基于區塊鏈和聯邦學習的邊緣計算隱私保護方法

方晨，郭淵博，王一豐，胡永進，馬佳利，張晗，胡陽陽

（1.信息工程大學密碼工程學院，河南 鄭州 450001；2.鄭州大學網絡空間安全學院，河南 鄭州 450003；3.加利福尼亞大學河濱分校，河濱 CA92521）

1 引言

邊緣計算是一種將計算、存儲資源從云平臺遷移到網絡邊緣的分布式服務架構，它由多個位于云服務器和本地設備間的邊緣節點協同完成數據分析任務。由于其更靠近本地設備，因此能夠提供時延更小的服務，如自動駕駛、虛擬現實、智慧城市等[1]。但是由于邊緣節點通常位于不可信環境中，也面臨各種安全和隱私威脅。如本地設備可能添加投毒樣本或者將低質量數據發送給邊緣節點，邊緣節點可能推測本地設備的數據隱私，或者篡改計算結果來破壞協議的執行。因此設計邊緣計算隱私保護的新方法需要考慮數據隱私性、計算結果正確性和數據處理過程可審計性3 個方面。

聯邦學習[2]作為一種新型的分布式機器學習框架，可以聯合多個本地設備在僅共享模型參數的前提下協同訓練機器學習模型，能夠有效避免本地設備向邊緣節點直接傳輸數據造成的隱私泄露問題。而區塊鏈作為一種分布式賬本，以透明的方式記錄數據處理過程，且具有去中心化、可追溯以及難以篡改等一系列特性[3]，可以滿足邊緣計算的可審計性需求。它與聯邦學習相結合，可以代替中央服務器執行模型參數聚合，避免單點故障攻擊問題。鑒于以上優點，近兩年陸續有學者基于區塊鏈和聯邦學習對邊緣計算的隱私保護展開研究。

Kim 等[4]基于區塊鏈框架提出了一種應用于設備端的聯邦學習方法，將每輪迭代的本地梯度經過驗證和共識后存儲在區塊中，并分析了端到端時延和最優的區塊生成速率。Qu 等[5]通過結合區塊鏈和聯邦學習，為工業4.0 中的認知計算技術開發了一種去中心化數據平臺，解決數據孤島和激勵機制的問題。Wang 等[6]提出了支持異構模型的區塊鏈聯邦學習系統，并設計了線下和線上2 種挖掘方法抵抗拜占庭攻擊。但是上述方法均使用工作量證明（PoW,proof of work）作為共識算法，高強度的計算消耗使其難以適用于計算資源有限且寶貴的邊緣計算。為此，Lu 等[7]采用輕量級的委托權益證明（DPoS,delegated proof of stake）作為共識算法，并針對車聯網中數據共享的安全需求和效率提出了混合區塊鏈結構。上述方法均將模型參數作為交易記錄存儲在區塊鏈中，這雖然保證了訓練過程的可審計性，但是一旦攻擊者獲取區塊鏈內容，依然可以發起最新的模型提取攻擊和模型逆向攻擊，從模型參數中推斷出訓練數據信息。為了進一步提高隱私安全性，Qu 等[8]設計了一種基于數字簽名和加密協議的混合身份機制，以防止攻擊者竊取區塊鏈中存儲的數據信息。但是當聯邦學習迭代次數過多時，這種機制將消耗大量的計算開銷，難以部署于本地設備中。Zhao 等[9]為了保護家居場景中用戶的隱私數據，在卷積層提取的特征中加入差分隱私噪聲后再上傳至區塊鏈。Lu 等[10]和Qi 等[11]將本地差分隱私技術應用于區塊鏈聯邦學習中，通過在原始數據上添加噪聲擾動以保護工業互聯網和智慧交通領域的數據隱私。但是在帶噪數據上訓練得到的聯邦學習模型普遍存在準確性較低的問題。另外，如果部分參與訓練的設備的數據集質量過低或者被攻擊者發起中毒攻擊，則其上傳的模型參數將導致聯邦學習偏離正常的訓練方向，這將給邊緣計算應用帶來極大的安全隱患。Liu 等[12]在執行模型聚合前利用包含驗證數據集的智能合約自動評估設備上傳的更新，以檢測是否存在中毒攻擊。Short 等[13]基于驗證數據集測試加入設備上傳的參數后模型準確性是否有所提升，進而篩選出可靠的更新。但是這2 種方法均需假設提前擁有一個與訓練數據集同分布的驗證測試集，這會增加許多敏感信息領域如醫療等的隱私泄露風險。

綜上所述，當前在邊緣計算中應用區塊鏈和聯邦學習方法存在以下幾個問題。

1) 區塊鏈賬本的公開透明性雖然保證了聯邦訓練的可審計性，但是其以明文形式存儲的模型參數會被攻擊者利用推測本地設備的數據隱私。

2) 本地設備的數據集中一旦存在投毒樣本就會威脅聯邦學習的正確性。

3) 本地設備的資源有限性要求區塊鏈與聯邦學習結合后的效率需要進一步提高。雖然上述文獻針對其中個別問題提出了解決方案，但均存在不足。

為此，本文提出了一種基于區塊鏈和聯邦學習的邊緣計算隱私保護方法，可以在互不信任的本地設備間構建一個安全可靠的智能邊緣計算框架。不需要任何可信的中央服務器，多個分布式設備即可實現高效安全的協同訓練。主要貢獻有以下幾點。

1) 設計了一個基于區塊鏈的聯邦學習框架，不僅使聯邦學習具備防篡改和抗單點故障特性，還提供了激勵機制鼓勵更多設備參與聯邦訓練。

2) 提出了一種自適應差分隱私機制，保護參數隱私的同時可根據訓練進度自適應調整裁剪閾值，緩解噪聲對模型準確性的負面影響。

3) 設計了梯度驗證機制，不僅可以防止惡意設備獲取額外獎勵，還能夠檢測一定比例的中毒攻擊，確保聯邦學習更加安全。

2 相關基礎知識

2.1 區塊鏈

區塊鏈作為一種去中心化、難以篡改的數字賬本，能夠在無信任環境下以安全可驗證的方式構建分類賬，在物聯網、大數據、云計算和邊緣計算等領域得到了廣泛的應用。在區塊鏈中，所有參與節點都可以進行事務的驗證和轉發，并通過共識算法維護全網一致的分類賬，賬本中的每個區塊記錄一系列事務和前一個區塊的散列值，從而將當前區塊鏈接到前一個區塊。

共識算法是區塊鏈技術的核心。工作量證明是比特幣網絡使用的共識算法，它要求網絡中的每個節點都計算特定的哈希散列值。哈希散列值滿足一定條件的節點得到生成新區塊的權利。新區塊通過驗證后會廣播給網絡中的所有節點以保持賬本的一致性。但是這種共識機制會浪費大量的計算資源，因此以太坊提出權益證明（PoS,proof of stake），節點利用持幣數以及持有的時間來競爭生成新區塊的權利，相比之下避免了不必要的資源浪費，但仍面臨易分叉和擴展性的問題。委托權益證明在PoS 的基礎上進行了改進，由節點投票選舉出特定數目的代理節點負責區塊的生成和驗證，因此在犧牲部分去中心化特性的情況下加快了區塊的確認速度。拜占庭容錯算法（BFT,byzantine fault tolerance）來源于拜占庭將軍問題，是考慮在有惡意節點的情況下達成共識。它要求所有節點之間兩兩通信，因此節點數量不能太多，可擴展性較弱。最新提出的Algorand 協議[14]是一個采用純PoS 共識的公鏈項目，其結合密碼抽簽技術和改進的拜占庭共識協議，能夠實現快速的交易確認，并且用戶數量可無限擴展，被宣稱能解決區塊鏈中“可擴展性、安全性和去中心化”的三角難題。其中，1) 可擴展性：Algorand 采用可驗證隨機函數（VRF,verifiable random function）選出若干個驗證者，無論網絡中有多少用戶，每生成一個新區塊只需要在少數驗證者上進行驗證，具有較高的吞吐量（TPS,transactions per second）。2) 安全性：只有當區塊生產者和驗證者確定自己被選中并廣播相應的證明信息時才會被披露，攻擊者無法提前預測，即使發起攻擊也無法阻止新區塊在網絡中傳播。3) 去中心化：Algorand 在每一輪中都重新隨機選取區塊生產者和驗證者，具有較好的去中心化性。

由于區塊鏈天然的泛中心分布式可信機制，為構建更加安全的邊緣智能計算框架提供了新的思路，可以有效解決本地設備協作時面臨的網絡安全攻擊問題。

2.2 聯邦學習

在分布式場景中，傳統的機器學習算法要求用戶將數據上傳至數據中心再進行訓練。然而，數據中可能包含隱私信息，部分用戶不愿意共享其數據，這就造成了嚴重的數據孤島現象，阻礙了機器學習進一步的發展。為了解決這一問題，谷歌于2016 年提出一種新的分布式機器學習框架——聯邦學習，用于在移動終端與服務器間建立共享模型，從而在終端數據不出本地的情況下實現數據“可用不可見”。在該框架下，每個分布式終端基于本地數據集訓練機器學習模型，然后將模型參數發送給中央服務器。服務器聚合所有上傳的參數后得到全局模型，下發給各個終端，用以更新它們的本地模型。假設聯邦學習系統中有K個終端，每個終端持有包含個樣本的本地數據集DBi(1≤i≤K)，則中央服務器的損失函數為

2.3 差分隱私

差分隱私是一種嚴格可證明的數學框架，其基本思想是通過對函數的輸入或輸出結果添加精心設計的噪聲，使數據集中任意單個記錄的修改都不會對輸出結果造成顯著的影響，因此攻擊者不能通過分析輸出結果來推測數據集中的隱私信息。相關定義如下。

定義1[15](ε,)δ-差分隱私。令A:D→R為隨機算法，D和D′是最多有一條記錄不同的2 個數據集，O∈R為算法A的輸出，若算法A滿足

則稱A滿足(ε,)δ-差分隱私。其中，ε為差分隱私預算，該值越小說明隱私保護程度越高，但同時對于算法A的精度損失越大；δ表示允許違背嚴格差分隱私的概率，一般值較小。

定義 2[15]敏感度。對于任意的查詢函數f:D→Rd，D為輸入數據集，Rd為函數輸出的d維向量，則函數f的敏感度為

其中，D和D′為最多相差一條記錄的相鄰數據集，表示Lp范數。敏感度反映了查詢函數f在一對相鄰數據集上輸出結果的最大變化范圍。敏感度越小，則實現差分隱私時需要向輸出結果添加的噪聲就越少。

定義3[15]高斯機制。若使用L2范數計算函數f的敏感度，則可以通過向函數f的輸出添加高斯噪聲來實現(ε,)δ-差分隱私，如式(4)所示。

其中，高斯噪聲是滿足均值為0、協方差為(Δfσ)2I的高斯分布，I為單位矩陣。

差分隱私滿足以下特性。

1) 后處理性。若一個算法的輸出結果滿足差分隱私，則在這個結果上進行的任何操作都不會造成額外的隱私損失。

2) 序列化組合原理。差分隱私算法的序列化組合依然滿足差分隱私性質。

3 方案設計

3.1 系統威脅

本節給出在邊緣計算中應用聯邦學習面臨的安全威脅。

威脅1潛在隱私泄露。雖然聯邦學習只傳輸模型參數而不傳輸原始數據，但是最新的隱私攻擊[16]表明通過利用模型參數依然可以推測出本地設備數據的部分隱私信息。

威脅2中毒攻擊。惡意設備可以通過篡改原始數據或者提交錯誤的本地梯度來破壞聯邦學習的正確性。

威脅3單點故障攻擊。中央服務器一旦被攻擊者癱瘓，則整個聯邦學習訓練就會失敗。

下面介紹本文方案中常用的術語和符號。

本地設備。部署在網絡邊緣的本地設備，如工業物聯網中的傳感器、智慧城市中的攝像機、車聯網中的汽車等，擁有有限的本地數據集和計算能力，希望在保護數據隱私的前提下和其他設備通過聯邦學習構建一個更準確的機器學習模型，以提供更加智能的服務。

礦工。即邊緣節點，通常配備了一定的計算資源和通信資源，如工業物聯網中的邊緣服務器、移動通信網中的基站、車聯網中的路邊單元等。提供區塊鏈中的驗證、共識等服務，并由此獲取相應的代幣作為收益。

事務。即區塊鏈節點間交互的數據記錄，比如比特幣中事務記錄的是資金轉移。在本文中，事務記錄的是模型的梯度以及相關訓練信息。

協同訓練。所有設備以相同的初始化參數為起點，共同迭代訓練同一個深度學習模型。在每輪迭代中，設備將本地訓練得到的模型更新上傳給區塊鏈，然后由區塊鏈完成模型聚合和共識，得到的新區塊由設備下載以更新本地模型，接著進行下一輪訓練。

代幣。本區塊鏈中的資產，主要用于激勵設備和礦工參加訓練。當設備的更新被驗證為合法、礦工參與驗證或生成新區塊時，都能夠獲取一定數量的代幣作為獎勵。這種設置已經在很多基于模型定價的場景中[17-18]進行應用。例如，在車聯網場景中[19]，汽車積極參與聯邦訓練以獲取代幣獎勵，路邊單元提供有償的區塊鏈服務以增加自己收益。與現有工作不同的是，本文給代幣設置一個有效期，即經過一定輪數的訓練后，代幣即失效。這將用于后面的共識機制中防止財富過度累積。由于本文使用Algorand作為共識協議，因此為了確保安全性，假設惡意代幣（即被惡意礦工持有）的數量不超過1/3[14]。

3.2 系統架構

如圖1 所示，假設本系統由K個本地設備和若干個邊緣節點充當的礦工組成，其中，本地設備可以是汽車、手機或者攝像頭等具備部分計算能力的智能終端，擁有包含ni(1≤i≤K)個樣本的本地數據集。其一輪完整的訓練流程可概括如下。

步驟1所有礦工和設備向任務發布者申請注冊，其中，設備注冊信息中含有其本地數據集大小。任務發布者為它們分配用于簽名的公鑰和私鑰，根據訓練任務創建創世塊（即區塊鏈中第一個區塊）并通過安全鏈路分發給所有本地設備和礦工以執行模型初始化。創世塊主要包含以下信息：1) 模型初始化參數w0和總訓練輪數T；2) 所有礦工和設備用于簽名的公鑰；3) 所有設備的本地數據集大小ni(1≤i≤K)；4) 所有設備和礦工的初始代幣數量；5) 代幣抵押和獎勵函數；6) 隨機數種子seed0，后續每輪訓練都會根據前一輪訓練的隨機種子seedt?1生成seedt，主要用于保證共識階段選舉領導者時的隨機性（見3.3.3 節）。本文假設創世塊中的信息是可靠且不能被攻擊者篡改的，這里的任務發布者僅僅起到一個引導訓練過程的作用，可由可信權威代替。

步驟2設備在本地數據集上訓練機器學習模型，迭代ni次后在得到的梯度上添加差分隱私噪聲（詳細介紹見3.3.1 節），以應對威脅1。

步驟3設備將帶噪梯度、本地運算時間以及數字簽名，以區塊鏈事務的形式上傳給關聯的礦工。本文假設本地運算時間是可信的，可利用Intel SGX 可信硬件技術下的消耗時間證明機制[20]實現。

步驟4礦工收到數據后，首先驗證簽名的合法性，以防止攻擊者對數據進行篡改。若簽名合法，則驗證梯度的可靠性，并組成驗證委員會檢測是否存在惡意更新（詳細介紹見3.3.2 節），以應對威脅2。

步驟5基于隨機種子和代幣數量從礦工中選舉領導者，負責計算全局梯度并生成新區塊（詳細介紹見3.3.3 節）。

步驟6驗證委員會對新區塊的合法性進行驗證，并廣播通過驗證的區塊，同步全網的賬本（詳細介紹見3.3.3 節），以應對威脅3。

步驟7設備從其關聯的礦工處下載新區塊，從中獲取全局梯度來更新本地模型，并從步驟2開始下一輪訓練，直至模型收斂或達到最大訓練輪數。

本文使用的主要符號如表1 所示。

表1 主要符號

3.3 方案組件

本文方案主要由3 個關鍵部分實現基于聯邦學習和區塊鏈的隱私保護方法，即自適應差分隱私機制、驗證和激勵機制以及共識協議。下面分別對其進行詳細介紹。

3.3.1 自適應差分隱私機制

所有設備在本地數據集上訓練得到模型梯度，將其上傳給礦工之前，需對梯度做隱私保護處理以應對威脅1。為此，文獻[21]和文獻[22]分別提出利用門限Paillier 加密算法和Shamir 秘密共享算法來保護本地梯度，但均存在計算開銷過大的問題；相比之下，差分隱私技術計算量小，更適用于資源受限的邊緣計算設備。文獻[11]利用本地差分隱私技術在原始訓練數據上添加噪聲以保護隱私，但會造成較大的模型精度損失。文獻[23]利用全局閾值C裁剪梯度后添加高斯噪聲以保護隱私，但未說明閾值C的選取依據。C值對于深度學習模型來說至關重要：C值過大會添加過量噪聲，C值過小會過度裁剪梯度，二者都會造成模型精度嚴重受損。文獻[24]令C值取所有設備梯度范數的中位數，但要求服務器獲取所有設備的明文梯度，依然面臨威脅1 的挑戰。為此，本文借鑒RMSProp 優化算法的思想，提出一種適用于本地設備的自適應差分隱私機制，可根據訓練過程靈活調整裁剪閾值，以減小噪聲對模型精度的負面影響。

RMSProp 優化算法作為梯度下降算法的一種優化，主要通過調整步長來加快收斂速度。其迭代更新計算式為

其中，θ t代表第t輪訓練時的模型參數，gt代表模型梯度，η是學習速率，ε0為了確保除數不為零，一般定為10?8，E[g2]t?1用于估計歷史梯度的累積平方。鑒于優化過程的連續性和漸進性，歷史梯度通常可用于估計當前梯度的值[25]。因此，RMSProp優化算法中的E[g2]t?1可以看作當前梯度的先驗知識。

已有算法[26]令閾值來實現近似最優裁剪效果，而依據3.2 節中的訓練流程，本文算法中設備在上傳梯度前無法獲取當前訓練輪次的全局梯度。因此本文借鑒RMSProp 優化算法中的思想，利用先驗知識E[]t?1預測本輪的全局梯度，并將其作為本輪的裁剪閾值Ct，即，其中，β為本地裁剪因子，先驗知識E[]t?1的計算式為

綜上所述，在第t輪訓練中，設備i(1≤i≤K)在本地端裁剪梯度gi,t并添加噪聲的過程可表示為

3.3.2 驗證和激勵機制

由于本地設備收集的數據中可能包含用戶的隱私信息，且訓練模型需要消耗計算資源，因此部分設備不愿意參與聯邦訓練，甚至會出現部分惡意的設備上傳虛假參數誤導聯邦訓練等。為了吸引更多的設備參與訓練并誠實地執行計算任務，本文利用Multi-KRUM 算法[27]來檢測中毒攻擊，并根據區塊鏈的特點設計了激勵機制。其中，Multi-KRUM 算法可以解決參與分布式梯度下降算法中的R個設備間存在f個拜占庭設備（需滿足2f+2

如3.2 節中的訓練流程步驟3～步驟4 所述，當礦工收到其關聯設備上傳的數據后，首先驗證簽名的合法性來確保數據傳輸過程中不被篡改。然后判斷本地運算時間是否與該設備的本地數據集大小ni成正比，以驗證梯度的可靠性，并將可靠的梯度放入事務池中。接著采用可驗證隨機函數（VRF,verifiable random function）[14]從礦工中選出驗證委員會，通過Multi-KRUM 算法過濾事務池中可能由中毒攻擊產生的惡意更新。主要步驟如下。

步驟1假設R為事務池中梯度的總數量，f為拜占庭梯度的數量。將每個梯度與其最近的R?f?2 個梯度的歐氏距離相加，作為該梯度的質量得分。

其中，i→j表示屬于離最近的R?f?2 個梯度之一。

步驟2選擇質量得分最低的R?f個梯度作為合法更新，并對其進行簽名，同時刪除其余的梯度。

針對區塊鏈中的設備和礦工，分別設計了2 種不同形式的激勵：數據獎勵和挖礦獎勵。其中，1) 數據獎勵用于激勵本地設備向聯邦學習貢獻更多的數據集：在設備向礦工上傳數據前，先繳納一定數量的代幣作為押金。若設備的梯度被驗證為合法更新，由礦工退還設備的押金，并且分發一定數量的代幣作為數據獎勵，代幣數量與該設備的本地數據集大小ni成正比。為了防止惡意設備通過偽造數據集大小來獲取更多的獎勵，令設備將梯度與本地運算時間一同上傳給礦工，通過比較數據集大小與該運算時間來驗證可靠性；若設備的梯度被驗證為惡意更新，則扣除該設備繳納的押金，作為懲罰。當該設備的代幣數量歸零時，將其加入黑名單不允許參與訓練。2) 挖礦獎勵用于激勵礦工從更多的設備中收集數據并參與區塊鏈驗證與共識環節：當礦工完成梯度驗證或生成新區塊時，區塊鏈向其分發一定數量的代幣作為挖礦獎勵，代幣數量與礦工相關聯的設備的數據集總量成正比，即，其中，Nmj代表與礦工mj相關聯的設備數量。

3.3.3 共識協議

共識協議對于區塊鏈來說至關重要。PoW 通過讓所有礦工計算隨機哈希值來爭奪記賬權，已被文獻[4-6]采用作為共識協議，但是其存在浪費計算資源、共識效率慢、吞吐量低的問題。Algorand 協議基于PoS 隨機選擇區塊生產者以及驗證者，具有較高的共識效率，且可以通過引入可驗證隨機函數、種子參數等抵抗DDoS 攻擊、女巫攻擊等，具有較高的安全性，更加適用于計算資源有限、面臨更多復雜攻擊的邊緣計算場景。文獻[9]已將Algorand協議應用于智能家居場景，但是其在共識協議中未設計激勵機制。本文將礦工設定為工業物聯網中的邊緣服務器、移動通信網中的基站、車聯網中的路邊單元等，他們在提供區塊鏈服務時需要消耗一定的計算、存儲、通信等開銷，因此，為了維持礦工持續性提供區塊鏈服務的積極性，本文在原有Algorand 協議的基礎上增加了相應的代幣獎勵機制來激勵礦工維護區塊鏈。協議主要包含3 個步驟。

步驟1領導者選舉。在每一輪訓練中，利用Algorand 協議中的加密抽簽算法從持有合法更新的礦工中隨機選舉出領導者，主要包含以下2 個函數。

其中，hashlen 代表hash 的長度，說明該礦工有j個子用戶被選擇，這也代表該礦工的優先級。可見礦工被選舉為領導者的概率與其持有的代幣數量w成正比。為了避免財富累積，本共識算法中的w只計算在有效期內的代幣。通過上述過程，擁有最高優先級的礦工被選舉為本輪訓練的領導者，其他礦工可以通過證明proof 對其優先級進行驗證。

領導者從事務池中獲取所有合法更新，并通過聯邦平均算法計算全局梯度，如式(10)所示。

然后領導者生成這一輪訓練的區塊，如圖2 所示。除了包含用于鏈接前一個區塊的哈希值以外，還包含該輪的全局梯度、所有合法更新及其簽名，以及用于下一輪領導者選舉的隨機種子seedt+1等。

步驟2委員會驗證。驗證委員會對生成的新區塊進行驗證，主要檢查其中包含的梯度更新簽名是否合法，以及全局梯度計算是否正確等。只有當超過2/3 的委員驗證通過時，該區塊才被認定為有效，相應的領導者和驗證者從區塊鏈中獲取一定數量的代幣作為挖礦獎勵；否則，生成一個空區塊。

步驟3鄰居廣播。委員會中的每個驗證者執行Gossip 協議[28]向鄰居廣播新區塊，同步全網的賬本。

3.4 隱私性分析

在給定隱私預算的情況下，如何計算算法在訓練過程中的隱私損失十分關鍵。本文基于Abadi等[23]提出的時刻統計來計算隱私損失。相關定義如下。

定義4[23]隱私損失。令A:D→R為隨機算法，D和D′為相鄰數據集，A在輸出O∈R處的隱私損失為

定義5[23]時刻統計。算法A在λ時刻的時刻統計為

定理1[23]（組合性）若算法A由一系列子算法A1,A2,…,Ak組成，則對于任一時刻λ，算法A的時刻統計上界為所有子算法A1,A2,…,Ak的時刻統計之和。

定理2[23]（尾界限）對于任意ε>0，若式(14)成立，算法A滿足(ε,)δ-差分隱私。

基于定理1，本文聯邦學習算法的隱私損失與設備端總數和全局訓練輪數成正比。假設設備數量為K，全局訓練輪數為T，算法總的時刻統計為α(λ)，第t輪訓練時設備i(1≤i≤K)的時刻統計為α i,t(λ)，則根據定理1 中的組合性，有

其中，αi,t(λ)主要體現在設備在裁剪后的梯度上添加高斯噪聲ξ～N(0,(Ctσ)2I)，如式(7)所示。αi,t(λ)的計算過程如下[23]。

由于所有設備在本地添加的噪聲ξ～N(0,(Ctσ)2I)是一樣的，因此所有設備的αi,t(λ)也是一樣的。在計算得到總的時刻統計α(λ)后，利用定理2 得到算法滿足隱私的形式。算法在實際運行過程中，整數時刻λ的取值范圍通常為0≤λ≤100。

4 實驗過程及結果分析

實驗在Ubuntu 18.04 系統下進行，硬件配置為Intel i7-8700K CPU,GTX 1080T GPU,16 GB RAM。使用Go 語言來處理方案中涉及區塊鏈的部分，使用Pytorch 1.4.0 訓練深度學習模型和添加差分隱私噪聲，并通過go-python v1.0 庫搭建Python 和Go的接口。網絡結構采用卷積神經網絡（CNN,conventional neural network），由2 個5×5 的卷積層、一個全連接層和一個softmax 輸出層組成。模型中的權重初始化為從正太分布N(0,0.022)采樣的隨機值，并將偏差初始化為0。實驗數據集采用MNIST和CIFAR10，這2 個數據集可代表本地設備所收集的復雜度中等的數據，也被大量基于邊緣計算場景的聯邦學習算法[5-7,9]作為測試數據使用。其中，MNIST 是一個包含60 000 個訓練樣本和10 000 個測試樣本的手寫數據集，每個樣本是一個28×28 的灰度圖像，標簽為0～9；CIFAR10 是一個包含50 000 個訓練樣本和10 000 個測試樣本的圖像數據集，每個樣本是一個32×32 的RGB 圖像，標簽包含“飛機”“狗”“汽車”等10 類普適物體。實驗中令RMSProp優化算法中的γ=0.1,η=0.002,ε0=10?6，自適應差分隱私中的G=10?6,β=1.2,σ=4,δ=10?4。在MNIST 數據集上初始裁剪閾值C=4，隱私預算ε=2；在CIFAR10 數據集上C=3，ε=4。為了模擬聯邦學習的分布式環境，假設系統中有20 個本地設備，并將實驗數據集隨機均勻劃分為20 份分給每個設備作為本地數據集。設備在本地訓練批次大小為64，通過使用pickle 模塊，將梯度參數轉換為字節流進行傳輸，默認采用64 bit 的精度。

4.1 隱私預算消耗

為了衡量本算法中自適應差分隱私機制在減少隱私預算消耗方面的作用，采用文獻[24]中的差分隱私聯邦學習算法（DPFL）作對比，即在MNIST和CIFAR10 數據集上分別將裁剪閾值固定為C=4和C=3，記錄2 種算法到達指定準確率時所消耗的隱私預算，如表2 所示，其中，εD和εA分別代表DPFL 和本文算法所消耗的隱私預算。

表2 本文算法和DPFL 所消耗的隱私預算

由表2 可知，當準確率相同時，本文算法在MNIST 和CIFAR10 數據集上比DPFL 平均減小了37%和29%的隱私預算，由此證明了本文算法通過自適應差分隱私機制有效減少了隱私預算的消耗。由于隱私預算越大，隱私保護程度越低，為了在模型準確率和隱私保護之間取得平衡，本文算法在MNIST 數據集上令ε=2，在CIFAR10 數據集上令ε=4。

4.2 算法的準確率

為了衡量差分隱私機制對于算法準確性的影響，給定相同的隱私預算，將本文算法與DPFL 在準確率上進行對比。同時采用原始聯邦學習算法作為比較基準。結果如圖3 所示。

根據圖3(a)可知，在MNIST 數據集上，原始聯邦學習算法取得98.8%的準確率，而由于隱私預算ε=2 的限制，本文算法訓練至35 輪時停止，準確率達到96.3%，DPFL 算法訓練至26 輪時停止，準確率達到93.7%。如圖3(b)所示，在CIFAR10 數據集上，原始聯邦學習算法取得72%的準確率，而由于隱私預算ε=4 的限制，本文算法訓練至54 輪時停止，準確率達到69.2%，DPFL 訓練至46 輪時停止，準確率達到67.8%。

由此可見，通過自適應差分隱私機制，本文算法在相同的隱私預算下能夠訓練更多輪次，達到更高的準確率，僅略低于原始聯邦學習算法。因此本文算法適用于對精度要求高、需要隱私保護的應用場景。

4.3 吞吐量和運行時間

系統吞吐量TPS 是評估區塊鏈性能的重要因素，即區塊鏈每秒處理的事務數。由于本文將區塊鏈與聯邦學習相結合應用于邊緣計算場景，則一個設備向區塊鏈上傳的模型梯度等信息代表一個事務，事務在區塊鏈中的處理流程包括梯度驗證和共識2 個階段。統計在不同的設備數量（即不同的事務數量）下，每一輪訓練中梯度驗證和共識2 個階段分別消耗的平均時間，如圖4 所示。其中梯度驗證階段對應于3.2 節訓練流程中的步驟4，共識階段對應于步驟5～步驟6。

由圖4 可知，梯度驗證的時間小于共識階段的時間，這是因為共識階段需要執行領導者選舉、聯邦平均以及委員會驗證等操作，需要較大的計算開銷。但是梯度驗證的運行時間隨著設備數量的增加而增加，這是由Multi-KRUM 算法的計算復雜度所決定的。

因此，為了更加直觀地反映在共識協議中融入梯度驗證后對于區塊鏈TPS 的影響，計算在不同的設備數量下，未加入梯度驗證的TPS 和加入梯度驗證后的TPS。具體地，未加入梯度驗證的TPS 的計算式為，加入梯度驗證后的TPS 的計算式為，結果如表3 所示。可以看出，梯度驗證機制在一定程度上降低了區塊鏈的TPS，且隨著設備數量的增加，對于TPS 的影響越大。說明梯度驗證機制以犧牲部分TPS 為代價來強化邊緣計算的安全性，但是當設備小于一定數量時，TPS 減少率依然在一個可接受的范圍內。如設備數量小于50 時，TPS 減少率小于40%。

表3 梯度驗證機制對于區塊鏈TPS 的影響

為了進一步探討區塊鏈與聯邦學習結合后對算法運行效率的影響，將本文算法與原始聯邦學習算法[2]在運行時間上進行對比，結果如圖5 所示，其中，本文算法的訓練曲線在隱私預算消耗完畢時截止，原始聯邦學習算法的訓練曲線在算法收斂時截止。

由圖5 可知，當模型收斂時，對于MNIST 數據集，本文算法的運行時間約為原始聯邦學習算法的3.4 倍，分別為1 088 s 和323 s；對于CIFAR10 數據集，本文算法的運行時間約為原始聯邦學習算法的2.2 倍，分別為1 825 s 和820 s。可見區塊鏈中的共識和驗證機制會增加算法的運行時間，但同時為邊緣計算提供了更高的安全性和穩定性。因此，本文算法適用于對安全性要求較高的邊緣計算場景。

4.4 抵抗中毒攻擊能力

為了測試本方法抵抗中毒攻擊的能力，采用文獻[29]中的標簽翻轉攻擊生成投毒樣本，即更改訓練樣本的標簽并保持樣本特征不變，然后將投毒樣本分配給指定的攻擊者。具體地，對于MNIST 數據集，將樣本中的源標簽“1”改為目標標簽“8”；對于CIFAR10 數據集，將樣本中的源標簽“狗”改為目標標簽“馬”。為了消除其他標簽的影響，僅使用帶有目標和源標簽的樣本訓練二進制分類器，并從測試數據集中隨機選擇500 個帶有源標簽的樣本測試攻擊成功率，即樣本的源標簽被預測為目標標簽所占的比例。

首先將投毒樣本的比例分為設置為30%、40%和50%，運行20 次實驗，取平均值，并與原始的聯邦學習算法[2]進行對比，如圖6 所示。

由圖6 可知，由于隱私預算的限制，本文算法在MNIST 和CIFAR10 數據集上迭代至一定輪數時停止。當投毒樣本為30%時，本文算法在迭代后期能夠逐漸收斂至接近于無投毒樣本的原始聯邦學習。但是當投毒樣本為40%和50%時，本文算法難以收斂。因此可認為本文算法能夠抵抗30%的中毒攻擊。

圖7 進一步展示了30%的投毒樣本對于原始聯邦學習和本文算法的攻擊成功率。可見，由于原始聯邦學習無法檢測中毒攻擊，導致攻擊成功率幾乎一直大于50%。而本文算法的攻擊成功率在迭代后期逐漸降至10%以下。這是因為本文算法在3.3.2 節的激勵機制中規定，設備一旦被檢測出中毒攻擊就會被扣除一定數量的代幣，且當代幣數量歸零時不允許參與訓練。實驗數據表明，本文算法進入迭代后期時，在MNIST 和CIFAR10 數據集上分別有4 個和5 個設備被禁止參與訓練，因此本文算法有效降低了攻擊成功率。

5 結束語

本文通過結合區塊鏈和聯邦學習提出了一種應用于邊緣計算的隱私保護方法。利用聯邦學習為多設備建立協同訓練平臺，引入區塊鏈實現訓練過程的去中心化和可審計性。針對攻擊者對本地設備發起的中毒攻擊，設計梯度驗證算法檢測惡意更新，并通過激勵機制鼓勵更多設備加入聯邦學習。針對網絡邊緣處潛在的隱私泄露問題，設計自適應差分隱私機制保護參數隱私并減小噪聲對模型準確性的影響。在MNIST 和CIFAR10 數據集上進行實驗，與原始聯邦學習和基于差分隱私的聯邦學習進行對比，表明本文算法能以較高的準確性實現隱私保護和抗中毒攻擊能力，且無須依賴可信環境和特殊硬件設施。下一步將考慮設計效率更高的梯度驗證算法和共識協議，以應用于時延更小的邊緣計算場景。