联邦学习是目前使用得最为广泛的保护机器学习隐私的技术框架,能够在原始数据不离开本地的条件下训练深度学习模型以提供预测服务。但是,应用中的机器学习往往需要开放训练得到的模型以供下游应用使用,而训练模型必然包含训练样本的相关信息,因此标准的联邦学习框架仍然会泄露训练数据的隐私。为了更直观地解释这一问题,本文首先对联邦学习中的隐私攻击进行了全面的分类,然后利用基于梯度的成员推断攻击分析并量化了联邦学习中的隐私风险。在这种情况下,差分隐私是公认的能够控制训练样本隐私泄露的主要技术途径。联邦学习框架下的差分隐私主要有两种部署方式:中心化差分隐私需要引入一个可信第三方作为聚合器,可以全局地优化加入模型参数中的噪声,因此需要添加的噪声水平较低,使得训练得到的模型在预测阶段有较高的准确度。本地差分隐私对训练数据在本地脱敏加噪,然后进行标准的联邦学习流程。本地差分隐私的优点是不需要可信第三方作为聚合器,但局部加噪时缺乏协同优化,造成为达到同样的隐私保护效果,本地差分隐私需要引入更多的噪声,使得训练模型在预测阶段的准确度大幅降低。因此,本文的研究目标是使得加入训练模型的噪声水平与中心化差分隐私相当,从而减少对训练模型准确度的影响,同时去除中心化差分隐私所需的可信第三方聚合器。为此本文基于多密钥同态加密和Intel SGX提出了两种解决方案,具体如下:同态加密是解决需要可信第三方问题常用方法,其保证了数据能够在密文的形式下进行计算,可以在不信任聚合器的前提下集中地进行梯度聚合和加噪。但是标准的同态加密中只考虑了单密钥场景,因此应用到联邦学习中时需要数据方共享私钥,存在安全隐患。因此,本文基于多密钥同态加密技术,通过设计针对密文的差分隐私敏感度分析和加噪方法,为联邦学习提出了无需可信服务器的中心化差分隐私保护方法。实验结果表明该方法所需添加的噪声水平较小,具有较高的模型准确度。其次,虽然上述基于多密钥同态加密的方案可以在不需要信任聚合器的前提下进行聚合和加噪,但由于该方案基于非对称密码体制和双服务器设置,所以也带来了较高的计算和通信开销。因此,本文基于可信硬件SGX,通过设计多对一的SGX远程认证协议和高效的SGX安全计算机制,为联邦学习提出了基于SGX的中心化差分隐私保护方法。实验结果表明该方法所需添加的噪声水平较小,具有较高的模型准确度,而且计算与通信开销较小。