本文研究了联邦学习中信息论安全聚合的容量问题。安全聚合允许服务器在保护用户更新隐私的前提下聚合本地更新。现有信息论问题通常假设由可信第三方（TTP）提供相关随机密钥，或通过预定义的组结构生成，但建立这些相关密钥的通信成本常被忽略。因此，在通用密钥分发机制下的基本极限尚不清楚。本文在包含密钥分发和聚合更新的两阶段框架下，研究了具有N个用户的T-colluding信息论安全聚合问题。与以往工作不同，本文通过用户间通信建模密钥分发，允许任意用户生成的密钥分发机制，消除了对TTP或预定义结构的依赖。这使得能够联合表征三个资源：安全随机性、密钥分发通信和聚合通信。通过构造一种新的安全聚合方案并匹配信息论逆定理，完全刻画了这三个资源之间的容量区域。特别地，本文给出了一个显式的确定性容量达到构造，适用于大小为至少N的任意有限域，而现有方案大多依赖TTP或在大有限域上使用随机或存在性构造。进一步证明，仅使用两两共享密钥即可实现最优性能，从而可通过Diffie-Hellman密钥交换实现。与Google的开创性安全聚合方案相比，所提方案在保持相同聚合通信开销的同时，所需随机掩码密钥更少。该成果为联邦学习中的隐私保护提供了理论基础和实用方案。

本文提出了一种名为 DisAgg 的新型安全聚合协议，用于联邦学习中的隐私保护。在传统联邦学习中，客户端更新直接暴露给中央服务器，存在隐私风险。现有的安全聚合方案虽然能抵御诚实但好奇的服务器，但通常存在通信轮数多、公钥操作重、难以处理客户端掉线等问题。最近提出的单轮私有聚合（OPA）虽然减少了通信轮数，但引入了大量的密码学和计算开销。DisAgg 通过引入一个由少量客户端组成的聚合器委员会来执行聚合操作：每个客户端使用秘密共享将其更新向量分发给聚合器，聚合器本地计算部分和，只返回聚合后的份额给服务器进行重构。这种设计消除了本地掩码和昂贵的同态加密，降低了端点的计算复杂度，同时保护了隐私（抵御好奇的服务器和有限数量的合谋客户端）。通过优化通信与计算成本的权衡，DisAgg 在处理来自 100k 个 5G 客户端的 100k 维更新向量时，相比于之前的最佳协议 OPA 实现了 4.6 倍的加速。论文通过理论分析和实验验证了 DisAgg 在效率、隐私保证和可扩展性方面的优势。

本文提出 Flamingo，一种用于大规模客户端数据安全聚合的系统，特别针对联邦学习中的多轮聚合场景。联邦学习中，服务器需要多次对客户端提交的模型权重进行求和（平均）以训练模型，但必须保证不泄露任何客户端的个体输入。现有协议如 Bell et al. (CCS '20) 主要针对单轮设计，通过重复执行来适应多轮场景，这导致每轮都需要昂贵的设置操作。Flamingo 的主要创新包括：1）消除了每轮设置，大大降低了通信和计算开销；2）提出了一种轻量级的 dropout 弹性协议，当客户端在聚合过程中中途退出时，服务器仍能获得有意义的结果，而无需像之前方案那样重新开始或丢弃整个聚合；3）引入了一种新的本地选择“客户端邻域”的方法（该概念由 Bell et al. 引入），使得每个客户端可以自主决定参与聚合的合作伙伴，从而减少客户端与服务器之间的交互次数。这些技术显著缩短了端到端训练时间。作者实现了 Flamingo 并在 (Extended) MNIST 和 CIFAR-100 数据集上进行了评估，结果表明它能够安全地训练神经网络，且模型收敛精度与无隐私保护的联邦学习系统相当，未出现精度损失。本文适合对联邦学习隐私保护、安全多方计算、高效密码协议感兴趣的研究者和工程师阅读。

联邦学习（FL）面临诸多安全攻击，但学界对其根本原因及有效防御缺乏整体理解。本文系统剖析了现有定向攻击的内部机制，揭示了攻击可行的原因在于：机器学习算法对尾部数据的记忆需求对FL完整性产生重大影响——这一现象此前主要被研究为隐私问题，本文首次阐明了其对模型完整性的关联。通过分析，作者发现对客户端更新施加范数约束（如L2和L∞界）可以显著缓解某些严重攻击。然而，在安全聚合协议中高效实施这些约束面临挑战，因为加密的梯度更新无法直接验证。为此，本文提出RoFL，一种新型安全FL系统，它在安全聚合的基础上扩展了隐私保护的输入验证功能。RoFL利用密码学技术，在不暴露明文更新的前提下，对高维加密模型更新强制执行L2和L∞界约束。实验表明，RoFL在保持模型准确率的同时，能有效防御多种投毒攻击，为FL的鲁棒性提供了可证明的保障。该工作为理解FL攻击的本质及设计实用防御方案提供了理论基础和实践指南。

本文提出了一种名为 WhiteCloak 的协议，旨在解决联邦学习安全聚合场景下匿名恶意客户端的问责问题。在安全聚合中，客户端数据通过加密手段聚合，保护了用户隐私，但也使得恶意客户端可以匿名破坏模型而不被追责。WhiteCloak 通过一种可验证的匿名身份绑定机制，在聚合过程中为每个客户端生成唯一但匿名的凭证，使得服务器在聚合后能够识别并排除恶意客户端，同时不泄露其真实身份。该协议结合了密码学承诺、零知识证明和可追溯签名，实现了隐私保护与问责性的平衡。实验表明，WhiteCloak 在额外计算开销可接受的前提下，有效提升了联邦学习系统的安全性。