下面按“是什么—怎么做—为什么对”的顺序，把第**5.2 节 Secure Gradients Processing（安全梯度处理）**拆开讲清楚，并配一个可运行的三客户端小例子来直观说明“掩码如何相互抵消、掉线时如何恢复”。

---

5.2 节讲了什么（一句话）

它给出了一个双重掩码（double-masking）+ 可掉线恢复的安全聚合做法：
每个客户端用两类掩码把本地梯度向量“罩住”，使服务器看不到单点梯度；聚合求和时成对掩码自动相消，若有人掉线，再用Shamir(t-of-N) 秘密共享把需要的掩码重建出来，从而得到正确的全局求和。同时配合一套“每轮构图”的邻居选择，避免每轮都重置密钥，达到轻量化、多轮复用。 (Li 等 - 2025 - Verifiable and Lightweight Multi-Round Secure Federated Learning.pdf)

---

关键符号与设定

• 第 t 轮、被选中的客户端集合 Sₜ（由系统公共随机串 v 和选择器 ChooseSet(v,t,n_t,C') 决定），并基于 Sₜ 生成一张连通概率高的邻接图 Vₜ（GenGraph/FindNeighbors），每个客户端只需本地算出自己的邻居，无需全局物化整图。这样做到多轮参数复用、不必每轮重做密钥配置。(Li 等 - 2025 - Verifiable and Lightweight Multi-Round Secure Federated Learning.pdf)
• 客户端 j 的原始梯度（向量）记为 M_j = (x₁,j,…,x_N,j)。输出维度 N 与模型梯度维度一致。(Li 等 - 2025 - Verifiable and Lightweight Multi-Round Secure Federated Learning.pdf)
• 每个客户端持有长整数域上的密钥材料（a_j），以及生成元 g。利用“类 DH（Diffie-Hellman）”共享秘密：
  $r_{j,i} = g^{a_j a_i}$（可由 j 用自己的 a_j 和 i 的公钥 $g^{a_i}$ 算出）。随后把 $r_{j,i}$ 送入伪随机生成器 PRG，得到与梯度同维度的随机向量。(Li 等 - 2025 - Verifiable and Lightweight Multi-Round Secure Federated Learning.pdf)

---

双重掩码：成对掩码 + 个人掩码

第一层：成对掩码（pairwise masks）
客户端 j 对梯度做如下加噪（式(2)）：

$$\overrightarrow{M}^{\,a}_j=\overrightarrow{M}_j\;+\!\!\sum_{i\in \mathcal{M}(j),\,i<j}\!\!PRG(r_{j,i})\;-\!\!\sum_{i\in \mathcal{M}(j),\,i>j}\!\!PRG(r_{j,i})$$

这里用“i<j 加、i>j 减”是为了让两端对同一条边的掩码在求和时互相抵消（下面有小例子）。PRG 输出被视作整数向量，与梯度维度一致。(Li 等 - 2025 - Verifiable and Lightweight Multi-Round Secure Federated Learning.pdf)

第二层：个人掩码（individual mask）
为应对掉线，j 还会再加一层只属于自己的随机掩码 $PRG(e_j)$（式(3)）：

$$\overrightarrow{M}^{\,a'}_j=\overrightarrow{M}_j+\Big(\text{上面的成对掩码}\Big)\;+\;PRG(e_j)$$

聚合端要想拿到“正确求和”，最终必须移除两类掩码：

• 对在线客户端：收集到足够多的e_j 份额即可移除个人掩码；
• 对掉线客户端：收集足够多的a_i 份额（对应成对掩码的种子）即可重建/移除成对掩码。(Li 等 - 2025 - Verifiable and Lightweight Multi-Round Secure Federated Learning.pdf)

---

掉线恢复：为什么拿得到正确和

• 图上邻居 + t-of-N 秘密共享（SS）：
  每轮用公共随机串 v 选子集 Sₜ 并构图 Vₜ，挑一个阈值 t。
  • 在线客户端 j：把自己的个人掩码种子 e_j 做成 t-of-N 份额，分发给邻居；
  • 离线客户端 i：事先把自己的成对掩码种子 a_i 的份额交给邻居。
    服务器只要从邻居处收集 ≥ t 份，就能重建所需种子，从而移除相应掩码。这样即使有人未上报梯度，也能修正整体求和。连通性的选择用文中说的“选取合适的 ε”保证高概率连通，从而让份额可达。(Li 等 - 2025 - Verifiable and Lightweight Multi-Round Secure Federated Learning.pdf)

---

成对掩码为什么会在求和时抵消（直觉 + 小例子）

考虑 3 个客户端 A(1)、B(2)、C(3)，只看成对掩码项，记
$R_{A,B}=PRG(r_{A,B})$、$R_{A,C}$、$R_{B,C}$。

• A 加：$+R_{A,B} +R_{A,C}$（因为 B、C 的编号都 > A）
• B 加：$-R_{A,B} +R_{B,C}$（对 A 是 “i<j” 加负号；对 C 是 “i<j” 加正号）
• C 加：$-R_{A,C} -R_{B,C}$

三者相加：$(+R_{A,B}-R_{A,B})+(+R_{A,C}-R_{A,C})+(+R_{B,C}-R_{B,C})=0$。
因此，只要双方都参与，边的掩码在全局和里抵消。剩下的就是每个 j 的个人掩码 $PRG(e_j)$，它们通过 SS 份额重建后统一移除即可拿到真实 $\sum_j M_j$。(Li 等 - 2025 - Verifiable and Lightweight Multi-Round Secure Federated Learning.pdf)

---

端到端一轮流程（工程视角）

1. 选人并构图：用公共随机串 v 选出 Sₜ，并通过 GenGraph/FindNeighbors 得到邻居（本地可算）。
2. 客户端本地加掩码并上报：
   • 生成对每个邻居 i 的 $r_{j,i}=g^{a_j a_i}$，取 $PRG(r_{j,i})$；
   • 生成个人随机 e_j，取 $PRG(e_j)$；
   • 发送 $\overrightarrow{M}^{\,a'}_j$ 给服务器。
3. 服务器聚合：把收到的全部 $\overrightarrow{M}^{\,a'}_j$ 求和；
4. 掩码移除：
   • 向在线客户端邻居收集 e_j 的 t 份额，重建后移除所有在线个人掩码；
   • 向离线客户端邻居收集 a_i 的 t 份额，重建这些边的成对掩码并移除；
   • 成对掩码抵消 + 个人掩码移除后，得到正确 $\sum_j M_j$。
     整个过程不需要解密单点梯度，只在掩码层面操作；多轮里凭 v 和图构造复用参数与关系，减少重置开销。(Li 等 - 2025 - Verifiable and Lightweight Multi-Round Secure Federated Learning.pdf)

---

与已有方案的关系与改进点

• 相比只做成对掩码的传统安全聚合，这里再叠一层个人掩码，使得遇到掉线也能靠 SS 份额重建并移除需要的掩码。
• 借助 ChooseSet/GenGraph/FindNeighbors 这类基于公共随机串的“每轮构图”，实现轻量化多轮复用（不用每轮重新建全套密钥关系），同时保持高概率连通，便于份额传播与重建。(Li 等 - 2025 - Verifiable and Lightweight Multi-Round Secure Federated Learning.pdf)

---

实践要点与参数建议

• 阈值 t：越小越抗掉线，但纳入的真实贡献越少；越大越保真但抗掉线性差。文中建议在保证连通与可重建的前提下选取合适 t 与图密度（以 ε 控制）。(Li 等 - 2025 - Verifiable and Lightweight Multi-Round Secure Federated Learning.pdf)
• PRG 输出类型：实现时把 PRG 输出当作整数向量（非比特串），维度匹配梯度。(Li 等 - 2025 - Verifiable and Lightweight Multi-Round Secure Federated Learning.pdf)
• 只需加法：客户端与服务器侧主要是向量加法与份额重建，比同态加密类方案更轻。(Li 等 - 2025 - Verifiable and Lightweight Multi-Round Secure Federated Learning.pdf)

---

如果你愿意，我可以把上面的三客户端小例子写成几行可执行的 Python/Numpy 演示，打印出“抵消前后”的向量和，直观看到抵消与移除掩码后的正确求和。

太好了，就把“个人掩码（individual mask）”单拎出来讲清楚：它就是那项 PRG(e_j)。你只要抓住三件事：** 目的、怎么加、怎么被移除**。

---

1) 目的：让“只来得及上传的在线客户端”不暴露，同时还能把总和算对

仅靠“成对掩码”时，所有人都在线就会互相抵消；但有人掉线时，没抵消完的边上掩码会把总和“顶歪”。于是每个在线客户端再给自己叠一层个人掩码 PRG(e_j)：

• 它让单个上传向量始终被“自家噪声”盖住；
• 服务器需要时，只移除在线人的 PRG(e_j)（离线人的不必移），再配合针对离线人的边掩码重建，就能把总和纠回正确值。见文中式(3)。(Li 等 - 2025 - Verifiable and Lightweight Multi-Round Secure Federated Learning.pdf)

---

2) 怎么加（客户端本地做的事）

在一轮里，客户端 j 先做“成对掩码”，再叠加个人掩码：

$$\overrightarrow{M}^{\,a'}_j=\overrightarrow{M}_j\;+\!\!\sum_{i\in \mathcal{M}(j),\,i<j}\!\!PRG(r_{j,i})\;-\!\!\sum_{i\in \mathcal{M}(j),\,i>j}\!\!PRG(r_{j,i})\;+\;PRG(e_j)$$

其中 $r_{j,i}=g^{a_j a_i}$ 来自类 Diffie–Hellman，PRG 输出按“整数向量”对齐梯度维度。这就是论文 5.2 节里的式(2)+(3) 合起来。(Li 等 - 2025 - Verifiable and Lightweight Multi-Round Secure Federated Learning.pdf)

---

3) 个人掩码如何被移除（只移除“在线”的）

为防止直接把 $e_j$ 交给服务器带来的滥用和单点泄露，论文用 Shamir 的 t-of-N 秘密共享（SS） 来“托管” $e_j$：

1. 客户端 j 选随机种子 $e_j$，把它切成份额 $S.share(e_j,t,N)$，发给自己的邻居（图是用公共随机串构出来的，邻居是本地可算的）。
2. 服务器聚合出“被掩码的和”后，判定谁在线/离线：
   • 在线 j → 服务器向 j 的邻居收集 ≥t 份额，重建 $e_j$，据此减掉 PRG(e_j)；
   • 离线 i → 服务器向 i 的邻居收集 ≥t 份额，重建 $a_i$，从而算出相关边的 $PRG(r_{*,i})$ 并把这类残留边掩码抵消掉。
     这样就能得到正确的全局求和，且过程中不解密任何单点梯度。上述流程与“多轮构图 + SS”的描述都在 5.2 节。(Li 等 - 2025 - Verifiable and Lightweight Multi-Round Secure Federated Learning.pdf)

---

4) 为什么安全（直觉版）

• 即便服务器见到单个上传向量，也少了两把钥匙：成对掩码来自别人 & 自己的 $a_*$，个人掩码来自 $e_j$。
• 阈值 t 保证：服务器就算和部分邻居串通，拿不到 ≥t 份也重建不出 $e_j$。威胁模型里允许服务器与若干客户端勾连，这就是设置 t 的原因（耐受最多 t−1 的合谋）。(Li 等 - 2025 - Verifiable and Lightweight Multi-Round Secure Federated Learning.pdf)

---

5) 10 秒小例子（看“个人掩码”如何被减掉）

三客户端 A,B,C；只看一条 2 维梯度。

原始梯度：
A=(1,2), B=(3,−1), C=(4,0) → 总和 = (8,1)

成对掩码（两两 PRG）：

• $R_{AB}=(5,5)$, $R_{AC}=(2,-3)$, $R_{BC}=(-4,1)$

个人掩码：

• $E_A=(7,0), E_B=(0,6), E_C=(-2,4)$

各自上传（成对规则“i<j 加、i>j 减”，再 + 个人掩码）：

• A: M′_A = A + $R_{AB}+R_{AC}$ + $E_A$ = (15,4)
• B: M′_B = B + $-R_{AB}+R_{BC}$ + $E_B$ = (−6,1)
• C: M′_C = C + $-R_{AC}-R_{BC}$ + $E_C$ = (4,6)

服务器先求和：
M′_A + M′_B + M′_C = (13,11)

注意：所有成对掩码在总和里互相抵消为 0；因此此时的偏移量正好是
$E_A+E_B+E_C=(5,10)$。
服务器通过重建在线客户端的 $e_j$，逐一减去对应的 PRG(E_j)，最后得到
(13,11) − (5,10) = (8,1)，与真实总和吻合。这就体现了“个人掩码只对在线者移除，离线者不需要”的用法。(Li 等 - 2025 - Verifiable and Lightweight Multi-Round Secure Federated Learning.pdf)

---

一句话再总结

个人掩码 = 在线者可阈值可重建的“自家噪声”：先把每个上传向量再盖一层 PRG(e_j)，待聚合后只对在线客户端用 SS 重建并移除它；与“成对掩码”配合，既抗掉线又不泄露单点，还能得到正确总和。(Li 等 - 2025 - Verifiable and Lightweight Multi-Round Secure Federated Learning.pdf)

如果你愿意，我也可以把上面的小例子换成你手头维度/阈值的数值，按你的 t 和邻接关系画个一步步“移除日志”，更直观看。

用我们上面那组数，假设 B 掉线，只收到 A、C 两个客户端的上传。按 5.2 节里的式(2)(3) 做“双重掩码”，服务器的处理分三步：** 先求和 → 去在线者个人掩码 → 修正掉线边的成对掩码**。(Li 等 - 2025 - Verifiable and Lightweight Multi-Round Secure Federated Learning.pdf)

---

数值走一遍（A、C 在线，B 掉线）

已给定（沿用之前的小例子）

• 原始梯度：A=(1,2), B=(3,−1), C=(4,0)
• 成对掩码：R_AB=(5,5), R_AC=(2,−3), R_BC=(−4,1)
• 个人掩码：E_A=(7,0), E_B=(0,6), E_C=(−2,4)

各客户端（按“i<j 加、i>j 减”）上传的被掩码向量：

• A：M′_A = A + R_AB + R_AC + E_A = (15,4)
• C：M′_C = C − R_AC − R_BC + E_C = (4,6)
• B 掉线：M′_B 不到达

① 服务器先求和（只对到达的 A、C）
S = M′_A + M′_C = (19,10)

② 去掉在线者“个人掩码”
收集到 A、C 的 Shamir 份额重建 $e_A,e_C$，减去 PRG(e_A)+PRG(e_C)=E_A+E_C=(5,4)：
S₁ = (19,10) − (5,4) = (14,6)

③ 修正“因 B 掉线未抵消”的成对掩码
A 与 C 之间的 R_AC 在 A、C 里已互相抵消；未抵消的是和 B 相连的两条边：
残留 = $+R_{AB}$（来自 A） − $R_{BC}$（来自 C）= (5,5) − (−4,1) = (9,4)
服务器向 B 的邻居收集 ≥t 份额，重建 $a_B$，用 $a_B$ 与在线者公钥 $g^{a_A}, g^{a_C}$ 算出
$r_{A,B}=(g^{a_A})^{a_B},\; r_{B,C}=(g^{a_C})^{a_B}$，得到 PRG(r) 后按同样符号把残留扣掉：
S₂ = S₁ − (9,4) = (5,2)

结果 (5,2) = A + C，恰好是在线客户端的真实梯度和。这就是“个人掩码只对在线者移除、掉线者用其密钥份额重建边掩码”的效果。相关流程与式(2)(3)及“在线分享 $e_j$、离线分享 $a_i$ 并按阈值重建”的描述，都在 第 5.2 节（第 6 页）里。(Li 等 - 2025 - Verifiable and Lightweight Multi-Round Secure Federated Learning.pdf)

---

一眼看懂的规则

• 在线 j：服务器收集邻居的份额重建 $e_j$，减 PRG(e_j)。
• 掉线 i：服务器收集邻居的份额重建 $a_i$，对每条与在线邻居 j 的边，用 $a_i$ 与 $g^{a_j}$ 计算 $r_{j,i}$，按当初 j 上报时的同一符号把对应 PRG(r_{j,i}) 从总和里扣回去。
• 只要在场两端都在线，那条边的成对掩码会在求和中自动抵消，无需额外处理。(Li 等 - 2025 - Verifiable and Lightweight Multi-Round Secure Federated Learning.pdf)

小结：有人掉线时，个人掩码保护在线者，成对掩码的“孤儿项”由掉线者的密钥份额来清理，最终仍得到在线集合的正确求和。(Li 等 - 2025 - Verifiable and Lightweight Multi-Round Secure Federated Learning.pdf)

如果你想，我可以把这一步步的扣除过程改成你指定的阈值 t / 邻接关系，或换一组随机数再跑一遍。