(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 20221081689 9.9 (22)申请日 2022.07.12 (71)申请人 华东师范大学 地址 200241 上海市闵行区东川路5 00号 (72)发明人 王高丽　张雨琦　 (74)专利代理 机构 上海麦其知识产权代理事务 所(普通合伙) 31257 专利代理师 董红曼 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/06(2006.01) H04L 9/32(2006.01) G06N 3/08(2006.01) (54)发明名称 一种基于多方安全计算的可验证梯度安全 聚合方法及系统 (57)摘要 本发明公开了一种基于多方安全计算的可 验证梯度安全聚合方法， 包括用户在梯度上传过 程中通过双层掩码方案来保护梯度的机密性， 结 合Shamir门限方案和Diffe ‑Hellman密钥协商算 法后， 服务器通过聚合公式得到聚合结果， 其中 包括梯度聚合结果和消息验证码聚合结果； 在验 证阶段， 通过Paillier同态加密算 法实现了 具有 加同态性质的验证码,服务器可以通过秘密共享 方案重构出所有在线用户的验证码并相乘得 MACs， 用户本地同样可以对服务器最终的聚合结 果进行Paillier同态加密得到MACs ’， 其结果与 服务器计算的乘积进行对比， 以确保聚合结果未 被篡改。 本发 明可以保证联邦学习聚合过程中用 户梯度的机密性， 确保聚合结果的正确性与完整 性， 在降低通信与计算开销的同时， 提高了模型 的准确率。 权利要求书2页 说明书8页 附图2页 CN 115189950 A 2022.10.14 CN 115189950 A 1.一种基于多方安全计算的可验证梯度安全聚合方法， 其特 征在于， 包括以下步骤： 步骤A， 初始化阶段： 用户在本地完成模型参数和密钥对的初始化， 同时为了后面对聚合结果进行验证， 初 始化阶段用户从密钥空间选取用以消息验证的密钥； 步骤B， 训练阶段： 用户在本地进行模型训练， 在每轮训练中计算梯度， 并将真实梯度值作为明文， 根据 Paillier加密算法计算得到验证码 MAC， 随后对梯度加双层掩码 达到保护梯度的目的， 后将 扰乱后的梯度上传给聚合 服务器； 步骤C， 聚合阶段： 用户将扰乱后的梯度上传给聚合服务器后， 聚合服务器将扰乱后的梯度进行聚合， 其 后聚合服务器将聚合结果发给 各个用户； 步骤D， 聚合结果验证及模型 更新阶段： 服务器通过秘密共享恢复所有在线用户u的验证码MACu， 并计算所有用户的MAC值的乘 积MACs； 同时用户在本地利用Paillier同态加密算法对服务器 返回的聚合结果加密得到密 文MACs’， 验证MACs与MACs ’是否相等， 相等即为验证成功。 2.如权利要求1所述的基于多方安全计算的可验证梯度安全聚合方法， 其特征在于， 所 述步骤A进一 步包括： 步骤A1， 参数初始化： 给定安全参数k， 用户数量 n， 秘密共享门限值t； 步骤A2， 模型初始化： 用户在本地初始化神经网络模型； 步骤A3， 密钥的初始化。 3.如权利要求1所述的基于多方安全计算的可验证梯度安全聚合方法， 其特征在于， 所 述步骤B进一 步包括： 步骤B1， 计算梯度： 用户根据损失函数对 模型参数求 导得到梯度； 步骤B2， 计算验证码： 用户u根据私钥和真实梯度值计算出自身的消息验证码； 步骤B3， 数据上传： 用户u上传数据给服 务器， 服务器将信息列表广播给 所有用户； 步骤B4， 密钥共享： 用户u接收到服务器广播后， 将私钥、 MA C值和随机 数种子bu秘密共享给其他任 意用户v， 此时用户v利用其与用户u密钥协商 出来的密钥对 数据进行加密并发送到服务器， 服务器接 收后将密文列表广播； 步骤B5， 对梯度进行双 层掩码的覆盖： 单层掩码： 用户两两之间协商一个随机向量su,v， 用以扰乱用户的原始梯度； 双层掩码 为在单层掩码的基础上 再加一个随机数种子bu。 4.如权利要求3所述的基于多方安全计算的可验证梯度安全聚合方法， 其特征在于， 所 述步骤C进一 步包括：权　利　要　求　书 1/2 页 2 CN 115189950 A 2步骤C1： 所有用户接收到服务器端发来的密文列表后， 用两两协商后的会话私钥解密 B4中的密文； 步骤C2： 用户u解密后， 发送其与所有在线用户的共享份额列表给服务器， 同时用户u会 将其与通信过程中退出训练的用户的私钥共享份额发送给服务器； 所述共享份额列 表为随 机数种子共享份额和MAC共享份额； 步骤C3： 服务器收集至少t个用户的列表， 通过重构算法重构出所有在线用户的随机数 种子和中途退出训练的用户u的私钥， 用户u使用重构出来的私钥和用户v的公钥重新计算 出u， v之间的随机向量 值,其中u ∈U2/U3， v∈U3； 步骤C4： 由步骤B 55的双掩码计算公式可知， yu中计算集合U2中的所有用户， 为防止用户 在后面的通信轮次中退出系统， 将中间退出 的用户的随机 向量值和在线用户的随机数b进 行重构， 即步骤C 3,C4， 并计入总的聚合公式； 步骤C5： 服务器将梯度的聚合结果广播给 所有在线用户。 5.如权利要求1所述的基于多方安全计算的可验证梯度安全聚合方法， 其特征在于， 所 述步骤D进一 步包括： 步骤D1： 服务器通过秘密共享重构出所有在线用户的MACu， 并计算MACu的乘积得到 MACs； 步骤D2： 用户在本地利用Paillier同态加密算法对服务器返回的聚合结果加密得到密 文MACs’， 验证服务器聚合后返回给用户的MACs与MACs'是否相等， 相等则返回accept； 聚合 过程中数据未被篡改时返回accept， 表示用户可以接受此聚合结果， 否则返回refuse， 此次 聚合失败， 开始下一次训练； 步骤D3： 最后， 在服务器聚合成功且用户验证聚合结果确定其未被篡改的双重条件下， 用户利用该聚合结果 来更新模型参数。 6.一种基于多方安全计算的可验证梯度安全聚合系统， 其特征在于， 包括： 存储器和处 理器； 所述存储器上存储有计算机程序， 当所述计算机程序被所述处理器执行时， 实现如权 利要求1‑5任一项所述的方法。 7.一种计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述计算机程序被 处理器执行时， 实现如权利要求1 ‑5任一项所述的方法。权　利　要　求　书 2/2 页 3 CN 115189950 A 3