反遷移學習的隱私保護聯邦學習

許勐璠,李興華

(1.陜西師范大學 計算機科學學院,陜西 西安 710199;2.西安電子科技大學 網絡與信息安全學院,陜西 西安 710071)

1 引 言

近年來,聯邦學習(Federated Learning,FL)作為一種新興的機器學習隱私保護范式,通過上傳各參與方的中間計算結果來保護原始數據不被泄露,已成為機器學習安全合法訓練模型的一個潛在解決途徑[1-2]。然而,FL在聚合全局模型的過程中對多個參與者公開全局模型,增大了全局模型泄露的風險。例如,惡意參與者通過發起模型竊取攻擊,無需花費大量時間、金錢、人力去收集數據訓練模型,將有價值的模型非法復制、重新分發或濫用,嚴重損害了誠實參與者的利益,已成為限制FL發展的一大瓶頸[3-4]。

為了對模型所有者的知識產權進行保護,現有研究分別從兩個方面開展:基于所有權驗證的事后舉證方法和基于授權的事前防御方法。前者利用后門攻擊為模型構造水印或將水印嵌入模型參數中,并從模型中提取特定的指紋來驗證模型所有權[5-7]。然而,在竊取模型過程中,基于授權的事前防御方法易被攻擊者改變甚至移除,此時用原來的水印將無法驗證模型的所有權,即使可以利用水印進行舉證并驗證其所有權,仍無法防止攻擊者非法使用竊取到的模型。后者需要使用正確的密鑰或獲得可靠硬件設備的授權才能正常使用模型[8-9]。文獻[9-10]在現有基于授權的知識產權保護方案的基礎上,進一步提出了反遷移學習(Non-Transferable Learning,NTL)算法,確保授權的參與者僅在授權數據上使用模型,實現了模型不被授權用戶在非授權數據上濫用。近年來,基于授權的知識產權保護方案由于能夠保證模型在非授權環境不被濫用,逐漸受到知識產權保護領域研究者們的關注。

現有方法利用原始數據通過生成對抗網絡生成額外訓練數據,最大化生成數據與原始數據的差異并訓練模型,實現模型的反遷移,確保了模型被用于非授權數據時性能大幅度降低。然而,FL僅上傳梯度訓練全局模型,云平臺無法利用本地原始數據生成額外訓練數據來實現全局模型的反遷移。雖然可以在本地利用原始數據進行反遷移學習保護模型知識產權,但仍無法直接適用于FL中。這是由于FL聚合梯度的過程會破壞本地模型反遷移學習的效果,使得本地NTL失效。文中在實驗中進一步驗證了本地NTL后直接聚合梯度的模型在輔助域的性能,直接聚合訓練的全局模型在未授權的部分本地驗證集上最高性仍能達到約69%。因此,如何確保全局模型的NTL有效,防止全局模型在未授權領域濫用,已成為當前FL的一大挑戰。此外,在反遷移學習過程中的梯度隱私也需要保護。已有研究表明,直接共享本地梯度易遭受梯度泄露攻擊[11-12],攻擊者通過梯度能夠進一步推斷出原始數據,獲取本地數據隱私。因此,還需要在保護模型知識產權的同時,確保梯度隱私不被泄露。其中,基于密碼學的隱私保護方法較基于差分隱私的方法計算精度更高,且不依賴可信硬件輔助,是當前隱私保護聯邦學習的一大研究方向[13-14]。

為了應對上述挑戰,筆者提出了一種FL下的模型知識產權與隱私保護方法,稱為聯邦反遷移(Federated Non-Transferable Learning,FedNTL)。該方法采用同態加密構建FL隱私保護框架,在梯度聚合過程中引入反遷移的思想,設計一種基于梯度的反遷移算法,在保護訓練過程本地梯度隱私的同時,確保了模型僅能被授權用戶在已授權的領域內使用。主要貢獻如下:

(1) 提出了一種基于Paillier同態加密的聯邦反遷移隱私保護框架。設計了基于梯度盲聚合的交互式反遷移學習算法,在保護全局模型知識產權的同時,確保梯度隱私不被泄露。

(2) 設計了一種基于NTL的交互式協同訓練方法,本地數據擁有者和云平臺協同盲聚合本地表征向量,并最大化表征向量與阻礙向量之前的互信息,實現模型在未經授權的數據使用時,無法獲得準確輸出。

(3) 嚴格證明了所提方案的正確性和安全性,并在公開數據集上進行驗證。與現有方案相比,文中模型在未授權領域的性能降低了約47%,計算復雜度實現了梯度維度級的降低。

2 相關工作

深度學習模型在計算機視覺、自然語言處理和數據挖掘等任務中的成功應用是以昂貴的訓練過程為代價的。為了保護深度學習模型的知識產權,袁程勝等[5]設計了一種基于時間戳的后門水印驗證框架,借助時間順序來鑒別模型版權,在不削弱原始任務性能的同時,實現了模型版權的主動保護和被動驗證。SHARMA等[6]使用所有者的簽名和指紋作為雙重水印來驗證模型所有權,并在容量方面較現有方案大幅度提升;LIU等[7]提出將同一個特征域觸發器解析為像素域內的多個水印,進一步提高了水印的隨機性、隱蔽性和抗木馬檢測能力。該類方案雖然能夠通過特定的輸入輸出或水印來驗證模型所有權,但極易受到基于模型微調或再訓練、水印覆蓋和模型修剪等水印去除攻擊,導致模型所有權驗證失效。文獻[15]進一步提出了一種FL中的多方糾纏水印算法。在本地訓練和全局聚合過程中分別設計了一種水印增強算法和一種糾纏聚合算法,解決了多后門水印造成的版權混淆失效以及模型精度降低的問題,實現了FL的模型所有權驗證。然而,在基于水印的所有權驗證方案中,模型所有者僅能在發現模型被竊取后進行舉證等事后維權,無法防止攻擊者非法使用竊取到的模型。

針對該問題,ALAM等[8]提出基于深度神經網絡的安全授權方案。該方案通過密鑰調度算法,利用儲存在S-Box設備中的主密鑰生成密鑰,對深度神經網絡模型的每個參數進行加密,在加大模型竊取難度的同時,確保了在不知道合法密鑰的情況下,未經授權的使用會大幅度降低模型輸出的準確性。CHAKRABORTY等[9]提出了一種基于硬件輔助的深度模型知識產權保護框架,該架構混淆了模型的學習權重空間,以鎖定深度學習模型的權重參數,并在可信硬件上運行深度神經網絡,該硬件應用嵌在芯片上的密鑰來運行模型,確保了訓練的深度學習模型僅在此類可信硬件設備上表現出較高的預測性能。該類方法能夠確保模型僅在授權的設備或用戶上表現出較高的性能,非授權用戶即使竊取到模型也無法準確分類或預測數據。然而,無法限制授權用戶在非授權領域對模型的濫用,且需要硬件設備輔助。為了進一步確保模型僅能被授權用戶在限定的領域使用,WANG等[10]提出了一種基于深度模型的反遷移學習方法,利用像素級掩碼對原始數據進行處理,固定源域的Kullback-Leibler(KL)散度,提高目標域數據的KL散度,并最大化源域數據和目標域數據特征分布之間的最大均值差異(Maximum Mean Discrepancy,MMD),從而確保模型僅在授權數據上性能較高。

綜上所述,現有模型知識產權保護研究已取得一定的進展,基于反遷移學習的方法可以在保護模型知識產權的同時,確保模型在授權數據和用戶上的性能,但無法適用于多用戶的聯邦學習中?，F有研究的粗粒度對比如表1所示。

3 預備知識

3.1 所用符號

為了便于參考,文中方案出現的符號和相應的描述如表2表示。

表2 符號描述

3.2 聯邦學習

FL是谷歌人工智能團隊于2016年提出的一種保護隱私的機器學習范式,其訓練過程如圖1所示。不同用戶在本地訓練各自的子模型,將本地訓練的梯度上傳到服務器進行聚合,而不直接上傳原始數據。在FL中,服務器協調整個訓練過程,直至模型精度達到預期水平或預設迭代次數。其中,訓練的目標是找到最優的模型參數w,對于給定的特征向量x,模型的輸出無限接近正確的標簽y。

圖1 聯邦學習

3.3 反遷移學習

NTL是WANG等在2022年發表在深度學習領域頂級會議ICLR上剔除的針對模型竊取攻擊的事前防御方案。該方案以信息瓶頸理論[16]為方法論,通過在模型訓練過程增大源域和輔助域數據之間的表征距離,顯著降低模型在源域之外的數據域上的性能,具體流程如圖2所示。該算法主要分為:①設計生成對抗增強框架,利用原始數據生成鄰域數據;②對原始數據和生成的鄰域數據進行處理,通過對抗生成框架獲得鄰域數據,并將附加掩碼的原始數據作為NTL的源域,帶掩碼與不帶掩碼的鄰域數據并集作為輔助域,進行NTL訓練;③通過提高輔助域數據的表征向量z與阻礙Nui之間的香農互信息I(z;n),使z中包含的關于正確標簽y的信息被大大減少,從而確保模型在未經授權數據域上使用的性能顯著降低。

圖2 反遷移學習(X：原始數據;C：噪聲向量;Y：one-hot形式的標簽)

4 問題描述

4.1 系統模型

如圖3所示,文中系統模型包括n個本地數據擁有者(Local Data Owner,LDO)、云平臺(Cloud Platform,CP)和密鑰分發中心(Key Distribution Center,KDC)。

圖3 系統模型

(1) 本地數據擁有者。每個本地數據擁有者在本地數據上迭代訓練模型,并將每次迭代訓練過程中的輔助域表征向量和梯度盲化后上傳至CP。

(2) 云平臺。CP是一個具有足夠存儲空間的半誠實云服務器,聚合不同LDO上傳的盲化表征向量和盲化梯度,返回全局表征向量和全局梯度以更新全局模型。

(3) 密鑰分發中心。受信任的KDC負責系統中所有密鑰的分發和管理,用于模型訓練的初始化階段。

4.2 威脅模型

在文中方案中,CP和LDO在任意時刻均為誠實但好奇的半誠實實體,它們會嚴格執行預定義的協議和算法,但會嘗試從梯度等中間參數中推斷其他實體的輸入信息。在模型訓練過程中,潛在的安全威脅如下。

(1) 模型竊取攻擊。在文中方案中,模型竊取攻擊主要包括了以下3種情況:

① 未授權用戶在無需花費模型訓練等代價的前提下非法竊取模型后濫用,損害已授權用戶的權益。

② 已授權用戶能夠不受限制地使用模型,將模型用于與之前領域相似的未授權數據,損害了其他已授權用戶的權益。

③ 不同已授權用戶利用NTL訓練模型。在聚合全局模型的過程中,不同LDO在NTL訓練過程中的梯度會相互干擾,導致部分本地的NTL失效,增大模型竊取攻擊成功率。

(2) 梯度泄露攻擊。CP聚合不同LDO上傳的梯度,由于梯度是本地數據的映射,CP可以通過發起梯度泄露攻擊,推斷出不同LDO的原始數據。

4.3 設計目標

FedNTL有以下3個設計目標:

(1) 有效性。經過NTL后聚合本地梯度得到的全局模型,能夠使其在非授權數據域上的模型性能較低,而在源域數據分布上卻具有較高的模型性能。

(2) 安全性。如果一個協議對半誠實的敵手是安全的,那么它不允許參與方從協議中學習任何額外的信息。在文中方案中,需要防止CP或LDO通過梯度推導出其他LDO的原始數據,因此要確保梯度等中間參數保密不泄露。

(3) 正確性。經過L次全局梯度聚合仍可得到正確的平均梯度并更新全局模型。

5 基于盲化梯度的聯邦反遷移隱私保護方法

FedNTL流程如圖4所示。它主要分為3個階段:系統初始化、模型訓練和模型更新。

圖4 FedNTL總覽

5.1 系統初始化

文中方案使用的密鑰對(pk,sk)由完全可信的KDC生成,并分發給授權的本地LDO。其中,密鑰對是通過具有加法同態性的Paillier公鑰加密系統生成。該密碼系統簡述如下。

C=E(m,r)=gmrNmodN2。

(3)

(4)

(5)

Paillier密碼系統是語義安全的,即同一明文可加密成多個不同的密文形式,且所有密文都是計算不可區分的。利用Paillier密碼系統的加法同態性,LDO和CP協同生成盲化因子R。不同LDO隨機選取一個本地盲化因子Ri,i∈[1,n],并利用公鑰pk加密后上傳至CP,CP聚合LDO上傳的本地加密盲化因子[Ri],i∈[1,n],并結合式(3),利用Paillier的加法同態性對加密的本地盲化因子求和,得到加密的全局盲化因子[R]:

(6)

將加密的全局盲化因子[R]返回至LDO解密,結合式(4),得到全局盲化因子R。

5.2 模型訓練

為了抵抗模型竊取攻擊,引入NTL算法迭代訓練模型,設計一種交互式協同訓練算法,保護全局模型的知識產權,具體描述如算法1所示。

算法1交互式協同訓練算法。

根據信息瓶頸理論中最優表征向量的充分性可知,需讓表征z含有所有x中關于y的信息,即I(z;y)=I(x;y)。結合文獻[17]中的命題3.1可知,存在一條馬爾科夫鏈(y,Nui)→x→z,使得信息從(y,Nui)流向x,再流向z,進一步根據馬爾科夫鏈的數據處理不等式[16]可知,I(z;x)≥I(z;y,Nui)。利用鏈式法則,變形后可以得到:

I(z;x)-I(z;y|Nui)≥I(z;Nui) ,

(7)

其中,阻礙Nui是影響輸入x的一個因素,它與y協同決定于x。由信息瓶頸理論表征向量的不變性可知,I(z;n)=0,即z中不含有與y無關的信息。為了使模型在輔助域上的性能下降,NTL訓練的目標與上述不變性的恰恰相反,希望通過增加輸入x與阻礙Nui之間的互信息來使得未經授權的數據使用模型時獲得的表示z是比較差的,不能輸出正確的標簽y甚至偏差很大。

LA=Ex～PX[DKL(P(Ω(Φ(x)))‖P(y))] ,

(8)

(9)

Ls=Ex～PX[DKL(P(Ω(Φ(x)))‖P(y))] 。

(10)

5.3 模型更新

在上述交互式訓練過程中,CP迭代聚合不同LDO上傳的盲化梯度,在不泄露梯度隱私的同時,更新全局模型。該過程的詳細描述如算法2。

算法2SecBAvg算法。

輸出:第L次迭代后的全局模型wL。

① whilewL=wL-1或達到指定迭代次數do。

⑥ ReturnwL。

由3.2節中威脅模型的假設可知,文中方案中的訓練過程均在半誠實模型下執行,對于半誠實參與者的安全性證明目前最常用的是模擬范例[17]。該方法的原理是將實際協議和理想安全多方計算協議的安全性進行比較,如果實際計算協議泄露的信息不比理想計算協議泄露的信息多,則證明實際的計算協議是安全的。

由于算法中各LDO的地位平等,因此各方的隱私要么都是安全的,要么都是不安全的,證明一方的數據是安全的即可。對特定一方隱私最嚴重的威脅是其他所有參與者合謀試圖獲取其隱私信息,這個攻擊者集合被稱為最大攻擊者集合。特別地,如果一個人的隱私對最大的攻擊者集是安全的,那么它對最大攻擊者集的任何子集也是安全的。由于假設每輪的平均梯度是公開的,因此根據平均梯度結果推斷出的信息均不認為是泄漏的。這里僅證明實際協議沒有比理想協議泄漏更多的隱私信息。

由于訓練過程計算的是中間參數的平均值,因此n-1方合謀一定能推斷出另外一方的值,這和理想協議是完全相同的。實際協議沒有比理想協議泄漏更多的信息。這里僅討論最大合謀結構為n-2的情形。

不失一般性,最大合謀結構為I={O1,DO2,…,On-2},合謀者I想通過CP返回的全局梯度推斷出其他LDO的信息。其中,CP與LDO不會合謀。由于每輪迭代執行的過程相同,僅證明在一次迭代過程中的信息是安全的即可。

定理1FedNTL在存在半誠實敵手時是安全的。

證明 在實際執行算法時,I作為一個整體在第l次迭代過程中收到CP返回的全局盲化梯度Gl*和加密的全局盲化因子R,因此有

定理2FedNTL能夠正確更新全局模型。

6 性能評估

6.1 實驗設置

為了評價文中方案的有效性和安全性,選取了兩個數據集進行實驗。MNIST(Modified National Institute of Standards and Technology)數據集是美國國家標準與技術研究院發布的手寫字體圖像數據集,包含從0到9的10類黑白圖像,它是目前公認的機器學習的基準數據集[18]。CIFAR-10(Canadian Institute For Advanced Research 10)是由HINTON的學生KRIZHEVSKY和SUTSKEVER整理的一個用于識別普適物體的小型數據集[19]。一共包含10個類別的RGB彩色圖片,圖片的尺寸為 32×32 ,數據集中共有 50 000 張訓練圖片和 10 000 張測試圖片。

實驗設備為個人臺式PC,硬件配置為雙路志強E5 2680 CPU,256 GB、1 333 MHz DDR3內存,英偉達GeForce GTX 3090 GPU和1TB固態硬盤,操作系統為Windows 10。編程語言為Python 3.7以及Pytorch編程庫。

6.2 有效性分析

首先,驗證方案在降低未授權輔助域模型性能的有效性。筆者在數據集MNIST和CIFAR-10上分別驗證了監督學習(實驗選用支持向量機算法)、NTL以及FedNTL在源域和輔助域上模型的性能,實驗結果如圖5所示?？梢钥吹?監督學習算法在不同數據集的驗證集性能較訓練集均有小幅度下降,這是由于算法本身導致的在訓練集和驗證集上的性能差異,但該類算法并無任何模型知識產權保護措施,因此,在未授權數據域的性能仍然較高。對于NTL算法,筆者將訓練集作為源域,驗證集作為輔助域,較監督學習在未授權數據域的性能大幅度下降,但仍有至少34%的準確率。

圖5 不同算法在MNIST和CIFAR-10訓練集和驗證集上的性能對比

因此,筆者進一步將NTL后直接聚合梯度的全局模型在不同LDO進行測試,結果如表3所示?？梢钥吹?在部分LDO驗證集上的性能接近無知識產權保護措施方案的性能,這是由于直接聚合梯度使得部分本地NTL失效導致的。對于FedNTL,可以觀察到所有輔助域性能都降低到20%以下,相較于NTL的模型在輔助域的性能下降了至少47%,并且源域的精度幾乎沒有降低。這表明,FedNTL可以在不犧牲源域性能的情況下有效降低模型在未授權數據域中的性能。

表3 全局模型在本地訓練集和驗證集性能分析 %

6.3 復雜度分析

文中方案假設本地梯度向量為γ維。方案執行的過程中,n個LDO分別加密了一個一維的本地盲化因子[Ri],i∈[1,n],即需要執行n次加密操作。不同LDO還需解密全局盲化因子[R],需要執行n次解密操作。因此,由Paillier加解密一次需要運行兩次模指數運算可知,FedNTL需要進行4n次模指數運算,其計算復雜度為O(n),即FedNTL的計算復雜度僅與LDO的個數n有關,不依賴于本地梯度的維數γ。由于聚合過程全部在明文計算,與現有基于同態的隱私保護聯邦學習方案對不同節點的γ維梯度分別加密不同[20-21],FedNTL僅對不同LDO的一維盲化因子加解密,大大降低了模型更新過程中的計算開銷。

此外,所有的通信開銷均在聚合過程中產生,n個LDO上傳本地盲化梯度至CP,CP聚合后分別向n個LDO返回全局盲化梯度。因此,FedNTL的通信復雜度為O(nl),如表4所示。

表4 復雜度分析

7 結束語

筆者提出了一種聯邦學習下的模型知識產權與隱私保護方案,設計了一種基于盲化因子的輕量級梯度聚合方法,大幅度降低加解密過程的計算開銷。在此基礎上,進一步提出了一種基于反遷移學習的交互式協同訓練方法,實現在保護本地梯度隱私的同時,確保模型僅能被授權用戶在已授權的領域使用。未來,筆者將考慮在LDO存在惡意行為的情況下,如何同時保護模型的知識產權和梯度隱私。