基于區塊鏈和動態評估的隱私保護聯邦學習模型

劉 煒 唐琮軻 馬 杰 田 釗 王 琦 佘 維

1（鄭州大學網絡空間安全學院 鄭州 450002）

2（河南省網絡密碼技術重點實驗室（信息工程大學）鄭州 450000）

3（鄭州市區塊鏈與數據智能重點實驗室（鄭州大學）鄭州 450000）

4（鄭州大學圖書館 鄭州 450001）

（wliu@zzu.edu.cn）

近年來，數據泄露事件劇增，而作為使用個人數據極為頻繁的服務——機器學習（machine learning）備受關注.隨著我國《網絡安全法》《個人信息保護法》以及歐盟《通用數據保護條例》等旨在保護用戶個人隱私和數據安全法規的出臺，工業界和學術界對機器學習的隱私保護越來越重視，Google 在2016 年提出了聯邦學習（federated learning）[1]解決隱私保護等問題.聯邦學習是一種協同分布式訓練模型.傳統聯邦學習分為中心服務器和參與方兩種角色，參與方在中心服務器的協調下共同訓練機器學習模型，訓練數據僅保存在各參與方本地，依靠參與方本地迭代和與中心服務器的通信完成模型訓練和聚合[2].

聯邦學習作為一種新的訓練機制，在保護隱私和解決數據孤島的同時對多方數據進行訓練聚合，在醫療、金融等用戶信息高度保密的行業有很好的前景.但是隨著聯邦學習的廣泛應用，它的問題也逐漸浮現出來.在機器學習中，訓練數據可以通過梯度和模型被反推出來[3-4]，而在聯邦學習這種服務器和參與方每輪迭代都能看到模型梯度的情況中，用戶信息就更容易被反推出來[5-6].除了隱私泄露的問題外，聯邦學習還面臨各種各樣的惡意攻擊，例如投毒攻擊[7-8]，通過修改訓練數據，可以使經過訓練的模型出現特定的錯誤；模型投毒攻擊[9]通過修改訓練數據的標簽，造成模型的判定錯誤；成員推理攻擊[10]中攻擊者能夠通過機器學習模型和樣本來確定該樣本是否存在于建立機器學習模型的訓練集中.除此之外，系統還面臨服務器的單點故障以及缺乏獎勵導致的參與方不愿貢獻數據和算力的問題[11].

為了解決這些問題以及應對聯邦學習不斷發展的需求，使用聯邦學習結合隱私保護技術、區塊鏈、邊緣計算和云計算等技術，逐漸成為研究的熱門方向[12].利用區塊鏈的可追溯、去中心化、不可篡改等特性和智能合約功能，幫助聯邦學習克服單點故障、缺乏激勵機制、審計困難等問題，在隱私保護和審計記錄等方面有很大的提升[13].

本文提出一種基于區塊鏈和動態評估的隱私保護聯邦學習模型——SPFLChain（security privacy federated learning blockchain）.利用區塊鏈的去中心化、不可篡改等特性，為聯邦學習建立可信、隱私安全的訓練環境.在模型交互階段采用稀疏化和差分隱私結合的方式進行隱私保護；在本地局部模型訓練完成后對其進行身份驗證和性能評估，反映參與方訓練出的模型準確率和泛化能力.最后通過使用深度梯度泄露（DLG）攻擊對局部模型和全局模型進行攻擊實驗，證明SPFLChain 的安全性.

本文的主要貢獻包括3 個方面:

1）提出一種基于區塊鏈的聯邦學習隱私保護模型SPFLChain，實現安全的去中心化聯邦學習評估模型.

2）利用加密算法和數字簽名技術驗證參與方身份，本地訓練采用稀疏化保證鏈下模型交互的安全性與可信性，并在模型更新時使用差分隱私添加噪聲保證模型上鏈后的隱私安全.

3）提出三權重動態評估方案，計算單輪模型和參與方評估值，為參與方進行動態評估，確保激勵機制的公平性.

1 相關工作

聯邦學習是一種基于隱私保護的分布式機器學習框架，許多參與方在中心服務器的協調下共同訓練模型，同時保持訓練數據的分散性，在不暴露數據的前提下分析和學習多個數據擁有者的數據，做到數據的可用不可見.將區塊鏈網絡應用于聯邦學習系統中，在發揮聯邦學習優勢的同時，還能夠解決聯邦學習面臨的單點故障、隱私安全和缺乏激勵等問題[14].

Kim 等人提出名為BlockFL[15]的區塊鏈與聯邦學習系統框架，詳細描述了從局部模型更新到上鏈再到全局模型更新的全過程，其中礦工使用區塊鏈智能合約實現模型的交換和驗證，并通過記錄為礦工和關聯設備分配獎勵.Liu 等人[16]提出名為FedCoin的支付系統，該系統中包含區塊鏈網絡和聯邦學習，聯邦學習完成本地訓練和模型聚合，區塊鏈共識節點協同計算貢獻值，為聯邦學習提供去中心化無第三方的支付方案.Peng 等人[17]提出了一種基于區塊鏈實現的可驗證和審計的聯邦學習系統框架VFChain，將可驗證的記錄證明存儲在區塊鏈中并設計了一種安全輪換委員會的方案，提出了支持多模型學習任務的方案以優化搜索效率，為區塊鏈結合聯邦學習提供了審計和驗證的新思路.Li 等人[18]提出了一種基于區塊鏈的去中心化委員會共識的聯邦學習框架BFLC，其設計的創新型委員會共識機制能夠有效減少共識的計算量，降低中心服務器和節點惡意攻擊的可能性.但文獻[15-18]的研究工作解決的大多是聯邦學習的中心化問題以及區塊鏈結合聯邦學習架構中缺乏激勵機制的問題，沒有考慮模型參數交換和更新帶來的隱私泄露問題.

為了解決上述問題，高勝等人[19]提出了一種基于區塊鏈的隱私保護異步聯邦學習，利用區塊鏈解決聯邦學習的中心化問題，并結合差分隱私的指數機制選擇高貢獻率的模型，分配隱私預算保證全局模型的隱私，使用雙因子調整機制提高全局模型的效用.Wainakh 等人[20]為了增強聯邦學習的隱私安全，設計了一種分層的聯邦學習架構，即在傳統的聯邦學習的基礎上加入組服務器，將組服務器插入到服務器與參與方之間當作保護層，對有問題的模型進行篩選，同時可以降低用戶噪聲，提高模型質量.Shayan 等人[21]提出了一種隱私安全的區塊鏈系統Biscotti，這是一個去中心化的提供安全私密的多方機器學習系統，提出聯邦證明（proof of federation）共識，并結合了防御手段，有很好的擴展性和安全性.Zhao 等人[22]提出了一種基于區塊鏈的物聯網設備聯邦學習系統，利用邊緣計算服務器制造初始模型，將局部模型發送到區塊鏈進行聚合，使用差分隱私結合歸一化進行特征提取來保護隱私，并設計了激勵機制鼓勵參與方訓練.周煒等人[23]提出了一種基于區塊鏈的聯邦學習模型PPFLChain，使用同態加密對交互的模型進行加密，通過秘密共享方案對密鑰進行安全管理，同時使用信譽值機制保證公平.

區塊鏈技術已經廣泛成為解決聯邦學習應用中安全問題的工具.通過聯盟鏈的身份認證和權限設置對參與方進行一定條件的限制，提高系統的安全性.但是現有研究大多針對鏈下模型交互時的安全性，對鏈上存儲的安全保障有所欠缺，并且在對局部模型驗證評估和參與方貢獻評估方面缺乏研究.

2 預備知識

2.1 區塊鏈

區塊鏈這一概念隨著2009 年比特幣的誕生而產生，其本質上是由P2P、密碼學、共識機制、智能合約等一系列技術組合而成的去中心化分布式賬本[24].它的優勢在于使用密碼學方式保證了不可篡改和偽造的特性，利用鏈式結構驗證存儲數據，利用共識算法在各個分布式的節點之間生成和更新數據，利用智能合約的設計完成對數據的操作.

區塊鏈可以分為公有鏈、私有鏈和聯盟鏈.公有鏈對任何人都開放，并且能被參與區塊鏈的任何人維護和讀取.私有鏈由單個組織或機構單獨控制，只有授權用戶才能訪問鏈上數據，有著更高的隱私性與效率.而聯盟鏈由多個組織或機構控制，兼顧了去中心化和隱私安全性.

2.2 稀疏化

稀疏化[25]本質上屬于梯度壓縮的一種，通過構建d維的掩碼矩陣m∈{0,1}d，將梯度g的d維向量稀疏表示為，g=m?g，?表示元素相乘，能夠減少其通信傳遞量減輕負載和保護隱私，稀疏比prop定義為：

在聯邦學習中，常見的有2 種稀疏化方法：Top-K和Rand-K稀疏化.

Top-K的思想是基于每個客戶端根據絕對值最大的K個梯度進行掩碼矩陣的構建，但是對于規模大的神經網絡時，需要進行計算量很大的排序操作.

而Rand-K稀疏化則是構建隨機的掩碼矩陣，與Top-K相比，Rand-K在復雜度和效率上更好.但是因為其隨機性，誤差概率也更大，在很高的稀疏比例中表現不佳.

2.3 差分隱私

差分隱私[26-27]由Dwork 提出，它是一種隱私保護方法，通過對數據添加干擾噪聲，使得攻擊者無法通過已知的發布信息推斷出其他有用的信息，保護了數據中的用戶隱私.

相鄰數據集.相鄰數據集指2 個數據集D與D′中最多只有一個數據或元素不同，即 ||D-D′||1≤1.

敏感度.敏感度衡量了相鄰數據集查詢結果之間的最大差異，定義為 Δf=

ε-差分隱私.拉普拉斯機制定義為M(D)=f(D)+Y(Y1,Y2,…,Yk)，f為查詢函數，M為隨機函數，Y為服從拉普拉斯分布的隨機噪聲.當拉普拉斯概率分布時，拉普拉斯機制就滿足 ε-差分隱私：Pr[M(D)∈S]≤eε·Pr[M(D′)∈S]，ε 為隱私預算.當 ε越小時，表明2 個數據集經過隨機化以后輸出結果的概率分布越接近，隱私保證的級別就越高.嚴格差分隱私對機制有很高的要求，但是又不能添加過多的噪聲以免造成信息的損失，因此就引出了（ε,δ ）-差分隱私,其敏感度定義為：

其中 δ為松弛項，表示有1-δ 的概率滿足差分隱私，σ為噪聲尺度.

2.4 數字簽名

數字簽名是基于非對稱加密的驗證文檔或信息真實性和完整性的技術，通過對信息進行加密和簽名生成數字簽名，接收方使用其公鑰對簽名進行解密驗證，確保數據沒有被篡改，具體流程為：

密鑰生成KeyGen（）：用戶隨機選擇大素數p和q，計算N=p×q，以及φ（N）=（p-1）×（q-1），隨機選擇r滿足0

簽名Sign（）：首先對要發送的信息m進行Hash運算，h=hash（m），然后對其哈希值進行加密簽名，生成密文C=Sign（hash（m））=hdmodN.

驗證簽名VerifySign（）：接收者需要對發送方的簽名進行驗證時，按照2 個流程進行驗證：

1）使用發送方公鑰pk對簽名進行解密，h′=CrmodN.

2）對消息m進行Hash 運算，若h=h′，簽名有效，否則驗證簽名無效.

3 系統模型

3.1 模型概述

聯邦學習中，中心服務器面臨單點故障、梯度參數收集和更新中可能出現的隱私泄露風險.針對此問題，本文提出了一種基于區塊鏈的聯邦學習模型SPFLChain，將多個互不信任的參與方整合到一起協同管理，符合聯盟鏈的應用場景，其中包括任務發布方、區塊鏈、礦工、參與方和共識委員會.

在執行各自任務之前，需要在區塊鏈上進行注冊并進行身份驗證.區塊鏈為聯邦學習的參與方和礦工提供可信身份認證，只有被成功授權的節點才能加入到區塊鏈網絡中.

1）任務發布方P0.聯邦學習訓練模型的需求方，當任務發布方想要訓練機器學習模型，但是設備或數據儲備不完善時，可以委托共識委員會進行有償代訓練.

2）礦工g.沒有關聯訓練設備，達不到訓練條件或拒絕參與訓練的參與方，僅作為區塊鏈中的礦工去生成區塊和驗證參與方的模型.

3）參與方Pi(i=1,2,…,n).數據擁有者，有關聯設備能夠參與訓練，并且能夠作為礦工對其它參與方進行模型的驗證和生成區塊.

4）共識委員會C.共識委員會由全節點隨機組成，成員總數要根據實際情況控制在一個范圍內，避免因為成員人數過多造成資源浪費，或者又因為成員人數過少造成模型誤差過大.主要完成對驗證通過的局部模型進行聚合操作，在聚合后把收斂的全局模型上傳給任務發布方.

3.2 系統流程

在SPFLChain 中，假設參與方、礦工、共識委員會是半誠實的，嚴格按照聯邦學習中的協議執行，會為了自身利益正確履行訓練模型和聚合模型的職責，但是有興趣推斷其他參與方訓練數據或者有意義的標簽信息.參與方完成本地訓練后，聚合模型交給區塊鏈網絡中委員會節點，由區塊鏈網絡礦工節點進行局部模型驗證.如圖1 所示，具體流程如下：

Fig.1 SPFLChain training process圖1 SPFLChain 訓練流程

1）訓練需求發布.作為聯邦學習訓練模型的需求方，在身份驗證完成后，任務發布方P0根據自己的不同需求將訓練任務請求廣播到區塊鏈上，其中包括要訓練的數據集D、初始全局模型w0、支付預算BP0和要求達到的準確率等.

2）記錄查詢.共識委員會相當于區塊鏈網絡中的全節點，存有區塊鏈中的所有歷史信息.任務發布方P0廣播請求后，由共識委員會C檢索記錄中是否存在要求相同的訓練模型.如果共識委員會C在本地記錄中查詢到有符合訓練請求的模型，根據本地記錄中的Hash 值，通過getBlockByHash（）在鏈上獲取到模型，并發送給任務發布方P0，如圖2 所示，除了模型的基本信息以外，全局模型包括聚合所用的局部模型序號（sub_model），用于模型出現問題后的溯源工作.

Fig.2 Consensus committee local storage record structure圖2 共識委員會本地存儲記錄結構

3）局部模型訓練.如果查詢不到記錄，由共識委員會廣播任務，參與方Pi(i=1,2,…,n)監聽廣播.參與方接收到訓練請求后，根據需求選擇是否參與此任務發布方的訓練.由參與方P1,P2,…,Pn計算局部損失本地模型梯度 ?L(θ;b)，并進行本地模型更新.

4）模型發送.參與方進行本地的迭代訓練，利用初始模型和本地數據訓練局部模型，完成后用私鑰ski以及礦工公鑰pkg將局部模型簽名加密發送給礦工.

5）模型驗證.礦工通過解密與雙重Hash 對比后驗證參與方提交模型的所有權.

6）局部模型發送.局部模型通過驗證，由礦工發送給共識委員會C進行聚合.

7）全局模型聚合.只有當共識委員會C收集的模型達到一定數量或者超過一定的時間上限，才能觸發智能合約，通過智能合約完成模型聚合，并加入高斯噪聲：

其中，Δt為t輪聚合后的全局模型差值，N(0,σ2)為服從高斯分布的噪聲.

8）模型評估.完成驗證并在聚合完成后的局部模型要通過智能合約評估，通過其準確率acc、全局模型w與局部模型wk的歐氏距離等因素來為其計算出一個評估值Eval.

9）生成區塊并上鏈.評估完成后將本輪次的全局模型打包生成區塊并執行共識上傳到區塊鏈上.參與方從鏈上獲取全局模型作為初始模型進行下一輪的迭代訓練，直至全局模型的收斂.

共識委員會C計算的全局模型收斂或者達到迭代輪次上限，將全局模型交付給任務發布方，并把獎勵分發給參與方Pi(i=1,2,…,n)、礦工g和共識委員會C.評估和獎勵分發過程如圖3 所示.

Fig.3 Reward distribution process圖3 獎勵分發過程

任務發布方P0需要根據參與方Pi(i=1,2,…,n)、礦工g、共識委員會C等做出的貢獻進行轉賬，其中包括參與方Pi(i=1,2,…,n)的訓練獎勵、數據貢獻獎勵、礦工的驗證評估獎勵、共識委員會C的模型聚合獎勵以及區塊生成獎勵.

在整個流程中，一旦模型進入區塊鏈網絡，后續所有驗證和聚合操作都會被系統記錄在鏈上.最終訓練結束后為參與方Pi(i=1,2,…,n)生成一個評估值Score，這為系統數據流轉的溯源和激勵機制的公平分配提供了保障.如果出現問題，可以通過查詢記錄來鎖定問題源頭，變相降低了參與方、礦工和共識委員會作惡的可能性.

4 基于稀疏化的差分隱私

針對半誠實參與方造成的隱私威脅，SPFLChain用區塊鏈網絡替代傳統的中心服務器，解決聯邦學習的單點故障問題.訓練過程分為本地訓練和模型聚合，本地訓練使用稀疏化，模型聚合使用差分隱私添加噪聲來保護隱私.

在本地訓練階段，采用隨機稀疏化構建一個服從伯努利分布的d維隨機矩陣m={0,1}d，設置其中的稀疏程度字段prop，prop值越大，掩碼矩陣中的“1”值越多，在本地訓練完成后，將梯度和掩碼矩陣相乘，計算模型參數，再將參數差值傳遞給礦工.

具體過程如算法1 所示.

算法1.本地稀疏化算法.

接收到局部模型進行聚合后，采用添加服從高斯分布的噪聲進行模型更新.具體過程如算法2 所示.

算法2.模型聚合算法.

通過迭代直到模型收斂或者達到訓練輪次，由共識委員會將聚合后的最終模型交付給任務發布方.

5 模型驗證評估方案

局部模型的驗證評估對全局模型精度和隱私安全都至關重要，模型評估也可以作為最終激勵機制獎勵發放的重要依據.通過對模型準確率、訓練時長、數據集大小等多種因素綜合考慮，本節提出一種模型驗證評估方法，由礦工正確驗證參與方模型的身份和所有權后，在全局模型聚合后對參與方提交的局部模型進行基于多權重的質量評估.保證聯邦學習安全性的同時，為后續的激勵機制提供證明，提高參與方訓練積極性.

5.1 模型驗證

為了驗證參與方身份，礦工對參與方所發送模型進行驗證，參與方隨機挑選一個礦工，將本地訓練的局部模型提交，由礦工進行驗證，驗證流程如下.

1）模型加密.被選中礦工g通過KeyGen（）得到公私鑰對：公鑰pkg=（Ng,rg），私鑰skg=（pg,qg,dg）.參與方Pi使用pkg對其模型m進行加密，然后將加密后的密文Cm提交礦工.

2）模型簽名.參與方Pi計算得出公私鑰對：公鑰pki=（Ni,ri），私鑰ski=（pi,qi,di）.首先使用Hash 算法對模型進行加密，h=hash（m），使用私鑰ski對h簽名生成密文Ch=hdmodNi.

3）Hash 對比.礦工使用自己的私鑰skg對Cm進行解密得到模型m，使用相同的Hash 運算對m加密得到h0，再用參與方Pi的公鑰pki對Ch解密得到h1，對比h0和h1，如果相等，則簽名有效，否則簽名無效.

4）二次Hash 對比.在當前訓練任務中，為了防止模型上鏈后被懶惰參與方直接取用，礦工需要承擔在本地存儲局部模型及全局模型的Hash 值.礦工完成第一次Hash 對比后，使用hash（m）檢索本地模型Hash 值記錄，完成對記錄的遍歷后無擊中即可證明模型有效.

5.2 模型評估

局部模型的評估需要考慮多種因素，為了保證模型準確率的同時防止過擬合，通過多個因素分配不同權重值來完成評估值的計算.提出一種三權重評估方法，三權重的值分別為ρ,ξ,ω，分別為準確率、歐氏距離、參與方本地訓練數據集大小賦予權重，滿足ρ,ξ,ω∈[0,1]且ρ+ξ+ω=1，共同計算模型評估值Eval.

1）準確率.在聯邦學習，最終目的是向任務發布方交付一個高性能的模型，準確率是衡量模型的重要指標，準確率定義函數為

式（5）表示單輪結束后樣本分類結果與真實值進行對比，統計正確分類樣本數，將其除以總樣本數得到準確率.僅考慮準確率可能會忽略過擬合的情況，所以需要結合其他因素來綜合考慮.

2）歐氏距離.歐氏距離反映模型在預測時的泛化能力，本文定義歐氏距離的函數為

其中，x和y分別表示局部模型和聚合后全局模型對礦工擁有的同一測試樣本的預測輸出.

3）數據量.參與方訓練數據集D過小會導致訓練模型過擬合，即使在訓練數據上表現很好，但是也會在新數據的表現不佳.本地訓練數據集的大小也是衡量參與方貢獻以及模型質量的一個重要指標.

4）單輪模型評估值計算.評估值計算需要考慮1）～3）三種因素的綜合表現，參與方Pi在第k輪的模型評估值函數定義為

5）參與方評估分計算.評估分依據前面每輪評估值的計算，每輪評估值都被賦予權重q，權重值遞增，滿足且qj-qj-1=qj-1-qj-2，E為總迭代輪次，參與方Pi在E輪迭代結束后的評估分計算公式為：

評估方案賦予后期迭代更高的權重值，當參與方前面因為各種因素導致訓練效果不佳時，能夠依靠后期訓練提升評估分.參與方的評估分Score將作為激勵機制獎勵分配的重要依據，以保證獎勵分配的公平性.

6 實驗

6.1 實驗設置

聯邦學習允許各個參與方在不貢獻本地訓練數據前提下，協同訓練共享全局模型，因此本地的原始數據得到保護[28].但是聯邦學習訓練過程中會遭受深度梯度泄露等隱私攻擊.SPFLChain 引入差分隱私技術實現全局模型鏈上安全存儲、鏈下局部模型加密傳輸以及稀疏化保證隱私安全，通過采用高斯機制的差分隱私實現在保障安全的情況下均衡模型性能，構建安全的訓練過程.

本文實驗使用ResNet18 訓練CIFAR10 數據集，損失函數定義為交叉熵損失函數.實驗中設置10 個參與方，每次參與訓練的參與方有3 個，設置batch_size為32，學習率α為0.005，本地迭代次數為3，全局迭代200 輪.

實驗采用CIFAR10 數據集.CIFAR10 為尺寸32×32 的10 分類RGB 彩色圖片，數據集中一共包含50 000 張訓練圖和10 000 張測試圖.

實驗所用的開發工具為Jupyter Notebook 和PyCharm.編程語言為Python3.8，智能合約由Solidity語言編寫.配備Intel?CoreTMi5-10500 CPU @ 3.10 GHz 處理器、16 GB 運行內存以及NVIDIA GeForce RTX 3 060 顯卡，操作系統為Windows 10.

6.2 性能評估

實驗先通過局部訓練找出稀疏程度prop，以固定的稀疏程度prop訓練局部模型，全局模型更新時添加噪聲，再通過不同的噪聲參數σ進行實驗對比.通過DLG 攻擊實驗證明，SPFLChain 不論是在局部模型傳輸還是全局模型上鏈，都能在實現隱私保護的同時保證模型效用.

如圖4 所示，使用了0.2,0.4,0.6,0.8 和1.0 的稀疏程度進行聯邦學習，對比不同稀疏程度對聯邦學習模型準確率的影響.實驗結果證明，在隨機稀疏程度為0.8 時，模型準確率下降僅為0.3%.

Fig.4 Comparison of model training under different sparsity levels圖4 不同稀疏程度下的模型訓練對比

本地訓練進行稀疏化和全局模型使用差分隱私添加噪聲.實驗結果如圖5 所示，采用0.8 的稀疏度和0.003 的隱私噪聲，在損失1.5%準確率的情況下，保證了局部模型和全局模型的隱私.

Fig.5 Comparison of model training with different noise added by differential privacy圖5 差分隱私添加不同噪聲的模型訓練對比

6.3 隱私安全評估

DLG 作為一種能夠利用梯度還原數據的攻擊方法，在聯邦學習圖像分類這種需要多次交互的模型中更能很好地發揮作用，所以本節采用具有代表性的DLG 攻擊證明隱私安全實驗的可行性.

實驗對使用稀疏化和差分隱私方法后的模型梯度進行DLG 攻擊，對CIFAR10,CIFAR100,MNIST,Fashion-MNIST 多個數據集進行抽樣攻擊表明本文方案對模型保護的泛化能力.

如圖6 所示，說明了稀疏程度在0.7,0.8,0.9 和1時對恢復圖片的效果對比.在稀疏程度為0.8 時，DLG 攻擊已經造成對絕大多數的圖像像素點無法復原，能夠很好地保護原始數據集的隱私.如圖7 所示，顯示全局模型聚合時使用差分隱私添加噪聲對DLG攻擊的影響對比，在噪聲參數為0.003 時，能夠保護大部分像素不被復原.

Fig.6 Comparison of the effect of different degrees of sparsity on the recovery of DLG attack images圖6 不同稀疏度程度對DLG 攻擊圖片恢復影響對比

Fig.7 Comparison of the effect of different differential privacy noise values on the recovery of DLG attack images圖7 不同差分隱私噪聲值對DLG 攻擊圖片恢復影響對比

6.4 模型評估

模型評估值設置3 個參與方，其中1 個為惡意參與方，在訓練期間對本地數據集進行毒化訓練.測試使用CIFAR10 中測試集的圖片182_bird.jpg，分別使用參與方1、參與方2 和惡意參與方的局部模型與聚合的全局模型對該圖片進行預測識別，計算局部模型和全局模型的差值作為模型評估的一個標準.在權重值ρ=0.7，ξ=0.2，ω=0.1 時分別對比它們在前50輪中的評估值.

如圖8 所示，顯示3 個參與方在前50 輪的評估值變化對比.實驗結果表明，本文方案能夠有效識別和辨別惡意參與方使用本地毒化數據對局部模型造成的影響.

Fig.8 Comparison of evaluation values among different participants圖8 不同的參與方評估值對比

7 總結

本文提出了一種基于區塊鏈的隱私保護聯邦學習模型SPFLChain.該模型使用區塊鏈網絡替代中心服務器，實現了分布式協同解決計算問題，同時避免了數據泄露風險.為了提高模型的隱私保護性能，在局部訓練過程中采用稀疏化，模型聚合更新采用基于高斯機制噪聲的差分隱私.經實驗證明，提出的模型實現了鏈下局部模型和鏈上全局模型的隱私保護，在略損失訓練準確率的前提下，保證了模型的隱私安全.此外，本文還提出了模型驗證和三權重模型評估方法，用于動態評估參與方的訓練效果，識別檢測參與方的惡意行為.下一步將優化區塊鏈結合聯邦學習的效率，并深入探討激勵機制的公平分配.

作者貢獻聲明：劉煒、唐琮軻提出了算法思路和實驗方案；唐琮軻、馬杰負責完成實驗并撰寫論文；田釗、王琦、佘維提出指導意見并修改論文.