基于隱私保護聯邦學習與區塊鏈的圖像分類方案

茆啟凡 王亮亮 王子涵

收稿日期：2023-06-05；修回日期：2023-08-01? 基金項目：國家自然科學基金資助項目（U1936213，61872230）；浙江省密碼技術重點實驗室開放研究基金資助項目

作者簡介：茆啟凡（1998—），男，江蘇揚州人，碩士研究生，主要研究方向為隱私保護與聯邦學習；王亮亮（1984—），男（通信作者），河北滄州人，副教授，碩導，博士，主要研究方向為應用密碼學與信息安全（llwang@shiep.edu.cn）；王子涵（1997—），女，山東淄博人，碩士研究生，主要研究方向為智能電網隱私保護與邊緣計算．

摘? 要：傳統的中心化圖像分類方法受制于數據隱私問題和計算資源限制，無法滿足實際需求?，F有的聯邦學習框架依賴中心服務器，存在單點故障和數據中毒攻擊等安全挑戰。為解決這些問題，提出了一種面向隱私保護聯邦學習與區塊鏈的圖像分類方案，通過將聯邦學習與區塊鏈技術相結合，實現在分布式環境下進行圖像分類任務的可靠性和安全性。圖像分類模型通過聯邦學習進行訓練，并上傳至區塊鏈網絡進行驗證和共識；在分類階段，模型通過加權組合得到最終分類結果。實驗結果表明，該方案在確保用戶隱私的同時提高了圖像分類的準確度，為解決圖像分類中的數據隱私和安全問題提供了一種有效途徑，并為提高分類準確性作出了積極探索。

關鍵詞：聯邦學習；區塊鏈；圖像分類；隱私保護

中圖分類號：TP309.2??? 文獻標志碼：A

文章編號：1001-3695（2024）02-005-0356-05

doi：10.19734/j.issn.1001-3695.2023.06.0246

Image classification model based on privacy-preserving federated learning and blockchain

Mao Qifan1，Wang Liangliang1，2，Wang Zihan1

（1.College of Computer Science & Technology，Shanghai University of Electric Power，Shanghai 201306，China；2.Key Laboratory of Cryptography of Zhejiang Province，Hangzhou Normal University，Hangzhou 311121，China）

Abstract：Conventional centralized image classification methods faced challenges due to data privacy issues and limitations in computing resources，rendering them inadequate for practical applications.Existing federated learning frameworks relied on central servers，and there were security challenges such as single points of failure and data poisoning attacks.To address these issues，this paper proposed a novel image classification scheme that combined privacy-preserving federated learning and blockchain technology.The scheme achieved reliability and security in image classification tasks within a distributed environment.This approach trained the image classification model through federated learning and uploaded to the blockchain network for verification and consensus.During the classification phase，the model obtained the final classification result through weighted combination.Experimental results demonstrate that the proposed scheme ensures the accuracy of image classification while protecting user privacy.In conclusion，this paper provides an effective approach to address data privacy and security concerns in image classification，and presents a positive exploration towards improving classification accuracy.

Key words：federated learning；blockchain；image classification；privacy preserving

0? 引言

近年來，隨著人工智能和大數據技術的不斷發展，圖像分類成為了計算機視覺領域的一個重要研究方向。由于涉及到敏感數據的收集和處理，傳統的集中式圖像分類方法往往面臨著數據隱私泄露的風險，同時也存在單點故障和可信問題。為了解決這些問題，近年來提出了一種新的分布式機器學習方法——聯邦學習［1］，它是一種分布式機器學習框架，通過在分布式設備上協同訓練模型，從而實現對大規模分散式數據的分析和學習。聯邦學習不僅能夠在保護用戶隱私的同時將數據科學與隱私融為一體，還能夠提高數據利用率和模型準確度，是一種非常有前景的分布式機器學習技術。

雖然聯邦學習可以解決數據隱私保護和可信問題，但是它也存在一些問題，比如面臨著聯邦學習過程中的惡意節點攻擊、模型的過擬合、計算和通信開銷等問題。近年來一些研究人員開始將區塊鏈技術應用到聯邦學習中，從而形成了一種新的聯邦學習和區塊鏈相結合的框架［2］。本文將介紹一種基于聯邦學習和區塊鏈技術相結合的圖像分類方法，不僅可以在保護用戶隱私的同時提高模型的準確性，還可以有效地解決聯邦學習過程中可能出現的單點故障和數據中毒攻擊等安全問題。本文的貢獻主要有以下幾點：

a）提出了一種全局模型聚合方案，旨在保證安全性的前提下提高全局模型聚合的效率和預測準確性；

b）為了確保聯邦學習的應用安全可靠，本文采用聯盟區塊鏈技術來實現去中心化的模型聚合過程，使用可信的共識節點取代中央服務器來驗證本地模型的更新，從而有效解決單點故障和數據中毒攻擊等安全問題；

c）將聯邦學習和區塊鏈技術應用于圖像分類領域，在不泄露數據隱私的前提下提高模型的準確性。實驗結果表明，本文方案在提供數據隱私保護的同時保證了模型精度。

1? 相關研究

聯邦學習是一種適用于多方數據合作訓練的新型機器學習方法，其核心思想是將數據留在本地，通過模型聚合算法將各方模型進行組合。聯邦學習可以保護用戶的數據隱私、降低數據傳輸的成本，可以在不共享原始數據的情況下進行訓練，然而在聯邦學習中如何保證參與者的誠實性和算法的可靠性仍然是一個重要的問題［3］。區塊鏈是一種去中心化的、不可竄改的分布式數據庫，通過使用密碼學和共識算法實現了可靠的數據共享和交換。區塊鏈可以提供可信的環境，以支持聯邦學習中的去中心化協作，通過將聯邦學習的模型參數記錄在區塊鏈中增加算法的可信度和透明度，并防止竄改和重放攻擊。Kim等人［4］提出了基于權重的客戶端子集選擇方案，通過考慮每個客戶端本地模型的準確性和參與訓練的頻率來確定用于訓練的客戶端子集，與傳統隨機選擇客戶端不同，這種方法可以提高聯邦學習的收斂速度并提高訓練的效果。Kim等人［5］提出了BlockFL架構，其中每個數據持有方將本地模型梯度上傳給與其關聯的礦工所在的區塊鏈網絡，作為回報，礦工會給予與其數據樣本數量成比例的獎勵并對本地模型進行交叉驗證，通過工作量證明完成共識。Weng等人［6］提出的DeepChain方案也將區塊鏈在加密貨幣領域的應用與聯邦學習相結合，數據持有方會將本地訓練得到的梯度上傳至智能合約，在完成聯邦學習后獲得DeepCoin作為獎勵。但是這些方案依舊存在以下缺點：高計算和通信開銷、隱私和安全問題、數據偏差和樣本不平衡以及可擴展性和適用性限制。在實際應用中，需要綜合考慮這些問題并根據具體場景選擇適當的方案進行改進。

綜上所述，區塊鏈技術可以為聯邦學習提供可信的環境，增加算法的可靠性和透明度，并保護用戶數據的安全性和隱私性。然而，如何設計和實現區塊鏈和聯邦學習的結合并將其應用到圖像分類場景，仍然需要進一步的研究和探索。

2? 預備知識

2.1? 聯邦學習

聯邦學習是一種分布式機器學習方法，它允許多個參與方在不共享原始數據的情況下共同訓練一個模型。每個參與方都擁有本地數據集，模型通過對各參與方的本地數據進行訓練來實現。相比于傳統的集中式學習方法，聯邦學習可以降低數據傳輸和隱私泄露風險，提高模型的可擴展性和適應性。

在聯邦學習中，每個參與方都擁有本地數據集 LDi，目標是學習一個全局模型 ω，使得各方的本地損失函數 fi（ω） 最小化。聯邦學習的目標是最小化全局損失函數：

F（ω）=∑mi=1ninfi（ω）（1）

其中：m是參與方數量；n 是所有參與方的數據總量；ni 是第i個參與方的數據量。聯邦學習的主要挑戰是如何解決參與方的異構性和不同數據分布所導致的問題。已有的解決方案包括聯邦平均算法（federated averaging，FedAvg）［3］等。

2.2? 差分隱私（differential privacy，DP）

差分隱私［7～10］是一種廣泛應用于數據隱私保護的方法，它可以在不犧牲數據實用性的前提下保護敏感數據的隱私。差分隱私的核心思想是通過添加噪聲來混淆原始數據，使得攻擊者難以從噪聲中推斷出原始數據的真實值。與傳統的基于加密技術和訪問控制的隱私保護方法相比，差分隱私具有更廣泛的適用性，可以應用于各種數據類型和場景。

在差分隱私中，敏感數據集為 D，希望在不暴露個體數據的情況下獲得關于D的一些有用統計信息。為此，對D進行處理，使得處理后的數據集 D′與原始數據集D的差別被限制在一個可控的范圍內，這個范圍也被稱為隱私預算ε。具體來說，可以將隱私預算分配給每個個體數據，對于每個數據x∈D，根據差分隱私定義，需要在滿足一定噪聲約束的前提下改變x的值來獲得處理后的數據x′。差分隱私中最常用的噪聲機制是加性噪聲機制，即將噪聲值Z加到原始數據x上得到處理后的數據x′。為了確保差分隱私的有效性，需要選擇合適的噪聲參數，并保證噪聲參數滿足一定的隱私預算約束。常用的隱私度量指標包括ε-差分隱私、局部敏感度和全局敏感度等。差分隱私的實現需要綜合考慮噪聲大小、數據敏感度、隱私預算等因素，并進行合理的權衡和設計。

2.3? 圖像分類任務

當今，圖像分類是計算機視覺中最基本和廣泛應用的任務之一，該任務的目標是將輸入圖像分配到先前定義好的類別中，如“狗”“貓”“汽車”“飛機”等。傳統的圖像分類模型通常由輸入層、卷積層、池化層、全連接層和輸出層組成。卷積層和池化層用于提取圖像中的特征，全連接層用于將提取的特征映射到輸出層的類別，輸出層則根據類別進行分類決策。

傳統的圖像分類模型通常使用深度卷積神經網絡（convolutional neural network，CNN）來實現。CNN使用卷積操作提取圖像中的特征，并使用池化操作來減小特征圖的尺寸和數量，從而提高模型的計算效率和泛化性能。Swin Transformer［11］、Vision Transformer［12］和ConvNeXt［13］模型是當前最新的圖像分類模型，它們與傳統的圖像分類模型在以下方面存在差異：

a）基于注意力的架構。傳統的圖像分類模型使用卷積神經網絡作為其基礎結構，而Swin Transformer、Vision Transformer和ConvNeXt模型則是基于注意力機制構建的，這些模型將卷積層替換為自注意力層，從而實現了更高的表征能力和更好的準確性。

b）模型深度和參數量。與傳統的圖像分類模型相比，Swin Transformer、Vision Transformer和ConvNeXt通常更深、更大。例如，Swin Transformer-B在ImageNet［14］上具有197層和88.3 M個參數，而ResNet-50［15］只有50層和25.6 M個參數。這些大型模型需要更多的計算資源和更長的訓練時間。

c）數據增強和正則化技術。Swin Transformer、VisionTransformer和ConvNeXt通常使用更多的數據增強和正則化技術來防止過擬合，這些技術可以提升模型的泛化能力。

d）多尺度特征融合。Swin Transformer、Vision Transformer和ConvNeXt還具有多尺度特征融合的能力，可以更好地捕捉不同尺度下的圖像特征。例如，Swin Transformer使用了基于跨窗口交互的分層注意力機制來融合不同尺度下的特征，從而提高了模型的準確性。

基于注意力機制的圖像分類模型，具有比傳統的卷積神經網絡模型更高的準確度和更好的泛化能力，但需要更多的計算資源和更長的訓練時間。

3? 威脅模型與系統模型

3.1? 威脅模型

傳統的聯邦學習存在安全威脅，參與方和中央服務器都可能受到不同類型的攻擊，這些攻擊可能會影響聯邦學習的性能，甚至導致失敗。本文將從參與方和中央服務器的角度分別討論這些安全威脅。惡意參與方可能會采用多種方式進行數據毒化攻擊，從而影響甚至顛覆聯邦學習模型。

a）數據中毒攻擊。惡意參與方可以創建錯誤標簽數據并將其用于訓練全局模型以實施數據中毒攻擊。

b）模型中毒攻擊。與數據中毒攻擊不同，惡意參與方試圖直接毒化它們發送給服務器進行聚合的全局模型。

中央服務器也可能存在安全風險，主要有以下兩種：

a）推理攻擊。如果中央服務器是惡意的，它可能會利用參與方本地模型的參數信息發起推理攻擊，泄露參與方的隱私并損害中央服務器與參與方之間的信任關系。

b）單點故障。聯邦學習高度依賴中央服務器進行參數聚合，如果中央服務器發生故障，整個聯邦學習過程將立即終止。

本文方案不僅可以避免毒化攻擊，還可以應對可能會對聯邦學習造成的推理攻擊和單點故障的安全威脅。為了應對這些威脅，將區塊鏈技術與聯邦學習相結合，用區塊鏈替代傳統聯邦學習的中央服務器。

3.2? 系統構成

如圖1所示，本文方案的系統模型主要由任務發布者、訓練參與者、工人節點、領導者節點等實體組成。

a）任務發布者（taskpublisher，TP），負責發布聯邦學習的任務，任務發布后會將需要訓練的全局模型發送給工人節點。

b）訓練參與者（training participant，TPS），在獲取到全局模型后，利用本地數據集訓練全局模型，在訓練結束后將得到的模型更新上傳到工人節點。

c）工人節點（worker node，WN），負責處理訓練參與者上傳的模型更新，并通過拜占庭容錯領導者選舉算法（如 PBFT 的輪詢領導者選舉）從工人節點中選擇一個作為領導者節點。根據本文方案的共識算法，即便所選節點為惡意節點，其對系統本身也不會構成威脅。

d）領導者節點（leader node，LN），每一輪全局模型訓練都會使用拜占庭容錯領導者選舉算法從工人節點中選擇一個工人節點作為領導者節點，負責校驗工人節點處理后的模型更新，在校驗完成后對合格的模型更新進行聚合并將其添加到新生成的區塊中，同時向所有訓練參與者廣播此次更新。

在系統中，每一輪全局模型訓練共包含以下六個步驟：

a）本地模型訓練及更新。每一個訓練參與者在拿到全局模型后會利用本地數據集訓練全局模型。

b）模型上傳。在訓練參與者得到模型更新后，會將模型更新上傳給工人節點。

c）領導者選擇。工人節點負責處理上傳的模型更新，每一輪全局模型訓練會隨機從工人節點中挑選出領導者節點。

d）模型更新驗證。領導者節點負責校驗工人節點處理好的模型更新。

e）更新全局模型。在驗證完成后，領導者節點會對模型更新進行聚合，將新的全局模型放置在新生成的區塊中并廣播給所有的訓練參與者。

f）下一輪訓練。訓練參與者在得到新的全局模型后繼續以上步驟，直到模型收斂或任務結束。

3.3? 自適應模型聚合方案

為了提高聯邦學習的性能，本文提出了一種自適應模型聚合方案，考慮了每個參與者的模型狀態和數據條件。該方案不僅使用FedAvg，而是根據每個參與者上傳模型更新的訓練損失以及參與者本地數據集的數據量主動適應。算法1概述了該過程，包括以下步驟：

a）得分計算。在接收到參與者的更新后，領導者節點將根據模型更新的訓練損失以及參與者本地數據集的數據量計算得分。

b）聚合。在計算得分后，領導者節點使用每個訓練參與者的得分加權平均值更新全局模型。該方法考慮了每個參與者上傳模型更新的訓練損失以及參與者的數據量，并根據得分給予合適的權重，這樣可以減少質量較低的模型更新所占的權重，從而提高全局模型更新的可靠性。計算公式如下：

ω（t+1）=ω（t）-η∑k∈Kscore（t）k×ω（t）k（2）

其中：ω（t+1）代表聚合后的第 t+1 輪的全局模型更新；ω（t） 代表第 t 輪的全局模型；η 代表學習率；score（t）k 由第 k 個參與者模型更新的訓練損失以及訓練數據數量加權計算后得出； ω（t）k 代表第 t 輪第 k 個參與者的模型更新。

c）微調。為了進一步提高模型精度，服務器使用公共數據集對更新后的全局模型進行微調。

該方案使服務器能夠適應每個參與者的條件，并為每個參與者的貢獻分配適當的權重?？紤]到參與者上傳模型更新的訓練損失以及參與者本地數據集的數據量，該方案能夠有效利用可用資源，在保證安全的前提下提高聯邦學習中模型聚合的整體性能。

算法1? 自適應模型聚合

輸入：第t輪的全局模型ω（t）。

輸出：聚合后的全局模型更新ω（t+1）。

for 每個參與者k∈K do

參與者k使用自己的數據集訓練本地模型u（t）k；

參與者k向工人節點發送模型更新ω（t）k；

結束for循環

領導者節點根據上傳模型更新的訓練損失以及上傳模型更新的參與者的訓練數據量計算每個訓練參與者k的得分score（t）k；

領導者節點使用式（2）更新全局模型，得到聚合后的全局模型ω（t+1）；

為了進一步提高模型精度，服務器使用公共數據集對更新后的全局模型進行微調。

3.4? 共識算法

本文采用實用拜占庭容錯（practical Byzantine fault tole-rance，PBFT）［16］來確保分布式系統的安全性和可靠性。PBFT可在分布式系統中提供高水平的安全性和可靠性，即使有些節點是惡意的，系統也能繼續工作，與傳統算法相比，它具有更低的消息復雜度和更快、更高效的共識，使其更具能源和資源效率。在系統中采用 PBFT 作為共識算法，將模型更新和驗證集成到算法中以保證安全性和可靠性。共識過程如下：

a）初始化。任務發布者選擇一組工人節點作為候選節點。一個具備權威認證能力的第三方機構，例如獨立認證機構或由政府設立的機構，負責對這些候選節點的身份進行全面驗證和確認，以確保它們是可信的節點，并排除潛在的欺詐風險。這些工人節點使用公共數據集驗證上傳的模型更新，以防止惡意提交，同時需要在系統賬戶中存入押金以保證誠實。參與者和代表都必須生成公/私密鑰對并將其提交給證書授權機構（certificate authority，CA）以獲得證書，然后使用其私人密鑰和證書進行加密/簽名以確保模型更新的隱私性和完整性。

b）本地模型訓練。訓練參與者從發布者處獲取模型，使用其本地數據集進行訓練，使用其公共密鑰對更新進行簽名，然后將其上傳給工人組。

c）領導者選擇。假設 N>3f+1，本文考慮 N 個工人節點，最多有 f 個惡意工人節點，以確保區塊鏈的安全性。在第 i 輪中，領導者會在當前共識輪之后更改。使用拜占庭容錯領導者選舉算法（如 PBFT 的輪詢領導者選舉）選擇領導者。

d）更新驗證。工人節點通過數字簽名驗證參與者的身份，使用任務發布者共享的測試數據集檢查模型更新的質量。通過設置準確性閾值過濾出低準確性的模型更新，并保留高質量的模型更新進行交易。領導者節點收集符合條件的本地模型更新，創建一個帶有其簽名的區塊，并將其廣播給其他工人節點。跟隨者（工人節點）驗證領導者的區塊數據（簽名、交易數據和所有交易的簽名）。

e）區塊生成。生成區塊的過程包括以下三個步驟：

（a）準備階段。每個工人節點為區塊數據生成驗證結果，并將其廣播給其他工人節點。當節點收到至少2N個驗證結果時，準備階段完成。

（b）提交階段。每個工人節點將自己的驗證結果與其他工人節點的結果進行比較，如果有超過 2f+1 個節點同意區塊數據，則它們將以數字簽名的形式發送提交結果給領導者作為區塊的確認。

（c）共識階段。如果超過2/3的工人節點批準新生成的區塊，則該區塊將被記錄在區塊鏈中。工人節點會互相通知其鄰居有關該區塊的信息，從而在所有工人節點之間達成共識。

4? 實驗分析

4.1? 實驗設定

本文使用PyTorch框架設計了一個聯邦學習框架，并使用Hyperledger Fabric構建了一個區塊鏈驗證平臺。在GeForce GTX 3090上運行實驗。

a）數據集設定。本文將在花卉數據集（flower dataset）上評估提出方案的性能，花卉數據集是一個包含3 306張鮮花圖片的5分類數據集。

b）圖像分類模型設定。在實驗中，將使用當前流行的圖像分類模型，包括Vision Transformer（VIT） 、Swin Transformer（SWIT）以及ConvNeXt（CNXt）模型作為提出方案中的圖像分類模型，同時將對這些模型的性能進行評估。

c）模型訓練參與者的設定。在花卉數據集實驗中，假設參與者的數量分別為2、5和10。為了模擬訓練參與者本地數據集大小差異很大的情況，本文設計了一個隨機的數據采樣方案。此外，隨機選擇了一些訓練參與者作為惡意參與者，以測試本文方案對抗惡意參與者攻擊的能力。所有的參與者都設定學習率為0.003、本地輪次為1、批次大小為32，隨機梯度下降（stochastic gradient descent，SGD）作為優化算法。交叉熵函數作為損失函數（loss），其計算公式如下：

loss=-∑ni=1yi log（yiEuclid ExtravBp）（3）

其中：yi 為真實值；yiEuclid ExtravBp為預測值；n為總的分類類別數。

d）工人節點的設定。假設系統中共有六個工人節點，每一輪的模型訓練都會從這六個工人節點中選出一個作為領導者節點。領導者將使用本文所提出的基于得分的模型聚合方法來對模型更新進行聚合。

4.2? 模型性能評估

針對花卉數據集，分別在本文方案以及FedAvg上評估了基于本文方案的VIT模型、基于本文方案的SWIT模型和基于本文方案的CNXt模型的性能表現。實驗結果如表1所示，并通過圖2～4進行進一步的可視化展示（參見電子版）。這些模型被用于對花卉數據集中的五種花進行分類，并根據損失和精確度兩個指標評估它們的性能。

根據實驗結果可知，本文方案相比傳統的FedAvg方法，在花卉數據集上展現出了更好的性能。特別地，在訓練參與者為10人（p=10）時，基于本文方案的VIT模型、SWIT模型和CNXt模型的驗證精確度分別比使用傳統FedAvg方案高出8.72%、7.50%和6.14%。

具體而言，基于本文方案，當使用VIT模型對花卉進行分類時，訓練參與者為10人時的驗證精確度達到了0.579，而使用傳統的FedAvg方法時，驗證精確度僅為0.503。類似地，對于SWIT和CNXt模型，基于本文方案所得到的驗證精確度也顯著高于傳統的Fedavg方法。

4.3? 系統性能評估

為了體現本文方案的安全性以及抵抗數據中毒攻擊的能力，比較了本文方案與不使用區塊鏈技術的方案。同時，假設了三種情況，其中惡意參與者的比例分別為10%、20%和30%，并在花卉數據集上測試了本文方案的準確性，與沒有區塊鏈技術的方案進行了比較，實驗結果如圖5所示。實驗結果表明，本文方案能夠更有效地防止數據中毒攻擊，因為本文方案可以檢測并過濾掉惡意參與者提交的惡意的或低質量的模型更新。并且，本文方案的安全性以及有效性伴隨著惡意參與者數量的增加而提高，當惡意參與者比例超過10％時，本文方案顯著優于不使用區塊鏈技術的方案。具體而言，當惡意參與者比例達到30％時，本文方案相較于不使用區塊鏈技術的方案，在loss上降低了10.36％，在精確度上提高了12.99％。

4.4? 差分隱私效果評估

為了評估本文方案中差分隱私的效果，比較了不使用DP的方案與使用差分隱私的方案，以及在不同隱私預算（ε∈{0.1，1，10}）下的 loss值和精確度。隱私預算越小，加入的噪聲越多，表示隱私保護越強。通過圖6的實驗結果可以看出，使用DP的方案可以在隱私預算設置為適度水平時仍然實現良好的性能。特別地，在隱私預算為1時，使用DP方案的分類精度比沒有DP的方案高，并且 loss 降低了10.62%，精確度提高了2.94%。這表明本文方案可以在保持合理的分類精度水平的同時有效地保護數據隱私。

4.5? 聚合時間評估

為了對比本文方法與FedAvg的聚合時間，設定訓練參與者為10人（p=10），通過多輪實驗并對實驗結果進行平均后得到了本文結果的聚合方案與FedAvg的聚合時間，結果如圖7所示。從圖7可以看出，在模型聚合時間方面，本文的聚合方法可能沒有FedAvg表現出色，但在模型精度和抗攻擊性方面，本文的聚合方法顯然具有明顯優勢。實際應用中，模型的準確性和抗攻擊性是非常重要的因素，因此，綜合考慮這些因素，本文方案具有更好的整體表現。

5? 結束語

本文提出了一種聯邦學習和基于區塊鏈的圖像分類模型。該模型結合了聯邦學習和區塊鏈以實現更好的數據隱私和安全性，以及在準確性和模型復雜性方面的良好性能。 實驗結果表明，在花卉數據集上，該模型具有與傳統圖像分類模型相當的準確率，在數據安全和隱私方面具有顯著優勢。 本研究雖然取得了積極的成果，但模型泛化能力需要進一步完善和探索，在未來的研究中將嘗試不同的數據增強策略，以提高模型在各種場景下的泛化能力。

參考文獻：

［1］孫爽，李曉會，劉妍，等.不同場景的聯邦學習安全與隱私保護研究綜述［J］.計算機應用研究，2021，38（12）：3527-3534.（Sun Shuang，Li Xiaohui，Liu Yan， et al.Survey on security and privacy protection in different scenarios of federated learning［J］.Application Research of Computers，2021，38（12）：3527-3534.）

［2］李凌霄，袁莎，金銀玉.基于區塊鏈的聯邦學習技術綜述［J］.計算機應用研究，2021，38（11）：3222-3230.（Li Lingxiao，Yuan Sha，Jin Yinyu.Review of blockchain-based federated learning［J］.Application Research of Computers，2021，38（11）：3222-3230.）

［3］Konecˇn J，McMahan H B，Yu F X，et al.Federated learning：strategies for improving communication efficiency［EB/OL］.（2017-10-30）.https：//arxiv.org/pdf/1610.05492.pdf.

［4］Kim Y J，Hong C S.Blockchain-based node-aware dynamic weighting methods for improving federated learning performance［C］//Proc of the 20th Asia-Pacific Network Operations and Management Sympo-sium.Piscataway，NJ：IEEE Press，2019：1-4.

［5］Kim H，Park J，Bennis M，et al.On-device federated learning via blockchain and its latency analysis［EB/OL］.（2019-07-01）.https：//arxiv.org/pdf/1808.03949v1.pdf.

［6］Weng Jiasi，Weng Jian，Zhang Jilian， et al.DeepChain：auditable and privacy-preserving deep learning with blockchain-based incentive［J］.IEEE Trans on Dependable and Secure Computing，2021，18（5）：2438-2455.

［7］Dwork C.Differential privacy［M］//Encyclopedia of Cryptography and Security.Boston：Springer，2011：338-340.

［8］Dwork C，McSherry F，Nissim K，et al.Calibrating noise to sensitivity in private data analysis［C］//Proc of the 3rd Theory of Cryptography Conference.Berlin：Springer，2006：265-284.

［9］Dwork C.A firm foundation for private data analysis［J］.Communications of the ACM，2011，54（1）：86-95.

［10］Dwork C，Roth A.The algorithmic foundations of differential privacy［M］.Hanover：Now Foundations and Trends，2014：211-407.

［11］Liu Ze，Lin Yutong，Cao Yue，et al.Swin Transformer：hierarchical vision transformer using shifted windows［C］//Proc of IEEE/CVF International Conference on Computer Vision.Piscataway，NJ：IEEE Press，2021：9992-10002.

［12］Dosovitskiy A，Beyer L，Kolesnikov A，et al.An image is worth 16x16 words：transformers for image recognition at scale［EB/OL］.（2021-06-03）.https：//arxiv.org/pdf/2010.11929.pdf.

［13］Liu Zhuang，Mao Hanzi，Wu Chaoyuan，et al.A convnet for the 2020s［C］//Proc of IEEE/CVF Conference on Computer Vision and Pattern Recognition.Piscataway，NJ：IEEE Press，2022：11966-11976.

［14］Deng Jia，Dong Wei，Socher R， et al.ImageNet：a large-scale hierarchical image database［C］//Proc of IEEE Conference on Computer Vision and Pattern Recognition.Washington DC：IEEE Computer Society，2009：248-255.

［15］He Kaiming，Zhang Xiangyu，Ren Shaoqing，et al.Deep residual lear-ning for image recognition［C］//Proc of IEEE Conference on Compu-ter Vision and Pattern Recognition.Washington DC：IEEE Computer Society，2016：770-778.

［16］Castro M，Liskov B.Practical Byzantine fault tolerance［C］//Proc of the 3rd Symposium on Operating Systems Design and Implementation.Berkeley，CA：USENIX Association，1999：173-186.