Client-Cooperative Split Learning

本文提出了 CliCooper 框架，通过差分隐私激活保护与秘密标签混淆技术保障数据隐私，并利用动态链式水印机制确保训练完整性与模型所有权，从而在异构且部分信任的多客户端环境中实现了高效、安全且可验证的协作拆分学习。

要点

这篇文章介绍了一个名为 CLICOOPER 的新系统，它解决了一个非常现实的问题：如何让一群互不完全信任的人，在保护隐私的前提下，联手训练一个强大的人工智能模型。

为了让你轻松理解，我们可以把这件事想象成**“一群邻居想一起盖一座摩天大楼（训练 AI 模型），但每个人都有自己的顾虑”**。

1. 背景：为什么需要这个系统？

• 传统做法（单机训练）： 就像你有一块珍贵的土地（数据），你想盖楼，但你没钱买砖头（算力）。于是你找了一个超级大建筑商（服务器），把地皮和图纸全交给他。
  • 问题： 你不敢把地皮全交给他，怕他偷看你的地皮细节（隐私泄露），或者怕他盖完楼后把地皮据为己有（版权纠纷）。
• 现有的“拆分学习”（Split Learning）： 现在的技术让你只把地皮的一部分（中间特征）交给建筑商，而不是全交。
  • 新问题： 如果建筑商不是一个人，而是一群互不相识的包工头（多个客户端），大家轮流干活。这时候更麻烦了：
    1. 隐私担忧： 包工头 A 会不会通过你给的“半成品”猜出你地皮上种了什么花（数据标签）？
    2. 信任担忧： 包工头 B 会不会偷懒，直接拿个现成的模型冒充自己盖的，以此骗取工资（所有权/版权欺诈）？
    3. 防盗担忧： 大楼盖好后，会不会有人偷偷把图纸复印一份，拿去卖给别人（模型被窃取）？

CLICOOPER 就是为了解决这三个“互信难题”而设计的。

---

2. 核心魔法：CLICOOPER 是怎么做的？

这个系统用了三招“魔法”，分别对应三个问题：

第一招：给数据穿上“迷彩服”并打乱标签（解决隐私问题）

• 比喻： 想象你要给包工头看你的地皮，但你不想让他们知道地皮上具体种的是“玫瑰”还是“郁金香”。
• 做法：
  1. 标签伪装（Label Expansion）： 你手里有 10 种花（真实标签），你发明了一套只有你自己知道的“暗语”。比如，把“玫瑰”变成“红苹果”、“红球”、“红车”等 3 个假名字。包工头看到的只有这些乱码一样的假名字，完全猜不出你原本种的是什么。
  2. 加噪迷彩（差分隐私）： 在把地皮的“半成品”（中间数据）交给包工头之前，你故意在上面撒了一层“迷雾”（数学上的噪声）。
• 效果： 包工头就算拿着放大镜看，也只能看到一团模糊的影子，完全无法还原出你地皮原本的样子，也无法猜出你原本种的是什么花。

第二招：像“传声筒”一样盖章（解决所有权和信任问题）

• 比喻： 想象盖楼是一个流水线，包工头 A 把砖砌好传给包工头 B，B 再传给 C。怎么证明 B 真的砌了砖，而不是直接拿别人的砖来骗钱？
• 做法（链式水印）：
  • 系统规定：包工头 B 在砌砖时，必须根据包工头 A 递过来的砖块上的纹路，刻上一个特殊的“防伪章”（水印）。
  • 这个章不是 B 随便刻的，而是由 A 的砖块纹路 + B 的身份证号 + 一个随机密码数学计算出来的。
  • 如果 B 想偷懒，拿个现成的砖块来冒充，他刻不出这个章，因为章的内容取决于前一个人给他的砖块纹路。
• 效果： 最后大楼盖好了，审计员（Verifier）只要检查每一层砖上的章是否环环相扣，就能 100% 确定：
  1. 每个包工头都真的干活了。
  2. 谁干了多少活，该给谁发工资（公平补偿）。
  3. 如果有人偷了某一层砖去盖别的楼，链条就断了，立刻能被发现。

第三招：只有持有“钥匙”的人才能用大楼（解决模型被盗用问题）

• 比喻： 大楼盖好了，但如果你把钥匙（真实标签映射表）丢了，或者别人偷了大楼，他们能住进去吗？
• 做法： 因为大楼的“内部结构”是基于那些“假名字”（伪标签）设计的。
  • 如果你没有那本“暗语字典”（真实标签与伪标签的映射关系），别人就算把大楼买走了，进去一看，发现所有的房间都叫“红苹果”、“红球”，根本不知道哪个房间是“卧室”（真实类别）。
  • 这就让大楼对没有钥匙的人变得毫无用处。
• 效果： 即使黑客把模型偷走了，他也只能得到一个“乱码版”的模型，无法用于真正的商业目的，从而保护了你的版权。

---

3. 实验结果：真的好用吗？

作者做了很多实验，结果非常漂亮：

• 大楼质量没变差： 用了这些“迷彩”和“盖章”后，盖出来的大楼（AI 模型）依然非常坚固，准确率甚至比原来还高了一点点（因为噪声有时候像是一种“锻炼”，防止模型太死板）。
• 偷窥失败： 包工头试图通过“半成品”猜出你种了什么花，成功率降到了 0%（完全猜不对）。
• 还原失败： 试图把模糊的“半成品”还原成清晰的地皮照片，还原出来的图片就像雪花屏一样，完全看不清（相似度从 50% 降到了 3%）。
• 偷窃失败： 黑客想偷模型去训练自己的“替身”，结果发现这个替身只能猜对 1% 的内容（相当于瞎蒙），完全没法用。

总结

CLICOOPER 就像是一个**“智能且安全的建筑合作社”**。

它让那些只有少量数据或算力的普通人（数据拥有者），能够安全地把任务分发给一群互不相识的“包工头”（算力提供者）。

• 对数据拥有者： 你的秘密（数据）绝对安全，没人能偷看。
• 对包工头： 你的劳动成果（模型层）有不可伪造的“数字指纹”，没人能赖账或偷你的功劳。
• 对模型本身： 即使被偷走，没有“暗语钥匙”也只是一堆废铁。

这就实现了在互不完全信任的环境下，大家也能安全、公平、高效地一起把事做成。

技术摘要

CLICOOPER：面向多客户端协作的分割学习框架技术总结

1. 研究背景与问题定义 (Problem)

随着人工智能模型训练即服务（MaaS）的兴起，资源受限的数据所有者希望在不泄露原始数据的前提下构建定制化模型。分割学习（Split Learning, SL） 作为一种隐私保护技术，允许客户端计算中间激活值，由服务器完成后续训练。然而，现有的 SL 框架主要假设存在一个完全可信且计算能力强大的中心服务器。

在实际场景中，边缘设备和碎片化计算资源日益丰富，但缺乏单一的强大服务器。这催生了无服务器（Serverless）、多客户端协作的 SL 模式：一个数据客户端（Data Client）提供数据但计算能力有限，多个训练客户端（Trainer Clients）贡献计算资源共同承担“服务器”角色。

这种新模式引入了部分信任（Partially Trusted） 环境下的三大核心挑战：

1. 数据隐私（RQ1）： 数据客户端如何在隐藏原始输入和真实标签的同时，确保训练有效？
2. 层所有权（RQ2）： 训练客户端如何证明其贡献了特定的模型层，以获取合理的补偿？
3. 未授权使用防御（RQ3）： 协作训练出的模型如何防止被未授权方滥用或窃取？

现有的 SL 框架无法同时解决上述隐私、所有权验证和版权保护问题。

2. 方法论：CLICOOPER 框架 (Methodology)

CLICOOPER 是一个专为异构、部分信任的多客户端环境设计的协作分割学习框架。它通过以下三个核心机制解决上述挑战：

2.1 秘密映射标签扩展与差分隐私保护 (针对 RQ1 & RQ3)

为了在保护数据隐私的同时维持模型效用，CLICOOPER 采用了双重保护策略：

• 秘密映射标签扩展（Secret-mapping Label Expansion）：
  • 数据客户端不直接暴露真实标签（True Labels），而是通过一个秘密的一对多映射函数 $G_Y$，将每个真实类别映射到一组伪标签（Pseudo-labels）。
  • 这扩展了标签空间，隐藏了任务的语义和真实类别的数量。
  • 数据客户端对数据进行增强以匹配扩展后的标签空间。
  • 效果： 只有持有秘密映射 $G_Y$ 的授权用户才能将预测结果还原为真实任务；未授权方只能看到无意义的伪标签，无法利用模型。
• 差分隐私激活保护（DP-guarded Activations）：
  • 在将中间激活值（Intermediate Activations）上传给训练客户端之前，客户端先对激活值进行 $\ell_1$ 裁剪，然后添加拉普拉斯噪声（Laplace Noise）。
  • 效果： 满足 $\epsilon$-差分隐私（DP），有效防止基于激活值的特征反演（Inversion）和标签推断攻击。

2.2 动态链式水印机制 (针对 RQ2)

为了在部分信任环境中验证训练贡献并保护版权，CLICOOPER 引入了链式水印（Chained Watermarking）：

• 生成机制： 每个训练客户端 $T_i$ 的水印 $\Lambda_{T_i}$ 不是随机生成的，而是通过哈希函数，基于前一个客户端的输出激活值、自身身份 ID 和预设的非ce（Nonce）确定性生成的。
• 嵌入过程： 在模型训练收敛后的第 $N+1$ 轮，每个客户端将生成的水印嵌入到其负责的模型段参数中。
• 链式关联： 由于每个水印都依赖于前序节点的输出，整个训练过程形成了一个不可篡改的血缘链条（Lineage）。
• 验证： 可信验证者（Verifier）可以重新计算预期的水印链。如果某段模型的水印与链条不匹配，则证明该段未参与真实训练或已被篡改。这确保了可验证的训练完整性和公平补偿。

2.3 系统架构

• 数据客户端 (C)： 负责数据预处理、标签扩展、激活值 DP 噪声注入。
• 训练客户端 (T)： 按顺序接力处理激活值，进行局部模型训练，并在最后嵌入链式水印。
• 验证者 (V)： 负责协调任务、验证模型性能及水印链条，分配奖励或惩罚。

3. 主要贡献 (Key Contributions)

1. 隐私与授权的双重保障： 提出了一种结合秘密标签扩展和差分隐私的机制，在不完全信任的环境中有效防止了标签推断和原始数据反演，同时将模型效用绑定在授权映射上，防止未授权重用。
2. 可验证的协作训练与版权保护： 设计了基于密码学链接的链式水印方案，将训练阶段与模型段紧密绑定，实现了可审计的所有权声明和防篡改的训练溯源，解决了多客户端环境下的“搭便车”和版权纠纷问题。
3. 大规模实证验证： 在多个数据集（MNIST, CIFAR-10/100, AG News）和架构（DeepLeNet, ResNet, MiniBert 等）上进行了广泛实验，证明了框架的有效性。

4. 实验结果 (Results)

实验结果表明，CLICOOPER 在保持模型性能的同时，显著增强了隐私和安全性：

• 模型性能（Fidelity）：
  • 在大多数配置下，CLICOOPER 的模型准确率与基线（无保护 SL）持平，甚至部分模型（如 ResNet18 on CIFAR-100）因噪声的正则化作用提升了 1-2% 的准确率。
  • 水印嵌入和验证的开销极小（毫秒级），对总训练时间影响微乎其微。
• 隐私防御（Privacy）：
  • 聚类攻击（Clustering Attack）： 内部训练客户端试图通过聚类中间激活值来推断标签分组。在保护机制下，攻击成功率降至 0%（在 CIFAR 数据集上）。
  • 反演攻击（Inversion Attack）： 试图从激活值重建原始图像。在 $\epsilon=2.0$ 的强隐私预算下，重建图像与原始图像的相似度（SSIM）从基线的 0.50 降至 0.03，几乎无法识别。
• 未授权使用防御（Unauthorized Use）：
  • 模型提取攻击（Model Extraction）： 外部攻击者通过 API 查询获取伪标签并训练代理模型。由于缺乏秘密映射，代理模型的准确率仅为 ~1%（相当于随机猜测），无法复现原模型功能。
• 所有权验证： 水印提取准确率在所有设置下均超过 99%，证明了链式水印的鲁棒性。

5. 意义与影响 (Significance)

• 推动边缘 AI 协作： CLICOOPER 使得资源受限的数据所有者能够利用碎片化的边缘计算资源进行高价值模型训练，而无需依赖昂贵的中心服务器，降低了成本并提高了可用性。
• 解决信任难题： 在部分信任的开放市场中，该框架通过密码学手段解决了数据隐私、贡献验证和版权保护之间的权衡问题，为构建可信的 AI 训练市场奠定了基础。
• 技术范式创新： 将标签扩展、差分隐私和动态链式水印有机结合，为分割学习在更复杂、更去中心化的场景（如无服务器、多租户环境）中的应用提供了新的技术路径。

综上所述，CLICOOPER 不仅是一个技术框架，更是构建未来去中心化、隐私优先且公平激励的 AI 生态系统的关键基础设施。