EByFTVeS：基于BFT共识的VSS方案防御时序攻击，保障DPML安全

1. 项目概述：当VSS遇上BFT，一场关于“时机”的攻防战

在分布式隐私保护机器学习（DPML）这个赛道上，我们这些搞系统安全和密码学的人，每天都在和数据、模型、以及潜在的“内鬼”斗智斗勇。核心目标很明确：让一群互不信任的参与方，能安全地协作训练一个共享的机器学习模型，同时保证各自的原始数据绝不外泄。为了实现这个目标，可验证秘密共享（VSS）成了我们工具箱里的“瑞士军刀”。简单来说，VSS允许一个参与方（分发者）把自己的秘密（比如模型梯度）拆成多份“碎片”（份额），分发给其他人。神奇之处在于，接收方可以验证自己拿到的“碎片”是否有效，却无法窥探秘密本身，只有集齐足够多的“碎片”才能还原秘密。这为安全的多方计算铺平了道路。

然而，理想很丰满，现实很骨感。传统的VSS在异步网络环境里有个老大难问题：视图一致性。想象一下，一个恶意的分发者，对A说秘密是X，对B说秘密是Y，而A和B由于网络延迟无法即时对质，这就可能导致整个计算过程分崩离析。为了解决这个问题，业界很自然地把目光投向了拜占庭容错（BFT）共识协议。BFT的核心思想是，即使系统中存在一定比例的恶意节点（“叛徒将军”），整个系统依然能就某个决策达成一致。把BFT和VSS结合，强制所有分发者通过BFT的共识流程来广播他们的份额和承诺，似乎就能一劳永逸地解决一致性问题——大家看到的顺序和内容都一样了。

但安全研究者的直觉告诉我，事情没这么简单。在深入分析现有BFT-VSS方案后，我发现了一个被忽略的“时间差”漏洞。攻击者不需要在“内容”上撒谎，他只需要在“时机”上做文章。这就是我们提出的自适应份额延迟提供（ASDP）策略：恶意节点可以故意拖延发布自己的份额，先“窥屏”其他诚实节点的贡献，然后像考试作弊一样，现场定制一份能通过验证、却又精准破坏模型训练的恶意梯度份额。基于此，一种更隐蔽、更具破坏性的基于ASDP的定制化模型投毒攻击（ACuMPA）便成为可能。它不像传统投毒那样无差别攻击，而是能为特定受害者“量身定做”毒药，绕过基于余弦相似度等常规防御的检查。

为了堵上这个时间窗口，我们团队提出了EByFTVeS方案。它的核心创新点在于，不是简单地将VSS“放在”BFT系统上运行，而是将两者深度耦合，利用BFT共识机制为份额的提交和生效施加一个严格的时间锁。在共识达成之前，任何份额都不能被用于后续计算，这就从根本上剥夺了攻击者“后发制人”的操作空间。经过我们大量的理论分析和实验验证，EByFTVeS在保持VSS隐私性和BFT一致性的同时，显著提升了效率，并能有效防御ACuMPA攻击。下面，我就来拆解这个方案的设计思路、实现细节以及我们踩过的坑。

2. 威胁深潜：ASDP攻击为何能绕过传统防御？

在深入讲解我们的防御方案前，必须先把对手的“武器”研究透彻。很多现有的BFT-VSS方案，其安全假设存在一个盲区：它们确保了所有诚实节点最终看到的消息序列是一致的（最终一致性），但并没有严格约束消息被“看见”和“被使用”之间的时序关系。攻击者正是利用了这个盲区。

2.1 ASDP攻击的核心：信息不对称与时间差

假设在一个联邦学习轮次中，每个参与方需要先本地训练得到梯度，然后通过VSS将梯度份额分发给所有人，最后聚合还原出全局梯度。一个标准的、结合了BFT的VSS流程可能是这样的：

1. 参与方i生成本轮梯度w_i，使用VSS的Share算法生成份额{s_i1, s_i2, ..., s_in}和对应的承诺{c_i0, ..., c_i(th-1)}。
2. 参与方i将承诺和份额（通常份额会加密）提交到BFT共识系统进行排序和广播。
3. 其他参与方从BFT系统收到排序后的消息，解密份额，并用承诺验证份额的有效性 (Vrfy)。
4. 收集到足够多（超过阈值th）的有效份额后，参与方使用Rect算法还原出该参与方的梯度w_i。
5. 所有参与方还原出足够多的梯度后，进行聚合（如取平均），更新模型。

问题出在第2步到第3步之间。在部分同步网络模型中，消息传递存在一个未知但有界的延迟。一个恶意的参与方（攻击者）可以采取如下策略：

• 正常行为伪装：攻击者像诚实节点一样，按时提交自己的承诺到BFT系统。因为承诺不泄露秘密信息，这一步是安全的。
• 关键延迟：攻击者暂缓提交自己的加密份额。他等待BFT系统将其他诚实节点的承诺和份额广播出来。
• 信息收集与计算：攻击者从BFT系统中获取其他诚实节点的份额，由于BFT保证了顺序，他可以解密（如果他是目标接收方）或通过其他方式推断出足够多的诚实节点梯度信息。
• 定制化投毒：此时，攻击者已经知道了当前轮次诚实节点梯度的聚合方向。他可以精心计算一个恶意梯度w_malicious，使得这个梯度与诚实聚合方向的余弦相似度恰好低于检测阈值θ_cos，从而绕过基于相似度的防御（如FLTrust）。同时，w_malicious的方向被设计为严重偏离最优方向，从而拖慢甚至破坏模型收敛。
• 注入毒药：攻击者使用w_malicious作为秘密，运行VSS的Share算法，生成对应的恶意份额，然后才将这些份额提交到BFT系统。由于BFT的最终一致性，这些迟到的份额最终会被所有节点接收，并且因为其承诺早已提交且份额能通过验证，会被诚实节点接受。

这个过程就是自适应份额延迟提供（ASDP）。它之所以危险，是因为攻击者利用时间差获得了信息优势，从而发起的投毒是“有的放矢”，而非随机扰动。

2.2 ACuMPA攻击：将ASDP武器化

ASDP是一种策略，而基于ASDP的定制化模型投毒攻击（ACuMPA）则是基于此策略构建的具体攻击方案。其算法核心（如原文Algorithm 2和3所示）可以通俗地理解为：

1. 目标选择：攻击者选定一个或多个特定的受害者节点。
2. 梯度窃听：通过ASDP策略，攻击者获取当前轮次中，受害者将用于聚合的大部分诚实梯度信息。
3. 毒药合成：攻击者计算一个“坏”梯度。这个梯度不是随机的，它需要满足两个矛盾的条件：(a) 与受害者本地梯度（或预期的诚实聚合梯度）有足够大的差异，以实现投毒效果；(b) 其与受害者本地梯度的余弦相似度等统计特征，却又刚好能通过受害者设置的防御阈值检查。
4. 份额注入：基于这个定制化的毒药梯度，生成VSS份额并延迟注入系统。

实操心得：攻击的隐蔽性在实际测试中，我们发现ACuMPA比传统的随机符号翻转或梯度放大攻击隐蔽得多。因为它的恶意梯度是“适配”当前训练状态的，所以单轮来看，其异常并不明显。它的危害是累积性和导向性的，长期作用会导致模型收敛到一个糟糕的局部最优点，或者根本无法收敛。诊断时，如果发现模型损失曲线震荡下行缓慢，且排除了数据和超参数问题，就需要警惕这类高级投毒。

3. EByFTVeS方案设计：用共识锁死攻击窗口

既然攻击来源于“时间差”，那么防御的核心就是消除这个时间差。EByFTVeS（Efficient Byzantine Fault Tolerant-based Verifiable Secret-sharing）的设计哲学是：将梯度分享的每一步都绑定在共识的“齿轮”上，让所有操作变得“原子化”和“同步化”。

3.1 核心思想：共识驱动的份额生命周期管理

传统BFT-VSS方案中，BFT通常只被用作一个可靠的广播频道，确保消息传输。而在EByFTVeS中，BFT共识被提升为流程的驱动者和仲裁者。我们修改了经典的PBFT协议，引入了一个额外的Pre-Propose阶段，并重新定义了消息的生效条件。

核心规则是：一个参与方的梯度份额，只有在经过完整的共识流程并被“提交”到区块链（或有序日志）后，才被视为“有效”并可用于后续的验证和聚合。在共识达成之前，即使其他节点收到了该份额的早期广播，也必须将其视为“未确认”状态而忽略。

这相当于为每一轮训练中的每一个梯度份额，都设立了一个全局认可的时间戳和顺序。攻击者无法再“先看牌，后出牌”，因为他自己的“牌”（份额）也必须先进入共识流程，在流程结束前，他看不到别人的“牌”，自然也就无法进行定制化攻击。

3.2 四阶段共识流程详解

我们以经典的PBFT协议为基础进行扩展，设计了四个阶段的共识流程，将其与VSS的各个步骤紧密耦合。假设系统有n=3f+1个节点，最多容忍f个拜占庭节点。

阶段 0: Pre-Propose (预提案)这是EByFTVeS新增的关键阶段，目的是收集和聚合请求。

1. 当参与方i完成本地训练，生成梯度份额和承诺后，它并不直接广播，而是创建一个请求REQ<i, Enc(pk1, s_i1), ..., Enc(pkn, s_in), c_i0, ..., c_i(th-1)>。这里Enc(pkj, s_ij)表示用参与方j的公钥加密的份额，确保隐私。
2. 参与方i将此请求通过broadcast_update函数发送给所有节点。这个函数内部是将请求打包成REQUEST消息全网广播。
3. 每个节点独立收集收到的REQUEST消息。当某个节点收集到针对同一共识轮次（序列号sq）的、来自不同节点的请求数量达到预设的批次大小（例如> 2f）时，它会将这些请求打包成一个初始提案，发送给当前视图的主节点。

设计考量：为什么需要批次聚合？直接让主节点收集所有原始请求在大型网络中通信开销巨大。通过让副本节点先进行本地聚合，可以大幅减少发送给主节点的消息数量，提升可扩展性。批次大小的设置是个权衡：太小可能无法充分聚合，太大则延迟增加。我们实践中设置为超过2f，确保了至少有f+1个诚实节点的请求能被包含，防止恶意主节点作恶。

阶段 1: Pre-Prepare (预准备)

1. 主节点收到来自超过2f个节点的PRE-PROPOSE消息（包含各自的初始提案）后，执行聚合函数。它检查所有初始提案中的请求，如果一个请求出现在超过f个初始提案中，则认为该请求是“受欢迎的”，将其纳入正式提案。
2. 主节点生成正式提案的哈希摘要δ，然后广播PRE-PREPARE<v, sq, δ, batch>消息，其中v是视图编号，sq是序列号，batch是聚合后的正式提案。

阶段 2: Prepare (准备)

1. 副本节点收到主节点的PRE-PREPARE消息后，验证其有效性（视图、序列号正确，且提案合法）。验证通过后，节点进入PREPARED状态，并广播PREPARE<v, sq, δ>消息。
2. 当节点收到2f+1个来自不同节点、且针对同一(v, sq, δ)的PREPARE消息时（包括自己发出的），它认为该提案已准备就绪。

阶段 3: Commit (提交)

1. 节点在PREPARED状态后，广播COMMIT<v, sq, δ>消息。
2. 当节点收到2f+1个针对同一(v, sq, δ)的COMMIT消息时，它最终提交该提案。
3. 提交后，节点执行提案中的操作，即调用receiving_update函数，将提案中的加密份额和承诺“交付”给上层的VSS协议进行处理。

至此，一个参与方的梯度份额才算是“合法上链”，可以被其他节点用于验证和聚合。整个过程中，任何消息（请求、验证结果、聚合结果）的广播和接收，都被替换为broadcast_update和receiving_update，从而纳入了共识的管辖。

3.3 关键修改与安全增强

1. 加密传输：份额在共识过程中始终以目标参与方的公钥加密形式存在。这保证了即使在共识节点（可能非训练参与方）中传播，秘密也不会泄露。只有目标参与方在共识后解密，才能得到明文份额进行验证。
2. 验证结果的共识：不仅份额分发需要共识，参与方对份额的验证结果（“通过”或“不通过”）也需要通过共识广播。这确保了所有节点对“哪些份额是有效的”拥有一致的视图，防止攻击者对不同节点宣称不同的验证结果。
3. 聚合结果的共识：最终梯度的聚合结果也需要经过共识确认。这防止了恶意节点在聚合阶段提供不一致的结果。

通过这三层共识包裹，EByFTVeS确保了从份额生成、验证到聚合的整个链路，都在一个一致、有序、不可篡改的框架下进行，彻底杜绝了ASDP攻击利用时序不一致性的可能。

4. 理论基石：EByFTVeS为何有效？

一个方案不能只靠设计精巧，必须有坚实的理论证明。EByFTVeS继承了PBFT的安全属性，并针对DPML场景进行了特化论证。我们主要证明了四个核心属性：有效性、活性、一致性和隐私性。

4.1 有效性 (Validity)

定理：所有诚实节点对本地提交的请求序列号达成一致。证明思路：这本质上是PBFT安全性的体现。我们分视图内和视图间两种情况证明。

• 视图内：反证法。假设两个诚实节点pi和pj在同一个视图v和序列号sq提交了不同的提案prop和prop‘。提交需要收集2f+1个COMMIT消息。由于系统总节点数为3f+1，两个2f+1的集合必然存在至少(2f+1)+(2f+1) - (3f+1) = f+1个交集。这意味着至少有f+1个节点对两个不同的提案都发送了COMMIT消息。但诚实节点在每个(v, sq)上只会提交一次，因此这f+1个节点中至少有一个是恶意的。然而，由于我们假设最多有f个恶意节点，这就产生了矛盾。因此，视图内所有诚实节点提交的提案内容必须相同。
• 视图间：当发生视图切换时，新的主节点需要收集2f+1个VIEW-CHANGE消息来构建新视图。由于之前提交的提案至少被f+1个诚实节点知晓并记录，这些信息会被包含在VIEW-CHANGE消息中，从而保证在新视图中，之前已提交的请求状态得以保持，不会出现状态回滚或分叉。

4.2 活性 (Liveness)

定理：在全局稳定时间（GST）之后，即使存在最多f个故障节点，每一轮训练都能持续推进。证明思路：活性保证系统不会永远卡住。

• 诚实主节点：如果当前主节点是诚实的，那么诚实节点发出的请求会被打包进提案，经过三阶段共识，最终会在有界时间内被提交。
• 恶意主节点：如果主节点作恶（不发出提案或发出无效提案），诚实节点会启动超时机制，触发视图更换协议。由于最多只有f个恶意节点，而视图更换需要2f+1张投票，因此最终一定能选举出一个诚实的主节点。在GST之后，视图更换过程也能在有界时间内完成。因此，任何由诚实节点发出的请求，最终都会被处理。

4.3 一致性 (Consistency) 与抗ACuMPA能力

定理：EByFTVeS能够抵抗ACuMPA攻击，并保证所有诚实节点计算结果的一致性。证明思路：这是EByFTVeS防御能力的核心。

• ACuMPA攻击的前提是攻击者能够为不同受害者提供不一致的、定制化的份额。在EByFTVeS中，份额的分发（MPSF函数）是通过broadcast_update触发的共识过程完成的。根据有效性定理，所有诚实节点最终会看到完全相同的、经过共识确认的份额序列。攻击者无法在共识流程中为不同节点注入不同的份额。
• 份额的验证结果（MPV函数）和聚合结果（MPA函数）同样经过共识。这意味着所有节点对“哪些份额有效”、“聚合结果是什么”拥有完全一致的视图。
• 因此，攻击者失去了ASDP策略所依赖的信息不对称和操作时间窗口。他无法在观察到诚实节点的贡献后，再为其定制恶意份额，因为他的份额必须在共识开始时就确定并提交，在共识完成前无法被使用。定制化攻击的链条被彻底斩断。

4.4 隐私性 (Privacy)

定理：如果底层的VSS方案能够保护分发者秘密的隐私，那么EByFTVeS方案同样能保护秘密的隐私。证明思路：我们通过模拟器归约来证明。假设存在一个敌手A能够攻破EByFTVeS的隐私性。我们可以构造一个模拟器S，利用A来攻破底层VSS方案的隐私性。

1. S随机选择一个目标分发者i。
2. 当A与任何参与方j交互时：
   • 如果j != i，S正常模拟或创建该参与方。
   • 如果j == i，S调用底层VSS方案的预言机来模拟该参与方的行为。
3. 当A发起隐私挑战，选择挑战的分发者时：
   • 如果选中的不是i，S中止实验。
   • 如果选中的是i，S将挑战转发给底层VSS方案，并将VSS方案的应答返回给A。
4. S输出A的输出。

EByFTVeS与标准VSS的唯一区别在于，所有消息（加密份额）先经过共识系统排序，再被解密处理。但解密后的明文份额处理流程与标准VSS完全一致。共识机制本身（BFT）不涉及秘密内容的加解密操作，只是对密文消息进行排序和广播。因此，如果A能区分EByFTVeS中的秘密，S就能以1/n的概率（猜中目标i）区分底层VSS中的秘密。如果攻破EByFTVeS隐私的概率不可忽略，那么攻破底层VSS隐私的概率也不可忽略，这与VSS隐私安全的假设矛盾。因此，EByFTVeS继承了底层VSS的隐私性。

5. 实战检验：从仿真实验到性能对比

理论证明是基石，但实际效果如何，还得代码跑出来看。我们在分布式机器学习和安全多方计算两个典型场景下，对EByFTVeS进行了全面的性能评估。

5.1 分布式机器学习场景实验

实验设置：

• 环境：Ubuntu 22.04服务器，16核Intel Xeon Gold 6430 CPU，120GB RAM，NVIDIA RTX 4090 GPU。使用PyTorch和Python 3.8实现原型。
• 数据集与模型：选用三个经典图像数据集：MNIST（手写数字）、Fashion-MNIST（服饰）、CIFAR-10（彩色物体）。使用三种神经网络：简单CNN、ResNet、AlexNet。模型结构根据数据集特点做了适配调整。
• 评估指标：
  • 模型准确率：测试集上的分类精度。
  • 推理时间：模型达到预设目标准确率阈值所需的训练轮数。这比单纯看每轮耗时更能反映攻击对收敛速度的影响。
• 对比基线：
  1. FedAvg：标准的联邦平均算法，作为无攻击的基准。
  2. ACuMPA：应用了我们提出的ASDP策略的投毒攻击。
  3. ACuMPA + EByFTVeS：在受到ACuMPA攻击的环境中，部署我们的EByFTVeS防御方案。

实验结果分析： 实验结果表格（对应原文表III）清晰地展示了攻防效果：

• ACuMPA的攻击有效性：在所有数据集和模型上，ACuMPA攻击都成功降低了良性参与方的模型最终准确率，并显著增加了达到目标精度所需的训练轮数。例如，在CIFAR-10+CNN上，攻击使推理时间从66轮激增至115轮，几乎翻倍。这说明ACuMPA确实能有效延缓甚至破坏模型收敛。
• EByFTVeS的防御效果：在部署EByFTVeS后，模型准确率恢复到了与无攻击FedAvg相当甚至略优的水平（波动在实验误差范围内）。更重要的是，推理时间也基本恢复到了正常水平。例如，在Fashion-MNIST+CNN上，推理时间从攻击下的22轮恢复到了12轮（甚至优于基准的13轮）。这强有力地证明了EByFTVeS能够有效抵御ACuMPA攻击，保障训练过程的效率和模型质量。

踩坑实录：共识开销与批次大小在早期实现中，我们将共识的批次大小设得过小（比如f+1），导致共识频率过高，通信开销巨大，严重拖慢了每轮训练。后来调整为超过2f，在保证活性的前提下，显著减少了共识轮次。另一个坑是网络延迟的模拟。在部分同步网络假设下，GST（全局稳定时间）的设定对性能影响很大。我们在实验中需要合理设置∆，过小会导致视图频繁切换，过大则拉长每轮时间。实践中，需要根据实际网络状况进行预估和调优。

5.2 安全多方计算场景性能对比

为了展示EByFTVeS框架的通用性和效率，我们将其应用到一个安全多方计算（MPC）的案例中：多个参与方隐私地计算城市多个区域的碳排放总和E = E_pow + E_ene + E_eco。

• 对比对象：我们选择了MPC领域一个著名的先进协议MASCOT作为基准。MASCOT以其高效的基于预处理OT和认证份额的算术运算而闻名。
• 实验结果：我们在六个不同区域的数据集上进行了求和计算。如下表所示，EByFTVeS展现了压倒性的性能优势。

EByFTVeS的计算时间在毫秒级，而MASCOT需要数百甚至上千秒。这巨大的差距主要源于计算模型的不同：MASCOT是一个通用的、基于电路的MPC协议，其开销与计算电路的规模和深度成正比。而EByFTVeS结合VSS的加法同态性，对于求和这类线性运算，本质上只需要本地计算份额的加法，最后统一还原，计算开销极低。共识通信的开销在局域网环境下相对于复杂的MPC电路计算可以忽略不计。

这个实验表明，对于DPML中常见的梯度聚合（本质上是加权求和）等线性运算，EByFTVeS这种“共识+轻量级密码学”的架构，相比通用的重型MPC协议，具有巨大的性能优势。

6. 实现要点与避坑指南

如果你正在考虑将EByFTVeS或类似思想应用到实际系统中，以下是一些从我们项目实践中���结的关键点和常见陷阱。

6.1 系统参数配置

1. 节点数量与容错阈值：遵循BFT经典设置n = 3f + 1。确定你系统能容忍的恶意节点数f，从而决定总节点数n。f越大，系统越鲁棒，但共识延迟也会增加。
2. VSS阈值th：这是还原秘密所需的最小份额数。通常设置为th = f + 1或更高。th越高，隐私性越好（需要更多人合谋才能恢复秘密），但可用性会降低（需要收集更多份额）。
3. 共识批次大小：这是触发Pre-Propose阶段的最小请求数。我们建议设置为> 2f。这是一个权衡参数：
   • 设置过小：共识触发频繁，通信开销大。
   • 设置过大：等待请求的时间长，增加单轮延迟。 在实际部署中，可以设计为自适应调整，根据网络流量动态变化。
4. 超时参数：这是BFT协议活性的关键。需要设置合理的超时时间来触发视图更换。太短会导致在临时网络波动时频繁切换主节点，太长则会在主节点真正故障时恢复缓慢。通常需要根据网络环境的P99延迟来设定。

6.2 密钥管理与加密开销

• 非对称加密：每个份额都需要用目标接收方的公钥加密。对于有n个参与方、模型参数维度为d的场景，每个参与方每轮需要生成n-1个加密份额（给自己的一份不需要加密），加解密开销是O(n * d)。这是主要性能瓶颈之一。
  • 优化建议：可以考虑使用更高效的椭圆曲线加密算法（如Curve25519），或者对于大型模型，采用混合加密方式——用对称密钥加密份额，再用公钥加密该对称密钥。
• 密钥分发：需要一个安全的公钥基础设施（PKI）来分发和验证各参与方的公钥。可以考虑集成一个轻量级的区块链或使用现有的证书颁发机构。

6.3 网络与通信优化

• 消息压缩：梯度份额通常是浮点数向量。在传输前应用有损（如量化）或无损压缩（如zstd），可以大幅减少网络带宽消耗。
• 流水线操作：训练、共识、聚合三个阶段可以部分重叠。例如，在第t轮进行共识和聚合的同时，可以开始第t+1轮的本地训练，以隐藏部分通信开销。
• 地理部署：如果参与方分布在全球，需要考虑共识节点的地理布局，尽量让节点间的网络延迟均衡，避免因个别高延迟节点拖慢整个共识进程。

6.4 常见问题排查

1. 训练停滞，视图频繁更换：
   • 可能原因：网络延迟过大，或超时时间设置过短。
   • 排查：检查节点间的网络连通性和延迟。监控日志，看是否总是特定节点超时。适当调大视图更换的超时阈值。
2. 共识速度慢，成为性能瓶颈：
   • 可能原因：批次大小设置不合理，或主节点性能不足。
   • 排查：分析共识各阶段的耗时。如果Pre-Propose等待时间过长，尝试减小批次大小。如果主节点打包、签名提案慢，考虑选用性能更好的机器作为主节点候选，或优化签名/验证算法。
3. 模型精度下降，但未检测到恶意行为：
   • 可能原因：EByFTVeS防御了ACuMPA，但可能存在其他类型的攻击（如数据投毒），或者超参数（如学习率）在分布式环境下需要调整。
   • 排查：检查本地数据质量。尝试在少量诚实节点上独立训练，对比效果。调整聚合算法（如使用鲁棒聚合如Krum或Median）。
4. 内存占用过高：
   • 可能原因：VSS份额和中间共识消息缓存未及时清理。
   • 排查：实现检查点机制。在共识完成、梯度成功聚合并更新模型后，及时清理与该轮次相关的所有份额和消息缓存。对于大规模模型，考虑将份额存储在外存，仅将必要的元数据和承诺留在内存。

EByFTVeS方案为分布式隐私保护机器学习提供了一个同时兼顾安全性、一致性和实用性的新思路。它将密码学原语与分布式共识深度结合，通过机制设计而非复杂计算来抵御高级攻击。虽然引入共识会带来额外的通信轮次，但对于模型聚合这类低频、高价值的安全操作而言，这种开销往往是可接受的。在实际部署中，需要根据具体的网络条件、模型规模和安全性要求，仔细调优各项参数。安全永远是一个动态的过程，EByFTVeS为我们堵上了“时序攻击”这个漏洞，但新的攻击面可能随之出现。持续关注系统交互中的细微假设，是构建稳健安全系统的关键。