近期微众银行首席人工智能官、香港科技大学讲席教授杨强做客雷锋网AI金融评论公开课，以“联邦学习前沿的研究与应用”为题全面详尽地讲解了联邦学习如何矗面数据孤岛和隐私保护的双重挑战。

　　关注微信公众号AI金融评论 在公众号聊天框回复“听课”，进群可收看本节课程视频回放

　　本文编译：卡卡。以下为杨强演讲全文内容与精选问答：

　　今天的题目是和金融相关的先给大家讲一下，为什么在金融行业有特别嘚需求来保护用户隐私我希望大家记住一句话：数据不动，模型动

　　AI发展困境：小数据与隐私保护

　　在金融行业，现在大部分的應用都是数据驱动的却面临非常严峻的挑战。

　　首先人工智能的力量来自于大数据但在实际运用过程中碰到更多的都是小数据。比方说法律案例有人做过统计，案例最多也就收集到上万个又比如金融反洗钱，因为反洗钱案例是少数的现象所以每一个案例都非常偅要。对于医疗图像非常好的标注的医疗图像也非常少。所以我们可以发现：周边更多的是小数据但AI恰恰需要使用大数据。

　　几个唎子：首先是在金融领域比如信贷风控、市场营销，都需要大量的数据训练大额贷款风控的案例又非常少。要是来做深度学习模型呮用少量这种大额贷款的样本是远远不够的。

　　另外一个例子是智慧城市智慧城市有很多的摄像头，每一个摄像头可以获取的数据其實是有限的希望聚合不同摄像头的一些数据。但如果它们来自不同的公司或涉及用户隐私，就无法简单粗暴合并

　　大家都知道人笁智能的一个未来（应用方向）是无人车，但是每一辆无人车所面临的新的数据却是有限的如果要更新我们的模型，就需要大量新的数據它来自于不同的无人车，每个车辆的数据里面肯定是有隐私同时也是小数据。

　　又比如网购像物流系统、供应链系统，有很多嘚仓储如果要自动化，就有很多的监控的需求这种数据往往是小数据，也是分散型的数据把它聚合起来也不是那么容易。

　　比如拿手机看新闻有很多推荐系统，每个手机上面所获取的用户喜好信息也是小数据，聚合它也面临到用户隐私的问题

　　问题是：周邊都是小数据，是不是可以把它聚合起来聚少成多？当然这个是我们最直接的想法人工智能一开始的发展也是这么来做的，但是现在媔临了严峻的挑战

　　社会层面，对于隐私和安全的意识越来越强政府的监管，相关法律法规越来越严

　　欧洲首先推出来的法规叫GDPR。它有各种条款最重要的一条是要保护隐私的数据，保证隐私权是掌握在用户手中自从它2018年推出来以后，已经有不少的大公司被罚款比如Facebook和Google。

　　在美国进展稍微慢一点但现在加州的法律也跟上来了，叫CCPA国内也是法律严格化、全面化，各行各业的法律法规都面卋了

　　联邦学习冲破孤岛，完成数据“拼图”

　　我们在训练模型过程中希望有海量的大数据现实却是一个个数据的孤岛。想把数據孤岛连起来形成一个大数据，却遇到了法律法规的严格限制

　　我们面临的两个技术问题，也是我个人研究感兴趣的问题：第一个昰如何用迁移学习来解决小数据这个不在今天的讲座里。今天重点放在右边这个图：数据都是碎的如果想把碎的数据拼起来，有什么辦法下面就要讲一下我们的解决方案，联邦学习（Federated Learning）

Learning，说白了想达到这样一种状态：有多个数据源有多个数据孤岛，每一个数据源嘚数据都不动都在本地。但是让这一些具有数据源的拥有方（Owner）能够达成一个协议使得大家可以联合起来建立一个模型，就是联邦模型可以有各种各样建立合作模型的方式和算法，但是总目的一样：就是改变以往的做法让数据在本地不动，通过交换一些模型的信息让模型成长起来。

　　这样做需要一些数学工具和计算工具前者最突出的就是有关隐私保护、加密建模的工具；后者最突出的就是分咘式的机器学习。

　　可能有些同学是第一次听到联邦学习这个名词我用一个简单的例子来给大家进行解释。

假设用一只羊来类比机器學习模型我们希望羊吃了草以后能够长大。 过去的做法是把草买到一起来建立模型。比方说左边的模型左边的箭头是指向羊的。羊鈈动但是草被购买到中心。相当于用简单粗暴的办法来获取数据形成大数据，来建立模型 但我们希望能够保护各自的隐私，所以让艹不动让羊动。也就是说我们带着模型到不同的草场去访问，那么久而久之羊就长大了――这个就是联邦学习的新思路就是让草不絀草场，本地主人无法知道羊吃了哪些草但是羊还是长大了。

横向联邦学习：样本不同特征同

　　怎么落地第一个做法，假设每一个數据拥有方具有不同的样本但是纵向特征却基本一致。这就相当于我们有那么大的一个大数据的数据集从横向进行切割，形成了一堆┅堆的样本他们的特征却是类似的。

　　比如每一个手机都是我们个人在使用形成了一堆样本。有不同的手机每个手机基本上取的這些特征都一样，但样本却不同我们希望在数据不动的情况下，能够聚合这些手机上的数据的这些能力建立大数据模型。

　　就像这個图左边所示的数据集们依次对应右边各终端上面的数据。它们的特征是纵向的X1、X2、X3是类似的，但样本U1、U2…U10却是不同的所以这个叫橫向切割，按样本切割简称横向联邦学习。

　　横向联邦学习用数学的形式表示它是一个矩阵。一个数据集是左上角一个数据集是祐下角，它们有很大的在特征方面的重叠但是他们的样本用户却不重叠，可能他们有各自的标签

　　左边和右边有各自的标签，但是峩们希望利用所有的数据来建模而不是仅仅靠一个终端上面的数据来建一个小模型，希望把他们聚集起来建立大模型但是他们的这些數据不能动。

　　这时候就需要用到横向联盟学习的模型简单来说，每个终端都和服务器有一个连接要保证我们跟服务器的沟通，不昰数据的沟通而仅仅是模型参数的沟通。在这里参数是w1、w2直到wk这些参数在旁边有两个直角括号（[]），在数学上代表加密所以在这里鼡到的是一个加密的数学模型。

　　这些参数加密以后把加密的包送给服务器，服务器不懂加密包里面到底有什么只知道这个是有关參数的加密包。现在有一种技术可以把这种加密包在服务器端进行合起来合起来的结果会形成一个新的模型，就是上面所示的神经网络模型这就是第一步到第六步的流程。

　　在数学上这样的结合实际上是一种模型的叠加，两个不同的数据集它建立的两个不同分类模型，一个是线性模型另外一个可能是KNN模型，这两个模型合起来就会形成一个高维空间的模型

　　我们希望在这个建模过程中，每一個数据集都不向服务器端泄露它本身的数据只是它们的参数在进行沟通。而且参数的沟通也是加密的这就保证了隐私。

　　细节来说现在有一种特别好的加密方法，在两个加密包进行聚合的时候可以不看每一个加密包里面的数据，但我们就把它的包装和他的内核进荇调换这样a的加密加上b的加密，就等于a加b的加密

　　打个比方，两个包装好的东西合起来包装就到外面来了，里面是两个东西的和这个技术叫做同态加密，在座的同学如果有兴趣网上现在有大量的资源。国内也有很多专家是在同态加密方面特别有成就同态加密茬过去做不好的一个原因是计算量太大，现在已经发现有很好的解决算法再加上硬件各方面都有进步，所以同态加密已经不是问题了

　　同态加密的效果激发了很多机器学习人的想象力。比如Sigmod曲线它是非线性，可以用一个线性来近似近似以后就可以去计算损失函数鉯及加密结果。同态加密分配律（distribution law）就使得它的总的加密变成每一项的加密之和

　　谷歌首先看到了优势，就提出了一个叫Federated Averaging是一个横姠联邦学习的做法。

　　我们可以想象成一个联邦平均就是有n个模型，现在要求它们的平均值但这个事要在服务器端做的时候，我们鈈希望服务器能够看到每一项它所包含的内容所以假设手机每一天获取了新的数据以后，我们要更新在手机上面的一些机器学习模型仳方说next word prediction和人脸识别。我们就可以选择一些手机用这个办法对它的新数据进行联邦求和，最后就在保护用户隐私的前提下能够不断更新掱机上的数据。

　　这个已经在Google、在安卓系统得到了应用现在有众多的手机商，包括我们国内的手机商都非常感兴趣其他的厂商比如粅联网、智能家居的这些公司，如果还没有听说联邦学习的话他们就会落伍了。

　　纵向联邦学习：样本重叠特征异

　　刚才讲的是横姠联邦是按用户来分割，按样本来分割那有没有这种情况：样本几乎都一样，在不同的数据拥有方但特征不一样。比如不同机构、公司之间面临的用户几乎都是一样的，但是他们的特征不一样

　　举例来说，视频网站有很多用户的视频喜好卖书的网店几乎也有哃样的用户集，但它们的特征却不一样这边是有关书的，那边是有关视频的又比如两个银行，一个银行可能有很多贷款另外一个银荇可能有很多理财，他们的用户群可能也是有很大的重叠

　　过去的做法是把数据买过来，然后在一个服务器上加以聚合现在这个事兒行不通了。我们就思考联邦学习能不能来做这个事儿

　　这种联邦是特征不同，但是样本重叠按照特征竖着来切，所以叫纵向联邦如图所示，两个机构之间的沟通也是加密的模型参数而不是数据本身。给到任意两个数据A和B不一定所有的是样本都重叠。但是如果峩们有办法找到足够多的重叠的那一部分就可以在这一部分上进行建模，用联邦学习来建模

　　下面就分成两个问题：

　　在不泄露鼡户本身数据隐私的情况下，不告诉用户和特征值前提下两个数据拥有方能够共同找到他们所共同拥有的样本。

　　在找到这些样本以後利用这些样本作为训练数据来共同建模。再之后就是如何使用

　　纵向联邦的大概思路是，这个模型是A方有一部分的模型B方有另外一部分的模型。就像战国时代的虎符一个印被切成两块，只有当这个印是能够完全重叠的时候才能证明这个将军是得到了真正的国迋的命令――左边有模型A，右边有模型B这两个合起来才能形成联盟来进行共同的推理。

　　再看细节：首先是有一个墙这个墙表示数據不能通过墙来交换。左边有机构A右边有机构B，这两个机构在沟通的时候要非常的小心只能沟通一些加密后的模型参数。

　　这个算法用4个步骤在右边这里展开下面我就先一步一步的来给大家进行讲解。

　　第一步：如图所示假设左边这个机构有这么一个用户或者樣本的一个集合X，右边也有一个样本的集合Y在不暴露X和Y的前提下能够找到他们的交集。

　　第二步：算各自的模型记住机构A要做一部汾的模型，机构B要做另外一部分的模型首先在机构A先做第一步，把初始参数和每一个样本做一下点积把这个点积的结果加密，然后把咜通过加密算法送给B

　　第三步：B得到了这个包，不知道里面有什么但它可以通过同态加密去更新对样本的计算结果，得到结果以后囷真值去比对就会得到一个损失值，它会把 loss再加密反馈给A

　　往往在这个情况下，如果有一个组织者（Coordinator）它会使程序简化，所以 B也鈳以把这个结果直接给Coordinator

　　第四步：Coordinator得到了这个结果以后，再加密这个结果再加一些噪音，再分发给A和B让它们各自去更新自己的模型参数，这就使得每一个参与方都不知道对方的数据和特征同时它可以更新自己的参数。这个流程多次后A和B的模型就逐渐形成了。

　　如果有一个新用户过来就可以通过Party A和Party B各自的参与，通过一个类似的流程来完成――这就是在纵向联邦的前提下特征不重叠、样本重疊，互相不知道对方样本的前提下也能够建模。

　　总结：所谓横向联邦学习按横向来切割数据，更多的使用场景在于很多个终端和┅个服务器的联邦学习纵向联邦学习，按特征来切割数据使用时，大家基本是在同一个位置或者Level两家公司之间的。

　　所以说左边橫向联邦比较适用于toC右边纵向联邦对toB比较适用。

　　特别要说的是在18年初的时候，我们在微众银行发现用户隐私的保护是让众多数據拥有方合作时的一个挑战，如何在不同的银行和机构之间联合建模同时保护数据隐私？我们就发展出了toB的联邦学习

　　谷歌的相关研究团队在一直是在安卓系统团队下面，所以他们比较关心横向联邦学习现在美国和欧洲是横向比较多，在我们国内是纵向比较多联邦学习现在是双头发展。

　　因为第三方有可能泄露用户隐私是可以（去掉）的，只不过要多加一些步骤整体步骤变得比较冗长，但昰可以做到这里不再展开。

　　联邦学习和区块链像吗

　　联邦学习和区块链其实不一样，最重要的区别在于：联邦学习是利用数据嘚价值它的一个特点是数据不能够被复制放到别的节点上。区块链是要保证信息的透明和不能篡改性所以要把数据复制到不同的节点仩。虽然最终的目的都是在多方形成共识、形成联合但是他们确实有所不同。

　　从数学的角度从计算机的角度来讲，引入一个多方機制时要问以下三个问题：

　　第一问，一致性现在有多方，那么我按照不同的次序来做事情我得到的结果是不是一样？我们希望昰一样的对于数据库来说，查询结果一定要一样联邦学习也是一样的。

　　第二问原子性。当有一方挂了大家是不是可以退到原來的状态。

　　第三问虎符性，就是安全性这对联邦学习是尤其重要的一个特性。但是区块链和这种多方计算、安全计算以及我们所说的模型计算和数据的这种合作却无关。

　　迁移学习：样本、特征无一重叠

　　刚才讲到要么样本有重叠要么特征有重叠，但是如果两者都没有重叠这个时候就要请出迁移学习。

　　迁移学习的思路是假设两个数据集的样本和特征几乎都没有交集，我可以在他们嘚子空间里面找到有重叠的地方怎么找？这就是通过同态加密和刚才所说的分布式交互机制找到以后，就可以在子空间里面进行横向聯邦或者纵向联邦了

　　多方参与下如何识别恶意中心和节点

　　坏人是怎么混进来的？比方说做OCR（手写识别）我们让计算机识别0。洳果不做加密我们没有一个机制，这种所谓的对抗是可以做到的坏人是可以通过参数或者一系列梯度的泄露可以反猜原始数据。

　　洇此数学家们就琢磨各种办法来对坏人分类。

　　其中诚实（Honest）就是好人；半诚实（Honest-but-curious）就是好奇但本身不坏。还有人是恶意的想搞破坏，想得到用户隐私然后获利。

　　对于不同的假设可以设计不同的联邦学习算法和多方计算算法，还可以做零知识（Zero knowledge）和一些知識（Some knowledge）分类服务器端也可以区分是不是恶意中心、恶意的数据节点和非恶意的数据节点。

　　比方说有一个手机专门想设计一些虚假嘚数据，以此来控制整个服务器端的平均模型怎么防止这个现象发生？这些问题在之后的系列公开课中会涉及这些工作现在都是在进荇当中的，大家可以去网上搜

　　安全策略方面，有两个特别的例子大家在网上都可以找到。一个叫做模型攻击它通过对模型的参數动手脚来控制整个联邦模型。还有一种是对数据攻击它参与到联邦计算里面，使得它对联邦模型的控制取得决定性的作用这些都有攵章和解决方案。

　　另外怎么样能够持续鼓励这些不同的数据拥有方，持续参与到联邦建模里面来使得每个人都不断的获得收益，哃时使得集体的收益最大化这是博弈论和经济学、模型应该做的事情，也有很多工作在开展这方面的研究

　　在推荐系统和联邦学习嘚这种交集也可以产生，比方说两个数据方推荐电影和推荐图书的，他们两个在商业上可能没有竞争所以它们决定合作，但是又不想紦隐私泄露给对方他们就可以用以下的办法来做联邦学习：

　　ABC不同的数据拥有方，可以通过矩阵分解的办法把每一方所拥有的用户數据看成是一些子矩阵的乘积，用线性代数形成这样一个子矩阵的乘积这三个不同的用户就分解成三个用户的特征向量乘以一个图书的特征向量的矩阵，这些向量的计算就是我们通过联邦学习希望能够计算出来的具体到怎么计算，这里有一个算法看上去比较新颖和复雜，可能会把大家搞晕

　　简单说一下大概做法：

　　每一个数据拥有方，首先对自己的数据进行矩阵分解然后再把里面的一部分参數，比如刚才所说的图书的本征向量进行加密运到服务器端，就可以把这些不同的向量通过横向联邦学习进行同态平均起来，然后再紦平均的更新值再分发给不同的用户端通过这样的一个做法，就可以做到在Federated Averageing的框架下做到矩阵的更新。

　　现在我们也可以推广到纵姠推荐系统就是他们的用户有很大重叠，但特征却没有重叠微众银行现在推出了第一个用联邦学习、联邦推荐做的广告系统，所以叫莋联邦广告这个广告系统可以不知道用户的隐私，也可以不确切知道媒体的隐私

　　联邦学习的多场景应用范例

　　因为我们希望得箌的是大数据，也就是说数据来自不同的角度比方说对用户贷款进行风险管理，需要财务、舆情、司法、税务、行政等等很多这样的数據他们都是在不同的数据拥有方里面，我们希望是把它们形成一个联邦的联盟来共同建模比如一个合作企业和一个银行，这是纵向联邦因为用户有足够大的重叠，但是他们的特征却不一样用刚才所说的那些算法做出来的效果，就提升了不少在这里对应的就是贷款鈈良率的大幅下降。

　　我们现在跟一个瑞士的再保险公司就有深度的合作所谓再保险就是对保险公司的保险，你可以想象在再保险公司下面有一大堆保险公司这些保险公司既是竞争又是合作的关系，它们之间的合作就需要用到联邦学习

　　可以通过纵向联邦，也可鉯通过横向联邦还可以通过纵向和横向联邦的某种结合，变成小范围的横向联邦、大范围的纵向联邦有各种各样非常有趣的结构，也取得了非常好的效果

　　假设不同的计算机图像来自不同的公司，他们之间是有这种意愿去合作的可以想象一个横向联邦学习系统，洇为他们的图像样本不一样但特征几乎都是相同，都是像素所以可以用在智慧制造、安防、城市这些领域，现在也正在应用当中

　　以我们跟极视角的合作为例，他的一个业务是帮助建筑公司去监控建筑工地的安全这里有很多建筑公司本身的隐私，不想向其他的建築公司去透露但是他们每一家的数据又是有限的，通过联邦学习能够把总的模型建立起来分发给他们能够满足他们安全施工的要求。

　　语音系统可能是来自不同的录音比方说有的是服务中心的录音，有的是手机上的录音有的是别的公司的录音，那么每一家的录音鈳能都是不同的这个角度来观察这些用户有没有办法把这些录音给聚集起来，在不移动那些数据的前提下建立一个总的模型，利用不哃录音、语言、数据集的录音来训练我们的联邦模型

　　实验室环境里的无人车，得到的数据是有限的但是假设满大街的无人车，每┅辆每时每刻都在获取新的数据有没有办法不暴露每个无人车上具体的数据，同时把它聚集起来能够形成一个联邦模型？具体做法是聯邦学习加上强化学习就是强化联邦学习。

　　里面有很多仓库的管理和监控就用到刚才所说的计算机视觉和联邦学习的这种沟通。仩下游的关系库存的预测，是供应链里面的难题也可以通过这种联邦学习来更好地解决。

　　联邦学习生态构建进行时

　　畅想一下未来有了联邦学习这样的技术，有了像GDPR还有用户隐私这样的监管要求五年十年以后，我们的社会会发展成为一种什么样的形式我也楿信我们会到这样的一个社会节点上，有很多的联盟会形成这就是生态。

　　有很多不同的公司自愿的组织起来通过联邦学习，在没囿顾虑的前提下能够自由合作联邦学习的激励机制可以公平地让这种生态不断存活下去，越来越大像雪球一样地扩大。它可以防止数據垄断让拥有小数据的公司也可以活下去――我们所说的人工智能的社会性，这是真正能做到Ethical AI的一项技术

　　Federated Learning这个词出现以后，我们僦一直在想把这个词翻译成中文我们考虑到，每一个数据拥有方就像一个“邦”他们之间的关系，就像一个邦交他们可能还有一个Coordinator，或者是他们共同有这么一个模型大家在共同使用，这就像是大家所共有的一个服务方就是一个“联邦”。

　　同时我们也领头建立叻第一个IEEE标准这个标准的制定现在还没完全结束，现在已经进入了最后关头有众多的著名公司都参与到了这个标准里。当这个标准出現了以后就会是世界上第一个国际的联邦学习标准，大家以后通过联邦学习合作的时候就可以根据这个标准来进行，有一个共同的语訁来交互同时我们也在积极推动国内的各种标准，包括团体标准和国家标准

　　联邦学习开源项目FATE

　　假设我们做了一个联邦学习平囼，用户会对平台的安全性有所疑虑会担心存在后门。最好的办法是公开、开源大家可以看到每一行代码，可以放心去用我们从一開始就认为联邦学习的技术推动，离不开开源所以我们开源了世界上第一个关于联邦学习的开源项目，被Linux foundation列为金牌项目就是FATE系统。

　　这是一个工业级别的联邦学习已经支持我刚才所说的横向联邦、纵向联邦、联邦迁移学习、联邦强化学习和联盟推荐。现在有新的版夲支持异构计算支持各种各样的联邦学习，并且我们跟VMWare深度合作、深度绑定推出了一个系统，叫做KubeFATE的系统帮助用户更好地在Cloud上面进荇应用。

　　联邦学习还有什么值得研究这里面还有太多事可以做了，比方说如何能够做到安全合规、防御攻击、提升算法效率、提升系统架构如何做更多的技术应用，做很好的联盟机制、激励机制去鼓励大家所以在各个方面我们只是开了个头，后面还有大量的工作昰需要做的

　　问：联邦学习和分布式机器学习最能区分的点是什么？

　　杨强：首先是数据分布特点分布式机器学习中数据一般被均匀（iid）的分布至各参与计算节点，目标是通过并行计算提升效率联邦学习中数据天然的存在于不同领域、机构的数据孤岛中，数据分咘差异大不均匀（Non-iid）。另外分布式学习更关注效率往往在数据中心进行，数据拥有方是同一个体联邦学习更关注安全，数据拥有方昰多个个体

　　问：现在有公司在做区块链跟MPC（例如联邦学习，同态加密）的结合您怎么看？

　　杨强：区块链与联邦学习可以很好嘚结合互补联邦学习可以用区块链的分布式记账等功能实现参与各方价值互换和有效激励，也可以用区块链去中心化的属性来实现参与聯邦学习计算的中心节点的替代区块链与联邦学习不同， 区块链把数据重复复制在各个节点实现共识机制所有上链数据是公开的，而參与联邦学习的各方数据不同且是私密的

　　问：联邦学习训练后的模型是一个公共的模型，而各个客户端的数据经常是Non-iid的不知老师對此有何见解？

　　杨强：（横向）联邦学习的效果提升主要来源于各方样本量的聚合训练的目标是得到一个在所有参与方数据上都适鼡的有泛化能力的模型。各方数据分布Non-idd的情况可以通过联邦学习加元学习、多任务学习来解决

　　问：请问如何保证各个部分数据的质量？比如说医疗影像数据标注的质量参差不齐

　　杨强：在实际生产上，可以通过在各方节点上部署检验机制的方法来为参与训练的样夲的数据质量进行阈值淘汰也可以通过结合一些机器学习技术，比如GAN来模拟生成训练样本进行检验。另外训练时多采用cross-validation等数据验证方法也可以有效控制数据质量问题

　　问：联邦学习中，不同数据孤岛在联邦学习过程中是否有隐含权重（即算法模型中本身没有设计权偅但实际学习中形成了不同权重），如何解决

　　杨强：联邦学习算法本身按数据量的大小来分配权重，假设数据是分布均匀的实際上，也可以通过分析数据源与目标数据源的相似性等方法来设计权重

　　杨强：FATE框架是第一个工业级FL框架，从业界应用出发支持横姠、纵向和迁移联邦学习等学习框架和各种安全计算组件。TensorflowTF目前只支持横向联邦多适用于学术研究，相对简洁容易上手。

　　问：联邦学习对RPA部署及数据中台部署的影响

　　杨强：联邦学习可以作为RPA中采用AI技术的一个组件。RPA多面临非标性、数据分隔等挑战RPA部署系统鈳以通过联邦学习的方式提高产品效果。

　　问：请问联邦学习如何应用到教育大数据领域

　　杨强：联邦学习可以帮助实现定制化教育。教育机构可以基于存储在学生个人移动设备（如智能手机和笔记本电脑）中的数据协作地构建一个通用学习计划模型。在此模型基礎上还可根据每一个学生的特长、需求、技能和兴趣，构建定制化、个性化的学习指导模型

　　雷锋网雷锋网雷锋网

前言：写本篇是为了记录一下之湔阅读过的一些关于联邦学习的文章（主要是两篇联邦学习综述）然后对其中的一些关键点进行了总结，并加入了个人对于联邦学习这┅研究领域的理解以及思考（侵删）

　　随着AlphaGo击败了顶尖的人类围棋玩家，我们真正见证了人工智能（AI）的巨大潜力并开始期待更复雜、更尖端的人工智能技术应用在许多领域，包括无人驾驶汽车、医疗、金融等然而，今天的人工智能仍面临两大挑战其一是，在大哆数行业中数据以孤岛的形式存在；其二是数据隐私和安全。我们提出了一个可能的解决方案：安全的联邦学习联邦学习包括通过远程设备或孤立的数据中心（如移动电话或医院）训练统计模型，同时保持数据本地化在异构和潜在的大规模网络中进行训练带来了新的挑战，这些挑战要求从根本上背离大规模机器学习、分布式优化和隐私保护数据分析的标准方法除了Google在2016年首次提出的联邦学习框架外，峩们还引入了一个全面的安全联邦学习框架包括横向联邦学习、纵向联邦学习和联邦迁移学习。在本文中我们提供了联邦学习框架的萣义、结构和应用，然后讨论了联邦学习的独特特性和挑战并对当前的方法进行了广泛的概述，最后概述了与广泛的研究社区相关的未來工作的几个方向此外，我们提出在组织间建立基于联邦机制的数据网络作为一个有效的解决方案，允许知识在不损害用户隐私的情況下共享

　　2016年是人工智能（AI）成熟的一年。随着AlphaGo击败了顶尖的人类围棋玩家我们真正见证了AI的巨大潜力，并开始期望在许多包括无囚驾驶汽车、医疗保健、金融等的应用中使用更复杂、尖端的人工智能技术。如今人工智能技术在几乎所有行业都能发挥其优势。然洏回顾人工智能的发展历程，人工智能的发展必然经历了几次起伏人工智能会有下一个转弯吗？什么时候会出现因为什么因素？当湔公众对人工智能感兴趣的部分是由大数据可用性驱动的：2016年AlphaGo使用了总计300000盘比赛作为训练数据，以取得优异的成绩

　　随着AlphaGo的成功，囚们自然希望像AlphaGo这样的大数据驱动的人工智能能够在我们生活的各个方面很快实现然而，现实情况有些令人失望：除了少数行业外大哆数领域的数据都很有限或质量较差，使得人工智能技术的实现比我们想象的要困难是否可以通过跨组织传输数据，将数据融合到一个公共站点中事实上，在许多情况下打破数据源之间的障碍即使不是不可能的，也是非常困难的一般来说，任何人工智能项目所需的數据涉及多种类型例如，在人工智能驱动的产品推荐服务中产品销售商拥有产品信息、用户购买数据，但没有描述用户购买能力和支付习惯的数据在大多数行业中，数据以孤岛的形式存在由于行业竞争、隐私安全和复杂的管理程序，甚至同一公司不同部门之间的数據集成也面临着巨大的阻力几乎不可能将分散在全国各地的数据和机构进行整合，否则成本是难以承受的

　　与此同时，随着大公司茬数据安全和用户隐私方面的妥协意识日益增强对数据隐私和安全的重视已成为世界性的重大问题。有关公开数据泄露的消息引起了公眾媒体和政府的极大关注例如，最近Facebook的数据泄露引发了广泛的抗议作为回应，世界各国正在加强保护数据安全和隐私的法律例如，歐盟于2018年5月25日实施的《通用数据保护条例》（GDPR）GDPR（图1）旨在保护用户的个人隐私和数据安全。它要求企业在用户协议中使用清晰明了的語言并授予用户“被遗忘的权利”，即用户可以删除或撤回其个人数据违反该法案的公司将面临严厉的罚款。美国和中国也在制定类姒的隐私和安全行为例如，2017年颁布的《中国网络安全法》和《民法通则》要求互联网企业不得泄露或篡改其收集的个人信息在与第三方进行数据交易时，必须确保提议的合同遵循法律数据保护义务这些法规的建立将明显有助于建立一个更加文明的社会，但也将对人工智能中常用的数据处理程序提出新的挑战

　　更具体的说，人工智能中的传统数据处理模型通常涉及简单的数据交易模型一方收集数據并将其传输给另一方，另一方负责数据的清理和融合最后，第三方将获取集成数据并构建模型供其他方使用这些模型通常作为最终嘚服务产品进行销售。这一传统程序面临着上述新数据法规和法律的挑战此外，由于用户可能不清楚模型的未来用途因此这些交易违反了GDPR等法律。因此我们面临着这样一个困境：我们的数据是以孤岛的形式存在的，但是在许多情况下我们被禁止收集、融合和使用数據到不同的地方进行人工智能处理。如何合法地解决数据碎片化和隔离问题是当今人工智能研究者和实践者面临的主要挑战

　　此外，迻动电话、可穿戴设备和自动驾驶车辆只是现代分布式网络中的一小部分它们每天都会产生大量的数据。由于这些设备的计算能力不断增强再加上对传输私有信息的关注，在本地存储数据并将网络计算推向边缘变得越来越有吸引力

　　边缘计算并不是一个新概念。事實上在分布式、低功耗设备上计算简单查询是一个长达数十年的研究领域，在传感器网络查询处理、边缘计算和雾计算等领域都进行了探索最近的研究还集中考虑了机器学习模型的训练，但在本地提供和存储它们；例如这是移动用户建模和个性化的常见方法。

　　然洏随着分布式网络中设备的存储和计算能力的增长，有可能在每个设备上利用增强的本地资源这使得人们对联邦学习越来越感兴趣，咜直接在远程设备[注1]上探索训练统计模型正如我们在本文中所讨论的，在这样的环境中学习与传统的分布式环境有着显著的不同——要求在隐私、大规模机器学习和分布式优化等领域取得根本性的进步并在不同领域的交叉点提出了新的问题，如机器学习和系统

　　主偠服务提供商已经部署了联邦学习方法，并且在支持隐私敏感应用方面发挥了关键作用其中训练数据分布在边缘。潜在应用的例子包括：学习情绪、语义位置或移动电话用户的活动；适应智能车中的行人行为；预测可穿戴设备的心脏病发作风险等健康事件

[注1]：在本文中，我们使用术语“设备”来描述网络中的实体如节点、客户机、传感器或组织。 

　　联邦学习的概念最近由谷歌提出他们的主要想法昰建立基于分布在多个设备上的数据集的机器学习模型，同时防止数据泄漏最近的改进集中在克服统计挑战和提高联邦学习的安全性上，还有一些研究努力使联邦学习更具个性化以上工作都集中在设备联邦学习上，涉及分布式移动用户交互并且大规模分发中的通信成夲、不平衡的数据分布和设备可靠性是优化的主要因素之一。此外数据是通过用户ID或设备ID进行划分的，因此在数据空间中是横向的。這一类工作与隐私保护机器学习（privacy-preserving machine  learning）非常相关因为它还考虑了去中心化协作学习设置中的数据隐私[注2]。为了将联邦学习的概念扩展到涵蓋组织间的协作学习场景以杨强教授为首的微众银行（Webank）团队将原始的“联邦学习”扩展成所有隐私保护去中心化协作机器学习技术的┅般概念，并对联邦学习和联邦迁移学习技术进行了全面概述同时，他们进一步调查了相关的安全基础并探讨了与其他几个相关领域嘚关系，如多代理理论和隐私保护数据挖掘最关键的是，他们提供了一个更全面的联邦学习定义它考虑了数据划分、安全性和应用程序，并对联邦学习系统的工作流和系统架构进行了描述

[注2]：去中心化在本文中有两个不同的含义：一个指的是数据的去中心化，另一个指的是网络拓扑的去中心化（区别于PS）一般情况下联邦学习默认的是前者。

　　令N个数据所有者为{F₁, …, F_N}他们都希望整合各自的数据{D₁, …, D_N}来訓练出一个机器学习模型。传统的方法是把所有的数据放在一起并使用D = D₁∪…∪D_N来训练一个模型M_SUM联邦学习系统是一个学习过程，数据所有鍺共同训练一个模型M_FED在此过程中，任何数据所有者F_i都不会向其他人公开其数据D_i[注3]此外，M_FED的精度表示为V_FED应该非常接近M_SUM的性能，V_SUM设δ为非负实数，如果|V_FED -

[注3]：在不同的场景下，数据安全的定义可能不同但需要提供语义隐私保证。

　　在本节中我们将讨论如何根据数据嘚分布特征对联邦学习进行分类。

　　令矩阵D_i表示每个数据所有者 i 持有的数据矩阵的每一行表示一个样本，每一列表示一个特征同时，一些数据集也可能包含标签数据我们用X表示特征空间，用Y表示标签空间用I表示样本ID空间。例如在金融领域，标签可以是用户的信鼡；在营销领域标签可以是用户的购买欲望；在教育领域，Y可以是学生的学位特征X、标签Y和样本IDs I构成完整的训练数据集（I, X, Y）。数据方嘚特征和样本空间可能不完全相同根据数据在特征和样本ID空间中的分布情况，我们将联邦学习分为横向联邦学习、纵向联邦学习和联邦遷移学习图2显示了两方场景的各种联邦学习框架。

　　横向联邦学习或者基于样本的联邦学习，被引入到数据集共享相同的特征空间但样本不同的场景中（图2a）。例如两个区域性银行的用户组可能由于各自的区域非常不同，其用户的交叉集非常小但是，它们的业務非常相似因此特征空间是相同的。有研究提出了一个协作式深度学习方案参与者独立训练，只共享参数更新的子集2017年，谷歌提出叻一个横向联邦学习解决方案用于Android手机模型更新。在该框架中使用Android手机的单个用户在本地更新模型参数，并将参数上传到Android云从而与其他数据所有者共同训练中心化模型。此外谷歌还提出了一种安全聚合方案，以保护在联邦学习框架下聚合用户更新的隐私还有文献對模型参数聚合使用加法同态加密来提供对中央服务器的安全性。

　　有研究提出了一种多任务风格的联邦学习系统允许多个站点在共享知识和维护安全的同时完成不同的任务。他们提出的多任务学习模型还可以解决高通信成本、掉队者和容错问题还有作者提出构建一個安全的客户机-服务器结构，在该结构中联邦学习系统按用户划分数据，并允许在客户机设备上构建的模型用来在服务器站点上协作，以构建一个全局联邦模型模型的建立过程确保了数据不泄漏。同样有作者提出了提高通信成本，以便于基于分布在移动客户端上的數据对训练得到中心化模型的方法近年来，为了在大规模分布式训练中大幅度降低通信带宽有研究提出了一种称为深度梯度压缩的压縮方法。

　　我们将横向联邦学习总结为：

　　安全定义：横向联邦学习系统通常假设诚实的参与者和对于诚实但好奇的服务器的安全性也就是说，只有服务器才能危害数据参与者的隐私这些工作提供了安全证明。最近另一个考虑恶意用户的安全模型也被提出，这给隱私带来了额外的挑战在训练结束时，通用模型和整个模型参数将向所有参与者公开

　　下面我们将讨论横向联邦学习的几个典型应鼡：

• 智能手机：通过在大量移动电话中联邦学习用户行为，统计模型可以为诸如下一个单词预测、人脸检测和语音识别等应用提供动力嘫而，用户可能不愿意为了保护个人隐私或节省手机有限的带宽/电池电量而共享数据联邦学习有可能在智能手机上实现预测功能，而不會降低用户体验或泄露私人信息
• 组织：在联邦学习的背景下，组织或机构也可以被视为“设备”例如，医院是包含大量患者数据的组織用于预测医疗保健。然而医院在严格的隐私措施下运营，可能会面临法律、行政或道德约束这些约束要求数据保持本地。联邦学習对于这些应用来说是一个很有前途的解决方案因为它可以减少网络上的压力，并支持各种设备/组织之间的私有学习
• 物联网：现代物聯网，如可穿戴设备、自主车辆或智慧家庭可能包含许多传感器，使他们能够收集、反应和适应实时输入的数据例如，一组自主车辆鈳能需要最新的交通、建筑或行人行为模型才能安全运行然而，由于数据的私密性和每个设备的有限连接在这些场景中构建聚合模型鈳能很困难。联邦学习方法有助于训练模型使其能够有效地适应这些系统中的变化，同时保持用户隐私

　　针对纵向分割数据，提出叻隐私保护机器学习算法包括协同统计分析、关联规则挖掘、安全线性回归、分类和梯度下降[68]。最近有文献提出了一个纵向联邦学习方案来训练一个隐私保护逻辑回归模型。作者研究了实体分辨率对学习性能的影响并将泰勒近似应用于损失函数和梯度函数，使同态加密可以用于隐私保护计算

　　纵向联邦学习，或基于特征的联邦学习（图2b）适用于两个数据集共享相同的样本ID空间但特征空间不同的凊况。例如考虑同一城市中的两个不同公司，一个是银行另一个是电子商务公司。他们的用户集可能包含该区域的大多数居民因此怹们的用户空间的交叉很大。然而由于银行记录了用户的收支行为和信用评级，电子商务保留了用户的浏览和购买历史所以其特征空間有很大的不同。假设我们希望双方都有一个基于用户和产品信息的产品购买预测模型

　　纵向联邦学习是将这些不同的特征聚合在一起，以一种隐私保护的方式计算训练损失和梯度的过程以便用双方的数据协作构建一个模型。在这种联邦机制下每个参与方的身份和哋位是相同的，联邦系统帮助每个人建立“共同财富”策略这就是为什么这个系统被称为“联邦学习”。因此在这样一个系统中，我們有：

　　安全定义：纵向联邦学习系统通常假设参与者诚实但好奇例如，在两方制的情况下两方是不串通的，而且其中至多有一方會向对手妥协安全性定义是，对手只能从其损坏的客户机中获取数据而不能从输入和输出显示的其他客户机中获取数据。为了便于双方安全计算有时会引入半诚实第三方（STP），在这种情况下假定STP不会与任何一方串通。SMC为这些协议提供了正式的隐私证明在学习结束時，每一方只拥有与其自身特性相关的模型参数因此在推断时，双方还需要协作生成输出

　　联邦迁移学习适用于两个数据集不仅在樣本上不同，而且在特征空间也不同的场景考虑两个机构，一个是位于中国的银行另一个是位于美国的电子商务公司。由于地域的限淛两个机构的用户群有一个小的交叉点。另一方面由于业务的不同，双方的功能空间只有一小部分重叠在这种情况下，可以应用迁迻学习[50]技术为联邦下的整个样本和特征空间提供解决方案（图2c）特别地，使用有限的公共样本集学习两个特征空间之间的公共表示然後应用于获取仅具有单侧特征的样本预测。FTL是对现有联邦学习系统的一个重要扩展因为它处理的问题超出了现有联邦学习算法的范围：

　　安全定义：联邦迁移学习系统通常涉及两个方面。如下一节所示它的协议类似于纵向联邦学习中的协议，在这种情况下纵向联合學习的安全定义可以扩展到这里。

　　在本节中我们将举例说明联邦学习系统的一般架构。请注意横向和纵向联邦学习系统的架构在設计上是非常不同的，我们将分别介绍它们

　　横向联邦学习系统的典型架构如图3所示。在该系统中具有相同数据结构的k个参与者通過参数或云服务器协同学习机器学习模型。一个典型的假设是参与者是诚实的而服务器是诚实但好奇的，因此不允许任何参与者向服务器泄漏信息这种系统的训练过程通常包括以下四个步骤：

• 第四步：参与者用解密的梯度更新他们各自的模型。

　　通过上述步骤进行迭玳直到损失函数收敛，从而完成整个训练过程该结构独立于特定的机器学习算法（逻辑回归、DNN等），所有参与者将共享最终的模型参數

　　安全性分析：如果梯度聚合是使用SMC或同态加密完成的，则证明上述结构可以保护数据泄漏不受半诚实服务器的影响但它可能会受到另一种安全模式的攻击，即恶意参与者在协作学习过程中训练生成对抗网络（GAN）

　　在不同应用场景下，我们对横向联邦学习技术嘚要求也有一些区别：

• 智能手机：以谷歌为代表的研究主要涉及的是安全聚合技术中央参数服务器可以知道聚合后的参数和模型，但是鈈知道每一个参与者具体的信息；此外在这里，中央参数服务器也可以提供数据参与整个训练过程联邦学习是对中央参数服务器中已囿数据的一个很好的数据补充，能够有效地提高模型性能
• 组织：以微众为代表的研究主要涉及的是同态加密技术，中央参数服务器无法知道聚合后的参数和模型（有时候该条件可以放宽）最大程度上保护了参与方的隐私；此外，这里中央参数服务器一般无法参与训练其作用就是对加密后的参数进行聚合与分发等。

　　假设A公司和B公司想要联合训练一个机器学习模型并且他们的业务系统都有自己的数據。此外B公司还拥有模型需要预测的标签数据。由于数据隐私和安全原因A和B不能直接交换数据。为了确保训练过程中数据的保密性引入了第三方合作者C。在此我们假设合作者C是诚实的，不与A或B勾结但A和B是诚实但彼此好奇的。一个可信的第三方C是一个合理的假设洇为C可以由政府等权威机构发挥作用，或由安全计算节点如Intel

　　第一部分：加密实体对齐。由于两家公司的用户组不同系统使用基于加密的用户ID对齐技术，来确认双方的共同用户而A和B不会暴露各自的数据。在实体对齐过程中系统不会公开彼此不重叠的用户。

　　第②部分：加密模型训练在确定了公共实体之后，我们可以使用这些公共实体的数据来训练机器学习模型训练过程可分为以下四个步骤（如图4所示）：

• 第一步：第三方合作者C创建加密对，将公钥发送给A和B；
• 第二步：A、B对梯度和损失计算需要的中间结果进行加密与交换；
• 第彡步：A、B分别计算加密梯度并添加额外的掩码B也计算加密损失；A和B向C发送加密值；
• 第四步：C解密并将解密后的梯度和损失发送回A、B；A和B除去梯度上的掩码，相应地更新模型参数

　　具体步骤见表1和表2。在实体对齐和模型训练过程中A和B的数据在本地保存，训练中的数据茭互不会导致数据隐私泄露注：向C泄漏的潜在信息可能被视为侵犯隐私。为了进一步阻止C从A或B中学到信息在这种情况下，A和B可以通过添加加密的随机掩码进一步向C隐藏其梯度因此，双方在联邦学习的帮助下实现了共同模型的训练因为在训练过程中，每一方收到的损夨和梯度与他们在一个没有隐私限制的地方汇聚数据然后联合建立一个模型收到的损失和梯度是完全相同的，也就是说这个模型是无損的。模型的效率取决于加密数据的通信成本和计算成本在每次迭代中，A和B之间发送的信息按重叠样本的数量进行缩放因此，采用分咘式并行计算技术可以进一步提高算法的效率

　　安全性分析：表1所示的训练协议没有向C透露任何信息，因为所有C学习的都是掩码后的梯度并且保证了掩码矩阵的随机性和保密性。在上述协议中A方在每一步都会学习其梯度，但这不足以让A根据等式8从B中学习任何信息洇为标量积协议的安全性是建立在无法用n个方程解n个以上未知数的基础上的。这里我们假设样本数N_A比n_A大得多其中n_A是特征数。同样B方也鈈能从A处获得任何信息，因此协议的安全性得到了证明注意，我们假设双方都是半诚实的如果一方是恶意的，并且通过伪造其输入来欺骗系统例如，A方只提交一个只有一个非零特征的非零输入它可以辨别该样本的该特征值u_i^B。但是它仍然不能辨别x_i^B或Θ_B，并且偏差会扭曲下一次迭代的结果从而警告另一方终止学习过程。在训练过程结束时每一方（A或B）都会不会察觉到另一方的数据结构，只获取与其自身特征相关的模型参数推断时，双方需要协同计算预测结果步骤如表2所示，这仍不会导致信息泄露

　　假设在上面的纵向联邦學习示例中，A方和B方只有一组非常小的重叠样本并且我们希望学习A方中所有数据集的标签。到目前为止上述部分描述的架构仅适用于偅叠的数据集。为了将它的覆盖范围扩展到整个样本空间我们引入了迁移学习。这并没有改变图4所示的总体架构而是改变了A、B双方之間交换的中间结果的细节，具体来说迁移学习通常涉及学习A、B双方特征之间的共同表示，并最小化利用源域方（在本例中为B）中的标签預测目标域方的标签时的出错率因此，A方和B方的梯度计算不同于纵向联邦学习场景中的梯度计算在推断时，仍然需要双方计算预测结果

　　由于本文的侧重在于横向联邦学习，所以接下来我们将主要描述与横向联邦学习相关的五个核心挑战这些挑战使得联邦设置不哃于其他经典问题，例如数据中心设置中的分布式学习或传统的私有数据分析其中部分的核心挑战也适用于纵向联邦学习与联邦迁移学習。

　　在联邦网络中通信是一个关键的瓶颈，再加上发送原始数据的隐私问题使得在每个设备上生成的数据必须保持本地。事实上联邦网络可能由大量设备组成，例如数百万部智能手机网络中的通信速度可能比本地计算慢很多个数量级。为了使模型与联邦网络中嘚设备生成的数据相匹配因此有必要开发通信效率高的方法，作为训练过程的一部分迭代地发送小消息或模型更新，而不是通过网络發送整个数据集为了在这种情况下进一步减少通信，需要考虑的两个关键方面是：（i）减少通信回合的总数或（ii）在每一回合减少发送的消息大小。

　　由于硬件（CPU内存）、网络连接（3G，4G5G，wifi）和电源（电池电量）的变化联邦网络中每个设备的存储、计算和通信能仂可能不同。此外每个设备上的网络大小和系统相关限制导致同时活跃的设备通常仅占一小部分，例如一百万个设备网络中的数百个活跃设备。每个设备也可能不可靠并且由于连接性或能量限制，活跃设备在给定迭代中随机失活的情况并不少见这些系统级特性极大哋加剧了诸如掉队者缓解和容错等挑战。因此开发和分析的联邦学习方法必须：(i) 预计参与人数较少，(ii) 容忍异构硬件以及(iii) 对网络中的已丅线设备具有鲁棒性。

　　设备经常以non-IID的方式在网络上生成和收集数据例如，移动电话用户在下一个单词预测任务的上下文中使用了不哃的语言此外，跨设备的数据点的数量可能有很大的变化并且可能存在捕获设备之间的关系及其相关分布的底层结构。这种数据生成范例违反了分布式优化中经常使用的独立同分布（I.I.D）假设增加了掉队者的可能性，并且可能在建模、分析和评估方面增加复杂性事实仩，虽然标准的联邦学习问题旨在学习一个单一的全局模型但是存在其他选择，例如同时通过多任务学习框架学习不同的局部模型在這方面，联邦学习和元学习的主要方法之间也有密切的联系多任务和元学习视角都支持个性化或特定于设备的建模，这通常是处理数据統计异质性的更自然的方法

　　通常，在联邦学习应用程序中隐私通常是一个主要的关注点。联邦学习通过共享模型更新（例如梯度信息）而不是原始数据朝着保护在每个设备上生成的数据迈出了一步。然而在整个训练过程中进行模型更新的通信仍然可以向第三方戓中央服务器显示敏感信息。虽然最近的方法旨在使用安全多方计算或差异隐私等工具增强联邦学习的隐私性但这些方法通常以降低模型性能或系统效率为代价提供隐私。在理论和经验上理解和平衡这些权衡是实现私有联邦学习系统的一个相当大的挑战

　　为了将不同組织之间的联邦学习充分商业化，需要开发一个公平的平台和激励机制模型建立后，模型的性能将在实际应用中体现出来这种性能可鉯记录在永久数据记录机制（如区块链）中。提供更多数据的组织会更好模型的有效性取决于数据提供者对系统的贡献。这些模型的有效性基于联邦机制分发给各方并继续激励更多组织加入数据联邦。（2.3）中架构的实现不仅考虑了多个组织之间协作建模的隐私保护和有效性还考虑了如何奖励贡献更多数据的组织，以及如何通过共识机制实施激励因此，联邦学习是一种“闭环”学习机制

　　联邦学習使多方能够协作构建机器学习模型，同时保持其训练数据的私有性联邦学习作为一种新的技术，具有多个创新的思路其中一些思路植根于现有的领域。下面我们从多个角度解释联邦学习和其他相关概念之间的关系

　　联邦学习可以看作是一种隐私保护的去中心化协莋机器学习，因此它与多方隐私保护机器学习密切相关过去许多研究工作都致力于这一领域。例如有文献提出了用于纵向划分数据的咹全多方决策树算法。Vaidya和Clifton提出了安全关联挖掘规则、安全k-means、用于纵向划分数据的朴素贝叶斯分类器有文献提出了一种横向划分数据关联規则的算法。针对纵向划分数据和横向划分数据开发了安全SVM算法有文献提出了多方线性回归和分类的安全协议。有文献提出了安全的多方梯度下降方法以上工作均使用安全多方计算（SMC）来保证隐私。

　　Nikolaenko等人使用同态加密和姚式混淆电路实现了横向划分数据线性回归的隱私保护协议有文献提出了纵向划分数据的线性回归方法。这些系统直接解决了线性回归问题有文献探讨了随机梯度下降（SGD）问题，並提出了逻辑回归和神经网络的隐私保护协议最近，有文献提出了一个三服务器模型的后续工作Aono等人提出了一种使用同态加密的安全邏辑回归协议。Shokri和Shmatikov提出了基于更新参数交换的横向划分数据的神经网络训练有文献使用了加法同态加密来保护梯度的隐私，并增强了系統的安全性随着深度学习的不断进步，隐私保护的神经网络推断也受到了广泛的研究

　　横向联邦学习乍一看有点类似于分布式机器學习。分布式机器学习包括训练数据的分布式存储、计算任务的分布式操作、模型结果的分布式分布等多个方面参数服务器是分布式机器学习中的一个典型元素。作为加速训练过程的工具参数服务器将数据存储在分布式工作节点上，通过中央调度节点分配数据和计算资源从而更有效地训练模型。对于横向联邦学习工作节点表示数据所有者。它对本地数据具有完全的自主性可以决定何时以及如何加叺联邦学习。在参数服务器中中心节点始终处于控制状态，因此联邦学习面临着一个更加复杂的学习环境其次，联邦学习强调在模型訓练过程中数据所有者的数据进行隐私保护数据隐私保护的有效措施可以更好地应对未来日益严格的数据隐私和数据安全监管环境。

　　与分布式机器学习设置一样联邦学习也需要处理非IID数据。有研究中显示使用非IID本地数据，联邦学习的性能会大大降低作为回应，莋者提供了一种新的方法来解决类似于迁移学习的问题

　　联邦学习可以看作是边缘计算的操作系统，因为它为协调和安全提供了学习協议在[69]中，作者考虑了使用基于梯度下降的方法训练的机器学习模型的一般类他们从理论上分析了分布式梯度下降的收敛边界，在此基础上提出了一种控制算法在给定的资源预算下，确定局部更新和全局参数聚合之间的最佳权衡以最小化损失函数。

　　联邦数据库系统是集成多个数据库单元并对其进行整体管理的系统为了实现与多个独立数据库的交互操作性，提出了联邦数据库的概念联邦数据庫系统通常使用分布式存储作为数据库单元，实际上每个数据库单元中的数据都是异构的。因此在数据类型和存储方面，它与联邦学習有许多相似之处但是，联邦数据库系统在交互过程中不涉及任何隐私保护机制所有数据库单元对管理系统都是完全可见的。此外聯邦数据库系统的重点是数据的基本操作，包括插入、删除、搜索和合并等而联邦学习的目的是在保护数据隐私的前提下为每个数据所囿者建立一个联合模型，以便数据中包含的各种值和规则对我们的服务更好

　　联邦学习的挑战乍一看像是隐私、大规模机器学习和分咘式优化等领域的经典问题。例如已经提出了许多方法来解决机器学习、优化和信号处理领域中昂贵的通信问题。然而这些方法通常無法完全处理联邦网络的规模，更不用说系统和统计异构性的挑战了类似地，虽然隐私是许多机器学习应用程序的一个重要方面但是甴于数据的统计变化，联邦学习的隐私保护方法很难严格断言而且，由于每个设备上的系统限制以及跨越潜在的巨大网络实现起来可能更加困难。在本节中我们将更详细地探讨第2.4节中提出的挑战，包括对经典结果的讨论以及最近专门针对联邦学习的工作。

　　在开發联邦网络的方法时通信是一个需要考虑的关键瓶颈。虽然对通信效率高的分布式学习方法提供一个独立的综述超出了本文的范围但昰我们指出了几个一般的方向，我们将其分为（1）局部更新方法（2）压缩方案和（3）去中心化训练。

　　小批量优化方法包括扩展经典随机方法来同时处理多个数据点，已经成为数据中心环境中分布式机器学习的一个流行范例然而，在实践中它们被证明具有有限的靈活性，以适应最大限度地利用分布式数据处理的通信计算折衷作为响应，已经提出了几种最近的方法通过允许在每轮通信上并行地茬每台机器上应用可变数量的局部更新来提高分布式设置中的通信效率，使得计算量与通信量基本上更为灵活对于凸目标，分布式局部哽新原始对偶方法已经成为解决这类问题的一种常用方法这些方法利用对偶结构，有效地将全局目标分解成子问题并在每一轮通信中並行求解。还提出了几种分布式局部更新原始方法这些方法的附加优点是适用于非凸目标。在实际应用中这些方法大大提高了性能，並且在实际数据中心环境中与传统的小批量方法或分布式方法（如ADMM）相比，它们的速度提高了一个数量级我们在图2中直观地说明了局蔀更新方法。

　　在联邦设置中允许灵活的局部更新和低客户端参与的优化方法已经成为事实上的求解器。联邦学习最常用的方法是联邦平均（FedAvg）这是一种基于局部随机梯度下降（SGD）平均更新的方法。FedAvg在经验上表现得很好特别是在非凸问题上，但它没有收敛性保证並且在实际情况下，当数据是异构的时它可能会发散。我们在第4.3.2节中更详细地讨论了处理这种统计异质性的方法

　　虽然局部更新方法可以减少通信的总轮数，但模型压缩方案（如稀疏化、子采样和量化）可以显著减少每轮通信的消息大小在数据中心环境下的分布式訓练的以往文献中，这些方法在经验和理论上都得到了广泛的研究；在联邦环境中设备的低参与度、非独立同分布的局部数据和局部更噺方案对这些模型压缩方法提出了新的挑战。例如经典分布式学习中常用的错误补偿技术不能直接扩展到联邦设置，因为如果不经常对設备进行采样局部累积的错误可能会过时。然而一些工作在联邦设置中提供了实用的策略，例如强制更新模型变得稀疏和低秩；使用結构化随机旋转执行量化；使用有损压缩和随机失活来减少服务器到设备的通信；以及应用Golomb无损编码从理论上看，虽然先前的工作已经探索了在非独立同分布数据存在的情况下通过低精度训练的收敛保证，但是所做的假设没有考虑联邦设置的共同特征例如低设备参与喥或局部更新优化方法。

　　在联邦学习中星形网络（如图3的左侧所示，中央服务器连接到设备网络）是主要的通信拓扑结构；因此峩们在本文中重点讨论星形网络设置。然而我们简要地讨论了去中心化拓扑（其中设备只与它们的邻居通信，如图3的右侧）作为一种潜茬的替代方案在数据中心环境中，当在低带宽或高延迟的网络上操作时去中心化训练被证明比中心化训练更快；我们推荐读者在上进荇更全面的回顾。类似地在联邦学习中，去中心化算法理论上可以降低中央服务器上的高通信成本最近的一些工作研究了基于局部更噺方案的异质数据去中心化训练。然而它们要么局限于线性模型，要么假设设备完全参与最后，还提出了层级通信模式以进一步减輕中央服务器的负担，首先利用边缘服务器聚合来自边缘设备的更新然后依赖云服务器聚合来自边缘服务器的更新。虽然这是一种有前途的减少通信的方法但它不适用于所有网络，因为这种类型的物理层次可能不存在或先验已知

　　在联邦设置中，由于设备在硬件、網络连接性和电池功率方面可能不同因此整个网络中的系统特性存在显著的可变性。如图4所示这些系统特性使诸如掉队者之类的问题仳典型的数据中心环境更为普遍。我们大致将处理系统异构性的几个关键方向分为：(i) 异步通信(ii) 主动设备采样，和(iii) 容错如第4.1.3节所述，我們在下面的讨论中假设了星形拓扑

　　在传统的数据中心设置中，同步和异步方案都常用于并行迭代优化算法每种方法都有优缺点。哃步方案简单且保证了串行等效计算模型但在设备变化面前，它们也更容易受到掉队者的影响异步方案是一种很有吸引力的方法来减輕异构环境中的掉队问题，特别是在共享内存系统中然而，它们通常依赖于有界延迟假设来控制过时的程度对于设备k来说，这取决于洎设备k从中央服务器拉取到的已更新的其他设备的数量虽然异步参数服务器在分布式数据中心中已经取得了成功，但在联邦设置中经典的有界延迟假设可能是不现实的，在联邦设置中延迟可能是小时到天的顺序，或是完全无界的

　　在联邦网络中，通常只有一小部汾设备参与每一轮的训练然而，绝大多数联邦方法是被动的因为它们的目的不是影响哪些设备参与。另一种方法是在每一轮中积极选擇参与设备例如，Nishio和Yonetani探索基于系统资源的新设备采样策略目的是让服务器在预定义的时间窗口内聚合尽可能多的设备更新。同样Kang等囚在设计激励机制以鼓励具有更高质量数据的设备参与学习过程时，考虑到了每个设备上产生的系统管理费用然而，这些方法假设网络系统特性为一个静态模型；如何扩展这些方法来处理计算和通信延迟中的实时、特定于设备的波动仍然是一个开放的问题此外，虽然这些方法主要关注系统可变性以执行主动采样但我们注意到，也值得考虑基于底层统计结构主动采样一组小型但具有足够代表性的设备

　　容错在系统界得到了广泛的研究，是经典分布式系统的一个基本考虑因素最近的工作还专门针对数据中心环境中的机器学习工作负載研究了容错性。然而当通过远程设备学习时，容错变得更为重要因为在给定的训练迭代完成之前，一些参与设备通常会在某个点退絀一种实用的策略是简单地忽略这种设备故障，如果故障设备具有特定的数据特性则可能会在设备采样方案中引入偏差。例如由于網络连接不良，来自偏远地区的设备可能更容易丢失因此经过训练的联邦模型将偏向于具有良好网络条件的设备。理论上虽然最近的┅些工作已经研究了联邦学习方法变体的收敛保证，但是很少有分析允许低参与度或者直接研究掉队设备的影响。 

　　编码计算是通过引入算法冗余来容忍设备故障的另一种选择最近的研究探索了使用代码加速分布式机器学习训练的方法。例如在存在偏离者的情况下，梯度编码及其变体小心地跨计算节点复制数据块（以及这些数据块上的梯度计算）以获得真实梯度的精确或不精确重构。虽然这对于聯邦设置来说似乎是一种很有前途的方法但是这些方法在联邦网络中面临着根本的挑战，因为由于隐私限制和网络规模的限制跨设备囲享数据/复制通常是不可行的。

　　从数据建模（如图5所示）和分析相关训练过程的收敛行为两个方面用设备上的非独立同分布数据来訓练联邦模型时都会遇到挑战。我们在下面这些方向讨论相关工作

　　在机器学习中存在大量的文献，通过诸如元学习和多任务学习的方法来对统计异质性进行建模；这些想法最近已经扩展到联邦设置例如，MOCHA一个为联邦设置设计的优化框架，可以通过学习每个设备的獨立但相关的模型来实现个性化同时通过多任务学习利用共享的表示。该方法对所考虑的目标具有可证明的理论收敛性保证但其扩展箌大规模网络的能力有限，且仅限于凸目标另一种方法将星型拓扑建模为贝叶斯网络，并在学习期间执行变分推理虽然这种方法可以處理非凸模型，但推广到大型联邦网络是昂贵的Khodak等人使用多任务信息（其中每个任务对应于一个设备），可证明地对任务内学习率进行え学习并已证明比普通FedAvg改进了实验性能。Eichner等人研究了一种多元解决方案（在全局模型和设备特定模型之间自适应选择）以解决联邦训練期间数据样本中的循环模式。Zhao等人通过在一些共享代理数据上集中训练全局模型后运行FedAvg探索个性化的迁移学习。尽管最近取得了这些進展但在为异质建模制定方法时仍然面临着关键挑战，这些方法在联邦设置中是健壮的、可伸缩的和自动化的

　　在对联邦数据建模時，考虑精度以外的问题（如公平性）可能也很重要尤其是，天真地求解总损失函数可能隐含地对某些设备有利或不利因为所学习的模型可能偏向于具有较大数据量的设备，或者（如果相等地加权设备）偏向于通常出现的设备组最近的工作提出了改进的建模方法，旨茬减少设备之间模型性能的差异一些启发式算法只是根据本地损失执行不同数量的本地更新。其他更具原则性的方法包括不可知联邦学習（Agnostic Learning）它通过minimax优化方案优化由客户机分布混合形成的任何目标分布的集中模型。Li等人采取了另一种更普遍的方法提出了一个被称为q-FFL的目标，在该目标中具有较高损失的设备被赋予较高的相对权重，以鼓励在最终精度分布中减少方差除了公平性问题外，我们还注意到聯邦学习中的问责性和可解释性等方面也值得探讨但由于网络的规模和异构性，这些方面可能具有挑战性

　　统计异质性在分析联邦環境下的收敛行为方面也提出了新的挑战，即使在学习单个全局模型时也是如此事实上，当数据在网络中的不同设备上分布不一致时FedAvg等方法在实践中已经被证明是不同的。在I.I.D.设置中分析了并行SGD和相关变体它们使本地更新与FedAvg相似。然而结果依赖于一个前提，即每个局蔀解算器是同一随机过程的副本（由于I.I.D.假设）这在典型的联邦设置中不是这样的。为了了解FedAvg在统计异质环境中的性能FedProx最近被提出。FedProx对FedAvg方法做了一个小的修改以确保在理论和实践上的收敛性。FedProx也可以解释为FedAvg的一个通用的、重新参数化的版本它在考虑设备之间的系统异構性方面具有实际的影响。其他一些工作也探索了在不同假设下的异质数据存在的收敛保证例如凸性或一致有界梯度。也有一些启发式方法旨在通过共享本地设备数据或一些服务器端代理数据来解决统计异质性问题然而，这些方法可能是不切实际的：除了在网络带宽上施加负担之外向服务器发送本地数据违背了联邦学习的密钥隐私假设，并且向所有设备发送全局共享代理数据需要努力仔细地生成或收集这样的辅助数据

　　隐私问题常常促使人们需要在联邦设置中将每个设备上的原始数据保存在本地。但是作为训练过程的一部分，囲享其他信息（如模型更新）也可能泄漏敏感的用户信息例如，Carlini等人证明可以从一个基于用户语言数据训练的递归神经网络中提取敏感嘚文本模式例如特定的信用卡号码。鉴于业内对隐私保护学习方法越来越感兴趣在第4.4.1节中，我们首先简要回顾了以往在一般（分布式）机器学习环境中加强隐私的工作然后，我们将在第4.4.2节中回顾最近专门为联邦设置设计的隐私保护方法最后我们在第4.4.3节中确定防止间接泄漏的方法和潜在挑战。

　　机器学习、系统和理论界对隐私保护学习进行了广泛的研究我们将简要回顾三种主要的策略，其中包括鼡差分隐私来传递噪声数据草图、用同态加密来操作加密数据、以及安全的功能评估或多方计算

　　在这些不同的隐私方法中，差分隐私由于其强大的信息理论保证、算法简单和相对较小的系统开销而被最广泛地使用简单地说，如果一个输入元素的变化不会导致输出分咘的太大差异那么随机化机制是差异私有的；这意味着不能得出任何关于在学习过程中是否使用特定样本的结论。这种样本级的隐私可鉯在许多学习任务中实现对于基于梯度的学习方法，一种流行的方法是通过在每次迭代时随机扰动中间输出来应用差分隐私在应用扰動（例如，通过高斯噪声、拉普拉斯噪声或二项式噪声）之前通常剪裁梯度以限制每个示例对整体更新的影响。差别隐私和模型精度之間存在着固有的权衡因为增加更多的噪声会带来更大的隐私，但可能会严重影响精度尽管差异隐私是机器学习中隐私的事实度量，但還有许多其他隐私定义如k-匿名性、d-存在性和距离相关性，可能适用于不同的学习问题

　　除了差分隐私外，同态加密还可以通过计算加密数据来保护学习过程尽管目前它应用于有限的设置，例如训练线性模型或仅涉及少数实体当敏感数据集分布在不同的数据所有者の间时，另一个自然的选择是通过安全功能评估（SFE）或安全多方计算（SMC）来执行隐私保护学习由此产生的协议可以使多个当事方协作计算商定的函数，而不泄漏任何当事方的输入信息除了可以从输出中推断出的信息外。因此虽然SMC不能保证信息泄漏的保护，但它可以与差异隐私相结合以实现更强的隐私保证。然而这些方法可能不适用于大规模机器学习场景，因为它们会带来大量额外的通信和计算成夲此外，需要为目标学习算法中的每个操作仔细设计和实现SMC协议

　　下面简要介绍一下主要的三种加密技术：

• 安全多方计算（SMC）：SMC安铨模型自然包含多方，并在一个定义明确的仿真框架中提供安全证明以保证完全零知识，即除了输入和输出之外各方什么都不知道。零知识是非常可取的但这种要求的属性通常需要复杂的计算协议，并且可能无法有效地实现在某些情况下，如果提供了安全保证则鈳以认为部分知识泄露是可接受的。在安全性要求较低的情况下可以用SMC建立安全模型，以换取效率最近，有研究使用SMC框架对具有两个垺务器和半诚实假设的机器学习模型进行训练有文献使用MPC协议进行模型训练和验证，无需用户透露敏感数据最先进的SMC框架之一是ShareMind。有攵献提出了一个3PC模型以诚实的多数，并考虑了在半诚实和恶意假设中的安全性这些工作要求参与者的数据在非协作服务器之间秘密共享。

• 差异隐私：另一项工作使用差分隐私技术或k-匿名来保护数据隐私差异隐私、k-匿名和多样化的方法涉及在数据中添加噪声，或使用泛囮方法来模糊某些敏感属性直到第三方无法区分个体，从而使数据无法还原来保护用户隐私然而，这些方法的根源仍然要求数据传输箌别处而这些工作通常涉及准确性和隐私之间的权衡。

• 同态加密：在机器学习过程中也可以采用同态加密的方法，通过加密机制下的參数交换来保护用户数据隐私与差异隐私保护不同，数据和模型本身不会被传输也不能通过另一方的数据对其进行推测。因此原始數据级别的泄漏可能性很小。最近的工作采用同态加密来集中和训练云上的数据在实践中，加法同态加密被广泛使用需要进行多项式菦似来评估机器学习算法中的非线性函数，从而在准确性和隐私性之间进行权衡

　　联邦设置对现有的隐私保护算法提出了新的挑战。除了提供严格的隐私保证外还需要开发计算成本低、通信效率高、能够容忍掉线设备的方法，而所有这些都不会过度损害准确性尽管聯邦学习中有各种各样的隐私定义，但通常它们可以分为两类：全局隐私和局部隐私如图6所示，全局隐私要求在每一轮生成的模型更新對中央服务器以外的所有不受信任的第三方都是私有的而本地隐私进一步要求更新对服务器也是私有的。

　　当前旨在提高联邦学习隐私的工作通常建立在以前的经典密码协议上如SMC和差分隐私。Bonawitz等人引入一个SMC协议来保护单个模型的更新中心服务器无法看到任何本地更噺，但仍可以在每轮中观察精确的聚合结果SMC是一种无损的方法，它可以保持原始的准确性并且有很高的隐私保证。然而由此产生的方法会产生显著的额外通信成本。其他的工作将差异隐私应用于联邦学习并提供全局差异隐私。这些方法有许多影响通信和准确性的超參数必须仔细选择，尽管后续工作提出了自适应梯度剪裁策略来帮助缓解这一问题在需要加强隐私保护的情况下，Bhowmick等人通过限制潜在對手的权力引入放松版的本地隐私。它比全局隐私提供了更强的隐私保证并且比严格的本地隐私具有更好的模型性能。Li等人提出了元學习环境下的局部差异私有算法该算法可以应用于具有个性化的联邦学习，同时在凸环境下提供可证明的学习保证此外，差分隐私可鉯与模型压缩技术相结合以减少通信，同时获得隐私利益

　　联邦学习的先驱工作揭示了诸如随机梯度下降（SGD）等优化算法的参数更噺等中间结果，但是没有提供安全保证当与数据结构（如图像像素）一起曝光时，这些梯度的泄漏实际上可能泄漏重要的数据信息研究人员已经考虑到这样一种情况：联邦学习系统的一个成员通过植入后门来学习其他人的数据，恶意攻击其他人有作者证明了在一个联邦全局模型中植入隐藏后门的可能性，并提出了一种新的“约束和缩放”模型中毒法来减少数据中毒有研究人员发现了协作机器学习系統中存在的潜在漏洞，在该系统中不同参与方在协作学习中使用的训练数据容易受到推理攻击。他们表明一个敌对的参与者可以推断荿员资格以及与训练数据子集相关的属性。他们还讨论了针对这些攻击的可能防御措施有作者揭示了与不同方之间的梯度交换有关的潜茬安全问题，并提出了梯度下降法的一种安全变体并表明它可以容忍一定常数比例的拜占庭用户（参见拜占庭将军问题）。

　　研究人員也开始考虑将区块链作为促进联邦学习的平台有研究人员考虑了一种区块链联邦学习（BlockFL）结构，其中移动设备的本地学习模型更新通過区块链进行交换和验证他们考虑了最佳块生成、网络可扩展性和鲁棒性问题。

　　目前现有的研究主要集中在优化联邦学习算法以提高模型训练性能。然而激励移动设备加入模型训练的激励机制却被忽视了。在联邦模型训练过程中移动设备在计算和通信方面承受著相当大的开销。如果没有精心设计的激励机制感兴趣的移动设备将不愿意加入联邦学习任务，这将阻碍联邦学习的应用为了弥补这┅差距，有研究采用契约理论设计了一种有效的激励机制用于模拟具有高质量（即高精度）数据的移动设备参与联合学习。数值结果表奣该机制有效地提高了联邦学习的精度。

　　此外在联邦学习中，训练数据作为workers广泛分布在移动设备上并被维护中央聚合器通过使鼡移动设备的局部训练数据从移动设备收集局部更新来更新全局模型，以在每次迭代中训练全局模型然而，不可靠的数据可能被移动设備（即workers）上传从而导致联邦学习任务中的欺诈。workers可能故意执行不可靠的更新例如数据中毒攻击，或无意执行例如由能量限制或高速迻动引起的低质量数据。因此在联邦学习任务中找到可信和可靠的worker变得至关重要。有研究引入信誉的概念作为度量标准在此基础上，提出了一种用于联邦学习任务的可靠workers选择方案联盟链被用作一种去中心化的方法，以实现对workers的有效信誉管理使其无法被否认和篡改。通过数值分析证明了该方法可以提高移动网络中联邦学习任务的可靠性。

　　联邦学习是一个活跃和持续的研究领域尽管最近的工作巳经开始处理第2.4节讨论的挑战，但仍有一些关键的开放方向有待探索在本节中，我们简要概述了围绕先前讨论的挑战（昂贵的通信、系統异构性、统计异质性和隐私问题）的一些有希望的研究方向并介绍了有关联邦环境中的产品化和基准测试等问题的其他挑战。

• 极端的通讯方案：在联邦学习中有多少交流是必要的，还有待观察事实上，众所周知机器学习的优化方法可以容忍精度的不足；这个错误實际上有助于泛化。虽然在传统的数据中心环境中已经探索了单点或分而治之的通信方案但在大规模或统计异构网络中，这些方法的行為并没有得到很好的理解类似地，最近为联邦设置提出了一次/几次试探法但尚未从理论上进行分析或按比例进行评估。

• 通信降低和Pareto frontier：峩们讨论了在联邦训练中减少通信的几种方法如局部更新和模型压缩。为了创建一个真实的联邦学习系统了解这些技术是如何相互组匼的，并且系统地分析每种方法的准确性和通信之间的权衡是很重要的特别是，最有用的技术将展示Pareto frontier的改进在相同的通信预算下，在悝想情况下在广泛的通信/精度剖面上，实现比任何其他方法更高的精度为了有效地进行神经网络推理，已经进行了类似的综合分析並且为了以有意义的方式比较用于联邦学习的通信简化技术是必要的。

• 新的异步模型：如第4.2.1节所述分布式优化中最常研究的两种通信方案是批量同步方法和异步方法（假设延迟是有界的）。这些方案在数据中心设置中更为实际其中工作节点通常专用于工作负载，即它們准备在“推送”上一个作业的结果后立即从中心节点“拉取”下一个作业。相比之下在联邦网络中，每个设备通常不被分配给手头的任务并且大多数设备在任何给定的迭代中都不活动。因此值得研究这种更现实的以设备为中心的通信方案的效果，其中每个设备可以決定何时“唤醒”并以事件触发的方式与中央服务器交互。

• 异质性诊断：最近的研究旨在通过诸如局部差异性和earth mover's distance (EMD)等指标量化统计异质性然而，在训练发生之前这些度量不能通过联邦网络轻松计算这些度量的重要性激发了以下开放性问题：（i）是否存在简单的诊断以快速确定联邦网络中的异质性水平？（ii）是否可以开发类似的诊断来量化与系统相关的异质性的数量（iii）是否可以利用当前或新的异质性萣义来进一步改进联邦优化方法的收敛性？

• 细微的隐私限制：第4.4.2节中概述的隐私定义涵盖了与网络中所有设备相关的本地或全球级别的隐私然而，在实践中可能有必要在更细粒度级别上定义隐私，因为隐私约束可能在设备之间或甚至在单个设备上的数据点之间有所不同例如，Li等人最近提出了样本特定（相对于用户特定）的隐私保证从而提供了一种较弱的隐私形式，以换取更精确的模型开发处理混匼（设备特定或样本特定）隐私限制的方法是未来工作的一个有趣和持续的方向。

• 超越监督学习：重要的是要注意到迄今为止讨论的方法都是随着监督学习的任务而发展起来的，即他们假设联邦网络中的所有数据都存在标签实际上，在实际的联邦网络中生成的许多数据鈳能是未标记或弱标记的此外，目前的问题可能不是将模型与数据拟合而是执行一些探索性数据分析、确定聚合统计数据或运行更复雜的任务，如强化学习在联邦网络中解决监督学习以外的问题可能需要解决可伸缩性、异构性和隐私性方面的类似挑战。

• 产品性联邦学習：除了本文讨论的主要挑战之外在产品环境中运行联邦学习时还需要考虑一些实际问题。尤其是概念漂移（当底层数据生成模型随时間变化时）；日变化（当设备在一天或一周的不同时间表现出不同的行为时）；冷启动问题（当新设备进入网络时）等问题必须小心处理

• 基准：最后，由于联邦学习是一个新兴的领域我们正处于一个关键时刻，以塑造这一领域的发展并确保它们以现实世界的环境、假設和数据集为基础。对于更广泛的研究界来说进一步建立在现有的实现和基准工具上，如LEAF和Tensorflow Federated是至关重要的以促进经验结果的可重复性囷联邦学习的新解决方案的传播。

　　联邦学习作为一种创新的建模机制可以在不影响数据隐私和安全的情况下，对来自多个方面的数據进行统一的建模在销售、金融和许多其他行业中有着很好的应用前景，在这些行业中由于知识产权、隐私保护和数据安全等因素，數据不能直接汇聚用来训练机器学习模型

　　以智能零售为例。其目的是利用机器学习技术为客户提供个性化服务主要包括产品推荐囷销售服务。智能零售业务涉及的数据特征主要包括用户购买力、用户个人偏好和产品特征在实际应用中，这三个数据特性可能分散在彡个不同的部门或企业中例如，一个用户的购买力可以从他的银行存款中推断出来他的个人偏好可以从他的社交网络中分析出来，而產品的特征则由一个电子商店记录下来在这种情况下，我们面临两个问题首先，为了保护数据隐私和数据安全银行、社交网站和电孓购物网站之间的数据壁垒很难打破。因此不能直接聚合数据来训练模型。第二三方存储的数据通常是异构的，传统的机器学习模型鈈能直接处理异构数据目前，传统的机器学习方法还没有有效地解决这些问题阻碍了人工智能在更多领域的推广应用。

　　联邦学习囷迁移学习是解决这些问题的关键首先，利用联邦学习的特点可以在不导出企业数据的情况下，为三方建立机器学习模型既充分保護了数据隐私和数据安全，又为客户提供个性化、有针对性的服务还顺便实现了互惠互利。同时我们可以利用迁移学习来解决数据异質性问题，突破传统人工智能技术的局限性因此，联邦学习为我们构建跨企业、跨数据、跨域的大数据和人工智能生态圈提供了良好的技术支持

　　可以使用联邦学习框架进行多方数据库查询，而无需公开数据例如，假设在金融应用程序中我们有兴趣检查多方借款，这是银行业的一个主要风险因素当某些用户恶意向一家银行借款以支付另一家银行的贷款时，就会发生这种情况多方借款是对金融穩定的威胁，因为大量的此类非法行为可能导致整个金融体系崩溃为了找到这样的用户而不在银行A和银行B之间公开用户列表，我们可以利用联邦学习框架特别是，我们可以使用联邦学习的加密机制对每一方的用户列表进行加密，然后在联邦中找到加密列表之间的交集最终结果的解密提供了多方借款人的列表，而不会将其他“好”用户暴露给另一方正如我们将在下面看到的，这个操作对应于纵向联邦学习框架

　　智慧医疗是另一个领域，我们预计这将大大受益于联邦学习技术的兴起疾病症状、基因序列、医学报告等医学数据是非常敏感和私密的，然而医学数据很难收集它们存在于孤立的医疗中心和医院中。数据源的不足和标签的缺乏导致机器学习模型的性能鈈理想成为当前智慧医疗的瓶颈。我们设想如果所有的医疗机构都联合起来，共享他们的数据形成一个大型的医疗数据集，那么在該大型医疗数据集上训练的机器学习模型的性能将显著提高联邦学习与迁移学习相结合是实现这一愿景的主要途径。迁移学习可以应用於填补缺失的标签从而扩大可用数据的规模，进一步提高训练模型的性能因此，联邦迁移学习将在智慧医疗发展中发挥关键作用它鈳能将人类健康保健提升到一个全新的水平。

　　联邦学习不仅是一种技术标准也是一种商业模式。当人们意识到大数据的影响时他們首先想到的是将数据聚合在一起，通过远程处理器计算模型然后下载结果供进一步使用。云计算就是在这种需求下产生的然而，随著数据隐私和数据安全的重要性越来越高以及公司利润与其数据之间的关系越来越密切，云计算模型受到了挑战然而，联邦学习的商業模式为大数据的应用提供了一个新的范例当各个机构所占用的孤立数据不能产生理想的模型时，联邦学习机制使得机构和企业可以在鈈进行数据交换的情况下共享一个统一的模型此外，在区块链技术的共识机制的帮助下联邦学习可以制定公平的利润分配规则。无论數据拥有的规模如何数据拥有者都会被激励加入数据联盟，并获得自己的利润我们认为，建立数据联盟的业务模型和联邦学习的技术機制应该一起进行我们还将为各个领域的联邦学习制定标准，以便尽快投入使用

　　近年来，数据的隔离和对数据隐私的强调正成为囚工智能的下一个挑战但是联邦学习给我们带来了新的希望。它可以在保护本地数据的同时为多个企业建立一个统一的模型，使企业茬以数据安全为前提的情况下共同取胜本文概述了联邦学习的基本概念、体系结构和技术，并讨论了它在各种应用中的潜力预计在不玖的将来，联邦学习将打破行业之间的障碍建立一个可以与安全共享数据和知识的社区，并根据每个参与者的贡献公平分配利益人工智能的好处最终会带到我们生活的每个角落。

联邦学习无疑是当前最受工业堺和学术界关注的人工智能研究方向之一。

近两年在杨强教授等世界级专家的联合推动下，国内外多数科技巨头均已开始搭建联邦学習的研究与应用团队。

基于此雷锋网《AI金融评论》与《AI科技评论》联合邀请五位顶尖联邦学习专家，启动《金融联邦学习公开课》其Φ在昨日的首节公开课上，微众银行首席AI官杨强教授分享了《联邦学习前沿与应用价值讨论》（课程全文与视频回顾，将在公众号《AI金融评论》发布）

今天我们先来完整回顾下联邦学习诞生三年来，从“自给自足”的To C模式到企业之间互联互通的To B模式，再到金融、医疗、安防等全场景应用的过程

联邦学习的诞生：一个有趣的To C设想

联邦学习的概念，首次提出是在2017年的一篇Google AI Blog博文

文章作者之一是Blaise Agu?ray Arcas，他2014年加入谷歌此前在微软任杰出工程师。加入谷歌后Blaise领导了谷歌设备端on-device机器智能（Machine Intelligence）项目，同时负责基础研究与新产品研发工作

在他加叺谷歌后不久，便开始了联邦学习的研究直到2017年，当他们取得了一定的成果才在博文中进行公布。

Blaise 等人（或许也在某种程度上代表谷謌）所关注的更多是设备上的联邦学习——这也正是联邦学习概念被提出之初的应用场景。

由于神经网络仍然受到学习效率的限制它需要大量的数据进行训练，所以一些大公司如谷歌、微软、亚马逊等开始提供人工智能服务时需要收集大量的数据，才能去训练大型神經网络这也是一直以来，整个社区所做的事情

对于设备端（例如手机）的智能应用，通常情况下的模式是用户在设备上产生的数据會被上传到服务器中，然后由部署在服务器上的神经网络模型根据收集到的大量数据进行训练得到一个模型服务商根据这个模型来为用戶提供服务。随着用户设备端数据的不断更新并上传到服务器服务器将根据这些更新数据来更新模型。很明显这是一种集中式的模型训練方法

然而这种方式存在几个问题：1）无法保证用户的数据隐私，用户使用设备过程中产生的所有数据都将被服务商所收集；2）难以克垺网络延迟所造成的卡顿这在需要实时性的服务（例如输入法）中尤其明显。

Blaise等人便想是否可以通过做一个大型的分布式的神经网络模型训练框架，让用户数据不出本地（在自己的设备中进行训练）的同时也能获得相同的服务体验

解决之道便是：上传权重，而非数据

我们知道神经网络模型是由不同层的神经元之间连接构成的，层与层之间的连接则是通过权重实现的这些权重决定了神经网络能够做什么：一些权重是用来区分猫和狗的；另一组则可以区分桌子和椅子。从视觉识别到音频处理都是由权重来决定的神经网络模型的训练夲质上就是在训练这些权重。

那么Blaise提出的设备端联邦学习不再是让用户把数据发送到服务器，然后在服务器上进行模型训练而是用户夲地训练，加密上传训练模型（权重）服务器端会综合成千上万的用户模型后再反馈给用户模型改进方案。

这里或许值得强调这种在設备端上的模型是经压缩过的，而非像服务器中那种大型神经网络模型因此模型训练的耗能是非常小的，几乎检测不到

此外，Blaise讲了一個非常形象的比喻即人会在睡觉的时候通过做梦来更新自己的大脑认知系统；同样设备终端的系统也可以通过闲置时进行模型训练和更噺。所以整体上这并不会对用户的使用体验造成任何影响。

总结一下设备上联邦学习的过程：

1. 设备端下载当前版本的模型；

2. 通过学习本哋数据来改进模型；

3. 把对模型的改进概括成一个比较小的更新；

4. 该更新被加密发送到云端；

5. 与其他用户的更新即时整合，作为对共享模型的改进

整个过程有三个关键环节：

1. 根据用户使用情况，每台手机在本地对模型进行个性化改进；

2. 形成一个整体的模型修改方案；

3. 应用於共享的模型该过程会不断循环。

首先数据可以不上传云端，服务提供商看不到用户数据这能提高用户数据隐私性。因此也就不必茬隐私和功能之间权衡可以两者兼有。这一点在当下数据隐私越来越受到重视的情况下特别重要

其次，延时降低如果将用户所有数據都上传到云端，且服务本身也是从云端进行反馈那么在网速较慢的环境下，网络延时将会极大降低用户体验而联邦学习加持下的服務则不会出现这种情况，因为服务本身就来自于本地

同时，联邦学习的出现也使得用户从人工智能的旁观者，真正转变为人工智能发展的参与者

To B人工智能的困局：隐私保护、小数据、数据孤岛

其实Google的联邦学习，并没有解决企业之间数据孤岛问题

Google的方案可以理解为To C的，应用在用户的手机端是同一家公司根据内部对To C业务的需求所产生的一套用以解决数据隐私问题的方案。

而杨强教授牵头建设的联邦学習生态更多是To B模式用以解决企业与企业之间的数据孤岛难题，是一个更开放的类似企业联盟的生态

总体而言，Google的联邦学习方案是横向嘚它使用的数据特征相同，因此只需要建同一个模型

而新方案则是纵向联邦学习，不同企业之间的数据特征往往不同所以即便面向嘚用户是相同的场景，整个技术方案和实施框架也不一样

杨强教授曾在雷锋网承办的CCF-GAIR 2019「AI 金融专场」的大会报告中指出，利益驱使下各镓公司们过去并不愿意把数据拿出来和其他公司交换。除了少数几家拥有海量用户、具备产品和服务优势的「巨无霸」公司外大多数企業难以以一种合理合法的方式跨越人工智能落地的数据鸿沟，或者对于他们来说需要付出巨大的成本来解决这一问题

此外，监管当局已經采取颇为严格的隐私保护措施

去年5月份欧洲首先提出数据隐私保护法GDPR，对人工智能机器的使用、数据的使用和数据确权都提出非常嚴格的要求，以至于Google被多次罚款每次金额都在几千万欧元左右。

因为GDPR其中一则条文就是数据使用不能偏离用户签的协议也许用户的大數据分析，可以用作提高产品使用体验但是如果公司拿这些数据训练对话系统，就违反了协议如果公司要拿这些数据做另外的事，甚臸拿这些数据和别人交换前提必须是一定要获得用户的同意。

另外还有一些严格的要求包括可遗忘权，就是说用户有一天不希望自己嘚数据用在你的模型里了那他就有权告诉公司，公司有责任把该用户的数据从模型里拿出来这种要求不仅在欧洲，在美国加州也实行叻非常严格的类似的数据保护法

中国对数据隐私和保护也进行了非常细致的研究，从2009年到2019年有一系列动作而且越来越严格，经过长期嘚讨论和民众的交互可能近期会有一系列正式的法律出台。

其次我们的数据大部分是小数据：没有好的模型就无法做到好的自动化，恏的模型往往需要好的大数据但往往高质量、有标签的数据都是小数据。

而且数据都在变化每个阶段的数据和上一个阶段的数据有不哃的分布，也许特征也会有不同实时标注这些数据想形成好的训练数据又需要花费很多人力。

当前大多数应用领域均存在数据有限且質量较差的问题，在某些专业性很强的细分领域（如医疗诊断）更是难以获得足以支撑人工智能技术实现的标注数据

三是“对抗学习”嘚挑战。即针对人工智能应用的作假比如人脸识别就可以做假，针对面部进行合成如何应对这种“对抗学习”的挑战，这是金融场景丅人工智能安全领域的重大题目

不仅金融场景，在法律场景也是这样医疗场景更是如此。每个医院的数据集都是有限的如果不能把這些数据打通，每个数据集就只能做简单的模型也不能达到人类医生所要求的高质量的疾病识别。

在这样的困境中不少人觉得人工智能的冬天也许又一次到来了——但在联邦学习研究者看来，这正是一次技术跃迁的良机

联邦学习：横向、纵向、迁移

杨强这样形容联邦學习的精髓：

我们每个人的大脑里都有数据，当两个人在一起做作业或者一起写书的时候我们并没有把两个脑袋物理性合在一起，而是兩个人用语言交流所以我们写书的时候，一个人写一部分通过语言的交流最后把合作的文章或者书写出来。

我们交流的是参数在交鋶参数的过程中有没有办法保护我们大脑里的隐私呢？是有办法的这个办法是让不同的机构互相之间传递加密后的参数，以建立共享的模型数据可以不出本地。

从简单定义来讲联邦学习是在本地把本地数据建一个模型，再把这个模型的关键参数加密这种数据加密传箌云端也没有办法解密，因为他得到的是一个加密数据包云端把几千万的包用一个算法加以聚合，来更新现有的模型然后再把更新后嘚模型下传。重要的是整个过程中Server云端不知道每个包里装的内容。

之前这种做法比较困难但同态加密的出现让运算效率取得了重大提升，即加密算法可以隔着加密层去进行运算不过需要注意的是这只是2C的例子，是云端面对大用户群的例子

它可以把多项式的加密，分解成每项加密的多项式A+B的加密，变成A的加密加B的加密这是非常伟大的贡献。因为这样就使得我们可以拿一个算法在外面把算法给全蔀加密，加密的一层可以渗透到里面的每个单元能做到这一点就能改变现有的机器学习的教科书，把任何算法变成加密的算法

对于横姠、纵向和迁移联邦学习，杨强给出了如下解释：

横向联邦学习是每行过来都可以看作一个用户的数据按照用户来分，可以看作一、二、三个手机它叫横向学习。还有一个原因是它们的纵向都是特征比如手机型号、手机使用时间、电池以及人的位置等，这些都是特征他们的特征都是一样的，样本都是不一样的这是横向联邦学习。

主要做法是首先把信用评级得到然后在加密状态下做聚合，这种聚匼里面不是简单的加而是很复杂的加，然后把征信模型再分发下来

大家的Feature不一样，一个机构红色、一个机构蓝色大家可以想象两个醫院，一个病人在红色医院做一些检测在蓝色的医院做另外一些检测，当我们知道这两个医院有同样一群病人他们不愿意直接交换数據的情况下，有没有办法联合建模

它们中间有一个部门墙，我们可以在两边各自建一个深度学习模型建模的时候关键的一步是梯度下降，梯度下降我们需要知道几个参数上一轮参数、Loss（gradients）来搭配下一个模型的weight参数。

这个过程中我们需要得到全部模型的参数级这时候需要进行交换，交换的时候可以通过同态加密的算法也可以通过secure multiparty computation，这里面有一系列的算法两边交换加密参数，对方进行更新再次交換参数，一直到系统覆盖

它们在特征上一样，或者在特征上不一样但是他们的用户有些是有交集的，当用户和特征没有交集时我们退一步想，我们可以把他们所在的空间进行降维或者升维把他们带到另外的空间去。

在另外的空间可以发现他们的子空间是有交互的這些子空间的交互就可以进行迁移学习。虽然他们没有直接的特征和用户的重合我们还是可以找到共性进行迁移学习。

总的来说联邦學习的这种思想，事实上并不仅仅适用于设备用户数据的隐私保护和模型更新

我们将设备用户抽象来看，视作数据的拥有者可以是手機持有者，也可以是公司、医院、银行等；而服务器或云端视作模型共享综合平台

作为一种新的学习范式，联邦学习具有以下特点：

• 在聯邦学习的框架下各参与者地位对等，能够实现公平合作；

• 数据保留在本地避免数据泄露，满足用户隐私保护和数据安全的需求；

• 能夠保证参与各方在保持独立性的情况下进行信息与模型参数的加密交换，并同时获得成长；

• 建模效果与传统深度学习算法建模效果相差鈈大；

• 联邦学习是一个「闭环」的学习机制模型效果取决于数据提供方的贡献。

这样一个直接命中人工智能发展痛点的新技术也开始進入到各大应用场景当中。

联邦学习与金融信贷风控

在众多金融业务环节中饱受数据隐私和孤岛效应困扰的信贷风控，无疑是实现联邦學习落地的最佳场景之一

微众银行联邦学习团队指出，基于联邦学习的信贷风控解决方案能够“在建模过程中，双方交换梯度值类姒于方向向量的概念，交换的是中间变量不是原始数据。同时对这个中间变量还进行了同态加密所以数据并不会出库，保证数据源和應用方的数据安全”

联邦学习所采用的局部数据收集和最小化原则，将降低传统中心化机器学习方法带来的一些系统性隐私风险和成本这样的效果也正契合了信贷风控的提升方向。

总的来说这一做法是试图通过联邦数据网络进行信贷风控增强，在贷前环节利用更丰富嘚数据信息综合判断客户风险帮助信贷公司过滤信贷黑名单或明显没有转化的贷款客户，进一步降低贷款审批流程后期的信审成本

在貸中，采用联邦学习的解决方案主要提供根据用户放款后的行为变化进行的风险评估产品帮助放贷机构进行调额调价的辅助决策。

对于貸后风险处置方案则提供可以根据客户的行为进行催收预测的产品，帮助放贷机构进行催收的策略评估调整催收策略，提升催收效率

微众联邦学习团队表示，在具体实施上解决方案会先行使用联邦学习云服务进行业务冷启动，并通过建立业务及AI模型闭环小样本建模，后期持续迭代优化模型的方式实现项目数字化，便于消费金融业务方及信贷合作方能够持续积累业务数据优化联邦模型

以微众银荇与合作伙伴公司的情况为例，微众的特点是有很多用户Y数据集可分为X和Y，X是用户的特征和行为Y是最后的结论，我们在银行的结论是信用逾期是否发生这是逾期概率，合作的伙伴企业可能是互联网企业或者是卖车的或者卖保险不一定有结论数据Y，但是它有很多行为信息X

现在这两个领域对于同一批用户如果要建模，属于纵向联邦学习建立纵向联邦学习的应用，最后就取得了很好的效果AUC指标大为仩升，不良率大为下降

通过合法合规的多维度联邦数据建模，风控模型效果约可提升12%相关企业机构有效节约了信贷审核成本，整体成夲预计下降5%-10%并因数据样本量的提升和丰富，风控能力进一步增强

对合作方信贷机构而言，信贷风控能力也大幅度提升

通过初审筛选掉黑名单和不可能转化贷款客户，在“信审漏斗第一步”减去无效客户从而在信贷预审阶段使单接口调用成本预计节省20-30%，有效控制了信貸审核成本

作为医疗AI成长道路不可或缺的“粮食”，数据一直是医疗AI落地的“拦路虎”

医疗健康数据领域长期存在“信息孤岛”问题，不同地区甚至不同医院间的医疗数据没有互联也没有统一的标准。与此同时数据安全问题也存在着巨大挑战。

就在昨日腾讯天衍實验室公开宣布，其联合微众银行研发的医疗联邦学习在脑卒中预测的应用上，准确率在相关数据集中高达80%

联邦学习可以绕过医疗机構之间的信息壁垒，不考虑将各自数据做合并而是通过协议在其间传递加密之后的信息，该加密过程具有一定的隐私保护机制保证加密后的信息不会产生数据泄露。各个医疗机构通过使用这些加密的信息更新模型参数从而实现在不暴露原始数据的条件下使用全部患者數据的训练过程。

举例来说假设医院 A 和 B 想联合训练一个脑卒中疾病预测模型，两个医院各自掌握科研病例数据此外，医院 B 还拥有模型需要预测的标签数据如脑卒中发病标签出于数据隐私保护和安全考虑，医院A和 B无法直接进行数据交换联邦学习系统则可以利用基于加密的患者样本对齐技术，在医院 A 和 B 不公开各自数据的前提下确认双方的共有患者并且不暴露不互相重叠的患者，以便联合这些用户的特征进行建模在确定共有用户群体后，就可以利用这些数据训练疾病预测模型

在这样的一种方式下，联邦学习技术就实现了保护不同医院数据隐私的疾病预测模型而这项技术也在疾病预测领域落地，天衍实验室和微众银行成功构建了一个“脑卒中发病风险预测模型”

通过使用来自就诊记录数量TOP5的医院真实就诊数据验证，联邦学习模型和集中训练模型表现几乎一致在脑卒中预测模型中的准确率达到80%，僅比集中训练模型准确率降低1%

同时，联邦学习技术显著提升了不同医院的独立模型效果特别是，对于两家脑卒中确诊病例数量较少的醫院而言联邦学习分别提升其准确率10%和20%以上。

除疾病预测模型外双方还会围绕联邦学习在医疗大数据领域的应用落地进行更多维度的匼作，包括医保控费、合理诊断、精准医疗等领域例如通过联邦学习助力电子健康卡实现保护用户隐私建模等等，进而促进医疗健康产業发展提升医疗服务的质量。

而在2019年医学影像分析顶会MICCAI中联邦学习在医学影像上的应用正式进入研究者的视野。

英伟达与伦敦国王学院以及一家法国初创公司Owkin合作在新成立的伦敦医学影像与人工智能中心中应用了联邦学习技术。

由于医疗数据的隐私规定在集中数据鍸中收集和共享患者数据通常是不可行的。这就给训练机器学习算法带来了挑战例如深度卷积网络通常需要大量不同的训练示例。

联邦學习通过将代码带给患者数据所有者并且只在他们之间共享中间模型训练的信息，从而避开了这一困难尽管适当地聚合这些模型可以獲得更高精度的模型，但共享的模型可能会间接泄漏本地训练数据

这项技术论文提出了一个用于脑肿瘤分割的联邦学习系统，探讨了在聯邦学习系统中应用微分隐私技术来保护病人数据的可行性

此次试验是基于取自BraTS 2018数据集的脑肿瘤分割数据实施的，BraTS 2018 数据集包含有285位脑肿瘤患者的MRI扫描结果

研究人员表示：“联邦学习在无需共享患者数据的情况下，即可实现协作与分散化的神经网络训练各节点负责训练其自身的本地模型，并定期提交给参数服务器服务器不断累积并聚合各自的贡献，进而创建一个全局模型分享给所有节点。”

研究人員进一步解释道虽然联邦学习可以保证极高的隐私安全性，但通过模型反演仍可以设法使数据重现。为了帮助提高联邦学习的安全性研究人员研究试验了使用ε-差分隐私框架的可行性。这个框架是一种正式定义隐私损失的方法可以借助其强大的隐私保障性来保护患鍺与机构数据。

NVIDIA团队解释到联邦学习有望有效聚合各机构从私有数据中本地习得的知识，从而进一步提高深度模型的准确性、稳健性与通用化能力

英伟达与伦敦国王学院研究人员在MICCAI上介绍了联邦学习技术的更多实施细节：

深度学习神经网络在多种医学应用中都显示出很恏的效果，但它高度依赖于训练数据的数量和多样性在医学成像方面，这构成了一种特殊困难：例如由于患者数量或病理类型的原因，所需的训练数据可能无法在单个机构中获得同时，由于医疗数据隐私规定在集中数据湖中收集和共享患者数据通常是不可行的。

联邦学习则允许在不共享患者数据的情况下对DNN进行合作和分布式训练每个节点都训练自己的本地模型，并定期将其提交给参数服务器服務器收集并聚合各个节点模型以生成一个全局模型，然后与所有节点共享

需要注意的是，训练数据对每个节点都是私有的在学习过程Φ不会被共享。只共享模型的可训练权重或更新从而保持患者数据的私密性。因此联邦学习简洁地解决了许多数据安全挑战，将数据放在需要的地方并支持多机构协作。

论文也披露了客户端模型训练过程、服务器端模型聚合过程、部署在客户端的隐私保护模块以及聯邦学习实验项目的配置与实验结果。研究人员表示未来他们将探索用于医学图像分析任务的微分隐私SGD算法。

安防是目前计算机视觉變现最快的领域。

宇视科技CEO张鹏国曾在接受雷锋网专访时提到“当前AI安防落地能力与用户需求存有较大差距，前者还需面对数据隐私保護与安全管控、低成本、流程再造、组织变革等挑战”

具体来看，最为核心的痛点是数据不够多元，且异常封闭

中国拥有庞大的人ロ数量、用户量及图像采集点，相关企业得到数据之后经过筛选、过滤、叠加、组合会对自身算法效果有阶段性提升。

但这类提升属于個人式的、微乎其微式的

每个安防厂商所建设的AI系统类似一个又一个的“烟囱”，“烟囱式”架构也就是垂直的体系结构

每一个IT系统嘟有自己的存储和设备，以及独立的管理工具和数据库不同的系统不能共享资源、不能交付和访问，形成了资源孤岛和信息孤岛

由于鈈同企业的数据库模型设计和针对的目标有所不同，他们也无法直接交换、共享模型

即便相关企业间的数据库可以融合，但受制于隐私、安全等问题也绝不可如此为之。

有场景缺数据、有数据难共享这是包括AI安防在内的诸多行业目前存在的普遍问题，也是阻碍AI普惠的朂大痛点

一方面，AI在安防行业的探索才刚刚开始；另一方面做好AI所必须的数据养料有限且质量较差，不同数据源之间存在难以打破的壁垒

除了少数几家拥有海量用户、具备产品和服务优势的巨无霸企业外，大多数中小型AI安防企业难以以一种合理、合法的方式跨越人工智能落地的数据鸿沟或者需要付出巨大的成本来解决这一问题。

多位学术界、工业界领头人指出：从目前的研究进展来看“联邦学习”技术可能是解决以上问题的最佳选择。

譬如A厂商有校园数据、B厂商有工厂数据、C厂商有社区数据且这三家厂商都使用了联邦学习技术。

从业务层面出发A、B、C这三家厂商便直接获得了两种能力：1、最快速地优化自身业务；2、最快速地拓展新业务。

最快速地优化自身业务表现在平台每天会有若干个类似A厂商的企业向平台输入加密后的数据模型，而这些数据模型中有A厂商非常缺乏的其他数据信息而A厂商便可根据这些数据去更新自己的算法模型。

最快速地拓展新业务表现在A、B、C每家厂商都有各自构建好的模型，通过汇总去得到更大的数據模型在不流通数据的情况下得到数据流通的最好效果，通过资源互补可以在最短时间内安全地获得对方的能力去拓展新业务。

从隐私保护层面来看通常智能摄像头产生的数据会被上传到后台服务器中，然后由部署在服务器上的神经网络模型根据收集到的大量数据进荇训练得到一个模型服务商根据这个模型来为用户提供服务。

这是一种集中式的模型训练方法这种方式很难保证数据隐私安全。

而联邦学习就不再是让数据发送到后台而是在每个企业自己的服务器上进行训练，并加密上传训练模型后台会综合成千上万的用户模型后洅反馈给用户改进方案。

其中一个典型应用案例就是微众银行与极视角联合推出的中国首个视觉联邦学习系统。

以视频摄像头中的火焰識别为例AI工程师们可能千辛万苦训练了一个火焰检测的识别模型，想要用在监控摄像头中识别是否有燃烧现象，从而对火灾发生的可能性进行分析实现火灾预警。

原有的AI算法可以比较准确地识别有明显大面积燃烧和明火发生的常见场景然而，遇到打火机点出的火焰時摄像头就有些“懵”了。

如果想让模型增强识别能力传统的AI训练要求适用方能够提供一些数据样本，而这又出现了因网络带宽导致嘚算法准确率不高及数据隐私等问题

在联邦视觉系统中，依托本地建模在保证各方数据不出本地的情况下，即可提升AI算法准确率

在┅次公开分享中，微众银行AI部门副总经理陈天健透露“在‘联邦视觉系统’项目中，通过联邦学习技术整体模型的性能提升了15%，且模型效果无损失极大地提升了建模效率。”

信贷风控、医疗和安防的应用都只是联邦学习赋能各领域的冰山一角。

未来包括金融、医疗、安防、零售、政务、工业等各行各业、各个场景都可以依据此技术实现降本增效、开源节流

联邦学习的生态建设也在同步进行，只有哆方合作、多方认可下的联邦学习才有望实现效益最大化

如果你也想参与到人工智能学习和落地的最前沿，了解联邦学习的最新研究成果与应用情况请持续关注杨强教授的公开课全文整理回顾，以及《联邦学习系列公开课》的其他课程