作者:K Naveen Kumar, Reshmi Mitra, C Krishna Mohan
来源:Proceedings of the IEEE/CVF Conference on Computer Vision and Pattern Recognition. 2024
研究背景
FL的分散性使其容易受到对抗性威胁,主要分为针对模型效果的威胁以及针对隐私的威胁。有效应对这些威胁对于增强FL的安全性至关重要。尽管现在差分隐私、多方安全计算和可信执行环境已经被提出作为加强FL隐私的潜在解决方案,但现有的隐私保护方法都无法在不同攻击的情况下提供令人满意的隐私、性能防御和合理效率的统一。
核心内容
本文提出了一种基于行转置密码的隐私保护方法,该方法在数据空间中实现了完全同态加密来抵抗针对FL模型的对抗性威胁。相比现有的隐私保护方法,Federated Cryptography Defense (FCD) 将整个加密过程转移到了数据空间中,并引入了由KL散度引导的新型蒸馏损失实现更有效的学习。通过在数据空间中的操作,FCD消除了服务器端解密的必要,降低了计算复杂性,更符合防御者的需求。
方法
FCD引入了一种对称换位密码的FL同态加密技术,密钥K = [ k0, k1, … , kh-1]由服务器指定,在所有客户端之间共享,其中h表示输入图像的高度,K需要满足
ki ≠ kj, if i , j ∈ 0 , … , h – 1 with i ≠ j
加密过程主要包括两个步骤:
- 1. 对输入图像进行转置 ;
- 2. 根据密钥K中指定的顺序对行重新排序(即所有颜色通道中像素值的位置根据K改变)。
为了减小加密对模型训练产生的影响,FCD采用了以KL散度为指导的知识蒸馏方法。FCD将最初在正常数据上训练的局部模型来作为教师模型,将在加密数据上训练的局部模型作为学生模型,训练学生模型来模仿教师模型的预测。二者预测概率之间的蒸馏损失计算如下:
在FCD加密数据上训练的客户端的完全损失表示为:
使用了FCD防御方法的FL系统如下所示。
实验
M-SimBA攻击下FCD防御的定性/定量结果
数据重建攻击下FCD防御方法的定性/定量结果
总结
本文介绍一种能够同时防御对抗性攻击和数据重建攻击的防御方法,FCD通过将整个加密过程转移到数据空间上,利用知识蒸馏来管理模型性能和隐私的权衡。