深度学习是一种高效的建模、分类和识别复杂数据的方法。基于深度学习的人工智能产品也在各个领域迎来了一波新的发展热潮,给人们的生活带来了巨大的变化。分布式联邦深度学习架构由于个人数据隐私性高、学习效率高、不受计算设备限制等优点,在海量数据的传输、存储、管理和训练等场景下逐渐成为一个热门的研究方向。用户在享受深度学习模型带来便利的同时,必须要共享自己的数据。随着隐私泄露事件越来越多,数据的安全和隐私问题也逐步引起了人们的关注。分布式联邦深度学习系统中存在着诸多泄露用户隐私信息的风险。在分布式联邦学习协议中,参数服务器对来自多个参与者模型的梯度参数进行聚合,参与者通过共享模型参数,从彼此的数据中达到训练全局模型的效果。参与者需要在每轮迭代中上传本地梯度参数,这些参数中可能包含了本地训练集的一些信息,攻击者通过计算多次迭代的梯度参数值能够提取本地数据。本文深入研究了分布式联邦深度学习系统的隐私安全,提出了一种针对分布式联邦学习系统的攻击模型,准确的还原出每个参与者的样本;同时提出一套针对该攻击模型的隐私保护对策,保护参与者共享的参数。主要研究工作如下:1.针对分布式联邦深度学习系统中共享参数协议的漏洞,提出了一种基于生成对抗网络(GAN)和成员推理技术的攻击模型。在攻击模型中,攻击者伪装成联邦学习参与者,不断诱导正常用户训练GAN中的鉴别器,与攻击者持有的生成器进行对抗训练,通过生成器还原出正常用户的隐私数据。攻击者通过提取参与者的白盒模型,对隐私数据进行白盒成员推理攻击,确定样本和每个参与者的从属关系。在分布式系统中部署及训练攻击模型,准确的还原出每个参与者的样本,实现了对分布式联邦学习系统中个人样本的攻击。论文对攻击模型在MNIST和Celeb A数据集上进行了实验。结果表明,在分布式联邦学习系统中,即使没有直接接触数据集,攻击者也可以生成参与者的训练集。当生成样本经过神经网络测试时,精准度能够达到85%左右,这表明攻击者的重建数据集可以欺骗神经网络。因为模型的过拟合,在一些神经网络测试中,精准度甚至高于实际测试集。在实现过拟合的同时,为下一次的成员推理攻击提供了基础。2.针对分布式联邦学习系统中参与者训练样本的攻击模型,改进参数选择算法,提出了一套基于稀疏向量与信任域技术的联邦学习差分隐私保护方法。该方法首先考虑联邦学习协议选择梯度上传算法中的阈值选择问题,结合稀疏向量技术,根据梯度下降最大原则,对超过阈值的梯度进行噪声扰动。在上传参数满足差分隐私的基础上最小限度地添加噪声,避免过多的扰动对模型准确性的影响。考虑到分布式联邦模型中多个参与者重复地添加噪声不利于模型训练的情况,对联邦学习系统建立信任域机制,进行分级管理。联邦学习信任域机制同时满足k-匿名的泛化思想,干扰攻击模型。实验验证了联邦学习系统中差分隐私的保护效果,合理的参数选择能够有效的抵御样本攻击。实验也评估了基于信任域的优化方案,将参与分布式联邦学习的用户在系统中划分为k个信任域。在每个信任域内建立联合学习,将学习结果发送给参数服务器进行全局学习。在设置同样的隐私预算下,通过信任域分区,可以大大提高全局模型的准确率。