一種基于區(qū)塊鏈與聯(lián)邦學(xué)習(xí)的數(shù)據(jù)隱私保護(hù)方法

張 桉，楊通來，黃家銘，羅小杰，鐘連連

（廣西壯族自治區(qū)信息中心，廣西 南寧 530020）

0 引言

在過去的幾年里，大數(shù)據(jù)已經(jīng)發(fā)展成為一個新興領(lǐng)域。在大數(shù)據(jù)時代，隨著信息量與日俱增，數(shù)據(jù)價值也得到越來越多人的認(rèn)可。在人工智能領(lǐng)域，機(jī)器學(xué)習(xí)技術(shù)創(chuàng)新允許以新的方式處理各種實時創(chuàng)建的海量數(shù)據(jù)（物聯(lián)網(wǎng)傳感設(shè)備、M2M通信、社交應(yīng)用、移動視頻等）。為重復(fù)利用非結(jié)構(gòu)化信息和從信息中提取價值提供新的機(jī)會，需擺脫結(jié)構(gòu)化數(shù)據(jù)庫的限制，識別相關(guān)性，構(gòu)思新的、意想不到的用途。

大數(shù)據(jù)在迅猛發(fā)展的同時也帶來不少問題，如管理數(shù)據(jù)、實現(xiàn)數(shù)據(jù)價值最大化等，這些問題始終未得到完美的解答[1]。例如，當(dāng)它們支持對氣候變化、流行病傳播或藥物副作用的預(yù)測，它們往往會對隱私和個人數(shù)據(jù)保護(hù)構(gòu)成嚴(yán)重挑戰(zhàn)[2]。此外，由于各個企業(yè)和部門之間相互獨立，數(shù)據(jù)所在的系統(tǒng)甚至數(shù)據(jù)存儲結(jié)構(gòu)存在較大差異，因此數(shù)據(jù)之間難以進(jìn)行信息共享，造成信息孤島這一普遍現(xiàn)象。同時，互聯(lián)網(wǎng)龐大的使用群體，也使得互聯(lián)網(wǎng)數(shù)據(jù)在實現(xiàn)共享時，難以保障數(shù)據(jù)的安全性及數(shù)據(jù)隱私。盡管大數(shù)據(jù)分析帶來了好處，但是人們不能接受大數(shù)據(jù)是以隱私為代價的。因此，在利用大數(shù)據(jù)技術(shù)和個人數(shù)據(jù)隱私保護(hù)之間取得適當(dāng)?shù)钠胶馐侵陵P(guān)重要的[3]。為了解決這些問題，大數(shù)據(jù)治理與隱私保護(hù)技術(shù)成為當(dāng)下學(xué)術(shù)界與工業(yè)界最熱門的研究領(lǐng)域之一。

聯(lián)邦學(xué)習(xí)（FL）是一種分布式機(jī)器學(xué)習(xí)（ML）框架，其中數(shù)據(jù)所有者/客戶端在中央服務(wù)器的協(xié)調(diào)下聯(lián)合訓(xùn)練模型，而客戶端的原始數(shù)據(jù)保留在本地，它們不與任何其他方傳輸或共享[4]。在智慧醫(yī)療中，個性化模型需要保護(hù)個人健康信息。FL可以集成來自私有來源的數(shù)據(jù)，而無須共享私有數(shù)據(jù)本身。具體來說，F(xiàn)L保護(hù)用戶隱私主要通過交換作為學(xué)習(xí)的主體（客戶端）之間的更新模型。由于FL不涉及從所有數(shù)據(jù)服務(wù)收集數(shù)據(jù)并將其存儲在服務(wù)器上，因此它被視為在保護(hù)用戶隱私的同時進(jìn)行機(jī)器學(xué)習(xí)的一種有前途的解決方案。

然而，在傳統(tǒng)的FL設(shè)置中，大多數(shù)FL部署都遵循集中式的星型拓?fù)浣Y(jié)構(gòu)。全局模型聚合服務(wù)器分發(fā)模型供客戶端訓(xùn)練，收集客戶端的模型更新，然后重新分發(fā)更新的全局模型，直到訓(xùn)練完成。中央服務(wù)器可能成為整個系統(tǒng)安全和性能的單點故障，存在模型中毒、隱私泄露、網(wǎng)絡(luò)延遲和模型收斂延遲挑戰(zhàn)等問題[5]，從而限制了聯(lián)邦學(xué)習(xí)在大數(shù)據(jù)分析廣泛使用。為了大規(guī)模利用人工智能進(jìn)行大數(shù)據(jù)分析，我們需要一個自動化和可執(zhí)行的協(xié)作機(jī)制，確保參與者之間的執(zhí)行完整性，并防止惡意企圖。

區(qū)塊鏈（blockchain）本質(zhì)上是一種分布式、防篡改的賬本，不依賴一個集中的權(quán)威機(jī)構(gòu)來建立信任，通過共識機(jī)制進(jìn)行分布式信任管理[6]。自從比特幣問世以來，區(qū)塊鏈被用于加密貨幣、安全存儲和資產(chǎn)轉(zhuǎn)移等應(yīng)用。區(qū)塊鏈可以在聯(lián)邦學(xué)習(xí)中充當(dāng)一個不變的、去中心化的賬本，很好地解決中央服務(wù)器單點故障的問題。目前，學(xué)術(shù)界已經(jīng)提出了幾種利用區(qū)塊鏈取代中央服務(wù)器的方法[5]。然而，這些方法假定客戶端誠實，不打算破壞全局聚合模型，并可以將資源投入到在線和本地模型訓(xùn)練上。但是，惡意客戶端可能會以多種方式損害全局模型的性能。例如，它們可能會退出訓(xùn)練，拒絕上傳模型更新，使用低質(zhì)量或虛假數(shù)據(jù)訓(xùn)練模型，或者只是用隨機(jī)向系統(tǒng)發(fā)送模型更新。

為了解決以上提到的問題，本文提出了一種安全可靠的基于區(qū)塊鏈的分布式聯(lián)邦學(xué)習(xí)架構(gòu)（Fchain）。在FL模型聚合過程中，用區(qū)塊鏈智能合約取代傳統(tǒng)的中央聚合服務(wù)器，以減少對服務(wù)器/其他客戶端的信任依賴。將區(qū)塊鏈的共識機(jī)制與去中心化評分機(jī)制相結(jié)合，保持機(jī)器學(xué)習(xí)性能和去中心化，防止惡意客戶端進(jìn)行模型中毒攻擊。

1 相關(guān)工作

1.1 聯(lián)邦學(xué)習(xí)

聯(lián)邦學(xué)習(xí)涉及從存儲在數(shù)千萬臺可能數(shù)百萬臺遠(yuǎn)程設(shè)備上的數(shù)據(jù)中學(xué)習(xí)單一的全局統(tǒng)計模型。具體而言，通常是最小化以下目標(biāo)函數(shù)[7]：

形式上，F(xiàn)L算法的目標(biāo)是以分布式（聯(lián)邦）方式解決監(jiān)督學(xué)習(xí)優(yōu)化問題。為此，一組客戶端K={1，2，…，K}試圖通過使用其大小為Nk本地數(shù)據(jù)Dk同時優(yōu)化全局模型參數(shù)w∈Rd。由給出的客戶的局部損失被組合以最小化全局成本函數(shù)l（w，Dk）。為了解決公式（1）中的優(yōu)化問題，在傳統(tǒng)FL中，服務(wù)器迭代地與客戶端交互，在每次迭代中，客戶端提供根據(jù)對本地（非共享）數(shù)據(jù)集的訓(xùn)練而產(chǎn)生的本地模型更新。在FL迭代中，服務(wù)器將全局模型（例如，參數(shù)）推送到一組客戶端，所述一組客戶端執(zhí)行設(shè)備上的訓(xùn)練（例如基于不同的本地數(shù)據(jù)分區(qū)訓(xùn)練神經(jīng)網(wǎng)絡(luò)幾個歷元）并上載其模型更新。一旦服務(wù)器收集和聚合了模型更新，就會計算新的全局更新。運行更多的迭代直到收斂（如圖1），客戶端將本地模型提交給服務(wù)器，然后通過平均聚合這些模型。

圖1 傳統(tǒng)聯(lián)邦學(xué)習(xí)訓(xùn)練框架

在傳統(tǒng)聯(lián)邦學(xué)習(xí)訓(xùn)練框架中，分布式的惡意客戶端針對數(shù)據(jù)的攻擊對基于人工智能的系統(tǒng)產(chǎn)生了巨大影響。在模型訓(xùn)練階段，潛在攻擊者可以訪問用于訓(xùn)練的數(shù)據(jù)集，并用對抗性樣本污染數(shù)據(jù)集。通過利用人工智能模型對輸入的微小變化的極端敏感性，可以在訓(xùn)練階段危害數(shù)據(jù)，這些變化利用了模型的異常行為，分別稱為中毒和逃避攻擊。惡意對手還可以在測試階段創(chuàng)建敵意輸入欺騙分類器或逃避神經(jīng)網(wǎng)絡(luò)的檢測。這些攻擊可以是物理攻擊，也可以是數(shù)據(jù)攻擊。在這項研究中，將重點放在數(shù)據(jù)攻擊上。數(shù)據(jù)方法直接在輸入中引入微小的擾動。工業(yè)界和學(xué)術(shù)界為解決以上的問題提出了很多解決方案，區(qū)塊鏈技術(shù)是其中一種很有前景的解決方案[8]。

1.2 區(qū)塊鏈技術(shù)

區(qū)塊鏈?zhǔn)且环N工作在Peer-to-Peer網(wǎng)絡(luò)上的分布式存儲技術(shù)。網(wǎng)絡(luò)節(jié)點也稱為區(qū)塊鏈節(jié)點，它們充當(dāng)完全相同的角色，并根據(jù)系統(tǒng)中指定的智能合同執(zhí)行相同的功能。

在區(qū)塊鏈系統(tǒng)中，每個節(jié)點都保存著區(qū)塊鏈存儲的整個副本，其中事務(wù)被打包成塊，每個塊通過塊散列鏈接到前一個塊，參與者通過檢查內(nèi)容和伴隨的散列指針來共同驗證所有事務(wù)。節(jié)點的行為由區(qū)塊鏈上定義的智能合約來監(jiān)督，其中規(guī)定了共識機(jī)制和激勵機(jī)制。共識機(jī)制是維護(hù)系統(tǒng)分散性和存儲塊的核心功能，它通過小心地將分隔權(quán)授予被稱為挖掘器的節(jié)點之一。激勵機(jī)制幫助共識機(jī)制分配工作報酬，激勵節(jié)點誠實地繼續(xù)工作[9]。因此，如果足夠多的參與者是正確的，虛假交易就會被拒絕。這些機(jī)制確保了系統(tǒng)是防篡改的，因為惡意用戶無法說服正確的參與者切換到區(qū)塊鏈的錯誤分支。這也是區(qū)塊鏈直觀地建立去中心化信任的方式。區(qū)塊鏈系統(tǒng)的典型分層架構(gòu)如圖2所示。

圖2 區(qū)塊鏈分層結(jié)構(gòu)

區(qū)塊鏈已被證明在比特幣、以太坊、PeerCoin等加密貨幣應(yīng)用中取得了顯著的成功，區(qū)塊鏈在其他許多領(lǐng)域的采用正在不斷擴(kuò)大現(xiàn)有的區(qū)塊鏈生態(tài)系統(tǒng)。例如，已在金融分類賬系統(tǒng)、物聯(lián)網(wǎng)、云計算、公共管理、醫(yī)療保健和供應(yīng)鏈等領(lǐng)域開發(fā)了支持區(qū)塊鏈的系統(tǒng)[10-11]。區(qū)塊鏈工作流程圖如圖3所示。

圖3 區(qū)塊鏈工作流程圖

2 基于區(qū)塊鏈與聯(lián)邦學(xué)習(xí)的大數(shù)據(jù)分析系統(tǒng)

系統(tǒng)模型如圖4所示。

圖4 基于區(qū)塊鏈與聯(lián)邦學(xué)習(xí)大數(shù)據(jù)分析系統(tǒng)模型

2.1 系統(tǒng)流程

基于區(qū)塊鏈的聯(lián)邦學(xué)習(xí)大數(shù)據(jù)分析系統(tǒng)由系統(tǒng)設(shè)置階段和訓(xùn)練階段兩個階段組成。參與者在設(shè)置階段準(zhǔn)備數(shù)據(jù)和代幣，并在多個模型訓(xùn)練階段以可審計的方式協(xié)作訓(xùn)練模型，每個訓(xùn)練階段包括4個步驟：本地培訓(xùn)、鏈上聚合、委員會投票和獎勵（如圖5）。

圖5 基于區(qū)塊鏈的聯(lián)邦學(xué)習(xí)大數(shù)據(jù)分析流程圖

2.2 模型訓(xùn)練流程

在區(qū)塊鏈聯(lián)邦學(xué)習(xí)集群系統(tǒng)中主要有3種參與者：①數(shù)據(jù)提供者，根據(jù)其本地私有數(shù)據(jù)集對模型進(jìn)行訓(xùn)練，并報告權(quán)重更新。②投票者，在每個培訓(xùn)階段審計聚合的模型權(quán)重，通過區(qū)塊鏈選擇委員會節(jié)點。③礦工，在區(qū)塊鏈上主動存儲交易并生產(chǎn)區(qū)塊的節(jié)點。本文主要針對客戶端的工作流程，而礦工部分與其他區(qū)塊鏈系統(tǒng)中的類似。值得注意的是，現(xiàn)實世界中的一個人并不局限于充當(dāng)集群系統(tǒng)中的一個參與者，這給整個系統(tǒng)增加了額外的安全要求，使在這種情況下惡意策略變得更加復(fù)雜。系統(tǒng)的機(jī)制設(shè)計也是為了防御這種復(fù)雜的惡意行為。

2.2.1 聯(lián)邦學(xué)習(xí)任務(wù)設(shè)置階段

任何參與者都應(yīng)該首先將一些代幣作為抵押品放入集群系統(tǒng)中，以表示他們的承諾。然后在獎勵階段，將使用代幣獎勵誠實的行為者，懲罰惡意行為者。對于礦工來說，更多的代幣有助于被選為區(qū)塊生產(chǎn)者并獲得區(qū)塊獎勵的概率，即所謂的股權(quán)證明（POS）機(jī)制。為了參與模型訓(xùn)練，終端用戶應(yīng)該準(zhǔn)備一個私有的訓(xùn)練數(shù)據(jù)集，并準(zhǔn)備一個用于本地模型選擇的驗證數(shù)據(jù)集。任何想要成為委員會投票人的節(jié)點都應(yīng)該準(zhǔn)備一個本地測試數(shù)據(jù)集，用于全球模型權(quán)重審計。顯然，投票者可以省略部分訓(xùn)練數(shù)據(jù)集作為測試數(shù)據(jù)集。在系統(tǒng)中應(yīng)用了一種新穎的獎勵機(jī)制來激勵誠實的數(shù)據(jù)提供者和投票者，并懲罰惡意參與者。

2.2.2 聯(lián)邦學(xué)習(xí)模型訓(xùn)練階段

模型訓(xùn)練階段包括以下4個步驟。

（1）本地局部模型訓(xùn)練：每個節(jié)點在每個訓(xùn)練階段結(jié)束時接收相同的全局模型權(quán)重。在新的訓(xùn)練階段開始時，從所有有資格訓(xùn)練模型的節(jié)點中隨機(jī)選擇幾個節(jié)點作為該階段的模型建議者。只有被選擇的節(jié)點才被允許基于全局模型本地訓(xùn)練它們的模型，并向集群系統(tǒng)提出局部模型更新。

（2）區(qū)塊鏈上模型聚合：在本輪中，被選中的生成塊的挖掘器收到提議方的局部模型權(quán)重更新后，將通過FedAvg協(xié)議聚合權(quán)重，并將全局模型權(quán)重發(fā)布到區(qū)塊鏈上。然而，由于礦工可能是惡意的，并審查特定的提名人以獲得利益，因此需通過其他挖掘器驗證模型聚合的正確性。因此，在全局模型權(quán)重提出后，其他挖掘者將在進(jìn)入下一步之前開始一輪投票，以驗證聚合結(jié)果的有效性。

（3）區(qū)塊鏈委員會投票：為了避免錯誤的模型權(quán)重更新，懲罰惡意提出者，在所有符合條件的參與者中隨機(jī)選擇一個審計委員會對全局模型權(quán)重進(jìn)行評估。每個委員會投票人在本地評估先前準(zhǔn)備的測試數(shù)據(jù)集上的模型性能，并基于性能計算投票分?jǐn)?shù)。之后，每個投票者只需將投票分?jǐn)?shù)上報給區(qū)塊鏈礦工進(jìn)行計票即可。自動鏈上協(xié)議將根據(jù)投票分?jǐn)?shù)確定本輪全局模型權(quán)重是否會被丟棄。

（4）獎勵：為了激勵誠實的行為，擺脫不良行為，研究人員在每個培訓(xùn)階段結(jié)束時根據(jù)投票分?jǐn)?shù)重新分配所押注的代幣。對于提名者，獎勵/斜杠是根據(jù)投票分?jǐn)?shù)給予的。對于選民，我們根據(jù)他們的個人投票分?jǐn)?shù)與最終匯總分?jǐn)?shù)和投票方向之間的差異計算獎勵/扣減的金額。我們對系統(tǒng)進(jìn)行了配置，最終誠實的參與者將獲得獎勵，惡意的參與者將被砍掉。由于每個參與者都應(yīng)該設(shè)置足夠的令牌來參與，因此惡意參與者最終會在他們的令牌被砍掉時退出系統(tǒng)。通過這種方式，集群系統(tǒng)在不犧牲最終模型性能的情況下促進(jìn)了安全和真實的聯(lián)邦學(xué)習(xí)過程。

3 仿真與性能評估

為了評估Fchain解決方案，研究人員使用了一個流行的聯(lián)合圖像分類數(shù)據(jù)集：EMNIST。EMNIST數(shù)據(jù)集包含手寫數(shù)字的圖像，分布在不同用戶中，它包括341 873個訓(xùn)練樣本和40 832個用于評估的測試樣本。研究人員使用簡單的開箱即用前饋神經(jīng)網(wǎng)絡(luò)（FNN）和更復(fù)雜的卷積神經(jīng)網(wǎng)絡(luò)（CNN）解決EMNIST提出的手寫圖像識別問題。在評估中，將數(shù)據(jù)集分割為幾個分區(qū)，關(guān)注K={10，50，100，200}個隨機(jī)客戶端（如圖6）。

圖6 客戶端用戶數(shù)對FL模型訓(xùn)練收斂影響

在每一輪FL中調(diào)整塊大小，考慮較小的用戶子集。因此，假設(shè)所有本地更新都具有相同的大小，我們將定義為構(gòu)建塊所需的用戶百分比。同步的情況對應(yīng)于Y=100%，這是因為考慮的所有客戶端的更新都包含在單個塊中。定時器被設(shè)置為任意高的值，以忽略其影響并僅關(guān)注塊大小。

4 結(jié)論

本文討論了分布式聯(lián)邦學(xué)習(xí)這一新興課題，并提出了使用區(qū)塊鏈技術(shù)以安全、透明和可靠的方式實現(xiàn)分布式聯(lián)合優(yōu)化；重點研究了去中心的隱私保護(hù)FL框架，用于學(xué)習(xí)存儲在不同終端中的數(shù)據(jù)的有效模型；提出了效用最大化和FL損失函數(shù)最小化的聯(lián)合優(yōu)化問題；利用區(qū)塊鏈技術(shù)來實現(xiàn)抵抗分散的惡意客戶端模型中毒攻擊。

未來，研究人員希望考慮其他隱私保護(hù)技術(shù)，如安全多方計算或同態(tài)加密；希望致力于基于區(qū)塊鏈的節(jié)能FL框架，以降低FL過程中的能耗。此外，將考慮最先進(jìn)的神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu)和不同的數(shù)據(jù)增強(qiáng)技術(shù)觀察隱私參數(shù)對準(zhǔn)確率的影響。