要約
Federated Learning(FL)は、複数の参加者がデータを直接共有することなく、ディープラーニング(DL)モデルを共同で構築することができます。その結果、信頼できない参加者が共同学習したモデルにアクセスする可能性があるため、FLにおける著作権保護の問題は重要になる。セキュアなFLフレームワークで同型暗号(HE)を適用すると、中央サーバーが平文モデルにアクセスできなくなります。そのため、既存の電子透かし方式で中央サーバーに電子透かしを埋め込むことは、もはや不可能である。本論文では、HEを用いたセキュアFLにおける著作権保護の問題に取り組むため、新しいクライアントサイドFL電子透かし方式を提案する。我々の知る限り、セキュアFL環境下でモデルに電子透かしを埋め込む最初のスキームである。我々は、クライアントサイドバックドアリングに基づくブラックボックス電子透かし方式を設計し、事前に設計されたトリガーセットを勾配強調埋込法によってFLモデルに埋め込む。さらに、電子透かしが偽造されないようにするためのトリガーセット構築機構を提案する。実験により、提案方式が様々な電子透かし除去攻撃や曖昧性攻撃に対して優れた保護性能と堅牢性を発揮することを実証する。
要約(オリジナル)
Federated learning (FL) allows multiple participants to collaboratively build deep learning (DL) models without directly sharing data. Consequently, the issue of copyright protection in FL becomes important since unreliable participants may gain access to the jointly trained model. Application of homomorphic encryption (HE) in secure FL framework prevents the central server from accessing plaintext models. Thus, it is no longer feasible to embed the watermark at the central server using existing watermarking schemes. In this paper, we propose a novel client-side FL watermarking scheme to tackle the copyright protection issue in secure FL with HE. To our best knowledge, it is the first scheme to embed the watermark to models under the Secure FL environment. We design a black-box watermarking scheme based on client-side backdooring to embed a pre-designed trigger set into an FL model by a gradient-enhanced embedding method. Additionally, we propose a trigger set construction mechanism to ensure the watermark cannot be forged. Experimental results demonstrate that our proposed scheme delivers outstanding protection performance and robustness against various watermark removal attacks and ambiguity attack.
arxiv情報
| 著者 | Wenyuan Yang,Shuo Shao,Yue Yang,Xiyao Liu,Ximeng Liu,Zhihua Xia,Gerald Schaefer,Hui Fang |
| 発行日 | 2023-03-03 08:12:59+00:00 |
| arxivサイト | arxiv_id(pdf) |