https://www.nature.com/articles/s41467-022-30714-9
A federated graph neural network framework for privacy-preserving personalization 用于隐私保护个性化的联邦图神经网络框架
研究背景与动机
1.1 个性化系统的隐私困境
- 个性化推荐(如新闻、商品、影视推荐)依赖用户行为数据(点击、评分、购买等),但这些数据非常隐私敏感。
- 传统 GNN(Graph Neural Network)个性化模型需要集中存储用户数据,会带来隐私泄露和法规风险(如 GDPR)。
- 现实中,数据常分散在用户设备上,不能随意集中。
1.2 联邦学习 (Federated Learning, FL)
- FL 允许多个用户在本地保留数据,仅上传模型梯度,由中央服务器聚合成全局模型;
- 但在图神经网络 (GNN) 场景下仍有两个难点:
① 本地图太小,缺乏高阶交互信息;
② 上传梯度可能仍泄露隐私。
因此,本文提出了一种新的框架:FedPerGNN ——既能建模高阶用户-物品交互,又能保护隐私。
高阶用户-物品交互
它描述的是用户与物品之间间接的、非一阶的关联关系。
一、为什么高阶交互重要?
现实中,用户与物品的直接交互往往稀疏(data sparsity),仅靠一阶信息可能不足以捕捉兴趣。
高阶交互能帮助模型:
- 发现潜在兴趣:通过相似用户或相似物品的多跳连接挖掘更深层的偏好;
- 增强泛化能力:减少冷启动问题;
- 提升推荐准确率:在图神经网络(如GCN、LightGCN)中,多层传播就是在建模这种高阶交互。
LightGCN (SIGIR 2020) 发现 NGCF 中的非线性变换和权重矩阵未必有助于推荐性能,于是提出了一个更“轻”的版本,只保留最核心的高阶信息传播机制:
这里没有激活函数、没有参数矩阵,也没有非线性操作。
每一层仅做“邻居平均 + 归一化”,重点是通过多层传播获得更深的高阶用户-物品语义关联。
最终嵌入为多层结果的加权和:
通过多层传播,模型就能在图中“走远一点”,建立用户与更多潜在物品的联系。
GAT 网络(Graph Attention Network,图注意力网络)
让图中的节点在聚合邻居信息时,根据“重要性”分配不同权重,而不是平均处理所有邻居。
GAT 在图上的传播过程可以表示为:
h:节点特征 W:线性变换权重矩阵 a:注意力系数 激活函数
一、注意力系数的计算过程
首先将两个节点的特征拼接:
通过 LeakyReLU 激活获得邻居间的“相关性分数”;
对所有邻居进行 Softmax 归一化, 这样可以保证邻居权重总和为 1:
LDP(Local Differential Privacy 局部差分隐私)
一、差分隐私(Differential Privacy, DP)
差分隐私的目标是:
在分析或训练模型时,确保单个用户的数据对最终结果的影响非常小,以至于攻击者无法判断某个用户是否参与了训练。
二、什么是“局部差分隐私”(Local Differential Privacy)
传统的 DP 假设数据集中收集后再加噪(集中式保护),而 LDP 的核心思想是:
在数据离开用户设备之前就被加噪处理,服务器永远看不到原始数据。
所以:
- 在 集中式 DP 中,数据收集方是可信的;
- 在 LDP 中,每个用户自己保护自己的隐私,即“去信任化”。
论文中在上传梯度前使用了 LDP 模块:
含义如下:
- clip(·, δ):对梯度进行裁剪,限制数值大小;
- Laplace(0, λ):在梯度上加入拉普拉斯噪声;
- 这样,上传的梯度被“模糊化”,服务器无法精确推断出用户的具体行为。
这里梯度裁剪的目的是:
- 控制梯度的敏感度 —— 如果不裁剪,有的用户梯度过大,会破坏差分隐私的上界;
- 便于加噪声 —— 只有当所有梯度都在固定范围内,才能正确地控制噪声强度;
- 防止隐私泄露 —— 如果梯度幅度太大,服务器可通过数值大小推测用户行为。
即使用户不上传原始数据,只上传梯度,也有泄露风险。因此 FedPerGNN 结合 LDP,实现了:
- 防止梯度反推攻击;
- 保护用户行为历史;
- 在多轮训练中限制隐私预算。
论文中指出:
当
时,可实现 3-differential privacy(ε=3),这意味着隐私保护强度较高且性能损失可控。
三、拉普拉斯噪声
拉普拉斯分布
拉普拉斯分布是一种对称的钟形分布(像比正态分布尖一点的山峰),
定义如下:
其中:
- μ:分布中心(通常取 0);
- b:尺度参数(控制噪声大小)。
差分隐私要求噪声的分布必须能抵消一个带来的最大变化即概率之比小于e^ε
拉普拉斯噪声公式:
其中:
也就是说:Δf 越大(对单个用户敏感) → 噪声要加得更大;
ε 越小(隐私要求越强) → 噪声也要加得更大;
拉普拉斯分布的概率密度正好保证符合差分隐私的定义,满足 ε-DP 的最小充分噪声机制:
拉普拉斯分布的指数衰减保证了每次加入噪声之后结果看起来一样,攻击者无法判断哪份数据导致了什么。
伪交互
一、为什么引入伪交互
对于嵌入层,只有用户交互过的物品的梯度才是非0,服务器若观察哪些物品梯度非0,就能推断出用户的真实交互历史。
所以引入来混淆真实信号保护隐私。
二、实现步骤
从全局物品集中随机采样 M 个“未交互物品”:
为这些伪物品生成伪造梯度:
- 随机生成伪梯度
- 其均值和方差与真实梯度相同;
将真实梯度与伪梯度合并上传:
- 其中
是模型参数梯度; 
是真实交互物品的嵌入梯度;- 是伪交互物品的梯度。
服务器收到梯度后无法区分真假交互项,
因为所有物品的梯度统计特征(均值、方差)一致。
隐私保护图扩展
一、为什么要“图扩展”?
在联邦学习的场景下
每个用户的数据都存在自己的设备上不能互相交换数据;所以每个用户的本地子图里只有自己的一阶交互(user-item),缺少高阶信息。
于是,FedPerGNN 设计了一个隐私保护的图扩展协议,让用户在不泄露数据的前提下获得邻居用户的信息
二、图扩展流程
生成公钥并分发
- 中央学习服务器(learning server)生成一对 RSA 公钥/私钥;
- 将 公钥 分发给所有用户设备;
- 用户设备用它来加密本地的物品 ID。
服务器永远无法直接看到明文的交互信息。
加密上传
- 每个用户设备:
- 取出自己交互过的物品 ID(例如看过的电影);
- 使用公钥进行加密;
- 同时上传自己的用户嵌入向量
。
上传内容包括:
这些数据被发送到一个可信第三方服务器(trusted third-party server),用于执行“匿名匹配”操作。
匿名匹配
- 第三方服务器 不能解密 item IDs;
- 它只根据加密后的密文是否相同判断两个用户是否交互了同一物品;
- 若加密ID匹配,说明两个用户在明文上“看过同一物品”;
- 因此这两个用户被视为“邻居用户”;
- 服务器随后为每个用户准备这些邻居的 匿名嵌入向量。
因为所有匹配都是在密文层完成的,第三方服务器并不知道真实的物品或用户身份。
匿名信息分发
- 第三方服务器将这些邻居用户的匿名嵌入返回给原用户;
- 用户设备将这些邻居节点接入自己的本地子图。
扩展后,用户的本地图结构变为:
User u_i
↕
Interacted Items (t1, t2, ...)
↕
Anonymous Neighbor Users (u_j, u_k, ...)
这样,本地子图就从仅包含一阶交互(user–item)变成了包含二阶(user–item–user)甚至三阶关系的扩展图
三、图扩展的效果与机制总结
步骤 | 内容 | 隐私保护方式 |
|---|---|---|
密钥分发 | 服务器发布公钥 | RSA 加密机制 |
加密上传 | 用户上传加密 item ID + 用户 embedding | 服务器看不到明文 |
匹配邻居 | 第三方服务器匹配加密 ID 找邻居 | 仅在密文层比对 |
匿名返回 | 返回邻居匿名 embedding | 不包含用户身份信息 |
图扩展轮数从 0 增加到 3 时,RMSE 明显降低。前两轮扩展带来主要性能提升,超过三轮后收益变小。因此仅需少量扩展就能获得高阶信息
加密匹配和匿名分发
一、问题背景:为什么需要加密匹配和匿名分发
在 FedPerGNN 框架中,每个用户的交互数据(看过的电影、听过的歌、买过的商品)都留在本地设备。
这导致:
- 每个用户本地的图(user–item 二部图)只包含 一阶连接;
- 而 GNN 推荐需要高阶结构(比如“我喜欢的电影 → 其他人也喜欢 → 我可能喜欢他们喜欢的电影”)。
如果用户直接上传明文的交互信息(item IDs),服务器就能知道每个用户看过什么,隐私泄露。
所以 FedPerGNN 的关键问题是:
如何在不暴露物品和用户身份的前提下,让系统知道哪些用户有共同的交互?
答案就是:加密匹配 + 匿名分发。
二、加密匹配(Encrypted Matching)
目标:让第三方服务器能判断两个用户是否看过相同的物品,但 不能知道这些物品是什么,也不知道是谁看过。
公钥发布
- 学习服务器生成一对 RSA 公钥/私钥;
- 公钥分发给所有用户设备;
- 私钥仅服务器自己保留。
用户端加密
- 用户
拥有交互物品集合 
; - 用户用公钥
加密每个物品ID: 
- 得到加密后的集合
上传到第三方服务器
- 用户上传:
- 其中
是该用户当前轮的嵌入表示。
密文匹配
- 第三方服务器收到所有用户上传的
; - 它不能解密内容;
- 但能判断哪些加密值相同(即同一个 item ID 的密文);
- 从而找出哪些用户“看过相同的物品”。
生成邻居集合
对于每个用户,服务器维护邻居集合:
也就是说如果两个用户的加密交互集合有交集(哪怕只有一个相同密文),它们就是邻居。
三、匿名分发(Anonymous Dissemination)
有了邻居关系后,还需要让用户获得这些“邻居”的特征,以扩展本地图。
问题是:
如果服务器直接告诉你“你的邻居是用户123”,就暴露了别人的身份!
于是 FedPerGNN 采用了 匿名分发机制:
构造匿名嵌入集合
- 对于每个用户,第三方服务器找到所有邻居
; - 从每个邻居
获取其上传的嵌入向量
; - 把它们打乱顺序、去掉身份标签;
- 形成一个匿名集合:
返回给原用户
- 第三方服务器把这个集合返回给用户 ;
- 用户接收后,将这些邻居嵌入作为图中的“高阶邻居节点”,扩展自己的本地子图。
本地图扩展
用户 的本地图结构更新为:
也就是说,他现在可以在图中看到通过共同物品连接的匿名用户节点。此后,GNN 就能利用这些新连接进行高阶信息传播(例如三阶、四阶关系)。
四、隐私保护机制分析
隐私层 | 保护方式 |
|---|---|
用户隐私 | 上传的 item IDs 被 RSA 加密,无法被解密 |
物品隐私 | 匹配只在密文层完成,服务器不知道真实物品 |
邻居身份隐私 | 返回的邻居嵌入是匿名的,不含用户ID |
服务器安全 | 假设第三方与学习服务器不串通 |
防反推攻击 | 嵌入是模型输出,不直接包含原始行为 |
RMSE
均方根误差,衡量预测值和实际值之间的差异。对大误差敏感,突出极端的预测错误,越小越准确。用于回归模型的评估,反应模型的准确性。
标准偏差(SD):用于描述数据的离散程度
FedPerGNN 的整体框架
FedPerGNN 的详细框架
隐私保护用户-项目图扩展协议的框架
不同图扩展轮数下的个性化 RMSE 和上传/下载通信成本
不同伪交互项数(*M*)下的个性化 RMSE*(左 y* 轴)和通信成本 *(右 y* 轴)
- 任务与数据形态
把评分数据视作用户–物品二部图:边是“已发生的交互/评分”,目标是预测未观测评分(以 RMSE 评估,报告 5 次独立实验的均值±方差)。用到 6 个公开集:MovieLens-100K/1M/10M、Flixster、Douban、YahooMusic(场景与统计细节见正文与补充材料)。 - 本地子图构造(decentralized)
没有全局图。每个客户端仅用本机历史交互构造“一阶本地子图”(自己这个用户节点 + 交互过的物品节点)。开始训练时先不使用邻居用户嵌入;等到本地模型更稳定后,再周期性引入匿名邻居用户嵌入参与聚合(邻居嵌入不是每步同步训练)。隐私保护的模型更新(梯度层面)
- 伪交互项(M):为保护“你究竟和哪些物品交互过”,每端额外采样 M 个未交互物品并为其伪造梯度,与真实梯度拼接后一并上传;这样服务端难以从“非零梯度的物品”反推出真实历史。实验选择 M=1000 在隐私(1-index privacy)与通信开销间较均衡。
- 本地差分隐私(LDP):对统一梯度先按 L1 范数阈值 δ 截断,再加 拉普拉斯噪声 λ。论文给出的折中设置是 δ=0.1、λ=0.2、训练 3 个 epoch 可达 ~3-differential privacy,同时性能下降可接受(见图4曲线)。聚合用 FedAvg 及其个性化变体均可;不同联邦聚合策略下,FedPerGNN都优于 FCF/FedMF。
- 隐私保护的子图扩展(高阶信息)
为拿到高阶邻域而不泄露隐私:
- 学习服务器生成公钥;客户端用该公钥对本地物品ID做 RSA 加密,将加密后的物品ID + 自身用户嵌入发给可信的第三方匹配服务。
- 第三方仅在密文上做等值匹配(找“交互了相同物品”的用户),把匿名邻居用户的嵌入(以及与之相连的加密物品)下发回各客户端,用于扩展本地子图;第三方没有私钥、不能解密。整体流程见图解。【页8–9,图8】 Wu 等 - 2022 - A federated graph…
- 扩展轮数建议做 0–3 轮:实验显示前两轮收益最大,三轮最优,进一步增加会出现过平滑而使性能回落;也即“三阶内的信息最关键”。
- 效果与对照
在 6 个数据集上,FedPerGNN 相比 SOTA 联邦个性化方法(FedMF/FCF)降低 4.0%–9.6% 的 RMSE,并与集中式 GNN 方法相当;其优势来自“能在隐私保护下利用高阶图结构”。
本地服务器要不要“解密之后”再做子图扩展?
不需要,也不应该。 在论文的协议里,子图扩展完全在密文层面做匹配:客户端只上报加密后的物品ID,第三方匹配服务没有私钥、无法解密,它只做“密文相等匹配”并返回匿名邻居嵌入用于扩展;任何“先解密再扩展”的做法都会破坏隐私假设并扩大风 险。论文还明确了一个限制:如果第三方与学习服务器串通(共享私钥/物品表)就会泄露交互历史,只剩评分层面的保护能兜底,因此部署时必须避免这一点。
工程落地小贴士(按论文复现实践):
- 学习服务器只发公钥;第三方绝不持有私钥,两者物理/逻辑隔离,日志与访问控制独立(防“串通”)。
- 为了实现“密文等值匹配”,加密应满足确定性可比对(论文表述为“通过匹配加密后的 item ID”完成查找;这意味着要保证同一明文得到可比较的密文——这是对论文实现的直接推断)。
- 客户端侧按论文默认值起步:扩展 3 轮、M=1000、δ=0.1、λ=0.2,邻居嵌入周期性更新、训练早期先不引入邻居嵌入。
如果你把“学习服务器”和“第三方匹配服务”都部署在同一台本地机器上,也依旧要进程级/容器级隔离,并确保第三方进程没有私钥访问路径;否则在论文威胁模型下就等价于“串通”。
)
)
