聯邦學習中隱私保護聚合機制綜述

Survey of privacy-preserving aggregation mechanisms in federated learning

Qiu Jiana，Ma Haiyinga?，Wang Zhanjun ，Shen Jinyua （a.SchoolofclecofUi China）

Abstract：Asanewdistributed machine learning（DML）framework，FLcanefectively protectthelocaldata privacyof participantsbyaggregatingthelocalmodelparametersuploadedbyparticipantstotraintheglobalmodel.However，theselocal model parameters still have the risk of revealing the privacy of participants. As a critical step in FL ， the privacy-preserving aggregation （ PPAgg ）mechanism has become a key technology for addressing privacy issues.This paper first introduced the concept of FL and its associated privacyand security threats.It then highlighted the core ideas and key proceduresof PPAgg mechanisms by integrating existing privacy-preserving techniques inFL.This paper analyzed typical PPAgg mechanisms indetail，focsingontheirprimaryadvantagesandlimitations，aswellasthespecificapplicationscenarioswhereheyweresuitable.Finall，this papersummarized andanalyzed curent PPAgg mechanisms，explored emerging challenges anddevelopment directions for FL ，and proposed potential solutions to address these issues.

Key words：federated learning（FL）；privacy-preserving；aggregation mechanism；blockchain；securemulti-partycomputation

0 引言

機器學習（ML）作為實現人工智能的一種重要手段，利用收集的原始數據訓練特定場景下的數據模型，以達到使機器模擬人類行為的目標。近年來，隨著機器學習算法的廣泛應用和對數據隱私保護的日益關注，不同數據擁有者協同訓練ML模型，并同時保護其數據隱私的方案引起了學術界和工業界的廣泛關注。為了實現隱私保護的機器學習， McMahan 等人提出了聯邦學習架構，并將其廣泛應用于物聯網[2]和醫療保健[3]等場景。標準的聯邦學習系統允許不同參與者利用本地數據單獨進行模型訓練，并將訓練后的本地模型參數上傳至服務器，再由服務器聚合這些參數，構建FL的全局模型。然而，攻擊者只需獲取部分模型參數，利用推理攻擊或模型反演攻擊等方法，就可以重建用戶的原始數據，或者構造出一個類似的模型[4]。為了保護參與者模型參數的隱私安全，學者們使用隱私保護技術[5＼～7]，構造隱私保護聚合（privacy-preserving ag-gregation，PPAgg）機制，即以隱私保護的方式聚合參與者的本地模型。常見的隱私保護技術有同態加密（homomorphic en-cryption，HE）[5]、安全多方計算（secure multi-party computa-tion，SMPC）[6]和差分隱私（differential privacy，DP）[7]等。

與傳統的分布式隱私保護機器學習（privacy-preservingmachinelearning，PPML）不同，隱私保護聯邦學習（privacy-preservingfederatedlearning，PPFL）需要考慮參與者的異構性[8]，例如，不同的參與者往往擁有不同的算力和帶寬。此外，PPFL系統中的安全和隱私問題可能來自內部人員或外部人員，也可能來自單個敵手或多個敵手。敵手可以是半誠實的，即試圖在不偏離FL聚合機制的情況下獲取其他誠實參與者的隱私；也可以是惡意的，即試圖獲取其他參與者的隱私或偽造聚合密文以影響模型更新。因此，在不同場景下部署PPFL時，需要結合具體應用場景設計相應的PPAgg機制。

現有FL安全綜述工作[8＼～13]主要分析整個系統中的隱私和安全威脅現狀，針對不同的安全威脅問題，總結相應的應對策略和解決問題的關鍵技術。邱曉慧等人[8]重點闡述了FL面臨的安全和隱私攻擊，總結了相應的防御機制。張世文等人重點研究FL攻防技術，針對可能遭受到的攻擊，總結其針對性的防御措施。熊世強等人[10]重點研究FL中的攻擊方式和安全威脅，并列舉出相關的隱私保護技術。陳學斌等人[1]分析FL面臨的攻擊和相應的防御措施。肖雄等人[12]著重分析了影響全局模型性能的多種惡意攻擊手段，列出損害全局模型精度的惡意攻擊和相應的安全防御方案。Xie等人[13]重點分析了PPFL中HE的效率優化。然而，現有研究工作尚缺乏專門從 PPA_SE 的角度對PPFL系統進行合理構建和部署的科學分析，特別是FL系統異構場景中隱私保護技術的選擇、分析和總結。

本文重點分析PPFL系統中PPAgg機制的關鍵技術、工作原理及其優缺點，并給出其在不同應用場景下的構建和部署。本文首先針對聯邦學習的異構性，闡明數據異構性、設備異構性以及訓練架構異構性對系統性能和隱私保護的影響，探討不同場景下隱私保護技術的適用性和有效性。然后，系統闡述PPFL中PPAgg機制的工作原理，重點分析基于掩碼、差分隱私、安全多方計算、同態加密、區塊鏈和可信執行環境（TEE）等多種隱私保護技術的聚合機制，給出這些 PPAgg 機制的優缺點分析，并結合不同場景給出相應的 PPAgg 機制，為不同應用需求及場景選擇和布局最優的PPAgg機制提供了理論支持和實踐指導。與現有研究工作不同，本文不僅從技術層面分析和總結PPAgg機制，還結合聯邦學習系統的異構性和應用需求，評估現有方案的適用性。同時，通過對不同技術方案在通信開銷、計算效率、隱私保護強度和魯棒性等方面的性能對比，進一步為PPFL系統的優化和部署提供可行性參考方法。

1聯邦學習

聯邦學習是一種分布式機器學習框架，允許不同參與方利用其本地數據集單獨訓練學習模型，然后由服務器聚合這些模型以構建全局模型。如圖1所示，傳統的聯邦學習會重復執行如下步驟。

a）本地模型訓練：每個參與者 u_i 利用本地數據集 D_i 訓練出本地模型 M_i 。b）上傳本地模型：每個參與者 u_i 將本地模型 M_i 上傳至服務器 S c）模型聚合：服務器 s 接收本輪次所有參與者的模型參數，并執行聚合操作，得到本輪次的全局模型 M d）模型更新：服務器 s 將全局模型 M 發送給所有參與者，參與者利用當前全局模型 M 訓練出下一個輪次的本地模型，直至模型訓練結束。

為了在不同場景下部署PPFL，需要對FL系統中參與者的數據特征、算力和帶寬等各方面的異構性進行分析，從而設計合理的PPAgg機制。本文從參與者的數量和性能、數據分布和通信架構三個不同的標準對FL進行分類，如表1所示。首先，根據參與者的數量和性能，FL可分為跨組織FL和跨設備FL 跨組織FL系統通常由可靠參與者組成，這些參與者通常具備足夠的算力和帶寬，例如醫療或金融等多機構協同訓練機器模型；跨設備FL系統是由大量移動設備或輕量級物聯網設備組成，參與者通常計算能力有限且通信網絡不穩定，可能是手機或IoT設備，適用于個性化鍵盤輸人法預測、語音識別等應用場景。其次，根據參與者的數據分布特征，FL可分為橫向聯邦學習、縱向聯邦學習和聯邦遷移學習。橫向聯邦學習中各參與方數據特征相同，但數據樣本不同；縱向聯邦學習中各參與方數據樣本是對齊的，但數據特征不同；遷移聯邦學習中參與者數據樣本和數據特征重疊都較少，利用遷移學習思想，在已有模型基礎上，利用多個參與方的數據進行模型訓練。最后，根據通信架構，FL可分為中心化FL和去中心化FL。中心化FL易于管理和協調，但容易遭受單點故障攻擊；去中心化FL強化數據隱私保護，提高系統健壯性和可擴展性，但可能存在模型發散或不能收斂等安全隱患。

此外，FL系統中的隱私威脅可能引發不同形式的隱私泄露。Hallaji等人[14]系統性地闡述了聯邦學習中存在的威脅和攻擊，主要包括內部攻擊和外部攻擊。內部攻擊來自聯邦學習的內部人員，例如參與者或服務器，而外部攻擊則來自聯邦學習的外部人員，例如竊聽者。在聯邦學習的 PPAgg 機制中，這些攻擊者通常被假設為擁有白盒或黑盒訪問權限。白盒訪問權限允許攻擊者可以直接獲取參與者的模型明文內容；而黑盒訪問權限則通過查詢模型的輸入輸出數據，進行推理攻擊。由于不同敵手的攻擊能力意味著FL隱私泄露的風險不同，表2列舉了FL中三種類型參與者的行為。針對不同的敵手模型，本文給出合理設置隱私保護策略的可行性PPAgg方案。

在聯邦學習的模型聚合階段，內部攻擊者可能會對模型進行推理攻擊，即攻擊者通過參與者上傳的模型參數，反向推理出模型參數的額外信息，包括模型反演攻擊和成員推理攻擊[15]

a）模型反演攻擊。在模型反演攻擊中，攻擊者的主要目標是從參與者的模型參數中獲取數據或該數據的一部分特征。即使攻擊者只擁有黑盒訪問權限，也可以多次發送數據，從得到的輸出中重構模型的明文或構建一個類似的模型[4]

b）成員推理攻擊。在成員推理攻擊中，攻擊者的主要目標是判斷給定的樣本是否在參與者的本地數據集中，本質上是對參與者數據集進行分類。例如，在醫療數據集中，攻擊者可以發動成員推理攻擊，判斷某個參與者是否患病。成員推理攻擊會對聯邦學習中的個體造成很大的隱私威脅。

可以看出，在聯邦學習的聚合階段，攻擊者可以通過多種方式來獲取參與者本地數據的隱私信息。因此，在這一階段，需要設計一種合理的PPAgg機制來保護參與者的隱私數據，以防止隱私數據被其他參與方隨意獲取。

2聯邦學習中的隱私保護聚合機制

如前所述，聯邦學習在聚合階段容易發生隱私泄露問題，需要設計 PPAgg 機制以保護參與者的隱私。根據隱私保護程度由強至弱的特點，聯邦學習中的PPAgg機制可分為三類：a）基于密碼學的方法，如一次一密、安全多方計算[5和同態加密[6];b）基于數據擾動的方法，如差分隱私[7];c）可信環境設置方法，如區塊鏈和可信執行環境。本章對這三類隱私保護技術的工作原理進行深入分析，結合現有研究成果闡述這些技術如何應用于聯邦學習，并在聚合階段對參與者的隱私提供保護，最后分析每種方法相應的優缺點。

2.1基于密碼學的方法

2.1.1基于掩碼的聚合

一次一密的核心思想是使用與明文等長的隨機非重復密鑰序列來對明文進行逐一加密，同時利用該密鑰序列可以完成對密文的解密。在FL中，一次一密利用偽隨機數生成器（PRG）計算出密鑰序列 z=（z₁，z₂，…，z_n） ，參與者將該密鑰序列作為掩碼盲化模型參數，從而保護自己的隱私。具體來說，參與者 u_i 對其模型參數 x=（x₁，x₂，…，x_n） 進行盲化： y=（x₁+ z1，χ+z，，xn+zn）。然后將盲化后的密文上傳至服務器。由于系統中可能存在不可信的參與方，使得聚合服務器無法獲得正確的解密密鑰序列，導致服務器無法獲得正確的聚合結果。因此，在FL聚合階段需要設計一種合理的PPAgg技術來抵消這些掩碼。

Bonawitz等人[16]首先提出了 SecAgg 機制，利用成對掩碼技術有效地保證了參與者模型參數的隱私安全和聚合結果的正確性。具體來說，假設有一組有序的聯邦學習用戶集 U ，對于每個用戶 u_i∈U ，給定明文 x_i ，計算

得到密文 y_i 。其中： PRG（s_i，j） 表示用戶 u_i 與 u_j 之間利用Diffie-Hellman（DH）密鑰交換協議生成一個共享的隨機種子 s_i，j 或s_j，i ，并利用該隨機種子 s_i，j 得到的一個密鑰序列，由于 s_i，j=s_j，i ，所以 。DH 密鑰交換是一種安全密鑰協商協議，能夠讓通信雙方在完全沒有對方預先信息的前提下，利用不安全信道創建一個臨時會話密鑰。因此，將該密鑰序列 PRG（s_i，j） 作為掩碼，可以有效地對模型參數進行盲化。此外， SecAgg^[16] 使用 Shamir秘密共享方案來處理 PPAgg 的掉線用戶。

對于一組有序的聯邦學習用戶 U ，每個用戶 u_i∈U 都擁有全部的PRG（ s_i，j） 。當 ii 會添加掩碼值PRG（s_i，j） ，而用戶 u_j 會減去掩碼值 PRG（s_i，j） 。在模型聚合過程中，所有參與者的掩碼值能夠相互抵消，從而得到正確的聚合結果，即

SecAgg機制[16]能夠有效地保護用戶模型的隱私安全，但是涉及多個用戶之間的通信，會產生大量的通信開銷。后續的研究工作[17，18]旨在解決 SecAgg機制中的通信開銷問題。例如采用量化技術[17]壓縮模型參數，減少模型參數的大小。Bell等人[18]提出了 SecAgg+ 機制，如圖2所示，采用Harary圖，即一種圖的邊數盡可能少的 k 連通圖，能夠更加高效地選擇需要通信的用戶，從而降低安全聚合的通信和計算開銷。但是隨著用戶之間通信開銷的減少，方案的安全性也相應會有所降低，當用戶 u_i 只與少量用戶通信時，服務器可能會與這幾個用戶共謀，重構出用戶 u_i 的模型參數。

盡管上述 PPAgg 方案[14，17，18]在聚合時可以抵消所有的掩碼值，得到正確的聚合結果，但由于這些方案需要用戶之間增加大量通信開銷，使得在大規模部署聯邦學習時存在一定的局限性。所以，文獻19，20]試圖采用非成對掩碼，盲化參與者的模型參數，然后再一次性去除這些掩碼值。例如文獻[20]中，假設FL系統中擁有 n 個用戶，每個用戶 u_i 在不與其他用戶交互的情況下隨機生成一個掩碼值 z_i ，并使用這個掩碼值來盲化自己的模型參數，即 y_i=x_i+z_i ，然后將盲化后的模型參數上傳至聚合服務器。由于聚合服務器獲得所有用戶掩碼值的總和 ，但不能獲得單個掩碼值 z_i ，從而確保了參與者模型參數的隱私安全[19，20]。在這種情況下，服務器可以通過計算

來獲得正確的聚合結果。例如，在文獻[19]中，由一個可信的第三方來收集所有用戶生成的掩碼值，并計算總和，然后將結果發送給服務器來去除這些掩碼值。文獻[20]也使用了類似的思想，同時可信第三方還考慮了用戶是否掉線的問題，并將掉線用戶的掩碼值從總和中減去。后續的工作[21]為了取消可信第三方的設置，使用了秘密共享方案，用戶將自己產生的掩碼值份額利用秘密信道分發給其他用戶，服務器在接收到所有在線用戶的份額后，重構出所有用戶掩碼值的總和，從而獲得正確的全局模型。

基于掩碼的聚合機制可以分為成對掩碼聚合以及非成對掩碼聚合。a）基于成對掩碼的聚合機制能夠在聚合階段有效地處理掉線用戶，因此適用于參與者經常掉線的跨設備應用場景；b）基于非成對掩碼的聚合機制由于不涉及用戶之間的通信，通常可以提升跨組織場景的聚合效率。在大多數情況下，基于掩碼的聚合需要在安全性等級和聚合效率之間進行權衡，例如為了提高方案的安全性，可能需要依賴可信第三方或確保參與者之間無法共謀，這通常會帶來額外的通信或存儲開銷。

2.1.2基于安全多方計算的聚合

安全多方計算（SMPC）是一種提供隱私保護的安全交互協議[6，旨在無可信第三方的情況下，允許多個參與方協同計算某個函數，同時保證每個參與方的輸入數據不被其他參與方獲取。如圖3所示，假設有 n 個參與方，每個參與方 u_i 都擁有一個隱私值 x_i ，所有參與方可以協同計算：

y₁，…，y_n=f（x₁，…，x_n）

每個參與方 n_i 只能根據自己的輸入值 x_i 來獲取輸出值y_i ，而不能獲取任何其他的信息。

一般來說，SMPC可以通過多種框架來實現，例如不經意傳輸（OT）、秘密共享（SS）[22]以及同態加密（HE）[5]等。在不經意傳輸協議中，發送方向接收方發送兩條或多條消息，接收方從這些消息中隨機選擇一條，發送方并不知道接收方獲得了哪條消息。這個協議適用于兩方邏輯運算，而秘密共享[22]和同態加密[5]則適用于多個參與方對數據進行運算。本節將介紹秘密共享在聯邦學習中的應用，基于同態加密的聚合將在2.1.3節中詳細介紹。

秘密共享[22]是一種將秘密值分割存儲的密碼學技術，可以將一個秘密拆分成多個份額，由不同的參與者管理，并且只有當參與者達到一定數量時，才能重構秘密。以Shamir秘密共享為例，想要把一個秘密值 s 共享給 n 個用戶，首先選取t-1（t?n） 個隨機值 s₁，s₂，…，s_t-1 構造多項式：

f（x）=s+s₁x+s₂x²+…+s_t-1x^t-1

在這個多項式中，任意一點 （x_i，f（x_i） ） ）都可以作為秘密共享的份額。為了重構秘密值 s ，至少需要 χ_t 個秘密份額，通過拉格朗日插值公式計算：

Corrigan-Gibbs等人[23]首先將秘密共享和非交互零知識證明技術相結合，構造出一種秘密共享的非交互式零知識證明協議 SNIP（secret-shared non-interactive proofs），并利用 SNIP 協議提出一種具有魯棒性的可擴展安全聚合協議，簡稱為Prio方案。該協議由一個客戶端（即驗證者）和多個服務器（即試證者）之間的交互組成，客戶端首先利用秘密共享技術將秘密值 x 拆分成多個份額，使用一個公開的算術電路valid （x） 生成一組份額證明串，并將每個份額和相應的證明串發送給相應的服務器，所有服務器將接受的份額和證明串輸入算術電路valid（·），利用安全多方計算輸出 valid（x） 的值，當 valid（x）=1 時，接受該用戶的數據 x ，否則，認為該數據是惡意或無效數據，拒絕該用戶的數據 x 。Prio方案中，當客戶端和至少一個服務器是誠實的，所有服務器都不能獲知秘密 x 的任何信息。由于SNIP證明串能夠以很大的概率識別出惡意或無效數據，并將其刪除，所以能確保客戶端上傳模型的正確性，實現FL安全聚合的隱私性和魯棒性。

為了更高效地執行聚合協議， Prio+^[24] 要求參與者將秘密值通過布爾共享發送給服務器，服務器在接收到布爾分享之后，將布爾分享轉換為算術分享，計算算術分享下的聚合結果，從而避免使用Prio中的零知識證明協議，提高了聚合效率。Prio+ 方案基于安全兩方計算，實現將布爾共享快速轉換為算術共享的安全協議。Rathee等人[25]提出了ELSA方案，部署兩臺服務器實現安全聚合，同時提出一種基于L2范數的魯棒性檢測算法。該方案設計了安全兩方計算的基礎模塊：布爾共享到算術共享的安全轉化協議、OT協議和Beaver乘法三元組，利用Beaver乘法三元組，完成L2范數計算中的安全求平方運算，兩個服務器調用這個安全計算模塊實現安全聚合的魯棒性檢測。ELSA不僅保障了模型的隱私安全，而且優化了聚合過程的通信開銷。

He等人[26]提出一個基于秘密共享SMPC的FL方案，參與者隨機地將本地梯度切分為兩個相加的秘密，分別共享給A和B兩個不串通的服務器。A服務器將計算結果發送給B，B服務器按照SMPC協議執行安全聚合，并將聚合結果分發給參與者。該方案在參與者和兩個服務器之間共享梯度會造成大量的通信開銷，降低FL運行的效率，尤其是存在大量設備的IoT環境中。Zhang等人[2]提出了一種兩輪秘密共享方案，在第一輪中，參與者的本地模型被拆分成多個秘密共享的份額，然后在第二輪中將這些份額分成兩部分，一部分作為公共的份額發送到服務器進行模型聚合，另一部分作為私有的份額留在本地，用來恢復真正的全局模型。該方案中，參與者只需要將部分模型上傳至服務器，因此不一定需要設置誠實的服務器。然而，這種方法也可能會導致聚合結果不準確。

與基于掩碼的聚合方案[14，17，18]相比，基于SMPC 的 PPAgg機制能夠顯著提高模型準確率，然而這需要增加大量的計算和通信開銷，不適用于參與者性能較弱的跨設備聯邦學習。此外，基于SMPC的PPAgg機制通常采用閾值秘密共享，例如Shamir秘密共享技術分發秘密份額，允許部分用戶掉線，僅當在線用戶大于設定的閾值時，FL聚合機制才能夠正常進行，因此大多數參與者需要具有一定的帶寬和計算能力，確保其能保持在線。而基于DP的 PPAgg 機制對掉線參與者的數量沒有嚴格限制。

2.1.3基于同態加密的聚合

同態加密（HE）是一種具有隱私保護功能的加密算法[5]，允許模型參數在密文狀態下直接對密文進行某種數學操作，如加法操作或乘法操作，并且解密后得到的結果與在原始明文執行相同操作后的結果相同。具體來說，對于明文 x₁ 和 x₂ 以及同態加密算法［·]，滿足

[x₁]?[x₂]=[x₁?x₂]

其中： ? 表示加法或乘法運算; [x₁] 和 [x₂] 分別表示對明文 x₁ 和 x₂ 進行同態加密后的密文； [x₁?x₂] 表示對原始明文進行操作后再進行同態加密。

參與者利用同態加密技術可以將對密文的計算操作外包給不可信的第三方，使其在不知道原始數據的情況下完成對密文的計算任務。在聯邦學習中，為了保護參與者模型參數的隱私，通常可以采用同態加密算法對其進行加密[28]，然后將密文發送給服務器。如圖4所示，服務器在接收到參與者的密文后，在密文上直接執行聚合操作。

Fang等人[28]設計了一種基于同態加密算法Paillier的聯邦多層感知器，提出一種基于HE的 PPAgg 機制。在這個機制中，用戶上傳加密后的模型參數，在服務器上使用同態運算聚合模型參數。該機制在數據隔離的情況下也能訓練出通用模型，提供了一種有效的隱私數據保護方案。 Xu 等人[29]利用Paillier算法設計出FL框架Fedv，依靠可信的第三方來分發密鑰對，所有參與者持有相同的密鑰對，但對聚合服務器保密。所有參與者使用相同的公鑰加密其本地梯度，聚合服務器根據同態操作對密文執行聚合操作，并將聚合密文分發給所有參與者，參與者解密聚合密文并進行下一輪次的模型訓練。但是Fedv具有很強的安全性假設，即所有參與者都是半誠實的且不與聚合服務器共謀，這個假設是非常脆弱的，聚合服務器可以通過創建一個虛擬的參與者來竊取其他參與者的隱私信息。Wibawa等人[30]為了保護醫療數據集的安全，提出了一種使用同態加密的隱私保護聯邦學習算法。該算法使用同態加密來保護由醫療數據集訓練生成的模型，使其能夠有效地保護醫療患者的隱私，并在醫療數據集上根據模型性能進行了評估。Li等人[31]人提出了一種基于區塊鏈和HE 的隱私保護FL方案。該方案在保證局部模型隱私性的同時提供可驗證性，還建立了基于聲譽的激勵機制，以鼓勵車聯網用戶誠實且積極的參與FL。

然而，基于HE的 PPAgg 機制在提供隱私保護的同時會帶來大量的通信和計算開銷。因而，后續的一些工作[32.33]旨在提升方案的效率。例如，Mohammadi等人[32]使用Paillier算法保護參與者隱私，提出了一種輕量級優化的Paillier同態加密方法。該方法在參與者加密本地模型之前，對模型中的冗余參數進行修剪，得到更加緊湊的模型，從而減少加密所需要的時間。Zhang等人[33]在物聯網醫療保健場景下，設計了一種基于HE的隱私保護FL方案，在提高安全性的同時，降低了計算開銷。Hijazi等人[34]使用集群的方法將所有的參與者劃分成若干個集群，參與者首先在集群上進行聚合，加密聚合結果后發送給服務器，這樣大大減少了參與者與服務器之間的交互，減小了通信開銷。

由于HE理論基礎十分成熟，可以適用于各種類型數據和模型的聚合，所以基于HE的聚合方案允許服務器在密文狀態下直接進行聚合操作，有效地保護了參與者的隱私。但是，同態加密存在大量密集型計算，且密文膨脹率極大，導致增加大量的計算和通信開銷，不適用于計算和通信資源有限的跨設備聯邦學習。為了減少計算和通信開銷，可以采用模型參數的局部更新策略，減少同態加密操作的計算量，或者采用混合加密模式，即對不敏感的數據不執行加密操作，以減少加密操作的總體負擔。

2.1.4基于密碼學方法的總結

由于密碼學方法本身涉及一定的通信和計算開銷，所以基于密碼學方法的三種聚合方案普遍存在通信開銷或計算開銷大的問題。表3給出了一些具有代表性的方案的關鍵特征，并進行了系統性的評價和總結。

2.2基于數據擾動的方法

2.2.1基于差分隱私的聚合

差分隱私（DP）是一種高效的隱私保護技術[7]，其目的是防止數據集中因出現一點細微變化而導致隱私泄露問題。其具體定義如下：給定兩個只相差一條數據的數據集 D 和 D^′ M（D） 表示數據集 D 在隨機函數 M（?） 作用下的輸出， s 表示所有可能的輸出， ε 表示隱私預算，若滿足

Pr（M（D）∈S）?e^εPr（M（D^′）∈S）

則可認為隨機函數 M（?） 滿足 ε. -差分隱私。直觀來說，觀察者通過觀察輸出結果很難察覺出數據集的細微變化。通常可以采用添加噪聲的方式來實現差分隱私，例如添加一系列遵循正態分布的隨機值，即高斯噪聲[35]。需要注意的是，向模型中添加的噪聲越多，隱私保護性越強，但模型的可用性也越差。

在聯邦學習中，參與者每一輪都需要上傳更新后的本地模型，攻擊者通過觀察本地模型的變化趨勢能夠推理出參與者的一些隱私數據[4]。因此可以引入DP技術，防止攻擊者發動推理攻擊，以此來保護參與者的隱私。參與者利用差分隱私技術向模型參數中注入隨機噪聲[35]，為其提供隱私保護，使其能夠抵抗推理攻擊。根據添加噪聲參與方的不同，可以將其分為本地差分隱私（LDP）和全局差分隱私（GDP）。LDP是指用戶向本地模型添加噪聲以保護本地模型隱私；GDP是指服務器向全局模型添加噪聲以保護全局模型隱私。LDP的定義如下：

其中： n 表示FL中的第 n 個參與者； D_n 和 D_n^′ 表示第 n 個參與者在某一輪次訓練出來的模型。GDP的定義滿足式（8）。

基于LDP的 PPAgg 機制通常應用于服務器不可信的設置中。為了保護自身的隱私，參與者首先需要向本地模型中添加噪聲，再將擾動后的模型發送至服務器。Vinita等人[36]在車聯網（IoV）場景中，要求參與者在每個輪次中都對本地模型添加噪聲，以保護自己的隱私。同時采用三層聚合協議，通過迭代擾動和聚合梯度來增強隱私性，從而最大限度地減少梯度暴露的可能性，保留了數據完整性。Zhao等人[37]提出了四種LDP機制來擾動車輛產生的梯度值，以便平衡隱私預算與模型精度之間的關系。當隱私預算較大時，提供較高的模型精度；當隱私預算較小時，設計一種次優機制PM-SUB，確保模型精度不會有太大的損失。這種混合機制在保證實用性的同時保護了隱私。

由于用戶總數、每輪次選擇的用戶數以及迭代次數都會影響產生噪聲的方法和數量，基于LDP的PPAgg 機制[38]需要在每一輪模型訓練中向目標參數添加噪聲，這些噪聲的累積會導致模型精度的降低。為了提高模型精度，He等人[39]只向本地模型中添加少量噪聲，并結合Shuffle機制加強隱私，在保證隱私的情況下，緩解噪聲累加導致的隱私預算爆炸。如圖5所示，每個參與者不是直接將添加噪聲后的模型參數發送給服務器，而是對其拆分和打亂后以匿名的方式將每個權重傳遞給服務器。Sun等人[40]基于Shuffle機制設計了FedSDP框架，在車輛的本地訓練過程中引入了top-k稀疏機制，以減小通信開銷，確保車聯網在低延遲約束下安全高效地共享數據。

與基于LDP的方法相比，基于GDP的 PPAgg 機制通常只涉及少量的噪聲，因此模型的精度不會有太大的損失。當FL系統部署可信服務器時，在服務器端對全局模型添加噪聲可以為所有參與者提供隱私保護。由于模型精度沒有太大的損失，所以能為FL系統帶來更好的實用性。Letafati等人[41]提出了一種在分布式元宇宙醫療系統中應用全局差分隱私的方法，并設計了一種“混合噪聲”機制，以確保在處理本地模型更新時保護隱私。Ling等人[35]采用高斯噪聲對全局模型進行擾動，同時研究了GDP方法對聚合結果的影響，結果表明，添加高斯噪聲能夠防止全局模型出現過擬合的現象，從而獲得更準確的模型。然而，在大多數情況下，部署可信服務器是比較困難的，因此更多的方案采用LDP方法來保護隱私。

2.2.2基于數據擾動方法的總結

表4給出了上述方案的總結和概述，與基于密碼學方法的PPAgg機制相比，基于數據擾動的PPAgg機制無須為保護隱私而增加過多的計算和通信開銷，模型訓練效率較高，但噪聲的累積會降低全局模型的準確率，影響模型的可用性。因此，基于差分隱私的 PPAgg 機制應在模型精度與隱私保護程度之間進行權衡，確定適當的隱私預算分配方法，以提高模型在不同聯邦學習設置中的可用性。目前基于差分隱私的PPAgg很難實現準確率和隱私之間的權衡。因此，構造基于差分隱私的新型PPAgg框架，使得在隱私預算較大時提供較高的模型精度，當隱私預算減小時，自適應地增加噪聲，犧牲適量模型精度以增強隱私保護，將是一種可行的解決方法。

2.3 可信環境設置方法

2.3.1基于區塊鏈的聚合

區塊鏈是在對等網絡中，由網絡節點利用密碼學技術共同維護管理的一個不可竄改的分布式賬本[42]。區塊鏈利用共識機制保證該分布式賬本的一致性和完整性，使其具有可審計性和透明性，能夠在不可信的環境中構建信任機制。此外，公有鏈和聯盟鏈保留了加密貨幣的特性，為聯邦學習提供激勵機制，確保聯邦學習交易過程的公平、公正和公開。聯邦學習中基于區塊鏈的聚合機制的工作模式如圖6所示。a）任務發布者將具有初始全局模型的FL訓練任務發布到區塊鏈；b）每個FL參與者從區塊鏈上下載全局模型；c）參與者進行本地模型訓練;d）每個FL參與者生成并廣播一個記錄其本地模型的交易，該交易將被節點接收并存儲在交易池中；e）所有參與者通過共識機制選出共識節點，共識節點聚合這些局部模型，得到全局模型；f將新的全局模型附加到新的區塊中，用于下一輪FL訓練。

區塊鏈的去中心化特性可以有效解決FL系統中的單點故障問題。但區塊鏈透明公開的特性，無法防止FL模型聚合過程中的隱私泄露，因此需要結合隱私保護技術實現基于區塊鏈的安全聚合。Kumar等人[43]采用了基于密碼學的矩陣乘法算法對參與者梯度進行屏蔽。同態加密也可以為區塊鏈提供隱私保護， Shu 等人[44]使用全同態加密算法對參與者的本地模型進行加密，同時由區塊鏈的共識機制選出一些參與者作為監督者，負責監督整個FL的訓練過程，確保聚合過程的可靠性。Keshavarzkalhori等人[45]采用同態加密和零知識證明來為FL系統提供安全性、隱私性和透明度。Li等人[46]改進了同態加密算法，縮短了區塊鏈上參與者的加密時間。

近年來，區塊鏈的激勵機制被引入到FL中來激勵參與者，并規范參與者的行為，以此保證FL模型訓練中的公平性。羅福林等人[42]提出基于質押訓練幣的訓練節點選擇方案，節點通過質押訓練幣獲得參與訓練的機會，最后系統根據對模型的貢獻大小對參與節點發放訓練幣獎勵，同時沒收惡意訓練節點質押的訓練幣。 Ma 等人[47]提出了基于區塊鏈的隱私保護聯邦學習機制，利用區塊鏈的共識機制，將聯邦學習中聚合者和參與者的信任映射到一個分布式賬本，并將處理結果的密文記錄在賬本上，利用成對加法掩碼技術和中國剩余定理保護模型的隱私，最后利用智能合約評估參與者的數據質量，獎勵參與者，鼓勵更多用戶參與模型訓練。Zhang等人[48]基于區塊鏈構建了一個用于設備故障檢測的FL系統，并針對FL中的數據異構性問題設計了新的聯邦平均算法，利用智能合約設計了一個用于模型訓練的激勵機制，該智能合約將會自動執行獎勵計算和代幣分發，并記錄在區塊鏈上。Kang等人[49]提出一種將聲譽與契約理論相結合的激勵機制，以激勵擁有高質量數據的參與者加入到FL中，并利用推土機距離（earthmover’sdis-tance，EMD）來衡量不可靠參與者的本地數據質量，其中EMD是一種圖像相似性的度量。為了提高區塊鏈聯邦學習的效率和安全性， Ma 等人[50設計了一種新的共識機制，通過可靠性證明以實現快速共識，同時減輕掉線用戶的影響。

區塊鏈是一個在不可信環境中構造信任機制的平臺，能夠為不可信的FL聚合過程提供可信的執行環境，且能成功地抵制女巫攻擊、分布式拒絕服務攻擊和單點故障問題。同時利用智能合約和加密貨幣特性構造相應的激勵機制，有助于鼓勵更多用戶加入到FL的過程中，提高模型精度。然而，區塊鏈上的數據公開透明，需要結合密碼學算法來保護隱私數據。此外，區塊鏈部署到FL的過程中將會極大地增加系統的硬件和軟件成本，共識機制會增加每個輪次的運行時間，降低聚合效率。因此，在區塊鏈上部署聯邦學習任務時，可以選擇高吞吐量和低延遲的平臺，同時需要結合隱私保護技術來保護參與者的隱私。

2.3.2基于可信執行環境的聚合

可信執行環境（TEE）是主處理器的一個安全區域，允許敏感數據和代碼在一個隔離和可信的環境中進行存儲、處理和保護。也就是說，TEE與軟件環境隔離能夠保證內部應用程序和相關數據的機密性和完整性，不受外部操作系統和應用執行環境（REE）的任何攻擊。通常由硬件enclave支持TEE，如ARMTrustZone，Intel SGX（softwareguard extensions）。與基于REE的應用程序相比，TEE通常涉及額外的硬件成本，在大規模部署時，會存在一定的制約。

聯邦學習中基于TEE的聚合機制的工作模式如圖7所示。a）所有參與者加密各自的本地模型，并將其上傳至REE；b）TEE從REE中加載加密后的模型;c）在TEE中解密模型;d）聚合解密后的模型;e）TEE將聚合結果輸出給REE，REE將聚合結果廣播給所有參與者。

為了確保FL的隱私安全，Queyrut等人[51]提出一種基于TEE的安全聚合機制，將TEE集成到聯邦學習框架中，確保模型更新過程的安全性和完整性，減少了惡意攻擊的成功率。Kalapaaking等人[52]提出了一種基于區塊鏈和TEE的FL框架，能夠在工業物聯網中實現本地模型的安全聚合。在該框架中，每個區塊鏈節點托管一個啟用SGX的處理器，該處理器安全地執行FL的聚合任務以生成全局模型，區塊鏈節點可以驗證聚合模型的真實性，共識機制確保模型的正確性和一致性，并將其添加到分布式賬本中進行存儲。Kato等人[53]在TEE環境下設計了一種名為OLIVE的聚合算法。該算法能夠在模型更新階段檢測和防止稀疏化攻擊，保障模型的健壯性。 Xu 等人[54]為了突破SGX存儲空間的限制，采用了一種梯度過濾機制，能夠最大限度地保護數據隱私的重要梯度，并將其放入SGX中。基于TEE的FL方案能夠為敏感數據提供一個可信的執行環境，然而由于需要利用硬件部署TEE系統，極大地增加額外的硬件成本，且TEE平臺內存造價極高，存儲空間有限，使得TEE的模型訓練時間會有較大的增加，從而導致系統效率降低。

2.3.3可信環境設置方法的總結

一般來說，基于區塊鏈或可信執行環境的聚合方案都會結合一些其他的隱私保護方法來增強隱私性，表5總結了上述一些代表性的方案。

2.4基于PPFL醫療模型訓練的案例分析

在醫療領域，許多醫療機構和研究人員希望利用各自的數據來訓練更準確的疾病預測模型[55]，但又擔心數據泄露和隱私侵犯。PPFL為這一問題提供了解決方案，它允許各個醫療機構在不共享原始數據的情況下，共同訓練一個全局模型，從而既保護了數據隱私，又提高了模型的準確性。

PPFL利用多家醫院的電子病歷（EHR）數據訓練一個能夠預測患者未來患某種疾病風險的模型。首先，根據各醫院數據的分布情況，可以選擇橫向或縱向FL框架，每個醫院作為客戶端在本地訓練模型，采用同態加密、SMPC、差分隱私等隱私保護技術，對模型參數進行加密傳輸和存儲，以防止數據被惡意攻擊者竊取或竄改，并將模型參數密文上傳到中央服務器。中央服務器根據參與者的隱私保護技術制定相應的PPAgg機制，對收集的模型參數密文進行聚合，生成全局模型，并將該模型發送回各醫院進行下一輪的本地訓練。FL的PPAgg機制不僅能夠保護參與者的隱私，而且能有效提升FL模型的準確率。

因此，FL的 PPAgg 能夠在保護數據隱私和安全的前提下，實現了多個設備或數據中心之間的協同訓練，不僅為醫療領域的數據共享、模型訓練、患者隱私保護等方面帶來更多的創新和突破，而且在金融、物聯網、智慧城市等多個領域具有廣闊的應用前景，有望為人工智能和大數據應用提供更加可靠和安全的支持。

2.5 總結

本章介紹了多種聯邦學習中保護隱私的安全聚合方法，針對OTP、SMPC、HE、DP、區塊鏈和TEE關鍵隱私保護方法，同時給出表6來總結這些技術的關鍵特征，列出這些方法的優缺點、資源需求、模型效用和應用場景的評價，并討論了隱私保護技術構架的優缺點。

3 總結與展望

本文詳細分析了FL的PPAgg機制的關鍵技術、工作原理及其優缺點，并給出其在不同應用場景下的構建和部署。然而，隨著6G通信、量子計算和新型網絡攻擊技術的快速發展，聯邦學習的PPAgg機制將面臨新的挑戰。本文重點考慮了這些關鍵挑戰問題：傳統密碼學難以應對量子攻擊、現有 PPAgg 機制在性能與效率之間難以平衡、數據異構性和設備異構性對系統綜合效能的影響，以及 PPAgg 易受投毒攻擊問題。針對這些關鍵挑戰問題，本文給出了未來的主要研究方向：量子聯邦學習、可信聯邦學習、高效PPFL和魯棒性PPFL，并給出這些研究方向中PPAgg機制的可能解決方案，從優化模型的安全性、提升訓練性能到降低通信開銷，進一步增強數據的隱私保護，全面提升FL綜合效能。

3.1 量子聯邦學習

隨著量子計算技術的迅猛發展，傳統密碼學方案在面對量子攻擊時逐漸顯現出安全隱患，基于傳統密碼算法的FL中PPAgg機制將不能確保模型訓練過程中的隱私安全。量子聯邦學習（quantumfederatedlearning，QFL）[56]是一種結合了量子計算和聯邦學習的分布式機器學習框架，增強了數據隱私保護的優勢，利用量子通信技術，如量子密鑰分發和量子糾纏，顯著提升通信效率和安全性。由于量子通信具備量子疊加和糾纏的獨特優勢，QFL無須直接傳輸量子位即可完成信息的傳遞，從而顯著減少通信開銷，提升數據傳輸效率。雖然量子通信技術為密鑰分發提供一定的安全性，但是在量子計算和FL結合過程中，QFL在數據傳輸和處理過程中可能會被攻擊者竊取或竄改，依然存在量子編碼的模型梯度隱私泄露的風險。

為了增強數據的隱私安全，QFL可以將量子加密、差分隱私和SMPC協議等隱私保護技術擴展到量子環境，保護參與者的隱私，確保模型聚合過程的隱私安全，防止惡意參與者竊取或竄改數據。同時可以采用糾錯碼來保護量子糾纏在傳輸過程中的完整性，確保量子信息的安全傳輸。此外，QFL可以加強量子硬件和軟件的安全性以及制定嚴格的隱私保護政策和法規。這些措施共同構成了QFL隱私保護的綜合體系，為數據隱私保護和安全使用提供了有力保障。

3.2 可信聯邦學習

現有的PPFL方案通常側重于安全、隱私、性能或效率中的某一方面，缺乏對四者綜合效果的系統性考慮。同時數據異構性、設備異構性及訓練架構的復雜性進一步加劇了FL在模型精度、訓練性能、聚合效率和通信開銷等方面的挑戰。可信聯邦學習（trustedFL）[57]是一種兼顧安全、隱私、性能和效率的系統框架，其內部整合了多種隱私保護聚合機制，能夠有效保護參與方的隱私和數據安全。

然而，在跨行業或跨領域的FL中，不同參與方的數據格式、隱私需求和計算能力存在差異。現有可信聯邦學習框架，如FATE，缺乏對多樣化隱私需求的靈活適配能力，難以為參與者提供個性化的隱私保護策略，可能對隱私需求較高的參與者無法提供足夠的隱私保護。一種可能的解決方法是在現有框架下，設計模塊化的隱私保護框架，允許參與方根據自己的計算能力和隱私需求等選擇合適的加密技術。

3.3 高效PPFL

基于HE和SMPC的 PPAgg 機制需要提供大量通信與計算開銷。隨著大模型[58]的快速發展，模型訓練參數的規模不斷增大，這些加密方法帶來的開銷嚴重影響了FL系統的性能和效率。因此，如何構建一種高效的FL中 PPAgg 機制已成為推動機器學習的挑戰性問題。

為減少計算開銷，PPFL需要改進現有同態加密算法，開發兼具安全性與高效性的新型加密機制，在保護隱私的同時減少聚合過程中的計算開銷。同時，FL中PPAgg機制可以針對FL任務，設計專門的優化算法和數據結構，從而減小加解密過程和聚合過程中的計算復雜度。為降低通信開銷，PPFL可采用量化和增量傳輸技術減少數據傳輸量，通過優化數據傳輸協議和網絡架構提升通信效率。此外，FL中PPAgg機制可以利用基于局部更新和異步聚合的策略，降低節點間通信頻率與數據傳輸量，有效減輕通信負擔。上述措施能夠在保障數據隱私的同時實現可信FL系統性能與效率的全面提升。

3.4 魯棒性PPFL

投毒攻擊的目標在于降低FL模型的整體精度，如隨機攻擊，或通過操縱局部數據和模型引導FL模型輸出指定的目標標簽，如后門攻擊。現有PPFL方案通常通過添加噪聲或加密手段將模型參數轉換為密文。由于通過密文難以區分參與者的數據是否可信，所以設計一種能夠抵御投毒攻擊的高效FL的PPAgg機制仍然是一個極具挑戰性的問題。針對客戶端發起的投毒攻擊，服務器通常采用拜占庭容錯聚合算法來檢測異常數據。然而，此類算法通常需要訪問用戶數據或模型參數，違背了PPFL隱私保護的核心原則，因此無法與PPAgg機制有效結合。

針對投毒攻擊的一種有效解決方法是采用零知識證明[59]技術，在不獲取客戶端任何數據情況下驗證客戶端上傳的數據是否處于合理范圍，但其計算開銷較高；另一種方法是采用余弦相似度或馬氏距離在密文上評估數據質量，為高質量數據的參與者分配更高的聚合權重，以減弱惡意數據的負面影響。

4結束語

本文對聯邦學習中的隱私保護聚合機制進行了系統性分析和總結，并給出FL的PPAgg未來面臨的關鍵挑戰。首先，概述了聯邦學習的概念、工作機制以及對FL聚合階段的隱私威脅;然后，系統性闡述 PPAgg 機制的核心思想，結合具體應用場景，重點分析了典型 PPAgg 機制的優缺點及改進措施；最后，結合6G通信、量子計算和新型網絡攻擊技術的快速發展，給出FL隱私保護面臨的主要挑戰和未來研究的方向。

參考文獻：

[1]McMahanHB，MooreE，RamageD，etal.Communication-efficient learning of deep networks from decentralized data[EB/OL].（2016- 02-17）.https：//arxiv.org/abs/1602.05629.

[2]Gao Demin，Wang Haoyu，Guo Xiuzhen，et al.Federated learning basedon CTC forheterogeneous Internetof Things[J].IEEE InternetofThingsJournal，2023，10（24）：22673-22685.

[3]Chaddad A，Wu Yihang，DesrosiersC.Federated learning for healthcare applications[J]. IEEE Internet of Things Journal，2024，11 （5）： 7339-7358.

[4]Xu Xiangrui，Liu Pengrui，Wang Wei，et al. CGIR： conditional generative instance reconstruction attacks against federated learning [J]. IEEE Trans on Dependable and Secure Computing， 2023，20（6）：4551-4563.

[5].Xie Huiyu，Chen Shuo，Wang Yuanyuan，et al. A privacy-preserving federated learning schemeusing threshold multi-key homomorphic encryption[C]//Proc of the3rd International Conference onCommunication Technology and Information Technology.Piscataway，NJ： IEEE Press，2023：187-192.

[6]Adelipour S，Haeri M. Privacy-preserving model predictive control using secure multi-party computation[C]//Proc of the 31st InternationalConferenceon Electrical Engineering.Piscataway，NJ：IEEE Press，2023：915-919.

[7]WangYuwen，Gao Yu，Lin Xiangjun.Differential privacy hierarchical federated learning method based on privacy budget allocation [C]//Proc of the 9th International Conference on Computer and Communications.Piscataway，NJ：IEEEPress，2023：2177-2181.

[8]邱曉慧，楊波，趙孟晨，等．聯邦學習安全防御與隱私保護技術 研究［J]．計算機應用研究，2022，39（11）：3220-3231.（Qiu Xiaohui，YangBo，Zhao Mengchen，etal.Surveyonfederated learning security defense and privacy protection technology[J]. ApplicationResearchofComputers，2022，39（11）：3220-3231.）

[9]張世文，陳雙，梁偉，等．聯邦學習中的攻擊手段與防御機制研

究綜述［J]．計算機工程與應用，2024，60（5）：1-16.（Zhang Shiwen， Chen Shuang，Liang Wei，et al. Survey on attack methods and defense mechanisms in federated learning[J].Computer Engineering and Applications，2024，60（5）：1-16.）

[10］熊世強，何道敬，王振東，等．聯邦學習及其安全與隱私保護研 究綜述[J]．計算機工程，2024，50（5）：1-15.（Xiong Shiqiang， He Daojing， Wang Zhendong，etal.Review of federated learning and its security and privacyprotection[J].Computer Engineering， 2024，50（5）：1-15.）

［11］陳學斌，任志強，張宏揚．聯邦學習中的安全威脅與防御措施綜 述［J]．計算機應用，2024，44（6）：1663-1672.（Chen Xuebin， Ren Zhiqiang， Zhang Hongyang. Review on security threats and defense measures in federated learning[J]. Journal of Computer Applications，2024，44（6）：1663-1672.）

[12］肖雄，唐卓，肖斌，等．聯邦學習的隱私保護與安全防御研究綜 述［J]．計算機學報，2023，46（5）：1019-1044.（Xiao Xiong， Tang Zhuo，Xiao Bin，etal．A survey on privacy and security issues in federated learning[J].Chinese Journal of Computers，2023， 46（5）：1019-1044.）

[13]Xie Qipeng，Jiang Siyang，Jiang Linshan，et al.Eficiency optimizationtechniques in privacy-preserving federated learning with homomorphic encryption：a brief survey [J]. IEEE Internet of Things Journal，2024，11（14）：24569-24580.

[14]HallajiE，Razavi-FarR，SaifM，etal．Decentralized federated learning： a survey on security and privacy[J]. IEEE Trans on Big Data，2024，10（2）：194-213.

[15]Carlini N，Chien S，Nasr M，et al.Membership inference attacks from first principles [C]//Proc of IEEE Symposium on Security and Privacy.Piscataway，NJ： IEEE Press，2022：1897-1914.

[16]BonawitzK，IvanovV，Kreuter B，etal.Practical secure aggregation for privacy-preserving machine learning [C]// Proc of ACM SIGSAC Conference on Computer and Communications Security. New York ： ACM Press，2017： 1175-1191.

[17] Sun Haofeng，Tian Hui，Ni Wanli，et al. On the convergence of hierarchical federatedlearning with gradient quantizationand imperfect transmission [C]//Proc of IEEE International Conference on Acoustics，Speech and Signal Processing.Piscataway，NJ：IEEE Press， 2024： 7245-7249.

[18]BellJH， Bonawitz K A，Gascon A，et al.Secure single-server aggregation with（poly）logarithmic overhead[C]//Proc of ACM SIGSAC Conference on Computer and Communications Security. New York： ACM Press，2020：1253-1269.

[19]Liu Ziyao，Guo Jiale，LamKY，et al.Efficient dropout-resilient aggregation for privacy-preserving machine learning [J]. IEEE Trans on Information Forensics and Security，2022，18：1839-1854.

[20]Zhao Yizhou，Sun Hua. Information theoretic secure aggregation with user dropouts [C]// Proc of IEEE International Symposium on Information Theory.Piscataway，NJ：IEEE Press，2021：1124-1129.

[21] Zhang Siqing，Liao Yong， Zhou Pengyuan.AHSecAgg and TSKG： lightweight secure aggregation for federated learning without compromise[EB/OL].（2023）[2024-08-08].https：//arxiv.org/abs/ 2312. 04937.

[22]Wang Hao， Zhang Yiying，Cheng Yang，et al. A data privacy protection scheme integrating federal learning and secret sharing [C]// Proc of the 5th International Conference on Power，Intelligent Computing and Systems.Piscataway，NJ： IEEE Press，2023： 311-315.

[23]Corigan-Gibbs H，Boneh D.Prio：private，robust，and scalable computation of aggregate statistics [EB/OL].（2017-03- 18）. https：//arxiv.org/abs/1703.06255.

[24]Addanki S，Garbe K，JaffeE，et al.Prio + ： privacy preserving aggregate statistics via Boolean shares[C]//Proc of Security and Cryptography for Networks. Cham： Springer，2022： 516-539.

[25]Rathee M，Shen Conghao，Wagh S，et al. ELSA： secure aggregation for federated learning with malicious actors[C]//Proc of IEEE Symposium on Security and Privacy. Piscataway，NJ： IEEE Press，2023： 1961-1979.

[26]He Lie，Karimireddy SP，Jaggi M. Secure Byzantine-robust machine learning[EB/OL].（2020-10-18）.hps：//arxiv.org/abs/2006. 04747.

[27]Zhang Chi， Ekanut S， Zhen Liangli，et al. Augmented multi-party computation against gradient leakage in federated learning[J]. IEEE Trans on Big Data，2024，10（6）：742-751.

[28]Fang Haokun，Qian Quan. Privacy preserving machine learning with homomorphic encryptionand federated learning[J].Future Internet，2021，13（4）：94-102.

[29]Xu Runhua，Baracaldo N， Zhou Yi，et al.FedV：privacy-preserving federated learning over verticallypartitioned data[C]//Proc of the 14th ACM Workshop on Artificial Intelligence and Security.New York：ACM Press，2021： 181-192.

[30]WibawaF， Catak FO， Kuzlu M，et al. Homomorphic encryption and federated learning based privacy-preserving CNN training： COVID-19 detection use-case[C]//Proc of European Interdisciplinary Cybersecurity Conference. New York：ACM Press，2022：2864-2880.

[31]Li Aojie，Chang Xing，Ma Jingxiao，et al．VTFL：ablockchain based vehicular trustworthy federated learning framework [C]//Proc of the 6th Information Technology，Networking，Electronic and Automation Control Conference.Piscataway，NJ：IEEE Press，2023： 1002-1006.

[32]MohammadiS，Sinaei S，BaladorA，etal.OptimizedPaillier homomorphic encryption in federated learning for speech emotion recognition[C]// Proc of the 47th Annual Computers，Software，and Applications Conference.Piscataway，NJ： IEEE Press，2023：1021- 1022.

[33]Zhang Li，Xu Jianbo，VijayakumarP，et al.Homomorphic encryption-basedprivacy-preserving federatedlearninginIoT-enabled healthcare system [J]. IEEE Trans on Network Science and Engineering，2023，10（5）：2864-2880.

[34]Hijazi NM，Aloqaily M， Guizani M，et al. Secure federated learning with fullyhomomorphic encryption for IoT communications[J]. IEEE Internet of Things Journal，2024，11（3）： 4289-4300.

[35]Ling Xinpeng，Fu Jie，Wang Kuncan，et al. FedFDP： fairness-aware federated learning with diffrential privacy[EB/OL].（2024-12- 02）.https：//arxiv. org/abs/2402.16028.

[36]Vinita L J，Vetriselvi V.SEAFL：transforming federated learning for enhanced privacy in 6G-enabled vehicles[C]//Proc of Annual International Conference onEmerging Research Areas：International Conference on Intellgent Systems.Piscataway，NJ： IEEE Press， 2023： 1-8.

[37]Zhao Yang，Zhao Jun，Yang Mengmeng，et al．Local differential privacy-based federated learning for Internet of Things[J].IEEE Internet of Things Journal，2021，8（11）： 8836-8853.

[38]KimM，Gunlu O，SchaeferRF.Federated learningwith local differential privacy：trade-offs between privacy，utility，and communication [C]/1 Proc of IEEE International Conference on Acoustics， Speech and Signal Processing.Piscataway，NJ：IEEE Press，2021： 2650-2654.

[39]He Zaobo，Wang Lintao，Cai Zhipeng.Clustered federated learning with adaptive local diferential privacy on heterogeneous IoTdata[J]. IEEE Internet ol Inings Journal，2024，11（1）：137-146.

[40] Sun Kangkang，Xu Hansong，Hua Kun，et al. Joint top-k sparsificationand shuffle model for communication-privacy-accuracy tradeoffs in federated-learning-basedIoV[J]. IEEE Internetof ThingsJournal，2024，11（11）：19721-19735.

[41]Letafati M，Otoum S.Global differential privacy for distributed metaverse healthcare systems[C]//Proc of International Conferenceon Intelligent Metaverse Technologiesamp; Applications.Piscataway，NJ： IEEE Press，2023：01-08.

[42］羅福林，陳云芳，陳序，等．基于區塊鏈的聯邦學習模型聚合方 案［J].計算機應用研究，2024，41（8）：2277-2283.（LuoFulin，Chen Yunfang，Chen Xu，et al. Federated learning model aggregation scheme based on blockchain [J].Application Research of Computers，2024，41（8）：2277-2283.）

[43]Kumar SS，JoshithTS，LokeshDD，et al.Privacy-preserving and verifiable decentralized federated learning[C]//Procofthe5th International Conference on Energy，Power and Environment：Towards Flexible Green Energy Technologies. Piscataway，NJ： IEEE Press， 2023： 1-6.

[44] Shu Zixuan， Zhao Haitao，Xu Bo，et al. Privacy-preserving federated learning framework via blockchain and committee mechanism[C]// Procof the 23rd International Conference on Communication Technology.Piscataway，NJ：IEEE Press，2023：1269-1274.

[45]KeshavarzkalhoriG，Pérez-SolaC，Navarro-ArribasG，etal．Federify：a verifiable federated learning scheme based on zkSNARKs and blockchain[J].IEEEAccess，2023，12：3240-3255.

[46]Li Yong，LingHaichao，Ren Xianglin，etal.Privacy-preserving swarmlearning based on lightweight homomorphic encryptionand blockchain technology[C]// Proc of the 5th Eurasia Conference on IoT，Communication and Engineering. Piscataway，NJ： IEEE Press， 2023：692-697.

[47]Ma Haiying，Huang Shuanglong，Guo Jiale，etal．Blockchain-based privacy-preserving federated learning for mobile crowdsourcing[J]. IEEE Internet of Things Journal，2024，11（8）：13884-13899.

[48]ZhangWeishan，Lu Qinghua，Yu Qiuyu，et al.Blockchain-based federated learningfordevicefailure detectioninindustrial IoT[J]. IEEE Internet of Things Journal，2021，8（7）：5926-5937.

[49]Kang Jiawen，Xiong Zehui，NiyatoD，etal.Incentivemechanism for reliable federated learning：a joint optimization approach tocombining reputation and contract theory［J]. IEEE Internet of Things Journal，2019，6（6）：10700-10714.

[50]Ma Xuyang，Xu Du.TORR：a lightweight blockchain for decentralized federated learning[J].IEEE Internet of ThingsJournal， 2024，11（1）：1028-1040.

[51]QueyrutS，SchiavoniV，FelberP.Mitigatingadversarial attacks in federated learning with trusted execution environments[C]//Procof the 43rd International Conference on Distributed Computing Systems. Piscataway，NJ：IEEEPress，2023：626-637.

[52]KalapaakingAP，KhalilI，RahmanMS，etal.Blockchain-based federated learning with secure aggregation in trusted execution environment forInternet-of-Things[J]. IEEE Trans on Industrial Informatics，2023，19（2）：1703-1714.

[53]Kato F，Cao Yang，Yoshikawa M.Olive：oblivious federated learning on trusted execution environment against the risk of sparsification [EB/OL]. （2023-06-19）.htps：//arxiv.org/abs/2202.07165.

[54]Xu Tianxing，Zhu Konglin，Andrzejak A，et al.Distributed learning intrusted executionenvironment：acase study of federated learningin SGX [C]// Proc of the 7th IEEE International Conference on Network Intelligence and Digital Content.Piscataway，NJ：IEEE Press， 2021：450-454.

[55]Sehag A，Jayasankar V，Poojitha SD，et al．A federated learning approach for disease prediction and remedies recommendation[C]// Proc of the 9th International Conference for Convergence in Technology. Piscataway，NJ：IEEE Press，2O24：1-6.

[56]Wang T，Tseng H H，Yoo S. Quantum federated learning with quantum networks[C]//Proc of IEEE International Conferenceon Acoustics，Speech and Signal Processing. Piscataway，NJ： IEEE Press，2024：13401-13405.

[57]Zhang Xiaojin，Gu Hanlin，Fan Lixin，et al.No free lunch theorem forsecurityand utility in federated learning[EB/OL].（2022-09- 05）.https：//arxiv.org/abs/2203.05816.

[58]PesterA，TammaaA，Gutl C，etal.Conversational agents，virtual worlds，and beyond：a review of large language models enabling immersive learning[C]//Proc of IEEE Global Engineering Education Conference.Piscataway，NJ：IEEE Press，2O24：1-6.

[59]Lycklama H，BurkhalterL，ViandA，etal.RoFL：robustnessof secure federated learning[C]// Proc of IEEE Symposium on Security and Privacy.Piscataway，NJ：IEEE Press，2023：453-476.