Clients Collaborate: Flexible Differentially Private Federated Learning with Guaranteed Improvement of Utility-Privacy Trade-off

本文提出 FedCEO 框架，通过服务器端张量低秩优化和客户端语义互补性，在差分隐私联邦学习中实现了效用-隐私权衡的显著改进，理论上提升了 O(√d) 的界限，并在实验中验证了其优越性能。

Federated Learning, Differential Privacy, Utility-Privacy Trade-off, Tensor Optimization, Semantic Complementarity

Yuecheng Li, Lele Fu, Tong Wang, Jian Lou, Bin Chen, Lei Yang, Jian Shen, Zibin Zheng, Chuan Chen

Sun Yat-sen University, Guangzhou, China, Texas A&M University, Texas, USA, Sun Yat-sen University, Zhuhai, China, Harbin Institute of Technology, Shenzhen, China, Zhejiang Sci-Tech University, China

Generated by grok-3

Background Problem

联邦学习（FL）是一种隐私保护的分布式机器学习范式，允许多方在不共享本地数据的情况下协作训练模型。然而，研究表明，攻击者可以通过反转上传的参数（如梯度）窃取原始训练数据或特定隐私信息。为此，差分隐私（DP）被广泛应用于联邦学习，通过在客户端更新中引入随机噪声来保护用户隐私，但这会导致模型效用的下降，尤其是在通信轮数增加时累积噪声的影响更为显著。本文的关键问题是如何在差分隐私联邦学习（DPFL）中改善效用-隐私权衡，提出了一种新颖的框架 FedCEO，旨在通过客户端间的语义互补性缓解 DP 噪声对全局模型效用的影响。

Method

FedCEO 是一种结合了用户级差分隐私和服务器端张量低秩优化的联邦学习框架，其核心思想和步骤如下：

• 本地更新与噪声添加： 客户端基于本地数据进行模型训练，采用用户级差分隐私机制，通过梯度裁剪和添加高斯噪声保护隐私，然后上传噪声参数至服务器。
• 服务器端张量优化： 服务器将多个客户端上传的噪声参数堆叠成一个三阶张量，并通过张量低秩近端优化（基于张量核范数 TNN）平滑全局语义空间。具体方法是利用张量奇异值分解（T-tSVD）截断高频成分，增强客户端间的语义互补性。
• 自适应调整： 优化过程中，截断阈值随通信轮数增加而动态调整（通过几何级数），以适应噪声累积；同时可根据隐私设置灵活选择初始系数 λ，控制语义平滑程度。
• 理论等价性： 作者证明该优化目标等价于 T-tSVD 算法，通过自适应软阈值规则实现语义空间的平滑。

Experiment

实验在 EMNIST 和 CIFAR-10 数据集上进行，使用 MLP 和 LeNet-5 模型，设置了三种隐私强度（噪声倍数 σg = 1.0, 1.5, 2.0）。

• 效用实验： 结果显示 FedCEO 在不同隐私设置下均优于基线方法（如 UDP-FedAvg, PPSGD, CENTAUR），尤其在高噪声设置下（σg=2.0），CIFAR-10 上测试准确率提升显著（从 UDP-FedAvg 的 26.88% 提升至 45.35%）。作者还通过调整参数 ϑ（>1）进一步提升性能，表明自适应机制有效。
• 隐私实验： 使用 DLG 攻击测试隐私保护性能，FedCEO 与 UDP-FedAvg 表现出相似的鲁棒性，攻击重构图像的 PSNR 值较低，表明隐私保护未因张量优化而受损。
• 效用-隐私权衡： 图表显示 FedCEO 在不同隐私预算下保持了最佳效用表现，验证了理论分析中 O(√d/N) 的改进。
• 实验设置合理性与不足： 实验覆盖了多种隐私设置和模型架构，设计较为全面，但使用的模型较简单，未涉及更复杂的深度网络，可能限制结果的普适性。此外，攻击实验仅使用 DLG 一种方法，未考虑其他可能的攻击场景，隐私保护的全面性有待验证。

Further Thoughts

FedCEO 的核心创新在于利用客户端间的语义互补性来缓解差分隐私噪声的影响，这一思路为联邦学习中的隐私保护提供了新视角。然而，其方法依赖于张量低秩优化，可能在大规模异构数据场景下遇到挑战，例如客户端数据分布差异较大时，语义空间的平滑是否仍有效值得进一步研究。此外，作者提到未来将扩展到异构联邦学习，这与当前研究热点如个性化联邦学习（Personalized FL）高度相关，可以探索是否能结合个性化模型与低秩优化，进一步提升效用。

另一个有趣的方向是与其他隐私增强技术（如安全多方计算）结合，FedCEO 的张量优化是否能在更复杂的隐私保护框架中发挥作用，例如在对抗性攻击更强的场景下，是否需要额外的防御机制。总之，本文的方法为联邦学习中的隐私-效用权衡问题提供了一个有前景的解决方案，但其实际应用中的可扩展性和鲁棒性仍需更多真实场景测试来验证。