基于k-匿名的隱私保護計算卸載方法

趙 星 彭建華 游 偉 陳 璐

(中國人民解放軍戰略支援部隊信息工程大學 鄭州 450001)

1 引言

隨著智能終端和物聯網的普及，各類終端應用不斷涌現，為用戶帶來豐富娛樂體驗的同時也消耗了終端更多的計算資源和能耗[1]。移動邊緣計算(Mobile Edge Computing, MEC)[2]是第5代移動通信網絡(5G)[3]的重要支撐技術，通過將計算資源部署在網絡邊緣，空間上鄰近終端用戶，降低服務時延的同時也可減少終端能耗。計算卸載技術[4]作為MEC的關鍵技術之一，通過無線鏈路將計算密集型終端應用傳輸至鄰近的MEC節點處理，利用MEC服務器充足的計算資源和能源減少終端處理任務的時延和能耗，有效提高了服務質量和用戶體驗。計算卸載決策指終端感知無線環境并結合自身卸載任務特性，基于不同的優化目標(降低終端能耗[5]、減少任務處理時延[6]和權衡能耗與時延[7])，選擇最優的任務處理方式(本地處理、卸載到MEC節點或丟棄)。

目前針對MEC安全和隱私問題的研究多是從加密、認證等數據安全和訪問控制角度防護卸載的數據內容[8]，并未充分考慮卸載決策中的隱私問題，對用戶卸載的行為習慣、使用模式所導致的隱私泄露研究[9]則更少。文獻[10]研究現有卸載決策發現終端在信道條件較好時會盡可能上傳計算任務以減少自身能耗，攻擊者可據此通過監聽MEC節點上的任務卸載情況，反推出用戶的使用模式和所處無線環境，甚至實現對終端的定位；文獻[11]進一步分析了物聯網場景中卸載決策的隱私，建立隱私模型綜合考慮隱私、能耗和計算時延，基于增強學習求解；文獻[12]分析了物聯網場景中用戶的位置隱私威脅，基于越遠的服務節點越能保護用戶位置隱私的原理定義隱私量，并利用深度決策后狀態學習算法快速求解最優的卸載決策。文獻[13]基于上述研究進一步基于任務卸載概率的顯著性定義計算任務的隱私量，以此建立隱私保護計算卸載模型并求出隱私約束下的最優平均能耗。然而上述研究均考慮單個用戶的隱私保護，基于計算任務的卸載頻率相對于統計流行度的顯著性度量用戶的隱私屬性，沒有充分考慮不同MEC區域用戶群體的不同導致隱私度量偏差。此外在多用戶場景中，直接采取單用戶隱私保護會使整體能耗的線性增高，降低整體服務質量。

為實現多用戶場景下協同隱私保護并最小化整體能耗，本文提出一種基于k-匿名的隱私保護計算卸載方法。首先，分析卸載決策中的隱私威脅和多用戶場景中防護難點，提出基于卸載任務及卸載頻率的隱私約束，限制k個用戶的各卸載任務實際卸載頻率相近；然后，提出基于k匿名的隱私保護計算卸載模型，并用基于模擬退火的隱私保護計算卸載算法(Privacy preserving Computation Offloading algorithm based on Simulated Annealing,PCOSA)快速求得最優分組。實驗結果表明，PCOSA能最小化終端能耗，且每個卸載任務都有k個用戶的卸載特征相似，使攻擊者無法區分出目標用戶。

2 模型分析

2.1 系統模型

目前比較常見的邊緣系統模型如圖1所示[14]，MEC節點部署于一定區域內的多個基站或無線熱點之后，為接入網絡的多個終端用戶提供計算卸載服務。假設系統為單位時隙 Δ ms的時隙系統，在每個時隙t內，終端可隨機產生一個可卸載的任務T(t)，假定每個卸載任務平均包含b Byte，終端處理每個字節的數據需要 β個CPU循環[15]，每個任務均有時延門限ξ (t)，需在規定時延門限內處理完任務，否則只能丟棄。時隙t的計算任務的卸載結果可以是本地處理、卸載到MEC節點或丟棄，分別用指示函數IL(t) , IM(t)和 ID(t)表示。

圖1 系統模型

考慮本地處理情況，假設終端的CPU頻率可以根據不同的卸載決策而改變(最大值為 fmax)，時隙t 內的C P U 頻率為 f(t)，則可計算得時延為DL(t)=b·β/f(t) ，終端的能耗為EL(t)=κ·f3(t)·DL(t) ，其中κ 表示CPU的能耗系數[16]。

計算任務本地處理的最優CPU頻率為f?(t)=β·b/ξ(t)， 若可以本地處理(即f?(t)≤fmax)，則本地處理的最低能耗為(t)=κ·[f?(t)]3·ξ(t)。

考慮卸載到MEC節點情況，假定MEC控制NAP個無線接入點覆蓋1個服務區域，各無線接入設備與終端的無線信道相互獨立，時隙t中第i個無線接入點的參數為：上行鏈路帶寬 Wi，信道噪聲功率密度，信道增益為(t)，終端的發射功率pi(t)( 最大值為pmax)。

2.2 隱私威脅

基于加密及認證等防護措施，假定系統中終端、基站或熱點、MEC服務器均可信，攻擊者直接截獲卸載任務并分析其所述用戶身份信息難度很大。由于MEC系統應用層的相對開放性，攻擊者可利用側信道攻擊[17]的方式推測、監聽MEC服務器上卸載的計算任務及卸載頻率。由于用戶使用終端的習慣不同，每個用戶常用的終端應用及其卸載頻率也一般不同，若攻擊者通過其他手段掌握了目標用戶的部分先驗信息(如用戶經常性卸載的計算任務及其大致卸載概率)，則可通過監聽MEC節點上任務卸載情況并推測目標用戶所在MEC節點。

用戶所有可卸載的計算任務集合記為 T，用戶卸載概率較高的計算任務集合記為TU,TU∈T(頻率太低的卸載任務隨機性較大，攻擊驗證難度較大，因此不作考慮，θp為考慮保護卸載任務的隱私保護門限)， TU中 各任務的卸載概率為PU，任務數量記為 NT。若攻擊者已掌握某一用戶u的卸載情況Tu,Pu，且能入侵MEC系統監聽各用戶的任務卸載情況(由于身份加密，攻擊者無法直接判斷出用戶的真實身份)，則攻擊者可統計MEC節點上一段時間內各用戶的實際卸載頻率，若存在一個用戶的與Pu接近，則可判斷該用戶大概率為目標用戶u，進一步進行后續的攻擊和分析。參與判定的卸載任務越多(即NT越大)，卸載頻率越接近，則攻擊 者鎖定目標用戶u成功的概率越大。

3 基于k-匿名的隱私保護計算卸載方法

本節針對2.2節中分析的用戶隱私威脅和多用戶場景隱私保護的挑戰，提出基于k-匿名的協同隱私保護計算卸載模型，然后基于模擬退火算法求解最優分組，并給出隱私約束下平均能耗最低的卸載流程。

3.1 問題建模

利用多用戶場景下用戶間的相似性，可不獨立保護每個用戶的隱私，而是基于k-匿名原理[18]，使MEC節點覆蓋范圍內存在k個用戶的實際卸載頻率相似，從而使攻擊者無法從k個卸載行為相近的用戶中區分出所攻擊的目標用戶u，整體保護k個用戶的隱私。

為滿足k-匿名，各用戶計算卸載的隱私約束由式(1)所示，對于任意時隙t和任務用戶i都存在k-1個用戶j滿足

其中優化目標為N個用戶的平均能耗最低，式(2a)為用戶i在時隙t時任務處理時間約束，式(2b)、式(2c)給出了指示函數的限制。

3.2 基于模擬退火的隱私保護計算卸載算法

為求解上述模型，本節提出基于模擬退火的隱私保護計算卸載算法(Privacy preserving Computation Offloading algorithm based on Simulated Annealing, PCOSA)， PCOSA算法分為兩步，PCOSA I完成MEC節點下現有用戶的分組及確定每組內防護任務數及各卸載任務的隱私約束頻率, PCOSA II中各用戶根據的約束完成實時的計算卸載過程。

為滿足式(1)，k個用戶的分組中，每個用戶都需改變卸載任務(如任務m)的卸載頻率至區間范圍內，定義改變原始卸載頻率而導致的偏離代價為

其中，pj,i表示第j個用戶第i個計算任務的卸載頻率。

將N個用戶每k個分為一組，共有N !/k!種不同的分組方案，當N較大時常規算法無法在多項式時間內求得最優分組的解，即為NP難問題。本文基于模擬退火算法快速求解分組結果，PCOSA I先計算所有k個用戶分組的代價，然后隨機初始化一種分組情況并計算其總代價，最后基于SA求解總代價最小的最優分組，其流程如表1所示。PCOSA I基于SA算法求出用戶的最優分組，其時間復雜度和模擬退火的參數相關，迭代次數 NSA滿足T×λNSA→Tmin，在表1循環體中求偏離代價須執行次數為和N/k的二重循環，因此PCOSA I的時間復雜度為O (NSA××N/k)，為盡量求得最優分組解，迭代次數 NSA一般較大，且用戶較多時N/k的值也較大，算法整體時間復雜度較高。但用戶分組一般發生在用戶接入網絡或重新分組時，時延較不敏感，且MEC服務器也有較強的計算處理能力。

PCOSA II基于上述k-匿名分組結果及各分組中卸載任務的隱私約束頻率，使每個用戶在每個時隙中根據感知的無線環境、卸載任務特性，做出滿足時延和隱私限制下能耗最優的卸載決策。

用NO表示截止時隙t時用戶已經卸載的總次數，變量 Nm,Nm∈N表示其中任務m 的卸載次數，為用戶n中任務m的隱私約束頻率，則×(1+·θ)表示其隱私上界。用戶n的任務m滿足隱私約束下剩余的可卸載次數為

表1 PCOSA I 算法流程

上述步驟解決了隱私約束上界和能耗最優的問題，對于任務自身頻率小于分組隱私均值的情況，需整體上降低用戶的卸載頻次 NO，使得本來出現概率較低的任務的卸載頻率變高，而卸載次數越少則用戶總卸載能耗越大。為此，利用假任務機制，在任務本可以卸載((t)＜(t))卻因隱私約束而無法卸載時，根據式(6)選擇實際卸載頻率最小于隱私約束下界任務 TF，在MEC節點上產生該任務的假任務，提高其卸載頻率。

綜上，PCOSA II的整體流程如表2所示。具體實現中，可在用戶接入網絡時的認證消息中加入其計算任務及平均卸載頻率的信息，不增加額外的信令開銷，也保證了安全性(若認證流程已經被攻擊者攻破，則再防護卸載隱私毫無意義)。MEC根據接入用戶及其任務卸載頻率，完成k-匿名分組，再將分組結果通過認證應答信令發送給用戶。

4 仿真分析

本節利用MATLAB數值仿真方法驗證上述模型和算法的有效性，模型設置如表3所示。

為模擬用戶使用終端習慣的特殊性，仿真實驗中為每個用戶不斷隨機生成卸載頻率為[0,0.3]之間的卸載任務，直至所有任務卸載頻率之和為1，因此各用戶的防護任務集合 TU、 卸載頻率PU及任務數量NT均 不一樣，隱私保護門限θp=0.05。

表2 PCOSA II 算法流程

實驗的對比算法包括：(1)Basic算法，不考慮隱私約束式(1)，追求能耗最優的卸載決策，作為其他算法能耗表現的基準；(2)單用戶隱私保護算法(Single User Privacy-preservation Algorithm,SUPA)，獨立保護每個用戶的隱私，使集合 TU的實際卸載頻率都低于用戶的原始頻率 PU，隱私偏離度也設置為 θ；(3)基于貪心思想的k-匿名算法(Greedy-based K-Anonymity Algorithm,GKAA)，基于貪心思想，每次分組選擇偏移量最小的分組作為最優解的子集，對剩余用戶執行同樣操作，直至所有用戶都分完組，其余步驟同P COSA II。

4.1 算法對比

首先分析PCOSA的隱私保護效果和能耗，隨機選取一用戶分析其各任務的卸載結果如圖2所示，參數設置為N =60,k =3,θ =0.2,T =105。PCOSA I算法所得分組結果的均值卸載頻率為組內各用戶的隱私約束頻率，PCOSA II算法改變了各計算任務的原始卸載頻率，使其實際卸載頻率均在隱私保護閾值 θ的范圍內，滿足了k-匿名的隱私保護效果。原始頻率高于隱私約束頻率的任務，為最優化用戶能耗，實際頻率一般只略低于隱私約束上界；而原始頻率低于隱私約束頻率的任務，由于實際頻率的提高受假任務機制影響，最終效果會有不同，原始頻率越低的任務實際頻率越靠近隱私約束頻率。

表3 模型參數設置

圖2 各任務卸載頻率對比

圖3 不同時隙T最小平均能耗對比

圖4 各算法卸載結果對比

4.2 參數分析

本小節進一步分析各算法參數對其效果的影響，圖5分析了隱私保護閾值 θ的影響，隨著θ 的增大，隱私限制變小，因此如圖5(a)所示GKAA和PCOSA的最小平均能耗均不斷降低；同時更小的隱私限制使分組結果中用戶的卸載頻率有更大的變化范圍，使最小偏離代價降低。從圖5(b)也可看出，當θ 增大到一定程度時，最小偏離代價也可能不再降低，導致圖5(a)中最小平均能耗降低變緩。

圖6描述了用戶數N的影響，理論分析知更多的用戶意味著分組時能找到卸載表現更接近的用戶，形成更好的隱私保護效果同時平均能耗也更低。圖6(b)表明隨著用戶數N的增加，平均每個分組的最小偏離代價不斷降低。由于數據源中用戶各任務卸載頻率的隨機性，由圖6(a)可知用戶數對最小平均能耗影響并不大，只隨著用戶數增加而略微下降。

圖7反映了分組大小k的影響，更多的組內用戶數導致了用戶間更大的差異性，使圖7(b)中的平均最小偏離代價相應增大，從而導致圖7(a)中的平均能耗變大。但更多的組內用戶使卸載特征相似的用戶更多，實現了更好的隱私保護效果，即犧牲了一定的終端能耗而換取更好用戶隱私保護效果。

圖5 隱私保護閾值θ 的影響

圖6 用戶數N的影響

圖7 分組大小k的影響

5 結束語

本文針對MEC計算卸載中用戶不同任務卸載頻率可能暴露其隱私的問題，提出一種基于k-匿名的隱私防護方法，利用多個用戶形成卸載行為相近的群組，共同防護組內用戶的隱私。提出基于模擬退火的PCOSA I算法高效求出最優的分組結果及其隱私約束頻率，并根據PCOSA II算法步驟實現每個時隙內具體的卸載過程。仿真結果表明，采用k-匿名原理的多用戶隱私防護機制可有效防止單個用戶卸載特征被攻擊者鎖定攻擊，且保持較低的平均卸載能耗。后續可繼續深入研究MEC計算卸載中的其他隱私威脅和隱私量化方式，并結合5G具體應用場景進行分析和驗證。