引言

聯邦學習（Federated Learning, FL）［1］作為分布式機器學習的重要范式，通過“數據不動模型動”與“數據可用而不可見”的機制有效緩解了數據孤島問題，成為隱私保護領域的關鍵技術［2］。然而，其去中心化的架構與參數共享特性，也引入了多重安全威脅：

(1)隱私泄露風險：模型的梯度信息可能暴露用戶數據特征，如嵌入層泄露、全連接層梯度符號推斷等攻擊手段已被證實可重構原始數據［3］；

(2)投毒攻擊威脅［4］：惡意客戶端通過注入噪聲、翻轉標簽或植入后門，顯著降低模型性能（如本文3.2.1節攻擊強度影響實驗結果顯示，20%惡意客戶端即可使準確率下降超過30%）；

(3)服務器合謀漏洞［5］：傳統安全聚合協議（如Secure Aggregation）難以抵御多服務器聯合篡改，導致全局模型參數被惡意操控。

面對以上多種安全威脅，現有防御方案存在以下三大瓶頸：

(1)效率與安全性失衡：同態加密雖可保護隱私，但會帶來高達40%的計算開銷［6］，而差分隱私［7］的噪聲添加在一定程度上會削弱模型可用性［8］；

(2)魯棒性不足：基于統計的聚合方法（如Trim-mean［9］、Krum［10］）對高隱蔽性攻擊（如生成對抗網絡驅動的投毒［11］）檢測率不足60%；

(3)通信成本高昂：全參數傳輸在ViT-Base［12］等大模型中需15 MB/輪的通信量，難以適配資源受限場景。

現有的聯邦學習防御機制主要側重于隱私保護與抗攻擊性，但在面對數據投毒、模型篡改等復雜安全威脅時，防御效果仍存在不足。針對這一問題，本文提出了一種基于不可篡改秘密共享（Non-Malleable Secret Sharing, NMSS）［13］與低秩適應（Low-Rank Adaptation, LoRA）［14］的融合防御架構，具有以下創新點：

(1)三服務器門限驗證機制：首次將NMSS與LoRA相結合，提出了一種新型的三服務器門限驗證機制，通過結合零知識證明（Zero-Knowledge Succinct Transparent ARguments of Knowledge, zk-STARK）［15］，實現分片不可篡改性與拜占庭容錯［16］，理論證明合謀攻擊下僅需1臺誠實服務器即可保障參數完整性［17］；

(2)低秩約束的魯棒性增強：利用LoRA將參數更新壓縮至低維子空間（秩r=8），限制投毒攻擊的擾動空間，實驗表明可減少32%的準確率下降；

(3)動態權重聚合算法：結合客戶端行為可信度評估與自適應范數裁剪，在CIFAR-10數據集實現96.8%的篡改分片檢測率，同時通信開銷降低至1.7 MB/輪，有效提升了防御能力，并大幅降低了通信開銷。

本文工作為聯邦學習安全領域提供三方面貢獻：首先在理論層面，首次將NMSS的可驗證性與LoRA的低秩特性結合，構建信息論安全框架；其次在技術層面，設計分層式三服務器驗證鏈，支持高效分片恢復（<10 ms/客戶端）與動態惡意節點隔離；最后在應用層面，在miniImageNet非獨立同分布場景下驗證方案有效性，為醫療、金融等高敏感領域提供可落地的解決方案［18］。

本文詳細內容請下載：

http://www.cowatch.cn/resource/share/2000006409

作者信息：

伏欣國1，王龍1,2，劉麗澤3, 王雷4，趙建坤1

（1.中國電子信息產業集團有限公司第六研究所，北京102209；

2.山東大學網絡空間安全學院，山東青島266237；

3.西安電子科技大學計算機科學與技術學院，陜西西安710071；

4.深圳市酷開網絡科技股份有限公司，廣東深圳518000）