[Paper] SRFed：在异构数据环境中缓解隐私保护联邦学习的投毒攻击

Source: arXiv - 2602.16480v1

概述

联邦学习（FL）让众多设备在不将原始数据发送到中心服务器的情况下训练共享模型。虽然这保护了用户隐私，但也带来了两种攻击向量：好奇的服务器试图逆向工程私人数据，以及恶意客户端注入有毒更新破坏模型。SRFed 引入了一个新框架，能够同时抵御这两种威胁，在异构（非 IID）数据上高效运行，并且避免了以往防御方案的高计算和通信成本。

关键贡献

• 去中心化高效功能加密 (DEFE)： 一种轻量级功能加密方案，允许客户端在本地加密模型更新，服务器仅能解密聚合结果——无需第三方密钥管理器。
• 针对非 IID 数据的拜占庭鲁棒聚合： 一种层级投影与聚类技术，即使客户端数据分布差异显著，也能检测并丢弃被投毒的更新。
• 端到端隐私与鲁棒性保证： 形式化证明 DEFE 能防止服务器侧推断攻击，而聚合步骤能够容忍一定比例的拜占庭（恶意）客户端。
• 实用效率： 实验评估显示，与最先进的隐私保护联邦学习基线相比，SRFed 将加解密开销降低最高 60 %，通信成本降低约 30 %。
• 全面基准测试： 在图像（CIFAR‑10/100）和语言（Sentiment140）数据集上，针对多种投毒场景（标签翻转、模型替换）进行实验，展示出更高的准确率和鲁棒性。

方法论

1. 客户端加密: 每个参与者在其私有数据上训练本地模型，然后使用 DEFE 对模型参数进行加密。DEFE 是“函数式”的，因为密文与特定的聚合函数（例如加权求和）绑定，使服务器能够在不学习任何单个更新的情况下计算聚合模型。
2. 非交互式解密: 服务器收集所有加密更新，并执行一次解密步骤，得到聚合模型。无需与密钥分发机构进行往返通信。
3. 防御性聚合:
   • 层级投影: 将更新投影到捕获良性更新主导方向的低维子空间，降低异常值的影响。
   • 基于聚类的分析: 对投影后的更新进行聚类；过小或远离多数的簇被标记为可疑并从最终求和中排除。
4. 模型更新: 服务器将解密、清洗后的聚合结果广播回客户端，以进行下一轮训练。循环重复直至收敛。

结果与发现

• 隐私性： 在模拟的服务器推断攻击（梯度反演）中，使用 SRFed 恢复的原始训练样本比例低于 1 %，而标准联邦学习则超过 15 %。
• 效率： 每个客户端的加密时间从约 120 ms（基于 Paillier）下降到约 45 ms；在 10 客户端的设置下，每轮的总通信量从 12 MB 减少到 8.5 MB。
• 可扩展性： 当客户端数量扩展到 100 时，SRFed 仍能保持鲁棒性，每轮计算量仅略增 (< 10 %)。

实际意义

• 边缘 AI 部署： 正在推出设备端模型的公司（例如预测键盘、健康监测器）可以采用 SRFed，确保受损设备无法投毒全局模型，同时仍然保护用户数据免受可能好奇的云聚合器的窥视。
• 合规监管： 该框架符合 GDPR 以及新兴的 AI 隐私法规，通过提供可证明的数据最小化——服务器永远看不到原始更新。
• 成本效益安全： 由于 DEFE 消除了对可信第三方密钥服务器的需求并降低了带宽消耗，SRFed 可以以最小的基础设施改动集成到现有的联邦学习流水线中。
• 真实数据的鲁棒性： 许多生产环境的联邦学习场景涉及高度偏斜的数据（例如不同用户行为模式）。SRFed 的层级投影直接作用于此类非 IID 分布，使其比假设 IID 数据的通用拜占庭鲁棒聚合器更可靠。

限制与未来工作

• 有界拜占庭比例: 理论保证在一定比例的恶意客户端（约 30 %）以内成立。极高的攻击率仍可能导致性能下降。
• 超大规模设备群的密钥管理开销: 虽然 DEFE 是去中心化的，但在数百万设备上初始化功能密钥可能需要分层引导，作者将其列为未来的工程工作。
• 向异构模型架构的扩展: SRFed 当前假设所有客户端使用相同的模型拓扑。将投影‑聚类步骤适配到异构架构（例如个性化联邦学习）是一个未解决的研究方向。

SRFed 证明了强隐私与拜占庭鲁棒性可以在不产生高昂成本的前提下共存，为在生产环境中实现更安全、可扩展的联邦学习铺平了道路。

作者

• Yiwen Lu

论文信息

• arXiv ID: 2602.16480v1
• 分类: cs.CR, cs.DC
• 出版日期: 2026年2月18日
• PDF: 下载 PDF