基于隐私保护联邦学习与区块链的图像分类方案

茆启凡 王亮亮 王子涵

收稿日期：2023-06-05；修回日期：2023-08-01  基金项目：国家自然科学基金资助项目（U1936213，61872230）；浙江省密码技术重点实验室开放研究基金资助项目

作者简介：茆启凡（1998—），男，江苏扬州人，硕士研究生，主要研究方向为隐私保护与联邦学习；王亮亮（1984—），男（通信作者），河北沧州人，副教授，硕导，博士，主要研究方向为应用密码学与信息安全（llwang@shiep.edu.cn）；王子涵（1997—），女，山东淄博人，硕士研究生，主要研究方向为智能电网隐私保护与边缘计算．

摘  要：传统的中心化图像分类方法受制于数据隐私问题和计算资源限制，无法满足实际需求。现有的联邦学习框架依赖中心服务器，存在单点故障和数据中毒攻击等安全挑战。为解决这些问题，提出了一种面向隐私保护联邦学习与区块链的图像分类方案，通过将联邦学习与区块链技术相结合，实现在分布式环境下进行图像分类任务的可靠性和安全性。图像分类模型通过联邦学习进行训练，并上传至区块链网络进行验证和共识；在分类阶段，模型通过加权组合得到最终分类结果。实验结果表明，该方案在确保用户隐私的同时提高了图像分类的准确度，为解决图像分类中的数据隐私和安全问题提供了一种有效途径，并为提高分类准确性作出了积极探索。

关键词：联邦学习；区块链；图像分类；隐私保护

中图分类号：TP309.2    文献标志码：A

文章编号：1001-3695（2024）02-005-0356-05

doi：10.19734/j.issn.1001-3695.2023.06.0246

Image classification model based on privacy-preserving federated learning and blockchain

Mao Qifan1，Wang Liangliang1，2，Wang Zihan1

（1.College of Computer Science & Technology，Shanghai University of Electric Power，Shanghai 201306，China；2.Key Laboratory of Cryptography of Zhejiang Province，Hangzhou Normal University，Hangzhou 311121，China）

Abstract：Conventional centralized image classification methods faced challenges due to data privacy issues and limitations in computing resources，rendering them inadequate for practical applications.Existing federated learning frameworks relied on central servers，and there were security challenges such as single points of failure and data poisoning attacks.To address these issues，this paper proposed a novel image classification scheme that combined privacy-preserving federated learning and blockchain technology.The scheme achieved reliability and security in image classification tasks within a distributed environment.This approach trained the image classification model through federated learning and uploaded to the blockchain network for verification and consensus.During the classification phase，the model obtained the final classification result through weighted combination.Experimental results demonstrate that the proposed scheme ensures the accuracy of image classification while protecting user privacy.In conclusion，this paper provides an effective approach to address data privacy and security concerns in image classification，and presents a positive exploration towards improving classification accuracy.

Key words：federated learning；blockchain；image classification；privacy preserving

0  引言

近年來，随着人工智能和大数据技术的不断发展，图像分类成为了计算机视觉领域的一个重要研究方向。由于涉及到敏感数据的收集和处理，传统的集中式图像分类方法往往面临着数据隐私泄露的风险，同时也存在单点故障和可信问题。为了解决这些问题，近年来提出了一种新的分布式机器学习方法——联邦学习［1］，它是一种分布式机器学习框架，通过在分布式设备上协同训练模型，从而实现对大规模分散式数据的分析和学习。联邦学习不仅能够在保护用户隐私的同时将数据科学与隐私融为一体，还能够提高数据利用率和模型准确度，是一种非常有前景的分布式机器学习技术。

虽然联邦学习可以解决数据隐私保护和可信问题，但是它也存在一些问题，比如面临着联邦学习过程中的恶意节点攻击、模型的过拟合、计算和通信开销等问题。近年来一些研究人员开始将区块链技术应用到联邦学习中，从而形成了一种新的联邦学习和区块链相结合的框架［2］。本文将介绍一种基于联邦学习和区块链技术相结合的图像分类方法，不仅可以在保护用户隐私的同时提高模型的准确性，还可以有效地解决联邦学习过程中可能出现的单点故障和数据中毒攻击等安全问题。本文的贡献主要有以下几点：

a）提出了一种全局模型聚合方案，旨在保证安全性的前提下提高全局模型聚合的效率和预测准确性；

b）为了确保联邦学习的应用安全可靠，本文采用联盟区块链技术来实现去中心化的模型聚合过程，使用可信的共识节点取代中央服务器来验证本地模型的更新，从而有效解决单点故障和数据中毒攻击等安全问题；

c）将联邦学习和区块链技术应用于图像分类领域，在不泄露数据隐私的前提下提高模型的准确性。实验结果表明，本文方案在提供数据隐私保护的同时保证了模型精度。

1  相关研究

联邦学习是一种适用于多方数据合作训练的新型机器学习方法，其核心思想是将数据留在本地，通过模型聚合算法将各方模型进行组合。联邦学习可以保护用户的数据隐私、降低数据传输的成本，可以在不共享原始数据的情况下进行训练，然而在联邦学习中如何保证参与者的诚实性和算法的可靠性仍然是一个重要的问题［3］。区块链是一种去中心化的、不可窜改的分布式数据库，通过使用密码学和共识算法实现了可靠的数据共享和交换。区块链可以提供可信的环境，以支持联邦学习中的去中心化协作，通过将联邦学习的模型参数记录在区块链中增加算法的可信度和透明度，并防止窜改和重放攻击。Kim等人［4］提出了基于权重的客户端子集选择方案，通过考虑每个客户端本地模型的准确性和参与训练的频率来确定用于训练的客户端子集，与传统随机选择客户端不同，这种方法可以提高联邦学习的收敛速度并提高训练的效果。Kim等人［5］提出了BlockFL架构，其中每个数据持有方将本地模型梯度上传给与其关联的矿工所在的区块链网络，作为回报，矿工会给予与其数据样本数量成比例的奖励并对本地模型进行交叉验证，通过工作量证明完成共识。Weng等人［6］提出的DeepChain方案也将区块链在加密货币领域的应用与联邦学习相结合，数据持有方会将本地训练得到的梯度上传至智能合约，在完成联邦学习后获得DeepCoin作为奖励。但是这些方案依旧存在以下缺点：高计算和通信开销、隐私和安全问题、数据偏差和样本不平衡以及可扩展性和适用性限制。在实际应用中，需要综合考虑这些问题并根据具体场景选择适当的方案进行改进。

综上所述，区块链技术可以为联邦学习提供可信的环境，增加算法的可靠性和透明度，并保护用户数据的安全性和隐私性。然而，如何设计和实现区块链和联邦学习的结合并将其应用到图像分类场景，仍然需要进一步的研究和探索。

2  预备知识

2.1  联邦学习

联邦学习是一种分布式机器学习方法，它允许多个参与方在不共享原始数据的情况下共同训练一个模型。每个参与方都拥有本地数据集，模型通过对各参与方的本地数据进行训练来实现。相比于传统的集中式学习方法，联邦学习可以降低数据传输和隐私泄露风险，提高模型的可扩展性和适应性。

在联邦学习中，每个参与方都拥有本地数据集 LDi，目标是学习一个全局模型 ω，使得各方的本地损失函数 fi（ω） 最小化。联邦学习的目标是最小化全局损失函数：

F（ω）=∑mi=1ninfi（ω）（1）

其中：m是参与方数量；n 是所有参与方的数据总量；ni 是第i个参与方的数据量。联邦学习的主要挑战是如何解决参与方的异构性和不同数据分布所导致的问题。已有的解决方案包括联邦平均算法（federated averaging，FedAvg）［3］等。

2.2  差分隐私（differential privacy，DP）

差分隐私［7～10］是一种广泛应用于数据隐私保护的方法，它可以在不牺牲数据实用性的前提下保护敏感数据的隐私。差分隐私的核心思想是通过添加噪声来混淆原始数据，使得攻击者难以从噪声中推断出原始数据的真实值。与传统的基于加密技术和访问控制的隐私保护方法相比，差分隱私具有更广泛的适用性，可以应用于各种数据类型和场景。

在差分隐私中，敏感数据集为 D，希望在不暴露个体数据的情况下获得关于D的一些有用统计信息。为此，对D进行处理，使得处理后的数据集 D′与原始数据集D的差别被限制在一个可控的范围内，这个范围也被称为隐私预算ε。具体来说，可以将隐私预算分配给每个个体数据，对于每个数据x∈D，根据差分隐私定义，需要在满足一定噪声约束的前提下改变x的值来获得处理后的数据x′。差分隐私中最常用的噪声机制是加性噪声机制，即将噪声值Z加到原始数据x上得到处理后的数据x′。为了确保差分隐私的有效性，需要选择合适的噪声参数，并保证噪声参数满足一定的隐私预算约束。常用的隐私度量指标包括ε-差分隐私、局部敏感度和全局敏感度等。差分隐私的实现需要综合考虑噪声大小、数据敏感度、隐私预算等因素，并进行合理的权衡和设计。

2.3  图像分类任务

当今，图像分类是计算机视觉中最基本和广泛应用的任务之一，该任务的目标是将输入图像分配到先前定义好的类别中，如“狗”“猫”“汽车”“飞机”等。传统的图像分类模型通常由输入层、卷积层、池化层、全连接层和输出层组成。卷积层和池化层用于提取图像中的特征，全连接层用于将提取的特征映射到输出层的类别，输出层则根据类别进行分类决策。

传统的图像分类模型通常使用深度卷积神经网络（convolutional neural network，CNN）来实现。CNN使用卷积操作提取图像中的特征，并使用池化操作来减小特征图的尺寸和数量，从而提高模型的计算效率和泛化性能。Swin Transformer［11］、Vision Transformer［12］和ConvNeXt［13］模型是当前最新的图像分类模型，它们与传统的图像分类模型在以下方面存在差异：

a）基于注意力的架构。传统的图像分类模型使用卷积神经网络作为其基础结构，而Swin Transformer、Vision Transformer和ConvNeXt模型则是基于注意力机制构建的，这些模型将卷积层替换为自注意力层，从而实现了更高的表征能力和更好的准确性。

b）模型深度和参数量。与传统的图像分类模型相比，Swin Transformer、Vision Transformer和ConvNeXt通常更深、更大。例如，Swin Transformer-B在ImageNet［14］上具有197层和88.3 M个参数，而ResNet-50［15］只有50层和25.6 M个参数。这些大型模型需要更多的计算资源和更长的训练时间。

c）数据增强和正则化技术。Swin Transformer、VisionTransformer和ConvNeXt通常使用更多的数据增强和正则化技术来防止过拟合，这些技术可以提升模型的泛化能力。

d）多尺度特征融合。Swin Transformer、Vision Transformer和ConvNeXt还具有多尺度特征融合的能力，可以更好地捕捉不同尺度下的图像特征。例如，Swin Transformer使用了基于跨窗口交互的分层注意力机制来融合不同尺度下的特征，从而提高了模型的准确性。

基于注意力机制的图像分类模型，具有比传统的卷积神经网络模型更高的准确度和更好的泛化能力，但需要更多的计算资源和更长的训练时间。

3  威胁模型与系统模型

3.1  威胁模型

传统的联邦学习存在安全威胁，参与方和中央服务器都可能受到不同类型的攻击，这些攻击可能会影响联邦学习的性能，甚至导致失败。本文将从参与方和中央服务器的角度分别讨论这些安全威胁。恶意参与方可能会采用多种方式进行数据毒化攻击，从而影响甚至颠覆联邦学习模型。

a）数据中毒攻击。恶意参与方可以创建错误标签数据并将其用于训练全局模型以实施数据中毒攻击。

b）模型中毒攻击。与数据中毒攻击不同，恶意参与方试图直接毒化它们发送给服务器进行聚合的全局模型。

中央服务器也可能存在安全风险，主要有以下两种：

a）推理攻击。如果中央服务器是恶意的，它可能会利用参与方本地模型的参数信息发起推理攻击，泄露参与方的隐私并损害中央服务器与参与方之间的信任关系。

b）单点故障。联邦学习高度依赖中央服务器进行参数聚合，如果中央服务器发生故障，整个联邦学习过程将立即终止。

本文方案不仅可以避免毒化攻击，还可以应对可能会对联邦学习造成的推理攻击和单点故障的安全威胁。为了应对这些威胁，将区块链技术与联邦学习相结合，用区块链替代传统联邦学习的中央服务器。

3.2  系统构成

如图1所示，本文方案的系统模型主要由任务发布者、训练参与者、工人节点、领导者节点等实体组成。

a）任务发布者（taskpublisher，TP），负责发布联邦学习的任务，任务发布后会将需要训练的全局模型发送给工人节点。

b）训练参与者（training participant，TPS），在获取到全局模型后，利用本地数据集训练全局模型，在训练结束后将得到的模型更新上传到工人节点。

c）工人节点（worker node，WN），负责处理训练参与者上传的模型更新，并通过拜占庭容错领导者选举算法（如 PBFT 的轮询领导者选举）从工人节点中选择一个作为领导者节点。根据本文方案的共识算法，即便所选节点为恶意节点，其对系统本身也不会构成威胁。

d）领导者节点（leader node，LN），每一轮全局模型训练都会使用拜占庭容错领导者选举算法从工人节点中选择一个工人节点作为领导者节点，负责校验工人节点处理后的模型更新，在校验完成后对合格的模型更新进行聚合并将其添加到新生成的区块中，同时向所有训练参与者广播此次更新。

在系统中，每一輪全局模型训练共包含以下六个步骤：

a）本地模型训练及更新。每一个训练参与者在拿到全局模型后会利用本地数据集训练全局模型。

b）模型上传。在训练参与者得到模型更新后，会将模型更新上传给工人节点。

c）领导者选择。工人节点负责处理上传的模型更新，每一轮全局模型训练会随机从工人节点中挑选出领导者节点。

d）模型更新验证。领导者节点负责校验工人节点处理好的模型更新。

e）更新全局模型。在验证完成后，领导者节点会对模型更新进行聚合，将新的全局模型放置在新生成的区块中并广播给所有的训练参与者。

f）下一轮训练。训练参与者在得到新的全局模型后继续以上步骤，直到模型收敛或任务结束。

3.3  自适应模型聚合方案

为了提高联邦学习的性能，本文提出了一种自适应模型聚合方案，考虑了每个参与者的模型状态和数据条件。该方案不仅使用FedAvg，而是根据每个参与者上传模型更新的训练损失以及参与者本地数据集的数据量主动适应。算法1概述了该过程，包括以下步骤：

a）得分计算。在接收到参与者的更新后，领导者节点将根据模型更新的训练损失以及参与者本地数据集的数据量计算得分。

b）聚合。在计算得分后，领导者节点使用每个训练参与者的得分加权平均值更新全局模型。该方法考虑了每个参与者上传模型更新的训练损失以及参与者的数据量，并根据得分给予合适的权重，这样可以减少质量较低的模型更新所占的权重，从而提高全局模型更新的可靠性。计算公式如下：

ω（t+1）=ω（t）-η∑k∈Kscore（t）k×ω（t）k（2）

其中：ω（t+1）代表聚合后的第 t+1 轮的全局模型更新；ω（t） 代表第 t 轮的全局模型；η 代表学习率；score（t）k 由第 k 个参与者模型更新的训练损失以及训练数据数量加权计算后得出； ω（t）k 代表第 t 轮第 k 个参与者的模型更新。

c）微调。为了进一步提高模型精度，服務器使用公共数据集对更新后的全局模型进行微调。

该方案使服务器能够适应每个参与者的条件，并为每个参与者的贡献分配适当的权重。考虑到参与者上传模型更新的训练损失以及参与者本地数据集的数据量，该方案能够有效利用可用资源，在保证安全的前提下提高联邦学习中模型聚合的整体性能。

算法1  自适应模型聚合

输入：第t轮的全局模型ω（t）。

输出：聚合后的全局模型更新ω（t+1）。

for 每个参与者k∈K do

参与者k使用自己的数据集训练本地模型u（t）k；

参与者k向工人节点发送模型更新ω（t）k；

结束for循环

领导者节点根据上传模型更新的训练损失以及上传模型更新的参与者的训练数据量计算每个训练参与者k的得分score（t）k；

领导者节点使用式（2）更新全局模型，得到聚合后的全局模型ω（t+1）；

为了进一步提高模型精度，服务器使用公共数据集对更新后的全局模型进行微调。

3.4  共识算法

本文采用实用拜占庭容错（practical Byzantine fault tole-rance，PBFT）［16］来确保分布式系统的安全性和可靠性。PBFT可在分布式系统中提供高水平的安全性和可靠性，即使有些节点是恶意的，系统也能继续工作，与传统算法相比，它具有更低的消息复杂度和更快、更高效的共识，使其更具能源和资源效率。在系统中采用 PBFT 作为共识算法，将模型更新和验证集成到算法中以保证安全性和可靠性。共识过程如下：

a）初始化。任务发布者选择一组工人节点作为候选节点。一个具备权威认证能力的第三方机构，例如独立认证机构或由政府设立的机构，负责对这些候选节点的身份进行全面验证和确认，以确保它们是可信的节点，并排除潜在的欺诈风险。这些工人节点使用公共数据集验证上传的模型更新，以防止恶意提交，同时需要在系统账户中存入押金以保证诚实。参与者和代表都必须生成公/私密钥对并将其提交给证书授权机构（certificate authority，CA）以获得证书，然后使用其私人密钥和证书进行加密/签名以确保模型更新的隐私性和完整性。

b）本地模型训练。训练参与者从发布者处获取模型，使用其本地数据集进行训练，使用其公共密钥对更新进行签名，然后将其上传给工人组。

c）领导者选择。假设 N>3f+1，本文考虑 N 个工人节点，最多有 f 个恶意工人节点，以确保区块链的安全性。在第 i 轮中，领导者会在当前共识轮之后更改。使用拜占庭容错领导者选举算法（如 PBFT 的轮询领导者选举）选择领导者。

d）更新验证。工人节点通过数字签名验证参与者的身份，使用任务发布者共享的测试数据集检查模型更新的质量。通过设置准确性阈值过滤出低准确性的模型更新，并保留高质量的模型更新进行交易。领导者节点收集符合条件的本地模型更新，创建一个带有其签名的区块，并将其广播给其他工人节点。跟随者（工人节点）验证领导者的区块数据（签名、交易数据和所有交易的签名）。

e）区块生成。生成区块的过程包括以下三个步骤：

（a）准备阶段。每个工人节点为区块数据生成验证结果，并将其广播给其他工人节点。当节点收到至少2N个验证结果时，准备阶段完成。

（b）提交阶段。每个工人节点将自己的验证结果与其他工人节点的结果进行比较，如果有超过 2f+1 个节点同意区块数据，则它们将以数字签名的形式发送提交结果给领导者作为区块的确认。

（c）共识阶段。如果超过2/3的工人节点批准新生成的区块，则该区块将被记录在区块链中。工人节点会互相通知其邻居有关该区块的信息，从而在所有工人节点之间达成共识。

4  实验分析

4.1  实验设定

本文使用PyTorch框架设计了一个联邦学习框架，并使用Hyperledger Fabric构建了一个区块链验证平台。在GeForce GTX 3090上运行实验。

a）数据集设定。本文将在花卉数据集（flower dataset）上评估提出方案的性能，花卉数据集是一个包含3 306张鲜花图片的5分类数据集。

b）图像分类模型设定。在实验中，将使用当前流行的图像分类模型，包括Vision Transformer（VIT） 、Swin Transformer（SWIT）以及ConvNeXt（CNXt）模型作为提出方案中的图像分类模型，同时将对这些模型的性能进行评估。

c）模型训练参与者的设定。在花卉数据集实验中，假设参与者的数量分别为2、5和10。为了模拟训练参与者本地数据集大小差异很大的情况，本文设计了一个随机的数据采样方案。此外，随机选择了一些训练参与者作为恶意参与者，以测试本文方案对抗恶意参与者攻击的能力。所有的参与者都设定学习率为0.003、本地轮次为1、批次大小为32，随机梯度下降（stochastic gradient descent，SGD）作为优化算法。交叉熵函数作为损失函数（loss），其计算公式如下：

loss=-∑ni=1yi log（yiEuclid ExtravBp）（3）

其中：yi 为真实值；yiEuclid ExtravBp为预测值；n为总的分类类别数。

d）工人節点的设定。假设系统中共有六个工人节点，每一轮的模型训练都会从这六个工人节点中选出一个作为领导者节点。领导者将使用本文所提出的基于得分的模型聚合方法来对模型更新进行聚合。

4.2  模型性能评估

针对花卉数据集，分别在本文方案以及FedAvg上评估了基于本文方案的VIT模型、基于本文方案的SWIT模型和基于本文方案的CNXt模型的性能表现。实验结果如表1所示，并通过图2～4进行进一步的可视化展示（参见电子版）。这些模型被用于对花卉数据集中的五种花进行分类，并根据损失和精确度两个指标评估它们的性能。

根据实验结果可知，本文方案相比传统的FedAvg方法，在花卉数据集上展现出了更好的性能。特别地，在训练参与者为10人（p=10）时，基于本文方案的VIT模型、SWIT模型和CNXt模型的验证精确度分别比使用传统FedAvg方案高出8.72%、7.50%和6.14%。

具体而言，基于本文方案，当使用VIT模型对花卉进行分类时，训练参与者为10人时的验证精确度达到了0.579，而使用传统的FedAvg方法时，验证精确度仅为0.503。类似地，对于SWIT和CNXt模型，基于本文方案所得到的验证精确度也显著高于传统的Fedavg方法。

4.3  系统性能评估

为了体现本文方案的安全性以及抵抗数据中毒攻击的能力，比较了本文方案与不使用区块链技术的方案。同时，假设了三种情况，其中恶意参与者的比例分别为10%、20%和30%，并在花卉数据集上测试了本文方案的准确性，与没有区块链技术的方案进行了比较，实验结果如图5所示。实验结果表明，本文方案能够更有效地防止数据中毒攻击，因为本文方案可以检测并过滤掉恶意参与者提交的恶意的或低质量的模型更新。并且，本文方案的安全性以及有效性伴随着恶意参与者数量的增加而提高，当恶意参与者比例超过10％时，本文方案显著优于不使用区块链技术的方案。具体而言，当恶意参与者比例达到30％时，本文方案相较于不使用区块链技术的方案，在loss上降低了10.36％，在精确度上提高了12.99％。

4.4  差分隐私效果评估

为了评估本文方案中差分隐私的效果，比较了不使用DP的方案与使用差分隐私的方案，以及在不同隐私预算（ε∈{0.1，1，10}）下的 loss值和精确度。隐私预算越小，加入的噪声越多，表示隐私保护越强。通过图6的实验结果可以看出，使用DP的方案可以在隐私预算设置为适度水平时仍然实现良好的性能。特别地，在隐私预算为1时，使用DP方案的分类精度比没有DP的方案高，并且 loss 降低了10.62%，精确度提高了2.94%。这表明本文方案可以在保持合理的分类精度水平的同时有效地保护数据隐私。

4.5  聚合时间评估

为了对比本文方法与FedAvg的聚合时间，设定训练参与者为10人（p=10），通过多轮实验并对实验结果进行平均后得到了本文结果的聚合方案与FedAvg的聚合时间，结果如图7所示。从图7可以看出，在模型聚合时间方面，本文的聚合方法可能没有FedAvg表现出色，但在模型精度和抗攻击性方面，本文的聚合方法显然具有明显优势。实际应用中，模型的准确性和抗攻击性是非常重要的因素，因此，综合考虑这些因素，本文方案具有更好的整体表现。

5  结束语

本文提出了一种联邦学习和基于区块链的图像分类模型。该模型结合了联邦学习和区块链以实现更好的数据隐私和安全性，以及在准确性和模型复杂性方面的良好性能。 实验结果表明，在花卉数据集上，该模型具有与传统图像分类模型相当的准确率，在数据安全和隐私方面具有显著优势。 本研究虽然取得了积极的成果，但模型泛化能力需要进一步完善和探索，在未来的研究中将尝试不同的数据增强策略，以提高模型在各种场景下的泛化能力。

参考文献：

［1］孙爽，李晓会，刘妍，等.不同场景的联邦学习安全与隐私保护研究综述［J］.计算机应用研究，2021，38（12）：3527-3534.（Sun Shuang，Li Xiaohui，Liu Yan， et al.Survey on security and privacy protection in different scenarios of federated learning［J］.Application Research of Computers，2021，38（12）：3527-3534.）

［2］李凌霄，袁莎，金银玉.基于区块链的联邦学习技术综述［J］.计算机应用研究，2021，38（11）：3222-3230.（Li Lingxiao，Yuan Sha，Jin Yinyu.Review of blockchain-based federated learning［J］.Application Research of Computers，2021，38（11）：3222-3230.）

［3］Konecˇn J，McMahan H B，Yu F X，et al.Federated learning：strategies for improving communication efficiency［EB/OL］.（2017-10-30）.https：//arxiv.org/pdf/1610.05492.pdf.

［4］Kim Y J，Hong C S.Blockchain-based node-aware dynamic weighting methods for improving federated learning performance［C］//Proc of the 20th Asia-Pacific Network Operations and Management Sympo-sium.Piscataway，NJ：IEEE Press，2019：1-4.

［5］Kim H，Park J，Bennis M，et al.On-device federated learning via blockchain and its latency analysis［EB/OL］.（2019-07-01）.https：//arxiv.org/pdf/1808.03949v1.pdf.

［6］Weng Jiasi，Weng Jian，Zhang Jilian， et al.DeepChain：auditable and privacy-preserving deep learning with blockchain-based incentive［J］.IEEE Trans on Dependable and Secure Computing，2021，18（5）：2438-2455.

［7］Dwork C.Differential privacy［M］//Encyclopedia of Cryptography and Security.Boston：Springer，2011：338-340.

［8］Dwork C，McSherry F，Nissim K，et al.Calibrating noise to sensitivity in private data analysis［C］//Proc of the 3rd Theory of Cryptography Conference.Berlin：Springer，2006：265-284.

［9］Dwork C.A firm foundation for private data analysis［J］.Communications of the ACM，2011，54（1）：86-95.

［10］Dwork C，Roth A.The algorithmic foundations of differential privacy［M］.Hanover：Now Foundations and Trends，2014：211-407.

［11］Liu Ze，Lin Yutong，Cao Yue，et al.Swin Transformer：hierarchical vision transformer using shifted windows［C］//Proc of IEEE/CVF International Conference on Computer Vision.Piscataway，NJ：IEEE Press，2021：9992-10002.

［12］Dosovitskiy A，Beyer L，Kolesnikov A，et al.An image is worth 16x16 words：transformers for image recognition at scale［EB/OL］.（2021-06-03）.https：//arxiv.org/pdf/2010.11929.pdf.

［13］Liu Zhuang，Mao Hanzi，Wu Chaoyuan，et al.A convnet for the 2020s［C］//Proc of IEEE/CVF Conference on Computer Vision and Pattern Recognition.Piscataway，NJ：IEEE Press，2022：11966-11976.

［14］Deng Jia，Dong Wei，Socher R， et al.ImageNet：a large-scale hierarchical image database［C］//Proc of IEEE Conference on Computer Vision and Pattern Recognition.Washington DC：IEEE Computer Society，2009：248-255.

［15］He Kaiming，Zhang Xiangyu，Ren Shaoqing，et al.Deep residual lear-ning for image recognition［C］//Proc of IEEE Conference on Compu-ter Vision and Pattern Recognition.Washington DC：IEEE Computer Society，2016：770-778.

［16］Castro M，Liskov B.Practical Byzantine fault tolerance［C］//Proc of the 3rd Symposium on Operating Systems Design and Implementation.Berkeley，CA：USENIX Association，1999：173-186.