1. 阅读前需要知道的重要概念边缘计算 EC把计算资源部署在靠近终端设备的位置例如车联网、无人驾驶、智慧医疗中的路侧单元、边缘服务器等。优点是降低通信延迟和中心服务器压力。联邦学习 FL用户不上传原始数据只在本地训练模型把模型参数或梯度上传给服务器聚合。典型算法是FedAvg即服务器对用户模型更新求平均。模型参数隐私泄露即使不上传原始数据上传的梯度/模型参数也可能被用于成员推断、样本重构、属性推断等攻击。投毒攻击/拜占庭用户恶意用户上传错误、低质量或带后门的模型更新使全局模型精度下降或产生定向误分类。本文实验使用的是标签反转攻击。Shamir(t,n)门限秘密共享把一个秘密拆成n份至少t份才能恢复秘密少于t份无法获得秘密信息。本文用它把用户模型参数拆成份额发给多个边缘节点。拉格朗日插值Shamir 秘密共享的重构工具。只要获得足够份额就可以在多项式x0处恢复原秘密。双线性聚合签名基于双线性映射的签名机制可把多个签名聚合成一个短签名用于批量验证身份和数据完整性。本文用它减少用户和边缘节点认证开销。区块链提供不可篡改、去中心化、可追溯的执行环境。本文用区块链替代中心服务器负责注册、验证、筛选恶意更新和聚合模型。Multi-Krum 鲁棒聚合一种抗拜占庭聚合算法。思想是正常用户的模型更新彼此距离较近恶意更新通常距离较远因此根据更新之间的欧氏距离计算质量分数选择分数低的更新参与聚合。半诚实模型参与方会按协议执行但会试图从收到的信息中推断隐私。本文假设边缘节点是半诚实的。2. 问题场景与关键问题论文面向的是边缘计算场景下的联邦学习。系统由三类实体组成终端用户、边缘节点、区块链。用户在本地训练模型把模型参数以秘密共享份额形式上传给附近边缘节点边缘节点辅助计算区块链完成恶意更新筛选和全局聚合。该场景需要解决的关键问题有模型参数隐私保护用户不上传原始数据仍不够模型参数本身也可能泄露训练数据隐私。不可信中心服务器问题传统 FL 依赖中心服务器聚合服务器可能偷懒、伪造聚合结果、返回错误模型且存在单点故障。恶意用户投毒问题参与训练的用户可能上传有毒更新破坏全局模型准确率。外部冒充与数据篡改问题攻击者可能冒充合法用户或边缘节点上传伪造数据。边缘节点退出或故障问题边缘环境中节点不稳定需要保证部分边缘节点掉线时仍可聚合。通信与计算压力问题终端设备资源有限不能承担过重的加密、验证和通信负载。3. 论文创新点用区块链替代中心服务器做聚合避免中心服务器作恶、返回错误结果和单点故障。把秘密共享引入边缘联邦学习上传过程用户模型参数不直接暴露给边缘节点而是拆分成份额上传。在不暴露模型参数的情况下检测投毒更新边缘节点只计算份额之间的欧氏距离区块链重构模型更新之间的距离再用 Multi-Krum 筛除恶意更新。加入身份合法性和数据完整性认证用户和边缘节点上传数据时都带签名区块链或边缘节点可验证来源和完整性。使用双线性聚合签名降低验证开销批量验证多个签名减少认证过程的计算成本。支持边缘节点退出容错基于(t,n)门限秘密共享只要至少t个边缘节点上传份额就能完成重构最多允许n-t个边缘节点退出。兼顾隐私保护与投毒防御实验中当投毒用户比例为 30% 时本文算法准确率为 94.2%接近无投毒 FedAvg 的 97.8%明显高于投毒场景下 FedAvg 的 68.7%。4. 论文算法步骤下面以一个区域r1为例。设用户为u1...um边缘节点为e1...en秘密共享门限为t当前全局模型为。阶段一注册阶段边缘节点选择身份生成私钥和公钥。边缘节点获取时间戳对身份和时间戳签名。边缘节点向区块链发送。区块链验证时间戳有效性并验证签名通过则注册边缘节点。用户选择身份生成私钥和公钥。用户获取时间戳生成签名。用户向区块链发送。区块链验证时间戳和签名通过则注册用户。注册成功的用户向区块链缴纳押金。区块链保存合法用户和边缘节点信息边缘节点下载固定序列和当前全局模型并下发给本区域用户。阶段二用户本地训练与上传算法 1每轮训练开始用户下载当前全局模型Δw_G^T。用户在本地数据集上训练得到本地模型更新。用户构造t-1阶秘密共享多项式其中秘密是。对每个边缘节点用户计算份额。用户对份额签名。用户向边缘节点发送。重复上述过程直到达到训练轮数或模型收敛。阶段三边缘节点辅助计算边缘节点接收所有用户上传的份额消息。边缘节点验证用户身份和时间戳。边缘节点使用聚合签名等式批量验证所有用户签名。如果批量验证失败则逐个验证签名找出非法消息。对通过验证的用户边缘节点计算用户份额之间的欧氏距离。边缘节点对距离结果签名。边缘节点向区块链上传。阶段四区块链聚合算法 2区块链接收边缘节点上传的距离份额。区块链验证边缘节点身份和时间戳。区块链批量验证边缘节点签名验证失败时可逐个定位异常消息。区块链收集至少K ≥ t个边缘节点上传的。区块链用拉格朗日插值重构用户模型更新之间的距离。区块链运行 Multi-Krum对每个用户更新i找出距离它最近的m-z-2个更新。把这些距离求和作为质量评分s(i)。选择质量评分最低的m-z个用户作为合法更新列表L。区块链扣除被判定为投毒用户的押金并把押金分给诚实用户。边缘节点从区块链下载合法用户列表L。每个边缘节点在本地计算合法用户份额和。边缘节点对签名并上传给区块链。区块链验证的签名。区块链收集至少t个合法后用拉格朗日插值在x0处恢复聚合结果即新的全局模型。边缘节点从区块链下载新全局模型并下发给本区域用户。用户进入下一轮训练直到模型收敛或达到最大轮数。5. 可能的改进创新点结合隐私保护保护“距离信息”本身的隐私论文认为模型更新之间的欧氏距离不会泄露具体模型参数但在小规模群体或高维几何信息充足时距离矩阵可能暴露用户相似性、数据分布、异常身份等信息。 场景跨医院罕见病诊断。即使不泄露模型参数距离信息也可能暴露某医院数据分布特殊。 改进只在安全多方计算中完成 Multi-Krum不公开距离或对距离加入可控差分隐私噪声或只公开最终合法列表不公开完整距离矩阵。从半诚实边缘节点扩展到恶意边缘节点本文假设边缘节点诚实计算距离和份额和但现实中边缘服务器可能被攻陷。 场景车联网路侧边缘节点被攻击者控制上传伪造距离使恶意车辆更新被选中。 改进加入可验证计算、零知识证明、承诺机制要求边缘节点证明和是由收到的份额正确计算得到的。增强抗投毒能力特别是非独立同分布和后门攻击Multi-Krum 对数据非 IID、协同投毒、后门攻击和高比例恶意用户并不总是稳健论文实验中投毒比例 50% 时算法不能收敛。 场景智能交通中不同区域车辆数据分布天然不同正常更新也可能彼此距离较远容易被误判。 改进结合 Bulyan、Trimmed Mean、Median、FLTrust、聚类式鲁棒聚合、后门检测或信誉权重机制区分“正常异质性”和“恶意异常”。引入差分隐私防御推断攻击秘密共享保护传输和聚合过程但最终全局模型仍可能遭受成员推断、属性推断。 场景医疗、金融、移动输入法模型发布后攻击者通过查询模型判断某用户是否参与训练。 改进在聚合后的全局更新上加入中心化差分隐私噪声并做隐私预算跟踪也可以结合个性化 DP对敏感用户或小样本机构使用更强保护。设计更完整的隐私保护激励机制论文只提到扣除投毒用户押金并分配给诚实用户但结语也指出奖惩机制还不充分。 场景移动众包感知中用户可能搭便车、低质量训练或频繁退出。 改进引入链上信誉、贡献度评估、隐私保护积分、零知识信誉证明既奖励高质量贡献又不公开用户真实身份和数据分布。降低区块链开销与链上隐私风险把距离、签名和聚合过程大量放到链上可能带来延迟、吞吐瓶颈和公开账本隐私问题。 场景工业物联网或车联网需要秒级模型更新链上计算过慢。 改进链下执行距离计算和鲁棒筛选链上只保存哈希、承诺、证明和最终结果可结合 Layer 2、状态通道、联盟链或可信执行环境。支持动态用户退出和异步训练论文主要考虑边缘节点退出对移动用户掉线、异步上传、迟到更新讨论较少。 场景手机、车载设备、无人机网络连接不稳定。 改进加入用户级 dropout-resilient secure aggregation、异步 FL、迟到更新衰减权重和隐私保护重连机制。面向个性化联邦学习的隐私保护扩展全局单一模型不一定适合强异质数据。 场景不同医院、不同城市交通、不同工厂设备状态差异明显。 改进在秘密共享和区块链框架下加入个性化 FL、聚类 FL、FedProx/SCAFFOLD 等方法同时隐藏用户所属簇或机构特征避免通过聚类结果泄露隐私。