2.4 安全機制的性能效率對比

當前的很多文獻都表明，從理論的角度，傳輸明文信息（如模型參數、參數梯度等）也是不安全的^[318]，攻擊者可以通過竊取這些梯度信息來還原（或者部分還原）原始數據信息，從而導致數據隱私的泄露。這也是隱私保護機器學習提出的初衷。

聯邦學習的訓練模型以保證數據不出本地為前提，從而最大限度地減少數據的隱私泄露問題。但在聯邦學習訓練的過程中，客戶端和服務端之間需要進行模型的信息（如模型參數、參數梯度等）交互，以便協同訓練一個機器學習模型。如果直接傳輸明文信息，正如上面所分析的，也會存在信息泄露的風險。因此，聯邦學習的安全機制設計是聯邦學習一個非常重要的環節。

本章介紹了聯邦學習常用的三大安全機制，即同態加密、差分隱私和安全多方計算，它們也是密碼學領域常用的安全策略，在與聯邦學習結合使用的過程中，各自有優點和缺點。本節將從計算性能、通信性能和安全性三個維度進行綜合比較（注意由于安全多方計算包括多種不同的實現策略，這里主要以秘密共享來講解）。

? 計算性能：從計算的角度看，計算主要耗時在求取梯度上。對于同態加密，計算在密文的狀態下進行，密文的計算要比明文的計算耗時更長；而差分隱私主要通過添加噪聲數據進行計算，其效率與直接明文計算幾乎沒有區別；同理，秘密共享是在明文狀態下進行的，計算性能基本不受影響。

? 通信性能：從通信的角度看，同態加密傳輸的是密文數據，密文數據比明文數據占用的比特數要更大，因此傳輸效率要比明文慢；差分隱私傳輸的是帶噪聲數據的明文數據，其傳輸效率與直接明文傳輸幾乎沒有區別；秘密共享為了保護數據隱私，通常會將數據進行拆分并向多方傳輸，完成相同功能的迭代。同態加密和差分隱私需要一次，而秘密共享需要多次數據傳輸才能完成。

? 安全性：注意，由于安全性的范圍很廣，這里我們特指在聯邦學習場景中本地數據隱私的安全。雖然在聯邦學習的訓練過程中，我們是通過模型參數的交互來進行訓練的，而不是交換原始數據，但當前越來越多的研究都表明，即使只有模型的參數或者梯度，也能反向破解原始的輸入數據^{[319，101，203]}。結合當前的三種安全機制來保護聯邦學習訓練時的模型參數傳輸：同態加密由于傳輸的是密文數據，因此其安全性是最可靠的；秘密共享通過將模型參數數據進行拆分，只有當惡意客戶端超過一定的數目并且相互串通合謀時，才有信息泄露的風險，總體上安全性較高；差分隱私對模型參數添加噪聲數據，但添加的噪聲會直接影響模型的性能（當噪聲比較小時，模型的性能損失較小，但安全性變差；相反，當噪聲比較大時，模型的性能損失較大，但安全性變強）。

我們可以通過表2-2來總結本章介紹的三大安全機制與聯邦學習相結合時的表現。讀者也可以在實際的應用場景中，根據需求挑選安全機制來輔助實現聯邦學習。

表2-2 安全機制的性能效率對比