联邦学习中的隐私保护技术研究.pdf

《联邦学习中的隐私保护技术研究.pdf》由会员分享，可在线阅读，更多相关《联邦学习中的隐私保护技术研究.pdf（8页珍藏版）》请在咨信网上搜索。

1、信息安全研究第10 卷第3期2 0 2 4年3月Journalot information Security ResearchVol.10No.3Mar.2024DOl:10.12379/j.issn.2096-1057.2024.03.01联邦学习中的隐私保护技术研究刘晓迁许飞马卓袁明1，钱汉伟1（江苏警官学院计算机信息与网络安全系2（南京邮电大学计算机学院完南京2 10 0 2 3)3（南京大学软件学院南京2 10 0 2 3）()Research on Privacy Protection Technology in Federated LearningLiu Xiaoqian,Xu F

2、eil,Ma Zhuo,Yuan Mingl-2,and Qian Hanweil.31(Department of Com puter Information and Cyber Security,Jiangsu Police Institute,Nanjing 210031)2(School of Computer Science,Nanjing University of Posts and Telecommunications,Nanjing 210023)3(Software Institute,Nanjing University,Nanjing 210023)Abstract I

3、n federated learning,multiple models are trained through parameter coordinationwithout sharing raw data.However,the extensive parameter exchange in this process renders themodel vulnerable to threats not only from external users but also from internal participants.Therefore,research on privacy prote

4、ction techniques in federated learning is crucial.This paperintroduces the current research status on privacy protection in federated learning.It classifies thesecurity threats of federated learning into external attacks and internal attacks.Based on thisclassification,it summarizes external attack

5、techniques such as model inversion attacks,externalreconstruction attacks,and external inference attacks,as well as internal attack techniques such aspoisoning attacks,internal reconstruction attacks,and internal inference attacks.From theperspective of attack and defense correspondence,this paper s

6、ummarizes data perturbationtechniques such as central differential privacy,local differential privacy,and distributed differentialprivacy,as well as process encryption techniques such as homomorphic encryption,secret sharing,and trusted execution environment.Finally,the paper analyzes the difficulti

7、es of federated learningprivacy protection technology and identifies the key directions for its improvement.Key words federated learning;privacy attack;differential privacy;homomorphic encryption;privacy protection摘要联邦学习中多个模型在不共享原始数据的情况下通过参数协调进行训练.大量的参数交换使模型不仅容易受到外部使用者的威胁，还会遭到内部参与方的攻击，因此联邦学习中的隐私保护技术

8、研究至关重要.介绍了联邦学习中的隐私保护研究现状；将联邦学习的安全威胁分为外部攻击收稿日期：2 0 2 4-0 1-14基金项目：国家自然科学基金项目（6 2 2 0 2 2 0 9）；2 0 2 3年江苏高校“青蓝工程”优秀青年骨干教师项目；江苏省高等教育教改研究项目（2 0 2 3JSJG 36 4)；“十四五江苏省重点学科“网络空间安全 建设项目；江苏省高校哲学社会科学研究项目（2 0 2 3SJYB0468）引用格式：刘晓迁，许飞，马卓，等.联邦学习中的隐私保护技术研究.信息安全研究，2 0 2 4，10（3）：194-2 0 1194南京210031)学术论文.ResearchPap

9、ers和内部攻击，并以此分类为基础归纳总结了模型反演攻击、外部重建攻击、外部推断攻击等外部攻击技术和投毒攻击、内部重建攻击、内部推断攻击等内部攻击技术.从攻防对应的角度，归纳总结了中心化差分隐私、本地化差分隐私和分布式差分隐私等数据扰动技术和同态加密、秘密共享和可信执行环境等过程加密技术.最后，分析了联邦学习隐私保护技术的难点，指出了联邦学习隐私保护技术提升的关键方向。关键词联邦学习；隐私攻击；差分隐私；同态加密；隐私保护中图法分类号TP309联邦学习的概念最早由谷歌提出，用于解决安卓设备的本地模型更新问题.在联邦学习中，多个数据持有方将数据保留在本地，仅在协同训练过程中交换训练参数 11.M

10、cMahan等人 2 的研究证明，分布式训练的联邦学习模型能够取得与集中式学习相近或更好的结果.联邦学习基于分散计算范式收集与融合海量数据进行模型训练，避免直接将数据暴露给不确定的第三方，对用户数据隐私起到很大的保护作用.然而，联邦学习模型本身存在一定的脆弱性,同时恶意攻击者普遍存在，因此,联邦学习中存在大量的隐私泄露风险 3.近年来，联邦学习中的隐私保护技术研究取得了一定的成果.目前，隐私保护研究主要以经典的加密或扰动技术为基础，例如以差分隐私(differential privacy）为代表的数据扰动法 4、以同态加密（homomorphic encryption）和安全多方计算（secu

11、re multi-party computation)为代表的数据加密法等 5-6 .隐私保护的应用场景从最初的关系型数据发布逐渐发展到较为复杂的社交网络、电子商务等领域 7-9.Mothukuri等人1o1提供了联邦学习安全攻击和隐私攻击方面的全面研究，并针对2 类攻击总结了对应的保护措施.但文中提到的隐私威胁较少，更专注于安全攻击的研究，与本文侧重点不同.周俊等人 11从联邦学习模型训练的主体出发，将最新的保护技术按参与方和服务器的关系进行划分.与之相比，目前的研究更多地是基于隐私保护手段的不同，将联邦学习的隐私保护技术进行划分 12-13.在汤凌韬等人 14-15 的研究中，依据作用阶段

12、、防护策略和技术手段的不同，将联邦学习中的隐私保护技术分为6 大类，主要包括安全聚合机制、安全多方机制、同态加密机制、可信硬件机制、安全预测机制、模型泛化机制.本文从联邦学习的安全现状及现有隐私保护技术研究成果人手，通过对联邦学习中的隐私泄露原因进行分析，揭示了易受攻击的关键环节以及潜在的隐私泄露风险.同时，对国内外联邦学习隐私保护研究的现状进行总结，从攻击与防御的角度归纳了联邦学习所面临的各种攻击方式及对应防御方法.本文还探索了未来可能的发展方向，为研究者提供了有益的参考，以有效保护用户的隐私安全。1联邦学习中的隐私保护研究现状在联邦学习中,共有n个参与方(Fi,F2，,F，）,每个参与方F

13、，都持有各自的本地数据集(D1,D2，,D,），各数据持有方不共享本地数据D，而仅共享运算参数，通过多方协作最终获得一个全局联邦学习模型 16.作为对比，传统集中式机器学习模型则是将各用户端的数据收集起来形成一个大数据集进行训练.令MFED表示联邦学习模型的精度、MsUM为集中式机器学习模型的精度.称联邦学习模型具有的精度损失，如果存在非负实数。，使得以下不等式成立：IMFED-MsUM|.ResearchPapers的差距最小化.Zhao等人 2 91 对DLG算法进行改进,提出了iDLG(improved DLG)算法，基于交叉熵损失计算输出标签概率与前一层梯度数值之间的关系，进而判别标签

14、的真实值。根据攻击的对象不同，内部推断攻击可分为属性推断攻击和成员推断攻击.属性推断攻击是指敌手通过分析联邦学习模型训练过程中的周期性更新，推断目标终端的训练集中是否存在某敏感属性.在Melis等人 30 1的工作中，假设敌手是中央服务器，攻击者借助辅助集和全局参数计算生成包含目标属性和不包含目标属性的梯度更新向量，借此训练属性分类器.Zhang等人 31设计了黑盒状态下的推断攻击，攻击者在不参与训练的情况下，通过已训练好的模型也可以推断出目标样本中的敏感属性，进而造成隐私泄露.成员推断攻击是一种推断训练数据集细节的攻击，通过检查某数据是否存在于训练集上来窃取信息.Nasr等人 32 设计了白

15、盒模式下的成员推断攻击，其中半诚实参与方主要观察成员与非成员在模型上的梯度差异.而恶意参与方则能够依据梯度变化推断出该数据是否为成员数据.2耳联邦学习中的隐私保护技术隐私保护技术是防止敏感信息泄露的核心技术，能为隐私数据提供严格的量化保护.随着研究的不断深人，隐私保护手段也逐渐多样化，为了更好地和前文的攻击策略进行对应，本文将隐私保护手段分为2 类，即数据扰动和过程加密.其中，数据扰动保护的是隐私数据本身，在一定程度上能够防御内部攻击者对数据的窃取和推断；而过程加密则是对数据传输的通信信道进行保护，使得外部攻击者不易识别敏感信息。2.1数据扰动差分隐私是当前通过数据扰动实现隐私保护的有效手段

16、331.用户原本易识别的属性记录经过扰动会丧失独特性，从而隐藏在大量的记录中不被发现.根据差分隐私在联邦学习框架中的使用位置，差分隐私可以划分为中心化差分隐私、本地化差分隐私和分布式差分隐私.2.1.1中心化差分隐私中心化差分隐私借助可信第三方，通过集中式数据存储与扰动实现隐私保护 34，其架构如图2所示：用户1客户端数据采集数据采集原始数据数据收集者统计数据查询查询图2 中心化差分隐私在联邦学习的客户端-服务器架构中，通过添加拉普拉斯噪声、高斯噪声或指数机制等方式隐藏数据节点.中心化差分隐私方案能够实现用户级隐私，也就是说不会泄露参与联邦学习模型训练的用户.然而，这种机制要求必须存在可信的中

17、央服务器，较为理想化.2.1.2本地化差分隐私当不存在可信第三方或中央服务器时，隐私保护的训练过程完全在客户端本地实现，即本地化差分隐私，其架构如图3所示 34-35.本地化差分隐私没有中心服务器的参与，用户掌控自身数据的使用与发布，利于实现去中心化联邦学习.但本地化差分隐私保护中需求的样本量极其庞大，为了提高训练准确度，往往需要收集海量样本数据才能实现.此外，维灾难导致本地化差分隐用户1用户2数据采集数据采集客户端本地化差分隐私处理用户1用户2扰动数据扰动数据数据收集者统计数据查询用户2扰动数据计数均值查询扰动数据计数均值查询查询图3本地化差分隐私网址http:/1197用户n数据采集中心化

18、差分隐私处理Top-k查询用户数据采集用户n扰动数据Top-k查询信息安全研究第10 卷第3期2 0 2 4年3月Journalotinformatien Security ResearchVol.10No.3Mar.2024私很难平衡模型可用性、高效性与隐私性.2.1.35分布式差分隐私分布式差分隐私设置若干个可信中间节点，并预先对部分用户数据进行聚合和扰动，传输给服务器的是加密处理的脱敏数据.王雷霞等人 36 提出一种安全混洗框架，该框架将加密运算尽量剥离开客户端，保证较少的本地资源消耗，转而设方法中心化差分隐私本地化差分隐私分布式差分隐私客户端和服务器端之间的可信任节点隐私保护技术单独使

19、用得很少，现在更多的是混合式方法.Truex等人 37 利用差分隐私和安全多方计算训练出可以抵御推理攻击的学习模型,在2 种隐私保护技术优势的叠加下联邦学习的隐私威胁大大降低。2.2过程加密过程加密主要针对外部攻击对通信信道进行保护.较为常用的过程加密技术包括同态加密、秘密共享和可信执行环境.2.2.1同同态加密同态加密是指针对加密后的密文数据进行运算，该计算结果和原始数据经过特定计算后得到的结果一致 38 .同态加密过程如图4所示：计算密文数据密文结果处理同态加密原始数据图4同态加密机制同态加密不同于一般加密方案，一般的加密方案注重数据存储安全，密文结果需要妥善保管，以免导致解密失败.而同态

20、加密的侧重点在于数据处理安全，它确保原始数据机密信息不被泄露，同时又能保证密文运算结果的有效性。2.2.2秘密共享秘密共享是一种秘密分割存储技术，是安全1981计客户端与服务器端之间的匿名化混洗步骤，保证基于少量噪声即实现较高级别的隐私保护。分布式差分隐私解决方案兼具了本地化与中心化差分隐私的优势，既不需要可信服务器，也无需在本地添加过多噪声.但分布式差分隐私本身也有缺陷，即通信开销高且需要可信节点.以上3种方法优缺点对比如表1所示：表1差分隐私类别比较扰动位置特点服务器端兼顾隐私性和可用性，具有较高准确性客户端无须信任关系，能完全实现去中心化隐私性可用性难以平衡，影响模型性能低扰动高隐私，无

21、须可信服务器多方计算中的重要机制，其目的是抵御多方合谋与人侵.秘密共享的核心思想是通过特定预算，将秘密拆分，并将其分发给各参与方.常见的秘密分享方案有Shamir方案和Blakley方案等 39-40 1，最常使用的是门限秘密共享。将秘密S分成n个子秘密并分配给n个参与方，只有集齐k个及以上子秘密才能还原出原始秘密S.Bonawitz等人 411基于门限秘密共享设计了一种安全聚合方案，该方案在诚实且好奇的服务器背景下保证各参与方的数据安全.同时，计算量和通信开销也不高，特别适合联邦学习中的协同训练，但是该方案无法抵御共谋攻击.对比以上2 种手段，同态加密运算成本高，秘密共享在一定程度上可以弥补

22、上述不足，但秘密共享需要进行多次通信，加剧了联邦学习的通信负担。同态解密2.2.3可信执行环境计算结果1可信执行环境（trusted execution environ-ment，T EE)是一种提供可信执行环境的安全技计算处理计算结果2缺陷需要可信服务器为前提通信开销高，需要可信节点术，该环境具备完整性、保密性和可验证性 42 ，具有计算和存储功能.TEE的使用场景有很多,其中最常见的是数字版权管理、金融支付、移动支付等方面.在联邦学习中，TEE技术被广泛应用于保护用户数据隐私，但是TEE对底层硬件设施的依赖性较高，更新升级时都需要同步到软硬件，不同厂商的TEE技术各异，行业标准也不一致，很

23、难统一管理。表2 中，本文对比了以上列举的几种隐私保护手段.差分隐私计算复杂度低，通过扰动去除记学术论文.ResearchPapers合边缘计算和群体学习（swarmlearning)方法，实现了隐私保护下不同医疗机构之间数据的整合.该架构能够保证网络中成员的安全、透明和公平加人，不再需要中心服务器.显然，去中心化架构和高级别安全保障进一步保证了数据的隐私安全。参考文献1 Li T,Sahu A K,Talwalkar A,et al.Federated learning:录识别性，因此可以针对性地防御成员推断攻击.安全多方计算除了数据传输，还有大量的计算和操作需要在参与方之间协同完成，因此有

24、更多额外通信开销.同态加密是一个较好的不共享原始数据也能进行数据分析的解决方案，但是由于同态加密需要额外计算，且存储开销大，使得目前阶段同态加密广泛采用的可行性并不高。表2 隐私保护技术对比安全技术安全可证明月额外通信开销额外计算开销差分隐私未知同态加密是安全多方计算是可信执行环境从实际应用角度来说，各种隐私保护手段都有其局限性，需要在各个维度之间进行平衡.差分隐私需要在隐私保护和数据可用性之间进行平衡；同态加密需要在加密和解密操作的效率和安全性之间进行平衡；安全多方计算需要在参与方之间的信任关系和安全性之间进行平衡；可信执行环境需要在执行效率和安全性之间进行平衡.3丝结论与展望本文回顾了近年

25、来研究者对联邦学习隐私保护的研究成果，探究联邦学习中隐私泄露的原因以及常见的攻击表现形式.针对攻击特点进行分类，并针对性地提出隐私保护机制，归纳各类隐私保护技术的优缺点，为隐私保护研究提供脉络梳理.同时，归纳了以下联邦学习隐私保护具有前景的研究方向：1）平衡隐私保护和成本代价.每一种隐私保护技术都有自己的额外成本和影响，算法需要在隐私性、准确性以及运算效率之间相互权衡.探寻兼具隐私性、准确性和高效性的联邦学习算法是未来发展中的一个重要目标.构建量化体系，依据隐私攻击的程度量化隐私保护的程度，防止出现防御不足或过度的情况，保证隐私性和可用性相统一 43,同时考虑联邦学习模型的公平性 41.2）联

26、邦学习的隐私保护标准化.当前联邦学习隐私保护中呕需建立隐私泄露和隐私保护程度的度量标准：一方面，整体的安全性取决于最薄弱的一个环节，联邦学习数据隐私泄露常常来自参与训练的恶意攻击者；另一方面，联邦学习隐私保护评估标准的缺失导致研究人员难以准确评估隐私保护设计方案的实际效果，用户也无法了解自身在系统中所受到的保护程度.因此，呕需在工业界和学术界从整体和系统角度进行隐私保护衡量标准的规范与定义.3）结合区块链等新技术对联邦学习分布式架构进行演化.例如，Warnat-Herresthal等人 45 结无小无大有较小无很小Challenges,methods,and future directions

27、 J.IEEESignal Processing Magazine,2020,37(3):50-602 McMahan B,Moore E,Ramage D,et al.Communication-efficient learning of deep networks from decentralized dataC I/Artificial Intelligence and Statistics.New York:PMLR,2017:1273-12823肖雄，唐卓，肖斌，等.联邦学习的隐私保护与安全防御研究综述.计算机学报，2 0 2 3，46（5）：10 19-10 444 Dwork C

28、.Differential privacy CJ/Proc of Int Colloquiumon Automata,Languages,and Programming.Berlin:Springer,2006:1-125Yao A C C.How to generate and exchange secrets C/lProc of the 27th Annual Symp on Foundations of ComputerScience(SFCS 1986).Piscataway,NJ:IEEE,1986:162-1676 熊维，王海洋，唐祎飞，等.安全多方计算应用的隐私度量方法J.信息

29、安全研究，2 0 2 4，10（1）：6-117 Liu B,Ding M,Shaham S,et al.When machine learningmeets privacy:A survey and outlook J.ACM ComputingSurveys,2021,54(2):1-368车钱文君，沈晴霓，吴鹏飞，等.大数据计算环境下的隐私保护技术研究进展 J.计算机学报，2 0 2 2，45（4）：6 6 9-7 0 19冯登国.机密计算发展现状与趋势 信息安全研究，2024,10(1):2-5io Mothukuri V,Parizi R M,Pouriyeh S,et al.A s

30、urvey onsecurity and privacy of federated learning J.FutureGeneration Computer Systems,2021,115:619-640网址http:/1199信息安全研究第10 卷第3期2 0 2 4年3月Journalotlnformation Security ResearchVol.10No.3Mar.202411周俊，方国英，吴楠。联邦学习安全与隐私保护研究综述J.西华大学学报：自然科学版，2 0 2 0，39（4）：9-1712陈兵，成翔，张佳乐，等.联邦学习安全与隐私保护综述J.南京航空航天大学学报，2 0 2

31、 0，52（5)：6 7 5-6 8 413顾育豪，白跃彬.联邦学习模型安全与隐私研究进展.软件学报，2 0 2 3，34（6）：2 8 33-2 8 6 414汤凌韬，陈左宁，张鲁飞，等联邦学习中的隐私问题研究进展J.软件学报，2 0 2 3，34（1)：197-2 2 915Wang R,Lai J,Zhang Z,et al.Privacy-preservingfederated learning for Internet of medical things under edgecomputing J.IEEE Journal of Biomedical and HealthInform

32、atics,2022,27(2):854-86516Yang Q,Liu Y,Chen T,et al.Federated machinelearning:Concept and applications J.ACM Trans onIntelligent Systems and Technology,2019,10(2):1-1917刘艺璇，陈红，刘宇涵，等联邦学习中的隐私保护技术J】.软件学报，2 0 2 2，33（3)：10 57-10 9218Yang Z,Zhang J,Chang E C,et al.Neural networkinversion in adversarial se

33、tting via background knowledgealignment C/Proc of the 2019 ACM SIGSAC Conf onComputer and Communications Security.New York:ACM,2019:225-24019 Fredrikson M,Jha S,Ristenpart T.Model inversionattacks that exploit confidence information and basiccountermeasures C/Proc of the 22nd ACM SIGSACConf on Compu

34、ter and Communications Security.NewYork:ACM,2015:1322-133320 Fredrikson M,Lantz E,Jha S,et al.Privacy in pharma-cogenetics:An end-to-end case study of personalizedwarfarin dosing C/Proc of the 23rd USENIX SecuritySymp（U SEN I X Se c u r it y 14).Be r k e le y，C A:U SEN I XAssociation,2014:17-3221Sho

35、kri R,Stronati M,Song C,et al.Membershipinference attacks against machine learning models C lProc of 2017 IEEE Symp on Security and Privacy(SP).Piscataway,NJ:IEEE,2017:3-1822Yang M,Cheng H,Chen F,et al.Model poisoning attackin differential privacy-based federated learning J.Information Sciences,2023

36、,630:158-17223Biggio B,Nelson B,Laskov P.Poisoning attacks againstsupport vector machines JJ.arXiv preprint,arXiv:1206.6389,201224 Jiang W,Li H,Liu S,et al.A flexible poisoning attackagainst machine learning C/Proc of 2019 IEEE Int Confon Communications(ICC 2019).Piscataway,NJ:IEEE,2019:1-625Bagdasa

37、ryan E,Veit A,Hua Y,et al.How to backdoorfederated learning C/Proc of Int Conf on ArtificialIntelligence and Statistics.New York:PMLR,2020:2938-294820026 Hitaj B,Ateniese G,Perez-Cruz F.Deep models under theGAN:Information leakage from collaborative deep learningCJ/Proc of the 2017 ACM SIGSAC Conf o

38、n Computerand Communications Security.Piscataway,NJ:IEEE,2017:603-61827Wang Z,Song M,Zhang Z,et al.Beyond inferring classrepresentatives:User-level privacy leakage from federatedlearning CJ/Proc of IEEE Conf on Computer Communications(IEEE INFOCOM 2019).Piscataway,NJ:IEEE,2019:2512-252028Zhu L,Liu Z

39、,Han S.Deep leakage from gradients C IlProc of Advances in Neural Information ProcessingSystems(NeurIPS 2019).Cambridge:MIT Press,2019:14774-1478429 Zhao B,Mopuri K R,Bilen H.iDLG:Improved deepleakage from gradients J.arXiv preprint,arXiv:2001.02610,20203o Melis L,Song C,De Cristofaro E,et al.Exploi

40、tingunintended feature leakage in collaborative learning C llProc of 2019 IEEE Symp on Security and Privacy(SP).Piscataway,NJ:IEEE,2019:691-70631 Zhang W R,Tople S,Ohrimenko O.Leakage of datasetproperties in Multi-Party machine learning CJ/Proc ofthe 30th USENIX Security Symp.Berkeley,CA:USENIXAssoc

41、iation,2021:2687-270432 Nasr M,Shokri R,Houmansadr A.Comprehensiveprivacy analysis of deep learning:Passive and active white-box inference attacks against centralized and federatedlearning C/Proc of 2019 IEEE Symp on Security andPrivacy(SP).Piscataway,NJ:IEEE,2019:739-75333 Naseri M,Hayes J,De Crist

42、ofaro E.Local and centraldifferential privacy for robustness and privacy in federatedlearningJJ.arXivpreprint,arXiv:2009.03561,202034叶青青，孟小峰，朱敏杰，等本地化差分隐私研究综述J.软件学报，2 0 18，2 9（7)：198 1-2 0 0 535Cormode G,Jha S,Kulkarni T,et al.Privacy at scale:Local differential privacy in practice C/Proc of the 2018

43、Int Conf on Management of Data.2018:1655-165836王雷霞，孟小峰.ESA：一种新型的隐私保护框架 J.计算机研究与发展，2 0 2 2，59（1）：144-17 137Truex S,Baracaldo N,Anwar A,et al.A hybrid approachto privacy-preserving federated learning C/Proc of the12th ACM Workshop on Artificial Intelligence andSecurity.New York:ACM,2019:1-1138余晟兴，陈钟.基

44、于同态加密的高效安全联邦学习聚合框架 J.通信学报，2 0 2 3，44（1）：14-2 839Shamir A.How to share a secret J.Communications ofthe ACM,1979,22(11):612-61340Carlini N,Liu C,Kos J,et al.The secret sharer:Measuring unintended neural network memorization&.extracting secrets J.arXiv preprint,arXiv:1802.08232,2018学术论文ResearchPapers41

45、 Bonawitz K,Ivanov V,Kreuter B,et al.Practical secureaggregation for privacy-preserving machine learning CJ/Proc of the 2017 ACM SIGSAC Conf on Computer andCommunications Security.New York:ACM,2017:1175-119142SSubramanyan P,Sinha R,Lebedev I,et al.A formalfoundation for secure remote execution of en

46、claves CJ/lProc of the 2017 ACM SIGSAC Conf on Computer andCommunications Security.New York:ACM,2017:2435-245043 2Zhang X,Kang Y,Chen K,et al.Trading off privacy,utility,and efficiency in federated learning LJJ.ACMTrans on Intelligent Systems and Technology,2023,14(6):1-3244Chen H,Zhu T,Zhang T,et a

47、l.Privacy and fairness infederated learning:On the perspective of trade-off JJ.ACMComputing Surveys,2023,56(2):1-3745Warnat-Herresthal S,Schultze H,Shastry K L,et al.Swarm learning for decentralized and confidential clinicalmachine learningJl.Nature,2021,594(7862):265-270刘晓迁博士，讲师.主要研究方向为数据挖掘与隐私保护许飞主要研究方向为警务大数据。马卓博士，讲师.主要研究方向为联邦学习与隐私保护袁明博士研究生，讲师。主要研究方向为深度学习与自然语言处理。钱汉伟博士研究生，讲师.主要研究方向为信息安全与软件工程。网址http:/ 1201