(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211043092.2 (22)申请日 2022.08.29 (71)申请人 成都安恒信息技 术有限公司 地址 610000 四川省成 都市自由贸易试验 区成都高新区天府 大道北段1480号高 新孵化园6号楼1 10室 (72)发明人 曹潆方　熊虎　张敏　姜毅　刘韬　 (74)专利代理 机构 成都君合集专利代理事务所 (普通合伙) 51228 专利代理师 张鸣洁 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/40(2022.01) H04L 9/08(2006.01) G06N 3/02(2006.01)G06N 3/08(2006.01) G06F 21/60(2013.01) (54)发明名称 一种基于SM9算法的隐私保护的联邦学习方 法 (57)摘要 本发明涉及网络安全和联邦学习技术领域， 公开了一种基于SM9算法的隐私保护的联邦 学习 方法， 包括： 在联邦学习架构中构建评估服务器， 构建后的联邦学习架构中含有三个实体对象， 分 别为训练参与者， 中心服务器以及评估服务器； 将训练参与者发送的模型数据进行评估验证， 剔 除掉恶意参与者的毒化数据， 并将SM9标识密码 算法嵌入 联邦学习的框架之中； 训练参与者针对 指定组的评估服务器ID进行模型加密， 并将签名 后的加密数据连同签名一起发送给中心服务器， 中心服务器将通过签名验证的加密模型数据分 发给对应组中的评估服务器； 评估服务器在不知 道数据来源的前提下对数据进行解密并评估。 本 发明用于解决联邦学习过程中可能存在的推理 攻击与毒化 攻击。 权利要求书2页 说明书8页 附图2页 CN 115442050 A 2022.12.06 CN 115442050 A 1.一种基于SM9算法的隐私保护的联邦学习方法， 其特 征在于， 包括以下步骤： 步骤S1， 在联邦学习架构中构建评估服务器， 构建后的联邦学习架构中含有三个实体 对象， 分别为训练参与者， 中心服 务器以及评估服 务器； 步骤S2， 将训练参与者发送的模型数据进行评估验证， 剔除掉恶意参与者的毒化数据， 并将SM9标识密码算法嵌入联邦学习的框架之中； 训练参与者针对指定组的评估服务器ID 进行模型加密， 并将签名后的加密数据连同签名一起发送给中心服务器， 中心服务器将通 过签名验证的加密模型 数据分发给对应组中的评估服 务器； 步骤S3， 评估服 务器在不知道数据来源的前提下对数据进行解密并评估。 2.根据权利要求1所述的一种基于SM9算法的隐私保护的联邦学习方法， 其特征在于， 所述步骤S1包括： 允许训练参与者针对特定某 组的评估服务器公钥加密模型梯度 数据， 评估服务器获取 加密梯度数据并利用自己的组私钥进行解密， 以此对梯度数据进行评估从而剔除毒化数 据， 并且评估服 务器不与训练参与者 合谋； 训练参与者在加密模型数据时生成掩码， 并通过加密掩码与模型数据的加和实现对模 型梯度数据的加密； 训练参与者在上传更新的加密模型数据时需要对数据进行签名， 中心服务器收到签名 后对数据进行验证， 通过验证后确认该参与者是合法参与者； 在一轮联邦学习结束时， 只有合法参与者可以收到该轮的全局聚合模型， 并参与下一 轮的联邦学习。 3.根据权利要求2所述的一种基于SM9算法的隐私保护的联邦学习方法， 其特征在于， 所述步骤S2包括： 步骤S21， 建立本地系统， 本地系统生成必要的参数， 使用加密密钥生成算法和签名密 钥生成算法生成密钥并完成机器学习模型的参数初始化； 步骤S22， 获取子模型， 训练参与者将子模型发送给中心服务器， 并由中心服务器分发 给评估服 务器的过程中剔除不 合法训练参与者， ； 步骤S23， 评估服 务器合法训练参与者模型进行评估计算权 重； 步骤S24， 加权聚合， 完成联邦学习的一轮迭代。 4.根据权利要求3所述的一种基于SM9算法的隐私保护的联邦学习方法， 其特征在于， 所述步骤S21包括： 中心服务器在本地生成系统参数， 密钥生成中心生成训练参与者ID  以及评估服务器 的组ID， 训练参与者调用签名密钥生成算法生成自己的签名私钥， 训练参与者以及评估服 务器调用加密 密钥生成算法生成各自的加密组私钥； 中心服务器将机器学习模型初始化 参数； 将机器学习模型参数信 息发送给每个训练参与者与评估服务器， 所述机器学习 模型参 数信息包括机器学习模型的学习率和本地系统的迭代次数。 5.根据权利要求3所述的一种基于SM9算法的隐私保护的联邦学习方法， 其特征在于， 所述步骤S22包括： 训练参与者利用本地数据对全局模型进行训练得到子模型， 训练参与者将子模型发送 给中心服 务器， 并由中心服 务器分发给评估服 务器；权　利　要　求　书 1/2 页 2 CN 115442050 A 2使用SM9的加密算法在训练参与者端对训练后的本地模型数据进行隐私化处理来抵御 联邦学习过程中的推理攻击； 在训练参与者发送信息的过程中添加SM9 的签名与签名验证算法， 训练参与者调用签 名算法对发送至中心服务器的数据进 行签名， 中心 服务器收到签名调用签名验证算法对训 练参与者身份进行验证， 从而剔除不 合法训练参与者。 6.根据权利要求3所述的一种基于SM9算法的隐私保护的联邦学习方法， 其特征在于， 所述步骤S23包括： 通过评估服务器合法训练参与者模型进行评估， 生成相应权重， 通过加权聚合剔除毒 化数据； 中心服务器在保证负载均衡的前提下为每 个模型在组内随机分配评估服 务器。 7.根据权利要求3所述的一种基于SM9算法的隐私保护的联邦学习方法， 其特征在于， 所述步骤S24包括： 评估服务器将本地所有子模型进行加权聚合， 实现联邦学习的抗毒化攻击， 最后将聚 合结果发送给中心服 务器聚合， 完成联邦学习的一轮迭代。 8.根据权利要求1所述的一种基于SM9算法的隐私保护的联邦学习方法， 其特征在于， 所述步骤S3包括： 评估服务器解密模型数据后对数据进行评估， 将达到标准的模型数据聚合后返还给中 心服务器。权　利　要　求　书 2/2 页 3 CN 115442050 A 3