联邦学习使得模型可以在分布式数据集上训练，而无需将原始数据集中起来。然而，分享模型更新（如梯度或权重 (weight)）的过程仍然可能在无意中泄露个体参与者使用的训练数据信息。仅凭标准的联邦方法，无法为对抗试图进行推断或重构攻击的顽固对手提供强有力的保障。

本章主要介绍加强联邦学习系统隐私保障的方法。我们将介绍专门为在训练过程中保护数据而设计的密码学和统计技术。您将了解到：

• 差分隐私 (DP): 应用机制，通常涉及对个体更新或聚合结果添加经过校准的噪声（$\epsilon, \delta$），以提供形式化、可量化 (quantization)的隐私保护。我们将讨论其应用模式（本地与中央）以及如何在训练轮次中管理隐私预算。
• 安全多方计算 (SMC): 使用协议，例如基于秘密共享的协议，使服务器能够计算客户端更新的总和（$\sum_{i=1}^{N} u_i$），而不会获取任何单个更新 $u_i$。
• 同态加密 (HE): 采用允许直接在加密数据上进行计算（特别是聚合，$\text{Enc}(u_1) + \dots + \text{Enc}(u_N) = \text{Enc}(\sum u_i)$）的加密方案，从而阻止服务器获取明文更新。

我们还将分析与联邦环境相关的潜在隐私攻击，并比较差分隐私、安全多方计算和同态加密在隐私级别、计算开销和通信成本方面的实际权衡。本章包含实际实现指导，首先介绍如何在标准FedAvg算法中加入差分隐私。