当前位置：首页 > article >正文

【论文阅读】Comment on the Security of “VOSA“

article 2026/4/29 12:49:39

Comment on the Security of Verifiable and Oblivious Secure Aggregation for Privacy-Preserving Federated Learning -- 关于隐私保护联邦中可验证与遗忘的安全聚合的安全性

论文来源
摘要
Introduction
回顾 VOSA 方案
对VOSA不可伪造性的攻击
- 对于类型 I 的攻击
- 对于类型 II 的攻击

论文来源

名称	On the Security of Verifiable and Oblivious Secure Aggregation for Privacy-Preserving Federated Learning
期刊	TDSC 2024
作者	Jiahui Wu; Weizhe Zhang

摘要

Recently, to resist privacy leakage and aggregation result forgery in federated learning (FL), Wang et al. proposed a verifiable and oblivious secure aggregation protocol for FL, called VOSA. They claimed that VOSA was aggregate unforgeable and verifiable under a malicious aggregation server and gave detailed security proof. In this article, we show that VOSA is insecure, in which local gradients/aggregation results and their corresponding authentication tags/proofs can be tampered with without being detected by the verifiers. After presenting specific attacks, we analyze the reason for this security issue and give a suggestion to prevent it.

最近，为了抵御联邦学习（FL）中的隐私泄露和聚合结果伪造，Wang等人提出了一种可验证且不经意的联邦学习安全聚合协议，称为VOSA。他们声称，在VOSA协议中，恶意聚合服务器是无法伪造和可验证的，并给出了详细的安全证明。本文中，我们展示了VOSA是不安全的，其中 本地梯度/聚合结果 及其对应的 认证标签/证明 可以被篡改而不被验证者检测到。在展示具体攻击之后，我们分析了此安全问题的原因，并提出了防止该问题的建议。

Introduction

联邦学习（FL）是一种流行的分布式机器学习范式，它使多个用户能够在不共享其私有数据集的情况下共同训练模型。在FL中，每个用户只需提交其训练后的本地梯度到中央聚合服务器（AS）进行全局模型聚合。这样可以在利用分布式数据集的同时缓解这些数据集的隐私泄露，从而获得更准确的全局模型。然而，提交的本地梯度也泄露了数据隐私。此外，未经信任的AS可能会修改或伪造聚合结果以欺骗用户。
为减轻上述两个安全问题，Wang等人最近提出了 VOSA 方案，该方案设计了一种用于联邦学习（FL）的可验证和不经意的安全聚合协议。在协议中，构建了加密方法和认证标签生成方法，以保护数据隐私并验证聚合结果的正确性。Wang等人声称，VOSA下恶意聚合服务器（AS）是不可伪造和可验证的，并给出了详细的安全性证明。不幸的是，在本文中，通过分析VOSA的安全性，我们表明它是不安全的。特别是，VOSA无法抵抗来自恶意AS的伪造攻击，我们发现AS可以伪造密文及其对应的标签，也可以伪造聚合结果及其证明，欺骗验证者（即用户）接受伪造的聚合结果。我们提出了针对VOSA的两个具体伪造攻击。在分析该安全问题的原因后，我们提供了一个建议以克服此问题。

回顾 VOSA 方案

在本节中，我们简要回顾VOSA方案。系统模型包含四个实体：密钥生成中心（KGC）、用户、收集器和聚合服务器（AS）。在威胁模型中，恶意的AS可能会篡改或伪造聚合结果和证明，以欺骗用户接受不正确的结果。下面，我们描述包含五个阶段的 VOSA 详细协议。

阶段 0：建立阶段：KGC 生成并发布公共系统参数 $pm = \{N, w_0, g_1, g_2, h_1, h_2, G_1, G_2, G_T, H_0, H_1\}$ ，其中 $N = pq$ ， $p$ 和 $q$ 是两个安全的大素数； $w_0$ 是初始模型参数； $G_1$ , $G_2$ 是两个素数阶为 $p$ 的乘法循环群； $g_1$ , $g_2$ 分别是 $G_1$ , $G_2$ 的两个随机生成元； $h_1 = g_1^a, h_2 = g_2^a, a \in Z_p^∗$ ； $G_1 × G_2 \to G_T$ 是一个可计算的双线性对； $H_0 : \{0, 1\}^∗ \to Z_{N^2}^∗$ 和 $H_1 : \{0, 1\}^∗ \to G_1$ 是两个哈希函数。AS 生成其秘密钥匙 $sk_A \in Z_{N^2}^∗$ 。每个用户 $\mathcal{U}_i$ 生成其加密钥匙 $sk_i ∈ [0, N^2]$ 和标签钥匙 $tk_i \in Z_{N^2}^∗$ 。
阶段 1：掩码和标签阶段：在第 $t$ 次训练周期， $\mathcal{U}_i$ 将其本地梯度 $w_{i,t}$ 加密为密文 $C_{i,t} = (1 + w_{i,t} N )H_0(t)^{sk_i} \ mod \ N^2$ ，并生成认证标签 $T_{i,t} = H_1(t)^{tk_i} h_1^{w_{i,t}}$ 。然后 $\mathcal{U}_i$ 将 $C_{i,t}, T_{i,t})$ 发送到 AS 。
阶段2：收集阶段：AS生成其公钥 $pk_{A,t} = (pk_{A,t}^1, pk_{A,t}^2)$ 并将其分发给所有用户 $\mathcal{U}_i \in \mathcal{U}_1$ ，其中 $pk_{A,t}^1 = H_0(t)^{sk_A}$ ， $pk_{A,t}^2 = h_2^{sk_A}$ ， $\mathcal{U}_1$ 包含所有将密文和标签发送给 AS 的用户。然后， $\mathcal{U}_i$ 生成其辅助信息 $Au_{i,t} = (pk_{A,t}^1)^{sk_i}，Vk_{i,t} = (pk_{A,t}^2)^{tk_i}$ 并将其发送给收集器。收集器构建用户列表 $\mathcal{U}_3 = \mathcal{U}_1 \cap \ \mathcal{U}_2$ （ $\mathcal{U}_2$ 包含所有将辅助信息发送给收集器的用户）并计算解密密钥 $Au_t = \prod_{\mathcal{U}_i \in \mathcal{U}_3} Au_{i,t}$ 和验证密钥 $Vk_t = \prod_{\mathcal{U}_i \in \mathcal{U}_3} Vk_{i,t}$ 。最后，收集器将 $Au_t, \mathcal{U}_3$ 发送给AS，并将 $Vk_t$ 发送给 $\mathcal{U}_3$ 中的所有用户。
第3阶段：解密和聚合阶段：AS将 $\mathcal{U}_3$ 中所有用户的密文聚合为聚合密文 $C_t = (\prod_{\mathcal{U}_i \in \mathcal{U}_3} Ci,t)^{sk_A} \ mod \ N^2$ ，然后将其解密为聚合明文 $W_t = sk_A^{−1 } \frac{\frac{C_t}{Au_t}-1}{N} \ mod \ N$ 。AS 将所有认证标签聚合为证明 $(\prod_{\mathcal{U}_i \in \mathcal{U}_3} T_{i,t})^{sk_A}$ ，并将 $W_t, T_t)$ 发送给 $\mathcal{U}_3$ 中的所有用户。
第4阶段：验证阶段：每个用户通过检查 $e(T_t, h_2) \stackrel{\text{\tiny ?}}{=} e(H_1(t), Vk_t) \cdot e(h_1^{W_t} , pk_{A,t}^2)$ 来验证聚合明文的正确性。如果等式成立，那么 $W_t$ 是正确的聚合明文；否则，它是不正确的。

对VOSA不可伪造性的攻击

在VOSA中，Wang等人声称VOSA实现了聚合的不可伪造性和可验证性，以抵御恶意的AS发起篡改 / 伪造攻击，欺骗用户接受错误的聚合结果。

然而，我们发现它不能抵抗两种类型的伪造攻击：

类型 I：AS 篡改任意用户的密文 / 标签对，并欺骗所有用户接受聚合结果。
类型 II：AS 篡改聚合结果及其证明，以欺骗所有用户接受篡改后的聚合结果。

我们在下面提供详细的攻击情况。

对于类型 I 的攻击

AS 首先篡改了任意用户 $\mathcal{U}_i \in \mathcal{U}_3$ 的密文/标签对，如下所示：

AS 计算 $1+w_{i,t}'N , h_1^{w_{i,t}'})$ ，其中 $w_{i,t}'$ 是 AS 任意伪造的梯度。
AS篡改了 $\mathcal{U}_i$ 的密文/标签对 $C_{i,t}, T_{i,t})$ 为篡改后的密文/标签对。

在这里插入图片描述

其中 $w_{i,t}^* = w_{i,t} + w_{i,t}'$ 是被篡改的梯度。记 $\mathcal{U}^∗ (\mathcal{U}^∗ ⊆ \mathcal{U}_3)$ 为其密文/标签对被 AS 篡改的用户列表。为了便于后续的呈现，我们将 $\mathcal{U}_j \in \mathcal{U}_3 \setminus \mathcal{U}^∗$ 的梯度表示为 $w_{j,t}^* = w_{j,t}$ 。

然后，AS 将所有 $\mathcal{U}_3$ 用户的密文聚合为伪造的聚合密文 $C_t^∗$ 如（1），并使用去伪装密钥 $Au_t$ 和其私钥 $sk_A$ 解密 $C_t^∗$ 以获得伪造的聚合明文 $W_t^∗$ 如（2）。AS 计算伪造的聚合标签 $T_t^∗$ 如（3）。然后 AS 将 $W_t^∗, T_t^∗)$ 发送给 $\mathcal{U}_3$ 中的所有用户以进行验证。

在这里插入图片描述

在接收到伪造的聚合值 $W_t^∗, T_t^∗)$ 时，每个用户通过检查验证 $W_t^∗$ 的正确性：

根据双线性配对性质，(4) 的左侧等于（4）的右侧。然后， $W_t^∗$ 被验证为正确，因此 VOSA 无法抵抗 I 型伪造攻击。
在这里插入图片描述

对于类型 II 的攻击

AS 先在 $W_t$ 的基础上伪造一个聚合明文 $W_t^∗ = W_t + w^∗$ ，其中 $w^∗$ 是一个随机选择的梯度。然后，AS 修改 $W_t$ 的证明 $T_t$ 为证明 $T_t^∗ = T_t \cdot \ h_1^{w^∗sk_A}$ 。最后，AS 将 $W_t^∗, T_t^∗)$ 发送给用户进行验证。在验证阶段，每个用户验证：
在这里插入图片描述
因此，VOSA 无法抵抗 II 型伪造攻击。

讨论：我们攻击的主要原因是VOSA的加密 / 认证标签生成方法使得密文 / 标签可以轻易地被恶意对手篡改，而不需要用户的加密 / 标签密钥。更明确地说，在密文和标签时，用户密钥不会直接影响明文。具体，一个密文 $C_{i,t} = (1 + w_{i,t}N )H_0(t)^{sk_i} \ mod \ N^2$ / 标签 $T_{i,t} = H_1(t)^{tk_i} h_1^{w_{i,t}}$ 可以被视为由两个独立部分组成： ${C_{i,t}^{(1)} , C_{i,t}^{(2)} = \{(1 + w_{i,t}N ), H_0(t)^{sk_i} \} / \{T_{i,t}^{(1)} , T_{i,t}^{(2)} \} = \{h_1^{w_{i,t}} ,H_1(t)^{tk_i}\}$ ，密文 / 标签的两个部分分别包含明文 $w_{i,t}$ 和密钥 $sk_i/tk_i$ ，从而使我们可以在篡改包含明文的部分（即 $C_{i,t}^{(1)} / T_{i,t}^{(1)}$ ）时进行攻击。

虽然我们的攻击可以通过将用户密钥放在部分 $C_{i,t}^{(1)}$ 和 $T_{i,t}^{(1)}$ 上来防止，但我们强调此方法对于VOSA来说难以维持解密的正确性。例如，我们将加密方法修改为 $\tilde{C_{i,t}} = (1 + w_{i,t}N )^{sk_i} H_0(t)^{sk_i} \ mod \ N^2$ ，那么聚合密文是 $\tilde{C_t} = (\prod_{\mathcal{U}_i \in \mathcal{U}_3}\tilde{C_{i,t}})^{sk_A} \ mod \ N^2 = (1+sk_A\sum_{\mathcal{U}_i \in \mathcal{U}_3}sk_i w_{i,t}N)H_0(t)^{sk_A\sum_{\mathcal{U}_i \in \mathcal{U}_3}sk_i} \ mod \ N^2$ ，并且其解密结果为 $\tilde{W_t} = sk_A^{-1} \frac{\frac{\tilde{C}}{Au_t}-1}{N}\ mod \ N =\sum_{\mathcal{U}_i \in \mathcal{U}_3}sk_i w_{i,t} \ mod \ N \neq \sum_{\mathcal{U}_i \in \mathcal{U}_3}w_{i,t} \ mod \ N$ 。也就是说，解密结果不正确。

上述方法不可行，主要是因为用户自己生成的密钥彼此不同，因此这些密钥在解密时无法去除。因此，我们建议 可信的KGC生成一个相同的共享密钥 $s$ ，并将其分享给所有用户。然后， $\mathcal{U}_i$ 进行加密、标签生成和解密操作，分别为： $C_{i,t} = (1 + w_{i,t}N)^sH_0(t)^{sk_i} \ mod \ N^2$ , $T_{i,t} = H_1(t)^{tk_i} h_1^{w_{i,t}s}$ , 和 $\tilde{W_t} = sk_A^{-1} \frac{\frac{\tilde{C}}{Au_t}-1}{Ns}\ mod \ N$ 。我们提醒，这种方法要求AS不与任何用户串通；否则，AS知道 $s$ 后仍可发起我们的伪造攻击。

【论文阅读】Comment on the Security of “VOSA“

Comment on the Security of Verifiable and Oblivious Secure Aggregation for Privacy-Preserving Federated Learning -- 关于隐私保护联邦中可验证与遗忘的安全聚合的安全性论文来源摘要Introduction回顾 VOSA 方案对VOSA不可伪造性的攻击对于类型 I 的攻击对于类型 II 的…...

编程日记 2026/4/29 12:49:39

3.攻防世界 Confusion1（服务器模板注入SSTI）

题目描述如下进入题目页面如下图片是蟒蛇、大象？python、php？ 猜测需要代码审计点击 F12查看源码，有所提示flag 但是也没有其他信息了猜测本题存在SSTI（服务器模板注入）漏洞，为验证，构造…...

编程日记 2026/4/29 13:20:14

保姆级教程！SQL Server数据库的备份和还原

使用 SQL Server Management Studio (SSMS) 备份和还原数据库 1、数据库备份 Step 1 打开 SSMS 输入server name 以及用户名和密码连接到你的 SQL Server 实例 Step 2 展开Database,选中你要备份的数据库 Step 3 右击选中的数据库，点击Tasks --> Back …...

编程日记 2026/4/29 12:44:45

AlwaysOn 可用性组副本所在服务器以及该副本上数据库的各项状态信息

目录标题 AlwaysOn语句代码解释：1. sys.dm_hadr_database_replica_states 视图字段详细解释及官网链接官网链接字段解释 2. sys.availability_replicas 视图字段详细解释及官网链接官网链接字段解释查看视图的创建语句方法一：使用 SQL Server Managemen…...

编程日记 2026/4/29 12:50:04

Android telephony | supl PDN建立和定位信息获取

在Android系统中，SUPL（Secure User Plane Location）是一种用于辅助GPS定位的技术，它通过建立特定的APN（Access Point Name）连接来传输定位数据。以下介绍Android Telephony发起SUPL APN的PDN（P…...

编程日记 2025/5/26 12:53:04

ip地址是手机号地址还是手机地址

在数字化生活的浪潮中，IP地址、手机号和手机地址这三个概念如影随形，它们各自承载着网络世界的独特功能，却又因名称和功能的相似性而时常被混淆。尤其是“IP地址”这一术语，经常被错误地与手机号地址或手机地址划上等号。本文旨在…...

编程日记 2026/4/29 21:41:46

【react】react面试题

react面试题 1.对 React 的理解、特性 2.react18有哪些更新 3.JSX是什么 4.解释为什么浏览器不能读取jsx 6.ReactNative中，如何解决8081端口被占用而提示无法访问的问题？ 7. React 生命周期 8.react事件机制 9.react 组件传值 10.React改…...

编程日记 2025/5/27 6:27:39

zephyr devicetree

Syntax and structure — Zephyr Project Documentation Input files There are four types of devicetree input files: sources (.dts) includes (.dtsi) overlays (.overlay) bindings (.yaml) The devicetree files inside the zephyr directory look like this: …...

编程日记 2026/4/26 11:53:15

学习笔记：机器学习中的数学原理（一）

1. 集合集合分为有限集和无限集； 对于有限集，两集合元素数相等即为等势； 对于无限集，两集合元素存在一一映射关系即为等势； 无限集根据是否与正整数集等势分为可数集和不可数集。 2. sigmoid函数（也叫…...

编程日记 2026/4/18 17:44:38

鼠标滚轮冒泡事件@wheel.stop

我有一个页面,是在画布上的组件,但是组件中有一个table,table中数据多了,就会出现滚动条,正常情况下,滚动条用鼠标滚轮就可以滑动,但是这个table是在画布上,滚动滚轮会让画布缩放在table外层的div上加上 wheel.stop,就生效了 wheel.stop 用途：这个修饰符用于处理鼠…...

编程日记 2026/4/29 12:52:09

Unity DoTween使用文档

DoTween 使用文档 DoTween 是 Unity 中非常流行的动画补间插件。它通过链式调用方式，让开发者可以快速创建平滑、自然的动画效果。本文将介绍 DoTween 的基础用法、缓动曲线原理（包含常见缓动曲线的数学公式与参数说明）、案例演示以及一些常…...

编程日记 2026/2/28 21:12:37

C语言中的共用体（Union）：嵌入式开发中的节省内存利器

在进行嵌入式开发时，我们常常会听到这样一句话：“内存就是金钱。” 在嵌入式系统中，内存资源通常是非常稀缺的，尤其是在一些微控制器（如STM32、ESP32等）的开发中，我们需要尽可能地精打细算&…...

编程日记 2026/2/22 9:35:26

Java 线程池：7参数配置、4拒绝策略与执行流程详解

1. 为什么需要线程池？ 在 Java 并发编程中，线程的创建和销毁是一项昂贵的操作。频繁地创建和销毁线程会带来较高的系统开销，甚至可能因线程数过多而导致 OOM（OutOfMemoryError） 或 CPU 过载。线程池（Thre…...

编程日记 2026/4/29 6:23:46

代码随想录算法【Day38】

Day38 322. 零钱兑换思路完全背包代码 class Solution { public:int coinChange(vector<int>& coins, int amount) {vector<int> dp(amount 1, INT_MAX);dp[0] 0;for (int i 0; i < coins.size(); i) { // 遍历物品for (int j coins[i]; j <…...

编程日记 2026/4/29 7:53:27

c# Lazy＜T＞单例模式 - 延迟初始化单例实例示例与详解

Lazy 延迟初始化单例实例示例与详解 Lazy<T> 是 C# 中用于延迟初始化的类，它允许你在第一次访问对象时才创建实例，而不是在程序启动时就创建实例。这在单例模式中非常有用，因为它可以避免不必要的资源消耗。 1. Lazy 的基本用法 Laz…...

编程日记 2026/2/17 0:06:19

51单片机之冯·诺依曼结构

一、概述 8051系列单片机将作为控制应用最基本的内容集成在一个硅片上，其内部结构如图4-1所示。作为单一芯片的计算机，它的内部结构与一台计算机的主机非常相似。其中微处理器相当于计算机中的CPU，由运算器和控制器两个部分构成；…...

编程日记 2026/4/26 11:53:03

Safari常用快捷键

一、书签边栏 1、显示或隐藏书签边栏：Control-Command-1 2、选择下一个书签或文件夹：向上头键或向下头键 3、打开所选书签：空格键 4、打开所选文件夹：空格键或右箭头键 5、关闭所选文件夹：空格键或左箭头键 6、更…...

编程日记 2026/3/21 1:57:39

02.07 TCP服务器与客户端的搭建

一.思维导图二.使用动态协议包实现服务器与客户端 1. 协议包的结构定义首先，是协议包的结构定义。在两段代码中，pack_t结构体都被用来表示协议包： typedef struct Pack {int size; // 记录整个协议包的实际大小enum Type type; …...

编程日记 2026/4/30 2:27:10

【CubeMX+STM32】SD卡文件系统读写 FatFs+SDIO+DMA

本篇，将使用CubeMXKeil，创建一个SD卡的 FatFSSDIODMA 文件系统读写工程。目录一、简述二、CubeMX 配置 FatFSSDIO DMA 三、Keil 编辑代码四、实验效果实现效果，如下图： 一、简述上两篇，已循序渐进讲解了SD、…...

编程日记 2026/4/30 0:13:46

51单片机之使用Keil uVision5创建工程以及使用stc-isp进行程序烧录步骤

一、Keil uVision5创建工程步骤 1.点击项目，新建 2.新建目录 3.选择目标机器，直接搜索at89c52选择，然后点击OK 4.是否添加起吊文件，一般选择否 5.再新建的项目工程中添加文件 6.选择C文件 7.在C文件中右键，添加…...

编程日记 2026/4/26 11:53:05

aws(学习笔记第二十七课) 使用aws API Gateway+lambda体验REST API

aws(学习笔记第二十七课) 使用aws API Gatewaylambda体验REST API 学习内容： 使用aws API Gatewaylambda 1. 使用aws API Gatewaylambda 作成概要使用api gateway定义REST API，之后再接收到了http request之后，redirect到lambda进行执行。…...

编程日记 2026/4/26 11:53:05

React - jsx 语法

在 React 中，JSX（JavaScript XML）是一种语法扩展，它允许开发者在 JavaScript 代码中使用类似 HTML 的语法。JSX 提升了代码的可读性和可维护性，使得编写和构建用户界面更加直观。它被广泛应用于 React 组件的定义。一…...

编程日记 2026/2/4 15:38:21

5 前端系统开发：Vue2、Vue3框架（上）：Vue入门式开发和Ajax技术

文章目录前言一、Vue框架（简化DOM操作的一个前端框架）：基础入门1 Vue基本概念2 快速入门：创建Vue实例，初始化渲染（1）创建一个入门Vue实例（2）插值表达式：{{表…...

编程日记 2026/4/29 19:57:07

快速在wsl上部署学习使用c++轻量化服务器-学习笔记

知乎上推荐的Tinywebserver这个服务器，快速部署搭建，学习c服务器开发仓库地址 githubhttps://link.zhihu.com/?targethttps%3A//github.com/qinguoyi/TinyWebServerhttps://link.zhihu.com/?targethttps%3A//github.com/qinguoyi/TinyWebServer 在…...

编程日记 2026/4/26 11:53:06

2025年Android NDK超全版本下载地址

Unity3D特效百例案例项目实战源码Android-Unity实战问题汇总游戏脚本-辅助自动化Android控件全解手册再战Android系列Scratch编程案例软考全系列Unity3D学习专栏蓝桥系列ChatGPT和AIGC 👉关于作者专注于Android/Unity和各种游戏开发技巧，以及各种资源分…...

编程日记 2026/4/18 17:44:38

React 设计模式：实用指南

React 提供了众多出色的特性以及丰富的设计模式，用于简化开发流程。开发者能够借助 React 组件设计模式，降低开发时间以及编码的工作量。此外，这些模式让 React 开发者能够构建出成果更显著、性能更优越的各类应用程序。本文将会为您介绍五…...

编程日记 2026/4/26 11:53:10

B站自研的第二代视频连麦系统（上）

导读本系列文章将从客户端、服务器以及音视频编码优化三个层面，介绍如何基于WebRTC构建视频连麦系统。希望通过这一系列的讲解，帮助开发者更全面地了解 WebRTC 的核心技术与实践应用。背景在文章《B站在实时音视频技术领域的探索与实践》中&#xff…...

编程日记 2026/4/29 0:26:54

centOS8安装MySQL8设置开机自动启动失败

提供一个终极解决方案虽然systemctl 更符合管理预期但是不能用使用一下命令修改配置文件、修改mysql.service全是问题 systemctl start mysqld systemctl enable mysqld systemctl daemon-reload完全不生效各种报错提示配置文件内容有问题 Main process exited, codeexite…...

编程日记 2026/4/2 2:54:31