[论文] zkFL-Health：区块链支持的零知识联邦学习用于医疗 AI 隐私

Source: arXiv - 2512.21048v1

概述

论文 zkFL-Health 提出了一种在医院之间训练医疗 AI 模型的新方法，整个过程既不暴露原始患者数据，也不需要信任单一的中心服务器。通过将联邦学习（FL）与零知识证明（ZKPs）以及可信执行环境（TEEs）相结合，作者构建了一个基于区块链的流水线，能够同时保证数据隐私 以及 聚合模型更新的可验证正确性。

关键贡献

• Zero‑knowledge‑verified aggregation: 引入一种简洁的零知识证明（基于 Halo2/Nova），能够证明全局模型确实是由提交的客户端更新精确计算得到的，同时不泄露任何梯度信息。
• TEE‑protected aggregator: 在硬件可信执行环境（Trusted Execution Environment）中运行聚合逻辑，消除传统联邦学习服务器的“单点故障”问题。
• On‑chain audit trail: 将加密承诺和验证收据存储在公共区块链上，为监管机构和审计员提供不可篡改的证据。
• Healthcare‑specific threat model: 形式化医疗数据共享中独有的隐私和完整性风险（例如成员推断、梯度反演、恶意聚合器）。
• Performance evaluation framework: 概述准确率、隐私泄漏、延迟和运营成本等评估指标，为真实场景的基准测试铺平道路。

方法论

1. 本地训练与承诺: 每家参与的医院在自己的患者记录上训练模型，并生成模型更新的加密承诺（例如哈希）。
2. 在可信执行环境中的安全聚合: 聚合器运行在可信执行环境（如 Intel SGX、AMD SEV 等）内。它获取已承诺的更新，执行标准的联邦学习聚合（例如加权平均），且从不向宿主操作系统暴露原始更新。
3. 零知识证明生成: 仍在 TEE 内部时，系统构建简洁的 ZKP，证明：
   • 使用了完整的已承诺更新集合。
   • 正确应用了聚合规则。
   • 未注入或遗漏任何额外数据。
4. 链上验证: 验证节点（可为其他医院或独立审计员）下载证明，运行快速验证算法，并将结果记录在区块链上（以太坊、Polygon 等）。区块链条目包括全局模型哈希和证明收据，形成不可篡改的日志。
5. 模型分发: 验证通过后，新全局模型会广播回所有参与者，以进行下一轮训练。

整个流程采用标准的联邦学习通信模式（gRPC/WebSockets）进行编排，并利用现有的 ZKP 库，开发者可以以较小的改动将其接入现有流水线。

结果与发现

虽然论文主要概述了架构和计划中的评估，但作者根据初步模拟预期以下结果：

这些发现表明，新增的密码学保证只带来了适度的性能开销，完全在大多数临床 AI 开发时间表的容忍范围内。

实际意义

• 监管合规性： 不可变的链上证明满足 HIPAA、GDPR 以及新兴 AI 监管法规的审计要求，降低多机构协作的法律摩擦。
• 无信任合作伙伴关系： 医院可以在不需要相互信任的聚合方的情况下加入联盟；TEE + ZKP 组合自动强制诚实行为。
• 开发者工具链： 该协议可以封装为库（例如 zkfl-health-sdk），抽象掉 ZKP 和区块链交互，让机器学习工程师专注于模型设计。
• 成本效益审计： 验证者是轻量级节点；相较于传统安全日志解决方案，区块链存储成本极低。
• 可扩展性： 同样的模式可应用于其他隐私敏感领域（金融、基因组学），在这些领域联邦学习具有吸引力但信任是障碍。

局限性与未来工作

• TEE 可用性与证明: 并非所有数据中心都配备 SGX/SEV 硬件，远程证明会增加运营复杂性。
• 证明的可扩展性: 虽然 Halo2/Nova 高效，但证明生成仍随参与者数量增长；未来工作将探索批量聚合和递归证明。
• 网络开销: 将承诺和证明存储在链上会增加带宽，尤其是大规模联盟；正在研究 layer‑2 扩容方案。
• 真实环境部署: 论文的评估目前是模拟的；需要在实际医院进行试点，以验证延迟、容错性以及与现有 EMR 系统的集成。

总体而言，zkFL-Health 为医疗 AI 的隐私保护、可审计联邦学习描绘了一条有前景的道路——弥合前沿研究与可部署、符合监管要求的解决方案之间的差距。

作者

• Savvy Sharma
• George Petrovic
• Sarthak Kaushik

论文信息

• arXiv ID: 2512.21048v1
• 分类: cs.CR, cs.DC, cs.LG
• 出版日期: 2025年12月24日
• PDF: Download PDF