Security and Verifiability in Federated Learning: A Zero-Knowledge Reputation-Based Blockchain Framework

核心問題與動機

聯邦學習（Federated Learning, FL）允許多方在不共享原始敏感資料的情況下協作訓練模型，特別適合醫療、金融等隱私嚴格的領域（如遵守 GDPR、HIPAA）。然而，傳統 FL 面臨多重嚴重挑戰，形成零信任環境下的核心痛點：

• 客戶真實性與持續驗證：如何確保只有合法客戶參與？一次性的認證不足以防範中途遭駭或 Sybil 攻擊，惡意客戶可能毒化全球模型。
• 本地訓練真實性：客戶可能「偷懶」（直接回傳未訓練的全球模型）或故意提交有害更新，卻難以在不暴露資料的前提下驗證。
• 安全聚合與模型反演攻擊（MIA）：伺服器或好奇攻擊者可能從模型權重重建私人資料；差分隱私（DP）或安全多方計算（SMPC）雖有幫助，但會大幅降低模型效能。
• 可驗證推論與責任歸屬：缺乏不可否認性，客戶可否認提交更新；中央伺服器易成瓶頸，且無法提供透明的聲譽與激勵機制。
• 可擴展性與公平性：傳統共識如 PoW 耗能、PoS 富者愈富，無法適應 FL 的動態聲譽需求。

論文動機在於整合區塊鏈（不可變性與去中心化）、零知識證明（ZKP，可驗證計算而不洩露資料）、同態加密（HE，CKKS 方案，支援加密狀態下聚合）與聲譽機制，打造一個全面的零信任框架（ZK-RBFL），解決現有方案僅針對單一問題的局限性，特別適用於跨組織（cross-silo）醫療等高敏感場景。

結果／成果

作者提出 Zero-Knowledge Reputation-aware Blockchain Federated Learning (ZK-RBFL) 框架，關鍵創新包括：

• 輕量級 token-based 多層認證：結合 X.509 憑證與短期 token，實現持續驗證與不可否認性。
• ZKP 證明本地訓練與推論：客戶生成 ZKP 證明正確訓練，支援相互驗證（mutual verification），分散伺服器負擔，提升可擴展性。
• Proof of Reputation-Weighted Voting (PoRWV) 共識：聲譽加權投票的民主混合機制，取代傳統 PoW/PoS，提供動態投票權、惡意懲罰，並針對 FL 優化。
• 聲譽加權聚合 + HE：使用 CKKS 同態加密聚合更新，防止 MIA；聲譽動態調整確保公平貢獻。
• 區塊鏈與 IPFS 儲存：加密模型更新交易不可變，支援追蹤與審計。

實驗結果（腦瘤分類任務，使用 ZKP 相容的簡易 LeNet 模型）：

• 全球模型準確率達 94.22%，在 FL 設定下優於多個基準方法，與部分集中式學習相當，但具完整隱私與安全保障。
• 惡意客戶實驗：面對 underperforming 或毒化客戶，框架維持高穩健性，準確率下降幅度明顯優於標準 FL。
• 性能評估：證明生成與驗證時間可接受；PoRWV 在多客戶情境下 TPS 高、區塊最終化時間短；與 PoW、PoS、PBFT 等比較，成功率更高且更節能。
• 安全分析：使用 Scyther 工具進行形式化驗證，證明抵抗多種攻擊（包含偽造、否認等）。

整體成果顯示，在犧牲少許模型複雜度（LeNet 而非大型架構）的前提下，實現了安全性、效能與可擴展性的良好權衡。

分析與洞見

優勢與創新亮點：

• 多技術深度融合：不像多數文獻僅單獨使用區塊鏈或 ZKP，ZK-RBFL 形成閉環（認證 → ZKP 證明 → 區塊鏈共識 → HE 聚合 → 聲譽更新），提供端到端保障。
• 去中心化驗證：客戶間相互驗證 ZKP，大幅減輕伺服器瓶頸，這在大型跨裝置或跨組織 FL 中極具實務價值。
• 聲譽民主化：PoRWV 避免 PoS 的寡頭問題，引入動態懲罰與加權，促進誠實參與，適合異質客戶環境。
• 實務適用性：針對醫療腦瘤分類的案例顯示，框架可在隱私法規下實現協作，同時維持高準確率。

限制與邊緣考量：

• 使用簡易 LeNet 模型以確保 ZKP 效率，複雜深度學習模型（如 Transformer）可能需更高計算開銷或更先進的 ZKP 方案（如 ZKVM）。
• 目前聚焦同質資料（homogeneous），異質資料（heterogeneous）或非 IID 情境的效能需進一步驗證。
• 通訊與計算開銷：HE 與 ZKP 雖優於 DP/SMPC，但在大規模客戶時仍需優化；IPFS 儲存引入額外延遲。
• 威脅模型假設：主要針對 honest-but-curious 伺服器與惡意客戶，未完全涵蓋所有 Byzantine 攻擊變體。

更廣泛洞見：此框架凸顯「零信任 + 可驗證計算」在 AI 協作中的趨勢。區塊鏈不僅提供不可變性，更與聲譽機制結合，形成激勵相容的生態。未來可延伸至 personalized FL 或異質環境，結合更先進的 ZKP（如 recursive proofs）以支援大型模型。

結論

論文成功提出 ZK-RBFL 作為安全、可驗證聯邦學習的全面解決方案，透過 ZKP、區塊鏈、HE 與 PoRWV 的創新整合，解決了客戶真實性、訓練驗證、安全聚合等核心挑戰。在腦瘤分類實驗中展現 94.22% 準確率與強健安全性，證明框架在效能與隱私間取得優異平衡。

未來方向包括異質資料支援、個人化 FL、激勵機制導入，以及大型模型的 ZKP 優化。此工作為敏感領域的去中心化 AI 協作提供實務藍圖，強調多技術融合在建構可信任 AI 生態的重要性，值得後續研究與實作參考。

論文：
IEEE Xplore 正式版：https://ieeexplore.ieee.org/document/11449442/ (DOI: 10.1109/tnse.2026.3676154)