跳转至

Mitigating Privacy-Utility Trade-off in Decentralized Federated Learning via f-Differential Privacy

会议: NeurIPS 2025
arXiv: 2510.19934
代码: https://github.com/lx10077/PN-f-DP (有)
领域: AI Safety / Federated Learning
关键词: 去中心化联邦学习, f-差分隐私, 隐私放大, 随机游走, 关联噪声

一句话总结

提出基于 f-DP 框架的两种去中心化联邦学习隐私记账方法——PN-f-DP 和 Sec-f-LDP,通过更精细的假设检验隐私度量,一致性地获得比 Rényi DP 更紧的隐私界,从而在相同隐私保证下减少噪声注入、提升模型效用。

研究背景与动机

去中心化联邦学习(Decentralized FL)允许用户在无中心服务器的情况下协作训练模型,但模型更新仍可能泄露敏感信息。差分隐私(DP)是标准的形式化隐私保护框架,核心挑战在于隐私记账(privacy accounting)——精确量化多轮训练中的累计隐私损失。更精确的记账意味着可以在相同隐私保证下注入更少噪声,提升模型实用性。

现有的去中心化 FL 隐私分析主要依赖 Rényi DP (RDP),但 RDP 在迭代算法中的界往往较松。同时,去中心化场景中存在多种隐私放大机制(通信稀疏性、本地迭代、随机游走),如何统一地捕捉这些放大效应是关键难题。

本文的核心 idea 是:用 f-DP 框架(基于假设检验的隐私度量)替代 RDP 进行去中心化 FL 的隐私记账。f-DP 的优势在于其无损组合(lossless composition)特性和对混合机制的联合凹性(joint concavity),能更紧地捕捉去中心化通信、本地迭代和随机游走带来的隐私放大。

方法详解

整体框架

针对两种代表性的去中心化 DP-SGD 算法,分别提出对应的 f-DP 隐私分析: - Algorithm 1(随机游走通信的去中心化 DP-SGD):用 PN-f-DP(Pairwise Network f-DP)分析 - Algorithm 2(关联噪声的 DecoR):用 Sec-f-LDP(Secret-based f-Local DP)分析

关键设计

  1. PN-f-DP(Pairwise Network f-DP, Definition 3.1/3.2)

    • 量化用户对之间的隐私泄露,核心思想是:在去中心化网络中,攻击者 j 只能观察到特定时间传递到 j 的模型状态,而非所有中间状态
    • 用户 i 到用户 j 的隐私泄露由 trade-off 函数 f_ij 下界刻画
    • 支持用户级(整个数据集差异)和记录级(单条数据差异)两种粒度

  2. 随机游走的混合分布分析(Lemma 4.1)

    • 模型通过随机游走从用户 i 传到用户 j,j 首次观察到模型的时间 t 服从 hitting time 分布
    • 利用 trade-off 函数的联合凹性(joint concavity),将整体隐私损失下界为各时间步trade-off的凸组合
    • 关键改进:用 hitting time 分布 w_ij^t = P[τ_ij=t] 作为权重,而非前人使用的矩阵幂 (W^t)_ij,更精确地建模通信时序

  3. 迭代隐私放大(Lemma 4.2/4.3)

    • 强凸损失:利用 shifted interpolated process 方法,得到 GDP 界 f_ij^t ≥ G_{μ_t},其中 μ_t 随迭代时间 t 和收缩因子 c 衰减
    • 非凸损失:使用标准组合规则,得到更保守但仍有效的界
    • K≥1 的本地更新扩展了只分析 K=1 的前人工作

  4. 最终组合(Theorem 4.1):利用马尔可夫链的 Hoeffding 型集中不等式,以高概率约束用户 j 被访问的次数上限 ⌈(1+ζ)T/n⌉,然后通过 tensor product 组合各次访问的 trade-off 函数。

  5. Sec-f-LDP(Theorem 4.2):针对 DecoR 算法,用户对共享秘密并注入关联噪声。在 honest-but-curious 威胁模型下,通过分析关联噪声和独立噪声的组合效应,得到 SecGDP 保证,其中 μ 依赖于图的 Laplacian 矩阵第二大特征值。

损失函数 / 训练策略

DP-SGD 训练过程中,每步对梯度进行裁剪(灵敏度 Δ)后加高斯噪声。本文不改变训练过程,而是通过更紧的隐私记账来减少所需噪声:在达到相同 (ε,δ)-DP 保证时,f-DP 方法计算出更小的噪声方差 σ²。

实验关键数据

主实验

数据集 / 图结构 ε RDP 准确率 RDP (HT) 准确率 PN-f-DP (本文) 提升
MNIST / Complete 10 0.867 0.884 0.891 +2.4%
MNIST / Complete 5 0.813 0.852 0.869 +5.6%
MNIST / Expander 10 0.797 0.823 0.854 +5.7%
MNIST / Expander 5 0.647 0.706 0.792 +14.5%

消融实验

隐私记账方法 Hypercube 图 ε (δ=10⁻⁵) 说明
PN-RDP 较大 标准 Rényi DP 基线
PN-RDP (Exact HT) 中等 使用精确 hitting time 的改进 RDP
PN-f-DP (本文) 最小 f-DP 一致性地给出最紧界

关键发现

  • 在几乎所有节点对上,PN-f-DP 给出的 ε 值都小于 PN-RDP,且差距在图连接稀疏时更大(如 Expander 图上提升最为显著)
  • 隐私预算 ε 越小(隐私要求越严格),f-DP 的优势越明显,因为此时噪声减少带来的效用改善更加珍贵
  • 关联噪声场景下,Sec-f-LDP 在 Ring 和 2D Torus 拓扑上都优于 SecLDP 和 Local DP

亮点与洞察

  • 统一框架:f-DP 的假设检验视角为去中心化 FL 中多种隐私放大机制提供了统一且更紧的分析工具
  • Hitting time 建模:用随机游走的首达时间分布替代矩阵幂作为混合权重,即使转回 RDP 也能得到改进的界
  • 无损组合:f-DP 通过 tensor product 组合避免了 RDP 组合中的松弛损失

局限与展望

  • 最终界缺乏闭式解,需要数值计算(使用 numerical composition 方法)
  • 分析假设转移矩阵 W 不可约、非周期、对称,可能不适用于所有实际网络拓扑
  • 目前专注于凸/非凸优化的理论分析,对现代大模型(如 LLM)的实际验证有待拓展
  • 信息论下界(是否已达到最紧可能的界)仍是开放问题

相关工作与启发

  • vs PN-RDP (Cyffers et al.): 同样使用 pairwise network 框架,但本文用 f-DP 替代 RDP,获得更紧的组合界和对隐私放大的更精细捕捉
  • vs SecLDP (Allouah et al.): 扩展到 f-DP 框架后,在同等 collusion 模型下给出更紧的 GDP 界
  • vs Federated f-DP (Zheng et al.): 本文的 PN-f-DP 额外捕捉了去中心化、随机游走和迭代通信带来的隐私放大

评分

  • 新颖性: ⭐⭐⭐⭐ 将 f-DP 框架系统性地引入去中心化 FL,提出两种新隐私概念
  • 实验充分度: ⭐⭐⭐⭐ 合成图和真实分类任务都有验证,但规模偏小
  • 写作质量: ⭐⭐⭐⭐ 理论推导严谨但符号密集,需要较强的 DP 背景
  • 价值: ⭐⭐⭐⭐ 为去中心化 FL 隐私分析提供了更优工具,实际影响取决于框架的可扩展性

相关论文