【五期邹昱夫】CCF-A（IEEE T-PAMI'22）Fedipr: Ownership verification for federated deep neural network models

Li, Bowen, et al. "Fedipr: Ownership verification for federated deep neural network models." IEEE Transactions on Pattern Analysis and Machine Intelligence (2022).

  本文设计了FedIPR的通用框架，用于在安全的联邦学习环境中验证DNN模型的所有权。FedIPR的设计方式是，每个客户都可以嵌入自己的基于隐私特征和基于后门的水印，并验证水印以独立声明所有权。以防模型被非法复制、重新分发或滥用。

黑盒与白盒两阶段验证联邦学习模型所属权：
  一、黑盒阶段,不需要访问模型参数和内部结构,只需输入特定样本进入模型API, 根据模型输出判定模型所属权,为模型所属权提供初步依据。
  二、白盒验证阶段,执法机关根据上一阶段,打开模型参数和结构,验证模型参数中是否嵌入有实现给定的能证明所属权的“水印”。

解决了模型所有权验证的两个挑战：
  一、多水印冲突问题。FedIPR提出用秘密提取矩阵的方式,在卷积层用归一化层权重Wγ嵌入以白盒方式提取的水印。
  二、性能问题。FedIPR采用客户端嵌入的方式在差分隐私、鲁棒聚合、模型剪枝、微调等多种设定下进行了实验。证明其在主任务可用性,水印显著性以及稳健性方面的性能

本文优点：将传统的模型水印实践到联邦学习框架上，并通过大量实验验证其性能。
本文缺点：只与FedAvg对比实验测试了保真度，不知道在不同的深度神经网络下效果如何。

2023年1月13日