联邦学习通过保持原始数据去中心化并最大程度地减少暴露来解决数据安全问题。它不是将用户或设备的数据收集到中央服务器,而是在每个设备上本地训练模型。只有模型更新(例如梯度或参数)会发送到中央协调器,中央协调器会聚合这些更新以改进全局模型。这种方法确保敏感数据永远不会离开其原始位置,从而降低了泄露或未经授权访问的风险。例如,一个医疗保健应用可以利用多家医院的数据训练一个模型来预测患者预后,而无需任何医院直接共享患者记录。
为了进一步增强安全性,联邦学习通常会结合加密和安全聚合技术。来自本地设备的模型更新在传输前通常会进行加密,从而防止第三方拦截和逆向工程敏感信息。安全聚合协议(例如使用安全多方计算 (SMPC) 的协议)确保以一种方式组合各个更新,从而模糊特定设备的贡献。例如,使用联邦学习的移动键盘应用可以聚合数百万用户的打字模式以改进自动更正,而不会暴露任何个人的击键信息。即使中央服务器或通信通道遭到破坏,这些方法也有助于维护隐私。
然而,联邦学习并非万无一失。攻击者仍然可能通过成员推理或模型反演等技术,尝试从模型更新中推断出敏感数据。为了应对这种情况,可以应用差分隐私等额外的安全措施。差分隐私会向模型更新添加受控噪声,使信息统计上不可能追溯到单个数据点。例如,训练欺诈检测模型的金融机构可以利用这一点,确保特定用户的交易模式保持匿名。虽然联邦学习无法消除所有风险,但它将安全重点从保护原始数据转移到保护模型更新——这为开发者提供了一个更小、更易于管理的攻击面。