2024聯(lián)邦學(xué)習(xí)與安全多方計算

聯(lián)邦學(xué)習(xí)與安全多方計算導(dǎo)讀：聯(lián)邦學(xué)習(xí)和安全多方計算是當(dāng)前跨機(jī)構(gòu)數(shù)據(jù)協(xié)同的兩類主流技術(shù)，本文將從基本思想、安全性、性能等多個方面介紹二者的區(qū)別，并介紹阿里在安全多方計算方面的最新成果。

01聯(lián)邦學(xué)習(xí)的發(fā)展歷史聯(lián)邦學(xué)習(xí)聯(lián)邦學(xué)習(xí)在2016年由谷歌提出，因?yàn)镚oogle有安卓系統(tǒng)，需要解決多個安卓設(shè)備的分布式建模問題。其中，主要是針對輸入法的建模，比如客戶在安卓輸入法中輸入單詞“what”，或許他可能想繼續(xù)輸入“doyouthink”，Google輸入法如果能自動聯(lián)想出來，用戶體驗(yàn)就會變得比較好，但是自動聯(lián)想功能需要大量的用戶數(shù)據(jù)才能學(xué)習(xí)出來，怎么獲得這些用戶數(shù)據(jù)呢？一個比較粗暴的做法是用戶輸入了什么字就把這個字全部收集到云端上，但這種做法無疑是對用戶隱私的一種破壞。由于谷歌崇尚不作惡，怎樣在不收集用戶輸入文字的前提下，從而預(yù)測出用戶接下來需要輸入的文字？因此，產(chǎn)生了聯(lián)邦學(xué)習(xí)。聯(lián)邦學(xué)習(xí)用于多移動端分布式建模聯(lián)邦學(xué)習(xí)的設(shè)計優(yōu)點(diǎn)就是用戶數(shù)據(jù)盡量不離開用戶自己的安卓設(shè)備，用戶盡量在本地完成一部分的訓(xùn)練，然后把訓(xùn)練的梯度傳到谷歌的云端，這樣谷歌只看見一個梯度，它并沒有獲得這個用戶的設(shè)備以前的聊天內(nèi)容，這樣在設(shè)計上有一種privacybydesign的設(shè)計優(yōu)點(diǎn)。有很多這樣的安卓設(shè)備，比如：ParameterServer設(shè)備是谷歌的云端服務(wù)器，它開始會有一個全局的初始化模型，云端服務(wù)器會把模型推到各個設(shè)備上，然后各個設(shè)備基于本地的數(shù)據(jù)來優(yōu)化模型，得到一個更新的梯度，把這個更新的梯度發(fā)給服務(wù)器，服務(wù)器收到這么多梯度之后，會更新全局模型，然后發(fā)到這些設(shè)備上，這些設(shè)備又迭代，直到這個模型在某種程度上收斂為止，這就是聯(lián)邦學(xué)習(xí)最開始的一個雛形。國內(nèi)聯(lián)邦學(xué)習(xí)與谷歌聯(lián)邦學(xué)習(xí)的區(qū)別區(qū)別一：大概在2018年左右，國內(nèi)開始引入聯(lián)邦學(xué)習(xí)概念，與谷歌的聯(lián)邦學(xué)習(xí)相比有了一些發(fā)展和改變。兩者主要的區(qū)別是谷歌的聯(lián)邦學(xué)習(xí)主要是面向海量移動設(shè)備的數(shù)據(jù)之間的合作，但是國內(nèi)主要是機(jī)構(gòu)之間的合作，被稱為crosssiloFL，一般都是兩個或者三個機(jī)構(gòu)之間的合作。但是，目前的應(yīng)用主要以信貸或者廣告為主，例如：兩個或多個機(jī)構(gòu)一起判斷用戶的信用，從而決定要不要借錢給他，或者要不要給他推一些廣告。這種情況下參與方的數(shù)目實(shí)際上跟Google的聯(lián)邦學(xué)習(xí)相比是有很大的降低的。區(qū)別二：Google有很多的設(shè)備，每個設(shè)備上都有自洽的一些樣本，也就是說數(shù)據(jù)在多個參與方之間，它是橫向分割的，比如說這個綠色的在一個設(shè)備上，這個白色的在另一個設(shè)備上就是橫向的分割，每個都有一個完整的樣本。但是國內(nèi)經(jīng)常使用的聯(lián)邦學(xué)習(xí)，主要是面向數(shù)據(jù)的縱向分割的。以信貸為例，其通常都是針對一個人的不同特征并把它們組合起來做聯(lián)邦學(xué)習(xí)。比如說特征1與特征2在一個機(jī)構(gòu)，特征3與特征4以及l(fā)abel是在另外一個機(jī)構(gòu)，也就是說它主要是面向數(shù)據(jù)的縱向分割。當(dāng)然橫向分割這種應(yīng)用國內(nèi)同樣存在，但是用的比較多的或者說比較賺錢的，還是在這種縱向的分割法上。02聯(lián)邦學(xué)習(xí)面臨的安全挑戰(zhàn)谷歌原版的聯(lián)邦學(xué)習(xí)有什么樣的安全挑戰(zhàn)？而在國內(nèi)，會面臨什么樣的新的安全挑戰(zhàn)?谷歌原版的聯(lián)邦學(xué)習(xí)的安全挑戰(zhàn)首先是原版橫向跨設(shè)備的聯(lián)邦學(xué)習(xí)。因?yàn)樗O(shè)計上只傳梯度，梯度本質(zhì)是一個函數(shù)，它是根據(jù)初始的模型以及本地的數(shù)據(jù)算出來的一個函數(shù)，那么這個函數(shù)可能是跟原數(shù)據(jù)是相關(guān)的，不能說有梯度就算不出原數(shù)據(jù)了，那多大程度上相關(guān)呢？其實(shí)算出來是有一定的難度，但是有一些學(xué)者也能算出來，比如說假設(shè)我們訓(xùn)練的模型是一個簡單模型，比如邏輯回歸，我們有了一堆梯度跟原始數(shù)據(jù)的這種關(guān)系，可以通過解方程組把這個未知數(shù)解出來的，這是我們在NIPS聯(lián)邦學(xué)習(xí)workshop上的一個工作。如果這個模型比較復(fù)雜，解方程組算就變得不現(xiàn)實(shí)了。這時有一些其他的方法，比如我們用machinelearning的優(yōu)化方法來反向的優(yōu)化求得一個近似的解，可能求不到精確的結(jié)果，但可以取到一個大致差不多的結(jié)果，這里有一個去年的NIPS的文章，它可以反向的從梯度求出人臉，然后這個人臉可能只有若干個像素的區(qū)別。所以我們看到如果不保護(hù)這個梯度的話，本質(zhì)上還是能推出原始數(shù)據(jù)的。谷歌的解決方法：①加差分隱私Google應(yīng)對的方法，主要通過加差分隱私，也就是說client上傳到云端的梯度，它不直接上傳，而是加一個noise，但是準(zhǔn)確率會下降。準(zhǔn)確率的下降，對于Google輸入法somehow是可以接受的，因?yàn)檩斎敕ǖ腡op3順序換了一下，或者推薦的東西錯了一點(diǎn)，對于用戶體驗(yàn)可能差別不大，但是對于我們這種用在廣告或者信貸場景下，準(zhǔn)確率差1%就可能差很多很多錢，所以對我們來說加差分隱私不是一種能夠接受的方案。②secureaggregationGoogle還有一種方案叫做secureaggregation，也就是說要通過secure的方法把這些多梯度聚合在一起，最后效果就是Server只看到了n個梯度聚合在一起的結(jié)果。但是，不知道某個具體的client梯度是多少的，從而導(dǎo)致了Server要攻擊某個client的概率非常的低，但是我們觀察到secureaggregation只適用于client數(shù)目比較多的情況。我們可以假設(shè)只有兩個client，那么這個aggregate的結(jié)果就是兩個梯度的和，通過第一個client可以推出第二個人的梯度，所以參與方至少要三個人以上，而且這些參與方之間還不能夠合謀，所以說這是secureaggregation的局限性。聯(lián)邦學(xué)習(xí)應(yīng)用面臨的新安全挑戰(zhàn)講解完橫向聯(lián)邦學(xué)習(xí)的問題之后，接下來了解下國內(nèi)引入新的聯(lián)邦學(xué)習(xí)應(yīng)用后，會面臨什么樣的新的安全挑戰(zhàn)。①參與方過少帶來的問題我們經(jīng)常遇到crosssiloFL參與方很多情況下都是兩個，由于參與方過少會引來新的安全問題。我們傳的梯度是可以用半同態(tài)對它進(jìn)行加密的，例如：Alice把它的梯度用半同態(tài)加密，然后傳給Bob，這樣是沒問題的。Alice的參數(shù)確實(shí)是對Bob保密的，但是Bob在這個加密的數(shù)據(jù)上運(yùn)算完之后他是需要傳回給Alice，Alice最終需要解密，或者說每一個round都需要解密，每一個round中Bob的參數(shù)實(shí)際上是被Alice知道的。因?yàn)閰⑴c方只有兩個，Alice得到兩個人的計算結(jié)果，她肯定是可以從這中間推斷出Bob的信息的。也就是說，在這種同態(tài)加密保護(hù)梯度中，只有一方是受益的，另一方他其實(shí)沒有受益，跟普通的聯(lián)邦學(xué)習(xí)是一樣的。就是說半同態(tài)加密參數(shù)只能實(shí)現(xiàn)單向的防護(hù)。②縱向FL帶來的問題怎樣對齊樣本？縱向的聯(lián)邦學(xué)習(xí)又帶來了一個新的問題——怎么對齊樣本？例如：不安全的方法跟安全的方法，無論怎么對齊，其都是要按照主鍵對齊的。在對齊之后，不可避免的泄露了一個信息，對齊的用戶都是誰？可能沒對齊的用戶呢?我們是可以用PSI這種方法來保護(hù)它的。一旦建模，就不可避免的要把這些數(shù)據(jù)提取出來，也就是說只要在交集里面的那些用戶，就會不可避免的泄露了，我們可以再往里面加入假數(shù)據(jù)等等，但畢竟它在里面就是在里面了。比如說A公司跟B公司合作，他們之間想進(jìn)行一個聚合，可能A公司的用戶并不想把我是A的注冊用戶這個信息告訴B，也就是說對齊這個東西它的somehow是在一個灰色地帶，所以嚴(yán)格來說如果要對齊的話，應(yīng)該用戶顯式的點(diǎn)擊同意，我同意A把我的信息授權(quán)給B，所以縱向的樣本對齊問題是一個老大難的問題，雖然現(xiàn)在可能大家都在做，但如果監(jiān)管嚴(yán)格了，這個問題，我們需要一起來想怎么處理。無標(biāo)簽方縱向的聯(lián)邦學(xué)習(xí)肯定有一個人是無標(biāo)簽方，無標(biāo)簽方他可能需要做特征工程，他不能直接把這個特征直接傳給別人或者直接進(jìn)行聯(lián)邦學(xué)習(xí)，那么有些特征工程是需要用到這個標(biāo)簽的，所以它怎么用呢？這也是一個難題。實(shí)際上這個特征工程本身就是一個特定的算法，跟Google的橫向聯(lián)邦學(xué)習(xí)已經(jīng)沒有關(guān)系了，我們需要定制一種方案，比如說我們就是要算那個WOE。那我們就要定制一個方案來安全地算這個WOE，這也是第二個難題，也就是說縱向的聯(lián)邦學(xué)習(xí)帶來了很多新的我們以前傳統(tǒng)的聯(lián)邦學(xué)習(xí)沒有遇到過的問題。上圖是WOE的例子，WOE它是要計算這個特征的重要性，比如說我想把年齡分成不同段，比如0~18歲等這樣幾個段，那么每個段段內(nèi)都存在正樣本數(shù)與負(fù)樣本數(shù)。那么，這個WOE就是把反例總占比比上正例總占比，然后求一個log，這個數(shù)越大，說明這個特征這個分段對這個模型越重要，也就是它的判別度越高，我們最后就可以給它加一些分，這個分總可能比較好。但是，對綠色的參與方來說，他是不知道那個標(biāo)簽的（假設(shè)標(biāo)簽是在另一方），那他怎么知道這正樣本數(shù)跟負(fù)樣本數(shù)呢，所以他是沒辦法知道的。所以，怎么計算WOE也是一個難題，這也是縱向聯(lián)盟帶來的新的難題。03安全多方計算解決方案安全多方計算什么是安全多方計算？怎么用它來解決這些難題？安全多方計算是一個密碼學(xué)的定義，它叫securemultipartycomputationMPC，它是可證明安全的，也就是說它有一個嚴(yán)格的安全定義，雙方想計算什么東西，除了這個計算的結(jié)果之外，中間的任何步驟都是不泄露任何數(shù)據(jù)內(nèi)容的。比如說a和b想一起算個f(a,b)，雙方就真的就只知道f(a,b)，其他任何東西，都是零泄露的。當(dāng)然它里面有細(xì)分，比如說有semihonestmodel跟maliciousmodel，這個就是具體技術(shù)問題，就不細(xì)講了。舉例子說明安全多方計算到底怎么做？比如說Alice跟Bob，他們分別擁有數(shù)據(jù)a和b，他們想進(jìn)行一個聯(lián)合的機(jī)器學(xué)習(xí)f(a,b)。這里我們不管它是縱向橫向總之它就有一堆數(shù)據(jù)a，它有一堆數(shù)據(jù)b就對了。安全多方計算MPC有很多種，我們這里是用基于秘密共享的例子，就是說用秘密共享的MPC方法怎么做這個建模。首先，a跟b會把他自己的這個數(shù)據(jù)進(jìn)行一個隨機(jī)拆分，比如a有一堆數(shù)據(jù)，生成了一堆隨機(jī)數(shù)，a減去這個隨機(jī)數(shù)，這個r是他本地生成的隨機(jī)數(shù)，同理，Bob他也會本地生成隨機(jī)數(shù)r'，那這個r跟r'先不告訴對方，那我就把這個數(shù)據(jù)分成了兩份，任意一份單拎出來看好像都是個nonsense的garbage，因?yàn)樗请S機(jī)的嘛，它減去隨機(jī)的也是個隨機(jī)的，然后，他們兩個人可以交換一下這個分量，比如說Bob把這個b-r'發(fā)給對方，Alice把這個r發(fā)給Bob。之后，我們稱這個數(shù)據(jù)集現(xiàn)在處于一個秘密共享的狀態(tài)，也就是說單方視角上他們看到的都是亂碼，只有雙方同意的情況下，把這兩個數(shù)據(jù)拼到一起，他才能知道最終的數(shù)據(jù)是什么。那么這個秘密共享狀態(tài)下的數(shù)據(jù)集，它的優(yōu)點(diǎn)就是它還是能夠計算的。我們怎么算a加b？其就是本地把這兩個分量相加。比如Alice算出了a加b減去這兩個東西，Bob就把這兩個東西加起來，可以看到這兩個東西如果拼在一起的話，它是可以得到a加b的。同理，我們也可以在秘密共享的狀態(tài)下做a乘b、a除b，agreaterthanb等等，協(xié)議會復(fù)雜一點(diǎn)，但是都是能做的。然后這些操作它構(gòu)成了整個機(jī)器學(xué)習(xí)的算法，比如說我可以在上面算一個f(a,b)，然后得到f(a,b)的秘密共享狀態(tài)，我們兩個人再商量一下，把這個拼起來，發(fā)現(xiàn)了f(a,b)是多少，同時中間的任何中間結(jié)果都是秘密共享狀態(tài)的，都是零泄漏的。WOE為例子，我們怎么來無泄漏的計算這個WOE呢？因?yàn)閃OE就是一個正負(fù)樣本的比值，正負(fù)樣本我不知道，但是知道標(biāo)簽的那一方可以發(fā)一個秘密共享的向量過來。比如，正樣本的就是1，負(fù)樣本的就是0，他把這個向量以秘密共享的方式發(fā)過來，我自己的這個向量跟這個秘密共享的向量進(jìn)行一個乘法，得到一個秘密共享的這個結(jié)果，這個秘密共享的結(jié)果就是這個正樣本的數(shù)。但是，它是秘密共享狀態(tài)的，所以我也不知道它是多少。之后，我可以進(jìn)行一個秘密共享的除法，可以再次進(jìn)行一個秘密共享的log。最后，如果我要是必要的話，我就把這個數(shù)據(jù)復(fù)原出來，比如算出WOE是0.9，然后這個過程中任何數(shù)據(jù)都是沒有泄露的，除了你要計算的那個WOE最終的結(jié)果。如果我們不用安全多方計算，用其他的自設(shè)方法來算WOE呢？比如說我們用半同態(tài)來算這個WOE，那邊把加密的0跟1發(fā)過來，這樣會泄露我每個分箱的樣本數(shù)目，比如我0~18歲有150個人，這個數(shù)據(jù)有樣本有標(biāo)簽的一方，不可避免的被他知道了，這個泄漏雖然少，但是中間肯定是有泄漏的。對于這兩個方法，因?yàn)槲覀儼踩喾接嬎愕某ǜ蛄績?nèi)積還是比較高效的，所以這個方法還是比較好的。安全多方計算不需要“數(shù)據(jù)對齊”就可以建模然后來到比較關(guān)鍵的數(shù)據(jù)對齊方面，雖然有PSI的數(shù)據(jù)對齊，但交集里面的用戶身份是不可避免的泄露，不過我們有方法可以在秘密共享的狀態(tài)下進(jìn)行匹配。比如說商家A持有用戶1與用戶2，商家B它持有用戶2與用戶3，然后他們可以把他們所有的數(shù)據(jù)都以秘密共享的形式分成兩份。大家有4個秘密共享的數(shù)據(jù)，誰也不知道哪個是誰，然后在這個秘密共享狀態(tài)下可以進(jìn)行匹配，得到一個秘密共享的結(jié)果。從4行得到了1行，但是大家只看見了4行變成1行，誰也不知道這一行是user2，最后得到了秘密共享狀態(tài)下的user2，然后秘密共享狀態(tài)的數(shù)據(jù)是可以進(jìn)行MPC建模的。這樣完美的保護(hù)了用戶的隱私，誰也不知道這是user2，user2呢也沒有讓任何人知道她是A的客戶還是B的客戶，那么這樣做有什么好處呢？我們可以下結(jié)論說我們這樣做是合規(guī)的。例如：我們以GDPR為例子，其第5條規(guī)定：對個人數(shù)據(jù)的處理不應(yīng)當(dāng)違反最初收集該數(shù)據(jù)時的初始目的，意思就是：用戶讓你干什么你就可以干什么，用戶沒答應(yīng)干什么你就不能干什么。嚴(yán)格來說對齊數(shù)據(jù)的處理這個過程，用戶是沒有同意商家A把我是你的注冊用戶這個信息告訴商家B的，所以，這個過程somehow是存在風(fēng)險的。但是GDPR也規(guī)定，統(tǒng)計用途是可以超出這個初始目的，很明顯建模是一個統(tǒng)計性的。比如，他在這個交集上建出一個模型，這個肯定是一個統(tǒng)計性的模型，也就是我們可以說秘密共享狀態(tài)下的數(shù)據(jù)對齊是合規(guī)的，這是安全多方計算的一個優(yōu)勢。具體的算法比較密碼學(xué)，大家可以參考一下Facebook最近發(fā)的一個blog，上面的方法就是在秘密共享狀態(tài)下進(jìn)行數(shù)據(jù)對齊，這是安全多方計算解決的第二個數(shù)據(jù)挑戰(zhàn)——怎么對齊數(shù)據(jù)。安全多方學(xué)習(xí)缺點(diǎn)安全多方計算有什么缺點(diǎn)呢？它的缺點(diǎn)就是它性能肯定是低于聯(lián)邦學(xué)習(xí)的，為什么這么說？因?yàn)槁?lián)邦學(xué)習(xí)中每個round總有一部分是可以本地算的，不需要網(wǎng)絡(luò)，然后算完之后再交互一次。但是安全多方計算，他每一個操作都需要交互，例如：每一個乘法，每一個比較都需要雙方的交互，也就是說它的性能可能是比較弱的。但是，目前在logisticregression這種簡單模型下，它的性能經(jīng)過我們的優(yōu)化已經(jīng)是完全可接受了。比如說萬級樣本百級特征可以10秒鐘跑完，我們?nèi)ツ陞⒓恿艘粋€iDASH的安全多方計算比賽，他的題目是：有三個醫(yī)院，每個醫(yī)院是有一些病人的數(shù)據(jù)，他們規(guī)定這個病人的數(shù)據(jù)是嚴(yán)格不能夠傳給別的醫(yī)院的，他們?nèi)齻€醫(yī)院想合作在這個數(shù)據(jù)上進(jìn)行一個建模，也就是說判斷某些基因的人可能/不可能得某些病，這樣數(shù)據(jù)越多建模是越準(zhǔn)確的。但是，由于合規(guī)問題，醫(yī)院之間不能互傳數(shù)據(jù)，所以比賽要求要使用安全多方計算來