报告分享 | 《联邦学习应用安全研究报告（2023年）》（附下载链接）

一是，跨机构应用是国内联邦学习应用的主要形态。目前国内联邦学习应用需求主要来自金融、医疗、政务等行业，实现的是跨“孤岛”的联合建模，即跨机构的联邦学习。跨机构联邦学习应用对性能和安全性方面的技术要求相对较低，这使得跨机构的联邦学习应用能够获得相对广泛的落地。

二是，中心化架构在联邦学习产品中占比最多。在技术架构方面，从总体上看中心化架构在各类联邦学习产品中占比最高，如图1所示。同时，联邦学习产品采用何种技术架构与其内置算法有关，部分联邦学习产品内置了多种算法以适应不同场景，因此出现了可同时支持中心化架构与去中心化架构的情况，如图 1。

图1：联邦学习产品架构总体分布统计

三是，半诚实敌手环境是当下联邦学习主要的应用环境。从参与方对联邦学习协议的遵守程度看，联邦学习的参与方可被划分为诚实参与方、半诚实敌手、恶意敌手；相应地，根据参与方的诚实程度，将联邦学习的应用环境划分为诚实环境、半诚实敌手环境和恶意敌手环境，如表1所示。国内联邦学习应用的参与方之间多存在信任基础，基于半诚实敌手假设的安全设计可以满足大部分联邦学习应用的安全需求。

表1：联邦学习应用的安全假设

四是，密码技术是当下联邦学习产品的主要安全保护技术。当前的联邦学习产品采取了多种安全技术手段来应对安全风险。图2展示了各类安全保护技术的使用占比情况，其中，绝大多数联邦学习产品使用了同态加密，使用率达到了95%以上，在各类安全保护技术中处于第一梯队；秘密分享、不经意传输、安全密钥交换等安全多方计算技术处于第二梯队，使用率均达到70%以上；差分隐私技术、其他加密（对称密码、非对称密码、Hash函数）和混淆电路技术的使用率分别为 60.7%、47.8%、30.4%，其他安全保护技术，如布隆过滤器、梯度扰动等，合在一起使用率达到43.5%。上述技术除差分隐私与“其他”技术外同属密码技术，可见密码技术是当前联邦学习产品的主流安全保护技术。

图2：联邦学习产品安全保护技术使用占比统计

一是，数据泄露类风险是联邦学习产品最易出现的安全风险。存储敏感信息未加密、用户隐私数据泄露、结果类数据泄露风险在各类安全风险中占比最高。

二是，联邦学习应用安全风险的隐蔽性高。一方面，联邦学习应用中多方交互的高复杂性造成了其安全风险不易被发现。另一方面，联邦学习引用不易进行安全审计。因此，联邦学习过程是否按照“原始设计”无误进行，不易发现和评估。

三是，协调方的存在为联邦学习应用带来了安全方面的不确定因素。协调方多为第三方，将敏感数据暴露给第三方是潜在的安全隐患，同时目前现实中难以找到诚实可信的第三方担任协调方角色，且协调方程序的部署易受到机构间合作关系的影响而导致安全风险。

四是，联邦学习应用的安全保护强度与性能要求在一定程度上相互制约。一方面，高强度的安全保护往往制约了联邦学习应用的性能，另一方面，可用性要求迫使联邦学习应用在实际中降低部分安全配置。

五是，联邦学习应用安全相关标准尚未健全。当下各类联邦学习应用对安全尺度的把控不统一，同时当下已发布的安全标准主要集中于产品的安全要求上，联邦学习应用部署、运营阶段的安全标准较少。