论文分享|容忍恶意行为的联邦学习安全聚合方案——IEEE S&P 2023论文速览
论文名称:ELSA: Secure Aggregation for Federated Learning with Malicious Actors
论文来源:IEEE S&P 2023
论文作者:Mayank Rathee, Conghao Shen, Sameer Wagh, Raluca Ada Popa
论文链接:https://www.computer.org/csdl/proceedings-article/sp/2023/933600b573/1OXH7iDl88E
研究背景
联邦学习(Federated Learning,FL)是一种新兴的机器学习(ML)方法,它通过在分布式数据集上进行高效的模型训练来实现隐私保护。在FL的典型工作流程中,应用服务的提供方操作一个服务器,用于维护全局机器学习模型。服务器通过计算客户端在本地数据集上进行训练后发送的梯度更新来迭代地更新这个模型。
与传统的机器学习模型不同,联邦学习使用户能够在自己的设备上使用数据进行模型训练,而无需将可能涉及隐私的数据上传到中心化的服务器进行训练。用户设备在完成训练后,将梯度值发送给服务器,服务器对这些梯度值进行聚合,得到一个全局梯度值,然后用这个全局梯度值来更新整个机器学习模型。
在这一过程中,用户无需直接上传其数据,这在一定程度上保护了用户的隐私。然而,每个用户提供的梯度值仍然可能带来一系列隐私泄露风险。因此,在聚合阶段,需要引入相应的隐私保护技术,以防止梯度值引起的隐私泄露。在这个背景下,引入了“安全聚合”的概念,以确保服务器在收集并聚合用户各自的梯度值时,无法推断出用户的隐私信息。安全聚合使用密码学技术,确保服务器只能看到所有客户端梯度的总和,而无法查看每个客户端的独立梯度。
然而,尽管在保护用户梯度隐私方面取得了进展,恶意用户可能会提供异常的梯度值,从而损害机器学习模型的质量,这被称为“投毒”攻击。在普通场景下,服务器在聚合时需要进行检查,以确保用户的梯度份额在合理的范围内。然而,在使用安全聚合的情况下,服务器难以检测和过滤这类异常梯度值。
为解决这些问题,研究者们提出了一系列解决方案[1–4]。这些安全聚合方案可分为两类:单服务器聚合[1, 2]和双服务器聚合[3, 4],根据服务器的配置而定。尽管这些方案在一定程度上解决了安全问题,但仍存在一些缺陷。例如,一些方案使用零知识证明技术来避免“投毒”攻击,但带来了巨大的通信代价和用户端的计算开销。另一些方案基于双方的安全计算技术实现用户梯度的检查,但无法保证在存在恶意服务器的情况下用户梯度的隐私性,需要引入高昂的组件开销。因此,本文旨在在现有工作的基础上提出一种计算和通信开销都尽可能小、且能确保在恶意服务器条件下用户隐私安全的安全聚合方案。
本文主要思想
ELSA方案的设计基于以下两个观察:
- 为了防范用户上传梯度值可能导致的隐私泄露风险,安全聚合协议的关注焦点在于用户上传梯度值至聚合服务器的操作(服务器收集梯度值并进行检查),而后续的聚合操作并不会引发额外的隐私泄露风险;
- 对于恶意用户而言,预先了解服务器的内部状态(用于梯度检查计算)并不能为其发动投毒攻击提供任何优势,同时也不牵涉到其他用户的梯度信息;
考虑到上述观察,每个用户可以与聚合服务器预先共享一些随机性。一旦用户端梯度值确定,基于已知的随机性,用户端可以在本地计算出两个服务器之间的通信内容。
用户端与两个聚合服务器事先共享相应的随机数,并在本地模拟服务器之间的交互(即本地运行两方安全计算协议)。随后,用户将本地运行两方计算协议的上下文分别使用Hash函数计算摘要。
当服务器收到这些摘要时,同样基于随机性和用户共享的梯度份额计算出两方计算协议的上下文,并对上下文使用Hash函数计算摘要。然后,将这个摘要与用户上传梯度时携带的摘要进行比较,如果相等,则可以认为用户的梯度值通过了检查。
与正常的聚合相比,用户只需要在上传梯度值时多发送两个Hash输出值(以SHA256为例,带来额外的2*256=512 bits通信开销)。
主要贡献和实验结论
本文引入了一种创新的安全聚合方案,即ELSA,以确保在存在恶意聚合服务器的情况下保护用户梯度的隐私,并能够检测出恶意用户上传的异常梯度值。此外,ELSA采用轻量级协议设计,因而表现出更好的性能。
ELSA方案采用了双服务器的设计,并要求这两个服务器不能相互串通。当用户客户端在本地完成训练后,它使用秘密分享技术将梯度值分别共享给两个聚合服务器,然后由这两个服务器完成梯度值的聚合计算。为了确保方案的通用性,ELSA仅在传统的联邦学习架构下引入了密码技术模块以处理用户的梯度。在计算性能方面,ELSA相较于之前的工作(如Prio/RoFL)表现出显著的优势。就通信代价而言,ELSA只增加了可以忽略的开销(2λ bits)。
参考文献
[1] H. Lycklama, L. Burkhalter, A. Viand, N. Küchler, and A. Hithnawi, “RoFL: Robustness of Secure Federated Learning.” arXiv, Jan. 26, 2023.
[2] A. Roy Chowdhury, C. Guo, S. Jha, and L. van der Maaten, “EIFFeL: Ensuring Integrity for Federated Learning,” in CCS ’22, pp. 2535–2549.
[3] H. Corrigan-Gibbs and D. Boneh, “Prio: Private, Robust, and Scalable Computation of Aggregate Statistics,” in NSDI '17, pp. 259–282.
[4] S. Addanki, K. Garbe, E. Jaffe, R. Ostrovsky, and A. Polychroniadou, “Prio+: Privacy Preserving Aggregate Statistics via Boolean Shares,” in Security and Cryptography for Networks, 2022, pp. 516–539.
本文来源:中关村SP
分享仅供学习参考,若有不当,请联系我们处理。
END
热文
2.笔记分享|组队学习密码学(5)— 密码数学基础:初等数论
推荐4. 论文分享|基于Vector OLE构造的恶意安全的PSI协议(VOLE-PSI)