一种基于生成对抗图像变换的隐私保护联邦学习方法技术

本发明专利技术公开了一种基于生成对抗图像变换的隐私保护联邦学习方法，包括：步骤11，本地用户共享生成对抗图像变换模型和本地模型结构并初始化参数；步骤12，用本地数据集训练生成对抗图像变换模型，用其将本地数据集的原始图像转为加密图像，并保持图像类别标签；步骤13，用加密图像和对应类别标签训练并更新本地模型，将训练好的本地模型加密梯度上传到服务器；步骤14，服务器聚合参本地用户上传的加密梯度更新全局模型；步骤15，本地用户从服务器下载更新的全局模型，用本地加密图像集合验证其准确度是否大于预设值，若是完成隐私保护联邦学习训练过程，若否重复执行步骤13和14。该方法较好地平衡了联邦学习全局模型准确度和用户数据隐私保护性能。用户数据隐私保护性能。用户数据隐私保护性能。

【技术实现步骤摘要】
一种基于生成对抗图像变换的隐私保护联邦学习方法


[0001]本专利技术涉及联邦学习领域，尤其涉及一种基于生成对抗图像变换的隐私保护联邦学习方法。

技术介绍

[0002]联邦学习允许多个本地用户通过向服务器共享参数的方式联合训练全局模型，避免直接向服务器共享本地数据集中的原始数据，在一定程度上保护了本地用户数据蕴含的隐私信息。但是，现有的针对梯度的重构攻击方法通过分析作为共享参数的本地模型梯度，可以高质量地重构本地数据集中的原始数据，对本地用户数据隐私保护带来了极大的挑战。
[0003]有鉴于此，特提出本专利技术。

技术实现思路

[0004]本专利技术的目的是提出一种基于生成对抗图像变换的隐私保护联邦学习方法，能防止通过分析作为共享参数的本地模型梯度以重构本地数据集中的原始数据，保护本地用户数据隐私，从而解决现有技术中存在的技术问题。
[0005]本专利技术的目的是通过以下技术方案实现的：
[0006]一种基于生成对抗图像变换的隐私保护联邦学习方法，包括如下步骤：
[0007]步骤11，本地用户共享生成对抗图像变换模型和本地模型的网络结构并初始化两个模型的模型参数；
[0008]步骤12，本地用户基于本地数据集训练生成对抗图像变换模型，并使用训练完成的生成对抗图像变换模型将本地数据集中的原始图像变换为加密图像，同时保持加密图像的类别标签与原始图像的类别标签一致；
[0009]步骤13，本地用户基于加密图像和对应的加密图像类别标签训练本地模型，完成本地模型更新，并将训练完成的本地模型加密梯度作为共享参数上传到服务器；
[0010]步骤14，服务器聚合参与全局模型更新的本地用户上传的加密梯度，完成全局模型更新；
[0011]步骤15，本地用户与服务器进行全局通信，从服务器下载更新的全局模型，并使用本地加密图像集合验证全局模型准确度是否大于预先设定的阈值，若是则执行步骤16，若否则重复执行步骤13和步骤14；
[0012]步骤16，完成隐私保护联邦学习训练过程。
[0013]与现有技术相比，本专利技术提出的一种基于生成对抗图像变换的隐私保护联邦学习方法，其有益效果包括：
[0014]通过本地用户共享生成对抗图像变换模型和本地模型的网络结构，并基于本地数据集训练生成对抗图像变换模型，将本地数据集中的原始图像变换为用于联邦学习训练的加密图像，并在加密图像中保持原始图像的训练特征，从而在联邦学习全局模型准确度和
用户数据隐私保护性能之间取得较好的平衡，很好地解决了联邦学习训练过程中的本地用户图像数据隐私泄露问题。
附图说明
[0015]为了更清楚地说明本专利技术实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他附图。
[0016]图1为本专利技术实施例提供的一种基于生成对抗图像变换的隐私保护联邦学习方法的流程图。
[0017]图2为本专利技术实施例提供的针对基于梯度的重构攻击的图像隐私保护性能示意图；其中，(a)为原始图像，从左至右依次为青蛙的图像、鹿的图像、轮船的图像、鸟的图像、猫的图像和小汽车的图像；(b)为对各个原始图像不使用隐私保护方法的重构图像；(c)为对各个原始图像使用基于块置乱的隐私保护联邦学习方法的重构图像；(d)为对各个原始图像使用基于像素变换和通道置乱的隐私保护联邦学习方法的重构图像；(e)为对各个原始图像使用基于自动变换策略的隐私保护联邦学习方法的重构图像；(f)为对各个原始图像使用本专利技术提出的基于生成对抗图像变换的隐私保护联邦学习方法的重构图像。
具体实施方式
[0018]下面结合本专利技术的具体内容，对本专利技术实施例中的技术方案进行清楚、完整地描述；显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例，这并不构成对本专利技术的限制。基于本专利技术的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术的保护范围。
[0019]首先对本文中可能使用的术语进行如下说明：
[0020]术语“和/或”是表示两者任一或两者同时均可实现，例如，X和/或Y表示既包括“X”或“Y”的情况也包括“X和Y”的三种情况。
[0021]术语“包括”、“包含”、“含有”、“具有”或其它类似语义的描述，应被解释为非排它性的包括。例如：包括某技术特征要素(如原料、组分、成分、载体、剂型、材料、尺寸、零件、部件、机构、装置、步骤、工序、方法、反应条件、加工条件、参数、算法、信号、数据、产品或制品等)，应被解释为不仅包括明确列出的某技术特征要素，还可以包括未明确列出的本领域公知的其它技术特征要素。
[0022]术语“由
……
组成”表示排除任何未明确列出的技术特征要素。若将该术语用于权利要求中，则该术语将使权利要求成为封闭式，使其不包含除明确列出的技术特征要素以外的技术特征要素，但与其相关的常规杂质除外。如果该术语只是出现在权利要求的某子句中，那么其仅限定在该子句中明确列出的要素，其他子句中所记载的要素并不被排除在整体权利要求之外。
[0023]除另有明确的规定或限定外，术语“安装”、“相连”、“连接”、“固定”等术语应做广义理解，例如：可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连
通。对于本领域的普通技术人员而言，可以根据具体情况理解上述术语在本文中的具体含义。
[0024]术语“中心”、“纵向”、“横向”、“长度”、“宽度”、“厚度”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”“内”、“外”、“顺时针”、“逆时针”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述和简化描述，而不是明示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本文的限制。
[0025]下面对本专利技术提出的一种基于生成对抗图像变换的隐私保护联邦学习方法进行详细描述。本专利技术实施例中未作详细描述的内容属于本领域专业技术人员公知的现有技术。本专利技术实施例中未注明具体条件者，按照本领域常规条件或制造商建议的条件进行。本专利技术实施例中所用试剂或仪器未注明生产厂商者，均为可以通过市售购买获得的常规产品。
[0026]如图1所示，本专利技术实施例提供的一种基于生成对抗图像变换的隐私保护联邦学习方法，包括如下步骤：
[0027]步骤11，本地用户共享生成对抗图像变换模型和本地模型的网络结构并初始化两个模型的模型参数；
[0028]步骤12，本地用户基于本地数据集训练生成对抗图像变换模型，并使用训练完成的生成对抗图像变换模型将本地数据集中的原始图像变换为加密图像，同时保持加密图像的类别标签与原始图像的类别标签一致；<本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于生成对抗图像变换的隐私保护联邦学习方法，其特征在于，包括如下步骤：步骤11，本地用户共享生成对抗图像变换模型和本地模型的网络结构并初始化两个模型的模型参数；步骤12，本地用户基于本地数据集训练生成对抗图像变换模型，并使用训练完成的生成对抗图像变换模型将本地数据集中的原始图像变换为加密图像，同时保持加密图像的类别标签与原始图像的类别标签一致；步骤13，本地用户基于加密图像和对应的加密图像类别标签训练本地模型，完成本地模型更新，并将训练完成的本地模型加密梯度作为共享参数上传到服务器；步骤14，服务器聚合参与全局模型更新的本地用户上传的加密梯度，完成全局模型更新；步骤15，本地用户与服务器进行全局通信，从服务器下载更新的全局模型，并使用本地加密图像集合验证全局模型准确度是否大于预先设定的阈值，若是则执行步骤16，若否则重复执行步骤13和步骤14；步骤16，完成隐私保护联邦学习训练过程。2.根据权利要求1所述的一种基于生成对抗图像变换的隐私保护联邦学习方法，其特征在于，所述步骤11中，本地用户根据高斯分布初始化生成对抗图像变换模型和本地模型的模型参数。3.根据权利要求1或2所述的一种基于生成对抗图像变换的隐私保护联邦学习方法，其特征在于，所述步骤11中，生成对抗图像变换模型的网络结构包括：加密网络和判别网络；其中，所述加密网络包括依次连接的核尺寸为4的第一卷积层、第一批量归一化层、核尺寸为4的第二卷积层、第二批量归一化层、核尺寸为4的第三卷积层、第三批量归一化层、核尺寸为4的第四卷积层、第四批量归一化层、核尺寸为4的第一转置卷积层、第五批量归一化层、核尺寸为4的第二转置卷积层、第六批量归一化层、核尺寸为4的第三转置卷积层、第七批量归一化层、核尺寸为4的第四转置卷积层；所述第一批量归一化层、第二批量归一化层、第三批量归一化层、第四批量归一化层、第五批量归一化层、第六批量归一化层和第七批量归一化层后的激活函数均为ReLU函数；所述第四转置卷积层后的激活函数为Tanh函数；该加密网络的第一卷积层的输入为通道数目为3的32
×
32特征图，第四转置卷积层后有Tanh一路输出；所述判别网络包括依次连接的核尺寸为4的第一卷积层、第一批量归一化层、核尺寸为4的第二卷积层、第二批量归一化层、核尺寸为4的第三卷积层、第三批量归一化层、核尺寸为4的第四卷积层；所述第三批量归一化层后还连接全连接层；所述第一批量归一化层、第二批量归一化层和第三批量归一化层后的激活函数均为ReLU函数；所述第四卷积层后的激活函数为Sigmoid函数；该判别网络的第一卷积层输入为通道数目为3的32
×
32特征图，第四卷积层后有Sigmoid输出并且第三批量归一化层后有全连接层输出。
4.根据权利要求1或2所述的一种基于生成对抗图像变换的隐私保护联邦学习方法，其特征在于，所述步骤11中，本地模型的网络结构包括：依次连接的核尺寸为4的第一卷积层、第一批量归一化层、核尺寸为4的第二卷积层、第二批量归一化层、核尺寸为4的第三卷积层、第三批量归一化层和全连接层；所述第一批量归一化层、第二批量归一化层和第三批量归一化层后的激活函数均为ReLU函数；该本地模型的第一卷积层输入为通道数目为3的32
×
32特征图，第三批量归一化层后有全连接层一路输出。5.根据权利要求1或2所述的一种基于生成对抗图像变换的隐私保护联邦学习方法，其特征在于，所述步骤12中，本地用户按以下方式基于本地数据集训...

【专利技术属性】
技术研发人员：姚远志，马钰婷，刘小微，俞能海，
申请(专利权)人：中国科学技术大学，
类型：发明
国别省市：