在金融、醫(yī)療等高度敏感的應用場景中，拜占庭魯棒聯(lián)邦學習（BRFL）能夠有效避免因數(shù)據(jù)集中存儲而導致的隱私泄露風險，同時防止惡意客戶端對模型訓練的攻擊。然而，即使是在模型更新的過程中，信息泄露的威脅仍然無法完全規(guī)避。為了解決這一問題，全同態(tài)加密（FHE）技術通過在密文狀態(tài)下進行安全計算，展現(xiàn)出保護隱私信息的巨大潛力。

然而，F(xiàn)HE 的計算效率始終是其最大的瓶頸，尤其在面對高復雜度操作（如排序、聚合）時，計算開銷會隨著客戶端數(shù)量和數(shù)據(jù)規(guī)模的增加呈指數(shù)級增長，極大地限制了其在實際場景中的應用。

針對這一挑戰(zhàn)，香港中文大學 AIoT 實驗室聯(lián)合重慶大學、香港城市大學等高校和企業(yè)，首次將全同態(tài)加密（FHE）與拜占庭魯棒聯(lián)邦學習（BRFL）深度融合，提出了全新的 Lancelot 框架。該框架實現(xiàn)了在加密狀態(tài)下的魯棒聚合計算，算法優(yōu)化和硬件加速設計為其高效性提供了保障，有效解決了傳統(tǒng) FHE 計算開銷高、復雜聚合規(guī)則支持不足以及隱私保護與魯棒性難以兼顧的問題。

這項研究已發(fā)表在《Nature Machine Intelligence》上。

• 論文鏈接：https://www.nature.com/articles/s42256-025-01107-6

創(chuàng)新點概覽

1.掩碼式加密排序解決全同態(tài)加密難點

在拜占庭魯棒聯(lián)邦學習（BRFL）中，全同態(tài)加密（FHE）面臨無法直接對客戶端上傳的模型參數(shù)進行距離計算和排序的挑戰(zhàn)，為解決這一問題，Lancelot 提出了一種由客戶端、服務器和密鑰生成中心（KGC）協(xié)作的加密計算框架（見下圖 1），并創(chuàng)新性地引入了「掩碼式加密排序（Masked-based Encrypted Sorting）」機制。該機制的主要流程包括：

• 由服務器計算加密狀態(tài)下的模型間距離，無需解密；
• 將距離發(fā)送至可信的密鑰生成中心（KGC）進行解密和排序，生成加密掩碼矩陣；
• 服務器根據(jù)掩碼選擇可信客戶端模型并完成聚合，全程不暴露任何明文信息或排序結果。

該機制在嚴格安全約束下實現(xiàn)了魯棒聚合所需的排序邏輯，突破了 FHE 應用在復雜 FL 系統(tǒng)中的最大障礙。

圖 1 Lancelot 系統(tǒng)架構：模型訓練、排序、聚合全過程均在加密狀態(tài)下完成

2.融合密碼學優(yōu)化 FHE 計算效率

盡管全同態(tài)加密（FHE）在隱私保護方面具有顯著優(yōu)勢，但其高昂的計算開銷一直是限制其實際應用的主要瓶頸。Lancelot 從底層實現(xiàn)入手，對密文計算進行了深入優(yōu)化：通過改進密文的成對乘法策略，大幅降低了排序和聚合操作中對乘法深度的依賴；優(yōu)化多項式矩陣運算，顯著減少復雜計算的資源消耗；同時對密文操作（如加法和乘法）進行高效實現(xiàn)，顯著降低了訓練過程中密文計算的延遲。

密碼學優(yōu)化如下：

• Lazy Relinearization：將多個重線性化操作合并，每輪僅執(zhí)行一次 relinearization，有效減少乘法后密文尺寸的擴展。
• Dynamic Hoisting：針對加密輪轉中的模提升操作，引入并行化計算結構，實現(xiàn)旋轉操作的批量并行處理，顯著提升整體吞吐率。

3.硬件優(yōu)化提速訓練過程

本文具體分析了基于 FHE 的 BRFL 系統(tǒng)中計算開銷的主要來源，并針對 Lancelot 進行了硬件部署優(yōu)化設計，有效減少了協(xié)作過程中不必要的計算負擔，從而顯著加速了訓練過程。

硬件部署優(yōu)化如下：

• 構建了 GPU 原生的同態(tài)加密矩陣計算庫，將密集型 FHE 計算任務從 CPU 轉移至 GPU；
• 利用 CUDA 并行內(nèi)核，加速執(zhí)行距離計算、掩碼處理和模型聚合等關鍵環(huán)節(jié)；
• 在實際測試中，單輪訓練時間從數(shù)小時縮短至數(shù)分鐘，相較當前最優(yōu) FHE 平臺 OpenFHE，性能提升超過 20 倍。

這一優(yōu)化大幅提高了基于 FHE 的 BRFL 系統(tǒng)的實際可用性，為其在復雜場景中的應用奠定了堅實基礎。

圖 2 在 MNIST、CIFAR-10 等數(shù)據(jù)集上，Lancelot 顯著優(yōu)于現(xiàn)有 FHE 方案（如 OpenFHE），達成 20 倍以上提速。

總結與展望

Lancelot 框架通有效解決了全同態(tài)加密在復雜聯(lián)邦學習場景中的性能與安全瓶頸，為隱私計算和魯棒 AI 模型的實際部署提供了全新解決方案。Lancelot 不僅支持多種聯(lián)邦魯棒聚合算法，還可與差分隱私機制集成，滿足 GDPR、HIPAA 等嚴格合規(guī)要求。在醫(yī)學圖像診斷、癌癥檢測等實際醫(yī)療場景中的實驗顯示，Lancelot 能在保持診斷準確率的前提下徹底杜絕信息泄露，為 AI + 醫(yī)療的可信計算奠定基礎。

此外，研究還進一步分析了 Lancelot 在 GPU 資源使用、密鑰安全性（采用 Noise Flooding 防御 FHE 密鑰恢復攻擊）、大規(guī)模部署中的通信與計算效率等方面的綜合性能，為未來擴展至生物信息、金融風控等領域提供了理論基礎和工程實踐經(jīng)驗。

作者介紹

本文第一作者為蔣思陽，香港中文大學博士生，指導導師為邢國良教授，ACM 和 IEEE 會士，擔任 CUHK AIoT 實驗室主任，美國 NSF CAREER Award 和香港中文大學杰出研究獎獲得者。共同通訊作者為邢國良及馬川，重慶大學計算機學院副教授。