Decentralized Privacy-Preserving Federal Learning of Computer Vision Models on Edge Devices
作者: Damian Harenčák, Lukáš Gajdošech, Martin Madaras
分类: cs.CR, cs.CV
发布日期: 2026-01-08
备注: Accepted to VISAPP 2026 as Position Paper
💡 一句话要点
研究边缘设备上计算机视觉模型联邦学习的去中心化隐私保护方法
🎯 匹配领域: 支柱五:交互与反应 (Interaction & Reaction)
关键词: 联邦学习 隐私保护 边缘计算 计算机视觉 梯度压缩 梯度加噪 同态加密 分割网络
📋 核心要点
- 联邦学习在保护数据隐私方面有优势,但服务器和恶意客户端仍可能通过模型参数推断隐私数据,存在安全隐患。
- 本文研究了同态加密、梯度压缩、梯度加噪等多种隐私保护方法,并探讨了拆分学习、群体学习等改进联邦学习系统的应用。
- 实验分析了梯度压缩和梯度加噪对卷积神经网络精度的影响,并验证了分割网络数据重建的难度,同时在边缘设备上进行了概念验证。
📝 摘要(中文)
机器学习模型的协同训练存在共享敏感或隐私数据的风险。联邦学习通过仅共享每个客户端本地模型的更新参数,而无需共享客户端数据,提供了一种集体训练单个全局模型的方法。中央服务器用于聚合来自所有客户端的参数,并将聚合后的模型重新分发给客户端。最近的研究表明,即使在这种情况下,也可以仅使用模型参数信息来重建私人数据。目前缓解这种情况的努力主要集中在降低服务器端的隐私风险,假设其他客户端不会恶意行事。本文分析了各种用于提高神经网络客户端数据隐私的方法,涉及服务器和其他客户端。这些方法包括同态加密、梯度压缩、梯度加噪,以及对诸如拆分学习、群体学习或完全加密模型等改进的联邦学习系统的可能用法的讨论。我们分析了梯度压缩和梯度加噪对用于分类的卷积神经网络精度的负面影响。我们展示了分割网络中数据重建的难度。我们还在边缘设备中使用的NVIDIA Jetson TX2模块上实现了一个概念验证,并模拟了联邦学习过程。
🔬 方法详解
问题定义:联邦学习虽然避免了直接共享原始数据,但模型参数的共享仍然存在隐私泄露的风险。现有的隐私保护方法主要集中在服务器端,忽略了恶意客户端可能发起的攻击。此外,如何在边缘设备上高效地实现隐私保护的联邦学习也是一个挑战。
核心思路:本文的核心思路是研究多种隐私保护技术在联邦学习中的应用,并分析它们对模型性能的影响。通过结合不同的隐私保护机制,例如同态加密、梯度压缩和梯度加噪,来增强联邦学习系统的安全性,同时考虑边缘设备的计算能力限制。
技术框架:该研究的技术框架主要包括以下几个阶段:1) 分析现有联邦学习系统的隐私风险;2) 研究和选择合适的隐私保护技术,如同态加密、梯度压缩和梯度加噪;3) 将这些技术应用于联邦学习过程中的模型参数更新和共享;4) 在边缘设备上进行实验,评估隐私保护技术对模型性能的影响;5) 探讨改进的联邦学习系统,如拆分学习和群体学习,以进一步增强隐私保护。
关键创新:本文的关键创新在于对多种隐私保护技术在联邦学习中的适用性进行了全面的分析和实验评估,特别是在边缘设备上的应用。此外,本文还探讨了改进的联邦学习系统,如拆分学习和群体学习,以进一步增强隐私保护,并分析了梯度压缩和梯度加噪对分割网络数据重建的难度。
关键设计:论文分析了梯度压缩和梯度加噪对卷积神经网络分类精度的影响,并研究了它们在分割网络中的应用。具体的技术细节包括:梯度压缩的压缩率、梯度加噪的噪声水平、以及同态加密的具体方案选择。此外,论文还在NVIDIA Jetson TX2模块上进行了实验,模拟了联邦学习过程,验证了所提出的隐私保护方法的有效性。
📊 实验亮点
论文在NVIDIA Jetson TX2边缘设备上进行了概念验证,模拟了联邦学习过程,验证了所提出的隐私保护方法的有效性。实验分析了梯度压缩和梯度加噪对卷积神经网络分类精度的影响,并展示了分割网络中数据重建的难度。这些实验结果为实际部署隐私保护的联邦学习系统提供了重要的参考。
🎯 应用场景
该研究成果可应用于医疗影像分析、自动驾驶、智能监控等需要保护用户隐私的领域。通过在边缘设备上实现隐私保护的联邦学习,可以在不泄露用户数据的前提下,训练出高性能的计算机视觉模型,从而提升相关应用的智能化水平,并促进人工智能技术在各个行业的应用。
📄 摘要(原文)
Collaborative training of a machine learning model comes with a risk of sharing sensitive or private data. Federated learning offers a way of collectively training a single global model without the need to share client data, by sharing only the updated parameters from each client's local model. A central server is then used to aggregate parameters from all clients and redistribute the aggregated model back to the clients. Recent findings have shown that even in this scenario, private data can be reconstructed only using information about model parameters. Current efforts to mitigate this are mainly focused on reducing privacy risks on the server side, assuming that other clients will not act maliciously. In this work, we analyzed various methods for improving the privacy of client data concerning both the server and other clients for neural networks. Some of these methods include homomorphic encryption, gradient compression, gradient noising, and discussion on possible usage of modified federated learning systems such as split learning, swarm learning or fully encrypted models. We have analyzed the negative effects of gradient compression and gradient noising on the accuracy of convolutional neural networks used for classification. We have shown the difficulty of data reconstruction in the case of segmentation networks. We have also implemented a proof of concept on the NVIDIA Jetson TX2 module used in edge devices and simulated a federated learning process.