李明，呂阿斌

中興飛流信息科技有限公司，江蘇 南京 210012

0 引言

車路協(xié)同概念最早由歐盟委員會第六科技框架計劃提出，旨在通過人、車、路、云的信息交互和共享，充分實現(xiàn)多方有效協(xié)同決策，提高出行效率及確保人車安全。車路協(xié)同是輔助智能網(wǎng)聯(lián)或自動駕駛車輛安全運行的有效載體，是道路交通運輸領(lǐng)域的科技戰(zhàn)略制高點[1-2]。車路協(xié)同相關(guān)技術(shù)組成復(fù)雜，涵蓋汽車、集成電路、無線通信、邊緣計算、人工智能、大數(shù)據(jù)、云計算等多個高新技術(shù)。目前，一些國家高度重視車路協(xié)同的發(fā)展，2021年國務(wù)院和交通運輸部分別印發(fā)《“十四五”現(xiàn)代綜合交通運輸體系發(fā)展規(guī)劃》《數(shù)字交通“十四五”發(fā)展規(guī)劃》，鼓勵車路協(xié)同及自動駕駛相關(guān)產(chǎn)業(yè)的健康發(fā)展[3-4]。同時，無線通信技術(shù)、人工智能等技術(shù)的迅速發(fā)展進一步推動車路協(xié)同系統(tǒng)的迭代升級與成熟。賽迪網(wǎng)預(yù)測車路協(xié)同產(chǎn)業(yè)在2022年進入爆發(fā)期，預(yù)計2025年產(chǎn)業(yè)規(guī)模將超萬億元[5]。但隨著車路協(xié)同產(chǎn)業(yè)規(guī)模的快速發(fā)展以及相關(guān)應(yīng)用的深入，車路協(xié)同系統(tǒng)的組成節(jié)點通常運行在不可信環(huán)境中，一些與安全相關(guān)的問題逐漸暴露出來，比如數(shù)據(jù)采集階段的數(shù)據(jù)泄露、模型訓(xùn)練階段及推理階段通過獲取中間數(shù)據(jù)復(fù)原原始數(shù)據(jù)造成的隱私泄露、毒化數(shù)據(jù)影響模型訓(xùn)練等[6-7]。上述安全問題是車路協(xié)同系統(tǒng)面臨的較大挑戰(zhàn)。

如何打造安全的車路協(xié)同系統(tǒng)成為行業(yè)當前關(guān)注的重點問題，本文分析車路協(xié)同場景中遇到的安全問題與挑戰(zhàn)，結(jié)合隱私計算、人工智能技術(shù)在車路協(xié)同場景的實踐經(jīng)驗，設(shè)計并實現(xiàn)了YITA-TFL（YITA-trusted federated learning）平臺，涵蓋數(shù)據(jù)安全、訓(xùn)練安全以及推理安全等問題的解決方法，為車路協(xié)同場景下隱私計算和人工智能技術(shù)兼顧發(fā)展和安全、平衡效率和風險提供一種可行的系統(tǒng)性解決方案。

1 國內(nèi)外研究進展

車路協(xié)同場景的數(shù)據(jù)安全、模型安全、推理安全等問題不僅涉及技術(shù)領(lǐng)域，還涉及管理領(lǐng)域。

● 技術(shù)領(lǐng)域。近兩年陸續(xù)有學(xué)者基于隱私計算技術(shù)對上述問題展開研究。例如，將差分隱私（differential privacy，DP）、隱私?jīng)Q策樹、貝葉斯網(wǎng)絡(luò)等方法應(yīng)用于數(shù)據(jù)發(fā)布，實現(xiàn)兼顧數(shù)據(jù)隱私保護和數(shù)據(jù)分析的目的[8-9]，基于同態(tài)加密（homomorphic encryption，HE）和區(qū)塊鏈技術(shù)的車聯(lián)網(wǎng)隱私保護方案支持將隱私數(shù)據(jù)進行同態(tài)加密處理后再寫入?yún)^(qū)塊，實現(xiàn)隱私數(shù)據(jù)以密文狀態(tài)分發(fā)、共享和計算[10]，但是這類方法針對結(jié)構(gòu)化數(shù)據(jù)比較有效，針對視頻、圖像、語音等非結(jié)構(gòu)化數(shù)據(jù)時則受限?；诓罘蛛[私、隨機梯度下降等技術(shù)實現(xiàn)了模型訓(xùn)練過程中的安全保護[11-12]；采用分割模型的方式提高了訓(xùn)練過程的安全保護程度，分割模型在客戶端和服務(wù)端分段訓(xùn)練，簡單計算部分留存在客戶端本地，復(fù)雜計算部分留存在服務(wù)端，同時在模型執(zhí)行過程中應(yīng)用差分隱私算法對分割模型間傳輸?shù)臄?shù)據(jù)進行隱私保護，確保參與訓(xùn)練的各方無法獲取完整的模型，進而提高本地模型的安全性[13-14]。針對車路協(xié)同推理階段，將深度學(xué)習(xí)網(wǎng)絡(luò)模型切分為兩部分，分別在車載終端和路側(cè)邊緣服務(wù)器執(zhí)行場景下，設(shè)計出基于差分隱私的防御算法，防止攻擊者基于推理階段的中間數(shù)據(jù)還原圖像，保護用戶隱私[15]。

● 管理領(lǐng)域。許多國家和組織出臺了相關(guān)法律、法規(guī)及標準。2021年3月9日，歐洲數(shù)據(jù)保護委員會（European Data Protection Board，EDPB）通過了《車聯(lián)網(wǎng)個人數(shù)據(jù)保護指南》，結(jié)合《通用數(shù)據(jù)保護條例》對車路系統(tǒng)場景處理個人數(shù)據(jù)進行指導(dǎo)和規(guī)范，闡釋了該場景下的隱私和數(shù)據(jù)風險及應(yīng)對措施，為行業(yè)參與者有效地保護數(shù)據(jù)安全提供指導(dǎo)。國際標準化組織道路車輛技術(shù)委員會（ISOTC22）信息安全工作組組織制定了《道路車輛-網(wǎng)絡(luò)安全工程》（ISO/SAE 21434）等國際標準。我國相關(guān)法律，如《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》等相繼出臺，為車路協(xié)同相關(guān)主體的安全工作提供根本遵循[16]。

綜上，面向車路協(xié)同場景的隱私計算、人工智能的應(yīng)用，各方均進行了探索并取得了一定的成果，但是目前尚缺少真正落地的、系統(tǒng)性的解決方案。

2 車路協(xié)同可信AI平臺的設(shè)計與實現(xiàn)

對于車路協(xié)同場景的數(shù)據(jù)安全、模型安全、推理安全等問題，需要構(gòu)建安全可信的AI平臺來解決。同時，由于車路協(xié)同的應(yīng)用特性，車載子系統(tǒng)和路側(cè)子系統(tǒng)分布式協(xié)同，且均需實時獲取感知信息及計算結(jié)果，對分布式和實時性要求較高，本文將中興飛流信息科技有限公司（以下簡稱中興飛流）基于數(shù)據(jù)流理論自主研發(fā)的實時計算中間件YITA作為分布式計算引擎，結(jié)合隱私計算、人工智能、區(qū)塊鏈等技術(shù)，設(shè)計并實現(xiàn)了面向車路協(xié)同場景的可信AI平臺——YITA-TFL平臺。

2.1 相關(guān)知識

2.1.1 車路協(xié)同

車路協(xié)同系統(tǒng)是指一種通過人、車、路、云信息交互，實現(xiàn)車輛與基礎(chǔ)設(shè)施之間、車輛與車輛之間、車輛與人之間智能協(xié)同與配合的智能運輸系統(tǒng)體系。車路協(xié)同系統(tǒng)由4個主要部分構(gòu)成[17]：出行者子系統(tǒng)、車載子系統(tǒng)、路側(cè)子系統(tǒng)及云控中心子系統(tǒng)，其系統(tǒng)構(gòu)成如圖1所示。

圖1 車路協(xié)同系統(tǒng)構(gòu)成示意圖

車路協(xié)同系統(tǒng)也被稱為合作式智能運輸系統(tǒng)，各組成部分簡要介紹如下。

● 出行者子系統(tǒng)：由出行者攜帶的各類信息終端或其他信息處理設(shè)備構(gòu)成。

● 車載子系統(tǒng)：一般包括OBU（on board unit）設(shè)備，也可以包括車載的其他計算控制模塊、車載網(wǎng)關(guān)、路由器等。車載子系統(tǒng)可以參與YITA-TFL平臺的計算。

● 路側(cè)子系統(tǒng)：包括路側(cè)直連通信設(shè)施（如路側(cè)單元（road side unit，RSU））、路側(cè)感知設(shè)施、路側(cè)計算設(shè)施（如多接入邊緣計算（multi-access edge computing，MEC）等），也包括用于通信與定位、交通安全與管理的各類設(shè)備設(shè)施。路側(cè)計算設(shè)施可以參與YITA-TFL平臺的計算。

● 云控中心子系統(tǒng)：包括云控平臺、中心交換、服務(wù)組件節(jié)點、服務(wù)路由器和中心接入節(jié)點等，具備網(wǎng)絡(luò)管理、業(yè)務(wù)支撐和服務(wù)等能力。云控平臺對路側(cè)子系統(tǒng)進行管理，包括協(xié)同訓(xùn)練、協(xié)同推理、模型發(fā)布等。

各模塊之間均定義了通信協(xié)議，例如C-V2X（cellular-vehicle to everything）是基于3GPP全球統(tǒng)一標準的通信技術(shù)，包括車輛與車輛之間、車輛與人之間、車輛與路側(cè)設(shè)施之間、車輛與網(wǎng)絡(luò)之間的通信；專用短程通信（dedicated short range communications，DSRC）協(xié)議用于收費設(shè)施與車輛之間的通信；V2P（vehicle to person）協(xié)議用于車載單元與行人之間的通信。

除云控中心子系統(tǒng)的服務(wù)器設(shè)備外，車路協(xié)同系統(tǒng)的其他子系統(tǒng)由算力較低的終端設(shè)備和邊緣設(shè)備構(gòu)成，無法承擔復(fù)雜計算，這些子系統(tǒng)對YITA-TFL平臺有特定的要求。

2.1.2 聯(lián)邦學(xué)習(xí)

隱私計算主要是指以可信執(zhí)行環(huán)境、多方安全計算（secure multi-party computation，MPC）和聯(lián)邦學(xué)習(xí)為代表的可以保護數(shù)據(jù)不外泄的一類數(shù)據(jù)分析計算技術(shù)[18]。本文設(shè)計的YITA-TFL平臺基于聯(lián)邦學(xué)習(xí)技術(shù)實現(xiàn)分布式學(xué)習(xí)功能。聯(lián)邦學(xué)習(xí)是由谷歌在2016年提出的分布式機器學(xué)習(xí)框架[19]，其核心思想是“數(shù)據(jù)不動模型動，數(shù)據(jù)可用不可見”，根據(jù)參與方數(shù)據(jù)集的特征空間和樣本空間的分布，聯(lián)邦學(xué)習(xí)可被分為橫向聯(lián)邦學(xué)習(xí)、縱向聯(lián)邦學(xué)習(xí)，以及聯(lián)邦遷移學(xué)習(xí)[20]。

2.1.3 差分隱私

差分隱私是一種被廣泛認可的隱私保護技術(shù)，最早由微軟提出[21]。(ε,δ)差分隱私定義如下[22]。

一個隨機算法M：D→R滿足(ε,δ)-差分隱私，對于任意僅相差一條數(shù)據(jù)的相鄰數(shù)據(jù)集d、d′∈D和任意輸出S?R，滿足如下條件：

其中，M(d)和M(d′)分別表示算法M在數(shù)據(jù)集d、d′上的輸出；P表示算法的輸出概率；ε為隱私預(yù)算，用于控制隱私保護級別，ε越小，提供的隱私保護能力越強；δ為另一個隱私預(yù)算，表示可容忍的隱私預(yù)算超出ε的概率。如果δ=0，就稱M滿足ε-差分隱私。

差分隱私可以基于輸入擾動、中間參數(shù)擾動、目標擾動及輸出擾動等方式用于模型訓(xùn)練和模型推理等階段的隱私保護，例如，模型訓(xùn)練過程中可以應(yīng)用差分隱私技術(shù)給梯度參數(shù)、權(quán)重參數(shù)、目標函數(shù)添加噪聲擾動，從而實現(xiàn)對模型或訓(xùn)練數(shù)據(jù)的隱私保護。

分析差分隱私的原理發(fā)現(xiàn)，其算法相對簡單，系統(tǒng)開銷較小，適用于低算力設(shè)備參與者較多的車路協(xié)同場景。

2.2 YITA-TFL平臺架構(gòu)設(shè)計

本節(jié)簡要介紹YITA-TFL平臺架構(gòu)及各模塊實現(xiàn)的核心功能，其系統(tǒng)架構(gòu)如圖2所示。

圖2 YITA-TFL平臺的系統(tǒng)架構(gòu)

YITA-TFL平臺各模塊介紹如下。

● 分布式引擎YITA：YITA是流批一體的分布式計算引擎，為YITA-TFL平臺提供統(tǒng)一的分布式計算環(huán)境以及資源管理功能。

● 隱私計算工具：為YITA-TFL平臺提供各種加密隱私保護機制，包括各類加密算法以及區(qū)塊鏈組件，為平臺實現(xiàn)數(shù)據(jù)管理安全、模型訓(xùn)練安全、模型發(fā)布安全以及模型推理安全提供保護技術(shù)。

● 聯(lián)邦學(xué)習(xí)：為YITA-TFL平臺提供安全的分布式訓(xùn)練支撐，在移動端、邊緣云以及中心云間建立共享模型，實現(xiàn)訓(xùn)練、推理過程中數(shù)據(jù)的“可用不可見”。

● 可信數(shù)據(jù)管理：為YITA-TFL平臺模型訓(xùn)練與推理提供安全的數(shù)據(jù)基礎(chǔ)，提供數(shù)據(jù)集管理、隱私保護策略（如數(shù)據(jù)加密、防篡改等）、數(shù)據(jù)質(zhì)量管理（如異常數(shù)據(jù)檢測、偏見消除等）、數(shù)據(jù)標注等功能。

● 可信開發(fā)環(huán)境：包括可信模型訓(xùn)練與可信模型管理兩部分。可信模型訓(xùn)練提供可視化建模、模型隱私訓(xùn)練（如基于差分隱私的訓(xùn)練、模型分割發(fā)布等）、模型壓縮、模型優(yōu)化，支持對模型的自動化減枝、編譯優(yōu)化等功能，從而提升模型推理階段的性能，或者為邊緣端提供輕量化模型等；可信模型管理提供模型版權(quán)管理（如在模型中增加水?。?、模型發(fā)布、模型部署以及模型市場等功能。

● 可信協(xié)同推理：為YITA-TFL平臺提供安全的模型執(zhí)行機制。推理隱私保護采用分割推理、差分隱私等技術(shù)保障模型在推理階段的安全運行；授權(quán)管理配合版權(quán)管理實現(xiàn)對模型的知識產(chǎn)權(quán)保護；服務(wù)管理提供模型運行狀態(tài)跟蹤與檢測等功能。

YITA-TFL平臺綜合應(yīng)用隱私計算技術(shù)、區(qū)塊鏈技術(shù)和人工智能技術(shù)，涵蓋數(shù)據(jù)管理、模型訓(xùn)練、模型管理以及模型推理的全流程，為車路協(xié)同領(lǐng)域構(gòu)建安全的人工智能應(yīng)用提供了安全的開發(fā)環(huán)境和執(zhí)行環(huán)境。同時，YITA-TFL平臺可被應(yīng)用到其他重視數(shù)據(jù)及模型安全的領(lǐng)域。

2.3 YITA-TFL平臺實現(xiàn)

本節(jié)重點介紹聯(lián)邦學(xué)習(xí)、可信數(shù)據(jù)管理、可信模型訓(xùn)練、可信模型管理以及可信協(xié)同推理5個子模塊關(guān)鍵功能的實現(xiàn)方法和技術(shù)。

2.3.1 聯(lián)邦學(xué)習(xí)

聯(lián)邦學(xué)習(xí)是YITA-TFL平臺可信模型訓(xùn)練的支撐模塊，包括服務(wù)端和客戶端兩部分。其架構(gòu)如圖3所示。

圖3 聯(lián)邦學(xué)習(xí)模塊架構(gòu)

聯(lián)邦學(xué)習(xí)子平臺相關(guān)模塊介紹如下。

（1）聯(lián)邦學(xué)習(xí)子平臺服務(wù)端

服務(wù)端包括支撐與管理模塊、聯(lián)邦聚合模塊、安全能力模塊、傳輸交換模塊及作業(yè)實例模塊。各模塊功能介紹如下。

● 支撐與管理模塊提供集群管理、資源配置等應(yīng)用程序接口（application programming interface，API），作業(yè)計劃，客戶端管理與選擇，以及路由轉(zhuǎn)發(fā)服務(wù)等功能。

● 聯(lián)邦聚合模塊提供Fe d P rox、FedAvg、SCAFFOLD等聚合算法，保證不同場景下的收斂速率和收斂性。同時，支持用戶擴展自定義的聚合優(yōu)化算法。

● 安全能力模塊提供多種隱私算法，包括差分隱私、密鑰共享等。

● 傳輸交換模塊支持多種數(shù)據(jù)傳輸和調(diào)用模式，如超文本傳送協(xié)議（hypertext transfer protocol，HTTP）、谷歌遠程過程調(diào)用（G o o g l e re mot e procedure call，gRPC）等。

● 作業(yè)實例模塊根據(jù)客戶端提交的訓(xùn)練作業(yè)動態(tài)創(chuàng)建實例，協(xié)同客戶端和服務(wù)端完成聯(lián)邦學(xué)習(xí)，包括作業(yè)啟動、創(chuàng)建訓(xùn)練任務(wù)、聯(lián)邦聚合等。

（2）聯(lián)邦學(xué)習(xí)子平臺客戶端

客戶端各模塊同服務(wù)端的模塊基本一一對應(yīng)，客戶端和服務(wù)端協(xié)作完成聯(lián)邦學(xué)習(xí)過程?？蛻舳酥С值纳疃葘W(xué)習(xí)框架包括TensorFlow、PyTorch、Caffe以及PaddlePaddle等。

在聯(lián)邦學(xué)習(xí)過程中，客戶端負責每輪訓(xùn)練任務(wù)的創(chuàng)建及本地訓(xùn)練執(zhí)行、每輪訓(xùn)練參數(shù)的上報以及聚合后數(shù)據(jù)的獲取等。

在隱私安全的前提下，客戶端與服務(wù)端協(xié)同實現(xiàn)高效、安全、易用的聯(lián)邦學(xué)習(xí)過程。

2.3.2 可信數(shù)據(jù)管理

數(shù)據(jù)是AI的基礎(chǔ)，為AI提供訓(xùn)練資源，推動AI的快速發(fā)展。數(shù)據(jù)是核心資產(chǎn)，在AI領(lǐng)域的競爭中舉足輕重。車路協(xié)同系統(tǒng)運行過程中產(chǎn)生大量的隱私數(shù)據(jù)，如身份信息、位置信息、軌跡信息等，數(shù)據(jù)安全尤其重要。

數(shù)據(jù)隱私保護是應(yīng)用AI技術(shù)首先需要考慮的問題，可信數(shù)據(jù)管理在數(shù)據(jù)收集階段就實現(xiàn)了數(shù)據(jù)隱私保護，其功能架構(gòu)如圖4所示。

圖4 可信數(shù)據(jù)管理功能架構(gòu)

（1）數(shù)據(jù)集管理

平臺支持各類數(shù)據(jù)采集，包括實時消息、日志、文件、時序數(shù)據(jù)、數(shù)據(jù)庫以及視頻和圖片等，并支持數(shù)據(jù)本地存儲或分布式存儲。

（2）數(shù)據(jù)標注

平臺支持對數(shù)據(jù)的半自動化標注，支持文本、語音、視頻、結(jié)構(gòu)化數(shù)據(jù)等多種類型的數(shù)據(jù)。

（3）數(shù)據(jù)質(zhì)量管理

平臺提供完備的數(shù)據(jù)質(zhì)量管理，包括數(shù)據(jù)標準、規(guī)則管理、依據(jù)數(shù)據(jù)標準對數(shù)據(jù)進行質(zhì)量檢查并形成數(shù)據(jù)質(zhì)量報告。同時，還提供異常數(shù)據(jù)檢查，包括分布檢測、偏見檢測、活體檢測等。毒化數(shù)據(jù)危害較大，平臺提供如下方法消除毒化數(shù)據(jù)。

● 數(shù)據(jù)清洗處理：通過異常樣本檢測、合理數(shù)據(jù)采樣等數(shù)據(jù)預(yù)處理技術(shù)消除惡意樣本，提升數(shù)據(jù)分布合理性；采用平滑去噪等數(shù)據(jù)預(yù)處理技術(shù)降低異常樣本的影響。

● 魯棒性算法：通過魯棒性的聚合算法，如修整均值（trimmed mean，TRIM）、中值聚合、拒絕負面影響（reject on negative impact，RONI）等，降低惡意梯度數(shù)據(jù)的影響，提高算法魯棒性。

● 數(shù)據(jù)凈化法：借鑒參考文獻[23-24]等提出的方法，凈化因攻擊而中毒的數(shù)據(jù)，從而達到移除中毒數(shù)據(jù)或其他異常數(shù)據(jù)的目的。

（4）隱私保護策略

平臺提供豐富的隱私保護策略，其實現(xiàn)介紹如下。

● 訪問認證鑒權(quán)模塊實現(xiàn)用戶管理、安全認證和服務(wù)授權(quán)。對用戶的登錄信息進行合法性鑒定，避免出現(xiàn)非法用戶登錄系統(tǒng)的情況，同時根據(jù)用戶角色限定用戶功能權(quán)限，控制訪問數(shù)據(jù)和參與聯(lián)邦計算的范圍，防御惡意攻擊者。

● 日志審計與數(shù)據(jù)溯源模塊監(jiān)控所有與數(shù)據(jù)相關(guān)的事務(wù)，包括會話、用戶信息以及數(shù)據(jù)的增、刪、改、查、用等行為，提供完備的訪問審計溯源功能。

● 平臺支持動態(tài)脫敏，對關(guān)鍵隱私信息自動脫敏。平臺還支持多種加密算法，如DES加密、同態(tài)加密等。對于統(tǒng)計信息等數(shù)據(jù)，系統(tǒng)提供差分隱私保護，支持噪聲擾動、隨機響應(yīng)等機制。

基于上述數(shù)據(jù)管理與隱私技術(shù)的應(yīng)用，在較少增加計算和通信負擔的情況下，實現(xiàn)對數(shù)據(jù)的持續(xù)保護，夯實車路協(xié)同場景下安全應(yīng)用人工智能技術(shù)的基礎(chǔ)。

2.3.3 可信模型訓(xùn)練

本節(jié)主要介紹在模型訓(xùn)練階段，可信模型訓(xùn)練模塊如何實現(xiàn)對數(shù)據(jù)和模型的隱私保護。

一般來說，在車路協(xié)同場景下，處于模型訓(xùn)練階段的系統(tǒng)面臨以下威脅。

威脅1：潛在模型異常。攻擊方通過數(shù)據(jù)中毒攻擊并破壞訓(xùn)練數(shù)據(jù)集合的完整性，或者通過模型中毒攻擊破壞學(xué)習(xí)過程的完整性，從而導(dǎo)致模型異常[25]。

威脅2：潛在隱私泄露。云、邊、端在訓(xùn)練階段協(xié)同時，雖然不傳輸原始數(shù)據(jù)，但涉及參數(shù)的上傳和下發(fā)，通過模型逆向攻擊或模型提取攻擊，利用模型參數(shù)依然可以推測出本地設(shè)備數(shù)據(jù)的部分隱私信息。

針對威脅1，第2.3.2節(jié)給出了部分防御方法。除此之外，在訓(xùn)練階段，針對數(shù)據(jù)投毒，系統(tǒng)還提供優(yōu)化客戶端選擇的方法進行對抗，例如針對每一輪訓(xùn)練，系統(tǒng)按規(guī)則重新選擇參與訓(xùn)練的客戶端，降低惡意攻擊的影響；優(yōu)化聯(lián)邦激勵機制，提升可信客戶端的選擇權(quán)重等。

防御威脅2的核心思想是利用隱私安全算法，將傳輸?shù)闹虚g數(shù)據(jù)加密為密文數(shù)據(jù)，避免獲取參與方的原始數(shù)據(jù)。系統(tǒng)目前支持兩種隱私安全算法：基于差分隱私的中間參數(shù)擾動隱私保護算法和基于密鑰共享的安全聚合算法。下面介紹其具體實現(xiàn)。

（1）基于差分隱私的中間參數(shù)擾動隱私保護算法實現(xiàn)

采用差分隱私算法在中間數(shù)據(jù)中加入特定分布的噪聲（如高斯噪聲、拉普拉斯噪聲），避免通過數(shù)據(jù)差異分析等方式恢復(fù)原始數(shù)據(jù)，從而達到保護隱私安全的目的。參與方客戶端利用本地數(shù)據(jù)進行訓(xùn)練，在梯度（對應(yīng)圖5（a））或Δw（對應(yīng)圖5（b））中加入噪聲，客戶端上報攜帶噪聲的中間數(shù)據(jù)，并直接在中間數(shù)據(jù)上聚合得到新模型[26]。DP-Gradient算法在梯度中添加噪聲，客戶端本地訓(xùn)練的每次梯度更新都需要添加噪聲；DP-Weight算法在Δw中加噪聲，客戶端在每輪聯(lián)邦訓(xùn)練中只需要針對Δw添加一次噪聲即可。兩種算法的收斂效率和性能基本一樣，但DP-Weight算法的客戶端計算開銷相對較小。

圖5 差分隱私算法實現(xiàn)框架

（2）基于密鑰共享的安全聚合算法實現(xiàn)

通過密鑰共享將本地密鑰分片發(fā)送給各參與方，在服務(wù)端聯(lián)邦聚合過程中，每個客戶端上報的參數(shù)采用本地掩碼分片加密，聚合過程中掩碼被抵消，從而得到聚合結(jié)果。訓(xùn)練過程中參與方無法知曉任意一個客戶端的原始數(shù)據(jù)，從而達到保護隱私的目的。算法特征總結(jié)如下：

● 模型在密文狀態(tài)下聚合，具有密碼級的安全保證，與差分隱私相比，具有更高的安全性；

● 采用掩碼加密，訓(xùn)練過程中服務(wù)端通過密鑰共享將掩碼分片廣播到各參與方，傳輸數(shù)據(jù)量只與參與方客戶端的數(shù)量相關(guān)，與模型大小無關(guān)；

● 模型權(quán)重等原始數(shù)據(jù)不需要在參與方之間傳遞，遵從聯(lián)邦協(xié)議；

● 雙重掩碼機制允許客戶端在訓(xùn)練過程中掉線，適用于客戶端穩(wěn)定性差的聯(lián)邦訓(xùn)練場景；

● 通過分層聚合解決了安全聚合隨參與方數(shù)量增加，計算和傳輸開銷快速上升的問題，方案具備較好的彈性。

除模型隱私訓(xùn)練功能外，可信模型訓(xùn)練模塊還提供可視化建模、模型壓縮和模型優(yōu)化等功能，共同實現(xiàn)安全地構(gòu)建模型、訓(xùn)練模型和編譯模型的目的。

2.3.4 可信模型管理

模型管理是模型使用過程中非常重要的環(huán)節(jié)，但是當前對這一部分的研究相對較少。本文設(shè)計的可信模型管理包括模型版權(quán)管理、模型發(fā)布、模型部署以及模型市場等功能。

（1）模型版權(quán)管理

算法模型是研究人員通過數(shù)月努力設(shè)計訓(xùn)練出來的，是一種非常有價值的知識產(chǎn)權(quán)資產(chǎn)，需要做好算法模型的知識產(chǎn)權(quán)管理工作。模型版權(quán)管理主要包括兩部分功能：模型加密和模型水印。

①模型加密

為了防止模型被他人挪用、惡意復(fù)制，在模型部署前需要對模型進行加密，模型部署后，在推理階段的運行時模塊加載模型時，根據(jù)加密機制進行反向解密即可。YITA-TFL平臺采用OpenSSL中的高級加密標準（advanced encryption standard，AES）實現(xiàn)模型加密，AES是美國聯(lián)邦政府采用的一種區(qū)塊加密標準，是目前對稱密鑰加密中非常流行的算法之一。

②模型水印

模型水印的思想來自于數(shù)字水印技術(shù)，人工智能模型水印最早由Uchida Y等人[27]提出。目前主要的人工智能模型水印算法包括后門植入水印、利用對抗樣本構(gòu)建水印、利用投影矩陣構(gòu)建水印、利用聚類將圖片按輸出激活分類編碼、利用對抗網(wǎng)絡(luò)訓(xùn)練等[28]。綜合分析各類算法的優(yōu)缺點，YITA-TFL平臺采用后門植入水印為平臺算法提供版權(quán)保護。其算法框架如圖6所示[29]。

圖6 后門植入水印算法框架

● 水印植入：模型持有者提取一部分數(shù)據(jù)作為觸發(fā)集，可以在圖片上加上特定的噪聲或者標志，使得觸發(fā)集數(shù)據(jù)中帶有版權(quán)信息，然后輸入目標模型進行訓(xùn)練，特別的是，將觸發(fā)集圖片對應(yīng)的輸出標記為特定輸出，比如在車路協(xié)同場景中，將觸發(fā)集中的轎車標記為自行車，對目標模型進行有監(jiān)督的訓(xùn)練，使模型學(xué)習(xí)到這種特定的噪聲或標志的特征，則水印植入成功。

● 水印驗證：向模型輸入觸發(fā)集的圖片以及原圖片，當模型的輸出為指定的特殊標簽以及原本的標簽時，水印驗證成功，否則失敗。

（2）模型發(fā)布

平臺支持兩種模型發(fā)布：模型完整發(fā)布和模型分割發(fā)布。因為車載終端計算資源有限，難以執(zhí)行完整模型，所以對模型進行分割，比如把特征提取等算力需求較小的網(wǎng)絡(luò)放在車載終端上執(zhí)行，把算力需求較大的部分算法放在邊緣服務(wù)器上執(zhí)行，提升車路協(xié)同場景的整體模型推理效率。模型分割發(fā)布時，需要采用差分隱私對兩方推理過程中傳遞的中間結(jié)果進行加密，確保數(shù)據(jù)隱私安全。

（3）模型部署

平臺支持將模型遠程部署到邊緣設(shè)備和終端設(shè)備，支持實時監(jiān)測模型下發(fā)及部署的進度，支持模型文件下發(fā)斷點續(xù)傳。

（4）模型市場

平臺提供模型的交易服務(wù)，詳細功能描述如下。

● 模板集市：用于用戶間的模型交換。用戶可以將自己訓(xùn)練好的模型發(fā)布到模板集市中，也可以從模板集市中下載模型，用于訓(xùn)練和推理。

● 數(shù)據(jù)集市：用戶可以下載數(shù)據(jù)集市中的數(shù)據(jù)。

● 能力集市：展示用戶發(fā)布成功的模型能力，并提供下載。

2.3.5 可信協(xié)同推理

推理階段是應(yīng)用模型解決實際問題的階段，是最重要的執(zhí)行階段，包括授權(quán)管理、服務(wù)管理及推理隱私保護等功能。

（1）授權(quán)管理

結(jié)合模型加密和模型水印等功能，保證模型的知識產(chǎn)權(quán)。

（2）服務(wù)管理

主要實現(xiàn)模型的資源監(jiān)控、彈性擴容、流量控制、灰度升級等功能。

（3）推理隱私保護

推理階段對模型的攻擊通常被稱為推理攻擊，一般不會破壞目標模型，主要是影響模型的輸出結(jié)果或者通過反卷積網(wǎng)絡(luò)等技術(shù)獲取原始數(shù)據(jù)，從而引起數(shù)據(jù)泄露。后一種情況對分割發(fā)布的模型風險較大。本節(jié)簡要介紹YITA-TFL平臺對后一種情況的防御方式。

分割發(fā)布的模型一般由終端設(shè)備和邊緣服務(wù)器協(xié)同推理，終端側(cè)執(zhí)行完整模型中算力消耗較小的部分，如特征提取等；服務(wù)側(cè)執(zhí)行完整模型中算力需求較大的部分。其算法過程如圖7所示。

圖7 協(xié)同推斷場景下基于差分隱私的中間結(jié)果隱私保護算法框架

算法核心是對終端設(shè)備的輸入數(shù)據(jù)增加輸入擾動，對其輸出的中間結(jié)果增加輸出擾動。輸入擾動和輸出擾動均采用差分隱私算法生成。

在推理過程增加擾動在一定程度上會影響模型推理結(jié)果的準確率，如果擾動參數(shù)值等設(shè)置不合理，甚至?xí)绊懩Ｐ偷目捎眯浴２贿^，不同模型的合理擾動參數(shù)值不同，需要通過實驗確定擾動參數(shù)的合理取值范圍，保證模型準確率和隱私保護之間的平衡。

3 應(yīng)用案例

YITA-TFL平臺已成功應(yīng)用于多個車路協(xié)同及高速公路視頻分析項目，某省高速公路的車路協(xié)同系統(tǒng)架構(gòu)如圖8所示。YITA-TFL平臺和YITA大數(shù)據(jù)平臺協(xié)同，在項目中發(fā)揮核心作用，YITA-TFL平臺支撐團隊快速構(gòu)建面向智能終端、路側(cè)設(shè)備和云控平臺等多方參與的安全人工智能應(yīng)用體系，從數(shù)據(jù)采集、數(shù)據(jù)發(fā)布、模型在線訓(xùn)練、模型管理、模型發(fā)布到在線推理，保證數(shù)據(jù)和模型的全流程隱私和安全。該項目已接入超過500臺智能終端和路側(cè)設(shè)備，運行數(shù)十個深度學(xué)習(xí)模型和機器學(xué)習(xí)模型，為高速公路安全生產(chǎn)帶來顯著效益。

圖8 某省高速公路的車路協(xié)同系統(tǒng)架構(gòu)

4 結(jié)束語

近年來，以大數(shù)據(jù)、人工智能以及5G為代表的信息技術(shù)推動車路協(xié)同的快速發(fā)展，人們在不知不覺中已經(jīng)成為車路協(xié)同系統(tǒng)中的一員。上述技術(shù)為人們的生活帶來極大的便利，然而車路協(xié)同場景中的隱私泄露風險也給人們帶來巨大的威脅。

本文介紹了車路協(xié)同場景的特點，分析了該場景下隱私計算、人工智能等技術(shù)的研究進展并進行總結(jié)，設(shè)計并實現(xiàn)了YITATFL平臺，并在交通行業(yè)的車路協(xié)同及視頻分析場景中落地應(yīng)用。該平臺不僅適用于車路協(xié)同場景，同樣適用于其他重視數(shù)據(jù)和模型隱私的場景。未來的工作中，筆者團隊將不斷融合新技術(shù)，持續(xù)迭代優(yōu)化，進一步提升平臺的性能和普適性。