(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111270844.4 (22)申请日 2021.10.2 9 (71)申请人 国网电力科 学研究院有限公司 地址 211106 江苏省南京市江宁经济技 术 开发区诚信大道19号 申请人 江苏瑞中数据股份有限公司 　 国网江苏省电力有限公司 　 国家电网有限公司大 数据中心 (72)发明人 粟勇　刘圣龙　江伊雯　刘文龙　 (74)专利代理 机构 南京苏高专利商标事务所 (普通合伙) 32204 代理人 柏尚春 (51)Int.Cl. G06F 21/60(2013.01) G06F 21/62(2013.01)G06N 20/00(2019.01) (54)发明名称 基于安全洗牌和差分隐私的联邦学习模型 安全防护方法及系统 (57)摘要 本发明公开了一种基于安全洗牌和差分隐 私的联邦 学习模型安全防护方法及系统， 联邦模 型拥有者利用差分隐私技术对联邦学习的模型 参数进行加噪声， 生成带噪声的模型参数， 之后 利用用户授权密钥和安全洗牌算法加密模型参 数， 并将加密的联邦学习模型参数发送给用户； 用户在本地使用联邦学习模型时， 首先利用用户 授权密钥和安全洗牌算法解密模 型参数密文， 得 到带噪声的联邦学习模型， 用户将自己的数据作 为该模型的输入就能得到期望的输出结果。 本发 明不仅保护了原始模型的隐私性， 可以有效保护 原始模型的安全、 保证用户能够得到可用的模型 使用结果。 权利要求书3页 说明书8页 附图1页 CN 113987539 A 2022.01.28 CN 113987539 A 1.一种基于安全洗牌和差分隐私的联邦学习模型安全防护方法， 其特征在于， 包括以 下步骤： (1)基于差分隐私高斯机制对联邦学习的模型参数进行加噪声， 生成带噪声的模型参 数； (2)利用用户授权密钥和安全洗牌算法对差分隐私加噪后的模型参数进行加密， 并将 加密的联邦学习模型参数发送给用户； (3)利用用户授权密钥和安全洗牌算法解密模型参数密文， 得到带噪声的联邦学习模 型； (4)将用户的数据作为带噪声的联邦学习模型的输入， 得到期望的输出 结果。 2.根据权利要求1所述的基于安全洗牌和差分隐私的联邦学习模型安全防护方法， 其 特征在于， 所述 步骤(1)实现过程如下： 联邦学习模型Π的参数构成一个m ×n的矩阵AΠ， 利用差分隐私中的高斯机制对矩阵AΠ 中的每个元素进行噪声处 理， 得到带噪声的联邦学习模型Π ′的参数矩阵A ′Π： A′Π(i， j)＝AΠ(i， j)+α     (1) 其中， 高斯机制提供松弛(ε， δ) ‑差分隐私， 噪声比例σ≥cΔs/ε， 常数 敏感度 高斯噪声分布α～N(0， σ2)满足 ( ε， δ )‑差分隐私， α 为矩阵中每一个数据所增加的噪声数值， 敏感度代表了查询函数s针对 相邻数据集的输出的最大不同。 3.根据权利要求1所述的基于安全洗牌和差分隐私的联邦学习模型安全防护方法， 其 特征在于， 所述 步骤(2)包括以下步骤： (21)读入m ×n的带噪声的联邦学习模型参数矩阵AΠ； (22)初始化逻辑映射控制参数s， d， f， g， 其中， s为混沌控制参数， d和f为逻辑映射控制 参数， 分别对xn、 yn进行映射， g为耦合项； 并初始迭代映射iter＝200， 给定密钥ke y＝{x， y}， 其中x和y是混沌映射的两个初始值； (23)以密钥key为初始值， 通过迭代映射m ×n+iter对混沌序列值， 舍弃iter对值， 得到 m×n对的混沌序列值， 并将其分别存 储于大小为m ×n的一维数组P和Q中： (24)对P和Q中的元素运行下面的安全洗牌算法1运算得到两个整数值的一维矩阵P ′和 Q′； (25)通过P ′和Q′进行排序生成两个长度 为m×n的一维伪随机序列矩阵P ″和Q″， 其元素 取值为[0， m×n‑1]内不等的整数； (26)对于一维随机序列P ″和Q″中的各元素P ″(k)和Q″(k)进行下列变换， 并将其映射为 大小为m×n的二维置乱 矩阵X、 Y； 权　利　要　求　书 1/3 页 2 CN 113987539 A 2其中， x(i， j)、 y(i， j)分别为 二维置乱 矩阵X、 Y的元 素； (27)利用置乱矩阵X先对矩阵AΠ进行置乱， 得到临时模型参数置乱中间结果； 再用Y对 临时模型参数置乱中间结果进 行位置置乱， 得到最终的带噪声的联邦学习模型参数置乱密 文。 4.根据权利要求1所述的基于安全洗牌和差分隐私的联邦学习模型安全防护方法， 其 特征在于， 所述 步骤(3)实现过程如下： (31)给定与加密过程相同的密钥key＝{x， y}， 由密钥x， y生成置乱 矩阵X、 Y； (32)利用置乱矩阵Y先对带噪声的联邦学习模型参数置乱密文进行置乱， 得到临时模 型参数置乱中间结果， 再用X对临 时模型参数置乱中间结果进 行位置置乱， 得到带噪声的参 数模型。 5.一种基于安全洗牌和差分隐私的联邦学习模型安全防护系统， 包括参数处理模块、 加密模块和解密 模块； 所述参数处理模块基于差分隐私高斯机制对联邦学习的模型参数进 行加噪声， 生成带噪声的模型参数； 所述加密模块利用用户授权密钥和 安全洗牌算法对差 分隐私加噪后的模型参数进行加密， 并将加密的联邦学习模型参数发送给用户； 所述解密 模块利用 用户授权密钥和安全洗牌 算法解密模型参数密文， 得到带噪声的联邦学习模型。 6.根据权利要求5所述的基于安全洗牌和差分隐私的联邦学习模型安全防护系统， 其 特征在于， 所述 参数处理模块工作过程如下： 联邦学习模型Π的参数构成一个m ×n的矩阵AΠ， 利用差分隐私中的高斯机制对矩阵AΠ 中的每个元素进行噪声处 理， 得到带噪声的联邦学习模型Π ′的参数矩阵A ′Π： A′Π(i， j)＝AΠ(i， j)+α   (1) 其中， 高斯机制提供松弛(ε， δ) ‑差分隐私， 噪声比例σ≥cΔs/ε， 常数 敏感度 高斯噪声分布α～N(0， σ2)满足 ( ε， δ )‑差分隐私， α 为矩阵中每一个数据所增加的噪声数值， 敏感度代表了查询函数s针对 相邻数据集的输出的最大不同。 7.根据权利要求5所述的基于安全洗牌和差分隐私的联邦学习模型安全防护系统， 其 特征在于， 所述加密模块工作过程如下： (S1)读入m ×n的带噪声的联邦学习模型参数矩阵AΠ； (S2)初始化逻辑映射控制参数s， d， f， g， 其中， s为混沌控制参数， d和f为逻辑映射控制 参数， 分别对xn、 yn进行映射， g为耦合项； 并初始迭代映射iter＝200， 给定密钥ke y＝{x， y}， 其中x和y是混沌映射的两个初始值； (S3)以密钥key为初始值， 通过迭代映射m ×n+iter对混沌序列值， 舍弃iter对值， 得到 m×n对的混沌序列值， 并将其分别存 储于大小为m ×n的一维数组P和Q中： (S4)对P和Q中的元素运行下面的安全洗牌算法1运算得到两个整数值的一维矩阵P ′和 Q′； (S5)通过P ′和Q′进行排序生成两个长度 为m×n的一维伪随机序列矩阵P ″和Q″， 其元素 取值为[0， m×n‑1]内不等的整数；权　利　要　求　书 2/3 页 3 CN 113987539 A 3