社交網絡中，可以通過少數節點控制多個虛假的身份，然后利用這些身份控制或者影響網絡的大量正常節點。女巫攻擊方式包括直接通信、偽造或者盜用身份、同時攻擊和非同時攻擊等方式。在聯邦學習的服務器客戶端架構的訓練模型中，發動惡意攻擊的參與方可以控制服務器，并偽造大量的客戶端設備或者控制設備池中曾經受到破壞的設備，從而發動女巫攻擊。這種攻擊破壞了聯邦學習協議的安全性，與此同時，有些聯邦學習協議出于隱私考慮會將參與方的輸入進行混合洗牌，這樣會導致難以區分誠實用戶和惡意用戶，增加了抵御女巫攻擊的難度。由于聯邦學習系統不需要限制攻擊方的數目，不需要訓練過程以外的信息，并且對參與方以及他們的數據有更少的設定限制，現有的傳統防御策略往往不足以抵御聯邦學習過程中的女巫攻擊。

Fung C等人提出了一種叫作FoolsGold的抵御方法，用來抵御聯邦學習中中毒方式的女巫攻擊。具體的方法是根據貢獻相似度動態適應客戶端的學習速率，從而在分布式學習過程中通過大量的客戶端更新信息識別出有毒的女巫攻擊。但是不足之處是這種防御方式只能減輕女巫攻擊，并且只在同時有很多攻擊假設時才有效，例如假設攻擊類型為變換標簽策略或者后門策略時奏效。

3.4 聯邦學習攻擊的階段分類

3.4.1 訓練階段的攻擊

在訓練過程中，攻擊方可以試圖學習、影響或者破壞聯邦學習模型。在聯邦訓練的過程中，攻擊方可以通過數據中毒攻擊的方式改變訓練數據集合收集的完整性，或者通過模型中毒攻擊改變學習過程的完整性。攻擊方可以攻擊一個參與方的參數更新過程，也可以攻擊所有參與方的參數更新過程。

訓練過程中的攻擊有時會被用作推理階段的攻擊的初始階段。許多針對推理階段的攻擊的防御措施是在訓練階段部署的。在訓練階段，攻擊者可以通過數據中毒、模型中毒等方式進行對抗攻擊。在訓練階段，除了單個對手發動攻擊的情況，還存在多個對手配合攻擊的情況。不同的對手入侵不同的客戶端并且進行協調配合，從而完成中毒攻擊。這種攻擊比單獨發動的攻擊更加高效。多個惡意攻擊方在訓練階段通過共謀發動的攻擊給聯邦學習的防御帶來了新的挑戰，當參與聯邦學習的設備多達成千上萬的級別之后，攻擊方會在不定期的訓練輪次中互相配合發動攻擊，對于多參與方的聯邦學習模型來說，如何找到這些訓練過程中的惡意攻擊方是一個很大的考驗。

3.4.2 推理階段的攻擊

若聯邦學習的參與方想利用各方的數據集合訓練一個模型，但是又不想讓自己的數據集泄露給服務器，就需要約定聯邦建模的模型算法（例如神經網絡）和參數更新的機制（例如隨機梯度下降（stochastic gradient descent，SGD））。那么在訓練前，攻擊方就可以獲取聯邦學習參數更新的機制，從而指定對應的推斷攻擊策略。在理想條件下，一般假設參與方為兩個：一個是被攻擊方，另一個是攻擊方。

推理攻擊也被稱作探索攻擊（入侵攻擊）。通常情況下，推理攻擊不會破壞目標模型，而是影響模型，從而使其輸出錯誤的結果（或者攻擊方希望的結果）。這種攻擊的成功率或者有效性，在很大的程度上依賴于攻擊方對整個模型的了解程度。推理攻擊可以被分為白盒攻擊和黑盒攻擊。白盒攻擊可以完全使用聯邦學習模型；黑盒攻擊只能查詢聯邦學習模型。與機器學習不同，在聯邦學習中，服務器維護的聯邦學習模型需要與很多的惡意客戶端進行參數傳遞，因此，聯邦學習需要更多地考慮如何抵御白盒入侵攻擊?，F在大部分的攻擊類型屬于訓練階段的攻擊，屬于推理階段的攻擊比較少。聯邦學習攻擊類型見表1。

3.5 聯邦學習不同場景的攻擊

在工業界，聯邦學習通常會被分為To B和To C兩種場景。比較有代表性的ToB場景有微眾銀行FATE聯邦學習平臺、平安科技聯邦學習平臺“蜂巢”系統等。這種模式主要應用于企業之間以隱私保護為目的的聯邦學習應用。比較有代表性的ToC場景為谷歌公司，例如移動設備的鍵盤輸入內容建議的應用。針對不同的場景，上述各類型的攻擊方式會有不同的攻擊效果。

3.5.1 ToB 場景的攻擊

針對ToB場景，通常情況下參與聯邦學習訓練的是企業，并且參與的企業數目通常是比較少的。例如銀行系統內部的不同部門聯合建立模型，或者某個銀行系統和某個電商系統聯合建立模型。企業之間通常在有一定信任基礎的前提下才會簽訂一些安全隱私的合作協議，并且雙方都會遵循聯邦學習的訓練協議，不會惡意攻擊模型的收斂方向。但是在有些情況下，企業可能會根據服務器端接收到的模型參數進行反向推理，試圖得到合作方的數據信息，目前這類攻擊是比較常見的攻擊方式。企業參與方不會用中毒數據或者中毒模型惡意攻擊和破壞聯邦學習的訓練過程，而是遵照協議協同訓練有益于每個合作企業方的聯合模型，但是有可能存在某些企業試圖獲取別的企業的隱私數據的行為。拜占庭攻擊之類的方式需要多個參與方協同配合破壞聯邦學習的訓練流程，此類攻擊方式更適用于參與方很多的情況，很難在ToB場景下應用。由于參與聯合訓練的企業對聯合模型的內部結構十分了解，并且參與了整個訓練過程的參數更新，因此這種情況下的攻擊多數為白盒攻擊。

3.5.2 ToC場景的攻擊

針對ToC場景，通常情況下參與聯邦學習訓練的是普通客戶端，并且參與訓練的客戶端通常是非常多的。例如谷歌推出的一些基于聯邦學習的應用，包括移動設備上的應用程序排名、移動設備的鍵盤輸入內容建議、谷歌輸入的下個詞匯預測等，聯邦模型的參與方很可能是來自上百萬個用戶的鍵盤輸入信息，或者是移動終端使用過程中的隱私信息。這種類型的應用通常也是采用基于服務器客戶端的架構。由于很多參與方都是移動終端（例如手機），因此很難約束和確保每一個終端都能遵守某種協議，這種情況下會發生更多的惡意攻擊。這種應用情形下，客戶端通常不會對其他客戶端的隱私數據感興趣，而是對聯合模型更感興趣。有的客戶端會試圖破壞聯合模型，使聯合模型難以收斂完成訓練，例如敵對公司組織大量的惡意移動客戶終端發動攻擊。有的客戶端試圖改變聯合模型，使最后的推理結果更有利于自己，例如在移動鍵盤輸入內容建議中，發動數據中毒攻擊，使聯合模型多關聯有利于自己公司的產品或者關鍵詞?？蛻舳丝梢酝ㄟ^惡意中毒數據或者惡意中毒模型的方式參與聯邦學習訓練。因此，這種ToC場景下的聯邦學習往往會在客戶端選擇的角度進行優化，通過一些隨機方式篩選優質的訓練客戶端，從而減輕這類惡意攻擊的危害，同時也增加了攻擊的難度。拜占庭攻擊、女巫攻擊等方式非常適合這一類ToC場景的聯邦學習，并且有時通過一些惡意客戶端的協同配合（例如在不同的訓練參數更新輪次選擇性地發動攻擊），將會有不錯的攻擊效果，同時也具有很好的隱蔽性，不容易被發現。這類復雜的多參與方協同配合的惡意攻擊，是ToC場景的聯邦學習面臨的比較大的挑戰。

4 聯邦學習的加密通信

數據的隱私保護是聯邦學習的重要特性，增強隱私保護也是聯邦學習抵御攻擊的一種方式。考慮一個完整的聯邦學習過程，在整個過程中聯邦學習都應該保證數據持有方的數據隱私性，即保護用戶數據本地化。一些中間信息的共享也可能導致信息泄露，例如模型更新或梯度信息，因此對隱私的保護應該是多方面的。關于隱私保護的研究已經比較充分，在設計聯邦學習系統時可以利用這些成果。在實現聯邦學習隱私保護的過程中，為了防御攻擊，在實際部署時會使用一些加密技術，如同態加密、哈希表加密等。本節將從安全多方計算、差分隱私和混合加密的角度對聯邦學習的隱私保護進行系統性的論述。

4.1 加密隱私保護機制

4.1.1 混淆電路

混淆電路早在1986年就被提出，用來解決百萬富翁問題，即兩個富翁如何在不暴露自己具體金額的情況下比較誰更富有。在聯邦學習系統中，具體思路為：兩個客戶端分別為A和B，數據集分別為x、y。在聯邦學習任務中，兩個數據集通過函數f(x,y)實現最終的模型訓練。首先，客戶端A選取標簽利用函數f(x,y)進行加密，得到f′=g(f(x,y))。然后發送f′和x對應的標簽到客戶端B。加密函數的操作不可逆，所以客戶端B無法獲得客戶端A中的具體數據x。然后運行不經意間傳輸（oblivious transfer）獲取與y相關的標簽?？蛻舳薆將y進行加密得到y′，并帶入f′，然后解密f′，得到輸出結果。最后將結果發送給客戶端A。在運算過程中，客戶端A和B無法獲得彼此的原始數據，在滿足計算要求的情況下，實現了對數據的保障。

4.1.2 同態加密

一般的加密方案關注的是數據存儲安全，同態加密是一類基于同態原理的特殊的加密函數，其關注的是數據處理安全，其允許直接對已加密的數據進行處理，而不需要知道任何關于解密函數的信息。也就是說，其他人可對加密數據進行處理，但在處理過程中無法得知任何原始數據信息。同時，基于同態加密的計算結果與直接對未加密數據進行計算的結果是一致的。

同態加密定義x和y是明文空間M中的元素，o是M上的運算，Ek(·)是M上密鑰空間為K的加密函數，如果存在一個有效的算法F，使得：

則稱加密函數Ek(·)對運算 o是同態的。在大多數應用場合中，同態加密方案需要支持兩種基本、典型的運算，即加法同態運算和乘法同態運算。同時滿足加法同態和乘法同態的函數被稱為全同態。云計算和分布式機器學習等是同態加密的典型的應用場景，數據持有方傳輸數據前先將數據加密，云服務器在接收到數據后照例計算，只不過是在密文上進行的，待得到結果后再將結果的密文返還給數據持有方，數據持有方解密后即可得到最終結果。

同態加密具有較強的隱私保護能力，但是效率很難提升，主要原因在于加密數據的運算量較大，計算速度比較慢，由此帶來更多的數據存儲空間占用問題。Dai W等人利用CUDA GPU開發cuHE庫，用于加速基于多項式的同態加密，并利用該庫完成了較快的同態塊密碼實現。

在聯邦學習的場景下，需要利用從多個數據源收集的匯總信息來訓練模型，目的是在不披露關于單個數據源的細粒度信息的情況下進行培訓。Yuan J W等人提供了一種安全、高效、準確的“雙同態”加密算法來支持對密文的靈活操作，從而對電子商務數據進行數值分析。Ho Q R等人使用同態加密實現了橫向線性回歸的隱私保護協議。Hardy S等人通過使用實體解析和同態加密對縱向分布數據進行具有隱私保護的聯邦學習。

4.1.3 差分隱私

雖然同態加密可以通過對加密數據進行計算來保護學習過程，然而這些工具要求每個數據源執行大量的加密操作，并傳輸大量的密文，這使得它們反而成為整個系統的負擔。對于聯邦學習系統來說，選擇一個相對簡單且不會對性能造成額外負擔的算法是至關重要的。在這些不同的隱私方法中，差分隱私由于其強大的信息理論保證、算法的簡單性和相對較小的系統開銷而得到廣泛的應用。

差分隱私機制允許某個參與方共享數據集，并確保共享的形式只會暴露想要共享的那部分信息，保護的是數據源中一點微小的改動，解決例如插入或者刪除一條記錄導致的計算結果差異進而產生的隱私泄露問題。例如在數據集D發布之前，輸出擾動機制使用隨機擾動算法F干擾數據集D上的統計信息，這樣擾動算法F的輸出就不會暴露太多關于數據集D中任何特定數據記錄的變量信息。如果一個擾動算法F提供差分隱私保護，那么兩個相鄰的數據集D1和D2中只有一個樣本不同。對于擾動算法F的任何輸出O，一定有：

其中，Pr為當前情況發生的概率值；e為約束因子；γ反映了擾動算法F的隱私保護水平，γ越小，隱私保護水平越高。即如果該擾動算法作用于任何相鄰數據集得到一個特定輸出的概率差不多，就說這個擾動算法能達到差分隱私的效果。即觀察者通過觀察輸出結果很難察覺出數據集的微小變化，從而達到保護隱私的目的。實踐中通常使用拉普拉斯機制（Laplace mechanism）和指數機制（exponential mechanism）實現差分隱私保護。其中，拉普拉斯機制用于針對數值型結果的保護，指數機制用于針對離散型結果的保護。

基于梯度的聯邦學習方法，往往通過在每次迭代中隨機地擾動中間輸出來應用差分隱私。也就是說，聯邦學習的過程不會暴露是否使用某個特定的樣本信息?，F在流行的擾動方式有許多，例如， Wu X等人對梯度數據添加了高斯噪聲， Luca M 等人采用了拉普拉斯噪聲。此外，Bun M等人還提出了一種利用定義一個線性上限a(λ)的方式對梯度進行剪輯，以限制每個參與方對整體更新的影響的方法。增加更多的噪聲和擾動會提供更好的隱私保護，但可能會嚴重損害精度。因此，需要很細心地調整差分隱私和模型精度之間的平衡。Choudhury O等人成功地將差分隱私部署在聯邦學習框架內，用來分析與健康相關的數據，但是試驗證明，差分隱私可能會帶來較大的函數損失值。Geyer R C等人證明了差分隱私對于保障數據持有方的數據隱私的有效性，同時認為大量的數據持有方會使帶有差分隱私的聯邦學習表現得更加穩定，準確率更高。

4.1.4 秘密分享

秘密分享指將原本要傳遞的數據劃分為多個部分，然后將它們依次發送到每個參與方。而僅通過一個或少部分參與方無法還原出原始數據，只有較大部分或者所有參與方將各自的數據湊在一起時，才能還原出原始數據。例如，若參與方C要將數字c分發到其他參與方A₁,A₂,…,A_n中，那么C首先生成n-1個隨機數c₁,c₂,…,c_n-1，然后計算第n個隨機數，最后將c₁,c₂,…,c_n發送給A₁,A₂,…,A_n。因為c_i是隨機數，所以單獨一個或不多于n-1個隨機數時，不會泄露任何信息，只有在c₁,c₂,…,c_n全部出現時，才能得出c，因為。

上面是一個簡單的秘密分享的例子，只有收到數據的所有參與方同時出現，才能恢復數據。根據實際情況需要，還可以選用閾值秘密分享來確定至少需要多少個參與方才能恢復數據。

4.1.5 混合加密

根據上述的聯邦學習隱私性相關技術，一個自然的想法是能否將這些技術進行結合，即使用混合技術進行加密?；谏鲜鱿敕?#xff0c;Pettai M等人將安全多方計算與差分隱私技術結合，用來保護來自不同數據持有方的數據。類似地，Jeong E等人也設計了一種結合了安全多方計算與差分隱私技術的聯邦學習隱私保護系統，這種系統結合降噪差分隱私與加性同態加密，有效地保障了聯邦學習系統的隱私性。Bonawitz K等人將故障共享協議中的秘密共享技術與經過驗證的加密技術結合，以安全地聚合高維技術。除此之外，Xu R H等人提出了一種新的加密方法HybridAlpha，將差分隱私技術和基于功能加密的安全多方計算結合，該方法被證明擁有很好的通信效率。加密保護機制對比見表2。

4.2 加密計算環境

4.2.1 安全多方計算

在當前互聯網場景下，各個公司擁有海量的數據，但是尚不能完成數據之間的安全流轉，安全多方計算針對一組互不信任的參與方之間的協同計算問題提出隱私保護方案，安全多方計算要確保輸入的獨立性、計算的正確性以及去中心化等特征不受影響，同時不泄露各輸入值給參與計算的其他成員。安全多方計算主要針對的是在無可信第三方的情況下，如何安全地計算一個約定函數的問題，同時要求每個參與主體除了計算結果，不能得到其他實體的任何輸入信息，在整個計算協議執行過程中用戶對個人數據始終擁有控制權，只有計算邏輯是公開的。

現在針對多方安全計算的研究越來越多，包括秘密分享、同態加密、混淆電路以及差分隱私在內的各種加密保護機制被運用到該框架中。較為常見的是，利用混淆電路將需要計算的函數轉化為布爾加密電路進行數據和標簽傳送，雙方在此基礎上無法通過標簽反推輸入信息，最終利用該電路完成計算并解密獲取結果。在一些與金融相關的安全多方計算框架中，利用差分隱私對參與方數據添加噪聲，以保護個體隱私。

4.2.2 可信計算環境

可信計算（trusted computing，TC）是可信計算組織（trusted computing group，TCG）推出的一項研究，希望通過專用的安全芯片（TPM/TCM）增強各種計算平臺的安全性。相較于可信計算， TEE更有利于便攜設備的使用。因為該環境中的安全性可以被驗證，可以將聯邦學習過程中的一部分放到可信計算環境中。

與TEE相對應，傳統移動設備的普通運行環境（rich execution environment， REE）技術具有開放性、可擴展性和通用性。但是在數據隱私安全的場景下，需要隔離的可信的環境來處理密鑰和隱私數據。這里TEE與REE之間是相互隔離的，只能通過特定的端口互相通信?？尚庞嬎悱h境硬件機制保護的特性充分保障了數據的隱私安全性。

可信計算環境對聯邦學習系統起到了很好的數據保護作用，為隱私等敏感數據提供了遠程安全計算的保障。TEE已在較多的產品中推廣應用，在阿里云Link TEE系列產品中，針對密碼算法和密鑰管理，利用國密加密算法，進行密鑰層級的架構和管理；在英特爾的SGX（software guard extensions）指令集中也應用了TEE，用于保護敏感數據。

5 結束語

聯邦學習系統的客戶端與服務器之間往往存在很多的通信節點，信息在節點間進行傳輸時，由于端口開放等因素，一旦被監聽就容易產生信息泄露的情況。為了進一步保障數據的隱私安全，需要對聯邦學習系統通信過程進行加密。這方面的安全保障可以從網絡編碼的角度進行考慮，防止監聽的數據被解析。除了客戶端設備的異構性， 數據的隱私敏感性也是聯邦學習的重要特點。為此，聯邦學習系統需要在多環節從多角度考慮數據的安全問題。這是聯合訓練模型的基礎要求，更是激勵用戶廣泛參與的前提保障。目前，聯邦學習正逐漸發展為一個綜合性的研究領域，但主體的要求始終是隱私保護。本文從隱私保護的角度，對目前聯邦學習的發展情況進行了綜合性的闡述。首先從隱私保護的角度討論了聯邦學習的發展歷史、定義以及在業務場景下的分類；然后對聯邦學習場景下隱私保護面臨的問題進行了綜述，整理了聯邦學習中的攻擊類別。

根據本文的分析總結，聯邦學習目前面臨的瓶頸和未來的研究方向可以歸納為以下幾點。

● 對于聯邦學習的中心服務器來說，在聯邦建模的過程中，其抗惡意節點攻擊的能力較弱，不能完全保證參與方的貢獻均為正向。如何識別惡意節點以及減少惡意節點帶來的影響都是值得研究的問題。

● 聯邦學習理想狀態是實現一種完全去中心化的聯合建模框架，但就目前發展的情況而言，完全去中心化仍然存在困難，且許多業務場景也確實需要中心服務器。鏈式聯邦的構想會是一個解決該問題的方向。

● 本文在第3節描述了聯邦學習可能面臨的攻擊情況，按照聯邦學習目前的研究進展，這些攻擊是無法被完全抵御的，這將會導致產業落地困難，因此，針對聯邦學習系統魯棒性和對抗攻擊等方向的研究是非常重要的。

作者簡介

王健宗（1983-），男，博士，平安科技（深圳）有限公司副總工程師，資深人工智能總監，聯邦學習技術部總經理。美國佛羅里達大學人工智能博士后，中國計算機學會高級會員，中國計算機學會大數據專家委員會委員，主要研究方向為聯邦學習和人工智能等。

孔令煒（1995-），男，平安科技（深圳）有限公司聯邦學習團隊算法工程師，中國計算機學會會員，主要研究方向為聯邦學習系統和安全通信等。

黃章成（1990-），男，平安科技（深圳）有限公司聯邦學習團隊資深算法工程師，人工智能專家，中國計算機學會會員，主要研究方向為聯邦學習、分布式計算及系統和加密通信等。

陳霖捷（1994-），男，平安科技（深圳）有限公司聯邦學習團隊算法工程師，主要研究方向為聯邦學習與隱私保護、機器翻譯等。

劉懿（1994-），女，平安科技（深圳）有限公司聯邦學習團隊算法工程師，主要研究方向為聯邦學習系統等。

盧春曦（1994-），女，平安科技（深圳）有限公司聯邦學習技術團隊產品經理，負責聯邦學習系統研發與應用落地。

肖京（1972-），男，博士，中國平安集團首席科學家，2019年吳文俊人工智能杰出貢獻獎獲得者，中國計算機學會深圳分部副主席，主要研究方向為計算機圖形學、自動駕駛、3D顯示、醫療診斷、聯邦學習等。

聯系我們:

Tel:010-81055448

? ? ? ?010-81055490

? ? ? ?010-81055534

E-mail:bdr@bjxintong.com.cn?

http://www.infocomm-journal.com/bdr

http://www.j-bigdataresearch.com.cn/

轉載、合作：010-81055307

大數據期刊

《大數據（Big Data Research，BDR）》雙月刊是由中華人民共和國工業和信息化部主管，人民郵電出版社主辦，中國計算機學會大數據專家委員會學術指導，北京信通傳媒有限責任公司出版的期刊，已成功入選中文科技核心期刊、中國計算機學會會刊、中國計算機學會推薦中文科技期刊，以及信息通信領域高質量科技期刊分級目錄、計算領域高質量科技期刊分級目錄，并多次被評為國家哲學社會科學文獻中心學術期刊數據庫“綜合性人文社會科學”學科最受歡迎期刊。

關注《大數據》期刊微信公眾號，獲取更多內容

總結

以上是生活随笔為你收集整理的虚拟专题：联邦学习 | 联邦学习隐私保护研究进展的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。