数据隐私训练：在保护隐私的前提下训练模型

python import tensorflow_privacy as tf_privacy optimizer = tf_privacy.DPKerasSGDOptimizer( l2_norm_clip=1.0, noise_multiplier=1.1, num_microbatches=1, learning_rate=0.15) model.compile(optimizer=optimizer, loss='categorical_crossentropy')

### 联邦学习（Federated Learning, FL）
联邦学习的核心理念是“数据不动模型动”。中央服务器协调多个参与方，各客户端在本地数据上训练模型，只上传加密的模型更新（梯度或参数），服务器聚合后改进全局模型。

- **典型流程**：
1. 初始化全局模型并分发。
2. 客户端本地训练小轮次，计算更新。
3. 上传更新至服务器，服务器用**联邦平均算法（FedAvg）**聚合。
4. 重复直至收敛。
- **隐私增强**：联邦学习常与差分隐私结合，对客户端上传的更新进一步加噪，防止从梯度中反推原始数据。
- **框架推荐**：TensorFlow Federated、PySyft、FATE。

### 安全多方计算（Secure Multi-Party Computation, SMPC）
SMPC 允许多个参与方在不透露各自私有输入的情况下，共同计算某个函数。例如，两家医院可以联合统计某种疾病的发病率，而无需共享患者明细。

- **基础协议**：
- 秘密共享：将数据分片，只有凑齐大于阈值的分片才能还原。
- 混淆电路：将函数编译为加密的逻辑门。
- 不经意传输：信息接收方只能获得它请求的那一条信息。
- **在训练中的应用**：当数据分布在多方且无法集中时，SMPC 可安全地执行矩阵乘法、激活等操作，但通信开销极大，通常仅用于轻量模型或特定层。

### 同态加密（Homomorphic Encryption, HE）
同态加密允许在密文上直接进行计算，其结果解密后等于在原始明文上计算的结果。分为部分同态（仅支持有限操作）和全同态加密（FHE，支持任意计算）。

- **优点**：全程数据保持加密状态，保密性最强。
- **局限**：密文膨胀严重、计算速度慢（目前比明文慢数千至数万倍），难以用于大型神经网络。
- **实用方案**：通常只对推理阶段的线性层使用部分同态加密，或结合其他技术形成混合方案。

### 可信执行环境（Trusted Execution Environment, TEE）
利用硬件级别的隔离区域（如Intel SGX、AMD SEV）处理数据，保证即使操作系统被攻破，处理中的数据也无法被窥探。TEE 可用于集中式隐私训练，数据在飞地内解密、训练，离开时加密。缺点是依赖硬件厂商信任根，且曾暴露侧信道漏洞。

## 如何选择合适的技术路径？
没有银弹，根据场景权衡：

| 场景 | 推荐技术 | 权衡点 |
| :--- | :--- | :--- |
| 移动设备输入法联想（横向联邦） | 联邦学习 + 差分隐私 | 通信成本、非独立同分布数据 |
| 医院间联合训练诊断模型 | 联邦学习 + 安全聚合 + 差分隐私 | 隐私预算控制、异构数据 |
| 模型发布防止训练数据泄露 | 差分隐私训练（中心化） | 准确率下降 |
| 极敏感数据在线推理（如私人照片分类） | 同态加密推理 | 时延极高 |
| 多方联合统计分析而不泄露个体 | 安全多方计算 | 带宽、计算开销 |
| 金融机构合规使用外部数据 | 软件级TEE（如机密容器） | 信任硬件厂商 |

## 动手实践：用 PySyft 实现简单的联邦学习

### 环境准备
```bash
pip install syft==0.5.0 torch

步骤详解

1. 启动虚拟工作者（模拟多个客户端）：

   import syft as sy
   hook = sy.TorchHook(torch)
   alice = sy.VirtualWorker(hook, id="alice")
   bob = sy.VirtualWorker(hook, id="bob")
   secure_worker = sy.VirtualWorker(hook, id="secure_worker")
   

2. 将数据分发到不同节点：

   data = torch.tensor([[0,0],[0,1],[1,0],[1,1]], dtype=torch.float32)
   target = torch.tensor([[0],[1],[1],[0]], dtype=torch.float32)
   # 分别发送给Alice和Bob
   data_alice = data[0:2].send(alice)
   target_alice = target[0:2].send(alice)
   data_bob = data[2:].send(bob)
   target_bob = target[2:].send(bob)
   

3. 定义模型并复制到各客户端：

   model = torch.nn.Sequential(
       torch.nn.Linear(2,4),
       torch.nn.ReLU(),
       torch.nn.Linear(4,1),
       torch.nn.Sigmoid())
   model_alice = model.copy().send(alice)
   model_bob = model.copy().send(bob)
   

4. 本地训练并安全聚合： 通过 fed_avg 函数将两个模型的参数安全地平均到中央服务器上。

   optim_alice = torch.optim.SGD(model_alice.parameters(), lr=0.1)
   # 本地训练代码省略...
   # 聚合：将两个模型的参数取平均
   with torch.no_grad():
       for param, param_alice, param_bob in zip(
           model.parameters(), model_alice.parameters(), model_bob.parameters()):
           # 参数必须移动到同一位置再计算
           param.data = ((param_alice.copy().get() + param_bob.copy().get()) / 2).data