隱私計算在車路協同場景應用的探索與實踐

李明，呂阿斌

中興飛流信息科技有限公司，江蘇 南京 210012

0 引言

車路協同概念最早由歐盟委員會第六科技框架計劃提出，旨在通過人、車、路、云的信息交互和共享，充分實現多方有效協同決策，提高出行效率及確保人車安全。車路協同是輔助智能網聯或自動駕駛車輛安全運行的有效載體，是道路交通運輸領域的科技戰略制高點[1-2]。車路協同相關技術組成復雜，涵蓋汽車、集成電路、無線通信、邊緣計算、人工智能、大數據、云計算等多個高新技術。目前，一些國家高度重視車路協同的發展，2021年國務院和交通運輸部分別印發《“十四五”現代綜合交通運輸體系發展規劃》《數字交通“十四五”發展規劃》，鼓勵車路協同及自動駕駛相關產業的健康發展[3-4]。同時，無線通信技術、人工智能等技術的迅速發展進一步推動車路協同系統的迭代升級與成熟。賽迪網預測車路協同產業在2022年進入爆發期，預計2025年產業規模將超萬億元[5]。但隨著車路協同產業規模的快速發展以及相關應用的深入，車路協同系統的組成節點通常運行在不可信環境中，一些與安全相關的問題逐漸暴露出來，比如數據采集階段的數據泄露、模型訓練階段及推理階段通過獲取中間數據復原原始數據造成的隱私泄露、毒化數據影響模型訓練等[6-7]。上述安全問題是車路協同系統面臨的較大挑戰。

如何打造安全的車路協同系統成為行業當前關注的重點問題，本文分析車路協同場景中遇到的安全問題與挑戰，結合隱私計算、人工智能技術在車路協同場景的實踐經驗，設計并實現了YITA-TFL（YITA-trusted federated learning）平臺，涵蓋數據安全、訓練安全以及推理安全等問題的解決方法，為車路協同場景下隱私計算和人工智能技術兼顧發展和安全、平衡效率和風險提供一種可行的系統性解決方案。

1 國內外研究進展

車路協同場景的數據安全、模型安全、推理安全等問題不僅涉及技術領域，還涉及管理領域。

● 技術領域。近兩年陸續有學者基于隱私計算技術對上述問題展開研究。例如，將差分隱私（differential privacy，DP）、隱私決策樹、貝葉斯網絡等方法應用于數據發布，實現兼顧數據隱私保護和數據分析的目的[8-9]，基于同態加密（homomorphic encryption，HE）和區塊鏈技術的車聯網隱私保護方案支持將隱私數據進行同態加密處理后再寫入區塊，實現隱私數據以密文狀態分發、共享和計算[10]，但是這類方法針對結構化數據比較有效，針對視頻、圖像、語音等非結構化數據時則受限?；诓罘蛛[私、隨機梯度下降等技術實現了模型訓練過程中的安全保護[11-12]；采用分割模型的方式提高了訓練過程的安全保護程度，分割模型在客戶端和服務端分段訓練，簡單計算部分留存在客戶端本地，復雜計算部分留存在服務端，同時在模型執行過程中應用差分隱私算法對分割模型間傳輸的數據進行隱私保護，確保參與訓練的各方無法獲取完整的模型，進而提高本地模型的安全性[13-14]。針對車路協同推理階段，將深度學習網絡模型切分為兩部分，分別在車載終端和路側邊緣服務器執行場景下，設計出基于差分隱私的防御算法，防止攻擊者基于推理階段的中間數據還原圖像，保護用戶隱私[15]。

● 管理領域。許多國家和組織出臺了相關法律、法規及標準。2021年3月9日，歐洲數據保護委員會（European Data Protection Board，EDPB）通過了《車聯網個人數據保護指南》，結合《通用數據保護條例》對車路系統場景處理個人數據進行指導和規范，闡釋了該場景下的隱私和數據風險及應對措施，為行業參與者有效地保護數據安全提供指導。國際標準化組織道路車輛技術委員會（ISOTC22）信息安全工作組組織制定了《道路車輛-網絡安全工程》（ISO/SAE 21434）等國際標準。我國相關法律，如《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》等相繼出臺，為車路協同相關主體的安全工作提供根本遵循[16]。

綜上，面向車路協同場景的隱私計算、人工智能的應用，各方均進行了探索并取得了一定的成果，但是目前尚缺少真正落地的、系統性的解決方案。

2 車路協同可信AI平臺的設計與實現

對于車路協同場景的數據安全、模型安全、推理安全等問題，需要構建安全可信的AI平臺來解決。同時，由于車路協同的應用特性，車載子系統和路側子系統分布式協同，且均需實時獲取感知信息及計算結果，對分布式和實時性要求較高，本文將中興飛流信息科技有限公司（以下簡稱中興飛流）基于數據流理論自主研發的實時計算中間件YITA作為分布式計算引擎，結合隱私計算、人工智能、區塊鏈等技術，設計并實現了面向車路協同場景的可信AI平臺——YITA-TFL平臺。

2.1 相關知識

2.1.1 車路協同

車路協同系統是指一種通過人、車、路、云信息交互，實現車輛與基礎設施之間、車輛與車輛之間、車輛與人之間智能協同與配合的智能運輸系統體系。車路協同系統由4個主要部分構成[17]：出行者子系統、車載子系統、路側子系統及云控中心子系統，其系統構成如圖1所示。

圖1 車路協同系統構成示意圖

車路協同系統也被稱為合作式智能運輸系統，各組成部分簡要介紹如下。

● 出行者子系統：由出行者攜帶的各類信息終端或其他信息處理設備構成。

● 車載子系統：一般包括OBU（on board unit）設備，也可以包括車載的其他計算控制模塊、車載網關、路由器等。車載子系統可以參與YITA-TFL平臺的計算。

● 路側子系統：包括路側直連通信設施（如路側單元（road side unit，RSU））、路側感知設施、路側計算設施（如多接入邊緣計算（multi-access edge computing，MEC）等），也包括用于通信與定位、交通安全與管理的各類設備設施。路側計算設施可以參與YITA-TFL平臺的計算。

● 云控中心子系統：包括云控平臺、中心交換、服務組件節點、服務路由器和中心接入節點等，具備網絡管理、業務支撐和服務等能力。云控平臺對路側子系統進行管理，包括協同訓練、協同推理、模型發布等。

各模塊之間均定義了通信協議，例如C-V2X（cellular-vehicle to everything）是基于3GPP全球統一標準的通信技術，包括車輛與車輛之間、車輛與人之間、車輛與路側設施之間、車輛與網絡之間的通信；專用短程通信（dedicated short range communications，DSRC）協議用于收費設施與車輛之間的通信；V2P（vehicle to person）協議用于車載單元與行人之間的通信。

除云控中心子系統的服務器設備外，車路協同系統的其他子系統由算力較低的終端設備和邊緣設備構成，無法承擔復雜計算，這些子系統對YITA-TFL平臺有特定的要求。

2.1.2 聯邦學習

隱私計算主要是指以可信執行環境、多方安全計算（secure multi-party computation，MPC）和聯邦學習為代表的可以保護數據不外泄的一類數據分析計算技術[18]。本文設計的YITA-TFL平臺基于聯邦學習技術實現分布式學習功能。聯邦學習是由谷歌在2016年提出的分布式機器學習框架[19]，其核心思想是“數據不動模型動，數據可用不可見”，根據參與方數據集的特征空間和樣本空間的分布，聯邦學習可被分為橫向聯邦學習、縱向聯邦學習，以及聯邦遷移學習[20]。

2.1.3 差分隱私

差分隱私是一種被廣泛認可的隱私保護技術，最早由微軟提出[21]。(ε,δ)差分隱私定義如下[22]。

一個隨機算法M：D→R滿足(ε,δ)-差分隱私，對于任意僅相差一條數據的相鄰數據集d、d′∈D和任意輸出S?R，滿足如下條件：

其中，M(d)和M(d′)分別表示算法M在數據集d、d′上的輸出；P表示算法的輸出概率；ε為隱私預算，用于控制隱私保護級別，ε越小，提供的隱私保護能力越強；δ為另一個隱私預算，表示可容忍的隱私預算超出ε的概率。如果δ=0，就稱M滿足ε-差分隱私。

差分隱私可以基于輸入擾動、中間參數擾動、目標擾動及輸出擾動等方式用于模型訓練和模型推理等階段的隱私保護，例如，模型訓練過程中可以應用差分隱私技術給梯度參數、權重參數、目標函數添加噪聲擾動，從而實現對模型或訓練數據的隱私保護。

分析差分隱私的原理發現，其算法相對簡單，系統開銷較小，適用于低算力設備參與者較多的車路協同場景。

2.2 YITA-TFL平臺架構設計

本節簡要介紹YITA-TFL平臺架構及各模塊實現的核心功能，其系統架構如圖2所示。

圖2 YITA-TFL平臺的系統架構

YITA-TFL平臺各模塊介紹如下。

● 分布式引擎YITA：YITA是流批一體的分布式計算引擎，為YITA-TFL平臺提供統一的分布式計算環境以及資源管理功能。

● 隱私計算工具：為YITA-TFL平臺提供各種加密隱私保護機制，包括各類加密算法以及區塊鏈組件，為平臺實現數據管理安全、模型訓練安全、模型發布安全以及模型推理安全提供保護技術。

● 聯邦學習：為YITA-TFL平臺提供安全的分布式訓練支撐，在移動端、邊緣云以及中心云間建立共享模型，實現訓練、推理過程中數據的“可用不可見”。

● 可信數據管理：為YITA-TFL平臺模型訓練與推理提供安全的數據基礎，提供數據集管理、隱私保護策略（如數據加密、防篡改等）、數據質量管理（如異常數據檢測、偏見消除等）、數據標注等功能。

● 可信開發環境：包括可信模型訓練與可信模型管理兩部分?？尚拍Ｐ陀柧毺峁┛梢暬?、模型隱私訓練（如基于差分隱私的訓練、模型分割發布等）、模型壓縮、模型優化，支持對模型的自動化減枝、編譯優化等功能，從而提升模型推理階段的性能，或者為邊緣端提供輕量化模型等；可信模型管理提供模型版權管理（如在模型中增加水?。?、模型發布、模型部署以及模型市場等功能。

● 可信協同推理：為YITA-TFL平臺提供安全的模型執行機制。推理隱私保護采用分割推理、差分隱私等技術保障模型在推理階段的安全運行；授權管理配合版權管理實現對模型的知識產權保護；服務管理提供模型運行狀態跟蹤與檢測等功能。

YITA-TFL平臺綜合應用隱私計算技術、區塊鏈技術和人工智能技術，涵蓋數據管理、模型訓練、模型管理以及模型推理的全流程，為車路協同領域構建安全的人工智能應用提供了安全的開發環境和執行環境。同時，YITA-TFL平臺可被應用到其他重視數據及模型安全的領域。

2.3 YITA-TFL平臺實現

本節重點介紹聯邦學習、可信數據管理、可信模型訓練、可信模型管理以及可信協同推理5個子模塊關鍵功能的實現方法和技術。

2.3.1 聯邦學習

聯邦學習是YITA-TFL平臺可信模型訓練的支撐模塊，包括服務端和客戶端兩部分。其架構如圖3所示。

圖3 聯邦學習模塊架構

聯邦學習子平臺相關模塊介紹如下。

（1）聯邦學習子平臺服務端

服務端包括支撐與管理模塊、聯邦聚合模塊、安全能力模塊、傳輸交換模塊及作業實例模塊。各模塊功能介紹如下。

● 支撐與管理模塊提供集群管理、資源配置等應用程序接口（application programming interface，API），作業計劃，客戶端管理與選擇，以及路由轉發服務等功能。

● 聯邦聚合模塊提供Fe d P rox、FedAvg、SCAFFOLD等聚合算法，保證不同場景下的收斂速率和收斂性。同時，支持用戶擴展自定義的聚合優化算法。

● 安全能力模塊提供多種隱私算法，包括差分隱私、密鑰共享等。

● 傳輸交換模塊支持多種數據傳輸和調用模式，如超文本傳送協議（hypertext transfer protocol，HTTP）、谷歌遠程過程調用（G o o g l e re mot e procedure call，gRPC）等。

● 作業實例模塊根據客戶端提交的訓練作業動態創建實例，協同客戶端和服務端完成聯邦學習，包括作業啟動、創建訓練任務、聯邦聚合等。

（2）聯邦學習子平臺客戶端

客戶端各模塊同服務端的模塊基本一一對應，客戶端和服務端協作完成聯邦學習過程?？蛻舳酥С值纳疃葘W習框架包括TensorFlow、PyTorch、Caffe以及PaddlePaddle等。

在聯邦學習過程中，客戶端負責每輪訓練任務的創建及本地訓練執行、每輪訓練參數的上報以及聚合后數據的獲取等。

在隱私安全的前提下，客戶端與服務端協同實現高效、安全、易用的聯邦學習過程。

2.3.2 可信數據管理

數據是AI的基礎，為AI提供訓練資源，推動AI的快速發展。數據是核心資產，在AI領域的競爭中舉足輕重。車路協同系統運行過程中產生大量的隱私數據，如身份信息、位置信息、軌跡信息等，數據安全尤其重要。

數據隱私保護是應用AI技術首先需要考慮的問題，可信數據管理在數據收集階段就實現了數據隱私保護，其功能架構如圖4所示。

圖4 可信數據管理功能架構

（1）數據集管理

平臺支持各類數據采集，包括實時消息、日志、文件、時序數據、數據庫以及視頻和圖片等，并支持數據本地存儲或分布式存儲。

（2）數據標注

平臺支持對數據的半自動化標注，支持文本、語音、視頻、結構化數據等多種類型的數據。

（3）數據質量管理

平臺提供完備的數據質量管理，包括數據標準、規則管理、依據數據標準對數據進行質量檢查并形成數據質量報告。同時，還提供異常數據檢查，包括分布檢測、偏見檢測、活體檢測等。毒化數據危害較大，平臺提供如下方法消除毒化數據。

● 數據清洗處理：通過異常樣本檢測、合理數據采樣等數據預處理技術消除惡意樣本，提升數據分布合理性；采用平滑去噪等數據預處理技術降低異常樣本的影響。

● 魯棒性算法：通過魯棒性的聚合算法，如修整均值（trimmed mean，TRIM）、中值聚合、拒絕負面影響（reject on negative impact，RONI）等，降低惡意梯度數據的影響，提高算法魯棒性。

● 數據凈化法：借鑒參考文獻[23-24]等提出的方法，凈化因攻擊而中毒的數據，從而達到移除中毒數據或其他異常數據的目的。

（4）隱私保護策略

平臺提供豐富的隱私保護策略，其實現介紹如下。

● 訪問認證鑒權模塊實現用戶管理、安全認證和服務授權。對用戶的登錄信息進行合法性鑒定，避免出現非法用戶登錄系統的情況，同時根據用戶角色限定用戶功能權限，控制訪問數據和參與聯邦計算的范圍，防御惡意攻擊者。

● 日志審計與數據溯源模塊監控所有與數據相關的事務，包括會話、用戶信息以及數據的增、刪、改、查、用等行為，提供完備的訪問審計溯源功能。

● 平臺支持動態脫敏，對關鍵隱私信息自動脫敏。平臺還支持多種加密算法，如DES加密、同態加密等。對于統計信息等數據，系統提供差分隱私保護，支持噪聲擾動、隨機響應等機制。

基于上述數據管理與隱私技術的應用，在較少增加計算和通信負擔的情況下，實現對數據的持續保護，夯實車路協同場景下安全應用人工智能技術的基礎。

2.3.3 可信模型訓練

本節主要介紹在模型訓練階段，可信模型訓練模塊如何實現對數據和模型的隱私保護。

一般來說，在車路協同場景下，處于模型訓練階段的系統面臨以下威脅。

威脅1：潛在模型異常。攻擊方通過數據中毒攻擊并破壞訓練數據集合的完整性，或者通過模型中毒攻擊破壞學習過程的完整性，從而導致模型異常[25]。

威脅2：潛在隱私泄露。云、邊、端在訓練階段協同時，雖然不傳輸原始數據，但涉及參數的上傳和下發，通過模型逆向攻擊或模型提取攻擊，利用模型參數依然可以推測出本地設備數據的部分隱私信息。

針對威脅1，第2.3.2節給出了部分防御方法。除此之外，在訓練階段，針對數據投毒，系統還提供優化客戶端選擇的方法進行對抗，例如針對每一輪訓練，系統按規則重新選擇參與訓練的客戶端，降低惡意攻擊的影響；優化聯邦激勵機制，提升可信客戶端的選擇權重等。

防御威脅2的核心思想是利用隱私安全算法，將傳輸的中間數據加密為密文數據，避免獲取參與方的原始數據。系統目前支持兩種隱私安全算法：基于差分隱私的中間參數擾動隱私保護算法和基于密鑰共享的安全聚合算法。下面介紹其具體實現。

（1）基于差分隱私的中間參數擾動隱私保護算法實現

采用差分隱私算法在中間數據中加入特定分布的噪聲（如高斯噪聲、拉普拉斯噪聲），避免通過數據差異分析等方式恢復原始數據，從而達到保護隱私安全的目的。參與方客戶端利用本地數據進行訓練，在梯度（對應圖5（a））或Δw（對應圖5（b））中加入噪聲，客戶端上報攜帶噪聲的中間數據，并直接在中間數據上聚合得到新模型[26]。DP-Gradient算法在梯度中添加噪聲，客戶端本地訓練的每次梯度更新都需要添加噪聲；DP-Weight算法在Δw中加噪聲，客戶端在每輪聯邦訓練中只需要針對Δw添加一次噪聲即可。兩種算法的收斂效率和性能基本一樣，但DP-Weight算法的客戶端計算開銷相對較小。

圖5 差分隱私算法實現框架

（2）基于密鑰共享的安全聚合算法實現

通過密鑰共享將本地密鑰分片發送給各參與方，在服務端聯邦聚合過程中，每個客戶端上報的參數采用本地掩碼分片加密，聚合過程中掩碼被抵消，從而得到聚合結果。訓練過程中參與方無法知曉任意一個客戶端的原始數據，從而達到保護隱私的目的。算法特征總結如下：

● 模型在密文狀態下聚合，具有密碼級的安全保證，與差分隱私相比，具有更高的安全性；

● 采用掩碼加密，訓練過程中服務端通過密鑰共享將掩碼分片廣播到各參與方，傳輸數據量只與參與方客戶端的數量相關，與模型大小無關；

● 模型權重等原始數據不需要在參與方之間傳遞，遵從聯邦協議；

● 雙重掩碼機制允許客戶端在訓練過程中掉線，適用于客戶端穩定性差的聯邦訓練場景；

● 通過分層聚合解決了安全聚合隨參與方數量增加，計算和傳輸開銷快速上升的問題，方案具備較好的彈性。

除模型隱私訓練功能外，可信模型訓練模塊還提供可視化建模、模型壓縮和模型優化等功能，共同實現安全地構建模型、訓練模型和編譯模型的目的。

2.3.4 可信模型管理

模型管理是模型使用過程中非常重要的環節，但是當前對這一部分的研究相對較少。本文設計的可信模型管理包括模型版權管理、模型發布、模型部署以及模型市場等功能。

（1）模型版權管理

算法模型是研究人員通過數月努力設計訓練出來的，是一種非常有價值的知識產權資產，需要做好算法模型的知識產權管理工作。模型版權管理主要包括兩部分功能：模型加密和模型水印。

①模型加密

為了防止模型被他人挪用、惡意復制，在模型部署前需要對模型進行加密，模型部署后，在推理階段的運行時模塊加載模型時，根據加密機制進行反向解密即可。YITA-TFL平臺采用OpenSSL中的高級加密標準（advanced encryption standard，AES）實現模型加密，AES是美國聯邦政府采用的一種區塊加密標準，是目前對稱密鑰加密中非常流行的算法之一。

②模型水印

模型水印的思想來自于數字水印技術，人工智能模型水印最早由Uchida Y等人[27]提出。目前主要的人工智能模型水印算法包括后門植入水印、利用對抗樣本構建水印、利用投影矩陣構建水印、利用聚類將圖片按輸出激活分類編碼、利用對抗網絡訓練等[28]。綜合分析各類算法的優缺點，YITA-TFL平臺采用后門植入水印為平臺算法提供版權保護。其算法框架如圖6所示[29]。

圖6 后門植入水印算法框架

● 水印植入：模型持有者提取一部分數據作為觸發集，可以在圖片上加上特定的噪聲或者標志，使得觸發集數據中帶有版權信息，然后輸入目標模型進行訓練，特別的是，將觸發集圖片對應的輸出標記為特定輸出，比如在車路協同場景中，將觸發集中的轎車標記為自行車，對目標模型進行有監督的訓練，使模型學習到這種特定的噪聲或標志的特征，則水印植入成功。

● 水印驗證：向模型輸入觸發集的圖片以及原圖片，當模型的輸出為指定的特殊標簽以及原本的標簽時，水印驗證成功，否則失敗。

（2）模型發布

平臺支持兩種模型發布：模型完整發布和模型分割發布。因為車載終端計算資源有限，難以執行完整模型，所以對模型進行分割，比如把特征提取等算力需求較小的網絡放在車載終端上執行，把算力需求較大的部分算法放在邊緣服務器上執行，提升車路協同場景的整體模型推理效率。模型分割發布時，需要采用差分隱私對兩方推理過程中傳遞的中間結果進行加密，確保數據隱私安全。

（3）模型部署

平臺支持將模型遠程部署到邊緣設備和終端設備，支持實時監測模型下發及部署的進度，支持模型文件下發斷點續傳。

（4）模型市場

平臺提供模型的交易服務，詳細功能描述如下。

● 模板集市：用于用戶間的模型交換。用戶可以將自己訓練好的模型發布到模板集市中，也可以從模板集市中下載模型，用于訓練和推理。

● 數據集市：用戶可以下載數據集市中的數據。

● 能力集市：展示用戶發布成功的模型能力，并提供下載。

2.3.5 可信協同推理

推理階段是應用模型解決實際問題的階段，是最重要的執行階段，包括授權管理、服務管理及推理隱私保護等功能。

（1）授權管理

結合模型加密和模型水印等功能，保證模型的知識產權。

（2）服務管理

主要實現模型的資源監控、彈性擴容、流量控制、灰度升級等功能。

（3）推理隱私保護

推理階段對模型的攻擊通常被稱為推理攻擊，一般不會破壞目標模型，主要是影響模型的輸出結果或者通過反卷積網絡等技術獲取原始數據，從而引起數據泄露。后一種情況對分割發布的模型風險較大。本節簡要介紹YITA-TFL平臺對后一種情況的防御方式。

分割發布的模型一般由終端設備和邊緣服務器協同推理，終端側執行完整模型中算力消耗較小的部分，如特征提取等；服務側執行完整模型中算力需求較大的部分。其算法過程如圖7所示。

圖7 協同推斷場景下基于差分隱私的中間結果隱私保護算法框架

算法核心是對終端設備的輸入數據增加輸入擾動，對其輸出的中間結果增加輸出擾動。輸入擾動和輸出擾動均采用差分隱私算法生成。

在推理過程增加擾動在一定程度上會影響模型推理結果的準確率，如果擾動參數值等設置不合理，甚至會影響模型的可用性。不過，不同模型的合理擾動參數值不同，需要通過實驗確定擾動參數的合理取值范圍，保證模型準確率和隱私保護之間的平衡。

3 應用案例

YITA-TFL平臺已成功應用于多個車路協同及高速公路視頻分析項目，某省高速公路的車路協同系統架構如圖8所示。YITA-TFL平臺和YITA大數據平臺協同，在項目中發揮核心作用，YITA-TFL平臺支撐團隊快速構建面向智能終端、路側設備和云控平臺等多方參與的安全人工智能應用體系，從數據采集、數據發布、模型在線訓練、模型管理、模型發布到在線推理，保證數據和模型的全流程隱私和安全。該項目已接入超過500臺智能終端和路側設備，運行數十個深度學習模型和機器學習模型，為高速公路安全生產帶來顯著效益。

圖8 某省高速公路的車路協同系統架構

4 結束語

近年來，以大數據、人工智能以及5G為代表的信息技術推動車路協同的快速發展，人們在不知不覺中已經成為車路協同系統中的一員。上述技術為人們的生活帶來極大的便利，然而車路協同場景中的隱私泄露風險也給人們帶來巨大的威脅。

本文介紹了車路協同場景的特點，分析了該場景下隱私計算、人工智能等技術的研究進展并進行總結，設計并實現了YITATFL平臺，并在交通行業的車路協同及視頻分析場景中落地應用。該平臺不僅適用于車路協同場景，同樣適用于其他重視數據和模型隱私的場景。未來的工作中，筆者團隊將不斷融合新技術，持續迭代優化，進一步提升平臺的性能和普適性。